SRX シリーズ スタディガイド - パート 1

SRX シリーズ スタディガイド - パート 1
本資料は認定資格の取得を目的とし作成された英語の資料を、一般的なネットワーク環境における SRX シリーズ サービス・ゲートウェイの設定、運用、および実
装について学習していただく目的で日本語化した資料となります。本文に認定資格に関する記載がある場合もございますが、本資料は認定資格の取得を目的にはし
ておりませんので、あらかじめご了承ください。
本ドキュメントは、Juniper Networks, Inc. によって作成されました。
ジュニパーネットワークス Education Services の書面による事前の承諾なしに、いかなる形式においても、このドキュメントの全部または一部を複製または転送す
ることは法律で禁じられています。
Juniper Networks、Junos、Steel-Belted Radius、NetScreen、および ScreenOS は、米国およびその他の国における Juniper Networks, Inc. の登録商標です。ジュ
ニパーネットワークスのロゴ、Junos のロゴ、および JunosE は、Juniper Networks, Inc. の商標です。その他すべての商標、サービスマーク、登録商標、登録サー
ビスマークの所有権は、各所有者に帰属します。
SRX シリーズ スタディガイド - パート 1 J シリーズ ハイレベルラボガイド , Revision 10.b
Copyright © 2010, Juniper Networks, Inc.
All rights reserved.Printed in USA.
改訂履歴:
Revision 9.a - 2009 年 7 月
Revision 10.a - 2010 年 5 月
Revision 10.b - 2010 年 12 月
このドキュメントに記載されている内容は、上記の日付の時点で最新の情報です。
本ドキュメントの情報は、入念に検証されたものであり、ソフトウェアリリース 10.3R1.9 に対して正確なものとみなします。ただし、本ドキュメントの記載内容
に誤りがある場合でも、ジュニパーネットワークスは一切責任を負いません。また、ジュニパーネットワークスは、いかなる場合でも、本ドキュメントの不備また
は欠損を原因とする直接的、間接的、特別な、典型的、偶発的、または結果的な損害について、そのような損害の可能性について報告されていた場合であっても、
一切責任を負いません。
ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。
2000 年問題に関する通知
ジュニパーネットワークスのハードウェア製品およびソフトウェア製品は、2000 年問題の影響を受けない、2000 年問題に準拠した製品です。Junos オペレーティ
ングシステムには、2038 年まで時間に関する既知の制約はありません。ただし、NTP アプリケーションには、2036 年に何らかの問題が発生することが分かって
います。
ソフトウェアライセンス
ジュニパーネットワークスのソフトウェア使用に関する条件は、ソフトウェアに付属するソフトウェアライセンス、または該当する範囲で、お客様とジュニパー
ネットワークスまたはジュニパーネットワークスの代理店との間で取り交わされる契約条項に記載されています。ジュニパーネットワークスのソフトウェアを使用
することで、ライセンスの諸条件を理解し、その制限に従うことに同意したものとみなされます。一般的に、ソフトウェアライセンスは、ジュニパーネットワーク
スのソフトウェアの許可される使用方法を制限するものであり、特定の用途に対する禁止事項が記載されている場合があります。また、ライセンスが自動的に終了
する条件が明示されている場合があります。詳細については、ソフトウェアライセンスをお読みください。
目次
第 1 章:
Junos セキュリティの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1-1
第 2 章:
ゾーン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2-1
第 3 章:
セキュリティポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-1
第 4 章:
ファイアウォールのユーザー認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4-1
第 5 章:
Screen オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5-1
第 6 章:
ネットワークアドレス変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6-1
第 7 章:
IPsec VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7-1
第 8 章:
侵入検出および防止について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8-1
第 9 章:
高可用性クラスタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9-1
第 10 章:
高可用性クラスタリングの実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-1
www.juniper.net
目次 • iii
iv • 目次
www.juniper.net
目次
このスタディガイドでは、一般的なネットワーク環境における SRX シリーズ サービス・ゲートウェイ
の設定、運用、および実装について説明します。このスタディガイドの重要なトピックは、セキュリ
ティゾーンやセキュリティポリシー、侵入検出および防止(IDP)、ネットワークアドレス変換(NAT)、
高可用性クラスタなどのセキュリティ技術、および基本的な実装、設定、管理に関する詳細です。
第 1 章:
Junos セキュリティの概要
第 2 章:
ゾーン
第 3 章:
セキュリティポリシー
第 4 章:
ファイアウォールのユーザー認証
第 5 章:
Screen オプション
第 6 章:
ネットワークアドレス変換
第 7 章:
IPsec VPN
第 8 章:
侵入検出および防止について
第 9 章:
高可用性クラスタリング
第 10 章: 高可用性クラスタリングの実装
www.juniper.net
目次 • v
ドキュメントの表記規則
CLI および GUI テキスト
コース全体を通して、コマンドライン・インターフェイス(CLI)やグラフィカル・ユーザー・インター
フェイス(GUI)を頻繁に引用します。ドキュメントを読みやすくするために、GUI と CLI は本文とは
異なる書体で表記します。
書体
説明
使用例
Franklin Gothic
標準の文章。
ラボガイドやスタディガイドの多くがこ
の書体で表記されています。
Courier New
コンソールテキスト:
•
スクリーンキャプチャ
•
コマンド以外の関連構文
commit complete
Exiting configuration mode
GUI のテキスト要素:
•
メニュー名
•
テキストフィールドのエ
ントリ
[File] > [Open] を選択し、
[Filename] テキストボックスで
Configuration.conf をクリックします。
入力テキストと出力テキスト
このガイドでは、ユーザーがテキストを入力しなければならないケースも頻繁に登場します。その場合、
ユーザーが入力するコンテキストは、以下のインスタンスで表示されます。このガイドでは、入力する
テキストを太字で表記することで、表示されるテキストと区別しています。
書体
説明
使用例
通常の CLI
特別な違いはない。
Physical interface:fxp0,
Enabled
通常の GUI
CLI の入力
[Configuration] > [History] の
順にクリックして、設定の履歴を表示し
ます。
入力する必要があるテキスト。
lab@San_Jose> show route
[File] > [Save] の順に選択し、
[Filename] フィールドに
config.ini と入力します。
GUI の入力
定義済みおよび未定義の構文変数
さらに、このコースでは通常のテキストと構文変数を区別して表記しています。また、値がすでに割り
当てられている構文変数(定義済み変数)と、値を割り当てる必要がある構文変数(未定義変数)も区
別しています。これらの書体は入力テキストの書体と組み合わせて使用されている場合があるので注意
してください。
書体
説明
使用例
CLI の変数
変数の値が既に割り当てられて
いるテキスト。
policy my-peers
GUI の変数
ダイアログで [my-peers] をクリック
します。
未定義の CLI
未定義の GUI
vi • ドキュメントの表記規則
ユーザーの裁量で変えられる変
数の値を示すテキスト。ラボガイ
ド に 示されている変数の値は、
ユーザーが入力する値とは異な
る場合がある。
set policy policy-name と入力します。
ping 10.0.x.y
[File] > [Save] を選択し、
[Filename] フィールドに filename
と入力します。
www.juniper.net
追加情報
本発行物について
本ドキュメントは、ソフトウェアリリース 12.1R1.9 を使用して作成およびテストされています。別の
バージョンのソフトウェアでは、異なる動作をする場合があります。そのため、エラーを報告する前に、
必ずお使いのコードのバージョンに対応したドキュメントとリリースノートを確認してください。
本ドキュメントは、ジュニパーネットワークスの Education Services 開発チームによって作成および管
理されています。ドキュメントの品質改善のためのご意見やご質問は [email protected] までお送り
ください。
技術文書
技術マニュアルとリリースノートは、さまざまな形式でインターネットから直接表示または印刷できます。
•
http://www.juniper.net/techpubs/ にアクセスします。
•
目的のソフトウェアまたはハードウェアのリリース、必要なタイトルを特定し、ドキュ
メントを表示または印刷する形式を選択します。
ドキュメント一式および CD は、最寄りのジュニパーネットワークス営業所またはお客様担当者から入
手できます。
ジュニパーネットワークスのサポート
技 術 サ ポ ー ト に つ い ては、ジュニパーネットワークスの Web サイト(http://www.juniper.net/
customers/support/)をご覧いただくか、電話 1-888-314-JTAC(米国内)または 408-745-2121(米
国以外)にてお問い合わせください。
www.juniper.net
追加情報 • vii
viii • 追加情報
www.juniper.net
SRX シリーズ スタディガイド - パート 1
第 1 章:Junos セキュリティの概要
この章の内容:
•
従来のルーティングおよびセキュリティの実装方法
•
インターネットワーキングにおける現在のトレンド
•
SRX シリーズの Junos OS
•
SRX シリーズデバイスにおける論理的パケットフロー
パケットの転送を目的とした設計
ルーターの主な役割は、IP パケットヘッダーに含まれるレイヤー 3 IP アドレスを使用して、パケットを転送することです。ルーター
がパケットを転送するには、パスを決定するメカニズムが必要です。このようなメカニズムとして、静的に割り当てられたルートや
ルーティングプロトコル、ポリシーベースのルーティングなどが挙げられます。
ステートレスなパケット処理
従来のルーターは、ステートレスな方式でパケットを処理します。つまり、双方向のセッションを追跡し続けることなく、パケット
ヘッダーの情報に基づき、各パケットを個別に転送します。
ブロードキャストドメインの分離と WAN 接続の提供
ルーターは、本来ブロードキャストドメインを分離する目的で使われていましたが、高度なスイッチング技術の開発とバーチャル
LAN(VLAN)規格の誕生により、スイッチを使用してブロードキャストドメインを分離することもできるようになりました。ただ
し、この機能は VLAN 間の接続には対応していないため、VLAN 間でのトラフィックの転送には依然としてルーターを使用する必要
があります。さらに、ルーターはネットワークエッジで WAN 接続を提供します。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 1
SRX シリーズ スタディガイド - パート 1
レイヤー 3 パケットの転送
このスライドは、ホスト A からホスト B にパケットが伝送される様子を示しています。ルーターは、ルーティングテーブルのエント
リを使用してレイヤー 3 パケット転送を実行します。ルーターは、ダイナミック・ルーティング・プロトコル (RIP、OSPF、IS-IS、
BGP など)の結果や、静的に入力されたルート、またはその両方に基づき、ルーティングテーブルを構築します。また、最も長いプ
レフィックスの一致に基づきパケットを転送します。たとえば、スライドの図では、ルーター A はインターフェイス ge-0/0/2 を選
択し、宛先 10.3.3.10 にトラフィックを送信します。これは、10.3.3.10/32 のプレフィックスの一致が 10.3.3.0/24 よりも長いため
です。ルーティングテーブルにエントリ 10.3.3.10/32 が存在しない場合、ルーターは、同じパケットフローのネクストホップとして
インターフェイス ge-0/0/0 を選択します。
1 - 2 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
従来のルーターのプロミスキャス動作
従来のルーターは、ステートレスなパケット処理を実行するプロミスキャスデバイスです。
「プロミスキャス」という理由は、設定が
完了すると即座に、デフォルトですべてのトラフィックを転送するためです(もちろん、静的ルーティングと動的ルーティングの何
らかの組み合わせが設定されていることが前提となります)。一般的に、ルーターはレイヤー 3 でのみ動作し、それよりも上位のレイ
ヤープロトコルで発生するセキュリティ上の脅威を認識しません。また、従来のルーターはパケット単位で動作するため、不正なセッ
ションを検出することができず、根本的に安全とはいえない要因の 1 つです。ネットワークとルーター自体が即座にセキュリティ上
の脅威に対して脆弱な状態になってしまいます。
セキュリティの一般的な扱い
ほとんどのルーターには、IP ヘッダーを使用した標準的なアクセスコントロールの実装を除き、ネットワークの安全性を確保する手
段が用意されていません。そのため、完全なセキュリティソリューションを構築するには、独立したファイアウォールデバイスを設
置することが従来からの一般的な手法です。
一般的なルーターの配置
企業顧客の基本アプリケーションには J シリーズのサービスルーターで対応し、さらに大規模な企業の場合は、M シリーズルーター
で対応します。また、M シリーズルーターは、企業のデータ・センター・アプリケーションにも対応できます。インターネット・
サービス・プロバイダ(ISP)のネットワークには、M シリーズ、MX シリーズ、または T シリーズのルーターにより、対応できます。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 3
SRX シリーズ スタディガイド - パート 1
J シリーズ、M シリーズ、MX シリーズ、および T シリーズの各ルーターは、ネットワークで要求される豊富なルーティング機能と
サービスクラス(CoS)機能をサポートし、価値と安定性、そして予想通りのハイパフォーマンスを可能にします。
ネットワークのセキュリティ強化
スタンドアロンのルーターでは、企業ネットワークやデータセンターに対して十分なセキュリティを提供できません。ネットワーク
の拡大に伴い、ネットワークアプリケーションも多様化と拡大を続けています。また、在宅勤務など、新たなリモートコミュニケー
ションの方法が増えるにつれ、セキュリティ強化に対するニーズも高まっています。一般的には、スタンドアロンのファイアウォー
ルをネットワークに追加すると、コストと保守労力が増大します。
ファイアウォールデバイスに対する要件
ファイアウォールデバイスは、次の処理に対応している必要があります。
•
IP の内容や上位レベルのパケット情報(TCP/UDP およびアプリケーションレイヤーなど)に基づく、ステートフルな
パケット処理
•
プライベートとパブリックの相互変換を実現するネットワークアドレス変換(NAT)およびポートアドレス変換(PAT)
•
認証と暗号化で構成されたバーチャル・プライベート・ネットワーク(VPN)の確立
追加サービス
ネットワークセキュリティの進化に伴い、セキュアソケットレイヤー(SSL)ネットワークアクセス、侵入検出および防止(IDP)、ア
プリケーションレベル・ゲートウェイ(ALG)処理など、スタンドアロンのファイアウォールが提供するサービスが追加されました。
1 - 4 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ファイアウォール:ステートフルなパケット処理
ファイアウォールの主な役割は、ネットワークとデバイスを保護することです。そのため、基本的なファイアウォールのインテリジェ
ンスは、上位レイヤーも含めた IP パケットヘッダーの情報に基づきパケット処理を決定する能力から成り立っています。
ステートフルなパケット処理には、一方向のフローを作り出す処理が含まれます。この処理は、6 つの情報(送信元 IP アドレス、宛
先 IP アドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、セッショントークン)の要素で構成されています。セッショ
ントークンは、ルーティングインスタンスとゾーンの組み合わせから導き出されます。送信フローは、セッションテーブルの入力、お
よびパケットに対して予測されるリターンフローから始まります。セッションは、送信フローと受信フローの両方から成り、どちら
もセッションテーブルに入力されます。このセッションテーブルにより、リターントラフィックに対する追加設定を一切行うことな
く、双方向の通信が実現します。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 5
SRX シリーズ スタディガイド - パート 1
ファイアウォール:NAT および PAT
セキュリティデバイスをネットワークのエッジに配置する場合、そのデバイスは、ルーティングできないプライベートなアドレスを
パブリックアドレスに置き換えてからパブリックネットワークにトラフィックを送信できなければなりません。変換処理では、設定
に応じて IP アドレスまたはポート番号、あるいはその両方の置き換えが行われます。NAT は送信元アドレスと宛先アドレスの両方で
使用できます。また、PAT は送信元ポートと宛先ポートの両方で使用できます。
ファイアウォール:バーチャル・プライベート・ネットワーク
ファイアウォールを使って、パブリックネットワークを 2 つのプライベートサイト間のアクセスメディアとして使用する VPN を構築
することができます。そのため、ファイアウォールでは次の処理を実行できる必要があります。
1 - 6 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
•
パブリックネットワークを介して伝送できるように、パケット内の元のトラフィックをカプセル化する
•
オリジナルのパケットを暗号化し、パブリックネットワーク上でインターセプトされても簡単に復号化できないように
する
•
パブリックネットワークで動作する不特定のデバイスではなく、送信元のデバイスを VPN のメンバとして認証する
ファイアウォールの配置
このスライドは、企業におけるファイアウォールデバイスの一般的な導入例を示したものです。小規模なオフィスやホームオフィス
または小売店舗では、小中規模向けファイアウォールデバイスを使用して、インターネットへのセキュアなアクセスを提供するだけ
でなく、IP Security(IPsec)VPN トンネルを使用したセントラルサイトへのアクセスも提供します。
一方、セントラルサイトに設置された企業向けのファイアウォールデバイスでは、VPN の終端と、内部ゾーン間およびインターネッ
トからのファイアウォール保護を提供しています。また、IDP や Web フィルタリング、アンチスパムサービスなど、その他のセキュ
リティサービスも提供します。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 7
SRX シリーズ スタディガイド - パート 1
Junos セキュリティプラットフォームと従来のルーター
従来のルーターと Junos セキュリティプラットフォームは、セキュリティとトラフィックフローに対する考え方が根本的に異なります。
従来のルーターでは、すべてのトラフィックを転送することが基本となります。つまり、この時点ではネットワークがすべての脅威
に対して脆弱です。この状態から、脆弱性を減らすようセキュリティ ポリシーを追加し、理想的な設定が実現するまで作業を繰り返
します。従来のルーターは基本的には完全なプロミスキャスであり、セキュリティポリシーを追加する必要があるため、何らかの脅
威に対する脆弱性がネットワークに残る可能性があります。
これに対し、Junos OS が動作する SRX シリーズ サービス・ゲートウェイでは、すべてのトラフィックを転送しないことが基本とな
ります。つまり、ネットワークは安全ですが、機能しません。この状態からトラフィックを許可するルールを追加し、理想的な設定
が実現するまで作業を繰り返します。Junos セキュリティプラットフォームでは、すべてのトラフィックを転送しないことが基本と
なるため、ルールを追加する必要があります。ただし、これにより望ましくないトラフィックを制限できる能力がより高まります。
1 - 8 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
Junos セキュリティプラットフォームによるルーティングとセキュリティの統合
Junos OS に新たに導入されたコアセキュリティ機能は、Junos セキュリティプラットフォームの新機能によってもたらされました。
転送アルゴリズムはセッションベースのため、セキュリティ機能は転送プレーンに緊密に統合され、セキュリティパフォーマンスが
向上しました。セッションベースの転送機能、およびステートフルなファイアウォール機能は、ジュニパーネットワークスの ScreenOS
ソフトウェアが基になっています。
Junos セキュリティプラットフォームでは、Junos OS 内のフローベースの転送モジュールに、ALG 機能、IPsec VPN、およびスクリー
ン保護が組み込まれています。また、ジュニパーネットワークスが提供するワールドクラスの IDP テクノロジも Junos セキュリティ
プラットフォームに完全に統合されています。これらの各機能については、このコースで後ほど説明します。
Junos の各要素
SRX シリーズ サービス・ゲートウェイでは、ベースとなるオペレーティングシステムとして Junos OS を使用します。そのため、こ
のシリーズのデバイスには、ルーティングプロセスや管理プロセス、デバイス制御プロセスなど、業界実績のある Junos OS のすべて
のプロセスが導入されています。Junos セキュリティプラットフォームを構築するその他の要素として、セッションベースの転送が
挙げられます。これにより、強力なセキュリティ機能一式が提供されます。
Junos のパケットベースの転送
Junos OS の基本的なコントロールプレーン、ルーティング・プロトコル・プロセスの実装、パケット単位のステートレスフィルタ、
ポリサー、および CoS 機能は、すべてパケットベースです。また、すべてのインターフェイスのカプセル化や脱カプセル化など、そ
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 9
SRX シリーズ スタディガイド - パート 1
の他のセキュリティに関連しない機能では、業界実績のある Junos OS を使用します。SRX シリーズ サービス・ゲートウェイは、CLI
または Junos OS ベースのグラフィカル・ユーザー・インターフェイス(GUI)である J-Web を使って設定できます。
セッションベースの転送
Junos セキュリティプラットフォームでは、プラットフォーム自体が持つフローベースの性質に加え、ScreenOS ソフトウェアのセ
キュリティ機能も利用します。デバイスに入る最初のパケットは、一連のパスとポリシー決定スキームに従います。Junos OS はセッ
ション情報をキャッシュし、フローの最初のパケットがトリガーになり、セッション情報が作成されます。キャッシュされたセッショ
ンは、そのフローの後続のパケットと、そのセッションのリバースフローで使用されます。ハードウェアは、転送パスに統合されて
いるフローモジュールを使い、データプレーンパケット転送を実行します。Junos セキュリティプラットフォームはセキュリティベー
スのため、インターフェイスのサービスゲートウェイに入るすべての IPv4 パケットは受信ゾーンに関連付けられます。同様に、イン
ターフェイスのデバイスから出て行くすべての IPv4 パケットは送信ゾーンに関連付けられます。ルートが変化しても、インターフェ
イスが同じゾーンに保たれている限り、そのセッションは失われません。新しいセッションが必要になるのは、結果としてインター
フェイスが別のゾーンに移動した場合のみです。Junos セキュリティプラットフォームには、ルーターの通常の機能に加え、ステー
トフルファイアウォール、VPN、NAT、ALG、IDP などの高度なセキュリティ機能がバンドルされています。
コントロールプレーン
Junos セキュリティプラットフォームのコントロールプレーンは、ルーティングエンジンを使って実装されます。コントロールプレー
ンは、Junos カーネル、各種プロセス、シャーシ管理、ユーザーインターフェイス、ルーティングプロトコル、およびその他のセキュ
リティ機能で構成されています。ネットワーク・セキュリティ・プロセス、VPN プロセス、認証プロセス、動的ホスト構成プロトコ
ル(DHCP)など、セキュリティ機能の多くは ScreenOS の機能と同様です。Junos セキュリティプラットフォームのコントロールプ
レーンには、これらの各機能に加え、よく知られた Junos の従来の機能も導入されています。
データプレーン
Junos セキュリティプラットフォームのデータプレーンは、ハイエンドデバイスの場合、IOC、ネットワーク・プロセッシング・カー
ド(NPC)、およびサービス・プロセッシング・カード(SPC)に実装されており、小中規模向けデバイスの場合、CPU コアと物理イ
ンターフェイスモジュール(PIM)に実装されています。また、フローエンジンおよび ScreenOS ソフトウェアと同様のセッション管
理を組み合わせた Junos OS のパケット処理モジュールで構成されています。インテリジェントパケット処理では、1 つのフローに関
連付けられたパケットフロー処理には必ず 1 つのスレッドが存在します。Junos OS は、リアルタイム処理によって、セッション単位
のパケット転送を可能にします。
1 - 10 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
論理的パケットフローの詳細
Junos OS を実行するセキュリティプラットフォームは、受信パケットを次のように処理します。
1.
ソフトウェアが、パケットを受信時に、ステートレスなポリシングフィルタと CoS 分類を適用します。
2.
パケットがドロップされなかった場合、ソフトウェアはセッションのルックアップを実行して、そのパケットが既存の
セッションに属するかどうかを判断します。この判断を実行するために、Junos OS はトラフィック情報の 6 つの要素
(送信元 IP アドレス、宛先 IP アドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、セッショントークン)
を照合します。
3.
パケットが既存のセッションと一致しない場合、ソフトウェアはそのパケット用に新しいセッションを作成します。こ
のプロセスは、ファーストパケットパスと呼ばれます。パケットがセッションと一致する場合、ソフトウェアはファス
トパス処理を実行します。
フローの最初のパケットについては、ファーストパケットパスの処理が実行されます。ソフトウェアは、ファーストパケットパスの
処理中に次のステップを実行します。
1.
使用されているプロトコルとそのセッションレイヤー(TCP または UDP)に基づき、ソフトウェアはセッションタイ
マーを開始します。TCP セッションの場合、デフォルトのタイムアウトは 30 分です。UDP セッションの場合、デフォ
ルトのタイムアウトは 1 分です。これらの値はデフォルト値であり、変更が可能です。
2.
ソフトウェアがファイアウォールの SCREEN オプションを適用します。
3.
ディスティネーション NAT が使用されている場合、ソフトウェアはアドレス割り当てを実行します。
4.
次に、ソフトウェアがルートルックアップを実行します。宛先プレフィックスに対してルートが存在する場合、ソフト
ウェアは後続のステップを実行します。存在しない場合、そのパケットをドロップします。
5.
ソフトウェアは、パケットが到着したインターフェイスに基づき、そのパケットの受信ゾーンを特定します。また、転
送ルックアップによって、そのパケットの送信ゾーンも特定します。
6.
対応するセキュリティポリシーは、受信ゾーンと送信ゾーンに基づいて特定され、セキュリティポリシーのルックアッ
プが行われます。ソフトウェアは、そのパケットを定義済みのポリシーに対してチェックし、処理方法を決定します。
7.
ソース NAT が使用されている場合、ソフトウェアはアドレス割り当てを実行します。
8.
ソフトウェアが ALG サービスベクトルを設定します。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 11
SRX シリーズ スタディガイド - パート 1
9.
ソフトウェアがセッションを作成してインストールします。また、最初のパケットに対して行った決定をフローテーブ
ルにキャッシュします。これは、そのフローの後続のパケットによって使用されます。
10.
これで、パケットはファストパス処理に入るようになります。
フローの後続のパケットには、すべてファストパス処理が実行されます。ソフトウェアはファストパス処理中に次のステップを実行
します。
1.
ソフトウェアがファイアウォールの SCREEN オプションを適用します。
2.
ソフトウェアが TCP チェックを実行します。
3.
ソフトウェアが NAT を適用します。
4.
ソフトウェアが ALG を適用します。
5.
ソフトウェアが次のようなパケット転送機能を適用します。
a.
ステートレスなパケットフィルタ
b.
パケットごとのトラフィックシェーピング
c.
パケットのカプセル化と伝送
セッションベースモードの転送
このスライドは、SRX デバイスで行われる 2 つのタイプのデータプレーン転送、セッションベースの転送とパケットベースの転送に
ついて示したものです。どちらのタイプの転送でも、設定済みのインバウンドおよびアウトバウンドのファイアウォールフィルタと
サービスクラス(CoS)の要素(ポリサーおよびシェイパー)をパケットが通過する必要があります。ただし、この 2 つのタイプの
転送はまったく異なります。セッションベースの転送では各パケットを検査し、既存のセッションの一部かどうかを判別します。受
信パケットがセッションまたはフローの最初のパケットである場合、フローモジュールは、送信元 IP アドレスと宛先 IP アドレス、送
信元ポートと宛先ポート、および使用される IP プロトコルをセッションステートテーブルに記録します。
このセッション情報はキャッシュされ、それにより同一フローの後続パケット、さらにはセッションのリターンフローのパケットが
デバイスを通過できるようになります。このような動作は、ファストパス処理と呼ばれます。
パケットベースモードの転送
パケットベースモードの転送では、常に各パケットが個別に検査されます。受信パケットが設定済みのポリサーまたはフィルタによっ
てドロップされなかった場合、SRX デバイスはルートルックアップを実行して、そのパケットを転送します。SRX デバイスは、セッ
ションの状態情報を記録することなく、これらのパケットを転送します。そのため、他のパケットからの情報を必要とするパケット
はありません。また、セッションの一部かどうかを特定するために検査されるパケットもありません。
ステートレスなセキュリティを使用するパケットベースモード
パケットベースの転送はステートレスな転送で、フローや状態の情報にかかわらず、パケット単位で実行されます。パケットベース
の転送では、セッションに関する情報を Junos OS が保持することはありません。
パケットベースの転送では、セキュリティはステートレス・ファイアウォール・フィルタ形式に制限されます。このフィルタは、ACL
(アクセスコントロールリスト)とも呼ばれます。フィルタでのアクションは、破棄、拒否、ログ、カウントのいずれかです。セッ
ションを記録するセッションテーブル情報がないため、フィルタは最初のトラフィックとリターントラフィックの両方に適用する必
要があります。
スライドの図は、パケットベースモードのパケットフローを示したものです。SRX デバイスに入ったパケットは、ポリサーとインバ
ウンド・ファイアウォール・フィルタ(設定されている場合)を通過します。次に、ルートルックアップが実行され、そのパケット
の出力インターフェイスが決定されます。このパケットが、フローモジュールのどのサービスにも参加していないことに注目してく
ださい。SRX デバイスのセキュリティサービスを迂回しています。パケットの出力インターフェイスが決定されると、トラフィック
シェイパーに加え、アウトバウンド・ファイアウォール・フィルタを適用できるようになります。決定されなかった場合、そのパケット
1 - 12 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
はネクストホップ・インターフェイスに転送されます。ただし、SRX デバイスでは、パケットベースモードのパケットはステートフ
ルな方法で処理されることに注意してください。フローベースモードを迂回するようフィルタを指定し、パケットをパケットベース
モードにした場合、リターントラフィックに対する照合を行うため、対応するファイアウォールフィルタも必要になります。
Junos 選択的パケットモードの転送
小中規模向け SRX デバイスでは、パケットベースの転送とセッションベースの転送を同時に使用することができます。この機能は、
Junos 選択的ステートレス・パケットベース・サービスと呼ばれます。
インバウンド・インターフェイスのステートレス・ファイアウォール・フィルタでは、パケットベースで処理するトラフィックを指
定できます。このトラフィックは、フローモジュール内のサービス機能とセキュリティ機能を迂回します。それ以外の場合、残りの
トラフィックは、フローモジュール内でセッションベースのトラフィックとして処理されます。
優位性
特定のトラフィックをパケットベースで処理する優位性の 1 つとして挙げられるのが拡張性です。パケットベースのトラフィックで
は、フローモジュールのさまざまなセキュリティやサービスの検査が行われないため、セッションベースのトラフィックよりもオー
バーヘッドが少なくなります。そのため、パケットベースモードはセッションベースモードよりも拡張性が高く、パケットベースモー
ドのトラフィックはフローモジュール内の処理負荷を軽減します。また、MPLS などのパケットベースのサービスをセッションベー
スのセキュリティと組み合わせて提供できる点も、選択的パケットモード・フィルタリングが持つもう 1 つの優位性といえます。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 13
SRX シリーズ スタディガイド - パート 1
選択的パケットベースの設定
このスライドの CLI(コマンドライン・インターフェイス)コマンドは、選択的パケットベースサービスで使用するファイアウォール
フィルタを示したものです。この例では、ステートレス・ファイアウォール・フィルタとして selective というフィルタを使用し
ています。term 1 は、送信元 IP アドレス 10.10.10.1 と一致するトラフィックについては、一致アクション then packet-mode を
実行することを示しています。packet-mode アクションでは、Junos OS は、ステートフルなセキュリティサービスを適用せずに、
一致するパケットを転送します(転送テーブルのエントリがあることを前提とします)。この例では、受信インターフェイスの論理ユ
ニットにファイアウォールフィルタが適用されています。Junos OS は、小中規模向け SRX シリーズの VLAN(バーチャル LAN)イン
ターフェイスにフィルタを適用することもできます。
選択的転送の例
このスライドは、小中規模向け SRX デバイスが MPLS ネットワークに参加しながら、セッションベースのセキュリティサービスも提
供する、実用例を示したものです。この例では、2 種類のルーティングインスタンスを使用して、パケットベースおよびセッション
ベースの 2 つのモードでトラフィックを転送しています。Packet-VRF ルーティングインスタンスは、MPLS ネットワークに接続し、
レイヤー 3 VPN 接続を終端させることで、MPLS とバーチャル・プライベート・ネットワーク(VPN)の両サービスを提供します。
メインインスタンスのインターフェイスは、MPLS コアネットワークに接続するよう設定されています。また、BGP ピアリングが確
立され、LDP が MPLS プロトコルとして使用されます。次に MPLS プロトコルが BGP シグナリングを使用してリモートのプロバイ
ダエッジ(PE)デバイスへのパスを確立します。
1 - 14 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
Junos OS は、Session-VRF を使用して、ステートフル・インスペクションとセッションベースのセキュリティを提供しています。
また、2 つのルーティングインスタンス間のトラフィックは、論理的トンネルインターフェイスを介して転送されます。2 つのルー
ティングインスタンスのルーティングテーブルはそれぞれ独立しているため、静的または動的なルーティングプロトコルのいずれか
を使用し、両インスタンスでルーティング情報を共有します。Session-VRF に対して入出力を行うすべてのトラフィックはセキュ
リティゾーンに参加し、セキュリティポリシーによって通過が許可されなければなりません。
この設定では、選択的パケットベースのファイアウォールフィルタを使用して、トラフィックをパケットモードにする必要がありま
す。このフィルタは、論理トンネル(lt-0/0/0)ユニット 1 インターフェイスのインバウンドで設定します。トラフィックが
Packet-VRF に入る際に、このフィルタが適用されます。
VPN については、「Junos MPLS and VPNs」(JMV)コースで詳しく説明します。
セッションの維持
パケットがシステムに入ってきた際、既存のセッションで一致するものがない場合、Junos OS は、ルーティング情報とセキュリティ
ポリシーの情報を基に新しいセッションを作成します。新しいセッションが作成されると、以降のパケットの照合と処理で使用でき
るよう、ソフトウェアがそのセッションをセッションハッシュテーブルに書き込みます。このセッションは、プロトコルとサービス
(TCP または UDP)に応じたデフォルトのタイムアウトでプログラムされます。デフォルトのタイムアウトは、TCP では 30 分、UDP
では 1 分です。
セッションのクリーンアップ
サービスのタイムアウトまでにトラフィックがどのセッションとも一致しない場合、Junos OS はそのセッションをエージアウトし、
以降に再利用できるよう、共通リソースプールに解放します。
セッションの実行時変更のプロパゲーション
セッションのライフタイム中に発生した実行時変更のプロパゲーションは、フローモジュールが行います。このプロパゲーションに
より、最新の情報を使用して、セッションと一致する新しいパケットを転送することができます。ルーティングの実行時変更は、常
にセッションにプロパゲーションされます。セキュリティポリシーの実行時変更は、対応するセキュリティポリシーとゾーン設定に
基づき、実行中のセッションにプロパゲーションされる場合があります。このトピックについては、以降の章で詳細に説明します。
セッション特性の管理
セッションは、ルーティングなどの分類情報を基に作成され、情報の格納やフローのリソース割り当てに使用されます。セッション
には特性があり、その一部は、セッションが終了したときなどに変更することができます。たとえば、テーブルをあふれさせ、正規
のユーザーがセッションを開始できないようにする攻撃から保護するために、セッションテーブルが満杯にならないようにすること
ができます。
前のページで触れたように、セッションはプロトコルとサービスに応じたデフォルトのタイムアウトでプログラムされます。たとえ
ば、TCP のデフォルトのタイムアウトは 30 分です。また、UDP のデフォルトのタイムアウトは 1 分です。フローが終了すると無効
としてマーク付けされ、タイムアウトが 10 秒に短縮されます。
Junos OS では、セッションテーブルがどの程度埋まっているかに基づき、セッションを積極的にエージアウトするよう設定すること
ができます。これは、[edit security flow aging] 階層下の次のオプションで指定します。
•
early-ageout:high-watermark 値に達したときにセッションをエージアウトさせるタイムアウト値を秒単位で指
定します。
•
high-watermark:セッションテーブルがどの程度埋まったら early-ageout 機能を実行するのかをパーセントで指
定します。
•
low-watermark:SRX デバイスがいつ early-ageout 機能を無効にし、セッションのデフォルトのエージアウト時
間に戻すかをパーセントで指定します。
Junos OS は、TCP の実装が不完全なホストやデバイスとの相互運用性を確保するため、TCP パケットに対するセキュリティチェック
を無効にするメカニズムを提供しています。no-syn-check コマンドを実行すると、Junos OS は、セッションを作成するために TCP
SYN パケットを探す必要がないことを認識します。また、no-sequence-check コマンドを実行すると、TCP シーケンスをチェック
する検証が無効になります。これらのコマンドを [edit security tcp-session] 階層に適用することで、SRX デバイスのスルー
プットが向上します。SYN チェックとシーケンスチェックはデフォルトで有効になっていますが、上記のコマンドを実行すると、す
べての TCP セッションに対する TCP SYN チェックおよび TCP シーケンスチェックが無効になり、セキュリティが低下します。この
設定は、標準的な設定ではうまく動作しないお客様やアプリケーションで必要となる場合があります。ただし、TCP SYN チェックと
TCP シーケンスチェックをグローバルでは無効にしながら、ポリシー単位では有効になるように指定することもできます。
[edit security policies from-zone untrust to-zone trust policy TCP]
user@srx# set then permit tcp-options ?
Possible completions:
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 15
SRX シリーズ スタディガイド - パート 1
+ apply-groups
Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
sequence-check-required Enable per policy sequence-number checking
syn-check-required
Enable per policy SYN-flag check
TCP セッションのその他のオプションとして、特定の状況を Junos OS が処理する方法を [edit security tcp-session] 階層下
で設定することができます。
•
rst-invalidate-session:TCP RST セグメントを受信したらただちに終了するよう、セッションをマーク付けしま
す。デフォルトでは、このステートメントは無効になっています。このステートメントが無効の場合、ルーターは通常
のセッションタイムアウト時間を適用します。TCP の場合は 30 分、HTTP の場合は 5 分、UDP の場合は 1 分です。
•
rst-sequence-check:RST ビットが有効になっている TCP セグメントの TCP シーケンス番号が、そのセッションの
パケットの前のシーケンス番号と一致するか、あるいは次に大きな番号かどうかを増分的にチェックします。デフォル
トでは、このチェックは無効になっています。
•
strict-syn-check:TCP セッションに対して、厳格なスリーウェイハンドシェイクのチェックを有効にします。こ
れにより、スリーウェイハンドシェイクが完了する前にデータパケットがドロップされるため、セキュリティが強化さ
れます。デフォルトでは、このチェックは無効になっています。
•
tcp-initial-timeout:TCP スリーウェイハンドシェイク時に初期の TCP セッションタイムアウトをセッション
テーブルに設定します。タイマーは最初の SYN パケットが受信されたときに開始され、スリーウェイハンドシェイクの
間はパケットごとにリセットされます。スリーウェイハンドシェイクが完了すると、セッションタイムアウトは、特定
のアプリケーションによって定義されたタイムアウトにリセットされます。スリーウェイハンドシェイクが完了する前
にタイマーが期限切れになると、そのセッションはセッションテーブルから削除されます。
セッションの確立時に使用される TCP SYN パケットの最大セグメントサイズ(MSS)を指定することができます。MSS を小さくす
ると、パケットのフラグメンテーションを低減し、パケット損失を防ぐことができます。パケット損失は、MTU サイズに合わせてパ
ケットがフラグメント化される一方、そのパケットの DF ビット(フラグメント化しない)が設定されている場合に発生する可能性が
あります。[edit security flow tcp-mss] 階層下では、以下のオプションを設定できます。
•
all-tcp:ネットワークトラフィックのすべての TCP パケットに対して MSS を設定します。
•
gre-in:IPsec VPN トンネルから出力される GRE パケットに対して、TCP MSS を指定できます。SYN ビットがセット
され、TCP MSS オプションが設定された GRE カプセル化 TCP パケットをデバイスが受信し、パケットで指定された
TCP MSS オプションがデバイスで指定された TCP MSS を超えた場合、デバイスは、これに従って TCP MSS 値を修正
します。デフォルトでは、GRE パケットに対する TCP MSS は設定されていません。
•
gre-out:IPsec VPN トンネルに入力する GRE パケットに対して、TCP MSS を指定できます。SYN ビットがセットさ
れ、TCP MSS オプションが設定された GRE カプセル化 TCP パケットをデバイスが受信し、パケットで指定された TCP
MSS オプションがデバイスで指定された TCP MSS を超えた場合、デバイスは、これに従って TCP MSS 値を修正しま
す。デフォルトでは、GRE パケットに対する TCP MSS は設定されていません。
•
ipsec-vpn:IPsec トンネルに入るすべてのパケットについて、MSS オーバーライドを有効にします。
1 - 16 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
パケットフローの例:パート 1
ここでは、これまでに説明した決定プロセスを具体的な例に当てはめてみます。このスライドで示されるように、10.1.20.5 のホスト
B が、200.5.5.5 の Web サーバーへの HTTP セッションを開始しようとしています。トラフィックは SRX シリーズ サービス・ゲー
トウェイを通過するため、決定プロセスの影響を受けます。
パケットフローの例:パート 2
このスライドは、インターフェイス ge-0/0/1 の SRX シリーズ サービス・ゲートウェイでパケットが受信される経過を示したもので
す。フローチャートをたどることで、サービスゲートウェイを通過するパケットの進行状況を追跡することができます。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 17
SRX シリーズ スタディガイド - パート 1
1.
セッションテーブルでのルックアップに基づき、Junos OS は、そのセッションが既存のセッションではないと判断し
ます。
2.
転送テーブルは、ソフトウェアが宛先ネットワークへの到達方法を検出することを示します。
3.
ここで転送ルックアップが完了し、ソフトウェアは、セキュリティポリシーの評価で必要となる受信ゾーンと送信ゾー
ンを特定できるようになります。
4.
このパケットはホスト 10.1.20.5 が送信元であり、HTTP パケットです。このパケットは、スライドで示されているポ
リシーステートメントと一致します。このようなタイプのトラフィックに対するアクションは「許可」です。
5.
SRX シリーズ サービス・ゲートウェイが、セッションテーブルにフロー情報を追加します。同時にリターンフローも自
動的に作成され、セッションテーブルに追加されます。
6.
SRX シリーズ サービス・ゲートウェイが、パケットを インターフェイス ge-1/0/0(宛先ルックアップによって決定)
に転送します。Junos OS は、このようなタイプのセッションに対し、後続のポリシー評価を行うことなく、両方向と
も許可します。
1 - 18 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
復習問題
解答
1.
従来のルーターは、パケット単位でパケットを処理します。
2.
従来のファイアウォールは、ステートフルフローに基づきパケットを処理します。
3.
セキュリティプラットフォームで動作する Junos OS はセッションベースのパケット転送を使用し、デフォルトではトラフィックの通過
を許可しません。一方、従来の Junos OS はパケットベースの転送を使用し、デフォルトですべてのトラフィックの通過を許可します。
4.
新しいセッションの最初のパケットには、ファーストパスパケット処理が実行されます。
© 2013 Juniper Networks, Inc. All rights reserved.
