ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Configure WildFire https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-WildFire/ta-p/56165   概要   WildFireは、ユーザに悪意のあるアクティビティの有無を自動的に解析する Palo Alto Networks のセキュアかつクラウドベースの、仮想化された環境へファイルを提出することを可能にします。脆弱な環境でそのファイル実行させ、システムファイルを修正する、セキュリティ機能を無効にする、検出を回避するために様々な方法を使用する、などの特定悪意ある行動やふるまいをPalo Alto Networksは監視します。ZIP圧縮されたファイルや HTTP(GZIP) ファイルは検査され、内部の EXE や DLL ファイルを解析対象にすることが可能です。 WildFireポータルでは解析ファイルの解析結果の閲覧が可能で、標的にされたユーザー、利用されたアプリケーション、悪意のあるふるまいが確認できます。WildFireポータルでは、解析結果が利用可能になった際にEメールを送信することもできます。   構成   設定方法: Device > Setup > WildFire タブに移動 default-cloudを選択し、maximum file size を 2MBにする WildFire に転送される情報を指定 Source IP—疑わしいファイルを送信した送信元IPアドレス Source Port—疑わしいファイルを送信した送信元ポート Destination IP—疑わしいファイルが送信された宛先IPアドレス Destination Port—疑わしいファイルが送信された宛先ポート Vsys—マルウェアの可能性が識別されたファイアウォール上のバーチャルシステム Application—ファイル転送に利用されたユーザーアプリケーション User—狙われたユーザ URL—疑わしいファイルに関連するURL Filename—送信されたファイルの名称   デフォルトでは、すべてのオプションが選択されていますが、Wildfireが動作するための必須情報ではありません。選択をはずした情報はWildFireクラウドに送信されません。   復号化ポリシーを利用している場合、WildFireでは暗号化されたファイルのアップロードの有効化が可能 Device > Setup > Content-ID > Enable に移動し“Allow Forwarding of Decrypted Content”を有効化                    デフォルトでは、暗号化されたファイルはWildFireクラウドに転送されません。PAN-OS 6.0では修正されるでしょう。(翻訳者注:要確認) Objects > Security Profiles > File Blocking に移動 ルールを追加. ルール名入力 (英字 31 文字以内) Applications— anyを選択 File Types—exe, dll のファイルタイプを選択 Direction—ファイル転送の方向を選択 (Upload, Download, または Both) Action—設定したファイルタイプを検知した際のアクションを設定 : Forward (ファイルを自動的にWildFireに送信)     作成した File Blocking プロファイルを Policies > Security 内の Wildfire を利用したいルールに適用 OKをクリック 設定をコミット     WildFire CLI コマンド 基本設定完了後、以下のコマンドで接続されたサーバの詳細が確認できます。接続性の確認 : > test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire         wildfire registration:        successful         download server list:        successful         select the best server:      va-s1.wildfire.paloaltonetworks.com   初回のレジストレーションは Active/Pasive 構成の Active ユニット上でのみ実施することができます。   Note: PINGでの接続性確認は実施しないでください。PingリクエストはWildFireサーバでは無効に設定されてます。接続性確認のベストプラクティスとして、サーバの443ポートへTelnetを実施する方法があります。   確認として、もしなんらかのファイルがサーバへ転送されている場合、以下のコマンドを利用します。 > show wildfire status Connection info:         Wildfire cloud:                default cloud         Status:                        Idle         Best server:                  va-s1.wildfire.paloaltonetworks.com         Device registered:            yes         Service route IP address:      10.30.24.52         Signature verification:        enable         Server selection:              enable         Through a proxy:              no Forwarding info:         file size limit (MB):                  2         file idle time out (second):            90         total file forwarded:                  0         forwarding rate (per minute):          0         concurrent files:                      0   "total file forwarded" カウンタでサーバへ転送されたファイルの数が確認できるでしょう。   WildFireログの確認 Monitor > Logs > Data Filtering ページへ移動 :   "data filtering logs" にてファイルのステータスを確認します。 もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。   以下はアクションについての説明です。   Forward データプレーンが潜在的に実行可能ファイルをWildFireが有効化されたポリシー上で検知しています。