ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Determine the Number of Threat Signatures on a Palo Alto Networks Firewall https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Determine-the-Number-of-Threat-Signatures-on-a-Palo-Alto/ta-p/55760     概要 "すべてのシグネチャの表示"("Show all signatures")オプションを選択しなければ、脅威シグネチャーは表示されません。この動作はスパイウェア、脆弱性プロファイルの両方において同様です。 "すべてのシグネチャの表示" オプションを選択すると、全てのスパイウェア/脆弱性シグネチャが表示され、脅威シグネチャ数が確認できます。     手順 全てのシグネチャを表示するためには、以下の手順を行います。 Objects > セキュリティ プロファイル > [アンチ スパイウェア または 脆弱性防御] へ移動 プロファイルを選択 例外タブをクリック "すべてのシグネチャの表示" オプションをチェック   以下は、アンチ スパイウェア プロファイルを使った例です。 Threat IDの10001以降がアンチ スパイウェア用に割り当てられています。   注:Threat IDの15000 から 18000 まではカスタム シグネチャに割り当てられています。   以下は、脆弱性防御プロファイルを使った例です。 Threat IDの30003以降が脆弱性シグネチャに割り当てられています。 (訳注:最新の情報を反映しているため、元記事とは数値が異なっています。) 注:Threat IDの 41000 から 45000 まではカスタム シグネチャに割り当てられています。   脅威シグネチャ数はPalo Alto Networksファイアウォールにインストールされているコンテントのバージョンによって異なります。新しいシグネチャが頻繁にデータベースに追加されていくので総数は常に固定とは限りません。     参考 マッチする脆弱性防御シグネチャの見つけ方 シグネチャのDefaultアクション変更手順     著者: tshivkumar  
記事全体を表示
ymiyashita ‎04-20-2016 01:29 AM
8,382件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Find Matching Signature for Vulnerabilities https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Find-Matching-Signature-for-Vulnerabilities/ta-p/54905     Palo Alto Networksが生成した脆弱性防御のシグネチャの中で、特定のシグネチャを見つけたい場合、まず脆弱性防御ルールを作成します。   脆弱性防御ルールは 脆弱性防御プロファイルの中で定義されます。 "ルール" タブ > "脅威名" にシグネチャ名の一部となるテキストを入力します。 検索結果をフィルターするために、その他の全てのフィールドを任意に埋めます。 以下の例は、シグネチャ名に "MySQL"を含み、アクションがAlertで、かつ重大度 (Severity) が CriticalかHighのものを検索するための設定です。 OKボタンをクリックします。 脆弱性防御プロファイルのウィンドウで、検索したいルールのチェックボックスにチェックを入れた後、"一致するシグネチャを検出" ("Find Matching Signature") をクリックします。 検索結果と共に"例外"タブが表示されます。 上記で作成した脆弱性防御ルールの条件にマッチするルール名の一覧とそれぞれのアクションが表示されています。また右下の部分(ハイライト箇所)には、ページ数とマッチしたシグネチャの総数が表示されています。  参考: Palo Alto Networksファイアウォールにおける脅威シグネチャ数の確認方法 シグネチャのDefaultアクション変更手順   著者: ssunku
記事全体を表示
ymiyashita ‎04-20-2016 01:26 AM
7,303件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to upgrade a High Availability (HA) pair https://live.paloaltonetworks.com/t5/Management-Articles/How-to-upgrade-a-High-Availability-HA-pair/ta-p/57081   概要   HAペアのPAN-OSをアップグレードするにあたって、この記事に書かれている手順を実行することを推奨します: アップグレード前にHA機能が正常に動作している事を確認できます。 2番目の機体をアップグレードする前に一つ目の機体が正常にアップグレードされた事を確認できます。 手順のどの時点で、なんらかの事象が発生した場合、ダウンタイム無しでバージョンを元に戻す事ができます。 (OSPFやBGPなどのルーティングプロトコルを使用していない場合)。 HAペアのアップグレード完了した時点で必要最小限のfailover(二回)で元のアップグレード前のactive/passive状態に戻す事ができます。   アップグレードの準備:   Configurationのバックアップと Tech Supportファイルを HA Pair両方からダウンロードします。 個々のファイルに適切なファイル名をつけます。 Device > Setup > Operations > Save Named Configuration Snapshotをクリックしconfiguration snapshotの名前を設定し、保存します。 Device > Setup > Operations > Export Named configuration Snapshotをクリックし前のステップで設定したconfiguration snapshotをダウンロードします。 (HAペアがPanoramaで管理されている場合) Device > Setup > Operations > Export Device State をクリックし、Device stateをダウンロードします。 Device > Support > Generate Tech Support Fileをクリックし、生成された後ダウンロードします。 (アップグレード中なんらかの事象が発生した場合に必要になります) (オプショナルですが推奨): アップグレード中、不必要なfailoverを避けるためHigh Availability 設定でPreemptionを無効にします。Preemption無効の設定はHA Pair 両方にcommitしてください. アップグレードの完了後、また両方に有効にします。 preemptionを無効にするには, Device > High Availability > Election Settings で Preemptiveのチェックを外し、 commitします。     メジャーバージョン間のアップグレードの場合(6.0 -> 6.1 または 6.1-> 7.0), HA Pair間でセッションがsyncしてなくともfailoverする様にTCP-Reject-Non-SYNを無効にすることを推奨します。 # set deviceconfig setting session tcp-reject-non-syn no # commit (オプショナルですが推奨)予想外の事象でSSHやWebUIでログインできなくなることを想定し、FirewallへOut-of-Band アクセス (コンソールアクセス) が出来るのを確認します。   ステップ:   先にactive機(firewall A)を CLIでsuspendします。以下のコマンドを実行します: > request high-availability state suspend または WebUIで Device > High Availability > Operations > Suspend local deviceをクリックします。  注意: このステップでpassive機(firewall B)へのHA failoverが発生します.  これをする事によってアップグレードを実行する前にHA機能が正常に動作していることを確認できます。 前Active機(firewall A)がsuspended状態で現在のActive機(firewall B)の動作が安定していることを確認します。 suspended機(firewall A)上で新しいPAN-OSをインストールし、再起動してインストールを完了します。  How to Upgrade PAN-OS and Panorama アップグレードされた機体(firewall A)が再起動した後、 CLI プロンプトでは passive (メジャーバージョン間のアップグレードの場合はnon-operational)と表示され、 PAN-OS versionも新しくインストールされたバージョンが反映されます。 Passive機(firewall A)のCLI で以下のコマンドを使い , auto commit が成功したことを確認します(FIN OK)。  > show jobs all   注意:  Passive機(firewall A)がnon-functional状態の場合, 以下のコマンドを実行して実行(functional)状態に戻します:  > request high-availability state functional Active機(firewall B)をsuspendします。Suspendedを実行した後, 既にアップグレードされている機体(firewall A)がまたActiveに戻ります。 注意: OSPFやBGPの様なルーティングプロトコルを使用しているHAペアのActive機をsuspendするに当たり、ネットワーク構成によって短時間の通信遮断を起こす事があります。 これは ルーターとsuspendされた ファイアウォール 間の隣接関係が切断され、 新しくActiveになった機体と確立するためです。 ダウンタイムを短縮するためには, Firewallと隣接関係のルーター間でGraceful restartを有効にしてください。Graceful Restart機能はPAN-OS 6.0以降でサポートされてます。 Suspend 状態の機体 (Firewall B) 上で新しい PAN-OSをインストールし、 リブートします。 リブートが終わった後, Passive機として起動します。Passive機(firewall B)のCLI で以下のコマンドを使い、 auto commit が成功したことを確認します(FIN OK)。 > show jobs all 注意:  Active-ActiveのHAペアの場合, Active-Passiveと同じ様にステップを実行してください。アップグレード全体は30分程かかると思われます。   ダウングレードの方法 新しいバージョンでなんらかの事象が発生してダウングレードが必要になった場合: 前のPAN-OSのバージョンに戻すには, 以下のCLIコマンドを実行します: > debug swm revert   このコマンドによってアップグレード前に使用していたパーティション(前のPAN-OSバージョン)からブートされます。 何もアンインストールされず、設定変更もありません。
記事全体を表示
oconnellm ‎04-19-2016 11:29 PM
9,556件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create an Application Override Policy https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Override-Policy/ta-p/60044   概要 Application Override Policy はPalo Alto Networks firewallのアプリケーション識別の仕方を変えます。 Application Override を Custom Applicationで設定することによって セッションをApp-ID engineによるLayer-7検知から除外することができ、firewall はセッションをステートフルインスペクションfirewallのように Layer-4までの処理しかしなくなります。 既存の アプリケーション、 例えばweb browsingを Application Override に使用する場合、特定の アプリケーションに 一致するすべての通信 ( この例だとweb browsing)は Layer-7検知処理されることになります。 。   Application Override は標準のポート番号を使用しない内部 Custom Application やFirewallが”unknown”と識別するcustom 定義が既に設定されている内部 アプリケーション に使用する事ができます。   注意: 既存の アプリケーション を使用すると Application Override が正常に動作しない可能性があるのでCustom Applicationの使用を推薦します。   参照:Tips & Tricks: How to Create an Application Override. 以下の例では, Telnetに対して Application Override を設定します。   ステップ Custom Applicationの作成 WebUI上でObjects > Applications に行きaddをクリックします。 Applicationに名前をつけます。 (“telnet”はもう使用されているので別の名前にします)この例では”telnet_override”と名前をつけます。 Category, Subcategory, と Technology を選択します。 Advanced タブでDefaults を'Port'に設定します。 ( アプリケーション が使用するポートが表示されます)。 この例だとSignaturesを追加する必要がないので, OKをクリックし Custom Application 作成を完了します。   Application Override Policyの作成 Policies > Application Overrideへ行き、Addをクリックします。 Generalタブで Policyの名前を入力します。 Sourceタブで Source Zoneを設定します. 送信元が固定IPの場合Source Addressを設定し、固定でない場合は”Any”と設定します。 Destinationタブで Destination Zoneを設定します. 送信先が固定IPの場合Destination Addressを設定し、固定でない場合は”Any”と設定します。 Protocol/Applicationタブでは ProtocolとPort number を設定し、前のステップで作成した custom application を選択します。   Security Policyの作成 Policies > Security に行きAddをクリックします。 Custom Applicationの通信が通過するZoneを設定したSecurity policy を作成します。 新規セッションは作成した Custom Application として識別されます。 作成したCustom Applicationのセッションを表示するにはCLI で show session all filter application コマンドを使用します。 例: > show session all filter application Telnet_Override