Junos セキュリティの概要 • 1 - 19
SRX シリーズ スタディガイド - パート 1
1 - 20 • Junos セキュリティの概要
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 2 章:ゾーン
この章の内容:
•
ゾーンとその目的
•
ゾーンのタイプ
•
ゾーンのアプリケーション
•
ゾーンの設定
•
ゾーンの監視
ゾーンの定義
ゾーンとは、同一のセキュリティ要件を共有する 1 つまたは複数のネットワークセグメントの集合体です。1 つのゾーン内のネット
ワークセグメントをグループ化するには、デバイスからゾーンへの論理インターフェイスを割り当てる必要があります。
Junos セキュリティプラットフォームにおけるトラフィックの規制
インストラクターメモ:fxp0 インターフェイスは、トランジットトラフィックを通さないアウトオブバンド管理インターフェイス
です。fxp0 インターフェイスに入るトラフィックからの保護を強化する必要がある場合は、ステートレス・ファイアウォール・
フィルタを使用し、lo0 ループバックインターフェイスへの入力フィルタとして適用することを検討してください。
ゾーンにより、ネットワークセキュリティを分離することができます。ゾーン間にセキュリティポリシーを適用することで、Junos
OS を実行するセキュリティプラットフォームを通過するトラフィックを規制します。デフォルトでは、すべてのネットワークイン
ターフェイスは、システム定義の Null ゾーンに属します。Null ゾーンで送受信されるすべてのトラフィックはドロップされます。一
部の SRX シリーズプラットフォームに存在する fxp0 管理イーサネットインターフェイス、シャーシクラスタのファブリックイン
ターフェイス、内部システムの em0 インターフェイスなど特別なインターフェイスをゾーンに割り当てることはできません。
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 1
SRX シリーズ スタディガイド - パート 1
復習:パケットフロー
Junos セキュリティプラットフォームにおけるパケットフローについて思い出してみましょう。具体的には、パケットがフローモ
ジュールに入ると、デバイスがパケットを検査し、そのパケットが既に確立済みのセッションに属しているかどうかを調べます。ま
た、Junos OS がトラフィック情報の 6 つの要素(送信元 IP アドレス、宛先 IP アドレス、送信元ポート番号、宛先ポート番号、プロ
トコル番号、セッショントークン)を照合して、セッションを識別します。
この章では、ゾーンの定義、設定、および監視に重点を置いて説明します。
ゾーンとインターフェイス
ゾーンには、1 つまたは複数の論理インターフェイスを割り当てることができます。また、ルーティングインスタンスに 1 つまたは
複数の論理インターフェイスを割り当てることもできます。ただし、1 つの論理インターフェイスを複数のゾーンや複数のルーティ
ングインスタンスに割り当てることはできません。また、ゾーンの論理インターフェイスは、すべて 1 つのルーティングインスタン
ス内にあるようにしなければなりません。これらの制約のいずれかに違反すると、以下の例に示すような設定エラーになります。
[edit]
user@srx# commit check
[edit security zones security-zone trust]
'interfaces ge-0/0/2.0'
Interface ge-0/0/2.0 already assigned to another zone
error: configuration check-out failed
[edit]
user@srx# commit check
[edit routing-instances A interface]
'ge-0/0/0.0'
RT Instance: Interface ge-0/0/0.0 already configured under instance B
[edit routing-instances B]
'interface'
Interface ge-0/0/0.0 is in more than one routing instance (latest A)
error: dcd_config_read fails to set parsing options
error: configuration check-out failed
[edit]
2 - 2 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
user@srx# commit check
[edit security zones security-zone untrust]
'interfaces ge-0/0/2.0'
Interface ge-0/0/2.0 must be in the same routing instance as other interfaces in
the zone
error: configuration check-out failed
インターフェイス、ゾーン、およびルーティングインスタンス
このスライドは、インターフェイス、ゾーン、およびルーティングインスタンス間の論理的な関係を要約したものです。
論理インターフェイスとは、特定のサブネットへの接続です。ゾーンとは、共通のセキュリティ要件を持つ論理インターフェイスの
論理グループで、論理インターフェイスは 1 つのゾーンのみに属することができます。ゾーン設定は、2 ゾーンセットアップのよう
なシンプルな設定にすることができます。この設定では、内部ネットワークに接続するすべてのインターフェイスが 1 つのゾーンに
入り、外部に接続するすべてのインターフェイスがもう 1 つのゾーンに入ります。さらに複雑な設定の場合は、外部および非武装地
帯(DMZ)の接続に加え、社内の部門や機能に基づきインターフェイスを分割します。
物理的デバイスは、複数のルーティングインスタンスに分割することができます。ルーティングインスタンスとは、Junos OS を実行
するプラットフォーム内の論理的なルーティング構造です。ルーティングインスタンスは、それぞれ独自のルーティングテーブルと
フォワーディングテーブルを持ちます。また、ルーティングインスタンスには 1 つまたは複数のゾーンを含めることができますが、
ゾーンを他のルーティングインスタンスと共有することはできません。
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 3
SRX シリーズ スタディガイド - パート 1
ゾーンのタイプ
Junos OS では、ゾーンをさらに細かい 2 種類のカテゴリ、ユーザー定義とシステム定義に分類することができます。ユーザー定義の
ゾーンは設定が可能ですが、システム定義のゾーンを設定することはできません。また、ユーザー定義カテゴリは、さらにセキュリ
ティゾーンと機能ゾーンに分類することができます。ユーザー定義およびシステム定義の各ゾーンについては、以降の数ページで詳
しく説明します。
セキュリティゾーン
セキュリティゾーンとは、ポリシーを使って、インバウンドおよびアウトバウンドのトラフィックを規制する必要がある 1 つまたは
複数のネットワークセグメントの集合体を指します。セキュリティゾーンは、トランジットトラフィック、およびセキュリティゾー
ンに属する任意のインターフェイス宛てのトラフィックに適用されます。イントラゾーンおよびインターゾーンのトラフィックを規
制するには、1 つまたは複数のセキュリティポリシーが必要です。Junos OS にはデフォルトのセキュリティゾーンが用意されていな
いこと、およびルーティングインスタンス間でセキュリティゾーンを共有することはできないことに注意してください。
2 - 4 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
機能ゾーン
インストラクターメモ:一部の小中規模向け SRX シリーズデバイスには、fxp0 管理イーサネットインターフェイスが用意されてい
ません。ただし、別のインターフェイスを機能ゾーンに関連付けることはできます。
機能ゾーンは特別な目的を持ったゾーンであり、セキュリティポリシーで指定することはできません。また、トランジットトラフィッ
クは機能ゾーンを使用しないことに注意してください。fxp0 管理イーサネットインターフェイスは、デフォルトでアウトオブバンド
です。管理ゾーンを使用することで、他のネットワークインターフェイスに対して、管理トラフィックをトランジットトラフィック
から分離するのと同様の動作を割り当てることができます。
Null ゾーン
現在、システム定義のゾーンは 1 つしか存在しません。それが Null ゾーンです。デフォルトでは、
すべてのインターフェイスは Null ゾーンに属します。Null ゾーンを設定することはできません。
ゾーンからインターフェイスを削除すると、そのインターフェイスの割り当ては、ソフトウェアに
よって Null ゾーンに戻されます。Junos OS では、Null ゾーンに属するインターフェイスで送受信
されるすべてのトラフィックが拒否されます。
junos-host ゾーン
junos-host ゾーンはシステム定義のゾーンです。
junos-host ゾーンはセキュリティポリシーで設定し
ます。これにより、SRX デバイスのセキュリティゾーン
内外で許可されるホストインバウンド・トラフィックま
たはホストアウトバウンド・トラフィックについて詳細
に制御することができます。management(管理)ゾー
ンなどの機能ゾーンは、セキュリティポリシーでは使用
できません。junos-host ゾーンで処理されるインバウン
ドトラフィックでは、まず受信セキュリティゾーンの
host-inbound-traffic 設定によってトラフィックが許可
されている必要があります。その後、受信ゾーンから
junos-host ゾーンへ、通常のポリシールックアップが実
行されます。また、junos-host ゾーンを使用してサービスを制御したり、サービスをホストアウトバウンド・トラフィックに適用し
たりできます。ホストアウトバウンド・トラフィックへのサービスを制御する例としては、ポリシーベースの VPN を介してホストア
ウトバウンド・トラフィックを許可するようにセキュリティポリシーを設定することが挙げられます。この場合、ユーザー定義のセ
キュリティポリシーで明示的に拒否しない限り、トラフィックは junos-host ゾーンによって許可されます。
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 5
SRX シリーズ スタディガイド - パート 1
junos-host ゾーンの設定
このスライドは、セキュリティポリシー内の junos-host ゾーンを使用した設定例を示したものです。この例では、ポリシー内の
to-zone コンテキストで junos-host ゾーンが指定されています。スライドのセキュリティゾーンの設定で示されているように、
untrust ゾーンでは FTP と ping のトラフィックがホストインバウンド・トラフィックとして許可されています。その後、ホストイ
ンバウンドの FTP および ping トラフィックは、untrust ゾーンから junos-host ゾーンへのセキュリティポリシーによって評価さ
れます。この例では、ping トラフィックの送信元アドレスが 172.20.1.10 の場合、そのトラフィックは拒否されます。それ以外の場
合は許可されます。また、すべての FTP トラフィックは許可されますが、FTP トラフィックの送信元アドレスが 10.10.10.1 の場合、
そのトラフィックはセッション初期化としてログに記録されます。
小中規模向けプラットフォーム
小中規模向けの Junos セキュリティプラットフォームは、セキュ
リティゾーンが含まれたテンプレート設定付きで工場から出荷さ
れます。また、SRX シリーズ・ハイエンド・プラットフォームに
は、工場出荷時のデフォルトテンプレート設定にゾーンが含まれ
ていないため、必要なゾーンを手動で設定する必要があります。
工場出荷時のデフォルト設定
インストラクターメモ:工場出荷時のデフォルトの SRX 小中規
模向け設定では、レイヤー 3 の vlan.0 インターフェイスは IP
アドレス 192.168.1.1 で定義されています。
小中規模向けデバイスの工場出荷時のデフォルト設定では、trust および untrust という 2 つのセキュリティゾーンが定義されて
います。テンプレート設定では、vlan.0 は trust ゾーンに属します。また、工場出荷時のデフォルト設定ファイルで定義されてい
るセキュリティポリシーでは、trust ゾーン内、および trust ゾーンから untrust ゾーンへのすべてのトランジットトラフィック
が許可されています。このセキュリティポリシーでは、untrust ゾーンから trust ゾーンへのすべてのトラフィックが禁止されて
います。セキュリティポリシーについては、後続の章で詳しく説明します。trust および untrust というゾーン名には、システムで定
義した意味はありません。設定で定義する他のゾーンと同様に、これらのゾーン名は変更したり削除したりできます。設定の最上位
階層で load factory-default コマンドを入力することで、Junos プラットフォームを工場出荷時のデフォルト設定に戻すことが
できます。
ゾーンの設定手順
ゾーン設定は、以下の手順で行います。
•
セキュリティゾーンまたは機能ゾーンを定義します。
•
ゾーンに論理インターフェイスを追加します。
•
オプションで、そのゾーンに属するインターフェイスを介してデバイスに入ることを許可されたシステムサービスとプ
ロトコルの組み合わせを指定します。この手順を省略すると、ゾーンのインターフェイスを介して入り、そのデバイス
を宛先とするすべてのトラフィックがブロックされます。
2 - 6 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ゾーンの設定
ゾーンを定義するには、スライドに示されているように設定モードに入る必要があります。
設定モードに入ると、ゾーンのタイプを定義できるようになります。設定できるゾーンのタイプは、機能ゾーンとセキュリティゾー
ンの 2 つだけです。機能ゾーンはデバイス管理とセキュリティのみを目的としたもので、トランジットトラフィックは許可されませ
ん。ゾーンは、security 設定スタンザで定義します。ユーザー定義ゾーンの名前は、Junos OS の他の変数と同様、大文字と小文字
が区別され、任意の標準文字を含めることができます。
機能ゾーンを設定する場合は、以下の 2 つの重要な特性に注意する必要があります。
1.
定義できる機能ゾーンのタイプは、management(管理)の 1 つだけです。
2.
機能ゾーンには、ユーザー定義の名前を付けることはできません。
ゾーンへの論理インターフェイスの追加
インストラクターメモ:ゾーン内には、ループバックインターフェイスを含めてください。ループバックインターフェイスは、BGP
ピアリングなどで必要になる場合があります。
ここまでの作業が完了したら、ゾーンに論理インターフェイスを追加することができます。このスライドでは、2 つの場合について
説明しています。最初の例では HR というセキュリティゾーンにインターフェイス ge-0/0/1.0 を追加し、2 番目の例では機能管理
(management)ゾーンにインターフェイス ge-0/0/1.100 を追加しています。インターフェイスの論理ユニットの指定を省略した場
合は、ユニット 0 が指定されたものと見なされます。また、キーワード all を使用することで、すべてのインターフェイスをゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 7
SRX シリーズ スタディガイド - パート 1
に割り当てることができます。すべてのインターフェイスをゾーンに割り当てた場合は、任意のインターフェイスを別のゾーンに割
り当てることができなくなります。
デバイスへの進入を許可するトラフィックのタイプの指定:パート 1
明示的に設定しない限り、Junos セキュリティプラットフォームを宛先とするトラ
フィックは許可されません。デバイスへの進入を許可するトラフィックのタイプ
は、特 定 の ゾ ー ン ま た は ゾ ー ン で 設 定 さ れ た イ ン タ ー フ ェ イ ス で
host-inbound-traffic 設定オプションを使用して指定できます。また、そのデ
バイスを送信元とするすべてのアウトバウンド・トラフィックは常に許可されま
す。
Junos セキュリティプラットフォームへの進入を許可するトラフィックのタイプを
指定する場合、system-services および protocols の設定オプションを組み合
わせて使用します。Junos OS では、all キーワードを使用することで、すべての
システムサービスとプロトコル、さらには該当するポートを参照することができます。すべてのサービスのすべてのポートを開くに
は、any-service キーワードを使用します。また、except キーワードを使用することで、プロトコルまたはシステムサービスの参
照リストに対する例外を分離することができます。以降のページの例は、このキーワードの使用方法を示したものです。
デバイスへの進入を許可するトラフィックのタイプの指定:パート 2
以下の任意のシステムサービスを指定することができます。
[edit security zones]
user@srx# set security-zone HR host-inbound-traffic system-services ?
Possible completions:
all
All system services
any-service
Enable services on entire port range
dns
DNS and DNS-proxy service
finger
Finger service
ftp
FTP
http
Web management service using HTTP
https
Web management service using HTTP secured by SSL
ident-reset
Send back TCP RST to IDENT request for port 113
ike
Internet Key Exchange
lsping
Label Switched Path ping service
netconf
NETCONF service
ntp
Network Time Protocol service
ping
Internet Control Message Protocol echo requests
reverse-ssh
Reverse SSH service
reverse-telnet
Reverse telnet service
rlogin
Rlogin service
rpm
Real-time performance monitoring
rsh
Rsh service
sip
Enable Session Initiation Protocol service
snmp
Simple Network Management Protocol service
snmp-trap
Simple Network Management Protocol traps
ssh
SSH service
telnet
Telnet service
tftp
TFTP
traceroute
Traceroute service
xnm-clear-text
JUNOScript API for unencrypted traffic over TCP
xnm-ssl
JUNOScript API service over SSL
以下の任意のプロトコルを指定することができます。
[edit security zones]
user@srx# set security-zone HR host-inbound-traffic protocols ?
Possible completions:
all
All protocols
bfd
Bidirectional Forwarding Detection
bgp
Border Gateway Protocol
2 - 8 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
dvmrp
igmp
ldp
msdp
ndp
nhrp
ospf
ospf3
pgm
pim
rip
ripng
router-discovery
rsvp
sap
vrrp
Distance Vector Multicast Routing Protocol
Internet Group Management Protocol
Label Distribution Protocol
Multicast Source Discovery Protocol
Enable Network Discovery Protocol
Next Hop Resolution Protocol
Open Shortest Path First
Open Shortest Path First version 3
Pragmatic General Multicast
Protocol Independent Multicast
Routing Information Protocol
Routing Information Protocol next generation
Router Discovery
Resource Reservation Protocol
Session Announcement Protocol
Virtual Router Redundancy Protocol.
デバイスへの進入を許可するトラフィックのタイプの指定:パート 3
許可するトラフィックは、設定のゾーンレベルまたはゾーン内のインターフェイスレベルで指定することができます。Junos OS の他
の設定と同様、より限定的な設定の優先順位規則が、ここでも適用されます。つまり、ゾーンレベルの設定よりもインターフェイス
レベルの設定のほうが優先されます(より限定的であるため)。スライドの例では、HTTP システムサービスだけが、HR ゾーンの一部
であるインターフェイス ge-0/0/1.0 への進入を許可されます。また、HR ゾーンに関連付けられている他のすべてのインターフェイ
スは、すべてのシステムサービスを受け入れることができます。
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 9
SRX シリーズ スタディガイド - パート 1
知識の確認:パート 1
このスライドは、ゾーン設定の例を示したものです。指定されたゾーンとインターフェイスへの進入が許可されているのは、どのタ
イプのトラフィックでしょうか。この例では、HR という名前のセキュリティゾーンが設定されています。このゾーンに属しているの
は、インターフェイス ge-0/0/0.0 および ge-0/0/1.0 です。インバウンドの Telnet および FTP トラフィックが、これらのインター
フェイスを介してデバイスへの進入が許可されます。これらのインターフェイス上のデバイスに対してローカルな他のすべてのイン
バウンドトラフィックはドロップされます。
知識の確認:パート 2
このスライドは、別のゾーン設定の例を示したものです。指定されたゾーンとインターフェイスへの進入が許可されているのは、ど
のタイプのトラフィックでしょうか。この例では、HR という名前のセキュリティゾーンが設定されています。このゾーンに属してい
るのは、インターフェイス ge-0/0/0.0 および ge-0/0/1.0 です。SNMP サービスは、インターフェイス ge-0/0/1.0 を通る場合のみ
許可するよう指定されているため、インターフェイス ge-0/0/0.0 への進入は許可されません。また、Telnet および FTP サービスは
ge-0/0/0.0 インターフェイスを使用した場合のみ許可され、ge-0/0/1.0 インターフェイスの場合は許可されません。
2 - 10 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
知識の確認:パート 3
このスライドは、さらに別の設定例を示したものです。この設定では、どのような動作をするでしょうか。この例では、zone1 とい
う名前のセキュリティゾーンが定義されています。ここでは、Telnet 以外のすべてのインバウンドサービスが許可されます。セキュ
リティゾーン zone1 に属するインターフェイスは、ge-0/0/0.0 および ge-0/0/1.0 の 2 つです。インターフェイス ge-0/0/0.0 は、
Telnet 以外のすべてのサービスを許可します。また、インターフェイス ge-0/0/1.0 は、HTTP および FTP サービス以外のすべての
サービスを許可します。
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 11
SRX シリーズ スタディガイド - パート 1
ゾーンの監視
このスライドは、show security zones コマンドの例を示したものです。このコマンドは、ゾーンの監視に便利です。このコマン
ドを実行すると、ゾーンのタイプと名前、さらにはそのゾーンを宛先とするインターフェイスの数と名前に関する情報が表示されま
す。
インターフェイスへの進入が許可されるトラフィックの監視:パート 1
show interfaces interface-name extensive コマンドを使用すると、ゾーンの詳細が表示されます。このコマンドを実行す
ると、対応するインターフェイスを介してデバイスへの進入が許可されているプロトコルとシステムサービスに関する情報が表示さ
れます。また、そのインターフェイスのフロー統計情報も表示されます。
2 - 12 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
インターフェイスへの進入が許可されるトラフィックの監視:パート 2
このスライドは、前のページの出力の続きです。
復習問題
解答
1.
ゾーンとは、同一のセキュリティ要件を共有する 1 つまたは複数のネットワークセグメントの集合体です。
2.
Junos OS に用意されているゾーンは、ユーザー定義とシステム定義の 2 種類に分類されます。ユーザー定義のゾーンにはセキュリティ
ゾーンと機能ゾーンが含まれ、どちらもユーザーによる設定が可能です。Null ゾーンはシステム定義のゾーンであり、設定することはで
きません。セキュリティゾーンでは、トランジットパケットおよびデバイス自体を宛先とするパケットが許可されます。機能ゾーンで
は、管理トラフィックのみが許可されます。Null ゾーンは、どのゾーンにも属さない代理インターフェイスです。Null ゾーンに属する
すべてのインターフェイスは、すべてのパケットをドロップします。
© 2013 Juniper Networks, Inc. All rights reserved.
ゾーン • 2 - 13
SRX シリーズ スタディガイド - パート 1
3.
ゾーンを設定するには、次の手順を実行する必要があります。(1)セキュリティゾーンまたは機能ゾーンを定義する。
(2)そのゾーンに
論理インターフェイスを追加する。(3)オプションで、デバイスへの進入を許可するサービスおよびプロトコルを追加する。
4.
Junos セキュリティプラットフォームへの進入を許可するトラフィックのタイプは、host-inbound-traffic ステートメントを使って
指定できます。
2 - 14 • ゾーン
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 3 章:セキュリティポリシー
この章の内容:
•
セキュリティポリシーの機能
•
セキュリティポリシーのコンポーネント
•
セキュリティポリシーの確認および監視
•
セキュリティポリシーの設定
セキュリティポリシーとは
セキュリティポリシーとは、指定した送信元から指定した宛先までの、指定したサービスを使ったトラフィックを制御する一連のス
テートメントです。この指定に一致するパケットが到着すると、SRX シリーズデバイスは、ポリシーで指定したアクションを実行し
ます。
ネットワークのセキュリティポリシーは、ネットワークを安全に機能させるうえで非常に有用です。ネットワークのセキュリティポ
リシーには、企業内のすべてのネットワークリソースと、各リソースで求められるセキュリティレベルを指定します。Junos オペ
レーティングシステムでは、企業内でネットワークのセキュリティポリシーを実装するためのツール一式を提供しています。セキュ
リティポリシーは、トランジットトラフィックに対してルールのセットを適用します。このルールでは、ファイアウォールを通過で
きるトラフィックや、トラフィックがファイアウォールを通過するときに実行するアクションを指定します。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 1
SRX シリーズ スタディガイド - パート 1
復習:パケットフロー
このスライドは、Junos セキュリティプラットフォームのフローモジュールにおけるパケットフローを再度示したものです。
デバイスは、受信ゾーンと送信ゾーンに基づきフローの最初のパケットを調べ、対応するセキュリティポリシーを特定し、セキュリ
ティポリシーのルックアップを実行します。システムは、定義済みのポリシーでそのパケットをチェックし、パケットの処理方法を
決定します。
この章では、Junos OS のセキュリティポリシーに重点を置いて説明します。
トランジットトラフィックの検査
Junos OS セキュリティプラットフォームは、常にセキュリティポリシーを使って、トランジットトラフィックを検査します。スライ
ドに示すように、セキュリティポリシーで一致するものが見つからない場合、デフォルトのセキュリティポリシーがパケットに適用
されます。後続のスライドで、デフォルトのセキュリティポリシーについて詳しく説明します。
3 - 2 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
host-inbound-traffic 検査
トラフィックの宛先がデバイスの入力インターフェイスである場合、セキュリティポリシーは適用されません。ここで行われる検査
は、ゾーン定義内の host-inbound-traffic ステートメントを使った、インターフェイスへの進入が許可されるサービスとプロト
コルのリストのみです。(詳細については、第 2 章「ゾーン」を参照してください)。
Junos OS は、トラフィックの宛先が入力インターフェイス以外のインターフェイスの場合、セキュリティポリシーを検査します。こ
のプロセスは、入力インターフェイスと宛先インターフェイスが同じゾーン内にある(イントラゾーントラフィック)か、違うゾー
ンにある(インターゾーントラフィック)かに関わらず、常に実行されます。
スライドのフローチャートは、パケットの検査順序を示したものです。デバイスが、そのデバイス自身を宛先とするトラフィックを
受信した場合、まずトラフィックの宛先が入力インターフェイスであるかどうかを調べます。当てはまる場合、ポリシーの検査はス
キップされます。そうでない場合、対応するセキュリティポリシーによってトラフィックが評価されます。トラフィックに対して一
致するポリシーが見つからない場合、デフォルトのポリシーアクションが適用されます。デフォルトのセキュリティポリシーについ
ては、次のスライドで説明します。許可するセキュリティポリシーとトラフィックが一致する場合、デバイスは、対応するゾーン内
の宛先インターフェイスへの進入が許可されているサービスとプロトコルのリストを調べ、対応するアクションを適用します。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 3
SRX シリーズ スタディガイド - パート 1
システムデフォルトのセキュリティポリシー
デフォルトでは、Junos OS は SRX シリーズデバイスを通過するすべてのトラフィックを拒否します。実際、すべてのパケットを拒否
するデフォルトのセキュリティポリシーが存在しています。この動作を変更するには、特定のタイプのトラフィックを許可する標準
のセキュリティポリシーを設定するか、次の図に示すように、すべてのトラフィックを許可するデフォルトのポリシーを設定します。
[edit security policies]
user@srx# set default-policy permit-all
工場出荷時のデフォルトのセキュリティポリシー
小中規模向けセキュリティプラットフォームでは、工場出荷時のデフォルトのテンプレート設定ファイルには次の 3 つの事前設定済
みのセキュリティポリシーがあります(前の段落で説明したシステムデフォルトのセキュリティポリシーと混同しないように注意し
てください)。
1.
Trust-to-trust ゾーンポリシー:trust ゾーン内のすべてのイントラゾーントラフィックを許可します。
2.
Trust-to-untrust ゾーンポリシー:trust ゾーンから untrust ゾーンへのすべてのトラフィックを許可します。
3.
Untrust-to-trust ゾーンポリシー:untrust ゾーンから trust ゾーンへのすべてのトラフィックを拒否します。
3 - 4 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
セキュリティポリシーの概念を示す例
ここでは、Junos セキュリティプラットフォーム上のパケットフローを例に挙げて説明します。
デバイスのインターフェイスは、プライベート、外部、パブリックの 3 つのセキュリティゾーンに分かれています。ビジネス要件に
より、プライベートゾーンのホスト B を送信元とし、外部ゾーンのホスト D を宛先とする SSH アプリケーションを許可する必要が
あります。この要件に応えるため、スライドに示すセキュリティポリシーを作成しました。
発生するイベントの順序は次のとおりです。
1.
ホスト B が、ホスト D に対する SSH セッションを開始します。
2.
Junos セキュリティデバイスがトラフィックを受信し、プライベートゾーンから外部ゾーンへのセキュリティポリシー
を使い、そのトラフィックを検査します。セキュリティポリシーでは、このトラフィックが許可されます。
3.
ホスト B からホスト D へのフローがトリガーとなり、ホスト D からホスト B へのリバースフローが作成されます。ス
ライドには、この新たに形成されたセッションが示されています。このセッションは、送信元から宛先、および宛先か
ら送信元という 2 つのフローで構成されています。
4.
ホスト D が、ホスト D からホスト B へのリターントラフィックを送信します。デバイスは、事前に作成されていた
セッションを使い、ホスト B へのリターントラフィックを許可します。
ポリシーの順序
ポリシーは設定ファイルに記述されている順序で実行されるため、次の点に注意する必要があります。
•
ポリシーの順序は重要です。
•
新しいポリシーはポリシーリストの最後尾に配置されます。
•
設定ファイル内のポリシーの順序は、Junos の insert コマンドを使用して変更できます。
•
最後のポリシーはデフォルトのポリシーで、デフォルトのアクションはすべてのトラフィックの拒否です。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 5
SRX シリーズ スタディガイド - パート 1
セキュリティ設定の編集
他の Junos 設定スタンザと同様、セキュリティポリシーは delete(削除)、deactivate(非アクティブ化)
、activate(アクティ
ブ化)、insert(挿入)、annotate(注釈)、copy(コピー)、rename(名前変更)、または検索、置換することができます。
ALG とは
ALG とは、アプリケーションからの複数の接続を、そのアプリケーションが作成した最初のセッションに関連付けるために使用する
ソフトウェアプロセスです。各 ALG は特定のプロトコルごとに設計する必要があり、すべての ALG の機能は互いに少しずつ異なりま
す。
ALG モジュールは、SRX デバイスのフローモジュールの一部であり、アプリケーションレイヤーを意識した処理を担います。また、
ALG の処理はファーストパスとファストパスの両方で実行されます。最初のパケットを受信するとファーストパスが ALG ベクトルを
設定し、ファストパスがその ALG を適用します。
ALG がその役割を担うためには、次の処理を実行する必要があります。
•
パケットペイロードに埋め込まれた IP アドレスとポート情報を確認し、パケットを検査します。
•
その IP アドレスとポート番号に対してゲートを開き、セッションのデータ交換を許可します。
•
必要に応じてネットワークアドレス変換(NAT)処理を実行します。
3 - 6 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
FTP ALG の例
このスライドと次の数枚のスライドでは、アクティブな FTP セッション中の FTP ALG の機能について、その概要を示します。
ここでは FTP 制御セッションを取り上げ、簡単な例を使って説明します。デフォルトでは、FTP セッションは、クライアント / サー
バー間で制御チャネルとデータチャネルの両方を使用します。制御チャネルは、ウェルノウン TCP ポート 21 を使い、クライアント
からサーバーへの接続を確立します。
FTP データセッション
このスライドでは、引き続き FTP ALG の例を使用します。ここでは、クライアントが正常に制御接続を確立し、制御セッションより
1 つ小さなポート番号を送信元として、サーバーがデータ接続を開始します。サーバーは、データ接続用のポートとして、デフォル
トでウェルノウンポートである TCP ポート 20 を予測します。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 7
SRX シリーズ スタディガイド - パート 1
ただし、FTP はデータ転送用に別の接続を使用するため、ALG の仲介が必要です。最初の FTP 要求はポート 21 を使って開始され、こ
れにより ALG が呼び出されます。
Junos OS の FTP ALG は、呼び出しと共に、データチャネルでのサーバー応答用にピンホールを開きます。ピンホールとは、元のトラ
フィックと一致するセキュリティポリシーを使って、リターントラフィックを許可するよう一時的にポートを開くことです。制御チャ
ネルがクライアントからサーバーへの制御チャネルを確立すると、ALG はデータチャネルの応答用に、サーバーからクライアントへ
のピンホールを作成します。ピンホールは、複数の ALG で使用される共通機能です。
デフォルトでは、Junos OS はこのトランザクション用に次に小さなポート番号を使用します。PORT コマンドを使い、ALG はステー
トメントを解析し、特定のクライアントポートを抽出します。また、サーバーのデータポートから新しいクライアントポートへのピ
ンホールセッションホルダーを作成することができます。
ALG が適用された FTP
このスライドに示すように、FTP ALG が適用されている場合、両方向のトラフィックを許可するために必要なのは
trust-to-untrust セキュリティポリシーだけです。trust-to-untrust セキュリティポリシーは、ポート 21 を使
い、最初のクライアントからサーバーへの FTP 制御チャネルが確立するのを許可します。また、ALG は、同じセキュリ
ティポリシーからのポート 20 を使ったリターンデータチャネルの確立を許可します。
ALG を無視した FTP
FTP ALG が無視された場合、FTP 制御チャネル(ポート 21)だけがセキュリティポリシー trust-to-untrust の使用を許可され、
最初の FTP トラフィックが許可されます。また、サーバーからの FTP データチャネル(ポート 20)を許可するには、ポリシー
untrust-to-trust によってリターントラフィックを許可する必要があります。ほかにも、パッシブ FTP を許可するカスタムアプ
リケーションを作成する方法が考えられます。パッシブ FTP ではセキュリティポリシーが 1 つだけ必要で、クライアントが制御接続
とデータ接続を開始します。
3 - 8 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
サポートされている ALG および動作
Junos OS がサポートしている ALG は、スライドに示すとおりです。ここでは、各 ALG について簡潔に説明します。
•
ドメイン名システム(DNS):DNS ALG は、DNS 応答パケットを監視します。DNS サーバーから応答パケットが返され
ると、セッションは終了します。
•
FTP:デフォルトの FTP では、サーバーからクライアントへの応答用に、FTP ALG によって、制御セッションよりも 1
つ小さなポート番号のピンホールが開けられます。FTP ALG は、PORT、PASV、227 の各コマンドを監視します。また、
FTP ALG は、IP バージョン 6(IPv6)の EPRT、EPSV、229 の各コマンドも監視します。
•
H.323:リターントラフィック用に適切なピンホールを開けるためには、複数の動的ポートを定義する必要がありま
す。ALG はさまざまな確認メッセージや応答メッセージを解析し、その中に含まれるネットワークアドレスとトランス
ポートアドレスを抽出します。また、パブリックアドレスとプライベートアドレスを置き換えるために NAT が有効な
場合、ALG は必要に応じてこのデータを変更します。さらに、以降に発生するピアクライアントへの通信用に、埋め込
まれたトランスポート・レイヤー・アドレスを使い、ピンホールを開けます。
•
メディアゲートウェイ制御プロトコル(MGCP):MGCP ALG は、Voice over IP(VoIP)と MGCP シグナリングペイ
ロードの検査を行います。また、ステートフルな処理を提供し、NAT を実行し、VoIP トラフィック用のピンホールを管
理します。
•
ポイントツーポイント・トンネリング・プロトコル(PPTP):PPTP ALG は制御メッセージを解析し、送信コールの要
求メッセージと送信コールの応答メッセージを探します。この ALG は、サーバーから送信された一般ルーティングの
カプセル化(GRE)トラフィックの受信用に 1 つ、クライアントから送信された GRE トラフィックの受信用にもう 1
つのゲートを開きます。この ALG は、PPTP に対するポートアドレス変換(PAT)をサポートできます。
•
リアルタイム・ストリーミング・プロトコル(RTSP):RTSP ALG は制御接続を監視し、メディアストリーム用に動的
にフローを開き、NAT アドレスとポートの再書き込みを実行します。
•
Sun Microsystems リモートプロシージャコール(SUNRPC):SUNRPC ALG は、Sun RPC のトランスポートアドレス
を動的にネゴシエートするメカニズム処理機能を提供し、プログラム番号に基づくセキュリティポリシーの適用を保証
します。セキュリティポリシーを、すべての RPC 要求を許可または拒否するように、または特定のプログラム番号に
基づき許可または拒否するように定義できます。また、この ALG は、受信要求および送信要求に対するルートおよび
NAT モードもサポートしています。
•
Microsoft リモートプロシージャコール(MSRPC):MSRPC ALG は、MSRPC のトランスポートアドレスを動的にネゴ
シエートするメカニズム処理機能を提供し、ユニバーサル固有識別子(UUID)に基づくセキュリティポリシーの適用を
保証します。セキュリティポリシーを、すべての RPC 要求を許可または拒否するように、または特定の UUID 番号に基
づき許可または拒否するように定義できます。また、この ALG は、受信要求および送信要求に対するルートおよび NAT
モードもサポートしています。
•
in(RSH):RSH ALG は、ポート 514 を宛先とする TCP パケットを処理し、RSH ポートコマンドを処理します。また、
RSH ALG は、ポート上、PORT コマンド内で NAT を実行し、必要に応じてゲートを開きます。
•
セッション開始プロトコル(SIP):SIP ALG は、SIP メッセージとセッション記述プロトコル(SDP)の内容を読み取
り、ポート番号の情報を抽出します。この情報は、メディアストリームが SRX デバイスを通過できるよう、動的にピン
ホールを開けるために必要です。
•
スキニークライアント制御プロトコル(SCCP):SCCP ALG は、リモート IP アドレスやメディア伝送開始時のリモート
ポート、オープンな受信チャネルのメッセージを解析します。次に、リターントラフィック用にピンホールを開けます。
•
構造化クエリ言語(SQL):SQL ALG は、サーバー側からの SQL Transparent Network Substrate (TNS)応答フレー
ムを処理します。また、パケットを解析して (HOST=ipaddress」および「(PORT=port) 」というパターンを検索し、
NAT を実行し、TCP データチャネル用にクライアント側のゲートを開きます。
•
TALK:TALK プロトコルでは、制御チャネル接続用に UDP ポート 517 およびポート 518 を使用します。talk プログラ
ムは、サーバーとクライアントで構成されています。サーバーはクライアント通知を処理し、talk セッションの確立を
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 9
SRX シリーズ スタディガイド - パート 1
支援します。talk サーバーには、ntalk と talkd の 2 種類があります。TALK ALG は、ntalk と talkd のどちらのフォー
マットのパケットも処理します。また、必要に応じて NAT を実行し、ゲートを開きます。
•
簡易ファイル転送プロトコル(TFTP):TFTP ALG は、要求を開始するパケットを処理し、要求を送信したポートへの
リターンパケットを許可するためにゲートを開きます。
•
インターネット鍵交換および Encapsulating Security Payload(IKE-ESP):IKE-ESP ALG は、クライアント / サーバー
間の IKE トラフィックを監視し、クライアント / サーバーのペアごとに IKE フェーズ 2 メッセージの交換を 1 つだけ許
可します。IKE-ESP ALG は、デフォルトで無効化されていることに注意してください。
ALG の設定
ALG は、[edit security alg] 階層下で設定します。一部の ALG には、特定の設定オプションがあることに注意してください。
IKE-ESP など、この階層の無効化されている ALG を有効化することもできます。また、すべての ALG に traceoptions を設定できます。
このスライドは、DNS ALG の設定オプションの例を示したものです。
ALG の適用
カスタムアプリケーションに ALG を適用するには、[edit applications
application name] 階 層下で application-protocol を設定しま
す。この設定は、カスタムアプリケーションで ALG の利点を活かす場合に
必要です。たとえば、FTP 用のカスタムアプリケーションを作成する場合、
そのカスタム FTP アプリケーションに関連付けられた ALG を適用する必
要があります。また、ALG を無視するよう設定する場合、application-protocol 設定オプションを使用します。これについては、
この章で後ほど説明します。
any-ipv4: 0.0.0.0/0
any-ipv6: ::/0
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
3 - 10 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ALG の確認
このスライドは、show security policies detail コマンドの出力例を示したものです。この出力では、trust-to-untrust
ポリシーに FTP ALG が適用されていることが示されています。このコマンドは、同じ情報に対してさまざまな使い方が可能であり、
多数のポリシーを設定している場合に便利です。たとえば、次の画面キャプチャでは、セキュリティポリシーの詳細な情報を表示す
る別の例を示します。
user@srx> show security policies from-zone trust to-zone untrust policy-name
trust-to-untrust detail
Policy: trust-to-untrust, action-type: permit, State: enabled, Index: 6, Scope Policy:
0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4: 0.0.0.0/0
any-ipv6: ::/0
Destination addresses:
セキュリティポリシーのコンテキスト
ポリシーを定義する場合、そのポリシーを送信元ゾーン、または from-zone と呼ばれる受信ゾーンに関連付ける必要があります。ま
た、宛先ゾーン、または to-zone と呼ばれる送信ゾーンも定義する必要があります。送信元および宛先の各方向のゾーンについては、
複数のポリシーを定義することができます。その場合、ポリシーの順序付けが参照され、Junos OS は設定ファイルに記述されている
順序で実行します。
前述のように、ゾーンは同一のセキュリティ要件を持つ複数の論理インターフェイスのコレクションです。Junos OS は、セキュリ
ティポリシーを使い、常にすべてのトランジットトラフィック(イントラゾーンおよびインターゾーン)をチェックします。
セキュリティポリシーのコンポーネント
定義済みのコンテキストタイトル内では、各ポリシーにはユーザー定義の名前でラベルが付けられます。Junos ルーティングポリシー
と同様、ユーザー定義の名前の下は、一致条件と特定のアクションのリストになります。ルーティングポリシーとの大きな違いは、各
セキュリティポリシーには、一致する送信元アドレス、宛先アドレス、およびアプリケーションを記述する必要があるという点です。
指定条件と一致するトラフィックに対するアクションとしては、許可、拒否、破棄、ログ、カウントなどが挙げられます。
また、Junos OS は、侵入検出および防止(IDP)ポリシー、小中規模向けデバイス用統合脅威管理(UTM)機能、およびファイア
ウォール認証の使用を呼び出すためにもポリシーを使用します。IDP とファイアウォール認証については、後続の各章で詳しく説明し
ます。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 11
SRX シリーズ スタディガイド - パート 1
ポリシーの一致条件
定義済みの各ポリシーには、次の一致条件が含まれている必要があります。
•
送信元アドレス:この条件は、アドレスセットまたは個別のアドレスの形式で記述できます。また、個別のアドレスを
アドレスセットにグループ化することができます。
•
宛先アドレス:この条件は、アドレスセットまたは個別のアドレスの形式で記述できます。また、個別のアドレスをア
ドレスセットにグループ化することができます。
•
アプリケーションまたはアプリケーションセット:この条件は、ユーザー定義またはシステム定義です。Junos OS は、
システムが用意したデフォルトのアプリケーションおよびアプリケーションセットをサポートしています。アプリケー
ションは、junos-application という形式で参照され、application は実際のアプリケーション名を表します。ま
た、独自のアプリケーションを定義することもできます。
一致するすべてのコンポーネントを指定する必要があります。コンポーネントのいくつかを省略した場合、設定をコミットすること
はできません。
アドスブックエントリの作成
このスライドは、アドレスブックエントリを作成するときに使用する構文を示したものです。ゾーン内のアドレスブックは、個別の
アドレスまたはアドレスセットで構成されます。アドレスセットとは、アドレスブック内で定義された 1 つまたは複数のアドレスの
セットです。アドレスセットは、アドレスのグループを複数回参照する必要がある場合に便利です。一致条件が特定のアドレスを必
要としない場合、アドレスブックエントリは必要ありません。この場合、セキュリティポリシーの送信元または宛先アドレスとして、
設定オプション any を指定することができます。
3 - 12 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPv6 アドレッシング
このスライドは、ゾーン内で IPv6 アドレスブックエントリを作成するときに使用する構文を示したものです。IPv6 アドレスブックエ
ントリを追加する場合、security forwarding-options 階層下で inet6 flow-based オプションを有効化する必要がありま
す。また、commit コマンドを実行して inet6 flow-based をアクティブ化した後、変更を反映するために SRX デバイスを再起動
する必要があります。SRX デバイスがクラスタにある場合、両方のノードを再起動する必要があります。次の例は、SRX デバイスの
フローステータスを確認する方法を示したものです。
user@srx> show security flow status
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: flow based
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
DNS アドレスブックエントリの作成
DNS アドレスブックエントリは、IP アドレスの代わりにドメイン名を一致条件のベースとするためにセキュリティポリシーを使うこ
とを許可します。DNS アドレスブックエントリに、指定したドメイン名エントリを許可させるには、SRX デバイスを DNS サーバー
に設定する必要があります。このスライドは、DNS アドレスブックエントリと DNS サーバーの設定方法を示したものです。
次の例は、DNS アドレスブックエントリを使用した場合のセキュリティポリシーの詳細な出力例を示したものです。[Destination
addresses] には、ドメイン名とその解決された IP アドレスが表示されます。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 13
SRX シリーズ スタディガイド - パート 1
user@srx> show security policies policy-name name detail
Policy: name, action-type: permit, State: enabled, Index: 6, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: dc, To zone: untrust
Source addresses:
any-ipv4: 0.0.0.0/0
any-ipv6: ::/0
Destination addresses:
abc.com: 192.168.10.100/32
...
カスタムアプリケーションの定義
Junos OS には、junos-rsh や junos-sip、junos-bgp など、多数の内蔵アプリケーションがあります。事前定義済みアプリケー
ションのリストはカスタマイズできる(リスト全体を拡張できる)ため、複雑なアプリケーションの組み合わせをサポートできます。
[edit]
user@srx# show groups junos-defaults | match application | match junos
application junos-ftp {
application junos-tftp {
application junos-rtsp {
application junos-netbios-session {
application junos-ssh {
application junos-telnet {
...
