ポリシーを作成します。カスタムトラフィックに関しては、前に設定し
た
MYSERVICES
カスタムサービスセットを使用できます。[edit security policies from-zone admins to-zone admins]
root# set policy intra_zone_traffic match source-address any destination-address any application MYSERVICES
3.
次に、入力パケットで前の条件が合致した場合に何をするか(THEN
節)を設定します。ここでの要件はトラフィックを許可することですが、ロギングとカウンティングも有効にすることができます。
[edit security policies from-zone admins to-zone admins]
root# set policy intra_zone_traffic then permit [edit security policies from-zone admins to-zone admins]
root# set policy intra_zone_traffic then log session-init [edit security policies from-zone admins to-zone admins]
root# set policy intra_zone_traffic then log session-close [edit security policies from-zone admins to-zone admins]
root# set policy intra_zone_traffic then count
これで、2番目のポリシーの要件が達成されました。3番目の要件に 関しては、設定は不要です。ファイアウォールでトラフィックのコンテ キスト(送信元ゾーン
untrust、宛先ゾーン trust)が特定されると、
デフォルトのポリシーである
deny-all
が有効になるからです。セキュリティポリシーの検証
セキュリティポリシーを検証するには複数の方法があります。その
1
つは目視検査で、入力ミスや意図しないパラメータが設定に含まれて いないことをダブルチェックする際に有効です。第6章:基本的なセキュリティポリシーの作成 63
実践:セキュリティポリシーの確認
showコマンドを使用して、設定されているポリシーを確認します。細心の注意を払って出力を 確認してください。detailオプションを使用すると、ポリシーの統計が表示されるため、便利 です。
> show configuration security policies
> show security policies ?
> show security policies to-zone untrust
> show security policies detail
セキュリティポリシーが想定どおりに動作していることを確認するもう
1
つの方法は、データトラフィックをテストすることです。実稼動ネット ワークでは、SRXで作成されたセッションテーブルを調べて、具体的 な情報を確認することもできます。「admins」ゾーンにある
PC
にログインして複数のトラフィックセッショ ンを開始した後で、showコマンドを使用して、セッションテーブルに 何が保存されているかを調べます。[edit security policies]
root# run show security flow session
Session ID:100001782, Policy name: admins_to_untrust/4, Timeout:1796 In:192.168.2.2/4777 --> 216.52.233.201/443;tcp, If: ge-0/0/0.0 Out:216.52.233.201/443 --> 192.168.2.2/4777;tcp, If: ge-0/0/2.0 Session ID:100001790, Policy name: admins_to_untrust/4, Timeout:1800 In:192.168.2.2/4781 --> 209.239.112.126/80;tcp, If: ge-0/0/0.0 Out:209.239.112.126/80 --> 192.168.2.2/4781;tcp, If: ge-0/0/2.0 Session ID:100001846, Policy name: admins_to_untrust/4, Timeout:1404 In:192.168.2.2/4788 --> 66.235.120.98/80;tcp, If: ge-0/0/0.0 Out:66.235.120.98/80 --> 192.168.2.2/4788;tcp, If: ge-0/0/2.0 Session ID:100002381, Policy name: admins_to_untrust/4, Timeout:6 In:192.168.2.2/47621 --> 24.47.122.98/43519;udp, If: ge-0/0/0.0 Out:24.47.122.98/43519 --> 192.168.2.2/47621;udp, If: ge-0/0/2.0
<snip>
ポリシーの条件に合致し、かつ
permit
のアクションが指定されてい るパケットが見つかるたびに、このテーブルに新しいエントリーが生 成されます。このエントリーにより、送信元/
宛先IP、ポート、プロ
トコル、タイムアウト値、使用したインタフェース、トラフィックに合 致したポリシー、その他を確認できます。エントリーは3
行ごとにグルー プ分けされており、セッション(フロー)の双方向の情報を表してい ます。トラフィックが通過すると、SRXでは双方向のエントリーがメモ リに作成され、応答トラフィックが戻ることができるようになります(こ れが、ステートフル動作の意味するものです)。ハイエンド
SRX
を使用している実稼動ネットワークでは、数百万も のセッションを追跡する必要があるため、このコマンドを発行すると、表示される情報が多すぎる場合があります。検索を絞り込むために、
さまざまなパラメータを使用して、特定の
IP
またはポートを宛先とし ているトラフィックや、特定のインタフェースから入ってくるトラフィッ クを検索することができます。Junos
バージョン10.1では、次のオプショ
