Junos ダイナミックサービスシリーズ ® Day One:SRXシリーズ サービス・ゲート ウェイの導入 著者:バーニー・サンチェス 第1章:SRXのさまざまな管理方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 第2章:オペレーションモードとコンフィグレーションモード . . . . . .13 第3章:リモートアクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 第4章:管理者の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 第5章:ネットワークとシステム管理の設定 . . . . . . . . . . . . . . . . . . . 43 第6章:基本的なセキュリティポリシーの作成 . . . . . . . . . . . . . . . . . 53 第7章:ソースNATの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69 第8章:SRXのNSMへのインポート. . . . . . . . . . . . . . . . . . . . . . . . . . 79 第9章:トラブルシューティングツール . . . . . . . . . . . . . . . . . . . . . . . . 87 付録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 ii © 2011 by Juniper Networks, Inc. All rights reserved. Juniper Networks、Juniper Networks のロゴ、Junos、 NetScreen、および ScreenOS は、Juniper Networks, Inc.(以下、ジュニパーネットワークス)の米国およびそ の他の国における登録商標です。Junos は、ジュニパー ネットワークスの商標です。その他の商標、サービスマー ク、登録商標、登録サービスマークは、それぞれの所有 者に帰属します。 ジュニパーネットワークスは、本書に誤りが含まれている ことがあっても責任を負いません。ジュニパーネットワー クスは予告なく本書を変更、修正、転載、別の形態に 改訂する権利を留保します。ジュニパーネットワークス が製造、販売する製品、あるいはその部品は、ジュニ パーネットワークスが保有する、あるいはライセンスを 受けた以下の米国特許のうち 1 件または複数により保護 されている場合があります。米国特許第 5,473,599 号、 第 5,905,725 号、第 5,909,440 号、第 6,192,051 号、 第 6,333,650 号、第 6,359,479 号、第 6,406,312 号、 第 6,429,706 号、第 6,459,579 号、第 6,493,347 号、 第 6,538,518 号、第 6,538,899 号、第 6,552,918 号、 第 6,567,902 号、第 6,578,186 号、第 6,590,785 号。 発行者:Juniper Networks Books 著者:バーニー・サンチェス 主編集者:パトリック・エイムズ 原稿整理・校正編集者:ナンシー・ケルベル Junos プログラムマネージャ:キャシー・ガデッキ ISBN:978-1-936779-10-9(書籍版) 印刷:Vervante Corporation(米国) ISBN:978-1-936779-11-6(電子書籍版) 改訂:第 3 版、2011 年 1 月 3 4 5 6 7 8 9 10 #7100126 著者の紹介 バーニー・サンチェス(JNCIE FW/VPN #1、JNCISSSL、JNCIS-ER、JNCIS-M、JNCIS-SEC、JNCIAIDP、JNCIA-AC、JNCIA-EX、JNCIA-WX、JNCIADX、JCNA、JNCI)は、ウェストウッド大学で情報シス テムセキュリティの学士号を取得しており、コスタリカ工 科大学で電子工学の高等教育を修了しています。現在 は、カペラ大学で情報保証およびセキュリティの修士過 程に在籍中です。同時に、ジュニパーネットワークスの コンサルティングエンジニアであり、セキュリティ関連の 製品およびソリューションを専門としています。それ以前 は、シニアインストラクタとして、ジュニパーネットワー クスのほとんどの製品の指導に 2 年以上従事した後、 ジュ ニパーネットワークスの戦略パートナーをサポートする シニアシステムエンジニアとして働いていました。ジュニ パーネットワークスに入社する前は、Intel 社や Cisco Systems 社のさまざまなテクニカルサポート組織で管 理職に就いており、数年間に渡って世界中で顧客のマル チベンダーネットワークの設計および実装に携わってい た経験もあります。 著者の謝辞 この場をお借りして、本書を書き進める上で相談に乗っ ていただいたパトリック・エイムズ氏とキャシー・ガデッ キ氏、さらに、センシル・ニシヤナンザン氏、ライアン・ デイヴィス氏、ブラッド・ウッドバーグ氏に感謝の意を 表します。 本書は、 各種形式にて www.juniper.net/dayone か ら入手できます。 ご提案、ご意見、ご批評は、dayone@juniper.net ま で電子メールでお送りください。 Twitter(@Day1Junos) で Day One シリーズをフォロー してください。 iii 本書を読む前に知っておくべきこと 本書を読む前に、Junos オペレーティングシステムの基本を理解して おく必要があります。特に、設定の変更や、コマンドライン階層内の 操作ができる必要があります。他の Day One ブックレットや無料のオ ンライントレーニングを参照して、この背景知識を得ることもできます。 本書を読み進める上で役に立つ知識には、他に次のようなものがあ ります。 TCP/IP の理解 ステートレスファイアウォール技術とステートフルファイアウォー ル技術の違いを知っていること Junos オペレーティングシステムを実行しているデバイスにおけ るインタフェースの命名について熟知していること 本書を読み終えるために必須というわけではないが、SRX デバ イスにアクセスできると、ここで説明するさまざまなシナリオの 設定練習に役立ち、ネットワークに SRX デバイスを短時間で実 装できる SRX SRX シリーズ サービス・ゲートウェイの名前が示すとおり、このセキュ リティデバイスには、ネットワークのさまざまな用途向けに設計され たいくつかのプラットフォームがあり、 「小規模な」 ブランチ SRX シリー ズ サービス・ゲートウェイと、 「大規模な」データセンター SRX シリー ズ サービス・ゲートウェイがあります。 本書では、簡潔に表現するために、汎用的な用語である SRX を使 用しています。 注 SRX の機能には、プラットフォームごとに設定が異なるものがありま す。本書では、その点についても説明します。 iv iv Day One:SRXシリーズ サービス・ゲートウェイの導入 本書の学習目標 SRX シリーズ サービス・ゲートウェイのさまざまな管理方法につ いて理解する SRX デバイスに初めてコンソール接続して、初期起動プロセス について理解する オペレーションモードとコンフィグレーションモードを確認する インタフェース、セキュリティゾーン、セキュリティポリシーを確 認する 基本的な IP 接続とパラメータを設定し、SSH、telnet、JWEB、 NSM などによるリモートアクセスを可能にする ルーティングを設定する SRX デバイスのファームウェアをアップグレードする フル管理権限や読み取り専用など、さまざまなレベルのローカル 管理者を設定する 多数の管理者をよりよくサポートできるように、外部管理者認証 を設定する NTP、SNMP、Syslog ロギングなど、追加のネットワークおよ びシステム管理のリソースを設定する 基本のセキュリティポリシーを作成して、正規のユーザーデータ トラフィックを許可し、不要なトラフィックをブロックする 送信インタフェース IP を唯一の送信元アドレスとして使用して、 ソース NAT を設定する IP アドレスのプールを使用して、ソース NAT を設定する SRX デバイスを NSM にインポートして、基本のルーチンを実 行する 初期設定を完了する際のよくある誤りを回避する コマンドと技術を使用して、適切に動作していることを確認し、 障害を検出する SRX の詳細について ジュニパーネットワークステクニカルライブラリに、2010 年 8 月に発 行された最新の書籍『Junos Security』 があります。この SRX に特 化した書籍には、800 ページ以上に渡って、専門家の指示や説明が 詰め込まれています。詳細については、www.juniper.net/books を 参照してください。 第1章 SRXのさまざまな管理方法 コンソール経由の接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 CLI経由の接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 J-Web経由の接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Network and Security Manager経由の接続 . . . . . . . . .8 SRXデバイスへの初回コンソール接続 . . . . . . . . . . . . . . . . 9 6 Day One:SRXシリーズ サービス・ゲートウェイの導入 SRX は、複数の方法で接続できるため、設定や管理の作業を行う上 で、非常に柔軟性の高いセキュリティプラットフォームです。Junos® デバイスであるため、SRX は、コンソールポート、CLI(コマンドラ インインタフェース)、Web インタフェース(J-Web)、NSM(Network and Security Manager)経由で管理できます。また、スクリプト可 能なツールによるインタフェースなど、さらに高度なメカニズムも使 用できます。これらの接続方法には、まず初期設定が必要なものもあ ります。また、すべての設定および管理方法をすべてのインタフェー ス経由で利用できるわけではないため、それぞれの方法で何が可能 かを理解し、現在の環境にとって何がベストかを判断することが重要 です。 本書では、Junos CLI(コマンドラインインタフェース)を使用した設 定と管理を中心に説明しますが、一部の作業は、J-Web インタフェー ス経由または Network and Security Manager で示されています。 この多様なアプローチが、SRX の管理に役立つでしょう。 コンソール経由の接続 最小規模から最大規模まで、どの SRX モデルにも、適切に識別され ている RJ45 コンソール接続があります。そのため、コンソール経由 で接続するときに必要なのは、コンピュータから直接、またはコンソー ルサーバー経由のロールオーバーシリアル接続のみです。 この接続方法の管理インタフェースは、CLI になります。SRX での事 前設定は必要ありません。 コンソール経由で接続するには、SRX と同梱されているコンソール ケーブル、シリアルポート(または USB- シリアルアダプタ)を備え たコンピュータが必要です。また、接続されているコンピュータで端 末エミュレーションアプリケーションを実行している必要があります。 CLI 経由の接続 この方法は、コンソール以外のポート経由の接続です。実際のインタ フェースは、この場合も CLI ですが、別のポートを使用するため、前述 の方法とは異なります。また、この方法には事前の設定が必要で、最も 重要なことは、IP アドレスとサブネットマスクが必須であることです。 第1章:SRXのさまざまな管理方法 使用できるのはどのポートでしょうか。それは実際には管理上の要件 次第ですが、基本的には、どのポートでも、またはすべてのポートで も、管理接続を受け入れるように設定できます。IP 接続を扱っている ため、標準のイーサネットパッチケーブルを使用して直接接続できる ほか、設定されている IP アドレスに到達できさえすれば、数千キロ 離れた場所からでも接続できます。 通常は、コンソール経由で初期設定を行った後、ほとんどの管理者は、 必要なパラメータを設定して、SSH や telnet などのプロトコル経由 でデバイスにリモートアクセスできるようにします。CLI 経由でのリモー トアクセス管理を可能にするには複数の手順があります。これらにつ いては、本書の後続の章で説明します。 コンソール経由で接続する場合と管理インタフェースが同じであるた め、やはり制限のない強力なデバイス管理機能が得られます。さらに メリットもあり、最も重要なのは、複数の同時管理接続を、同じポー ト経由で受け入れ可能なことです。 注 SRX1400、SRX3400/3600 および SRX5600/5800 に は、 コ ンソールとは別の、専用の管理ポートもあります。このポートは管理 目的専用であるため、管理専用ネットワークがある場合は、これらの ポートを使用することをお奨めします。fxp0 としても知られるこれら のインタフェースは、SRX のコントロールプレーンにあり、ユーザー データトラフィックには使用できません(このことにより、データプレー ンの障害が発生した場合でも、管理専用チャネルがオープンであるこ とを保証できます)。 J-Web 経由の接続 J-Web は、強力な Web ベースのインタフェースであり、Web ブラ ウザ上のグラフィカルインタフェース経由で SRX を管理できます。こ の機能は、すべての SRX プラットフォームで使用できます。 J-Web 経由で接続する場合の要件は、CLI 経由で接続する場合と同 様です。IP アドレスとサブネットマスクの設定、この特定の管理サー ビスをオンにすることなど、初期設定をいくつか行う必要があります。 いずれかのインタフェースで設定されている IP アドレスに到達でき、 対応するサービスがオンになっていれば、何キロ離れた場所からで あっても、グラフィカルインタフェースを起動できます。これについて も、詳細は後のページで説明します。 7 8 Day One:SRXシリーズ サービス・ゲートウェイの導入 J-Web には、トレースオプション(デバッグ)を有効にすることに関 してはいくつか制限がありますが、非常に素晴らしいグラフィックを特 長としており、システム全体の状態をすぐに確認できます。CLI とそ の強力な構文を熟知すれば、インタフェースを切り替えて、SRX のさ まざまな機能の設定方法を探求できます。 ヒント 他のベンダーのデバイスをグラフィカルインタフェース経由で管理する ことに慣れている管理者には、J-Web を使用する接続方法が好まれ ることがあります。 Network and Security Manager 経由の接続 Network and Security Manager(NSM)は、SRX ファイアウォー ル対応のジュニパーネットワークスの管理プラットフォームです。通常 は NSM と呼ばれるこの管理システムは、SRX デバイスだけにとどま らず、ルーター、スイッチ、セキュアアクセスデバイス(SA)、侵入 検知防御アプライアンス(IDP)、その他を含む、ジュニパーネットワー クスのほとんどのポートフォリオを管理できます。 数 十 台、 数 百 台 の SRX デ バイスの 導 入を計 画している場 合 は、 NSM を検討する必要があります。これを使用すると、プロビジョニン グ作業が簡単になり、ほんの数回クリックするだけで、ネットワーク 全体に変更を適用できるため、ネットワーク管理の悪夢とみなされか ねない作業を簡単に終わらせることができます。 NSM のインストールおよび操作の説明には、それだけで Day One ブックレット 1 冊、それどころか Day One シリーズ丸々すべてを要し ますので、ジュニパーネットワークスでは、NSM について必要なこと を学習できるドキュメントとテクニカルトレーニングをほかに用意して います。本書では、代わりに、ネットワークに NSM がすでに存在す る場合に SRX デバイスを NSM にインポートする方法を示しており、 そこから作業を続けることができます。 まず、IP アドレスと管理サービスを SRX に設定し、NSM がファイア ウォールを管理できるようにする必要があります。この IP に NSM サー バーから到達できるようにすれば、このツールのみを使用してファイ アウォールをインポートおよび管理できます。 第1章:SRXのさまざまな管理方法 制限については、NSM はデバッグなどの作業には適していません。 ただしその反面、イベントをログに記録したり、ネットワークを最適 な状態に維持したりするには良いソリューションです。制限事項は少々 あるものの、NSM の能力とそのすべての機能がそれを補って余りあ ることは、疑問の余地がありません。 さらに詳しくは NSM には、これまでの段落で説明してきた以上の能力があります。 詳細について学習したい場合は、まずジュニパーネットワークスの Web サイト www.juniper.net/jp/jp/products-services/networkmanagement/ で製品の仕様を確認してください。トレーニング情報に つ い て は、www.juniper.net/us/en/training/technical_education/ を参照してください。 SRX デバイスへの初回コンソール接続 ここまでで、コンソール経由の接続は避けられないことがおわかりか もしれません。コンソール以外のポートを使用するその他の接続方法 を使用するには、その選択したポートが管理サービスに応答するよう に、追加の設定が必要になるためです。 このことは、SRX ハイエンドプラットフォーム(SRX3400/3600 お よび SRX5600/5800)にも当てはまります。これらのプラットフォー ムには、そのまま使用できる標準インタフェースがなく、また、これ らがモジュラーデバイスだとすると、管理者は、少なくとも 1 回はコン ソール経由で接続して初期設定をコミットし、何らかの形式のリモー トアクセスを有効にする必要があります。 た だし、SRX ブランチ ポ ートフォリオデ バ イス(SRX100、210、 220、240、550 および 650)では、管理者がコンソール以外の方 法ですぐに接続することができるよう、工場出荷時にデフォルト設定 されています。 注 このアクセスを可能にする工場出荷時のデフォルト設定についてさま ざまな側面から理解するには、もう少し学習を進める必要があります が、現時点では、コンソール接続の説明に集中することにしましょう。 コンソール経由で接続するには、SRX デバイスに付属のコンソール ケーブル、シリアルポート(または USB- シリアルアダプタ)を備え たコンピュータが必要です。また、コンピュータで端末エミュレーショ ンアプリケーションを実行している必要があります。 9 10 Day One:SRXシリーズ サービス・ゲートウェイの導入 SRX デバイスに初めてコンソール接続するには: 1. SRX と同梱されているコンソールケーブルをコンピュータに接続 し、もう一端を SRX のポートに接続します。 2. 端末エミュレーションプログラム(Windows の Hyper Terminal など)を開きます。 3. アプリケーションで、ポート設定(シリアル接続を識別するCOM ポー ト)を、次の情報を使用して設定します。 bps:9600 データビット:8 パリティ:None ストップビット:1 フロー制御:None 4. [Open] または [Connect](アプリケーションによって異なります) をクリックします。 ヒント Apple ユーザーの方でも問題ありません。デバイスのコンソールへ の接続は、同じくらい簡単です。USB- シリアルアダプタを接続して から、デバイスの名前($ ls /dev/)を確認し、それがわかったら、 端末ウィンドウを開いて「$ screen /dev/[ デバイス名 ] 9600」と 入力します。 接続後、画面に何かが表示されます。接続時の起動プロセスの段階 によっては、多くの情報が表示される場合があります。表示されるメッ セージは正常な起動プロセスの一部であり、起動関連の問題をトラブ ルシューティングする場合や、パスワード回復などの処理を行う場合 に必要になります。 新品の場合や、工場で復元されたデバイスの場合は、次のようなロ グインプロンプトが表示されます(Amnesiac という単語は、デバ イスに設定が何も定義されていないことを示す際にジュニパーネット ワークスが使用しているものです)。 Amnesiac (ttyu0) login: 第1章:SRXのさまざまな管理方法 SRX で何らかの設定がすでにコミットされている場合(その場合は おそらく新品デバイスではない)は、プロンプトが異なります。コミッ トされた設定にバナーがあるかどうかなどによって、多くのプロンプト が考えられますが、重要なのは、Amnesiac という単語が表示されな いことです。一例は次のとおりです。 srx210-1 (ttyu0) login: ここまで来て待ちきれなくなったら、先に進んでください。root とい うログイン名を使用して、パスワードに Enter キーを押すと、SRX にログインできます。次のようなプロンプトが表示されます。 --- JUNOS 10.1R1.8 built 2010-07-12 18:31:54 UTC root@% root というユーザー名で、パスワードなしでログインできない場合は、 デバイスの設定が、工場出荷時の設定とは異なっていることになりま す。root アカウント、または super-user 権限がある別のアカウント のパスワードを知らない場合は、パスワードをリセットする必要があ ります。パスワードの回復手順については、次の URL を参照してく ださい(http://kb.juniper.net/KB12167)。 よくできました。コーヒーや他のお気に入りの飲み物でも飲みながら、 さらに掘り下げて理解を深める準備をしてください。次の章では、コ マンドラインインタフェースと、工場出荷時のデフォルト設定の主なコ ンポーネントを確認します。 11 12 Day One:SRXシリーズ サービス・ゲートウェイの導入 第2章 オペレーションモードと コンフィグレーションモード インタフェースとセキュリティゾーン. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 工場出荷時のデフォルト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ネットワークトポロジーの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 14 Day One:SRXシリーズ サービス・ゲートウェイの導入 Junos の一般的な操作については、多数の Day One ブックレットや その他のオンライン、印刷物の資料で説明されているため、なぜここ でも繰り返すのか、不思議に思う方もいるかもしれません。 セキュリティディバイスで Junos を実行するとセキュリティを除外する 接続(厳密に否定しない限り)から、セキュリティを含む接続(厳密 に認可しない限り)へと視点が変わります。この大きな変化は、SRX シリーズでの Junos の接続性へのアプローチ方法が多岐に渡ってい ることを意味します。Junos では、接続性ではなく、セキュリティを 第一の目的として決定が下されます。 例えば、EX シリーズまたは MX シリーズはインタフェース IP アドレ スとシステムサービスを設定すれば他のデバイスへ直ちに接続できま すが、SRX シリーズには追加の設定手順が必要です。 そのため、この章では、皆さんがすでにご存知のオペレーションモー ドやコンフィグレーションモードの詳細ではなく、M/MX/T ルーター や EX スイッチと比較して SRX が異なっている面について説明します (J シリーズのルーターについては、9.x 初期バージョンから、SRX と同じ Junos 機能の実装を開始しています)。 注 Junos のオペレーションモードとコンフィグレーションモードの知識を 補強する必要がある場合は、Junos ソフトウェア基本シリーズの Day One ブックレット(www.juniper.net/dayone)を参照してくださ い。また、ジュニパーネットワークステクニカルライブラリ(http:// www.juniper.net/books)も参照してください。 インタフェースとセキュリティゾーン SRX シリーズのゲートウェイ(さらに言えば J シリーズのルーター) では、複数のセキュリティゾーンで構成されるネストの概念を使用し ます。