ナレッジドキュメント

 ※この記事は以下の記事の日本語訳です。 SIP Application Override Policy https://live.paloaltonetworks.com/t5/Management-Articles/SIP-Application-Override-Policy/ta-p/69349   事象 ある状況においては、Palo Alto Networksのファイアーウォールによって処理されるSIPトラフィックによって、一方向音声、電話機のレジストレーション解除などに問題が発生することがあります。   解決策 次の手順に従って、SIPの Application Override ポリシーを作成します:   1. Policies > Application Override より、 左下の Add をクリックして新しいポリシールールを作成します。 Create new Application Override rule.   2.次に、 Source タブの Add をクリックして、SIPサーバーが存在するソースゾーンを追加します。 App override screen - source zone.   3. Destination タブの Add をクリックして、VoIPプロバイダーのサーバーの宛先ゾーンと、サブネットまたはIPアドレス、の両方を追加します。 App override - Destination zone and address.   4. Protocol/Application タブでは、VoIPベンダーによって使用されるTCPまたはUDPのどちらかが有効であり、また、ポートも異なります。Applicationでは、sipを使用します。 Protocol - Application tab showing the options.   5. 以下で Application Override ルールの内容を確認できます。 Application Override rule view   SIPアプリケーションの Application Override ポリシーを作成する以外にも、以下をチェックする必要があります:   内部SIPサーバへの着信および発信トラフィック双方のためのセキュリティポリシー SIPサーバの送信元および宛先NAT ALGが無効かどうか。そうではない場合、以下の記事のリンクをクリックして無効にしてください。   How to Disable SIP ALG SIP ALG無効化の方法 (日本語)  ※訳者追記   著者: shganesh 
記事全体を表示
dyamada ‎04-17-2018 09:10 PM
3,094件の閲覧回数
0 Replies
本ガイドにて、 PA シリーズファイアウォール ( 以下、 PA Firewall) の設定方法をご紹介します。   初めて PA Firewall を起動してから、最初に必要となるライセンス投入やシグネチャのダウンロード、 OS のアップグレード 方法、ネットワーク設定、 SSL 復号化、そして様々な脅威防御が行えるまでの、一通りの設定方法をまとめました。   PA Firewall には以下 3 つの特徴があり、それぞれの設定と動作確認の方法も記載しています。   1.  App-ID  アプリケーションを識別  2.  Content-ID  コンテンツを識別 3.  User-ID   ユーザーを識別     弊社提供の正式ドキュメントと併用して頂き、新規設置作業や日々の運用時の設定変更作業時の参考ドキュメントとして ご活用ください。   ※ ) 以降の設定画面は PAN-OS8.x を基にしています。 適用する PAN-OS が異なる場合は、該当する OS のドキュメントを参照してください。
記事全体を表示
Masahiko ‎04-16-2018 11:51 PM
13,143件の閲覧回数
0 Replies
3 Likes
※この記事は以下の記事の日本語訳です。原文はepic App-IDリリース前に公開しておりますが、本翻訳時点ではepic App-IDはリリース済です。 Release of the Epic App-ID https://live.paloaltonetworks.com/t5/Management-Articles/Release-of-the-Epic-App-ID/ta-p/159047   背景: Epicはヘルスケア 提供者により患者の管理のために使用される、電子カルテ(EMR:  electronic medical record )に使用されます。Epicとお客様有志のご協力により、Palo Alto Networksはヘルスケア 提供者ネットワークにおけるEpicアプリケーション トラフィック可視化を提供する、新しいEpic App-IDのリリース計画をアナウンスいたします。    Epic App-IDの作成以前は、Palo Alto NetworksファイアウォールはEpic CFトラフィックを"不明なTCP(unknown-tcp)"と識別してきました。Epic App-IDにより、ポート ベースのポリシーや宛先ポートあてにunknown-tcpトラフィックを許可したポリシーを作成することなく、Epicを単に安全に有効化するだけで、お客様はとても容易に扱えるようになります。   リリースプラン: 2017年7月17日週、Palo Alto Networksは、Epic(EPICとは ) にて開発された電子カルテアプリケーションの容易で安全な有効化を企図して、Epic CFプロトコルの新規のApp-ID 'Epic'を追加しました。   "epic"App-IDは2部に分けてリリースされます:   2017年6月 - ”Epic” プレースホルダー App-ID -(2017年6月19日の週 リリース予定) 2017年7月 - "Epic" App-ID機能有効化 - (2017年7月17日の週 リリース予定)   "Epic" は2017年6月19日の週には、プレースホルダー アプリケーションとして提供されます。プレースホルダーとして提供されるこのApp-IDで、お客様は必要なポリシー変更を事前に行うことができます。プレースホルダーApp-IDによって、お客様はセキュリティー ポリシーにApp-IDを追加を計画するにあたって、十分な時間を確保できます。    よくある質問(FAQ)   問:なぜPalo Alto Networksはこの変更を行うのですか? 答:ヘルスケアに関する多くのお客様との共同の結果、またEpic App-IDによる脅威の可視性の改良のご要望が多く寄せられたことによるものです。お客様が安全にEpicアプリケーションを利用できるという、弊社はお客様とEpicとのご期待を認識した上で、該当App-IDを開発いたしました。   問:どのようなポリシーの変更が必要ですか? 答:Epic関係のトラフィックを、App-IDベースのポリシーでunknown-tcpとして許可しているのであれば、Epic App-IDを許可するためにこのポリシーの変更が必要になります。   問:Epicをポート ベースのポリシーで許可している場合は、どうなりますか? 答:もし安全なEpicトラフィックの有効化のためにポートベースのポリシーを使用している場合、この変更による影響はありません。しかしながら、Epic関連のトラフィックの安全な有効化のために、Epic App-IDの使用を開始いただくことを、推奨いたします。   問:セキュリティー ポリシーのunknown-tcpをEpic App-IDに置き換えないと、何が起きますか? 答:2017年7月17日週に、Epic App-IDの機能が有効化されます。EpicトラフィックはEpicと識別され、unknown-tcpとは識別されなくなります。該当トラフィックはそれ以降Epicと識別されるため、unknown-tcpを許可ないしは拒否するいずれのセキュリティーポリシーも、Epicトラフィックに適用されなくなります。  
記事全体を表示
TShimizu ‎03-07-2018 09:59 PM
4,719件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 IPSec VPN Tunnel with Peer Having Dynamic IP Address https://live.paloaltonetworks.com/t5/Configuration-Articles/IPSec-VPN-Tunnel-with-Peer-Having-Dynamic-IP-Address/ta-p/94161   トポロジー   PA-ファイアウォールA (10.129.70.38)  -----  ルーター (DHCP サーバー) -------  (DHCP IP) PA-ファイアウォールB     PA-ファイアウォールBの設定   ファイアウォールBのインターフェースは、DHCPサーバー(ルーターのインターフェースがDHCPサーバーとして設定されている)から動的にIPアドレスを取得します。     IKE ゲートウェイ       注: この例では、ローカルIDはFQDN(メールアドレス)として記述しています。しかし、ピア側でも同じであることを確認できれば、どんな修飾子でも利用できます。対向側で同じであれば、何でも利用できます。これは動的なゲートウェイを識別するただ一つの方法であるため、非常に重要な設定です。       注: ファイアウォールBは動的なIPアドレスを持っているため、その都度VPNトンネルのイニシエーターである必要があります。従って、「Enable Passive Mode(パッシブ モードを有効にする)」は選択しないでください。     IPSec の設定       PA-ファイアウォールAの設定   IKE ゲートウェイ     注: 静的ピアのピアIDは、動的ピアのローカルIDと同じである必要があります。また、対向側のIPアドレスは不明であるため、ここではピアIPタイプをダイナミックとします。       注: こちら側は静的ピアであり、対向の動的ピアのIPアドレスがわからないため、VPNを開始することができません。従って、「Enable Passive Mode(パッシブ モードを有効にする)」を選択します。     IPSec の設定     最初にトンネルがダウンしている時、IPアドレスは不明であるためipsec-espセッションの宛先は0.0.0.0であることが確認できます。   admin@PA-Firewall-A> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 1 ipsec-esp ACTIVE TUNN 10.129.72.38[0]/L3-Trust/50 (10.129.72.38[0]) vsys1 0.0.0.0[0]/L3-Untrust (0.0.0.0[0])     注: L3-Trust はトンネルインターフェースのゾーン、L3-Untrust は外部インターフェースのゾーンです。   トンネルがアップするとすぐに、実際の動的ピアのIPアドレスに置き換わります。   admin@PA-Firewall-A> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 11 ipsec-esp ACTIVE TUNN 10.129.72.38[53613]/L3-Trust/50 (10.129.72.38[61655]) vsys1 1.1.1.5[12024]/L3-Untrust (1.1.1.5[43745])    
記事全体を表示
hfukasawa ‎01-19-2018 12:00 AM
5,129件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Mitigate Vulnerabilities Through Proper Application of Threat Prevention https://live.paloaltonetworks.com/t5/Management-Articles/Mitigate-Vulnerabilities-Through-Proper-Application-of-Threat/ta-p/194158   問題 脆弱性漏洩を防御、検知を行うために、PAN-OS装置を適切に設定する必要があります。 パロアルト ネットワークスは、PAN-OS装置を含む全ての脆弱な装置に対して、セキュリティ勧告に明記されている修正パッチ適用を推奨アクションとしていますが、緊急コンテンツ リリースに含まれるシグネチャはPAN-OSを保護するのに役立ちます。   解決方法 解決方法は細かなステップを踏む必要があります。 最新のコンテントをインストール 脆弱性プロファイルで、シグネチャパターンマッチに適切なアクション(例 : Reset-both)を設定 設定した脆弱性プロファイルをセキュリティポリシーに設定 内向きSSL復号化設定   詳細 最新のコンテントをインストール コンテントを最新のバージョンに更新してください。 脆弱性プロファイルの設定 このセクションでは、セキュリティ勧告に関連した脅威IDの検知を防御する脆弱防御プロファイル設定をする方法について大まかに説明します。 2つの設定方法があります。 この設定例では、脆弱防御プロファイル"strict"設定に重要度の高いシグネチャ(脅威ID : 38902, 38903, 38904)の検知に対して、RESET-BOTHアクション設定をしています。このようなプロファイルはファイアウォール向けの内向きの通信に合致するセキュリティルールに適応できます。 この3つのシグネチャをRESET-BOTHに設定したカスタム脆弱防御プロファイルです。設定の詳細についてはリンクを参照ください。   脆弱防御プロファイルをセキュリティルールに設定する このセクションでは以前設定した脆弱防御プロファイルをグローバル・プロテクト、データポート経由したマネージメント向け通信にマッチするセキュリティルールに設定します。 この作業では、グローバル・プロテクトが"Untrust"ゾーンのインターフェースでホストされていて、VPNトラフィックも"Untrust"ゾーンから送信されていると推測します。   データポート経由したグローバル・プロテクト、もしくは他のサービスに対する脆弱行為から保護するために、脆弱防御プロファイルを"Untrust"ゾーンから"Untrust"ゾーン通信検査をするセキュリティルールに設定する必要があります。 上記のスクリーンショットでは、プロファイル欄のアイコンは、前のステップで示したように脆弱防御プロファイル"strict"になっています。送信元、宛先ゾーン共に"Untrust"ゾーン設定となっています。 以下のステップではデータポート経由でのデバイス管理をする場合に必要なステップです。 内向きSSL復号化設定 内向きSSL復号化設定については以下のKBをご参照ください。 Configure SSL Inbound Inspection  How to Implement and Test SSL Decryption
記事全体を表示
kkondo ‎01-09-2018 06:57 PM
