[edit security nat source rule-set internet_nat]
root# show from zone admins;
to zone untrust;
rule NO_translate { match {
source-address 192.168.2.2/32;
destination-address 0.0.0.0/0;
} then {
source-nat { off;
} } }
rule admins_access { match {
source-address 192.168.2.0/24;
destination-address 0.0.0.0/0;
} then {
source-nat { interface;
}
さあ、NATの
3
つの項目を完了しました。これで、SRXは、第2
章 に示したネットワークトポロジーに従って、トラフィックを適切に分析 し、送信しています。初期設定を完了したら、
SRX
でサポートされているその他のサー ビスの設定を続行できます。こうしたサービスには、IPS、IPSec、UTM、高可用性、その他の高度なルーティング設定などがあります。
オンラインドキュメントには、各サービスの設定方法の詳細が記載さ れており、ドキュメントは
Junos
が新しくリリースされるたびに更新されます。http://www.juniper.net/techpubs/hardware/junos-srx/index.html
で検索してください。新しい
Day One
ブックレットも開発中で、 特にSRX
サービス・ゲートウェイプラットフォームに関するブックレットも発行予定です。
www.juniper.net/daysone
で、新しく追加されたものがないか、常にチェックしてください。
最後に、さらに詳細を知りたい場合は、
Oʼ Reilly
社発行の書籍『Junos Security』を入手してください。 www.juniper.net/books
で検索し てください。では、これまでに行ったことを、できる限り効率的に複数の
SRX
デ バイスに適用してみましょう。第 8 章
SRX の NSM へのインポート
SRXをNSMへ接続するための準備 . . . 80
SRXのNSMへのインポート . . . 81
複数の
SRX
デバイスおよびその他のジュニパーネットワークスのハー ドウェアを設置して管理する場合は、NSM(Network and SecurityManager)を使用すると、ネットワークをより一貫して見ることがで
き、設定やトラブルシューティングの作業が簡単になります。この章で は、SRXをNSM
にインポートする方法を学習します。NSMのイン ストールと設定、およびすでにインポート済みのデバイスは、本書の 範囲外です。ここでの目的は、SRXとNSM
を接続することによってNSM
をすぐに使い始めることと、NSM
経由で引き続き管理できるよ うにSRX
を適切にインポートすることです。SRX を NSM へ接続するための準備
SRX
をNSM
へ接続するための準備は、直接的なプロセスです。実 際に、本書の内容に厳密に従ってきたのであれば、必要な手順はほ ぼすべて完了しています。要約すると、次の項目を設定する必要があります。
管理者権限のあるユーザーアカウント IP
アドレス指定およびルーティングの到達可能性 SSH
アクセス Netconf
アクセス最初の
3
つのコンポーネントはすでに揃っているため、netconfサ ポートを設定する必要があります。ただし、レベニューポートを使用 してNSM
に接続する場合は、必要な作業が増え、ゾーンおよびホス トインバウンドトラフィックを事前に設定する必要があります。この章の作業は、SRX3400で行います。本書全体に共通すること ですが、ネットワークトポロジーの詳細については、図
2.2
を参照し てください。netconf
サポートを設定するには:まず、netconfサポートを有効にします。
[edit]
root#
set system services netconf ssh [edit]root# commit commit complete
第8章:SRXのNSMへのインポート 81
SRX の NSM へのインポート
次に、NSM(Network and Security Manager)サーバーにログイ ンして、SRXをインポートします。NSMはグラフィカルツールであ るため、
SRX
のインポートに必要な手順は、CLI
ではなく、スクリー ンキャプチャで示します。SRX
をNSM
にインポートするには:1. SRX3400
をインポートする権限のあるroot
または管理者として、NSM
サーバーにログインします。2. [Devices]
の下で、[+]
をクリックして新しいデバイスを追加します。3. [Device Is Reachable]
を選択して、IPアドレスと管理者アカウン トのフィールドに入力します。この例のIP
アドレスはfxp0
インタ フェースのものであり、管理者アカウントは、NSM
ではなくSRX
の ものです。4. [Next]
をクリックしてSSH
キーを受け入れます。第8章:SRXのNSMへのインポート 83
5. デバイスが自動検出されたら、[Next]
をクリックして、NSMをインポートすることを確認します。最初のインストール時にデバイスの ホスト名を設定しなかった場合は、デバイスをインポートする前に、
ここで指定できます。設定済みの場合は、[Device Name]にすでに 値が入力されています。
6. SRX
の設定をNSM
にインポートします。7.
