ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to create custom application for ALG apps https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...   事象 カスタム アプリケーションと判定された後、Palo Alto Networks ファイアウォールは ALG による Predict セッションの 生成 ができない場合があります。 カスタムアプリケーションにマッチした後、Palo Alto Networks ファイアウォールは ALG による Predict セッションの生成ができない場合があり、FTP データ コネクション上でのファイル転送に失敗する可能性があります。   原因 カスタム アプリケーションで "他のアプリケーションに対するスキャンを続行" にチェックを入れないと、Palo Alto Networks ファイアウォールは L7 スキャンを停止し、カスタム アプリケーションに一致した後にそのセッションをハードウェア オフロードします。 セッションがオフロードされた後は、 ALG トリガーパケットがファイアウォールに到着したとしても、それはピックアップされず Predict セッションは生成されません。   解決方法 以下の手順に従ってカスタム アプリケーションの設定を変更します。 1. Objects > アプリケーションへ移動し、設定を変更するために作成済みのカスタム アプリケーション名をクリックします: Click your custom application. 2. 設定タブにて "他のアプリケーションに対するスキャンを続行" のチェック ボックスをクリックします: Click the checkbox, "Continue scanning for other Applications." 3. OK をクリックしてカスタム アプリケーションの設定画面を閉じ、Commit を実行して変越した設定を反映させます: Close the custom application window.   参照 Getting Started: Custom applications and app override https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Custom-applications-and-app-override/ta-p/71635    
記事全体を表示
tsakurai ‎12-30-2017 03:47 AM
4,652件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to See Traffic from Default Security Policies in Traffic Logs https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-See-Traffic-from-Default-Security-Policies-in-Traffic/ta-p/57393   PAN-OS 7.0 以前 概要 Paloalto Networks 次世代ファイアウォールにはデフォルトルールとして以下のセキュリティ ポリシーがあります: ゾーン間トラフィックの拒否 ゾーン内のトラフィックの許可 デフォルトでは、これらのデフォルトのポリシーにマッチするトラフィックは、トラフィックログに記録されません。トラブルシューティングにおいては、同一の送信元と宛先ゾーンを持つトラフィック、あるいはどのようなトラフィックが許可されずにデフォルトのルールによって拒否されたかの確認、といった情報が必要になる場合があります。一時的に暗黙のブロック ルールによるログを出力するには、以下のコマンドを実行します:   > set system setting logging default-policy-logging <value>   (value は"0-300"秒で指定)   注:PAN-OS 6.1以降ではこれらのデフォルトのポリシーはPocilies > セキュリティに緑の背景色(訳注:PAN-OS 7.1以降は黄色)で表示されます。 ルールはゾーン内(intrazone)、ゾーン間(interzone)、または両方の性質(universal)のいずれかに分類されます。 詳細はPAN-OS 6.1 New Features Guide: Security Policy Rulebase Enhancementsをご参照ください。     詳細 該当するトラフィックをトラフィックログで確認する方法はいくつかあります:   同じゾーン内のトラフィック Policies > セキュリティに移動し、以下の例のように送信元と宛先ゾーンが同じ通信を許可するセキュリティ ポリシーを作成します: 異なるゾーン間のトラフィック Policies > セキュリティに移動し、以下の例のようにゾーン間の通信を許可するセキュリティ ポリシーを作成します:   重要:  上記のポリシー例が示すとおり、ネットワークをセキュアに保つため、信頼されないトラフィックが信頼されたネットワークのゾーンへ流入することを許可するのは望ましくない場合があります。従って、どのようなルールの個別作成が必要かを検討するには、トラフィックをまとめて許可してしまうのではなく、クリーンアップ用ルールとして全て拒否するポリシーを使います。以下が、クリーンナップ用の拒否のポリシーの一例です。   全て拒否(DENY ALL) 以下は外部からのGlobalProtectのみを許可するよう指定した例です。全て拒否のポリシーが設定されているのと同時に、全ての信頼されたゾーンとDMZのトラフィックの出力を許可し、全ての信頼されたゾーン間のトラフィックを許可、そして同じゾーン間のトラフィックを許可します。DENY ALLの上にあるルールにマッチしないトラフィックは、DENY ALLルールにてキャッチされ、denyとしてログに残ります。 トラフィックログ中で拒否されたトラフィック、そしてその中から許可が必要な特定のトラフィックを確認します。これにより新しい何らかのトラフィックや、望まないトラフィックがネットワークを危険にさらすことを防ぐ事ができます。 注:全て拒否のポリシーはデフォルトの同じゾーン内通信を許可するポリシーをオーバーライドします。詳細は次のドキュメントをご参照ください: Any/Any/Deny Security Rule Changes Default Behavior.   PAN-OS 7.0以降   PAN-OS 7.0以降ではゾーン内通信、ゾーン間通信のポリシーは可視化、ログの有効化ができます。 著者: glasater  
記事全体を表示
TShimizu ‎11-20-2017 07:26 PM
7,765件の閲覧回数
0 Replies
 本ガイドにて、 PA シリーズファイアウォール ( 以下、 PA Firewall) を使った運用方法をご紹介します。    大きく以下の内容で構成されています。   ACC ( Application Commands Center ,以降 ACC )の基本的な使い方 各種ログの使い方 ( 絞り込み方法 ) セキュリティ対策方針の例 セキュリティ調査の流れ レポート機能の説明     PA Firewall には強力なセキュリティイベントの可視化機能が多数あり、その中でも ACC は、ネットワーク内のアクティビティに関する実用的なインテリジェンスを提供する強力な分析ツールです。     ACC の基本的な使い方や各種ログの絞り込み方法をご紹介した後に、いくつかの脅威イベントの例を用いて、ある脅威が発生した場合の確認ポイントをご紹介します。    弊社提供の正式ドキュメントと併用して頂き、日々のインシデントの対応にご活用ください。     ※ )            以下の設定画面は PAN-OS 8.0 を基にしています。 適用する PA の OS が異なる場合は、該当する OS のドキュメントを参照してください。
記事全体を表示
Masahiko ‎11-13-2017 11:48 PM
9,526件の閲覧回数
0 Replies
1 Like
FAQ - Office 365アプリケーションのアクセスコントロール ※この記事は以下の記事の日本語訳です。 FAQ - Office 365 Access Control https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949   2016年8月29日週、Palo Alto NetworksはMicrosoft ®  Office 365™アプリケーションID変更をリリースしました。我々のお客様に、変更の準備と、変更による問題を避けるために、Palo Alto Networksは以下の代理アプリケーションIDとデコード・コンテキストをアプリケーション、脅威コンテンツアップデート597でリリースします。既存のOffice 365ポリシーが8月29日週以降も有効に働くために、このドキュメントを読み、深く理解することを推奨します。   新アプリケーション(現時点で、仮設定のみ): office365-enterprise-access office365-consumer-access  新デコード・コンテキストカスタムアプリケーション・シグネチャーのパターンマッチング (現時点で、仮設定のみ): http-req-ms-subdomain   よくある質問とその回答:   Q. なぜPalo Alto Networksこの変更を実施したのか? A. 現在はOffice 365を安全に使用にするために、我々のお客様は、 “ms-office365”と“ms-onedrive”アプリケーションIDをご使用いただいています。しかしながら、我々は、お客様が以下の目的を達することを求められていることを認識しています。   企業向け、一般ユーザー向けOffice 365をネットワーク内で可視化する必要性 特定の承認された企業向けOffice 365 アカウントを許可し、承認されていないOffice 365 アクセス(承認されていない企業向けOffice 365アカウントもしくは、一般ユーザーアカウント)をブロックする 一般ユーザーアカウントでのOffice 365 サービスへのアクセスをブロック “sharepoint-online” 共有機能でcross-tenantをコントロールまたは制限したい   Q. この変更によって得られる新しい機能は何ですか? A. お客様がこの変更によって得られる新しい変更は以下になります: 企業向け、一般ユーザー向けOffice 365をネットワーク内で可視化 特定の企業向けOffice 365ログイン用のカスタムアプリケーションを作ることができます。このアプリケーションIDはドメイン名を使った企業向けoffice 365ログインアカウントで、例えば、ユーザーがoffice 365にuser@mydomain.org、user@mydomain.comもしくはuser@mydomain.onmicrosoft.comといったログイン名でアクセスした場合に、カスタムアプリケーションは “mydomain” といったドメイン名をチェックできます。作成されると、このアプリケーションIDは既存のOffice 365アプリケーションIDに設定することができ、このアプリケーションは認証された企業アカウントを使ったOffice 365へのアクセスに限定します。 一般ユーザーアカウントでのOffice 365 サービスへのアクセスをブロック “sharepoint-online” 共有機能でcross-tenantをURLフィルタリングかカスタムアプリケーションIDによる制御   Q. この機能を利用するためにSSL復号化機能を有効にする必要がありますか? A. はい、SSL複合化機能を有効にする必要があります。   Q. SSL復号化機能をOffice 365 トラフィックで使用していない場合、この変更の影響をうけますか? A.  SSL複合化機能をOffice 365 トラフィックで使用していない場合この変更の影響を受けません。   Q. 上位ネットワークでSSL復号化機能が動作し、ファイアウォールが複合化トラフィックを受信している場合、影響を受けますか? A. はい、この変更の影響を受けます。以下に示している推奨設定変更を実行してください。   Q. Office365 インスタンスの特定アカウントの “Custom Application” はどのようにつくりますか? A. ステップ 1. Objects > Applicationsと進み、 “Add” をクリックして以下のように値を設定します。        ステップ 2.  “Signatures” タブをクリックし、以下のように値を設定します。     ステップ 3. 設定を保存し、コミットします。   Q. この変更によりどのような影響をうけますか? どのようにしてOffice 365 アプリケーションを継続して使用することを保証できますか? A. 7月6日のコンテンツアップデートによって、Palo Alto Networksは “office365-enterprise-access” と “office365-consumer-access” を仮設定のアプリケーションIDとしてアプリケーション・カタログに追加します。これらのアプリケーションID配布は仮設定用で、我々のお客様に事前に必要な設定変更を事前に行うことができます。これらの2つの仮設定用アプリケーションIDは、8月29日の週のコンテンツアップデートが発生して動作し始めるまで、ファイアウォールのポリシーチェックに何ら動作影響はいたしません。 Palo Alto Networksはこれらの仮設定を正式なアプリケーションID “office365-enterprise-access” と “office365-consumer-access” 8月29日の週に変更します。               この移行期間による、Palo Alto Networksのタイムラインの概要は以下です: 2016年7月5日の週: Palo Alto Networksは仮設定用の “office365-enterprise-access” と “office365-consumer-access” アプリケーションIDをコンテンツアップデートで提供します。このリリースバージョンでは、仮設定用のカスタム・デコード・コンテキスト “http-req-ms-subdomain” も提供されます。 上記で示したように、これはカスタムアプリケーションIDがOffice 365にアクセスする特定の承認された企業向けアカウントを特定する目的で使われます。これらの2つのアプリケーションIDとカスタムアプリケーションIDはファイアウォールのポリシーにアップデートされこの変更アナウンスの準備としてご使用いただくことができます。 全てのOffice 365アクセスを許可する暫定のポリシー例     承認された企業アカウントによるOffice 365アクセスのみを許可するカスタムアプリケーションIDのポリシー例        全ての企業アカウントによるOffice 365アクセスのみを許可するポリシー例     8月29日週のコンテンツ・アップデートによりPalo Alto Networksは “office365-enterprise-access” と “office365-consumer-access” アプリケーションIDが動作します。これらのアプリケーションIDは設定されたポリシーによってOffice 365サービス宛のトラフィックにチェック、実行されます。もし上記のガイダンスのように変更されれば、Office 365サービスに対するアクセスコントロールを実施できます。   Q. もし “office365-enterprise-access” を追加しなかったり、Office 365企業向けログイン、カスタムアプリケーションIDを作らなかったらどうなりますか? A . もし “office365-enterprise-access” やOffice 365企業向けログイン、カスタムアプリケーションIDを許可しなかった場合、Office365サービスが動作しません。我々は8月29日週に配布されるアップデートの準備として、上記の設定に携わることを強くお勧めします。   Q. “office365-consumer-access” アプリケーションIDをポリシーに追加しなければどうなりますか? A. “office365-consumer-access” を明確に許可しない場合、ユーザーは一般ユーザー向けのOffice 365サービスにアクセスできなくなります。我々は8月29日週に配布されるアップデートの準備として、上記の設定に携わることを強くお勧めします。   Q. 既存の “ms-office365” と “ms-onedrive” アプリケーションIDにどのような影響がありますか? A. 既存のアプリケーションIDは8月28日まで動作します。しかし、8月29日週のコンテンツ・アップデートにより、ms-office365アプリケーションID向けのユーザーログインは、 “office365-enterprise-access” もしくは “office365-consumer-access” と識別されます。そのため、これらのアプリケーションIDが存在するセキュリティポリシーを上記の推奨のように設定変更してください。   Q. どのバージョンのPAN-OSがこの変更の影響を受けますか? A. すべての現行のサポートバージョンのPAN-OSが8月29日週のコンテンツ・アップデートによって影響を受ける可能性があります。   Q. 上記の設定変更をおこなったが、新しいアプリケーションIDや起因するカスタムアプリケーションIDが見えません A. これらは、8月29日週のコンテンツ・アップデートにより、仮設定のアプリケーションIDやデコード・コンテキストが有効動作します。それまで、これらの仮設定は8月29日週の変更のアシスタント、アイデアとしてご利用になれます。   See also Microsoft Office 365 Access Control Field Support Guide   著者: msandhu