5,625件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Secure the Management Access of your Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Secure-the-Management-Access-of-your-Palo-Alto-Networks/ta-p/194154   問題 管理インターフェイス、ネットワークを悪意から防御するために保護することはとても重要です。管理者がリモート管理するためにデータプレーンにて管理プロファイルを適応いただくかどうかに関わらず、我々はいかなる装置の管理インターフェイスをインターネットに公開しないことを、強く推奨しています。しかしながら、インターネットに公開する必要がある場合、以下のガイドラインに沿って、あなたの管理インターフェイス、ネットワークを保護してください。   解決方法 いくつかの動作環境では管理ネットワークがインターネットに接続する必要性は理解しています。キーポイントとしては、攻撃者に対して攻撃が難しいターゲットと認識させること、そしてファイアウォール/Panoramaを保護することです。以下の知見はあなたの管理インターフェイスを公開することを留めることができるでしょう。 管理インターフェイス専用ネットワーク(管理専用VLAN )で VPN を経由して接続する。 管理ネットワークIP にアクセスするために、サーバーを経由する、リモートデスクトップ接続を経由してのみファイアウォール/ Panorama に接続できる。 管理インターフェイスへの特定IP アドレスのみの接続許可、接続するプロトコルも SSH/HTTPS に限定する。 管理インターフェイスへのアクセスをファイアウォールのデータポート経由にして、ファイアウォールの検査を行う。   詳細   管理インターフェース専用ネットワーク(VLAN) この手法が提示している4つの中で最もセキュアです。VPNを経由して、企業、管理ネットワークに接続し、管理IPに接続しなければなりません。この手法は、外部公開を限定し、ファイアウォール管理ネットワークへのアクセスを、特定ユーザーもしくはネットワークに限定することができます。これはVPN接続による管理専用ネットワークへのアクセスを要求します。管理ネットワークへのアクセスをデータ ポート経由にし、パロアルト ネットワークス・ファイアウォールからVPNアクセスを提供させることもできます。以下のKBは、サイトtoサイトのVPNトネルの設定資料となります。併せてご参照ください。 Set Up an IPsec tunnel サーバーを経由する サーバーを経由することによって、装置の管理インターフェイス アクセスを保護することができます。管理ポートへのアクセスはサーバーを経由してのみアクセスできます。 管理インターフェイスへの特定IPアドレスのみの接続許可 管理インターフェイスへの特定IPアドレス、サービスのみの接続許可を設定することができます。 WebUI管理インターフェイス上で、Device > Setup > Interfaces > Managementと移動し、”Management”をクリックして編集してください。Addをクリックして、管理者がファイアウォールにアクセスできるIPアドレスを“Permitted IP addresses”に追加していきます。“Permitted IP addresses”が空白(デフォルト)の場合、全てのIPアドレスからアクセス可能となります。   重要! 空白設定のままにしないでください、ファイアウォール管理者IPアドレスのみ設定し、非承認アクセスを防御してください “Network Connectivity Services”設定では、HTTPS、SSHなど、セキュアな接続のみ設定します。 管理ネットワーク接続は、データポート経由 これは最初に紹介した手法のVPN接続がない場合に似ています。VPN接続設定ができない場合、少なくともファイアウォール検査を全てのマネージメント・インターフェース向けのトラフィックに実施します。マネージメントアクセスを制限するセキュリティポリシーを作り、攻撃者が管理ネットワークから侵入することを防ぐセキュリティプロファイルを追記します。さらにSSL復号化設定をし、暗号化通信を検査します。セキュリティプロファイルによるネットワーク保護については、以下の記事をご参照ください。  Create Best Practice Security Profiles   追加情報 以下は、SSL 復号化設定、テストに関する記事です。併せてご参照ください。 Configure SSL Inbound Inspection How to Implement and Test SSL Decryption
記事全体を表示
kkondo ‎01-09-2018 06:51 PM
6,483件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What is the Default Login Credential? https://live.paloaltonetworks.com/t5/Management-Articles/What-is-the-Default-Login-Credential/ta-p/56871   初期設定(ファクトリーデフォルト直後)のPalo Alto Networks装置のログインユーザーIDとパスワードは(WebGUI、CLI共通):   Username:  admin Password:   admin   著者: jnguyen
記事全体を表示
kkondo ‎12-17-2017 05:15 PM
6,201件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Release DHCP-Assigned Addresses from a DHCP Server https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Release-DHCP-Assigned-Addresses-from-a-DHCP-Server/ta-p/66068   概要 このドキュメントでは、Palo Alto Networks ファイアウォールで設定されたDHCPサーバーによって払い出されたIPアドレスをリリースする方法を説明します。既にDHCPサーバーを設定済みで、アサインされたアドレスをリリースしようとしているものとします。最初にDHCPサーバーをセットアップする方法については、次の記事を参照して下さい。How to Configure DHCP Reserved Addresses on a Palo Alto Networks Firewall.   手順 Network > DHCP > DHCP サーバー に移動します。 ファイアウォール上のDHCPサーバーによってアサインされたアドレスを確認するには、設定したDHCPサービスのIPプール列にある"割り当ての表示"をクリックします。 View Allocation DHCPサーバーのIPアドレス割り当てのリストが表示されたウィンドウが表示されます。 IP Pools Allocated DHCPでアサインされたアドレスをリリースするには、CLIコマンド"clear dhcp lease interface <ethernet interface> ip <ip-address>"を使用します。以下の例では、上記で表示されているアドレス10.192.16.163をクリアします。 > clear dhcp lease interface ethernet1/1 ip 10.192.16.163 > > Cleared 1 leases. 注: DHCPリースはMACアドレスを使ってもクリア可能です。   上記の2.と同様にDHCPサーバーのスクリーンを表示し、アサインされたアドレスを確認して該当アドレスがリリースされたことを確認します。 IP Pools Allocated 2   CLI上で実行 DHCPでインターフェイスにアサインされたIPアドレスは、以下のコマンドでリリース、および更新が出来ます。 > request dhcp client release ethernet1/1 Initiated DHCP RELEASE on interface:ethernet1/1 > request dhcp client renew ethernet1/1 Initiated DHCP RENEW on interface :ethernet1/1   著者: spolo
記事全体を表示
hfukasawa ‎12-11-2017 09:49 PM
4,838件の閲覧回数
0 Replies
 本ガイドにて、 PA シリーズファイアウォール ( 以下、 PA Firewall) を使った運用方法をご紹介します。    大きく以下の内容で構成されています。   ACC ( Application Commands Center ,以降 ACC )の基本的な使い方 各種ログの使い方 ( 絞り込み方法 ) セキュリティ対策方針の例 セキュリティ調査の流れ レポート機能の説明     PA Firewall には強力なセキュリティイベントの可視化機能が多数あり、その中でも ACC は、ネットワーク内のアクティビティに関する実用的なインテリジェンスを提供する強力な分析ツールです。     ACC の基本的な使い方や各種ログの絞り込み方法をご紹介した後に、いくつかの脅威イベントの例を用いて、ある脅威が発生した場合の確認ポイントをご紹介します。    弊社提供の正式ドキュメントと併用して頂き、日々のインシデントの対応にご活用ください。     ※ )            以下の設定画面は PAN-OS 8.0 を基にしています。 適用する PA の OS が異なる場合は、該当する OS のドキュメントを参照してください。
記事全体を表示
Masahiko ‎11-13-2017 11:48 PM
9,316件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Change the Default Management Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Default-Management-Port/ta-p/62333   概要 デフォルトのマネジメント ポート以外からのどのポートからも、  Palo Alto Networksファイアウォールへのアクセスを許可することは可能です。この文書はTrustゾーンのloopbackインターフェイスを使用した、UntrustゾーンからのHTTPSとSSHでのファイアウォールへのアクセス方法について記載します。     手順 ファイアウォール上でloopbackインターフェイスを設定し、必要なタイプのアクセスを許可するインターフェイス管理プロファイルを割り当てます。 注: - アクセスを許可するインターフェイス管理プロファイルはUntrustインターフェイスではなく、loopbackインターフェイスにのみ設定する必要があります。The management profile permitting access only needs to be on the loopback interface, and not the Untrust interface.            - loopbackインターフェイスに割り当てるIPアドレスは、データ プレーンあるいはマネジメント プレーンとは異なるユニークなものとしてください。 ファイアウォールへのアクセスを許可するデフォルトでないポートのためのユーザー定義のサービスを設定します。この例ではTCP/7777をHTTPSに、TCP/7778をHTTTPに割り当てます。 ユーザー定義のポートをデフォルトのアクセスのポートに変換するNAT ポリシーをそれぞれ設定します。 Untrustインターフェイスへのインバウンド アクセスを許可するセキュリティ ポリシーを設定します。このセキュリティ ポリシーに、特定のポートを許可する設定としても構いません。 変更をコミットします。 コミットが完了すると、アクセスを許可するユーザー定義のポートを使用して、Untrustインターフェイス経由でのファイアウォールへのアクセスが可能となります。   著者: tasonibare
記事全体を表示
TShimizu ‎11-06-2017 05:54 PM
6,894件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Downgrade PAN-OS https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Downgrade-PAN-OS/ta-p/58664   概要 Palo Alto Networksファイアウォールを下位のPAN-OSバージョンにダウングレードする場合に従うべき手順を、このドキュメントに記載します。   詳細 切り戻し(Revert) CLIにて、以前のバージョンに復旧する切り戻し(revert)コマンドを発行します。 注:この機能はメジャー/マイナーアップグレード(訳注)をした環境での切り戻し(例えば6.1.3から6.0.2)に対しては、アップグレードに伴うログやデータベースの変更があるためサポートされていません。代わりに本文書下部で紹介の"Reinstall"を使用してください。`revert`コマンドの使用はメンテナンスバージョン(訳注)のダウングレード時(例えば6.1.3から6.1.2)でのみ推奨します。 アップグレード前の以前のPAN-OSバージョンがパーティション上にまだロードされており、切り戻し可能であることを次のCLIコマンドで確認します:   debug swm status > debug swm status Partition         State             Version --------------------------------------------------------------------------------   sysroot0          REVERTABLE        6.1.1 sysroot1          RUNNING-ACTIVE    6.1.3 maint             READY             6.1.3   上記の出力例ではデバイスは RUNNING-ACTIVE  状態が示すとおり、 PAN-OS6.1.3で動作しています。PAN-OS 6.1.1への切り戻しが可能です。 アップグレード間に使用していたパーティションから起動するには、次のCLIコマンドを実行します: debug swm revert アンインストールやコンフィグレーション変更などは行われず、デバイスは先のPAN-OSバージョンをロードするようになります。 > debug swm revert Reverting from 6.1.3 (sysroot0) to 6.1.1 (sysroot1)   現在の状態を確認します。 > debug swm status Partition         State             Version --------------------------------------------------------------------------------   sysroot0            PENDING-REVERT     6.1.1 sysroot1          RUNNING-ACTIVE    6.1.3 maint             READY             6.1.3 この後再起動をすると、先のバージョンに戻ります。 > request restart system セーブしていたコンフィグ ファイルをリロードします。 再インストール(Reinstall) 先のバージョンへの切り戻し(revert)ができない場合、以前のPAN-OSバージョンの再インストールを行います。GUIにて古いソフトウェア バージョンの"インストール"をクリックして実施してください。 デバイスを再起動します。 セーブしていたコンフィグ ファイルをリロードします。 工場出荷時設定へのリセット(Factory Reset)  (何らかの理由でダウングレードが失敗に終わった場合) 工場出荷時設定にデバイスをリセットする手順については、次の記事を参照してください。How to Factory Reset a Palo Alto Networks Device ダイナミック更新のコンテンツとURLデータベースを最新にアップグレードします。 セーブしていたコンフィグ ファイルを復元します。 'debug swm revert'実施に当たっての注意 - 新しいPAN-OSをインストールした後と、SWM切り戻しに伴う再起動を実施する間にコンフィグ変更を行っていた場合は、切り戻し完了後に最新のコンフィグ バージョンをロードしてコミットを実施するようにしてください。   訳注: 弊社の正式なPAN-OSのバージョン表記のポリシーに従い、 原文からメジャー/マイナー/メンテナンスの表現を意図的に変更しています。メジャー/マイナー/メンテナンスリリースについての詳細はPAN-OS や Panoramaのアップグレード手順をご覧ください。   著者: panagent