このファイルはマネジメントプレーン上にバッファされています。 もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。どちらのケースでも、このファイルに対して更なるアクションは実施されておらず、クラウド上にも送信されません (以前に良性であると判断されたファイルに関するセッション情報も送信されません)。これらのファイルに関する情報は WildFire Web ポータルにも記録されません。   どれだけのPEファイルがチェックされたか、クリーンまたはアップロードするために発見されたかについてのカウンタを確認するには、以下のコマンドを実施します: > show wildfire statistics statistics for wildfire DP receiver reset count:                  12 File caching reset cnt:                  12 FWD_ERR_CONN_FAIL                        1 data_buf_meter                            0% msg_buf_meter                            0% ctrl_msg_buf_meter                        0% fbf_buf_meter                            0%   wildfire-upload-success これは、そのファイルは信頼された署名がされておらず、ファイルはまだクラウド上で確認されていないことを意味します。この場合、そのファイル(とセッション情報)は解析ためにクラウド上にアップロードされています。.   wildfire-upload-skip これは、そのファイルがすでにクラウド上で確認されていることを意味します。 もしこのファイルが以前に悪意があると判断されている場合、その悪意があると判断された際のレポートがWildFireサーバ上に表示されす。 もしファイルが悪意のない良性のファイルであると判断されている場合、レポートはWildFireサーバ上では表示されません。   WildFire ポータル WildFire Portal にアクセスするには、https://wildfire.paloaltonetworks.com にアクセスし、Palo Alto Networks のサポートアカウントまたは WildFire アカウントででログインします。ダッシュボードが表示され、WildFire アカウントまたはサポートアカウントに紐づくすべてのファイアウォールからのサマリレポート情報がリストされます。この画面では解析されたファイルの数とどのくらいのファイルが malware、 benign、 または pending と判定されたかが表示されます。     その他の便利なコマンド show wildfire disk-usage debug wildfire dp-status   See Also Not All Files Appear on the WildFire Portal When Logs Show the Wildfire-Upload-Skip Message  
記事全体を表示
dyamada ‎04-08-2016 12:31 AM
10,586件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 How to Factory Reset a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Ar ticles/How-to-Factory-Reset-a-Palo-Alto-Networks-D ...   概要 後述の手順では、Palo Alto Networks デバイスのファクトリー リセット手順を紹介しています。 注釈:PAN-OS 6.0 (もしくは、6.0以降)をご利用で、かつSSHを使用してMaintenance Modeに入る場合、下記のリンクについてもご参照ください。 How to SSH into Maintenance Mode   手順 Palo Alto Networksから提供されているコンソールケーブルを使用し、コンピューターとPalo Alto Networks デバイスを接続します。接続に使用するターミナル ソフトでは、9600,8,n,1の設定を御利用ください。 注釈:御利用のコンピューターに9ピンのシリアル ポートが準備されていない場合、USB ポートを使い、USBシリアル変換ケーブルをご利用ください。 Palo Alto Networks deviceの電源を入れます。 起動中、ターミナル ソフトの画面に、メッセージが出力されます:(下記画面) maintenance modeに入るため、maint と入力します。 maintenance modeに入ると、下記画面が表示されます。 メニューを表示させるため、Enterをクリックします: Factory Reset を選択し、Enter をクリックします: Factory Reset を選択し、Enter をもう一度クリックします。   参考 Admin-Admin not Working After Factory Reset  (英文)
記事全体を表示
kkawachi ‎04-06-2016 05:21 PM
12,557件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 User-ID Agent Setup Tips https://live.paloaltonetworks.com/t5/Configuration-Articles/User-ID-Agent-Setup-Tips/ta-p/54755   User-IDエージェントの要件: 問い合わせ対象のドメインに所属するWindows 2008/2003 Server上で動作させること。User-IDエージェントはADサーバー上で直接動作させられますが、この構成は推奨しておりません。 該当サービスは、User-IDエージェントサーバーに対しローカル管理者権限を持つドメインアカウントとして起動する必要があります。 該当サービスアカウントはセキュリティログを読める権限が必要です。Windows 2008またはそれ以降のドメインでは、“Event Log Readers”の作成済みのグループが有り、エージェントに適用するのに十分な権限が有ります。それ以前のWindowsバージョンでは、該当アカウントにグループポリシーから “Audit and manage security log”権限を付与しなければなりません。アガウントをDomain Administratorsグループのメンバーにすることで、すべての操作に必要な権限が付与できます。 WMIプローブを使用する場合、該当サービスアカウントはクライアントワークステーションの CIMV2名前空間を読む権限が必要です。Domain adminはデフォルトでこの権限を持ちます。 