ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Dual ISP Branch Office Configuration https://live.paloaltonetworks.com/t5/Configuration-Articles/Dual-ISP-Branch-Office-Configuration/ta-p/59346     この資料は、拠点オフィスのデュアル ISPの設定方法について記載します。今回のシナリオでは、外向けの接続に冗長性を持たせるため、オフィスは2つのISPに接続されています。この設定では、スタティック ルーティングやポリシー ベース フォワーディング (PBF)、宛先・送信元NATを使用します。 ISP間でBGPルーティング プロトコルを必要とすることなく、自動的に外向けのインターネットの冗長性を提供します。   注:この資料は、PAN-OS 5.0やそれ以降のバージョン用に更新されています。複数の外部ゾーンは必要ありません。     著者:kbrazil
記事全体を表示
hshirai ‎08-23-2016 12:15 AM
3,170件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Group-Mapping in a Multi-Domain Active Directory Domain Services (AD DS) Forest https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-in-a-Multi-Domain-Active/ta-p/60784     PAN-OS 6.1にまで対応していますが、以降のバージョンについては、以下をご参照ください。   概要 この資料は、マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下で、クロス ドメイン ユーザーのユーザー名のフォーマットが矛盾しないように、グループ マッピングを正しく設定する方法について記載します。そのフォレストにおいて、他のドメインからすべてのオブジェクト (ユーザーあるいはグループ) を取得する場合、グループ マッピングに際して、「グローバル カタログ」として定義されたADサーバーを使用します。グローバル カタログは分散型のデータの貯蔵庫であり、そのフォレストの各ドメイン メンバーの中の各オブジェクトの検索可能な部分的な属性を保持します。   重要!適切に設定されていない場合、グループ マッピングの中の一部ユーザーが、netbios/domain-name (dummydomain/username) となる代わりに fqdn-domain-name/username (dummy.example.com/username) としてフォーマットされてしまい、User-IDエージェント、あるいはエージェト レスなUser-IDサービスから取得されたIPアドレスとユーザーのマッピングに矛盾を生んでしまう問題を起こす可能性があります。   手順 グローバル カタログ(通常はルート ドメイン)として設定されているADサーバーは、LDAPサーバーのプロファイル内に設定される必要があります。このサーバーの3268(あるいはSSL用の3269)ポートに接続します。 通常、PAN-OSにドメイン名を置き換えさせるために、ドメイン欄を設定します。そうしたくない場合は、空欄のままにします。 注:グローバル カタログに対してこの設定を行うことで、他のドメイン(フォレストのメンバー)も含め、このサーバーから取得されるすべてのユーザーとグループのドメイン名を置き換えてしまいますので、ご注意ください。空欄にしておくことで問題が起きる場合、ドメイン名(訳注:フルFQDNでないNetBIOS名の意)のみをこの欄に入力します。例えばドメインは"acme.local"の場合、"acme"が必要なので、"acme"とドメイン欄に入力します。 グループ マッピングの設定に、このプロファイルを使用します(また必要に応じて、設定済みのリストを使用します)。 ドメイン名が手順2にて手動で設定していない場合、別のLDAPサーバー プロファイルを使用するグループ マッピングの追加が必須であり、同じADサーバーに通常の389(あるいはSSL用の636)ポートの同じADサーバーにクエリを行います。この操作は、ユーザーのフォーマットを netbios_domain_name/username として正規化 するためのドメイン マップを正しく生成するために必要です。 このプロファイルは、ドメイン マップを取得するために使用するため、ドメイン欄を設定する必要はありませんが、空欄のままにしておくこともできます。ここで使用されているADサーバーは、フォレストの別のドメイン コントローラーになることができ、ドメイン マップにクエリするパーティション コンテナは、すべてのドメイン コントローラーで複製されます。手順2の注をご覧ください。 Active Directoryが多数のユーザーやグループを保持している場合、GM-AD設定の中で、それらのためにいくつかの検索フィルタを設定すると良いでしょう。これはこのグループ マッピングでのLDAPのクエリ結果による、管理プレーンのリソース影響を抑えるためです。 このグループ マッピングは、ドメイン マップを決めるためにだけ使用されているので、ユーザーやグループのために結果を取得したり操作したりする必要はありません。   この例では、検索フィルタは"Dummy"という文字列で設定していますが、LDAPのクエリ結果を確実に 0 とするために、ユーザーとグループのDescriptionフィールドにはその文字列"Dummy"が含まれなければいけません。   参照: LDAP Group Mappings in a Mixed 6.x and 7.x Environment with Panorama       著者:nbilly
記事全体を表示
hshirai ‎08-18-2016 07:34 PM
5,553件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Collect the User-IP Mappings from a Syslog Sender Using an User-ID Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Collect-the-User-IP-Mappings-from-a-Syslog-Sender-Using/ta-p/62085     訳注:本文書で紹介する機能はPAN-OS 6.0から対応しています。   概要 PAN-OS 6.0より、Palo Alto NetworksファイアウォールとUser-IDエージェントを、ネットワーク上の様々なシステムからSyslogのログを収集するためのSyslogリスナーとして使用し、、またユーザーとIPアドレスを対応させることができるようになりました。ユーザーとIPアドレスの対応付けは、セキュリティ ルールとポリシーで使用できます。ファイアウォールのPAN-OSのバージョンとUser-IDエージェントのバージョンは、少なくとも6.0である必要があります。 注:ファイアウォールのPAN-OSのバージョンは、User-IDエージェントのバージョンと同じか、それ以降のバージョンである必要がありますが、同じバージョンである方が望ましいです。   この資料では、WindowsサーバーにインストールされたUser-IDエージェント上で、カスタムSyslog Senderを設定する方法を説明しています。 Palo Alto Networksファイアウォール上での同様の設定については、こちらをご覧ください: How to Configure a Custom Syslog Sender and Test User Mappings.   ファイアウォールは、User-IDエージェント上で、定義済みのフィルターをSyslog Senderとして利用することができますが、管理者は、ネットワーク システムによって生成されるログに応じたフィルターを作成する必要があります。この設定に対する前提条件として、User-IDエージェントはファイアウォールに接続されており、ユーザーIPマッピングが接続したPalo Alto Networksデバイスに送付されている状況を想定します。   追加要件: Syslog Senderのログについての知識 Syslog SenderのIPアドレスについての知識 ログを受信するために使用することができるサーバー上の、利用可能なポートについての知識 ユーザーが接続しているドメイン、ログイン時の"domain\"表記法の知識 フィールド識別子、あるいは正規表現の識別子の用法に関する判断   手順 ログの分析: ログの中を見て、ユーザー IPマッピングに必要なフィールドを見つけます。これらのフィールドは、次の要素を含む必要があります;ユーザー名、IPアドレス、区切り文字、イベントの文字列。イベントの文字列は、、特定のユーザーがログインに成功したこと、そしてそのユーザー名とIPアドレスを収集し、それらをユーザーIPマッピングのデータベースに追加する必要があることをファイアウォールに教えてくれます。   以下のSyslogの例は、Aruba Networks社製のWireless Controllerからのログを表示しています: 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF 2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest 2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest   上記のログ (Syslogの出力) の分析から、フィールド識別子を使用して解析できることが分かります。 イベントの文字列:"User Authentication Successful:" ユーザー名のプレフィックス:"username=" ユーザー名の区切り文字:空白スペース アドレス プレフィックス:"IP=" アドレスの区切り文字:空白スペース   注: 「空白スペース」というのは、キーボードのスペースキーを押す、ということです。   設定: Syslog解析プロファイルを定義します。これは、ファイアウォールのリスナーに送信されるSyslogのイベントのために使用されます。 User-IDエージェントからSyslogタブを開きます:[ User Identification ] > [ Setup ] > [ Edit ] > [ Syslog ] 新しいSyslogのメッセージのために、待ち受けるポートを選択します。 新しいSyslog解析プロファイルを追加します。 適切なSyslog解析プロファイル名と、必要に応じて内容を入力します。 適切な解析タイプを選択します (今回の例では、フィールド識別子が設定されています)。 先の手順で実施の「ログの分析」に従い、詳細を入力します。 Syslogサービスを有効にすることを忘れないでください 設定をすべて終えた後のSyslogフィルターは以下のように表示されます: モニタするサーバーのリストで、該当のサーバーを設定します: User-IDエージェントから、[ User Identification ] > [ Discovery ] > [ Server ] > [ Add ] にて、新しいサーバーを追加します。 名前とIPアドレスを入力し、サーバー タイプとしてSyslog Senderを選択します。 先の手順で定義したフィルターを選択します。 必要に応じて、デフォルト ドメイン名を入力します(これを入力した場合、このサーバー接続を使用して検出されたすべてのユーザーに対して、ドメイン フィールドが先頭に付与されます)。 User-IDエージェントに対する変更を、コミットをクリックして反映します。 サーバーが、定義されたポートで待ち受けていることを確認します (サーバー上のコマンドプロンプトで、"netstat"コマンドを使用します)。 Server Senderからログを受信しているかどうか、またUser-IDエージェント上でマッピングが生成されているかどうかを確認します。 ファイアウォール上で、User-IDエージェントからマッピングを受信できているかどうかを確認します。これらのマッピングのタイプは、User-IDエージェントから収集されてファイアウォールに渡されたものであるため、Usre-ID エージェントとなります。   著者:ialeksov
記事全体を表示
hshirai ‎08-01-2016 10:16 PM
2,353件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect https://live.paloaltonetworks.com/t5/Management-Articles/Agentless-User-ID-Connection-to-Active-Directory-Servers/ta-p/52041     問題 エージェントレスUser-IDで設定したActive Directoryのサーバーがファイアウォールとの接続を頻繁に切断します。これらのサーバーに対してユーザーマッピングのサーバー  モニタリングの接続状態は"connected"と"not connected"を繰り返します。User-IDのログは各々設定されたADサーバーに対して以下のエラーメッセージを記録します。 Error: pan_user_id_win_sess_query(pan_user_id_win.c:1241): session query for < サーバー名>   failed: [wmi/wmic.c:216:main()] ERROR: Retrieve result data.   以下のスクリーンショットが示すように、 "not connected"状態が[Device] > [ユーザー ID] > [ユーザー マッピング] > [サーバー モニタリング]で確認できます。   原因 エージェントレス User-IDはサーバー モニタリング リストのサーバーから、ユーザーのセッション情報をモニターします。ファイアウォールからADサーバーへのセッション 問い合わせはパーミッションの問題により失敗します。セッション情報へのアクセスに使用されるドメインアカウントが、ユーザーのセッション情報をサーバーから読み取る権限がないためです。Server Operators グループとDomain Adminsグループはセッションクエリを読む権限を持ちます。   以下の例が示すように [Device] > [ユーザー ID] > [ユーザー マッピング] > [Palo Alto Networks ユーザー ID エージェント設定]の[WMI 認証]にてユーザー名とパスワードの設定を行います。これはエージェントレス User IDがADサーバー(この例では172.30.30.15)接続するのに使用されます。   下記の例のとおり、ADサーバー(172.30.30.15)はユーザー cr7の権限を確認しています。   解決策 オプション1: Server OperatorsまたはDomain Adminsの権限をWMI認証に使うアカウントに付与します。この例では、cr7に Server Operatorsを付与しています。 Server Operators権限をcr7に付与した後、以下の例ではエージェントレス User-IDはADサーバーへの接続に成功しています。 オプション2: 必要でなければ、サーバーセッションを読み取るためのオプション)を無効にします([セッションの有効化]のチェックを外す)。   訳注:オプション1で付与する権限は、最小限のものとなるよう検討してください。より安全なUser-ID 展開のため、下記の文書も合わせてご参照ください。   Best practices for securing User-ID deployments(原文) 安全な User-ID 展開のためのベスト プラクティス(上記文書の日本語訳)     著者: knarra
記事全体を表示
TShimizu ‎07-28-2016 10:02 PM