記事全体を表示
TShimizu ‎11-06-2017 05:53 PM
6,872件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Show System Resource Command Displays CPU Utilization of 9999% https://live.paloaltonetworks.com/t5/Management-Articles/Show-System-Resource-Command-Displays-CPU-Utilization-of-9999/ta-p/58149   症状 PAN-OS CLIにて  show system resources  コマンドを実行すると、topプロセスの出力で9999%の CPU使用率が表示される。   以下が出力例です。 > show system resources   top - 09:41:01 up 11 days, 14:40,  2 users, load average:   0.00, 0.00, 0.00 Tasks: 138 total,   3 running, 134 sleeping,   0 stopped,   1 zombie Cpu(s):  0.2%us,  0.1%sy, 0.0%ni,   99.7%id,  0.0%wa,  0.0%hi, 0.0%si,  0.0%st Mem:   4055392k total,  3643912k used,   411480k free,   366956k buffers Swap:  2007992k total,        0k used,  2007992k free,  2340368k cached     PID USER      PR NI  VIRT  RES SHR S %CPU %MEM    TIME+  COMMAND 2359 root      20 0  430m 251m 6068 S   9999   25.9   4:57.37 mgmtsrvr     1 root      20 0  1772  560 492  S    0  0.0   47:29.14 init     2 root      20 0     0    0 0    S    0  0.0   0:00.00 kthreadd     3 root      RT 0     0    0 0    S    0  0.0   0:06.82 migration/0     4 root      20 0     0    0 0    S    0  0.0   0:00.00 ksoftirqd/0     5 root      RT 0     0    0 0    S    0  0.0   0:06.78 migration/1     6 root      20 0     0    0 0    S    0  0.0   0:00.00 ksoftirqd/1   原因 9999の値は   show system resources  ( Linux "top"と同等)コマンド実行時に誤った計算が行割れたことに寄るものと考えられます。正しい出力は数回コマンドを実行し直すと表示されます。上記の出力例では正しい使用率の値は表示の上部で見ることができます。load averageが0.00で、cpu情報は99.7%がidleとなっています。     著者: kkondo
記事全体を表示
TShimizu ‎11-06-2017 05:52 PM
5,007件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Improve Performance for Protocols like SMB and FTP Without Application Override https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Improve-Performance-for-Protocols-like-SMB-and-FTP/ta-p/60544     概要 SMBやFTP ファイル転送は多量の双方向トラフィックを生成します。SMBはほとんどすべてのデータ パケットの生成毎に、応答パケットを生成し、それゆえにやりとりが多くなります。Palo Alto Networksファイアウォールは、デフォルトでクライアント→サーバー方向(C2S)とサーバー→クライアント方向(S2C)の双方向を検査をします。これによりファイアウォールを通過するSMBやFTPファイル転送は遅くなりがちです。   トラフィックのパフォーマンスを向上する方法の一つとして、レイヤー7の検査とアプリケーション識別を行わないようにする、アプリケーション オーバーライドを使用する方法があります。   もしレイヤー7の検査が必要、かつパフォーマンス向上が必要な場合は、関連のトラフィックが該当するセキュリティ ポリシーにて'サーバー レスポンス検査の無効化(DSRI)'オプションをチェックする方法があります。これは該当のサーバーが信用できる場合にのみチェックされるべきです。 'サーバー レスポンス検査の無効化(DSRI)'がチェックされると、ファイアウォールはC2Sのトラフィックのみ検査し、転送レートが向上します。   詳細 'サーバー レスポンス検査の無効化(DSRI) ' を有効にするには、WebUIにてPolicies > セキュリティ > アクションに移動する必要があります。   ポリシーが作成されると、 'サーバー レスポンス検査の無効化(DSRI) ' オプションがチェックされたことを示すアイコンがセキュリティ ルール上に表示されます。   著者: kadak
記事全体を表示
TShimizu ‎11-06-2017 05:51 PM
5,561件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Error During Installation: "An instance of GlobalProtect is already present on the system." https://live.paloaltonetworks.com/t5/Configuration-Articles/GlobalProtect-Error-During-Installation-quot-An-instance-of/ta-p/51937   問題 GlobalProtectクライアントをアンインストールし、新しいクライアントをインストールしようとすると、次のメッセージが表示される: "An instance of GlobalProtect is already present on the system. Uninstall the current version before attempting to install the new version of GlobalProtect"   解決方法 以下のレジストリ パス内のレジストリ項目を削除します(Windows OS): HKEY_LOCAL_MACHINE\Software\Palo Alto Networks\ GlobalProtect \PanGPS Windowsのコマンドラインから管理者として以下のコマンドを実行する: sc delete PanGPS 該当のコンピューターを再起動します。   これでGlobalProtectクライアントは該当のコンピュータより完全に削除され、新しいクライアントは問題なくインストールできるようになります。   著者: shasnain
記事全体を表示
TShimizu ‎11-06-2017 05:47 PM
4,168件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Stop GlobalProtect from Loading Automatically at Startup https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Stop-GlobalProtect-from-Loading-Automatically-at-Startup/ta-p/60506   手順 システム起動時の他のスタートアップ アプリケーションとともに、GlobalProtectクライアントがロードされることを止める方法は以下のとおりです。   Windows 7 とそれ以前 スタートメニューから"msconfig"を実行します(訳注:"プログラムとファイルの検索"のボックス、または"ファイル名を指定して実行"に"msconfig"と入力します。)。システム構成のウィンドウが表示されます。 スタートアップ タブに移動します。GlobalProtectのチェックを外し、OKをクリックした後、システムを再起動します。 Windows 7 System Configuration window showing the StartUp applications and options.   Windows 10: Windows 10ではこの機能はタスクマネージャーのシステム構成に移動されています。それにより2つの方法でシステム構成に到達できるようになっています。 スタート > ファイル名を指定して実行 > msconfigを実行し、"スタートアップ"をクリックします。タスクマネージャーを起動するリンクが有ります。 System Config showing you have to open Task Manager . あるいは "Control + Shift + Esc"、ないしはWindowsのタスクバーの空白部分にて右クリックし、”タスクマネージャー”をクリックすることでタスクマネージャーを開始できます。その後に"スタートアップ"タブをクリックしてください。    スタートアップタブにて”GlobalProtect client”を確認します。それを右クリックし"無効化"をクリックする、ないしは一度クリックしWindowの最下部にある"無効にする"をクリックします。 Task Manager screen showing the options to disable GlobalProtect.  訳注1:"プログラムとファイルの検索"のボックス、または"ファイル名を指定して実行"に"msconfig"と入力します。   著者: tshivkumar  
記事全体を表示
TShimizu ‎11-06-2017 05:39 PM
4,138件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Useful CLI Commands to Troubleshoot LDAP Connection https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...   概要 このドキュメントでは、グループ情報を参照するために LDAP サーバーへの接続が成功したことを確認することができる CLI コマンドについて説明します。   詳細 Device > サーバー プロファイル > LDAP にて LDAP サーバー プロファイルを設定する際、LDAP サーバーへの接続が成功するとデバイスは自動的にベース DN を取得します:   グループ マッピングに LDAP サーバー プロファイルを使用している場合は、show user group-mapping state all コマンドを使用して LDAP 接続に関する情報を表示できます。 例: > show user group-mapping state all Group Mapping (vsys1, type: active-directory) : grp_mapping   Bind DN    : pantac2003\adminatrator   Base       : DC=pantac2003,DC=com   Group Filter: (None)   User Filter: (None)   Servers    : configured 1 servers           10.46.48.101 (389)                   Last Action Time: 2290 secs ago(took 71 secs)                   Next Action Time: In 1310 secs   Number of Groups: 121   cn=administrators,cn=builtin,dc=pantac2003,dc=com   cn=ras and ias servers,cn=users,dc=pantac2003,dc=com   cn=s,cn=users,dc=pantac2003,dc=com   LDAP サーバー プロファイルで設定されたバインド DN が正しくない場合は、コマンド実行結果として "invalid credentials" が表示されます。 