ゾーンの存在を暗示することは、Junos のセキュリティアーキ テクチャにとって重要です。 インタフェースで IP アドレスを設定した後に管理者が最初に気付くこ とは、ping さえもできないということです。これは、SRX がロックダ ウンされたデバイスであり、事前に何らかの設定を行わなければトラ フィックの送受信が一切できないからです。 インタフェースでトラフィックの送受信を許可するには、より多くのパ ラメータを設定する必要があります。IP アドレス設定に加えて、イン タフェースをセキュリティゾーンに関連付ける必要があり、さらにルー ティングインスタンスとの関連付けによって、そのセキュリティゾーン をバインドする必要があります。この関係を、図 2.1 に示します。 第2章:オペレーションモードとコンフィグレーションモード 図 2.1 インタフェース、ゾーン、ルーティングインスタンス 図 2.1 では、特定のインタフェースを送信先とするトラフィックに次の 3 つのタイプがあることがわかります。 管理(またはシステムサービス)。ping や SSH など。 プロトコル関連。OSPF や DHCP など(または単にプロトコル と言う)。 ユーザーデータトラフィック。クライアントからサーバーへの通 信に対応するパケットなど。 デバイスを管理する目的で、トラフィックが特定のインタフェースに送 信されている場合は、ここでホストインバウンドトラフィックが関与し てきます。ホストインバウンドトラフィックは、2 つの異なるレベルで 設定できます。ゾーンレベルで設定すると、そのゾーンにバインドさ れているすべてのインタフェースに影響しますが、インタフェースレベ ルで設定すると、その特定のインタフェースのみに影響します。ホス トインバウンドトラフィックがインタフェースとゾーンの両方のレベル 15 16 Day One:SRXシリーズ サービス・ゲートウェイの導入 で設定された場合は、インタフェースの設定が優先されます。つまり、 サービスは追加されません。 注 おわかりのように、これは少し注意が必要です。別の例を試してみま しょう。ping システムサービスをゾーンレベルで設定し、そのゾーン に所属するインタフェースを ping しようとすると、適切に応答します。 その後、同じインタフェースで、インタフェースレベルでシステムサー ビスを設定することによって telnet を有効にすると、ping は応答を 停止します。これは、インタフェースの設定が優先されるからです。 これを修正して、再度応答が得られるようにするには、インタフェース レベルで ping システムサービスを有効にする必要があります。 ホストインバウンドトラフィック設定は、アウトバウンドトラフィックに はまったく影響しません。 ここで、インタフェースレベルについて注意するべき重要点が 2 つあ ります。 まず、システムサービスのホストインバウンドトラフィックを設 定するだけでは、インタフェース経由でデバイスを管理するに は十分ではありません。インタフェースではこれらのタイプの トラフィックを受け入れることができるものの、telnet、SSH、 FTP、J-Web アクセ ス な ど、 一 部 の サ ー ビ ス で は、[edit system services] の下の対応するサービスも有効にする必要が あります。 2 番目に、ホストインバウンドトラフィック設定は、fxp0 インタ フェースには影響しないため、これらのインタフェース用に設定 することはできません。第 1 章で説明したように、fxp0 インタ フェースは管理目的専用であるため、IP アドレスを設定し、[edit system services] の下でサービスをオンにすれば、リモートで 接続することができます。 ヒント fxp0 インタフェースにポリシーを適用する場合に、一定のサブネット のみに接続を許可するなどの処理を行う必要がある場合は、SRX の フィルタの使用方法を調べてください。これについては、この後すぐ に機能を説明するので、覚えておいてください。 図 2.1 をさらに詳しく見ると、ポリシーが存在することがわかります。 図によると、あるゾーンから別のあるゾーンに送信されるトラフィッ ク(送信元と送信先のゾーンが同じ場合も同様)が通過を許可され るには、セキュリティポリシーが必要です(ポリシーはゾーンレベ ルでは設定されません)。セキュリティポリシーが存在しないと、ト ラフィックにブラックホール(ドロップ)が発生します。まさにこの 動作により、SRX は本質的に非常にセキュリティが高くなっており、 第2章:オペレーションモードとコンフィグレーションモード 一方で他の Junos デバイスとは少し異なっています。 ゾーンからゾー ンへの送信が許可されるトラフィックを決めるのは、ユーザー自身 なのです。 ゾーンからゾーンへ移動するトラフィックは、これがユーザーデータま たは通過トラフィック(一時的トラフィックと呼ばれることも多い)であ ることを意味することに注意してください。管理トラフィックは、ファイ アウォールを通過するのではなく、実際にはファイアウォールを終着点 としているため、セキュリティポリシーによる設定は必要ありません。 最後に、図 2.1 の外側のレイヤーであるルーターが、ルーティングテー ブルインスタンスを参照します。デフォルトでは、事前に定義済みの ゾーンや新しく作成されたゾーンは、特に指定しない限り、ルーティ ングインスタンス inet.0(IPv4 ルーティングテーブル)にバインドさ れています。言い換えると、任意のインタフェースで IP アドレスを設 定し、それを任意のゾーンにバインドすると、ホストルーティングエン トリーテーブルが inet.0 に作成されるということです。 では、これらすべてのパラメータは、どこで設定するのでしょうか。こ の点に関しては、Junos は非常に明確です。 インタフェースは、[edit interfaces] 階層の下で設定します。 ゾーンおよび ホストインバウンドトラフィック設 定 は、[edit security zones] 階層の下で設定します。 ポリシーは、[edit security policies] システムサービスは、[edit します。 階層の下で設定します。 system services] 階層の下で設定 工場出荷時のデフォルト設定 ここまでで、ゾーンやインタフェースの背景が少しわかったので、 SRX の工場出荷時のデフォルト設定をより良く理解できるはずです。 まず、 ブランチデバイス(SRX650 以下)と、ハイエンドユニット(SRX 1400 以上)では、設定が異なります。これは、製品ラインは通常、 さまざまなシナリオに合わせて配置、設定されるためですが、この基 準を認めた上で、ジュニパーネットワークスのエンジニアは初回のイ ンストールを可能な限りシンプルにすることを求めました。 17 18 Day One:SRXシリーズ サービス・ゲートウェイの導入 例として、SRX210 デバイスは主に、中規模から大規模の組織の支 社に採用されており、接続タイプは比較的小さい帯域幅を提供する ISP からのイーサネットのハンドオフが典型的で、CPE は DHCP で す。一方で、SRX3400 クラスターは主にデータセンターの中央(コ ア)側に配備され、帯域幅が大きく、グローバル IP アドレスの割当 を受けて運用されます。 よって、一般的に、SRX の工場出荷時のデフォルト設定には次のよ うな特徴があります。 インタフェース ge-0/0/0 における Bootp サービス。場所:[edit interfaces ge-0/0/0]/。 インタフェース ge-0/0/1 から ge-0/0/7 における、ネットワーク 192.168.1.0/24 からのアドレス割り当てを使用した DHCP サー バーサービス。場所:[edit system services dhcp]。 ge-0/0/1 から ge-0/0/7 のインタフェースの切り替え。場所:[edit interfaces interface-range interfaces-trust]。 セキュリティゾーン trust および untrust。場所:[edit zones]。 security NAT とポートアドレス変換を使用したアウトバウンドインター ネットアクセスで、trust ゾーンから untrust ゾーンへのトラフィッ クを許可。場所:[edit security nat]。 untrust ゾーンを送信元とするトラフィックに対する一般的な保 護。場所:[edit security zones security-zone untrust]。 システム管理サービスが有効。場所:[edit system services]。 重大なイベント、および設定を変更しようとした管理者が入力 したコマンドによって生成されたエラーのログ。場所:[edit system syslog]。 ユーザー環境を一般化し、小規模なデバイスの物理特性を考えること で、デフォルト設定がより予測しやすくなります。また、多くの場合、 基本的な通信サービスという観点から、工場出荷時のデフォルト設定 はユーザーのニーズに近いものであるはずです。しかし、まだ読み進 めてください。SRX は、ほぼすべての機能において、「基本」をはる かに超えるものです。 第2章:オペレーションモードとコンフィグレーションモード 逆に、SRX3400 では、セキュリティ要件が増えており、モジュール 性があるために、実用性の高い工場出荷時のデフォルト設定が提案 しにくいのです。そのため、本書を読んでいる管理者の方は、ハイエ ンドプラットフォームの設定がわずか数行しかないことに気づかれる でしょう。 さらに詳しくは 付録には、Junos 10.1R1.8 を実行している SRX210 および SRX3400 の工場出荷時の設定全体の例が含まれています。 実践:工場出荷時のデフォルト設定の確認 このセクションと前のセクションで説明した、さまざまな設定ブロックを表示します(次のコマ ンドを変更して、「| display set」、「| no-more」を使用します)。 > > > > show show show show configuration configuration security configuration system services configuration interfaces インタフェースと IP アドレス割り当てのステータスを表示します。 > show interface terse 設定されているゾーンを表示します。 > show security zones details ソース NAT のサマリーを表示します。 > show security nat source summary ネットワークトポロジーの概要 本書の残りの部分では、説明を図で見る必要がある場合は、図 2.2 に示すネットワークトポロジーを参照してください。 本書のテストベッドはエンタープライズネットワークのもので、SRX210 が 支 社 のリソースを保 護 するファイアウォー ル の 役 割を果 たし、 SRX3400 が本社にあるヘッドエンドデバイスの役割を果たしていま す。現実のネットワークでは、このようなブランチデバイスが数千∼数 万台も同じ方法で接続されている例は珍しくありません。 わかりやすくするために、デバイス間に、セキュリティ保護されたプ ライベートネットワークがあると仮定します(PRIVATE)。支店のデ バイスがインターネットに直接アクセスする場合もあるため、常にこ のようになるとは限りません。また、IPSec トンネルまたはその他の メカニズムを設定してネットワーク全体のビジネス通信のセキュリティ を保護することもできます。 19 20 Day One:SRXシリーズ サービス・ゲートウェイの導入 また、図 2.2 で、ヘッドエンドデバイス経由で支社がインターネット にアクセスする方法を確認してください。 領域の区切り(trust、untrust、admins)には特に注意してください。 これは前述したゾーンの概念を示しています。また、NSM サーバー や RADIUS サーバーの場合は、fxp0 インタフェース経由で接続され ているため、ゾーンの割り当てがないことに注目してください。 図 2.2 本書のネットワークトポロジー 管理の視点から見ると、必ずしもすべてのサービスが常に fxp0 イン タフェースに直接接続されているわけではありません。また、このネッ トワーク例のように、中間ホップを使用してさらに大規模な管理ネット ワークに接続しており、そこでは多数のデバイスが管理および監視の 作業で重要な役割を果たしています。10.189.x.y/27 のサブネットは いずれも、より大きいネットワークである 10.188.0.0/14 に所属して います。これによってルーティングの設定が簡単になる場合があるた め、この点は重要です。 本書を通して、このネットワークトポロジーに基づく、より実質的で具 体的なシナリオおよび設定手順を掘り下げます。実際の機器で試して みてください。では、作業を開始して、 リモートアクセスを確立しましょう。 第3章 リモートアクセスの有効化 システムサービスの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 インタフェースとゾーンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 基本ルーティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 22 Day One:SRXシリーズ サービス・ゲートウェイの導入 この章では、まずインタフェースとゾーンを設定してシステムサービス を有効にし、これまでに説明した概念を実践していきます。これから 使用する例をよく理解するために、図 2.2 に示したネットワークトポロ ジーを参照してください。SRX3400 の工場出荷時のデフォルト設定 がシンプルであるため、作業が多くなります。したがって、このセクショ ンのコードはほとんどが、このプラットフォームに由来するものです。 SRX ハイエンドプラットフォームの場合、管理者には、fxp0 インタ フェースを管理目的専用に使用できるという追加のオプションがありま す。fxp0 インタフェースはコントロールプレーンに存在し、ユーザー データトラフィックの処理には使用できないため、これらをゾーンセ キュリティに割り当てる必要はありません。ただし、管理者がレベニュー ポートを管理作業に使用することを選択した場合は、ここで説明する すべての原則が管理作業用のインタフェースにも等しく適用されます。 Junos のほとんどの設定については、指定された順序はありませんが、 これ以降の例では、多数のデバイスでテストされたベストプラクティ スを、推奨アプローチとして使用します。 システムサービスの設定 最初のベストプラクティスは、デバイスでの作業に入る前に立ち止まっ て何を達成したいのかをじっくりと考えることです(これは、どのコン ソール接続方法にも当てはまります)。それを踏まえた上で、システ ムサービスを設定するには、次の処理を完了する必要があります。 SSH、telnet、FTP、ping の各サービスを有効にする。 設定セッションの最後に、前述したいずれかの方法を使用して、 デバイスを管理する。 注 本書全体に渡って強調しているように、反復はすべての学習の母です。 システムサービスを有効にするだけでは、設定されたサービスを使用 して SRX を管理するのに十分とは言えません。それに加えて、fxp0 の場合を除き、IP アドレスを設定後すぐに、そのインタフェース経由 でデバイスを管理できます。 システムサービスを設定するには: 1. コンソール経由で接続します。 2. root でログインしてコンフィグレーションモードに切り替えます。 login:root 第3章:リモートアクセスの有効化 --- JUNOS 10.1R1.8 built 2010-02-12 17:24:20 UTC root@% cli root> edit Entering configuration mode [edit] root# 3. システムサービスを設定します。 [edit] root# set system services ftp [edit] root# set system services ssh [edit] root# set system services telnet [edit] root# 4. 変更をコミットします。 root# commit [edit] ‘system’ Missing mandatory statement:‘root-authentication’ error: commit failed:(missing statements) 設定のない新しいデバイスや、工場出荷時のデフォルト設定になって いるデバイスの場合は、コミットしようとしたときにエラーメッセージ が表示されます。これは、Junos で、root ユーザーアカウントとパ スワードまたは何らかの認証が必要であることを示すメッセージです。 このエラーは、プレーンテキストのパスワードを指定することで簡単 に解決できます。 5. root 認証を設定してコミットします。 root# set system root-authentication plain-text-password New password: Retype new password: [edit] root# commit commit complete 心 配 は 無 用で す。 入 力 するパスワードはクリアテキストで す が、 Junos によって直ちに暗号化されるため、誰かが肩越しに見ていたと しても、設定が危険にさらされることはありません。 注 ところで、ping サービスを忘れていたわけではありません。fxp0 用 にはデフォルトでオンになりますが、その他すべてのインタフェース に関しては明示的な設定が必要です。これについては、次のセクショ ンで対応します。また、ping はシステムサービスの下では有効化で きません。 23 24 Day One:SRXシリーズ サービス・ゲートウェイの導入 ヒント 本書に従ってこれらの例を実際のデバイスで試す場合は、次のセクショ ンを確認する間、コンソール接続を開いたままにすることをお奨めし ます。 インタフェースとゾーンの設定 システムサービスが有効になった今、リモートで接続してみたい衝動 にかられているかもしれませんが、まだそれはできません。すべての インタフェースで IP アドレスを設定する必要があるからです。 リモートで接続するには何が必要かを確認しましょう。 図 2.2 に従って、SRX3400 で IP アドレスとサブネットマスク を設定します。 admins、untrust のセキュリティゾーンを作成します。 インタフェースを対応するゾーンに割り当てます。 SRX3400 のすべてのインタフェースで telnet、FTP、SSH、 ping をオンにします。 始める前に、これらの設定手順を、第 2 章で説明した概念と比較して みましょう。この設定手順は、IP アドレスからインタフェースへ、イン タフェースからゾーンへ、ゾーンからルーティングインスタンスへとい うように、各パラメータがネストされる順序と同じになっています。こ こでは、カスタムルーティングインスタンスは設定しないため、デフォ ルトの inet.0(IPv4 ルーティングテーブルに対応)を想定しています。 そのため、どこでホストインバウンドトラフィックを設定するのかを見 つけることが課題となります(回答は次のとおり)。 インタフェースを設定するには: 1. root としてコンソールに接続したまま、コンフィグレーションモード に切り替えます。 root> edit Entering configuration mode [edit] root# 2. まず、最も単純な fxp0 を設定します。 [edit] root# set interfaces fxp0 unit 0 family inet address 10.189.140.99/27 [edit] root# 第3章:リモートアクセスの有効化 3. ge-0/0/0、ge-0/0/1、ge-0/0/2 の各インタフェースを、同じ 方法を使用して設定します。 [edit] root# set interfaces ge-0/0/0 unit 0 family inet address 192.168.2.1/24 [edit] root# set interfaces ge-0/0/1 unit 0 family inet address 198.18.100.4/24 [edit] root# set interfaces ge-0/0/2 unit 0 family inet address 66.129.250.1/24 4. 変更をコミットします。 root# commit and-quit commit complete Exiting configuration mode 5. すべて想定どおりに動作していることを確認します。 root> show interfaces terse | match “fxp0.0|ge-0/0/0.0|ge-0/0/1.0|ge-0/0/2.0” ge-0/0/0.0 up up inet 192.168.2.1/24 ge-0/0/1.0 up up inet 198.18.100.4/24 ge-0/0/2.0 up up inet 66.129.250.1/24 fxp0.0 up up inet 10.189.140.99/27 出力から、インタフェースの Admin と Link の両方が動作しているこ とが確認できます。 ゾーンを設定するには: 1. root としてコンソールに接続したまま、コンフィグレーションモード に切り替えます。 root> edit Entering configuration mode [edit] root# 2. untrust と admins のセキュリティゾーンを設定します。 [edit] root# set security zones security-zone untrust [edit] root# set security zones security-zone admins インタフェースをゾーンにバインドするには: 図 2.1 を参照し、同じコマンドセットを使用して、各インタフェースを 対応するゾーンにバインドします。 [edit] root# set security zones security-zone admins interfaces ge-0/0/0.0 [edit] 25 26 Day One:SRXシリーズ サービス・ゲートウェイの導入 root# set security zones security-zone untrust interfaces ge-0/0/1.0 [edit] root# set security zones security-zone untrust interfaces ge-0/0/2.0 ベストプラクティス ゾーンを設定する際は必ず、ネットワーク内の他のデバイスの観点か らではなく、設定しているファイアウォールの観点から行ってくださ い。例えば、この例では、trust ゾーンを設定する必要はありません。 SRX3400 を設定する管理者の視点では、関係がなく、不明である可 能性もあるからです。また、ge-0/0/1 と ge-0/0/2 は、いずれも同 じセキュリティゾーンに所属しています。各インタフェースをどのゾーン にバインドするかについては、事実上制限はありませんが、1 つのイン タフェースを複数のゾーンに同時にバインドすることはできません。 インタフェースで SSH、telnet、FTP、ping を有効にするには: SSH、telnet、FTP、ping はすべて、管理目的で使用されるホスト インバウンドトラフィックのシステムサービスです。同じコマンドセッ トを使用して、必要なサービスを有効にします。 [edit] root# set [edit] root# set [edit] root# set [edit] root# set [edit] root# set [edit] root# set [edit] root# set [edit] root# set security zones security-zone untrust host-inbound-traffic ssh security zones security-zone untrust host-inbound-traffic telnet security zones security-zone untrust host-inbound-traffic ftp security zones security-zone untrust host-inbound-traffic ping security zones security-zone admins host-inbound-traffic ssh security zones security-zone admins host-inbound-traffic telnet security zones security-zone admins host-inbound-traffic ftp security zones security-zone admins host-inbound-traffic ping コミットするのを忘れないでください。 