ンが提供されています。root# run show security flow session ? Possible completions:
<[Enter]> Execute this command
application Show session for specified application or application set destination-port Show each session that uses specified destination port destination-prefix Show each session that matches destination prefix idp Show IDP sessions
interface Show each session that uses specified interface protocol Show each session that uses specified IP protocol resource-manager Show resource-manager sessions
session-identifier Show session with specified session identifier source-port Show each session that uses specified source port source-prefix Show each session that matches source prefix summary Show summary of sessions
tunnel Show tunnel sessions | Pipe through a command
セキュリティイベントのロギング
第
5
章では、SRXではシステムイベント、およびセキュリティイベン トに関してsyslog
メッセージを生成できることに言及しました。セキュ リティイベントは、ロギングが有効になっているポリシーにトラフィッ クが合致した場合に生成されます。この章の前半で設定したポリシーでは、session-initと
session-closeに関してロギングが有効になっています。これにより、セッショ
ンが作成およびクローズされたときにイベントが生成されます。ほと んどの場合は、session-closeに関してロギングするだけで十分であ り、syslogトラフィックの量は大幅に削減されます。ただし、セキュ リティポリシーの設定にこれらを追加で入力しただけでは、ロギング を行うには十分ではありません。
ハードウェアのアーキテクチャにより、ブランチ
SRX
プラットフォー ムとデータセンター向けのハイエンドSRX
デバイスでは、ロギング の動作は異なります。どちらのデバイスプラットフォームにもデータプ レーンとコントロールプレーンがありますが、ハイエンドセキュリティ デバイスでは、この分割はハードウェアレベルで行われています。コ ントロールプレーンのリソースは限られており、ハイエンドセキュリティ デバイスでは非常に多くのエントリーが生成される可能性があるため、ハイエンドプラットフォームでセキュリティロギングを設定する際は、
第6章:基本的なセキュリティポリシーの作成 65
十分な考慮が必要です。ハイエンド
SRX
では大量のロギングを処理 できるため、コントロールプレーン経由(fxp0インタフェースから)でセキュリティロギングを試行すると、ルーティングエンジンをすぐに 圧迫する可能性があります。
セキュリティイベントのロギングにおけるこの重要な問題を克服するた めに、管理者はレベニューポートをロギング専用ポートにすることがで きます。そうすると、セキュリティイベントのロギングがコントロールプ レーンではなくSRXのデータプレーンから送信されます。これは、専 用のハードウェアコントロールプレーンがないブランチ
SRX
デバイス の動作と似ています。次の
3
つの手法を使用した設定方法を学習すれば、ロギングの方法に かかわらず、セキュリティポリシーで設定されたロギングパラメータは 変更されません。
レベニューポート経由のロギング(ブランチおよびハイエンドに 該当)
コントロールプレーン経由のロギング(SRXハイエンドに該当) NSM
サーバーへのロギング(ブランチおよびハイエンドに該当)レベニューポート(データプレーン)経由のロギングを設定するには:
1. ロギングモードと形式を設定します。通常使用される形式は、
syslog(標準)とsd-syslog(構造化)です。
[edit]
root# set security log mode stream [edit]
root# set security log format sd-syslog
2.
メッセージの送信元とsyslog
サーバーを設定します。サーバーには 名前が必要ですが、これはローカルで意味を持つため、ファイアウォー ルの設定をトラブルシューティングまたは監査するときに識別しやす い、意味のある名前を使用することをお奨めします。[edit]
root# set security log source-address 192.168.2.1 [edit]
root# set security log stream SYSLOG_SERVER host 192.168.2.2
注 デフォルト(UDPポート
514)を使用しない場合は、宛先ポートなど、
その他のオプションを設定できます。また、ホスト
192.168.2.2
にはsyslog
サービスがないものの、ここでは例を示す目的で設定しています。コントロールプレーン経由(fxp0から)のロギングを設定するには:
1.
ロギング形式を設定します。使用可能なオプションは、syslog(標準)とsd-syslog(構造化)です。
[edit]
root# set security log format sd-syslog
2.
メッセージの送信元とsyslogサーバーを設定します。ここでも、サー バーには名前が必要ですが、これはローカルで意味を持つため、ファ イアウォールの設定をトラブルシューティングまたは監査するときに識 別しやすい、意味のある名前を使用することをお奨めします。[edit]
root# set security log source-address 10.189.140.99 [edit]
root# set security log stream SYSLOG_SERVER host 10.189.132.70