次の出力例は、バインド DN に "cn=Administrator12" (正:"cn=Administrator")が設定された場合となります: > show user group-mapping state all Group Mapping (vsys1, type: active-directory) : grp_mapping   Bind DN    : CN=Administrator12,CN=Users,DC=pantac2003,DC=com   Base       : DC=pantac2003,DC=com   Group Filter: (None)   User Filter: (None)   Servers    : configured 1 servers           10.46.48.101 (389)                   Last Action Time: 0 secs ago(took 0 secs)                   Next Action Time: In 60 secs                    Last LDAP error: Invalid credentials   Number of Groups: 0   次のコマンドを使用して useridd ログからエラー メッセージを取り出すことができます: > less mp-log useridd.log Dec 30 15:59:07 connecting to ldap://[10.46.48.101]:389 ... Dec 30 15:59:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials Dec 30 15:59:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:1061): ldap cfg grp_mapping failed connecting to server 10.46.48.101 index 0 Dec 30 15:59:07 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1942): pan_gm_data_connect_ctrl() failed Dec 30 15:59:14 Warning: pan_ldap_ctrl_construct_groups(pan_ldap_ctrl.c:546): search aborted Dec 30 15:59:16 Error: pan_ldap_ctrl_query_group_membership(pan_ldap_ctrl.c:2384): pan_ldap_ctrl_construct_groups() failed Dec 30 15:59:16 Error: pan_gm_data_update(pan_group_mapping.c:1431): pan_ldap_ctrl_query_group_membership()  failed Dec 30 15:59:16 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1976): pan_gm_data_update() failed Dec 30 16:00:07 connecting to ldap://[10.46.48.101]:389 ... Dec 30 16:00:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials Dec 30 16:00:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed Dec 30 16:00:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed   LDAP サーバーへの接続を再確立するコマンド: > debug user-id reset group-mapping <grp_mapping_name>   useridd ログの LDAP に関する debug レベルを変更するコマンド: > debug user-id set ldap all   useridd の debug をオンに変更するコマンド: > debug user-id on debug   useridd の debug をオフに変更するコマンド: > debug user-id off   MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAP 通信をキャプチャするコマンド: > tcpdump filter "port 389"   MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAPS (SSL) 通信をキャプチャするコマンド: > tcpdump filter "port 636"   MGT インターフェイスで取得した pcap の内容を確認するコマンド: > view-pcap mgmt-pcap mgmt.pcap   上記で取得した pcap を scp や tftp で外部のホストにエクスポートするコマンド: > scp export mgmt-pcap from mgmt.pcap to username@host:path > tftp export mgmt-pcap from mgmt.pcap to <tftp host>   著者: sdarapuneni
記事全体を表示
tsakurai ‎11-06-2017 05:37 PM
3,370件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Command-and-Control (C2) FAQ https://live.paloaltonetworks.com/t5/Management-Articles/Command-and-Control-C2-FAQ/ta-p/178617   概要 URL Filteringに新しいカテゴリが追加されました。新カテゴリは“command-and-control”となります。   注意:管理者はcommand-and-controlカテゴリに対してBLOCKに設定する必要があります。 下記は、command-and-controlカテゴリに関してのFAQとなります。   これまで、C2サイトに関わるアクセスはどのように保護されていたのでしょうか?   これまで、C2サイトに関わるアクセスは、"malware"カテゴリとして分類され保護されていました。   "malware"カテゴリと"command-and-control"カテゴリの違いはどういったものでしょうか?ユーザーは注意する必要があるのでしょうか。   Palo Alto Networkは、"malware"カテゴリに属する既知のサイトを、"command-and-control"カテゴリとして分類致しました。   マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)は、一般的にインターネットへのユーザーアクセスにより配布されます。こういった悪意のあるアクセスについては、"malware"カテゴリとして、firewallによりBLOCKされます。   C2サイトへのアクセスは、感染したエンドポイントが、外部のC2サーバに接続を試みることで発生し、こういった悪意のある接続については、"command-and-control"カテゴリとして、firewallによりBLOCKされます。   一般にセキュリティアナリストは、インシデント調査の中で、これら2つの悪意のある接続を、まったく異なるものとして区別しており、そのため、"command-and-control"カテゴリを追加致しました。 セキュリティアナリストは、Palo Alto Networks Firewallが "malware"カテゴリにより、マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)の配布に関わる接続をBLOCK している事により、ネットワーク内のエンドポイントが感染してないことを把握できます。さらに、"command-and-control"カテゴリにより、特定のエンドポイントが外部のC2サーバに接続しようとしていることをBLOCKしていることにより、そのエンドポイントがマルウェアに感染している可能性があり、対応が必要なことを把握できます。 "command-and-control"カテゴリをBLOCKとしていない場合、どういったことが起きますか?   "command-and-control"カテゴリをBLOCKとしていない場合は、ネットワーク内のマルウェアに感染したエンドポイントから発生する外部 のC2サーバへの接続がBLOCKされません。   "command-and-control"カテゴリは、デフォルトでBLOCKとされていないのはなぜですか?   PAN-OS 8.0.2以降のPANOSでは、 Content Update 738以降のバージョンをインストールしている場合、 自動的に "command-and-control"カテゴリは、デフォルトでBLOCKとされます。 それ以前のPANOSは、自動更新に対応していないため、"command-and-control"カテゴリは、デフォルトでALLOWとなります。こちらの詳細については、以下のKBをご参照ください。 https://live.paloaltonetworks.com/t5/%E3%83%8A%E3%83%AC%E3%83%83%E3%82%B8%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/Content-Version-734-%E3%82%88%E3%82%8A%E8%BF%BD%E5%8A%A0%E3%81%95%E3%82%8C%E3%81%9FPAN-DB-URL-%E3%82%AB%E3%83%86%E3%82%B4%E3%83%AA-Command-and-Control/ta-p/177744     "command-and-control"カテゴリは、どのように定義されたカテゴリですか?   "command-and-control"カテゴリは、マルウェアにより、ユーザーから搾取した情報(プライバシー情報や、機密情報など)や悪意のあるコマンドの送受信を行うことに利用されている外部サーバのドメインやURLを分類したものです。   "command-and-control"カテゴリのリリース時期は?   "command-and-control"カテゴリは、Content Version 734以降のContent Updateでリリースされています。管理者権限にて管理GUIから確認、ならびに変更が可能です。実際の"command-and-control"カテゴリの運用が開始されるまでの間に、"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更ください。"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更していただくことで、"command-and-control"カテゴリが運用開始になったタイミングで、すべての"command-and-control"カテゴリに分類されているURLやドメインへの接続がBLOCKされることになります。 "command-and-control"カテゴリが運用開始時期は?   運用開始は、US時間の2017年10月25日を予定しています。日本時間では、 2017年10月26日のおおよそ AM4:00となる見込みです。   "command-and-control"が動作しているか確認する方法について   こちらのURLにアクセスいただき、ご利用のFirewallでブロックされ、それがログに残れば、ご利用のFirewallで正しく構成されていることをご確認いただけます。 https://urlfiltering.paloaltonetworks.com/test-command-and-control     今回の変更は、PAN-DBやBrightcloudに対して適用されるものですか?     いいえ、今回の変更は、PAN-DBに対して適用されるもので、BrightCloudに対しては適用されません。   本FAQについては、"command-and-control"カテゴリが運用開始となった時点でアップデート致します。     こちらについても併せてご参照ください。 Command-and-Control カテゴリの確認方法
記事全体を表示
kkawachi ‎10-24-2017 06:02 PM
6,032件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です How to Free Up Disk Space in PAN-OS https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Free-Up-Disk-Space-in-PAN-OS/ta-p/63151     概要 利用可能なディスク領域が極めて少なくなった場合、新しいダイナミック更新が領域の不足によりインストール出来ない場合があります。PAN-OS 5.0以降ではデバイスの領域開放のために、新たにCLIコマンドとして delete content cache old-contentを導入しています 。     詳細 一般にダイナミック更新は /opt/pancfgの領域を使用します。領域が開放されたことを確認するには、 show system disk-spaceをdelete content cache old-contentの実行前後に行なって、その比較をします。   例: > show system disk-space Filesystem            Size  Used Avail Use% Mounted on /dev/sda5             6.6G  3.5G  2.9G  55% /opt/pancfg > delete content cache old-content successfully removed oldcontent path /opt/pancfg/mgmt/updates/oldcontent/cache cmdbuf > show system disk-space Filesystem            Size  Used Avail Use% Mounted on /dev/sda5             6.6G  3.3G  3.0G  53% /opt/pancfg 古いコンテンツのキャッシュの削除の後、使用可能な領域が増加し、新しいコンテンツのインストールが可能となります。   アンチウイルスのファイルを削除するには、以下のコマンドを実行します: delete anti-virus update <filename> <filename>部分には、更新ファイルの正確な名前(例:  panup-all-antivirus- 2252-2691 .tgz )を入力します。   著者:ssunku