記事全体を表示
kkondo ‎11-12-2017 07:00 PM
6,917件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 App-IDs for SSL-Secured Versions of Well-Known Services https://live.paloaltonetworks.com/t5/Configuration-Articles/App-IDs-for-SSL-Secured-Versions-of-Well-Known-Services/ta-p/57428   詳細 LDAP、IMAP、POP3、SMTP、そしてFTPのような多くのwell-known ポートを使用したサービスが、それらの標準のポートとは異なる代替のSSL用ポートで稼働する、SSLによるセキュアなバージョンが利用可能となっています。これらのすべての場合においてトラフィックはPalo Alto Networks 次世代ファイアウォールのApp-IDにより、'ssl'アプリケーションとして識別されます。   これらのサービスを許可するセキュリティ ポリシーを作成する、いくつか異なるアプローチがあります。以下の記載をご覧ください。 これらのプロトコルでサポートされるStartTLSを使用します。StartTLSについてはhttps://ja.wikipedia.org/wiki/STARTTLS / http://en.wikipedia.org/wiki/STARTTLSをご覧ください。 この場合SSL用に変更したポートでのはない標準のポートにて、'ssl'としてではなく該当するプロトコル(ldap、imap、pop3など)にそれぞれ識別されます。 SSL用に変更されたポートのサービス オブジェクト(S MTPS:TCP/465、IMAPS:TCP/993、POP3S:995、 FTPS:TCP/990 )を作成し、それらのサービスの'ssl' App-IDをセキュリティ ポリシー上で許可します。 サーバー証明書をもとにカスタムアプリケーションを 作成します。   Custom Application for SSL-based traffic をご覧ください。 復号を有効にすると、これらは対応するApp-ID(smtp、imap、pop3など)で識別されます。   参照 SSL Decryption設定と試験方法   著者: savasarala
記事全体を表示
TShimizu ‎11-06-2017 05:55 PM
4,834件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Change the Default Management Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Default-Management-Port/ta-p/62333   概要 デフォルトのマネジメント ポート以外からのどのポートからも、  Palo Alto Networksファイアウォールへのアクセスを許可することは可能です。この文書はTrustゾーンのloopbackインターフェイスを使用した、UntrustゾーンからのHTTPSとSSHでのファイアウォールへのアクセス方法について記載します。     手順 ファイアウォール上でloopbackインターフェイスを設定し、必要なタイプのアクセスを許可するインターフェイス管理プロファイルを割り当てます。 注: - アクセスを許可するインターフェイス管理プロファイルはUntrustインターフェイスではなく、loopbackインターフェイスにのみ設定する必要があります。The management profile permitting access only needs to be on the loopback interface, and not the Untrust interface.            - loopbackインターフェイスに割り当てるIPアドレスは、データ プレーンあるいはマネジメント プレーンとは異なるユニークなものとしてください。 ファイアウォールへのアクセスを許可するデフォルトでないポートのためのユーザー定義のサービスを設定します。この例ではTCP/7777をHTTPSに、TCP/7778をHTTTPに割り当てます。 ユーザー定義のポートをデフォルトのアクセスのポートに変換するNAT ポリシーをそれぞれ設定します。 Untrustインターフェイスへのインバウンド アクセスを許可するセキュリティ ポリシーを設定します。このセキュリティ ポリシーに、特定のポートを許可する設定としても構いません。 変更をコミットします。 コミットが完了すると、アクセスを許可するユーザー定義のポートを使用して、Untrustインターフェイス経由でのファイアウォールへのアクセスが可能となります。   著者: tasonibare
記事全体を表示
TShimizu ‎11-06-2017 05:54 PM
6,992件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Show System Resource Command Displays CPU Utilization of 9999% https://live.paloaltonetworks.com/t5/Management-Articles/Show-System-Resource-Command-Displays-CPU-Utilization-of-9999/ta-p/58149   症状 PAN-OS CLIにて  show system resources  コマンドを実行すると、topプロセスの出力で9999%の CPU使用率が表示される。   以下が出力例です。 > show system resources   top - 09:41:01 up 11 days, 14:40,  2 users, load average:   0.00, 0.00, 0.00 Tasks: 138 total,   3 running, 134 sleeping,   0 stopped,   1 zombie Cpu(s):  0.2%us,  0.1%sy, 0.0%ni,   99.7%id,  0.0%wa,  0.0%hi, 0.0%si,  0.0%st Mem:   4055392k total,  3643912k used,   411480k free,   366956k buffers Swap:  2007992k total,        0k used,  2007992k free,  2340368k cached     PID USER      PR NI  VIRT  RES SHR S %CPU %MEM    TIME+  COMMAND 2359 root      20 0  430m 251m 6068 S   9999   25.9   4:57.37 mgmtsrvr     1 root      20 0  1772  560 492  S    0  0.0   47:29.14 init     2 root      20 0     0    0 0    S    0  0.0   0:00.00 kthreadd     3 root      RT 0     0    0 0    S    0  0.0   0:06.82 migration/0     4 root      20 0     0    0 0    S    0  0.0   0:00.00 ksoftirqd/0     5 root      RT 0     0    0 0    S    0  0.0   0:06.78 migration/1     6 root      20 0     0    0 0    S    0  0.0   0:00.00 ksoftirqd/1   原因 9999の値は   show system resources  ( Linux "top"と同等)コマンド実行時に誤った計算が行割れたことに寄るものと考えられます。正しい出力は数回コマンドを実行し直すと表示されます。上記の出力例では正しい使用率の値は表示の上部で見ることができます。load averageが0.00で、cpu情報は99.7%がidleとなっています。     著者: kkondo
記事全体を表示
TShimizu ‎11-06-2017 05:52 PM
5,111件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Improve Performance for Protocols like SMB and FTP Without Application Override https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Improve-Performance-for-Protocols-like-SMB-and-FTP/ta-p/60544     概要 SMBやFTP ファイル転送は多量の双方向トラフィックを生成します。SMBはほとんどすべてのデータ パケットの生成毎に、応答パケットを生成し、それゆえにやりとりが多くなります。Palo Alto Networksファイアウォールは、デフォルトでクライアント→サーバー方向(C2S)とサーバー→クライアント方向(S2C)の双方向を検査をします。これによりファイアウォールを通過するSMBやFTPファイル転送は遅くなりがちです。   トラフィックのパフォーマンスを向上する方法の一つとして、レイヤー7の検査とアプリケーション識別を行わないようにする、アプリケーション オーバーライドを使用する方法があります。   もしレイヤー7の検査が必要、かつパフォーマンス向上が必要な場合は、関連のトラフィックが該当するセキュリティ ポリシーにて'サーバー レスポンス検査の無効化(DSRI)'オプションをチェックする方法があります。これは該当のサーバーが信用できる場合にのみチェックされるべきです。 'サーバー レスポンス検査の無効化(DSRI)'がチェックされると、ファイアウォールはC2Sのトラフィックのみ検査し、転送レートが向上します。   詳細 'サーバー レスポンス検査の無効化(DSRI) ' を有効にするには、WebUIにてPolicies > セキュリティ > アクションに移動する必要があります。   ポリシーが作成されると、 'サーバー レスポンス検査の無効化(DSRI) ' オプションがチェックされたことを示すアイコンがセキュリティ ルール上に表示されます。   著者: kadak
記事全体を表示
TShimizu ‎11-06-2017 05:51 PM
5,634件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Error During Installation: "An instance of GlobalProtect is already present on the system." https://live.paloaltonetworks.com/t5/Configuration-Articles/GlobalProtect-Error-During-Installation-quot-An-instance-of/ta-p/51937   問題 GlobalProtectクライアントをアンインストールし、新しいクライアントをインストールしようとすると、次のメッセージが表示される: "An instance of GlobalProtect is already present on the system. Uninstall the current version before attempting to install the new version of GlobalProtect"   解決方法 以下のレジストリ パス内のレジストリ項目を削除します(Windows OS): HKEY_LOCAL_MACHINE\Software\Palo Alto Networks\ GlobalProtect \PanGPS Windowsのコマンドラインから管理者として以下のコマンドを実行する: sc delete PanGPS 該当のコンピューターを再起動します。   これでGlobalProtectクライアントは該当のコンピュータより完全に削除され、新しいクライアントは問題なくインストールできるようになります。   著者: shasnain
記事全体を表示
TShimizu ‎11-06-2017 05:47 PM
4,232件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Receive Email Threat Notification from the Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Receive-Email-Threat-Notification-from-the-Firewall/ta-p/58911     脅威検知を電子メールで通知するログ転送プロファイルを作成するには、以下を設定します。 電子メール サーバー プロファイルの設定。 ログ転送 プロファイルの作成。 関連するセキュリティ ポリシーに脅威プロファイルを割り当てます。 関連するセキュリティ ポリシーにログ転送プロファイルを割り当てます。   電子メール サーバー プロファイル Device > サーバープロファイル > 電子メールに移動し、"追加"をクリックして以下の例で示す情報を入力します。(訳注1) 名前: 電子メール設定の名前を入力 サーバー: 電子メールサーバーのラベルを半角1-31文字で入力。 表示名: 電子メールの送信者フィールドに表示される名前 送信者 IP(訳注2): 送信者となる電子メールアドレスを入力。 宛先: 受信者の電子メールアドレスを入力。 Cc: 他の受信者の電子メールアドレスを入力(オプション)。 ゲートウェイ: Simple Mail Transport Protocol のIPアドレス、またはホスト名を入力。   ログ転送プロファイル Objects > ログ転送に移動します。 以下の例で示す情報を入力します。   セキュリティ ポリシー 以下の例で示すとおりトラフィックに関する既存、または新しいルールを作成します。 名前: Outbound 送信元ゾーン: TrustL3 宛先ゾーン: UntrustL3 プロファイル: アンチウイルス: Default 脆弱性防御: Default URL フィルタリング: Default   脅威プロファイルの割当 まだ設定していない場合は、セキュリティ ルールに脅威プロファイルを割り当てます。   ログ転送プロファイルの割当 ログ転送プロファイルをセキュリティ ポリシーに適用します。 オプションからログ転送プロファイルを選択してください。          変更をコミットします。 ポリシーをテストするには、ワークステーションからテスト ウイルスのダウンロードを試みます。例えばeicar.orgからテストファイルをダウンロードします。 脅威プロファイルのアクションが'block'に設定していれば、ブロックページがブラウザ上で表示されます。 脅威ログをチェックするために、 Monitor > ログ > 脅威に移動します。 該当のトラフィックがきっかけとなり、電子メールが送信されます。   訳注1:英語、日本語ともPAN-OS Version毎に項目の名称に差異があります。本文書はPAN-OS 7.0に準拠しています。 訳注2:英文では本項目は"From"であり、送信者 ”IP"は日本語GUI上の誤記となります。PAN-OS 8.0から"送信者"に修正しています。   著者: ppatel