記事全体を表示
oconnellm ‎04-19-2016 10:48 PM
5,594件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure SNMPv2 on the Palo Alto Networks Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-SNMPv2-on-the-Palo-Alto-Networks-Firewall/ta-p/61318   概要 このドキュメントではPalo Alto Networks FirewallでのSNMPv2の設定方法について説明します。   Steps SNMP trapの server profileを設定します。 Device > Server Profilesへ移動します。 SNMP Trapをクリックします。 Add をクリックしProfile の名前と SNMP のバージョン( V2 c)を設定します。 Addをクリックし以下の設定をします: Server:  SNMP Trap の宛先サーバーの名前 Manager:  SNMP Trap の宛先サーバーの IP Address Community:  SNMPコミュニティ名(デフォルトはPublic) Device > setup > operationsに移動します。 SNMP Setupをクリックします。 SNMP setup ウィンドウで以下の設定をします: Physical location:  ファイアウォールの物理的な位置(例:東京都千代田区) Contact:  ファイアウォールの管理者の名前やメールアドレス。この設定はstandard system information MIBにreportされます。 Use Event-Specific Trap Definitions: これを有効にするとSNMP trapがevent typeによるunique OID を使い送信されます  (既定値は有効) Version:  SNMP バージョン (V2c 又は V3) V2cの場合 以下の項目について設定します SNMP Community String: SNMPコミュニティ名(デフォルトはPublic) log forwardingを設定します: Deviceタブをクリックし、Log Settingsフォルダ内のSNMP Trap で送信したい Log を選択します。 SNMP Trap で送信する logの severityを選択します。  severity ウインドウでSNMP Trap のドロップダウンリストで作成した SNMP Server Profile を選択します。 management interfaceでSNMP Service を有効にします: Device タブ の Setupをクリックします。 Managementタブをクリックします。 Management Interface Settings の右上のボタンをクリックします。 SNMP Service を有効にします。 注意: SNMP Trapの送信にmanagementインターフェース以外のインターフェースを使用する場合インターフェースのManagement ProfileにSNMPが有効になっている事を確認してください。 設定変更をCommit し、TrapsがManagementポートからSNMPサーバーに届いているか確認します。    
記事全体を表示
oconnellm ‎04-19-2016 10:34 PM
6,885件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 CLI Commands to Status, Clear, Restore, and Monitor an IPSEC VPN Tunnel https://live.paloaltonetworks.com/t5/Learning-Articles/CLI-Commands-to-Status-Clear-Restore-and-Monitor-an-IPSEC-VPN/ta-p/55917   概要 このドキュメントのCLI コマンドを使用することにより IPSEC tunnel のステータスの確認、 Tunnel のモニタリング、 Tunnel の切断と再接続ができます。   詳細 VPN Tunnelのモニタリングと接続状況の確認: show vpn flow Note: monitor status がdownの場合は 宛先IP Address への接続ができていないことを示します。   例: > show vpn flow   total tunnels configured:        1 filter - type IPSec, state any   total IPSec tunnel configured:   1 total IPSec tunnel shown:        1   id  name     state    monitor  local-ip        peer-ip        tunnel-i/f -------------------------------------------------- ------------------------ 4   tunnel   active    up      172.17.128.135  172.17.128.1     VPN Tunnel 内でデータ通信が行われてる事の確認 : show vpn flow tunnel-id x   << VPN Tunnel の ID 番号(上の例だと4)   例: データ通信が行われていればpackets と bytes のカウンターは上がります。 > show vpn flow tunnel-id 2         encap packets:    500         decap packets:    500         encap bytes:      54312         decap bytes:      54312         key acquire requests: 35     接続しているIKE phase 1 SAの詳細の表示: show vpn ike-sa gateway <gateway name>   例: > show vpn ike-sa gateway GW-to-Lab1   phase-1 SAs GwID  Peer-Address    Gateway Name    Role Mode Algorithm ----  -------------  ---------------  ---------------------------                1    57.1.1.1        gw-to-Lab1      Init Main PSK/DH2/A128/SHA1   Show IKEv1 IKE SA: Total 1 gateways found.     