3,220件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Email Alerts for System Logs https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-the-Bi-directional-NAT-Feature-Provide/ta-p/60593   GUIにて Policies > NAT で送信元アドレスの変換の設定をする際、スタティック IPを選択すると "双方向" のチェック ボックス(訳注:PAN-OSのバージョンによってはラジオボタン)が表示されます。   詳細 以下はサーバーから外部へ接続するための双方向 NAT の設定であり、プライベート アドレス "A_private" とパブリック アドレス "A_public" を使用して送信元ゾーン "Inside" から宛先ゾーン "Outside" への送信元 NAT の例です。ユーザーのアウトバウンド トラフィックはプライベート アドレスからパブリック アドレスへ送信元 NAT が実施されます。"outside" ゾーンを含む全てのゾーンから "A_public" アドレス宛てのトラフィックに対しては "A_private" アドレスへの宛先 NAT が行われます:   注: 双方向オプションを有効にするとファイアウォールは送信元 NAT と宛先 NAT の2つのルールを作成し、これらはデバイス上のNATルールとしてそれぞれカウントされます。双方向オプションによって作成された2つのルールは次のように記述されます: 送信元 NAT 元のパケット: 送信元ゾーン "Inside"、宛先ゾーン "Outside"、送信元アドレス "A_private"、宛先アドレス "ANY" 変換済みパケット: 送信元アドレスの変換 "スタティクIP"、変換後アドレス "A_public" 宛先 NAT 元のパケット: 送信元ゾーン "ANY" (Inside と Outside を含む全てのゾーン)、宛先ゾーン "Outside"、送信元アドレス "ANY"、宛先アドレス "A_public" 変換済みパケット: 宛先アドレスの変換の変換後アドレス "A_private"   双方向 NAT 変換の設定するには NAT ポリシー ルールの変換済みパケット タブを開きます。送信元アドレス変換の中にある変換タイプで "スタティックIP" を選択します。必要に応じて双方向 NAT オプションの有効/無効を設定します: 双方向オプションを使用した場合、上記で記述したとおり NAT ポリシー数は2倍になります: オリジナルの送信元 NAT ポリシー 暗黙で作成される宛先 NAT ポリシー 宛先 NAT ポリシーは上記の例の場合、以下のようになります: 元のパケット: 送信元ゾーン "ANY" 宛先ゾーン "Outside" 送信元アドレス "ANY" 宛先アドレス "A_public"; オリジナル ルールの変換後宛先アドレス 変換済みパケット: 宛先アドレス "A_private"; オリジナル ルールの送信元アドレス   注: 双方向ルールによって作成された宛先 NAT ポリシーは元のパケット内の送信元ゾーンと送信元アドレスが "ANY" となります。ポリシーが双方向での送信元スタティック NAT として設定されると、意図しないトラフィックが NAT されることがあります。送信元/宛先 NAT ルールをきめ細かく制御したり、双方向 NAT が正しく動作していない場合にはこれらを個別に作成する必要があります。  
記事全体を表示
tsakurai ‎07-27-2016 08:16 PM
17,842件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Serve a URL Response Page Over an HTTPS Session Without SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Serve-a-URL-Response-Page-Over-an-HTTPS-Session-Without/ta-p/55998   詳細 このドキュメントは SSL 複合化を実施せずに HTTPS セッション上で URL 応答ページを表示する方法 について記述しています。   必要条件 セキュリティ ポリシー内の URL フィルタリング プロファイル にて、対象のHTTPS サイトへのアクセスに対して "Block" アクションが設定されていること 応答ページを有効にする必要があります。V-wire インターフェイスで応答ページを表示するためには SSL 復号化が必要になるため、V-wireでは実行することができません Network > ネットワーク プロファイル > インターフェイス管理 応答ページを有効にしたインターフェイス管理プロファイルを作成します Network > インターフェイス > Ethernet?/? > 詳細 > 管理プロファイル a で作成した管理プロファイルを選択します 証明書は Palo Alto Networks デバイス上でフォワード プロキシ用の信頼された証明書として使用されます。それは次のいずれかとなります: "認証局" にチェックされた自己署名/自己生成した証明書 注: 自己署名/自己生成した証明書を使用している場合、ブラウザ上に表示される証明書エラーを回避するためにはクライアント PC の証明書ストアにこの証明書をインポートする必要があります。 組織内の内部CAによって生成された Palo Alto Networks デバイス用の中間CA証明書 "認証局" にチェックされた自己署名/自己生成したフォワードプロキシ用の信頼されない証明書。この証明書は受け取った全てのクライアントで信頼されません 注: BrightCloudのダイナミック URL フィルタリングを使用する場合、全てのURL フィルタリング プロファイル上でダイナミック URL フィルタリングを有効にした上、デバイス全体でも有効にしてください。デバイスのCLIで configure モードから次のコマンドを入力します: # set deviceconfig setting url dynamic-url yes 上記のコマンドはファイアウォール上で BrightCloud の URL フィルタリング ライセンスが有効な場合にのみ動作します。PAN-DB URL フィルタリングでは動作しません。   上記の要件が満たされた時点で、次のコンフィグレーション コマンドを実行するとPalo Alto Networks デバイスが HTTPS セッション上で URL フィルタリング レスポンス ページを表示できるようにします。このコマンドは BrightCloud か PAN-DB に関わらず動作します: # set deviceconfig setting ssl-decrypt url-proxy yes   クライアント PC では HTTPS セッション上で URL フィルタリング ポリシーによって指定された URL フィルタリング レスポンス ページが表示されます。   アクション タイプ "continue(続行)" と "override(オーバーライド)" に関する注意 今日のウェブサイトのサーバー コンテンツは複数の送信元から提供されているため、URL フィルタリング レスポンス ページのアクション タイプを "continue" または "override" で提供する場合、ページ上の一部のコンテンツが正しく表示されない可能性があります。アクションを "block(ブロック)" や "continue"、"override" に設定しているカテゴリのサイトからコンテンツが提供される場合に発生し、ファイアウォールはそれぞれの埋め込まれたリンクに対して "continue" や "override" のレスポンスページを表示しません。   注: 有効期限を更新するために証明書を置き換えた場合は、データプレーンの再起動かデバイスの再起動を実施します。 これによりデータプレーン上の有効期限切れ証明書のキャッシュが削除されます。  
記事全体を表示
tsakurai ‎07-27-2016 01:43 AM
9,479件の閲覧回数
0 Replies
2 Likes
※この記事は以下の記事の日本語訳です。 How to Configure Email Alerts for System Logs https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Email-Alerts-for-System-Logs/ta-p/60279   詳細 システム ログを Email で送信するための手順は以下となります: 電子メール サーバー プロファイルの作成 Device > ログ設定 - システム へ移動し、電子メール プロファイルを設定する   電子メール プロファイルの設定 Device > サーバー プロファイル > 電子メール へ移動し、追加をクリックし必須項目を入力します (以下の例を参照): プロファイル名(Name): 電子メール サーバー プロファイルの名前を入力 サーバ名(Name): サーバーの識別に使用する名前を入力 (1-31 文字) 電子メール表示名(Display name): 電子メールの [送信者] フィールドに表示される名前を入力 送信者IP(From): 送信元のEmailアドレスを入力 宛先(To): 受信者のEmailアドレスを入力 その他の受信者(Cc): CCとして同時に送信する宛先Emailアドレスを入力 (オプション) 電子メールゲートウェイ(Gateway): Emailの送信に使用するSMTPサーバのIPアドレスまたはホスト名を入力   システムログの設定 Device > ログ設定 > システム に移動します Emailを送信したいシステム ログの重大度を選択します。下記の場合、"重大度 = critical" のみEmailで送信するよう設定されています。 重大度をクリックし、電子メールのプルダウンから上記で設定したプロファイルを選択します。 著者: mvenkatesan  
記事全体を表示
tsakurai ‎07-27-2016 01:01 AM
9,441件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Layer 2 to Layer 3 Connection on the Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Layer-2-to-Layer-3-Connection-on-the-Palo/ta-p/52787   レイヤー2からレイヤー3へのファイアウォール上での設定 レイヤー3インターフェイスを設定し、レイヤー3ネットワークに接続します。 仮想ルーターとレイヤー3のゾーンを設定します(レイヤー3インターフェイスを仮想ルーターとゾーンに追加する)。仮想ルーターには適切なデフォルト ゲートウェイを設定していることを確認してください。 レイヤー2インターフェイスを 設定し、レイヤー2ネットワークに接続します。またそのインターフェイスを追加したレイヤー2のゾーンも作成します。 レイヤー2ネットワークと同じブロードキャスト ドメインのIPアドレスを持つVLANインターフェイスを設定します。このVLANインターフェイスは手順2と同じ仮想ルーターに入れてください。該当のVLANインターフェイス用のゾーンを作成し、作成したVLANインターフェイスを追加してください。 VLANを作成し、レイヤー2インターフェイスとVLANインターフェイスをそれに追加します。 注:PAN-OS 5.0以前ではこのVLANにてL3 転送を有効にします。 VLANインターフェイスを持つゾーンからレイヤー3インターフェイスを持つゾーンへの通信を許可するポリシーを設定します。 レイヤー3インターフェイスを持つゾーンからVLANインターフェイスを持つゾーンへの通信を許可するポリシーを設定しても構いません。 以下の図は、PCがインターネットクラウドに到達でき、またインターネットからPCへのアクセス(リモート デスクトップ)を許可するシナリオを示しています。このようにインバウンドNATルール(宛先NAT)とアウトバウンドNATルール(送信元NAT)を設定します。NATルールについては、図の下にあるスクリーン キャプチャを参照してください。 コミットを実施します。   レイヤー2からレイヤー3へ通信する環境のネットワーク概要図 Networkタブでの物理インターフェイスとVLANインターフェイスの設定(  1/3、1/9とvlan.1を使用しています )。 必要なセキュリティーポリシー。 設定したNATポリシー。   著者:swhyte
記事全体を表示
TShimizu ‎07-26-2016 05:27 PM
8,070件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 LDAP Configuration Error: failed to connect to server, Invalid credentials https://live.paloaltonetworks.com/t5/Management-Articles/LDAP-Configuration-Error-failed-to-connect-to-server-Invalid/ta-p/58929     問題 LDAP 認証でユーザーの認証ができず、システムログで以下のエラーが記録される。 06/18 12:45:55 ldap cfg plano2012-ldap failed to connect to server 10.111.10.10:389, source: 10.111.10.254: Invalid credentials 06/18 12:45:56 ldap cfg plano2012-ldap failed to connect to server 10.111.10.11:389, source: 10.111.10.254: Invalid credentials   解決策 該当のディレクトリー サーバーへの誤った LDAP バインド DN  (Distinguished Name:識別名)とパスワードにより、認証が失敗しています。[Device ] > [サーバープロファイル] > [該当の LDAP サーバーの名前] に移動し、以下の欄が LDAP サーバー プロファイルで正しく入力され、正しいユーザーの情報を反映していることを確認します。 バインド DN バインド パスワード     バインド DNは [Device] > [ユーザー ID] > [グループ マッピング設定] で正常性の確認ができます。もしバインド DN が正しければ、LDAP プロファイルでの LDAP スキーマの設定にしたがって、ツリーの更新と情報の取得ができます。不正確なバインド DN の場合は "Invalid Credentials" のエラーが表示されます。   バインド DN の情報は LDAP サーバープロファイルに設定したユーザーを Active Directory サーバーから検索することで得られます。 右クリックで Properties を選択し、[Attribute Editor] を確認します。 訳注: Attribute Editor タブを表示するには、予め Active Directory Users and Computers のメニューから [View] > [Advanced Features] をチェックしておく必要があります。   著者:bsyeda
記事全体を表示
TShimizu ‎07-26-2016 02:12 AM