カスタムアプリケーションを設定するには、アプリケーション名を定義し、そのアプリケーションをプロトコルとポートに関連付け
ます。カスタムアプリケーションをアプリケーションレベル・ゲートウェイ(ALG)と関連付けるには、application-protocol
設定オプションを使用します。ユーザー定義のアプリケーションには、タイムアウト値が関連付けられます。Junos OS は、作成され
たセッションに対して、このタイムアウト値を適用します。タイムアウト値の時間が経過すると、ソフトウェアにより、セッション
テーブルからセッションがクリアされます。特定のアプリケーションのタイムアウト値は、変更が可能です。新しいタイムアウト値
は、既存のセッションではなく、新しいセッションだけに適用される点に注意してください。
事前定義済みアプリケーションの表示
スライドに示すように、事前定義済みアプリケーション
を表示するには show groups junos-defaults
applications 設定モードコマンドを使用します。この
junos-defaults の部分は隠しコマンドのため、この部分
を完全に入力する必要があります。また、動作モードコマ
ンド show configuration groups junos-defaults
applications でも同じ出力結果が得られます。
ス ラ イ ド で は、事 前 定 義 済 み の ア プ リ ケ ー シ ョ ン
junos-ftp が表示されています。
3 - 14 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
事前定義済みアプリケーションの変更
事前定義済みアプリケーションを変更することで、デフォルトを希望の設定に恒久
的に変更することができます。Junos OS に内蔵されているアプリケーションを変
更しないよう、新しいアプリケーションを作成することもできますが、その場合は
いくつかの追加ステップが必要になり、デフォルト設定で内蔵アプリケーションを
使用しないことがわかっている場合、一般的に処理時間は保証されません。
事前定義済みアプリケーションを変更する一般的な理由は、次のとおりです。
•
ウェルノウンポートを使用しないことでセキュリティを強化できる
可能性があるため、事前定義されているものとは異なるポートをア
プリケーションで使用したい。
•
アプリケーションが非アクティブになるまでの事前定義のタイムアウト値を増やしたい、または減らしたい。
•
アプリケーションに ALG を無視させたい、つまりそのアプリケーションでは ALG を無効にしながら、他のアプリケー
ションでは ALG を引き続き有効な状態を保ちたい。(ALG を無効化すると、その ALG はすべてのアプリケーションで無
効化されます)。
事前定義済みアプリケーションを変更するには、内蔵アプリケーションと同じ名前を持つ新しいアプリケーションを作成します。新
しいアプリケーションは、[edit applications] 階層下で作成します。前述のように、内蔵アプリケーションを表示するには、
show groups junos-defaults applications コマンドを実行します。
内蔵アプリケーションの変更には、カスタムアプリケーションを作成する場合と同じオプションを使用できます。変更したいオプショ
ンのみ設定する必要があります。次の例は、junos-ftp アプリケーションを非アクティブにするタイムアウト値のみを 1800 秒から
3600 秒に変更し、他のオプションは事前定義されたままにした場合を示しています。
[edit applications]
user@srx# show
application junos-ftp inactivity-timeout 3600;
グループを使用した事前定義済みアプリケーションの変更
事前定義済みアプリケーションは、グループ設定を使って変更し、グループに適用することができます。ただし、すべてのアプリケー
ションが同じ IP プロトコルを使用していることが条件となります。しかし、グループ設定を使うために十分な共通性を持つアプリ
ケーションを見つけることが難しい場合があります。
このスライドは、junos-ftp および junos-finger のタイムアウト値を変更するために、グループを作成する方法を示したもので
す。また、構成モードを使用して設定階層の最上部にグループが適用されていることも示しています。グループは、グローバル設定
レベルではなく、[edit applications] 階層下に適用することもできます。次の例では、[edit applications] 階層にグルー
プを適用しています。
[edit]
user@srx# show applications
apply-groups group-name;
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 15
SRX シリーズ スタディガイド - パート 1
変更されたアプリケーションの確認
このスライドの出力は、アプリケーション名にワイルドカード <junos-f*> を指定した(前のスライドの出力で確認できます)グ
ループ設定が正常に完了したことを示しています。junos-ftp および junos-finger の両方のタイムアウト値が元のデフォルト値
から変更されている点に注目してください。
ポリシー一致エントリの作成
from-zone...to-zone スタンザごとに、そのトラフィック方向のすべてのポリシーを入力します。from-zone...to-zone スタンザ
は、その配下のポリシーを送信元ゾーンと宛先ゾーンに関連付けます。そのゾーン方向の配下の各セキュリティポリシーに、名前、一
致条件、およびアクションを記述します。この例では、一致条件に注目しています。すべてのポリシーは、設定ファイルに記述され
ている順序で実行されます。
基本的なポリシーアクション
各ポリシーには、基本的なアクションと高度なアクションのリストが関連付けられています。基本的なアクションは次のとおりです。
•
permit:トラフィックフローを許可します。
•
deny:通知なくパケットをドロップします。
3 - 16 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
•
reject:パケットをドロップし、インターネット制御メッセージプロトコル(ICMP)の到達不能メッセージ(UDP ト
ラフィックの場合)および TCP リセット(RST)メッセージ(TCP トラフィックの場合)を送信します。
トラフィックのロギングおよびカウント
Junos OS では、各アクションについてトラフィックのログおよびカウントを記録するよう設定できます。カウンタを表示するには、
show security policies detail 動作モードコマンドを使用します。ロギングについては、後続のスライドで詳しく説明します。
高度な許可設定
前のスライドで触れたポリシーアクションについて、次の高度な許可設定ができます。
•
ファイアウォール認証
•
IPsec VPN トンネル
•
IDP
•
UTM 機能
ファイアウォール認証を使うと、別のゾーンに配置されている保護対象リソースにアクセスするユーザーを制限または許可できます。
Junos OS には、次の 2 種類のファイアウォール認証があります。
•
パススルー:FTP、Telnet、またはハイパーテキスト転送プロトコル(HTTP)を使い、デバイスを介して保護対象リ
ソースにアクセスするファイアウォールユーザーに、ユーザー名とパスワードを使った認証を行います。Junos セキュ
リティプラットフォームがセッションをインターセプトし、ユーザー認証を行います。
•
Web 認証:ファイアウォールユーザーは、HTTP または HTTP over Secure Sockets Layer(HTTPS)を使い、保護対象
リソースの代わりに、Junos セキュリティデバイスの IP アドレスにアクセスします。このデバイスはプロキシとして機
能し、ユーザー名とパスワードを使ってユーザーを認証し、その情報をキャッシュします。
ファイアウォール認証については、「ファイアウォールのユーザー認証」の章で詳しく説明します。
ポリシーが事前定義された IPsec VPN トンネルに関連付けられている場合、そのポリシーと一致する最初のパケットの受信時に、動
的にトンネルが作成されます。ポリシーベースの IPsec VPN は、IKE または手動のいずれかのタイプになります。IPsec VPN について
は、「IPsec VPN」の章で詳しく説明します。
ポリシーは、IDP ポリシーに関連付けることができます。IDP ポリシーはトラフィックを検査し、さまざまな攻撃検出および防止の手
法を適用します。IDP については、「侵入検出および防止について」の章で詳しく説明します。
小中規模向けデバイスに限定されますが、ポリシーは、トラフィックをアンチウィルスやコンテンツ・フィルタリング、Web フィル
タリングなどの UTM 機能に関連付けることもできます。
ユーザーロールに基づくファイアウォールポリシー
ネットワークでは、ユーザーとサーバーを識別する手段として IP アドレスが使われてきました。この戦略は、ユーザーまたはユー
ザーのグループが固定された場所からネットワークに接続し、同時に 1 台のデバイスしか使用しないことを前提としています。ただ
し、無線ネットワークやモバイルデバイスでは、別の戦略が必要になります。各ユーザーは、複数のデバイスを同時に使用してネッ
トワークに接続する場合があります。また、デバイスがネットワークに接続する方法も急速に変化しています。そのため、静的に割
り当てられた IP アドレスのグループでユーザーを識別することは、もはや不可能になっています。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 17
SRX シリーズ スタディガイド - パート 1
ユーザーロールに基づくファイアウォール・セキュリティ・ポリシーでは、ユーザーに割り当てられているロールに基づいてトラ
フィックを分類します。ユーザーロールを含む一致条件に基づき、リソースへのアクセスを許可またはブロックするサービスを適用
するポリシーを作成します。ユーザーロールファイアウォールは、SRX シリーズデバイス上で統合型アクセスコントロール(UAC)と
共に使用できる ID ベースのネットワーク・アクセス・コントロール(NAC)ソリューションに類似しています。ただし、ユーザー
ロールファイアウォールは Junos Pulse/Odyssey のインストールは不要で、エージェントレスの透過的な認証をサポートしています。
ユーザーロールの情報は、複数の方法で収集できます。たとえば、SRX シリーズデバイスでローカルに Junos Pulse アクセス・コン
トロール・サービス・デバイスから収集、またはサードパーティ製の認証サーバーから Junos Pulse アクセス・コントロール・サー
ビス・デバイスを経由して、SRX シリーズデバイスに認証データを転送することもできます。
Windows Active Directory などのサードパーティ製認証サーバーをユーザーロールファイアウォール設定に統合することで、シングル
サインオン(SSO)のサポートも提供されます。この場合、認証確認およびユーザーロール情報を Active Directory サーバーから SRX
シリーズデバイスに伝送するため、MAG シリーズデバイスを使う必要があります。これにより、ブラウザベースのユーザーが 1 度だ
け認証すれば、必要に応じてドメイン内の他の信頼済みサーバーに、その認証情報が転送されます。
グローバルポリシーの使用
セキュリティポリシーでは、トラフィックが、あるセキュリティゾーンから入り、別のセキュリティゾーンから出て行くことを要件
とします。この送信元ゾーン(from-zone)と宛先ゾーン(to-zone)の組み合わせはコンテキストと呼ばれます。各コンテキストに
は、順序付けられたポリシーのリストが含まれます。各ポリシーは、コンテキスト内で定義されている順序で処理されます。
セキュリティポリシーは、特定の送信元から特定の宛先に向けて許可されるトラフィックのタイプを定義することで、あるゾーンか
ら別のゾーンへのトラフィックフローを制御します。多くの場合、これでうまく機能しますが、柔軟性については十分とはいえませ
ん。たとえば、トラフィックに対してアクションを実行したい、しかし各コンテキストに対してポリシーを設定すべきゾーンを考慮
したくない場合などです。すべてのコンテキストに対応した複数のポリシーの作成を回避するため、グローバルポリシーを作成する
ことができます。グローバルポリシーを使用することで、ゾーン指定の制約を受けずに、トラフィックに対して柔軟にアクションを
実行することができます。
グローバル・セキュリティ・ポリシーと通常のセキュリティポリシーのどちらを使うかを選択する必要はありません。どちらも設定
内で同時に使用できます。ただし、通常のセキュリティポリシーのほうがグローバルポリシーよりも優先されることに注意してくだ
さい。たとえば、トラフィックがグローバルポリシーと通常のポリシーの両方と一致する場合、通常のポリシーで指定されているア
クションのほうが実行されます。
他のセキュリティポリシーとは異なり、グローバルポリシーは特定の送信元ゾーンや宛先ゾーンを参照しません。グローバルポリシー
を使用すると、セキュリティゾーンにかかわらず、アドレスとアプリケーションに基づいてトラフィックを制御することができます。
グローバルポリシーでは、ユーザー定義のアドレスまたは事前定義済みのアドレス「any」が参照されます。これらのアドレスは、複
数のセキュリティゾーンに及ぶことも可能で、または [edit security address-book global] 階層下のグローバルアドレス
ブックで定義することもできます。
次に、[edit security global policy] 階層下でグローバルポリシーを設定します。グローバルポリシーの設定はセキュリティ
ポリシーの設定と類似していますが、from-zone and to-zone 条件がないという点のみが異なります。
グローバルポリシーの使用
このスライドは、グローバルポリシーによって時間とシステムリソースを節約できるシナリオを示したものです。通常であれば、人
事、Eng、IT の各ゾーンと外部ゾーンとの通信を円滑に行えるよう、3 つのセキュリティポリシーを設定する必要があります。また、
作成するセキュリティポリシーごとにセキュリティコンテキストが作成されるため、システムリソースが消費されます。この方法で
3 - 18 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
個別のセキュリティポリシーを設定することは十分な拡張性があるとはいえません。特に、大量のセキュリティゾーンが存在する大
規模な環境の場合に当てはまります。
スライドに示すように、グローバル・セキュリティ・ポリシーを使用すると、SRX デバイスの設定にかかる時間を大幅に短縮できる
だけでなく、システムリソースの使用量も削減できます。
ポリシーコンポーネントのまとめ
ポリシーコンポーネントは、次のようにまとめられます。
•
セキュリティポリシーは、設定内の送信元ゾーン(from-zone)から宛先ゾーン(to-zone)方向のトラフィックに対し
て設定します。
•
各ポリシーには、照合条件が含まれます。
•
各ポリシーには、すべての照合条件が満たされた場合にシステムが実行するアクションのセットを指定します。
•
同方向のフローについて、複数のセキュリティポリシーを定義することができます。
•
ポリシーは設定ファイルに記述された順序で実行されるため、ポリシーの順序は重要です。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 19
SRX シリーズ スタディガイド - パート 1
コントロールプレーンのロギング
Junos OS は、コントロールプレーンのイベントをローカルまたは外部 syslog デバイスに記録します。ローカルのログは /var/log
ディレクトリのルーティングエンジンに保存されます。このログは、show log log-name 動作モードコマンドを使って表示できま
す。外部 syslog サーバーにログを送信するよう設定するには、host 設定オプションを使用します。スライドの例は、工場出荷時の
デフォルト設定におけるコントロールプレーンのロギングステートメントを示したものです。
小中規模向けデバイスのデータプレーンロギング
小中規模向け Junos セキュリティプラットフォームのデータプレーンロギングは、ローカルまたは外部システムログ(syslog)サー
バーに保存できます。ポリシーと一致するセッションの開始および終了を記録するには、セキュリティポリシー内で session-close
および session-init 設定オプションを使用します。ただし、本番環境のデバイスでは、session-close のみ使用することをお勧
めします。session-close および session-init の両方をロギングすると、一部の小中規模向け SRX シリーズデバイスでは CPU
使用率が高くなる場合があります。
3 - 20 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
スライドは、小中規模向けデバイスのログファイルの例を示したものです。ファイル名を指定した場合、ログはローカルの 
/var/log ディレクトリに保存されます。外部デバイスにログを送信するには、host IP-address 設定オプションを使用します。
データプレーン・セッション・ロギングのデフォルトのファシリティおよび重大度は user info です。Network and Security Manager
(NSM)デバイスがログを取得できるようにするには、スライドに示すようにログファイル名を default-log-messages にし、
structured-data 設定オプションを加えます。
ハイエンド SRX シリーズのデータプレーンロギング
ハイエンド SRX シリーズデバイスでのデータプレーンロギングは、外部の syslog デバイスで実行できます。ハイエンド SRX シリー
ズデバイスは大量のセッション処理をサポートしているため、Junos OS は限られたローカルのデータプレーンロギングのみサポート
しています。このスライドは、ハイエンド SRX シリーズデバイスのデータプレーンロギングの設定を示したものです。
現在、Junos OS はロギングトラフィックの 1 ストリームだけサポートしています。サポートされている収集デバイスは、UNIX syslogd
ベースサーバーや、ジュニパーネットワークス STRM シリーズ Security Threat Response Manager(STRM)などです。
セキュリティポリシーでのセッションのロギング
ポリシーと一致するセッションの開始および終了を記録するには、session-close および session-init 設定オプションを使用し
ます。このスライドは、ポリシーログアクションの設定を示したものです。
セキュリティポリシーの統計データの収集
統計データを収集するには、count セキュリティ・ポリシー・アクションを使用します。また、その内容を確認するには、show 動
作モードコマンドを使用します。セキュリティポリシーログで統計データの収集を有効にするために、count セキュリティ・ポリ
シー・アクションは必要ありません。session-close メッセージを含むログには、デフォルトで統計データが含まれています。こ
の章で後ほど紹介するケーススタディでは、統計データ収集の両形式の例を示します。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 21
SRX シリーズ スタディガイド - パート 1
動作監視コマンド
セキュリティポリシーの適用の監視には、さまざまな show コマンドを使用できます。show security policies コマンドを使用
すると、ポリシーのインデックス番号やポリシーの照合条件、ポリシーアクションなど、適用されているポリシーの詳細を表示でき
ます。ポリシーカウンタに関連付けられた統計データを表示するには、detail コマンドオプションを使用します。
show security flow session コマンドを使い、デバイスのアクティブなセッションと、各セッションに関連付けられているセ
キュリティポリシーを表示できます。このコマンド出力は、サービス・プロセッシング・ユニット(SPU)の特定用途向け集積回路
(ASIC)別に分類されることに注意してください。次の出力例は、2 枚のサービス・プロセッシング・カード(SPC)、つまり合計で 4
つの SPU を含むサービスゲートウェイからの出力です。サービスゲートウェイでアクティブになるセッションは 1 つだけです。
user@srx> show security flow session
0 sessions displayed
0 sessions displayed
0 sessions displayed
Session ID: 210000935, Policy name: permit-ftp/5, Timeout: 1768
In: 10.100.0.2/50054 --> 10.200.1.2/21;tcp, If: ge-1/2/1.10
Out: 10.200.1.2/21 --> 10.100.0.2/50054;tcp, If: ge-1/0/1.40
1 sessions displayed
セキュリティポリシーのトレース
スライドに示す設定は、Junos セキュリティプラット
フォームでのセキュリティポリシー評価およびセッ
ションのトレースを可能にします。選択したセッション
に関する詳細だけを記録するには、packet-filter 設
定オプションを使用します。ジュニパーネットワークス
のセキュリティおよびルーティングプラットフォーム
の構造上の設計から、本番環境のネットワークで、全体
的なパフォーマンスやパケット転送に影響を与えずに、
十分詳細なトレースができます。ただし、システムリ
ソースへの影響を軽減するため、デバイスをトラブル
シューティングするとき以外は traceoptions を非ア
クティブにすることをお勧めします。
3 - 22 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ポリシーのスケジューリング
ポリシースケジューラを使用すると、指定した期間または期間のセットにおいてポリシーを実行するようスケジューリングできます。
ポリシースケジューラはオプションです。スケジューラは、時刻変更に同期することで、手動設定または Network Time Protocol(NTP)
のいずれかによるシステム時刻の更新をサポートしています。
スケジューリングのルール
ポリシーのスケジューリングには、次のルールが適用されます。
•
各ポリシーに適用できるのは、1 つのスケジューラだけです。
•
複数のポリシーで同じスケジューラを使用することができます。
•
スケジューラをアクティブにするには、ポリシーで参照する必要があります。ポリシー内で定義されたスケジューラが
ない場合、そのポリシーは常にアクティブになります。
セキュリティ・ポリシー・スケジューラのコンポーネント
セキュリティ・ポリシー・スケジューラを使用すると、ポリシーの適用を開始する日時および停止する日時を柔軟に指定することが
できます。具体的には、スケジューラのコンポーネントには以下のものが含まれます。
•
スロットスケジュール:このコンポーネントは、ポリシー適用の開始日時と停止日時で構成されています。
•
日次スケジュール:このコンポーネントは、開始時刻、停止時刻、全日オプション、および除外オプションで構成され
ています。
ポリシースケジューラの詳細
ポリシースケジューラは、指定した時刻に、繰り返し、または 1 度だけ有効になります。前述のように、ポリシースケジューラは、
ユーザーが設定したスケジュールされた時刻に従って、ポリシーをアクティブ化または非アクティブ化します。スケジューラを作成
した後、そのスケジューラをポリシーに適用する必要があります。ポリシーのデフォルトの動作は、常に実行です。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 23
SRX シリーズ スタディガイド - パート 1
policy-rematch ステートメントのオ
プションでの適用
Junos OS のデフォルトの動作では、セキュリ
ティポリシーに設定の変更を加えても、進行中
のセッションを妨げることはありません。たとえ
ば、アドレスフィールドを変更したり、セッショ
ンの検査に使用されるポリシーのアクションを
変更したりできます。セッションは事前に確立さ
れているため、デフォルトでは中断されることな
く動作が継続されます。このデフォルトの動作
は、policy-rematch ステートメントを有効に
することで変更できます。このステートメントを
有効にすると、ポリシーに対する設定変更が発生
するたびに、進行中のセッションに反映されま
す。送信元アドレス、宛先アドレス、アプリケー
ション変更などの設定変更が発生すると、システ
ムによるポリシールックアップの実行時にポリシーが再評価されます。新たに一致したポリシーが、セッションによって参照されて
いるポリシーではない場合、そのセッションがクリアされます。IPsec VPN の変更が発生すると、Junos セキュリティプラットフォー
ムによってセッションがクリアされます。
次のリストは、policy-rematch フラグが有効か無効かに基づき、影響を受ける進行中のセッションに対して Junos OS が実行する
アクションをまとめたものです。
•
•
policy-rematch フラグが有効の場合:
-
ポリシーを挿入する:影響なし
-
ポリシーの action フィールドを permit から deny または reject のいずれかに変更する:既存のセッション
がすべてドロップされる
-
送信元アドレス、宛先アドレス、アプリケーションフィールドの一部の組み合わせを変更する:Junos OS がポ
リシールックアップを再評価する
policy-rematch フラグが無効の場合(デフォルト動作):
-
ポリシーを挿入する:影響なし
-
ポリシーの action フィールドを permit から deny または reject のいずれかに変更する:既存のセッション
をすべて継続する
-
送信元アドレス、宛先アドレス、アプリケーションフィールドの一部の組み合わせを変更する:既存のセッション
をすべて変わらず継続する
policy-rematch ポリシーフラグの値に関係なく、ポリシーを削除すると、影響を受ける既存のセッションはすべてドロップされる
点に注意してください。
3 - 24 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ケーススタディ:ポリシーの作成
次の数枚のスライドでは、2 つのゾーン、人事 およびパブリックでの設定について例を示します。人事ゾーンに配置されているプラ
イベート PC A および B は、カスタムのアプリケーションセットを使い、パブリックゾーンに配置されているサーバー C と通信を行
う必要があります。10.1.0.0/16 ネットワークのその他のデバイスは制限されており、ロギングおよびカウントされています。
ケーススタディ:人事ゾーンへのホストアドレスの入力
このスライドは、人事ゾーンに属するホストアドレスを追加する設定を示したものです。ホストには PC_A および PC_B が含まれて
おり、アドレスはそれぞれ 10.1.10.5 および 10.1.20.5 です。10.1.0.0/16 サブネットのその他の部分も定義されており、アドレス
ブックでは all-10-1 という名前です。また、PC_A と PC_B のアドレスは HR_PCs というアドレスセットにグループ化されていま
す。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 25
SRX シリーズ スタディガイド - パート 1
ケーススタディ:パブリックゾーンへのホストアドレスの入力
このスライドは、パブリックゾーンに属するホストアドレスを追加する設定を示したものです。パブリックゾーンには Server_C が
配置されており、アドレスは 1.1.70.250 です。1.1.7.0/24 サブネットのその他の部分も定義されており、アドレスブックでは
all-1-1-70 という名前です。また、address-Public というアドレスセットは、Server_C のアドレスで構成されています。
ケーススタディ:新しいアプリケーション
の追加
こ の ス ラ イ ド は、新 し い ア プ リ ケ ー シ ョ ン
HR-telnet を人事ゾーンで設定する例を示したもの
です。この設定では、source-port はアプリケー
ションのオプション設定です。また、新しいアプリ
ケーションが applications スタンザで追加され
たことを示しています。さらに、
HR-Public-applications と い う 新 し い ア プ リ
ケーションセットは、事前定義されている 2 つのアプ
リケーション junos-ftp および junos-ike と、新
たに定義された HR-telnet アプリケーションで構
成されています。
3 - 26 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ケーススタディ:ポリシーエントリの作成:パート 1
ここで、人事ゾーンからパブリックゾーンへのポリシーを定義する必要があります。この場合、2 つのポリシーを定義します。スラ
イドに示す HR-to-Public という 1 つ目のポリシーの目的は、送信元アドレスがアドレスセット HR_PCs に属していて、宛先アド
レスがアドレスセット address-Public に属していて、アプリケーションが HR-Public-applications の一部である場合にかぎ
り、人事ゾーンからパブリックゾーンへのトラフィックを許可することです。一致するトラフィックは、ロギングおよびカウントさ
れます。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 27
SRX シリーズ スタディガイド - パート 1
ケーススタディ:ポリシーエントリの作成:パート 2
このスライドは、先ほどと同じ人事ゾーンからパブリックゾーンへの 2 番目のポリシーの定義を示したものです。このポリシーでは、
次の場合のみ、パケットを拒否し、ロギングし、パケットをカウントします。
•
パケットの送信元アドレスが all-10-1 である。
•
宛先アドレスが all-1-1-70 である。
•
アプリケーションが junos-ftp である。
パケットが前のポリシー HR-to-Public または otherHR-to-Public と一致しない場合、デフォルトのポリシーでそのパケットが
検査され、デバイスによりドロップされます。
3 - 28 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ケーススタディ:セキュリティポリシーの監視:パート 1
このスライドは、ケーススタディで説明したいずれかのポリシーに対して show security policies detail コマンドを実行し
た場合の出力を示したものです。簡潔にするため、内容の一部を省略しています。
ケーススタディ:セキュリティポリシーの監視:パート 2
このスライドは、進行中の FTP トラフィックがケーススタディのセキュリティポリシーを通過した場合のデータプレーンのログ出力
例を示したものです。この出力は、外部 UNIX syslogd 対応サーバーでの出力をキャプチャしたものです。
© 2013 Juniper Networks, Inc. All rights reserved.
セキュリティポリシー • 3 - 29
SRX シリーズ スタディガイド - パート 1
復習問題
解答
1.
ポリシーの基本的なコンポーネントは、(1)ポリシー名 (2)送信元ゾーンおよび宛先ゾーン (3)1 つまたは複数の送信元アドレスま
たはアドレスセット、1 つまたは複数の宛先アドレスまたはアドレスセット、1 つまたは複数のアプリケーションまたはアプリケーショ
ンセットで構成される照合条件 (4)アクションです。
2.
すべてのポリシーセットに対するデフォルトのアクションは、トラフィックの拒否です。
3.
ポリシースケジューラを使用することで、セキュリティポリシーを動的にアクティブ化または非アクティブ化できます。
4.
ポリシーの順序は、Junos の insert コマンドを使って変更できます。
3 - 30 • セキュリティポリシー
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 4 章:ファイアウォールのユーザー認証
この章の内容:
•
ファイアウォールのユーザー認証の目的
•
パススルー認証の実装
•
Web 認証の実装
•
クライアントグループの使用
•
ファイアウォールのユーザー認証の監視
ファイアウォールのユーザー認証の目的
ファイアウォールのユーザー認証を導入することで、セキュリティゾーンやポリシー、SCREEN オプションに加え、ネットワークの
保護層を追加することができます。ファイアウォール認証を使用すると、ユーザーを個別またはグループ単位で制限したり許可した
りできます。ユーザーがネットワークリソースにアクセスしようとすると、セキュリティポリシーでトラフィックを許可するよう設
定されている場合でも、Junos OS ではユーザー名とパスワード入力を要求するプロンプトが表示されます。
ユーザーは、ローカルのパスワードデータベースまたは外部のパスワードデータベースを使って認証されます。Junos OS は、
RADIUS、ライトウエイト・ディレクトリ・アクセス・プロトコル(LDAP)、または SecurID の各認証サーバーをサポートしています。
スライドの例は、パブリックゾーンに属するネットワークリソースにユーザー(ホスト A)がアクセスしようとする様子を示したも
のです。ファイアウォールのユーザー認証を設定している場合、ユーザーはまず Junos セキュリティプラットフォームで認証されな
ければリソースにはアクセスできません。この例では、デバイスが外部認証サーバーに問い合わせて、認証結果を判断します。また、
セキュリティポリシーでもトラフィックフローが許可されている必要があります。一度ユーザーが認証されると、同じ送信元 IP ア
© 2013 Juniper Networks, Inc. All rights reserved.
ファイアウォールのユーザー認証 • 4 - 1
SRX シリーズ スタディガイド - パート 1
ドレスからの後続のセッションについては、ファイアウォールのユーザー認証を迂回します。この動作は、送信元ベースのネットワー
クアドレス変換(NAT)が導入されたネットワークで、ファイアウォールのユーザー認証の使用を検討する場合に特に重要です。
パススルー認証
ファイアウォールのユーザー認証では、パススルー認証または Web 認証のいずれかを使用できます。パススルー認証は、まず Telnet、
FTP、ハイパーテキスト転送プロトコル(HTTP)のいずれかのトラフィックでトリガーする必要があります。このタイプのファイア
ウォール認証では、ユーザーがリモートネットワークのデバイスまたはリソースに対するセッションを開始します。パススルー認証
用に設定されたセキュリティポリシーとトラフィックが一致する場合、SRX シリーズ サービス・ゲートウェイがセッションをイン
ターセプトします。ユーザーには、ユーザー名とパスワードの入力を要求するプロンプトが表示されます。認証に成功すると、同じ
送信元 IP アドレスから送信された後続のトラフィックは、適用されているセキュリティポリシーと一致する限り、自動的にデバイス
の通過が許可されます。
Web 認証
Web 認証は、すべてのタイプのトラフィックで有効です。Web 認証が設定されている場合、ユーザーはまず HTTP を使用して Junos
セキュリティプラットフォームに直接アクセスする必要があります。ユーザーがデバイスのアドレスまたはホスト名を Web ブラウザ
に入力すると、ユーザー名とパスワードの入力を要求するプロンプトが表示されます。認証に成功すると、制限されたリソースに直
接アクセスできるようになります。また、セキュリティポリシーで許可されている限り、同じ送信元 IP アドレスから送信された後続
のトラフィックは、制限されたリソースへのアクセスが自動的に許可されます。
認証サーバーのサポート
ローカル認証
Junos OS は、RADIUS、LDAP、および SecurID の外部認証サーバーに加え、Junos セキュリティプラットフォーム自身によるローカ
ル認証をサポートしています。この方式では、ローカルのパスワードデータベースにより、認証と許可をサポートします。
RADIUS 認証
Junos OS は、RADIUS での認証および許可をサポートしています。この場合、Junos セキュリティプラットフォームは RADIUS クラ
イアントとして動作し、通信には UDP が使用されます。RADIUS は、共有秘密鍵を使用して、交換時にユーザー情報を暗号化します。
LDAP 認証
外部認証サーバーとして、LDAP サーバーも使用できます。ただし、LDAP サーバーを使用した場合、Junos OS がサポートするのは認
証のみです。Junos OS と互換性があるのは、LDAP バージョン 3 と Microsoft Windows Active Directory です。
4 - 2 • ファイアウォールのユーザー認証
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
SecurID 認証
RSA SecurID サーバーは、外部認証で使用できます。この方式の場合、ユーザーは資格情報として静的パスワードまたは動的パスワー
ドを入力できます。動的パスワードは、ユーザーの PIN とランダムに生成されたトークンの組み合わせで、短時間の間だけ有効です。
Junos OS は認証でのみ SecurID サーバーをサポートしており、SecurID のチャレンジ機能はサポートしていません。
パススルー認証
このスライドは、パススルーファイアウォール認証プロセスを図示したものです。ユーザーは、Telnet、HTTP、FTP のいずれかを使
用してリモートネットワークリソースに直接接続を試行します。すると、Junos セキュリティプラットフォームが最初のパケットを
インターセプトし、メモリに保存します。次に、デバイスからエンドユーザーに対して、ユーザー名とパスワードの入力を要求する
プロンプトが表示されます。認証に成功するとバナーが表示され、バッファされた元のパケットが宛先に伝送されます。表示される
バナーは、独自にカスタマイズできます。Junos OS は同じ送信元 IP アドレスから送信された後続のトラフィックを許可しますが、
ユーザーのアイドル時間が 10 分に達すると許可しなくなります。この場合、再度認証を実行しなければ、後続のトラフィックはデバ
イスを通過できません。デフォルトのアイドルタイムアウト時間は 10 分ですが、次のように設定できます。
[edit access profile profile-name]
user@srx# set session-options client-idle-timeout ?
Possible completions:
<client-idle-timeout> Time in minutes of idleness after which access is denied
© 2013 Juniper Networks, Inc. All rights reserved.
ファイアウォールのユーザー認証 • 4 - 3
SRX シリーズ スタディガイド - パート 1
アクセスプロファイルの作成
このスライドは、基本的なアクセスプロファイルの例を示したものです。この例では、ユーザー定義のプロファイル名の設定が示さ
れています。プロファイルでは、エンドユーザーを表す 1 つまたは複数のクライアントを設定します。client-name はユーザー名を表
します。パスワードは平文で入力しますが、設定を確認する場合は暗号化して表示されます。
アクセスプロファイルと認証タイプの関連付け
アクセスプロファイルを定義した後、パススルーファイアウォール認証に関連付ける必要があります。このスライドは、この設定の
基本的な例を示したものです。Junos OS では、エンドユーザーに表示するバナーをカスタマイズすることもできます。パススルー認
証を設定する場合は、初回ログインバナー、認証成功バナー、認証失敗バナーを表示できます。
4 - 4 • ファイアウォールのユーザー認証
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
パススルー認証のポリシーアクションとしての適用
パススルー認証および Web 認証は、セキュリティポリシーを使って有効にします。ファイアウォールのユーザー認証は、トラフィッ
クがポリシーの照合条件に合致していること、および使用するファイアウォール認証タイプを指定した拡張アクションが許可されて
いることを条件とします。このスライドは、セキュリティポリシーにパススルーファイアウォール認証を適用する例を示したもので
す。
Web 認証
このスライドは、Web ファイアウォール認証で使用されるプロセスを示したものです。リモートネットワークリソースへのアクセス
が必要なユーザーは、まず Web ブラウザを使用して Junos セキュリティプラットフォームに直接アクセスする必要があります。次
に、デバイスからエンドユーザーに対して、ユーザー名とパスワードの入力を要求するプロンプトが表示されます。認証に成功する
© 2013 Juniper Networks, Inc. All rights reserved.
ファイアウォールのユーザー認証 • 4 - 5
SRX シリーズ スタディガイド - パート 1
とバナーが表示され、リモートリソースへのアクセスが許可されます。表示されるバナーは、独自にカスタマイズできます。Junos
OS は同じ送信元 IP アドレスから送信された後続のトラフィックを許可しますが、ユーザーのアイドル時間が 10 分に達すると許可し
なくなります。この場合、再度認証を実行しなければ、後続のトラフィックはデバイスを通過できません。デフォルトのアイドルタ
イムアウト時間は 10 分ですが、次のように設定できます。
[edit access profile profile-name]
user@srx# set session-options client-idle-timeout ?
Possible completions:
<client-idle-timeout> Time in minutes of idleness after which access is denied
HTTP プロセスの有効化
Web 認証を使用するには、SRX シリーズデバイスが httpd プロセスを開始する
必要があります。このシステムプロセスをデバイスで有効にするために必要な
設定は、スライドの赤い線で囲まれた部分です。この設定によって、J-Web ユー
ザーインターフェイスを使用した Web 管理用の HTTP アクセスが可能になり、
Web 認証も使用できるようになります。また、個別のインターフェイスやイン
ターフェイスグループへのアクセスを制限するよう設定することもできます。
Web 認証で使用するインターフェイス(または J-Web ユーザーインターフェイ
ス)を含むセキュリティゾーンでは、ホスト・インバウンド・トラフィックと
して HTTP トラフィックを許可する必要があります。
Web 認証用インターフェイスの有効化
Web 認証用にユーザーがアクセスするインターフェイスは、認証に対して有効化されている必要があります。このスライドは、ge-0/
0/0 インターフェイスで Web 認証を有効化する設定例を示したものです。Web 認証のアドレスには、セカンダリ IP アドレスを使用
することをお勧めします。Web 認証のアドレスは、プライマリ・インターフェイスのアドレスと同じサブネット内になければなりま
せん。また、このインターフェイスから送信されたトラフィックが送信元アドレスとしてこのプライマリアドレスを使い続けるよう
にするには、preferred 設定オプションを使用します。
アクセスプロファイルの作成
Web 認証では、パススルー認証と同じプロファイル
を使用できます。スライドの例は、ユーザー定義のプ
ロファイル名の設定を示したものです。プロファイル
では、エンドユーザーを表す 1 つまたは複数のクラ
イアントを設定します。client-name はユーザー名を
表します。パスワードは平文で入力しますが、設定を
確認する場合は暗号化して表示されます。
4 - 6 • ファイアウォールのユーザー認証
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
アクセスプロファイルと認証タイプの関連付け
アクセスプロファイルは、パススルー認証と同じ設定構造を使用して Web
認証に関連付けます。このスライドは、この設定の基本的な例を示したも
のです。Junos OS では、エンドユーザーに表示するバナーをカスタマイズ
することもできます。Web 認証では、認証が成功した場合のバナーのみカ
スタマイズできます。
Web 認証のポリシーアクションとしての適用
パススルー認証および Web 認証は、セキュリティポリシーを使って有効にします。ファイアウォールのユーザー認証は、トラフィッ
クがポリシーの照合条件に合致していること、および使用するファイアウォール認証タイプを指定した拡張アクションが許可されて
いることを条件とします。このスライドは、セキュリティポリシーに Web ファイアウォール認証を適用する例を示したものです。
Web 認証のクリーナーメソッド
リモートリソースへのアクセスが許可される前に、ブラウザ
を通してデバイスに直接アクセスする場合は、面倒な処理が
必要です。このような処理を軽減するため、Junos OS では
Web リダイレクトが可能です。このスライドは、Web リダ
イレクトの設定を示したものです。Web リダイレクトを有
効にすると、デバイスは HTTP リダイレクトメッセージで
ユーザーデバイスに応答します。これにより、ユーザーデバ
イスは、HTTP を使用して特定のアドレスで Junos セキュリ
ティプラットフォームにアクセスします。Junos OS は、最
初にユーザー要求を受け取ったインターフェイスのアドレ
スを使用します。そのため、標準の Web 認証の場合と同様、
そのインターフェイスとシステム自身に対して Web 認証を有効にする必要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
ファイアウォールのユーザー認証 • 4 - 7
SRX シリーズ スタディガイド - パート 1
クライアントグループの使用
クライアントグループとは、クライアントに関連付けられたグループのリストです。クライアントグループを使用することで、複数
のファイアウォールユーザーを簡単に管理できます。セキュリティポリシーは、個別のクライアントと同じ方法でクライアントグルー
プを参照します。このスライドは、クライアントグループを使用して複数のユーザーを管理する仕組みをシンプルな概念として例示
したものです。次の 2 枚のスライドでは、この例を使用してクライアントグループの設定について説明します。
ユーザーへのクライアントグループの追加
このスライドは、複数のグループに関連付けられている 3 人のユーザーの設定例を示したものです。各グループ(この設定例では [ ]
で囲まれています)は、クライアントグループを表します。グループ設定はここでしか行わないため、誤って余分なグループを作成
してしまわないよう Tab キーを使用すると便利です。
4 - 8 • ファイアウォールのユーザー認証
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
クライアントグループの使用をポリシーで設定する
クライアントグループを作成すると、ファイアウォール認証を適用したセキュリティポリシーでグループを参照できるようになりま
す。グループは、個別のクライアントの代わりに使用できます。このスライドは、セキュリティポリシーでクライアントグループを
使用する方法を示したものです。この例では、前のスライドの Group-A がパススルー認証を受けます。
確認問題
engineering リソースへの Telnet アクセス権を持つユーザーを答えてください
この設定例ではファイアウォール認証が有効になっており、セキュリティポリシーで指定されているのはクライアントグループ
Group-A だけです。クライアントグループ Group-A は、user1 および user2 に関連付けられています。したがって、user1 と user2
が engineering リモートネットワークリソースへのアクセス権を持つことになります(認証に成功した場合)。
3 人のユーザー全員が同じ送信元 IP アドレスを使用するとどうなりますか
ファイアウォールのユーザー認証は、送信元 IP アドレスに基づき行われます。この章で説明したように、ファイアウォール認証に成
功すると、同じ送信元 IP アドレスの後続のセッションについては、アイドルタイムアウトの時間内であれば認証が行われません。こ
の例では、user1 または user2 が認証されている場合は、user3 もリモート engineering リソースにアクセスできることになります。
© 2013 Juniper Networks, Inc. All rights reserved.
ファイアウォールのユーザー認証 • 4 - 9
SRX シリーズ スタディガイド - パート 1
デフォルトのクライアントグループ
Junos OS では、アクセスプロファイル内の全ユーザーのキャッチオールとして機能するデフォルトのクライアントグループを設定で
きます。この設定によって、アクセスプロファイル内のユーザーを分類し、より管理しやすくなります。ユーザーまたはクライアン
トがクライアントグループに関連付けられていない、かつデフォルトのクライアントグループが存在する場合、そのユーザーはデフォ
ルトのクライアントグループに関連付けられます。クライアントグループは、1 つまたは複数のグループで構成されます。
アクセスプロファイルへのサーバーの追加
外部認証サーバーの詳細は、アクセスプロファイル内で設定します。Junos OS では、アクセスプロファイルに対して指定できる外部
認証サーバーは 1 つだけですが、ローカルのパスワードデータベースと組み合わせて使用できます。外部サーバーを使用する場合は、
認証順序を指定する必要があります。Junos セキュリティプラットフォームは、リストの最初に指定されている方法で認証を試行し
ます。設定において、認証順序にパスワードデータベースが指定されておらず、外部認証サーバーのリストされた方法に到達できな
い場合でも、Junos OS はローカルのパスワードデータベースに問い合わせを行います。ただし、指定された外部認証方法での認証に
失敗した場合、Junos OS はローカルのパスワードデータベースに問い合わせを行わず、ユーザーアクセスは拒否されます。
認証テーブルの表示
スライドの最初の例は、現在の認証テーブルを表示する方法を示したものです。このテーブルには、ユーザーと各ユーザーに関連付
けられているアクセスプロファイルのリストが設定されています。ここには、送信元 IP アドレス、送信元および宛先のセキュリティ
ゾーン、認証結果、およびアイドルタイマーの現在の経過時間が表示されます。また、認証テーブルは、送信元 IP アドレスまたは
ユーザー ID を基準に並べ替えることもできます。この場合、次の出力例に示すように、address または identifier コマンドオプ
ションを付けてコマンドを実行します。
user@srx> show security firewall-authentication users ?
Possible completions:
<[Enter]>
Execute this command
address
Locate authentication entry by ip address
identifier
Locate authentication entry by id
4 - 10 • ファイアウォールのユーザー認証
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
認証テーブルの履歴の表示
このスライドは、認証テーブルの履歴を表示する方法を示したものです。このテーブルには、ファイアウォール認証の試行履歴が簡
潔な形式で記録され、日時スタンプなどが含まれます。このコマンドでは、address および identifier コマンドオプションの使
用もサポートされています。
復習問題
解答
1.
