Supervisión y solución de problemas de las políticas de seguridad
El monitoreo proporciona una presentación en tiempo real de datos significativos que representan el estado de las actividades de acceso en una red. Esta información le permite interpretar y afectar fácilmente las condiciones operativas. La solución de problemas proporciona una guía contextual para resolver los problemas de acceso en las redes. A continuación, puede abordar las inquietudes de los usuarios y proporcionar una resolución de manera oportuna.
Descripción de las alarmas de seguridad
Las alarmas se activan cuando se caen paquetes debido a una infracción de política. Una infracción de política se produce cuando un paquete coincide con una política de rechazo o denegación. Se genera una alarma de infracción de política cuando el sistema supervisa cualquiera de los siguientes eventos auditados:
Número de infracciones de políticas cometidas por un identificador de red de origen en un período especificado
Número de infracciones de políticas a un identificador de red de destino dentro de un período especificado
Número de infracciones de política en una aplicación dentro de un período especificado
Regla de directiva o grupo de infracciones de reglas dentro de un período especificado
Hay cuatro tipos de alarmas correspondientes a estos cuatro eventos. Las alarmas se basan en la IP de origen, la IP de destino, la aplicación y la política.
Cuando un paquete encuentra una política de rechazo o denegación, aumentan los contadores de infracción de política para todos los tipos de alarma habilitados. Cuando un contador alcanza el umbral especificado dentro de un período especificado, se genera una alarma. Después de un período especificado, el contador de infracciones de política se restablece y se reutiliza para iniciar otro ciclo de conteo.
Para ver la información de la alarma, ejecute el show security alarms comando. El recuento de infracciones y la alarma no persisten en los reinicios del sistema. Después de un reinicio, el recuento de infracciones se restablece a cero y la alarma se borra de la cola de alarmas.
Después de tomar las medidas adecuadas, puede borrar la alarma. La alarma permanece en la cola hasta que la desactive (o hasta que reinicie el dispositivo). Para borrar la alarma, ejecute el clear security alarms comando. Después de borrar la alarma, una serie posterior de infracciones de la política de flujo puede provocar que se genere una nueva alarma.
Ver también
Ejemplo: generar una alarma de seguridad en respuesta a infracciones de políticas
En este ejemplo se muestra cómo configurar el dispositivo para generar una alarma del sistema cuando se produce una infracción de política. De forma predeterminada, no se activa ninguna alarma cuando se produce una infracción de política.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura una alarma para que se active cuando:
El tamaño de la aplicación es de 10240 unidades.
La infracción de IP de origen supera los 1000 en 20 segundos.
Las infracciones de IP de destino superan las 1000 en 10 segundos.
La infracción de coincidencia de política supera los 100, con un tamaño de 100 unidades.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security alarms potential-violation policy application size 10240 set security alarms potential-violation policy source-ip threshold 1000 duration 20 set security alarms potential-violation policy destination-ip threshold 1000 duration 10 set security alarms potential-violation policy policy-match threshold 100 size 100
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar alarmas de infracción de políticas:
Active las alarmas de seguridad.
[edit] user@host# edit security alarms
Especifique que se debe activar una alarma cuando se produce una infracción de la aplicación.
[edit security alarms potential-violation policy] user@host# set application size 10240
Especifique que se debe activar una alarma cuando se produce una infracción de IP de origen.
[edit security alarms potential-violation policy] user@host# set source-ip threshold 1000 duration 20
Especifique que se debe activar una alarma cuando se produzca una infracción de IP de destino.
[edit security alarms potential-violation policy] user@host# set destination-ip threshold 1000 duration 10
Especifique que debe activarse una alarma cuando se produzca una infracción de coincidencia de directivas.
[edit security alarms potential-violation policy] user@host# set policy-match threshold 100 size 100
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security alarms comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
policy {
source-ip {
threshold 1000;
duration 20;
}
destination-ip {
threshold 1000;
duration 10;
}
application {
size 10240;
}
policy-match {
threshold 100;
size 100;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, desde el modo operativo, escriba el show security alarms comando.