記事全体を表示
TShimizu ‎11-06-2017 05:46 PM
5,965件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Global Protect Gateway on Loopback Interface with iPhone Access https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Global-Protect-Gateway-on-Loopback-Interface/ta-p/56866   httpsでないGlobal Protectポータルの使用に加えて、loopbackインターフェイスに紐付けられたゲートウェイにアクセスすることが可能です。Publicネットワークで使用できるIPアドレスが一つのみしかなく、OWAのようなSSLベースのアプリケーションをそのIPでもホストしたい場合、以下の設定手順を参照してください。 別のナレッジ記事   How to Configure GlobalProtect Portal Page to be Accessed on any Port   も参照してください。1つ目のloopbackインターフェイスに加えて、ポータルのために2つ目のloopbackインターフェイスが必要になるでしょう。   追加のloopbackインターフェイスの作成 untrustに属するインターフェイスから、loopbackに対してPingが可能であることを確認しておきます。 > ping source 99.7.172.157 host 10.1.1.     PING 10.1.1.2 (10.1.1.2) from 99.7.172.157 : 56(84) bytes of data.     64 bytes from 10.1.1.2: icmp_seq=1 ttl=64 time=0.126 ms     64 bytes from 10.1.1.2: icmp_seq=2 ttl=64 time=0.068 ms         loopbackインターフェイスをポータルのアドレスとして割り当てます。 loopback.1インターフェイスをゲートウェイのアドレスとして割り当てます。   以下のサービス群、およびそれらを含むサービスグループの作成 これらのサービスはゲートウェイのループバックインターフェイスにてアドレス変換されます。この例では、宛先とするポートは500 (ike/ciscovpn), 4501 (ipsec-esp-udp)です。 定義済みのservice-httpsに加えて、2つのカスタムサービスが"gateway"サービス グループ プロファイルに追加されています。   サービスの作成     サービス グループ オブジェクトへのサービスの追加 必要なセキュリティ ポリシーを作成します。 先のナレッジ記事に記載したとおり、SSL標準ポート宛でないトラフィックを最初のループバック インターフェイスにリダイレクトするためのルールが必要です。 ここではGPポータルはポート443ではなく、ポート7000でアクセスできます。このルールの下に、ゲートウェイへのike、ipsec、panos-global-protect、sslそしてweb-browsingをそれぞれ許可するルールを作成します。       2つ目のループバック インターフェイス(loopback.1)にトラフィックを向けるNATポリシーを作成します。 loopback.1インターフェイスに先に設定した10.1.1.2にトラフィックを向けるために、この例ではgateway サービス グループを使用します。       ゲートウェイ上でのiPhone/iPad用の設定 'X-Auth サポート'を有効化してグループ名とグループ パスワードをそれぞれ設定します。これはモバイル機器のVPNプロファイル設定の際に利用されます。     VPNプロファイルを先の手順で設定した共有秘密鍵を使用して作成します。該当のプロファイルのパスワードは選択した認証方式と合わせる必要があります。(LDAP、Kerberos、ローカル データベースなど)   モバイル デバイスと同様に Global Protectクライアント経由でのアクセスを確認します。   > show global-protect-gateway current-user           GlobalProtect Name : gp-gateway (2 users)         Domain User Name      Computer        Client          Private IP      Public IP      ESP    SSL    Login Time      Logout/Expiration TTL       Inactivity TTL         ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      -----------   ---               \renato          PAN01347        Windows 7 (Version 6.1 Build 7601 Service Pack 1)10.10.10.2      64.124.57.5    exist  none    Oct.02   06:04:01 Nov.01 06:04:01  2589926  9641               \renato          64.124.57.5    iPhone OS:6.0  10.10.10.1      64.124.57.5    exist  none    Oct.02 06:38:33 Oct.02 07:39:33  3657       10798     著者: rkalugdan
記事全体を表示
TShimizu ‎11-06-2017 05:43 PM
4,341件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Block the Psiphon Application https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Block-the-Psiphon-Application/ta-p/52256   問題 Psiphonのトラフィックを止めるには、複数のアプリケーションをブロックする必要があります。   解決策 Psiphonは検閲回避のためのトンネリングアプリケーションですが、コミュニケーションに追加の保護を加えません。Psiphonのサイトでは  「Psiphonは通常フィルターされているコンテンツへアクセスするチャネルを提供します。Psiphonはセキュアなコミュニケーション環境の代替手段とはなりません。Psiphonはセキュアなe-mail、暗号化ハード ドライブ、あるいはend-to-endの匿名性を提供することはありません。」(訳注)と記載されています。   訳注:上記のPsiphonサイトの引用原文"Psiphon is designed to provide a channel to access content that is normally filtered. It is not a replacement for a secure communication environment. Psiphon will not secure e-mail, encrypt hard drive, or provide the user with end-to-end anonymity."は本ドキュメントの原文作成時点での記載です。現在のPsiphonのサイトの記載は、一部変更されています。   Psiphonは以下の3つのプロトコルを使用します: 新しい版のドキュメンテーションに基づいたHTTPプロキシー。SSLのサポートが追加されています。 SSH VPN: Ike/Ipsec/l2tp Psiphonをブロックするには、内部セグメントのVPNトラフィックに加えて、SSLとSSHの復号化もブロックしなければなりません。内部のユーザーのVPN関連アプリケーションのみをブロックすることが大変重要です。広範に渡るルールの追加は、リモートサイトとの接続性の問題の原因となる可能性があります。   著者:ppolizzi  
記事全体を表示
TShimizu ‎11-06-2017 05:41 PM
2,868件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Differences between DoS Protection and Zone Protection https://live.paloaltonetworks.com/t5/Learning-Articles/Differences-between-DoS-Protection-and-Zone-Protection/ta-p/57761   DoS プロテクション ポリシーは ある程度はゾーン プロテクションと同等の目的を達するために使用されますが、いくつか主要な違いがあります。 大きな違いはClassifiedとAggregateがDoS プロテクション ポリシーにあることです。ゾーンプロテクションではAggregateが利用可能です。 Classifiedのプロファイルは一つの送信元 IPに対する閾値の作成を可能とします。 例:ポリシーにマッチするすべてのトラフィックに対して、IPごとの最大セッション レートを設定し、一つのIPアドレスが閾値に達したらブロックする。 Agregate プロファイルはポリシーにマッチするすべてのトラフィックに対しての最大セッション レートの作成を可能とします。閾値はすべてのIPを合わせた新規セッション レートに対して適用されます。閾値に達するとすべてのマッチするトラフィックに適用されます。 ゾーン プロテクション ポリシーはフラッド防御とポートスキャニング/スイープとパケットベース攻撃に対して防御することが可能となります。例としてIPスプーフィング、フラグメント、オーバーラッピング セグメント、 tcp-non-syn拒否が挙げられます。 ゾーン プロテクション プロファイルは、セッション生成前に適用されてポリシー エンジンの処理に入らないため、パフォーマンスへのインパクトが小さくなります。   著者: jteetsel
記事全体を表示
TShimizu ‎09-12-2017 11:08 PM
8,682件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Import and Export Address and Address Objects https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Import-and-Export-Address-and-Address-Objects/ta-p/56124   詳細 この文書は、あるファイアウォールから別のファイアウォールへのアドレスとアドレスオブジェクトを再度手動で定義し直すことなく、インポート/エクスポートする方法を記載します。複数のパロアルトネットワークス ファイアウォールが異なるサイトにあり、既存のアドレスおよびアドレスグループ設定を活用したい状況を想定しています。   手順 既存のファイアウォールにアドレスとアドレス オブジェクトがあることを確認します。 CLIから設定の出力フォーマットを'set'として、アドレスとアドレスグループ 情報を抽出します。 > set cli config-output-format set > configure Entering configuration mode [edit] # show address set address google fqdn google.com set address google description "FQDN address object for google.com" set address mgmt-L3 ip-netmask 10.66.18.0/23 set address mgmt-L3 description "IP Netmask address object for mgmt-L3" set address trust-L3 ip-netmask 10.66.20.0/23 set address untrust-L3 ip-netmask 10.66.24.0/23 set address dmz-L3 ip-netmask 10.66.22.0/23 [edit] # show address-group set address-group Inside static [ dmz-L3 mgmt-L3 trust-L3 ] set address-group Outside static [ google untrust-L3 ] [edit] 上記の出力から全ての'set' コマンドをメモ帳などでファイルに保存し、他のファイアウォール向けに編集します。アドレス グループについては、'[]'部分も含めて全てsetコマンドをコピー/ペーストするようにしてください。 他のファイアウォールのCLIにログインし、CLI 設定出力フォーマットを 'set' として、コマンドの出力結果をコンフィグレーションモードでペーストします。 > set cli config-output-format set > configure # <paste all the set commands here> # commit   著者:  kadak
記事全体を表示
TShimizu ‎06-12-2017 11:58 PM
8,882件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Troubleshoot Terminal Server Agent Problems https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Troubleshoot-Terminal-Server-Agent-Problems/ta-p/57247   問題 多くのユーザーが同じIPアドレスを使用するため、ターミナルサーバーでユーザー単位でのトラブルシューティングの実施は困難な場合があります。IPアドレスベースのフィルタを利用できますが、これは単一ユーザの情報を提供しません。 詳細については次のリンクを参照してください:How to Run a Packet Capture 効果的にフィルタリングするには、ユーザーごとに割り当てられた送信元ポートの範囲に注目します。   解決方法 ターミナルサービスエージェントのユーザーのソースポート割り当て範囲を確認します。フィルタの 'src port range' の値にこのデータを使用します。 以下に示す Wireshark フィルタを使用して、デバッグ目的でパケットキャプチャ内の特定のユーザのトラフィックを調べることも可能です。     tcp.dstport >= 開始送信元ポート範囲 and tcp.dstport <= 終了送信元ポート範囲 or tcp.srcport >= 開始送信元ポート範囲 and tcp.srcport <= 終了送信元ポート範囲     注:下線付きの部分の値は、この箇条書きの最初の項目で収集した数値に置き換える必要があります。 監視対象のゾーンで User-ID が有効になっていることを確認します。ユーザー識別機能を有効にすることで、ユーザーIDエージェントとTSエージェント機能の両方が有効になります。 次のCLIコマンドを使用して、ターミナルサーバーエージェントの状態を確認します。 (正しく動作している場合、下段の表示となります): > show user ts-agent statistics 次のCLIコマンドを使用して、ユーザからポートへのマッピングを確認します: > show user ip-port-user-mapping all   User IP-Address Vsys Port-Range ---------------------------------------------------------------------------- test1 10.1.200.1 vsys1 20000-20500 test2 10.1.200.1 vsys1 20500-21000 21500-22000 test3 10.1.200.1 vsys1 21000-21500   ターミナルサーバーエージェントは、トラブルシューティングに役立つログファイルを管理しています。ログファイルは、File > Show Logs で表示できます。詳細情報を有効にするには、 File > Debug に進み、Verbose を選択します。より詳細なメッセージがログ内に表示されるようになります。 owner: kattaullah