記事全体を表示
TShimizu ‎09-28-2017 05:23 PM
5,363件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What does "TCP Session Timeout after FIN/RST" mean? https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-quot-TCP-Session-Timeout-after-FIN-RST-quot-mean/ta-p/54653   概要 Palo Alto Networks機器において"TCP session timeout after FIN/RST"とは、TIME-WAIT状態の長さを指定する値です。show session infoコマンドで値が表示されます。 > show session info -------------------------------------------------------------------------------- Session timeout   TCP default timeout:                           3600 secs   TCP session timeout before SYN-ACK received:      5 secs   TCP session timeout before 3-way handshaking:    10 secs   TCP session timeout after FIN/RST:               30 secs      <<   UDP default timeout:                             30 secs   ICMP default timeout:                             6 secs   other IP default timeout:                        30 secs   Captive Portal session timeout:                  30 secs   Session timeout in discard state:     TCP: 90 secs, UDP: 60 secs, other IP protocols: 60 secs --------------------------------------------------------------------------------   詳細 TIME_WAIT状態に移行するトリガーとなる最初のFINを送信する端末は、最後のACKを送信する端末でもあります。もう一方の端末から送信されるFIN、あるいは最後のACKがロストした場合に備えて、この端末は最後のFINを再送するために必要なコネクションの状態と十分な情報を維持します。   TIME_WAIT状態の長さは 2*MSL (Maximum Segment Lifetime)となります。パケットがネットワーク内を通信するのに要する最大の時間をMSL秒とします。パケットの往復のためその2倍とします。当初推奨されていたMSLの値(RFC1337)は120秒でした。Berkeleyから派生した実装では、通常30秒が使用されています。   現在、TIME_WAITの値は各ベンダーによって様々で、一般的なネットワーク機器においてはその範囲は30から60秒です。Palo Alto Networks機器ではTIME_WAITの値は30秒となっています。   設定のオプション PAN-OS 4.1.x および 5.0.x では、TIME_WAITは以下の CLI コマンドを実行することで変更が可能です。 > set session timeout-tcpwait <1-60> PAN-OS 4.1.14 および 5.0.6 では、タイマーは最大で 10 分まで設定可能となりました。 > set session timeout-tcpwait <1-600> この設定はWebGUI上で、Device > セットアップ > セッション > セッション タイムアウト > TCP Wait からも設定できます。   参照 詳細については、RFC 1337, TIME_WAIT Assassination Hazards in TCP もご確認下さい。   著者: kkondo
記事全体を表示
hfukasawa ‎08-15-2017 07:18 PM
7,181件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Resolving Routing Issues when Using NAT over VPN           https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-Routing-Issues-when-Using-NAT-over-VPN/ta-p/62823   詳細 IPsec トネリングでNATを使用しているうえで、プロキシーIDsを変換している場合、トネルインターフェイスを介したNATを変換したルートへの宛先指定が必要です。   プライベートアドレスを、パブリックアドレスとNATにより外部から見えなくする典型的な構成図は以下です。     On the PA 2020: 172.17.20.0/24セグメントは2.2.2.0/24ネットワークセグメントにNAT変換されます。   On the PA 5050: 172.17.30.0/24セグメントは 3.3.3.0/24ネットワークセグメントにNAT変換されます。   NATは常に1対1のマッピングは必要ないです。設定者は一つのパブリックアドレスを使って、ポートベースの変換を設定することも可能です。これらのIPアドレスは、VPNにてプロキシーIDが使われます。PAN-OSのセッションセットアップ毎に、ファイヤーウォールはESPパケットを解読し、パケット内の送信元、宛先アドレス双方のフォワーディングルックアップを実行し、ゾーンとインターフェイスを決定します。これらのアドレスのルートがトネルインターフェイスを指示していなく、フォワーディングルックアップがデフォルトゲートウェイを指示しています(特定ルートのスタティックルートや、ダイナミックルートが無い場合)。両方のアドレスルートがuntrustゾーン、インターフェイスを指示している場合、トネルインターフェイスが所属するゾーンからの通信を許可するポリシーに一致しないので、パケットがドロップされます。   NAT、VPN設定に加えて、必要なルート設定は以下です: admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1 admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1   同様に、対向側で必要なルート設定は以下です:  admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1 admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1
記事全体を表示
kkondo ‎08-14-2017 08:33 PM
6,168件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Updater Error Codes https://live.paloaltonetworks.com/t5/Management-Articles/Updater-Error-Codes/ta-p/62421     以下はダイナミック更新によるシグネチャ更新において最新バージョンのダウンロードに失敗した場合に返されるコードのリストです。 これらのエラー コードはテクニカル サポート ファイルの ms.log に表示されます。   エラー コード一覧: case   -1: return "generic communication error" case   -2: return "command error" case   -3: return "file I/O error" case   -4: return "network failure" case   -5: return "SSL verification failure" case   -6: return "authentication failure" case   -7: return "protocol error" case   -8: return "server error"   以下は ms.log ファイルの抜粋例です: Length: 4250 (4.2K) [text/xml] Saving to: `/tmp/.contentinfo.xml.10008.tmp'   0K 100% 3.05M=0.001s 2014-07-11 18:07:08 (3.05 MB/s) - `/tmp/.contentinfo.xml.10008.tmp' saved [4250/4250] NO_MATCHES 2014-07-11 18:07:20.116 -0700   updater error code:-4 2014-07-11 18:07:20.116 -0700 Error: pan_jobmgr_downloader_thread(pan_job_mgr.c:710): DOWNLOAD job failed 2014-07-11 18:07:22.722 -0700 Error: pan_mgmt_get_sysd_string(pan_cfg_status_handler.c:367): failed to fetch cfg.platform.uuid   著者: sgantait
記事全体を表示
tsakurai ‎08-14-2017 07:47 PM
7,155件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 WildFire Counters Descriptions https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/WildFire-Counters-Descriptions/ta-p/54434     概要 この記事では、CLIにて show wildfire statistics コマンド 、また show wildfire status コマンドを実行した際に結果に表示されるWildFireのカウンタの詳細について記載しています。   詳細 show wildfire statistics コマンド出力のカウンタの説明 カウンタ 説明 Total msg rcvd WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したメッセージの総数。 Total bytes rcvd WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信した総バイト数。 Total msg lost WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、データ バッファがフルになっていたか、不正なパケット ヘッダのためにマネジメント プレーンがドロップしたメッセージの総数。 Total bytes lost WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、データ バッファがフルになっていたか、不正なパケットヘッダのためにマネジメント プレーンがドロップした総バイト数。 Total msg read WildFireへファイルをフォワードするために、データ プレーンから受信し、マネジメント プレーンによって処理されたメッセージの総数。 Total bytes read WildFireへファイルをフォワードするために、データ プレーンから受信し、マネジメント プレーンによって処理された総バイト数。 Total msg lost by read WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、なんらかのエラー(不正なパケットヘッダや壊れたデータ)によって処理することができなかったメッセージの総数。 DP receiver reset count データ プレーン側において、自動(デバイスのリセット等)または手動でコマンドラインからリセットされたWildFireへのフォワード数。 Total file count WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したファイルの総数。 CANCEL_BY_DP データ プレーンからマネジメント プレーンへ送られたが、データ プレーンによってキャンセルされたファイル数。これは、ファイルがAVシグネチャーにマッチしアクションがdropに設定されている場合や、その他のファイアウォール上のポリシーによってセッションがドロップされた場合、またクライアントまたはサーバーが転送をキャンセルした場合にカウントされます。 CANCEL_TIME_OUT データ プレーンからマネジメント プレーンへ送られたが、データ転送でタイムアウトが発生しマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_OFFSET_NO_MATCH データ プレーンからマネジメント プレーンへ送られたが、データ プレーンからのファイル ストリームにおいて予期しないパケット(out-of-orderもしくはその他のエラー条件)が見つかったためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_NO_MEMORY データ プレーンからマネジメント プレーンへ送られたが、マネジメント プレーン上でデータ バッファが枯渇しマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_FILE_DUP_EARLY データ プレーンからマネジメント プレーンへ送られたが、第一キャッシュ レベルにヒットしたためにマネジメント プレーンによってキャンセルされたファイル数。これは、二つの同一ファイルの転送がほぼ同時に行われ、一つが許可され、他方がキャンセルされた場合に発生します。 CANCEL_FILE_DUP データ プレーンからマネジメント プレーンへ送られたが、第二キャッシュ レベルにヒットしたためにマネジメント プレーンによってキャンセルされたファイル数。これは、過去の一定期間の間にデバイスにおいて同じファイルが処理された場合に発生します。 