接続しているIKE phase 2 SAの詳細の表示: show vpn ipsec-sa tunnel <tunnel name>   Example: > show vpn ipsec-sa tunnel IPVPN-tunnel1.1-to-LAB1   GwID  TnID  Peer-Address  Tunnel(Gateway)          Algorithm      ----  ----- ------------  -----------------------  ------------ 1     2     57.1.1.1      IPVPN-tunnel1.1-to-LAB1  ESP/A128/SHA1   Show IPSec SA: Total 1 tunnels found.     これらのコマンドはVPN Tunnel を切断する時に使用します : > clear vpn ike-sa gateway GW-to-Lab1 Delete IKEv1 IKE SA: Total 1 gateways found.   > clear vpn ipsec-sa tunnel IPVPN-tunnel1.1-to-LAB1 Delete IKEv1 IPSec SA: Total 1 tunnels found.   これらのコマンドはVPN Tunnel を再接続する時に使用します : > test vpn ike-sa gateway GW-to-Lab1 Initiate IKE SA: Total 1 gateways found. 1 ike sa found.   > test vpn ipsec-sa tunnel IPVPN-tunnel1.1-to-LAB1 Initiate IPSec SA: Total 1 tunnels found. 1 ipsec sa found.   注意: GW-to-Lab1 と IPVPN-tunnel1.1-to-LAB1 はgateway と tunnel 名前の例です。   Phase 1 Phase 2  
記事全体を表示
oconnellm ‎04-19-2016 10:30 PM
7,553件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Implement and Test SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719   概要 PAN-OSはPalo Alto Networks ファイアウォールを経由する通信の復号化、SSL インバウンド/アウトバウンド インスペクションを実施します。SSLの復号化は、Layer 3およびVirtual Wireモードで使われるインターフェイスで、SSLルールによって、トラフィックの復号化設定されたものに対して実施されます。特に、 復号 化は、URLカテゴリー、ソースユーザー、そしてソースアドレス、ターゲットアドレスをベースにして指定することができます。一旦 復号 化されると、暗号化トンネル内のアプリケーション、脅威、URLフィルタリング、ファイル ブロッキング、データ フィルタリングなどを検知してコントロールすることができます。 復号 化された通信がファイアウォールから流出することはありません。   SSL インバウンド インスペクション 内部Webサーバー、終端装置への内側方向通信の場合、管理者は守るべきサーバー証明書やキーのコピーを取り込む必要があります。ファイアウォールにサーバー証明書とSSL復号化ポリシーが内側方向の通信に設定されていると、ファイアウォールはトラフックを復号化、情報を読み取った後に転送します。パケット データ及びクライアント システムから内部サーバーへの暗号化通信には変更は加えられません。ファイアウォールは暗号化通信を通じて、悪意のあるコンテンツの検知、アプリケーション コントロールを実施します。   アウトバウンドSSL復号化 (SSLフォワード プロキシ) ファイアウォールが外側通信SSLに対して、SSL通信をインターセプトしてそのユーザーがアクセスしたいサイトの証明書を作り、プロキシの動作をする場合です。 機器上で生成された証明書の有効日付は、実際のサーバー証明書から取得されます。機器上で生成された証明書の発行局はPalo Alto Networks機器です。もしファイアウォールの証明書が既存階層の一部でなかったり、クライアント インターネット ブラウザにキャッシュとして追加されていない場合、クライアントはセキュアなサイトにアクセスする際に、警告メッセージを受け取ります。もし実際のサーバー証明書がPalo Alto Networksファイアウォールによって信任されていない認証局によって発行されている場合、攻撃者が仲介していないかユーザーに警告するために、復号化証明書を2次的な信頼されない認証局 (CA)キーとして扱われます。   SSL復号化設定をするためには ファイアウォールに通信を処理する設定をし、ネットワーク上に設置 認証局 (CA)がファイアウォール上に設定 SSL復号化ルールの設定 SSL復号化、通知ページ設定 (任意設定) 設定変更をCommitし、復号化試験   手順 1. ファイアウォールに通信を処理する設定をし、ネットワーク上に設置 Palo Alto Networks ファイアウォールには、既に動作するインターフェイス(Virtual WireもしくはLayer 3)、ゾーン、セキュリティ ポリシーが設定されており、通信が通過していることをご確認ください。   2. 認証局 (CA)がファイアウォール上に設定 認証局 (CA) が生成されたSSL証明書によって、トラフィックを正しく復号化するためには、ファイアウォール上で自己証明書を作成するか、従属するCA(社内にあるPKI構成)からをインポートすることです。"Forward Trust Certificate" と "Forward Untrust Certificate" を一つ以上の証明書で、ファイアウォールで通信を復号化するために有効にします。 注意 :  SSL証明書プロバイダー(Entrust, Verisign, Digicert, GoDaddyなど)は認証局 (CA) を販売していません。これらはSSL復号化ではサポートされていません。   ファイアウォールのGUIにアクセスし、Device > Certificatesに移動します。インバウンド インスペクションもしくはアウトバウンド インスペクション(SSLフォワード プロキシ)の為、証明書を取り込むか、生成します。   自己証明書を作る 自己証明書を作ることを推奨します。自己証明書の作り方については以下の記事をご参照ください。 How to Generate a New Self-Signed SSL Certificate   Microsoft Certificate Serverから証明書を作成、インポートする 組織に帰属するMicrosoft Certificate Serverから、Advanced Certificateを“Subordinate CA”証明書テンプレートを使用してリクエストして、証明書をダウンロードします。 ダウンロードの後、ローカルの証明書ストアから、証明書をエクスポートします。IE設定ではインターネット オプション設定 -> コンテンツ タブ -> 証明書をクリックします。新しい証明書は、個人タブからエクスポートできます。