Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN 알람, 감사 및 이벤트

SUMMARY 이 주제를 읽고 다양한 유형의 Junos OS 알람, 로그 및 이벤트를 이해하십시오.

Junos OS 는 다양한 이벤트를 기록하고, 로그를 유지하며, 디바이스에서 수행하는 작업과 관련된 알람을 트리거합니다. VPN 모니터링 방법이 VPN에 대한 활성 모니터링 기술을 제공하는 반면, 알람, 이벤트 및 감사는 기록 정보를 제공하여 실패 원인을 분석합니다. 터널 생성 전후에 이러한 오류가 발생할 수 있습니다.

VPN 경보 및 감사

Junos OS가 생성하는 알람을 사용하여 VPN 관련 실패의 원인을 분석하고 이해할 수 있습니다.

VPN 알람은 구성된 VPN이 해결을 위해 사용자 개입이 필요할 수 있는 상태에 있음을 나타냅니다. 감사된 이벤트를 모니터링하는 동안 디바이스가 실패를 보고 하면 알람이 표시됩니다. 이벤트는 특정 시점에 발생하는 이벤트인 반면, 알람은 실패 상태를 나타냅니다.

경보 및 이벤트를 모니터링할 때 다음 사항에 유의하십시오.

  • 명령을 사용하여 디바이스의 초기 설정 중에 보안 이벤트 로깅을 활성화해야 합니다[set security log cache]. 자세한 내용은 캐시(보안 로그) 를 참조하십시오.

  • Junos OS는 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 SRX1500 방화벽 과 vSRX 가상 방화벽에서 보안 이벤트 로깅을 지원합니다.

  • 모든 관리자는 audit-administrator, cryptographic-administrator, IDS-administrator 및 security-administrator와 같은 역할에 따라 고유한 권한 집합을 갖습니다. 권한 있는 관리자가 보안 이벤트 로깅을 사용하도록 설정한 후에는 다른 관리자가 보안 이벤트 로깅을 수정할 수 없습니다.

VPN 장애는 시스템이 다음과 같은 감사 이벤트 중 하나를 모니터링할 때 경보를 트리거합니다.

  • 인증 실패 - 패킷 인증 실패 횟수가 지정된 임계값에 도달할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

  • 암호화 및 복호화 실패 - 암호화 또는 복호화 실패 횟수가 지정된 임계값을 초과할 때 시스템 경보를 생성하도록 디바이스를 구성할 수 있습니다.

  • IKE(Internet Key Exchange) 1단계 및 IKE(Internet Key Exchange) 2단계 실패 - Junos OS는 IKE(Internet Key Exchange) SA(Internet Key Exchange) 보안 연결(SA)을 설정합니다. 보안 연결은 IKE(Internet Key Exchange) 2단계 협상을 보호합니다. IKE(Internet Key Exchange) 1단계 또는 IKE 2단계 실패 수가 지정된 제한을 초과할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

  • Self-test failures—디바이스의 전원이 켜지거나 재부팅된 후 Junos OS는 디바이스에서 몇 가지 테스트를 실행하여 보안 소프트웨어의 구현을 검증합니다. 
자체 테스트를 통해 암호화 알고리즘의 정확성을 보장합니다. Junos-FIPS 이미지는 디바이스 전원이 켜진 후 자동으로 자체 테스트를 수행하고 키 페어 생성을 위해 테스트를 지속적으로 실행합니다. 국내 또는 FIPS 이미지에서 정의된 일정에 따라, 요청 시 또는 키 생성 직후에 실행되도록 자체 테스트를 구성할 수 있습니다. 자체 테스트에 실패할 때 시스템 알람을 생성하도록 디바이스를 구성할 수도 있습니다.

  • 침입 탐지 및 방지(IDP) 플로우 정책 공격 - 침입 탐지 및 방지(IDP) 정책을 사용하여 네트워크 트래픽에 다양한 공격 탐지 및 방지 기술을 적용합니다. 침입 탐지 및 방지(IDP) 플로우 정책 위반이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

  • 재생 공격 - 재생 공격은 공격자가 유효한 데이터 전송 이벤트를 악의적으로 또는 부정하게 반복하거나 지연시키는 네트워크 공격입니다. 재생 공격이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

Junos OS는 디바이스에서 발생하는 이벤트를 기록하기 위해 시스템 로그 메시지( syslog 메시지라고도 함)를 생성합니다. 다음과 같은 경우 syslog 메시지가 표시됩니다.

  • 대칭 키 생성 실패

  • 비대칭 키 생성 실패

  • 수동 키 배포 실패

  • 자동 키 배포 실패

  • 키 파괴 실패

  • 실패한 키 처리 및 저장

  • 데이터 암호화 또는 복호화 실패

  • 서명 실패

  • 실패한 키 계약

  • 암호화 해싱 실패

  • IKE(Internet Key Exchange) 실패

  • 수신된 패킷의 인증 실패

  • 잘못된 패딩 콘텐츠로 인한 암호 해독 오류

  • 원격 VPN 피어 디바이스에서 수신한 인증서의 대체 주체 필드에 지정된 길이가 일치하지 않습니다

Junos OS는 syslog 메시지를 기반으로 알람을 트리거합니다. Junos OS는 모든 실패를 기록하지만 임계값에 도달할 때만 알람을 생성합니다. 경보 정보를 보려면 명령을 실행합니다 show security alarms . 위반 횟수 및 경보는 시스템 재부팅 후에도 지속되지 않습니다. 재부팅 후 위반 횟수가 0으로 재설정되고 경보가 경보 대기열에서 지워집니다. 경보는 디바이스를 재부팅하거나 적절한 조치를 취한 후 경보를 지울 때까지 대기열에 남아 있습니다. 알람을 지우려면 명령을 실행합니다 clear security alarms .

