ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Set the Maximum File Size Limit for WildFire https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Set-the-Maximum-File-Size-Limit-for-WildFire/ta-p/60500       概要 本記事では、WildFireへファイル アップロードするためのファイルの上限値の設定の仕方について記載しています。   PAN-OS 6.1 において、WildFire は以下のファイル タイプとサイズをサポートしています。 ファイル タイプ サイズの範囲       デフォルトのサイズ制限 pe 1-10 MB 10 MB apk 1-50 MB 10 MB pdf 100-1000 KB 500 KB ms-office 200-10000 KB  500 KB jar 1-10 MB 1 MB PAN-OS 7.1 以降では、 WildFire は以下のファイル タイプとサイズをサポートしています  。 ファイル タイプ サイズの範囲       デフォルトのサイズ制限 pe 1-10 MB 10 MB apk 1-50 MB 10 MB pdf 100-1000 KB 500 KB ms-office 200-10000 KB  500 KB jar 1-10 MB 1 MB flash 1-10 MB 5 MB MacOSX 1-50 MB 1 MB アプリケーションおよび脅威のバージョン 741 より、'archive'(.7zip と .rar)ファイル タイプのサポートが追加されました。 (PAN-OS 7.1 以降においてのみのサポート) ファイル タイプ サイズの範囲 デフォルトのサイズ制限 archive 1-50 MB 10 MB   アプリケーションおよび脅威のバージョン  745 より、'linux'(.elf)ファイル タイプのサポートが追加されました。  (PAN-OS 8.0以降においてのみのサポート)   ファイル タイプ サイズの範囲 デフォルトのサイズ制限 linux 1-10 MB 2 MB   詳細 Device > セットアップ > WildFire > 一般設定 へ移動し、サポートされている各ファイル タイプのサイズ制限の値を必要に応じて変更します。   PAN-OS 6.1:   PAN-OS 7.1:   PAN-OS 8.0: アプリケーションおよび脅威のバージョン 745 より、'linux' ファイル タイプのサポートが追加されました。(PAN-OS 8.0以降においてのみのサポート) 注: アプリケーションおよび脅威のバージョンのリリースによって デフォルトのサイズ制限の値が変更になった場合、新しいサイズ制限をキューの値に反映させるためには、以下の手順が必要となります。(詳細は後述)   WildFireの設定において、サイズ制限の確認と値の変更をします。 (Device > セットアップ > WildFire) コンフィグのコミットを行います   警告:WildFireにファイルをアップロードする際には、ファイルはファイアウォール内部のキューに一旦バッファされます。バッファできるファイルの数の上限はプラットフォーム毎に異なり、APKを除いたファイル タイプの内の一番大きいサイズ制限の値によって決定されます。ファイル タイプのサイズ制限を上げる際には、この点をよく理解した上で行ってください。   APKを除いたファイル タイプの内の一番大きいサイズ制限の値を確認します。 プラットフォーム毎のキャパシティを以下のサイトで確認します。https://www.paloaltonetworks.com/documentation/80/wildfire/wf_admin/submit-files-for-wildfire-analysis/firewall-file-forwarding-capacity-by-model バッファできるファイル数は、次の計算式で決定されます。[キャパシティ] / [サイズ制限の最大値] CLIにて "show wildfire disk-usage" コマンドを実行し、File Limit に出てくる値と上記で算出した値を比較します。 例えば、PA-200 プラットフォームにおけるキャパシティは 100MBであるため、サイズ制限の最大値が 10MB であった場合、File limit の値は 100 / 10 = 10 になります。   admin@PA-200> show wildfire disk-usage   Disk usage for wildfire: Total disk usage:                               0 Total temporary files:                           0 File limit:             10   (Global),   10   (Channel)   値が一致しない場合は、上記の"注"の箇所にある手順 (1と2) を行うことで値が反映されます。     注:PAN-OS 9.0 にて仕様変更が行われたため、本記事の内容はPAN-OS 9.0以降には該当しません。  
記事全体を表示
ymiyashita 3 週間前
4,430件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Allow a Single YouTube Video and Block All Other Videos https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGzCAK     1 つの YouTube 動画へのアクセスのみ許可し、それ以外の動画は全てブロックする方法 この記事は、1つのYouTube動画(https://www.youtube.com/watch?v=hHiRb8t2hLM)へのアクセスのみ許可し、それ以外の動画のアクセスは拒否したい場合の例です。 これを達成するには、以下の手順に従ってください。   手順 URL フィルタリングプロファイルにて、streaming-mediaをブロックに設定してください。WebGUI > Objects > セキュリティ プロファイル > URL フィルタリング > 利用したい URL フィルタリングプロファイルをクリックします。 これはURL フィルタリングプロファイルでstreaming-mediaをブロックに設定した際の画面です。   Objects > カスタム オブジェクト > URL カテゴリ から、カスタム URL カテゴリを作成します。 カスタム URL カテゴリには以下のエントリを追加する必要があります。   *.youtube.com *.googlevideo.com www.youtube-nocookie.com www.youtube.com/yts/jsbin/ www.youtube.com/yts/cssbin/   これですべてのYouTubeページやコンテンツが復号化され、完全なHTTP GETが取得できるようになります。   「SSL フォワードプロキシ」タイプの復号ポリシーを追加し、その「サービス/URL カテゴリ」に、上記で追加したカスタムURLカテゴリを設定します。 SSL 復号に関しては、以下の記事を参照してください。 How to Implement and Test SSL Decryption URL フィルタリングプロファイルに移動し、以下のURLを許可リストに追加します。   www.youtube.com/watch?v=hHiRb8t2hLM *.googlevideo.com   1つ目のエントリはコンテナページ自体のURL、2つ目の *.googlevideo.comは、*.googlevideo.com の Google CDN で表示されるコンテナページから取得されるメディアを許可します。   また、URLフィルタリングプロファイル上で、作成したカスタムURLカテゴリが"allow"になっていることを確認してください。 これはURLフィルタリングプロファイルで許可リストを設定した際の画面です。   Commitを実行し、動作をテストします。   Milvaldiの貢献に感謝します。   注:この手順はこの記事が発行された時点では有効でしたが、YouTubeはサーバーの設定を絶えず変更しているため、今後動作しなくなる可能性もあります。   著者: jdelio  
記事全体を表示
hfukasawa ‎12-21-2018 02:50 AM
6,566件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set Up DoS Protection https://live.paloaltonetworks.com/t5/Tutorials/How-to-Set-Up-DoS-Protection/ta-p/71164   ルールベースのDoS protectionを使用する場合、管理者はポリシーを設定して、DoS攻撃者から防御設定できます。ルールベースの設定はPolicies > DoS Protectionからできます。これらのポリシーは、ゾーン、インターフェイス、IPアドレス、ユーザ情報などが一致するものを条件として設定できます。     DoS protectionを使用するには、DoSのルールをセキュリティ・ポリシーのように、設定された条件で流れているトラフックが一致するよう作成します。これらの設定はObjectsタブ> Security Profiles > DoS Protectionにて設定できます。   まず初めに、プロファイルのタイプを明示的にします。aggregateかclassifiedを選びます。   Aggregate: プロファイル上のDoSの閾値をこのプロファイルに設定した条件ルールに一致する全てのパケットに対して適応します。例えば、秒間10000パケットのSyn flood閾値のaggregateルールは、その特定のDoSルールにヒットする全てのパケットをカウントします。 Classified: プロファイル上のDoSの閾値は分類基準別(送信元IP、宛先IPもしくは送信元、宛先IPの組み合わせ別)にカウントします。   DoS protectionプロファイルは、いくつかの種類のDoS攻撃を緩和させるために利用することができます。   Flood protectionはゾーン protectionプロファイルの一つに似ています。Syn floodでは、SYN CookieとRandom Early Drop(RED)がオプションで選べます。他のタイプのfloodではREDが使われます。ゾーン protectionプロファイルでは同じ設定オプションになっていることにお気づきになるでしょう。加えて、Block Durationがあり、攻撃しているIPを何秒間Denyするか設定できます。   Flood protectionに加えて、リソースprotectionも選択できます。このタイプのprotectionは、ホストの使用率を強制します。 特定の送信元IPアドレス、宛先IPアドレス、またはIP送信元と宛先ペアに対して許可されるセッションの最大数を制限します。   次に、Policies > DoS Protectionに移動し、セキュリティ・ルールと同様の手順で、DoSポリシーを作成します。   お気づきのように、ほとんどのパラメータはセキュリティ・ルールと同様です。 ルール名を設定した後、送信元、宛先、およびサービスを設定したら、Aggregateドロップダウンを使用してルールにプロファイルを添付するか、New DoS Protectionをクリックして新しいポリシーを作成できます。   deny/allow/protectの3種類の異なるアクションがあります。   Deny – トラフィックを全て落とします Allow - トラフィックを全て通します Protect - このルールに適用されるDoSプロファイルの一部として構成された閾値で設定された保護を実施します。   Schedule プルダウンを使用して、特定の日時にDoSルールを適用するスケジュールを割り当てることができます。 Log Forwarding プルダウンを使用して、脅威ログエントリをsyslogサーバやPanoramaなどの外部サービスに転送するようにログ転送を設定できます。 このチュートリアルのために、分類されたDoS保護プロファイルタイプを作成しました。 チェックボックスをオンにすると、Profile プルダウンメニューをから分類されたプロファイルタイプを選択できます。 下のAddressプルダウンメニューにて、先ほど述べた分類基準(source-ip-only / destination-ip-only / src-dest-ip-both)を選択できます。   例として、aggregate DoS protectionプロファイルとclassified DoS protectionプロファイルの両方を同じDoSルールに設定できます。   OKを選択し、Commitで設定を保存します。   CLIの場合、設定したDoS ルールを以下のコマンドで確認できます:   > show dos-protection rule <name> settings   このサンプル例では、以下のDoSルールが参照できます。 name = DosRule aggregate profile = DosProtection classified profile = Dos_classified classification criteria = source-only action = Protect   出力結果では、プロファイルで設定した全ての閾値も確認できます。   他にもVideo上で話されているトピックや、サンプルに関連した便利なリンク集が以下となります :   Understanding DoS Protection How to Configure a policy with DoS protection to protect hosted services  Differences between DoS protection and zone protection Video Tutorial – Zone protection profiles Understanding DoS logs and counters   著者: Kim
記事全体を表示
kkondo ‎09-27-2018 06:05 PM
5,836件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create Management Users, Assign Roles, and Change Password from the PAN-OS CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Management-Users-Assign-Roles-and-Change-Password/ta-p/54740   概要 この記事では管理ユーザーを追加/作成し、作成した管理ユーザーにロールを割り当て、 パスワードを設定する方法を記載しています。   手順 管理ユーザーの新規作成/追加 CLI へログイン Configure mode へ移行 >   configure 管理ユーザーを作成/追加およびパスワードを設定 # set mgt-config users <name> password 注:  <name> に指定したユーザー名が既存の管理ユーザーに存在しない場合にユーザーが作成されます。 管理ユーザーにロールを設定 # set mgt-config users <name> permissions role-based <role profile> custom deviceadmin devicereader superreader superuser Commit  を実行 # commit   既存の管理ユーザーのパスワードを変更 Configure mode へ移行 >   configure 新しいパスワードを設定(既存のパスワードが上書されます) # set mgt-config users admin password Commit を実行 # commit   WebGUI WebGUIでの手順、および個々の管理者ロールプロファイルを作成する手順については 各バージョンの管理者ガイドを参照してください。管理者ガイドへのリストを下記に記載します。   PAN-OS 7.0 Administrator's Guide   PAN-OS 7.1 Administrator's Guide   PAN-OS 8.0 Administrator's Guide   owner: sraghunandan
