ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 GLOBALPROTECT: ONE-TIME PASSWORD-BASED TWO FACTOR AUTHENTICATION https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8ICAS     原文はSivasekharan   Rajasekaranによるものです。 @ srajasekar   背景   企業では社内リソースへのアクセスの許可のために、ワンタイム パスワード(OTP)のような、より強力な認証手段が求められています。OTPベースの認証を要求することで、企業は攻撃者が不正にユーザーの資格情報を入手したり、承認されないアクセスをすることを防ぐことができます。しかしOTPを要求するどの実装も、エンドユーザーがOTPを使いづらく感じ、敬遠する恐れがあります。   目的   GlobalProtectはOTPベース認証をサポートし、ユーザー体験を維持する手段を提供します。この文書の目的は、企業の管理者に異なるGlobalProtectのOTP認証のワーク フローと、彼らのセキュリティとコンプライアンスの要求に合致しつつ、ユーザー体験を簡潔に維持するGlobalProtectの認証シナリオを決定する一助となることです。     GlobalProtectのOTP認証   GlobalProtectはRADIUSまたはSAML経由のOTPベースの認証をサポートし、OTPベンダーに全く依存しません。 RADIUSかSAMLをOTPベンダーが対応している限り、どのOTPベンダーも使用できます。OTPサービスをどのように設定したか次第で、ユーザーは2つのワーク フローのいずれかに従って認証されます。 ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークン コードのいずれかを使用します。 ユーザーはユーザー名を入力し、Challengeを待つことなくワンタイム パスワード(あるいは同時にパスワード)を即認証します。 GlobalProtectはこれらのワークフローをサポートします。  Duoによる2つのワークフローを行うRADIUS設定のサンプルはこちらです。   Always-OnモードでのOTPベース認証が必要な場合 - こちらを参照   On-DemandモードでのOTPベース認証が必要な場合   GlobalProtectをOn-Demandモードで展開している場合、ユーザーは手動で必要に応じてGlobalProgtectに接続します。このモードは一般的な安全なリモート アクセスのユース ケースで、リモートのユーザーは社内データ センターのリソースにアクセスするためにVPNトンネルをセットアップし、内部のデータ センターへのアクセスが必要なくなったときにはVPNを切断します。   ユース ケース1: RADIUSを使用したOn-DemandモードでOTPを使用する   On-Demandによる接続では、GlobalProtectエージェントは、ユーザーがGlobalProtectへの接続を開始する毎に、常に最初にポータル、続いてゲートウェイを認証します。OTP認証がポータルとゲートウェイ両方に必要ということは、ユーザーが二回OTP認証を促されることを意味します(一回はポータル、続く一回はゲートウェイ)。しかし(PAN-OS 7.1およびGlobalProtect 3.1以降から)、ユーザーの認証の回数を最小化する認証オーバーライド機能を提供しています。認証オーバーライドの詳細は、Enhanced Two-Factor Authenticationをご覧ください。   推奨の設定: ポータルとゲートウェイ両方にOTP認証を必要とする。 ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注: 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。 Configuration on the Portal   Configuration on the Gateway   この設定にて、エンドユーザーがGlobalProtectに手動で接続するとき、エンドユーザーの体験は次のようになります。   ワーク フロー – 1 ワーク フロー – 2       ユース ケース2: SAMLを使用したOn-DemandモードでOTPを使用する   GlobalProtectは、PAN-OS 8.0とGlobalProtect 4.0からSAML認証をサポートします。SAMLを使用するとGlobalProtectエージェントはSAMP IdPからの認証ページを、Web/組み込みブラウザーで表示し、ユーザーを認証します。ブラウザが異なる(組み込みブラウザー)ため、 GlobalProtectの認証により得られたSAMLクッキーは、他のSAML有効化アプリケーションによるSSOには使用できません。逆もまた同様です。 GlobalProtect の認証により得られたSAMLクッキーは、再起動やログアウト後には残りません。 SAMLによるOTPを使用した場合、透過的な認証を行うために推奨される設定は次のようになります。 ポータルとゲートウェイの両方にSAML認証を使用します。 IdP設定により、SAMLクッキーの有効な期間を決定します。SAMLクッキーが継続し有効である限り、ユーザーからみてGlobalProtectへの透過的な認証になります。 Oktaを使用したGlobalProtectのSAML認証の設定方法はこちらをご覧ください。   GlobalProtect認証オーバーライドを用いて、再起動やログアウト後も透過的な認証を提供する   ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注: 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。   GlobalProtect Always-OnモードでのOTP認証の推奨については、このシリーズのこちらの次記事を参照してください。   設定例   2つのワーク フロー実現のためのDuoによるサンプル設定です。 DuoによるOTP認証を提供する方法の詳細については、こちらをご覧ください。   ワーク フロー1: ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークンコードのいずれかを使用します。   [ad_client] host=<AD-Server> service_account_username=<administrator> service_account_password=<administrator’s password> search_dn=DC=acme,DC=com   [duo_only_client] [radius_server_challenge] ikey=<duo-integration-key> skey=<duo-security-key> api_host=<duo-host-name> radius_ip_1=<firewall-mgmt-ip> radius_secret_1=<radius-secret> client=ad_client failmode=safe port=1812