Junos OS は、RADIUS、LDAP、および SecurID の外部認証サーバーをサポートしています。
2.
パススルー認証では、ユーザーがリモートネットワークリソースへの直接アクセスを試行し、Junos セキュリティプラットフォームがそ
のセッションをインターセプトしてファイアウォール認証を実行します。この間、セッションはバッファされています。バッファされた
セッションは、認証に成功している限り解放されます。Web 認証では、まずユーザーが Junos セキュリティデバイスに属する IP アドレ
スに Web ブラウザを使用してアクセスします。認証は、HTTP セッションを使用して実行されます。ユーザーは、認証に成功している
限り、リモートネットワークリソースにアクセスすることができます。FTP、Telnet、および HTTP トラフィックがパススルー認証をト
リガーしますが、HTTP セッションが Web 認証をトリガーする必要があります。
3.
クライアントグループとは、クライアントに関連付けられたグループのリストです。管理しやすくする目的で、セキュリティポリシーに
おいて個別のクライアントの代わりにグループを使用できます。
4.
ファイアウォール認証の試行履歴を表示するには、show security firewall-authentication history コマンドを使用します。
© 2013 Juniper Networks, Inc. All rights reserved.
ファイアウォールのユーザー認証 • 4 - 11
SRX シリーズ スタディガイド - パート 1
4 - 12 • ファイアウォールのユーザー認証
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 5 章:Screen オプション
この章の内容:
•
Screen オプションとその意味
•
Screen オプションが防ぐさまざまな攻撃
•
Screen オプションの利点
•
Screen オプションの設定
•
Screen オプションの適用と監視
攻撃にさらされるネットワーク
ネットワークセキュリティの問題にはこの 10 年ほど、大きな変化は見られませんが、ネットワークセキュリティの展望は著しく変
化しました。その中で IT 技術者は、変わらず企業情報の機密性を守り、不正アクセスを防ぎ、ネットワークを攻撃から守ることが求
められています。ネットワークがより複雑で動的になるに従って、新たな課題も生じています。これらの課題のいくつかを次に示し
ます。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 1
SRX シリーズ スタディガイド - パート 1
•
インターネットアクセスの拡大:インターネットへのアクセスが拡大するにつれ、すべての家庭、オフィス、ビジネス
パートナーが攻撃のエントリポイントになる可能性が高まりました。コーポレートネットワークが恣意的な攻撃に対し
て脆弱であるばかりでなく、コーポレートネットワークにログインするリモートユーザーのセッションに、知らないう
ちに攻撃の意図が隠されている場合があります。自宅勤務者が会社の PC を個人的に使用する機会が増え、スパイウェ
アやフィッシング、スパムなど、危険で迷惑な攻撃を受ける可能性も増大しています。
•
内部攻撃:外部からの攻撃を阻止することは常に大きな課題ですが、一方でネットワーク内部の従業員からの攻撃を阻
止することも同じく大きな課題といえます。内部攻撃は、サーバーやリソースへの不正なアクセスから、不満を抱いた
従業員が機密情報を破棄したり盗んだりすることまで、多岐にわたります。
•
規制準拠への取り組み:国や業界レベルの新たな規制が策定されていますが、セキュリティの問題は常に大きな課題と
なっています。これらの規制では、すべてのデータの暗号化や、不正アクセスからの保護などが求められており、セ
キュリティ管理者にとってこれらの新しい規制に準拠することは大変な課題です。
•
変化する信頼レベル:企業リソースへのアクセスレベルは、リモートの従業員、ビジネスパートナー、顧客、サプライ
ヤーによって異なる場合があります。これらすべてのレベルでコーポレートネットワークを保護するための対策を講じ
なければなりません。DMZ(非武装地帯)を通じてリモートユーザーがアクセスするアプリケーションの数が増える一
方、同時に企業では社内外のユーザーが使うアプリケーションのインスタンスを最低限に抑え、コスト削減を図ろうと
しています。そのため、両グループが使用するアプリケーションに適したセキュリティポリシーが必要になります。
脆弱ポイントは制御ポイント
厳しいネットワークセキュリティと、従業員やビジネスパートナー、顧客が求めるネットワークアクセスとのバランスを取る鍵は、レ
イヤー型のセキュリティソリューションです。レイヤー型のセキュリティソリューションには、リモートサイトからデータセンター
までエンドツーエンドのセキュリティを設定するために必要なツールセットがすべてそろっています。1 つのレイヤーで攻撃を防ぐ
ことができなかった場合は、次のレイヤーで防ぎ、攻撃によるダメージを限定することができます。
レイヤー型のセキュリティでは、さまざまなセキュリティやパフォーマンス、管理の要件に応じて、各種ネットワーク・エントリ・
ロケーションに適したリソース保護レベルを適用できます。ネットワークには、次のような脆弱ポイントがあります。
•
リモートアクセスは、ユーザーがパブリックまたはプライベート接続を介してコーポレートネットワークにアクセスす
る際に生じます。リモートアクセスで求められるセキュリティの目的は、ネットワークを通過するコンテンツとユー
ザー ID を保護することです。
•
従業員や非従業員のサイト間における通信は、さまざまな種類や規模の 2 カ所のオフィス間で交わされます。サイト間
のセキュリティレイヤーは、本来信頼できる PC が感染してしまった場合、その PC を発信源とするセッションハッキ
ングや U ターン攻撃、トロイの木馬、ワームなどの外的脅威から、両サイトを保護しなければなりません。内部攻撃は
増加傾向にあり、これにはサーバーへの不正なアクセス、帯域幅の不適切な使用、スパイウェアの埋め込みなどが挙げ
られます。
5 - 2 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
•
ネットワークの境界は、外部のトラフィックがネットワークに初めてアクセスするポイントであると同時に、内部のト
ラフィックがインターネットに流出するポイントでもあります。境界が示すトラフィックの多様性に伴い、セキュリ
ティソリューションは VPN、サービス拒否(DoS)保護、ファイアウォール、アンチウィルススキャン、侵入検出サー
ビス(IDS)、アンチスパムスキャンを含む多岐にわたるセキュリティレイヤーを使用して、広範囲な攻撃からネット
ワークを保護する必要があります。
•
ネットワークデータセンター(またはネットワークコア)は企業の心臓部であり、そこには日々の業務を遂行するアプ
リケーションとデータがあります。経理、人事、製造アプリケーションとそれらを支えるデータは企業の最も重要な財
産であり、それらが危険にさらされると、どんなに安定した企業であっても存亡の危機に陥る可能性があります。コ
ア・ネットワーク・セキュリティ・レイヤーは、不正なユーザーアクセスや、不満を抱く従業員による内部攻撃、アプ
リケーションレベルの攻撃を防ぎ、ビジネス上必要不可欠なリソースを保護しなくてはなりません。
•
ネットワークリソースへの不正なユーザーアクセスの防止や、通信の暗号化と復号化、攻撃を防げなかった場合のダ
メージの軽減のため、IT 部門が、ネットワークの中核にレイヤー型のセキュリティを適用するとともに、LAN 上のセ
キュリティ機能を社内で導入するケースが増えてきました。
攻撃検出システム:Screen オプション
Junos OS セキュリティプラットフォームの代表的な要素として、セキュリティポリシーを使った基本的なアクセスコントロールが挙
げられます。このポリシーでは、ネットワークにアクセスできる個人やデバイスを定義します。Junos OS は、ステートフル・インス
ペクションを使用し、悪質なコンテンツからネットワークを保護します。Junos セキュリティプラットフォームは、ステートフル・イ
ンスペクションを行い、送信元 IP アドレスや宛先 IP アドレス、送信元ポート番号、宛先ポート番号、TCP や UDP 擬似セッションか
らのパケットシーケンス番号などのデータを収集します。デバイスはこのデータをステートテーブルに保持し、その後のトラフィッ
ク分析に使用します。
カスタムセキュリティゾーンを設定することで、Junos OS はネットワークの境界を保護するだけでなく、内部インフラストラクチャ
のセグメンテーションも提供します。SRX シリーズ サービス・ゲートウェイは、社内で使用され、アクセスコントロールにレイヤー
を追加することで、企業が認証ユーザーを過大に定義することを防ぎます。
Junos セキュリティプラットフォームで Screen オプションを使用することで、SYN フラッド攻撃や UDP フラッド攻撃、ポートスキャ
ン攻撃を含む 30 種類以上の社内外からの攻撃を防ぐことができます。DoS 攻撃からの保護は、調査にステートフル・インスペクショ
ンを活用し、標的とする宛先への通信経路、またはそこからの通信経路において、インターフェイスを通過しなければならない接続
の試行を許可または拒否します。
Screen オプションを適用すると、エントリポイントでトラフィックに関連付けられます。Junos OS は、セキュリティポリシー処理
の前にトラフィックの Screen チェックを適用するため、リソースを有効活用できます。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 3
SRX シリーズ スタディガイド - パート 1
復習:パケットフロー
Screen オプションについて説明する前に、Junos セキュリティプラットフォーム上のパケットフローについて復習しましょう。
Screen 処理はパケット処理の前に行われるため、リソースを有効活用でき、Junos セキュリティプラットフォーム自体もより保護さ
れます。
攻撃の段階
Screen オプションの設定を理解するためには、先にネットワーク攻撃の段階と種類について理解する必要があります。ネットワーク
攻撃は主に 3 つの段階で構成されます。第 1 段階では、攻撃者が標的のネットワークを偵察します。偵察には、さまざまなネットワー
クプローブが使われます。この情報収集段階で、攻撃者は標的のネットワークやオープンなポート、使用されているオペレーティン
グシステムに関する情報を収集します。
第 2 段階では、標的のネットワークに攻撃を仕掛けます。攻撃者も自らを守るために、攻撃の発信源を隠蔽しなければならず、攻撃
が行われた形跡をすべて消去しようとします。
攻撃の種類によって、3 つ目の段階があります。攻撃者は信頼されたマシンに侵入した後、そのマシンを発信源としてネットワーク
にさらに攻撃をしかけます。トラフィックは信頼されたシステムから発信されたものとみなされるため、通常外部システムと同じセ
キュリティスキャンは行われません。
IP アドレススイープ
攻撃者が、まず始めに標的とするネットワークのレイアウトやエントリ可能ポイント、構成を把握することで、より周到な攻撃計画
が立てられます。
アドレススイープは、送信元の IP アドレスの 1 つから別のホストにインターネット制御メッセージプロトコル (ICMP) パケットが送
られた場合に発生します。このスキームは、複数のホストにトラフィックを送って、いずれかのホストからレスポンスを得ることで、
標的とするアドレスを見つけることを目的としています。
ポートスキャン
ポートスキャンは、あるソース IP アドレスから、同じ宛先 IP アドレスの別のポートに、TCP SYN セグメントを持つ IP パケットが送
られた場合に発生します。このスキームは、いずれかのポートからレスポンスを得ることで、標的とするサービスを識別し、スキャ
ンすることを目的としています。
5 - 4 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IP オプション
RFC 791「インターネットプロトコル」は、特別なルーティング制御や診断ツール、セキュリティを提供するためのオプションセッ
トを規定しています。RFC 791 では、これらのオプションを「多くの一般的な通信では不要」としており、実際の IP パケットヘッ
ダーではほとんど見られません。使用されている場合は不正な目的を持つケースが多く見られます。
OS プローブ
攻撃者は、標的とするホストのオペレーティングシステムを調べるためにプローブを行う場合があります。TCP 規格は異常なトラ
フィックへのレスポンス方法を規定していないため、異常なトラフィックへのレスポンスはオペレーティングシステムによって異な
ります。この異常なトラフィックへのレスポンスの違いから、攻撃者は、対象ホストで動作するオペレーティングシステムの種類を
知ることができます。
回避テクニック
攻撃者が情報の収集や攻撃の開始を行うときは通常、検出を回避しようとします。IP アドレスやポートスキャンの中には無防備で簡
単に検出できるものもありますが、より高度な技術をもった攻撃者は、これらの行動を隠すさまざまな手段を講じます。
サービス拒否攻撃の形式
DoS 攻撃は、膨大な量の偽造トラフィックを送信し、標的とするシステムを過負荷状態にし、システムを偽造トラフィックの処理で
占有し、本来処理すべきトラフィックを処理できないようにすることを目的としています。ルーターやファイアウォールデバイスの
場合、DoS 攻撃の目的は、デバイスのセッションテーブルを満杯にし、新しいセッションを確立できない状態にすることです。さら
に、ネットワークの DoS 攻撃や、さまざまなオペレーティングシステムを狙った DoS 攻撃などもあります。
この章では、各攻撃について説明し、Junos OS がそれらの攻撃にどのように対処するかを説明します。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 5
SRX シリーズ スタディガイド - パート 1
攻撃の種類:疑わしいパケット
攻撃者は、偵察や DoS 攻撃を行うために、パケットに手を加えることがあります。それらの手を加えられたパケットの中には目的が
不明なものもありますが、その性質から悪質な使用目的で作られたと分かるものもあります。
Screen オプション - ベストプラクティス
Junos Screen オプションを詳しく分析する前に、Screen オプションの使用に関するベストプラクティスを紹介します。
本来のトラフィックに影響する可能性のある機能を実装する前に、アプリケーションを理解し、ネットワーク上での動作を理解する
必要があります。また、ネットワークを通過するトラフィックパターンも理解する必要があります。制限ベースの Screen 機能の適切
なしきい値を決めるためには、使用しているネットワークの性質を知らなければなりません。たとえば、SYN フラッド対策機能を入
れたい場合、まず始めに接続リクエスト許容数の基準を決めておく必要があります。これを決めるには、典型的なトラフィックフロー
のベースラインを確立するため、一定期間、観察と分析を行う必要があります。また、使用している特定の Junos セキュリティプラッ
トフォームのセッションテーブルを満たすために必要な最大同時セッション数も考慮する必要があります。セッションテーブルがサ
ポートする最大セッション数を調べるには、CLI コマンドの show security flow session summary を実行します。このコマン
ドの統計データは、サービス・プロセッシング・ユニット(SPU)ごとに報告される点に注意してください。
5 - 6 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
このスライドに示すように、Junos セキュリティプラットフォームを通過するトラフィックは、alarm-without-drop ステートメ
ントを使って収集できます。収集した情報からネットワークの脆弱性をより詳しく理解できます。通常、脆弱なゾーンだけに Screen
オプションを設定します。
IP アドレススイープと TCP ポートスキャン - 攻撃
アドレススイープは、送信元 IP アドレスから、事前に定義された数の ICMP パケットが、事前に定義された時間間隔内に複数のホス
トに送られた場合に発生します。この攻撃は、ICMP パケット(通常エコーリクエスト)を複数のホストに送り、少なくとも 1 つのホ
ストからレスポンスを受け取ることを目的としています。攻撃者がレスポンスを受け取ると、アドレスが暴露され、それが標的とな
ります。
ポートスキャンは、ある IP アドレスから、同じ宛先 IP アドレスを持つ事前に定義された数の別のポートに、TCP SYN セグメントを
持つ IP パケットが、事前に定義された時間間隔内に送られた場合に発生します。この攻撃は、可能なサービスをスキャンし、少なく
とも 1 つのポートからレスポンスを受け取り、攻撃対象を識別することを目的としています。
防御
Junos OS は、1 つのリモート送信元から送られる ICMP エコーリクエストのパケット数を内部に記録します。しきい値の間隔を設定
でき、これらの ICMP パケットの場合、1000 マイクロ秒から 1,000,000 マイクロ秒の範囲で設定できます。デフォルトのしきい値
は 5000 です。デフォルト値を使うと、リモートホストから 0.005 秒(5000 マイクロ秒)以内に ICMP エコーリクエストのトラ
フィックを 10 件のアドレスに送信された場合、Junos セキュリティプラットフォームは、そのリモートホストにアドレススイープ攻
撃者のフラグを立てます。このフラグ処理によって、それ以降、設定したしきい値の残りの時間内にそのホストから送られたすべて
の ICMP エコーリクエストが拒否されます。
TCP ポートスキャンから保護するため、Junos OS は、1 つのリモート送信元から送られ、スキャンされたポート数を内部に記録しま
す。しきい値は、1000 マイクロ秒から 1,000,000 マイクロ秒の範囲で設定します。デフォルトのしきい値は 5000 マイクロ秒です。
Junos OS は、しきい値以内に 10 件のポートがスキャンされると、そのトラフィックに攻撃者のフラグを立てます。ポートスキャン
が検出されると、Junos OS はそれ以降設定したしきい値の残り時間内に、そのリモート送信元から送られてきたすべてのパケットを
警告せずにドロップします。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 7
SRX シリーズ スタディガイド - パート 1
IP アドレススイープとポートスキャン - Screen オプション
このスライドは、IP アドレススイープまたはポートスキャンの攻撃を示しています。IP アドレススイープの攻撃中、攻撃者は少なく
とも 1 つのホストからレスポンスを受け取り、攻撃対象のアドレスが暴露されることを期待して、1 つの送信元 IP アドレスから複数
のホストに ICMP パケットを送ります。
ポートスキャンの攻撃中、攻撃者は 1 つの送信元 IP アドレスから、同じ宛先 IP アドレスを持つ事前に定義された数の別のポートに、
TCP SYN セグメントを持つ IP パケットを、事前に定義された時間間隔内に送ります。攻撃者は、少なくとも 1 つのポートからレスポ
ンスを受け取って、標的とするサービスを暴露することを狙っています。
特定のセキュリティゾーンで発生する IP アドレススイープや TCP ポートスキャンをブロックするには、このスライドに従って設定す
る必要があります。ただし、この設定は Screen オプションを定義するだけで、有効にはなりません。Screen オプションを有効にす
るには、セキュリティゾーン内に適用しなければなりません。このトピックについては、この章の後半で説明します。
攻撃
RFC 791 は、特別なルーティング制御、診断ツール、セキュリティを提供する IP パケットのオプションセットを指定します。これら
のオプションは、IP パケットヘッダー内の宛先アドレスフィールドの後に追加されます。このオプションの当初の目的はネットワー
ク機能を向上させることでしたが、現在では一般的な通信において不要になりました。一方でインターネットが普及し、拡大し続け
る中、これらのパケットのオプションフィルタを悪用して、ネットワークやネットワークデバイスに問題を引き起こす攻撃が行われ
るようになりました。これらの攻撃では、レコードルート、タイムスタンプ、セキュリティ、ストリーム ID などのフィールドを悪用
します。
5 - 8 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
防御
これらの IP オプションフィールドが生み出す脆弱性を克服するため、Junos OS はこれらのオプションフィールドを使用したパケッ
トを追跡し、ネットワーク偵察攻撃としてフラグを立て、イベントを記録します。これらのイベントは、受信インターフェイスの
Screen カウンタリストで確認できます。
IP オプション - Screen オプション
このスライドは、IP パケットヘッダーのオプションフィールドをハイライトして示したものです。攻撃者は、このオプションフィー
ルド内のビットを悪用し、ネットワークに問題を生じさせます。Screen オプションを定義することで、攻撃者が使用できる IP オプ
ションを検出することができます。これらの IP オプションフィールドには、レコードルート、タイムスタンプ、セキュリティ、スト
リーム ID が含まれます。Junos OS は、適切な Screen オプションを設定したデバイスがこれらの IP オプションを持つパケットを受
け取った場合に、イベントにフラグを立てます。Junos OS は、これらのイベントを偵察攻撃としてマークし、関連する受信インター
フェイスを記録します。
このスライドは、Screen オプションの定義構文を示しています。これらのオプションは個別に設定することができます。ただし、こ
の設定は Screen オプションを定義するだけで、有効にはなりません。Screen オプションを有効にするには、セキュリティゾーン内
に適用しなければなりません。このトピックについては、この章の後半で説明します。
攻撃
攻撃者は、攻撃を開始する前に、標的とするホストのオペレーティングシステムを調べるためにプローブを行う場合があります。オ
ペレーティングシステムによって、TCP の異常に対する反応が異なります。攻撃者が標的の情報を知ることで、デバイスやネットワー
ク、またはその両方に対して、より大きなダメージを与える攻撃を判断することができます。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 9
SRX シリーズ スタディガイド - パート 1
防御
適切な Screen オプションが設定された Junos OS は、次のような無効な TCP フラグ設定を検出することで、オペレーティングシステ
ムのプローブをブロックすることができます。
•
SYN フラグと FIN フラグが両方とも設定されている
•
FIN フラグが設定されており、ACK フラグが設定されていない
•
フラグがまったく設定されていない
これらの条件のいずれかに一致する TCP トラフィックは警告せずに直ちにドロップされます。
オペレーティングシステムのプローブ - Screen オプション
このスライドは、TCP ヘッダーの、攻撃を開始する際に使用される SYN フラグと FIN フラグをハイライトして示したものです。また、
これらのプローブをブロックする Screen オプションの設定も示しています。これらのステートメントは次のように個別に設定し
ます。
•
SYN フラグと FIN フラグの両方が設定されている状態を検出するには、syn-fin 設定オプションを使用します。
•
FIN フラグが設定され、ACK フラグが設定されていない状態を検出するには、fin-no-ack 設定オプションを使用し
ます。
•
フラグがまったく設定されていない状態を検出するには、tcp-no-flag 設定オプションを使用します。
ただし、この設定は Screen オプションを定義するだけで、有効にはなりません。Screen オプションを有効にするには、セキュリティ
ゾーン内に適用しなければなりません。このトピックについては、この章の後半で説明します。
5 - 10 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
攻撃
IP アドレススプーフィングは、最も古く、よく知られている攻撃の一種です。攻撃者は、信頼される送信元からのパケットのように
見せかけるため、偽の送信元アドレスをパケットヘッダーの送信元アドレスフィールドに挿入します。
防御
Junos OS は、転送テーブルのエントリを使って IP アドレススプーフィングを検出します。受信したパケットの送信元 IP アドレスを、
転送テーブルの最も近いプレフィックスと照合します。そのプレフィックスに関連付けられたインターフェイスがパケットの受信イ
ンターフェイスと異なる場合、パケットの送信元 IP アドレスはスプーフィングされたものとみなし、破棄します。IP スプーフィング
を検出すると、Junos OS はスプーフィングされたパケットをアラームせずにすべてドロップします。
IP スプーフィング検出 - Screen オプション
このスライドは、プライベートゾーン内の IP アドレス範囲に属する IP アドレスを使った IP スプーフィング攻撃を示しています。
Junos OS は、受信した パケッ トの送 信元 IP ア ドレス(168.10.10.1)を転送テーブルのプレフィックスの中で最も近いもの
(168.10.10/24)と比較します。プレフィックス 168.10.10/24 に関連付けられているインターフェイスが、パケットの受信インター
フェイス(ge-1/0/0)と異なることを検出すると、そのパケットの送信元 IP アドレスはスプーフィングされたものとみなし、破棄し
ます。
Junos IP スプーフィングの Screen オプションを設定するには、このスライドに従って設定する必要があります。ただし、この設定は
Screen オプションを定義するだけで、有効にはなりません。Screen オプションを有効にするには、セキュリティゾーン内に適用し
なければなりません。このトピックについては、この章の後半で説明します。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 11
SRX シリーズ スタディガイド - パート 1
攻撃
ソースルーティングでは、ユーザーが希望するパケットのネットワーク内経路を指定することができます。この機能は、ネットワー
クのトラブルシューティングの際に有効です。
しかしここ数年、ソースルーティングオプションを悪用した攻撃がみられるようになりました。攻撃者は、これらのフィールドを使っ
て、本当のアドレスを隠蔽し、異なるルートを指定することで、制限されているネットワーク領域にアクセスします。
防御
Junos OS は、ルーズ・ソース・ルート・オプションまたはストリクト・ソース・ルート・オプション設定により、これらのパケット
をブロックするか、これらのオプションを検知し記録します。疑わしいパケットをブロックするよう設定すると、パケットは警告せ
ずに破棄されます。
IP ソースルートオプション - Screen オプション
このスライドに示すように、ネットワーク 3.3.3.0/24 はスプーフィングされた IP アドレスをチェックしているとします。このチェッ
クに気づいた攻撃者は、トラフィックにネットワーク 5.5.5.0/24 を通らせようとします。攻撃者は、ルーズソースオプションを使っ
て、送信元アドレスをネットワーク 5.5.5.0/24 の一部であるように見せかけ、パケットがネットワーク 5.5.5.0/24 を通るようにし
ます。パケットは 5.5.5.0/24 のネットワークから送信され、そのサブネットの送信元アドレスを持っているため、有効であるように
5 - 12 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
見えます。しかし、ルーズ・ソース・ルート・オプションが設定されています。さらに、Screen オプションで、ソースルートオプ
ションが設定されているパケットを破棄するよう設定しているとします。その結果、パケットが ge-1/0/0 インターフェイスに到達す
ると、Junos セキュリティプラットフォームはそれを拒否します。
Junos IP ソースルートオプションの Screen オプションを設定するには、このスライドに従って設定する必要があります。これらのオ
プションは個別に設定することができます。ただし、この設定は Screen オプションを定義するだけで、有効にはなりません。Screen
オプションを有効にするには、セキュリティゾーン内に適用しなければなりません。このトピックについては、この章の後半で説明
します。
DoS 攻撃の目的
攻撃者がファイアウォールを見つけた場合、DoS 攻撃を仕掛ける場合があります。実際、DoS 攻撃を受けているファイアウォールは
保護されたネットワークとのトラフィック送信を停止するため、攻撃者の多くは、ファイアウォールへの DoS 攻撃が成功すると、ネッ
トワーク攻撃が成功したものとみなします。
ファイアウォールおよびルーターデバイス DoS 攻撃
攻撃者は 2 つの方法を用いて、Junos セキュリティプラットフォームの機能を停止させようとします。Junos OS セキュリティプラッ
トフォームはセッションベースのオペレーティングシステムで、パケットフローごとにセッションを作成するため、DoS 攻撃は、デ
バイスのセッションテーブルが上限に達するよう、セッションテーブルを満杯にしようとします。セッションテーブルを満杯にする
には、セッションテーブルフラッドと SYN-ACK-ACK プロキシフラッドの 2 つの方法があります。
ネットワーク DoS 攻撃
ネットワーク DoS 攻撃の結果、SYN、ICMP、UDP の混在した膨大な量のパケットによって、多くのネットワークリソースが満杯の
状態になります。攻撃者は、収集したインテリジェンス情報に応じて、特定のホストまたは特定のネットワークセグメントを攻撃対
象とします。Junos OS にはこれらの攻撃を軽減する機能があります。この機能について、以下のページで説明します。
OS 固有の DoS 攻撃
攻撃者は、使用されている OS を識別すると、1 パケットまたは 2 パケットで対象を Kill することに注力し、OS 固有の DoS 攻撃を仕
掛けてくる場合があります。これには、Ping of Death 攻撃、Teardrop 攻撃、WinNuke 攻撃が含まれます。Junos OS にはこれらの攻
撃を軽減する機能があります。この機能について、以下のページで説明します。
攻撃
このスライドは、セッションテーブルフラッドの形式を示しています。
防御
セッションテーブルフラッドを制御するため、Junos OS には送信元ベースのセッション制限を設定する機能があります。これにより、
Nimda ウィルス(サーバーに感染し、そのサーバーから膨大な量のトラフィックを生成する)などの攻撃を食い止めることができま
す。また Junos セッションテーブルフラッド制御は、接続リクエストの送信元がすべて同一の IP アドレスであることを識別し、Junos
セキュリティプラットフォームのセッションテーブルを満杯にしようとする攻撃を軽減します。
送信元ベースのセッション制限に加えて、Junos OS には同じ宛先 IP アドレスへの同時セッション数を制限するフレキシブルな機能
もあります。これにより、分散サービス拒否(DDoS)攻撃からデバイスを守ることができます。DDoS 攻撃は、攻撃者の制御下にあ
るゾンビエージェントと言われるさまざまなホストから行われます。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 13
SRX シリーズ スタディガイド - パート 1
セッションテーブルフラッド - Screen オプション
このスライドは、送信元 IP アドレス、宛先 IP アドレスのいずれか、またはその両方に基づき同時セッション数を制限するために必要
な設定を示しています。
Junos OS では、デフォルトの最大同時セッション数は、送信元ベースの場合も宛先ベースの場合も 128 に設定されています。有効
なセッション範囲は、Junos セキュリティプラットフォームの種類によって異なります。
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
5 - 14 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ファイアウォールおよびルータ ― デバイス DoS - SYN-ACK-ACK プロキシフラッド:攻撃
SYN-ACK-ACK 攻撃は TCP 接続を使用します。攻撃者は、一見標準的な TCP 接続を使用して SYN-ACK-ACK パターンを送信し、標的の
システムがそれに反応して自らの機能を停止することを期待します。このスライドでは、悪意のあるユーザーが Telnet 接続を開始し
ています。ユーザーは、Junos セキュリティプラットフォームの背後で SYN セグメントを Telnet サーバーに送信します。Junos OS
が SYN セグメントをインターセプトすると、自らのセッションテーブルにエントリを作成し、SYN-ACK セグメントをユーザーにプロ
キシします。ユーザーは ACK セグメントを返します。この時点で、初回の 3 方向ハンドシェイクが完了します。サーバーはユーザー
にログインプロンプトを送信します。悪意のあるユーザーは、ログインする代わりに SYN-ACK-ACK セッションを連続的に開始し、デ
バイスのセッションテーブルを満杯にし、本来の接続リクエストが拒否されるようにします。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 15
SRX シリーズ スタディガイド - パート 1
SYN-ACK-ACK プロキシフラッド:防御
SYN-ACK-ACK プロキシ保護により、Junos セキュリティプラットフォームは、一見標準的な TCP 接続に隠されている悪質な意図を検
出することができます。Junos セキュリティプラットフォームは TCP 接続プロキシとして動作し、セッションテーブルを作成し、送
信者に SYN-ACK セグメントをプロキシするため、初回セッション設定が成功した後に現れる SYN-ACK-ACK セッションを検出するこ
とができます。Junos OS は、IP アドレスからの接続数が SYN-ACK-ACK プロキシのしきい値を超えると、その IP アドレスからの接続
リクエストを拒否します。1 つの IP アドレスからの接続に対するプロキシのデフォルトのしきい値は 512 です。このしきい値は、1
から 250,000 の範囲で設定できます。
このスライドは、SYN-ACK-ACK プロキシフラッドの Screen オプションを設定するための構文を示しています。この設定によって、1
つの送信元からの同時 TCP セッション数が制限されます。
ただし、この設定は Screen オプションを定義するだけで、有効にはなりません。Screen オプションを有効にするには、セキュリティ
ゾーン内に適用しなければなりません。このトピックについては、この章の後半で説明します。
攻撃
SYN フラッドは、未完了の接続リクエストを開始する SYN セグメントによりネットワークリソースが占有され、本来の接続リクエス
トを処理できなくなった際に生じます。一般的な SYN フラッド攻撃は、存在しないアドレスや到達できないアドレス、および偽造さ
れた、またはスプーフィングされた IP 送信元アドレスを含む SYN セグメントでサイトを満杯にし、標的のネットワークリソースから
強制的にそれらのアドレスに SYN/ACK セグメントを返させ、ACK セグメントが返されるのを待ちます。SYN/ACK セグメントは存在
しない IP アドレスや到達できない IP アドレスに送られるため、レスポンスは発生せず、接続はタイムアウトになります。SYN フラッ
ドはまた、標的のメモリバッファを満杯にし、オペレーティングシステムの動作を妨害します。SYN フラッドは通常 1 つまたは複数
のネットワークリソースに向けられ、ネットワーク DoS を引き起こします。
5 - 16 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
防御
Junos OS は、Junos セキュリティプラットフォームを 1 秒あたりに通過する SYN セグメントの数を制限することで SYN フラッドを
防ぎます。攻撃のしきい値は、宛先アドレスと送信元アドレスのいずれか、またはその両方に基づき設定します。この動作によって、
保護されたネットワークのホストを未完了の 3 方向ハンドシェイクから保護します。この保護スキームについては、次の 2 ページで
詳しく説明します。
SYN フラッド - Screen オプション
このスライドは、SYN フラッドを処理するために設定できる Junos Screen オプションを示しています。
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
未完了の TCP 接続リクエストをプロキシするため、次のしきい値パラメータを設定できます。
•
alarm-threshold:このしきい値には、アラームを記録し始める、プロキシされた未完了の TCP 接続リクエスト数(1 秒
あたり)を設定します。カウンタは、次の attack-threshold がトリガーされた後に開始します。デフォルトや設定可能
な範囲はデバイスの種類によって異なります。
•
attack-threshold:このしきい値には、SYN プロキシメカニズムをトリガーするのに必要な 1 秒あたりの SYN セグメン
ト数を設定します。しきい値には特定の範囲内の数字を設定できますが、使用するサイトでの標準的なトラフィックパ
ターンを設定することをお勧めします。デフォルトや設定可能な範囲はデバイスの種類によって異なります。
•
source-threshold:このしきい値には、1 つの送信元 IP アドレスから 1 秒あたりに受け取る SYN セグメントの数を設
定します。宛先の IP アドレスやポート番号は問いません。リクエスト数がしきい値に達すると、それ以降の接続リクエ
ストはドロップされます。デフォルトや設定可能な範囲はデバイスの種類によって異なります。
•
destination-threshold:このしきい値には、1 つの宛先 IP アドレスと宛先ポートの組み合わせが 1 秒あたりに受け取る
SYN セグメントの数を設定します。リクエスト数がしきい値に達すると、それ以降のこの宛先への接続リクエストはド
ロップされます。デフォルトや設定可能な範囲はデバイスの種類によって異なります。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 17
SRX シリーズ スタディガイド - パート 1
•
timeout:このパラメータには、未完了の接続がキューからドロップされるまでの最長時間を設定します。デフォルト
は 20 秒で、1 秒から 50 秒までの範囲で設定できます。
これらのしきい値のパラメータはそれぞれ個別に指定できますが、Screen オプション設定を組み合わせることで、攻撃からの保護を
強化することができます。
SYN Cookie の利点
SYN フラッドの説明でも触れたように、ネットワークリソースに向けて送信された SYN セグメントによってネットワークセグメント
が使用できなくなることがあります。SYN cookie 機能は、Junos セキュリティプラットフォームが、有効な SYN cookie レスポンス
を受け取った後に、新しい TCP 接続フロー処理を許可することを保証します。これによって、ルートルックアップやセッションルッ
クアップなど、リソースに負荷を与えるアクションの発生を防ぐことができます。SYN cookie はステートレスで、そのためポリシー
ルックアップやルートルックアップを必要とするセッションは作成されません。このステートレスな性質のため、SYN cookie の使用
は従来の SYN プロキシメカニズムに比べて大きな利点になります。
SYN Cookie の詳細
SYN cookie は当初、D. J. Bernstein と Eric Shenk によって、スプーフィングされた SYN フラッド攻撃の影響を最小限にすることを
目的として開発されました。SYN cookie は SYN セグメントを受け取ると、暗号化ハッシュを使い、一意の TCP イニシャルシーケン
ス番号(ISN)を生成します。このハッシュは、カウンタ、ローカルアドレス、外部アドレス、ローカルポート、および外部ポートを
使って cookie を生成します。次に、Junos OS は、この cookie とともに SYN/ACK セグメントを ISN として送り返します。返された
ACK セグメントを受け取ると、cookie に基づき、暗号を評価し、それが有効な ACK セグメントであるかどうかを確認します。
5 - 18 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
SYN Cookie の処理
このスライドは、SYN cookie をアクティブにしたときに、TCP 接続がどのように確立されるかを示しています。SYN cookie を有効に
すると、Junos セキュリティプラットフォームは宛先ホストへの TCP をネゴシエートするプロキシとなります。Junos セキュリティ
プラットフォームは、各受信 SYN セグメントに、暗号化された cookie が ISN として含まれた SYN/ACK セグメントを返します。cookie
を含むパケットへのレスポンスがない場合は、アクティブな SYN 攻撃とみなし、これを阻止します。
ただし、開始ホストから TCP ACK フィールドに cookie +1 を含む TCP パケットが返された場合、ソフトウェアが cookie を抽出し、
その値から 1 を引いて cookie を再計算し、それが正当な ACK メッセージであるかどうかを確認します。
cookie が正当なものであった場合、TCP プロキシ処理を開始します。セッションを設定し、元の SYN メッセージから得た送信元情報
とともに SYN を宛先ホストに送ります。Junos OS が宛先ホストから SYN/ACK を受け取ると、宛先と送信元ホストに ACK メッセー
ジを送ります。これで接続が確立され、2 つのホストが直接通信できるようになります。
ICMP フラッド - 攻撃
ICMP フラッドは通常、ICMP エコーリクエストのメッセージにより標的システムが過負荷になった場合に発生し、その結果リソース
が正当なトラフィックにレスポンスできなくなります。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 19
SRX シリーズ スタディガイド - パート 1
ICMP フラッド - 防御
Junos OS ではしきい値を設定でき、その値を超えた場合に ICMP フラッド攻撃に対する防御機能が作動します。リクエスト数がしき
い値(1 秒あたりのパケット数)を超えると、その残り時間 +1 秒間、ICMP エコーリクエストメッセージが無視されます。デフォル
トや設定可能な範囲はデバイスの種類によって異なります。
UDP フラッド - 攻撃
UDP フラッドは UDP データグラムが含まれた IP パケットが送られた場合に発生し、標的の動作を遅らせ、正当な接続を受け入れら
れないようにします。
UDP フラッド - 防御
Junos UDP フラッド保護ではしきい値を設定でき、その値を超えると UDP フラッド攻撃に対する防御機能が作動します。デフォルト
値と設定可能な範囲は 1 秒あたりのパケット数で設定し、デバイスの種類によって異なります。
5 - 20 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ICMP フラッドおよび UDP フラッド処理 - Screen オプション
このスライドは、攻撃者が ICMP フラッドと UDP フラッドのいずれか、または両方によって、標的システムを過負荷状態にしようと
している様子を示しています。また、ICMP フラッドおよび UDP フラッド保護の設定構文を示します。このスライドの設定では Screen
オプションのみを定義しています。Screen オプションを有効にするには、セキュリティゾーン内に適用しなければなりません。この
トピックについては、この章の後半で説明します。
攻撃
LAND 攻撃は、標的の IP アドレスを宛先と送信元の IP アドレスとして含む、スプーフィングされた SYN パケットが送られた場合に
発生します。これを受け取ったシステムは、自身に SYN-ACK パケットを送り、セッション・アイドル・タイムアウトに達するまで空
の接続を確立し続けます。このような空の接続でシステムを満杯にすると、1 つまたは複数のネットワークリソースが過負荷状態に
なり、その結果ネットワーク DoS が発生します。
防御
Junos Screen オプションを使って LAND 攻撃をブロックする際、Junos OS は、SYN フラッド防御と IP スプーフィング保護の要素を
組み合わせてソフトウェアを検出し、このような悪質な攻撃をブロックします。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 21
SRX シリーズ スタディガイド - パート 1
LAND 攻撃 - Screen オプション
このスライドは、LAND 攻撃がネットワークリソースに与える影響を示しています。
LAND 攻撃の Screen オプションを有効にすると、ネットワークは攻撃から保護されます。
このスライドは、LAND 攻撃の Screen オプションの設定構文を示しています。このスライドの設定は Screen オプションを定義する
だけです。Screen オプションを有効にするには、セキュリティゾーン内に適用しなければなりません。このトピックについては、こ
の章の後半で説明します。
攻撃
Ping of Death は OS を標的とした攻撃です。特大サイズの ICMP パケット(65,507 バイ
ト超)を使って、DoS やクラッシュ、フリーズ、リブートなど、OS にさまざまな悪影響
を及ぼします。
Teardrop 攻撃は、フラグメント化された IP パケットの再構築を悪用した攻撃です。IP ヘッ
ダーのフィールドの 1 つはフラグメント・オフセット・フィールドです。これは、フラグ
メント化されていない元のパケットのデータと比較して、フラグメント化されたパケット
に含まれるデータの開始位置を示します。オフセットと 1 つのフラグメント化されたパケットのサイズの合計が、次のフラグメント
化されたパッケージのサイズと異なる場合、パケットが重複しています。そのようなパケットを再構築しようとすると、サーバーが
クラッシュします。
WinNuke は、Windows で動作するインターネット上のあらゆるコンピュータを標的とした DoS 攻撃です。攻撃者は通常、接続が確
立したホストの NetBIOS ポート 139 に URG フラグを立てて TCP セグメントを送ります。この TCP セグメントによって NetBIOS フ
ラグメントの重複が発生し、Windows マシンの多くがクラッシュします。
5 - 22 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
防御
Ping of Death 攻撃を処理するため、Junos Screen オプションは特大サイズで不規則な ICMP パケットを検出します。攻撃者がパケッ
トの合計サイズを隠蔽するため、故意にフラグメント化させている場合でも検出できます。Teardrop 攻撃を処理するため、Junos
Screen オプションはフラグメント化したパケットの不整合を検出し、それをドロップします。WinNuke 攻撃を処理するため、ソフト
ウェアは URG フラグを検出し、その設定を解除してポインタを消去し、修正したパケットを転送します。その後、試行された WinNuke
攻撃イベントを記録します。
PC ベースの OS DoS - Screen オプション
このスライドは、Ping of Death、Teardrop、WinNuke の Screen オプションの設定構文を示しています。
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
攻撃
ICMP を適切に使用すると、エラーの報告およびネットワークプローブの優れた機能が使用できます。通常、ICMP パケットには非常
に短いメッセージが含まれています。そのため、ICMP パケットがフラグメント化することはめったにありません。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 23
SRX シリーズ スタディガイド - パート 1
防御
Junos OS は、フラグメント化した ICMP パケットをすべてブロックします。さらに、1024 バイトを超える ICMP パケットもドロッ
プします。
ICMP 異常検出 - Screen オプション
このスライドは、IP パケットヘッダーのプロトコルフィールド(ICMP では 1)、合計パケット長フィールド、フラグメント・オフセッ
ト・フィールド、および M(More Fragments)フィールドをハイライトして示したものです。ICMP 異常検出の Screen オプション
を設定すると、Junos OS は、M フラグセットを持つ ICMP パケット、またはフラグメント・オフセット・フィールドに示されるオフ
セット値を持つ ICMP パケットをすべてブロックします。また、Screen オプションによって異常に大きい ICMP パケット(1024 バ
イト超)をブロックすることもできます。Screen オプションを設定するには、このスライドに従って設定する必要があります。
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
IP パケットフラグメント - 攻撃
パケットはさまざまなネットワークを通過するため、各ネットワークの最大転送ユニット(MTU)に基づきフラグメント化する必要
があります。IP フラグメントには、特定の IP スタック実装のパケット再構築コードの脆弱性を悪用した攻撃が含まれる場合がありま
す。標的システムがこのようなパケットを受け取ると、パケットが不正に処理されたり、システム全体がクラッシュしたりします。
5 - 24 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
不正な IP オプション - 攻撃
攻撃の中には、当初は特殊なルーティング制御や診断ツール、セキュリティを提供するために作られた IP オプションフィールドを悪
用したものもあります。攻撃者は、これらのオプション設定を操作し、パケット内に不完全なフィールドや不正なフィールドを作成
します。このような不正なパケットを使ってネットワーク上のホストに危害を与えることができます。
防御
該当する Screen オプションを定義すると、Junos OS は、Screen オプションで保護されたゾーンにバインドされたインターフェイス
で受け取った IP パケットフラグメントや不正な形式の IP オプションをすべて検出しドロップします。
IP パケットフラグメントおよび不正な IP オプションの検出 - Screen オプション
このスライドは、IP パケットヘッダーの、M(More Fragments)、フラグメント・オフセット・フィールド、IP オプションフィール
ドをハイライトして示したものです。block-frag Screen オプションを使い、Junos OS は M フィールドが設定されているか、また
はフラグメント・オフセット・フィールドにゼロ以外の値があるかをチェックします。いずれかの値が設定されていることを検出す
ると、フラグメント化された IP パケットのブロックを開始します。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 25
SRX シリーズ スタディガイド - パート 1
攻撃者が IP オプションを不正に設定すると、不完全なフィールドや不正なフィールドが作成されます。不正 IP オプションの Screen
オプションを設定するには、このスライドに従って設定する必要があります。
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
攻撃
現在 IPv4 プロトコルフィールドには 137 以上の値が割り当てられていないため、この値は規格外または実験プロトコルとしてのみ
使用しなければなりません。ご使用のネットワークで規格外または実験プロトコルを使用していない場合、IPv4 プロトコルのフィー
ルドの値が 137 以上のパケットをブロックする必要があります。
防御
該当する Screen オプションを定義すると、Junos OS は不明なプロトコルを使用するパケットをすべて検出しドロップします。
不明なプロトコル - Screen オプション
このスライドは、IP パケットヘッダーの、プロトコル番号を含むプロトコルフィールドをハイライトして示したものです。不明なプ
ロトコルを検出する Screen オプションを設定するには、このスライドに従って設定する必要があります。
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
5 - 26 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
攻撃
IP は、TCP SYN セグメントを、TCP 接続を開始する IP パケット内にカプセル化します。このパケットは、接続を開始し、レスポンス
として SYN/ACK セグメントを起動するためのものであり、通常 SYN セグメントにデータは含まれません。さらに、IP パケットは小
さいため、これがフラグメント化する合理的な理由はありません。フラグメント化された SYN パケットは異常であり、攻撃の疑いが
あります。標的システムがこのようなパケットを受け取ると、パケットが不正に処理されたり、システム全体がクラッシュしたりし
ます。
防御
該当する Screen オプションを定義すると、Junos OS は受け取った SYN フラグメントをすべて検出しドロップします。
SYN フラグメント - Screen オプション
このスライドは、IP ヘッダーと TCP ヘッダーを示し、IP ヘッダーの一部である M フィールドとフラグメント・オフセット・フィー
ルド、および TCP ヘッダーの一部である SYN フラグをハイライトしています。syn-frag の Screen オプションを使用すると、Junos
OS は SYN セグメントに M フィールドが設定されているか、またはフラグメント・オフセット・フィールドにゼロ以外の値があるか
をチェックします。SYN フラグメントが見つかると、SYN フラグメントパケットがブロックされるようになります。
SYN フラグメントの Screen オプションを設定するには、このスライドに従って設定する必要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 27
SRX シリーズ スタディガイド - パート 1
このスライドの設定は Screen オプションを定義するだけです。Screen オプションを有効にするには、セキュリティゾーン内に適用
しなければなりません。このトピックについては、この章の後半で説明します。
Screen オプションコマンドの構文
このスライドは、Screen オプションを設定する場合に使用する Junos OS の構文を示しています。
まず、Screen オプションを定義します。次に、これらのオプションを目的のゾーンに適用します。Junos OS は、Screen オプション
を Junos セキュリティプラットフォームの受信ゾーンに適用した後に、セキュリティポリシーやルートルックアップを適用すること
を思い出してください。
例
ここに参考例を示します。このネットワークには、プライベートとパブリックの 2 つのゾーンがあります。これは、Screen オプショ
ンを使って、ICMP 異常や ICMP フラッド、セッションテーブルフラッドからプライベートゾーンを保護することを目的としています。
5 - 28 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ケーススタディ:手順 1 - Screen オプションの作成
このスライドは、Protector という名前の Screen オプションの作成
を示しています。これは、前のスライドの目的を満たすために必要な
オプションのリストです。次に、各 Screen オプションの動作について
説明します。
•
icmp fragment:More Fragments フラグセットがある、
またはオフセットフィールドに示されるオフセット値が
あるすべての ICMP パケットをブロックします。
•
icmp large:1024 バイトを超える長さの ICMP パケット
をすべてブロックします。
•
icmp flood threshold:設定したしきい値を超えて受け
取った ICMP パケットをすべて無視します。この保護は、
しきい値に達してからの残り時間(秒)と次の 1 秒間、
有効です。
•
source-ip-based session limit:1 つの送信元 IP アドレ
スから受け取るセッション数を指定した数に制限しま
す。
サイズの大きい ICMP パケットからの Screen 保護と、ICMP フラグメ
ントパケットからの Screen 保護を組み合わせて有効にすると、Ping of
Death 攻撃からも自動的に保護されます。
例:手順 2 - Screen オプションの適用
このスライドは、Screen オプションをパブリックゾーンに適用する例を示しています。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 29
SRX シリーズ スタディガイド - パート 1
攻撃の監視:パート 1
Screen 統計を監視するには、show security screen statistics zone zone-name コマンドを使います。このコマンドを複
数回実行することで、どの値が増加しているかを確認できます。
攻撃の監視:パート 2
このスライドは、show security screen ids-option screen-name コマンドを実行したときの結果を示しています。ここに
は、Protector Screen オプションのコンテンツが表示されています。Protector Screen オプションの実際の設定と、監視用 show
security screen ids-option screen-name コマンドの関係に注目してください。
5 - 30 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
攻撃の監視:パート 3
このスライドは、Screen オプションのオペレーションを監視する traceoptions の設定例を示しています。この設定を確定した後、
追跡ファイルを表示するには、show log filename コマンドを実行します。
復習問題
解答
1.