記事全体を表示
anishinoya ‎09-27-2018 05:23 PM
4,083件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dynamic Update Fails with "Image File Authentication Error" Message https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-Update-Fails-with-quot-Image-File-Authentication-Error/ta-p/62252   問題 ダイナミック更新 (Dynamic Updates) が次のようなメッセージで失敗する: " content update failed with the following messages: Image File Authentication Error Failed to extract rpm file /opt/pancfg/mgmt/content-images/tmp/panupv2-all-contents-313-1422.tgz ".   手動で更新パッケージをインストールする場合も、結果として同じエラーが発生します。 解決策 3つの異なる解決方法があります。   解決方法 1 - 更新サーバの変更 もしあなたが更新サーバとしてstaticupdates.paloaltonetworks.comを設定しており、PAN-OS 7.1.7以降をお使いの場合、更新サーバの設定変更が必要です。 WebGUIにて、 Device > セットアップ > サービス に移動し、ワークアラウンドとして更新サーバを"staticupdates.paloaltonetworks.com " から " updates.paloaltonetworks.com " に変更してください。 注: ファイアウォールから staticupdates.paloaltonetworks.com -  199.167.52.15 のIP アドレスだけにアクセスを許可するセキュリティ ルールを設定していないか確認してください。もし設定しているのであれば、以下の新しいIP/URLに設定変更する必要があります: updates.paloaltonetworks.com - 199.167.52.141 に変更後、commitしてからテストしてください。 Device > Setup > Services window showing the update server details.   解決策 2 - アップデート ファイルの削除と再ダウンロード 全てのコンテント アップデートを削除してから再ダウンロードすることでこの問題が解決するか確認してください。 WebGUIにて、   Device > ダイナミック更新 からこの手順を実行できます。 WebGUIからアップデート ファイルを削除し、"今すぐ更新 (check now)"を実行してから新しいアップデート ファイルをダウンロードします。ダウンロードが完了したらインストールを実施し、エラーなしで完了するかどうかを確認します。 Device > Dynamic Update screen showing how to delete an update. CLIの場合は、以下のコマンドでコンテンツ パッケージの削除をしてから、再ダウンロードとインストールを実施してください: admin@myNGFW> delete content update <value> Filename   解決策 3 - PAN-OSの再インストール 最後の手順として、上記2つの解決策がうまくいかない場合、ファイアウォールのPAN-OSを再インストールしてください。 PAN-OSの再インストールは、以下の手順で行えます: 現在のコンフィグをバックアップする。 次のドキュメントの手順1を参照してください: How to Save an Entire Configuration for Import into Another Palo Alto Networks Device。 設定を他のPalo Alto Networksデバイスへ移行する手順(日本語訳) Device > ソフトウェア に移動し、現在のPAN-OS バージョンのアクション列にある"再インストール"をクリックします: Device > セットアップ > 操作 > デバイスの再起動 からファイアウォールを再起動します。 ダイナミック更新にて"今すぐチェック"を実行後、最新のコンテンツをダウンロード/インストールしてください。   著者: rkalugdan   
記事全体を表示
tsakurai ‎09-03-2018 08:01 PM
4,864件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Apply QoS for Youtube or Streaming Media https://live.paloaltonetworks.com/t5/Configuration-Articles/Apply-QoS-for-Youtube-or-Streaming-Media/ta-p/66036   この記事は、ストリーミング メディアサイトにQoSを設定する方法について述べています。   以下のようなトポロジーで、 Ethernet 1/3はLAN側に、Ethernet 1/1はWAN側に設定されています。   QoSプロファイルを作成します。 Create the QoS profile QoSプロファイルの作成 QoSポリシーでトラフィックを特定のクラスにカテゴライズ設定します。 QoS policy Name QoSポリシー名 QoS policy Source QoSポリシー送信元 QoS policy Destination QoSポリシ - 宛先 制限をかけたい全てのアプリケーションを追加します: QoS policy Application QoSポリシー - アプリケーション 必要に応じて、URLフィルタリング・カテゴリーを設定します: QoS policy URL Category QoSポリシー - URLカテゴリー そして最後に、作成したポリシーをQoSプロファイルで一致させたいクラスに設定します: QoS policy Class QoSポリシー – クラス これは重要なステップです。QoS プロファイルは送出パケットに適応されますので、ファイアウォールから大きなデータストリームが出ていくインターフェイスにそのプロファイルを割り当てる必要があります。この例では、クライアントはストリーミングをインターネットから受け取っており、大量のデータ フローがインターネットからクライアントへ流れているため、QoSプロファイルをクライアント サイドに適応することによって、フロー制御をします。 QoS Interface QoS インターフェイス QoS統計情報を確認します。Network > QoSに移動し、statisticsをクリックします。 QoS bandwidth enforcement QoS帯域実行結果   QoSについてのさらなる情報については、以下のGetting Started記事をご参照ください:   Getting Started: Quality of Service   著者: pankaku  
記事全体を表示
kkondo ‎08-26-2018 06:07 PM
4,708件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Packet drop caused by DoS Protection Rule with "src-dest-ip-both" Classified setting https://live.paloaltonetworks.com/t5/Configuration-Articles/Packet-drop-caused-by-DoS-Protection-Rule-with-quot-src-dest-ip/ta-p/227001     事象 DoS プロテクション ルール適用後にパケット ドロップが発生。 脅威ログには、DoS  プロテクションに関連したログは生成されない。   この事象は、DoS プロテクション ルールにおいて Classified 設定がされており、その中のアドレスの設定で "src-dest-ip-both" を選択した際に起きる傾向にあります。   この問題は、実際のアクティブ セッション数がプラットフォームがサポートする最大セッション数、また DoS プロテクション プロファイル内の "最大同時セッション数" よりも少ない状況下であっても起き得ます。     この間、以下のグローバル カウンターがカウントされます。 flow_dos_rule_drop             Packets dropped: Rate limited or IP blocked flow_dos_rule_drop_classified  Packets dropped: due to classified rate limiting flow_dos_no_empty_entp         Unable to find empty classified entry during insertion   原因 もし上記のカウンターに同じ数の上昇が見受けられるようであれば、 classificationテーブルへの ハッシュの挿入に失敗したことによるパケットがドロップが起きたことを指し示します。 ハッシュの挿入の失敗は、 classificationテーブルを使い切ってしまった場合か、ハッシュの衝突が起きたときに発生します。 "src-dest-ip-both" の設定を行った場合、ファイアウォールは送信元IPと宛先IPのペアを基にセッションをトラックする必要があり、それによってより多くのエントリーがclassificationテーブルに追加されることになります。エントリー数が増えれば増えるほど、ハッシュの衝突が起きる可能性は高くなります。   解決方法 -  Classified設定の中で、"src-dest-ip-both" の代わりに  "source-ip-only" または "destination-ip-only" を選択する。 - Classified設定の代わりにAggregate設定を使用する。 - "debug dataplane reset dos classification-table" コマンドを実行し、classificationテーブルをクリアする。注: これは一時的な回避策となります。 - DoS プロテクション ルールを設定する際に、適用範囲をより限定的にする。例えば、すべてのゾーンを含めるのではなく、適用するゾーンの数を減らす等。      
記事全体を表示
ymiyashita ‎08-26-2018 04:56 PM
4,430件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Backing Up and Restoring Configurations https://live.paloaltonetworks.com/t5/Featured-Articles/Backing-Up-and-Restoring-Configurations/ta-p/65781   パロアルトネットワークス次世代ファイアウォールのバックアップからの設定情報の復元方法、保存とコミットの違い、Device > Setup > Operations > Configuration Management配下の様々なアクションについて学びます。         保存とコミットの違い   変更を設定情報ファイルに保存することと、変更をファイルにコミットすることは大きな違いがあります。パロアルトネットワークスは管理者が将来利用目的で、変更したり、それらを保存したりすることができます。しかしながら、管理者が変更を設定ファイルにコミットした場合、変更は、実行中の設定に上書きされ、即有効となります。   それゆえに、設定変更を加える前に、 実行中の設定を保存することをお勧めします。シリアスな設定ミスをして、バックアップを取得しておかなかったために、変更を戻したり、前回の設定に引き戻しすることが困難になります。   設定の保存、リストアについて パロアルトネットワークスのオペレーティングシステムは管理者に以下のオプションを提供します:     検証 候補設定の検証 戻す 最後に保存した設定に戻す   実行中の設定に戻す 保存 名前付き設定スナップショットの保存   候補設定の保存 ロード 名前付き設定スナップショットのロード   設定バージョンのロード エクスポート 名前付き設定スナップショットのエクスポート   設定バージョンのエクスポート   デバイス状態のエクスポート インポート 名前付き設定スナップショットのインポート   デバイス状態のインポート   検証—候補設定の検証   候補設定のエラーをチェックします。パロアルトネットワークスOSでは、管理者がコミットしていない、保存した設定ファイルの検証をすることができます。検証プロセスでは、設定情報上の、可能性のあるエラー、競合を精査します。管理者には出力結果が提示されます。この機能は、設定ミスや、間違った設定情報ファイルをロードすることを避けるのに、役立ちます。   戻す   もし設定情報の間違いをしてしまった場合に、オペレーティングシステムは最後に保存した設定情報、実行中の設定に即座に戻すことができます。最後に保存した設定情報、実行中の設定に違いがある場合、これらの2つのオプションは、ワンクリック復元と呼びます。どのファイルから復元するかは選択できません。両方のオプションは、2つの違う情報ソースから設定を復元します:   保存した設定情報から戻すのは、xmlファイルから復元します。 実行中の設定から戻すのは、running-config.xmlファイルから復元します。   最後の保存した設定情報に戻す   戻すオプションは、ローカル装置上の最後に保存した候補設定から復元します。現在の候補設定は上書きされます。 候補設定が保存されていない場合、エラーが発生します。重要な装置を設定している際に、素早く復元する便利な機能です。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。   2個目のメッセージでは、どのファイルから復元したか通知します。     パロアルトネットワークスの装置は、実行中の設定のスナップショットを生成し、ハードディスク上に保存します。実行中の設定の新しいバージョンは、変更したり、コミットした際に毎回作られます。これはとても便利な機能で、管理者が意図していない変更を加えた場合に素早く設定情報を以前の状態に戻すことができます。   実行中の設定に戻す   このオプションは、running-config.xmlから設定を復元します。現状の実行中の設定は上書きされます。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。     2個目のメッセージでは、どのファイルから復元したか通知します。       設定ファイルを保存する   設定ファイルを保存する方法は2つあります。   名前付き設定スナップショットを保存する。 候補設定を保存する。   