証明書のエクスポート ウィザードを選び、プライベート キーをエクスポートします。そしてフォーマットとパスフレーズ、ファイル名、保存先を選びます。証明書はPFXフォーマット(PKCS #12)となります。 証明書を取り出すために、以下のopenSSLコマンドを実行します。 openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys キーを取り出すためにはopenSSLの以下のコマンドです。 openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts pemファイルとkeyfile.pemファイルをPalo Alto Networksファイアウォールに取り込むには、Deviceタブ > Certificates画面です。 High Availability (HA)ペアの場合、これらのファイルをセカンダリーのPalo Alto Networksファイアウォールにロードする、もしくは証明書とキーをコピーするには、DashboardのHigh Availabilityウィジットにて実行します。   以下が"Forward Trust"と"Forward Untrust"証明書の例です。     注意 : 自己証明局を使う場合、公共CA 証明書をファイアウォールからエクスポートし、各々の端末ブラウザーに信頼されたルート証明機関としてインストールすることにより、ブラウザー上で信頼されないルート証明機関としてエラー表示されるのを避ける必要があります。ネットワーク管理者はグループ ポリシー(GPO)を使って各々のワークステーションに証明書を配布することができます。   以下は自己証明局のCA証明書を信用していない場合のブラウザー上のエラー例です。   信頼されていないCA 証明書エラー : Firefox   信頼されていないCA 証明書エラー : Chrome   信頼されていないCA 証明書エラー : Internet Explorer   3. SSL復号化ルールの設定 ネットワーク管理者は復号化する他の要件を決定します。SSL復号化ルールにはいくつかの推奨があります。 復号化するルールを徐々に進める方法 : 復号化するルールを特定のものからスタートして、典型的なSSL通信をファイアウォールにより復号化してモニターします。 ユーザーがプライバシー侵害と考える次のようなカテゴリを復号化することを避けます。 Financial services Health and medicine サーバーがクライアント証明(ユーザーID特定の為)を要求するようなアプリは復号化しないようにします。 PAN-OS 5.0から紹介されている機能で、クライアント認証を要求されているコネクションを、復号化プロファイルでブロック、許可することができます。   アウトバンド向け復号化ルールの 推奨サンプル例です。 4. SSL復号化、通知ページ設定 (任意設定) Device タブ > Response Pages 画面で、SSL復号化されたときにユーザーに通知するレスポンス ページの設定ができます。”SSL Decryption Opt-out Page”の"Disabled"をクリックし、"Enable SSL Opt-out Page"をチェックしてOKを選択します。   デフォルト設定のSSL Opt-out pageページが表示されます。HTMLエディターで編集して、インポートすることにより、会社特有の情報を表示することができます。   5. 外向けSSL通信復号化試験 アウトバウンド復号化通信試験には、 アウトバウンド ポリシー上で、いかなるウィルスが発見された場合、アラートが出るように設定してください。さらに、Anti-Virusセキュリティ プロファイルで、パケット キャプチャを取得するように設定して変更をCommitで反映してください。 内部PCからファイアウォール経由で、www.eicar.orgにアクセスして、右上にある、 “Download Anti Malware Testfile"をクリックします。 次の画面で、下までスクロール ダウンします。 Eicarテスト ファイルをhttpでダウンロードします。以下の4つのファイルはウィルス検知されます。 Monitor タブ > Logs > Threatでeicarファイルのログ ファイルを探します。 ログの左側にある緑の↓矢印をクリックすると取得されたパケットが参照できます。 その左にある虫眼鏡アイコンをクリックすると、ログの詳細が参照できます。 下までスクロールして、“Decrypted”フィールドを確認すれば、セッションが復号化されていなかったのがわかります。   www.eicar.orgのダウンロードページに戻って、今回は、SSL enabled protocol HTTPSでテスト ウィルス ファイルをダウンロードします。 Threatを確認すると、ウィルスは検知されているはずです。すなわちSSLコネクションは復号化されたわけです。Web browsingでポート443を使ったEicarが検知されているログ メッセージによって可視化されています。 緑の↓矢印にをクリックすることによってパケットの詳細がみれます(確認作業はhttpの時と同じです) ログ エントリーの左にある虫眼鏡アイコンをクリックして、スクロール ダウンし、Flagsフィールドの “Decrypted”にチェックが入っていることが確認できます。   SSL暗号化通信中のウィルスが検知されていることに成功しています。    “no-decrypt”ルールの試験には、まず最初に、どのURLカテゴリー(financial services / shopping / health and medicine)で失敗しているか確認します。BrightCloudでは http://www.brightcloud.com/testasite.aspx 、PAN-DBでは Palo Alto Networks URL Filtering - Test A Site  サイトにて、SSL復号化に失敗したURLを入力することによって、何のURLカテゴリーだったか確認できます。ウェブサイトが一旦復号化されるべきでないURLカテゴリーと識別、設定をSSL復号化ルールで定義したら、これらのサイトにアクセスしても証明書エラーは発生されなくなるでしょう。ウェブ ページは正しく表示され、TrafficログでもアプリケーションはSSL、ポートは443と表示されます。   インバウンド通信復号化試験: このインバウンド接続ログを確認すると、SSLとはアプリケーション識別されておらず、実際のSSL通信内のアプリケーション名となっています。虫眼鏡アイコンをクリックすると、この接続が復号化されていることが確認できます. インバウンドSSL復号化をファイアウォール上で有効にした前のトラヒックを調べます。ターゲットとなるサーバー通信を参照します。それらのログにはポート443で、アプリケーションがSSLと検知されているはずです。 ネットワーク外部からの通信はDMZにいるサーバーにSSL経由で接続してきます。証明書エラーもなく、コネクションはプロキシされずに検査されているだけです。   便利なCLIコマンド類: 機器を通じてSSL復号化されている既存のセッション数を確認するには、 > debug dataplane pool statistics | match Proxy   PA-2050では最初の行の出力結果は1024中の既存セッション数が出力されます。