root# commit and-quit [edit security] ‘idp’ Failed to fetch the sec-db version commit complete Exiting configuration mode 第3章:リモートアクセスの有効化 設定のコミット時にエラーメッセージが表示されますが、この時点で ルーティングがまだ設定されておらず、ライセンスもデバイスに適用 されていないためです。これらが設定されるとすぐに、このメッセー ジは非表示になります(SRX にライセンスを適用する方法の説明お よび例については、付録を参照)。この時点でライセンスへのアクセ ス権がない場合や、IDP サービスを設定する必要がない場合は、メッ セージを無視するか、[edit security idp] 階層を削除して再度コミッ トできます。 ベストプラクティス 本書は現実のセキュリティと比較すると、幾分乖離する内容になって おり、telnet と FTP は本来、データがまったく保護されない、安全 ではないプロトコルであることに注意してください。そのため、実際 のデバイスでこれらのサービスをオンにする前に、そのサービスが必 要かどうかを分析してください。どうしても設定する必要がある場合 は、内部側で設定し、パブリックネットワークに接続しているインタ フェースでは決して設定しないでください。これについては、今後の 指導のためにベストプラクティスを蓄積しているところです。 基本ルーティングの設定 練習用ネットワークトポロジー(図 2.2)内の SRX3400 の観点から は、次のようなルーティングニーズがあります。 プライベートネットワークを使用した支社間の通信は、数ある方法の うちの 1 つで行います。本書の目的に従い、送信元送信先の両方の デバイスに NAT を実装しましょう。198.18.100.0/24 ネットワークは 直接接続されているため、このネットワーク内のデバイスに到達する には、追加のルーティング設定は必要ありません。 admins ゾーンは、直接接続されているネットワークセグメントです。 このセグメント内のデバイスと通信するためのルーティング要件は実 際にはありません。 インター ネットま た は untrust ゾ ーン へ の 通 信 は、IP アドレ ス 66.129.250.254/24 のルーター経由で行われます。そのため、この デバイス経由ですべての不明なネットワークに到達するには、デフォ ルトのルートが必要です。 管理専用ネットワーク内のデバイスと通信するには、IP アドレス 10.189.140.97 のルーターにパケットを送信するためのルーティング が必要です。 このような環境を設定するには複数の方法がありますが、ここではシ ンプルな例を説明しましょう。スタティックルーティングを使用して、 インターネットへのアクセスと、管理ネットワークへのアクセスを設定 します。 27 28 Day One:SRXシリーズ サービス・ゲートウェイの導入 インターネットへのアクセスを設定するには: 1. root としてコンソールに接続したまま、コンフィグレーションモード に切り替えます。 root> edit Entering configuration mode [edit] root# 2. ネクストホップとしてインターネットルーターをポイントするデフォル トのスタティックルートを設定します。 [edit] root# set routing-options static route 0/0 next-hop 66.129.250.254 [edit] 3. 10.188.0.0/14 管理ネットワークに到達できるように、デフォルトの スタティックルートを設定します。 [edit] root# set routing-options static route 10.188.0.0/14 next-hop 10.189.140.97 [edit] 4. コミットして、これらのルートがアクティブで、すべてが正常である ことを確認します。 [edit] root# commit and-quit commit complete Exiting configuration mode root> show route inet.0:10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 10.188.0.0/14 10.189.140.96/27 10.189.140.99/32 66.129.250.0/24 66.129.250.1/32 192.168.2.0/24 192.168.2.1/32 *[Static/5] 00:00:25 > to 66.129.250.254 via ge-0/0/2.0 *[Static/5] 2d 00:01:08 > to 10.189.140.97 via fxp0.0 *[Direct/0] 2d 00:01:08 > via fxp0.0 *[Local/0] 2d 00:01:08 Local via fxp0.0 *[Direct/0] 6d 15:32:16 > via ge-0/0/2.0 *[Local/0] 6d 15:32:16 Local via ge-0/0/2.0 *[Direct/0] 6d 15:32:16 > via ge-0/0/0.0 *[Local/0] 6d 15:32:16 第3章:リモートアクセスの有効化 198.18.100.0/24 198.18.100.4/32 Local via ge-0/0/0.0 *[Direct/0] 6d 15:32:16 > via ge-0/0/1.0 *[Local/0] 6d 15:32:16 Local via ge-0/0/1.0 この出力には、注目すべき点がいくつかあります。直接接続している 別々のセグメントにある他のホストに到達するために、ネットワークお よびホストのエントリーが Junos で自動的に生成されているのがわか ります。さらに、すべてのアクティブなルートを示すアスタリスクが挿 入されています。使用しているデバイスにアスタリスクが挿入されて いない場合は、ケーブルが適切に接続されていることを再度確認して ください。 この時点では、直接接続されているデバイス経由でのみ、インタフェー スを ping できます(telnet、SSH、FTP の場合も同様)。そのため、 admins ゾーンにある PC から IP アドレス 192.168.2.1 への ping は 機能しますが、同じ PC から IP アドレス 66.129.250.1 のインターネッ トに接続しているインタフェースへの ping は機能しません。なぜでしょ うか。ゾーンを超えられないのは、ルーティングの問題ではなく、セキュ リティポリシーがないからです。セキュリティポリシーについては本書 の第 6 章で説明しますので、先を急がないでください。その前に、さ まざまな管理者の設定など、管理上のその他の基本的な側面につい て考えることにしましょう。 接続は完了したので、最後に 1 つ説明してから、この章を終わりにし ます。 SRX との間でファイルを転送する際、FTP を使用すると簡単です が、このプロトコルは本来安全なものではありません。ユーザー名と パスワードだけでなく、データも、クリアテキストで送信されるから です。すでに SSH が有効になっているため、SCP(Secure Copy Protocol)をファイル転送に使用できます。Unix、Linux、MacOS のどのシステムにも、この処理用にネイティブの SCP アプリケーショ ンが搭載されています。Windows を使用している場合は、WinSCP (http://winscp.net/eng/download.php)のようなオープンソー スアプリケーションをダウンロードできます。 例えば、アップグレード目的で、Junos の新しいインストールパッケー ジを Linux 端末から SRX にコピーする場合は、次のようになります。 [barnys@server1 junos]$ scp junos-srx3000-10.1R1.8-domestic.tgz root@10.189 .140.99:~ The authenticity of host ‘10.189.140.99 (10.189.140.99)’ can’t be established. RSA key fingerprint is 4c:21:ea:6a:fd:f5:b4:88:a4:61:ad:d5:fe:81:10:46. Are you sure you want to continue connecting (yes/no)?yes Warning:Permanently added ‘10.189.140.99’ (RSA) to the list of known hosts. root@10.189.140.99’s password: junos-srx3000-10.1R1.8-domestic.tgz 100% 172MB 2.7MB/s 01:03 [barnys@server1 junos]$ 29 30 Day One:SRXシリーズ サービス・ゲートウェイの導入 ファイルがコピーされたことは、Junos CLI を使用して確認できます。 root> file list /cf/root/: .cshrc .history .login .profile .ssh/ junos-srx3000-10.1R1.8-domestic.tgz* root> 第4章 管理者の設定 ユーザーとクラスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 さまざまなローカル管理者の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 RADIUSサポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 32 Day One:SRXシリーズ サービス・ゲートウェイの導入 ここまでで実装した設定を使用して SRX に接続できるのは、root 管 理者のみです。これでは、特に複数のユーザーが SRX に接続する必 要がある場合に問題があります。複数のユーザーが root アカウント を共有すると、いくつか問題が発生します。実際にログインして変更 を行ったのが誰なのかを把握することができません(変更によってネッ トワークが中断しなければよいのですが)。この 1 つのアカウントには 無制限の権限があり、root アカウントでできないことは事実上ありま せん(不注意で設定を削除または変更してしまうなど、どの管理者に も多くの頭痛の種を作ってしまう可能性があります)。また、トラブル シューティングや監視も問題となります。 この章では、さまざまな権限を持つローカルおよびリモートの管理者 アカウントを設定します。ローカルアカウントは、設定元のデバイス のみに存在します。ほんの数人のみが SRX に接続する場合は、これ が理想的です。NOC(Network Operations Center)や大企業の ように、数十人、またはそれ以上の管理者がこれらのデバイスに接続 する場合は、RADIUS や TACACS+ によって提供される集中型の認 証メカニズムを利用したほうがよいでしょう。 Junos の柔軟性を説明するために、3 つのローカルアカウントを次の 権限で設定します。 barnys(super-user) halle(read-only) max(operator) 4 番目のアカウント、carrie には、インタフェースの設定のみを変更 できるようにし、より複雑な要件を設定します。 同じ要件を、RADIUS を使用して設定できます。本書では、RADIUS の理論や操作について詳しくは説明しません。提示されている要件 の設定方法を説明するだけです。ただし、本書の例で使用したサー バーを設定しているときのスクリーンショットを付録に掲載していま す。RADIUS を Active Directory と統 合 する必 要 のある管 理 者 に 役立つ場合があります。これは、ジュニパーネットワークスの SBR (Steel Belted Radius)製品を使用した、簡単な作業です。この製 品の詳細については、次のリンクを参照してください(http://www. juniper.net/us/en/products-services/software/ipc/sbr-series/ enterprise/) 。 注 その他に TACACS+ を使用するオプションもありますが、本書では 説明しません。TACACS+ しか使用できない場合は、www.juniper. net/techpubs/ にある SRX 技術ドキュメントを参照してください。 第4章:管理者の設定 ユーザーとクラスについて Junos には事前に定義された 4 つのユーザーアカウント、operator、 read-only、super-user、unauthorized があり、これらは名前やそ の他の変更ができません。クラスとは、認可または拒否されるコマン ドおよび設定オプションを定義するパーミッションのコンテナです。 おそらく、最も理解しやすいユーザーアカウントは super-user でしょ う。デフォルトでは、root ユーザーはこのクラスに所属し、それによっ てこのアカウントには無制限のアクセス権が付与されています。 その他のクラスでは、もっと制限された一連のパーミッションが定義 されます。事前設定のクラスだけでは必要な要件が満たされない場 合は、カスタムクラスを設定して、そのクラスに所属するユーザーに、 認可されるコマンドやパーミッションを組み合わせて指定できます。 このカスタム設定こそが、この後、ユーザー carrie に行う設定です。 1 人のユーザーは、1 つのクラスのみに所属できます。このことが制 限事項と思われる場合は、Junos ではクラスを必要な数だけ設定で きることを考えてみてください。設定可能なユーザーやクラスの数に は制限がないため、集中型のソリューションに依存している場合は、 Junos によりさらに高い柔軟性が得られます。 さまざまなローカル管理者の設定 さまざまなローカル管理者を設定するために必要な手順は次のとおり です。 ローカルアカウント max、halle、barnys を設定して、それぞ れをローカルクラスの operator、read-only、super-user に 割り当てます。 インタフェースを変更するための制限付きアクセス権を持つロー カルクラス、consultant を作成します。 ローカルアカウント carrie を設定して、consultant クラスに割 り当てます。 テストして、想定どおりに動作していることを確認します。 ローカルアカウントを設定するには: 1. max、halle、barnys というユーザーを設定して、それぞれを対 応する事前定義クラスに割り当てます。 33 34 Day One:SRXシリーズ サービス・ゲートウェイの導入 [edit] root# set system login user max class operator authentication plain-text-password New password: Retype new password: [edit] root# set system login user halle class read-only authentication plain-text-password New password: Retype new password: [edit] root# set system login user barnys class super-user authentication plain-textpassword New password: Retype new password: 2. インタフェースを設定することだけが可能な、制限付きアクセス権 を持つローカルクラス、consultant を作成します。 [edit] root# set system login class consultant allow-configuration interfaces [edit] root# set system login class consultant permissions configure 3. ユーザー carrie を設定して、consultant クラスに割り当てます。 [edit] barnys# set system login user carrie class consultant authentication plain-textpassword New password: Retype new password: 設定をコミットします。 [edit] barnys# commit commit complete 確認 ここで、アカウントが想定どおりに動作していることを確認する時間を 取ってください。各クラスに何の役割を期待するのかを理解すること は、ネットワークの多くの管理問題を軽減するために重要です。ここ では、max、halle、carrie のみを確認します。アカウント barnys は、 これまでに使用した root アカウントとまったく同じであるため省略し ます。 4. ユーザーアカウント max をテストします。 [barnys@server1 ~]$ ssh max@10.189.140.99 max@10.189.140.99’s password: --- JUNOS 10.1R1.8 built 2010-02-12 17:24:20 UTC max> configure ^ unknown command. 第4章:管理者の設定 max> show configuration ## Last commit:2010-04-11 04:13:21 UTC by barnys version /* ACCESS-DENIED */; system { /* ACCESS-DENIED */ }; interfaces { /* ACCESS-DENIED */ }; routing-options { /* ACCESS-DENIED */ }; security { /* ACCESS-DENIED */ }; max> clear interfaces statistics all max> traceroute 10.189.132.70 traceroute to 10.189.132.70 (10.189.132.70), 1 10.189.140.97 (10.189.140.97) 1.011 ms 2 10.189.132.97 (10.189.132.97) 0.684 ms 3 10.189.132.70 (10.189.132.70) 1.650 ms 30 hops max, 40 0.718 ms 0.654 0.220 ms 0.207 0.361 ms 0.355 byte packets ms ms ms max> ping 10.189.140.97 count 2 PING 10.189.140.97 (10.189.140.97):56 data bytes 64 bytes from 10.189.140.97: icmp_seq=0 ttl=64 time=0.873 ms 64 bytes from 10.189.140.97: icmp_seq=1 ttl=64 time=0.878 ms --- 10.189.140.97 ping statistics --2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.873/0.875/0.878/0.003 ms operator クラス に 割り当てられ た ユ ー ザ ー max は、 コンフィグ レーションモードへの切り替えができないため、設定の変更や読み 取りができません。ただし、インタフェースの統計をクリアしたり、 traceroute、ping、診断コマンドを実行することはできます。これは、 このクラスの想定どおりの動作です。 5. ユーザーアカウント halle をテストします。 [barnys@server1 ~]$ ssh halle@10.189.140.99 halle@10.189.140.99’s password: --- JUNOS 10.1R1.8 built 2010-02-12 17:24:20 UTC halle> configure ^ unknown command. halle> clear ^ unknown command. halle> ping ^ unknown command. halle> show configuration ## Last commit:2010-04-11 04:13:21 UTC by barnys version /* ACCESS-DENIED */; 35 36 Day One:SRXシリーズ サービス・ゲートウェイの導入 system { /* ACCESS-DENIED */ }; interfaces { /* ACCESS-DENIED */ }; routing-options { /* ACCESS-DENIED */ }; security { /* ACCESS-DENIED */ }; halle> show system uptime Current time:2010-04-11 04:34:02 UTC System booted:2010-03-29 14:30:13 UTC (1w5d 14:03 ago) Protocols started:2010-03-29 14:31:16 UTC (1w5d 14:02 ago) Last configured:2010-04-11 04:13:21 UTC (00:20:41 ago) by barnys 4:34AM up 12 days, 14:04, 2 users, load averages:0.00, 0.00, 0.00 halle> show interfaces fxp0 Physical interface: fxp0, Enabled, Physical link is Up <snip> アカウント halle の権限は、オペレーションモードの show コマンド に制限されています。インタフェースをクリアしたり、アプリケーショ ンを実行することはできません。read-only クラスは、デバイスの運 用ステータスの監視を担当する管理者に適しています。 6. ユーザーアカウント carrie をテストします。 [barnys@server1 ~]$ ssh carrie@10.189.140.99 carrie@10.189.140.99’s password: --- JUNOS 10.1R1.8 built 2010-02-12 17:24:20 UTC carrie> show ^ unknown command. carrie> edit Entering configuration mode Users currently editing the configuration: barnys terminal p0 (pid 20718) on since 2010-04-11 04:10:24 UTC, idle 00:30:32 [edit] [edit] carrie# show ## Last changed:2010-04-11 05:02:53 UTC interfaces { ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 198.18.100.4/24; } 第4章:管理者の設定 } } ge-0/0/2 { unit 0 { family inet address } } } fxp0 { unit 0 { family inet address } } } { 66.129.250.1/24; { 10.189.140.99/27; } [edit] carrie# edit interfaces fxp0 [edit interfaces fxp0] carrie# set description “Connects to 10.188.0.0/14 for management only” [edit interfaces fxp0] carrie# commit and-quit commit complete Exiting configuration mode 想定どおり、ユーザー carrie の権限は、インタフェース設定の表示お よび変更に制限されています。 