これらはどういう違いがあって、なぜ2つのオプションがあるのでしょうか?   名前付き設定スナップショットの保存オプションは候補設定をファイルに保存します。保存している設定情報ファイルは実行中の設定に上書きされません。この機能は、バックアップファイルを作成したり、将来的に変更、もしくはラボ環境で試験をするためにダウンロードされた試験用の設定情報ファイルとして利用するのにとても便利です。ファイルに名前付けすることも、既存のファイルに上書きすることも可能です。注意:実行中の設定(running-config.xml)には上書きできません。   候補設定を保存 候補設定をフラッシュメモリ(ページトップにある、Saveをクリックするのと同様の意味)に保存します。   名前付き設定スナップショットのロード   候補設定を実行中の設定(running-config.xml)もしくは、以前インポートされた、保存された設定情報からロードします。ロードすべきファイルを選択します。現行の候補設定は上書きされます。   設定バージョンのロード 特定バージョンの設定情報をロードします。   名前付きされた設定スナップショットのエクスポート 実行中の設定情報(running-config.xml)もしくは過去に保存、インポートされた設定情報をエクスポートします。エクスポートすべきファイルを選択します。ファイルを開く、もしくはネットワーク上のロケーションに保存します。   設定情報バージョンのエクスポート 特定バージョンの設定情報をエクスポートします。   Panoramaおよびデバイスの設定バンドルのエクスポート(Panoramaのみ) Panoramaと管理している各々のファイアウォールの最新バージョンの実行中の設定情報バックアップを手動で生成、エクスポートします。自動的に生成、エクスポートするバンドル設定情報を日次でSCPもしくはFTPサーバに保存する方法については“Scheduling Configuration Exports"を参照ください。   デバイス状態のエクスポート(ファイアウォールのみ) この機能は設定情報と動的情報をGlobalProtectポータルにて、大規模なVPN機能を有効設定しているファイアウォールからエクスポートする場合に使われます。もしポータルが失敗に遭遇している場合に、エクスポートされたファイルをインポートすることによって、ポータルの設定や、動的情報を復元することができます。   エクスポートされたファイルには、ポータルが管理しているサテライトデバイスリストや、エクスポートされたタイミングでの実行中の設定情報、そして、全ての証明書情報(Root CA, サーバ情報、サテライト証明書)が含まれます。   重要 : 手動で、機器ステートのエクスポートを走らせるか、ファイルをリモートサーバにエクスポートするスケジュールされたXML APIスクリプトを作成する必要があります。サテライト証明書がしばしば変更になる可能性があるため、これは定期的に実施する必要があります。   デバイス状態ファイルをCLIから作成するためには、設定モードから、デバイス状態の保存を実行する必要があります。 ファイル名はdevice_state_cfg.tgzとなり、/opt/pancfg/mgmt/device-stateディレクトリに保存されます。ファイルをエクスポートするオペレーショナルコマンドは、scp export device-state(tftp export device-stateも利用可能)です。XML APIを使用した情報については、XML API Usage Guideを参照ください。   名前付き設定スナップショットのインポート 設定情報ファイルをネットワークのロケーションからインポートします。Browseをクリックし、設定すべき設定情報ファイルを選んでください。   デバイス状態のインポート (ファイアウォールのみ) エクスポートオプションを使ってエクスポートされたデバイス状態をインポートします。これは、実行中の設定、Panoramaテンプレート、共有のポリシーを含みます。もし装置がGlobal Protectポータル設定がある場合、エクスポートされたファイルは、証明局(CA)情報、サテライト装置のリスト、そしてそれらの認証情報を含みます。   著者: rchougale
記事全体を表示
kkondo ‎08-16-2018 10:27 PM
8,728件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Getting Started: Layer 3 Subinterfaces https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67395   ファイアウォールを開梱して、Vlan(サブ・インターフェイス)の設定をしたい     現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what?  と  I've unpacked my firewall and did what you told me, now what?  を参照してください。   あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。   まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。   レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。   interface GigabitEthernet1/36  switchport  switchport access vlan 100  switchport mode access  switchport nonegotiate  spanning-tree portfast ...reconfigure... interface GigabitEthernet1/36  switchport  switchport trunk allowed vlan 100,200  switchport mode trunk  switchport nonegotiate spanning-tree portfast インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。   1. サブインターフェイス設定   最初に物理ファイアウォールからIP設定を削除します。 Networkタブに移動。 左パネルのInterfacesに移動。 Interface設定を開く。 IPv4タブを開く。 ネットワークアドレスを選択。 Deleteをクリック。   サブインターフェイスを追加する準備ができました。   サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。     次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。   次に、Advancedタブに移り、Management Profileで'ping'を選択します。     次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。   第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。   'dmz'ゾーンを作成します。     そして、違うインターフェイスとIPサブネットを割り当てます。   そしてManagement Profileに'ping'を設定します。   インターフェイス設定は以下のようになっているかと思います。   2. DHCP再設定   前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。 Networkタブに移動。 左パネルから、DHCPメニューを選択。 インターフェイスethernet1/2用のDHCP設定を開く。 インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。   3. 新しいNAT ポリシー設定   次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。 Policiesタブに移動。 NAT設定を左側パネルから選択。 Addをクリックして、新しいNATポリシーを作成。     Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。   Translated Packetタブでは、Webサーバーの物理アドレスを設定します。   4. Securityポリシーの追加   最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。 Policiesタブに移動。 左パネルからSecurityを開く。 Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。 ここでは、送信元ゾーンが'untrust'を選択、   宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。   アプリケーションにはweb-browsingを追加し、   攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。   TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。   Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。   追加の管理用Applicationsを加えます。   設定されたSecurityポリシーは以下の様になっています。   新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。    もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。 I’ve unpacked my firewall, but where are the logs?   著者: reaper
記事全体を表示
kkondo ‎08-02-2018 07:19 PM
6,376件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dead Peer Detection and Tunnel Monitoring https://live.paloaltonetworks.com/t5/Configuration-Articles/Dead-Peer-Detection-and-Tunnel-Monitoring/ta-p/61371   概要 デッド ピア検出(DPD)とは、非アクティブまたは使用不能なインターネット鍵交換(IKE/Phase1)ピアを検出する方法で、RFC 3706に記載されている機能を指します。トンネル モニタリングはPalo Alto Networks独自の機能で、IPSEC トンネルの対向インターフェイスに対してPINGを送信することで、IPSEC トンネルをトラフィックが正常に通過することを確認します。トンネル モニタリングを"モニター プロファイル"と組合わせて使用することで、トンネル インターフェースをダウンさせるとともに、ルーティングを更新し、トラフィックをセカンダリ ルートを用いてルーティングできるようにします。トンネル モニタリングはDPDを必要としません。デッド ピア検出はIPSEC トンネルの両端で有効または無効にする必要があり、片方が有効でもう片方が無効の状態の場合、VPNの信頼性に問題を引き起こす可能性があります。   詳細 デッド ピア検出 DPDはIKE-SA (Security Association and IKE, Phase 1) の死活監視機能です。 DPDはピア デバイスがまだ有効なIKE-SAを持っているかどうかを検出するために使用されます。定期的に"ISAKMP R-U-THERE" パケットをピアに送信し、ピアは"ISAKMP R-U-THERE-ACK" パケットで確認応答します。   Palo Alto Networksは現時点でDPD パケットに関連するログをもっていませんが、デバッグ パケット キャプチャで検出できます。以下はピア デバイスからのpcapです:   Mar  4 14:32:36 ike_st_i_n: Start, doi = 1, protocol = 1, code = unknown (36137), spi[0..16] = cd11b885 588eeb56 ..., data[0..4] = 003d65fc 00000000 ... Mar  4 14:32:36 DPD; updating EoL (P2 Notify Mar  4 14:32:36 Received IKE DPD R_U_THERE_ACK from IKE peer: 169.132.58.9 Mar  4 14:32:36 DPD: Peer 169.132.58.9 is UP status_val: 0.   DPD のクエリと遅延間隔は、Palo Alto Networks デバイスでDPDが有効になっているときに設定できます。DPDはピアが応答しなくなったことを認識するとSAを破棄します。 注: DPDは永続的ではありません、またフェーズ2のRe-Keyによってのみトリガーされます。つまりフェーズ2が稼働している場合、Palo Alto Networks ファイアウォールはIKE-SAがアクティブかどうかを確認しません。フェーズ1のIKE-SAを確認するためのDPDをトリガーするために、フェーズ2のRe-Keyをトリガーするには、トンネル モニタリングを有効にします。   トンネル モニタリング トンネル モニタリングはIPSec トンネル全体の接続性を確認するために使用されます。トンネル モニター プロファイルを作成する際に、トンネルが使えない場合の2つのアクション オプションとして、"回復を待機(Wait Recover)"か"フェイル オーバー(Failover)"のどちらかを指定します。 回復を待機: トンネルが回復するまで待機し、他のアクションは実行しません。 フェイル オーバー: 利用可能な場合、トラフィックをバックアップ パスにフェイル オーバーします。 どちらの場合も、復旧を早めるためファイアウォールは新しいIPsec キーのネゴシエートを行います。 指定されたアクションを実行する前に待機するハートビートの数を指定するために、"しきい値(Threshold)"オプションを設定することができます。この範囲は2~100で、デフォルトは5です。"ハートビート間隔(Interval)"も設定できます。範囲は2~10で、デフォルトは3秒です。   以下に示すように、トンネル モニタリング プロファイルが作成できたら、それを選択し監視するリモート エンドのIP アドレスを入力します。   著者: panagent
記事全体を表示
tsakurai ‎07-31-2018 06:27 PM
4,617件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Disk-image/machine-image backup support for VM-Series https://live.paloaltonetworks.com/t5/Management-Articles/Disk-image-machine-image-backup-support-for-VM-Series/ta-p/220066   ユーザーが作成した Disk-image 又は Machine-image を用いた VM -Seriesファイアウォールの復元はパブリックプラウドを含めた全てのハイパーバイザーにおいてサポートされてません。 これは 全般的 にVMのディスクやメモリー内容をコピーする機能を用いた復元も対象外となります。 VM -Seriesファイアウォールを復元するには、Base image file又はパブリッククラウドのマーケットプレースを使って新しく構築した VM -Seriesファイアウォール上でPAN-OS コンフィグのバックアップをインポートしてご使用ください。