デバイスが適切に接続され、NSM
と同期していることを確認します。第8章:SRXのNSMへのインポート 85
8. NSM
で、セキュリティポリシーなどのデバイス設定を点検します。ここから、管理機能の処理を続行します。
この時点から、NSM経由で
SRX
の管理を続行できます。デバイス 設定を先にインポートした場合を除き、J-WebまたはCLI
経由でSRX
に対して行われた変更は、次回の設定更新時にNSM
によって 上書きされます。第 9 章
トラブルシューティングツール
フロー処理について
. . . 88
ログとシステムステータスの確認 . . . .89
トレースオプションの有効化
. . . 91
災害に備えて非常用キットを準備するのと同様に、ネットワークにおい ても不具合の発生に備えてトラブルシューティングの方法を理解しておく ことが大切です。この章では、ネットワーク接続によくある問題を検出し て修正するための出発点となるヒントをいくつか示します。
SRX
ではさまざまなサービスが提供されていますが、本書で扱ってい るのは、その中のごく一部でしかありません。SRX
のすべてのサービ スおよびそのトラブルシューティングの方法について包括的なガイドを 執筆するとなると、何冊ものDay One
ブックレットと、より高度な文献 の開発が必要になるためです。さらに詳しくは
Oʼ Reilly Media
社から最近発行された『Junos Security』 には、ト ラブルシューティングに関するセクションやケーススタディのシナリオが 複数あり、本書の読者にも役立つ内容が掲載されています。詳細につ いては、www.juniper.net/booksを参照してください。フロー処理について
SRX
でサービスを追加設定していくにあたって、デバイス内でパケット がどのように処理されるかを正確に知っておく必要があります。パケット がインタフェースに入ってからデバイスを出て行くまでの間にSRX
で実 行される一連の手順を、フロー処理と言います。パケットの処理につい て把握しておくと、SRXで何が最初に処理されるかや、サービスの相 対的な順序を深く理解できます。また、この処理について知っておくと、障害の可能性がある箇所をより正確に把握でき、診断の効率を高めるこ とができます。
図
9.1
は、パケットがデバイス内に留まっている間に、フロー処理がど こで行われるかを示しています。図
9.1
フロー処理次に、図
9.2
で、フローサービスモジュール内で何が行われるかを確認し てください。スクリーニング、NAT、ALG、IPSecは、このモジュールで 実行されるサービスのほんの一部です。図9.1と図 9.2
については、『JunosSecurity Configuration Guide』(バージョン 10.1
用)で詳細に説明して いますので、次のURL
を参照してください (https://www.juniper.net/techpubs/software/junos-srx/junos-srx10.1/index.html)。
キュー入力 出力
ポリサー 入力 キュー フィルタ
ルックアップルートの サービスフロー モジュール
フィルタ出力 シェーパ
第9章:トラブルシューティングツール 89
図
9.2
フローサービスモジュールSRX
での作業経験を積み、より高度なサービスの機能が分かってく ると、この情報を知っておくことがいかに重要かに気付くことでしょう。そのため、もし時間が許せば、数分間でも、前述したガイドでパケッ トの処理方法に関する詳細な説明を読んでください。SRXデバイス の管理の達人になりたいのであれば、時間を使う価値は十分にあり ます。
また、ブランチ
SRX
デバイスには、設定を選択してフローサービス モジュールを迂回する機能があることも重要です。フローベースの処 理に対して、これはパケットベースの処理と呼ばれます。これらのプラッ トフォームは柔軟性が非常に高いため、SRXを使用したパケット処理を完全に理解するのは、少し難しくなっています。
ログとシステムステータスの確認
ロギングについては、第
5
章で設定しました。この後、このツールの 柔軟性を再度説明することになりますので、いったん第5
章に戻って 復習してみるのもよいでしょう。ファイルへのロギングは、show log [log_file]コマンドを使用して行 うことができます。
スクリーニング
スクリーニング セッション
に合致? TCP
ポリシー
ゾーン NAT
NAT サービス
ALG
サービス ALG
セッション
高速パス フローモジュール パケット単位のフィルタ パケット単位のポリサーおよびシェーパ はい
最初のパス ルートの
ルックアップ
この章全体で示しているように、多様なイベントをロギングできます が、ユーザーが作成したわけではない、デフォルトで存在するログ ファイルもあることに気付くでしょう。そのようなログファイルの
1
つがmessages
で、カーネルおよびサービスのメッセージをロギングするために使用します。
SSH
経由で接続を試みて失敗に終わった管理者のパスワードを探す には、次の組み合わせのコマンドを使用してみてください。> show log messages | match ssh | match “Failed password” | trim 38
このコ マンドで は、messagesログファイル 内 を 調 べて、「
Failed
password」となった試行が記録されている sshd
イベントのマッチングが行われます。タイムスタンプに関心がない場合には、「trim
38」を指定することで、最初の 38
文字を出力から省略できます。ログ処理には、monitor startコマンドという、もう
1
つの優れたオプ ションがあります。これにより、ログファイルをリアルタイムで監視で き、イベントが発生するとすぐにコンソールに表示されます。失敗し たssh
試行をリアルタイムで探す場合の例を以下に示します。監視開始ツールを使用するには:
1. ログファイルの監視を開始します(検索を絞り込む場合は match
ステートメントを適用)。
barnys@SRX3400> monitor start messages | match “ssh” | match “Failed password”
2.
必要に応じて、Esc+Q
を押してコンソールへの出力表示を有効ま たは無効にします。barnys@SRX3400>
*** monitor and syslog output enabled, press ESC-Q to disable ***
*** messages ***
Jun 27 00:19:54 SRX3400 sshd[64008]:Failed password for john from 10.188.133.42 port 50021 ssh2
barnys@SRX3400>
*** monitor and syslog output disabled, press ESC-Q to enable ***