記事全体を表示
TShimizu ‎10-11-2018 01:23 AM
4,428件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: Forward traffic logs to a syslog server https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Forward-traffic-logs-to-a-syslog-server/ta-p/71966   トラフィックログをPalo Alto Networks ファイアウォールからSyslog サーバに転送する必要がありますか?レポーティング、法令上、保存領域といった理由から、それらのログをファイアウォールからSyslog サーバに転送設定する必要があります。このステップ バイ ステップにそって設定してみてください。トラフィック ログをSyslog サーバに転送するには以下の4つのステップが必要です。   Syslog サーバ プロファイルの作成。 ログ転送プロファイルの作成。 作成したログ転送プロファイルをセキュリティ ポリシーに設定。 コミットにて変更を反映。 ステップ1. Syslog サーバ プロファイルの作成 WebUIからDevice > サーバー プロファイル (Server Profiles) > Syslogに移動。 2. 名前 (Name) : Syslog サーバ プロファイルの名前を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。 3. 追加 (Add) をクリックし、Syslog サーバ名を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。     Syslog サーバー (Syslog Server): Syslog サーバのIPアドレスを入力。 転送 (Transport): Syslog メッセージを送付するプロトコルをUDP、TCPもしくはSSLから選択。 ポート (Port): Syslog サーバのポート (スタンダードポート : UDPは514; SSLは6514; TCPは任意の番号を指定)を入力。 フォーマット (Format): 使用するSyslog フォーマット: BSD (デフォルト設定) もしくはIETFを指定。 ファシリティ (Facility):  Syslogのスタンダード値の一つを選択。Syslog サーバがFacility フィールドをどのように使ってメッセージを管理するかマッピングします。Facility フィールドの詳細については、 RFC 3164  (BSD format)もしくは RFC 5424 を参照ください。   あなたのSyslog サーバ プロファイルが、以下の設定例のように作成できました。     外部レポーティング ツールと連携するために、ファイアウォールはログ フォーマットをカスタマイズできます。さらに、カスタム キーの追加もできます。カスタム フォーマットは以下から設定できます。 Device > サーバー プロファイル (Server Profiles) > Syslog > プロファイル名 > カスタム ログ フォーマット (Custom Log Format):   ArcSightのCommon Event Format (CEF)に準拠したログフォーマットについては CEF Configuration Guides  を参照ください。   ステップ2. ログ転送 (Log forwarding) プロファイルの作成 WebUIからObjects > ログ転送 (Log forwarding)に移動し、追加 (Add)をクリックします。         名前 (Name): プロファイル名(最大31文字)。この名前はセキュリティ ポリシーに設定した場合に、ログ転送プロファイルの一覧に表示されます。名前は大文字小文字を区別し、ユニークでなくてはなりません。使えるのはアルファベット、番号、スペース、ハイフンそして、アンダースコアです。 Syslog : トラフィック ログを送付する宛先を指定するために、Syslog サーバ プロファイルを選択します。 設定を確認してOKをクリックします。   ログ転送プロファイルが作成できました。以下のサンプルのようになっていると思います。     ステップ3. 作成したログ転送プロファイルをセキュリティ ポリシーに設定   WebUIからPolicies > セキュリティ (Security)に移動。     ログの転送設定をしたいルールを選びます。画面サンプル例はAny Allowを選択。         次に、アクション (Actions) タブに移動し、ドロップダウンから作成したログ転送プロファイルを選択し、設定が完了したらOKをクリック。     OKをクリックした後、設定したセキュリティ ルールのオプション (Options)欄に、Forwarding アイコンが表示されます。     ステップ4. 設定が完了したら、コミット (Commit)し設定を反映する。   著者: Kim
記事全体を表示
kkondo ‎07-30-2018 02:16 AM
7,421件の閲覧回数
0 Replies
Vsys(仮想システム)は、単一の物理ファイアウォール内に存在する複数の論理ファイアウォール インスタンスです。各仮想システムは、個別に管理される独立した論理ファイアウォールとして運用が可能です。
記事全体を表示
tkobayashi ‎07-06-2017 07:29 PM