記事全体を表示
oconnellm ‎07-31-2018 06:26 PM
3,725件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 macOS X 10.13 & iOS 11 - New Requirements for GlobalProtect Connections https://live.paloaltonetworks.com/t5/Configuration-Articles/macOS-X-10-13-amp-iOS-11-New-Requirements-for-GlobalProtect/ta-p/179049 この情報の入手先についてはAppleのサポート記事 https://support.apple.com/en-us/HT207828(英文)https://support.apple.com/ja-jp/HT207828(日本語)を参照してください。   要約するとこれらのリリースには次の要件が含まれています: SHA-1 証明書を使用した TLS 接続はサポートされなくなります。TLS サービスの管理者の方は、SHA-2 証明書を使うようにサービスをアップデートしてください。 すべての TLS 接続において、RSA 鍵長が 2048 ビット未満の証明書は信頼対象から除外されます。 TLS 1.2 を EAP-TLS ネゴシエーションのデフォルトとして使用します。このデフォルト設定は、構成プロファイルで変更できます。古いクライアントでは引き続き 1.0 が必要な場合もあります。 注: GlobalProtect ポータルとゲートウェイの"SSL/TLS サービス プロファイルの最大バージョンが"TLSv1.1"と設定されている場合、iOS 11とMac OS X 10.13のどちらのシステムでも接続を確立できます。最大バージョンが"TLSv1.2"または "max"に設定された状態で設定がコミットされると、GlobalProtect エージェントは接続に成功します。   iOS 11における変更点(原文) Security iOS 11, tvOS 11, and Mac OS High Sierra include the following changes to TLS connections: Removes support for TLS connections using   SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates. Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections. Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0. Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy. macOS High Sierra における変更点(原文) Security macOS High Sierra, tvOS 11, and iOS 11 include the following changes to TLS connections: Removes support for TLS connections using SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates. Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections. Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0. Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy.   著者: jjosephs
記事全体を表示
tsakurai ‎07-02-2018 02:45 AM
5,120件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Tips & Tricks: How to Create an Application Override https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-Override/ta-p/65513   アプリケーション オーバーライドとは? アプリケーション オーバーライドは、Palo Alto Networks ファイアウォールを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。アプリケーション オーバーライド ポリシーが有効になると、すぐにそのトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。   使用例 あなたはアプリケーション識別を上書きする必要がある理由を尋ねるかもしれません。場合によって、顧客固有のニーズに対応する独自のカスタム アプリケーションを作成する場合があります。これらのアプリケーションでは、ファイアウォールがトラフィックの動作を認識し、既知のアプリケーションとして適切に識別するためのシグネチャがない場合があります。このような場合は、識別やレポートを簡単にし混乱を避けるためのアプリケーション オーバーライドを作成することをお勧めします。   アプリケーション オーバーライドを使用する典型的なシナリオを見てみましょう。例えば、TCP ポート 23を使用する独自のアプリケーションがあったとします。しかしファイアウォールを通過するトラフィックが"temenos-t24"と誤判定されることで混乱する場合は、トラフィックを正しく識別するためにアプリケーション オーバーライドを実装することができます。   セットアップに必要なもの アプリケーション オーバーライドを設定するには、WebUIで、Policies > アプリケーション オーバーライド に移動します。設定には次のものが必要となります: アプリケーション オーバーライド ポリシーで使用するカスタム アプリケーション(推奨) アプリケーション オーバーライド ポリシー 新しく作成されたカスタム アプリケーションを許可するセキュリティ ポリシー 手順 TCP ポート 23を使用するTelnetのための新しいカスタム アプリケーションを設定する: 当該トラフィックに対して新しいカスタム アプリケーションを作成します。WebUIで、Objects > アプリケーション に移動し、左下の"追加"をクリックします。 アプリケーションに名前をつけます(この場合、既に使用されているTelnet以外のもの)。この例では"Telnet_Override"を名前として使用します。またカテゴリ、サブカテゴリ、テクノロジの値を選択します。 オプション手順: これは必須ではない別のレイヤーまたは詳細を追加するものです。 詳細 > デフォルト に進み、ポートを選択し、アプリケーションのポートを一覧表示します。 この例ではTCP ポート 23が表示されています: パラメータとして"ポート"を選択した後、"追加"をクリックし、必要に応じて例のようにプロトコルとポートを入力します。この例ではシグネチャは必要ないため、このカスタム アプリケーションの作成を完了するために"OK"をクリックします。 アプリケーション オーバーライド ポリシーを作成するために、Policies > アプリケーション オーバーライドに移動し、"追加"をクリックします: "全般"タブでポリシーの名前を入力します。この例では"Telnet_Override"を使用します。 "送信元"に移動し、送信元ゾーンを追加します。送信元が静的の場合は送信元アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 "宛先に"に移動し、宛先ゾーンを追加します。宛先が静的の場合は宛先アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 プロトコル/アプリケーションに移動し、プロトコルを選択してからポート番号を入力し、作成したカスタム アプリケーションを選択します。 独自のアプリケーションを使って作成したアプリケーション オーバーライドが正しく動作することの確認   この新しいアプリケーションがファイアウォールを通過することを許可するためのセキュリティ ポリシーを作成するか、既存のルールを変更します。   新しいルールを作成するには、Policies > セキュリティ に移動し、左下の"追加"をクリックします。トラフィックがカスタム アプリケーションを使用して通過するゾーンのセキュリティ ポリシーを作成します。サービスで使用されるポートを指定します。全ての新しいセッションは新しいカスタム アプリケーションで検出され、トラフィックは許可されます。 コミットを実行し、テストします。前述のようにトラフィックは"telnet"や"temenos-t24"の代わりに、Telnet_Override"を使用する必要があります。 ポリシーの変更を反映するためにコミットを実行した後、CLIで以下のコマンドを実行し、セッションの詳細を表示します。 > show session all filter application Telnet_Override  
記事全体を表示
tsakurai ‎06-26-2018 06:40 PM
4,906件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View and Install PAN-OS Software through the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-and-Install-PAN-OS-Software-through-the-CLI/ta-p/51976   概要 このドキュメントでは、CLIを使用して利用可能なPAN-OS ソフトウェアを表示したり、インストールする方法について説明します。   詳細 利用可能なPAN-OS ソフトウェアのリストを表示するために、次のコマンドを使用します: > request system software info   このコマンドは以下に示すように、利用可能なソフトウェアとダウンロード済みソフトウェアの一覧を表示します: 目的のソフトウェア バージョンが一覧にない場合は、次のコマンドで最新の利用可能なPAN-OSの一覧を取得できます: > request system software check   このコマンドは以下に示すように、このファイアウォールで利用可能な全てのソフトウェア バージョンを取得します: 目的のソフトウェア バージョンにダウンロード済みのマークが付いていない場合は、まずダウンロードしてください: > request system software download version 6.1.2   ダウンロード済みのソフトウェアをインストールするには、次のコマンドを使用してください: > request system software install version 6.1.2   インストール後、以下のコマンドを使用してデバイスを再起動します: > request restart system   参照 コマンド ライン インターフェース (CLI)の詳細については、次のドキュメントを参照してください: (訳注:原文ではPAN-OS 6.0のCLI リファレンスガイドへのリンクとなっていますので、翻訳に際しPAN-OS 7.1以降のCLI Quilck Startへのリンクと差し替えさせていただきます。) PAN-OS 7.1 CLI Quick Start PAN-OS 8.0 CLI Quick Start PAN-OS 8.1 CLI Quick Start 著者: rkotty
記事全体を表示
tsakurai ‎06-25-2018 08:48 PM
4,963件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Use Anti-Spyware, Vulnerability and Antivirus Exceptions to Block or Allow Threats https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Use-Anti-Spyware-Vulnerability-and-Antivirus-Exceptions/ta-p/66099   この記事は、アンチスパイウェア、脆弱性防御、アンチウイルスの例外設定において、Palo Alto Networks ファイアウォールで、特定脅威のアクションを変更する方法について記述しています。    アンチスパイウェア、脆弱性防御の例外設定 この例では、アンチスパイウェアの既存プロファイル名 "Threat_exception_test_profile" の例外設定に脅威ID番号30003を追加します。 Objects > セキュリティ プロファイル > 'アンチスパイウェア' もしくは '脆弱性防御' に移動します。 既存のプロファイルを選択 "例外 (Exceptions)"タブを選択 まず、画面左下にある"Show all signatures"チェックボックスを選択し、 検索フィールドで、検索したい文字列(例:'microsoft' )もしくは脅威ID番号(例:30003)を入力し、改行ボタン、もしくは緑の矢印をクリックし、検索を実行します。 注意: もしシグネチャ検索がdynamic update直後で、検索結果が得られない場合は、GUIのキャッシュをクリアするために、WebUIをログアウトして、ログインしなおしてください。 "Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability"(脅威ID番号30003)が表示されます。 注意: 脅威ID番号は、threatログから容易に見つけられます。 この例外を有効にするため'Enable'ボックスをクリックします。 既定の'アクション'を変更するため、通過させたい場合はAllow、落としたい場合は、Dropを選択します。 Threat Action detail - change default action. IPアドレスの例外欄は、脅威例外をIPアドレスでフィルターしたい場合に使います。もしIPアドレスが追加されれば、送信/宛先IPアドレスが例外設定と一致した場合のみ、シグネチャのルールアクションが適応されます。シグネチャ当たり100個までIPアドレスを追加できます。このオプション設定によって、特定のアドレス毎に、新しいセキュリティ・ルールを作る必要はありません。全てのトラフィックでなく特定のアドレスを除外したい場合、画面下の"IP Address Exemptions"をクリックして、追加したいIPアドレスを100個まで追加してください。 IP Address Exemption detail. IPアドレス例外設定詳細 アンチスパイウェアもしくは脆弱性防御プロファイルが適切なセキュリティ ポリシーに設定されていることを確認してください。 例外設定を有効にするためにCommitを実行します。   アンチウイルス例外設定 この例では、アンチウイルスの既存のプロファイル名 "AV_exception_test_profile" の例外設定に脅威ID番号253879を追加します。 (注意: アンチウイルスの例外設定は、全体に対して有効か無効かの設定であり、特定のIPアドレスに対しての例外設定はできません)   Objects > セキュリティ プロファイル > アンチウイルスに移動します。 既存のプロファイルを選択し、ウイルス例外 (Virus Exception) タブをクリック。 ID(この例では253879)をページ下の脅威 ID フィールドに入力し、追加をクリックします。 注意: 脅威 IDはthreat ログから見つけられます。 この例では、"Win32/Virus.Generic.koszy"の例外が作られました。 AntiVirus - Virus Excemption window detail. AntiVirus – Virus例外ウィンドウの詳細 アンチウイルス プロファイルが適切なセキュリティ ポリシーに設定されていることを確認してください。 アンチウイルス例外設定には特定IP アドレスを除外するオプションはありません。 変更を反映するためにCommitを実施します。   著者: kadak