次の行のコマンド出力では、5つのSSLセッションが復号化されていることを示します (1024–1019=5): admin@test> debug dataplane pool statistics | match Proxy [18] Proxy session            :    1019/1024    0x7f00723f1ee0   アクティブ セッションで復号されているセッションを表示するには以下のコマンドを使用します。 > show session all filter ssl-decrypt yes state active PAN-OS 4.1、5.0、6.0、6.1でのSSL復号化セッションの最大同時接続数は以下です(双方向の合計です)。 Hardware SSL Decypted Session Limit VM-100 1,024 sessions VM-200 1,024 sessions VM-300 1,024 sessions PA-200 1,024 sessions PA-500 1,024 sessions PA-2020 1,024 sessions PA-2050 1,024 sessions PA-3020 7,936 sessions PA-3050 15,360 sessions PA-3060 15,360 sessions PA-4020 7,936 sessions PA-4050 23,808 sessions PA-4060 23,808 sessions PA-5020 15,872 sessions PA-5050 47,616 sessions PA-5060 90,112 sessions PA-7000-20G-NPC 131,072 sessions PA-7050 786,432 sessions    上限に達すると、全ての新しいSSLセッションは復号化されません。上限に達した場合に新しいSSLセッションをドロップしたい場合 > set deviceconfig setting ssl-decrypt deny-setup-failure yes 機器上で上限に達したかどうかの確認をするには > show counter global name proxy_flow_alloc_failure SSL復号化の証明書を確認するには > show system setting ssl-decrypt certificate Certificates for Global SSL Decryption CERT global trusted ssl-decryption x509 certificate version 2 cert algorithm 4 valid 150310210236Z -- 210522210236Z cert pki 1 subject: 172.16.77.1 issuer: 172.16.77.1 serial number(9) 00 b6 96 7e c9 99 1f a8  f7                      ...~.... . rsa key size 2048 siglen 2048 basic constraints extension CA 1 global untrusted ssl-decryption x509 certificate version 2 cert algorithm 4 valid 150310210236Z -- 210522210236Z cert pki 1 subject: 172.16.77.1 issuer: 172.16.77.1 serial number(9) 00 b6 96 7e c9 99 1f a8  f7                      ...~.... . rsa key size 2048 siglen 2048 basic constraints extension CA 1   SSL復号化設定を確認するには > show system setting ssl-decrypt setting vsys                          : vsys1 Forward Proxy Ready          : yes Inbound Proxy Ready          : no Disable ssl                  : no Disable ssl-decrypt          : no Notify user                  : no Proxy for URL                : no Wait for URL                  : no Block revoked Cert            : yes Block timeout Cert            : no Block unknown Cert            : no Cert Status Query Timeout    : 5 URL Category Query Timeout    : 5 Fwd proxy server cert's key size: 0 Use Cert Cache                : yes Verify CRL                    : no Verify OCSP                  : no CRL Status receive Timeout    : 5 OCSP Status receive Timeout  : 5 Block unknown Cert            : no SSL復号化リソースのリストについては以下のサイトをご参照ください。 SSL Decryption Quick Reference - Resources (2016年4月時点でリンク先にアクセスできなくなっています。ご迷惑をおかけします)   SSL復号でサポートする暗号スイートについてのさらなる情報については以下のサイトをご参照ください。 SSL Decryption Not Working Due to Unsupported Cipher Suites Limitations and Recommendations While Implementing SSL Decryption How to Identify Root Cause for SSL Decryption Failure Issues   注意: 何かこの文章にさらなる追加をしたい場合は、下にコメントを追記してください。
記事全体を表示
kkondo ‎04-17-2016 06:11 AM
23,279件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Gateway Certificate Error When Trying to Use GlobalProtect Agent 2.1.0 https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Gateway-Certificate-Error-When-Trying-to-Use/ta-p/57043   問題 Palo Alto Networks ファイアウォールに GlobalProtect Agent のバージョン 2.1.0 で接続するときに、ポータルへの接続には成功するものの、ゲートウェイへの接続を行う際に証明書エラーが発生します。以前の Agent バージョンを使用した場合は問題なく接続されます。   原因 この問題は GlobalProtect バージョン2.1.0で追加された新規のチェックが原因となります。新規の検証チェックは GlobalProtect ポータルで構成されたゲートウェイ アドレスと証明書の CN (コモンネーム) が一致することを確認します。