12,526件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure an RMA Replacement Firewall https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Configure-an-RMA-Replacement-Firewall/ta-p/61644   概要 交換や修理のため、弊社認定のサービス提供者よりRMA要求のケースがオープンが行われます。この文書はそれに伴う実稼働環境のファイアウォール交換の準備について記載します。   手順 故障した機器を返却します。返却前に工場出荷時の設定に戻すため、How to Factory Reset a Palo Alto Networks Device  (日本語訳:Palo Alto Networks デバイスのファクトリー リセット手順)またはPAN-OS 6.0以降の装置であれば How to SSH into Maintenance Mode (日本語訳:メンテナンス モードでのSSH接続方法)を参照してSSHでのメンテナンス モードを使用してください。故障機の先行交換(advance replacement)有りのサポート サブスクリプションの場合、故障機は代替品の受領後にパロアルトネットワークスに返却頂く必要があります。 アメリカ合衆国のお客様 - 返送用のラベルが代替機の梱包に入っています。故障機の返却時にはそのラベルを梱包に貼り付けてください。 他国のお客様 - 代替機の梱包に含まれる、返却案内の文書の指示に従ってください。 新しいファイアウォールの登録とライセンスの移行 受領の後、新しい機器の登録と古い機器からのライセンスの移行をします。パロアルトネットワークスでの故障機の受領後、ライセンスは該当機器から外されるので、早急なライセンスの移行は重要です。 ライセンスを移行するには次のドキュメントの案内に従ってください。How to Transfer Licenses to a Spare Device(日本語訳:ライセンスをスペアに転送する方法) 注:ライセンスをスペア機器に移行すると、元の機器には30日間有効の評価ライセンスが付与されます。  管理用インターフェイスの設定 工場出荷時の管理インターフェイスのIPアドレスは 192.168.1.1、 ログインの名前/パスワードはadmin/adminです。 [Device] > [セットアップ]にて管理用インターフェイスにインターネットアクセスとDNSサーバーを設定します。管理インターフェイスは updates.paloaltonetworks.comとの接続ができる必要があります。 またはインターネットへ接続できるレイヤー3インターフェイスに、管理目的でサービス ルートを設定できます。ファイアウォールには適切なインターフェイス、ルーティング、ポリシーが設定されている必要があります。[ Device] > [セットアップ] > [サービス機能] > [サービス ルートの設定]に移動し、パロアルトネットワークスのアップデートとDNSのため、適切な送信元インターフェイスと送信元IPアドレスを選択してください。例として以下の図をご参照ください。 注: 管理インターフェイスのIPアドレス設定方法は How to Configure the Management Interface IP (日本語訳:管理インターフェイスの IP アドレスの設定方法)を参照してください。 先に新しい機器に移行をしたライセンスを取得します。[Device] > [ライセンス] > [ライセンス サーバーからライセンス キーを取得]をクリックします。同ページに各機能のライセンスが表示されます。URLフィルタリングライセンスを見て、アクティブとなっており、[ダウンロードの状態]を確認してください。"今すぐダウンロード"のリンクが表示されている場合、データベースがダウンロードされていません。アクティブかつPAN-DB URL Filtering データベースがダウンロードされている場合、以下のようになります。 該当の機器は必要であればダイナミック更新を行うことができます。アプリケーションおよび脅威のパッケージを[Device] > [ダイナミック更新] で[今すぐチェック]を行います。ダウンロードおよびインストールが可能な[ アプリケーションおよび脅威 ]のパッケージが表示されます。 PAN-OSを更新するには[Device] > [ソフトウェア] > [今すぐチェック]を行います。 詳細はHow to Upgrade PAN-OS and Panoramaを御覧ください。 先に保存した設定を新しい機器にロードするには、 [Device] > [セットアップ] > [名前付き 設定スナップショットのインポート]に移動し、古い機器からエクスポートしてあった設定を、新しい機器にインポートしてください。 インポートした設定をロードするには [Device] > [セットアップ] > [名前付き 設定スナップショットのロード ]を行なってください。 コミットします。   著者:  achitwadgi  
記事全体を表示
TShimizu ‎07-18-2016 10:31 PM
3,505件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Transfer Licenses to a Spare Device https://live.paloaltonetworks.com/t5/Integration-Articles/How-to-Transfer-Licenses-to-a-Spare-Device/ta-p/58764     重要:ライセンスを転送する前に、RMAで交換されるデバイスの新しいシリアルナンバーが、お客様に登録されている必要があります。この登録により、新しいデバイスは"Spares"プール内に追加されます。   最新のPanoramaにつきまして、ライセンスの転送やMシリーズの交換を行う手順は以下をご覧ください。 How to Replace a Managed Device with a New Device on Panorama Migrate Logs to a New M-Series Appliance in Panorama Mode Migrate Logs to a New M-Series Appliance in Log Collector Mode  デバイスのライセンスをスペアに転送する方法: カスタマー サポート ポータル ( https://support.paloaltonetworks.com ) にログインします。 現在のアカウントがその資産を所有しているアカウントであることを確認します。 所有しているアカウントではない場合、"Change Account"リンクをクリックして、正しいアカウントを選択します。 "Assets"タブをクリックします。 "Spares"をクリックします。 "Register New Spare"をクリックし、新しいスペアのシリアルナンバーを登録します。 