7,939件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Working with External Block List (EBL) Formats and Limitations https://live.paloaltonetworks.com/t5/Learning-Articles/Working-with-External-Block-List-EBL-Formats-and-Limitations/ta-p/58795   訳注:本文書で紹介するダイナミック ブロック リストはPAN-OS 5.0以降が対象です。   概要 PAN-OS 5.0 で導入された ダイナミック ブロック リスト(Objects > ダイナミック ブロック リスト) を使用すると、外部で作成された IP アドレスのリストをインポートしセキュリティ ポリシーの中でアドレス オブジェクトとして使用することが可能になります。このドキュメントでは、IP アドレス リスト用のテキスト ファイルを作成する際に考慮すべきフォーマートの規則を説明します。   詳細 EBL(外部ブロック リスト)の各行には IP アドレス、IP 範囲、もしくはサブネット(IPv6 サポート)が入力できます: 192.168.20.10/32 は 1 つの IP アドレスを意味します 192.168.20.0/24 はサブネットを意味します 192.168.20.40-192.168.20.50 IP 範囲を意味します 2001:db8:123:1::1 は 1 つの IP アドレスを意味します 2001:db8:123:1::/64 はサブネットを意味します 注: EBL の各行は改行文字 (LF) で終端します。Windows 形式 (CR-LF) はサポートされません。 EBL を使用した URL または FQDN の動的なブロックは現在されポートされていません。 ファイアウォール上のリストの最後の IP アドレスの最後のオクテットを参照するためには、テキスト ファイルの最後の IP アドレスの後に "リターン" が入力されている必要があります。 サービス ルートの設定では、EBL は 'Palo Alto Updates' の選択に分類されます。   役立つコマンド: CLI 上で EBL を表示します: > request system external-list show name <オブジェクト名>   CLI から EBL リフレッシュをリクエストします: > request system external-list refresh name <オブジェクト名>   EBL リフレッシュのステータスを表示します: > show jobs id <ジョブ ID>   追加情報: 次のエラー (各コマンドからのエラー)が CLI 上で確認される場合があります: > request system external-list show name <オブジェクト名> Server error : external list file not found.   または > show jobs id <値>  (<値> は EBL リフレッシュ ジョブ)は次のエラーを返す場合があります: Warnings: EBL(vsys1/test) Unable to fetch external list. Using old copy for refresh.   上記エラーは IP アドレス リストをホストする Web サーバーに問題がある可能性があることを示唆しています。しかし、多くの場合、リストは正常に取得されたが (GUI でテストすると "Source URL is accessible" となる)、Palo Alto Networks デバイスがそのリストを読むことができなかったことが考えられます。ソース アドレスが HTTP/HTTPS URL 上の .txt ファイルを指していることを確認してください。 例えば: https://www.example.com/blocklist.txt   HTTPS ロケーションを使用する場合は、PAN-OS 5.0.10 以上であることを確認してください。それより前のバージョンを稼動している場合、正常に動作していてもGUI の Test URL オプションがエラーを返す場合があります。 注: ファイアウォール上のリストを参照するためには DBL(ダイナミック ブロック リスト)がポリシーで使用されている必要があります。   同エラーは、セキュリティ ルールがダイナミック ブロック リストを使用して設定されていない場合や、対象 vsys が マルチ vsys システムに設定されていない場合にも現れる場合があります。 ダイナミック ブロック リストをセキュリティ ルールに適用するためには、次の例を参照してください: EBL オブジェクトを宛先として使用するルールに対しては、アクションは 'Allow' ではなく 'Block' を設定します。 対象 vsys を設定するためには: > set system setting target-vsys <vsys1>   EBL(非共有 EBL)を Panorama 上で作成する場合は、プレ ルールに適用しマルチ vsys(仮想システム) の管理デバイスにプッシュします。   注 1: 'Palo Alto Updates' サービス ルートは EBL にも影響を及ぼします。   注 2: PAN-OS 6.1 より前では、コメントのある行はセキュリティ ポリシーに適用されると削除されます。6.1 以降では、コメントのある行は適切に適用されます。   例: #test dbl 1.2.3.4 10.10.10.10 10.11.12.13 testingcommentsread here 10.12.12.14 #testingcommentsread here   > show running security-policy TestDBL { from trust-L3; source any; source-region none; to untrust-L3; destination [ 1.2.3.4 10.10.10.10 ]; destination-region none; user any; category any; application/service any/any/any/any; action allow; terminal yes; }   注: EBL をリフレッシュした際に他のエラーが表示される場合、management server debug を有効にし ms.log を追跡することができます。EBL リストのフォーマットに問題がある場合は、ms.log に明確に記されます。ms.log ファイルの記録例を次に示します:   Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) Refresh job cancelled Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) EBL Refresh job success Feb 15 12:43:21 EBL ALLOC free timer (0xdbfbecb0, 1356) Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) Releasing ebl Feb 15 12:43:21 EBL ALLOC free size(0xe0b6ac60 1196)   外部ブロック リストと各リスト内のアドレス エントリーの最大数:   各プラットフォームは最大 10 個の外部ブロック リストを持つことができます。 各リストにはファイアウォールのモデルがサポートする最大アドレス数 から300少ないアドレス を含めることができます。 各 EBL は 1 アドレス オブジェクトとして数えられ、max-address のプラットフォームの最大数には影響を与えません。すなわち、デバイスの最大アドレス数が 5000 の場合、それぞれ 4700 アドレスのサイズの EBL を 10 個持つことができ、その他に 4990 個のアドレス オブジェクトを持つことができます。   ご使用のシステムの最大アドレス数を確認するためには、CLI より次のコマンドを入力してください:   PA-200 上ではコマンドと出力はこのように見えるはずです: > show system state | match cfg.general.max-address cfg.general.max-address: 2500   こちらはハードウェアと最大アドレス エントリーを示すグラフです: ハードウェア 最大アドレス エントリー PA-200 PA-500 2500 PA-3020 5000 PA-3050 PA-3060 PA-5020 10000 PA-5050 40000 PA-5060 PA-7050 80000     PA-200 で PAN-OS 7.0.x を稼動している場合は、以下の最大数をもつことができます: 最大 10 個の外部ブロック リスト 全ての外部リスト合わせて最大 50000 個の IP (50000 個の IP をもつ 1 つのリスト、または、5000 個の IP をもつ 10 個のリストは両方ともサポートされます) 1 つのデバイスで 10 個以上の EBL を使用した場合、コミット中に次のエラーが表示されます:       Exceeding max number of supported external block lists (10)   注: 共有 EBL オブジェクトを Panorama から マルチ vsys が有効化されたデバイスにプッシュする場合は、各 EBL が vsys ごとに 1 カウントされる問題に遭遇する可能性があります。この問題はアーキテクチャの変更により PAN-OS 7.1 で解決しています。   エントリ数がキャパシティの総数を超えた場合は、次のエラーがシステム ログに表示されます:       EBL(<EBL 名>) Exceeding max number of ips at line XXXX     著者: jdelio 
記事全体を表示
kishikawa ‎07-25-2016 06:26 PM
5,575件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a DHCP Relay on Palo Alto Networks Firewall  https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-DHCP-Relay-on-Palo-Alto-Networks-Firewall/ta-p/59544     概要 この資料では、Palo Alto Networksファイアウォールにおける、DHCPリレーを設定する手順を記載しています。下記図のシナリオを例に、設定を手順を説明します。 手順 DHCPリレーをするインターフェイスを設定します (例:Trust E1/5) : Web UI画面から[ Network ] > [ DHCP ] > [ DHCP リレー ]を開きます。 追加をクリックし、DHCPサーバーのIPアドレスを設定します。 注:DHCPサーバーのIPアドレスは、4つまで設定することができます。 ゾーン間のDHCPトラフィックを許可するために、セキュリティ ルールを設定します: Trust to Trust - クライアント用の、DHCPリレー インターフェイスへの/からの通信 (ブロードキャスト/ユニキャスト) Trust to DMZ - DHCPリレー インターフェイス用の、DHCPサーバーへの/からの通信 (ユニキャスト) 下記のダイアグラムは、典型的なDHCPセッションに基づいています。ダイアグラムは、DHCPリレー インターフェイスとDHCPサーバー間の通信はすべてユニキャストであることを表しています。 下記のスクリーンショットは、DHCPサーバー側における、DHCP動作例のパケットキャプチャです: 下記図は、設定されているセキュリティ ポリシーの例です: コミットをクリックして、設定を反映させます。   動作確認 クライアント上での動作確認を行います。例えば、Windowsクライアントにて以下を実行します: ipconfig /release ipconfig /renew ipconfig /all 注:DHCPサーバーは、この設定が動作するように、DHCPトラフィックをPalo Alto Networksファイアウォールへルーティングする必要があります。 DHCPサーバーがPalo Alto Networksファイアウォールの代わりに他のデフォルト ゲートウェイを持っている(あるいは、DHCPサーバーが直接接続されておらず、どこかへ返信トラフィックをルーティングする)場合、問題が起きる可能性があります。その場合、DHCPトラフィックは非対照であると考えられます。DHCPサーバーのトラフィックが非対照である場合、セッションはファイアウォール上で正しく構築されず、完全なDHCP通信は完了することはありません。   著者:jlunario
記事全体を表示
hshirai ‎07-24-2016 07:07 PM
5,242件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Install and Configure Terminal Server Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-and-Configure-Terminal-Server-Agent/ta-p/53839     概要 ターミナル サーバー (TS) エージェントをインストールする前に、以下の要件を満たしていることを確認します: インストールするターミナル サーバー (TS) エージェントのバージョンの Release Notes に記載されている要件を確認します。 ターミナル サーバーの管理者が、TS エージェントをインストールする必要があります。TSエージェントは、他のリモート ユーザーによって操作されないように、管理者によってのみ起動するように設定する必要があります。 TS エージェンのために、必要なドライバーをインストールします。インストールには管理者権限が必要です。 TS エージェントがインストールされるコンピューターでは、Windowsファイアウォールを無効にする必要があります。   手順 インストール インストールされるTS エージェントは、オペレーティング システムと互換性があるかどうかを最初に確認します。オペレーティング システムに互換性がない場合、下記のようなエラー メッセージが表示されます: TS エージェントのインストール フォルダを指定します。 新規インストールのために、管理者はシステムを再起動する必要はありません。ただし再起動しない場合は、TS エージェントはインストール後に新たに生成されるTCP/UDP のトラフィックだけを識別することができます。インストール前に生成された TCP/UDP トラフィックについては、Palo Alto Networks TS エージェントはユーザーを識別することができません。 ターミナル サーバー上の TS エージェントの設定 メイン パネル TS エージェント コントローラーは、TS エージェントの設定と状態を確認するためのアプリケーションです。 メイン パネルには、TS エージェントに接続している各 PAN デバイスを確認できる "Connection List" と "Device Access Control List" が表示されます。初期状態では、"Device Access Control List" は無効になっています。このオプションを有効にすることで、TS エージェントに接続を許可する PAN デバイスを指定することができます。TS エージェントは、許可リスト内のデバイスからの接続のみを許可します。 設定パネル Listening Port: TS エージェントが Palo Alto Networks のデバイスと通信するポート Source port allocation range: ユーザーが利用できる "source ports" の範囲 Reserved Source Ports: ターミナル サーバー上で実行されている他のサービスが通信するために、"source port" の範囲から除外する必要のあるポート Port Allocation Start Size Per User: 新しいユーザーに割り当てられる最小ポート Port allocation Maximum Size Per User: 新しいユーザーに割り当てられる最大ポート Fail port binding when available ports are used up: ポート割り当て重複の防止 モニター パネル ナビゲーション ウィンドウのモニターでは、すべての現在のユーザーとポート割り当てを表示しています。"Ports Count" は、このユーザーが現在使用しているポートの数を表しています。"Ports Count" は、"Refresh Ports Count" をクリックすることで更新することができます。また、"Refresh Interval" のチェックボックスを選択することで、更新間隔を設定することもできます。 Palo Alto Networks デバイス上の TS エージェントの設定 Palo Alto Networks デバイスには、以下の情報を設定する必要があります: ホスト: TS エージェントがインストールされているサーバーの IP アドレス ポート: TS サーバー上で設定した " Listening Port" のポート番号 IPリスト (任意): ターミナル サーバーが複数の送信元 IP アドレス (最大8個) を持っている場合の、ターミナル サーバーの送信元 IP リスト ファイアウォール上での変更を、コミットをクリックして反映させます。 トラブルシューティング時のヒント TS エージェントは、トラブルシューティングにとても役に立つログ ファイルを保持しています。TS エージェントに問題が起きた場合、ログ ファイルを収集し TAC サポート チームに送付します。ログ ファイルは、TS エージェントから、[ File ] > [ Show Logs ] と辿ることで見ることができます。 エージェントの詳細な情報を有効にするには、[ File ] > [ Debug ] 内で "Verbose" を選択します。この操作により、より詳細なメッセージがログに表示されます。   有益なCLIコマンド ターミナル サーバー エージェントを設定する: # set ts-agent <name> <options> where <options> include  ip-address   terminal server agent ip address port         terminal server agent listening port ip-list      terminal server alternative ip list   ターミナル サーバー エージェントの状態を表示する: > show user ts-agent statistics IP Address Port Vsys State Users ------------------------------------------------------------- 10.1.200.1  5009 vsys1 connected 8 10.16.3.249 5009 vsys1 connected 10   > show user ip-port-user-mapping all User IP-Address Vsys Port-Range ---------------------------------------------------------------------------- test1 10.1.200.1  vsys1 20000-20500 test2 10.1.200.1  vsys1 20500-21000                         21500-22000 test3 10.1.200.1  vsys1 21000-21500   TS エージェントは、特定のドメイン ユーザーのグループ情報を得るために、Palo Alto Networks User-ID エージェント、あるいはグループ マッピング データを調べる必要がある場合があります。   その他のCLIコマンド User-ID エージェントの "enable-user-identification" と "User Identification ACL" 設定コマンドは、TS エージェントに対しても適用されます。これは、User-ID の機能が有効である場合、User-ID エージェントと TS エージェントの機能が、どちらも有効になることを意味します。     著者:panagent