ヒント すべてのユーザーにそれぞれ一意なアカウントが設定されたため、各 管理者が接続時に何が入力されたかを正確に確認できます。これは、 全員が同じ root アカウントを共有していた場合にはできなかったこと です。工場出荷時のデフォルト設定により、インタラクティブコマンド のログが有効になっています。このログは、show log interactivecommands コマンドで表示できます。これは、非常に強力な監査ツー ルです。 RADIUS サポートの設定 RADIUS の機能を示し、設定済みのローカルアカウントとの混同を避 けるために、barnys、max、halle、carrie の各ユーザーを削除します。 [barnys@server1 ~]$ ssh root@10.189.140.99 root@10.189.140.99’s password: 37 38 Day One:SRXシリーズ サービス・ゲートウェイの導入 [barnys@server1 ~]$ ssh root@10.189.140.99 root@10.189.140.99’s password: --- JUNOS 10.1R1.8 built 2010-02-12 17:24:20 UTC root@% cli root> configure Entering configuration mode [edit] root# delete system login user barnys [edit] root# delete system login user max [edit] root# delete system login user halle [edit] root# delete system login user carrie [edit] root# commit commit complete ここで、ユーザークラス consultant は、RADIUS 認証用に必要なた め、そのまま残しています。 RADIUS の認証および認可コンポーネントにはさまざまな設定方法 があるため、実際のインフラストラクチャと、RADIUS サーバーの熟 知度に基づいて、アプローチ方法を選択する必要があります。ここで は、役に立つと思われるアプローチを 2 つ紹介します。 1 つ目のアプローチでは、SRX でユーザークラスをローカルに設定し、 RADIUS を認証目的のためだけに使用します。この方法はうまく機能 しますが、ネットワーク内に数百∼数千台のデバイスがある場合は、 認可プロセスが分散化するというリスクがあります。そのため、例えば、 前述の例のように consultant クラスを作成し、誤ってすべてのデバ イスでまったく同じ設定を行わなかった場合は、大きな問題となる可 能性があります。このアプローチでは、認証は RADIUS サーバー上 で行われ、認可(ユーザーに何ができるか)はローカルで定義され たクラスから行われることを、明確に理解しておいてください。 第4章:管理者の設定 2 番目のアプローチでは、認証と認可の両方を、RADIUS サーバー から設定、取得します。これは、より強力で優先すべきアプローチの ように思われますが、認証を付与し、正しい属性を SRX に渡すよう に RADIUS を設定する方法を、管理者がしっかりと把握しておく必要 があります。この方法のメリットは、RADIUS サーバーでほんの数回 クリックするだけで、必要なクラスへのアクセスを数千人もの管理者 に付与できることです。 どのアプローチを選択する場合でも、共通の設定パラメータがありま す。RADIUS を認証に使用することを SRX に通知すること、IP アド レス、秘密鍵、追加のオプションなどです。では、やってみましょう。 RADIUS サポートを設定するには: 認証順序を設定します。 [edit] root# set system authentication-order [radius password] 警告 自分を閉め出さないようにしてください。認証順序を RADIUS のみ に設定してしまうと、SRX が RADIUS サーバーとの通信を確立でき ない(サーバーがダウンしている)場合にのみ、ローカルユーザーデー タベースがチェックされることになってしまいます。例のように認証順 序を設定すると、サーバーと通信できるものの、RADIUS システムで アカウントが適切に設定されていない場合に、ローカルユーザーアカ ウント(root など)で接続できるようになります。言い換えれば、例 のように設定すれば、サーバー側で何らかの問題が発生した場合で も、バックドアからの処理が常に可能になります。 サーバーを設定します。秘密パスワード(この場合は secret123)は、 SRX と RADIUS サーバーで共有する必要があります(サーバーの場 所と詳細については、図 2.2 を参照)。 [edit] root# set system radius-server 10.189.132.70 secret secret123 次に、ローカルユーザークラスを使用して RADIUS 認証を設定します。 これは、SRX でユーザークラスをローカルに設定し、RADIUS を認 証目的のためだけに使用する、前述した 1 つ目のアプローチに相当し ます。 39 40 Day One:SRXシリーズ サービス・ゲートウェイの導入 RADIUS 認証とローカルの認可を設定するには: 1. ユーザーアカウントを設定して、ローカルクラスに割り当てます。 [edit] root# set system login user barnys full-name “Super-user rights” class super-user [edit] root# set system login user max full-name “Operator rights” class operator [edit] root# set system login user halle full-name “Read-only rights” class read-only [edit] root# set system login user carrie full-name “Consultant rights” class consultant [edit] root# commit commit complete 管理者の視点から見れば、この設定では、すべてが前のセクションと 同様に機能するはずです。例えば、halle が接続する場合、認証は RADIUS から付与され(ユーザーに対して完全に透過的)、コマンド ラインプロンプトでは、オペレーションモードの show コマンドのみ を使用できます(ローカルクラス read-only によって付与された認 証)。 では、2 つ目のアプローチに進みましょう。 認証と認可の両方を RADIUS サーバーから取得すれば、SRX の設定は簡潔になりますが、 サーバー側は少し複雑になります。サーバーからファイアウォールに 渡す必要のある属性を知っておく必要があるからです。 RADIUS の認証と認可を設定するには: 1. 設定済みの system login パラメータをすべて削除します。 root# delete system login [edit] この最後の手順を明確に理解してください。以前のユーザーアカ ウントも、consultant クラスも、もう必 要ありません。 い ず れも RADIUS サーバーによって提供されるからです。 2. すべての RADIUS ユーザーの接続テンプレートとして使用するユー ザーを作成します。 第4章:管理者の設定 [edit] root# set system login user remote full-name “Radius-user template” class unauthorized 3. 設定を確認してコミットします。 [edit] root# show system login user remote { full-name “Radius-user template”; class unauthorized; } [edit] root# commit commit complete ここで unauthorized クラスを使用するのは、奇妙に思われるかもし れません。新しいユーザーを設定するときは、クラスを指定する必要 があります。そうしないと、Junos でコミットすることができません。 また、実際のパーミッションは RADIUS 属性の形式でサーバーから 渡されるため、unauthorized は本質的にパーミッションのないクラ スです。クラスを定義しないユーザーを設定しようとするとどうなるか、 以下で確認してください。 [edit] root# set system login user remote1 full-name “Radius-user template2” [edit] root# show system login user remote { full-name “Radius-user template”; uid 2004; class unauthorized; } user remote1 { full-name “Radius-user template2”; ## Warning: missing mandatory statement(s):‘class’ } [edit] root# commit [edit system login] ‘user remote1’ Missing mandatory statement:‘class’ error: commit failed:(missing statements) [edit] root# rollback 0 load complete 41 42 Day One:SRXシリーズ サービス・ゲートウェイの導入 信じられないかもしれませんが、非常に多くの数のデバイスを認可す るために必要なのは、これだけです。1 行の設定だけで、要件をすべ て満たすことができます。ただし、ご想像のとおり、サーバー側はよ り複雑になります。 Active Directory および Steel-Belted Radius の 主 要 な 設 定コン ポーネントに関心がある場合は、忘れずに付録を参照してください。 RADIUS サーバーにはオプションが多数あり、付録に示してある手順 とは感覚や見た目がまったく異なるものもあることを覚えておいてくだ さい。 第5章 ネットワークとシステム管理の設定 NTPの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 DNSの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 SNMPの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Syslogの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 44 Day One:SRXシリーズ サービス・ゲートウェイの導入 基本のルーティングやさまざまなレベルの管理者などの IP 接続の初期 設定が完了したので、DNS(Domain Name Server) 、NTP(Network Time Protocol)、SNMP(Single Network Management Protocol)などの追加のネットワーク管理オプションを設定できます。 このようなサービスはいつでも設定できますが、IP 接続とルーティン グが完了してすぐに設定しなければ意味がありません。また、ローエ ンドなブランチ SRX デバイスの場合は、レベニューポートでこれらの サービスを処理できるようにするのにより多くの設定作業が必要です ので注意してください。最初は直感的には理解しにくいかもしれませ んが、SRX プラットフォームのさまざまな設定を行うことにより理解で きます。 さらに詳しくは O Reilly Media 社発行の『Junos Security』の第 1 章で、SRX シリー ズ サービス・ゲートウェイプラットフォーム内の相違点について説明 されています。www.juniper.net/books を参照してください。 NTP の設定 NTP は、さまざまな理由で、できるだけ早い時期に設定することを お奨めします。本書の観点からは、ログインする管理者が誰かだけ でなく、いつログインしたかも分かると、大きなメリットがあります。 NTP はログにタイムスタンプを付けるために必要であり、このことは 作業のトラブルシューティングに役立ちます。また、セッションの作成 や終了を追跡できるように、ロギングは多くの場合、さまざまなセキュ リティポリシー内で設定されます。 NTP の設定は、簡単です。基本的な手順では、NTP サーバーの場 所を SRX に通知し、接続パラメータを調整し(オプション)、クロッ クを変更して、時刻が適切に更新されていることを確認します。 NTP サポートを設定するには: 1. NTP サーバーとタイムゾーンを設定します。 [edit] root# set system ntp server 64.90.182.55 [edit] root# set system ntp boot-server 64.90.182.55 [edit] root# set system time-zone America/New_York 第5章:ネットワークとシステム管理の設定 注 ローカルネットワークで NTP サーバーの準備ができていない場合は、 公開されているサーバーを使用できます。公開 NTP サーバーについ ては、次の NIST Web サイトを参照してください( http://tf.nist. gov/tf-cgi/servers.cgi )。 ここで使用する NTP 設定における違いは、boot-server オプション が Junos によって参照されるのは起動時のみということです。システ ムが完全に復旧すると、上記の最初のエントリーで指定した他のサー バーが使用されます。そのため、 この例では同じサーバーですが、別々 のサーバーが使用される可能性があります。 2. 接続パラメータを調整します(オプション)。最初に、どんなもの かを確認しましょう。 root# set system ntp ? Possible completions: <[Enter]>Execute this command + apply-groups Groups from which to inherit configuration data + apply-groups-except Don’t inherit configuration data from these groups > authentication-key Authentication key information boot-server Server to query during boot sequence > broadcast Broadcast parameters broadcast-client Listen to broadcast NTP > multicast-client Listen to multicast NTP > peer Peer parameters > server Server parameters source-address Use specified address as source address + trusted-key List of trusted authentication keys | Pipe through a command お分かりのように、Junos では、NTP 認証、送信元アドレス、その 他多くのオプションが提供されています。ほとんどのシナリオではこれ らのオプションについて心配する必要はありませんが、後から必要な 場合に使用できます。今のところは、何もしないでおきます。 3. 新しい NTP サーバーの設定を利用するように、システムクロック を更新します。 [edit] root# commit and-quit commit complete Exiting configuration mode root> set date ntp 10 Jun 01:57:36 ntpdate[2730]: step time server 64.90.182.55 offset -0.000381 sec 45 46 Day One:SRXシリーズ サービス・ゲートウェイの導入 4. 日付と時刻が適切に更新されたことを確認します。 root> show system uptime Current time:2010-06-10 01:58:20 EDT System booted:2010-06-09 14:31:27 EDT (11:26:53 ago) Protocols started:2010-06-09 14:32:38 EDT (11:25:42 ago) Last configured:2010-06-10 01:57:33 EDT (00:00:47 ago) by root 1:58AM up 11:27, 1 user, load averages:0.20, 0.08, 0.02 5. NTP のステータスと関連付けを確認します。 root> show ntp status status=c035 sync_alarm, sync_unspec, 3 events, event_clock_reset, version=”ntpd 4.2.0-a Fri Feb 12 17:04:57 UTC 2010 (1)”, processor=”powerpc”, system=”JUNOS10.1R1.8”, leap=11, stratum=16, precision=-18, rootdelay=0.000, rootdispersion=1.215, peer=0, refid=STEP, reftime=00000000.00000000 Thu, Feb 7 2036 1:28:16.000, poll=4, clock=cfbafda2.3f93aff1 Thu, Jun 10 2010 1:58:58.248, state=3, offset=0.000, frequency=0.000, jitter=0.004, stability=0.000 root> show ntp associations remote refid st t when poll reach delay offset jitter ========================================================================== *64.90.182.55 .ACTS. 1 1 64 1 14.081 0.921 0.293 DNS の設定 DNS を設定しておくことは、ルールを作成するため、トラブルシュー ティングを行うため、また、IPS など SRX のさまざまなサービスの 自動更新やダウンロードが適切に機能するために不可欠です。これを 行うには、今が最適なタイミングです。 設定プロセス中に DNS ルックアップを実行するように SRX を設定で きますが、ドメイン名とプレフィックスなどを指定する FQDN でなくて も、ネットワーク内のホストを解決できるようにすることも可能です。 DNS サービスを設定するには: 1. 1 台以上の DNS サーバーを設定します。ローカルネットワーク内、 ローカルネットワーク外のどちらでも構いません。 [edit] root# set system name-server 10.189.132.70 [edit] root# set system name-server 10.189.132.68 第5章:ネットワークとシステム管理の設定 2. SRX のドメイン名を設定します。 [edit] root# set system domain-name camlab.juniper.net 3. FQDN でなくてもローカルホストを解決できるように、検索用のド メインプレフィックスを設定します。 [edit] root# set system domain-search camlab.juniper.net 4. コミットして確認します(内部デバイス名については図 2.2 を参照) 。 [edit] root# commit commit complete [edit] root# run ping count 3 juniper.net PING juniper.net (207.17.137.239):56 data bytes 64 bytes from 207.17.137.239: icmp_seq=0 ttl=52 time=100.416 ms 64 bytes from 207.17.137.239: icmp_seq=1 ttl=52 time=100.566 ms 64 bytes from 207.17.137.239: icmp_seq=2 ttl=52 time=100.386 ms --- juniper.net ping statistics --3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 100.386/100.456/100.566/0.079 ms [edit] root# run ping count 3 radius PING radius.camlab.juniper.net (10.189.132.70):56 data bytes 64 bytes from 10.189.132.70: icmp_seq=0 ttl=126 time=0.441 ms 64 bytes from 10.189.132.70: icmp_seq=1 ttl=126 time=0.538 ms 64 bytes from 10.189.132.70: icmp_seq=2 ttl=126 time=0.828 ms --- radius.camlab.juniper.net ping statistics --3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.441/0.602/0.828/0.164 ms [edit] 注 この場合、DNS 解決は外部ホスト (juniper.net) と内部ホスト (radius) の両方に関してテストされています。内部解決を機能させるには、 DNS サーバーが必要です(図 2.2 には示されていません)。 注 さらに、前述の設定手順 3 を省略した場合に、内部ホストを ping す るには、これらのホストを「ping radius.camlab.juniper.net」のよ うに FQDN を指定する必要があります。トラブルシューティングの手 順を常に行っているファイアウォール内では、このような余計な入力 作業は完全に不要です。 47 48 Day One:SRXシリーズ サービス・ゲートウェイの導入 SNMP の設定 SNMP の設定と操作は複雑になる場合がありますが、ここでは次の プロトコルを設定します。さまざまなイベントが発生したときに通知 (トラップ)を送信するように SRX に指示することができ、いつでも SRX に接続して特定の情報をポーリングするようにクライアントシス テムを設定できるからです。 SRX での SNMP の設定は簡単です。全体的なセクションでデバイス 情報とコミュニティを指定し、次に詳細のセクションでトラップオプショ ン(どのイベントで通知をトリガーするか)を指定して、最後にクライ アントデバイスで SRX および SNMP サーバーをポーリングできるよ うにします。 SNMP サポートを設定するには: 1. まず、デバイス情報と read-only のコミュニティを設定します。 [edit root# [edit root# [edit root# [edit root# [edit root# [edit root# snmp] snmp] set name SRX1 snmp] set location Cambridge snmp] set contact “Barny Sanchez” snmp] set community management authorization read-only snmp] set community management clients 10.189.132.64/27 注 「クライアント」とは、ネットワーク内で SRX のポーリングを許可さ れている管理ステーションです。管理目的専用の帯域外ネットワーク がある場合は、ネットワークサブネットを使用すると非常に便利です。 セキュリティをさらに強化するには、個々の IP アドレスを指定すれば、 Junos では、/32 またはホストデバイスとして解釈されます。 