記事全体を表示
dyamada ‎06-07-2017 10:33 PM
6,825件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009 https://live.paloaltonetworks.com/t5/Management-Articles/Error-Failed-to-connect-to-User-ID-Agent-at-x-x-x-x-x-x-x-x-5009/ta-p/60880   問題 ターミナルサーバーエージェントへの接続が、次のシステムログ内のエラーとともに失敗します:"Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009"。このドキュメントでは、このエラーが出た後に TS エージェントに接続する手順を含みます。   解決方法 ターミナルサーバーエージェントがファイアウォールとの接続できない場合、以下の手順に従います。 設定について、次のドキュメントで記載されている内容に沿って確認します。 How to Install and Configure Terminal Server Agent ファイアウォールとターミナルサーバーエージェント双方のリスニングポートが一致しているか確認します。 TS エージェントに ACL リストが設定されている場合、ファイアウォールの IP が許可されていることを確認します。また、許可リストがファイアウォールのマネジメントインターフェイスに設定されている場合には、TS エージェントが許可されていることを確認します。 注:デフォルトでは、リストが指定されていない場合は全ての IP を許可します。 ファイアウォールの設定を Commit します。 ファイアウォールに接続ができるよう、TSエージェントがインストールされているマシンの Windows Firewall を無効にします。   著者: bsyeda
記事全体を表示
dyamada ‎05-09-2017 11:10 PM
8,508件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create Subordinate CA Certificates with Microsoft Certificate Server https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Create-Subordinate-CA-Certificates-with-Microsoft/ta-p/58046   概要 この文書はMicrosoft Certificate Serverを使用した下位CA証明書の作成方法について記載します。 " http:// <IPアドレスまたはサーバー名>/certsrv"をブラウザで開き、サーバーの画面にアクセスします。 "Welcome"画面にて、"Request a Certificate"を選択します。 次の画面で"advanced certificate request"を選択します。 "Create and Submit a request to the CA"を選択します。 次の画面のフォームで、"Certificate Template"のプルダウン メニューから"Subordinate Certification Authority"を選択します。証明書のための必要事項を入力します(名前、連絡先など)。申請を行うとローカル システムに証明書をダウンロードするためのリンクが表示されます。 ダウンロード後、ローカルの証明書ストアから証明書をエクスポートします。"Internet Options"画面にて"Content"タブを選択し、"Certificates"ボタンをクリックします。新しい証明書をPersonal証明書ストアからエスクポートすることができます。 "Certificate Export Wizard"を表示するには、"Export"ボタンをクリックします。 "Certificate Export Wizard"画面にて、"Yes, export the private key"を選択し、続いてフォーマットを選択します。パスワードとファイル名、保存場所を指定します。   Microsoft Certificate Serverは、おそらく証明書をPFXフォーマット(PKCS #12)で提供しています。 証明書をPEMフォーマットでエクスポートするには、以下の手順で行います。 openSSLを使い、 openssl pkcs12 –in pfxfilename.pfx –out tempfile.pem と入力します。 "tempfile.pem"をテキスト エディターで開きます。 -----BEGIN RSA PRIVATE KEY----- で始まっているセクションを見つけます。 -----END RSA PRIVATE KEY----- までの全テキストを選択し、新しいファイルに貼り付けて、拡張子".key"をつけて保存します。 ".pem"ファイルからそれ以外のテキストをコピーし、別のファイルに貼り付け、拡張子".crt"をつけて保存します。 上記の手順により、keyファイルと証明書をインポートすることができます。   CLIコマンド お客様のルートCAがWebインターフェイスを備えていない場合もあり、その場合はCLIを通して 同じ操作を 行うことができます。 Microsoft CAにおけるコマンド:   certreq -submit -attrib "CertificateTemplate:SubCA" <certificate-signing-request>.csr   このコマンドを入力することでGUIプロンプトが表示され、そのプロンプトで申請するCAを選択します。通常、同じサーバ上にはルートCAは1つだけなので、表示されているCAを選択します。 その後、該当する申請がCAサーバーの保留中の申請の中に表示されます。     著者:panagent
記事全体を表示
hshirai ‎04-03-2017 08:33 PM
7,194件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure LDAP Server Profile https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-LDAP-Server-Profile/ta-p/58689   手順 Device をクリック Server Profiles 配下にある LDAP をクリック Add をクリックして LDAP Server Profile ダイアログを表示 Server名、IP Address、ポート番号を入力 (389 はLDAP) LDAP サーバー type をドロップダウン メニューから選択。ドメインのベース識別名 (Base Distinguished Name) を入力。バインドDN と そのサーバー アカウントのバインド パスワードを入力。SSL のチェックボックスをはずす。 (ドメイン コントローラーが ポート 636 で LDAP SSL を待ち受けている場合、SSLが利用可能) 変更をCommit   著者: bnelson
記事全体を表示
dyamada ‎03-19-2017 11:42 PM
5,492件の閲覧回数
0 Replies
この記事は以下の記事の日本語訳です。 Incorrect QoS Configuration Caused Network Traffic Outage https://live.paloaltonetworks.com/t5/Configuration-Articles/Incorrect-QoS-Configuration-Caused-Network-Traffic-Outage/ta-p/62576 問題 特定のクラスに対してQoSプロファイルにて帯域を制限しようとすると、QoS機能により通信障害が発生する。   詳細 以下の例は、QoSを使用するインターフェイスに関連付けられた誤った設定の例です。 この例のシナリオでは、10Gbインターフェイスが使用されており、上記のスクリーンショットは最大保証帯域 出力側を100Mbpsと設定していることを示します。プロファイル部の最大保証帯域 出力側には、この10Gbインターフェイスを通過するトラフィックのための、すべてのクラスに対しての最大の出力帯域を設定します。   多くの場合に、上記の設定がユーザーより重度の輻輳や通信断の振る舞いとして報告される問題の原因となっています。   解決策 QoSプロファイルを設定するときは、該当のインターフェイスに流れ込む総合的な帯域を考慮し、最大保証帯域 出力側を慎重に設定する必要があります。前述の意図した設定は、class7 のトラフィックを最大保証帯域 出力側を100、そして最低保障帯域 出力側を10とすることでしたが、他のすべてのトラフィックも該当インターフェイスの残りの帯域を使用します。   以下のスクリーンショットは、プロファイルの最大保証帯域 出力側を10000Mbpsとし、class7 トラフィックの最大保証帯域 出力側を100、最低保障帯域 出力側を10とした 正しい設定です。   該当のQoS インターフェイス設定も正しい値で最大保証帯域 出力側が設定されている必要があります。   注: 必要なクラスのみをQoS プロファイルで設定するだけで構いません。他のトラフィックはデフォルトのclass4となります。   著者: fkhan
記事全体を表示
TShimizu ‎02-09-2017 07:16 PM
6,872件の閲覧回数
0 Replies
この記事は以下の記事の日本語訳です。 Using IP Address Lists on Palo Alto Networks Policies https://live.paloaltonetworks.com/t5/Configuration-Articles/Using-IP-Address-Lists-on-Palo-Alto-Networks-Policies/ta-p/57411     詳細 ファイアウォールのポリシーにて使用するIPアドレス リストおよびそのインポート手段には、複数の方法があります。   選択肢 定義済みの地域(Region)またはカスタムの地域の使用 定義済みの地域あるいはカスタムで作成した地域の使用法については How to Configure a Security Policy to Use a Region(訳注1)をご覧ください。 カスタムの地域は単体のIP(x.x.x.x)、範囲指定(x.x.x.x-y.y.y.y)ないしはIP/ネットマスク(x.x.x.x/n)となります。もしカスタムの地域を使用しており、そして隣接していないアドレス体系をWeb GUIかCLIで手動で追加した場合、CLI端末上でのコマンドのリストをコピーしたり、バッチ処理したりすることができます。   > configure # set region <RegionName> # set region <RegionName> address <IPAddress_01> where <RegionName> is a string (31 characters max) <IPAddress> is a list of values, an IP range, or ip/netmask   エントリーの削除 # delete region <MyRegion> address <IPAddress_nn>   使用しているすべての地域の削除 # delete region <MyRegion> 注: 変更後はコミットを実行してください。   FQDNアドレスオブジェクトの使用 DNS Aレコードは権威のない複数の回答に関連付けられます。Palo Alto Networks ファイアウォールは権威のない回答のうち最初の10個の回答のみを読み込んでキャッシュします。この動作の詳細はFQDN オブジェクトの設定およびテスト方法を参照してください。このソリューションは10個以上のIPアドレスがリストにある場合にはスケールせず、DNS問い合わせは設定されたDNSサーバーに到達するインターフェイスのIPアドレスを送信元として使用します。サービスルートを設定しない限りは、デフォルトの管理インターフェイスのアドレスがDNS問い合わせに使用されます。DNS サービスルートの設定とその注意点についてはDNS Service Route is Applied to All Traffic Going to DNS Server IP Addressを参照してください。     ダイナミック ブロック リスト(EBL)の使用(訳注2) この方法はウェブサーバー上へのテキストファイルのホスティングが必要となります。"繰り返し”オプションにて毎時、毎日、毎週、月次といった形での更新が可能です。ダイナミック ブロック リスト オブジェクトの作成後は、該当のアドレス オブジェクトをポリシーの送信元や宛先のフィールドに使用できます。インポートしたリストはIPアドレス(IPv4とv6の合計)、IPの範囲、またはサブネット指定です。エントリーの上限については 外部ブロック リスト (EBL) のフォーマットと制限の操作をご覧ください (訳注3)。また設定の詳細はDynamic Block List (DBL) や External Block List (EBL)の構成方法について をご覧ください。     ダイナミック アドレス グループの使用 ダイナミック アドレス グループを使うとPalo Alto Networks APIを活用できます。IPアドレスのリストはXMLフォーマットに準拠する必要があります。この方法は大変スケーラブルかつフレキシブルで、自動でダイナミック アドレス グループをサードパーティーのスクリプトで変更する場合に推奨されます。ダイナミック アドレス グループを使用する大きな利点は、既存のダイナミック アドレス グループに対してIPアドレスの追加や削除をコミットなしで迅速に行えることです。詳細は Working with Dynamic Address Groups on the Palo Alto Networks firewall をご覧ください。   スタティック アドレス グループの使用 アドレス オブジェクトはWeb GUI上で作成でき、アドレス グループに関連付けられます。この処理はCLIでバッチ化することも可能です。詳細は How to Add and Verify Address Objects to Address Group and Security Policy through the CLIをご覧ください。 > configure # set address <AddressObject_01> ip-netmask 1.1.1.1/32 # set address <AddressObject_02> fqdn my.example.com . . . # set address <AddressObject_nn> ip-range 2.2.2.2-3.3.3.3 # set address-group <AddressGroup> static [ <AddressObject_01> <AddressObject_02> ...<AddressObject_nn> ]   変更を有効にするためにコミットを実行してください。   注: <AddressObject> 部分は以下のフォーマットとなります。      <ip-range>      <ip/netmask>      <fqdn>   アドレス オブジェクトを削除するには以下のコマンドを使用してください。 # delete address <AddressObject_01> ip-netmask 1.1.1.1/32 # delete address <AddressObject_02> fqdn my.example.com . . . # delete address <AddressObject_nn> ip-range 2.2.2.2-3.3.3.3   注:アドレス オブジェクトは個別のエントリーであり、スタティック アドレス グループを削除しても、そのグループが参照するアドレス オブジェクトは削除されません。 以下のコマンドのいずれかでアドレス オブジェクトの関連付けを解除します。 # delete address-group <AddressGroup> static <AddressObject_nn> # delete address-group <AddressGroup> static ><AddressObject_01> <AddressObject_02> ... <AddressObject_nn> ]   すべてのグループを削除するには以下のコマンドを使用します。 # delete address-group <AddressGroup> static   変更を有効にするためにコミットを実行してください。   訳注1:原文では Palo Alto Networks Pre-defined Regions を参照していますが、現在このドキュメントは参照ができないため、本文中では別のドキュメントを参照しています。 訳注2:PAN-OS 7.1から"外部ダイナミック リスト"に名称を変更しています。 訳注3:参照ドキュメントを加えた上で、原文より記載を変更しています。   著者:mivaldi