1つのUser-IDエージェントのみ使用する場合、すべてのドメインコントローラーがDiscoveryのリストに含まれていることを確認してください。 ドメインコントローラー(DC)は “successful login”の情報をログに記録していなければなりません。   User-IDエージェントはドメインコントローラの以下のイベントを監視します。 Windows 2003 672 (Authentication Ticket Granted, which occurs on the logon moment), 673 (Service Ticket Granted) 674 (Ticket Granted Renewed which may happen several times during the logon session) Windows 2008 4768 (Authentication Ticket Granted) 4769 (Service Ticket Granted) 4770 (Ticket Granted Renewed) 4624 (Logon Success) アカウントのログオンについて、DCはイベントID 672を認証チケット要求の最初のログオンとして記録します。 関連するログオフのイベントは記録されません。 NetBIOSプローブが有効な場合、監視対象サーバーのファイルサービスやプリントサービスへの接続もエージェントは読み込みます。これらの接続はユーザーとIPのマッピング情報の更新に使用されます。常に新しいイベントが古いイベントによるマッピングを上書きします。 WMIプローブが有効な場合、プローブの間隔はワークステーションの数量を考慮の上、合理的な値となっていることを確認してください。例えば、5000のプローブ対象のホストがある場合、プローブ間隔を10分には設定しないでください。これらの設定はUser-IDエージェント上の User Identification > Setup > [Edit]ボタン > Client Probingにあります。   ワークステーションがローカルでファイアウォール機能を動作させていたり、ドメインのメンバーでない場合など、WMIプローブが失敗するケースが有ります。その場合、該当ワークステーションが起動していて通信を行っていたとしても、キャッシュがタイムアウトすると該当するマッピングは削除されます。確認するにはUser-IDエージェントにて下記のコマンドを実行します。 wmic /node:workstationIPaddress computersystem get username これにより該当するコンピューターに現在ログインしているユーザーが確認できます。 もしワークステーションがWMIプローブに応答しているか確信が持てない場合、マッピングはユーザーのログインによって行われることを考慮し、User-IDキャッシュのタイムアウトを大きめに設定するようにします。この場合、最初のログインイベントからキャッシュのタイムアウト値を超過すると、マッピングはユーサーがログインしていても消去されます。この設定は User-IDエージェント上の User Identification > Setup > [Edit]ボタン > Cacheにあります。   ドメインコントローラーがモニター対象のサーバーの一覧にあることを確認してください。どのドメインコントローラもユーザーの認証が可能なため、もし一覧にないものがある場合、すべてのユーザーとIPのマッピングができていないことになります。 ドメインコントローラー上で下記のコマンドを実施して、ドメインコントローラーの一覧が正確であることを確認してください。 dsquery server –o rdn   (DCの一覧を表示します). 既に存在しないDCが一覧にあった場合は、削除してください。 User-IDがトラフィックの送信元となるゾーンで有効になっていることを確認してください。この設定はNetwork > ゾーンにあります。   ファイアウォールにて有用なコマンド エージェントと接続の統計情報のステータス show user user-id-agent state all IPマッピングの表示 show user ip-user-mapping all 特定のIPマッピングと所属グループを含む詳細情報の表示 show user ip-user-mapping ip IPaddress ファイアウォール上にて解析しているグループの表示 show user group list ファイアウォール上にあるグループのメンバーの表示 show user group name “group name”  (DN表記) グループマッピングの削除と再構築 debug user-id clear group “group name” debug user-id refresh group-mapping all   参考 Getting Started: User-ID(英文) How to Configure Agentless User-ID(英文)       著者:jteetsel
記事全体を表示
TShimizu ‎04-06-2016 01:48 AM
3,122件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 List of Applications Excluded from SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/List-of-Applications-Excluded-from-SSL-Decryption/ta-p/62201   以下のアプリケーションはPalo Alto Networks ファイアーウォールにて複合化できません。もしSSL複合化を実施すると、SSLエンジンで失敗し、セッションがシステムによって破棄されます。これらのアプリケーションは、コンテンツをロードする際に、例外設定として追加されることにより、SSLエンジンで複合化させずに素通りさせます。     # Application 1 Whatsapp 2 aim 3 second life 4 wallcooler 5 onepagecrm 6 ea games 7 microsoft update, microsoft product activation 8 yuguu 9 packetix 10 simplify media 11 winamax 12 gotomeeting 13 mozilla 14 live-mesh 15 call anywhere 16 sugarsync 17 rift 18 zubodrive 19 paloalto-url-cloud 20 paloalto-wildfire-cloud 21 telex 22 apple-icloud, apple-appstore, itunes-appstore 23 onlive 24 apple push notifications 25 wetransfer 26 HP-virtual-rooms 27 logmein, logmeinrescue 28 itwin 29 metatrader 30 vudu 31 kaseya 32 ubuntu-one 33 puffin 34 pando 35 gotoassist 36 airdroid 37 amazon-aws-console 38 purple-p3 39 norton-zone 40 bitdefender 41 pathview 42 naver-line 43 apple-game-center 44 wiredrive 45 finch 46 vagrant 47 appguru 48 silent-circle 49 tumblr 50 dropcam 51 efolder 52 ntr-support 53 cryptocat 54 origin    