2. トラップオプション、または SNMP 更新の送信元となる IP を設定 します。 [edit snmp] root# set trap-options source-address lo0 第5章:ネットワークとシステム管理の設定 注 ループバックインタフェースの使用は、ベストプラクティスの 1 つと言 えます。すべてのデバイスでこれを習慣とすれば、 どのデバイスがトラッ プを生成したかを一貫して確認できます。これにより、解析作業が簡 単になり、ネットワークから生成されるレポートを簡潔にできます。 3. SNMP のバージョンとポート、およびどのイベントによって更新が 発生するかを設定します(他に使用可能なカテゴリを表示するには、? を使用します)。 [edit root# [edit root# [edit root# [edit root# [edit root# [edit root# snmp] set trap-group snmp] set trap-group snmp] set trap-group snmp] set trap-group snmp] set trap-group snmp] set trap-group management version v2 management destination-port 162 management categories startup management categories authentication management categories services management categories link 4. ターゲットサーバー、または生成されたトラップを受信する管理ス テーションを設定します。 [edit snmp] root# set trap-group management targets 10.189.132.80 5. 設定を確認します。 [edit snmp] root# show name SRX1; location Cambridge; contact “Barny Sanchez”; community management { authorization read-only; clients { 10.189.132.64/27; } } trap-options { source-address lo0; } trap-group management { version v2; destination-port 162; categories { authentication; link; startup; 49 50 Day One:SRXシリーズ サービス・ゲートウェイの導入 services; } targets { 10.189.132.80; } } Syslog の設定 システムロギングは、SRX のコントロールプレーンにバインドされて いる内部生成イベントと関係しています。このような種類のイベントが 生成される要因は、NTP、認証サービス、シャーシイベントなど、多 数あります。 注 このセクションでは、システムロギングを中心に説明します。セキュリ ティポリシーを設定するときのセキュリティロギングについては、次の 章で説明します。セキュリティロギングは、セキュリティポリシーのマッ チングから生成されるメッセージと、ポリシーでロギングが有効かどう かを示します。これらのログは、ユーザーデータトラフィックを処理し た後にデータプレーンで生成されるイベントを示します。 Syslog ロギングを設定するには: 1. 宛先サーバーまたはイベントコレクターと、任意のファシリティーお よびシビリティーを設定します。 [edit] root# set system syslog host 10.189.132.70 source-address 10.189.140.99 [edit] root# set system syslog host 10.189.132.70 any any 注 source-address は何でも構いませんが、ループバックインタフェー スの IP アドレス、またはイベントの出力インタフェースのアドレスを 指定することをお奨めします。そうすると、ログファイルを読み取ったり、 解析したりする際に一貫性を保つことができます。 また、any という値は、 「任意のファシリティーおよびシビリティーの値」 を指定するために使用しました。具体的な値とその意味については、 RFC5424:http://tools.ietf.org/search/rfc5424#section-6.2.1 を参照してください。Junos の場合は、 ホスト IP を入力してから Tab を押すだけで、指定可能なファシリティーとシビリティーのリスト が表示されます。 ブランチ SRX デバイスでここに記載した設定例に従っている場合は、 工場出荷時のシステムの syslog 設定はどうなっているのか疑問に思 う方もいるかもしれません。その場合は、付録の「SRX の工場出荷 時のデフォルト設定」のセクションを参照してください。 第5章:ネットワークとシステム管理の設定 Junos では、フラッシュメモリに保存されているファイルへのロギング が可能ですが、この方法に任意のイベントを選択して外部ロギングを 組み合わせたり、すべてのロギングを外部デバイスに送信することも できます。このような柔軟性は、特定のイベントを特定のサーバーに 送信する必要がある場合に大きなメリットとなります。 工場出荷時の設定でも、Junos には、ローカルロギングに使用するファ イルの数やサイズを減らすためのノブがあるため、ストレージメモリ が一杯になる心配は無用です。次の例は、ローカルファイルと FTP を組み合わせてロギングし、認証イベントを複数の異なる syslog サー バーにロギングする場合を示しています。 [edit system syslog] root# show archive size 100k files 3; host 10.189.132.70 { authorization warning; } host 10.189.132.72 { ftp info; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } 内部ログは、次のコマンドを使用するといつでも確認できます。 root> show log [filename] ログは単純なテキストファイルであるため、何かを検索するときは、 パターンマッチングまたは Junos のその他の検索オプションを使用し て、検索範囲を絞り込むことができます。 最後に、外部ログは、ターゲットサーバー、またはグラフィカルコンソー ル(使用可能な場合)経由で参照できる必要があります。 51 52 Day One:SRXシリーズ サービス・ゲートウェイの導入 第6章 基本的なセキュリティポリシーの作成 ゾーンについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 アドレスブックの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 セキュリティポリシーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 セキュリティポリシーの検証. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 セキュリティイベントのロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 54 Day One:SRXシリーズ サービス・ゲートウェイの導入 セキュリティポリシーは、SRX サービス・ゲートウェイプラットフォー ムのすべてのファイアウォール機能の中核となるものです。デフォルト では、宛先アドレスにかかわらず、インタフェースを通るどのトラフィッ クもブロックされます。これはデフォルトで想定されたとおりの動作で あり、セキュリティポリシーを使用して許可しない限り、どのトラフィッ クも SRX の通過を許可されません。 注 ただし、このトラフィックをブロックするルールは、fxp0(管理)イン タフェースを行き来するトラフィックには適用されません。このインタ フェースが例外とされるのは、これがデバイスのコントロールプレー ンに存在し、ユーザーデータトラフィックには使用できないからです。 ポリシー設定では、IF-THEN-ELSE アルゴリズムを使用します。もし トラフィック X が条件に一致すると(IF)、その場合はアクション Y が 実行され(THEN)、さもなければデフォルト動作でパケットがドロッ プされます(ELSE)。 トラフィックのマッチング(IF ステートメント)では、パケットの次の 5 つのパラメータを確認します。 送信元ゾーン:設定中の SRX の観点から作成された、事前定 義またはカスタムのゾーン。 送信元 IP:ホスト IP またはサブネットを記述した IP アドレスま たはアドレスブック。選択した送信元は、送信元ゾーンと合致す る必要があります。 宛先ゾーン:設定中の SRX の観点から作成された、事前定義 またはカスタムのゾーン。 宛先 IP:ホスト IP またはサブネットを記述した IP アドレスまた はアドレスブック。選択した宛先は、宛先ゾーンと合致する必要 があります。 アプリケーション:送信元 / 宛先ポート、使用するプロトコル、タ イムアウト値を定義する、事前定義またはカスタムのサービス。 入力パケットが上記の 5 パラメータすべてに合致する場合は、以下の アクション(THEN ステートメント)によって、このパケットまたは同 じパラメータの組み合わせに合致するその他のパケットの処理が定義 されます。 deny:パケットをドロップします(サイレント)。 reject:パケットをドロップして、トラフィックの送信元に TCPReset を送信します。 permit:パケットを許可します。 log:合致するパケットのログエントリーを作成するように SRX に指示します。 count:セッションごとにアカウンティング情報を提供します。 第6章:基本的なセキュリティポリシーの作成 さまざまな SRX デバイスで、数十個、または数千∼数万個ものポリ シーを設定できます(この数はプラットフォームによって異なります)。 いずれかのデバイスで受信されたパケットは、前述した 5 パラメータ すべてに合致するまで、トップダウン方式でセキュリティポリシーと照 合されます。合致するパラメータが見つかった場合、SRX では、こ れらのパケットに関して指示されている処理を行い、残りのポリシー の評価を停止します。評価プロセスが最後のポリシーに達しても合致 がない場合(ELSE ステートメント)は、ファイアウォールのデフォル トのアクションである deny-all が適用されます。 ファイアウォールポリシーの評価はトップダウン方式で連続して行わ れるため、通常は、最も具体的なルールをリストの一番上に配置し、 最も一般的なポリシーを一番下に配置します。これを怠ると、より具 体的な合致条件が、より一般的な条件の陰に隠れてしまう場合があり ます。 例を使用して、これらすべてを実践に移しましょう(ここでも、本書の トポロジーの図 2.2 を参照して、SRX3400 の次の要件について完 全に理解してください)。いつもどおりに、まず立ち止まってこれから 何をするのか考えてから、設定を開始しましょう。 「admins」ゾーンのホストから、「untrust」ゾーン内の宛先へ のトラフィックをすべて許可します。 「admins」ゾーンのホストから、同じゾーンの他のホストへの カスタムトラフィックを許可します。 「untrust」ゾーンから、「admins」ゾーンへのトラフィックをす べて拒否します。 ゾーンについて 復習すると、ゾーンとは、セキュリティ要件が類似しているインタフェー スをグループ化するために使用する論理的な入れ物です(図 2.1 を参 照)。例えば、組織内に人事(Human Resources)部門がある場 合、HR に割り当てられているすべてのファイアウォールポートを「HR」 ゾーンにバインドできます。財務(Finance)で使用されているファ イアウォールインタフェースはすべて、「Finance」ゾーンにバインド でき、その他も同様です。ゾーン名は、ローカルで意味を持つ、最 も分かりやすい名前にすることができます。 ヒント マネージドサービスや複数のグループを含む大規模な環境で作業を している場合は、体系化された命名規則を使用することをお奨めしま す。これがファイアウォールで生成されるロギングに反映され、トラ ブルシューティングやアカウンティングの作業が簡潔かつ明瞭になる からです。 55 56 Day One:SRXシリーズ サービス・ゲートウェイの導入 SRX には、junos-globlal という事前に定義されたセキュリティゾー ンがあり、これは変更できません。さらに、ブランチ SRX アプライア ンスの工場出荷時のデフォルト設定には、trust と untrust の 2 つの ゾーンが追加で含まれています。これら 2 つのゾーンは変更可能で、 削除することもできます。 「admins」ゾーンと「untrust」ゾーンは存在しないため、これらを作 成し、対応するインタフェースをそれぞれに割り当てる必要があります。 本書の最初から手順に従って作業をしている場合は、第 3 章でゾーン とインタフェースを設定済みです。出力は次のようになります。 [edit security] root# show zones { security-zone untrust { host-inbound-traffic { system-services { ssh; ftp; telnet; ping; } } interfaces { ge-0/0/1.0; ge-0/0/2.0; } } security-zone admins { interfaces { ge-0/0/0.0; } } } さらに、他のコマンドを使用して、使用可能なゾーンを追加で出力で きます。show security zones ? コマンドで、確認してみてください。 アドレスブックの設定 アドレスブックは、IP アドレスまたはプレフィックスに付けられる名前 です。使用する名前はローカルで意味を持つため、 ゾーン名と同様に、 大規模な環境で数百個のゾーンを処理する場合は、任意の命名規則 により体系化するとよいでしょう。 第6章:基本的なセキュリティポリシーの作成 他のベンダーの一部のネットワーク機器とは異なり、SRX デバイスで Junos のセキュリティポリシーを設定するときは、実際のサブネットま たは IP としてではなく、送信元および宛先のアドレスとして、アドレ スブックを参照します。これにより、より分かりやすい形式での設定が 可能になっています。 急いで次のステップに進みたい場合は、事前に定義されたアドレス ブックany を、送信元および宛先として使用できます。このアドレスブッ クは、任意の IP アドレスを参照します。 図 2.2 のネットワークトポロジーに従って、「admins」ゾーンのコン ピュータ用のアドレスブックを設定します。 アドレスブックを設定するには: 少しの間、立ち止まって考えてください。ファイアウォールの観点から は、ホストはどこに存在しますか。この場合は、 「admins」に存在す るため、アドレスブックはこのゾーンで作成してください。 アドレスブックエントリー「PC1」を作成します。 [edit security] root# edit zones security-zone admins [edit security zones security-zone admins] root# set address-book address PC1 192.168.2.2 エントリーを検証して、これが /32 エントリーであることが Junos で 自動的に推測されていることを確認します(サブネットマスクを指定し ていないため)。 [edit security zones security-zone admins] root# show address-book { address PC1 192.168.2.2/32; } interfaces { ge-0/0/0.0; } 宛先アドレスは「untrust」ゾーン(パブリック Web)内のどのホス トでも構わないため、宛先アドレス用のアドレスブックとして any を 使用したことは、この場合はつじつまがあっていると言えます。 ヒント 1 つのゾーン内の複数のホストに複数のアドレスブックを作成して も、問題はありません。ただし、1 つのグループに個々のエントリー をまとめてポリシーを簡単に作成したい場合は、address-set を作 成します。この概念は、アドレスブックの作成と非常によく似ていま 57 58 Day One:SRXシリーズ サービス・ゲートウェイの導入 すが、IP アドレスまたはプレフィックスを指定する代わりに、その address-set グループに所属させたい個々のアドレスブックを指定 します。例は次のとおりです。 [edit security zones security-zone admins] root# set address-book address-set PCs address PC1 [edit security zones security-zone admins] root# set address-book address-set PCs address PC2 サービスの設定 サービスでは、マッチング対象のアプリケーション、送信元 / 宛先ポー トの組み合わせ、プロトコル、およびタイムアウトを指定します。ポー トとプロトコルは TCP/IP パケットヘッダーの一部であり、タイムアウ トとは、後続のパケットの中に同じセキュリティポリシーに合致するも のがない場合に、特定のパケットがメモリに保存されてから削除され るまでの時間のことです。 SRX サービス・ゲートウェイデバイスは、ステートフルファイアウォー ルです。入力パケットがマッチングされ、アクションが実行されると、 このパケットを特定するエントリーと対応するアクションがメモリ(セッ ションテーブル)に保存され、後続のパケットがより短時間で処理さ れるようになります。しばらく時間(タイムアウト値)が経過して、同 じ条件に合致する後続のパケットがない場合、エントリーはメモリか ら削除されます。メモリに保存できるエントリーの量には限界がある ため、ファイアウォールではメモリに保存されるエントリー数を慎重 に判断する必要があります。 サービスは必ず設定しなければならないわけではありません。実際 には事前に定義されたサービスのリストがあり、そのサービスの詳細 についてはコンフィグレーションモードで次のコマンドを使用して確認 することができます。 [edit] root# show groups junos-defaults applications 何らかの理由で、ネットワーク内で特定のアプリケーションに対応する サービスを作成する必要がある場合は、使用するポートおよびプロトコ ルの情報を集め、サービスのタイムアウトを検討して値を決定し、新し いサービスを設定します。例えば、次の条件に合致するトラフィックに 対応するカスタムサービス「SERVICE1」を仮に設定してみましょう。 送信元ポート:2000 ∼ 4000 の範囲 宛先ポート:1111 プロトコル:TCP タイムアウト:1800 秒 第6章:基本的なセキュリティポリシーの作成 カスタムサービスを設定するには: 1. 1 行のコードで、新しいサービスを作成できます。自分のデバイス で作業をしている場合は、以下のコマンドを入力してみてください。 コマンドの各部分をそれぞれ入力するたびに、使用可能なオプショ ンが多数あることに気付かれると思います。次のコマンドを入力しな がら、? プロンプトを使用してください。 [edit] root# set applications application SERVICE1 source-port 2000-4000 destination-port 1111 protocol tcp inactivity-timeout 1800 2. アプリケーション設定を確認します。 root# show applications application SERVICE1 { protocol tcp; source-port 2000-4000; destination-port 1111; inactivity-timeout 1800; } カスタムアプリケーションは数多く設定できます。作成可能なアプリ ケーションの数には、厳密な制限はありません。 address-set オプションと同様に、service-set を設定することによっ て、複数のサービスをグループ化して、セキュリティポリシーの設定 を簡単にすることができます。次のように、事前に定義されたサービ スやカスタムサービスの使用が認められています。 [edit] root# set [edit] root# set [edit] root# set [edit] root# set [edit] root# set applications application-set MYSERVICES application SERVICE1 applications application-set MYSERVICES application junos-http applications application-set MYSERVICES application junos-ping applications application-set MYSERVICES application junos-dns-udp applications application-set MYSERVICES application junos-dns-tcp セキュリティポリシーの設定 セキュリティポリシーを設定すると、先に説明したのコンポーネントが すべて組み合わされます。ポリシーの観点からは、トラフィックはゾー ンに入り、ゾーンから出て行くということを思い出してください。トラ フィックが出入りするインタフェースは、同じゾーンにバインドされて いても(ゾーン内トラフィック)、別々のゾーンにバインドされていても (ゾーン間トラフィック)構いません。送信元と宛先のゾーンにかか わらず、他の指示を出すポリシーを作成しない限り、デフォルトでトラ フィックはドロップされます。 59 60 Day One:SRXシリーズ サービス・ゲートウェイの導入 送信元ゾーンと宛先ゾーンの組み合わせはコンテキストとして定義さ れます。いずれかのインタフェースにトラフィックが到着すると、SRX では入力ゾーンが直ちに認識されます。これはインタフェースとゾー ンがバインドされているからです。宛先ゾーンは、宛先 IP アドレスの ルートルックアップを実行することによって特定されます。コンテキス トが特定されると、SRX では、ポリシーのルックアップが順序どおり にトップダウン方式で実行され、パケット内のパラメータとの合致が 検証されます。合致が見つかった場合は、設定済みの対応するアクショ ンが実行され、見つからない場合は、デフォルトの deny-all が適用 されます。図 6.1 を見ると、このフローが理解しやすくなります。 『Junos Security ヒント SRX を使用したパケット処理の詳細については、 Configuration Guide』 を参照してください。バージョン 10.1 は、 https://www.juniper.net/techpubs/software/junos-srx/ junos-srx10.1/index.html にあります。O'Reilly Media 社発行の書 籍『Junos Security』 にも、SRX を使用したパケットの処理につい て優れた説明と例が掲載されています。 コンテキストルックアップ 送信元ゾーン A 宛先ゾーン B ... 送信元ゾーン admins 宛先ゾーン untrust コンテキスト コンテキストの マッチング 順序付けられた ルックアップ ポリシー1 ... ポリシーのマッチング アクションの指定 ポリシーのデフォルト: deny all ポリシー 図 6.1 コンテキストとポリシーのルックアップ では、この章の最初に示した要件に戻って、セキュリティポリシーを 設定しましょう。 「admins」ゾーンのホストから「untrust」ゾーン内の宛先へのトラ フィックをすべて許可します。 セキュリティポリシーを設定するには: 1. コンテキストを特定します。 [edit] root# edit security policies from-zone admins to-zone untrust 2. ポリシーを作成して、意味のある名前を付けます。この場合は、任 意の送信元 / 宛先およびアプリケーションをマッチングするポリシー を作成します。これが IF 節のみに相当することを確認してください。 