Junos OS の Screen オプションの目的は、Junos セキュリティプラットフォームの背後にあるネットワークやデバイス自体を悪質な情報や
攻撃から守る、より高度なネットワーク保護機能を提供することです。
2.
Screen オプションには、IP アドレススイープの検出、ポートスキャンの検出、ネットワーク調査の検出、オペレーティングシステムの
プローブのブロック、異常な SYN フラグや FIN フラグ設定の検出、IP スプーフィングの検出、不正な IP ソースルートオプションの検
出、ICMP 異常の検出、DoS 攻撃の検出などがあります。
3.
Screen オプションの主な利点は、ネットワークやホストを悪質な攻撃から守ることに加え、セキュリティポリシー処理を行う前に Junos
OS が Screen チェックを行うことで、悪質なパケット処理に消費するリソースを節約できることです。
4.
DoS 攻撃の主な目的は、ホストを停止させることと、ネットワークを停止させることの 2 点です。
5.
Screen オプションは security zones 設定スタンザ配下に適用します。
© 2013 Juniper Networks, Inc. All rights reserved.
Screen オプション • 5 - 31
SRX シリーズ スタディガイド - パート 1
5 - 32 • Screen オプション
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 6 章:ネットワークアドレス変換
この章の内容:
•
ネットワークアドレス変換(NAT)およびポートアドレス変換(PAT)の目的と機能
•
NAT の処理
•
ソース NAT の設定
•
ディスティネーション NAT の設定
•
スタティック NAT の設定
•
NAT の動作の監視および確認
ネットワークアドレス変換
NAT の概念は、パブリック IPv4 アドレスの不足から生まれました。多くの企業が、RFC 1918 に規定された、IPv4 プライベートア
ドレス空間を使ったプライベートアドレスを使用するようになりました。使用するアドレス範囲は以下のとおりです。
•
10.0.0.0–10.255.255.255(10.0.0.0/8 プレフィックス)
•
172.16.0.0–172.31.255.255(172.16.0.0/12 プレフィックス)
•
192.168.0.0–192.168.255.255(192.168.0.0/16 プレフィックス)
プライベートアドレスはパブリックドメイン内でのルーティングが不可能なため、ネットワークエッジのデバイスでは NAT 機能を使
用し、トラフィックをパブリックネットワークに送信する前、またはパブリックネットワークから受信する前に、ルーティング不可
能なプライベートアドレスをパブリックアドレスに変換します。この変換では、設定に応じて IP アドレス(NAT)、ポート番号(PAT)
のいずれか、またはその両方を置き換えます。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 1
SRX シリーズ スタディガイド - パート 1
NAT は主にプライベートアドレスをパブリックアドレスに変換するために使用しますが、パブリックアドレスからパブリックアドレ
ス、プライベートアドレスからプライベートアドレスを含む、あらゆるアドレスから他のあらゆるアドレスへの変換が可能です。
PAT は NAT と併用できます。特に、PAT の重要な利点は、複数のホストが 1 つのパブリックアドレスを使用できることです。これに
より、PAT は NAT プロセスにおいてホストとアプリケーションを一対一に結びつけることができます。
復習:パケットフロー
Junos OS が起動しているセキュリティプラットフォームでは、NAT と PAT をファーストパスとファストパスの両方のフロー処理に使
用します。このスライドでは、パケットフロー全体における NAT 処理の位置を示しています。ディスティネーション NAT とソース
NAT は、ファーストパスのパケットフロー内で別々に行われます。
ファーストパスでは、各 NAT タイプに関する使用事例に対応できるよう、NAT は変換のタイプに応じて分散処理されます。たとえば、
ディスティネーション NAT とスタティック NAT はルートルックアップとセキュリティポリシー処理の前に実行されるため、ルーティ
ングテーブルに架空のルートをインストールする必要がなくなります。
NAT 処理と PAT 処理
最初のパケットを処理する際、宛先 IP アドレスと送信元 IP アドレス情報、およびポート変換情報の組み合わせを設定します。最初の
パケット処理では、ディスティネーション NAT 処理はセキュリティポリシとルートルックアップの前に行われる一方、ソース NAT 処
理はセキュリティポリシとルートルックアップの後に行われます。Junos OS は、セッションの最初のパケットに基づき、ファストパ
ス処理のために NAT と PAT の情報をセッションテーブルにインストールします。この情報により、後続のパケット処理が速やかに行
われます。
6 - 2 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
このような設計になっているのは、ファイアウォール管理者が通信に関わる実際のエンドポイントだけに注力できるようにするため
です。
NAT の基本的な 3 つのタイプ
NAT には、ソース NAT、ディスティネーション NAT、スタティック NAT の基本的な 3 つのタイプがあります。ディスティネーション
NAT は、パケットの宛先 IP アドレスを変換します。ソース NAT は、パケットの送信元 IP アドレスを変換します。スタティック NAT
は、ネットワークのいずれの側からでも接続できる一方、1 対 1 の変換しかできません。ディスティネーション NAT とソース NAT は
いずれも、静的または動的アドレスマッピングを使用できます。
ディスティネーション NAT、ソース NAT、および PAT の組み合わせ
ディスティネーション NAT、ソース NAT、および PAT は、同一のプラットフォームに共存することができます。ディスティネーショ
ン NAT、ソース NAT、および PAT は同時に使用でき、それぞれ各フローの方向に適用できます。
動的アドレス変換と静的アドレス変換およびポート変換
動的アドレス変換は、元のアドレスとポートが常に同じアドレスとポートに変換されるわけではありません。一方、静的アドレス変
換は、元のアドレスとポートが常に同じアドレスとポートに変換され、1 対 1 のマッピング関係があります。このトピックについて
は、この章の後半で詳しく説明します。
送信元 IP アドレスとポート変換
送信元 IP アドレスとポート変換は、SRX デバイスによって、送信元 IP アドレスが別の IP アドレスに変換され、ポート番号が別のポー
ト番号に変換されることを示しています。
ソース NAT と PAT の 3 つのオプション
Junos OS は、ソース NAT と PAT を実行する 3 つの方法をサポートしています。
•
インターフェイスベースのソース NAT:常に PAT を使い、元の送信元 IP アドレスを出力インターフェイスのアドレス
に変換します。
•
標準的なプールベースの NAT:元の送信元アドレスを、ユーザーが定義したプール内のアドレスに動的にマッピングし
ます。PAT を使う場合と使わない場合があります。
•
アドレスシフティングを使ったソース NAT:PAT を使わずに IP アドレスをシフトさせ、元の送信元アドレスを、ユー
ザーが定義したプール内のアドレスに 1 対 1 の関係でマッピングします。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 3
SRX シリーズ スタディガイド - パート 1
照合条件
ソース NAT アプリケーションを必要とするトラフィックには、2 段階の照合スキームが適用されます。セキュリティポリシーと同様、
Junos OS はトラフィックの方向を示すコンテキストのもと、ソース NAT のルールを作成します。照合の第 1 段階目は、方向を示す
コンテキストです。NAT のルールはルールセットで構成されます。ソース NAT では、各ルールセットに from 句と to 句を必要とする
このコンテキストが含まれます。from 句と to 句は、インターフェイス、ゾーン、ルーティングインスタンスのいずれかを示します。
同じトラフィックをターゲットとするルールセットが重複する場合、最も限定的なコンテキストを含むルールセットが優先されます。
最も限定的なコンテキストはインターフェイスで、一方最も限定的でないコンテキストはルーティングインスタンスです。
照合の第 2 段階目は、match オプションを使って NAT のルール内で実行されます。これらのオプションには、source-address や
destination-address などがあります。この情報は、パケットヘッダーを使って評価されます。
NAT ルールのアクション
方向を示すコンテキストと NAT ルールの照合条件が一致したトラフィックには、NAT アクションが適用されます。ソース NAT のアク
ションは then 句を使って指定し、off、pool(ユーザー定義のプール名が続く)
、および interface(論理ユニットを含むユーザー
定義のインターフェイス名が続く)が含まれます。
重複
静的なソース NAT(静的なディスティネーション NAT の逆マッピング)のルールは、動的なソース NAT のルールよりも優先されます。
アドレスやルールセット、ルールが重複する場合、一般的に次のガイドラインが適用されます。
•
NAT プールに使用されるアドレスは、ソース NAT プールにおいてもディスティネーション NAT プールにおいても決し
て重複してはいけません。
•
トラフィックに複数のルールセットが一致する場合、最も限定的なコンテキストを含むルールセットが優先されます。
•
ルールセットにおいて、ルールの順序は重要な意味を持ちます。ルールは順番に評価されます。つまり、トラフィック
が、同一ルールセット内の 2 つのルールに一致する場合、設定された 1 つ目のルールのみが適用されます。
ルールセット内のルールを調整するには、Junos の insert コマンドを使います。
ライブ設定変更
現在使用中の NAT ルールやプールに変更を加えた場合、変更が確定されると Junos OS はセッションを破棄します。その後、一致す
るトラフィックを受け取るとセッションが再開されます。
6 - 4 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
インターフェイスベースのソース NAT のサンプルトポロジ
このスライドは、Junos OS を使用したインターフェイスベースのソース NAT のサンプルトポロジを示しています。このスライドのト
ポロジを使用すると、ge-0/0/2.0 インターフェイスにアタッチされたネットワークから Untrust ゾーンに属する宛先へのトラフィッ
クにおいて、インターフェイスベースのソース NAT が有効になります。トラフィックは出力インターフェイスアドレス 1.1.70.5 を使
うよう変換されます。
インターフェイスベースのソース NAT の設定
このスライドは、この例において、インターフェイスベースのソース NAT を有効にするために必要な設定を示しています。この設定
ではプールは必要ありません。インターフェイスベースの NAT では、方向を示すコンテキストに関連付けるためのルールセットが必
要です。この例では、
0.0.0.0/0 プレフィックスに属する送信元アドレスを持った ge-0/0/2.0 インターフェイスにアタッチされているネットワークからの
トラフィックは、出力インターフェイスの送信元アドレスに変換されます。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 5
SRX シリーズ スタディガイド - パート 1
結果の確認
NAT の変換結果を確認するには、show security flow session コマンドを使います。出力結果は、プライベート送信元アドレス
10.1.10.5 を使ってデバイスに入ったトラフィックが、パブリックホスト 1.1.70.6 に送られることを示しています。このフローから
のリターントラフィックは、変換されたパブリックアドレス 1.1.70.5 に送られます。
ルールセット、ルール、コンテキスト、およびこの設定から生じるルールアクションを一目で確認するには、show security nat
source summary コマンドを使います。
PAT を使ったプールベースのソース NAT のサンプルトポロジ
このスライドは、Junos OS を使用したプールベースのソース NAT および PAT のサンプルトポロジを示しています。このスライドに
示したトポロジを使うと、Trust ゾーンから Untrust ゾーンへのトラフィックにおいて、PAT を使用したプールベースのソース NAT が
有効になります。10.1.10/24 ネットワークに属するトラフィックのみが変換されます。トラフィックはパブリックの送信元 IP アド
レス 207.17.137.229 に変換されます。
6 - 6 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
PAT を使ったプールベースのソース NAT の設定
このスライドは、この例において、ソース NAT と PAT を有効にするために必要な設定を示しています。Junos のプールベースの NAT
では、ユーザー定義のアドレスプールと、方向を示すコンテキストに関連付けるルールセットが必要です。この例では、Trust ゾーン
から Untrust ゾーンへの、10.1.10/24 のプレフィックスに属する送信元アドレスを持つトラフィックは、送信元アドレスが
207.17.137.229 に変換されています。Junos OS では、プールベースのソース NAT において PAT が自動的に有効になります。
結果の確認
NAT の変換結果を確認するには、show security flow session コマンドを使います。出力結果は、プライベート送信元アドレス
10.1.10.5 を使ってデバイスに入ったトラフィックが、パブリックホスト 1.1.70.6 に送られることを示しています。送信元アドレス
が変換され、リターントラフィックはパブリックアドレス 207.17.137.229 に送られます。
既存のソース NAT ルールとプールを一目で確認するには、show security nat source summary コマンドを使います。この場
合、ソース NAT プールにはアドレスが 1 つだけ含まれ、PAT はデフォルトで有効になります。ソース NAT のルールは、プール A を
使った変換に関連付けられたアクションの設定パラメータを示します。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 7
SRX シリーズ スタディガイド - パート 1
PAT はデフォルト
前の例でも示したように、Junos OS ではソース NAT を実装すると PAT がデフォルト
で有効になります。PAT が有効になり、使用できるポート数が 64,000 個近くあるた
め、ソース NAT のプールを使い果すことはめったにありません。
アドレスの固定使用
たとえ使用できるソース NAT のプールが大きくても、Junos OS が同じ送信元ホスト
に関連付けられた異なるタイプのトラフィックに対して同じ送信元 IP アドレスを使
用する保証はありません。同じアドレスの使用を保証するには、このスライドに示すように address-persistent グローバルソー
ス NAT オプションを設定します。
PAT を使わないプールベースのソース NAT のサンプルトポロジ
このスライドは、Junos OS を使用した PAT を使わないプールベースのソース NAT のサンプルトポロジを示しています。このスライ
ドに示したトポロジを使うと、Trust ゾーンから Untrust ゾーンへのトラフィックにおいて、PAT を使用しないプールベースのソース
NAT が有効になります。10.1.10/24 ネットワークに属するトラフィックのみが変換されます。トラフィックは、207.17.137/24 ネッ
トワークから構成されるパブリックの送信元 IP アドレス範囲に変換されます。
PAT を無効にすると、送信元プールの使用可能なアドレスが大幅に少なくなります。前の例で説明したように、PAT を使った場合、ア
ドレス 1 つあたり約 64,000 種類のバリエーションがありますが、PAT を使わない場合、送信元プールの各アドレスが元の送信元ポー
トを使用しなければならないため、プールの使用率が高くなります。この問題を解決するため、プールのアドレスを使い果たした場
合は、代わりに出力インターフェイスアドレスを使用するバックアップメソッドを設定できます。このバックアップメソッドは、オー
バーフロープールと呼ばれます。オーバーフロープールでは、この例に示した出力インターフェイスやユーザーが定義する別のプー
ルを使用できます。いずれの場合も、オーバーフロープールでは、インターフェイスベースの NAT ではデフォルトで有効になる PAT
を有効にする必要があります。
6 - 8 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
PAT を使わないプールベースのソース NAT の設定
このスライドは、この例において、PAT を使わずにソース NAT を有効にするために必要な設定を示しています。Junos のプールベー
スの NAT では、ユーザー定義のアドレスプールと、方向を示すコンテキストに関連付けるルールセットが必要です。この例では、Trust
ゾーンから Untrust ゾーンへの、10.1.10/24 のプレフィックスに属する送信元アドレスを持つトラフィックは、207.17.137/24 のプ
レフィックスに属する送信元アドレスに変換されます。PAT は明示的に無効にされ、プール A のアドレスを使い果たした場合のオー
バーフロープールは、出力インターフェイスアドレスを使って定義されます。前述のように、インターフェイスベースのソース NAT
はデフォルトで PAT を使用します。
結果の確認
NAT の変換結果を確認するには、show security flow session コマンドを使います。出力結果は、プライベート送信元アドレス
10.1.10.5 を使ってデバイスに入ったトラフィックが、パブリックホスト 1.1.70.6 に送られることを示しています。送信元アドレス
が変換され、リターントラフィックはパブリックアドレス 207.17.137.127 に送られます。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 9
SRX シリーズ スタディガイド - パート 1
既存のソース NAT ルールとプールを一目で確認するには、show security nat source summary コマンドを使います。この場
合、ソース NAT のプールには 207.17.137.1 から 207.17.137.254 までのアドレス範囲が含まれ、PAT は無効になります。ソース NAT
のルールは、プール A を使った変換に関連付けられたアクションの設定パラメータを示します。
プールの使用
Junos OS がソース NAT プールのアドレスを使い果たすと、変換が必要な以降のパケットはドロップされます。この問題を解決する 1
つの方法が、先に説明したオーバーフロープールの使用です。オーバーフロープールは便利なツールですが、プールの容量を増やし
たり使用パターンを評価する手段を講じるため、そのような状況が発生したことを把握しておきたい場合があります。
Junos OS には、プールの使用率を監視するためのアラーム機能があります。このアラームはデフォルトでは無効になっています。こ
のスライドは、プールの使用率アラームの設定を示しています。この設定は、ソース NAT スタンザにグローバルに適用されます。数
値は、プールの使用率をパーセントで示したものです。プールの使用率が raise-threshold(この例では 50%)に達すると、Junos セ
キュリティプラットフォームは設定されているネットワーク管理ステーションに SNMP トラップ通知を送ります。トラフィックの量
が clear-threshold を下回ると、Junos OS は設定されているネットワーク管理ステーションに SNMP トラップを送ります。プール使
用率のアラームはデフォルトでは無効にされていますが、これを有効にした場合、clear-threshold のデフォルト値は raise-threshold
の 80% に設定されます。
アドレスシフティングを使ったソース NAT のサンプルトポロジ
このスライドは、Junos OS を使用し、アドレスシフティングを適用したソース NAT のサンプルトポロジを示しています。このスライ
ドに示したトポロジを使うと、Trust ゾーンから Untrust ゾーンへのトラフィックで、アドレスシフティングを使ったソース NAT が有
効になります。10.1.10/24 ネットワークに属するトラフィックのみが、10.1.10.5 から始まるアドレスにシフト目的で変換されます。
トラフィックは、207.17.137/24 ネットワークから構成されるパブリックの送信元 IP アドレス範囲に変換されます。
定義によると、このタイプの変換は 1 対 1 で行われ、静的で、PAT は使われません。元の送信元アドレスの範囲が、ユーザー定義の
プールの範囲よりも大きい場合は、パケットがドロップされる場合があります。その場合は、先に説明したツールを使います。
6 - 10 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
アドレスシフティングを使ったソース NAT の設定
このスライドは、この例において、アドレスシフティングを使ったソース NAT を有効にするために必要な設定を示しています。Junos
のアドレスシフティングを使ったソース NAT では、ユーザー定義のアドレスプールと、方向を示すコンテキストに関連付けるルー
ルセットが必要です。この例では、Trust ゾーンから Untrust ゾーンへの、10.1.10/24 のプレフィックスに属する送信元アドレスを
持つトラフィックは、207.17.137/24 のプレフィックスに属する送信元アドレスに変換されています。10.1.10.5 アドレスは
host-address-base として設定され、アドレスシフティングの開始点となります。
結果の確認
NAT の変換結果を確認するには、show security flow session コマンドを使います。出力結果は、プライベート送信元アドレス
10.1.10.5 を使ってデバイスに入ったトラフィックが、パブリックホスト 1.1.70.6 に送られることを示しています。送信元アドレス
が変換され、リターントラフィックはパブリックアドレス 207.17.137.1 に送られます。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 11
SRX シリーズ スタディガイド - パート 1
変換されたアドレスのプールを表示するには、show security nat source pool all コマンドを使います。この例では、プー
ルの全範囲がリストされ、合計 254 個のアドレスが使用可能であることがわかります。10.1.10.5 というアドレスは、アドレスシフ
ティングのベースとなる開始点を示しています。出力結果には、このタイプのアドレス変換では PAT が無効であることも示されてい
ます。個々のアドレスプールについて表示するには、all オプションの代わりにプール名を指定します。
ポップクイズ
詳細な制御を行うには、off NAT アクションが便利です。このスライドの設定は、NAT off アクションの使用方法を示しています。こ
の例では、172.18.20.0/24 を宛先とするトラフィックを除き、10.1.10.0/24 ネットワークを送信元とするすべてのトラフィックに
は、適用されるソース NAT があります。前述のように、ルールセットの中で指定したルールの順序は重要な意味を持ちます。この例
では、方向(Trust ゾーンから外部ゾーン)を示すコンテキストが一致するトラフィックが rule 1 によって最初に評価され、次に
rule 2 によって評価されます。
宛先 IP アドレスとポート変換
宛先 IP アドレスとポート変換は、デバイスが、宛先 IP アドレスを別の IP アドレスに変換するか、宛先ポート番号を別のポート番号
に変換する、またはその両方を行うことを示しています。
ディスティネーション NAT と PAT のオプション
Junos OS は、標準的なプールベースの NAT を使って、ディスティネーション NAT と PAT を実行します。これはアドレスプールを使っ
た 1 対 1 のマッピングです。PAT は、標準的なプールベースの NAT を使う場合でも適用できます。
6 - 12 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
VoIP ALG
ボイスオーバー IP(VoIP)アプリケーションレベル・ゲートウェイ(ALG)は、パブリックネットワークからプライベートネットワー
クに送られるパケットに対し、allow-incoming テーブルを動的に生成します。このテーブルには、音声トラフィックに対して動的
に生成されたアドレスのリストが含まれます。
照合条件
ディスティネーション NAT を必要とするトラフィックには、2 段階の照合スキームが適用されます。セキュリティポリシーと同様、
トラフィックの方向を指示するコンテキストに応じてディスティネーション NAT のルールが作成されます。照合の第 1 段階目は、方
向を示すコンテキストです。NAT のルールはルールセットで構成されます。各ルールセットには from 句を必要とするこのコンテキス
トが含まれます。from 句は、インターフェイス、ゾーン、ルーティングインスタンスのいずれかを示します。同じトラフィックを
ターゲットとするルールセットが重複する場合、最も限定的なコンテキストを含むルールセットが優先されます。最も限定的なコン
テキストはインターフェイスで、一方最も限定的でないコンテキストはルーティングインスタンスです。
照合の 第 2 段階目は、match オプションを使って NAT のルール内で実行されます。これらのオプションには、source-address、
destination-address、および destination-port 番号が含まれます。照合の 2 層目の例外は、destination-address 照合
オプションのみをサポートする静的なディスティネーション NAT です。この情報は、パケットヘッダーを使って評価されます。
NAT ルールのアクション
方向を示すコンテキストと NAT ルールの照合条件に一致するトラフィックには、NAT のアクションが適用されます。NAT のアクショ
ンは then 句を使って指定し、off、pool(ユーザー定義のプール名が続く)、および static-nat prefix(ユーザー定義のアド
レスプレフィックスが続く)が含まれます。ディスティネーション NAT のプールには、最大 1 つのアドレスまたはアドレス範囲と 1
つのポートを含めることができます。
重複
静的な NAT ルールは、動的な NAT ルールよりも優先されます。
アドレスやルールセット、ルールが重複する場合、一般的に次のガイドラインが適用されます。
•
NAT プールに使用されるアドレスは、ソース NAT プールにおいてもディスティネーション NAT プールにおいても決し
て重複してはいけません。
•
トラフィックに複数のルールセットが一致する場合、最も限定的なコンテキストを含むルールセットが優先されます。
•
ルールセットにおいて、ルールの順序は重要な意味を持ちます。ルールは順番に評価されます。つまり、トラフィック
が、同一ルールセット内の 2 つのルールに一致する場合、設定された 1 つ目のルールのみが適用されます。
ルールセット内のルールを調整するには、Junos の insert コマンドを使います。
ライブ設定変更
現在使用中の NAT ルールやプールに変更を加えて確定すると、Junos OS が該当するセッションを破棄します。その後、一致するトラ
フィックを受け取るとセッションが再開されます。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 13
SRX シリーズ スタディガイド - パート 1
プールベースのディスティネーション NAT のサンプルトポロジ
このスライドは、Junos OS を使用したプールベースのディスティネーション NAT のサンプルトポロジを示しています。このスライド
に示したトポロジを使うと、Untrust ゾーンから 100.0.0.1 へのトラフィックにおいて、プールベースのディスティネーション NAT が
有効になります。トラフィックはプライベート IP アドレス 10.1.10.5 に変換されます。
1 つのアドレスを使ったプールベースのディスティネーション NAT の設定
このスライドは、この例において、ディスティネーション NAT を有効にするために必要な設定を示しています。Junos のプールベー
スの NAT では、ユーザー定義のアドレスプールと、方向を示すコンテキストに関連付けるルールセットが必要です。この例では、
Untrust ゾーンからの 100.0.0.1 を宛先アドレスとするトラフィックの宛先アドレスが、10.1.10.5 に変換されています。この例は、
使用可能なアドレスが 1 つしかないプールと、ポート変換がない場合を示しています。
6 - 14 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
アドレスプールを使用したプールベースのディスティネーション NAT の設定
このスライドは、この例において、ディスティネーション NAT を有効にするために必要な設定を示しています。Junos OS のプール
ベースの NAT では、ユーザー定義のアドレスプールと、方向を示すコンテキストに関連付けるルールセットが必要です。この例では、
Untrust ゾーンからの 100.0.0.1 を宛先アドレスとするトラフィックの宛先アドレスが、10.1.10.5 から 10.1.10.6 の範囲に変換され
ています。ポートの変換は行われません。
PAT を使ったプールベースのディスティネーション NAT の設定
このスライドは、この例において、ディスティネーション NAT と PAT を有効にするために必要な設定を示しています。Junos のプー
ルベースの NAT では、ユーザー定義のアドレスプールと、方向を示すコンテキストに関連付けるルールセットが必要です。この例で
は、Untrust ゾーンからの宛先アドレス 100.0.0.1、宛先ポート 80 のトラフィックにおいて、その宛先アドレスが 10.1.10.5 に、宛
先ポートが 8080 に変換されています。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 15
SRX シリーズ スタディガイド - パート 1
PAT を使用した NAT の結果
NAT の変換結果を確認するには、show security flow session コマンドを使います。出力結果は、プライベート宛先アドレス
100.0.0.1、宛先ポート 80 を使ってデバイスに入ったトラフィックが、パブリックホスト 1.1.70.6 に送られることを示しています。
このフローから返されるトラフィックは、プライベートアドレス 10.1.10.5 およびプライベートポート 8080 を送信元とします。
show security nat destination pool all コマンドを実行すると、変換されたアドレス(この例では 1 つのアドレス)と変
換されたポート番号が表示されます。個々のアドレスプールについて調べるには、all オプションの代わりにプール名を指定します。
結果の確認
動作モードの show security nat destination rule all コマンドを使うと、Junos OS でプログラムされた NAT ルールを表
示することができます。このスライドの出力には、ルールが表示されています。このルールで変換されたトラフィックの数は、
Translation hits カウンタで確認できます。
個々の NAT ルールについて調べるには、all オプションの代わりにルール名を指定します。
6 - 16 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
スタティック NAT のサンプルトポロジ
このスライドは、Junos OS を使用したスタティック NAT のサンプルトポロジを示しています。このスライドに示したトポロジを使う
と、Untrust ゾーンから 100.0.0.1 へのトラフィックにおいて、スタティック NAT が有効になります。トラフィックはプライベート
IP アドレス 10.1.10.5 に変換されます。
静的なディスティネーション NAT の設定
このスライドは、この例において、スタティック NAT を有効にするために必要な設定を示しています。Junos のスタティック NAT で
は、方向を示すコンテキストに関連付けるためのルールセットが必要です。この例では、Untrust ゾーンからの 100.0.0.1 を宛先アド
レスとするトラフィックの宛先アドレスが、10.1.10.5 に変換されています。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 17
SRX シリーズ スタディガイド - パート 1
結果の確認
NAT の変換結果を確認するには、show security flow session コマンドを使います。出力結果は、パブリックホスト 1.1.70.6
から、パブリックアドレス 100.0.0.1 を使って Junos セキュリティプラットフォームに入ったトラフィックを示しています。このフ
ローから返されるトラフィックは、プライベートアドレス 10.1.10.5 を送信元とします。
静的なソース NAT
このスライドは、2 つ目のセッションの作成を示しています。スタティック NAT を有効にしてセッションをトリガーすると、Junos
OS は自動的に逆向きの静的なソース NAT セッションを作成します。NAT のルールに一致するトラフィックが実際にデバイスを通過す
るまで、静的なディスティネーション NAT セッションも静的なソース NAT セッションも作成されません。
6 - 18 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
非 NAT トラフィックのドロップ
NAT の処理はセキュリティポリシーとは別に行われるため、変換されたアドレスも変換されないアドレスもポリシーに一致する可能
性があります。このネットワークでは、Junos デバイスでディスティネーション NAT を実行することで、ホスト A へのインターネッ
ト接続を許可しているため、サーバーのパブリックアドレスとプライベートアドレスに送られたトラフィックは、ポリシーエンジン
にとっては同等とみなされます。この問題を解決するため、ディスティネーション NAT またはスタティック NAT が使用されたときは
常に、トラフィックが変換されたことをポリシーエンジンに通知します。これによって、このスライドに示すように、ポリシーエン
ジンが、変換されたトラフィックまたは変換されていないトラフィックを明示的にドロップすることができます。
プロキシ ARP はどのような場合に使用すべきか
Junos OS セキュリティプラットフォームでは、変換されたトラフィックが受信インターフェイスと同じサブネットに属している場合
は必ず、プロキシアドレス解決プロトコル (ARP)の設定が必要になります。この設定は自動的には行われないので、必要に応じて
手動で行う必要があります。
ネットワークデバイスから Ethernet を通じて宛先 IP アドレスにパケットを送る必要がある場合、宛先 IP アドレスに関連付けられた
Layer 2 MAC アドレスを取得するため、デバイスから ARP リクエストが送られます。関連付けが行われると、送信側のデバイスは通常、
その情報をメモリに保存し、その後、Ethernet フレームを適切な Layer 2 MAC アドレスに指定します。プロキシ ARP を使用せずに、
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 19
SRX シリーズ スタディガイド - パート 1
インターフェイスが自身以外のアドレスを要求する ARP リクエストを受け取った場合、そのパケットは無視されます。そのパケット
は同じブロードキャストメディアにアタッチされた別のデバイスに向けられたものとみなされます。プロキシ ARP を使用すると、送
ろうとした宛先の代わりに ARP リクエストにレスポンスを返すことで、インターフェイスはその宛先へのプロキシとして動作します。
送ろうとした宛先へのパケットはプロキシデバイスに送られ、その後、本来の宛先に送られます。
このスライドは、NAT プロキシ ARP の構成の階層とオプションを示しています。
プロキシ ARP の例
このスライドは、プロキシ ARP とそれに関連付けられた設定が必要な例を示したものです。この例では、Trust ゾーンからのトラフィッ
クの送信元をデバイスが変換し、プライベートの送信元アドレスを 1.1.70.10 から 1.1.70.100 の範囲のパブリックの送信元アドレスに
変換しています。NAT 送信元プールは、パブリックインターフェイスと同じサブネットに属しています。リターントラフィックが
10.1.10.5 ホストに到達するには、デバイスが 1.1.70.10–1.1.70.100 のアドレス範囲に対してプロキシ ARP を実行する必要があります。
主な監視コマンド
このスライドは、NAT の動作を確認および監視するために使用する、動作モードの 4 つの show コマンドを示しています。この章の
例では、これらのコマンドを繰り返し使用します。show security nat コマンドは、ソース NAT またはディスティネーション NAT
に使用できます。
NAT 動作用 Traceoptions
Traceoptions は、NAT の動作をより詳細に表示するために使用します。Traceoptions のログは、デフォルトでは /var/log/security-trace
に保存されますが、ユーザーが別のログ名を指定することも可能です。
6 - 20 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
NAT の内部動作は、パケット転送エンジン(PFE)およびルーティングエンジン(RE)の 2 つの主要要素から構成されます。PFE は、
ukernel 要素と real-time 要素の 2 つの要素に分かれます。PFE ukernel 要素内、PFE real-time 要素内、または RE 内での NAT の動作
を追跡するため、Traceoptions フラグを設定できます。出力結果には、NAT の動作の追跡に使用できるすべてのフラグがリストされ
ます。
[edit security nat traceoptions]
user@srx# set flag ?
Possible completions:
all
Trace everything
destination-nat-pfe Trace destination nat events on PFE-ukernel side
destination-nat-re
Trace destination nat events on RE side
destination-nat-rt
Trace destination nat events on PFE-RT side
source-nat-pfe
Trace source nat events on PFE-ukernel side
source-nat-re
Trace source nat events on RE side
source-nat-rt
Trace source nat events on PFE-RT side
static-nat-pfe
Trace static nat events on PFE-ukernel side
static-nat-re
Trace static nat events on RE side
static-nat-rt
Trace static nat events on PFE-RT side
復習問題
解答
1.
ディスティネーション NAT の処理はセキュリティポリシー処理の前に行われ、ソース NAT の処理はセキュリティポリシー処理の後に
行われます。
2.
静的なソース NAT では、アドレスシフティングを使ったソース NAT と、静的なディスティネーション NAT を使用した場合のリターン
セッションの自動作成の 2 通りがサポートされています。
3.
NAT off アクションによって、NAT ルールセット内の制御をより詳細に行うことができます。
4.
NAT プロキシ ARP は、変換されたアドレスが受信インターフェイスと同じサブネットに属する場合に設定する必要があります。
5.
NAT の動作を監視するコマンドには、show security flow session、show security nat source summary(または show
security nat destination summary)
、show security nat source pool(または show security nat destination
pool)、および show security nat source rule(または show security nat destination rule)があります。
© 2013 Juniper Networks, Inc. All rights reserved.
