VPN 알람, 감사 및 이벤트

Junos OS가 생성하는 알람을 사용하여 VPN 관련 실패의 원인을 분석하고 이해할 수 있습니다.

VPN 알람은 구성된 VPN이 해결을 위해 사용자 개입이 필요할 수 있는 상태에 있음을 나타냅니다. 감사된 이벤트를 모니터링하는 동안 디바이스가 실패를 보고 하면 알람이 표시됩니다. 이벤트는 특정 시점에 발생하는 이벤트인 반면, 알람은 실패 상태를 나타냅니다.

경보 및 이벤트를 모니터링할 때 다음 사항에 유의하십시오.

• 명령을 사용하여 디바이스의 초기 설정 중에 보안 이벤트 로깅을 활성화해야 합니다[set security log cache]. 자세한 내용은 캐시(보안 로그) 를 참조하십시오.

• Junos OS는 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 SRX1500 방화벽 과 vSRX 가상 방화벽에서 보안 이벤트 로깅을 지원합니다.

• 모든 관리자는 audit-administrator, cryptographic-administrator, IDS-administrator 및 security-administrator와 같은 역할에 따라 고유한 권한 집합을 갖습니다. 권한 있는 관리자가 보안 이벤트 로깅을 사용하도록 설정한 후에는 다른 관리자가 보안 이벤트 로깅을 수정할 수 없습니다.

VPN 장애는 시스템이 다음과 같은 감사 이벤트 중 하나를 모니터링할 때 경보를 트리거합니다.

• 인증 실패 - 패킷 인증 실패 횟수가 지정된 임계값에 도달할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

• 암호화 및 복호화 실패 - 암호화 또는 복호화 실패 횟수가 지정된 임계값을 초과할 때 시스템 경보를 생성하도록 디바이스를 구성할 수 있습니다.

• IKE(Internet Key Exchange) 1단계 및 IKE(Internet Key Exchange) 2단계 실패 - Junos OS는 IKE(Internet Key Exchange) SA(Internet Key Exchange) 보안 연결(SA)을 설정합니다. 보안 연결은 IKE(Internet Key Exchange) 2단계 협상을 보호합니다. IKE(Internet Key Exchange) 1단계 또는 IKE 2단계 실패 수가 지정된 제한을 초과할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

• Self-test failures—디바이스의 전원이 켜지거나 재부팅된 후 Junos OS는 디바이스에서 몇 가지 테스트를 실행하여 보안 소프트웨어의 구현을 검증합니다. 
자체 테스트를 통해 암호화 알고리즘의 정확성을 보장합니다. Junos-FIPS 이미지는 디바이스 전원이 켜진 후 자동으로 자체 테스트를 수행하고 키 페어 생성을 위해 테스트를 지속적으로 실행합니다. 국내 또는 FIPS 이미지에서 정의된 일정에 따라, 요청 시 또는 키 생성 직후에 실행되도록 자체 테스트를 구성할 수 있습니다. 자체 테스트에 실패할 때 시스템 알람을 생성하도록 디바이스를 구성할 수도 있습니다.

• 침입 탐지 및 방지(IDP) 플로우 정책 공격 - 침입 탐지 및 방지(IDP) 정책을 사용하여 네트워크 트래픽에 다양한 공격 탐지 및 방지 기술을 적용합니다. 침입 탐지 및 방지(IDP) 플로우 정책 위반이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

• 재생 공격 - 재생 공격은 공격자가 유효한 데이터 전송 이벤트를 악의적으로 또는 부정하게 반복하거나 지연시키는 네트워크 공격입니다. 재생 공격이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성할 수 있습니다.

Junos OS는 디바이스에서 발생하는 이벤트를 기록하기 위해 시스템 로그 메시지( syslog 메시지라고도 함)를 생성합니다. 다음과 같은 경우 syslog 메시지가 표시됩니다.

• 대칭 키 생성 실패

• 비대칭 키 생성 실패

• 수동 키 배포 실패

• 자동 키 배포 실패

• 키 파괴 실패

• 실패한 키 처리 및 저장

• 데이터 암호화 또는 복호화 실패

• 서명 실패

• 실패한 키 계약

• 암호화 해싱 실패

• IKE(Internet Key Exchange) 실패

• 수신된 패킷의 인증 실패

• 잘못된 패딩 콘텐츠로 인한 암호 해독 오류

• 원격 VPN 피어 디바이스에서 수신한 인증서의 대체 주체 필드에 지정된 길이가 일치하지 않습니다

Junos OS는 syslog 메시지를 기반으로 알람을 트리거합니다. Junos OS는 모든 실패를 기록하지만 임계값에 도달할 때만 알람을 생성합니다. 경보 정보를 보려면 명령을 실행합니다 show security alarms . 위반 횟수 및 경보는 시스템 재부팅 후에도 지속되지 않습니다. 재부팅 후 위반 횟수가 0으로 재설정되고 경보가 경보 대기열에서 지워집니다. 경보는 디바이스를 재부팅하거나 적절한 조치를 취한 후 경보를 지울 때까지 대기열에 남아 있습니다. 알람을 지우려면 명령을 실행합니다 clear security alarms .

VPN 터널이 시작된 후 Junos OS는 터널 다운 문제 및 협상 실패와 관련된 터널 상태를 추적합니다. Junos OS는 또한 성공적인 IPsec 보안 연결 협상, IPsec 키 재생성 및 IKE 보안 연결 키 재입력과 같은 성공적인 이벤트를 추적합니다. 터널 이벤트라는 용어는 이러한 실패 및 성공 이벤트를 지칭하기 위해 사용됩니다.

1단계와 2단계에서 Junos OS는 인증 또는 pkid와 같은 외부 프로세스에서 발생하는 이벤트와 함께 iked 또는 kmd 프로세스로 지정된 터널에 대한 협상 이벤트를 추적합니다. 터널 이벤트가 여러 번 발생하면 디바이스는 업데이트된 시간과 해당 이벤트가 발생한 횟수를 가진 하나의 항목만 유지합니다.

전체적으로 Junos OS는 1단계에 8개 이벤트, 2단계에 8개 이벤트 등 총 16개의 이벤트를 추적합니다.

일부 이벤트는 다시 발생하여 이벤트 메모리를 가득 채우고 중요한 이벤트가 제거될 수 있습니다. 덮어쓰기를 방지하기 위해 디바이스는 터널이 다운되지 않는 한 이벤트를 저장하지 않습니다. 이러한 이벤트 중 일부는 다음과 같습니다.

• IPsec 보안 연결에 대한 수명이 만료되었습니다(킬로바이트).

• IPsec 보안 연결 의 하드 수명이 만료되었습니다.

• IPsec 보안 연결은피어로부터 수신된 해당 삭제 페이로드로 지워집니다.

• 사용되지 않는 중복 백업 IPsec 보안 연결 쌍을 지웠습니다.

• 해당 IKE 보안 연결이 삭제되어 IPsec 보안 연결이 지워집니다.

Junos OS는 AutoVPN 터널을 동적으로 생성 및 제거합니다. 따라서 이러한 터널에 해당하는 터널 이벤트는 수명이 짧습니다. 모든 터널 이벤트가 터널과 연결되는 것은 아니지만 디버깅에 사용할 수 있습니다.

이 예는 새로운 보안 이벤트가 발생할 때 시스템 경고 신호음을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 알람은 들리지 않습니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 SRX1500 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다.

이 예는 잠재적 위반이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 잠재적 위반이 발생할 때 경보가 발생하지 않습니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 SRX1500 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다.