記事全体を表示
kkondo ‎04-06-2016 12:55 AM
3,293件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Save an Entire Configuration for Import into Another Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Save-an-Entire-Configuration-for-Import-into-Another-Palo/ta-p/61476   概要 後述の手順では、セキュリティポリシーと設定情報の移行手順を紹介しています。 下記が前提条件となります。:   インポート先とエクスポート元のPalo Alto Networks Deviceのハードウェアモデルが共通していること(PA-500 から PA-500, PA-5020 から PA-5020 等) インポート先とエクスポート元のハードウェアモデルが共通していない条件化での設定情報の移行は現状では対応致しておりません。 インポート先とエクスポート元のPalo Alto Networks DeviceのPAN-OSのメジャーバージョンが一致していること (4.1.x から 4.1.x, 5.0.x から 5.0.x等) 設定情報を移行する場合、事前にPAN-OSのメジャーバージョンアップを実施してください。   事前準備 ライセンスキーの検索を実施します。 インポート先とエクスポート元Palo Alto Networks DeviceのPAN-OSのメジャーバージョンが一致していることを確認し、かつAntiVirus、Application and Threat database,AntiVirusのバージョンが同じものをインストールします。 手順 エクスポート元のPalo Alto Networks Device上で、Named Configuration Snapshotを保存します。 GUIのDevice > Setup > Operationsの順にクリックし、"Save named configuration snapshot."を選択します。: CLIで実施する場合、 下記のように行います。: > configure # save config to 2014-09-22_CurrentConfig.xml # exit > エクスポート元のPalo Alto Networks Device上で、Named Configuration Snapshotをエクスポートします。 GUIのDevice > Setup > Operationsの順にクリックし、  "Export named configuration snapshot"を選択します。: CLIで実施する場合、 下記のように行います。: > scp export configuration [tab for command help] 例: > scp export configuration from 2014-09-22_CurrentConfig.xml to username@scpserver/PanConfigs 注意: username@scpserverの後ろに指定している'/'は、エクスポートした設定ファイルを保存するユーザーのホームディレクトリとの区切り文字です。'//'を指定した場合、エクスポートした設定ファイルはRootディレクトリに保存されることになります。 Palo Alto Networks Deviceを交換する場合、Palo Alto Networks support portalを使用し。最初にエクスポート元のPalo Alto Networks Deviceのシリアルから、インポート先のPalo Alto Networks Deviceのシリアルにライセンスの移行を行います。 次に、インポート先のPalo Alto Networks Device上でManagement Interface にエクスポート元のPalo Alto Networks Deviceと同じIPアドレス/デフォルトゲートウェイを指定します。Management Interfaceからインターネットにアクセス可能なことを確認します。 ライセンスファイルを取得します。 インポート先とエクスポート元の Palo Alto Networks Device の PAN-OS のメジャーバージョンが一致していることを確認し、かつ AntiVirus、Application and Threat database のバージョンが同じものがインストールされていることを確認します。 インポート先のPalo Alto Networks Device上で、 2でエクスポートした設定情報をインポートします。 GUIのDevice > Setup > Operationsの順にクリックし、"Import named configuration snapshot"を選択します。: CLIで実施する場合、 下記のように行います。: 例: > scp import configuration username@scpserver/PanConfigs/ 2014-09-22_CurrentConfig.xml インポートした設定情報をロードします。 GUのDevice > Setup > Operations の順にクリックし、"Load named configuration snapshot"を選択します。: インポートした設定情報を選択し、OK を押し、commit を行います。 CLIで実施する場合、 下記のように行います。: > configure # load config from 2014-09-22_CurrentConfig.xml # commit # exit >   See Also 設定情報のバックアップの詳細情報については、ご利用のPAN-OSのAdministrator's Guideをご参照ください。 :Documentation.  
記事全体を表示
kkawachi ‎04-04-2016 09:48 PM