ネットワークアドレス変換 • 6 - 21
SRX シリーズ スタディガイド - パート 1
6 - 22 • ネットワークアドレス変換
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 7 章:IPsec VPN
この章の内容:
•
さまざまなタイプの仮想プライベートネットワーク (VPN)
•
主なセキュリティ上の課題
•
IP Security(IPsec)VPN とその機能
•
ポリシーベースおよびルートベースの方法を使った IPsec VPN の設定
•
IPsec VPN の監視
VPN の意義
VPN は、プライベートネットワークのトラフィックをパブリックネットワークのインフラストラクチャを介して転送するために使わ
れます。VPN という用語は、ネットワーキング業界で数十年もの間、広く使われてきました。たとえば、ネットワーキング業界で
は、X.25 やフレームリレー、ATM インフラストラクチャを VPN ネットワークとみなすようになりました。インターネットが普及す
るにつれ、キャリアやサービスプロバイダは、そのサービスをすべて新たな VPN 形式である IP に移行しました。
現行の VPN のタイプ
新しいタイプの VPN は、次の 3 つのカテゴリに分類することができます。
•
クリアテキスト VPN:このタイプの VPN には、Layer 3 VPN、Layer 2 VPN(Kompella および Martini による実装)、
仮想プライベート LAN サービス(VPLS)が含まれます。これらの VPN は、MPLS サービスと、IP 上のシグナリング
プロトコルの使用に依存しています。
•
セキュア VPN:このタイプの VPN は、IP 上のペイロードを安全に転送する IPsec VPN です。この章では、このタイプ
の VPN について説明します。
•
クリアテキスト VPN とセキュア VPN の組み合わせ:このタイプの VPN は、Layer 3 VPN をベースにし、MPLS 技術に
よって構築され、IPsec セキュリティを組み合わせたものです。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 1
SRX シリーズ スタディガイド - パート 1
セキュア VPN
セキュア VPN を構成するネットワークデバイスは、次のアクションを実行できなければなりません。
•
オリジナルのパケットを暗号化し、パブリックネットワーク上でインターセプトされても簡単に復号化できないように
する。
•
オリジナルのペイロードを検証し、データの整合性を確かめる。
•
パブリックネットワークで動作する不特定のデバイスではなく、送信元のデバイスを VPN のメンバとして認証する。
この章では、エンドツーエンドの静的な IPsec VPN について詳しく説明します。ただし、Junos オペレーティングシステムが動作す
るセキュリティプラットフォームは、エンドツーサイトの動的な VPN 、および端末からのリモート VPN の接続もサポートしていま
す。これらの機能の詳細は、ジュニパーネットワークスの技術文書(http://www.juniper.net/techpubs)を参照してください。
セキュリティ上の課題
ネットワークセキュリティには、主に機密性、整合性、認証の 3 つの課題があります。
•
機密性:オンラインバンキングやクレジットカード情報、企業の競合情報などの情報を中間者攻撃から保護するにはど
うすればよいでしょうか。たとえ第三者が情報を入手したとしても、意味を成さない形式で情報を保存しておく必要が
あります。
•
整合性:たとえ情報が安全で隠蔽されているとしても、すなわち第三者が内容を解読または理解できないとしても、第
三者が内容を変えてしまうことは可能です。ネットワーク上を転送されている間に、第三者がデータのビットを調整
し、元のデータと変わってしまう可能性があります。データが不正に操作された場合、そのことをリモートステーショ
ンが識別し、その情報の処理を拒否するにはどうすればよいでしょうか。
•
認証:リモートステーションでは、情報が正当なデバイスからきたものであることをどのように確認できるでしょう
か。重要な情報を不正な受信者とやり取りしたくはありません。
機密性 - データの暗号化
VPN の 3 つのセキュリティ課題の 1 つ目は機密性です。
暗号化はデータの機密性を守ります。暗号化とは、ユーザーデータ(プレーンテキストという)を、復号化不可能なデータ、または
秘密データ(暗号文という)に変換することをいいます。暗号文は、暗号化アルゴリズムと暗号化鍵(暗号化プロセスのシードとな
るビット文字列)をデータに適用して作成します。
7 - 2 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
プロセスを反転させて、暗号文を復号化するには、暗号化アルゴリズムと暗号化鍵の両方が必要です。暗号化データの復号化には、次
の 2 つの方法があります。
•
対称鍵(共通鍵)暗号方式:この方法では、暗号化するときと復号化するときに同じ鍵を使います。
•
非対称鍵(公開鍵)暗号方式:この方法では、暗号化するときに秘密鍵を使い、復号化するときには数学的に関連する
公開鍵を使います。
暗号の強度は鍵のサイズによって決まり、鍵が大きいほど暗号の出力はより安全になります。ただし、処理時間とのトレードオフに
なり、鍵が大きいほど暗号化、復号化するときの演算サイクルも多くなります。
機密性 - 対称鍵による暗号化
対称鍵による暗号化は、オーバーヘッドが少ない最も単純な暗号化方式です。対称と呼んでいるのは、データを暗号化するときと復
号化するときに使う鍵が同じであるためです。このため、接続の両側で同じ鍵が必要になります。
対称鍵のサイズは 40 ビットから 1024 ビットの範囲です。対称鍵はあまり長くないため高速に処理され、データの一括暗号化に広く
使われています。ただし、送信側と受信側の両者が鍵を持っている必要があり、対称鍵を使う場合は鍵の管理方法が問題になります。
対称鍵の暗号化を使った例としては、Rivest Cipher 4(RC4)、Data Encryption Standard(DES)、Advanced Encryption Standard
(AES)、Blowfish などがあります。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 3
SRX シリーズ スタディガイド - パート 1
公開鍵による暗号化
公開鍵、または非対称鍵による暗号化方式は、数学的に関連する 2 つの鍵を使います。1 つの鍵は秘密にされ、所有者しか知りませ
ん。この鍵を秘密鍵といいます。所有者はもう 1 つの鍵を広く配布して誰でもアクセスできるようにします。これを公開鍵といいま
す。秘密鍵で暗号化されたデータは、それに対応する公開鍵を使ってのみ復号化できます。またその逆も同様です。2 つの鍵は数学
的に関連しており、別の鍵から生成することはほぼ不可能です。
公開鍵のサイズは 512 ビットから 2048 ビットの範囲です。公開鍵はサイズが大きいため、処理速度が非常に遅く、一般的にデータ
の一括暗号化には向いていません。ただし、公開鍵はデバイスの認証(デジタル証明書など)に広く使われています。公開鍵、また
は非対称鍵による暗号化の例としては、RSA が挙げられます。
整合性
インターネット上を通過するデータを暗号化した後、データが転送中に改変されないようにしなければなりません。未熟なハッカー
は暗号化アルゴリズムや暗号化鍵を見破ることはできなくても、暗号化されたペイロードのデータを改変し、大損害を与えることは
可能です。データの改変が行われると、暗号を復号化しても元のデータには戻りません。どのような結果になるかは誰にもわかりま
せん。
この問題を解決するのが、ハッシングです。これは、Cyclic Redundancy Check(CRC)チェックサムと同様、データの指紋を作成し
ます。データが転送される前に、固定長のハッシュ出力を生成するハッシングエンジンを通過します。ネットワーク上を転送される
前に、データと共にパケット内のフィールドにハッシュを追加します。宛先のデバイスでは同じデータを受け取り、同じハッシング
アルゴリズムを実行して自らのハッシュを計算します。宛先のデバイスでは、自ら計算したハッシュとパケットの中のハッシュを比
較し、それらが同じであれば転送中のデータの整合性が保証され、ハッシュが一致しない場合、パケットはドロップされます。
7 - 4 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
Junos OS は、MD5、SHA1、および 256 ビットの SHA2 ハッシングをサポートしています。
一方通行のハッシュアルゴリズム
ハッシュ関数には、次の 2 つの基本的な特性があります。
•
ハッシュ化された出力から元のデータを算出できないようにしなければなりません。この特性は、暗号文からプレーン
テキストを導き出せないようにするためのものです。
•
コリジョンにも強くなければなりません。コリジョンは、2 つの異なる入力から同じ出力が得られる場合に発生しま
す。同じ出力が得られる異なる入力値を予測できないようにしなければなりません。ハッシングは、データが改変され
ていないことの確認を目的としているため、この特性は欠かせません。
このスライドの剰余演算を見てみましょう。一方通行の機能がどのように作成できるかを示しています。3 という値から得られる可
能性のある解は無限に存在するため、元の値を知ることはできません。
ただし、コリジョンに強いという要件を満たしていないため、この例は実際のハッシュ機能として使用するには適していません。悪
意を持った人が、何通りもの係数を試し、ハッシュ値が同じままであることを利用して、プレーンテキストを改変する可能性がある
ためです。
最も安全で広く使われているハッシュ関数は、Secure Hash Algorithm 1(SHA-1)です。MD5 が広くサポートされる一方、SHA-1 は
Message Digest 5(MD5)よりも好んで使用されます。これらの関数は固定長の出力を生成しますが、ハッシュ値の送信オーバーヘッ
ドが予測可能なため、IP パケットを処理するときに便利です。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 5
SRX シリーズ スタディガイド - パート 1
整合性 - ハッシュプロセス
ハッシュプロセスの概要は次の通りです。
1.
送信側がハッシュプロセスを介してデータを処理します。
2.
送信側がデータにハッシュ値を追加し、データとハッシュ値を受信側に送ります。
3.
受信側がデータとハッシュ値を分離します。
4.
受信側がデータをハッシュします。
5.
受信側が計算したハッシュ値と受け取ったハッシュ値を比較します。ハッシュ値が一致すればデータは改変されていま
せん。
送信元の認証
暗号化は、パブリックネットワークでパケットの内容を見られないよう保護します。ハッシングは、データが改変されていないこと
を確認します。それでは、データの送信元を認証するにはどうすればよいでしょうか。
ソフトウェアは、Hashed Message Authentication Code(HMAC)を使って送信元の認証を行います。送信側は、事前に共有された
秘密鍵をデータに追加し、ハッシュ関数を実行します。ハッシュが一致すると、受信側も同じ鍵の値をデータに追加してからハッシュ
関数を実行します。鍵がデータと共に送信されることはありません。
7 - 6 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
HMAC 認証
HMAC を使ったハッシングの概要は次の通りです。
1.
送信側は、事前に共有された鍵をデータに追加してからハッシュ関数を実行します。
2.
データとハッシュ値が受信側に送られます。
3.
受信側がデータとハッシュ値を分離します。
4.
受信側は、事前に共有された鍵をデータに追加してからハッシュ関数を実行します。
5.
受信側が計算したハッシュ値と受け取ったハッシュ値を比較します。ハッシュ値が一致すればデータは改変されていま
せん。ハッシュ値が一致しない場合、データが壊れているか、または鍵が一致しない、すなわち送信元が無効であるこ
とを意味します。いずれの場合も、受信側はパケットを破棄します。
鍵の交換
これまで見てきたように、暗号化も認証もセキュリティ鍵に依存しているため、鍵の交換が問題になります。接続の両側で同じ鍵が
必要な場合、どうすればその鍵の情報を安全に交換できるでしょうか。
1 つのオプションとして、接続の両側で鍵を手動で設定する方法があります。鍵の手動設定は単純ですが、各デバイスを異なる管理
者が管理している場合、設定ミスが起こりやすくなります。さらに、手動で設定する場合、鍵がめったに変更されないことを意味し、
これ自体がセキュリティの問題になります。十分な事例があればどのような暗号でも復号化できてしまうためです。
鍵の交換プロセスを自動化することもできますが、パブリックネットワークを通じて鍵を送るという問題を克服しなければなりませ
ん。鍵をインターセプトした人は誰でもデータを復号化できてしまうからです。
解決策
Whitfield Diffie と Martin Hellman は、1970 年にこの問題への解決策を生み出しました。Diffie-Hellman アルゴリズムは、2 者間で
しか知りえない秘密鍵に双方が同意する方法です。このテクニックの強みは、安全でない媒体で秘密の値を交換することなく、秘密
の値を作り出せる点にあります。また、この方法は、もしインターセプトされたとしても秘密の値を逆向きに生成できないようになっ
ています。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 7
SRX シリーズ スタディガイド - パート 1
Diffie-Hellman グループ
Diffie と Hellman は、鍵の交換アルゴリズムで素数と生成値の 5 つのグループを使うことを提案しました。各グループは、指数と係
数の計算を組み合わせた一意の鍵を生成します。
Junos OS は、Diffie-Hellman(DH)グループ 1、2、5 をサポートしています。素数が大きいほど鍵は強力になり、計算量も多くなり
ます。Diffie-Hellman グループ 1 では、768 ビットの素数を使用します。Diffie-Hellman グループ 2 では、1024 ビットの素数を使用
します。Diffie-Hellman グループ 5 では、1536 ビットの素数を使用します。
対向する両方のトンネルで同じ DH グループを設定する必要があります。設定しない場合、鍵の生成プロセスが失敗します。
DH 鍵の交換プロセス
Junos セキュリティプラットフォームは、同じ DH グループを使い、一意の公開鍵と秘密鍵を作成します。これらの鍵は、DH アルゴ
リズムに従った数学的な関連性があります。
公開鍵の値はネットワークを介して交換されます。各ピアはローカルの秘密鍵と受け取った公開鍵を DH アルゴリズムを通して実行
し、共通のセッション鍵を計算します。セッション鍵そのものがネットワーク上を転送されることはありません。
7 - 8 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec の概要
IPsec とは、上記で説明した暗号化、検証、認証方法を実際にどのようにネットワークに実装するかを定義した標準のセットです。
IPsec は Layer 3 で動作し、ユニキャストおよびマルチキャストのトラフィックをサポートします。
IPsec:2 つの手順で構成されるプロセス
IPsec VPN は 主に次の 2 つの手順から構成されています。
1.
2.
IPsec トンネルの確立:IPsec トンネルは、手動で確立することもでき、またインターネット鍵交換(IKE)プロトコル
で動的に確立することもできます。
IP トラフィックの処理:この手順では、トンネルの確立フェーズで定義されたセキュリティパラメータを使ってペイ
ロードを保護します。
次の数ページでは、最初の手順である IKE を使った IPsec トンネルの確立について説明します。
手順 1:インターネット鍵交換を使ったトンネルの確立
IKE は、ほぼ他者の介在なしに情報を安全かつ動的に交換するために IPsec で使用される、安全な鍵の管理プロトコルです。IKE プロ
ポーザルの交換は、IPsec トンネル確立プロセスのフェーズ 1 です。次の属性が、IKE プロセスの一部として IPsec ピア間で交換され
ます。
•
暗号化アルゴリズム
•
ハッシュアルゴリズム
•
認証方法
•
Diffie-Hellman グループ
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 9
SRX シリーズ スタディガイド - パート 1
IPsec ピアがこれらの属性をネゴシエートすると、データ保護に使用される属性の交換を安全に行います。IKE は、次のいずれかの方
法で認証を交換します。
•
事前に共有された鍵
•
デジタル署名、または
•
公開鍵による暗号化
IPsec 実装において、IKE の方が管理しやすく拡張性もあるため、手動鍵よりも好んで使用されます。
セキュリティアソシエーション
セキュリティアソシエーション(SA)とは、情報を保護するためのポリシーと鍵のセットです。IKE の交換ネゴシエーションが正し
く完了すると SA が確立されます。SA は、Security Parameter Index(SPI)の値、トンネルの宛先アドレス、および Encapsulating
Security Payload(ESP)または認証ヘッダー( AH)を使用したセキュリティプロトコルによって、一意に識別されます。SA のライ
フタイムは、時間の値、またはプロポーザルによって保護されたトラフィックの量で決まる値のいずれかに基づきます。
7 - 10 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
SA データベース
SA は、セキュリティアソシエーションのデータベースに格納されます。各エントリには、特定の VPN の名前、リモートゲートウェ
イの IP アドレス、両方向の SPI、合意されたセキュリティプロトコル、暗号化、認証アルゴリズム、および鍵が含まれます。
IKE のフェーズ
IKE トンネルは、2 つのフェーズで確立されます。
•
フェーズ 1 では、フェーズ 2 でネゴシエーションを行うためのゲートウェイ間での安全なチャネルを確立します。
Diffie-Hellman の鍵交換アルゴリズムが、暗号化のための共有鍵を確立します。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 11
SRX シリーズ スタディガイド - パート 1
•
フェーズ 2 では、特定の VPN 接続を確立します。IPsec の代わりに SA がネゴシエートされ、ユーザーのデータを送る
ときに使う暗号化と認証のアルゴリズムが決められます。SA は、フェーズ 2 においてもネゴシエートされる一意の SPI
によって決まります。
フェーズ 1 のチャンネル 1 つに対し、フェーズ 2 の SA や VPN を複数確立できます。必要に応じて、フェーズ 2 で 2 つ目の
Diffie-Hellman 交換を行い、新しいトンネル鍵をネゴシエートすることもできます。これは、この交換で使用される暗号化にちなん
で、完全転送機密保持(PFS)と呼ばれます。
IKE フェーズ 1:メインモード
IKE メインモードは、両方のトンネルピアが静的 IP アドレスを持つ場合に使われます。フェーズ 1 の交換では、次の属性が決まります。
•
暗号化アルゴリズム
•
ハッシュアルゴリズム
•
DH グループ
•
認証方法
-
事前に共有された鍵
-
デジタル署名
-
公開鍵による暗号化
最初の 2 つのメッセージにおいて、ピアの設定を検証し(cookie とローカルで設定したピアの IP アドレスを照合)、上記に挙げたパ
ラメータをネゴシエートします。フェーズ 1 の交換が成功するためには、両方のトンネルピアに最低 1 つの同一プロポーザルが設定
されている必要があります。
次の 2 つのメッセージでは、Diffie-Hellman の公開鍵の値と共有鍵の計算に必要な nonce が交換されます。
最後の 2 つのメッセージでは、ネゴシエートした鍵を使ってシンプルな識別情報を送り、鍵の計算が正しかったことを検証します。
メッセージ 1 とメッセージ 2 のピアが cookie と SA プロポーザルを交換します。cookie は送信元のマシン(I = イニシエータ)と受
信側のマシン(R = レセプタ)で生成される 8 バイトの擬似乱数です。cookie はすべて、マシンや特定の交換において一意です。こ
れらの cookie は一意性を保証し、送信元の IP アドレス、ポート、プロトコル、タイムスタンプをハッシングすることで、送信元に
しかわからない一意の識別子を導き出し、保護します。そのため、cookie はすべての IPsec パケットに含まれ、通信を識別するため
に使用されます。同様に、受信側が SA プロポーザルを受け入れると、メッセージ 2 に既知の cookie を挿入します。
7 - 12 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec の SA プロポーザルには、次の情報が含まれます。
•
フェーズ 1 の認証方法(メインモードまたはアグレッシブモード)
•
DH グループの番号
•
暗号化アルゴリズム
•
認証アルゴリズム
•
鍵のライフタイム
メッセージ 3 とメッセージ 4 では、共通のセッション鍵を作成するため、DH 公開値が交換されます。このときに基本的に乱数であ
る nonce も交換され、後で生成される鍵のシードとなります。
接続の両側で DH 公開値を交換した後、IKE のフェーズ 1 の残りのメッセージを暗号化するための鍵が両側で作成されます。セッショ
ン鍵は、それぞれのパートナーに向けて交換された公開鍵の結果です。
メッセージ 5 と 6 では、HMAC アルゴリズムで事前に共有された鍵が使用されます。
IKE フェーズ 1:アグレッシブモード
IKE アグレッシブモードは、一方のトンネルピアが動的 IP アドレスを持ち、リモートエンドユーザーがインターネットにダイヤルイ
ンで接続しているか、リモートサイトが DHCP を使い IP アドレスを取得する場合に使われます。(最初の 2 つのメッセージではピア
の IP アドレスを検証するため、メインモードは使えません。動的ホストアドレスの場合、ピアは事前にアドレスを設定することはで
きません)。
フェーズ 1 アグレッシブモードは、動的 IP アドレスを持ったデバイスで開始する必要があります。最初の 2 つのメッセージではポリ
シーをネゴシエートし、DH 公開値と nonce を交換します。さらに、2 つ目のメッセージではレスポンダを認証し、ID ハッシュをロー
カルで設定したピア ID と照合します。
3 つ目のメッセージではイニシエータを認証し、交換に参加したことを証明します。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 13
SRX シリーズ スタディガイド - パート 1
IKE フェーズ 2:クイックモード
フェーズ 1 が完了すると、プロポーザルを交換して特定の VPN を確立します。フェーズ 2 では次の属性がネゴシエートされます。
•
セキュリティプロトコル(ESP または AH)
•
トンネルモードまたはトランスポートモード
•
プロキシ ID
•
オプションの DH グループ
クイックモードが完了すると、設定された IPsec ピア間でユーザーデータが暗号化されます。フェーズ 2 の交換が成功するためには、
両方のトンネルピアに最低 1 つの同一プロポーザルが設定されている必要があります。
フェーズ 2 の結果として、ネットワークを介してユーザーデータを安全に転送するための IPsec VPN が作成されます。
メッセージ 1 とメッセージ 2 では、フェーズ 2 のプロポーザルリストが交換されます。このリストには、アルゴリズムを決める暗号
化情報と認証情報、およびユーザーデータを暗号化し認証する鍵が含まれます。フェーズ 2 のプロポーザルリストには、次のものが
含まれます。
•
ESP または AH
•
DH グループの番号(PFS でない場合は 0)
•
暗号化アルゴリズム
•
認証アルゴリズム
•
鍵のライフタイム
•
プロキシ ID(ポリシールール)
•
DH 公開鍵(PFS を使用する場合はオプション)
メッセージ 3 では、クイックモードのメッセージ 2 から送られてきた情報を認知し、フェーズ 2 のトンネルを確立します。
7 - 14 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec:2 つの手順で構成されるプロセス - 手順 2
ここまで、IPsec のプロセスでトンネルを確立する手順を説明しました。これから、次の手順である IPsec トラフィック処理について
説明します。IPsec トンネルが確立されると、IPsec の属性とプロトコルを使ったデバイスからのペイロード送信が可能になり、ペイ
ロードが確実に保護されます。
IPsec トラフィック処理の目的
IPsec トラフィック処理におけるデバイスの目的はただ 1 つ、トラフィック
を保護することです。最も一般的な IPsec モードは、ESP トンネルモードで
す。
IPsec のモード
IPsec は、トランスポートまたはトンネルの 2 つのモードのいずれかを使っ
てペイロードを処理します。これらのモードについては、次の数ページで説
明します。
IPsec のプロトコル
IPsec では、AH プロトコルと ESP プロトコルの 2 つのプロトコルを使ってペイロードの安全性を保証します。これらのプロトコルに
ついても、次の数ページで説明します。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 15
SRX シリーズ スタディガイド - パート 1
IPsec のモード
IPsec は次の 2 つのモードを実装できます。
•
トンネルモード:このモードは最も一般的に使われている実装モードです。トンネルモードは、IPsec ゲートウェイ間、
または IPsec ゲートウェイと、ゲートウェイ背後のネットワークに安全にアクセスできるリモートクライアント間に実
装します。この方法では、エンドシステムで IPsec プロトコルスイートを識別する必要はありません。暗号化と復号化
はすべて、ゲートウェイの背後にあるホストの代わりに IPsec ゲートウェイで行われます。
•
トランスポートモード:このモードは IPsec のエンドシステム間に実装されます。エンドシステムは IPsec プロトコル
スイートを識別する必要があります。エンドシステムでデータの暗号化と復号化がすべて行われます。
7 - 16 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec のプロトコル
IPsec には、ペイロードの安全性を保証するための 2 つのプロトコル、AH プロトコルと ESP プロトコルがあります。
•
AH は、データの整合性、認証、アンチリプレイサービスのみを提供します。AH は IP プロトコル 51 番によって識別さ
れます。データの整合性サービスには、MD5 または SHA-1 を使います。AH では、パケット内のデータは暗号化されま
せん。
•
ESP は、データの機密性、データの整合性、認証、アンチリプレイサービスを提供します。ESP は、TCP や UDP のよ
うな転送プロトコルは使わず、プロトコル 50 番を使って IP 上に直接付加されます。ESP は DES や triple Data
Encryption Standard(3DES)、AES のような対称鍵アルゴリズムを使い、MD5 および SHA-1 のようなハッシュ方式を
使って、セキュリティサービスを提供します。アンチリプレイサービスは、第三者がデータグラムを捕捉または再送す
るのを防ぎます。受信側はシーケンス番号を確認することで、パケットの受け取りを判断したり、繰り返しを破棄する
ことができます。
例:トンネルモードの AH パケット
AH は、IP ヘッダーの不変フィールドのみを認証します。生存時間(TTL)やサービスタイプ(ToS)などのフィールドはパケットの
送信中に変化するため受信時に認証されません。IP ヘッダーには、AH を示すプロトコル 51 番が含まれます。
AH ヘッダーには次の情報が含まれます。
•
Next Header:次に予測されるセグメントの情報。
•
Payload Length:ペイロードのサイズを示します。
•
SPI:宛先 IP アドレスおよびセキュリティプロトコル(AH)と組み合わせて、データグラムの一意のセキュリティアソ
シエーションを識別する無作為の 32 ビット値。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 17
SRX シリーズ スタディガイド - パート 1
•
Sequence Number:単調増加カウンタ値(シーケンス番号)を含む、符号なし 32 ビットフィールド。アンチリプレイ
の検知に使用されます。
例:トンネルモードの ESP パケット
トンネルモードでは、ESP ヘッダーが新しい IP ヘッダーと元の IP ヘッダーの間に挿入されます。新しい IP ヘッダーには、ESP を示
すプロトコル 50 番が含まれます。ESP ヘッダーには次の情報が含まれます。
•
SPI:宛先 IP アドレスおよびセキュリティプロトコル(ESP)と組み合わせて、データグラムの一意のセキュリティア
ソシエーションを識別する無作為の 32 ビット値。
•
Sequence Number:単調増加カウンタ値(シーケンス番号)を含む、符号なし 32 ビットフィールド。アンチリプレイ
の検知に使用されます。
ESP Trailer には次の情報が含まれます。
•
Padding/Pad Length:元のデータサイズに応じて、パケットを埋めるためにパディングが必要な場合があります。
•
Next Header:次に予測されるセグメントの情報。
ESP Auth は、このパケットの整合性検査の値(つまり、ハッシュ値)です。
7 - 18 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
トラフィックの処理:パート 1
トラフィックの処理順序は次の通りです。
1.
支社の Junos セキュリティ・プラットフォームにパケットが到着します。
2.
Junos OS が宛先ルートをルックアップし、送信ゾーンを判別します。
3.
Junos OS がセキュリティポリシーをルックアップします。トラフィックがトンネルポリシーに一致します。
4.
元のパケットが暗号化されたものを受け取ります。
5.
Junos OS がパケットを認証鍵でハッシュします。
6.
Junos OS が新しい IP ヘッダー、IPsec ヘッダー、およびハッシュ値でトンネルパケットを構築します。新しいパケッ
トがトンネルピアに送信されます。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 19
SRX シリーズ スタディガイド - パート 1
トラフィックの処理:パート 2
このリストは前のページからの続きで、トラフィックの処理順序を示しています。
7.
本社 Junos セキュリティプラットフォームが暗号化されたパケットを受け取ります。
8.
Junos OS が受信した SPI をローカルの SA データベースでルックアップします。一致したレコードには、暗号化および
認証アルゴリズムと鍵が含まれます。
9.
Junos OS がローカルで計算したハッシュと受け取ったハッシュを比較します。
10.
Junos OS がパケットを復号化します。
11.
Junos OS が復号化したパケットのルーティングルックアップを実行し、送信ゾーンを判別します。
12.
Junos OS が関連付けられたセキュリティポリシーを確認します。パケットにトンネルポリシーがある場合は、そのパ
ケットを転送します。
7 - 20 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec の処理のまとめ
このスライドは、IPsec トラフィック処理のすべての手順をまとめたものです。
IPsec の実装方法
Junos OS は、次の 2 つの IPsec VPN の実装方法を提供しています。
•
ポリシーベースの VPN:この方法を実装するには、セキュリティポリシーにおいて、ポリシーの条件に一致するトラ
フィックを転送する IPsec VPN トンネルをアクションとして指定します。ポリシーベースの VPN は、トンネルの 1 つ
のエンドポイントが動的アドレスを使う場合に必要です。ポリシーベースの IPsec VPN では、ポリシーに一致するトラ
フィックのフローごとに新しいトンネルが生成されます。トンネルごとに独自のネゴシエーションプロセスと独立した
SA のペアが必要なため、ポリシーベースの IPsec VPN はルートベースの IPsec VPN よりも多くのリソースを必要とす
る場合があります。
•
ルートベースの VPN:ポリシーベースの IPsec VPN のプロセスとは異なり、ルートベースの IPsec VPN では、ポリシー
は IPsec VPN トンネルではなく宛先アドレスを参照します。ルートベースの VPN では宛先アドレスを使用するため、
トンネル全体でルーティングプロトコルの隣接関係が必要な場合、一般的にこの VPN が最適です。Junos OS がトラ
フィックを宛先アドレスに送信するためのルートを検索する場合、セキュア・トンネル・インターフェイス(st0.x)に
関連付けられたルートを探します。このトンネルインターフェイスは特定の IPsec VPN トンネルにバインドされ、ポリ
シーアクションが permit の場合、トラフィックがトンネルにルートされます。ルートベースの IPsec VPN では、多く
の場合、2 つのサイト間に 1 つの VPN しか存在しません。
IPsec VPN 設定の要素
IPsec VPN 設定は 3 つの手順から構成されます。
1.
IKE フェーズ 1 を設定します。
2.
IKE フェーズ 2 を設定します。
3.
ポリシーベースの VPN またはルートベースの VPN のいずれかの IPsec の実装方法を適用します。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 21
SRX シリーズ スタディガイド - パート 1
IKE フェーズ 1 のパラメータの設定:手順 A
IKE フェーズ 1 の設定は、次の手順に沿って行います。
A.
IKE フェーズ 1 プロポーザルを設定する
B.
IKE ポリシーを設定し、プロポーザルを参照する
C.
IKE ゲートウェイを設定し、ポリシーを参照する
このスライドは、手順 A を示しています。Junos には事前に定義されたプロポーザルがあるため、この手順は必須ではありません。事
前に定義されたプロポーザルは次の通りです。
•
•
•
basic:
-
プロポーザル 1:事前に共有された鍵、DH g1、DES、SHA1
-
プロポーザル 2:事前に共有された鍵、DH g1、DES、MD5
compatible:
-
プロポーザル 1:事前に共有された鍵、DH g2、3DES、SHA1
-
プロポーザル 2:事前に共有された鍵、DH g2、3DES、MD5
-
プロポーザル 3:事前に共有された鍵、DH g2、DES、SHA1
-
プロポーザル 4:事前に共有された鍵、DH g2、DES、MD5
standard:
-
プロポーザル 1:事前に共有された鍵、DH g2、3DES、SHA1
-
プロポーザル 2:事前に共有された鍵、DH g2、AES128、SHA1
IKE フェーズ 1 のパラメータの設定:手順 B
このスライドは、IKE フェーズ 1 設定の手順 B のポリシー設定の構文を示しています。この手順では、手順 A で事前に定義されたプ
ロポーザル、またはシステム定義のプロポーザルを参照する必要があります。また、事前に共有された鍵と IKE のモード(メインま
たはアグレッシブ)をポリシーの中で指定する必要があります。
7 - 22 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IKE フェーズ 1 のパラメータの設定:手順 C
このスライドは、IKE フェーズ 1 の最後の手順であるゲートウェイの設定を示しています。この手順では、前の手順で設定したポリ
シーの参照、ピアアドレスの定義、出力インターフェイスの指定を行う必要があります。また、任意で Dead Peer Detection(DPD)
を設定し、interval オプションで指定した秒数の間、デバイスがピアからのトラフィックを受け取らなかった場合、DPD リクエス
トパケットを送るようにすることもできます。また、間隔時間のしきい値を超えた場合、ピアが使用不可能であるとみなすために、
DPD を設定することもできます。たとえば、間隔値を 10 秒にし、しきい値を 5 にします。デバイスがピアから 10 秒間トラフィッ
クを受け取らなかった場合、ピアに DPD リクエストパケットを送ります。Junos セキュリティプラットフォームは 10 秒間の待機を
5 回繰り返した後でピアが使用不可能になったとみなします。
IKE フェーズ 2 のパラメータの設定:手順 A
IKE フェーズ 2 の設定は、次の手順に沿って行います。
A.
IKE フェーズ 2 プロポーザル
B.
IKE フェーズ 2 ポリシー
C.
IKE フェーズ 2 VPN トンネル
このスライドは、手順 A を示しています。事前に定義されたプロポーザルがあるため、この手順は必須ではありません。事前に定義
されたプロポーザルは次の通りです。
•
•
basic:
-
プロポーザル 1:PFS、ESP、DES、SHA1 なし
-
プロポーザル 2:PFS、DH g1、DES、MD5 なし
compatible:
-
プロポーザル 1:PFS、ESP、3DES、SHA1 なし
-
プロポーザル 2:PFS、ESP、3DES、MD5 なし
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 23
SRX シリーズ スタディガイド - パート 1
•
-
プロポーザル 3:PFS、ESP、DES、SHA1 なし
-
プロポーザル 4:PFS、ESP、DES、MD5 なし
standard:
-
プロポーザル 1:ESP、DH g2、3DES、SHA1
-
プロポーザル 2:ESP、DH g2、AES128、SHA1
IKE フェーズ 2 のパラメータの設定:手順 B
このスライドは、IKE フェーズ 2 設定の手順 B のポリシー設定の構文を示しています。この手順では、手順 A で事前に定義されたプ
ロポーザル、またはシステム定義のプロポーザルを参照する必要があります。また、Junos OS が暗号化鍵を生成する方法としてサ
ポートしている DH の 3 つのグループを使用するよう PFS をポリシーに設定することもできます。
IKE フェーズ 2 のパラメータの設定:手順 C
このスライドは、IKE フェーズ 2 の最後の手順である VPN の設定を示しています。この手順では、前の手順で定義したポリシー、お
よび IKE フェーズ 1 の手順 C で事前に定義したゲートウェイを参照する必要があります。ルートベースの VPN を設定する場合、この
スライドに示すように st0.x インターフェイスを VPN にバインドする必要があります。トンネルを手動でセットアップする場合は、
必要な属性もすべて手動で指定しなければなりません。その場合、必要なパラメータをすべて security ipsec vpn 設定スタンザ
の下にセットアップします。オ プショ ンの establish-tunnels コマンドで、IKE をいつアクティブにするかを指 定します
(immediately または on-traffic のいずれか)。immediately オプションを指定すると、VPN を設定した後、または設定への
変更が確定されるとすぐに IKE がアクティブになります。on-traffic オプションを指定すると、ペイロードトラフィックフローが
発生した場合のみ IKE がアクティブになります。
7 - 24 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec の適用 - ポリシーベースの IPsec VPN
ポリシーベースの IPsec VPN を実装する場合、このスライドに示すように、設定した VPN をセキュリティポリシー内で適用する必要
があります。
IPsec の適用 - ルートベースの IPsec VPN
ルートベースの IPsec VPN を実装する場合、次の手順を行わなければなりません。
1.
セキュア・トンネル・インターフェイス(st0.x)を設定する
2.
静的ルートを設定する、または st0.x インターフェイスを示す動的ルーティングを有効にする
3.
適切なセキュリティゾーンに st0.x インターフェイスを追加する
4.
st0.x インターフェイスを IPsec VPN にバインドする
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 25
SRX シリーズ スタディガイド - パート 1
例:IKE を使用したポリシーベースの IPsec VPN の作成
ここでは、スライドに示すように、Edge と Remote という 2 つの SRX シリーズサービスゲートウェイ間に、ポリシーベースの IPsec
VPN を実装する例を考えてみましょう。このスライドに示すように、ポリシーベースの IPsec VPN は、両エンドのポリシー内で VPN
トンネルを参照しなければならないことを意味します。
例:IKE フェーズ 1 のパラメータの設定
このスライドは、IKE フェーズ 1 の次のパラメータの設定を示しています。
7 - 26 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
1.
IKE フェーズ 1 のプロポーザル:Junos の事前に定義されたプロポーザル(選択肢は basic、compatible、
standard のいずれか)を使用できるため、この手順は任意です。このスライドでは、設定したプロポーザルに
ike-phase1-proposal という名前が付けられています。認証アルゴリズムには md5 を、暗号化アルゴリズムには
3des-cbc を、DH 鍵交換には group2、および事前に共有された鍵を認証方法として使用しています。
2.
ike-policy1 ポリシー:ポリシー内には、IKE フェーズ 1 で使用するモードを指定します。この場合は、メインモー
ドです。プロポーザル ike-phase1-proposal を参照し、事前に共有された鍵を指定します。
3.
ike-phase1-gateway ゲートウェイ:gateway スタンザ内で ike-policy1 ポリシーを参照し、ピアのアドレスに
Remote(1.1.70.1)を指定し、IKE がトンネルの確立に使用する外部インターフェイス(ge-1/0/1.0)を指定してい
ます。また、DPD を使用し、ピアから 20 秒間トラフィックを受け取らなかった場合、そのピアに DPD リクエストパ
ケットを送るように指定しました。この例では、DPD リクエストパケットが Edge から Remote に送られるとします。
DPD リクエストパケットを送信後、Edge は 20 秒間の待機を 5 回繰り返した後で Remote が使用不可能であるとみな
します。
このスライドに示した設定を Remote デバイスにも適用し、適切な外部インターフェイスとゲートウェイアドレスを定義します。
例:ポリシーベース IPsec VPN 用 IKE フェーズ 2 パラメータの設定
このスライドは、IKE フェーズ 2 のパラメータの設定例を示しています。この設定は、次の情報から構成されています。
1.
IKE フェーズ 2 のプロポーザル:Junos では事前に定義されたプロポーザルを使用できるため、この手順は任意です
(オプションは basic、compatible、standard のいずれかです)。この例で設定したプロポーザルには
ike-phase2-proposal という名前が付けられています。認証アルゴリズムには hmac-md5-96 を、暗号化アルゴリ
ズムには 3des-cbc を、また ESP プロトコルを使用しています。
2.
ipsec-pol1 ポリシー:ポリシー内で、ike-phase2-proposal というプロポーザルを参照し、IPsec で DH Group 2
を PFS として使用するよう指定しています。
3.
TunnelA という名前の VPN トンネル:トンネル内で ゲートウェイ ike-phase1-gateway、および IKE フェーズ 2 ポ
リシー ipsec-pol1 を参照しています。また、トンネルがすぐに確立されるように指定しています。
このスライドは Edge デバイスの設定を示していますが、Remote デバイスにも同様に設定する必要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 27
SRX シリーズ スタディガイド - パート 1
ポリシーベースの IPsec VPN の監視
すべての設定を確定したら、トンネルが適切に動作することを IPsec の動作に従って確認する必要があります。まず、IKE フェーズ 1
が適切に動作することを確認し、次に IKE フェーズ 2 が適切に動作することを確認します。IKE フェーズ 1 が適切に動作することを
確認するには、SA が作成されるかどうかを確認します。同様に、IKE フェーズ 2 の確認も SA の結果を見て行います。
このスライドでは、両コマンドとその結果を示しています。また、IPsec の統計では、デバイスで暗号化および復号化された転送パ
ケットのバイト数を確認できます。
7 - 28 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
例:IKE を使用したルートベースの IPsec VPN の作成
もう 1 つの例を見てみましょう。この例では、ルートベースの方法と IKE を使って IPsec トンネルを設定します。ルートベースの VPN
では Junos セキュリティプラットフォーム間でトンネルが 1 つだけ必要なのに対して、ポリシーベースの VPN では新しいフローごと
にトンネルを設定する必要があります。
VPN トンネルの両サイドにはセキュア・トンネル・インターフェイスを設定する必要があります。この例では IP アドレス 1.1.80.0/28
の st0.0 インターフェイスです。さらに、各デバイスには st0.0 インターフェイスを参照する正当なルートが必要です。この例では、
静的ルート 0.0.0.0/0 を使っています。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 29
SRX シリーズ スタディガイド - パート 1
例:ルートベースの IPsec VPN セキュリティゾーンの設定
st0.0 インターフェイスを設定したら、該当するセキュリティゾーンにこれを追加する必要があります。この例では、Public セキュ
リティゾーンに追加します。このスライドは Edge デバイスの設定を示していますが、Remote デバイスにも同様に設定する必要があ
ります。
例:IKE フェーズ 1 のパラメータの設定
このスライドは、IKE フェーズ 1 の次のパラメータの設定を示しています。
1.
IKE フェーズ 1 プロポーザル:Junos では事前に定義されたプロポーザルを使用できるため、この手順は任意です(オ
プションは basic、compatible、standard のいずれかです)。この例で設定したプロポーザルには
ike-phase1-proposal という名前が付けられています。認証アルゴリズムには md5 を、暗号化アルゴリズムには
3des-cbc を、DH 鍵交換には group2、および事前に共有された鍵を認証方法として使用しています。
2.
ike-policy1 ポリシー:ポリシー内には、IKE フェーズ 1 で使用するモードを指定します。この場合は、メインモー
ドです。プロポーザル ike-phase1-proposal を参照し、事前に共有された鍵を指定します。
3.
ike-phase1-gateway ゲートウェイ:gateway スタンザ内で ike-policy1 ポリシーを参照し、ピアのアドレスに
Remote(1.1.70.1)を指定し、IKE がトンネルの確立に使用する外部インターフェイス(ge-1/0/1.0)を指定していま
7 - 30 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
す。また、DPD を使用し、ピアから 20 秒間トラフィックを受け取らなかった場合、そのピアに DPD リクエストパ
ケットを送るように指定しました。この例では、DPD リクエストパケットが Edge から Remote に送られるとします。
DPD リクエストパケットを送信後、Edge は 20 秒間の待機を 5 回繰り返した後で Remote が使用不可能であるとみな
します。
このスライドに示した設定を Remote デバイスにも適用し、適切な外部インターフェイスとゲートウェイアドレスを定義します。
例:ルートベース IPsec VPN 用 IKE フェーズ 2 パラメータの設定
このスライドは、IKE フェーズ 2 のパラメータの設定例を示しています。この設定は、次の情報から構成されています。
1.
IKE フェーズ 2 のプロポーザル:Junos の事前に定義されたプロポーザル(選択肢は basic、compatible、
standard のいずれか)を使用できるため、この手順は任意です。この例で設定したプロポーザルには
ike-phase2-proposal という名前が付けられています。認証アルゴリズムには hmac-md5-96 を、暗号化アルゴリ
ズムには 3des-cbc を、また ESP プロトコルを使用しています。
2.
ipsec-pol1 ポリシー:ポリシー内で、ike-phase2-proposal というプロポーザルを参照し、IPsec で DH group2
を PFS として使用するよう指定しています。
3.
TunnelA という名前の VPN トンネル:トンネル内で ゲートウェイ ike-phase1-gateway、および IKE フェーズ 2 ポ
リシー ipsec-pol1 を参照しています。また、トンネルがすぐに確立されるように指定しています。さらに、st0.0 イ
ンターフェイスをトンネルにバインドします。
このスライドの設定をポリシーベースの IPsec IKE フェーズ 2 の設定と比較すると、st0.0 インターフェイスをトンネルにバインドす
るステートメントのみが異なります。
このスライドでは Edge デバイスの設定を示していますが、Remote デバイスにも同様に設定する必要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 31
SRX シリーズ スタディガイド - パート 1
ルートベースの IPsec VPN の監視:パート 1
すべての設定を確定したら、トンネルが適切に動作することを IPsec の動作に従って確認する必要があります。まず、IKE フェーズ 1
が適切に動作することを確認し、次に IKE フェーズ 2 が適切に動作することを確認します。IKE フェーズ 1 が適切に動作することを
確認するには、SA が作成されるかどうかを確認します。同様に、IKE フェーズ 2 の確認も SA の結果を見て行います。
このスライドでは、両コマンドとその結果を示しています。また、IPsec の統計では、デバイスで暗号化および復号化された転送パ
ケットのバイト数を確認できます。
7 - 32 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ルートベースの IPsec VPN の監視:パート 2
ルートベースの IPsec VPN の 1 つの特徴は、st0 インターフェイスを使用していることです。そのため、show interfaces st0.x
コマンドを使い、インターフェイスが up 状態になっているかどうか、またそのインターフェイスを介してどのくらいの量の情報が通
過したかを確認することができます。ルートベースの IPsec トンネルを確立できない場合、st0 インターフェイスが up 状態になって
いないことを示します。このスライドは、Edge デバイスで show interface st0 detail コマンドを実行した場合の結果を示し
ています。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 33
SRX シリーズ スタディガイド - パート 1
ルートベースの IPsec VPN の監視:パート 3
このスライドは、前のスライドの show interfaces st0 detail コマンドの続きを示しています。ここでは、フロー入力、フロー
出力、フローエラー統計を含む st0 インターフェイスの静的情報が表示されています。
ルートベースの IPsec VPN の監視:パート 4
ルートベースの IPsec VPN について見たように、これは転送テーブルのエントリを確認するのに便利で、st0 インターフェイスを参
照するアクティブルートが存在することが確認できます。この例では、インターフェイス st0.0 をネクストホップとして使用する
0.0.0.0/0 デフォルトルートがアクティブになっています。
7 - 34 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPsec VPN のその他の監視コマンド
traceoptions を使 い、IKE フ ェ ー ズ 1 と フェーズ 2 をデバッグすることができます。また、clear security ike
IKE フェー
security-associations 、および clear security ipsec security-associations という操作コマンドを使い、
ズ 1 と フェーズ 2 の SA および統計をクリアすることもできます。
IPsec 設定における共通の問題
IPsec VPN を設定する際、次のような共通の問題があることに注意してください。
•
プロポーザルが一致しない:両サイドに設定した IKE フェーズ 1 のプロポーザルリストが一致しません。この場合、ト
ンネルのイニシエータが再送信と再送信制限インジケータを見ています。この問題は、宛先ゲートウェイ(レスポン
ダ)側で明らかです。レスポンダは、イニシエータから送られたすべてのプロポーザルを拒否します。
•
事前に共有された鍵が一致しない:鍵が一致しません。
•
ルート情報がない:ゲートウェイを確立するには、リモートゲートウェイに到達するための明示的なルート、またはデ
フォルトルートのどちらかを設定(または動的ルーティングプロトコルを使用)する必要があります。
•
宛先ゲートウェイの設定が正しくない:宛先ゲートウェイ(レスポンダ)が、正当なピアゲートウェイから受信したリ
クエストを認識していない可能性があります。この問題は、次のような設定の誤りが原因の可能性があります。
-
ピアゲートウェイの設定が正しくない。
-
出力インターフェイスが正しくない。
-
プロポーザルの不一致が存在する。
復習問題
解答
1.
セキュリティの主な課題として、機密性、整合性、認証の 3 つが挙げられます。
2.