CANCEL_FILESIZE_LIMIT データ プレーンからマネジメント プレーンへ送られたが、ユーザが定義したWildFireクラウドへフォワードするファイルの上限サイズに到達したためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_FILENUM_LIMIT データ プレーンからマネジメント プレーンへ送られたが、同時ファイル転送数が規定の上限値に達したためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_DISK_IO_FAIL マネジメント プレーンがWildFireクラウドへ転送する前に一時ファイルをディスクに書き込めなかった回数。これは、一般的なディスクの異常、またはディスクのバッファが割当て上限に近い場合に発生します。 CANCEL_FWD_PIPE_FULL データ プレーンからマネジメント プレーンへ送られたが、データを保持するためのバッファがディスク上で枯渇したためにマネジメント プレーンによってキャンセルされたファイル数。 DROP_NO_MEMORY WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、マネジメント プレーンにおいてデータ バッファが枯渇したためにマネジメント プレーンによってドロップされたパケット数。 DROP_NO_MATCH_FILE WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、パケットがマネジメント プレーンがバッファリングしているどのファイルにもマッチしなかったためにマネジメント プレーンによってドロップされたパケット数。 DROP_HASH_LIMIT_HIT WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、同時ファイル転送数が規定の上限値に達したためにマネジメント プレーンによってドロップされたパケット数。 DROP_DECODE_FAIL WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、パケットが壊れており正常にデコードできなかったためにマネジメント プレーンによってドロップされたパケット数。 DROP_FWD_PIPE_FULL WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、データを保持するためのバッファがディスク上で枯渇したためにマネジメント プレーンによってドロップされたパケット数。 DROP_CTLMSG_BUF_FULL バッファの枯渇を理由にマネジメント プレーンからデータ プレーンへ送信されたファイル転送のキャンセル メッセージの数。 File caching reset cnt キャッシュしているファイルのハッシュ値がリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合に発生します。 FWD_CNT_LOCAL_FILE WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースに新しいファイルだと判断されたファイルの数。 FWD_CNT_LOCAL_DUP WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースに既知のファイルだと判断されたファイルの数。 FWD_CNT_LOCAL_FILE_CLEAN WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースにBenignファイルだと判断されたファイルの数。例えば、ファイルに信頼された署名が付いている場合など。 FWD_CNT_REMOTE_FILE WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースに新しいファイルだと判断されたファイルの数。 FWD_CNT_REMOTE_DUP_CLEAN WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースにBenignファイルだと判断されたファイルの数。 FWD_CNT_REMOTE_DUP_TBD WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その時点でVerdictが付いていなかったファイルの数。 FWD_CNT_REMOTE_DUP_MAL WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースにMalwareファイルだと判断されたファイルの数。 FWD_CNT_CACHE_SYNC WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で既知のファイルであったがWildFireクラウド上では未知であったファイルの数。これは、デバイスでファイルのハッシュがキャッシュされ、かつそのファイルがなんらかの通信の問題でクラウドへ送信されなかった場合に発生します。この場合、ローカルのキャッシュ エントリは削除されます。 LOG_CNT_CACHE_EXPIRED WildFireへファイルをフォワードするために、マネジメント プレーンが受信した際、デバイス上にハッシュのキャッシュがあったが、キャッシュ エントリーの期限が切れていたのでWildFireクラウドへの再度クエリーをしキャッシュのリフレッシュを行う必要があったファイルの数。PAN-OS 5.0において実装。 LOG_CNT_DAILY_CAP_HIT WildFireのサブスクリプションがないデバイスにおいて、そのデバイスで既にデイリーのアップロード数の上限に達している状態で、マネジメント プレーンがWildFireクラウドへ送信するために受信したファイルの数。 FWD_ERR_UNKNOWN_QUERY_RESPONSE デバイスがWildFireクラウドへVerdictのクエリーを行った際に、認識不可能な結果を受信した回数。 FWD_ERR_CONN_FAIL デバイスとWildFireクラウド間でSSLトンネルの確立が失敗した回数。コネクションは即座にリトライされるか、もしくは1分間隔で行なわれます。どちらになるかは機能に依存します。 FWD_ERR_CONN_TIMEOUT WildFireクラウドへファイルをアップロードを試みている最中にタイムアウトが発生したためにファイルがドロップされた回数。 FWD_ERR_READ_FILE 予期せずファイルが壊れたか、バッファ内のファイルが削除されたかを理由にファイルがドロップされた回数。 FWD_ERR_SERVER_BUSY WildFireアプライアンス上のキューがlow water markに近づいているために、ファイルがキューされた回数。 LOG_ERR_REPORT_LOG_GEN_FAIL ソフトウェアの通信障害のためにデバイス上でWildFireのログ エントリーの生成に失敗した回数。PAN-OS 5.0において実装。 LOG_ERR_REPORT_CACHE_NOMATCH クラウドからのレポート データに基づき、既にログ イベントが生成されるものに対してWildFireクラウドからレポート データが送られてきた回数。これは異常を示すイベントではありません。PAN-OS 5.0において実装。 CANCEL_NO_LICENSE 有効なWildFireのライセンスが無いためにWildFireクラウドやWF-500にフォワードされなかったアドバンスド ファイル タイプ(APK, PDF, Microsoftオフィス ファイル, Javaアプレット)の数。 CANCEL_CONCURRENT_LIMIT その時点でディスクに保持できるファイル数の上限に達したためにキャンセルされたファイルの数。PAN-OS 6.0において実装。 Service connection reset cnt デバイスとWildFireクラウド間のSSLトンネルがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。コネクションがリセットされた際には、クラウドへ送信するためにディスクのバッファに残っているファイルも同様にリセットされます。 Log cache reset cnt ログ キャッシュがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。PAN-OS 5.0において実装。 Report cache reset cnt レポート キャッシュがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。PAN-OS 5.0において実装。 data_buf_meter WildFireへファイルをフォワードする際、マネジメント プレーンがデータ プレーンからのパケット ペイロードを蓄積しファイルの再構築を行うために使うメモリ バッファの使用率をパーセンテージで示したもの。 msg_buf_meter WildFireへファイルをフォワードする際、マネジメント プレーンがデータ プレーンからのパケット ヘッダを蓄積しファイルの再構築を行うために使うメモリ バッファの使用率をパーセンテージで示したもの。 ctrl_msg_buf_meter マネジメント プレーンからデータ プレーンへファイル キャンセル メッセージを行う際に、そのメッセージをバッファするために使うマネジメント プレーン上のメモリ バッファの使用率をパーセンテージで示したもの。 fbf_buf_meter WildFireクラウドへファイルが送信される前に、ディスク上にバッファされたファイルの位置をポイントするのに使われるマネジメント プレーン上のメモリ バッファの使用率をパーセンテージで示したもの。   show wildfire status コマンド出力のカウンタの説明 カウンタ 説明 Wildfire cloud: パブリック クラウド、またはWF-500のIPアドレスが表示されます。 Status: 正常にセットアップされている場合は、"idle"と表示されます。ファイル ブロッキング プロファイルの設定にて、アクションがforwardまたはcontinue-forwardになっていない場合は、"Disabled due to configuration"と表示されます。 Best server: 接続されているWildFireサーバー、またはWF-500のIPアドレスが表示されます。 Device registered: 正常にセットアップされ、WildFireクラウドまたはWF-500に対してレジスターされている場合は"yes"と表示されます。WildFireにレジスターされていない場合は"no"と表示されます。 Valid wildfire license: 有効なWildFireライセンスが使用されている場合は、"yes"と表示されます。 Service route IP address: WildFireに対してコネクションを張る際に使われるIPアドレスが表示されます。 Signature verification シグネチャーの照合が有効になっているかどうかを表示します。 Through a proxy WildFireへの接続がプロキシ経由かどうかを表示します。 File size limit info アップロードするファイルサイズの上限を表示します。 Forwarding info: アイドル タイムアウト値、フォワードされたファイル数の累積値、最後の1分間にフォワードされたファイル数、フォワード待ちでバッファされているファイル数、を表示します。   著者: sdarapuneni
記事全体を表示
ymiyashita ‎07-20-2017 05:03 PM
8,439件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URL Category Bulk Check and Getting the List of Threat Names https://live.paloaltonetworks.com/t5/Management-Articles/URL-Category-Bulk-Check-and-Getting-the-List-of-Threat-Names/ta-p/146803     目的 複数のウェブサイトのリストが存在し、それぞれのPAN−DB (またはBrightCloud) URLカテゴリを確認したいケースを考えます。この際、Test-A-site (https://urlfiltering.paloaltonetworks.com) またはBrightCloud の URL/IP lookup ページ (http://www.brightcloud.com/tools/url-ip-lookup.php) で一個一個カテゴリを確認するのは手間で、ウェブサイトの数が多い場合、このやり方は現実的ではありません。   解決方法 ファイアウォールのCLIは一度に複数行のコマンドを受け付けることができます。よって、以下の手法を用いることができます。   "test url <url>" コマンドをまとめて記載したテキストファイルを作成します。 test url www.paloaltonetworks.com test url www.google.com   (オプション) URLフィルタリングを必要に応じて切り替えます。 > set system setting url-database <paloaltonetworks or brightcloud> https://live.paloaltonetworks.com/t5/Learning-Articles/PAN-DB-URL-Filtering-CLI-Command-Reference/ta-p/61598(英文) 上記1で作成したテキスト全体をファイアウォールのCLIへコピー&ペーストします。 > test url www.paloaltonetworks.com   www.paloaltonetworks.com computer-and-internet-info (Base db) expires in 24000 seconds www.paloaltonetworks.com computer-and-internet-info (Cloud db)   > test url www.google.com   www.google.com search-engines (Base db) expires in 0 seconds www.google.com search-engines (Cloud db) :   目的 脅威IDのとある範囲の脅威名の一覧の取得。   解決方法 "show threat id <id>" コマンドをまとめて記載したテキストファイルを作成します。 show threat id 3800000 show threat id 3800001 : このようなテキストは、以下のようなスクリプトを実行すると簡単に作成できます。 #!/bin/bash   for i in {3800000..3804000} do     echo 'show threat id '${i} >> command_list.txt done 脅威IDの範囲は、以下の記事にて確認することができます。 https://live.paloaltonetworks.com/t5/Threat-Articles/Threat-ID-Ranges-in-the-Palo-Alto-Networks-Content-Database/ta-p/59969(英文)   上記1で作成したテキスト全体をファイアウォールのCLIへコピー&ペーストします。 > show threat id 3800000   unknown spyware   > show threat id 3800001   This signature detected generic:geik.ddns[.]net   medium :   おまけTips packet-diagを実行する際の複数コマンドのリストも同じやり方でテキストとして保存し実行することができます。 https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Run-a-Packet-Capture/ta-p/62390(英文)