7,738件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure DNS Sinkhole https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Sinkhole/ta-p/58891   概要 PAN-OS 6.0より、アンチスパイウェア プロファイルにおいてDNS シンクホールのアクションが使用できるようになりました。DNSシンクホールは、ファイアウォールが悪意のあるURLに対するDNSクエリが見える環境において、保護されたネットワーク内にある感染したホストをDNSトラヒックをベースに特定するために使うことができます。   このDNSシンクホールの機能により、Palo Alto Networksデバイスは悪意のある既知ドメインやURLに対するDNSクエリを見つけると、定義しておいた任意のIPアドレス(偽のIP)をクライアントに返します。それを受け取ったクライアントがその偽のIPアドレスにアクセスしようとし、かつ、そのIPアドレスへの通信をブロックするセキュリティポリシーが存在する場合、その情報がログとして残ります。   重要!  "偽のIP" を選択する際には、そのIPアドレスが内部のネットワークに実際に存在しないことを確認してください。また、悪意のあるURLが検知され、設定した偽のIPへのアクセスが止められるようにするには、該当DNSとHTTPトラヒックがPalo Alto Networksファイアウォールを通過する必要があります。もし偽のIPが別に存在しファイアウォールを通過しないのであれば、この機能は正しく動作しません。   手順 Palo Alto Networksデバイスにおいて最新のアンチウィルス シグネチャがインストールされていることを確認します。 WebUIより、"Device" > "ダイナミック更新" へ移動し、"今すぐチェック" をクリックします。アンチウィルス シグネチャが最新であることを確認します。最新でなければ、最新版をインストールしてください。スケジュールによる自動更新の設定も可能です。 注: DNSシンクホールの機能を利用するには、脅威防御 ( Threat Prevention ) のサブスクリプションが必要となります。 アンチスパイウェア プロファイル内にあるDNSシンクホールを設定します。"Objects" > "セキュリティ プロファイル" > "アンチスパイウェア" をクリックします。 既存のプロファイルを使うか、新しくプロファイルを作成します。以下の例では、"alert-all" を使用します。 プロファイル名 "alert-all" をクリックし、"DNSシグネチャ" タブを開きます。 "DNSクエリに対するアクション" をデフォルトの "alert" から ”シンクホール” に変更します。 シンクホールIPv4フィールドをクリックし、偽のIPアドレスを入力します。上記の例では、簡単のために1.1.1.1を使っていますが、内部のネットワークで使われていないIPアドレスであれば値は何でも構いません。 次に、シンクホールIPv6フィールドをクリックし、偽のIPv6 IPアドレスを入力します。たとえIPv6がネットワーク上使われていなくても、この値は入力する必要があります。上記の例では ::1 です。最後にOKボタンをクリックします。   注: シンクホールIPv6フィールドに何も設定されていない場合は、OKボタンは無効のままになります。 作成したアンチスパイウェア プロファイルを、内部ネットワーク(または内部のDNSサーバー)からインターネットへ抜けるDNSトラヒックを許可するセキュリティ ポリシーに適用します。 "Policies" > "セキュリティ" をクリックします。 セキュリティ上 ルールの一覧から外部へ抜けるDNS通信を許可するルールを特定し、そのルール名をクリックします。"アクション" タブを開き、該当のアンチスパイウェア プロファイルが選択されていることを確認し、OKボタンを押します。 最後に、設定した偽のIP 1.1.1.1 と :1 (IPv6を使用している場合) を宛先とする全てのweb-browsingとSSL通信をブロックするセキュリティ ルールを用意します。これは感染したマシンから偽のIPへの通信をブロックするためのものです。 設定をコミットします。   See Also テスト手順とセットアップの確認方法については、以下のドキュメントを参照してください。 How to Verify DNS Sinkhole Function is Working   DNSシンクホールを説明したビデオ チュートリアルもあります。 Video Tutorial: How to Configure DNS Sinkhole Video Tutorial: How to Verify DNS Sinkhole  
記事全体を表示
ymiyashita ‎04-04-2016 09:45 PM
7,806件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Install a Chained Certificate Signed by a Public CA https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Install-a-Chained-Certificate-Signed-by-a-Public-CA/ta-p/55523   概要 Palo Alto Networks 次世代ファイアウォールを設定する際、信頼された公的な証明機関(CA)によって署名された証明書を以下の用途に使うことができます: Captive Portal ("CP") ページ レスポンス ページ GlobalProtect ("GP") ポータル 多くの公的CAはチェーン証明書を使用します。チェーン証明書では、証明書がルート証明書自身によって署名されているのではなく、一つ以上の中間証明書によって署名されています。これらは主に同じCAによって所有され運用されますが、こうすることによって柔軟性を持たせ、何か問題が起きたときに証明書を失効しやすくなります。   手順 1. 証明書のリクエスト ファイアウォールにインストールされているPAN-OSのバージョンによって、秘密鍵とCSRはOpenSSLなどのサードパーティ プログラムを使用して生成する必要があります。 もしPAN-OS 5.0を使用しているのであれば、以下のドキュメントを参照してください。 How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate   2. 証明書の連結 証明書がルートCAによって署名されない場合、クライアントの信頼済み鍵ストアに中間証明書が既に存在しなければ、中間証明書がクライアントに送信されなければなりません。これを実現するために、CP、GP、またはレスポンスページの証明書に中間証明書が続く形で署名された各証明書を連結します。以下の図は中間証明書が二つの場合の例ですが、中間証明書が一つだけの場合や、複数の場合でも同様のやり方で実現できます。     各証明書を取得する手順は以下の通りです: CAから送られてきた"サーバー証明書"を開きます。 ウィンドウズにおいては証明書のダイアログ ボックスには"全般"、"詳細"、"証明のパス"の三つのタブが存在します。 "証明のパス"をクリックし、一番下から一つ上の証明書をクリックします。 その証明書を開き、詳細タブをクリックします。そしてテキストファイルにコピーします。 