記事全体を表示
TShimizu ‎02-09-2017 07:11 PM
11,337件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Split Tunneling for VPNC Client on Linux Distributions https://live.paloaltonetworks.com/t5/Configuration-Articles/Split-Tunneling-for-VPNC-Client-on-Linux-Distributions/ta-p/57244     概要 VPNCはオープンソースのサードパーティ IPsec VPNクライアントで拡張認証 (X-Auth) をサポートしており、組織内部ののネットワークへのアクセス用としてGlobalProtectゲートウェイへのVPNトンネルを確立します。PAN-OS 5.0.xから、以下のVPNクライアントがGlobalProtectのVPNアクセスのサポート対象となっています(訳注)。 Ubuntu Linux 10.04 LTS VPNC CentOS 6 VPNC この文書は、VPNCクライアントがGlobalProtectゲートウェイに接続される際、どのようにスプリット トンネリングが動作するのかを説明します。   詳細 VPNCクライアントから接続することができるネットワークを定義するために、あるいはVPN接続上で送られるトラフィックのため、(スプリット トンネリングとしても知られている) アクセス ルートを、GlobalProtectゲートウェイのクライアントの設定(訳注1:PAN-OS 7.1以降では[エージェント] > [クライアントの設定])に追加する必要があります。参照: GlobalProtect Configuration Tech Note アクセス ルートがGlobalProtectゲートウェイに設定されている時、すべてのアクセス ルートの内の1つの集約ルートが、VPNCクライアントに送られます。DNSサーバーのアドレスが含まれている場合、ルートを集約する際にはそれも考慮に入れなければなりません。   例: アクセス ルートが 10.66.22.0/23 と 192.168.87.0/24 のネットワークを含む場合、サードパーティのVPNCクライアントに送られる集約ルートは、デフォルト ルート 0.0.0.0/0 で、以下のように表示されます。 > show global-protect-gateway gateway name test_vpnc   GlobalProtect Gateway: test_vpnc (0 users) Tunnel Type          : remote user tunnel Tunnel Name          : test_vpnc-N         Tunnel ID                 : 7         Tunnel Interface          : tunnel.1         Encap Interface           : ethernet1/3         Inheritance From          :         Local Address             : 10.66.24.87         SSL Server Port           : 443         IPSec Encap               : yes         Tunnel Negotiation        : ssl,ike         HTTP Redirect             : no         UDP Port                  : 4501         Max Users                 : 0         IP Pool Ranges            : 172.16.7.1 - 172.16.7.7;         IP Pool index             : 0         Next IP                   : 0.0.0.0         DNS Servers               : 4.2.2.2                                   : 0.0.0.0         WINS Servers              : 0.0.0.0                                   : 0.0.0.0         Access Routes             : 10.66.22.0/23; 192.168.87.0/24;         Access Route For Third Party Client: 0.0.0.0/0         VSYS                      : vsys1 (id 1)         SSL Server Cert           : SERVER_CERT         Auth Profile              : vpnc_auth         Client Cert Profile       :         Lifetime                  : 2592000 seconds         Idle Timeout              : 10800 seconds   アクセス ルートが 10.66.22.0/23 と 10.66.12.0/23 のネットワークを含む場合、サードパーティのVPNCクライアントに送られる集約ルートは 10.66.0.0/19 で、以下のように表示されます。 > show global-protect-gateway gateway name test_vpnc   GlobalProtect Gateway: test_vpnc (0 users) Tunnel Type          : remote user tunnel Tunnel Name          : test_vpnc-N         Tunnel ID                 : 7         Tunnel Interface          : tunnel.1         Encap Interface           : ethernet1/3         Inheritance From          :         Local Address             : 10.66.24.87         SSL Server Port           : 443         IPSec Encap               : yes         Tunnel Negotiation        : ssl,ike         HTTP Redirect             : no         UDP Port                  : 4501         Max Users                 : 0         IP Pool Ranges            : 172.16.7.1 - 172.16.7.7;         IP Pool index             : 0         Next IP                   : 0.0.0.0         DNS Servers               : 10.66.22.77                                   : 0.0.0.0         WINS Servers              : 0.0.0.0                                   : 0.0.0.0         Access Routes             : 10.66.22.0/23; 10.66.12.0/23;         Access Route For Third Party Client: 10.66.0.0/19         VSYS                      : vsys1 (id 1)         SSL Server Cert           : SERVER_CERT         Auth Profile              : vpnc_auth         Client Cert Profile       :         Lifetime                  : 2592000 seconds         Idle Timeout              : 10800 seconds   注:VPNCクライアントに送られる集約ルートが、デフォルト ルート (0.0.0.0/0) である場合、VPNCクライアントは以下に表示されているように、スプリット トンネリングの設定をする必要があります。   VPNCクライアントを開き、[ IPv4設定] > [ ルート ] ボタンをクリックします。   必要なアクセス ルートを追加し、「そのネットワーク上のリソースのためにのみこの接続を使用」のチェックボックスにチェックが入っていることを確認します。 GlobalProtectによって送られた集約ルートは 0.0.0.0/0 ですが、接続は以下に表示されているように、10.66.22.0/23 ネットワークに対してのみ許可されます。 Linux ホストのターミナルからの出力結果: t un0   Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00        inet addr:172.16.7.1 P-t-P:172.16.7.1 ask:255.255.255.255        UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1        RX packets:0 errors:0 dropped:0 overruns:0 frame:0        TX packets:0 errors:0 dropped:0 overruns:0 carrier:0        collisions:0 txqueue1en:500        RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) VPNCクライアントに送られた集約ルートは 0.0.0.0/0 でしたが、192.168.87.0/24 のためのアクセス ルートは追加されませんでした。 tobby@VirtualBox:~$ ping 192.168.87.1 PING 192.168.87.1 (192.168.87.1) 56(84) bytes of data.   --- 192.168.87.1 ping statistics --- 3 packets transmitted, 0 received, 100% packet loss, time 2014ms   VPNCクライアントで、10.66.22.0/23 のために追加されたアクセス ルート tobby@VirtualBox:~$ ping 10.66.22.87 PING 16.66.22.87 (16.66.22.87) 56(84) bytes of data. 64 bytes from 10.66.22.87: icmp_req=1 ttl=61 time=6.87 ms 64 bytes from 10.66.22.87: icmp_req=2 ttl=61 time=2.02 ms   --- 16.66.22.87 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 2.021/4.450/6.879/2.429 ms   訳注:原文執筆時点の情報です。最新版の GlobalProtect(TM) Administrator's Guideご参照の上、都度現在のサポートバージョンをご確認ください。   著者:gchandrasekaran
記事全体を表示
hshirai ‎02-05-2017 11:59 PM