記事全体を表示
ymiyashita ‎07-18-2017 12:17 AM
9,514件の閲覧回数
0 Replies
アプリケーション コマンド センター(ACC)は、ネットワークを通過するアプリケーション、ユーザー、URL、脅威、コンテンツについてのサマリーを対話的および視覚的に提供し、また直感的なドリルダウン機能も提供します。
記事全体を表示
tkobayashi ‎07-06-2017 07:22 PM
9,308件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check for Logical Errors on an Interface https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-for-Logical-Errors-on-an-Interface/ta-p/62023   論理インターフェイス用のSNMPトラップについて。   RFC 1213ではMIBは標準のインターフェイス テーブルのみ含みます。トラップはそのシステムとMIBに組み込まれているインターフェイス グループのためのもので、それらがサポートされます。     PAN-OS 7.0 は論理インターフェイスをサポートします。   PAN-OS 6.1.xまでは物理インターフェイスのインターフェイスグループの情報のみ送付し、論理インターフェイスに対しては行いません。netflowを有効化しての情報取得がワークアラウンドとなります。     PAN-OS 5.0とそれ以前   特定のインターフェイス上での論理エラーをチェックするには(例ではethernet1/3を使用します)CLIコマンドを入力します。 admin@Ironhide> show interface ethernet1/3 -------------------------------------------------------------------------------- Name: ethernet1/3, ID: 18 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: 1000/auto/auto MAC address:   Port MAC address b4:0c:25:f8:e5:12 Operation mode: layer3 Untagged sub-interface support: yes -------------------------------------------------------------------------------- Name: ethernet1/3, ID: 18 Operation mode: layer3 Virtual router default Interface MTU 1500 Interface IP address: 192.168.9.1/24 Interface management profile: allowall   ping: yes  telnet: yes  ssh: yes  http: yes  https: yes   snmp: yes  response-pages: yes  userid-service: no Service configured: Interface belong to same subnet as management interface: Yes Zone: trust_9999, virtual system: vsys1 Adjust TCP MSS: no --------------------------------------------------------------------------------   -------------------------------------------------------------------------------- Physical port counters read from MAC: -------------------------------------------------------------------------------- rx-broadcast                  0 rx-bytes                      1775076722 rx-multicast                  0 rx-unicast                    13635670 tx-broadcast                  110085 tx-bytes                      6992300789 tx-multicast                  0 tx-unicast                    11299072 --------------------------------------------------------------------------------   これらは次世代ファイアウォールのデータプレーンが起動した時からのインターフェイス カウンターです。これらのカウンターはデータプレーンの再起動のみでクリアされます。   -------------------------------------------------------------------------------- Hardware interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                          360 bytes transmitted                        0 packets received                        6 packets transmitted                      0 receive errors                          6 packets dropped                          0 --------------------------------------------------------------------------------   L2-L4解析チェックに失敗したパケットは上記のreceive errorsカウンターを増加させて破棄され、CPUに到達しません。最も一般的なケースは不正な宛先MAC、不正なVLANタグ、不正なIP、不正なTCP/UDPポートなどです。上記の例では 6 receive errors (TCP packet too short)を確認することができ、それらは破棄されCPUレベルに到達せず論理インターフェイスカウンターの表示では以下の通りゼロとなります。   Logical interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                          0 bytes transmitted                        84 packets received                        0 packets transmitted                      2 receive errors                          0 packets dropped                          0 packets dropped by flow state check      0 forwarding errors                        0 no route                                0 arp not found                            0 neighbor not found                      0 neighbor info pending                    0 mac not found                            0 packets routed to different zone        0 land attacks                            0 ping-of-death attacks                    0 teardrop attacks                        0 ip spoof attacks                        0 mac spoof attacks                        0 ICMP fragment                            0 layer2 encapsulated packets              0 layer2 decapsulated packets              0 --------------------------------------------------------------------------------   L2-L4解析に成功した後、パケットにはさらなるセキュリティチェックが行われます。セキュリティ ルールによる破棄や、Non-Syn TCPチェックやその他の理由で破棄は、上記の"packet dropped"カウンターの増加の原因となります。   パケット破棄の正確な理由はグローバル カウンターで行えます。例えば以下の例では、L2-L4解析にてグローバルカウンターでハイライトされた箇所の理由により、破棄されています。   admin@Ironhide> show counter global filter delta yes   Global counters: Elapsed time since last sampling: 1.150 seconds   name                                  value    rate severity  category  aspect    description -------------------------------------------------------------------------------- pkt_recv                                  41      35 info      packet    pktproc  Packets received pkt_recv_zero                            41      35 info      packet    pktproc  Packets received from QoS 0 pkt_sent                                  7        6 info      packet    pktproc  Packets transmitted pkt_alloc                                  1        0 info      packet    resource  Packets allocated flow_rcv_err                              1        0 drop      flow      parse    Packets dropped: flow stage receive error flow_rcv_dot1q_tag_err                    5        4 drop      flow      parse    Packets dropped: 802.1q tag not configured flow_no_interface                          5        4 drop      flow      parse    Packets dropped: invalid interface flow_fwd_l3_mcast_drop                    11        9 drop      flow      forward  Packets dropped: no route for IP multicast flow_parse_l4_hdr                          1        6 drop      flow      parse    Packets dropped: TCP (UDP) packet too short   カウンターは以下のCLIコマンドでクリアできます: > clear counter all All counters cleared   著者: panagent
記事全体を表示
TShimizu ‎06-13-2017 12:26 AM