VPN 터널 이벤트

VPN 터널이 시작된 후 Junos OS는 터널 다운 문제 및 협상 실패와 관련된 터널 상태를 추적합니다. Junos OS는 또한 성공적인 IPsec 보안 연결 협상, IPsec 키 재생성 및 IKE 보안 연결 키 재입력과 같은 성공적인 이벤트를 추적합니다. 터널 이벤트라는 용어는 이러한 실패 및 성공 이벤트를 지칭하기 위해 사용됩니다.

1단계와 2단계에서 Junos OS는 인증 또는 pkid와 같은 외부 프로세스에서 발생하는 이벤트와 함께 iked 또는 kmd 프로세스로 지정된 터널에 대한 협상 이벤트를 추적합니다. 터널 이벤트가 여러 번 발생하면 디바이스는 업데이트된 시간과 해당 이벤트가 발생한 횟수를 가진 하나의 항목만 유지합니다.

전체적으로 Junos OS는 1단계에 8개 이벤트, 2단계에 8개 이벤트 등 총 16개의 이벤트를 추적합니다.

일부 이벤트는 다시 발생하여 이벤트 메모리를 가득 채우고 중요한 이벤트가 제거될 수 있습니다. 덮어쓰기를 방지하기 위해 디바이스는 터널이 다운되지 않는 한 이벤트를 저장하지 않습니다. 이러한 이벤트 중 일부는 다음과 같습니다.

  • IPsec 보안 연결에 대한 수명이 만료되었습니다(킬로바이트).

  • IPsec 보안 연결 의 하드 수명이 만료되었습니다.

  • IPsec 보안 연결은피어로부터 수신된 해당 삭제 페이로드로 지워집니다.

  • 사용되지 않는 중복 백업 IPsec 보안 연결 쌍을 지웠습니다.

  • 해당 IKE 보안 연결이 삭제되어 IPsec 보안 연결이 지워집니다.

Junos OS는 AutoVPN 터널을 동적으로 생성 및 제거합니다. 따라서 이러한 터널에 해당하는 터널 이벤트는 수명이 짧습니다. 모든 터널 이벤트가 터널과 연결되는 것은 아니지만 디버깅에 사용할 수 있습니다.

VPN 경보 구성

시작하기 전에 디바이스의 초기 설정 중에 다음 명령을 사용하여 보안 이벤트 로깅이 활성화되었는지 확인해야 합니다.

자세한 내용은 캐시(보안 로그) 를 참조하십시오.

이 작업에서는 SRX 시리즈 방화벽에서 알람을 보고 지우는 방법을 살펴볼 것입니다.

  1. 경보 정보를 보려면 운영 모드에서 다음 명령을 실행합니다.

    자세한 내용은 보안 경보 표시를 참조하십시오.

  2. 경보 정보를 지우려면 운영 모드에서 다음 명령을 실행합니다.

    자세한 내용은 명확한 보안 경보를 참조하십시오.

예: 가청 경고 알림 구성

이 예는 새로운 보안 이벤트가 발생할 때 시스템 경고 신호음을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 알람은 들리지 않습니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 SRX1500 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 보안 알람에 대한 응답으로 생성될 가청 경고음을 설정합니다.

구성

절차

단계별 절차

가청 알람을 설정하려면:

  1. 보안 경보를 활성화합니다.

  2. 경고음과 함께 보안 경보에 대한 알림을 받도록 지정합니다.

  3. 디바이스 구성을 완료하면 해당 구성을 커밋합니다.

검증

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security alarms detail .

예: 보안 경보 생성 구성

이 예는 잠재적 위반이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 잠재적 위반이 발생할 때 경보가 발생하지 않습니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 SRX1500 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 다음과 같은 경우 발생할 경보를 구성합니다.

  • 인증 실패 횟수가 6회를 초과합니다.

  • 암호화 자체 테스트에 실패했습니다.

  • 비암호화 자체 테스트가 실패합니다.

  • 키 생성 자체 테스트가 실패합니다.

  • 암호화 실패 횟수가 10회를 초과합니다.

  • 암호 해독 실패 횟수가 1을 초과합니다.

  • IKE(Internet Key Exchange) 1단계 실패 횟수가 10개를 초과합니다.

  • IKE(Internet Key Exchange) 2단계 실패 횟수가 1을 초과합니다.

  • 재생 공격이 발생합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

잠재적 위반에 대응하여 경보를 구성하려면 다음을 수행합니다.

  1. 보안 경보를 활성화합니다.

  2. 인증 실패가 발생할 때 경보가 발생하도록 지정합니다.

  3. 암호화 자체 테스트 실패가 발생할 때 경보가 발생하도록 지정합니다.

  4. 비암호화 자체 테스트 실패가 발생할 때 경보가 발생하도록 지정합니다.

  5. 키 생성 자체 테스트 실패가 발생할 때 알람이 발생하도록 지정합니다.

  6. 암호화 실패가 발생할 때 경보가 발생하도록 지정합니다.

  7. 암호 해독 실패가 발생할 때 경보가 발생하도록 지정합니다.

  8. IKE(Internet Key Exchange) 1단계 실패가 발생할 때 알람이 발생하도록 지정합니다.

  9. IKE(Internet Key Exchange) 2단계 실패가 발생할 때 알람이 발생하도록 지정합니다.

  10. 재생 공격이 발생할 때 경보가 발생하도록 지정합니다.

결과

구성 모드에서 show security alarms 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 제대로 작동하는지 확인하려면 운영 모드에서 명령을 입력합니다 show security alarms .