2,632件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set Up Shared Gateway and Inter VSYS https://live.paloaltonetworks.com/t5/tkb/articleeditorpage/tkb-id/ConfigurationArticles/message-uid/57370   概要 Palo Alto Networksは多くの組織にて必要とされる柔軟性のため、複数の仮想システムと、仮想システム間の通信機能をサポートしています。この文書では、業務用と家庭用に別の仮想ファイアウォールを必要とするのものの、仮想システムが同じISPを外部接続に共有する典型的な在宅勤務者の状況の2つの例を紹介します。両方のシナリオとも、双方の仮想システムが外部のISP接続を共有する状況をカバーし、相互の仮想システム(WORK_192とHOME_10)間の通信を許可します。   この文書ではこれらの機能を設定するための手順を示します。       論理構成 手順 パート1:仮想システムと共有ゲートウェイのセットアップ 最初に[Device] > [セットアップ] > [管理] > [一般設定] に移動し、マルチ仮想システム機能が有効になるようにチェックします。 2つの内部のインターフェイス ethernet1/2 (WORK_192) とethernet1/3 (zone: HOME_10)は別の仮想システムに設定されるべきです。 外部インターフェイス(ethernet1/1; zone: SHARED_UNTRUST)は手順4で共有ゲートウェイに設定するため、仮想システムに組み込まないでください。 注:この文書でインターフェイスをどう設定するか理解するために、概要に記載の論理構成をレビューしてください。 仮想システムの定義のため、Deviceタブで仮想システムを選択してください。[認識可能な仮想システム]列で互いの仮想システムが認識できるようにしてください。例えばvsys1 workはvsys2 homeが見えるように設定する必要があり、逆もまた可能なよう設定しなければなりません。 共有ゲートウェイを追加するため、[Device] > [共有ゲートウエイ]で名前とIDを割り当てます。インターフェイスを割り当てるため、[Network] > [インターフェイス]を選択し、仮想システムメニューから共有ゲートウェイを選択してください。この例ではethernet 1/1はISPからIPアドレスを提供された外部インターフェイスであり、従ってこれが設定される必要があります。 Networkタブからインターフェイスを選択してして、インターフェイスが適切に設定されていることを確認してください。 [Network] > [インターフェイス] 各インターフェイスが同じ仮想ルーター(この例ではAll-Routesという名称)に加わります。すべてのゾーンを同じ仮想ルーターに加えますが、その仮想ルーターは共有ゲートウェイや他の仮想システム間の通信を許可しません。これは後でStep8とパート2で紹介しますが、セキュリティポリシーで制御します。 [Network] > [仮想ルーター] 単一のISP上のネクストホップへのデフォルトルートを設定することが本文書の目的です。もし他にもルートが必要であれば、この仮想ルーターに追加してください。上記のスクリーンショットの3列目で"none"となっているとおり、仮想ルーターはどの仮想システムのメンバーにもなっていないことに注意してください。 Networkタブの下にあるゾーンを選んで、HomeからUntrust、WorkからUntrustの外部ゾーンを作成します。これらの2つの外部ゾーンは、内部ゾーン(例 HOME_10 and WORK_192)からSHEARED_Untrustへのトラフィックを許可あるいは禁止するポリシーを設定するためのものです。それらは効果的に内部から外部へのトラフィックの移動を、経由のゾーンで見ることができます。この例では共有ゲートウェイ ゾーンです。タイプを外部として設定し、そのゾーンに向けて通信経路が設定されているよう定義することが重要です。 ポリシーを設定する際は、内部のネットワークから共有ゲートウェイに向かうトラフィックをファイアウォールのuntrust側で許可するルールを作成します。これでHome-to-UntrustとWork-to-Untrustがともに有効に働きます。加えて、SHARED_UNTRUSTを持つShared_External_GW仮想システムに設定するNATが必要になります。 そのポリシーを設定するには[Policy] > [セキュリティ]に移動します。ポリシーを設定したい仮想システムを選ぶようにしてください。 前述したとおり、NATはShared_External_GW仮想システムに設定します。PoliciesタブのNATに移動して、WORK_192  とHOME_10のゾーンに属するホストから隠蔽する、共有ゲートウェイ外部インターフェイス(例:外部ISPアドレスがethernet1/1に割り当てられている)を使用する隠蔽用NAT設定します。このデザインではすべてのNATの設定は、仮想システムとして Shared_External_GW を選択して行われていること確認してください。この例ではどの仮想システムも外部ゲートウェイを共有するコンセプトのため、送信元ゾーンは'any'と設定します。以下は内部ホストの送信元アドレスを外部IPアドレスに変換するシンプルな隠蔽NATの例です。 テストのため、 WORK_192とHOME_10からインターネットへ向かうトラフィックを生成し、トラフィックログで観察してください([Monitor] > [ログ] > [トラフィック])。   パート2:仮想システム間通信 仮想システム間通信のコンセプトは共有ゲートウェイのセットアップと似ています。それらの仮想システムは互いに通信できる必要があり、個々の外部ゾーンの設定とそのトラフィックを許可するポリシーが必要です。 仮想システム間通信のためには  HOME_10ゾーンはWORK_192に、またその逆も到達できる必要があります。そのため2つの外部ゾーンと、ゾーン間のトラフィックを制御するポリシーの設定が必要です。ゾーンを設定するにはNetworkタブに移動し、ゾーンを選択します。 すべての共有ゲートウェイと仮想システム間通信のためのすべてのゾーンの一覧です。 ポリシーを設定する際は、ゾーン間の通信を許可するルールを作成します。 これでHome-to-Work とWork-to-Home 外部ゾーンが、ともに有効に働きます。これらのゾーンのホスト間のトラフィックは外部ゾーンを経由のために使い、従ってポリシーを設定する必要があります。 ポリシーを設定するには[Policies] > [セキュリティ]に移動します。 ポリシーを設定したい仮想システムを選ぶようにしてください。 テストのため、 WORK_192とHOME_10のホストから相手のゾーンへ向かうトラフィックを生成し、トラフィックログで観察してください([Monitor] > [ログ] > [トラフィック])。   著者:jhess  
記事全体を表示
TShimizu ‎01-25-2017 11:57 PM
4,725件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Verify DNS Sinkhole Function is Working https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Verify-DNS-Sinkhole-Function-is-Working/ta-p/65864     詳細 この資料では、DNSシンクホール機能がPAを経由して正しく動作しているかどうか確認する方法について説明します。 以下の2つのシナリオに対応しています: クライアントが外部DNSサーバーを使用している クライアントが内部DNSサーバーを使用している   DNSシンクホールのコンフィグレーション DNSシンクホールの設定方法についてはこちらを参照して下さい。 How to Configure DNS Sinkhole   また、DNSシンクホールの設定方法について、ビデオでのチュートリアルが以下に公開されています。 Video Tutorial: How to Configure DNS Sinkhole   クライアントが外部DNSサーバーを使用している 注:DNSシンクホールのIPアドレスは、ファイアウォールとクライアントの経路上にある必要があります。それにより、ログを見ることができます。例えば、Palo Alto Networksファイアウォールは感染したクライアントとデータ センターの間に位置していますが、インターネットへ向かうトラフィックはファイアウォールを通過しない環境だとします。そのシナリオでは、DNSシンクホールがインターネットのIPアドレスで設定されている場合、ファイアウォールは、感染したクライアントがC&C(コマンド&コントロール)サーバーに接続しようとしているのを見ることは出来ません。   DNSシンクホールの機能がPalo Alto Networksファイアウォールで設定されており、クライアント システムが外部DNSサーバーを使用している時、クライアントからのDNSクエリは、Palo Alto Networksファイアウォールを通って、外部DNSサーバーに向かいます (クライアントとDNSサーバーは異なるサブネットに属しています)。期待したとおりに、ユーザーは送信元としてのクライアントのIPアドレスを含む脅威ログを見ることができます。   ユーザーは感染したウェブサイトにアクセスしようとしています。クライアント システムは、感染したウェブサイトのIPアドレスを取得するために、DNSクエリを外部DNSサーバーへ送ります。ファイアウォールは、クライアント システムから直接DNSクエリを受け取ります。 ファイアウォールはDNSクエリを乗っ取り、DNSシンクホール IPアドレスがクライアントに渡されることで、送信元としてのIPアドレスを含む脅威ログを見ることができます。   クライアントのTCP/IPプロパティの設定 以下の設定例をご覧ください。   脅威ログ 外部DNSサーバーを使用している際、脅威ログでは、感染したウェブサイトにアクセスしようとしているクライアントのIPアドレス "10.50.240.131" を送信元として表示しています。   外部DNSサーバーを使用している時のクライアントの出力   上記のスクリーンショットは、ホスト マシン "10.50.240.131" が "sp-storage.spccint.com(疑わしいURL)" に対してDNSリクエストをしていることを示しており、それが "1.1.1.1" であることを表示しています。このように、DNSシンクホールは期待した通りに動作していることを示しています。   クライアントが内部DNSサーバーを使用している クライアント システムが内部DNSサーバーを使用している場合(クライアントとDNSサーバーは同じサブネットに所属しています)、クライアントからのDNSクエリは内部DNSサーバーに向かいます。内部DNSサーバーがこのクエリを外部DNSサーバーに転送することで、送信元としての内部DNSサーバーのIPアドレスを含む脅威ログを見ることができます。   現在、Palo Alto Networksファイアウォールでは、脅威ログを利用したとしても、どのエンドのクライアントが感染したウェブサイトにアクセスしようとしているのかを特定することはできません。なぜなら、すべての脅威ログは送信元として、内部DNSサーバーのIPアドレスが表示されるためです。しかしながら、ファイアウォールはトラフィック ログを利用することでエンドのクライアントのIPアドレスを特定することができます。   以下の例は、ユーザーが感染したウェブサイトにアクセスしようとしているところです。クライアント システムは、感染したウェブサイトのIPアドレスを取得するために、DNSクエリを内部DNSサーバーに送ります。そして、内部DNSサーバーは、そのDNSクエリを外部DNSサーバーに転送します。ファイアウォールは、外部DNSサーバーからDNSクエリを受け取ります。   ファイアウォールはDNSクエリを乗っ取り、内部DNSサーバーにDNSシンクホールのIPアドレスを渡します。内部DNSサーバーがクライアント システムに返答を転送することで、送信元としての内部DNSサーバーのIPアドレスを含む脅威ログを見ることができます。しかし以下のスクリーンショットのように、クライアントがDNSシンクホールのIPアドレスを使ってウェブサイトにアクセスしようとするため、Palo Alto Networksファイアウォールは、トラフィック ログにおいてクライアントのIPアドレスを見ることができます。   クライアントのTCP/IPプロパティの設定   脅威ログ 脅威ログでは、ファイアウォールは、送信元として "10.50.240.101" という内部DNSサーバーのIPアドレスだけを表示しています。なぜなら、クライアント システムが内部DNSサーバーのIPアドレスを使用しているからです。そのため、ファイアウォールはどのエンドのクライアントがウェブサイトにアクセスしようとしているのかを特定することができません。   トラフィック ログ しかし、クライアントがDNSサーバーからIPアドレスを取得するとすぐに、DNSシンクホールのIPアドレスに対してトラフィックを生成します。そのため、ファイアウォールは、以下に表示されているように、トラフィック ログの中でエンドのクライアントのIPアドレス "10.50.240.131" を表示することになります。   内部DNSサーバーを使用している時のクライアントの出力 上記のスクリーンショットは、ホスト マシン "10.50.240.131" が "sp-storage.spccint.com(疑わしいURL)" に対してDNSリクエストを実行していることを示しており、それが "1.1.1.1" であることを表示しています。このことから、DNSシンクホールが期待通りに動いていることが確認できます。   参照 How to Configure DNS Sinkhole Video Tutorial: How to Configure DNS Sinkhole     著者:sbabu
記事全体を表示
hshirai ‎01-12-2017 12:01 AM
5,045件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Block Web Browsing while Allowing Microsoft Update https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Block-Web-Browsing-while-Allowing-Microsoft-Updates/ta-p/58399     以下の手順を行うことで、Microsoftのアップデートを許可しながら、Webブラウジングをブロックすることができます。   すべてのURLカテゴリをブロックするために、URLフィルタを作成します ( [ Objects ] > [ セキュリティ プロファイル ] > [ URL フィルタリング ] )。 許可リストに以下のサイトを追加します。 windowsupdate.microsoft.com *.microsoft.com download.windowsupdate.com *.windowsupdate.com 以下のアプリケーションを許可するためのセキュリティ ポリシーを作成します。 [ Policies ] > [ セキュリティ ] を開き、新しいルールを追加します。アプリケーション タブ内にて、 ms-update と web-browsing を追加します。 アクション タブ内のプロファイル設定にて、 ms-update 用に作成したURL フィルタリングを追加します。   著者:panagent
記事全体を表示
hshirai ‎01-10-2017 05:27 PM
6,906件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Data Filtering Best Practices https://live.paloaltonetworks.com/t5/Configuration-Articles/Data-Filtering-Best-Practices/ta-p/58093     初期設定では、データ フィルタリングにはシグネチャが2つあります: クレジットカード:デバイスは16桁(訳注1)の番号を探し、ハッシュ アルゴリズムの検証を進めます。クレジットカードの番号として検出する前に、ハッシュ アルゴリズムに合致しなければなりません。この手法により、偽陽性(False Positive)を減らしています。 社会保障番号(訳注2):形式に関わらず、あらゆる9桁の番号が社会保障番号として検出されます。こちらは偽陽性となる傾向があります。 どのようなドキュメントのタイプに対して、クレジットカードと社会保障番号を検知するかを定義することが重要です。この記事に添付している2つのPDFを使用して、ポリシーでの定義を検証することができます。1つはダミーの社会保障番号で、もう1つはダミーのクレジットカード番号です。   2種類のキーワードを見つけ、アラートを生成するプロファイルを設定します。さらなる条件として、10個の9桁の番号または10個のクレジットカードの番号、あるいは9桁の番号とクレジットカード番号が合計で10個の組み合わせを持つファイルを確認することとします。 カスタムのデータ パターンを設定します。 作成したデータ パターンをプロファイルを設定します。 作成したデータパターンをセキュリティ プロファイルに設定します。   カスタムのデータ パターンは以下の方法で設定します: カスタムのデータ パターンの重みを、10で設定します。 社会保障 (CC#) とクレジットカード (SSN#) には、1を設定します (以下のスクリーンショットをご覧ください)。 データ フィルタリング プロファイルを、アラートしきい値を10に設定します (以下のスクリーンショットをご覧ください)。 Data Filtering Profile このプロファイルをセキュリティ ルールに追加します。このルールは該当のデータ パターンを見つけると、上記で設定した条件でアラートを挙げます。この設定をすることで、いくつかの誤検出を防ぐことができます。   データ フィルタリング ログのモニタ ログの各エントリーに表示される緑色の矢印をクリックすることで、データ フィルタリングをトリガーしたパケットのキャプチャを見ることができます。 パケットキャプチャには保護すべき内容を含むため、データ保護を有効にしパケットキャプチャの閲覧にパスワードを保護をかけることができます。パスワードは[Device] > [セットアップ] > [コンテンツ ID] > [コンテンツ ID 機能] > [データ保護の管理]で設定します 。   注:このKB記事には2つのテストファイルを添付しており、ポリシーが動作しているかを確認に使用できます。 訳注1:一部のクレジットカード発行元によっては、13桁など16桁以外のクレジットカード番号への対応もあります。  訳注2:アメリカ合衆国において社会保障法に基づき市民・永住者・外国人就労者に対して発行される9桁の番号。   著者:wtam