記事全体を表示
hshirai ‎07-24-2016 06:27 PM
3,637件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Deal with Conficker using DNS Sinkhole https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Deal-with-Conficker-using-DNS-Sinkhole/ta-p/52920     訳注:本文書で紹介するDNSのシンクホール機能はPAN-OS 6.0から対応しています。   概要 Confickerは2008年11月に初めて見つかり、Windowsを実行しているコンピューターに最も広く感染したワームの1つです。 Palo Alto Networksは、Confickerワームを見つけ、遮断することができるシグネチャ群を作成しました。それらの中でもConfickerの亜種によって使用されるDNSドメインを見つけることのできるアンチ ウィルス/アンチ スパイウェアのシグネチャがあります。 このドメインは、Confickerの亜種が見つかるとすぐに更新されます。WildFireライセンスが使用されている場合、新しく見つかったドメインは、WildFireシグネチャをとおして、1時間ごとにPalo Alto Networksファイアウォールに展開されます。ライセンスを使用していない場合、シグネチャは24時間ごとに展開され、すべてのPalo Alto Networksデバイスに対して、ダイナミック アップデートによってダウンロードされます。次回の更新時に、新しいAVシグネチャに対してもアップデートが実施されます。この保護は、ネットワーク内のユーザーが「悪意ある」ドメインを要求している時に機能します。ログの分析を行うことで、感染したドメインに対する要求が、ローカルのDNSサーバーから来ていることを確認することができます。これは、DNSの階層構造により発生します。   詳細 すべてのPalo Alto Networksプラットフォームは、有害なドメインに対するクエリに対して、シンクホール機能を実装しています。この機能を使用して、Palo Alto Networksファイアウォールは、ネットワーク内の感染したホストを見つけることができ、セキュリティの管理者に通知を行うことができます。これにより、そのネットワークから感染した端末を隔離することができます。   一連の動作: 感染したコンピューターは、ローカルのDNSサーバーから、感染したドメインの名前解決を依頼します。 ローカルのDNSサーバーは、公開されているDNSサーバーにクエリを送ります。 Palo Alto Networksデバイスは、最新のシグネチャを使用して、そのクエリー内容から有害なドメインを見つけます。 管理者が設定したIPアドレス (シンクホール アドレス) を付与してDNS要求に対する回答を上書きし、クライアントに対して改変された回答を送ります。 クライアントは、シンクホールのIPアドレスに接続しようとします。 Palo Alto Networksは、そのトラフィックを遮断し、その試みをログに記録します。 ファイアウォールの管理者は、そのイベントの通知を受け取ります。 有害なクライアントは、ネットワークから隔離、除去されます。   手順 DNSシンクホール機能を設定するために、こちらをご覧ください: How to Configure DNS Sinkholing on PAN-OS 6.0 L3インターフェイスが、シンクホール インターフェイスとして設定されているPalo Alto Networksデバイスを使用して(ループバック インターフェイスを使用することもできます) 、以下の手順を行います: 仮想 ルーターとセキュリティ ゾーンに、以下の例のようにインターフェイスを追加します。このゾーンは、ユーザーが接続を開始するものとは異なります。有害なコンピューターはトラフィックを送り出すかは定かではありませんが、ベストプラクティスとしてはこのインターフェイスに対して新しいシンクホール ゾーンを作成します。 新しい"sinkhole"ゾーンの作成にし、作成したループバック インターフェイスを"loopback.222"を追加します。 現在使用されておらず、管理者に対して分かりやすいIPアドレスをインターフェイスに割り当てます。 社内でIPv6が使用されている場合、インターフェイスにIPv6アドレスも割り当てます。 [ Objects ] > [ セキュリティ プロファイル ] > [ アンチ スパイウェア ] を開き、インターネット ユーザーに割り当てられるプロファイルを選択(あるいは作成)します。 DNS シグネチャ タブ内で、DNSクエリ時のアクションとして"シンクホール"を選択します。"ブロック"を選択した場合、有害なドメインに対してのクエリを遮断し、ログにはローカルのDNSのみが"attacker"として表示されます。先ほど作成したシンクホールIPアドレス (222.222.222.222) を選択します。 IPv6のDNSクエリ用には、IPv6のIPアドレスを選択します。 「パケット キャプチャ」欄で、シグネチャをトリガーにしたパケットだけではなく、より多くのパケットをキャプチャするために、"extended-capture"を選択します。この値は、[ Device ] > [ セットアップ ] > [ コンテンツ ID ] > [ コンテンツ ID 設定 ] で定義されています。 アンチ スパイウェア プロファイルをセキュリティ ルールに適用し、「セッション終了時にログ」を有効にします。 コミットをクリックして、設定を反映させます。   検証 設定の反映が完了した後、トラフィックがキャプチャされることを確認し、有害なコンピューターを特定します。 ファイアウォールの背後にある検証機を使用します。 Confickerドメインの1つに対して、DNSトラフィックを開始します(この検証では"fetyeq.net"を使用します)。 注:他のConfickerドメインを確認するためには、Palo Alto Networksデバイス上にインストールされているダイナミック アップデートのアンチウィルス リリース ノートを開きます。Palo Alto Networksは、これらのドメインを定期的に更新しており、アンチウィルス シグネチャのリリース ノート内で確認することができます。 [ Device ] > [ ダイナミック更新 ] > [ アンチ ウィルス ] > [ リリース ノート ] を開き、"conficker"を検索すると、約1,000件のドメインを見ることができます。 脅威ログにて、アクションが"sinkhole"となっているログを確認します。 必要に応じて、パケット キャプチャを確認します。 クエリ ビルダーにて、フィルタとして"( action eq sinkhole)" を使用してカスタム レポートを作成します。毎日実行するために、スケジュール設定にチェックを入れます。 翌日、データが収集、表示されていることを確認するために、レポートを確認します。 上記の手順に従うことで、特定のネットワーク内の有害なコンピューターを追跡したり、隔離することができます。     著者:ialeksov
記事全体を表示
hshirai ‎07-22-2016 01:43 AM
6,586件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect Portal Page to be Accessed on any Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-Portal-Page-to-be-Accessed-on-any/ta-p/53460   訳注:GlobalProtectの設定画面はPAN-OS Versionにより大幅に異なります。ご使用になるPAN-OSバージョンのWebインターフェイス リファレンス ガイドを合わせてご参照ください。   GlobalProtectが使用するポートを変更することはできませんが、ループバック IPアドレスとセキュリティ ルールによって他のポートを使うことができます。   設定方法: ループバック Interfaceを作成します。 Untrustのインターフェイスが、ループバックにpingできることを確認しておきます。 ポータルのアドレスとゲートウェイのアドレスに、ループバックアドレスを設定します。 GlobalProtectポータルにて、[クライアントの設定]タブよりクライアントの設定を作成し、[外部 ゲートウェイ]を設定します (例:10.30.6.56:7000) 。 ポート番号7000を使用する10.30.6.56 (Untrustのインターフェイス)が、ポート番号443を使用する10.10.10.1 (ループバック) に変換される宛先NATルールを作成します。 Untrustのインターフェイスを宛先アドレスとし、ポート番号7000と443をサービスとしてセキュリティ ポリシーを作成します。 この設定を行うことで、https://10.30.6.56:7000 でGlobalProtectポータルにアクセスできるようになります。https://10.30.6.56:7000  は https://10.10.10.1  が変換されたものです。 GlobalProtectクライアント ソフトウェアをダウンロードして、インストールします。 [ユーザー名]と[パスワード]で資格情報を使用します。[ポータル]欄では、以下の図のように10.30.6.56:7000 をIPアドレスとして使用します。                             著者:mvenkatesan
記事全体を表示
hshirai ‎07-20-2016 08:04 PM
3,686件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Configuring Administrator Authentication with Windows 2008 RADIUS Server (NPS/IAS) https://live.paloaltonetworks.com/t5/Configuration-Articles/Configuring-Administrator-Authentication-with-Windows-2008/ta-p/61651     概要 本文書はWindows 2008 RADIUS サーバーを使用した管理者認証を設定する手順を記載します。 設定を行うための前提条件: 管理インターフェースからのL3接続、あるいはデバイスのRADIUSサーバーへのサービス ルート ドメイン アカウントを確認できるWindows 2008サーバー   手順 パート 1:Palo Alto Networksファイアウォールの設定 [Device] > [サーバー プロファイル] > [RADIUS]に移動し、RADIUS サーバー プロファイルを追加します。 [Device] > [認証プロファイル]を開き、認証プロファイルを追加します。 [Device] > [管理者ロール]に移動し、管理者ロールを追加します。今回の場合は仮想システム用(vsys)の管理者ロールとし、デバイス全体への適用はしません。 [Device] > [アクセス ドメイン]に移動し、アクセスドメインを追加します。 [Device] > [セットアップ[ > [管理] > [認証設定]を開き、上記で作成した、RADIUSの認証プロファイルが選択されていることを確認します。 [Device > [管理者を開き、認証される必要のあるユーザーが予め定義されていないことを確認します。 コミットをクリックして、設定を反映させます。   パート 2:Windows 2008 serverの設定 (Server RoleとしてNPS(Network Policyand Access Services)が必要です) [Start] > [Administrative Tools] > [Network Policy Server]をクリックして、NPS設定画面を開きます。 Palo Alto NetworksデバイスをRADIUSクライアントとして追加します。 [RADIUS Clients and Servers]を開きます。 [RADIUS Clients]を選択します。 右クリックして、[New RADIUS Client]を選択します。 注:[Name and Address]のFriendly name:とAddress、[Shared secret:]を追加するだけです。[Vendor name:]は標準設定の"RADIUS Standard"のままにしておきます。 RADIUS Clientを追加した後の一覧は、以下のようになります: [Policies]に移動し、[Connection Request Policies]を選択します。 Windowsユーザーを認証するポリシーが設定/チェックされているかを確認します。 [Overview]タブを確認し、ポリシーが有効になっていることを確認します。 [Conditions]タブを確認します。 [Settings]タブを確認し、ユーザーの認証方法を確認します。 [Network Policies]上で右クリックし、新しいポリシーを追加します。 [Policy name:]を入力します。 [Conditions]タブを開き、認証することができるユーザーを選択します(グループによる指定が望ましい)。 [Constraints]タブを開き、"Unencrypted authentication (PAP, SPAP)"が有効になっていることを確認します。 [Settings]タブに移動し、ユーザーに正しい管理者ロールとアクセスドメインが割り当てられるよう、VSA (ベンダー固有属性)を設定します。 [RADIUS Attributes]から"Vendor Specific"を選択します。 右側の画面にて、[Add]ボタンをクリックします。 [Vendor:]ドロップダウン リストから"Custom"を選択します。 [Attributes:]リスト内にある唯一の選択肢が、"Vendor-Specific"の状態になります。 [Add]ボタンをクリックします。 The Attribute Information ウィンドウを開きます。 左側にある[Add]ボタンをクリックして、 Vendor-Specific Attribute Information ウィンドウを開きます。 VSAを設定します。 [Enter Vendor Code]を選択し、"25461"を入力します。 "Yes. It conforms"を選択すると、設定した属性が、RADIUS RFCでの"Vendor Specific Attributes"の定義に準拠することになります。 "Configure Attribute…"をクリックします。 管理者ロールの[Vendor-assigned attribute number:]は"1"とします。 [Attribute format:]は"String"を選択します。 [Attribute value:]は管理者ロールの名前のことであり、今回は"SE-Admin-Access"を入力します。 [OK]をクリックします。 [Add]ボタンをクリックして、2つ目の属性を必要に応じて設定します。[Vendor-assigned attribute number:]の"2"はアクセスドメイン 用となります。 ユーザーは、"User-Group 5"に設定する必要があります。 注:グループは手動で入力して、該当するポリシーの中で使うことができます。 異なるアクセス/認証オプションが、(一般的なアクセスのために)既知のユーザーを使用する場合だけでなく、より安全なリソース/ルールを適用するためにRADIUSが返したグループでも利用することができます。 属性の一覧は、以下のように表示されます。 すべてのオプションが保存されるまで、[OK]をクリックし続けます。 既存のポリシーを右クリックして、実施したいアクションを選択することもできます。   パート 3:設定の確認 ファイアウォール上での確認: Palo Alto Networksファイアウォール上で、誤ったパスワードを使用して、以下のシステム ログが表示されるかを確認します。[Monitor] > [ログ] > [システム] 正しいパスワードを使用すると、ログインは成功して以下のログ エントリーが表示されます。 アクセス権を確認します。   NPS側での確認: イベント ビューワーから( Start > Administrative Tools > Event Viewer)、  以下を探します: Security Event 6272, “Network Policy Server Granted access to a user.” Event 6278, “Network Policy Server granted full access to a user because the host met the defined health policy.” Windows ログ内のセキュリティー ログを選択します。 Task Category の中で “Network Policy Server” を探します。   参照: 類似の設定方法として、以下のドキュメントも参照してください。 RADIUS VSA dictionary file for Cisco ACS - PaloAltoVSA.ini   著:srommens  
記事全体を表示
hshirai ‎07-20-2016 01:41 AM
2,637件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Setting a Service Route for Services to Use a Dataplane Interface from the Web UI and CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-a-Service-Route-for-Services-to-Use-a-Dataplane/ta-p/59433   概要 標準ではファイアウォールはDNS、Email、Palo Alto Updates, User-ID エージェント, Syslog, Panorama 等を含む様々なサービスの通信にマネジメント インターフェイスを使用します。サービスルートを使用することでファイアウォールとサーバー間の通信についてデータプレーンを通過するように設定することができます。   詳細 Web UIでの設定 Device > セットアップ > サービス > サービス ルートの設定 へ移動し、適切なサービスルートを設定します。   以下に示すように、事前に定義されていないサービスのサービスルートを設定する場合は、宛先アドレスを手動で入力することで設定できます: 上記の例では、10.66.22.245 または 10.66.18.252 宛てのサービスルートがそれぞれ 10.66.22.88 およびマネジメント インターフェイスを送信元として設定されています。   CLI での設定 コマンドのオプションを表示するために次のコマンドを実行します。 set deviceconfig system route service : > configure # set deviceconfig system route service <tab or '?' key>   dns                DNS server(s)   email              SMTP gateway(s)   netflow            Netflow server(s)   ntp                NTP server(s)   paloalto-updates   Palo Alto update server   panorama           Panorama serve   proxy              Proxy server   radius             RADIUS server   snmp               SNMP server(s)   syslog             Syslog server(s)   uid-agent          UID agent(s   url-updates        URL update server   wildfire           WildFire service   <value>            Service name   Palo Alto Networks のアップデートを受信するためにサービスルートとして利用可能なデータプレーン インターフェイスを表示するコマンド: # set deviceconfig system route service paloalto-updates source-address   10.10.10.2/24     10.10.10.2/24   10.140.59.2/30    10.140.59.2/30   10.30.14.59       mgmt 10.30.14.59   10.30.6.59/24     10.30.6.59/24   172.15.1.2/24     172.15.1.2/24   192.168.59.1/16   192.168.59.1/16   <value>           Source IP address to use to reach destination   以下の例示コマンドでは特定のデータプレーン インターフェイスを使用する Palo Alto Networks のアップデート通信に対するサービスルートを設定しています: # set deviceconfig system route service paloalto-updates source-address 10.140.59.2/30   事前に定義されていないサービスのサービスルートはCLIを通して設定することも可能です。 例: # set deviceconfig system route destination 10.66.22.245 source-address 10.66.22.88/23   注: セキュリティ ルール ベースで通信を許可しログに記録するための明示的なポリシーが必要となります。   著者 :  pchanda
記事全体を表示
tsakurai ‎07-18-2016 08:13 PM
7,533件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Wildfire Configuration, Testing, and Monitoring https://live.paloaltonetworks.com/t5/Management-Articles/Wildfire-Configuration-Testing-and-Monitoring/ta-p/57722   Wildfireは Palo Alto ファイアウォールと統合し、マルウェアの検出や防止を提供するクラウドベースのサービスです。 PAN-OS 7.0以前のWildfireはファイル ブロッキング プロファイルとして、PAN-OS 7.0 からは WildFire 分析プロファイルとして設定され、分析が必要なトラフィックにマッチするセキュリティ ポリシーに適用することができます。     セキュリティ ポリシーにて:   厳格なセキュリティー ポリシーが適用されている場合、管理インターフェースからインターネットへの出力トラフィックにおいて "paloalto-wildfire-cloud" アプリケーションが許可されているか確認してください。本アプリケーションは "paloalto-updates" および同様のサービスを含む既存のサービス ポリシーに追加しなければならない場合があります。また、外部インターフェースへ wildfire-cloud を統合するためには、サービス ルートを追加する必要があります。     Wildfire は ファイル ブロッキング プロファイルのフォワード アクションとしてセットアップすることができます。 Forward: ファイルは "Wildfire" クラウドへ自動的に送信されます。 Continue and Forward: ユーザーはダウンロードと Wildfire への情報転送の前に "continue" アクションを促されます。 PAN-OS 7.0 でもファイル ブロッキング プロファイルでまだ "continue" アクションを選択することができますが、WildFire 分析プロファイルでは単純に"public-cloud" または "WF-500" アプライアンスが利用可能な場合は"private-cloud"に送信するように設定することができます。   Wildfire 設定で決定したファイル タイプが Wildfire クラウドによってマッチングされます。 Palo Alto Networks ファイアウォールはファイルのハッシュを計算し、Wildfire クラウドに計算されたハッシュのみを送信します。 クラウド内のハッシュはファイアウォール上のハッシュと比較されます。ハッシュがマッチしなかった場合、Wildfire ポータル (https://wildfire.paloaltonetworks.com/) 上にアップロードされ、検査したファイルの詳細を閲覧したりできます。 ファイルは解析のために Wildfire ポータルへ手動でアップロードすることもできます。   Wildfire のテスト/モニタリング: 管理ポートが Wildfire と通信できるかCLIで "test wildfire registration" コマンドを使用することで確認することができます。 > test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire         wildfire registration:        successful         download server list:          successful         select the best server:        va-s1.wildfire.paloaltonetworks.com 有効な Wildfire ライセンスが存在する場合、デバイスは Wildfire クラウドに登録されます。   以下のコマンドは WildFire の動作を確認するために使用することができます: > show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link   Wildfireへの送信ログは Wildfire アクションの詳細を提供します: wildfire-upload-success: ファイルは WildFire クラウドへのアップロードに成功しました wildfire-upload-skip: Wildfire クラウドは既にファイルを検査しており、ファイルのアップロードはされません。Benignファイルについては、Wildfire ポータル上でレポートは作成されません。     ファイルがアップロードされているか既に過去に分析されておりアップロードされなかった場合においても、この sha256に対する ログ エントリは Wildfire レポートと共に生成されます。ファイルが直近でアップロードされている場合には、WildFire 解析がまだ完了していない可能性があり、その場合レポートはまだ利用できません。                                   著者: tpiens  
記事全体を表示
tsakurai ‎07-17-2016 05:21 PM
10,565件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Policy with DoS Protection to Protect Hosted Services https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Configure-a-Policy-with-DoS-Protection-to-Protect-Hosted/ta-p/56507   概要 この環境では、Paloalto Networks ファイアーウォールはサービスをホストするように設定されています。この例では、ファイアーウォールは Trust ネットワークにある Web サーバーに対して Destination NAT が設定されているとします。この場合、DoS 攻撃に対しての防御ポリシーが必要になります。   手順 カスタム DoS プロテクション プロファイルを作成します。 Objects > DoS プロテクションに移動します。 「追加」をクリックします。 DoS プロテクション プロファイルを設定します。(以下の例を参照してください)   手順1.で作成した DoS プロテクション プロファイルを使った DoS プロテクション ポリシーを作成します。 Policies > DoS プロテクションに移動します。 「追加」をクリックして、新しい DoS ルール ダイアログを表示させます。 上記で作成した DoS プロテクション プロファイルを適用します。 アクションを「Protect」に設定します。デフォルトのアクションは「Deny」となっているため、このフローにマッチしたトラフィックは全て拒否されます。       注:この例では、閾値に検証環境の設定を反映させています。運用環境に適用する場合は、そのネットワークにおいて想定されるトラフィックに応じて値を設定してください。   著者: sberti
記事全体を表示
hfukasawa ‎07-17-2016 04:55 PM