記事全体を表示
kkondo ‎06-13-2018 10:24 PM
6,108件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Configure Palo Alto GlobalProtect with Azure Multi-Factor Authentication https://live.paloaltonetworks.com/t5/Management-Articles/Configure-Palo-Alto-GlobalProtect-with-Azure-Multi-Factor/ta-p/79117   AzureのRADIUS認証で多要素認証 (MFA) を使ったGlobalProtectの設定方法について記述します。設定の注意点として、AzureはPAP と MSCHAPv2 認証のみのサポートなので、Palo Alto Networks GlobalProtectでは、PAP認証方式のみ設定が可能です。   Azure MFA設定は、オンプレミスのMFA Server RADIUS(Microsoft推奨)を使用します。 注意: MFA Serverが既にインストールされており、ADとユーザー情報がSync済みであることを前提としています。   Radius認証を有効にします。 クライアント タブでは、Azure Multi-Factor Authentication RADIUS serviceがRADIUS リクエストを受け付けるポートをスタンダードポート以外にする必要がある場合、認証、アカウンティングポートを変更します。これはPalo Alto Networks上の設定も同様です。 クライアント欄で、Addをクリック Palo Alto Networks ファイアウォールのManagement IPをAzure Multi-Factor Authentication Serverに認証するIPアドレスとして設定します。 名前を入力します(任意設定) 共有暗号鍵 (shared secret) を入力します。 'Require Multi-Factor Authentication user match' チェックボックスをクリック。 もしユーザがAzure Multi-Factor Authenticationモバイルアプリ認証を使用していて、OATHのパスコードを、外線通話、SMS、プッシュ通知の際に利用したい場合は、‘Enable fallback OATH token’ チェックボックスをクリックします。      8. Targetタブで、機器がドメインに参加している場合は‘Windows domain’を選択、そうでない場合は’LDAP bind’を選択します。       GlobalProtect設定 注意: Azure MFA SeverはPAPとMSCHAPv2のみのサポートです。GlobalProtectの設定で、PAP認証を設定する必要があります。デフォルト設定はAutoです。もし違う認証が選択された場合、authd.logに不正ユーザ名/パスワードのエラーメッセージのみが記録されます。 RADIUS CHAP認証モードをPAN-OS 7.0.3、それ以前で、CLI、WebUIから手動設定で外すオプションはありません。 PAN-OS 7.0.4以降では、以下のコマンドで、手動設定でRADIUS認証タイプを選択できます。 > set authentication radius-auth-type <auto|chap| pap >   Palo Alto Networks ファイアウォールにログインします。 Device> サーバー プロファイル > RADIUSに移動し、以下のプロファイルを作成します。 a. プロファイル名 (Profile Name) -  MFA serverの名前 b. 場所 (Location) - 共有 (Shared) c. タイムアウト (Timeout) – 30~60秒で、multi-factor認証、Radiusアクセス・リクエスト処理の送受信など、ユーザ認証に必要な時間(以下のスクリーンショットを参照) d. 再試行 (Retries) – 3回 e. 追加 (Add) をクリックし、RADIUS ServerにWindows Azure Multi-Factor Authentication serverのFQDNもしくはIP アドレスと、以前に設定したshared secretを入力 f. ポート (Port) - 1812 (デフォルト). Network > ゲートウェイ(ゲートウェイは設定済みであることが前提) 全般 > 認証プロファイルでステップ2で作成したプロファイルを選択           著者: smisra  
記事全体を表示
kkondo ‎06-12-2018 11:32 PM
2,640件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Delete Unnecessary Downloaded Software Versions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Delete-Unnecessary-Downloaded-Software-Versions/ta-p/66014   詳細 Palo Alto Networks ファイアウォールは、ダウンロード済みソフトウェア・バージョンを、いつでも古いバージョンに戻すことができるために保存しています。アップグレード後、ディスクスペースの確保のために、古い、不必要なソフトウェアを削除したいかもしれません。   WebGUIから WebGUI > Device > Softwareを選択し、内側のパネルから実行できます。内側のパネルには現在ダウンロード済みのソフトウェアが表示されています。そして現在使用していないソフトウェアを削除することができます。例えば、現在PAN-OS 7.1.2(ベースOSイメージとしてPAN-OS 7.1.0も必要です)にて起動しているとします。PAN-OS 7.0.1 or 6.1.0といった古いVersionが不必要だった場合、削除することができます。   Device > Software tab showing the installed versions. Use the X to delete a version that is not currently activated. Device > SoftwareタブではインストールされたVersionが表示されています。”X”ボタンで、未使用なVersionを削除できます。 内側のパネルに表示されている、未使用の各PAN-OSの右側に”X”ボタンがあり、それをクリックすることで削除することができます。システムの起動には現行Versionとベース Version(例:PAN-OS 7.1.3が現行Versionで、PAN-OS 7.1.0がベース Versionの場合、双方とも削除することができません)が必要です。それ以外のVersionは削除することができます。   CLIから 以下のコマンドで古いソフトウェアを削除することができます : > delete software version <filename> PAN-OS 5.0.8を削除するコマンドの例です : > delete software version 5.0.8   ?キーや<tab>キーを入力すると、その他のオプションが表示されます。   消したいVersionを選択してください。この例では、PAN-OS 6.0.6が現行Versionで、ベース VersionのPAN-OS 6.0.0は削除できません。   注意: これらのファイルが保存されているパーティションは”/opt/panrepo”です。”> show system disk-space”コマンドをファイル削除・前後で確認してみてください。古いVersionを削除後、スペースが確保されていることが確認できます。   著者: rborda
記事全体を表示
kkondo ‎06-12-2018 09:33 PM
3,191件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 Policy behavior change application-default https://live.paloaltonetworks.com/t5/Configuration-Articles/PAN-OS-7-1-Policy-behavior-change-application-default/ta-p/75664     PAN-OS 7.1において、セキュリティ ポリシー ルールがアプリケーション  'Any' かつサービス設定 'application-default'  に設定されている場合、そのルールのアクションは標準ポートを使用するアプリケーションにのみ適用されます。   例えば、もしセキュリティ ポリシー ルールがデフォルトのアプリケーション ポートを使用するアプリケーションのみ許可する設定になっていた場合、 web-browsingはポート80番のみで許可されることになります。   以前の PAN-OS リリース バージョンでは、アプリケーション設定が 'Any' になっていた場合、サービス設定 'application-default' は適用されませんでした。
記事全体を表示
ymiyashita ‎04-25-2018 08:52 PM
5,789件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Integrating Cisco ISE Guest Authentication with PAN-OS https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication-with-PAN-OS/ta-p/98295     Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。  この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。   Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。   — 詳細   Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります: Administration > System > Logging > Remote Logging Targets を選択します。 Addをクリックします。 Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。 Submitをクリックします。   他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。   ISEでPassed Authentication Syslog Messages転送設定をします。 Administration > System > Logging > Logging Categoriesを選択します。 Passed Authenticationsをクリックします。 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。 Saveをクリックします。    ユーザー ID Syslog リスナー UDPをPAN-OS上で有効にします。 Device > セットアップ > 管理インターフェイス設定を選択します。 ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。 OKをクリックします。   Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。 Device > ユーザー ID > ユーザー マッピングを選択します。 Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。 追加を選択します。 下記のようにすべての情報を入力します。   ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。   参照例としては、   10.10.130.0/24 = 無線ゲスト 10.10.30.0/24 = 無線ゲスト 10.10.140.0/24 = 有線ゲスト イベントの正規表現は以下のようになります。   Syslog 解析プロファイル: Cisco ISE イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140))) ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+ アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})  OKをクリックします。   Cisco ISE 2.1のsyslog 解析プロファイルは以下のようになります。 Event Regex ([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*) Username Regex User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a- zA-Z0-9\@\-\\/\\\._]+) Address Regex Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1 ,3}\.[0-9]{1,3})   ISEサーバーをサーバー モニタリングに追加します。 Device > ユーザー ID > ユーザー マッピングを選択します。 サーバー モニタリングにて、追加をクリックします。 名前と内容は自由に入力します。 タイプでは、Syslog Senderを選択します。 ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。 接続タイプはUDPを選択します。 フィルタにはCisco ISEを選択します。 デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。 OKをクリックして閉じ、Commitをクリックします。     準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。   show user server-monitor state  show user ip-user-mapping all type SYSLOG test user-id user-id-syslog-parse tail follow yes mp-log useridd.log   参考情報 Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog Configuring ISE to Forward User Login Events to CDA   著者: Marcos
記事全体を表示
kkondo ‎04-25-2018 08:44 PM