8,572件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009 https://live.paloaltonetworks.com/t5/Management-Articles/Error-Failed-to-connect-to-User-ID-Agent-at-x-x-x-x-x-x-x-x-5009/ta-p/60880   問題 ターミナルサーバーエージェントへの接続が、次のシステムログ内のエラーとともに失敗します:"Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009"。このドキュメントでは、このエラーが出た後に TS エージェントに接続する手順を含みます。   解決方法 ターミナルサーバーエージェントがファイアウォールとの接続できない場合、以下の手順に従います。 設定について、次のドキュメントで記載されている内容に沿って確認します。 How to Install and Configure Terminal Server Agent ファイアウォールとターミナルサーバーエージェント双方のリスニングポートが一致しているか確認します。 TS エージェントに ACL リストが設定されている場合、ファイアウォールの IP が許可されていることを確認します。また、許可リストがファイアウォールのマネジメントインターフェイスに設定されている場合には、TS エージェントが許可されていることを確認します。 注:デフォルトでは、リストが指定されていない場合は全ての IP を許可します。 ファイアウォールの設定を Commit します。 ファイアウォールに接続ができるよう、TSエージェントがインストールされているマシンの Windows Firewall を無効にします。   著者: bsyeda
記事全体を表示
dyamada ‎05-09-2017 11:10 PM
8,463件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create Subordinate CA Certificates with Microsoft Certificate Server https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Create-Subordinate-CA-Certificates-with-Microsoft/ta-p/58046   概要 この文書はMicrosoft Certificate Serverを使用した下位CA証明書の作成方法について記載します。 " http:// <IPアドレスまたはサーバー名>/certsrv"をブラウザで開き、サーバーの画面にアクセスします。 "Welcome"画面にて、"Request a Certificate"を選択します。 次の画面で"advanced certificate request"を選択します。 "Create and Submit a request to the CA"を選択します。 次の画面のフォームで、"Certificate Template"のプルダウン メニューから"Subordinate Certification Authority"を選択します。証明書のための必要事項を入力します(名前、連絡先など)。申請を行うとローカル システムに証明書をダウンロードするためのリンクが表示されます。 ダウンロード後、ローカルの証明書ストアから証明書をエクスポートします。"Internet Options"画面にて"Content"タブを選択し、"Certificates"ボタンをクリックします。新しい証明書をPersonal証明書ストアからエスクポートすることができます。 "Certificate Export Wizard"を表示するには、"Export"ボタンをクリックします。 "Certificate Export Wizard"画面にて、"Yes, export the private key"を選択し、続いてフォーマットを選択します。パスワードとファイル名、保存場所を指定します。   Microsoft Certificate Serverは、おそらく証明書をPFXフォーマット(PKCS #12)で提供しています。 証明書をPEMフォーマットでエクスポートするには、以下の手順で行います。 openSSLを使い、 openssl pkcs12 –in pfxfilename.pfx –out tempfile.pem と入力します。 "tempfile.pem"をテキスト エディターで開きます。 -----BEGIN RSA PRIVATE KEY----- で始まっているセクションを見つけます。 -----END RSA PRIVATE KEY----- までの全テキストを選択し、新しいファイルに貼り付けて、拡張子".key"をつけて保存します。 ".pem"ファイルからそれ以外のテキストをコピーし、別のファイルに貼り付け、拡張子".crt"をつけて保存します。 上記の手順により、keyファイルと証明書をインポートすることができます。   CLIコマンド お客様のルートCAがWebインターフェイスを備えていない場合もあり、その場合はCLIを通して 同じ操作を 行うことができます。 Microsoft CAにおけるコマンド:   certreq -submit -attrib "CertificateTemplate:SubCA" <certificate-signing-request>.csr   このコマンドを入力することでGUIプロンプトが表示され、そのプロンプトで申請するCAを選択します。通常、同じサーバ上にはルートCAは1つだけなので、表示されているCAを選択します。 その後、該当する申請がCAサーバーの保留中の申請の中に表示されます。     著者:panagent
記事全体を表示
hshirai ‎04-03-2017 08:33 PM
7,134件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Zone Protection Recommendations https://live.paloaltonetworks.com/t5/Learning-Articles/Zone-Protection-Recommendations/ta-p/55850     以下の記事は、Palo Alto NetworksのエンジニアであるGraham Garrisonによって執筆されました。   PAN-OSを実行しているPalo Alto Networksデバイスは、ユーザーやネットワーク、クリティカルなシステムを守るために、App-IDやUser-IDのような数々の次世代ファイアウォールの機能を提供しています。これらの強力な技術に加え、PAN-OSはネットワーク及びトランスポートレイヤーでの悪意ある活動に対して、ゾーン プロテクション プロファイルを使用した防御も提供します。セキュリティ ゾーンに対してこれらのプロファイルを適用は、フラッド攻撃や偵察行為、その他のパケット ベースの攻撃への防御の一助となります。   ゾーン プロテクションを設定する際、それがシステムによりどのように適用されるのかを理解することや、パケット処理のどのステージで適用されるのかを理解することが重要です。ゾーン プロテクションは常に入力インターフェイスに適用されるため、インターネットからのフラッド攻撃や偵察行為から防御したい場合、信頼されないインターネットのインターフェイスを含むゾーンに対してプロファイルを設定して適用します。ネットワークをより強化したいと思われるセキュリティの管理者は、防御する手段がすべての環境に適用されていることを確実にするために、さらに内外両方のすべてのインターフェイスに対してゾーン プロテクションを適用することができます。このタイプのゼロ トラスト アプローチは、企業におけるモビリティが増大し続ける中で、ますます推奨されるようになってきました。   また各ネットワーク環境は各々異なり、それゆえ防御措置を適用するにあたってフラッドの閾値を調整する必要があることへの理解も重要です。設定されたフラッドの閾値を超えた場合は脅威ログが生成され、Syslogを使用している場合は外部に転送することができます。ご利用の環境においてどのような設定が適切かを決めるために、ベースラインを確立するためのピーク時間中の平均的なネットワークの稼働状態を決めることから始めてください。そして、ネットワークの稼働状態に通常の範囲の変動の余地を残しつつ、セキュリティの目標を満たすポイントに達するまで、閾値を徐々に下げて調整してます。正当なトラフィックを通すために防御を有効化したり最大の閾値が低くなりすぎるのを避けたいでしょうが、望まないトラフィック量のスパイクを緩和に効果的になるように高すぎるのも避けたいはずです。   その一方で、いくつかのパケット ベースの攻撃保護は、組織全体に多少は等しく適用されます。例えば、「不明」や「異常な形式」のIPオプションは一般的に不要であり、ドロップできます。「重複するTCPセグメントの不一致」や「TCP タイムスタンプの削除」をドロップするためにオプションの選択は、ファイアウォールを通過する回避技術を防ぎ、一般的にすべてのお客様に推奨されます。さらに、「スプーフされたIPアドレス」に対する防御を有効にすることで、セキュリティ ゾーンにおけるアドレス詐称を防ぐことができます。このことが、パケット入力においてファイアウォールのルーティング テーブルに合致する送信元アドレスを持つトラフィックだけ許可されることを確実にします。   上記の推奨事項の従うことで、所属する組織をより安全にすることとなります。その他の有益な秘訣やコツについては、Live Communityを継続して閲覧の上、確認するようにしてください。   追加資料: Threat Prevention Deployment Tech Note Understanding DoS Protection What Are The Differences Between Dos Protection and Zone Protection?     著者:Graham Garrison
記事全体を表示
hshirai ‎03-21-2017 11:02 PM
9,139件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Policy-based forwarding doesn't work for traffic sourced from the Palo Alto Networks firewall https://live.paloaltonetworks.com/t5/Management-Articles/Policy-based-forwarding-doesn-t-work-for-traffic-sourced-from/ta-p/58821     問題 あるゾーンからISP経由でインターネットへ向かうすべてのトラフィックを転送するためにポリシー ベース フォワーディング (PBF) ルールを設定している場合、そのルールは、Palo Alto Networksファイアウォールの背後にある端末にだけ適用されるが、ファイアウォール自身を送信元とするトラフィックには適用されない。   原因 PBFルールに加えてルートがルーティング テーブルにある場合、最初にPBFルールだけが上から順番に評価されます。しかし、これはファイアウォールの背後にある端末にだけ適用されます。PBFがTrustゾーンからUntrustゾーンへ向かうすべてのトラフィックを転送するよう設定されていると、Palo Alto Networksファイアウォールの背後にある端末を送信元とするトラフィックにのみ、ルールが適用されます。しかしファイアウォールを送信元とするトラフィックは、PBFテーブルの評価をバイパスし、代わりに出力インターフェイスからトラフィックを転送するルートに合致するかのルーティング テーブルの評価が開始されます。   WebGUIから、[ Network ] > [ インターフェイス ] > [ Ethernet ] を開きます。続くシナリオでは、インターフェイスは以下の通り設定されています:   [ Network ] > [ 仮想ルーター ] > [ スタティック ルート ] 内に、デフォルト ルートが以下の通り設定されています:   端末から来ているトラフィックである場合、セッション情報は以下の通り表示されます:   WebGUIから、[ Policies ] > [ ポリシー ベース フォワーディング ] を開き、以下のデフォルト ルートと同じPBFルールを作成します:   端末から来ているトラフィックの場合、セッション情報は以下の通り表示されます(デフォルト ルートがあるにもかかわらず、PBFルールだけがまず評価されています):   ファイアウォールの背後にある端末からや、ファイアウォールの信頼済みインターフェイスから、パブリックなIPアドレス 4.2.2.2 へ継続的なPingをすると、どちらもPingは成功しました。これはPBFルールを使用する端末からのトラフィックであるため、そしてルーティング テーブルを使用しているファイアウォールからのトラフィックであるためです:   デフォルト ルートだけが削除し、端末からのトラフィックはPBFルールを使用して通過することに成功していますが、デフォルト ルートが削除されたため以下の通りファイアウォールからのトラフィックは失敗しました:   PBFは、ファイアウォールの背後にいる端末からのトラフィックに対してのみ動作し、ファイアウォールからのトラフィックに対しては動作しません。   以下が既知の制限事項となります: PBFは、Palo Alto NetworksファイアウォールへのIPsecトンネルのトラフィックには機能しません。 PBFは、フェーズ1トンネルに対して機能しないので、IKEを開始するためにルーティング テーブルのデフォルト ルートを使用する必要があります。 PBFは、GlobalProtect接続に対して機能しません。 PBFルールのためにアプリケーションを使用している場合、TCPトラフィックに合致するアプリケーションのシグネチャは、3ウェイ ハンドシェイクの後に識別されます。そのため、PBFルールは、最初の3ウェイ ハンドシェイクには合致しないかもしれず、ルート探索にだけ基づいてファイアウォールを通過します。   著者:dantony
記事全体を表示
hshirai ‎03-21-2017 08:41 PM
12,334件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure LDAP Server Profile https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-LDAP-Server-Profile/ta-p/58689   手順 Device をクリック Server Profiles 配下にある LDAP をクリック Add をクリックして LDAP Server Profile ダイアログを表示 Server名、IP Address、ポート番号を入力 (389 はLDAP) LDAP サーバー type をドロップダウン メニューから選択。ドメインのベース識別名 (Base Distinguished Name) を入力。バインドDN と そのサーバー アカウントのバインド パスワードを入力。SSL のチェックボックスをはずす。 (ドメイン コントローラーが ポート 636 で LDAP SSL を待ち受けている場合、SSLが利用可能) 変更をCommit   著者: bnelson
記事全体を表示
dyamada ‎03-19-2017 11:42 PM
5,436件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community