Políticas de seguridad coincidentes
El show security match-policies comando le permite solucionar problemas de tráfico utilizando los criterios de coincidencia: puerto de origen, puerto de destino, dirección IP de origen, dirección IP de destino y protocolo. Por ejemplo, si el tráfico no pasa porque no está configurada una directiva adecuada o porque los criterios de coincidencia son incorrectos, el show security match-policies comando le permite trabajar sin conexión e identificar dónde existe realmente el problema. Utiliza el motor de búsqueda para identificar el problema y, por lo tanto, le permite utilizar la política de coincidencia adecuada para el tráfico.
La result-count opción especifica cuántas directivas se van a mostrar. La primera directiva habilitada de la lista es la directiva que se aplica a todo el tráfico coincidente. Otras políticas por debajo de él están "ensombrecidas" por la primera y nunca se encuentran al hacer coincidir el tráfico.
El show security match-policies comando solo se aplica a las políticas de seguridad; No se admiten las directivas de IDP.
Ejemplo 1: mostrar políticas de coincidencia de seguridad
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: z1, To zone: z2
Source addresses:
a2: 203.0.113.1/25
a3: 10.10.10.1/32
Destination addresses:
d2: 203.0.113.129/25
d3: 192.0.2.1/24
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
Ejemplo 2: Uso de la opción de recuento de resultados
De forma predeterminada, la lista de salida contiene la directiva que se aplicará al tráfico con las características especificadas. Para enumerar más de una directiva que coincida con los criterios, use la result-count opción. La primera política de la lista es siempre la política que se aplicará al tráfico coincidente. Si el result-count valor es de 2 a 16, el resultado incluye todas las directivas que coinciden con los criterios hasta el result-countarchivo . Todas las políticas enumeradas después de la primera se "ensombrecen" por la primera política y nunca se aplican al tráfico coincidente.
Utilice esta opción para probar el posicionamiento de una nueva directiva o para solucionar problemas de una política que no se aplica como se esperaba para un tráfico determinado.
En el ejemplo siguiente, el criterio de tráfico coincide con dos directivas. La primera directiva enumerada, p1, contiene la acción aplicada al tráfico. La política p15 se ve ensombrecida por la primera política y, por lo tanto, su acción no se aplicará al tráfico coincidente.
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1004 destination-port 80 protocol tcp result-count 5
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: zone-A, To zone: zone-B
Source addresses:
sa1: 10.10.0.0/16
Destination addresses:
da5: 192.0.2.0/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Policy: p15, action-type: deny, State: enabled, Index: 18
Sequence number: 15
From zone: zone-A, To zone: zone-B
Source addresses:
sa11: 10.10.10.1/32
Destination addresses:
da15: 192.0.2.5/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Ver también
Recuentos de aciertos de la política de seguimiento
Utilice el show security policies hit-count comando para mostrar la tasa de utilidad de las políticas de seguridad según el número de visitas que reciben. Puede usar esta función para determinar qué políticas se están utilizando en el dispositivo y con qué frecuencia se usan. Dependiendo de las opciones de comando que elija, el número de aciertos se puede enumerar sin orden u ordenar en orden ascendente o descendente, y se pueden restringir al número de aciertos que caen por encima o por debajo de un recuento específico o dentro de un rango. Se muestran datos para todas las zonas asociadas a las directivas o zonas con nombre.
Comprobación del uso de memoria en dispositivos de la serie SRX
Puede aislar los problemas de memoria comparando los valores de memoria antes y después de las configuraciones de directivas.
La memoria para entidades de flujo, como directivas, zonas o direcciones en dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 y SRX5800 (según la versión de Junos OS de la instalación) se asigna dinámicamente. Sin embargo, ciertas prácticas pueden ayudar a supervisar el uso actual de memoria en el dispositivo y optimizar los parámetros para ajustar mejor el tamaño de la configuración del sistema, especialmente durante la implementación de directivas.