8,763件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 RADIUS Vendor-Specific Attributes (VSA) https://live.paloaltonetworks.com/t5/Configuration-Articles/RADIUS-Vendor-Specific-Attributes-VSA/ta-p/60273   概要 この文章ではRADIUSベンダー識別子(VSA: Vendor-Specific Attributes)をPalo Alto Networks次世代ファイアウォール、Panoramaサーバーに設定する方法について記述します。Palo Alto Networks ファイアウォール機器と、Panoramaサーバー設定は基本的に同じです。 注: Palo Alto Networksはベンダーコード25461を使用します。   属性には、以下の5つがあります。 PaloAlto-Admin-Role: 属性第1 – 初期のadmin role名かcustom admin role名のいずれかです。 PaloAlto-Admin-Access-Domain: 属性第2 - Palo Alto NetworksデバイスにてマルチVsysを有効にした場合に使用します。これはDevice > Access Domainsで設定されたアクセス ドメイン名です。 PaloAlto-Panorama-Admin-Role: 属性第3 – Panoramaの初期のadmin role名かcustom admin role名のいずれかです。 PaloAlto-Panorama-Admin-Access-Domain: 属性第4 - これはPanoramaのDevice > Access Domainsで設定されたアクセス ドメイン名です。 PaloAlto-User-Group: 属性第5 – 認証プロファイルで使用するグループ名です。   RADIUSサーバが準備されていない場合、作成を完了してください。グループ情報を取り出すのはベンダー識別子(VSA)特有機能で、通常のRADIUS設定では不必要です。 認証プロファイルの作成します。RADIUS認証でログインできるユーザーをグループ名でフィルターしたい場合、追加ユーザーのAllow Listウィンドウにグループ名を入力します。この例で使われているグループ名はtestgroupです。 注: Allow Listの追加はオプショナルです。 Panorama設定 PanoramaアクセスのAdmin Role設定します。これによりユーザー アクセスがどのような権限を持っているかPanoramaに知らせることができます。 Device > Admin RoleにアクセスしAdmin Roleを作成します。このロールは、ユーザーがログインした時に正しい権限を譲渡します。この設定例では、testroleを使っています。 "デバイス グループとテンプレート" のオプションは、アクセス ドメイン中の特定のデバイスに対するアクセス許可を与えるように、必ずチェックしてください。 アクセス ドメインの設定はPanoramaにユーザーがどのような権限を持っているか知らせます。 認証プロファイルをPalo Alto Networksデバイス、もしくはPanoramaに適用する場合、Palo Alto Networksデバイスの場合は、Device > Setup > Management > Authentication Profile、Panoramaの場合は Panorama > Setup > Management > Authentication Profileに移動します。   Windows 2003: Palo Alto Networksベンダー識別子を(VSA)をWindows 2003サーバーに設定する。 想定 : RADIUSクライアントとRemote Access Policyが既に設定されていること。 既存のRemote Access Profileを編集します。 Remote AccessプロファイルのEdit Profileボタンをクリックします。 Advancedを選択し、Addをクリックします。 Vendor-Specificまでスクロールし、Addをクリックします。 次のウィンドウで、Addをクリックし必要な属性を作ります。 ベンダー識別子(Vendor-Specific Attribute)情報ウィンドウでVendorコードを選択し、25461を右側フィールドに入力します。続いて、"Yes, It conforms," を選択し、 "Configure Attribute…"をクリックします。 次のウィンドウで、このドキュメントの冒頭に説明した、ベンダー識別子番号(Vendor-assigned attribute number)を入力します。識別子のフォーマットは "String" であるべきです。識別子の値は、設定次第になります。 以下が Palo Alto Networks デバイスに設定した、ロール (testrole) の例です。   以下が、Palo Alto Networks装置のVsys (vsys1)設定例です。   以下が、Panoramaサーバーに設定した、ロール(testrole)の例です。   以下が、Panoramaサーバーに設定したアクセス ドメイン(Domain1)の例です。   以下が、Palo Alto Networks装置、Panoramaサーバーに設定したグループ(testgroup)の例です。   以下が、カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPalo Alto Networksデバイスに設定した例です。これらはこの文章の冒頭部分で設定されています。   Windows 2008ネットワーク ポリシー サーバー: Palo Alto Networksベンダー識別子(VSA)をWindows 2008サーバーに設定する。 想定: RADIUSクライアントとネットワーク ポリシーが既に設定されていること。 既存のNetwork Policiesを右クリックから編集を選択し、プロパティを選択します。 Settingsタブから、Vendor Specificを選び、Addボタンをクリックします。 Attributesボックスをスクロールダウンし、Vendor-Specificを選びます。 Addボタンをクリックします。 Vendor-Specific Attribute Informationウィンドウで、Enter Vendor Codeを選び、25461を右側フィールドに入力します(以下の図を参照)。次に"Yes, It conforms,"を選択し、"Configure Attribute…"をクリックします。 次のウィンドウで、この文章の冒頭部分で説明したようにベンダーが割当てた識別番号を入力します。識別フォーマットは "String" であるべきです。識別子の値は、設定次第です。以下の設定例では、Palo Alto Networks デバイス、Panoramaサーバーの識別子の設定が可能です。 以下が、Palo Alto Networksデバイスのロール (testrole)設定例です。   以下が、Palo Alto NetworksデバイスのVsys (vsys1)設定例です。   以下が、Panoramaサーバーのロール (testrole)設定例です。   以下が、Panoramaサーバーのアクセス ドメイン (Domain1)設定例です。   以下が、Palo Alto Networksデバイス、Panoramaサーバーのグループ(testgroup)設定例です。   以下が、カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPalo Alto Networksデバイスに設定した例です。これらはこの文章の冒頭部分で設定されています。   Cisco ACS 次にベンダー識別子(VSA)をCisco ACS 4.0 サーバーに設定します。 想定: RADIUSが設定され、Panoramaサーバー上で動作していること。   palalto.ini という名前のファイルをCisco ACS サーバーのUtilsフォルダーに作成します。   以下がiniファイルに記述するサンプル例です。 iniファイルを保存し、ACSサーバーのbinフォルダーにあるCSUtil.exeコマンドを起動して、それをACSサーバーに反映させます。 コマンド例: CSUtil.exe –addUDV 0 C:\Program Files\CiscoSecure ACS v4.0\Utils\paloalto.ini ACS サーバーにて、Interface設定ページを選び、"RADIUS (PaloAlto)"をクリックします。 使用したい識別子を選びます。以下のサンプル例ではすべてを選択しています。Submitをクリックします。 ACS Groupの識別子を編集します。testgroupというグループを作成します。 グループ設定で、以下の図のように、jump toで"RADIUS (PaloAlto)"が選択できます。 ご使用になられたいオプションを設定します。カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPanoramaサーバーに設定した例です。これらはこの文章の冒頭部分で設定されています。   参考 Configuring Cisco ACS 5.2 for use with Palo Alto Vendor Specific Attributes  (英文)   著者: rnit
記事全体を表示
kkondo ‎07-15-2016 07:25 AM
6,683件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect SSO with Pre-Logon Access using Self-Signed Certificates https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-SSO-with-Pre-Logon-Access-using/ta-p/56297     概要 本文書には、自己署名証明書を使用した"Pre-Logon"方法で、GlobalProtect SSOを設定する方法が記載されています。   手順 下記の設定例は、同じPalo Alto Networksデバイス上に、1つのポータルと1つのゲートウェイがある場合のものですが、複数のゲートウェイ設定に拡張することができます。ローカル データベース認証は今回の例のために使用されていますが、他の認証方法 (LDAP、Kerberos、Radiusなど) も適用することができます。 ルート認証機関 (CA) 証明書をPalo Alto Networksデバイス上で生成します。これは、GlobalProtectポータルとゲートウェイ用のサーバー証明書に署名するために使われます。クライアント コンピューターに導入される、コンピュータ証明書も同様です。 サーバー証明書とコンピューター証明書を生成します。各証明書は、手順1で作成したCA証明書によって署名される必要があります。 GlobalProtectに関連付けられたデバイスの証明書は、以下のように表示されます: 証明書プロファイルを作成します。これは、CA証明書と相互に確認する際に、コンピューター証明書が有効かどうかを確認するために使われます。 CA証明書を追加する際は、CA証明書をリストから選択してください。 GobalProtect ポータルを以下のように作成します: "ポータル設定"にて、"ネットワーク設定"と"認証"を設定します。"サーバー証明書"には、上記の手順3で作成したサーバー証明書を選択します。"証明書プロファイル"には、手順4で作成したプロファイルを選択します。 "クライアント設定"にて、設定ファイルを作成します。これは、クライアントが最初に接続にしにいく際や、ネットワークの再検出をする際に、GlobalProtectのクライアントに展開されます。 "接続方式"で"pre-logon"を選択し、クライアント用に"pre-logon"設定ファイルを作成します。"pre-logon"ユーザーを含むすべてのユーザーが同じ設定ファイルを取得できるように、"any"ユーザーの設定ファイルも作成します。"信頼されたルート CA"にて、手順1で作成したルートCAを追加します。この証明書は、接続しているエージェントに展開されます。 GlobalProtect ゲートウェイの設定例は以下のとおりです。GlobalProtect ポータルの設定で使われているものと同じ"サーバー証明書"と"証明書プロファイル"が使用されていることを確認します。 下記図はGlobalProtect ゲートウェイの設定を表しており、tunnel.1 (L3-Trust ゾーン)にてユーザーを終端し、内部の信頼されたネットワーク (192.168.144.0/24) に対してだけ有効なアクセス ルートを持つ192.168.200.0/24 のスコープを使用する、という設定を表しています。 次の手順は、ローカル コンピューター上の信頼された証明書に追加されることになる、コンピューター証明書をエクスポートすることです。"ファイル フォーマット"として"PKCS12"を使用し、パスフレーズを入力します。 クライアント コンピューター上で、上記でエクスポートしたコンピューター証明書をインポートします。下記図は、ローカル コンピューター上でのMMC証明書のスナップ インの使用方法を表しています。 これにより、"Certificate Import Wizard"が起動します。以下の手順に従って、インポートを完了させます。今回の例における証明書の場合は、"PKCS12"というフォーマットでエクスポートされていました。正しい証明書が見つけられていることを確認します。 ローカル コンピューターの個人証明書ストアに、その証明書がインストールされていることを確認します。 Syslogは、ユーザー資格情報を使ってエージェントが接続に成功している最初の接続を示しています。その後、コンピューターからログオフします。その後もコンピューターが続けて、"pre-logon"ユーザーとしてCA証明書によって有効だとされたコンピューター証明書を使って、GlobalProtectポータルとゲートウェイに問題なく接続できることを確認します。     著者:rkalugdan
記事全体を表示
hshirai ‎07-15-2016 01:24 AM
5,420件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Source NAT Translation Types and Typical Use Cases https://live.paloaltonetworks.com/t5/Management-Articles/Source-NAT-Translation-Types-and-Typical-Use-Cases/ta-p/66203   概要 以下は送信元アドレス変換のタイプと、よくある使用例です。   Dynamic IP and Port 指定された送信元IPアドレスについて、Palo Alto Networks のファイアウォールは送信元 IP アドレスまたは範囲を1つの IP アドレスへ変換します。マッピングは送信元ポートに基づいているため、複数の送信元 IP アドレスは送信元ポートが消費されるまで1つの変換されたアドレスを共有することができます。これは、1つのパブリック IP アドレスを多くのプライベート IP アドレスの間で共有する場合によく利用されます。ISP に接続するインターフェイスに割り当てられた IP アドレスを選択するのが一般的です:   アウトバウンド プールに IP アドレスを追加するには、アドレス タイプを "Translated Address" に変更し、有効なパブリック IP アドレスを追加します。ファイアウォールはセッションごとにアドレスをロードバランスします。   NAT プールの使用状況を確認するには次のコマンドを使用します:  > show running global-ippool   Dynamic IP 指定された送信元 IP アドレスについて、ファイアウォールは、定義されたプールまたは範囲内のIPに送信元IPを変換します。マッピングはポートベースではなく、セッションが持続する限り 1対1 のマッピングを行います。それぞれの同時セッションはプールからアドレスを使用し、他の送信元 IP アドレスはそのアドレスを使用できなくなります。このオプションを利用する場合、同時アウトバウンド セッションを作成するホストの数がダイナミック プール内の IP アドレスの数を超えた場合に、変換用アドレス プールが枯渇することに注意してください。これは2つ以上のパブリック IP アドレスを ISP から割り当てられたものの、すべての内部ホストに割り当てるには不十分なので、アウトバウンド ホストを必要な分だけアサインするときに利用されます。ダイナミック プールには IP アドレスの範囲を割り当てることが一般的です:   指定されたNAT ポリシーの現在の NAT プールのマッピングを表示するには、次のCLIコマンドを実行します。: > show running nat-rule-ippool rule <NAT rule name> Static IP ひとつの送信元アドレスを特定のパブリック アドレスに変換するにはこの変換タイプを使用してください。これは、一般的には変更されないアドレスを持つサーバー(電子メール、 Webまたは任意のアプリケーション)を公開するために使用されます。   Bi-directoinal を「Yes」にすると、送信元と宛先に基づいた双方向のマッピングを作成します。「No」に設定すると、送信元から宛先へのマッピングだけが作成されます。サーバーのアウトバウンド トラフィックとインバウンド トラフィックは同じアドレスを使用するため、通常、送信元 NAT ポリシーの Bi-directional は「Yes」が利用されます:   アドレス範囲全体を特定のアドレス範囲に 1対1 のマッピングで変換するよう Static IP マッピング タイプを使用してください。このポリシーを使用する送信元 IP アドレスの数は、変換後アドレスの範囲と正確に一致する必要があります。一般的には、ネットワークを統合する際の IP 範囲の重複解決するために使用されます。以下のポリシーでは、10.30.1.x 範囲内で一致するアドレスに (Corp) ゾーン宛て 10.20.1.x アドレスの持つすべての送信元アドレスを変換します。:   著者: jteetsel