第6章:基本的なセキュリティポリシーの作成 [edit security policies from-zone admins to-zone untrust] root# set policy admins_to_untrust match source-address any destination-address any application any 3. 次に、入力パケットで前の条件が合致した場合に何をするか(THEN 節)を設定します。ここでの要件は、トラフィックを許可することです。 [edit security policies from-zone admins to-zone untrust] root# set policy admins_to_untrust then permit この時点で、最初の要件はすでに達成しています。これは非常に単純 化された例でしたが、アカウンティング目的でカウンティングを有効に したり、このポリシーのマッチング後にセッションが作成またはクロー ズされた場合にイベントをログに記録するなど、追加の THEN アクショ ンも実行できます。 こうした他のオプションを有効にすると、ポリシーは最終的に次のよう になります。 [edit security policies from-zone admins to-zone untrust] root# show policy admins_to_untrust { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } 今度は、この章冒頭のリストの 2 番目の要件を設定しましょう。 「admins」ゾーンのホストから、同じゾーンの他のホストへのカスタ ムトラフィックを許可します。 2 番目のセキュリティポリシーを設定するには: 1. コンテキストを特定します。 [edit security policies from-zone admins to-zone untrust] root# up 61 62 Day One:SRXシリーズ サービス・ゲートウェイの導入 [edit security policies] root# edit from-zone admins to-zone admins [edit security policies from-zone admins to-zone admins] 2. ポリシーを作成して、意味のある名前を付けます。この場合は、同 じゾーンの任意のホストからのカスタムトラフィックをマッチングする ポリシーを作成します。カスタムトラフィックに関しては、前に設定し た MYSERVICES カスタムサービスセットを使用できます。 [edit security policies from-zone admins to-zone admins] root# set policy intra_zone_traffic match source-address any destination-address any application MYSERVICES 3. 次に、入力パケットで前の条件が合致した場合に何をするか(THEN 節)を設定します。ここでの要件はトラフィックを許可することですが、 ロギングとカウンティングも有効にすることができます。 [edit security policies from-zone admins to-zone admins] root# set policy intra_zone_traffic then permit [edit security policies from-zone admins to-zone admins] root# set policy intra_zone_traffic then log session-init [edit security policies from-zone admins to-zone admins] root# set policy intra_zone_traffic then log session-close [edit security policies from-zone admins to-zone admins] root# set policy intra_zone_traffic then count これで、2 番目のポリシーの要件が達成されました。3 番目の要件に 関しては、設定は不要です。ファイアウォールでトラフィックのコンテ キスト(送信元ゾーン untrust、宛先ゾーン trust)が特定されると、 デフォルトのポリシーである deny-all が有効になるからです。 セキュリティポリシーの検証 セキュリティポリシーを検証するには複数の方法があります。その 1 つは目視検査で、入力ミスや意図しないパラメータが設定に含まれて いないことをダブルチェックする際に有効です。 第6章:基本的なセキュリティポリシーの作成 実践:セキュリティポリシーの確認 show コマンドを使用して、設定されているポリシーを確認します。細心の注意を払って出力を 確認してください。detail オプションを使用すると、ポリシーの統計が表示されるため、便利 です。 > > > > show show show show configuration security policies security policies ? security policies to-zone untrust security policies detail セキュリティポリシーが想定どおりに動作していることを確認するもう 1 つの方法は、データトラフィックをテストすることです。実稼動ネット ワークでは、SRX で作成されたセッションテーブルを調べて、具体的 な情報を確認することもできます。 「admins」 ゾーンにある PC にログインして複数のトラフィックセッショ ンを開始した後で、show コマンドを使用して、セッションテーブルに 何が保存されているかを調べます。 [edit security policies] root# run show security flow session Session ID:100001782, Policy name: admins_to_untrust/4, Timeout:1796 In:192.168.2.2/4777 --> 216.52.233.201/443;tcp, If: ge-0/0/0.0 Out:216.52.233.201/443 --> 192.168.2.2/4777;tcp, If: ge-0/0/2.0 Session ID:100001790, Policy name: admins_to_untrust/4, Timeout:1800 In:192.168.2.2/4781 --> 209.239.112.126/80;tcp, If: ge-0/0/0.0 Out:209.239.112.126/80 --> 192.168.2.2/4781;tcp, If: ge-0/0/2.0 Session ID:100001846, Policy name: admins_to_untrust/4, Timeout:1404 In:192.168.2.2/4788 --> 66.235.120.98/80;tcp, If: ge-0/0/0.0 Out:66.235.120.98/80 --> 192.168.2.2/4788;tcp, If: ge-0/0/2.0 Session ID:100002381, Policy name: admins_to_untrust/4, Timeout:6 In:192.168.2.2/47621 --> 24.47.122.98/43519;udp, If: ge-0/0/0.0 Out:24.47.122.98/43519 --> 192.168.2.2/47621;udp, If: ge-0/0/2.0 <snip> ポリシーの条件に合致し、かつ permit のアクションが指定されてい るパケットが見つかるたびに、このテーブルに新しいエントリーが生 成されます。このエントリーにより、送信元 / 宛先 IP、ポート、プロ トコル、タイムアウト値、使用したインタフェース、トラフィックに合 致したポリシー、 その他を確認できます。エントリーは 3 行ごとにグルー プ分けされており、セッション(フロー)の双方向の情報を表してい ます。トラフィックが通過すると、SRX では双方向のエントリーがメモ リに作成され、応答トラフィックが戻ることができるようになります(こ れが、ステートフル動作の意味するものです)。 63 64 Day One:SRXシリーズ サービス・ゲートウェイの導入 ハイエンド SRX を使用している実稼動ネットワークでは、数百万も のセッションを追跡する必要があるため、このコマンドを発行すると、 表示される情報が多すぎる場合があります。検索を絞り込むために、 さまざまなパラメータを使用して、特定の IP またはポートを宛先とし ているトラフィックや、特定のインタフェースから入ってくるトラフィッ クを検索することができます。Junos バージョン 10.1 では、次のオプショ ンが提供されています。 root# run show security flow session ? Possible completions: <[Enter]> Execute this command application Show session for specified application or application set destination-portShow each session that uses specified destination port destination-prefixShow each session that matches destination prefix idp Show IDP sessions interface Show each session that uses specified interface protocol Show each session that uses specified IP protocol resource-managerShow resource-manager sessions session-identifierShow session with specified session identifier source-port Show each session that uses specified source port source-prefix Show each session that matches source prefix summary Show summary of sessions tunnel Show tunnel sessions | Pipe through a command セキュリティイベントのロギング 第 5 章では、SRX ではシステムイベント、およびセキュリティイベン トに関して syslog メッセージを生成できることに言及しました。セキュ リティイベントは、ロギングが有効になっているポリシーにトラフィッ クが合致した場合に生成されます。 この 章 の 前 半で 設 定した ポリシーで は、session-init と sessionclose に関してロギングが有効になっています。これにより、セッショ ンが作成およびクローズされたときにイベントが生成されます。ほと んどの場合は、session-close に関してロギングするだけで十分であ り、syslog トラフィックの量は大幅に削減されます。ただし、セキュ リティポリシーの設定にこれらを追加で入力しただけでは、ロギング を行うには十分ではありません。 ハードウェアのアーキテクチャにより、ブランチ SRX プラットフォー ムとデータセンター向けのハイエンド SRX デバイスでは、ロギング の動作は異なります。どちらのデバイスプラットフォームにもデータプ レーンとコントロールプレーンがありますが、ハイエンドセキュリティ デバイスでは、この分割はハードウェアレベルで行われています。コ ントロールプレーンのリソースは限られており、ハイエンドセキュリティ デバイスでは非常に多くのエントリーが生成される可能性があるため、 ハイエンドプラットフォームでセキュリティロギングを設定する際は、 第6章:基本的なセキュリティポリシーの作成 十分な考慮が必要です。ハイエンド SRX では大量のロギングを処理 できるため、コントロールプレーン経由(fxp0 インタフェースから) でセキュリティロギングを試行すると、ルーティングエンジンをすぐに 圧迫する可能性があります。 セキュリティイベントのロギングにおけるこの重要な問題を克服するた めに、管理者はレベニューポートをロギング専用ポートにすることがで きます。そうすると、セキュリティイベントのロギングがコントロールプ レーンではなくSRX のデータプレーンから送信されます。これは、専 用のハードウェアコントロールプレーンがないブランチ SRX デバイス の動作と似ています。 次の 3 つの手法を使用した設定方法を学習すれば、ロギングの方法に かかわらず、セキュリティポリシーで設定されたロギングパラメータは 変更されません。 レベニューポート経由のロギング(ブランチおよびハイエンドに 該当) コントロールプレーン経由のロギング(SRX ハイエンドに該当) NSM サーバーへのロギング(ブランチおよびハイエンドに該当) レベニューポート(データプレーン)経由のロギングを設定するには: 1. ロギングモードと形式を設定します。通常使用される形式は、syslog (標準)と sd-syslog(構造化)です。 [edit] root# set security log mode stream [edit] root# set security log format sd-syslog 2. メッセージの送信元と syslog サーバーを設定します。サーバーには 名前が必要ですが、これはローカルで意味を持つため、ファイアウォー ルの設定をトラブルシューティングまたは監査するときに識別しやす い、意味のある名前を使用することをお奨めします。 [edit] root# set security log source-address 192.168.2.1 [edit] root# set security log stream SYSLOG_SERVER host 192.168.2.2 注 デフォルト(UDP ポート 514)を使用しない場合は、宛先ポートなど、 その他のオプションを設定できます。また、ホスト 192.168.2.2 には syslog サービスがないものの、 ここでは例を示す目的で設定しています。 65 66 Day One:SRXシリーズ サービス・ゲートウェイの導入 コントロールプレーン経由(fxp0 から)のロギングを設定するには: 1. ロギング形式を設定します。使用可能なオプションは、syslog(標準) と sd-syslog(構造化)です。 [edit] root# set security log format sd-syslog 2. メッセージの送信元とsyslog サーバーを設定します。 ここでも、サー バーには名前が必要ですが、これはローカルで意味を持つため、ファ イアウォールの設定をトラブルシューティングまたは監査するときに識 別しやすい、意味のある名前を使用することをお奨めします。 [edit] root# set security log source-address 10.189.140.99 [edit] root# set security log stream SYSLOG_SERVER host 10.189.132.70 3. セキュリティポリシー合致の結果としてデータプレーンで生成され たログがコントロールプレーンに送信されるように、コントロールプ レーン経由のロギングを設定します。 [edit] root# set security log mode event 4. コントロールプレーンへのイベントログのレートリミットを設定しま す。1 秒あたりに許可するログエントリーは 1,000 個以下にすること をお奨めします。 [edit] root# set security log mode event event-rate 1000 NSM へのロギングを設定するには: 注 デフォルトでは、SRX デバイスはネイティブの syslog メッセージを NSM に送信せず、SRX 内の 2 つのファイルに保存されているログ のみを送信します。ロギングがハイエンド SRX からである場合は、 まずセキュリティログをコントロールプレーンに送信する必要がありま す。 1. ロギングモードと形式を設定します。形式の使用可能なオプション は、syslog(標準)と sd-syslog(構造化)です。 [edit] root# set security log mode event [edit] root# set security log format sd-syslog 第6章:基本的なセキュリティポリシーの作成 2. トラフィックの送信元と、ターゲットの syslog サーバーとしての NSM を設定します。ターゲットには名前が必要ですが、これはロー カルで意味を持つため、ファイアウォールの設定をトラブルシューティ ングまたは監査するときに識別しやすい名前を使用することをお奨め します。 [edit] root# set security log source-address 10.189.140.99 [edit] root# set security log stream SYSLOG_SERVER host 10.189.132.72 3. コントロールプレーン経由のロギングと、エントリーのレートリミッ トを設定します(この手順はハイエンド SRX のみに必要です。ブラ ンチデバイスを設定している場合は省略してください)。 [edit] root# set security log mode event event-rate 1000 4. NSM へのロギングを設定します。システムログとセキュリティログ を適切にロギングするためには、次のエントリーは必須です。 [edit] root# set system syslog file default-log-messages structured-data [edit] root# set system syslog file default-log-messages any any 以上です。これで、最初のセキュリティポリシーを実行して、それらを ロギングする方法も習得できました。次は、ポリシーから出て宛先に 向かうパケットの準備方法について学習します。 67 68 Day One:SRXシリーズ サービス・ゲートウェイの導入 第7章 ソースNATの設定 NATのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 出力インタフェースを使用したソースNATの設定 . . . . . . . .73 変換プールを使用したソースNATの設定. . . . . . . . . . . . . . . 75 70 Day One:SRXシリーズ サービス・ゲートウェイの導入 デフォルトでは、SRX への入力パケットは宛先にルーティングされま す。このことは、セッションテーブルを調べれば簡単に確認できます。 例えば、前に実行したテストの show security flow session コマンド の結果(一部省略)では、フローの 1 つについて次のことが明らかに なりました。 [edit security policies] root# run show security flow session Session ID:100001790, Policy name: admins_to_untrust/4, Timeout:1800 In:192.168.2.2/4781 --> 209.239.112.126/80;tcp, If: ge-0/0/0.0 Out:209.239.112.126/80 --> 192.168.2.2/4781;tcp, If: ge-0/0/2.0 <省略> この出力は、送信元 IP アドレスが 192.168.2.2、宛先が 209.239.112.126 の入力パケットであることを示しています。応答トラフィックは、パケッ トの送信元が 209.239.112.126 で、宛先がトランザクションの送信元 とまったく同じ IP アドレス、192.168.2.2 であることを示しています。 この例のように、送信元と宛先の IP アドレスが変わらない場合は、ト ラフィックが変換(NAT)されたのではなく、ルーティングされたこと を示しています。 NAT のタイプ SRX には、送信元と宛先のヘッダーをさまざまな形式で変換する機 能があります。変換オプションは、送信元、宛先、スタティックです。 この章では、入力パケットが SRX から出て行くときに、その送信元 IP を変換するソース NAT を設定する方法を示します。このような変 換を実行するときは、さまざまなオプションが使用可能です。例えば、 送信元 IP が出力インタフェースの IP に変換されるように設定するこ とや、ポートアドレス変換を使用せずに IP アドレスの別のプールを 使用することができ、その他にもいくつかのオプションがあります。 図 7.1 は、ソース NAT の一例を示しています。送信元 IP を ge-0/0/2 インタフェースの IP に変換するほかに、SRX では、送信元ポートも変 換します(デフォルトではポートアドレス変換または PAT を実行) 。送 信元 IP を変換すると、単一の IP アドレスを数千∼数万のホストで共 有できます。一方で、送信元ポートを変換すると、SRX では、特定の フローを誰が開始したかを追跡することや、接続を開いたホストに対し て応答トラフィックを渡すことができます。 第7章:ソースNATの設定 図 7.1 出力インタフェースを使用するソース NAT ソース NAT は、多数のホストへのインターネットアクセスを可能にす るようには設定されていません。実際に、SRX で提供されている変 換タイプには、「インターネット」や「信頼できるセグメント」という 概念はありません。SRX はゾーンに焦点を合わせているため、その 観点から、さまざまな NAT サービスを設定するときは、トラフィック のコンテキスト(送信元ゾーンと宛先ゾーン)について考えてくださ い。コンテキストを定義したら、何をしたいかを決定します。送信元 IP の変換でしょうか。宛先 IP の変換でしょうか。それとも両方でしょ うか。この質問の答えが、設定する必要のある NAT のタイプを決定 する際に役立ちます。 コンソールに戻る前に、NAT がセキュリティポリシーから分離され ていることを認識しておくことが重要です。つまり、設定は別の階層、 [edit security nat] の下で行われるということです。これにより、セ キュリティポリシーに影響を与えずにレイヤー 3 の動作を再設定でき るため、管理者にとっての柔軟性が大幅に向上します。 71 72 Day One:SRXシリーズ サービス・ゲートウェイの導入 警告 ここで混乱しないでください。トラフィックが SRX を通過するために は、セキュリティポリシーを設定する必要があります。ソース NAT の 設定はセキュリティポリシーに非常によく似ていますが、これによって トラフィックの通過が許可されるわけではありません。セキュリティポ リシーによって許可されたトラフィックを操作しているだけです。 ソース NAT の次のシナリオを設定しましょう。 出力インタフェースの IP アドレスを使用する。 変換プールを使用する。 トラフィックを除外するルールを作成する。 さまざまなシナリオをコミットするときは、show コマンドを使用して、 正確性と動作を確認してください。正確かどうかを確認するには、次 のコマンドに使用可能なパラメータを指定してください。 root# run show security nat source ? Possible completions: persistent-nat-table Show persistent NAT table information pool Show source NAT information of this pool rule Show source NAT rule-set information summary Show source NAT summary information 実際の動作は、本書で前述したように、show security flow session コマンドを使用して確認できます。このコマンドを使用する場合は、 応答の宛先 IP アドレスがどのように変わるかに細心の注意を払ってく ださい。このコマンドでは、次のような複数のパラメータを使用して、 出力をフィルタリングできます。 