このチェックは以前のバージョンでは実装されていなかったため、この問題は発生しませんでした。 注: ゲートウェイ アドレスを FQDN で構成し、証明書にこの FQDN が登録されているとき、 PTR レコードが DNS に生成されるまで GlobalProtect Agent のバージョン 2.1.0 には証明書エラーが発生します。   解決方法 どの証明書プロファイルをゲートウェイの設定で使用しているか確認します。 Device > 証明書の管理 > 証明書 に移動し、手順1で確認した証明書プロファイルの CN をメモします。 GlobalProtect ポータルのクライアント設定にて、ゲートウェイのアドレスを手順2でメモした CN へ変更します。 変更を Commit し、 Agent でファイアウォールに再接続してください。   注意: ゲートウェイ証明書の Subject Alternative Name (SAN) 属性にホスト名 (DNS Name) が含まれている場合、上記の記事に示されているように証明書のコモンネームと一致している必要があります。   重要!この設定変更を行う前に、ファイアウォール上で使用されているDNSサーバが "GlobalProtect Portal" のホスト ネームをパブリック IP アドレスへ解決できること、また IP アドレスをホスト ネームに解決するための PTR レコードがあることを確認してください。ホスト ネームが内部 IP アドレスに解決される場合、外部インターフェイスからポータルにアクセスできなくなります。  
記事全体を表示
tsakurai ‎04-17-2016 05:32 AM
3,614件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How and When to Clear Disk Space on the Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-and-When-to-Clear-Disk-Space-on-the-Palo-Alto-Networks/ta-p/55736    詳細 Palo Alto Networks のデバイスは、保存済みのログがログ クォータの上限に達した場合、一番古いログから順に削除します。デバイスは "show system logdb-quota" コマンド結果にある各カテゴリ毎にログをパージします。 各プラットフォームでのログ パージ動作については、When are Logs Purged on the Palo Alto Networks Devices?を参照してください。 デバイスがディスクのルート パーティションを使い切っている場合、手動でのファイル削除が必要となります。ルート パーティションがフル状態の場合、デバイスは各コンテンツのインストール(アンチウィルス、アプリケーション及び脅威、URL)などの管理タスクの実行や、Tech Support ファイルの生成が出来なくなります。ルート パーティションの状態を確認するには、"show system disk-space" コマンドを実行します。Core ファイルは容量が大きい場合が多いため、必要のないファイルは "delete core management-plane file <ファイル名>" コマンドを使ってファイルを削除してください。 ディスク領域を参照及び削除するには、以下コマンドを実行します。   > show system disk-space Filesystem Size Used Avail Use% Mounted on /dev/sda3 3.8G 3.8G 0 100% / /dev/sda5 7.6G 3.4G 3.8G 48% /opt/pancfg /dev/sda6 3.8G 2.7G 940M 75% /opt/panrepo tmpfs 493M 36M 457M 8% /dev/shm /dev/sda8 51G 6.6G 42G 14% /opt/panlogs 手順 容量の大きい Core ファイルがないかどうか、"show system file" の結果を確認します。 >show system files /opt/dpfs/var/cores/: total 4.0K drwxrwxrwx 2 root root 4.0K Jun 10 20:05 crashinfo   /opt/dpfs/var/cores/crashinfo: total 0   /var/cores/: total 115M drwxrwxrwx 2 root root 4.0K Jun 10 20:15 crashinfo -rw-rw-rw- 1 root root 867M Jun 12 13:38 devsrvr_4.0.3-c37_1.gz -rw-rw-rw- 1 root root  51M Jun 12 13:39 core.20053   /var/cores/crashinfo: total 16K -rw-rw-rw- 1 root root 15K Jun 10 20:15 devsrvr_4.0.3-c37_0.inf o "delete core management-plane file devsrvr_4.0.3-c37_1.gz" コマンドを使って、必要ないファイルを削除します。(このコマンドは、管理プレーンの device server の Core ファイルを削除する例です) レポートの削除も同様にコマンドライン上で実行することが出来ます。例えば、864 で始まるファイルをすべて削除するには、"delete report summary scope shared report-name predefined file-name 864*" コマンドを実行します。   著者: bpappas
記事全体を表示
hfukasawa ‎04-15-2016 03:28 AM
7,697件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 Not-Applicable, Incomplete, Insufficient Data in the Application Field https://live.paloaltonetworks.com/t5/Management-Articles/Not-Applicable-Incomplete-Insufficient-Data-in-the-Application/ta-p/65711   概要 このドキュメントは、Applicationフィールドに見られる様々な項目について記述することを目的としています。   Incomplete Imcomplete は 3 ウェイ TCP ハンドシェイクが完了しなかった、もしくは 3 ウェイ TCP ハンドシェイクは完了したがその後アプリケーションを特定するデータの送受信が無かったことを意味します。つまり、確認されたトラフィックが実際にアプリケーションではなかったことを意味します。 例えば、クライアントがサーバーに SYN を送信し、Palo Alto Networks デバイスがその SYNに対してセッションを生成したが、サーバーが一度もクライアントに SYN ACKを返信しない場合、そのセッションは incomplete となります。   Insufficient data Insufficient data はアプリケーションを特定するための十分なデータが無いことを意味します。