Para comprobar el uso de memoria:
Utilice el comando para comprobar el uso general de
show chassis routing-enginememoria del motor de enrutamiento (RE). El siguiente resultado de este comando muestra el uso de memoria en un 39 por ciento:user@host#
show chassis routing-engineRouting Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1024 MB Memory utilization 39 percent CPU utilization: User 0 percent Background 0 percent Kernel 2 percent Interrupt 0 percent Idle 97 percent Model RE-PPC-1200-A Start time 2011-07-09 19:19:49 PDT Uptime 37 days, 15 hours, 44 minutes, 13 seconds Last reboot reason 0x3:power cycle/failure watchdog Load averages: 1 minute 5 minute 15 minute 0.22 0.16 0.07Utilice el
show system processes extensivecomando para adquirir información sobre los procesos que se ejecutan en el motor de enrutamiento.Use la
find nsdopción delshow system processes extensivecomando para ver el uso directo en el demonio de seguridad de red (NSD) con su memoria total en uso como 10 megabytes y una utilización de CPU del 0 por ciento.user@host# show system processes extensive | find nsd 1182 root 1 96 0 10976K 5676K select 2:08 0.00% nsd 1191 root 4 4 0 8724K 3764K select 1:57 0.00% slbd 1169 root 1 96 0 8096K 3520K select 1:51 0.00% jsrpd 1200 root 1 4 0 0K 16K peer_s 1:10 0.00% peer proxy 1144 root 1 96 0 9616K 3528K select 1:08 0.00% lacpd 1138 root 1 96 0 6488K 2932K select 1:02 0.00% ppmd 1130 root 1 96 0 7204K 2208K select 1:02 0.00% craftd 1163 root 1 96 0 16928K 5188K select 0:58 0.00% cosd 1196 root 1 4 0 0K 16K peer_s 0:54 0.00% peer proxy 47 root 1 -16 0 0K 16K sdflus 0:54 0.00% softdepflush 1151 root 1 96 0 15516K 9580K select 0:53 0.00% appidd 900 root 1 96 0 5984K 2876K select 0:41 0.00% eventd
Compruebe el tamaño del archivo de configuración. Guarde el archivo de configuración con un nombre único antes de salir de la CLI. A continuación, escriba el
ls -1 filenamecomando desde el símbolo del shell en el shell de nivel UNIX para comprobar el tamaño del archivo como se muestra en la siguiente salida de ejemplo:user@host> start shell % ls -l config -rw-r--r-- 1 remote staff 12681 Feb 15 00:43 config
Ver también
Supervisar las estadísticas de la política de seguridad
Propósito
Supervise y registre el tráfico que Junos OS permite o deniega en función de las políticas configuradas previamente.
Acción
Para supervisar el tráfico, habilite las opciones de recuento y registro.
Contar—Configurable en una política individual. Si el recuento está habilitado, se recopilan estadísticas para las sesiones que entran en el dispositivo para una directiva determinada y para el número de paquetes y bytes que pasan a través del dispositivo en ambas direcciones para una directiva determinada. Para los recuentos (solo para paquetes y bytes), puede especificar que se generen alarmas siempre que el tráfico supere los umbrales especificados. Consulte recuento (Políticas de seguridad).
Registro—La capacidad de registro se puede habilitar con políticas de seguridad durante la etapa de inicialización de la sesión (inicio de sesión) o de cierre de sesión (cierre de sesión). Consulte el registro (Políticas de seguridad).
Para ver los registros de conexiones denegadas, habilite el inicio de sesión en sesión.
Para registrar sesiones después de su conclusión o desmontaje, habilite el inicio de sesión al cierre de sesión.
El registro de sesión se habilita en tiempo real en el código de flujo, lo que afecta el rendimiento del usuario. Si se habilitan tanto session-close como session-init, el rendimiento se degrada aún más en comparación con habilitar session-init solamente.
Para obtener más información sobre la información recopilada para los registros de sesión, consulte Información proporcionada en las entradas del registro de sesión para las puertas de enlace de servicios de la serie SRX.
Verificación de políticas paralelas
- Verificación de todas las políticas ocultas
- Verificar una política oculta una o más políticas
- Verificar que una política está ensombrecida por una o más políticas
Verificación de todas las políticas ocultas
Propósito
Compruebe todas las políticas que ocultan una o más políticas.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
En el caso de los sistemas lógicos, escriba el
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-namecomando.En el caso de las directivas globales, escriba el
show security shadow-policies logical-system lsys-name globalcomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b
Policies Shadowed policies
P1 P3
P1 P4
P2 P5
Significado
El resultado muestra la lista de todas las directivas que ocultan otras directivas. En este ejemplo, la política P1 sombra las políticas P3 y P4 y la política P2 sombra la política P5.
