Alarmes, auditorias e eventos de VPN

Você pode analisar e entender a causa de falhas relacionadas à VPN usando os alarmes que o Junos OS gera.

Um alarme VPN é uma indicação de que a VPN configurada está em um estado que pode exigir a intervenção do usuário para resolver. Você verá um alarme quando o dispositivo relatar uma falha enquanto monitora os eventos auditados. Embora um evento seja uma ocorrência que acontece em um ponto específico do tempo, um alarme é uma indicação do estado de falha.

Observe os seguintes pontos ao monitorar os alarmes e eventos:

• Certifique-se de habilitar o registro de eventos de segurança durante a configuração inicial do dispositivo usando o [set security log cache] comando. Consulte o cache (Log de segurança) para obter mais detalhes.

• O Junos OS oferece suporte a registro de eventos de segurança nos firewalls SRX300, SRX320, SRX340, SRX345, SRX550HM e SRX1500 e nos firewalls virtuais vSRX.

• Cada administrador tem um conjunto único de privilégios com base em funções como administrador de auditoria, administrador criptográfico, administrador de IDS e administrador de segurança. Os outros administradores não podem modificar o registro de eventos de segurança após a habilitação do administrador autorizado.

Uma falha de VPN dispara um alarme quando o sistema monitora qualquer um dos seguintes eventos auditados:

• Falhas de autenticação — você pode configurar o dispositivo para gerar um alarme do sistema quando o número de falhas de autenticação de pacotes atingir um limite especificado.

• Falhas de criptografia e descriptografia — você pode configurar o dispositivo para gerar um alarme de sistema quando o número de falhas de criptografia ou descriptografia excede um limite especificado.

• Falhas na Fase 1 e IKE da Fase 2 do IKE — o Junos OS estabelece associações de segurança (IKE) de Troca de Chaves da Internet (IKE) durante as negociações da Fase 1 do IKE. As associações de segurança protegem as negociações da Fase 2 do IKE. Você pode configurar o dispositivo para gerar um alarme de sistema quando o número de falhas da Fase 1 ou IKE da Fase 2 exceder um limite especificado.

• Falhas de auto-teste — Após um dispositivo ativar ou reiniciar, o Junos OS executa alguns testes no dispositivo para verificar a implementação do software de segurança. 
Os auto-testes garantem a correção dos algoritmos criptográficos. A imagem do Junos-FIPS realiza testes automáticos automaticamente após o dispositivo habilitar e executar o teste continuamente para a geração de pares chave. Nas imagens domésticas ou FIPS, você pode configurar auto-testes para serem executados de acordo com um cronograma definido, sob demanda ou imediatamente após a geração chave. Você também pode configurar o dispositivo para gerar um alarme de sistema quando um auto-teste falhar.

• Ataques de política de fluxo de IDP — Você usa uma política de detecção e prevenção de intrusões (IDP) para aplicar várias técnicas de detecção e prevenção de ataques no tráfego de rede. Você pode configurar o dispositivo para gerar um alarme de sistema quando ocorre uma violação da política de fluxo de IDP.

• Ataques de repetição — um ataque de repetição é um ataque de rede no qual um invasor repete ou atrasa maliciosamente um evento válido de transmissão de dados. Você pode configurar o dispositivo para gerar um alarme de sistema quando ocorre um ataque de repetição.

O Junos OS gera mensagens de log do sistema (também chamadas de mensagens de syslog) para registrar os eventos que ocorrem no dispositivo. Você notará mensagens de syslog nos seguintes casos:

• Geração de chave simétrica com falha

• Geração de chave assimétrica falha

• Distribuição de chave manual com falha

• Distribuição de chave automatizada com falha

• Falha na destruição de chave

• Manuseio e armazenamento de chave com falha

• Criptografia ou descriptografia de dados com falha

• Assinatura com falha

• Acordo-chave fracassado

• Hashing criptográfico com falha

• Falha no IKE

• Autenticação falha dos pacotes recebidos

• Erro de descriptografia devido ao conteúdo de preenchimento inválido

• Incompatibilidade no comprimento especificado no campo de assunto alternativo do certificado recebido de um dispositivo vpn peer remoto

O Junos OS dispara alarmes com base nas mensagens de syslog. Embora o Junos OS registre todas as falhas, ele gera um alarme apenas quando o limiar é atingido. Para visualizar as informações do alarme, execute o show security alarms comando. A contagem de violações e o alarme não persistem nas reinicializações do sistema. Após uma reinicialização, a contagem de violações é redefinida para zero, e o alarme é liberado da fila de alarme. O alarme permanece na fila até que você reinicialize o dispositivo ou até limpar o alarme depois de tomar as ações apropriadas. Para limpar o alarme, execute o clear security alarms comando.

Depois que um túnel VPN surge, o Junos OS rastreia o status do túnel relacionado a problemas de tunelamento e falhas na negociação. O Junos OS também acompanha eventos bem-sucedidos, como negociações bem-sucedidas da associação de segurança IPsec, rekeys IPsec e rekeys da associação de segurança IKE. Usamos o termo eventos de túnel para nos consultarmos a esses eventos de fracasso e sucesso.

Para a Fase 1 e a Fase 2, o Junos OS acompanha os eventos de negociação para um determinado túnel com o processo iked ou kmd , juntamente com os eventos que ocorrem em processos externos, como o authd ou o pkid. Quando um evento de túnel ocorre várias vezes, o dispositivo mantém apenas uma entrada com o tempo atualizado e o número de vezes que esse evento ocorreu.

No total, o Junos OS acompanha 16 eventos –oito eventos para a Fase 1 e oito eventos para a Fase 2.

Alguns eventos podem se repetir e preencher a memória do evento, resultando na remoção de eventos importantes. Para evitar a sobreposição, o dispositivo não armazena um evento a menos que o túnel esteja desativado. Poucos desses eventos estão listados abaixo:

• A vida útil em kilobytes venceu para a associação de segurança IPsec.

• A dura vida útil da associação de segurança IPsec venceu.

• A associaçãode segurança IPsec é liberada conforme a carga de pagamento de exclusão correspondente recebida do peer.

• Pares de associação de segurança IPsec de backup redundantes sem utilização .

• Associações de segurança IPsec liberadas como associação de segurança IKE correspondente excluída.

O Junos OS cria e remove túneis AutoVPN dinamicamente. Como resultado, os eventos de túnel correspondentes a esses túneis são de curta duração. Nem todos os eventos de túnel estão associados a um túnel, no entanto, você pode usá-los para depuração.

Este exemplo mostra como configurar um dispositivo para gerar um bipe de alerta do sistema quando ocorre um novo evento de segurança. Por padrão, os alarmes não são audíveis. Esse recurso tem suporte para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM e SRX1500 e instâncias de firewall virtual vSRX.

Este exemplo mostra como configurar o dispositivo para gerar um alarme do sistema quando ocorre uma violação em potencial. Por padrão, nenhum alarme é levantado quando ocorre uma violação em potencial. Esse recurso tem suporte para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM e SRX1500 e instâncias de firewall virtual vSRX.