ESP と AH の主な違いは、AH は機密性を提供しない一方、ESP は機密性を提供する点です。
3.
Junos OS は、MD5 と SHA のプロトコルを使い、データの整合性をサポートしています。
4.
IKE フェーズ 1 には、main と aggressive の 2 つのモードがあります。
© 2013 Juniper Networks, Inc. All rights reserved.
IPsec VPN • 7 - 35
SRX シリーズ スタディガイド - パート 1
7 - 36 • IPsec VPN
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 8 章:侵入検出および防止について
この章の内容:
•
Junos OS 侵入検出および防止(IDP)機能の目的
•
IDP シグネチャデータベースの使用および更新
•
ポリシーテンプレートを使用した IDP ポリシーの使用および設定
•
IDP 動作の監視
IDP とは
従来のネットワーク防御は、基本的でステートレスなファイアウォール保護によるものでした。また、多くの場合、そのような機能
はルーターなどのネットワークデバイスが提供していました。しかし、ネットワーク攻撃がより高度になるに従って、ネットワーク
防御もより高度なものが求められるようになってきました。有害なネットワークトラフィックや悪意のあるユーザーからの保護を強
化するのが、ステートフルファイアウォールや認証メカニズム、さらには暗号化されたトラフィックを使用する VPN デバイスです。
VPN デバイスやファイアウォールメーカーは、VPN 制御やアクセス制御を高速で行えるよう設計しているため、従来のファイア
ウォールでは悪意のあるトラフィックを検出できない場合があります。このようなタイプの攻撃に対するソリューションが IDP の使
用です。
Junos IDP 機能は、ファイアウォールを超えるセキュリティの強化を可能にします。一般的にファイアウォールがレイヤー 3 および
4 のみを検査するのに対し、Junos OS では IDP 機能を使用してプロトコルストリームを復号化および再構築し、アプリケーション
の視点(レイヤー 7)からトラフィックを確認します。IDP がデータストリームを再構築すると、Junos OS は、指定された攻撃パター
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 1
SRX シリーズ スタディガイド - パート 1
ンについてそのストリームを検査します。ストリームに問題がない場合、Junos OS は元のパケットを転送します。ストリームに問題
が見つかった場合、IDP はパケットをドロップ、またはセッションを終了するかドロップし、以降のセッションを阻止します。また、
ネットワーク管理者が確認できるよう、攻撃をログに記録します。
IDP を SCREEN オプションやゾーン、セキュリティポリシー、その他の Junos セキュリティ機能と組み合わせて使用することで、ネッ
トワークセキュリティに対する取り組みは万全なものになります。
完全統合された IDP
Junos セキュリティプラットフォームでは、IDP 機能が Junos OS に完全に統合されています。つまり、追加のハードウェアやオペ
レーティングシステムが不要なため、コストも管理オーバーヘッドも削減でき、運用も簡素化できます。
ライブ攻撃者情報データベース
ジュニパーネットワークスでは、IDP 機能で使用する攻撃者情報シグネチャデータベースを提供しています。有効なライセンスを所有
していれば、CLI コマンドを実行して手動で更新ファイルを取得することができます。また、データベースを定期的に更新するよう
Junos セキュリティプラットフォームを設定することで、自動的に更新することもできます。フル・セキュリティ・パッケージ・ダ
ウンロードには、複数のポリシーテンプレートが含まれています。このようなポリシーテンプレートは、一般的な各種攻撃に対する
保護機能を提供します。テンプレートをインストール後、特定のネットワークのトラフィックパターンに合わせてカスタマイズする
ことができます。
IDP の効果
Junos IDP 機能は、最新の Microsoft の脆弱性から定期的にネットワークを保護します。攻撃者情報データベースは、最新の脅威が出
現するたびに更新されるため、Junos OS では常に最先端のネットワーク防御が可能です。IDP を使用すれば、ネットワークが完全に
被害を受ける前に攻撃を阻止することができます。これまで、ネットワークセキュリティについては、セキュリティの脅威に関する
8 - 2 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ログを解析してから行動を起こすという対処的アプローチを取る必要がありました。その間にも、ネットワークは脆弱な状態であり
続けることになります。しかし IDP を使用すれば、攻撃が発生するたびに先回りして対処し、未来の攻撃も防ぐことができます。IDP
では、攻撃シグネチャを使用して、膨大な数の既知の攻撃方法からネットワークを保護します。また、プロトコルの異常も検出し、未
知の攻撃や潜在的な攻撃からもネットワークを保護します。ジュニパーネットワークスでは Web ベースのセキュリティポータル
(http://www.juniper.net/security)で、最新の攻撃者情報データベースの更新や Microsoft のセキュリティ情報、攻撃の傾向など、有
益なセキュリティ情報を提供しています。
IDP ポリシーのフレームワーク
IDP 攻撃検出エンジンは、ポリシーによって制御されます。IDP ポリシーにより、IDP エンジンを通過するネットワークトラフィック
に対して、IDP のさまざまな攻撃検出手法や攻撃防止手法を選択的に適用することができます。ユーザーは、ゾーンやネットワーク、
アプリケーションに基づき、トラフィックのセクションを照合するルールをきめ細かく記述できます。次に、そのトラフィックに対
する具体的な攻撃防止手法を適用し、能動的または受動的な防止アクションを実施できます。
このスライドは、IDP ポリシーを構造的に表現したものです。IDP ポリシーは、侵入防御システム(IPS)ルールベースと免除ルール
ベースという 2 つのタイプのルールベースで構成されます。ルールベースとは、ルールのコレクションです。ルールには設定オブジェ
クトのコレクションが含まれており、設定オブジェクトを使用して照合条件と結果アクションを作成するため、セキュリティポリシー
と類似した構造になっています。IDP ポリシーを作成したら、セキュリティポリシーのアクションを適用します。設定には複数の IDP
ポリシーを含めることができますが、Junos セキュリティプラットフォームでアクティブになる IDP ポリシーは 1 つだけです。
IDP の設定オブジェクト
Junos OS では、設定オブジェクトを使用して IDP ルールを構築します。設定オブジェクトは、ゾーン、送信元および宛先ネットワー
ク、アプリケーション、攻撃または攻撃グループを照合する目的で使用します。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 3
SRX シリーズ スタディガイド - パート 1
IDP ポリシーの照合条件
このスライドは、Recommended という名前の Junos OS テンプレートポリシーを使って設定された IDP ポリシーのサンプルを示し
たものです。スライドでは、IPS ルールベース内の rule 2 というルールを示し、照合条件を赤い線で囲んでいます。このケースでは、
任意のゾーンと任意の送信元アドレスから、任意のゾーンと任意の宛先アドレスへのトラフィックに対して、ルールが一致します。ま
た、このルールは、default というアプリケーションタイプにも一致します。このアプリケーションタイプを選択すると、攻撃または
攻撃グループオブジェクトに基づきアプリケーションと照合します。この場合、Junos OS は、定義済みの攻撃または攻撃グループオ
ブジェクトに関連付けられたアプリケーションまたはサービス設定に対して自動的に照合を行います。また、設定済みのアプリケー
ションまたはアプリケーションセットを指定するか、any オプションを指定することができます。
スライドの設定例では、インターネット制御メッセージプロトコル(ICMP)攻撃用に設計された事前定義済みの攻撃グループを示し
ています。事前定義済みの攻撃および攻撃グループオブジェクトはシグネチャデータベースの一部であり、ジュニパーネットワーク
スからダウンロードできます。シグネチャデータベースについては、この後のスライドで説明します。カスタム攻撃および攻撃グルー
プオブジェクトや、動的攻撃グループオブジェクトを指定することもできます。カスタム攻撃および攻撃グループオブジェクトとは、
ユーザー定義の設定オブジェクトです。ソフトウェアは、アプリケーションなど特定のオプションについて照合するフィルタを使用
して、動的な攻撃グループを構築します。カスタム攻撃および攻撃グループオブジェクト、または動的な攻撃グループオブジェクト
の詳細については、ジュニパーネットワークスの技術文書(http://www.juniper.net/techpubs)を参照してください。
8 - 4 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IDP ポリシーのアクション
このスライドでは、前のスライドと同じサンプルのポリシールールを示しますが、ルールのアクションセクションを赤い線で囲んで
います。この例では、Recommended のアクションを定義しています。このタイプのアクションは、事前定義済み攻撃オブジェクト
を使用した IPS ルールベースのみに適用可能です。ジュニパーネットワークスの recommended アクションは、すべての事前定義済
み攻撃オブジェクトに関連付けられています。ルールでは、次のいずれかのアクションを指定できます。
•
no-action:何もアクションを起こしません(ログの生成のみ必要な場合に使用します)。
•
ignore-connection:残りの接続について、トラフィックのスキャンを停止します。
•
mark-diffserv:パケットの DSCP を指定された値に変更してから、通常どおり伝送します。
•
drop-packet:宛先に到達する前にパケットをドロップしますが、接続は終了しません。
•
recommended:事前定義済みの攻撃を検出した場合、ジュニパーネットワークスが推奨するアクションを実行します。
•
drop-connection:接続をドロップし、その接続のトラフィックが宛先に到達するのを防ぎます。
•
close-client:接続を終了し、クライアントに RST パケットを送信しますが、サーバーには送信しません。
•
close-server:接続を終了し、サーバーに RST パケットを送信しますが、クライアントには送信しません。
•
close-client-and-server:接続を終了し、クライアントとサーバーの両方に RST パケットを送信します。
スライドの例では、notification アクションも示しています。このアクションによって、攻撃がログに記録されます。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 5
SRX シリーズ スタディガイド - パート 1
その他の IDP ポリシーアクション
このスライドは、IDP ポリシーアクションの続きを示したものです。IP アクションは、攻撃が繰り返されることを防ぎます。このルー
ルアクションは、ソフトウェアが攻撃を検出したフローと同じ IP アクション属性を持つ後続のセッションに適用されます。たとえば、
ある 2 つのホスト間のセッションで攻撃が検出された場合、それらのホスト間の後続の HTTP セッションをすべてブロックする IP ア
クションをルールに設定することができます。また、オプションでタイムアウト値を指定し、指定されたタイムアウト値(秒)の範
囲内で新しいセッションが開始された場合のみアクションを適用するよう指定することもできます。
(デフォルトの IP アクションの
タイムアウト値は 0、つまりタイムアウトなしです)。IP アクションの属性は、次の各フィールドの組み合わせで構成されています。
•
送信元 IP
•
宛先 IP
•
宛先ポート
•
送信元ゾーン
•
プロトコル
これらの IP アクション属性は特定の組み合わせでのみ使用可能であり、次の出力でターゲットとして示されます。
[edit security idp idp-policy Recommended rulebase-ips rule 2]
user@srx# set then ip-action target ?
Possible completions:
destination-address Match destination
service
Match source, destination, dst-port and protocol
source-address
Match source
source-zone
Match source-zone
zone-service
Match source-zone, destination, dst-port, protocol
使用可能な IP アクションは次のとおりです。
•
ip-block:IP アクションルールと一致するすべてのパケットを通知なくドロップします。
•
ip-close:クライアントとサーバーに RST パケットを送信することで、IP アクションルールと一致するすべての新し
いセッションを終了します。
•
ip-notify:IP アクションルールと一致するセッションが見つかった場合にログを生成します。
severity アクションを使用すると、デフォルトの攻撃の重大度を設定値に変更することができます。
8 - 6 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IDP ポリシーの適用
IDP ポリシーを有効にするには、スライドに示すように、セキュリティポリシーで IDP ポリシーを指定します。セキュリティポリシー
のアクションでは、フローを許可する必要があります。IDP ポリシーの使用中に [edit security idp] 階層、関連付けられたセ
キュリティポリシーの設定、または関連付けられたカスタムアプリケーションに変更を加えると、コミットしたときに IDP ポリシー
が再コンパイルされる点に注意してください。
アクティブな IDP ポリシー
前述のように、ある時点で Junos セキュリティプラットフォームでアクティブになる IDP ポリシーは 1 つだけです。このスライドは、
アクティブな IDP ポリシーの設定方法を示したものです。
IDP ルールベースの評価
IDP ポリシーがコンパイルされると、そのポリシーはデータプレーンにプッシュされます。データプレーンでは、IDP ポリシーの評価
が行われます。IDP ポリシーは、セッションの最初のパケットのみを評価します。一致すると、オブジェクトのセットが作成され、
セッション内にキャッシュされます。これは、後続のパケットの攻撃検出に使用されます。
Junos OS は、セキュリティポリシーとは異なり、すべての IDP ルールを順番に評価します。新しいセッションが複数のルールと一致
する場合でも、Junos OS が実行するのは、その中で最も重大度の高いアクションです。このスライドは、ルールアクションに関連付
けられた重大度の順序を示したものです。
スライドに示された設定を使用すると、terminal という IDP ルールを作成することができます。送信元、宛先、ゾーン、アプリケー
ションについて terminal(終了)ルールで一致が見つかった場合、同じ送信元、宛先、ゾーン、アプリケーションについては、後続
のルールがチェックされません。トラフィックが、照合するルールの攻撃オブジェクトと一致するかどうかは関係ありません。この
オプションは、既知の信頼済み送信元から発信されたトラフィックを無視する場合に便利です。終了ルールは、ルールベースの最上
部付近で、同じトラフィックを照合するその他のルールよりも前に配置する必要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 7
SRX シリーズ スタディガイド - パート 1
免除ルールベース
免除ルールベースの機能は、IPS ルールベースを補完する目的で使用します。免除ルールベースには、特定のトラフィックにおける攻
撃セットの検出をスキップするルールを記述できます。免除ルールベースのルールを慎重に記述することで、IPS ルールベースによっ
て生成される偽陽性の数を大幅に減らすことができます。免除ルールベースを使用する場合は、その前に IPS ルールベースを設定す
る必要がある点に注意してください。免除ルールベースのルールには、IPS ルールベースと同じ照合条件を記述します。ただし、アプ
リケーションオブジェクトを設定できない点が異なります。つまり、すべてのアプリケーションにルールが一致することになります。
免除ルールベースで攻撃オブジェクトまたは攻撃グループオブジェクトを設定する場合は、それらの攻撃が、そのルールと一致する
トラフィックでは検査されないことに注意してください。免除ルールベースでは、アクションを指定することはできません。
シグネチャデータベース
シグネチャデータベースは、IDP の主要コンポーネントの 1 つです。このデータベースには、攻撃オブジェクトやアプリケーション・
シグネチャ・オブジェクト、サービスオブジェクトなど、さまざまなオブジェクトの定義が格納されています。これらの定義は、IDP
ポリシールールの定義に使用されます。新たに見つかった脆弱性に対処するため、ジュニパーネットワークスでは、攻撃者情報デー
タベースの更新情報が記録されたファイルを Web サイトで定期的に提供しています。このファイルをダウンロードし、新たな脅威か
らネットワークを保護することができます。このデータベースでは攻撃オブジェクトがアルファベット順に並べられており、スライ
ドに示すように、その名前は攻撃オブジェクトグループ名と攻撃オブジェクト名で構成されています。
8 - 8 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ジュニパーネットワークスからダウンロードできるセキュリティパッケージにも、IDP ポリシーテンプレートが含まれています。これ
を使用して、Junos セキュリティプラットフォームに IDP ポリシーを実装できます。テンプレートのポリシーはそのまま使用するこ
ともできますが、各自のネットワーク環境に合わせてカスタマイズすることもできます。さまざまなネットワークに合わせたテンプ
レートが用意されています。最も広く使用されているテンプレートは、Recommended ポリシーと呼ばれるものです。シグネチャデー
タベースとポリシーテンプレートのダウンロードについては、この後のスライドで説明します。
IDP シグネチャの更新ライセンス
IDP シグネチャデータベースを更新するには、IDP シグネチャライセンスが必要です。このスライドは、システムライセンスを追加す
る設定コマンドと、ライセンスが正常に追加された場合の結果を示したものです。
手動によるセキュリティパッケージの更新
ジュニパーネットワークスのセキュリティパッケージは、手動でダウンロードすることも、また指定した間隔で自動的にダウンロー
ドすることもできます。このスライドは、セキュリティパッケージをダウンロードし、ダウンロードのステータスをチェックするオ
ペレーショナルモードコマンドを示したものです。デバイスを直接更新するには、Junos セキュリティプラットフォームをインター
ネットに接続する必要があります。また、更新ファイルは Network and Security Manager(NSM)デバイスにダウンロードすること
もできます。NSM は、更新されたデータベースを Junos セキュリティプラットフォームにプッシュするよう設定できます。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 9
SRX シリーズ スタディガイド - パート 1
セキュリティパッケージのインストール
セキュリティパッケージを正常にダウンロードした後、そのパッケージをインストールする必要があります。このスライドは、セキュ
リティパッケージをインストールし、インストールのステータスを確認するオペレーショナルモードコマンドを示したものです。
自動ダウンロード
前述のように、Junos セキュリティプラットフォームは、セキュリティパッケージを自動的にダウンロードするよう設定することも
できます。このスライドは、ダウンロードを自動化する設定例を示しています。
シグネチャおよび攻撃者情報データベースのバージョン
このスライドは、攻撃者情報データベースの確認に使用するオペレーショナルモードコマンドを示したものです。ローカルデータベー
スの日付を確認できるよう、バージョンには日時スタンプも含まれています。
更新サーバーへの接続の確認
このスライドは、Junos セキュリティプラットフォームからサーバーへの接続を確認する動作モードコマンドを示したものです。こ
のコマンドを実行すると、ネットワークの接続性が確認できるだけでなく、リモートデータベースのバージョンも表示されます。こ
の情報は、以前のコマンド出力時のバージョンと比較する場合に便利です。
8 - 10 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
Recommended IDP ポリシーの適用:パート 1
このスライドと次の 2 枚のスライドは、ジュニパーネットワークスの Recommended IDP ポリシーをダウンロードおよびインストー
ルするのに必要な手順を示したものです。最初のスライドは、ジュニパーネットワークスが提供する最新のポリシーテンプレートを
ダウンロードおよびインストールするために使用するオペレーショナルモードコマンドを示しています。前述のように、Junos セキュ
リティプラットフォームでは、シグネチャデータベースまたは関連するポリシーテンプレートをダウンロードするためには IDP シグ
ネチャライセンスが必要です。
Recommended IDP ポリシーの適用:パート 2
Junos OS は、ジュニパーネットワークスのポリシーテンプレートをコミットスクリプトの形式でダウンロードします。ポリシーテン
プレートをダウンロードしてインストールした後、スライドで示すコンフィギュレーションモードコマンドを使用して、テンプレー
トのコミットスクリプトをアクティブ化する必要があります。コミットスクリプトをアクティブ化するには、コミットアクションを
実行します。この例では、Junos CLI の自動補完機能を使用し、設定に対してポリシーテンプレートがアクティブな IDP ポリシーとし
て使用できるかどうかを確認しています。コミットスクリプトの詳細については、ジュニパーネットワークスの技術文書(http://
www.juniper.net/techpubs)を参照してください。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 11
SRX シリーズ スタディガイド - パート 1
Recommended IDP ポリシーの適用:パート 3
次の手順では、Recommended ポリシーをアクティブなポリシーとして設定します。前述のように、Junos セキュリティプラット
フォームでアクティブにできる IDP ポリシーは 1 つだけです。スライドに示すように、コミットスクリプトを削除または非アクティ
ブ化する必要があります。テンプレートポリシーに加えられた変更は、以降に発生するすべてのコミットにより上書きされてしまう
ため、この手順は重要です。Recommended IDP ポリシーをアクティブ化する最後の手順は、IDP アクションをセキュリティポリシー
に適用することです。変更をコミットすることを忘れないでください。
IDP ポリシーの適用の確認
このスライドは、show security policies policy-name コマンドの出力例を示したものです。detail オプションを使用し、
IDP がそのセキュリティポリシーに対して有効になったことを確認できます。
8 - 12 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IDP のステータスおよび統計データの監視
このスライドは、show security idp status コマンドの出力例を示したものです。このコマンドを実行すると、IDP ポリシーエ
ンジンに関するトラフィックの統計データが表示されます。また、アクティブな IDP ポリシーと IDP ディテクタのバージョンも出力
されます。
IDP カウンタ
スライドに示すコマンドと、いずれかのコマンド引数を使用すると、IDP 動作の監視に便利な各種カウンタを表示できます。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 13
SRX シリーズ スタディガイド - パート 1
メモリ利用率の監視
IDP プロセスでメモリが不足している場合、攻撃に対するトラフィックの評価が行われなくなります。メモリ利用率を監視するには、
スライドに示すコマンドを使用します。
IDP ロギング
ロギングは、notification アクションを使用して有効化します。Junos OS は、Junos セキュリティプラットフォームで指定するデータ
プレーンロギング設定に従ってログを保存します。
ロギングに関する IDP ルールを設定すると、一致イベントが発生するたびにログエントリが作成されます。IDP イベントログは攻撃
中に生成され、ログ生成はバーストで発生するため、攻撃中は大量のメッセージが生成されます。他のメッセージと比較すると、攻
撃によって生成されるメッセージのサイズははるかに大きくなります。ログの量とメッセージのサイズは、ログを管理する上で重要
な懸念事項です。ログメッセージの量を適切に管理するため、IDP はログ抑止をサポートしています。ログ抑止では、一定の期間内に
同一または同様のセッションで発生する同じログの複数のインスタンスが制限されます。ログ抑止はデフォルトで有効になっていま
すが、[edit security idp sensor-configuration log suppression] 階層の設定を通して属性を調整することができま
す。
IDP traceoptions
IDP traceoptions を設定して、コントロールプレーンのイベントをログに記録することができます。現在のところ、使用できるフラグ
は all フラグのみです。デフォルトでは、IDP traceoptions イベントのログは /var/log/idpd ファイルに記録されます。
8 - 14 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
復習問題
解答
1.
Junos OS は、最も重大度の高いアクションを持つルールを処理します。
2.
免除ルールベースは、指定されたトラフィックを IDP ポリシーから免除します。
3.
ルールベースの評価は、ソフトウェアが終了ルールの照合を行う場合のみ停止します。
4.
IDP ポリシーを適用するには、そのポリシーをアクティブなポリシーに設定し、セキュリティポリシーで IDP アクションを参照する必
要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
侵入検出および防止について • 8 - 15
SRX シリーズ スタディガイド - パート 1
8 - 16 • 侵入検出および防止について
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 9 章:高可用性クラスタリング
この章の内容:
•
高可用性(HA)クラスタリングとその機能
•
シャーシクラスタのコンポーネント
•
シャーシクラスタの動作
•
シャーシクラスタの設定
•
シャーシクラスタの監視
高可用性の特性
Junos OS の高可用性(HA)機能は、ステートフルなセッションフェールオーバーを提供します。この機能は、ネットワークアドレ
ス変換(NAT)、IP Security(IPsec)、または認証の実装の有無に関わらず、TCP セッションおよび UDP セッションに適用されます。
高可用性を実装する Junos セキュリティプラットフォーム間では、設定ファイルと動的な実行時セッションの状態が同期されます。
現在、Junos 高可用性クラスタリングの実装は、コントロールプレーン用にアクティブ / パッシブ冗長構成、およびデータプレーン
用にアクティブ / アクティブ冗長構成をサポートしています。プラットフォームごとの高可用性のサポート状況については、ジュニ
パーネットワークスの技術文書(http://www.juniper.net/techpubs)を参照してください。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 1
SRX シリーズ スタディガイド - パート 1
シャーシクラスタを使用した高可用性
Junos OS は、シャーシクラスタリングを使い、Junos セキュリティプラットフォームでの高可用性を実現しています。シャーシクラ
スタリングは、2 台の同様のデバイスを単一のクラスタにグループ化することで、ネットワークノードの冗長性を提供します。片方
がプライマリノードとして動作し、他方がセカンダリノードとして動作することで、2 つのノードが相互にバックアップを行います。
これにより、システムまたはハードウェアで障害が発生した場合に、プロセスとサービスのステートフルなフェールオーバーが可能
になります。2 台の同様のデバイスは、サービス・プロセッシング・カード(SPC)間、またはレベニューポート間のコントロールリ
ンク、およびレベニューポート間のイーサネットデータリンクによって接続されます。Junos セキュリティプラットフォームは同じ
モデルでなければなりません。また、ハイエンドプラットフォームに搭載されているすべての SPC、ネットワーク・プロセッシング・
カード(NPC)、および IO カード(IOC)のスロット配置とハードウェアバージョンも同じである必要があります。
Junos OS のシャーシクラスタリング機能は、ジュニパーネットワークスの M シリーズおよび T シリーズプラットフォームと TX マト
リクスプラットフォームで採用されている高可用性の手法に基づいて構築されており、マルチシャーシ・クラスタリング、アクティ
ブ / パッシブのルーティングエンジン(RE)、アクティブ / アクティブのパケット転送エンジン(PFE)、およびグレースフル・ルー
ティングエンジン・スイッチオーバー(GRES)などの機能で構成されています。
M シリーズおよび T シリーズプラットフォームの多くは、ハードウェアおよびコントロールプレーンが完全な冗長性を備えています。
これらすべてのプロセス実装を考慮すると、Junos セキュリティプラットフォームに実装される機能にも、イーサネットインターフェ
イスを使用した RE と PFE のバックアップシステム、さらには RE と PFE の冗長性が反映されています。また、Junos セキュリティ
プラットフォームでは、シャーシ間クラスタリングとステートフルなフェールオーバーを実装することで、冗長性機能が強化されま
す。シャーシクラスタのデバイスでは、高可用性やステートフルなサービスのフェールオーバー、およびロードバランシングを実現
するため、設定、カーネル、および PFE セッションの状態がクラスタ間で同期されます。
シャーシクラスタのコンポーネント
シャーシクラスタは、次のコンポーネントで構成されています。
•
cluster-id id および node id などのクラスタ ID
•
リダンダンシーグループ(RG)
•
シャーシ・クラスタ・インターフェイス:
-
fxp1:コントロール・プレーン・インターフェイス
-
fxp0:アウトオブバンド管理インターフェイス
9 - 2 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
-
fab:データ・プレーン・インターフェイス
-
swfab:スイッチング・データ・プレーン・インターフェイス
-
reth:リダンダンシー・インターフェイス
シャーシクラスタのすべてのコンポーネントについては、この章の次のセクションで説明します。
cluster-id の詳細
ご使用の環境には、最大 15 台のシャーシクラスタを実装できます。各クラスタは、1 ~ 15 の一意の cluster-id 値によって識別
します。Junos セキュリティプラットフォームは、一度に 1 つのクラスタにのみ属すことができます。cluster-id 値がゼロの場合、
デバイスは高可用性設定を無視し、スタンドアロンのデバイスとして動作します。デバイスは、クラスタに参加するとそのクラスタ
内のノードになり、node id によって識別されます。cluster-id id または node id パラメータを変更した場合は、デバイスを
再起動して変更を有効にする必要があります。
node id の詳細
node id によって、クラスタ内の Junos セキュリティプラットフォームを一意に識別します。1 つのクラスタ内に存在できるノード
は 2 つだけのため、node id 値の範囲は 0 ~ 1 です。
前述のように、Junos OS では次のような命名規則を使用しています。
(メディアタイプ)-(fpc スロット番号)/(pic スロット番号)/(ポート番号)、例:ge-1/0/3
Junos セキュリティプラットフォームでは、フレキシブル PIC コンセントレータ(FPC)は、IOC、SPC、物理インターフェイスモ
ジュール(PIM)、固定インターフェイスのいずれかです。ソフトウェアは、node id 値を使用して、デバイスのインターフェイス名
の FPC スロット値をオフセットします。具体的には、次の式を使用して FPC スロット番号を算出します。
クラスタインターフェイスの FPC スロット番号 = 
(node id * 最大 FPC スロット数)+ スタンドアロンの FPC スロット番号
たとえば、ジュニパーネットワークス SRX5800 サービスゲートウェイの最大スロット数は 12 です。FPC スロット番号の計算式を使
用することで、シャーシクラスタのノード 1 にある 2 番目のスロットが、ge-13/x/y または xe-13/x/y というインターフェイス名を
使用することがわかります。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 3
SRX シリーズ スタディガイド - パート 1
リダンダンシーグループ
リダンダンシーグループ(RG)とは、オブジェクトのコレクションを格納し管理する抽象的な仕組みです。これには、クラスタの両
方のノードのオブジェクトが含まれます。RG は、ある時点において、片方のノードではプライマリとなり、他方のノードではバック
アップになります。RG がノードのプライマリの場合、そのノードのオブジェクトがアクティブになります。
Junos セキュリティプラットフォームは、最大 256 個の RG をサポートしています。RG はフェールオーバーから独立したユニットで
あり、ある RG がプライマリであるかどうかが他の RG に影響することはありません。つまり、ある RG がノード 0 のプライマリにな
り、別の RG がノード 1 のプライマリになることができます。RG がフェールオーバーすると、その RG に属するすべてのオブジェク
トも同時にフェールオーバーします。
シャーシクラスタモードで Junos セキュリティプラットフォームを初期化すると、RG0 というリダンダンシーグループが作成されま
す。RG0 は、クラスタ内の各ノードの RE について、優位性(プライマリであるかどうか)とフェールオーバーを管理します。すべ
てのリダンダンシーグループと同様に、RG0 がプライマリになることができるのは、一度に 1 つのノードにおいてのみです。クラス
タ内でアクティブになる RE は、RG0 がプライマリになっているノードで決定されます。RGx は設定内で明示的に作成し、インター
フェイスの冗長性を管理する必要があります。RGx には、最大で 15 個のリダンダンシー・イーサネット・インターフェイス(reth イ
ンターフェイス)を含めることができます。reth インターフェイスについては、この章で後ほど詳しく説明します。
RG オブジェクトの 3 種類の状態
RG オブジェクトの状態には、次の 3 種類があります。
•
ブランク状態(RG の開始状態)
•
•
プライマリ状態
セカンダリ状態
RG オブジェクトの状態の遷移
スライドの図に示すように、RG オブジェクトの状態はブランクからプラ
イマリまたはセカンダリのいずれかに遷移します。また、プライマリ状
態の RG オブジェクトがセカンダリ状態に遷移したり、その逆の遷移が発生したりします。設定ファイルから RG を削除、またはデバ
イスを再起動すると、プライマリおよびセカンダリのどちらの状態もブランク状態に戻ります。
RG の優位性のルール
RG の優位性(プライマリであるかどうか)のルールは、次のとおりです。
•
高い優先度を持つノードの RG がプライマリになります。
•
デフォルトでは、どちらのノードも RG0 に対して同じ優先度を持ちます。ただし、デフォルトの設定を変更して、ど
ちらのノードが RG0 に対してプライマリになるのかを指定できます。RGx に対するノードの優先度は、明示的に設定
する必要があります。
•
クラスタのノードを両方同時に初期化し、RG0 のノード優先度のデフォルト設定を変更しなかった場合、ノード 0 が優
位性を持ちます。
9 - 4 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
•
クラスタのいずれかのノードを他方よりも先に初期化した場合、最初に初期化したほうのノードが優位性を持ち、引き
続き RG に対するプライマリノードになります。ただし、preempt 設定オプションが指定されている場合を除きます。
RG0 では、preempt 設定オプションがサポートされていない点に注意してください。
RG の状態の遷移
RGx が他方のノードに自動的にフェールオーバーする場合、ソフトウェアによってインターフェイスを監視する必要があります。RGx
を設定する際、その RG がステータスを監視するインターフェイスのセットを指定し、そのインターフェイスの状態(アップまたは
ダウン)をチェックすることができます。RGx が監視するインターフェイスを設定する場合は、ウェイト値を割り当てます。RGx の
許容しきい値は、初期状態では 255 に設定されています。RGx が監視するインターフェイスが使用できなくなると、しきい値から
ウェイト値が引かれます。しきい値が 0 に到達すると、RGx に属するすべてのオブジェクトが他のノードにフェールオーバーします。
RGx をロードバランシングで使用する場合の概略図
このスライドは、クラスタの 2 つのノード間でロードバランシングを行う場合の例を示したものです。この図では、RG1 が宛先ネッ
トワーク 10.10.0.0/16 のノード 0 のプライマリになっており、RG2 が宛先ネットワーク 10.20.0.0/16 のノード 1 のプライマリに
なっています。また、RG1 が宛先ネットワーク 10.10.0.0/16 のノード 1 のセカンダリになっており、RG2 が宛先ネットワーク
10.20.0.0/16 のノード 0 のセカンダリになっています。このような両ノード間でのロードバランシングは、アクティブ / アクティブ
構成クラスタの主な例といえます。これについては、次の章で説明します。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 5
SRX シリーズ スタディガイド - パート 1
シャーシ・クラスタ・インターフェイス - reth
reth とは、クラスタの各ノードからの物理インターフェイスをまとめたスードインターフェイスです。reth には、いずれか 2 つの物
理イーサネットインターフェイスを含めることができます。これは、reth インターフェイスの子インターフェイスと呼ばれます。ク
ラスタに含めることができるノードは 2 つだけのため、各 reth に含めることができるインターフェイスは 2 つだけです。各 reth イ
ンターフェイスは同じ種類(ファストイーサネット、ギガビットイーサネット、または 10 ギガビットイーサネットのいずれか)でな
ければなりませんが、各ノードの同じスロットである必要はありません。reth の子インターフェイスは、子インターフェイス設定の
一部として reth インターフェイスに関連付けられます。reth の子インターフェイスは、親インターフェイスのプロパティを継承しま
す。また、reth インターフェイスは、RGx からフェールオーバーのプロパティを継承します。そのため、いずれかの子インターフェ
イスが使用できなくなっても、reth インターフェイスはアクティブの状態を維持することができます。リンク・アグリゲーション・
グループ(LAG)を使用しない reth インターフェイスでは、トラフィックの送受信を実行できる子インターフェイスは一度に 1 つだ
けです。reth インターフェイスは、クラスタ ID とインターフェイス ID に基づいたバーチャル MAC アドレスを持ちます。
9 - 6 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
バーチャル MAC アドレスの算出方法
reth インターフェイスのバーチャル MAC アドレスの算出では、ユーザーが制御できるのは最初の 8 ビットとビット位置 13 ~ 16 で
す。バーチャル MAC アドレスの他のビットはジュニパーネットワークスの組織ユニット ID(OUI)番号を表すか、予約済みです。最
初の 8 ビットは reth インターフェイスの番号を表します。スライドの例では、インターフェイス reth0 のインターフェイス番号は 16
進数で 00 になります。また、インターフェイス reth16 の設定では、このフィールドの値は 16 進数で 10 になります。ビット位置
13 ~ 16 は、シャーシクラスタの ID を表します。スライドの例では、シャーシクラスタの ID は 1 です。
このような方法で reth インターフェイスのバーチャル MAC アドレスが算出されるため、同じレイヤー 2 ドメインに複数のシャーシ
クラスタが存在することができ、MAC アドレスが重複する問題は発生しません。
リダンダンシーイーサネット LAG インターフェイス
reth LAG インターフェイスは、リンクの冗長性とノードの冗長性という 2 種類の冗長性を統合したものです。これら 2 つの要素の冗
長性により、シャーシクラスタの HA と reth インターフェイスの全体的なスループットが向上します。このような冗長性は、ノード
ごとに 2 つ以上のリンク(1 ノードあたり最大 8 つ)を追加することで実現され、IEEE 802.3ad 標準に従って管理されます。
reth LAG インターフェイスは、reth インターフェイスと LAG インターフェイスの特性が統合されています。reth LAG のすべての子イ
ンターフェイスは同じ速度でなければなりませんが、同じケーブルタイプである必要はありません。たとえば、4 つのギガビットイ
ンターフェイスを使用して reth LAG インターフェイスを構成する場合、2 本のギガビットインターフェイスで銅線ケーブルを使用し、
残り 2 本で光ファイバケーブルを使用する設定は有効です。ただし、3 つのギガビットインターフェイスと 1 つのファスト・イーサ
ネット・インターフェイスを使用する設定は有効ではありません。また、4 つのファスト・イーサネット・インターフェイスのうち 3
つが全二重モードで動作し、1 つが半二重モードで動作する reth LAG インターフェイスを構成する設定も有効ではありません。
シャーシクラスタごとにサポートされている LAG インターフェイス数は、合計で 128 です。この制限には、アグリゲートイーサネット、リダ
ンダンシーイーサネット、またはリダンダンシーイーサネット LAG の各インターフェイスのすべての組み合わせが含まれます。ローカルの LAG
インターフェイスは ae というインターフェイス表記で表現され、プライマリノードとセカンダリノードでサポートされます。ただし、ローカ
ルの LAG インターフェイスまたはその子インターフェイスは、reth インターフェイスの子インターフェイスとして追加できません。
minimum-links ステートメントは reth LAG インターフェイスでサポートされており、シャーシクラスタの全体的な HA のもう一つの
要素です。minimum-links ステートメントはデフォルトで有効になっており、値は 1 です。これは、プライマリノードの reth LAG グ
ループのすべてのリンクにおいて、関連するリダンダンシーグループがセカンダリノードにフェールオーバーするのに失敗すること
を意味します。
reth LAG 設定の例は、次に示すとおりです。
user@srx> show configuration interfaces | find ge-1/0/1
ge-1/0/1 {
gigether-options {
redundant-parent reth0;
}
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 7
SRX シリーズ スタディガイド - パート 1
}
ge-1/0/2 {
gigether-options {
redundant-parent reth0;
}
}
ge-1/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-12/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-12/0/2 {
gigether-options {
redundant-parent reth0;
}
}
ge-12/0/3 {
gigether-options {
redundant-parent reth0;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
minimum-links 3;
}
unit 0 {
family inet {
address 10.100.37.214/24;
}
}
}
user@srx> show interfaces terse | match reth
ge-1/0/1.0
up
up
aenet
--> reth0.0
ge-1/0/2.0
up
up
aenet
--> reth0.0
ge-1/0/3.0
up
up
aenet
--> reth0.0
ge-12/0/1.0
up
up
aenet
--> reth0.0
ge-12/0/2.0
up
up
aenet
--> reth0.0
ge-12/0/3.0
up
up
aenet
--> reth0.0
reth0
up
up
reth0.0
up
up
inet
10.100.37.214/24
9 - 8 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
スイッチ設定の考慮事項
一般的な LAG 設定では、2 台のデバイスが back-to-back 接続されるか、また
は LAG グループに参加するリンクがトランスポート機器を経由して伝送さ
れ、LAG はこれらのデバイスでのみ設定されます。デバイス間に単一または
複数のスイッチが設置されている reth LAG の環境では、LAG グループに参加
するスイッチインターフェイスでは 802.3ad を有効にする必要があります。
また、2 つのノード間にスイッチが 1 台だけ設置されている環境では、この
スイッチに 2 つの独立した LAG グループを設定し、それぞれ各デバイスから
のリンクにバンドルする必要があります。このように設定することで、単一
または複数のスイッチを通して、トラフィックを正しく受信、処理、および
伝送することができます。
シャーシ・クラスタ・インターフェイス - fxp0
Junos セキュリティプラットフォームの管理インターフェイスを使用すると、クラスタ内の各ノードに対するアウトオブバンドの
ネットワークアクセスやネットワーク管理が可能になります。fxp0 インターフェイスを備えているのは、ハイエンドのセキュリティ
プラットフォームだけです。シャーシクラスタの小中規模向けセキュリティプラットフォームでは、レベニューポートの 1 つが fxp0
インターフェイスとして動作するよう Junos OS によって指定されます。特定の小中規模向けデバイスにおいて fxp0 インターフェイ
スとして動作するポートを確認するには、使用している製品のマニュアル(http://www.juniper.net/techpubs)を参照してください。
各ノードの fxp0 インターフェイス用に、シャーシクラスタ内の各ノードに対し、固有の IP アドレスを割り当てることをお勧めしま
す。これにより、個別のノード管理が可能になります。これを実現するには、[edit groups] 設定階層の下で個別の設定グループ
としてインターフェイスを設定する必要があります。グループの設定については、この章で後ほど詳しく説明します。
シャーシ・クラスタ・インターフェイス - fxp1
ハイエンドの SRX シリーズプラットフォームの各 SPC には、シャーシクラスタのコントロールリンクとして使用する 2 つのポート
(fxp1)が用意されています。現在、ソフトウェアがサポートするコントロールリンクは 1 つだけです。ハイエンドのセキュリティプ
ラットフォームでは、コントロールリンクは SPC のポートを経由して接続します。RE がシャーシ内の RE スロット 0 にある場合は
ポート 0 を使用し、RE が RE スロット 1 にある場合はポート 1 を使用します。小中規模向けセキュリティプラットフォームでは、
シャーシクラスタのコントロールリンクにレベニューポートを使用します。使用するポートについては、ご使用のデバイス固有のマ
ニュアルで確認してください。
ハイエンドのセキュリティプラットフォームでは、fxp1 に関連付けられるポートを指定するために、次のように設定する必要があり
ます。
[edit chassis cluster]
user@srx# show
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 9
SRX シリーズ スタディガイド - パート 1
control-ports {
fpc slot port port;
fpc slot port port;
}
各 fxp1 コントロール・リンク・インターフェイスには内部 IP アドレスが割り当てられ、独自の Trivial Network Protocol(TNP)を使
用して、セッションの状態、設定ファイル、および生存信号をノード間で伝送します。Junos OS は、コントロールリンク経由で定期
的にハートビート信号を送信して、コントロールリンクのヘルスチェックを判断します。受信できなかったハートビートの数が設定
されているしきい値に達し、ファブリックリンクが動作している場合、コントロールリンク障害の信号が発信されます。
コントロールリンク障害が発生すると、Junos OS はセカンダリノードを無効にします。これは、RG0 を含むすべての RG に対して、
各ノードがプライマリになるのを防ぐためです。
セカンダリノードが無効にされた場合、ノードを再起動して動作を再開する必要があります。一部の Junos セキュリティプラット
フォームでは、次のように control-link-recovery 設定オプションを使用し、自動的に再起動させることができます。
{primary:node0}[edit chassis cluster]
user@srx# show
control-link-recovery;
シャーシ・クラスタ・インターフェイス - fab
Junos OS は、高可用性データプレーンにファブリック(fab)インターフェイスを使用します。システムによって fab インターフェ
イスが作成されると、内部で生成された IP アドレスがソフトウェアによって割り当てられます。このアドレスは、パケットの伝送に
使用されます。fab は、同一の LAN 上にある 2 つのイーサネットインターフェイスを物理的に接続します。どちらのインターフェイ
スも同じメディアタイプでなければなりません。システムで定義されたインターフェイスを持つコントロールリンクとは異なり、fab
データリンクで使用する物理インターフェイスは設定で指定します。
fxp1 コントロールリンクと同様に、fab リンクはファブリックプローブを使用してリンクのヘルスチェックを判断します。ファブリッ
クリンクで障害が起きると、セカンダリノードが無効になり、動作を再開するためには再起動が必要になります。
Junos OS は、ファイアウォールフィルタやポリシー、論理インターフェイス、fab リンクでのシステムサービスなど、従来のインター
フェイス機能をサポートしていません。また、fab リンクはセキュリティゾーンで設定しません。Junos OS は fab リンクのフラグメ