3,298件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Getting Started: Network Address Translation (NAT) https://live.paloaltonetworks.com/t5/Tutorials/Getting-Started-Network-Address-Translation-NAT/ta-p/116340   Getting Started seriesを参照しながら、ファイアウォール設定が完了した後、次にサーバー類の設定をしたいと思うかもしれません。全ての内部ホストを賄うほどの潤沢なパブリックIPを有していない限り、以下のネットワークアドレス変換(NAT)設定方法もしくはポートアドレス変換(PAT)設定詳細が内部ホストが外部へ、特定のアドレスを使ってインターネット接続する方法となります。   この設定仕様では、NATもしくはPATをあなたの要求要件を満たすのか、いくつかのシナリオを交えで解説します。     ポートアドレス変換, 送信元NAT   基本的にはポートアドレス変換が広範囲によく使われているアドレス変換手法です。内部サブネットを外部の1つのアドレスでカバー変換します。設定例は以下になります。 このNATポリシーは、全てのTrustゾーンからのセッションを変換し、Untrustゾーンへ送り出します。そして、送信元アドレスを、外部物理インターフェイスに設定されたアドレスに変換します。それらはランダムなソースポートを使用します。返ってくるパケットはファイアウォールでメインテナンスされているステートテーブルで、全てのアクティブセッション、NAT変換により自動的に逆変換されます。   ダイナミックNAT   ポートアドレス変換のバリエーションの一つで、送信元アドレスを追加して可用性を高めます。もしあなたのISPがパブリックアドレスとしてサブネット/29もしくはもっと多くのアドレスを提供した場合、かつあなたの内部ネットワークが広大な場合、NATプールのオーバーサブスクリプションoversubscription を防ぐのに役立つかもしれません。 アドレスタイプの設定で、インターフェイスから、変換アドレスに変更します。そして、有効なIPアドレスとして、IPレンジかIPサブネットを指定します。 ファイアウォールは送信元IPアドレスのハッシュテーブルを利用して、利用可能なプールからIPアドレスを選択します。この送信元アドレスは、この送信元アドレスからくる全てのセッションで利用されます。送信元ポートはランダムになります。   もし送信元ポートが変換前と同様である必要がある場合(いくつかのアプリケーションでは、特定の送信元ポートである必要があるかもしれません)、変換タイプをダイナミックIPに設定すれば、クライアントの送信元ポートをセッション毎に等変換します。変換アドレスは次の割り当て可能なアドレスが供給されます。 連続した32000個以上のIPアドレスはサポートされません。 変換されるアドレスプールは、内部ホストアドレスの数と同じ、もしくは多い必要があります。それぞれの内部ホストが変換後のアドレスを割り当てるためです。   上記の要件をたいていは満たしているが、時々満たさないケースがあるという場合、バックアップとして、ダイナミックNAT、ポートアドレス変換にフォールバック設定ができます。変換アドレス、インターフェイスアドレスオプションが可能です。デフォルトは未設定となっています。   1対1 NAT、静的NAT   もし、ローカルのSMTPサーバーやWebサーバーのようにインターネットからサーバーの存在を明確にする必要がある場合、1対1NATポリシーを特定のサーバー向けに設定する必要があります。いくつかの違った方法により実現する方法があります。   双方向ポリシー:   双方向ポリシーでは、上記で示したように通常の外部向け静的NATを作成し、双方向フラグを設定します。これによりシステムは(暗黙的に)インバウンドポリシーを作成することができます。   このポリシーでは、送信をtrustゾーン、宛先をUntrustゾーン、送信元アドレスを内部サーバー、送信元アドレス変換を外部NATアドレスに設定されています。送信をUntrustゾーン、宛先を全て、宛先IPアドレスを外部NATアドレス、そして宛先変換として、サーバーのアドレスとした暗黙のポリシーが作成されます。 この手法が、複数の1対1変換して、サーバーが各々単一のパブリックIPを所有している場合、有効に働きます。   片側方向のポリシー:   片側方向NATは双方向の場合よりも多少制御でき、PATやポートアドレス変換が可能です。PATは1個のパブリックIPを複数の内部サーバーでシェアできます。   次の3つのルールでは、3つの異なった内向きの静的NATサンプルです。 1番目のNATルールは従来の1対1ルールで、全ての内部サーバ向けポートを変換し、宛先ポートをメンテナンスします。 2番目のNATルールは内部向け通信で、宛先ポートが80番ポートを、内部サーバの8080番ポートに変換します。 3番目のNATルールは内部向けセッションで、2番目のルールと同じですが、宛先ポート25番だけは違う内部サーバーにリダイレクトされます。 注意事項:    なぜ宛先ゾーンがUntrustに設定され、宛先インターフェイスは何になりますか? 'any'を内向けNAT(UntrustからUntrust)の宛先アドレスとして使用できますか?   セキュリティポリシーは、送信ゾーンをUntrustゾーン、宛先ゾーンを(最終的な宛先ゾーン)をtrustと設定すべきです。そして、宛先アドレスは、NAT変換前のパブリックアドレスと設定してください。     Source and Destination NAT   いくつかのケースにおいて、送信元、宛先NATを同時に実行する必要があるかもしれません。一つの例として、Uターンの場合で、内部ホストが、内部サーバーにアクセスする必要があり、クライアントと同じセグメントにいながら、パブリックアドレスを使用する場合です。 Uターンと詳細について、記事と、チュートリアルビデオがありますが、大まかな説明としては、   パブリックアドレスでインターナルリソースにアクセスするために、新たに、trustからUntrustへ変換するNATポリシーが必要になります。   もし、送信元変換がこのポリシーに含まれていない場合、サーバーはオリジナルのソースアドレスでパケットを受け取り、サーバーは直接クライアントにパケットを返信します。   これにより、非対称ループが作られ、TCPサニティチェックに違反され、ファイアウォールでセッションが終了されます。   解決方法としては、例として、ファイアウォールのIPに送信元変換のするルールを追加することです。そうすることによりサーバーの返信はファイアウォールに戻され、ステートフルセッションとして動作します。       追記: VwireにおけるNAT     NATはルーターでルーティングテーブルを編集することができれば(ISPのルーターでは許可されないかもしれませんが)VwireにもNAT設定が可能です。理想的には、Vwireの両端にルーターがあれば単純な設定にできますが、上位側のルーターだけでも、難易度は上がりますが、設定することができるでしょう。   2つのルーター間で、ポイントツーポイントのサブネット(例:10.10.10.0/30)を作成し、各々のルーターにIPを設定し、変換後IPアドレスのルートテーブルを、変換する側の対抗ルータのアドレスでポイントします(例:198.51.100.1をUntrustルーターに、trustルーターのIPでポイントします)。ファイアウォールは残りの部分を処理します。       注意事項   ゾーン解決はルートのルックアップで実施します。パケットがファイアウォールに到着した時、送信元と宛先サブネット、セッションに割当てられた適切なゾーンのルーティング・ルックアップ・チェックが実施されます。インターネットから内向けのトラフィックの場合、送信元ゾーンはUntrustとなり、デフォルトルート(0.0.0/0)はUntrustインターフェイスをポイントします。そして、宛先IPアドレスは、NAT変換前となり、Untrustインターフェイス所属となります(上記例では198.51.100.0/24)。   NATポリシーで宛先インターフェイスを使用すると、類似NATポリシーを使用した場合、競合が発生することを防ぐ助けになります。例えば、もし2つの外部インターフェースが存在して、2つのISP接続があり、違うパブリックアドレスを使用している場合、2つの同様の外向けNATルールが設定できます。   NAT IPの場合、インターフェースに物理的に設定されていないアドレスを使用します(例、インターフェースは51.100.1で、サーバーに使用するNATでは198.51.100.5を使用)。ファイアウォールはGARPを対向機器に送付して通知し、上位機器に対して、ARPリクエストの応答をします。GARPは以下のコマンドで手動で実施することもできます。 admin@MyFW> test arp gratuitous interface ethernet1/1 ip 198.51.100.6 1 ARPs were sent 注意事項: もしNATルールで、変換するサブネットがインターフェイスに設定されていない場合、ファイアウォールは全てのIPアドレスのサブネットに対してGARPを送付します。   ファイアウォールは宛先NAT(内向き)にリストされている宛先アドレスのProxy ARP解決を提供するので、宛先アドレスは、宛先変換サブネットに一致する必要があります。宛先アドレスに'any'を使用することはできません。   内部クライアントが、DMZもしくは信頼できるネットワークにパブリックアドレスを介して接続するNATポリシーを作る場合は、どのような場合でも上記の1ポートアドレス変換NATポリシーを参考にご使用ください。   オーバーサブスクリプション   オーバーサブスクリプションはファイアウォールが作成されるセッションの量に対するパブリックIPアドレスが少なすぎる場合に、同じIPアドレスとポートのペアに変換した現行のセッションを共有し、スケーラビリティを提供します。例えば、通常、最大の現行セッションは、64,000(65,000ソースポート - 1,024サーバーポート)ですが、プラットフォームによっては、8倍の512,000セッションまでオーバーサブスクリプションすることができます。   以下のKBをご参照ください: How to Change the NAT Oversubscription Rate How to Check the Oversubscription on a NAT Rule   著者: Reaper
記事全体を表示
kkondo ‎04-25-2018 05:32 PM
10,771件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Controlling Skype using App-ID https://live.paloaltonetworks.com/t5/Learning-Articles/Controlling-Skype-using-App-ID/ta-p/149689   Skypeとは?     Skype (スカイプ)はよく知られているインターネット電話サービスで、 Niklas Zennstrm と Janus Friis によって開発されました。ピア・ツー・ピアのファイル共有ソフト Kazaa と新しいピア・ツー・ピアのテレビ アプリケーション Joost の創業者でもあります。 Skype は、従来の POTS から VoIP サービスまで、既存の電話サービスと競い合います。強みとしては、ファイアウォールや NAT 変換を介して接続性を提供でき、多くのアクティブ ユーザーをサポートし、強力な暗号化技術によりプライバシーを保護しています。さらに、インスタント メッセージ、チャット、ファイル転送、ビデオ会議、グローバル ディレクトリーなどをサポートしています。   スカイプの基礎となる技術は、分散型 ピア・ツー・ピア  アーキテクチャを利用して、マルチメディア パケットを中央サーバ型ではなくユーザ間でやりとりします。 ピア・ツー・ピア  ネットワークは接続性とスケーラビリティを向上させると同時に、ファイアウォール トラバーサルや、ダイナミック ルーティングによって、会社に設置されたファイアウォールを回避します。独自のプロトコルに基づくクローズド ソース アプリケーションであるにもかかわらず、Skype の独自でかつ回避的な動作は、特に、可視性や制御なしにファイルや情報を転送する能力を備えているため、エンタープライズ ネットワークにとってセキュリティ上の課題となっています。詳しくは以下の URL をご参照ください。 - https://www.skype.com/en/about/   Skypeをネットワーク上で許可するには、以下のApp-IDをパロアルトネットワークス・ファイアウォールで許可する必要があります。   office365-consumer-access rtcp rtp skype skype-probe ssl websocket stun web-browsing windows-azure-base apple-push-notifications   Policies > Security にて以下のスクリーンショットの例にあるように、Skypeを許可するためのセキュリティ ポリシーを追加します。     Skype For Business:   最小設定では、以下のApp-IDを、Skype For Businessが正しく動作するために許可する必要があります。   Ms-lync-base (matches the core functionality of the application) ms-lync-online rtcp stun (for media negotiation) rtp (for media streaming) ms-office365-base (core functionality of O365 applications) ssl web-browsing ms-lync-audio/video   クライアント端末では、固定の証明書を使用しており、 Skype For Business でも、「 *.online.lync.com 」や「 *.infra.lync.com 」を例外リストに追記し( Device > Certificate Management の SSL 復号化例外より)、復号化の除外すべきです。     著者: vsathiamoo 
記事全体を表示
kkondo ‎04-21-2018 05:09 PM
4,332件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Understanding HTTP Evasion Detection Signatures https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/Understanding-HTTP-Evasion-Detection-Signatures/ta-p/79218   セキュリティ アプライアンスによる検出を回避するためにネットワーク上で活用される方法の1つとして、受信側のユーザーエージェントがデータを解釈できるようにしたうえで、トラフィックを検査するアプライアンスがデータを解釈できないようにHTTP通信を難読化し隠蔽する手法があります。これは一般に「回避」戦術と呼ばれます。   異なるHTTPクライアントの実装はそれぞれで動作が異なり、また多くの場合、標準規格(RFC)に準拠しておらず、独自の実装を使用するデコーダやスキャニング エンジンをバイパスするために利用されます。 PAN-OSはこれを次の2つの方法で処理します。まず、デコーダがトラフィックをhttpとしてデコードできない場合、アプリケーションは「unknown-tcp」に設定されます。または他のアプリケーションとして認識される場合もありえます。 さらに、HTTP回避に対応するために、以下のような脆弱性シグネチャを使用して保護します。 • Suspicious Abnormal HTTP Response Found (38304, 38358, 38307, 38476, 38305, 38310, 38841, 38742, 38302, 38870, 38767, 38840, 39041, 38824, 38920, 38303, 38839, 38741) • HTTP Non RFC-Compliant Response Found (32880) • Suspicious HTTP Evasion Found (39004, 39022, 38306, 38919, 38635) • HTTP Request Pipeline Evasion Found (36767) • HTTP Request Line Separator Evasion (36398, 36422) • HTTP response data URI scheme evasion attempt (33127) • HTTP various charset encoding html response evasion (33125) • HTTP utf-7 charset encoding html response evasion (33126)   標準準拠していないサーバーやWebアプリケーションは、不正な形ではあるが悪意のない応答をするときがあり、これに対応するために、脆弱性プロファイルの例外処理を利用して、細かく調整することができます。デコーダが標準コンプライアンスをシステム全体に対して実施していたら、これは可能ではなかったかもしれません。 セキュリティ全体として、ネットワーク管理者は、悪意のあるコンテンツが許可されるリスクと、正当なコンテンツが拒否される可能性のバランスを保つ必要があり、かつセキュリティ ベンダーは広まっている回避テクニックに対してシグネチャを提供する必要があります。   パロアルトネットワークスの脅威研究チームは、これらの脅威を常に監視しております。また、 大切なお客様から得られた貴重な詳細情報を元に、未対応の回避手法に対応しています。   著者: rcole