記事全体を表示
dyamada ‎07-13-2016 05:35 AM
13,460件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Cisco Link Aggregation Traffic Through a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/Cisco-Link-Aggregation-Traffic-Through-a-Palo-Alto-Networks/ta-p/61067     バーチャル ワイヤ モードが有効になっている場合、Palo Alto Networks デバイスは、Cisco リンク アグリゲーション  コントロール プロトコル トラフィックを通すことができます。この例では、デバイスはリンク アグリゲーションを構成する役割は持っていません。2つのスイッチを接続し、LACPトラフィックをパススルーさせるのみです。 注意:  PAN-OS 6.1以前では、 LACP は対応しておらず、複数のネットワーク ポートを論理的な一つのポートに集約するといった要件の中で、Palo Alto Networks デバイスを使用することはできません。 この例の中では、静的なポート設定での利用が 想定されています。   トポロジー例   Switch 1 Configuration Switch 2 Configuration port-channel load-balance dst-ip interface Port-channel5 switchport access vlan 10 switchport mode access   interface GigabitEthernet0/1 switchport access vlan 10 switchport mode access channel-group 5 mode active ! interface GigabitEthernet0/2 switchport access vlan 10 switchport mode access channel-group 5 mode active ! interface GigabitEthernet0/3 switchport access vlan 10 switchport mode access !   port-channel load-balance dst-ip interface Port-channel10 switchport access vlan 10 switchport mode access !   interface GigabitEthernet0/13 switchport access vlan 10 switchport mode access channel-group 10 mode active ! interface GigabitEthernet0/14 switchport access vlan 10 switchport mode access channel-group 10 mode active ! interface GigabitEthernet0/15 switchport access vlan 10 b switchport mode access !   ファイアウォールの設定   802.3ad リンク アグリゲーションの詳細情報は、wikipediaのLink aggregation をご参照ください。 著者: wtam  
記事全体を表示
kkawachi ‎07-12-2016 01:20 AM
4,938件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 How to Create an Application Filter to Block High-Risk Applications https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Filter-to-Block-High-Risk/ta-p/62794       概要 本ドキュメントでは、 peer-to-peer テクノロジーを利用したhigh-risk (5) file-sharing applicationsをブロックするためのセキュリティポリシーの作成方法を説明しています。   手順 Policies タブからSecurityを選択し、セキュリティ ポリシーの追加を行います。 General, Source,User,Destination タブの必要情報を入力します。その後、Applicationタブを選択します。 Addを選択し、 ドロップダウン リストの一番下までスクロールさせ、Application Filterを選択します。 作成するApplication Filterに対し、名前をつけます。 peer-to-peer technologyベースのhigh-risk (5) file-sharing applicationsに対して制御を行いたいため、以下の流れで指定します。 Category カラムの下にある、 highlight general-internetをクリックします。 Subcategoryの下にあるfile-sharingを選択します。 技術的な部分では、peer-to-peer Risk が 5 OKをクリックし、保存します。Application Filterがルール上に表示されます。 Security Policyの設定の残りを入力します。 Service/Urlカテゴリは、Anyを選択し、ActionについてはDenyを選択することが推奨となります。   これまでの手順を実施することで、ファイアウォールを経由するトラフィックは、application filterによりカテゴライズされます。   注: アプリケーション フィルターは、動的なものです。ビルト イン カテゴリ が選択された場合は、グループがルール内で利用できるようになります。この結果、選択されたカテゴリに該当するものはすべてグループに含まれる結果となります。 アプリケーションはリカテゴライズされたり、 もしくは、新しいアプリケーションがそのカテゴリに追加されるため、 そういったアプリケーションは、アプリケーションフィルターから動的に追加されたり、削除されたりすることになります。この動作により問題が発生する可能性があります。なぜなら、リカテゴライズにより、過去許可していたアプリケーションが突然ブロックされたり、過去ブロックしていたアプリケーションが突然許可されることが発生するからです。アプリケーション グループを使用していたケースでも、アプリケーションは、サービス グループやアドレス グループと同様に分類されます。ブロック、許可を行う対象のアプリケーションが追加されるたび、使用しているアプリケーション グループに手動で追加していく必要が見込まれます。   参考情報 セキュリティ ポリシー内で、効果的にHigh-Risk Appを活用したい場合、アプリケーションの依存関係について深い理解を得る必要があります。こちらのドキュメントをご参照ください。 How to Check if an Application Needs to have Explicitly Allowed Dependency Apps  (英文)   著者: sodhegba    
記事全体を表示
kkawachi ‎07-12-2016 01:01 AM
3,970件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Custom Syslog Sender and Test User Mappings https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Custom-Syslog-Sender-and-Test-User-Mappings/ta-p/52896   PAN-OS 6.0, 6.1   概要 PAN-OS 6.0からパロアルトネットワークス・ファイアウォールをSyslogリスナーとして使うことができ、違うネットワーク エレメントや、ユーザーとIPアドレスをマッピングさせてSyslogを収集することができます。それらはセキュリティ ルールやポリシーで使われます。この機能を有効にすると、Syslogリスナーは自動的に設定され、UDPを選択した場合は、ポート番号514を、SSL暗号化を選択した場合は、ポート番号6514が使われます。 このオプションはファイアウォールに限定されたものではなく、Windowsサーバ上にインストールされたUser-IDエージェントでも設定できます。Windowsエージェントでは、SSLは使われず、UDP/TCPともにポート番号514が使われます。   この文章では、どのようにしてパロアルトネットワークス・ファイアウォールでカスタム フィルターを設定するのか説明します。 注 : アプリケーション コンテンツ バージョン418より、パロアルトネットワークスは事前設定されたSyslogセンダーのリストを含みます。アプリケーションのアップデートは、WebUI (Device > Dynamic Updates)からダウンロード、インストールができます。   要求要件 : Syslogセンダー・ログ 送信者のIPアドレス ログの送付方法(暗号化されているか、暗号化されないか) ユーザーがアクセスしているドメインとログインした時に使われている“domain\”表記方法 フィールドもしくはRegex 識別子を使用するのかの決定   この文章では、ファイアウォールに直接設定する方法について記述しています。しかしながら、User-IDエージェントに設定を実行する場合も手順は同様です。   ステップ ログの解析 一部のログを取得し、User-IPマッピングに必要なフィールドを決定します。常に必要なのは、ユーザ名、IPアドレス、フィールドに必要な区切り文字(デリミター)そしてイベント・ストリングです。イベント・ストリングはファイアウォールにユーザがログインに成功して、ユーザ名、IPアドレスが収集され、User-IPマッピング・データベースに登録されたことを通知します。   以下のSyslogサンプルは、アルーバ・ワイヤレス・コントローラーからのログ出力例です。 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF 2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest 2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest   上記のSyslogサンプルを参照すると、構文解析には、フィールド識別子使われているのが解ります。 イベント・ストリングには “User Authentication Successful:”フレーズを探します。 ユーザ名の接頭語は“username=”です ユーザ名の区切り文字は “\s”です アドレスの接頭語は “IP=” です アドレスの区切り文字は“\s” です   注: Syslog中の区切り文字が空白の場合によくある間違えが、区切り文字フィールドとして空白や “ ”が使われることです。これは正しくなく、例えRegex識別子が使われていなくとも'\s'が正しい区切り文字としての空白スペースの表記方法です。しかしながら、User-IDエージェントで同様の設定した場合、空白スペースを区切り文字として使う必要があります。なぜなら、'\s'はデバッグ ログで認識されず、エラーとなるからです。   設定 ファイアウォールをリスナーとした際に、送られてくるSyslogに使われるSyslog解析プロファイルを定義します。 Device > User Identification > User Mappingに移動します。 "Palo Alto Networks User ID Agent Setup"セクションで編集を選択します。 Syslog Filterタブに移動し、新しいSyslog解析プロファイル追加を選びます。 ログの複雑度からプロファイル・タイプを選択します(Regex識別子かフィールド識別子)。 フィールドの値を上記の解析結果から入力します。 サーバー・モニターを設定します。 Device > User Identification > User Mappingに移動します。 Server Monitoringセクションで、新しいServer Monitorを追加します。 Syslogセンダーのタイプを選択します。 Syslogセンダーの適切なConnection Type、Filter(この設定例では、前のステップで設定したものを選択しています)、Default Domain Nameなどの設定を選んで)を選択します。 注:  Default Domain Nameが使われた場合、入力されたドメイン名がこのサーバー・コネクション経由で発見されたユーザーすべてに付与されます。 全ての設定が完了したら、コネクションを確立するための特定のインターフェイスを許可します。 Network > Network Profiles > Interface Mgmtに移動 接続タイプによって、User-ID-Syslog-Listener-UDPかUser-ID-Syslog-Listener-SSLのコネクション・タイプを選択します。 ManagementプロファイルをEthernetインターフェイスのAdvancedタブで選択します。 接続試験を実施して、サーバーから生成されたログを解析確認してください。 送付されてきているサーバーから受信されているか確認してください。そしてファイアウォール上でマッピングが生成されているか確認してください。 サンプル例 : > show user server-monitor state all UDP Syslog Listener Service is enabled SSL Syslog Listener Service is disabled   Proxy: ilija-syslog(vsys: vsys1)   Host: ilija-syslog(10.193.17.29) number of log messages                            : 1 number of auth. success messages                  : 1   > show user ip-user-mapping all type SYSLOG IP              Vsys   From    User                             IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ------------- 10.200.40.201   vsys1  SYSLOG  al.com\1109853ab111008 2696      2696         Total: 1 users   著者 :  ialeksov    
記事全体を表示
kkondo ‎07-12-2016 12:38 AM