記事全体を表示
hshirai ‎11-16-2016 10:58 PM
5,084件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 After Allowing ICMP, Ping is Still Denied https://live.paloaltonetworks.com/t5/Configuration-Articles/After-Allowing-ICMP-Ping-is-Still-Denied/ta-p/61589     症状 ICMPを許可するルールを作成した後でも、ホストへPingしようとすると拒否されてしまう。   問題 ICMP タイプ 8 メッセージ (ping) は独自のものであり、ICMPを利用する、よく使用される「アプリケーション」です。そのため、1つの別のアプリケーションとして定義されています。   解決方法 セキュリティ ルールを使用してPingを許可するためには、アプリケーションとして"ping"を選択します。ICMPを許可するだけでは、Pingを許可したことにはなりません。pingプリケーションはICMPへの依存性はなく、単独で正しく動作します。   注:TracerouteはPingを使用しているので、アプリケーションとしてPingを許可することは、Tracerouteも同様に許可することになります。       著者:gwesson
記事全体を表示
hshirai ‎11-16-2016 09:32 PM
9,229件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Client Unable to Connect on Newly Installed Machine https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Client-Unable-to-Connect-on-Newly-Installed/ta-p/60421     問題 新規インストールしたGlobalProtectクライアントが接続できない。   トラブルシューティング クライアント端末上でログを有効にするために、[ トラブルシューティング ] > [ ログ ] を選択し、"PanGP サービス"を選択してから"開始"ボタンをクリックします。   以下のようなログを見ることができるようになります: (T788) 10/14/14 09:14:09:488 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:09:488 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:14:474 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:14:474 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:19:481 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:19:481 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:24:003 Debug(  71): CTranslate: xxxxxxxxxxxx is 24 (T788) 10/14/14 09:14:24:003 Debug(  73): CTranslate: sid is xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (T788) 10/14/14 09:14:24:003 Debug(  71): CTranslate: xxxxxxxxx is 24 (T788) 10/14/14 09:14:24:003 Debug(  73): CTranslate: sid is xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (T788) 10/14/14 09:14:24:008 Debug( 297): CPanGASetting:OnBnClickedSave - resend credentials (T788) 10/14/14 09:14:24:488 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:24:488 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:29:474 Info ( 341): InitConnection ...   この問題を解決する方法が2つあります: 解決方法 1 PanGPSサービスの状態が実行中であることを、タスク マネジャーのサービス タブで確認します。   解決方法 2 PanGPSサービスが、タスク マネジャーのサービス タブ内に存在しない場合、GlobalProtectクライアントを再インストールします。     著者:mbutt
記事全体を表示
hshirai ‎11-10-2016 01:07 AM
8,011件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a High Availability Replacement Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-High-Availability-Replacement-Device/ta-p/60397     概要 この文書は、高可用性 (HA) システム中のデバイスをRMAする場合の、交換デバイスの設定方法について記載します。   手順 設定のバックアップを収集 故障したデバイスの設定のバックアップを取得する: [ Device ] > [セットアップ ] > [ 操作 ] > [ 設定の管理 ] > [ デバイス状態のエクスポート ] をクリックします。 デバイス状態には、デバイスの設定が含みます。 注: Panoramaからデバイスのバックアップを取得するには、[ Panorama ] > [ 管理対象デバイス ] を開き、適切なデバイスのバックアップ欄の中の「Manage...」をクリックします。あるいは、CLIからSCPやTFTPを使用してコンピュータにデバイス状態をエクスポートできます。 > scp export device-state device to username@serverip:/path/ 以下のコマンドを使用して、故障した機器をシャットダウンします: > request shutdown system 新しい機器をラックに載せ、機器の管理インターフェイスに接続します。   新しいデバイス上で、基本的な設定を実施 ライセンスを転送します。参照:How to Transfer Licenses to a Spare Device (任意) 古いファイアウォールの操作モードに合わせるために、新しいファイアウォールのモードを設定します。この作業にはシリアルポートでの接続が必要です。 以下のCLIコマンドを入力して、ファイアウォールのメンテナンスモードに入ります: > debug system maintenance-mode メンテナンス パーティションに入ってブートするために、ブート シーケンス中に"maint"と入力します。 メイン メニューから、操作モードとして"Set FIPS Mode"または"Set CCEAL 4 Mode"を選択します。 交換したデバイスへの管理アクセスを設定します。 コンソールに接続し、初期の資格情報を使用してログインします: ユーザー名:admin パスワード:admin 以下のCLIコマンドを使用して管理IPアドレス、ネットマスク、ゲートウェイ、DNS、そして更新サーバーを設定します: > configure # set deviceconfig system ip-address <value> netmask <value> default-gateway <value> # set deviceconfig system dns-setting servers primary 4.2.2.2 # set deviceconfig system update-server updates.paloaltonetworks.com # commit # exit テストとしてドメインに対してPingをします。例:(訳注1) > ping host paloaltonetworks.com ライセンス サーバーからライセンスを取得します。 [ Device ] > [ ライセンス ] を開きます。 「ライセンス サーバーからライセンス キーを取得」をクリックします。 URLフィルタリングのライセンスを所有していることを確認し、URLフィルタリングが有効化されていることと、そのデータベースのダウンロードに成功していることを確認します。 注:「今すぐダウンロード」というリンクが表示されている場合、データベースはダウンロードされていません。 交換したデバイスに、既存の対となるHAデバイスと同じGlobalProtectクライアントと、同じバージョンのPAN-OSをインストールします。 GlobalProtectクライアントのインストール [ Device ] > [ GlobalProtectクライアント ] を開きます。 適切なバージョンのクライアントをダウンロードして有効にします。 PAN-OSのインストール [ Device ] > [ ソフトウェア ] を開きます。 適切なイメージをダウンロードしてインストールします。 再起動します。 ダイナミック更新が、対となるHAとして同じバージョンを保持していることを確認します。同じバージョンではない場合、適切なバージョンをダウンロードしてインストールします: [ Device ] > [ ダイナミック更新 ] > [ ダウンロード ] > [ インストール ] デバイスがPanoramaから管理されている場合、古いシリアルナンバーを新しいシリアルナンバーと置き換えます: > replace device old <Old Serial #> new <New Serial #>   設定の復元 [ Dev ice ] > [ セットアップ ] > [ 操作 ] を開きます。 「デバイス状態のインポート」をクリックして、故障したデバイスから、以前バックアップしておいた設定をインポートします。 コミットをクリックし、デバイス状態のインポートを完了させます。 (任意) 新しいファイアウォールの操作状態を古いファイアウォールに合わせます。例えば、マルチ仮想システム (multi-vsys) 機能 を有効にしていたファイアウォールのために multi-vsys機能 を有効に します。 > set system setting multi-vsys on > set system setting jumbo-frame on 新しいデバイスが、アクティブなデバイスに設定をプッシュしないように、確実にパッシブ状態にしておきます。 新しい機器を一時停止させるために、CLIにて以下のコマンドを実行します: > request high-availability state suspend あるいは GUIから、[ Device ] > [ 高可用性 ] > [ 操作コマンド ] > [ ローカル デバイスの一時停止(訳注2)] あるいは 設定変更を実施: [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] を開き、"設定の同期化の有効化"オプションのチェックボックスのチェックを外す。 [ 選択設定 ] 内のプリエンプティブを無効にする。 もっとも大きいデバイスのプライオリティ値 (255) でデバイスを設定する。 コミットを実行する。 注:デバイスは、この設定ではアクティブにはなりません。参照:High Availability Synchronization 交換したデバイスが、アクティブなデバイスと同じ設定を保持していることを確認します。 [ Dashboard ] タブを開き、高可用性ウィジェットを確認します。 注:高可用性ウィジェットが表示されていない場合、[ ウィジェット ] > [ システム ] > [ 高可用性 ] をクリックします。 設定が同じでない場合、[ Device ] > [ 高可用性 ] を開き、アクティブなデバイスから"Push configuration to peer"をクリックします。    アクティブな機器にログインします。[ Device ] > [ 設定監査 ] を開き、"Running Config"と "Peers Running Config"間で設定監査を行います。両方の設定が同じであることを確認します。相違が見られる場合、パッシブな機器を手動にて設定を試みます。 故障したデバイスの設定のバックアップが取得されていなかった場合、設定に相違が起きる可能性があり、新しいデバイスはアクティブな機器と同じ設定を持たないことになります。このような場合、手動による設定が必要となります。 交換したデバイスにて、設定の同期を有効にし ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] )、プリエンプティブを有効にします ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ 選択設定 ] )。 コミットをクリックして、変更を反映します。   コミット後、残りのケーブルを新しいデバイスに接続します。     訳注1:2016/10/31現在、paloaltonetworks.comや更新サーバーはPingに対して応答を返さなくなっています。更新サーバーへの接続確認は、WebUIでは、[Device] > [ソフトウェア]から[今すぐチェック]をクリックし接続エラー出ないことを確認するなどの方法で行ってください。 訳注2:[Suspend local デバイス]の表記となっている場合もあります。   著者:hshah
記事全体を表示
hshirai ‎11-10-2016 12:15 AM