記事全体を表示
kkondo ‎04-21-2018 04:44 PM
3,778件の閲覧回数
0 Replies
 ※この記事は以下の記事の日本語訳です。 How to Create and View NAT Rules on the CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-and-View-NAT-Rules-on-the-CLI/ta-p/66162   このドキュメントでは、CLI(コマンドラインインターフェイス)でNATルールを作成および表示する方法について説明します。     CLIでNATルールを作成するには、次のコマンドを使用します: # set rulebase nat rules <NAT Rule Name> description <Description of NAT rule> from <Source Zone> to <Destination Zone> service <Service Type> source <Source IP Address>  destination <Destination IP address> source-translation <Type of Source Translation> interface-address interface <Interface Port number>   以下の例では、ダイナミックIPとポートを使用してスタティックNATを作成し、ethernet1/4 を使用しています。 > configure # set rulebase nat rules   StaticNAT   description   staticNAT   from   DMZ   to   L3-Untrust   service   any   source   any   destination   any   source-translation   dynamic-ip-and-port   interface-address interface   ethernet1/4 # commit # exit   コミット後、次のコマンドを使用してNATルールの作成を確認します。 > show running nat-policy   StaticNAT {         from DMZ;         source any;         to L3-Untrust;         to-interface  ;         destination any;         service  any/any/any;         translate-to "src: ethernet1/4 10.46.40.56 (dynamic-ip-and-port) (pool idx: 2)";         terminal no; }   owner: rupalekar
記事全体を表示
dyamada ‎04-17-2018 09:15 PM
3,443件の閲覧回数
0 Replies
 ※この記事は以下の記事の日本語訳です。 SIP Application Override Policy https://live.paloaltonetworks.com/t5/Management-Articles/SIP-Application-Override-Policy/ta-p/69349   事象 ある状況においては、Palo Alto Networksのファイアーウォールによって処理されるSIPトラフィックによって、一方向音声、電話機のレジストレーション解除などに問題が発生することがあります。   解決策 次の手順に従って、SIPの Application Override ポリシーを作成します:   1. Policies > Application Override より、 左下の Add をクリックして新しいポリシールールを作成します。 Create new Application Override rule.   2.次に、 Source タブの Add をクリックして、SIPサーバーが存在するソースゾーンを追加します。 App override screen - source zone.   3. Destination タブの Add をクリックして、VoIPプロバイダーのサーバーの宛先ゾーンと、サブネットまたはIPアドレス、の両方を追加します。 App override - Destination zone and address.   4. Protocol/Application タブでは、VoIPベンダーによって使用されるTCPまたはUDPのどちらかが有効であり、また、ポートも異なります。Applicationでは、sipを使用します。 Protocol - Application tab showing the options.   5. 以下で Application Override ルールの内容を確認できます。 Application Override rule view   SIPアプリケーションの Application Override ポリシーを作成する以外にも、以下をチェックする必要があります:   内部SIPサーバへの着信および発信トラフィック双方のためのセキュリティポリシー SIPサーバの送信元および宛先NAT ALGが無効かどうか。そうではない場合、以下の記事のリンクをクリックして無効にしてください。   How to Disable SIP ALG SIP ALG無効化の方法 (日本語)  ※訳者追記   著者: shganesh 
記事全体を表示
dyamada ‎04-17-2018 09:10 PM
3,086件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Implement ECMP (Load Balancing) on the Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-ECMP-Load-Balancing-on-the-Firewall/ta-p/110339   概要   等コスト負荷分散(ECMP) はPAN-OS7.0で導入された新機能です。これは「等コスト」である同じ宛先に対して複数のルートを提供します。最大で4つの等コストルートがサポートされます。   この機能を使用しない場合、同じ宛先に複数の等コストルートがあると、仮想ルーターはルーティングテーブルからそれらのルートの1つを選択し、それを転送テーブルに追加します。選択されたルートに問題がない限り、他のルートは使用されません。   ECMPロードバランシングは、パケットレベルではなく、セッションレベルで実行されます。新しいセッションの開始は、ファイアウォール(ECMP)が等価コストパスを選択したときです。   この記事では、ファイアウォール上でECMPを実現するための基本的な設定に焦点を当てます。   詳細   この記事で使用するトポロジ: =======================     インターフェイス設定:     注:ethernet1/1およびethernet1/11はそれぞれ異なるゾーンであるL3-UntrustおよびVPNで構成されたISPインターフェイスです。ただし、これらのインターフェイスは同じゾーンでも構成できます。     両方のデフォルトルートが「等コスト」を持つルート設定:       インターネット経由でトラフィックをルーティングするためのNATポリシー:     注:両方のISPインターフェイスが同じゾーンにある場合、宛先インターフェイスを次のスクリーンショットのようにNATポリシーに追加する必要があります。       トラフィックを許可するセキュリティポリシーの設定:(インターフェイスが同じゾーンまたは異なるゾーンにある場合のどちらのシナリオにも対応します)       ファイアウォールでのECMPの有効化:     注: - Max Path 2 は、2つの等コストパスのみがFIBテーブルにインストールされることを意味します。 FIBテーブルにインストールする必要がある等価コストパスが2つ以上ある場合は、Max Path値を変更します。サポートされている最大値は4です。 - ロードバランス方式は、要件に応じて選択できます。負荷分散アルゴリズムの詳細については、ここをクリックしてください - Request パケットが来たインターフェイスと同じインタフェースから Reply パケットを送信する必要がある場合は、Symmetric Return を有効にします。       ECMP動作の確認:   Monitor > Traffic Logs (異なるゾーンの場合)       Monitor > Traffic Logs (同じゾーンの場合)       ECMPとしてインストールされたルートには「E」フラグがあります:         注:ECMPの詳細については、ここをクリックしてください   著者: hagarwal 
記事全体を表示
dyamada ‎04-17-2018 09:07 PM
4,416件の閲覧回数
0 Replies
PAシリーズファイアウォール製品 PPPoE 機能サポートに関する情報です。   [基本情報]   RFC1661, RFC2516 および NTT東西 PPPoE 技術仕様に準拠 PA-VMシリーズを含む全てのPAシリーズファイアウォールで利用可能 PPPoE 機能利用時の PAN-OS 推奨バージョン (2018年3月末時点) PAN-OS 7.1.14 以上, PAN-OS 8.0.6-h3 以上, (PAN-OS 8.1.0 以上 ※ETAC推奨バージョンの利用を推奨) 注: PAN-OS 7.1.10 以下, PAN-OS 8.0.3 以下のバージョンの場合トラブルシューティングに必要な   PCAP 機能が正しく動作しないため、推奨バージョンへのアップグレードを強く推奨 注: PAN-OS 8.1.0 以外のPAN-OSは PPPoE debug PCAP 動作不可 (2018年3月末時点) PPPoE は物理インターフェイス単位でのみ利用可能 システム全体で設定可能な PPPoE インスタンスの数は物理インターフェイス数と同一 単一の物理インターフェースで設定可能な PPPoE インスタンスは1つのみ 注: 802.1Q VLAN タグ付きサブインターフェイスは未サポート PPPoE リダンダントパスは複数の物理インターフェイスを使用することで利用可能 注: リダンダントパス機能を使用する場合は PBF (ポリシーベース・フォワーディング) 設定が必要 静的 IPアドレスの設定について PPPoE を使用するインターフェイスに設定する IPアドレスは32ビットマスクのみ 8 IP, 16 IP などLAN型払い出しIP構成の場合、PPP IPCPプロトコルにより先頭のIPアドレスがPPPoEインターフェイスに割り当てられる PPPoE Unnumbered (DMZ など内部セグメント側でGlobal IPアドレスを使用する) 構成をサポート PAP/CHAP 認証をサポート 通常はデフォルト値の "auto" を使用 PPPoE 回線に対するキープライブ処理について PAN-OS は3秒ごとに LCP keep-alive フレームを送信し、5回連続で失敗した際に PPPoE 接続を切断 keep-alive フレームの送信間隔の設定変更は不可 PPPoE が切断時、PAN-OS は10秒間隔で再接続を実行 ルーティング処理について PPPoE 経由で学習したデフォルト経路情報は動的ルーティングプロトコルへの再配布(re-distribute)が可能 PPPoE 回線が切断した場合デフォルト経路は即座にパージされる HA冗長化構成について HA フェイルオーバー発生時、パッシブ側デバイスにおいて PPPoE コネクション処理が継続される HA フェイルオーバー発生に伴う PPPoE の再接続の必要はない   [GlobalProtect Portal/Gateway 機能を使用する場合]   固定IPアドレスの契約が必要 (1 IP, 8 IP, 16 IP など) PPPoE 回線側に割り当てられたグローバル IPアドレス 1つを GlobalProtect Portal/Gateway で共有可能 GlobalProtect Portal, Gateway それぞれに別のグローバルIPアドレスを割り当てることも可能 この構成の場合はいずれか一方の機能で Loopback インターフェイスを使用   [PPPoE 機能使用時の留意事項]   PPPoE を利用する物理インターフェースのMTUは必ずデフォルト値から変更 通常時:1454 / NTT西日本 光プレミアムを使用する場合:1438 PPPoE 接続開始時、ネットワークループやネットワーク構成ミスにより PPPoE セッション開始時に送信されるPADIパケットが大量(最大20回/5分)に送信された場合、網からのPADOパケット送信が抑制され一定期間 PPPoE回線接続が出来なくなる場合がある。この場合はしばらく待ってから再度接続を実施する。 注 : PADO送信が抑制される具体的な時間は非公開 PPPoE 回線側終端装置(AC)がNTT 東西の技術仕様に準拠しない動作をした場合、PAファイアウォールとのPPPoE 回線接続が正しく行われない場合あり。この場合PA側不具合ではないため、回線契約者からNTTに対して改善依頼する必要あり 8 IP, 16 IP など LAN型接続を利用する場合、ISPから割り当てられたIPグローバルアドレスの4バイト目が0 (例: 203.0.113.0/29 ) の場合、PAからインターネット向けN対1 NAT外部アドレスのホストアドレスが”0”になり、特定の宛先に対する通信が正しく行われない可能性がある。そのため PA導入前にISPへ連絡し割り当てられた IPアドレス4バイト目が”0”ではない別のIPグローバルアドレスの再割当てを申請すること   [PPPoE のユースケース]   中小規模拠点における最もベーシックな セキュアなインターネットアクセス 利用形態       セキュアなインターネットアクセスと公開サーバ保護の実現 セキュアなインターネットアクセスとPPPoE Unnumbered 接続による公開サーバ保護の実現 多拠点VPN接続、セキュアなインターネットアクセスと集中管理による管理負荷軽減の実現 GlobalProtect によるモバイルユーザに対する利用場所に依存しないセキュアなネットワーク環境の実現 Office365などSaaSトラフィックの分離によるユーザレスポンス向上(Proxyサーバの負荷軽減)の実現       以上