ント化をサポートしていませんが、最大 8980 バイトのジャンボフレームをサポートしています。そのため、シャーシクラスタ内の
インターフェイスが、この最大転送単位(MTU)サイズを超過しないようにしてください。
9 - 10 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
シャーシ・クラスタ・インターフェイス - swfab
swfab インターフェイスは fab インターフェイスと同様の性質を持ちますが、SRX デバイスでは、このインターフェイスを厳格に 2
ノード間のレイヤー 2 イーサネット・スイッチング・トラフィックを転送する目的で使用します。この動作を実現するため、2 つの
ノードは同じレイヤー 2 ドメインに配置されます。SRX550 および SRX650 の各デバイスを除き、サポート対象の小中規模向け SRX
プラットフォーム上のイーサネットスイッチングをサポートする任意の内蔵インターフェイスを使用できます。SRX550 および
SRX650 では、swfab 接続用にギガビットバックプレーン物理インターフェイスモジュール(GPIM)のインターフェイスを使用する
必要があります。
swfab リンクのヘルスチェックは、スイッチファブリックのプローブを使用して監視します。ファブリックプローブの損失が多すぎ
る場合、そのクラスタノードは個別のレイヤー 2 スイッチングドメインに移行します。ただし、swfab リンクが失われてもクラスタ
が分割されるわけではありません。swfab リンクが失われても、fxp1 リンクと fab リンクが動作している限り、どちらのノードもク
ラスタ内に残ります。
fab インターフェイスと同様、swfab インターフェイスはフィルタ、ポリシー、論理インターフェイス、サービスをサポートしていま
せん。また、swfab インターフェイスもセキュリティゾーンで設定しません。Junos OS は、最大で swfab リンクのメンバインター
フェイスの最大 MTU までの、swfab リンク間のジャンボフレームの伝送をサポートしています。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 11
SRX シリーズ スタディガイド - パート 1
デュアル・データ・プレーン・リンク
ファブリックリンクは、リアルタイム・オブジェクト(RTO)、ファブリックプローブ、およびトランジットデータを伝送します。こ
のリンクによって、セッションの同期やシャーシクラスタに参加するノード間でのトラフィックの転送が可能になります。ファブリッ
クリンクが 1 つしかなく、そのリンクで障害が発生すると、非常に深刻な問題が発生します。バックアップノードのすべてのセッショ
ンが失われ、そのノードは無効状態に移行します。ファブリックリンクが回復したら、バックアップノードを再起動して復元し、シャー
シクラスタに再度参加させる必要があります。
デュアルファブリックリンクを使用することで、このような単一障害点を排除できます。片方のファブリックリンクで障害が発生し
ても、もう一方のリンクが動作している限り、2 ノード間のすべてのセッションは維持され、シャーシクラスタのステータスが保持
されます。ファブリックリンクの障害は、ローカルのファブリック・リンク・インターフェイスがダウンした場合だけでなく、エン
ドツーエンドの接続が失われた場合にも発生します。リンクのヘルスチェックを判断するため、ファブリックプローブは各リンクで
送信されます。事前に定義された時間が経過してもファブリックプローブが受信されなかった場合、そのリンクはダウンしているも
のと判断されます。この時間は、ハイエンドの SRX シリーズデバイスで 6 秒、小中規模向け SRX シリーズデバイスでは 20 秒です。
SRX デバイスではデュアル・スイッチ・ファブリック・リンクもサポートしています。これにより、1 つのスイッチファブリックリ
ンクで障害が発生しても、両方のクラスタが個別のレイヤー 2 スイッチングドメインに移行することを防ぎます。デュアル・スイッ
チ・ファブリック・リンクを実装すると、両方のリンクでフレームがロードバランシングされます。そのため、片方のスイッチファ
ブリックリンクの利用率が過剰に高くなることはありません。
クラスタ内の各ノードでは、同様のタイプで同じ数のインターフェイスを使用する必要があります。たとえば、プライマリノードで
2 つのギガビット・イーサネット・リンクを使用し、セカンダリノードではギガビットイーサネットとファストイーサネットを 1 つ
ずつ使用するデュアルファブリックリンクの設定は無効です。また、小中規模向け SRX シリーズデバイスの Mini-PIM に配置されて
いる SFP インターフェイスをファブリックリンク用に使用することもできません。
デュアルファブリックリンクを使用すると、冗長性が向上するだけでなく、パフォーマンスも向上します。シングル・ファブリック・
リンク設定では、単一のリンクを介して RTO、プローブ、およびデータが伝送されます。シングル・ファブリック・リンク設定は、
大量のデータがファブリックリンクで転送されるアクティブ / アクティブのシャーシクラスタで問題になる場合があり、RTO やプロー
ブ、データが失われる可能性があります。デュアルファブリックリンク設定では、一方のリンクで RTO とファブリックプローブが転
送され、他方のリンクでデータトラフィックが転送されます。RTO とプローブで使用されるのはスロット、PIC、およびポートの番号
が小さいほうのファブリックリンクであり、データトラフィックではもう一方のリンクが使用されます。一方のファブリックリンク
が失われると、シャーシ間で転送されるすべてのトラフィックで、もう一方のリンクが使用されます。直近に失われたリンクで 30 秒
間にわたってピアが Hello パケットを受信すると、そのリンクはアクティブであるとみなされ、以前と同様のロードバランシングが再
開します。
子リンクは内部のアグリゲート・イーサネット・インターフェイスにバンドルされるため、使用可能な統合インターフェイスが 1 つ
少なくなります。たとえば、シャーシクラスタで設定可能な統合インターフェイスの最大数が 128 であるとします。この場合、デュ
アルファブリックリンクを設定すると、設定可能な残りの統合インターフェイス数は 127 になります。
9 - 12 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
デュアル・コントロール・プレーン・リンク
SRX5000、SRX3000、SRX1400 の各シリーズでは、コントロールリンクの冗長性もサポートしています。デュアルコントロールリ
ンクは、コントロールトラフィックに対する冗長リンクを提供します。デュアルファブリックリンクとは異なり、一度に使用される
コントロールリンクは 1 つだけです。
SRX5000 デバイスの場合、最低 2 枚のスイッチコントロールボード(SCB)があり、どちらの SCB にも RE がインストールされて
いる必要があります。セカンダリ RE はコントロールプレーン機能を持つ通常の RE として動作せず、セカンダリ SCB のスイッチを
初期化するために使用され、2 番目のコントロールリンクを可能にします。各コンポーネントが設定されると、任意の SPC のコント
ロールポートを利用できるようになります。単一の SPC で両方のコントロールポートを使用することも可能ですが、その SPC が単一
障害点とならないように、2 枚の SPC を使用することをお勧めします。また、スロット番号が小さいほうの SPC は、セッション処理
のセントラルポイント(CP)としても動作するため、可能であればスロット番号が大きいほうの SPC を使用することをお勧めします。
SRX3000 シリーズもデュアルコントロールリンクをサポートしていますが、SRX クラスタリングモジュール(SCM)を追加する必
要があります。SCM は RE スロットに装着する点に注意してください。ただし、SCM は RE ではないため、RE の機能を実行するわ
けではありません。2 番目の HA コントロールリンクを初期化することだけを目的としています。
SRX1400 デバイスは、SYSIO カードを使用することでデュアルコントロールリンクをサポートしています。これは、デバイスでは
ポート 10 および 11 になります。これらのポートはシャーシクラスタリングの段階で専用のコントロールポートとして割り当てられ
るため、コントロールポートの機能を有効にするために追加設定を行う必要はありません。
リアルタイム・オブジェクトの目的
セッションまたはフローの冗長性を提供するため、データプレーンは、あるノードから別のノードに fab データリンク経由で特別な
ペイロードパケットを送信し、状態を同期します。このパケットをリアルタイム・オブジェクト(RTO)といいます。ノード間でセッ
ションに関する情報を伝送することで、フェールオーバーが発生しても RTO によってセッションの一貫性と安定性が維持されます。
そのため、既存のセッションに属するトラフィックの処理を継続することができます。2 ノード間で確実にセッション情報を同期す
るため、データプレーンは、RTO パケットにトランジットトラフィックよりも高い優先度を与えます。
RTO の動的な性質
Junos OS は、メモリ内で動的に RTO を作成します。動的に作成された RTO の例としては、セッションテーブルのエントリや IPsec
のセキュリティアソシエーション(SA)などが挙げられます。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 13
SRX シリーズ スタディガイド - パート 1
シャーシ・クラスタ・インターフェイスのまとめ
このスライドは、ここで説明したすべてのクラスタインターフェイスをまとめたものです。
レイヤー 2 ネットワークを介したクラスタの接続
従来は、シャーシクラスタを back-to-back 接続する必要があったため、両方のノードを物理的に同じ施設内に配置する必要がありま
した。このような実装方法は多くの状況で問題なく機能しますが、各ノードを、別の建物や都市を含む物理的に異なる場所に配置
したいというニーズが高まってきました。これに応え、シャーシクラスタのノードは、コントロールリンクとデータリンクを経由し、
fxp1 および fab インターフェイスのレイヤー 2 ネットワークを介して接続できます。swfab インターフェイスは、クラスタノード間
9 - 14 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
で中継デバイスを介することなく直接接続する必要があります。ただし、これらのリンクの扱いには注意が必要で、設定時に考慮す
べきいくつかの事項があります。
2 ノード間のレイテンシは 100 ms 未満でなければなりません。レイテンシが 100 ms を超えると、コントロールリンクのハートビー
トとファブリックプローブが制限時間内に到達しなかったり、正しい順序で到達しなかったりする可能性があります。生存メッセー
ジが遅れたり順序が誤っていたりすると、クラスタが不安定になります。この条件が満たされない場合、コントロールプレーンの
フェールオーバーやデータプレーントラフィックの断絶が発生します。
このようなリンクで伝送されるデータの扱いには注意が必要で、コントロールリンク用のパスに 1 Gbps、ファブリックリンク用のパ
スに 1 Gbps の帯域幅を確保することをお勧めします。ただし、この要件はクラスタ設定に応じて緩和されます。たとえば、アクティ
ブ / パッシブのクラスタを実装する場合、ファブリックリンクで要求される帯域幅は 1 Gbps よりも大幅に低くなります。また、クラ
スタの 1 秒あたりの接続数が少ない場合も、コントロールリンクで要求される帯域幅は 1 Gbps 未満になります。ただし、これには
フェールオーバーの可能性が考慮されていません。パスの帯域幅として 1 Gbps が推奨されているのはこのためです。
シャーシクラスタではプライベート IP アドレスとプライベート・メディア・アクセス制御(MAC)アドレスを使用して通信を行いま
す。また、同じネットワーク上の他のホストをコントロールリンクまたはファブリックリンクとして使用するため、他のホストや
シャーシクラスタが不安定になる場合があります。このようなネットワークの分離は、コントロールリンクとファブリックリンクを
それぞれ個別のバーチャル LAN(VLAN)に配置することで可能になります。
シャーシクラスタリングの目的は HA を提供することですが、同じ物理的なスイッチトポロジを使用してコントロールリンクとファブ
リックリンクを接続すると、この目的を達成できなくなる場合があります。これは、両方のリンクで単一障害点が発生する可能性が
あるためです。この場合、両方のノードがすべてのリダンダンシーグループのプライマリになろうとする状況、つまりスプリットブ
レインが発生します。
LAN の実装
2 つの独立した物理的なスイッチトポロジを実装することが推奨されています。これにより、単一のデバイスやリンクの障害によって、
コントロールリンクとファブリックリンクの両方が同時にダウンしてしまう状況、つまりスプリットブレインの発生を防ぐことができ
ます。他のトラフィックがスイッチを使って伝送されている場合、コントロールリンクとファブリックリンクのトラフィック用にそれ
ぞれ個別の VLAN を準備することをお勧めします。これにより、2 つのノードがそれぞれに影響することなく通信を行うことができま
す。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 15
SRX シリーズ スタディガイド - パート 1
WAN の実装
コントロールリンクとファブリックリンクを接続するレイヤー 2 WAN トポロジは、前述の要件が満たされる限り実現することができ
ます。この目的を達成するためには 2 つの WAN 接続を用意し、1 つはコントロールリンクのトラフィック用に、もう 1 つはファブ
リックリンクのトラフィック用に使用することをお勧めします。これは厳格に従うべき要件ではなく、1 つの WAN 接続でも運用でき
ますが、両方のノードでスプリットブレインが発生する単一障害点のリスクを伴います。
クラスタの 2 つのノードを接続する WAN サービスは、バーチャルプライベート LAN サービス(VPLS)、または L2 バーチャル・プラ
イベート・ネットワーク(VPN)やサーキット・クロスコネクト・サービスなどの非イーサネットベースのレイヤー 2 テクノロジを
使用することもできます。
シャーシクラスタリングとイーサネットスイッチング
これまで学んだことを元に、レイヤー 2 イーサネットスイッチとして動作するシャーシクラスタを設定することができます。Junos
OS は、SRX100、SRX110、SRX210 を除くすべての小中規模向け SRX デバイスで、この機能をサポートしています。シャーシクラ
スタのインターフェイスをイーサネットスイッチングに参加させる設定をする場合、イーサネットトラフィックをスイッチングする
よう設定できるのはローカルインターフェイスのみです。つまり、family ethernet-switching ステートメントを使用して reth
インターフェイスを設定することはできません。ローカルインターフェイスの条件には、レイヤー 2 LAG インターフェイスも含まれ
ます。ただし、LAG のメンバインターフェイスは 1 つのノードだけに含まれている必要があり、両方のノードにまたがっていてはな
りません。
reth などのレイヤー 3 インターフェイスは、レイヤー 2 イーサネットスイッチングを実行するシャーシクラスタでも設定できる点に
注意してください。これによりシャーシクラスタの柔軟性が向上し、SRX デバイスを使用してレイヤー 2 およびレイヤー 3 へのアク
セスを提供することができます。
9 - 16 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
クラスタへのイーサネットスイッチングの追加
レイヤー 2 イーサネットスイッチング用にシャーシクラスタを準備する場合、swfab インターフェイスを作成し、接続する必要があ
ります。swfab 接続を確立する前にイーサネットスイッチング関連の機能を有効にすると、ノードが予期しない動作をする可能性が
あります。この章で前述のように、クラスタ内に配置された小中規模向け SRX プラットフォームに固有のスイッチング対応インター
フェイスを使用する必要があります。
イーサネットポートは、スパニング・ツリー・プロトコル(STP)、DOT1X、LAG、インターネットグループ管理プロトコル(IGMP)、
GARP VLAN Registration Protocol(GVRP)、Link Layer Discovery Protocol(LLDP)、IGMP スヌーピングなど、さまざまなレイヤー 2
機能をサポートしています。レイヤー 2 VLAN ドメインは、両方のノードのメンバポートと、両方のデバイスのレイヤー 2 スイッチ
ングプロトコルと共に設定できます。このようなレイヤー 2 VLAN ドメインを使用することで、統合ルーティングおよびブリッジング
(IRB)と VLAN インターフェイスの利点を活用し、レイヤー 3 ルーティングを容易に実装できます。
次の出力例は、swfab インターフェイスの設定を示したものです。前述のように、swfab インターフェイスを持つ追加の物理インター
フェイスを配置し、冗長性を提供することができます。
{primary:node0}
user@srx> show configuration interfaces | find swfab
swfab0 {
fabric-options {
member-interfaces {
ge-0/0/2;
}
}
}
swfab1 {
fabric-options {
member-interfaces {
ge-5/0/2;
}
}
}
...
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 17
SRX シリーズ スタディガイド - パート 1
イーサネットスイッチングのステータスの確認
swfab プローブの現在のステータスを確認し、クラスタの両方のノードが単一のレイヤー 2 イーサネット・スイッチング・ドメイン
に属しているかどうかを表示するには、show chassis cluster ethernet-switching status コマンドを使用します。出力
で、プローブのステータスが down(ダウン)と示されている場合、両方のノードはそれぞれ個別のレイヤー 2 イーサネット・スイッ
チング・ドメインに属しています。
swfab インターフェイスのステータスの表示
show chassis cluster ethernet-switching interfaces コマンドを使い、swfab インターフェイスの現在の状態を表示で
きます。少なくとも 1 セットの swfab インターフェイスがアップし、機能している必要があります。または、クラスタのノードがそ
れぞれ個別のレイヤー 2 イーサネット・スイッチング・ドメインに属します。
9 - 18 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
swfab の統計データの確認
show chassis cluster ethernet-switching statistics コマンドを使い、現在のプローブの状態と、送受信されたプロー
ブおよびプローブエラーに関する統計データを表示できます。
リモート IP アドレスの監視
リダンダンシーグループの IP アドレスを監視することで、エンドツーエンドの接続性を確認することができます。また、設定済みの
IP アドレスに reth インターフェイスが到達できない場合、リダンダンシーグループをフェールオーバーすることができます。クラス
タ内の両方のデバイスにあるリダンダンシーグループは、特定の IP アドレスを監視するよう設定できます。これにより、ネットワー
クのアップストリームデバイスに到達可能かどうかを判断できます。また、リダンダンシーグループは、監視対象の IP アドレスが到
達不可能になった場合、サービスを維持できるよう、リダンダンシーグループをバックアップにフェールオーバーするよう設定でき
ます。この監視機能とインターフェイス監視の主な違いは、IP アドレス監視により、インターフェイスが機能していても、接続先の
ネットワークデバイスが何らかの理由で到達不可能な場合、フェールオーバーできる点です。この場合、クラスタ内の他のノードが、
問題の起きた周辺のトラフィックをルーティングできます。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 19
SRX シリーズ スタディガイド - パート 1
IP アドレス監視の設定パラメータ
IP アドレス監視は、監視対象のアドレスに ICMP 要求を送信することで機能します。この ICMP 要求は、secondary-ip-address
ステートメントで指定されたアドレスから送信されます。使用するセカンダリ IP アドレスは、アドレスの監視に使用する reth イン
ターフェイスのサブネットの範囲内になければなりません。また、同じ reth インターフェイスを使用して複数の IP アドレスを監視す
る場合、同じセカンダリ IP アドレスを指定する必要があります。
このような ping 要求は、デフォルトでは 1 秒ごとに送信されます。この値は、retry-interval ステートメントで設定できます。
また、監視対象のアドレスに 5 回の ping 要求(retry-count のデフォルト値)で到達できなかった場合、そのアドレスは到達不可
能としてマークされます。Junos OS が監視対象のアドレスを到達不可能としてマークすると、そのアドレスに関連付けられたウェイ
ト値が、global-threshold 値に対してカウントされます。監視対象アドレスの累積ウェイト値が global-threshold 値を超過
すると、global-weight ステートメントで指定された値が RG の全許容しきい値に対してカウントされます。この値は、初期状態
では 255 に設定されています。RG のプライマリのクラスタのノードにおいて、RG の全許容しきい値に到達した場合、RG のフェー
ルオーバーが発生します。
スライドの 設 定 で は、global-threshold 値 が 120 に、global-weight 値が 200 に指定されています。この設定では、
global-threshold 値に達するには、監視対象の IP アドレスが両方とも到達不可能になる必要があります。このような状況が発生
すると、global-threshold で指定された値が RG 1 の許容しきい値である 255 に対してカウントされます。ただし、さらに監視
を追加しない限り、RG のフェールオーバーは発生しません。インターフェイス監視を RG 1 に追加できますが、RG 1 の許容しきい
値に達するには、55 以上のウェイト値でなければなりません。
9 - 20 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
監視対象アドレスの状態の確認
スライドの出力は、前のスライドで設定した監視対象アドレスの現在のステータスを示したものです。この出力には、IP アドレスの
到達可能性を監視しているすべてのリダンダンシーグループに関する統計データが示されています。スライドからわかるように、ア
ドレス 172.20.30.2 はどちらのノードでも到達可能ですが、アドレス 1.1.1.1 は到達不可能です。前のスライドで見たように、監視
対象の各アドレスのウェイト値は 60 で、RG 1 の IP 監視グローバルしきい値は 120 です。つまり、IP 監視のグローバルウェイト値
は、RG 1 のしきい値に対してカウントされません。
[Reason] フィールドでは、監視対象のアドレスに到達できない理由について詳細を確認できます。このフィールドで示される理由
とその意味は、次のとおりです。
•
no route to host:ルーターが、監視対象の IP アドレスを持つホストに ICMP パケットを送信するために必要な ARP を
解決できませんでした。
•
no auxiliary IP found:リダンダンシー・イーサネット・インターフェイスに予備 IP アドレスが設定されていません。
•
reth child not up:リダンダンシー・イーサネット・インターフェイスの子インターフェイスがダウンしています。
•
redundancy-group state unknown:リダンダンシーグループの状態(プライマリ、セカンダリ、セカンダリホールド、
無効)を取得できません。
•
no reth child MAC address:リダンダンシーイーサネットの子インターフェイスの MAC アドレスを抽出できませんで
した。
•
secondary link not monitored:セカンダリリンクがダウンしている可能性があります(リダンダンシー・イーサネッ
ト・インターフェイスのセカンダリの子インターフェイスがダウンしているか機能していません)。
•
unknown:IP アドレスが設定されたばかりで、ルーターがその IP アドレスのステータスを取得できないか、障害の正
確な理由が不明です。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 21
SRX シリーズ スタディガイド - パート 1
IPsec トンネルとシャーシクラスタ
IPsec トンネルがシャーシクラスタ内で終端する場合は、クラスタ内のいずれかのノードで終了している必要があります。一般的に、
トンネルのエンドポイントのアンカーポイントは、reth インターフェイスのアドレスになります。このようなバーチャルな終端処理
により、フェールオーバーが発生した場合、バックアップノードは reth インターフェイスが属するリダンダンシーグループの制御を
前提にできます。または、クラスタのメンバが小中規模向け SRX シリーズデバイスである場合、IPsec トンネルの終端にループバッ
クインターフェイスを使用できます。ただし、HA クラスタのハイエンドの SRX シリーズデバイスでは、トンネルの終端にループバッ
クインターフェイスを使用することはできません。
鍵とセッションの情報はノード間で同期されるため、フェールオーバーが発生した場合、バックアップノードが IPsec トンネルを制
御することができます。また、フェールオーバーはステートフルな方式で発生するため、IPsec とインターネット鍵交換(IKE)のセ
キュリティアソシエーションが保持されます。トンネルのリモート側ではフェールオーバー状態が認識されないため、通常の場合と
同様にトンネル経由でトラフィックの送受信が行われます。
9 - 22 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
IPv6 クラスタリングのサポート
Junos OS リリース 12.1R1.9 では、シャーシクラスタの IPv6 向けサポート機能が大幅に強化されています。現在では、IPv6 を実行
する SRX シリーズデバイスをアクティブ / パッシブのクラスタに実装でき、またアクティブ / アクティブのクラスタにも実装できま
す。reth インターフェイスおよびローカルインターフェイスは IPv6 に対応し、IPv4 と IPv6 アドレスとデュアルスタックで同時に実
行できます。アドレスブックは、IPv4、IPv6、および DNS のエントリと同時に入力でき、ポリシーでもこれらアドレスブックのエン
トリを呼び出すことができます。IPv6 を使用した IPsec サイト間 VPN は現在サポートされていませんが、今後の Junos OS リリース
で対応する予定です。
ハイエンド SRX デバイスにおける状態の同期
シャーシクラスタにおける SPC の配置は非常に重要です。両ノードの SPC が各ノードの同一スロットに配置されていない、または各
ノードの SPC の数が異なっている場合、シャーシ間の通信が断続的になり、問題が起きる可能性があります。各ノードで SPC の数を
揃え、同じスロットに配置することで、各 SPC がピア SPC と通信できるようになります。
トラフィックセッションまたはサービスがプライマリノードの SPC によって処理されている場合、RTO 形式のセッションの同期メッ
セージは、ファブリックリンクを通じて、バックアップノードに配置されているピアのサービス・プロセッシング・ユニット(SPU)
に送信されます。このプロセスは、セッションまたはサービスを処理するプライマリノードの SPC ごとに発生します。セッションの
同期メッセージがバックアップノードのピア SPU に到達すると、ピア SPU はバックアップノードでセッションを検証し、作成しま
す。次に、新しいセッションまたはサービスの CP を通知します。それ以降、CP はそのノードのすべてのセッションの状態を責任を
もって管理します。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 23
SRX シリーズ スタディガイド - パート 1
グレースフルリスタート
ルーティングプロトコルでは、サービスの中断が発生した場合、影響を受けたルーターが隣接するルーターとの隣接関係を再計算し、
ルーティングテーブルのエントリを復元し、その他のプロトコル固有の情報を更新する必要があります。ルーターの保護されていな
い再起動が発生すると、転送の遅延やルートフラッピング、プロトコルの再コンバージェンスによる待機時間、パケットのドロップ
が発生する可能性があります。グレースフルリスタートの主なメリットは、パケット転送が中断されないことと、すべてのルーティ
ングプロトコルの更新が一時的に抑止されることです。グレースフルリスタートによって、ルーターは、ネットワークの他の部分か
ら隠されている中間コンバージェンス状態を通過します。
グレースフルリスタートの実装では、多くの場合、再起動ルーターおよびヘルパールーターという 2 種類のルーターを定義します。
再起動ルーターは、トラフィックの転送を再開できるよう、転送状態に関する情報の迅速な復元を要件としています。ヘルパールー
ターは、このプロセスにおいて再起動ルーターを支援します。グレースフルリスタートの設定ステートメントは、一般的に再起動ルー
ターかヘルパールーターのいずれかに影響します。
グレースフルリスタートはグローバルに有効化されているため、すべてのルーティングプロトコルに影響します。グレースフルリス
タートが望ましくないプロトコルがある場合、そのプロトコルについてオフにします。グレースフルリスタートは、1 つのコマンド
を入力するだけで、サポートされているすべてのプロトコルに対して有効にできます。
{primary:node0}[edit]
user@srx# set routing-options graceful-restart
9 - 24 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
復習問題
解答
1.
シャーシクラスタのコントロールプレーンは、ハイエンドシステムでは SPC ポートを、小中規模向けプラットフォームではレベニュー
ポートを使用し、fxp1 と呼ばれています。データプレーンは、fab0 および fab1 という物理ポートを使用して接続します。
2.
fab インターフェイスは、シャーシクラスタ内のノード間でデータプレーンリンクとして機能し、2 つのノード間でセッションの状態を
複製するために RTO を伝送します。
3.
RG とは、オブジェクトのグループの冗長性を管理する抽象的なエンティティです。シャーシクラスタが形成されると、各 RE の優位性
を管理するために RG0 が作成されます。RGx は、reth インターフェイスの優位性を管理するために使用されます。
4.
インターフェイス監視のデフォルトのしきい値は 255 です。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリング • 9 - 25
SRX シリーズ スタディガイド - パート 1
9 - 26 • 高可用性クラスタリング
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
第 10 章:高可用性クラスタリングの実装
この章の内容:
•
高可用性(HA)クラスタリングとその機能
•
シャーシクラスタのコンポーネント
•
シャーシクラスタの動作
•
シャーシクラスタの設定
•
シャーシクラスタの監視
クラスタの動作:クラスタの形成
クラスタ内の最初のシャーシが起動されるとクラスタを形成します。このシャーシは、ブランク状態からプライマリ状態に遷移しま
す。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 1
SRX シリーズ スタディガイド - パート 1
クラスタの動作:クラスタへの参加
シャーシは、既存のクラスタに参加することができます。クラスタに参加するシャーシの RG0 は、ブランク状態からセカンダリ状態
に遷移します。RGx は、優先度とプリエンプション設定に基づき、ブランク状態からプライマリ状態またはセカンダリ状態に遷移し
ます。参加という動作により、参加するシャーシでは設定の同期も行われます。また、参加の動作により、既存のクラスタノードの
RGx の状態がプライマリからセカンダリに変化する場合もあります。
クラスタの動作:クラスタからの離脱
離脱アクションは、ノードのシャーシを再起動または電源をオフにした場合に発生します。離脱アクションが、別のクラスタノード
の RG の状態がセカンダリからプライマリに変化するトリガになる場合があります。
10 - 2 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
クラスタの動作:クラスタの分割
Junos OS には、コントロールリンクまたはファブリックリンクでキープアライブメッセージまたはハートビートメッセージが失われ
た場合、セカンダリノードを無効化することで、自動的に分割シナリオから保護する機能があります。無効化されたノードを再度ク
ラスタに参加させるには、そのノードを再起動する必要があります。ただし、システム障害など両方のリンクで同時に障害が検出さ
れた場合、両方のデバイスがプライマリノードになります。
クラスタの動作:クラスタの統合
統合アクションは、分割されたクラスタが接続を取り戻した場合に発生します。クラスタが統合されると、RG の状態がプライマリか
らセカンダリに遷移する場合があります。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 3
SRX シリーズ スタディガイド - パート 1
片方のノードによるトランジットトラフィックの処理
このスライドは、データプレーンのアクティブ / パッシブモードでのパケットフローを示したものです。この例ではノード 0 がプラ
イマリノードで、ノード 1 がセカンダリノードです。
両方のノードによるトランジットトラフィックの処理
データプレーンのアクティブ / アクティブモードでは、2 つのノードがトランジットトラフィックを処理します。このスライドは、入
力インターフェイスと出力インターフェイスがクラスタの異なるデバイスに配置されている場合のパケットフローを示したもので
す。あるセッションの最初のフローに対応する出力インターフェイスを持つノードが、そのセッションのホストとして機能します。こ
の例では、フローのアクティブセッションはノード 1 上にあり、フローのバックアップセッションはノード 0 上にあります。
Junos セキュリティプラットフォームは、現時点でデータプレーンのみアクティブ / アクティブモードをサポートします。コントロー
ルプレーンは常にアクティブ / パッシブで動作し、セカンダリノードがプライマリノードに対して冗長性を提供します。
10 - 4 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
アクティブ / アクティブ・クラスタリング
アクティブ / アクティブ・クラスタリングは複雑な処理にみえますが、実際にはアクティブ / パッシブクラスタリングを 2 回行って
いるにすぎません。一般的なアクティブ / パッシブのクラスタ設定では、すべてのリダンダンシーグループにおいてノード 0 がプラ
イマリになり、ノード 1 がセカンダリになります。つまり、フェールオーバーが発生した場合に備えて、ノード 1 が準備されていま
す。アクティブ / アクティブのクラスタ設定では、リダンダンシーグループによって、ノード 0 がプライマリの場合も、ノード 1 が
プライマリの場合もあります。スライドの図では、ノード 0 がリダンダンシーグループ 1 のプライマリであり、ノード 1 がリダンダ
ンシーグループ 2 のプライマリです。また、ノード 0 はリダンダンシーグループ 2 のセカンダリであり、ノード 1 でフェールオー
バーが発生した場合、プライマリになる準備ができています。また、ノード 1 はリダンダンシーグループ 1 のセカンダリであり、ノー
ド 0 でフェールオーバーが発生した場合、プライマリになる準備ができています。
アクティブ / アクティブのクラスタ設定では、データパスまたは Z パスによる転送が発生します。トラフィックは 2 つのノード間の
データリンクを伝送されるため、データリンクで使用できるインターフェイスタイプの帯域幅が狭すぎる場合、ボトルネックを引き
起こす可能性があります。そのため、データリンクには使用可能な最も広い帯域幅のインターフェイスを使用するようにしてくださ
い。また、デュアルデータリンクを使用することで、この問題の発生を軽減できる場合があります。
一般的な構成方法は、バックアップノードに対するヘルスチェックを実装する手段として、バックアップノードでプライマリとなる
リダンダンシーグループを 1 つ使用する方法です。これにより、バックアップノードの動作を保証し、フェールオーバーが発生した
場合、処理を引き継ぐことができます。
2 台のデバイスの接続
2 つの Junos セキュリティプラットフォームを相互接続する場合、必ず同じモデルを使用し、次のように同一のスロットに SPC を挿
入してください(ハイエンドプラットフォームの場合)。
•
コントロールリンクとして使用するポートを接続します。ハイエンドプラットフォームでは、RE スロットと同じ番号
の SPC ポートを使用します。小中規模向けプラットフォームでは、デバイスのモデルに固有の適切なレベニューポー
トを使用します。
•
2 つのノードのイーサネットインターフェイスを接続して、ファブリックリンク(fab インターフェイス)を作成しま
す。
コントロールポートの設定
ハイエンドプラットフォームでは、SPC コントロールプレーンのポートを設定で有効にし、その設定をコミットします。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 5
SRX シリーズ スタディガイド - パート 1
クラスタリングの有効化
シャーシク ラ ス タ リ ン グ を 有 効 化 す る に は、ク ラ ス タ内の各シャーシで cluster-id id および node id を設 定します。
cluster-id 値は、両方のノードで同一です。クラスタリングをアクティブ化するには、cluster-id id および node id の設定
後に、まずプライマリデバイスとして指定されているノードを再起動してから目的のセカンダリノードを再起動する必要があります。
シャーシクラスタの有効化
このスライドは、ハイエンド・セキュリティ・プラットフォームにおいて SPC コントロールプレーンのポートを有効化するために必
要な設定を示したものです。
また、cluster-id id および node id の設定に必要なコマンドの構文も示しています。このコマンドをオペレーショナルモードで
実行すると、必須の再起動がコマンドの一部として実施される点に注意してください。
2 番目のノードでのシャーシクラスタの有効化
2 番目のノードはプライマリノードに関連付けられた設定を継承するため、コントロールポートの設定は不要です。このスライドで
は、シャーシクラスタに 2 番目のノードを追加するために必要な動作モードコマンドを示しています。
10 - 6 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
クラスタ設定の手順
クラスタのノードを再起動した後、その他のクラスタパラメータを設定することができます。クラスタ設定を完了するには、このス
ライドに示されている設定手順に従う必要があります。
管理インターフェイスの設定
クラスタに対する管理アクセスを設定するには、各ノードに対して一意のホスト名を定義し、各ノードの fxp0 インターフェイスに対
して一意の IP アドレスを割り当てます。設定するグループ名は、node0 および node1 でなければなりません。またスライドに示す
ように、設定されたグループは apply-groups 設定スタンザを使って適用する必要があります。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 7
SRX シリーズ スタディガイド - パート 1
ファブリックインターフェイスの設定
2 つのノード間の fab インターフェイスは、スライドに示す構文を使って設定します。fab0 のメンバインターフェイスはノード 0 の
イーサネットインターフェイスで、fab1 のメンバインターフェイスはノード 1 のイーサネットインターフェイスです。どちらの fab
インターフェイスも、同じメディアタイプでなければなりません。
リダンダンシーグループの設定
このスライドは、RG の設定に必要な構文を示したものです。設定は、[edit chassis cluster] 設定スタンザで実行します。設
定では、次の項目を指定します。
•
ノードの優先度(数字が大きいほど優先度が高くなります)
•
インターフェイスが、自身が属する RG のフェールオーバー後に、自身の存在を他のネットワークデバイスに通知する
ために送信できる Gratuitous ARP 要求の数
10 - 8 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
•
監視対象インターフェイスのウェイト値
•
オプションのプリエンプション設定。これにより、高い優先度を持つノードは、フェールオーバーを開始して、設定さ
れた RG のプライマリになることができます。
リダンダンシー・イーサネット・インターフェイスの設定
reth インターフェイスを作成するには、2 つの物理的なインターフェイスを個別に設定します。reth インターフェイスに関連するそ
の他のパラメータは、interfaces reth number 設定スタンザで設定します。設定をコミットすると、reth インターフェイスのす
べての子インターフェイスが各パラメータを継承します。reth インターフェイスはスードインターフェイスであるため、reth-count
を設定して、クラスタ内の reth インターフェイス数を定義する必要があります。
クラスタフェールオーバーのパラメータの設定
次に示すものが設定可能なクラスタフェールオーバーのパラメータで、デフォルト値を変更することもできます。
•
heartbeat-interval:クラスタ内のすべてのノードがハートビートメッセージのブロードキャストを受信する間隔
または期間
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 9
SRX シリーズ スタディガイド - パート 1
•
heartbeat-threshold:これを超過した場合、クラスタノードが機能していないと判断される、ハートビートを受
信できなかった回数
シャーシクラスタの無効化
このスライドは、クラスタから Junos セキュリティプラットフォームを削除する動作モードコマンドを示したものです。まずプライ
マリノードで入力し、その後セカンダリノードで入力します。セカンダリノードの設定はプライマリノードの設定に同期されるため、
セカンダリノードでもインターフェイスの名前を変更する必要があります。
例:クラスタを形成するコマンドを実行する前のネットワーク図
スライドに示されている例をご覧ください。2 つのハイエンド・セキュリティ・プラットフォーム host1 および host2 が、ギガビッ
ト・イーサネット・インターフェイスとスロット 3 の SPC コントロールポートを使用して相互接続されています。どちらのノード
も、ge-0/0/0 インターフェイスを使用してサーバーサイトに接続され、ge-1/0/0 インターフェイスを使用してインターネットに接
続されています。
10 - 10 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
クラスタの形成
ハイエンド・セキュリティ・プラットフォームを使用してクラスタを形成するには、ノードでコントロールポートを設定する必要が
あります。セカンダリノードの設定はプライマリノードの設定と同期されるため、コントロールポートはプライマリとして指定され
たノードでのみ設定する必要があります。設定は必ずコミットしてください。
すべての Junos セキュリティプラットフォームについて、スライドに示す動作モードコマンドを使用して、クラスタの ID 番号とノー
ドの ID 番号を設定します。この動作モードコマンドは、各デバイスでの再起動を必須にすることができます。この操作は、まずプラ
イマリノードとして指定されたノードで実行し、その後でセカンダリとして指定されたノードで実行してください。
例:クラスタを形成するコマンドを実行した後のネットワーク図
各 SRX シリーズサービスゲートウェイを再起動すると、クラスタが形成されます。クラスタが形成されると、各インターフェイスの
名前がスライドの図のように変更されます。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 11
SRX シリーズ スタディガイド - パート 1
クラスタのステータスの確認
スライドに示すように show コマンドを使用して、シャーシクラスタおよびクラスタインターフェイスのステータスを表示できます。
管理インターフェイスの設定
次に、スライドに示すように groups および apply-groups 設定スタンザを使用して、管理インターフェイスを設定します。
10 - 12 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
ファブリックインターフェイスの設定
スライドの例では、クラスタの fab0 および fab1 インターフェイスは、ge-0/0/2 および ge-12/0/2 物理インターフェイスを使用し
ています。このスライドは、fab0 および fab1 インターフェイスの設定とそのステータスを示したものです。各 fab インターフェイ
スのリンクステータスが up になっている点に注目してください。
リダンダンシーグループの設定
このスライドは、RG0 および RG1 の設定を示したものです。ノード 0 の優先度はノード 1 の優先度よりも高いため、プライマリと
して機能します。また、RG1 は、サーバーサイトに接続されている ge-0/0/0 インターフェイスを監視します。ge-0/0/0 インター
フェイスを使用できなくなると、RG1 はノード 1 および ge-12/0/0 インターフェイスにフェールオーバーします。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 13
SRX シリーズ スタディガイド - パート 1
リダンダンシーグループの表示
RG のステータスを表示するには、show chassis cluster status コマンドを使用します。このコマンドを使用すると、RG0 お
よび RG1 のプライマリおよびセカンダリとなっているノードを確認できます。また、プリエンプションが有効になっていることや、
手動フェールオーバーが有効かどうかも確認できます。手動フェールオーバーについては、この後のスライドで説明します。
reth インターフェイスの設定
スライドの例では、1 つの reth インターフェイス(reth1)と、そのインターフェイスが RG1 に属していることが示されています。
reth1 インターフェイスを構成しているのは、インターフェイス ge-0/0/0 および ge-12/0/0 です。また、クラスタが認識する reth
インターフェイスの合計数は 2 です(reth-count の値に基づきます)。
10 - 14 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
クラスタフェールオーバーのパラメータの設定
スライドの設定では、クラスタ内のノード間のハートビートメッセージは、1200 ミリ秒ごとに発生します。さらに、受信できなかっ
たハートビート数が 5 を超えると、そのノードは動作していないものとみなされます。
クラスタの統計データの監視
シャーシクラスタのカウンタを表示するには、show chassis cluster statistics コマンドを使用します。カウンタは、トラブ
ルシューティングや、適切な動作の確認に便利です。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 15
SRX シリーズ スタディガイド - パート 1
手動フェールオーバー
スライドに示すように、request コマンドを使ってフェールオーバーを手動で開始することができます。手動フェールオーバーによ
り、そのメンバに対するリダンダンシーグループの優先度が 255 に引き上げられます。手動フェールオーバーは、慎重に行ってくだ
さい。RG0 のフェールオーバーは、RE のフェールオーバーを伴います。RE のフェールオーバーが発生すると、プライマリノードで
実行されているすべてのプロセスが強制終了され、新しいプライマリ RE でそれらのプロセスが発生します。これにより、ルーティン
グ状態など、状態に関する情報が失われる場合があります。
手動フェールオーバーのリセット
手動フェールオーバーの後、リセットまたはフェールバックが発生するまで、新しいプライマリノードがその役割を担い続けます。
フェールバックが発生すると手動フェールオーバーは失われ、優先度とプリエンプションの設定に基づいて状態が選択されます。手
動フェールオーバーモードでのフェールバックは、プライマリノードで障害が発生した場合、または RG のしきい値がゼロに達した
場合に発生する可能性があります。
10 - 16 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.
SRX シリーズ スタディガイド - パート 1
シャーシクラスタのロギング
シャーシクラスタイベントを表示するには、show log jsrpd コマンドを使用します。jsrpd プロセスは、シャーシクラスタイベン
トの管理に関連するプロセスです。シャーシクラスタイベントによっては、このログがソフトウェアによって動的に記録されます。
Traceoptions
シャーシクラスタの動作に対して、traceoptions を設定することもできます。さ
まざまなイベントに対してフラグを設定することができます。
{primary:node0}[edit]
user@srx# set chassis cluster traceoptions flag ?
Possible completions:
all
Trace all events
cli
Trace CLI events
configuration
Trace configuration events
eventlib
Trace event library events
fsm
Trace finite state machine events
heartbeat
Trace JSRPD heartbeats
init
Trace initialization events
interface
Trace interface related events
routing-socket
Trace routing socket events
socket
Trace socket events
uspipc
Trace USP IPC events
復習問題
解答
1.
アクティブ / アクティブモードのシャーシクラスタでは、常にクラスタの両方のノードをトランジットトラフィックが通過します。アク
ティブ / パッシブモードのシャーシクラスタでは、プライマリノードだけをトランジットトラフィックが通過し、バックアップノードは
ホットスタンバイで待機します。
© 2013 Juniper Networks, Inc. All rights reserved.
高可用性クラスタリングの実装 • 10 - 17
SRX シリーズ スタディガイド - パート 1
2.
シャーシクラスタリングに関連するイベントは、jsrpd ログファイルに記録されます。
3.
reth インターフェイスとその子インターフェイスのステータスを表示するには、show interface terse | match reth コマンドを
使用します。
10 - 18 • 高可用性クラスタリングの実装
© 2013 Juniper Networks, Inc. All rights reserved.