Verificar una política oculta una o más políticas
Propósito
Verifique si una política determinada oculta una o más políticas posicionadas después de ella.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
En el caso de los sistemas lógicos, escriba el
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-namecomando.En el caso de las directivas globales, escriba el
show security shadow-policies logical-system lsys-name global policy policy-namecomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P1
Policies Shadowed policies
P1 P3
P1 P4
Significado
El resultado muestra todas las políticas que están ensombrecidas por la directiva dada. En este ejemplo, la política P1 oculta las políticas P3 y P4.
Verificar que una política está ensombrecida por una o más políticas
Propósito
Verifique si una política determinada está ensombrecida por una o más posiciones antes de ella.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
En el caso de los sistemas lógicos, escriba el
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reversecomando.En el caso de las directivas globales, escriba el
show security shadow-policies logical-system lsys-name global policy policy-name reversecomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P4 reverse
Policies Shadowed policies
P1 P4
Significado
El resultado muestra la política dada sombreada por una o más políticas. En este ejemplo, la política P4 se ve ensombrecida por la política P1.
Solución de problemas de las políticas de seguridad
- Sincronización de políticas entre el motor de enrutamiento y el motor de reenvío de paquetes
- Comprobación de un error de confirmación de política de seguridad
- Comprobación de una confirmación de política de seguridad
- Depurar búsqueda de directivas
Sincronización de políticas entre el motor de enrutamiento y el motor de reenvío de paquetes
Problema
Descripción
Las políticas de seguridad se almacenan en el motor de enrutamiento y en el motor de reenvío de paquetes. Las políticas de seguridad se insertan desde el motor de enrutamiento al motor de reenvío de paquetes cuando se confirman las configuraciones. Si las políticas de seguridad del motor de enrutamiento no están sincronizadas con el motor de reenvío de paquetes, se produce un error en la confirmación de una configuración. Se pueden generar archivos de volcado de núcleo si se intenta la confirmación repetidamente. La falta de sincronización puede deberse a:
Un mensaje de política del motor de enrutamiento al motor de reenvío de paquetes se pierde en tránsito.
Un error con el motor de enrutamiento, como un UID de directiva reutilizado.
Ambiente
Las directivas del motor de enrutamiento y del motor de reenvío de paquetes deben estar sincronizadas para que se confirme la configuración. Sin embargo, en determinadas circunstancias, es posible que las directivas del motor de enrutamiento y del motor de reenvío de paquetes no estén sincronizadas, lo que provoca un error en la confirmación.
Síntomas
Cuando se modifican las configuraciones de directiva y las directivas no están sincronizadas, aparece el siguiente mensaje de error: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solución
Use el show security policies checksum comando para mostrar el valor de suma de comprobación de la directiva de seguridad y use el request security policies resync comando para sincronizar la configuración de las directivas de seguridad en el motor de enrutamiento y el motor de reenvío de paquetes, si las directivas de seguridad no están sincronizadas.
Ver también
Comprobación de un error de confirmación de política de seguridad
Problema
Descripción
La mayoría de los errores de configuración de directivas se producen durante una confirmación o un tiempo de ejecución.
Los errores de confirmación se notifican directamente en la CLI cuando se ejecuta el comando de la CLI commit-check en el modo de configuración. Estos errores son errores de configuración y no puede confirmar la configuración sin corregirlos.
Solución
Para corregir estos errores, haga lo siguiente:
Revise los datos de configuración.
Abra el archivo /var/log/nsd_chk_only. Este archivo se sobrescribe cada vez que se realiza una comprobación de confirmación y contiene información detallada sobre el error.
Comprobación de una confirmación de política de seguridad
Problema
Descripción
Al realizar una confirmación de configuración de directiva, si observa que el comportamiento del sistema es incorrecto, siga estos pasos para solucionar este problema:
Solución
Comandos de mostrar operativos: ejecute los comandos operativos para las políticas de seguridad y compruebe que la información que se muestra en el resultado es coherente con lo que esperaba. De lo contrario, la configuración debe cambiarse adecuadamente.