root# run show security flow session ? Possible completions: <[Enter]>Execute this command application Show session for specified application or application set destination-portShow each session that uses specified destination port destination-prefix Show each session that matches destination prefix idp Show IDP sessions interface Show each session that uses specified interface protocol Show each session that uses specified IP protocol resource-manager Show resource-manager sessions session-identifierShow session with specified session identifier source-port Show each session that uses specified source port source-prefix Show each session that matches source prefix summary Show summary of sessions tunnel Show tunnel sessions | Pipe through a command 第7章:ソースNATの設定 出力インタフェースを使用したソース NAT の設定 ここでは、入力パケットの送信元 IP アドレスを「untrust」ゾーン (ge-0/0/2)の出力インタフェースの IP アドレスに変換し、 「admins」 ゾーンのホストにインターネットアクセスを許可するソース NAT を設 定します。 本書のネットワークトポロジーである図 2.2 を参照して、次の例を十 分に理解してください。 出力インタフェースを使用してソース NAT を設定するには: 1. ソース NAT のルールセットを作成します。このルールセットで何を 実行するのか分かるよう、意味のある名前を付けます。 [edit] root# edit security nat source rule-set internet_nat 2. トラフィックのコンテキストを定義します。どこから来て、どこへ行く トラフィックでしょうか。 [edit security nat source rule-set internet_nat] root# set from zone admins [edit security nat source rule-set internet_nat] root# set to zone untrust 3. ルールセットを作成し、トラフィックのコンテキストを定義したら、 今度は「admins」サブネットから任意の場所へ向かうすべての入力 トラフィックと、出力インタフェースで使用するソース NAT をマッチン グする実際のルールを設定します。ここでも、ルールの名前は意味の あるものを選択してください。 [edit security nat source rule-set internet_nat] root# edit rule admins_access [edit security nat source rule-set internet_nat rule admins_access] root# set match source-address 192.168.2.0/24 [edit security nat source rule-set internet_nat rule admins_access] root# set match destination-address all [edit security nat source rule-set internet_nat rule admins_access] root# set then source-nat interface [edit security nat source rule-set internet_nat rule admins_access] root# commit commit complete 73 74 Day One:SRXシリーズ サービス・ゲートウェイの導入 続ける前に、少し時間をかけて、設定内容を分析します。 ルールセットは、個々のルールを追加できるコンテナと考えてくださ い。このルールセットにはコンテキストがあり、この場合は、コンテ キストとしてゾーン(「admins」ゾーンから「untrust」ゾーン)を 指定しましたが、インタフェースや仮想ルーターを使用することもでき ます。 ルールは検索対象の個々のステートメントであり、これらを検索して、 ルールが見つかった場合は特定のアクションが実行されます。ルール に合致するものが何もない場合は、パケットがルーティングされる場 合と同様に、ヘッダーは変更されません。 この IF-THEN-ELSE アルゴリズムは、セキュリティポリシーの設定 に似ています。ご想像のとおり、ルールセット内のルールはトップダ ウン方式で処理されるため、相対的な順序が重要となります。必ず、 最も重要なルールを一番上に配置してください。この概念の効果は、 この章の後半で明らかになります。 4. この時点で、「admins」ゾーン内の PC からインターネットへの接 続をいくつか試して、セッションテーブルで結果を調べます。 root> show security flow session Session ID:100024536, Policy name: admins_to_untrust/4, Timeout:1772 In:192.168.2.2/3520 --> 64.94.18.157/443;tcp, If: ge-0/0/0.0 Out:64.94.18.157/443 --> 66.129.250.1/64507;tcp, If: ge-0/0/2.0 Session ID:100024537, Policy name: admins_to_untrust/4, Timeout:1790 In:192.168.2.2/3525 --> 77.223.130.61/5938;tcp, If: ge-0/0/0.0 Out:77.223.130.61/5938 --> 66.129.250.1/64509;tcp, If: ge-0/0/2.0 Session ID:100024549, Policy name: admins_to_untrust/4, Timeout:32 In:192.168.2.2/47621 --> 66.56.36.86/27374;udp, If: ge-0/0/0.0 Out:66.56.36.86/27374 --> 66.129.250.1/64507;udp, If: ge-0/0/2.0 Session ID:100024550, Policy name: admins_to_untrust/4, Timeout:32 In:192.168.2.2/47621 --> 66.57.86.100/40644;udp, If: ge-0/0/0.0 Out:66.57.86.100/40644 --> 66.129.250.1/41683;udp, If: ge-0/0/2.0 <snip> 各セッションの「Out」の行に注目してください。応答は、IP アドレ ス 66.129.250.1 に向けられています。この IP アドレスは、SRX 出 力インタフェースに対応するため、ソース NAT が適切に動作してい ることが確認できます。 第7章:ソースNATの設定 変換プールを使用したソース NAT の設定 組織の規模によっては、1 つの IP アドレスとポートアドレス変換(PAT) だけでは不十分な場合があり、この需要に対応するために、IP アド レスのプールが必要です。 また、サブネット全体を、完全に異なるアドレス指定スキームに変換 することが必要な場合もあります。この方法は、会社が合併した場合 など、重複するネットワーク間の接続が必要な環境でよく使用されます。 IP アドレスのプールを使用して変換を実行できるように、前述の例を 設定し直してみましょう。ここでも、本書のネットワークトポロジーで ある図 2.2 を参照して、例を十分に理解してください。 変換プールを使用してソース NAT を設定するには: 1. 出力パケットの送信元 IP として使用するアドレス(66.129.250.10 ∼ 66.129.250.15)のプールを作成します。このプールに、今後参 照しやすいように目的が分かる、意味のある名前を付けます。 [edit security nat source] root# set pool public_NAT_range address 66.129.250.10 to 66.129.250.15 2. 作成したプールを適用します。プールは複数のルールで再利用で きますが、ここではこの用途についてのみ考えてください。ここでは、 internet_nat ルールセットの下の admin_access ルールを変更します。 [edit security nat source] root# edit rule-set internet_nat rule admins_access [edit security nat source rule-set internet_nat rule admins_access] root# set then source-nat pool public_NAT_range 3. 設定が次のようになっていることを確認します。 [edit security nat source rule-set internet_nat rule admins_access] root# show match { source-address 192.168.2.0/24; destination-address 0.0.0.0/0; } then { source-nat { pool { public_NAT_range; } } } 75 76 Day One:SRXシリーズ サービス・ゲートウェイの導入 4. 動作をコミットして確認します。 [edit security nat source rule-set internet_nat rule admins_access] root# commit commit complete この設定の結果、「admins」ゾーン内のホストの出力パケットは、 public_NAT_range 内のいずれかの IP アドレスにランダムに変換され ます。 ルールおよびルールセットの柔軟性と能力を説明するために、今度は この章の最初に示したシナリオ 3 を設定してみましょう。トラフィック を除外するルールを作成します。 ここでは、ホスト(192.168.2.2)によって開始されたトラフィックが admin_access ルールに従って変換されないようにするルールを作成す る必要があります。 ソース NAT の例外ルールを設定するには: 1. internet_nat ルールセットの下に新しいルールを作成して、新しい ルールに分かりやすい名前を付けます。 [edit root# [edit root# security nat source rule-set internet_nat rule admins_access] up security nat source rule-set internet_nat] set rule NO_translate [edit security nat source rule-set internet_nat] root# edit rule NO_translate 2. 合致条件(変換から除外するもの)を定義します。 [edit security nat source rule-set internet_nat rule NO_translate] root# set match source-address 192.168.2.2/32 [edit security nat source rule-set internet_nat rule NO_translate] root# set match destination-address all 3. この特定の送信元 / 宛先が識別されたときのアクションを設定します。 [edit security nat source rule-set internet_nat rule NO_translate] root# set then source-nat off 4. NO_translate が最初に評価されるように、ルールを再編成します。 [edit security nat source rule-set internet_nat rule NO_translate] root# up 第7章:ソースNATの設定 [edit security nat source rule-set internet_nat] root# insert rule NO_translate before rule admins_access 重要 この 手 順 は 極 めて重 要で す。 忘 れ たり無 視したりすると、 ホスト 192.168.2.2 は引き続き変換されます。NAT ルールセット内のルール は、セキュリティポリシーと同様にトップダウン方式で評価されるため、 必要な場合は常に、ルールを分析して再編成する必要があります。 5. 設定を確認します。次のようになっているはずです。 [edit security nat source rule-set internet_nat] root# show from zone admins; to zone untrust; rule NO_translate { match { source-address 192.168.2.2/32; destination-address 0.0.0.0/0; } then { source-nat { off; } } } rule admins_access { match { source-address 192.168.2.0/24; destination-address 0.0.0.0/0; } then { source-nat { interface; } さあ、NAT の 3 つの項目を完了しました。これで、SRX は、第 2 章 に示したネットワークトポロジーに従って、トラフィックを適切に分析 し、送信しています。 初期設定を完了したら、SRX でサポートされているその他のサー ビスの設定を続行できます。こうしたサービスには、IPS、IPSec、 UTM、高可用性、その他の高度なルーティング設定などがあります。 オンラインドキュメントには、各サービスの設定方法の詳細が記載さ れており、ドキュメントは Junos が新しくリリースされるたびに更新 されます。http://www.juniper.net/techpubs/hardware/junossrx/index.html で検索してください。 77 78 Day One:SRXシリーズ サービス・ゲートウェイの導入 新しい Day One ブックレットも開 発 中で、 特 に SRX サ ー ビス・ ゲートウェイプラットフォームに関するブックレットも発行予定です。 www.juniper.net/daysone で、 新しく追加されたものがないか、 常にチェックしてください。 最後に、 さらに詳細を知りたい場合は、O Reilly 社発行の書籍『Junos Security』 を入手してください。www.juniper.net/books で検索し てください。 では、これまでに行ったことを、できる限り効率的に複数の SRX デ バイスに適用してみましょう。 第8章 SRXのNSMへのインポート SRXをNSMへ接続するための準備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 SRXのNSMへのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 80 Day One:SRXシリーズ サービス・ゲートウェイの導入 複数の SRX デバイスおよびその他のジュニパーネットワークスのハー ドウェアを設置して管理する場合は、NSM(Network and Security Manager)を使用すると、ネットワークをより一貫して見ることがで き、設定やトラブルシューティングの作業が簡単になります。この章で は、SRX を NSM にインポートする方法を学習します。NSM のイン ストールと設定、およびすでにインポート済みのデバイスは、本書の 範囲外です。ここでの目的は、SRX と NSM を接続することによって NSM をすぐに使い始めることと、NSM 経由で引き続き管理できるよ うに SRX を適切にインポートすることです。 SRX を NSM へ接続するための準備 SRX を NSM へ接続するための準備は、直接的なプロセスです。実 際に、本書の内容に厳密に従ってきたのであれば、必要な手順はほ ぼすべて完了しています。 要約すると、次の項目を設定する必要があります。 管理者権限のあるユーザーアカウント IP アドレス指定およびルーティングの到達可能性 SSH アクセス Netconf アクセス 最初の 3 つのコンポーネントはすでに揃っているため、netconf サ ポートを設定する必要があります。ただし、レベニューポートを使用 して NSM に接続する場合は、必要な作業が増え、ゾーンおよびホス トインバウンドトラフィックを事前に設定する必要があります。 この章の作業は、SRX3400 で行います。本書全体に共通すること ですが、ネットワークトポロジーの詳細については、図 2.2 を参照し てください。 netconf サポートを設定するには: まず、netconf サポートを有効にします。 [edit] root# set system services netconf ssh [edit] root# commit commit complete 第8章:SRXのNSMへのインポート SRX の NSM へのインポート 次に、NSM(Network and Security Manager)サーバーにログイ ンして、SRX をインポートします。NSM はグラフィカルツールであ るため、SRX のインポートに必要な手順は、CLI ではなく、スクリー ンキャプチャで示します。 SRX を NSM にインポートするには: 1. SRX3400 をインポートする権限のある root または管理者として、 NSM サーバーにログインします。 2. [Devices] の下で、[+] をクリックして新しいデバイスを追加します。 81 82 Day One:SRXシリーズ サービス・ゲートウェイの導入 3. [Device Is Reachable] を選択して、IP アドレスと管理者アカウン トのフィールドに入力します。この例の IP アドレスは fxp0 インタ フェースのものであり、管理者アカウントは、NSM ではなくSRX の ものです。 4. [Next] をクリックして SSH キーを受け入れます。 第8章:SRXのNSMへのインポート 5. デバイスが自動検出されたら、[Next] をクリックして、NSM をイ ンポートすることを確認します。最初のインストール時にデバイスの ホスト名を設定しなかった場合は、デバイスをインポートする前に、 ここで指定できます。設定済みの場合は、[Device Name] にすでに 値が入力されています。 83 84 Day One:SRXシリーズ サービス・ゲートウェイの導入 6. SRX の設定を NSM にインポートします。 7. デバイスが適切に接続され、NSM と同期していることを確認します。 第8章:SRXのNSMへのインポート 8. NSM で、セキュリティポリシーなどのデバイス設定を点検します。 ここから、管理機能の処理を続行します。 この時点から、NSM 経由で SRX の管理を続行できます。デバイス 設定を先にインポートした場合を除き、J-Web または CLI 経由で SRX に対して行われた変更は、次回の設定更新時に NSM によって 上書きされます。 85 86 Day One:SRXシリーズ サービス・ゲートウェイの導入 第9章 トラブルシューティングツール フロー処理について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 ログとシステムステータスの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89 トレースオプションの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 88 Day One:SRXシリーズ サービス・ゲートウェイの導入 災害に備えて非常用キットを準備するのと同様に、ネットワークにおい ても不具合の発生に備えてトラブルシューティングの方法を理解しておく ことが大切です。この章では、ネットワーク接続によくある問題を検出し て修正するための出発点となるヒントをいくつか示します。 SRX ではさまざまなサービスが提供されていますが、本書で扱ってい るのは、その中のごく一部でしかありません。SRX のすべてのサービ スおよびそのトラブルシューティングの方法について包括的なガイドを 執筆するとなると、何冊もの Day One ブックレットと、より高度な文献 の開発が必要になるためです。 さらに詳しくは O Reilly Media 社から最近発行された『Junos Security』 には、ト ラブルシューティングに関するセクションやケーススタディのシナリオが 複数あり、本書の読者にも役立つ内容が掲載されています。詳細につ いては、www.juniper.net/books を参照してください。 フロー処理について SRX でサービスを追加設定していくにあたって、デバイス内でパケット がどのように処理されるかを正確に知っておく必要があります。パケット がインタフェースに入ってからデバイスを出て行くまでの間に SRX で実 行される一連の手順を、フロー処理と言います。パケットの処理につい て把握しておくと、SRX で何が最初に処理されるかや、サービスの相 対的な順序を深く理解できます。また、この処理について知っておくと、 障害の可能性がある箇所をより正確に把握でき、診断の効率を高めるこ とができます。 図 9.1 は、パケットがデバイス内に留まっている間に、フロー処理がど こで行われるかを示しています。 入力 キュー ポリサー 入力 フィルタ フロー サービス モジュール 出力 フィルタ シェーパ 出力 キュー ルートの ルックアップ 図 9.1 フロー処理 次に、図 9.2 で、フローサービスモジュール内で何が行われるかを確認し てください。スクリーニング、NAT、ALG、IPSec は、このモジュールで 『Junos 実行されるサービスのほんの一部です。図 9.1と図 9.2 については、 Security Configuration Guide』(バージョン 10.1 用)で詳細に説明して いますので、次の URL を参照してください(https://www.juniper.net/ techpubs/software/junos-srx/junos-srx10.1/index.html) 。 第9章:トラブルシューティングツール スクリー ニング ルートの ルック アップ ゾーン ポリシー NAT サービス セッション ALG 最初のパス セッション に合致? スクリー ニング はい TCP NAT サービス ALG 高速パス フローモジュール パケット単位のフィルタ パケット単位のポリサーおよびシェーパ 図 9.2 フローサービスモジュール SRX での作業経験を積み、より高度なサービスの機能が分かってく ると、この情報を知っておくことがいかに重要かに気付くことでしょう。 そのため、もし時間が許せば、数分間でも、前述したガイドでパケッ トの処理方法に関する詳細な説明を読んでください。SRX デバイス の管理の達人になりたいのであれば、時間を使う価値は十分にあり ます。 また、ブランチ SRX デバイスには、設定を選択してフローサービス モジュールを迂回する機能があることも重要です。フローベースの処 理に対して、 これはパケットベースの処理と呼ばれます。 これらのプラッ トフォームは柔軟性が非常に高いため、SRX を使用したパケット処 理を完全に理解するのは、少し難しくなっています。 ログとシステムステータスの確認 ロギングについては、第 5 章で設定しました。この後、このツールの 柔軟性を再度説明することになりますので、いったん第 5 章に戻って 復習してみるのもよいでしょう。 