5,140件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Symmetric Return https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Symmetric-Return/ta-p/59374     概要 このドキュメントは PAN-OS 5.0 でのシンメトリック リターンの簡易的な設定方法について記載します。   詳細 この機能は S2C フローの戻りパケットを最初の SYN を発信した MAC アドレスに向かって送出します。 これにより戻りのトラフィックはセッションが作られたインターフェースを使うので非対称ルーティングやデュアル ISP の環境には有効的です。   例:トポロジー 上記の図では、クライアントの 5.1.1.1 からインターナルサーバー 192.168.83.2 へは二つのパブリック IP 1.1.1.83 と 2.1.1.83 を使って通信できます。 この両方の IP は 宛先 NAT でインターナルサーバー IPの 192.168.83.2 へ変換されます。 ISP1 の Ethernet 1/1 にインターナルサーバー向けの通信が来た場合、シンメトリックリターンが設定されていると下記の図のように戻りトラフィックはデフォルトルートの Etherenet 1/2 ではなく Ethernet 1/1 を使います。   NAT INCOMING_NAT-ISP-1 と INCOMING_NAT-ISP-2 のルールはインターナルサーバー IP の 192.168.83.2 の変換用です。 ISP1NAT と ISP2NAT は ISP1 と ISP2 へのアウトバウンドトラフィック用です。   ネットワーク   ルーティング firewall上には ISP2 を宛先とするデフォルトルートが一つあります。   ポリシーベースフォワーディング (PBF) シンメトリックリターンの作成はポリシーベースフォワーディングの設定内でおこないます。 サーバー宛トラフィック用の PBF ルールを作成します。 シンメトリックリターン機能はインターフェースに基づくもののため Source Type で Interface を選択します。   追記:Zoneでの設定はできません。なお、Tunnel インターフェースも MAC アドレスが無いため使用できません。   Destination IP address をサーバーのインターナル IP アドレスに設定します。 送信先ネットワークが直接接続されてなければ Next Hop の IP アドレスに設定します。 egress interface はインターナルサーバーが同じセグメントにある為 Ethernet 1/6 に設定します。 サーバーが直接接続されていなければ、サーバーのあるネットワークへの Next Hop の IP アドレスを設定します。 Enforce Symmetric return を有効にし、Next Hop Address を ISP1 (1.1.1.84) に設定します。 シンメトリックリターンが正しく動作していることを確認する場合は次のコマンドを実行します: > show session id 6149 Session            6149           c2s flow:                 source:      5.1.1.1 [DMZ]                 dst:         1.1.1.83                 proto:       1                 sport:       13812           dport:      3                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP1-PBF 1           s2c flow:                 source:      192.168.83.2 [L3-Trust]                 dst:         5.1.1.1                 proto:       1                 sport:       3               dport:      13812                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP1-PBF 1                 symmetric return mac: 00:1b:17:05:8c:10           start time                    : Tue Jan  8 16:23:55 2013         timeout                       : 6 sec         total byte count(c2s)         : 98         total byte count(s2c)         : 98         layer7 packet count(c2s)      : 1         layer7 packet count(s2c)      : 1         vsys                          : vsys1         application                   : ping         rule                          : all         session to be logged at end   : True         session in session ager       : False         session synced from HA peer   : False         address/port translation      : source + destination         nat-rule                      : INCOMING_NAT-ISP-1(vsys1)         layer7 processing             : enabled         URL filtering enabled         : False      作成された PBF ルールにマッチしていることがわかります。   (訳注: シンメトリックリターンが設定された PBF ルールにマッチしていた場合、S2C flow に宛先 MAC が表示されます。) 下記のコマンド出力から戻りのトラフィックがどこに送られているのか調べることができます。   > show pbf return-mac all   current pbf configuation version:   0 total return nexthop addresses :    8   index   pbf id  ver  hw address          ip address                      return mac          egress port -------------------------------------------------- ------------------------------ 7       1       2    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   2       1       0    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   6       1       1    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   8       1       2    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   5       1       1    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   9       1       3    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   1       1       0    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   10      1       3    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   maximum of ipv4 return mac entries supported :     500 total ipv4 return mac entries in table :           2 total ipv4 return mac entries shown :              2 status: s - static, c - complete, e - expiring, i - incomplete   pbf rule        id   ip address      hw address        port         status   ttl -------------------------------------------------- ------------------------------ ISP1-PBF        1    1.1.1.84        00:1b:17:05:8c:10 ethernet1/1    s      1603 ISP1-PBF        1    5.1.1.1         00:1b:17:05:8c:10 ethernet1/1    c      1800           session via syn-cookies       : False         session terminated on host    : False         session traverses tunnel      : False         captive portal session        : False         ingress interface             : ethernet1/1         egress interface              : ethernet1/6         session QoS rule              : N/A (class 4)   著者:sdurga
記事全体を表示
oconnellm ‎08-31-2016 12:19 AM
9,149件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 SSL decryption resource list https://live.paloaltonetworks.com/t5/Management-Articles/SSL-decryption-resource-list/ta-p/70397     概要 SSLの復号化により、Palo Alto Networksファイアウォールは、隠されているセキュアなHTTPトラフィックの内部を見ることができます。SSLの復号化は、会社の価値ある知的財産がネットワークを通過している可能性があることを示す、あらゆる兆候をモニタするために使用することができます。Palo Alto Networksファイアウォールは、インスペクション プロセスを経てSSLトラフィックの中身を開くことで、SSLの復号化を実行することができます。   下記の表は、SSL復号化を理解し、設定する際に役立つ資料の一覧です: タイトル 説明 種類 基礎レベル     How to implement and test SSL decryption SSLの復号化の実行方法と検証方法について記載 文書 Limitations and recommendations while implementing SSL decryption SSLの復号化の実行時における制限と推奨事項 文書 How to view SSL decryption information from the CLI CLIでのSSL復号化の情報の見方 文書 Controlling SSL decryption SSLの復号化の制御 文書 List of applications excluded from SSL decryption Palo Alto Networksデバイスでは復号化できないアプリケーションの一覧 文書 How to exclude a URL from SSL decryption SSLの除外リストにURLを追加するためのCLIコマンドの詳細 文書 SSL decryption certificates SSLトラフィックを復号化し、検査するためのSSL証明書の管理方法 文書 How to temporarily disable SSL decryption 復号化ポリシーを修正せずに、一時的にSSLの復号化を無効にする方法 文書 How to enable/reset the opt-out page for SSL decryption オプトアウト ページを有効にする方法 文書 How to serve a URL response page over an HTTPS session without SSL decryption SSLの復号化を行わず、HTTPSセッション上でURLの応答ページを表示するためのデバイスの設定方法 文書 Difference between SSL forward-proxy and inbound inspection decryption mode SSLフォワード プロキシとSSLインバウンド インスペクション モード 文書 How to create a report that includes only SSL decrypted traffic SSLの復号化されたトラフィックだけを含むレポートの作成 文書 How to view decrypted traffic 復号化されたトラフィックの見方 文書 中級レベル     How to configure a decrypt mirror port on PAN-OS 6.0 復号化されたトラフィックのコピーを作成し、ミラー ポートに送信する 文書 上級レベル / トラブル シューティング     How to identify root cause for SSL decryption failure issues サポートしていない暗号スイートによって失敗した復号化を特定する方法 文書 SSL vulnerability non-detection behavior is seen when inbound SSL decryption policy is set セキュリティ プロファイルでのSSLに関連する脆弱性の検出が失敗する 文書 Troubleshooting slowness with traffic, management, or intermittent SSL decryption 断続的なSSL復号化のトラブルシューティング 文書 SSL decryption not working due to unsupported cipher suites 設定後に、インバウンドSSL復号化に必要な証明書のインポートが動作しない 文書 Unable to post pictures on Facebook after enabling SSL decryption SSL復号化を有効にした後、ユーザーがHTTPsを使用したFacebookへの接続ができない 文書 After configuring SSL decryption Mozilla Firefox presents certificate error Mozilla Firefox上で、SSLの復号化が証明書エラーを表示する 文書 SSL decryption policy is decrypting traffic for no-decrypt rules SSL復号化ポリシーが、復号化しないルールのトラフィックを復号化する 文書 SSL decryption rules not matching FQDN SSLの復号化のルールがFQDNに合致しない 文書 Google services do not work in Chrome with SSL decryption SSL復号化をしていると、GoogleがChrome上で動作しない 文書 Commit error received after configuring SSL decryption for certificate generation SSLの復号化を設定 - 証明書エラーを生成した後にコミットが失敗する 文書 Inbound SSL decryption fails when SSL compression is enabled インバウンドSSL復号化が失敗する 文書 SSL decryption stops working on Firefox after changing SSL decryption certificate SSL復号化の証明書を変更後、SSLの復号化がFirefoxブラウザで動作しない 文書 SSL decryption opt-out timeout オプト アウト ページをより頻繁に表示する 文書 Wrong certificate used when SSL decryption is enabled SSL復号化時に、信頼されていない証明書が使用される 文書 How to use URL category-based security policies for SSL websites without SSL decryption SSLを復号化せずにSSLのWebサイト用のURLカテゴリ ベースのセキュリティ ポリシーの使用する方法 文書   訳注:以下の注は元記事に即して翻訳されていますが、コメントについては元記事の方にご投稿をお願いいたします。 注:この一覧表に記載のない記事や動画、論議をお持ちでしたら、以下のコメント欄に投稿してください。一覧表に追記いたします。     著者:syaguma
記事全体を表示
hshirai ‎08-28-2016 08:57 PM
14,743件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community