Traceoptions: defina el comando en la configuración de
traceoptionsla política. Los indicadores bajo esta jerarquía se pueden seleccionar según el análisis del usuario de la salida delshowcomando. Si no puede determinar qué indicador usar, la opciónallde indicador se puede usar para capturar todos los registros de seguimiento.user@host#
set security policies traceoptions <flag all>
También puede configurar un nombre de archivo opcional para capturar los registros.
user@host# set security policies traceoptions <filename>
Si especificó un nombre de archivo en las opciones de seguimiento, puede buscar el archivo de registro en /var/log/<filename> para determinar si se ha informado de algún error en el archivo. (Si no especificó un nombre de archivo, el nombre de archivo predeterminado es eventual). Los mensajes de error indican el lugar del error y la razón apropiada.
Después de configurar las opciones de seguimiento, debe volver a confirmar el cambio de configuración que provocó el comportamiento incorrecto del sistema.
Depurar búsqueda de directivas
Problema
Descripción
Si tiene la configuración correcta, pero parte del tráfico se ha interrumpido o permitido incorrectamente, puede habilitar el lookup indicador en las traceoptions de las políticas de seguridad. La lookup marca registra los seguimientos relacionados con la búsqueda en el archivo de seguimiento.
Solución
user@host# set security policies traceoptions <flag lookup>
Alta disponibilidad (HA) Sincronización de la caché de resolución de nombres de direcciones
El proceso de seguridad de red (NSD) se reinicia cuando se reinicia el sistema, se produce la conmutación por error de alta disponibilidad (HA) o si el proceso se bloquea. Durante este tiempo, si hay un gran número de direcciones de nombres de dominio configuradas en las políticas de seguridad, los firewalls de la serie SRX intentan enviar solicitudes al servidor DNS para obtener todas las direcciones IP resueltas. Se consume una gran cantidad de recursos del sistema cuando se intercambia un gran número de consultas y respuestas DNS. Por lo tanto, los firewalls de la serie SRX no pueden obtener una respuesta del servidor DNS y es posible que la dirección de un nombre de host en una entrada de libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se caiga ya que no se encuentra ninguna política de seguridad o coincidencia de sesión. La nueva mejora de los firewalls de la serie SRX resuelve este problema almacenando en caché los resultados de la consulta DNS en un archivo de caché DNS local y sincronizando periódicamente el archivo de caché DNS del nodo principal de alta disponibilidad al nodo de copia de seguridad de alta disponibilidad. Los archivos de caché DNS almacenan direcciones IP, nombre de dominio y valores TTL. Después de la conmutación por error de alta disponibilidad, el nodo de copia de seguridad anterior se convierte en nodo principal. Dado que todos los resultados de la caché de DNS están disponibles en el nuevo nodo principal, el procesamiento de la política de seguridad continúa y se permite el tráfico de paso a través según las reglas de la política.
A partir de Junos OS versión 19.3R1, la memoria caché DNS de directiva se sincroniza en un archivo de caché DNS local en el nodo activo de alta disponibilidad y se copia en el nodo de copia de seguridad de alta disponibilidad para suprimir las consultas o respuestas de DNS durante el reinicio de NSD.
Se realizan los siguientes pasos para que tenga lugar la sincronización:
La memoria caché DNS de directiva se sincroniza en un archivo de caché DNS de directiva local ubicado en la ruta /var/db/policy_dns_cache cada 30 segundos si el contenido de la memoria caché DNS de directiva ha cambiado durante este período.
El archivo de caché DNS local se sincroniza desde el nodo principal de alta disponibilidad al nodo de copia de seguridad de alta disponibilidad inmediatamente después de actualizar el archivo de caché DNS local en el paso 1.
La sincronización incluye el siguiente contenido:
Nombre de dominio
Lista de direcciones IPv4 y su TTL (tiempo de vida)
Lista de direcciones IPv6 y su TTL
Cuando NSD se reinicia, lee y analiza el archivo de caché DNS local e importa todas las entradas de caché en la memoria. La sincronización garantiza que las consultas DNS se supriman durante un reinicio NSD. NSD se reinicia en un nuevo nodo primario durante la conmutación por error de alta disponibilidad (HA), ya que las direcciones IP resueltas para los nombres de dominio ya existen en la memoria caché de DNS al leer las configuraciones de las políticas. Por lo tanto, se permite nuevo tráfico de paso a través según la política de seguridad después de la conmutación por error de alta disponibilidad porque todas las direcciones IP resueltas para nombres de dominio existen dentro de las políticas en el motor de enrutamiento y el motor de reenvío de paquetes del nuevo nodo principal.