ファイルへのロギングは、show うことができます。 log [log_file] コマンドを使用して行 89 90 Day One:SRXシリーズ サービス・ゲートウェイの導入 この章全体で示しているように、多様なイベントをロギングできます が、ユーザーが作成したわけではない、デフォルトで存在するログ ファイルもあることに気付くでしょう。そのようなログファイルの 1 つが messages で、カーネルおよびサービスのメッセージをロギングする ために使用します。 SSH 経由で接続を試みて失敗に終わった管理者のパスワードを探す には、次の組み合わせのコマンドを使用してみてください。 > show log messages | match ssh | match “Failed password” | trim 38 この コ マ ンド で は、messages ログ ファイル 内 を 調 べ て、「Failed password」となった試行が記録されている sshd イベントのマッチ ングが行われます。タイムスタンプに関心がない場合には、「trim 38」を指定することで、最初の 38 文字を出力から省略できます。 ログ処理には、monitor start コマンドという、もう 1 つの優れたオプ ションがあります。これにより、ログファイルをリアルタイムで監視で き、イベントが発生するとすぐにコンソールに表示されます。失敗し た ssh 試行をリアルタイムで探す場合の例を以下に示します。 監視開始ツールを使用するには: 1. ログファイルの監視を開始します(検索を絞り込む場合は match ステートメントを適用)。 barnys@SRX3400> monitor start messages | match “ssh” | match “Failed password” 2. 必要に応じて、Esc+Q を押してコンソールへの出力表示を有効ま たは無効にします。 barnys@SRX3400> *** monitor and syslog output enabled, press ESC-Q to disable *** *** messages *** Jun 27 00:19:54 SRX3400 sshd[64008]:Failed password for john from 10.188.133.42 port 50021 ssh2 barnys@SRX3400> *** monitor and syslog output disabled, press ESC-Q to enable *** 3. ファイルのリアルタイム監視を停止します。監視を停止しても、イ ベントがコンソールに表示されなくなるだけで、ログファイルへの記 録は続けられます。 barnys@SRX3400> monitor stop 第9章:トラブルシューティングツール 実践:システムステータスの確認 システムステータスは、show コマンドを使用して確認できます。本書の例に従ってきた場合は、 何回か show コマンドを使用していますが、シャーシやイベントのステータス情報を確認できる オプションが他にも多くあります。今すぐ、自分のコンソールで試してみてください。 システムのアップタイムを確認するには: > show system uptime ソフトウェアのバージョンを確認するには: > show version アクティブなアラームを確認するには: > show system alarms > show chassis alarms シャーシ関連の情報を確認するパラメータは多数あるため、全部を表示するには、ヘルププロ ンプトを確認します。 > show chassis ? 実行中のプロセスと CPU 使用率を確認するには: > show system processes extensive さらに詳しくは 使用可能なすべての show コマンドとその説明のリストについては、 『CLI Reference Guide』 を参照してください。バージョン 10.1 用のド キュメント は、www.juniper.net/techpubs/software/junos-srx/ junos-srx10.1/index.html にあります。Junos 基本シリーズの Day One ブックレット(www.juniper.net/dayone)にも、デバイスにと らわれないコマンドの使用例が多数記載されています。 トレースオプションの有効化 トレースオプションは、他のベンダーの製品のデバッグツールに相当す るものです。そのため、ジュニパーネットワークスの ScreenOS ファ イアウォールの使用経験があり、debug flow basic に関する知識が十 分にある場合は、このセクションを読めば、SRX での実行方法がすぐ に分かります。 SRX を通過するパケットをデバッグするには、トレースオプションと flag basic-datapath を設定する必要があります。これによって、パケッ トが SRX に入ってから出るまでがトレースされ、その間に SRX で行 われているアクションの詳細を確認できます。 91 92 Day One:SRXシリーズ サービス・ゲートウェイの導入 traceoptions flag basic-datapath を使用するには: 1. traceoptions flag basic-datapath を有効にします。任意のファイ ルに結果をキャプチャします。 barnys@SRX3400# set security flow traceoptions file DEBUG barnys@SRX3400# set security flow traceoptions flag basic-datapath 2. 一方向のトラフィック(この場合はアウトバウンド)をマッチングす るパケットフィルタを設定します。 barnys@SRX3400# set security flow traceoptions packet-filter match-outgoing sourceprefix 192.168.2.0/24 barnys@SRX3400# set security flow traceoptions packet-filter match-outgoing destination-prefix 0.0.0.0/0 3. 逆、つまり応答トラフィックをマッチングするパケットフィルタを設 定します。 barnys@SRX3400# set security flow traceoptions packet-filter match-reverse sourceprefix 0.0.0.0/0 barnys@SRX3400# set security flow traceoptions packet-filter match-reverse destination-prefix 192.168.2.0/24 注 Junos では一方向のフローのみをキャプチャするため、手順 2 と 3 は必須です。複数のパケットフィルタを使用すると、出力フローと逆 方向のフローの両方をキャプチャできます。この例のようにパケット フィルタを個々に設定する場合は、OR ステートメントとして処理され、 SRX は、いずれか一方のフィルタに合致するトラフィックをマッチン グするように指示されます。 4. この設定をコミットした後に、show log キャプチャ結果を調べることができます。 DEBUG コマンドを使用して さらに詳しくは トラブルシューティングは膨大なテーマであり、ここではほんの少し表 面に触れた程度にすぎません。しかし、この短いブックレットで説明 したことはすべて、より広大な SRX の世界へジャンプするきっかけと なります。他の Day One ブックレット、SRX に関する新しい書籍、O Reilly Media 社発行の『Junos Security』、そしてもちろん SRX の マニュアルを使用して、トラブルシューティングに役立ててください。 付録 SRXの工場出荷時のデフォルト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94 ライセンスの確認と適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98 Steel-Belted RADIUSの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 94 Day One:SRXシリーズ サービス・ゲートウェイの導入 SRX の工場出荷時のデフォルト設定 参考用に、SRX の工場出荷時のデフォルト設定を、ここにいくつか示 します。 SRX210 の工場出荷時のデフォルト設定(Junos 10.1R18 を搭載) ## Last commit:2010-03-23 08:39:12 UTC by root version 10.1R1.8; system { autoinstallation { delete-upon-commit; ## Deletes [system autoinstallation] upon change/commit traceoptions { level verbose; flag { all; } } interfaces { ge-0/0/0 { bootp; } } } name-server { 208.67.222.222; 208.67.220.220; } services { ssh; telnet; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool 192.168.1.0/24 { address-range low 192.168.1.2 high 192.168.1.254; } propagate-settings ge-0/0/0.0; 付録 } } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ## Warning: missing mandatory statement(s):‘rootauthentication’ } interfaces { interface-range interfaces-trust { member ge-0/0/1; member fe-0/0/2; member fe-0/0/3; member fe-0/0/4; member fe-0/0/5; member fe-0/0/6; member fe-0/0/7; unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/0 { unit 0; } vlan { unit 0 { family inet { address 192.168.1.1/24; } } 95 96 Day One:SRXシリーズ サービス・ゲートウェイの導入 } } security { nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } 付録 } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } } } wlan { cluster vlan-0-default { name juniper-ap-cluster; default-cluster; interfaces { vlan.0; } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } 97 98 Day One:SRXシリーズ サービス・ゲートウェイの導入 SRX3400 の工場出荷時のデフォルト設定(Junos 10.1R18 を搭載) ## Last commit:2010-03-24 14:35:41 UTC by root version 10.1R1.8; system { syslog { user * { any emergency; } file messages { any notice; authorization info; } file interactive-commands { interactive-commands any; } } license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ## Warning: missing mandatory statement(s):‘rootauthentication’ } security { idp { security-package { url https://services.netscreen.com/cgi-bin/index. cgi; } } } ライセンスの確認と適用 SRX の使用に必要なライセンスを確認し、簡単な手順で適用するこ とができます。 ライセンスは、通常はデバイス購入時に注文され、シャーシのシリア ル番号にバインドされます。ここに示す手順は、すでにライセンスを 所有していることを想定していますが、所有していない場合は、社内 のアカウントチームに協力してもらうか、ジュニパーネットワークスの 顧客サービスに連絡して、必要なサポートを受けてください。 ライセンス文書が手元にあり、ライセンスの生成だけが必要な場合や、 顧客サービスの連絡先情報が必要な場合は、https://www.juniper. net/generate_license/ を参照してください。 付録 以下の手順は、ライセンスを確認して適用する際の実際の処理を示し ています。 ライセンスを適用するには: 1. デバイスに接続してライセンスのステータスを確認します。 root> show system license License usage: none Licenses installed: none 2. ここでは、ライセンスが必要な機能が何も設定されていないことを 示しています。例えば、IPS サービスが設定されていた場合などです。 受け取ったライセンスが、シャーシのシリアル番号と合致することを 再確認してください。シリアル番号を表示する方法は次のとおりです。 root> show chassis hardware Hardware inventory: Item Version Part number Description Chassis … Serial number AA4508AD0013 SRX 3400 3. 受け取ったライセンスファイルを、メモ帳またはその他のテキスト エディターで開きます。すべてを選択し、[Edit]、[Copy] の順にクリッ クして、ライセンスファイルのすべての内容をクリップボードにコピー します。 4. SRX で、次のオペレーションモードコマンドを入力し、クリップボー ドの内容をコピーして、次に Ctrl+D(エスケープシーケンス)を押 します。 root> request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] JUNOS252544 aeaqea qmifat injqhb auimbq gezqqb qcdw4x loxva4 ueffko xw4whk 6mfqs6 7oyg5t zn2j5k upc2ff bxrvkt 4ut24u w44joc n24g4x 7pevbz psq JUNOS252544: successfully added add license complete (no errors) root> 5. 出力にはエラーは示されていませんが、ライセンスが正しく適用さ れたかどうか確認することをお奨めします。 99 100 Day One:SRXシリーズ サービス・ゲートウェイの導入 root> show system license License usage: Feature name idp-sig Licenses used 0 Licenses installed 1 Licenses needed 0 Expiry 2011-04-29 00:00:00 UTC Licenses installed: License identifier:JUNOS252544 License version:2 Valid for device:AA4508AD0013 Features: idp-sig - IDP Signature date-based, 2010-04-10 00:00:00 UTC - 2011-04-29 00:00:00 UTC root> ライセンスは適用後すぐに有効になるため、デバイスを再起動する必 要はありません。 Steel-Belted RADIUS の統合 ここでは、ご使用のネットワークでの認証および認可の作業に SBR (Steel-Belted RADIUS)を使用し、SBR を Active Directory と統合 するのに役立つ、非常に簡単な手順を紹介します。このセクションは第 5 章の設定コードの補足なので、必要に応じてページを自由に行ったり 来たりして、理解を深めてください。 SBR を Active Directory サーバーにインストールすると、ディレクト リスキーマとシームレスに統合できます。NASクライアント、ユーザー、 その他の初期設定の完了後、管理者は、引き続き Windows のコン ポーネントである [Active Directory ユーザーとコンピュータ ] から 直接ユーザーアカウントを管理できます。 シナリオや高度な設定によっては、これだけでは不十分な場合も多々 ありますが、本書全体で述べてきたように、ここでの目的は、出発点 を提供し、ここからより複雑なシナリオに進むことができるようにする ことです。 RADIUS 認証と SRX 認可を設定するには: 1. SBR に接続して、アプリケーションを起動します。接続は、ポート 1812 の SBR の IP アドレス( http://[server_IP]:1812 など)をブラ ウザで指定することによって行います。アプリケーションが起動すると、 次のように表示されます。 付録 2. NAS クライアント(この場合は SRX)を追加します。共有パスワー ドが、ファイアウォールで設定されているものと一致することを確認し ます。認証メカニズムは M/T シリーズのルーターと同様のため、選 択されているメーカーモデルでも同様に機能します。 101 102 Day One:SRXシリーズ サービス・ゲートウェイの導入 3. ユーザーを追加します。例えば、本書のテストベッドのユーザー、 barnys、carrie、halle、max などです。彼らの名前 \\CAMLAB\[user] は、 これが CAMLAB ドメインの一部であることを示しています。また、 SRX からの要求がある場合は、送信されたユーザー名に対してユー ザーパスワードを確認するよう SBR サーバーに依頼します。 4. 受信する要求に関して、SBR が最初に Windows ユーザードメイ ンを検索し、次に Windows グループメンバーシップ、最後に SBR データベースで作成されたアカウントを検索するように、認証順序を 変更します。 5. 問題のユーザーが Active Directory に存在することを確認します。 分かりやすくするために、管理者は、SRX 管理者グループを作成して、 すべてのメンバーを所属させることができます。 付録 RADIUS の認証と認可を設定するには: 1. RADIUS ベースの認証と認可を定義するには、SBR で 4 つのユー ザーグループを作成します。最初に SUPER-USER グループを作成 します。SBR は、指定されたユーザー名に対して送信されたパスワー ドを再確認するように設定されています。 103 104 Day One:SRXシリーズ サービス・ゲートウェイの導入 2. ユーザーテンプレート remote を SUPER-USER グループにマッ ピングして、すべてのユーザーパーミッションを割り当てます。こうす ると、Active Directory でこのグループに所属する接続ユーザーに、 フル権限が付与されます。 3. 次の 2 つのスクリーンショットは、CONSULTANT グループの同じ プロセスを示しています。応答リストがより具体的で、インタフェース の設定を変更できる権限のみを持っていることに注目してください。 付録 4. 次のスクリーンショットは、READ-ONLY グループおよび OPERATOR グループの同じプロセスです。ここでも、各グループのパーミッションに 注目してください。 105 106 Day One:SRXシリーズ サービス・ゲートウェイの導入 5. 今度は、グループメンバーシップが最初に検索され、次に個々の ユーザーアカウントが検索されるように、認証順序を変更します。 6. Active Directory でグループを作成済みであることと、ユーザー が元々の目的に従って対応するグループに所属していることを確認し ます。 107 次に参照すべき資料およびサイト www.juniper.net/dayone 本書の書籍版をお読みの場合は、このサイトから PDF 版をダウン ロードできます。さらに、このサイトでは、現在入手可能な他の Day One シリーズについても確認できます。 www.juniper.net/junos Junos の導入と習得に必要な資料がすべて揃います。 http://forums.juniper.net/jnet ジュニパーネットワークスがスポンサーである J-Net Communities フォーラムは、ジュニパーネットワークスの製品、テクノロジー、およ びソリューションに関する情報、ベストプラクティス、質問を共有する ための場です。 この無料のフォーラムに参加するには、登録が必要です。 www.juniper.net/techpubs このサイトでは、ジュニパーネットワークスで開発した製品のすべての マニュアル類を入手できます。製品シリーズごとに、Junos OS につ いて知っておくべきことをご確認ください。 www.juniper.net/books ジュニパーネットワークスは、いくつかの出版社との提携により、ネッ トワーク管理者に不可欠な技術的トピックについての本を制作および 出版しています。SRX に特化した新刊『Junos Security』 をはじめ、 続々発行される新刊書のリストをチェックしてください。 http://www.juniper.net/jp/jp/training/fasttrack/ オンライン、オンサイト、または世界中のパートナートレーニングセン ターで受講できるコースをご用意しています。JNTCP(ジュニパーネッ トワークス技術認定資格プログラム)では、ジュニパーネットワーク ス製品の設定およびトラブルシューティングに関する能力認定を行っ ています。短い期間でエンタープライズ向けルーティング、スイッチン グ、またはセキュリティでの認定を受けるには、提供されているオン ラインコース、受講ガイド、およびラボガイドをご利用ください。 108 SRX シリーズ サービス・ゲートウェイに関するガイドの決定版 『Junos ® Security』 は、Junos オペレーティングシステムを搭載し たジュニパーネットワークスの新しい SRX ハードウェアシリーズを余 すところなく紹介した公認の書籍です。SRX を配置、設定、操作す る際の実践的なガイドとして利用できるだけでなく、JNCIS-ES や JNCIE-ES の資格認定試験に備えた参考書としても役に立ちます。 ネットワーク管理者やセキュリティ専門 家は、IP ルーティング、侵入検知、攻 撃緩和、統合脅威管理、WAN アクセ ラレーションなど、 エンタープライズ データネットワークの全要件に、SRX Junos サ ー ビ ス・ ゲ ートウェイ を 使 用して対応する方法を学習できます。 『Junos Enterprise Security』 は、SRX 製品ラインの明確かつ詳細なロードマッ プです。 Juniper SRX Series Brad Woodberg & Rob Cameron n ジュニ パ ー ネットワークス の 多 機 能 SRX プラットフォームおよび SRX Junos ソフトウェアについて十分に把握 できます。 n SRX の使用経験に富んだエンジニ アから直接学ぶことができます。 n ケーススタディやトラブルシューティ ングのヒントを通して、作者の知識を実 際に活用できます。 n SRX のセキュリティポリシー、 Network Address Translation、 IPSec VPN の設定に関する知識を深 めることができます。 n ルーティングの基礎および SRX プ ラットフォームの高可用性について学習 できます。 技術関連の書籍が販売されている場所ならどこででも入手できます。 本書またはジュニパーネットワークステクニカルライブラリのその他の 書籍の詳細については、 www.juniper.net/books を参照してください。
© Copyright 2024 Paperzz