そのファイルをBase-64 エンコード X.509 (.CER) フォーマットの証明書として保存します。 同様の手順を一番上のルート証明書以外の全ての証明書に対して行います。 それぞれの .CER 証明書ファイルをプレーン テキスト エディタ (メモ帳など)で開きます。 サーバー証明書を先頭に、各証明書を間を開けずに貼り付けていきます。 拡張子を .TXT または .CER にして保存します。 注: ファイル名に空白文字を含めることはできません。空白文字が存在するとインポートに失敗する恐れがあります。   3. 証明書のインポート 前述の手順で連結した証明書をファイアウォールにインポートします。 PAN-OS 4.1以前のバージョンでは, 秘密鍵をこの証明書と共にインポートする必要があります。詳細は上記手順1を参照してください。OpenSSLでCSRを生成する際に秘密鍵が生成されます。 PAN-OS 5.0においては、秘密鍵は既にファイアウォール上に存在します。証明書のインポートをするためには、以下のドキュメントに書かれた手順を参照してください。 How to Generate a CSR and Import the Signed CA Certificate  
記事全体を表示
ymiyashita ‎04-04-2016 09:42 PM
4,662件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Palo-Alto-Networks-Firewall-with-Dual-ISPs/ta-p/59774     概要 本文書はVPNトンネルを用いて2つのISP接続をPalo Alto Networks ファイアーウォールに設定する際の、設定手順を解説します。   設定目標: 1つのデバイスが2つのインターネット接続を持つ(高可用性) 静的なサイト間VPN インターネット接続とVPNの自動フェイルオーバー   構成 この構成は本社、支社間の接続方法として一般的なものです。ISP1は Ethernet1/3でプライマリとして、ISP2はバックアップとしてEthernet1/4に接続します。   設定 2つのファイアウォールの設定は同一のため、ここでは1台についてのみ説明します。この例では2つのヴァーチャルルーター(VR)を設定します。 インターフェイス設定 2つのインターフェイスを設定: Eth 1/3: 10.185.140.138/24 (ISP1に接続) をuntrust zoneに配置 Eth 1/4: 10.80.40.38/24 (ISP2に接続)を the untrust zoneに配置   ヴァーチャルルーター 2つのヴァーチャルルーター を設定: VR1: プライマリ (ISP1) (Ethernet1/3) VR2: セカンダリ (ISP2) (Ethernet1/4)   各VRに1つのISP向けインターフェイスを追加しますが、他のすべてのインターフェイス(将来の追加分も含め)はセカンダリのVRに追加します。これはメインのISP障害時に、すべてのインターフェイスの存在をコネクティッドルートとVR上のルートによって、ルーティングを用いて明示するためです。 プライマリのVRにはEthernet1/3を追加 プライマリVRのルートはデフォルトルートと、すべてのプライベートアドレスの戻りルートとなり、これらはインターフェイスのConnectedルートがあるセカンダリVRに向かいます。トラフィックがPBFによってインターフェイスから出力される場合、それらのトラフィックはセカンダリVRの生存しているインターフェイスによって戻りのルートを知ることになります。 セカンダリVRには  下記の通りEthernet1/4 と他のすべてのインターフェイスを追加。 セカンダリVRに接続したインターフェイスのルートは、ルーティング上にコネクティッドルートとしてルーティングテーブルに現れます。そして、トンネル向けのルートはポリシーベースフォワーディング(PBF)にて扱われます。 プライマリISP向けインターフェイスからトラフィックを出力するために、PBFの送信元ルーティングにてTrustedゾーンを追加します。 ファイアウォールはPBFにてプライベートネットワーク向けにトラフィックを転送しません。これはプライベートアドレスはインターネット上ではルーティングされないためです。プライベートアドレスの転送が必要となるため、Negateをチェックします。 下記の例の通り、プライマリインターフェイスから出力するように設定し、またモニター機能にてルールを無効化を設定します。すべてのコネクティッドルートを持つセカンダリVRのルーティングテーブルを使って切り替えを行います。 送信元NATポリシーを両方のISP用に設定します。両方のNATルールにて"元のパケット"タブにある宛先インターフェイスを確実に設定してください。 複数のVRを設定するのは、両方のトンネルが同時にアップとなり稼働するためです。もしISP1へのVPNの接続性の問題が発生すれば、すみやかにISP2にフェイルオーバーします。もしISP2へのバックアップVPNがネゴシエーション済みであれば、フェイルオーバーの高速化につながります。   フェーズ1設定 それぞれのVPNトンネルのためIKEゲートウェイを設定します。   フェーズ2設定 それぞれのVPNトンネルにIPSecトンネルを設定します。トンネルが別の Palo Alto Networks ファイアウォールに接続する場合、 IPSecトンネルにてトンネルモニターによるフェイルオーバーを設定します。そうでない場合はPBFでモニターを有効化し、セカンダリのトンネルにルートする設定を行います。   トンネルモニタリング(Palo Alto Networks ファイアウォール同士の接続) トンネルモニター有りのプライマリトンネル。 トンネルモニター有りのセカンダリトンネル。 モニターのプロファイルにて、アクションでフェイルオーバーを選択。 この設定方法ではトンネルモニターに2つのルートがルーティングテーブルにあることを利用します。1つ目のルートはメトリック10のプライマリVPNトラフィック向け、2つ目はメトリック20のセカンダリVPN向けです。トンネルはセカンダリVRで終端されるので、これらのルートはセカンダリのVRに置かれます。   ポリシーベースフォワーディング (Palo Alto Networks ファイアウォールと他ベンダーのファイアウォールとの接続) この設定方法は2つのファイアウォール感での接続に使用されます。 送信元ゾーンを設定します。 対抗のネットワーク向けの宛先トラフィックを指定します。(この例では192.168.10.0/24)。 トラフィックをトンネルに転送します。 PBFが無効になると宛先は到達不能となるので、もう一つのVPNはルーティングテーブルを使用し始めます。そのルーティングテーブルには、同じ宛先ですが、別に設定したトンネルがエントリとして存在しています。   注: 上記の例では接続性を確認するため192.168.10.2にプローブをします。プローブは送信元IPアドレスがなければならず、出力インターフェイス、つまりトンネルインターフェイスのIPアドレスを使用します。もしIP アドレスがトンネルインターフェイスに設定されていないと、PBFルールは有効になりません。この設定例では、例えば172.16.0.1/30といった任意のIPが設定されている必要があります。192.168.10.2宛のスタティックルートはトンネルインターフェイスを選択の上、ネクストホップを指定しなければなりません。さもないとファイアウォールから開始されるトラフィックがPBF対象とならずに、PBFは常に失敗します。対抗のデバイスが復路のパケットを適切に送信できることを確認する必要があります。Cisco ASAを使用している場合、172.16.0.1/30宛の復路のトラフィックを適切に処理できることを確認しておいてください。さらに、Palo Alto NetworksファイアウォールでのIPSecトンネルのプロキシIDを設定しておく必要があります。     著者: rvanderveken