記事全体を表示
Akira ‎04-03-2018 03:23 PM
5,130件の閲覧回数
0 Replies
PAN-OS PPPoE Unnumbered 設定例です。   なお、PAN-OS における PPPoEのLAN型接続における回線側インターフェースは、厳密にはUnnumberedではなく、ISPからPPP IPCPで割り当てられたIPアドレス(ISPから割り当てられたグローバルIP ネットワークアドレス)が割り当てられますが、このアドレスはネットワークアドレスであり、DMZ側や内部ネットワーク側でインターフェイスに設定するなどして直接的に利用することが出来ないため、PPPoE Unnumbered 構成の本質的な目的である、割り当てられたグローバルIPアドレスをDMZセグメントなどのホストで直接利用する構成における実質的な影響はありません。
記事全体を表示
Akira ‎04-02-2018 08:54 AM
6,031件の閲覧回数
0 Replies
PPPoE 環境におけるPAクイックコンフィグレーションガイドです。 このガイドでは、次の6つのシナリオにおけるPAN-OSの設定手順と設定後のログなどの情報をスクリーンショットベースでシンプルにまとめました。   最もベーシックな接続構成 DMZ公開サーバセグメントがある構成 Global IP アドレスを直接使用するDMZ公開サーバセグメントがある構成(PPPoE Unnumbered 接続) 拠点間 VPN接続構成 GlobalProtect ポータル/ゲートウェイ機能を使用する構成 EDLを使用したローカルブレイクアウト構成   なお、本番環境に適用される場合は、PAシリーズファイアウォールの中核機能である各種脅威防御・リスク軽減機能の設定を必ず実施する様にして下さい。     本資料について、今後より良いものにして行きたいと思いますので、ご気軽に評価やフィードバックなどお願い出来れば幸いです。
記事全体を表示
Akira ‎04-02-2018 08:37 AM
4,970件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Occasionally forwarding fails for specific traffic that matches a PBF rule with symmetric return https://live.paloaltonetworks.com/t5/Management-Articles/Occasionally-forwarding-fails-for-specific-traffic-that-matches/ta-p/198119   事象 "対称リターンの適用" オプションを有効にして、ネクスト ホップ アドレスを設定せずにポリシー ベース フォワーディング(PBF)を設定すると、転送が失敗する場合があります。   参考: シンメトリック リターンの設定方法     診断 問題が発生しているときに、show pbf return-mac all コマンドを実行すると、return MAC エントリが上限に達していることが確認できます。このエントリが上限に達している場合、新たにreturn MAC エントリの追加ができず戻りのパケットがDropされる原因となります。 user@firewall> show pbf return-mac all current pbf configuation version:   1 total return nexthop addresses :    0 index   pbf id  ver  hw address          ip address                      return mac          egress port -------------------------------------------------------------------------------- maximum of ipv4 return mac entries supported :     1000 total ipv4 return mac entries in table :           1000 total ipv4 return mac entries shown :              1000 status: s - static, c - complete, e - expiring, i - incomplete pbf rule        id   ip address      hw address        port         status   ttl --------------------------------------------------------------------------------   注:このARP テーブルがサポートするエントリの最大数は、ファイアウォール モデルによって上限値が設定されており、この値はユーザー側で設定できません。 お使いのモデルでの上限値を確認するには、CLI コマンド: show pbf return-mac all を使用します。     解決方法 この問題は、対称リターンが有効になっているPBFルールに「ネクスト ホップ アドレス」が設定されていない場合にのみ発生します。したがって、ネクスト ホップ アドレス リストに有効なピア IP アドレスを設定して、問題を回避してください。 Add a Next Hop Address ネクスト ホップ アドレスを設定すると、適切なリターン MAC アドレスが対称リターンのために学習されます。 >show pbf return-mac all maximum of ipv4 return mac entries supported : 16000 total ipv4 return mac entries in table : 12800 total ipv4 return mac entries shown : 12800 status: s - static, c - complete, e - expiring, i - incomplete pbf rule id ip address hw address port status ttl -------------------------------------------------------------------------------- symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737 symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742 symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741 symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743 symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746 symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743 symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742 symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741 symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745 symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746      著者: tsakurai
記事全体を表示
tsakurai ‎03-07-2018 09:07 PM
5,355件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Pro-Tips: Unknown Applications https://live.paloaltonetworks.com/t5/Management-Articles/Pro-Tips-Unknown-Applications/ta-p/77052     'Unknown' アプリケーションの対処   トラフィック ログの中に稀に出てくる unknown-tcp や unknown-udp とは一体何なのでしょうか。これはApp-ID において、十分なデータが流れていないコネクションがあったり、十分なデータが流れていてもそれが既知のアプリケーションの動作にマッチしなかったりして、App-IDがアプリケーションの特定をすることができなかったことを意味します。このタイプのアプリケーションが組織内のトラフィックで見つかった場合、例えば、バックアップによるトラフィックやスクリプトで自動化されたメンテナンス処理など、Unknownアプリケーションであっても無害な場合が考えられます。しかし、これらのトラフィックがインターネットに出ていくものだったり、あるいはインターネットから入ってくるものだったりした場合は、注意が必要です。     大雑把に言えば、これらのトラフィックは実際どのようなセッションなのか不明で、悪意のあるトラフィックであり得るので、ベスト プラクティスとしてunknown-udp/unknown-tcp   アプリケーションは全てブロックした方が無難です。   ただ、やみくもに全てのunknownトラフィックをブロックしてしまうと、今度は逆に正規のトラフィック等を遮断してしまうことにも成りかねません。最善策は、カスタム アプリケーションを作成し、該当のトラフィックを特定した上で、セキュリティ ポリシーでどのフローを許可するか、あるいはブロックするかをより細かく制御することです。   簡単な方法は、まずシンプルなカスタム アプリケーションを作成し、アプリケーション オーバーライドを設定することです。これは、送信元と宛先が社内のアドレスで、かつ固定である場合に有効な方法です。例えば、とあるサーバーから別の管理下の環境へのスクリプトによるコネクションなどがこれに該当します。    まずシンプルなカスタム アプリケーションを作成します。詳細 (Advanced) とシグネチャ (Signatures) は設定しません。 ここでリスクの値に5を設定している理由は、この方法でApp-IDを適用するセッションにおいてインスペクションが無効になるためです。 アプリケーション オーバーライドを作成し、該当のトラフィック フローに完全にマッチするように設定をします。(アプリケーション オーバーライドは、管理者が把握しているフローにのみ使用してください) セッションがカスタム アプリケーションとして検知されるようになります。セキュリティ ポリシーをそのアプリケーション用に作成することで、セッションの制御が行えるようになります。   最もいいアプリケーションの特定方法は、パケット キャプチャを行ってアプリケーションがファイアウォールにとってどのように見えるかをよく理解し、それを元に期待されるコンテンツにマッチするようにシグネチャを作成することです。こうすることで、正規なセッションを完全に見分けることができるようになります。   パケット キャプチャをセットし、セッションの最初から最後までをキャプチャした後、pcapファイルを取得します。パケット キャプチャの詳細については、次の文書を参照してください。Getting Started: Packet Capture(英文) より適切なシグネチャが書けるよう、パケット キャプチャを解析します。 この例では、16進の HEX値 "2f69 6e66 6f3f 7478 7441 6972 506c 6179 2674 7874 5241 4f50"を使用します。これは、アスキー テキストで "/info?txtAirPlay&txtRAOP" に相当するものです。 新しいカスタム アプリケーションを作成し、これから特定しようとしているセッションにマッチするようにパラメータを設定していきます。以下の例は、カスタムAirPlayプロトコルをキャプチャしたデータを元に設定したものです。これは組織内のトラフィックであり安全であることが分かっているため、リスクの値は1に設定してあります。 このアプリケーションは、クライアントからサーバーへの通信の宛先としてTCPポートの7000番を使用します。 シグネチャには、以下の例にあるように、pcapから見つかった16進のHEX値が使用できます。(HEX値を使用する際には、先頭と末尾に '\x' を付与してください。そうすることで、シグネチャのエンジンがテキスト パターンではなくHEX値のパターンとして処理するようになります。) また、以下の例にあるように正規表現を使うこともできます。(テキスト文字列の中に特殊文字が含まれている場合は、特殊文字の前にバックスラッシュ '\' を付けてエスケープしてください。)   文字列のパターンが現れる位置を条件の制限に加えるために、修飾子(Qualifier)とその値にhttp-method GETを設定しています。なぜなら、これはhttpのbodyの部分には現れないからです。このシグネチャのコンテキスト (Context)はhttp-req-params (http request parameter)を設定しています。その理由は、カスタムAirPlayプロトコルは、サーバーとの通信においてhttpコマンドを使用するからです。このように、コンテキストのオプションはクライアントとサーバー間の通信で使用されるプロトコルにできるだけ即した形で設定する必要があります。 その他の例としては、Video Tutorial: Custom application(英語)や Getting Started: Custom applications and app override (英語)を参照してください。よく使われるコンテキストには、 'unknown-req-tcp-payload'、'unknown-rsp-tcp-payload'、'http-req-host-headers' などがあります。ここで、"-req-" はクライアントからのリクエスト、"-rsp-" はサーバーからのレスポンスを意味します。これによって、どちらの方向のトラフィックをチェックしてアプリケーションを特定するかの選択が可能になります。 カスタム アプリケーションを作成し、設定のコミットを行うと、unknown-tcp と表示されていたセッションは新しいカスタム アプリケーションとして新しくログに出てくるようになります。   つまり、この新しいカスタム アプリケーション用にセキュリティ ポリシーを作成することで別の制御が可能となり、ビジネスで使用しているアプリケーションを許可しつつ、unknownアプリケーションのトラフィックをブロックすることができるようになります。     この記事がお役に立つと幸いです。コメントもお待ちしています。 著者:Reaper   カスタム アプリケーションにまつわるその他のアイデアや事例についてもっと詳しく知りたい方は、次のサイトを訪れてみてください。the Palo Alto Networks Custom Signature discussion board(英語)   参照リンクのまとめ: Getting Started: Packet Capture Video Tutorial: Custom application Getting Started: Custom applications and app override    
記事全体を表示
ymiyashita ‎01-15-2018 06:39 PM
4,675件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community