ライセンスを受け取るために、スペアのシリアルナンバーをクリックします。" DEVIDE INFORMATION"画面が表示されます。 "Transfer Licenses"ボタンをクリックします。 "TRANSFER LICENSE"画面にて、スペアに転送されるライセンスを持つデバイスを選択します。 "Submit"ボタンを押します。  ご自身のアカウント内に、不良品のシリアルナンバーが表示されていない場合、"Can't find defective device?"をクリックし、そのシリアルナンバーを入力します。 ライセンスを転送するために、上記の手順に沿って操作を行います。     ライセンスはスペア(交換機器)に転送されます。ご利用いただける準備ができますと、交換機器からライセンスを受け取ることになります(参照: How to Configure an RMA Replacement Firewall)。   注: ライセンスを転送する前に有効期間が切れた場合、交換機器においても有効期間が切れることになります。不良品については、転送前のライセンスの状況にかかわらず、転送日より30日間有効なライセンスが付与されます。以前に有効期間が切れていたライセンスは、不良品上での転送から30日間有効となります。     著:panagent
記事全体を表示
hshirai ‎07-10-2016 10:57 PM
2,792件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Authorize or Register a VM https://live.paloaltonetworks.com/t5/Integration-Articles/How-to-Authorize-or-Register-a-VM/ta-p/52239   VMを登録するためには、 カスタマー サポート ポータル ( https://support.paloaltonetworks.com ) にログインします。 Assets に移動し、Current Account がそのアセットを所有するアカウントであることを確認します。 もしアカウントが異なる場合は、Change Account のリンクをクリックし、正しいアカウントを選択します。 VM-Series Auth-Code を取得します。 How to Register a Palo Alto Networks Device, Spare or VM-Series Auth Code を参照してください。 Download アイコンをクリックし、ソフトウェアをダウンロードします。 VMware プラットフォームにソフトウェアをインストールします。CPUID と UUID をメモします。これは後程必要となります。VMシリーズ ソフトウェアのインストールおよび設定に関するさらに詳細な情報については、VM-Series Deployment Guide 6.1 (English) を参照してください。 カスタマー サポート ポータル > Assets > VM-Series Auth-Codes に戻ります。 VM-Series Auth-Code 表から取得したVM-Series Auth-Code を見つけ、同じ行の Register VM ボタンをクリックします。 Register Virtual Machine ウィンドウで CPUID と UUID を入力します。もしくは、CPUID と UUID が記載されたデバイス ファイルをアップロードします。 VM のシリアル番号が生成され、Devices 表に表示されます。
記事全体を表示
kishikawa ‎04-14-2016 10:18 PM
2,117件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 List of Applications Excluded from SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/List-of-Applications-Excluded-from-SSL-Decryption/ta-p/62201   以下のアプリケーションはPalo Alto Networks ファイアーウォールにて複合化できません。もしSSL複合化を実施すると、SSLエンジンで失敗し、セッションがシステムによって破棄されます。これらのアプリケーションは、コンテンツをロードする際に、例外設定として追加されることにより、SSLエンジンで複合化させずに素通りさせます。     # Application 1 Whatsapp 2 aim 3 second life 4 wallcooler 5 onepagecrm 6 ea games 7 microsoft update, microsoft product activation 8 yuguu 9 packetix 10 simplify media 11 winamax 12 gotomeeting 13 mozilla 14 live-mesh 15 call anywhere 16 sugarsync 17 rift 18 zubodrive 19 paloalto-url-cloud 20 paloalto-wildfire-cloud 21 telex 22 apple-icloud, apple-appstore, itunes-appstore 23 onlive 24 apple push notifications 25 wetransfer 26 HP-virtual-rooms 27 logmein, logmeinrescue 28 itwin 29 metatrader 30 vudu 31 kaseya 32 ubuntu-one 33 puffin 34 pando 35 gotoassist 36 airdroid 37 amazon-aws-console 38 purple-p3 39 norton-zone 40 bitdefender 41 pathview 42 naver-line 43 apple-game-center 44 wiredrive 45 finch 46 vagrant 47 appguru 48 silent-circle 49 tumblr 50 dropcam 51 efolder 52 ntr-support 53 cryptocat 54 origin    
記事全体を表示
kkondo ‎04-06-2016 12:55 AM
3,158件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community