3,312件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Provide Quality of Service to a Single IP adress https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Provide-Quality-of-Service-to-a-Single-IP-adress/ta-p/55486   Quality of Service (QoS)を1つのIPアドレスに適用するステップ プロファイルの作成 Device > Network > QoS Profile     2つのclassを作成し、各々違うユーザで違う帯域制御を設定します(以下参照)           プロファイルを帯域制御に実施するインターフェイスに割当てます。この例では、インターフェイス1/3(Untrustゾーン) Device > Network Tab > QOS QoSプロファイルはクリアー テキスト トラフィックに設定しています。 QoSルールの作成 ユーザIPアドレスを選択し、そのユーザの為にclassを定義します。QoSプロファイルでは、このclass毎に帯域制限を設定します。 Device > Policies > QOS Rules IP 192.168.141.41 (QOS Rule User2)にて試験 IPの第4オクテット目が.40で終わるUser 1は最大外向け帯域幅を2MB、 IPの第4オクテット目が.41で終わるuser 2に帯域幅を10MBが最初の図のようにclass定義されています。 WebUIで試験結果を統計情報で確認する。 Device > Network > QOS トラブルシューティング用コマンド   QoSに関連したセッションだけを表示する。 show session all filter qos-class 2 show session all filter qos-rule User2   QoSトラフィックの帯域量を確認するには show qos interface ethernet1/3 throughput 0 0はdefault groupのQid   インターフェイス1/3のQoS帯域量、ノードdefault-group (Qid 0): class 1:      299 kbps class 4:        6 kbps   QoS Sessionのセッション情報詳細のサンプル例 show session id  26680 Session           26680         c2s flow:                 source:      192.168.141.41 [L3-T]                 dst:         204.160.102.126                 proto:       6                 sport:       31160           dport:      80                 state:       ACTIVE          type:       FLOW                 src user:    unknown                 dst user:    unknown                 qos node:    ethernet1/3, qos member N/A Qid 0           s2c flow:                 source:      204.160.102.126 [L3-U]                 dst:         172.17.128.141                 proto:       6                 sport:       80              dport:      27607                 state:       ACTIVE          type:       FLOW                 src user:    unknown                 dst user:    unknown           start time                    : Sat Jun 30 15:21:55 2012         timeout                       : 30 sec         time to live                  : 18 sec         total byte count(c2s)         : 837         total byte count(s2c)         : 506         layer7 packet count(c2s)      : 6         layer7 packet count(s2c)      : 5         vsys                          : vsys1         application                   : web-browsing         rule                          : rule1         session to be logged at end   : True         session in session ager       : True         session synced from HA peer   : False         address/port translation      : source + destination         nat-rule                      : In-Out(vsys1)         layer7 processing             : enabled         URL filtering enabled         : False         session via syn-cookies       : False         session terminated on host    : False         session traverses tunnel      : False         captive portal session        : False         ingress interface             : ethernet1/4         egress interface              : ethernet1/3         session QoS rule              : User2 (class 2)   著者 :  ssunku
記事全体を表示
kkondo ‎07-12-2016 12:28 AM
6,650件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Tagged-Sub-Interfaces/ta-p/58712   手順 複数のVLANを同じ物理インターフェースに終端させるには、複数のタグ付きサブインターフェースを作成する必要があります。(VLAN一個あたり一つ) WebGUIからNetwork> Interfacesの順に選択。 次にL3かL2のインターフェースを選択し(上記の例ではethernet1/6が選択されてます)Add Subinterfaceを選択します。 L2インターフェースの場合: L3インターフェースの場合 :
記事全体を表示
oconnellm ‎07-11-2016 10:16 PM
5,947件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Addressed: Palo Alto Networks Product Security Regarding the June 5th OpenSSL Security Advisory https://live.paloaltonetworks.com/t5/Threat-Articles/Addressed-Palo-Alto-Networks-Product-Security-Regarding-the-June/ta-p/59677     更新: 本文書に書かれた問題は既に対応済みです。 この問題は、PAN-OS 6.0.4, 5.1.9, 5.0.14にて対応済みです。これらのバージョン、もしくはそれ以降のバージョンにすることで問題は回避されます。   要約 Palo Alto Networks PAN-OS ソフトウェアは、特定の限られたケースにおいて、マン・イン・ザ・ミドル (MITM) 攻撃に繋がる脆弱性CVE-2014-0224の影響を受ける可能性があります。これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。なお、GlobalProtectは影響を受けません。   注: 2014年6月5日に報告されたOpenSSLの脆弱性のうち、その他6つのCVEに関しては、弊社のソフトウェア プラットフォームは影響を受けません。   詳細 Palo Alto Networksの製品セキュリティ エンジニア チームは2014年6月5日に報告されたOpenSSLの脆弱性が弊社の製品に影響を及ぼすかどうか解析を行いました。記載されている7つのCVEのうち、CVE-2014-0224のみが弊社のソフトウェアに関連していることがわかりました。残りのCVEに関しては、弊社のソフトウェアは DTLS (Datagram Transport Layer Security)、及びアノニマス ECDH (Elliptic curve Diffie-Hellman) を使わないため影響はありません。CVE-2014-0224による影響も限られています。何故なら、影響を受けるのはクライアントとサーバーが同時に脆弱である場合であるためです。PAN-OSはクライアントとしては影響を受けますが、サーバーとしては影響を受けません。結果、マン・イン・ザ・ミドル (MITM) 攻撃の影響を受ける可能性があるのは、脆弱性のあるOpenSSLバージョン(OpenSSL 1.0.1 and 1.0.2-beta1)を使っている外部のサーバーに弊社のソフトウェアが接続をしにいった際に作られるセッションのみに限られます。   お客様の設定によって、MITMに対して脆弱なサービスは様々です。例えば、脆弱なOpenSSLサーバーを動かしているプロキシをSSLを用いて使うファイアウォールのサービスであったり、脆弱なOpenSSLサーバーを動かしているsyslogサーバーへSSLでログ転送するサービスであったり、脆弱なOpenSSLサーバーを動かしているディレクトリ サーバーに接続に行くユーザーIDエージェントなどがあります。GlobalProtectポータルとゲートウェイは脆弱でないため、GlobalProtectは影響を受けません。   これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンのPAN-OS、ユーザーIDエージェント、GlobalProtectに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。お客様は、自身が運用するサーバーにおいて脆弱性のあるOpenSSLのバージョン(1.0.1 and 1.0.2-beta1)を使わないようにすることで、上記に書かれた問題を回避することができます。不明な点がありましたら、Palo Alto Networks サポートチームにお問い合わせ下さい。    OpenSSL アドバイザリ: https://www.openssl.org/news/secadv_20140605.txt  (英文)   著者: gwesson
記事全体を表示
ymiyashita ‎07-11-2016 02:34 AM
3,059件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create a WildFire User https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-a-WildFire-User/ta-p/57775     手順 WildFireユーザーを作成するためには、アカウントのメンバーである必要があります。 "Go To"リストに行き、"Wildfire Users"をクリックします。 "MANAGE WILDFIRE USERS"画面にて、"Add WildFire User"ボタンをクリックします。 Eメールアドレスを入力し、"Submit"ボタンをクリックして保存します。 "WILDFIRE USER"画面にてWildFireデバイスを選択し、"CREATE CONTACT DETAILS"に必要事項を入力します。 注:CSPユーザーのアカウントは、WildFireユーザーを作成するためには必要ありません。 "Submit"ボタンをクリックします。   著:panagent
記事全体を表示
hshirai ‎07-10-2016 10:57 PM
1,194件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Block A Threat For a Specific Time Interval https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Block-A-Threat-For-a-Specific-Time-Interval/ta-p/58181     概要 本文書では、脅威を検知した際に、予め設定した一定時間その脅威をブロックする方法について説明します。   詳細 この制御は、アンチスパイウェアと脆弱性防御の両方において設定が可能です。   アンチスパイウェア Objects > セキュリティ プロファイル > アンチスパイウェア へ移動し、「追加」をクリックします。 アンチスパイウェア プロファイル > 例外 > 名前 の欄で、名前を入力します。 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威 IDを入力し、「アクション」をクリックします。 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。 設定変更後のアクションは以下のように表示されます。 実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。   脆弱性防御 Objects > セキュリティ プロファイル > 脆弱性防御 へ移動し「追加」をクリックします。 名前を設定し、「例外」タブへ移動します。 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威 IDを入力します。 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。 設定変更後のアクションは以下のように表示されます。 実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。   著者: dantony
記事全体を表示
ymiyashita ‎07-10-2016 10:46 PM
4,029件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Site-to-Site IPSec VPN Between Palo Alto Networks Firewall and Cisco Router using VTI Not Passing Traffic https://live.paloaltonetworks.com/t5/Configuration-Articles/Site-to-Site-IPSec-VPN-Between-Palo-Alto-Networks-Firewall-and/ta-p/62103   問題 パロアルトネットワークス ファイアウォールとCiscoルーターで仮想トンネル インターフェイス(VTI)を使用してサイト間VPNが設定されているとします。しかしIKEフェーズ2通信がパロアルトネットワークス ファイアウォールと Ciscoルーターで通りません。 まとめると、以下の状況でVPNはダウンしています。 トンネル インターフェイスがダウンしている。 IKEフェーズ1はアップしているが、IKEフェーズ2がダウンしている。   原因 PFSの不一致によりIKEフェーズ2が不一致となり、この問題が発生している可能性があります。   解決策 パロアルトネットワークス ファイアウォールとCiscoルーターが同じPFSの設定を持つように設定します。   パロアルトネットワークス ファイアウォール上では、[Network] >[IPSec 暗号]に移動します。トンネルに設定している[IPSec暗号プロファイル]を選び、DH グループの値がCiscoルーターと一致するか確認します。   Ciscoルーターではパロアルトネットワークス ファイアウォールと一致するようPFSを設定します。   以下はパロアルトネットワークス ファイアウォールのCLIで tail follow yes ikemgr.log コマンド を実行したときの出力です。 最初の赤線で囲った部分はPFSの不一致のメッセージとなります。二番目の赤線で囲った部分はPFSの不一致を修正したあとのメッセージとなります。   パロアルトネットワークス ファイアウォール上で show vpn flow tunnel-id <ID番号>  を実行すると、暗号化、復号化のパケットのカウントが増えていることを確認できます。   Ciscoルーターでは、 show crypto ipsec sa  と入力すると、暗号化、復号化のパケットが増加していることを確認できます。   著者:jlunario  
記事全体を表示
TShimizu ‎07-10-2016 10:44 PM
4,119件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community