記事全体を表示
TShimizu ‎04-04-2016 09:37 PM
3,211件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Agentless User-ID https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/62122   手順 エージェントレス User-IDを設定するには、まずサービスアカウントを作成し、作成したアカウントのセキュリティ設定を変更します。   以下のようにActive Directory(AD)サーバとPalo Alto Networks機器を設定します。 機器で使用されるサービスアカウントをAD上で作成します。作成されたユーザが、Distributed COM Users, Server Operators および Event Log Readers groups に所属することを確認してください。 Note: サービスアカウントの機能させるうえで、ドメイン管理者(Domain Admin)の権限は必須要件ではありません。詳細は「Best Practices for Securing User-ID Deployments」を確認してください。 Windows2003の場合、サービスアカウントには"Audit and manage security log"の権限をグループポリシ経由で与える必要があります。ドメイン管理者グループに所属するアカウントを作成することで、すべての操作に必要な権限が付与されます。“Event Log Readers”グループはWindows 2003では利用できません。 WMI 認証を利用する機器やユーザは、接続されるAD上でCIMV2セキュリティ属性を変更する必要があります。 コマンドプロンプト上で'wmimgmt.msc'を実行しコンソールを開き、プロパティを選択します。 WMI コントロールのセキュリティタブを選択し、CIMV2フォルダを選択します。セキュリティをクリックし、step1で作成したサービスアカウントを追加します。この例ではpanrunner@nike.localを設定しています。追加したアカウントで「アカウントの有効化」と「リモート有効化」をチェックしてください。 PAのDevice > User Identification MenuよりUser Mapping を選択します。 PAのUser-IDエージェントの設定を完了します。 User Mapping > WMI Authenticationタブのユーザーネーム設定が domain\username フォーマットになっていることを確認します。 Server Monitorオプションを有効にし、security log/session を有効にします。 Client probingはデフォルトで有効です。必要であれば無効にします。 もしセットアップ中にドメインが設定されている場合、ユーザは接続先のサーバを選択できます。もし設定されていない場合、マニュアルでサーバを設定します。 接続されたかどうか、WebUIまたはCLIにて確認します。 > show user server-monitor statistics Name                          TYPE    Host            Vsys    Status --------------------------------------------------------------------------- 2k8                            AD      10.30.14.250    vsys1  Connected ip-user-mappingが機能していることを動作を確認します。 > show user ip-user-mapping all IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ---------- 10.16.0.28      vsys1  AD      nike\palto                      2576          2541 10.30.14.106    vsys1  AD      nike\panrunner                  2660          2624 10.30.14.110    vsys1  AD      nike\panrunner                  2675          2638 Total: 3 users ユーザ識別を実施したい通信が発信されるZoneでUser Identificationが有効であることを確認します。Network > Zone でZoneを選択します。   See Also User-ID Agent Setup Tips  
記事全体を表示
dyamada ‎04-03-2016 10:30 PM
5,334件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure IPSec VPN https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-IPSec-VPN/ta-p/56535     概要 本ドキュメントは、IPSec VPNの設定方法について記載しています。Palo Alto Networksファイアウォールにおいて、少なくとも二つのレイヤ3インターフェイスが設定されている事を想定しています。   手順 "Network" > "トンネル" > "トンネル インターフェイス" へ移動し、新規にトンネル インターフェイスを作成し、以下のパラメータを設定します。 インターフェイス名:tunnel.1 仮想ルーター:(既存の仮想ルーターを選択) ゾーン:(トラヒックの開始元となるレイヤー3の内部ゾーンを選択) 注:もしトンネル インターフェイスがトラヒックが入ってくる、もしくはトラヒックが出て行くゾーンと異なるゾーンにある場合、送信元ゾーンからトンネル インターフェイスを含むゾーンへのトラヒックを許可するポリシーを作成する必要があります。 "Network" > "ネットワーク プロファイル" > "IKE 暗号" > "IKE 暗号プロファイル" へ移動し、IKE 暗号 (IKEv1 フェーズ1) パラメータを定義します。 IKEフェーズ1ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。 "Network" > "ネットワーク プロファイル" > "IKE ゲートウェイ" に移動し、IKE フェーズ1ゲートウェイを設定します。 注:上記で設定したトンネルはトンネルを通過するトラヒックをTrustゾーンで終端します。もしより細かい制御がそのトンネルのポリシー設定で必要な場合は、VPNを使用するか別のゾーンを使ってください。また、以下のゲートウェイの設定はUntrustインターフェイス用の設定であり、Trustインターフェイスで終端するトンネルとは異なることに注意してください。 "Network" > "ネットワーク プロファイル" > "IPSec 暗号" へ移動し、"IPSec 暗号プロファイル" を定義します。 "IPSec 暗号プロファイル" 内でプロトコル、認証方法等、IPSec SAネゴシエーション(IKEv1 フェーズ2)をベースにしたVPNトンネルで使用する暗号化方式などを設定します。IKEフェーズ2ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。 "Network" > "IPSec トンネル" > "全般" へ移動し、ファイアウォール間でIPSec VPNトンネルを確立するためのパラメータを設定します。 注: もし対向側のトンネルがポリシー ベースVPNとして設定されているサードパーティ製のVPNデバイスの場合、ローカルproxy IDとリモートproxy IDを対向側と一致するように設定します。 NATされているトラヒックのローカルとリモートのIPネットワークを特定するためにIPSecトンネルProxy-IDを設定する際、そのIPSecトンネルのためのProxy-IDはNATされた後のIPネットワーク情報を元に設定されなければなりません。なぜならばProxy-ID情報は両端のIPSec設定おいて、トンネル経由で許可されるネットワークを定義するからです。  "Network" > "仮想ルーター" > "スタティック ルート" へ移動し、対向のVPNエンドポイントの後ろにあるネットワーク用に新しいルートを追加します。 設定をコミットします。   注:Palo Alto NetworksではIPSec VPNのトンネルモードのみをサポートします。IPSec VPNのトランスポート モードはサポートしません。   See Also VPNに関するより複雑な設定については、以下のドキュメントを参照してください。 How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover Selecting an IP Address to use for PBF or Tunnel Monitoring Dead Peer Detection and Tunnel Monitoring  
記事全体を表示
ymiyashita ‎04-03-2016 10:23 PM
13,232件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SSL Decryption Not Working due to Unsupported Cipher Suites https://live.paloaltonetworks.com/t5/Management-Articles/SSL-Decryption-Not-Working-due-to-Unsupported-Cipher-Suites/ta-p/55543     問題 インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブ サーバー上で正常に機能しません。 同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。     詳細 Palo Alto Networks Deviceでは、以下の5つのcipher suitesをサポートし復号化が可能です。 RSA-AES256-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) RSA-AES128-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) RSA-3DES-EDE-CBC-SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) RSA-RC4-128-MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) RSA-RC4-128-SHA Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)     以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。 > show counter global filter delta yes | match ssl_sess_id_resume_drop   PAN-OS 6.0以降では、 show counter global コマンドでcipher suitesが未サポートかどうか確認できます。 PCAPフィルターを適用し、delta(差分)カウンタを使用: > show counter global filter packet-filter yes delta yes or > show counter global filter delta yes | match "ssl_server_cipher_not_supported"   ... ... ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported     解決方法 ウェブ サーバー上で未サポートのcipher suitesを無効にします。 注:PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。   PAN-OS 6.0 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)   PAN-OS 7.0 TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c) TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)   See Also Palo Alto Networks Supported SSL/TLS Version and Cipher Suites for Web UI    
記事全体を表示
ymiyashita ‎04-03-2016 10:23 PM
3,908件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community