例えば、3 ウェイ TCPハンドシェイクが完了した後、1個のデータパケットの送受信があったが、その1個のデータパケットのみでは判定に不十分で、Palo Alto Networksのシグニチャのいづれにもマッチしなかった場合、Trafficログの Applicationフィールドに Insufficient dataが確認できます。   Unknown-tcp Unknown-tcpは ファイアウォール が 3 ウェイ TCPハンドシェイクを確認したがアプリケーションを特定できなかったことを意味します。これは ファイアウォール が該当するシグニチャを持たないカスタム アプリケーションを使用していることによると考えられます。   Unknown-udp Unknown-udpは未知のUDPトラフィックにより生成されます。   Unknown-p2p Unknown-p2p は一般的な P2P ヒューリスティックに該当します。   Not-applicable Not-applicable は、トラフィックが着信したポート/サービスが許可されていないために破棄されるデータを、Palo Alto デバイスが受信したこと、もしくは、そのポートまたはサービスを許可するルールやポリシーが無いことを意味します。 例えば、Palo Alto デバイスにルールが1つだけ設定されていて、そのルールが ポート / サービス 80番のみ使用する Web-browsingのアプリケーションのみを許可しており、かつ、トラフィック (Web-browsing またはそれ以外のいかなるアプリケーション) が 80番以外のポート / サービスを使用して Palo Altoデバイスに送信された場合、そのトラフィックは破棄またはドロップされ、Applicationフィールドに "not-applicable" が記録されたセッションが確認できます。  
記事全体を表示
kishikawa ‎04-14-2016 10:22 PM
13,090件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Captive Portal https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Captive-Portal/ta-p/60455   概要 添付のドキュメントには、キャプティブ ポータルを設定するためのステップバイステップの説明が記載されています。以下の4つのシナリオをカバーしています: Webフォーム ログイン ページ - 透過モード Webフォーム ログイン ページ - リダイレクト モード クライアント証明書 NTLM認証 手順 PAN-OS 5.0以降より、以前 "captive-portal" という名称であったアクションは、"web-form" に変更されています。これは名称のみの変更です。web-form ページは未知のユーザに認証情報の入力を求めます。 以前 "ntlm-auth" という名称であったアクションは、現在 "browser-challenge" に変更されています。これは名称のみの変更です。"browser-challenge" は、ブラウザ (IE、Firefox等) の NTLMサポートにより背後でユーザーを認証します。 注: "no-captive-portal" アクションは変更されていません。https で始まるトラフィックの場合、トラフィックが暗号化されているため、キャプティブ ポータルは表示されません。HTTPSトラフィックの場合もキャプティブ ポータルが起動するようにするためには、Decryptionを有効にします。 さらに詳細につきましては、How to Implement and Test SSL Decryption のリンクをご参照ください。  
記事全体を表示
kishikawa ‎04-14-2016 10:20 PM
6,020件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Troubleshoot VPN Connectivity Issues https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Troubleshoot-VPN-Connectivity-Issues/ta-p/59187   詳細 フェーズ1 ISPに関連する問題を除外するため、PAの外側のインターフェイスからピアのIPへpingし、ピアの外側のインターフェイス上でpingが有効になっていることを確認します。 セキュリティ要件によりpingがブロックされている場合は、もう一方のピアがMain/Aggresive モードのメッセージまたは DPD に応答しているかどうか確認します。それから、Monitorタブ配下のSystemログまたはikemgrログにてピアから "Are you there?" メッセージの応答があるかどうかを確認します。 IKE識別が正しく設定されていることを確認します。 IKEおよびIPSECアプリケーションを許可するポリシーが適切に配置されていることを確認します。通常、このポリシーは、PAに Clean-upルールが設定されていなければ不要です。もしClean-up ルールが設定されている場合は、このポリシーは通常、外側のzone から外側の zoneに対して設定されます。 プロポーザルが正しいことを確認します。もし正しくない場合、ミスマッチに関するログがSystemログで確認できます。もしくは、以下の CLIコマンドを使用して確認することができます。 >  less mp-log ikemgr.log 事前共有キーが正しいことを確認します。正しくない場合、ミスマッチに関するログがSystemログで確認できます。もしくは、以下の CLIコマンドを使用して確認することができます。 >  less mp-log ikemgr.log トラフィックを分析するためにパケットキャプチャを実施します。フィルタを使用してキャプチャされたトラフィックの範囲を絞ります。 役に立つCLIコマンド: > show vpn ike-sa gateway <name> > test vpn ike-sa gateway <name> > debug ike stat 高度なCLIコマンド: 詳細なログを確認するためには、ログ レベルを "debug" にします。 > debug ike global on debug > less mp-log ikemgr.log Main/AggresiveおよびQuick モードのネゴシエーションを参照するために、パケットキャプチャを有効にしてこれらのネゴシエーションをキャプチャすることが可能です。Main モードのメッセージ 5、6以降、およびQuick モードの全てのパケットはデータのペイロードが暗号化されています。 > debug ike pcap on > view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap debugを停止します。 > debug ike pcap off  パケット フィルタを設定してキャプチャすると、キャプチャ結果を調査対象のパケットのみに限定することができます。debug ike pcap on を実行すると、すべてのVPNトラフィックのキャプチャが参照できます。   NAT-Tが有効かどうかを確認するためには、Mainモードの第5、6メッセージから、パケットの送受信ポートが500から4500に変更されているかどうかを確認します。 ピアのベンダーIDが Palo Alto Networks デバイスでサポートされているかどうか、逆に、Palo Alto Networks デバイスのベンダーIDがピアのデバイスでサポートされているかどうかを確認します。   フェーズ2 ファイアウォールがトンネルをネゴシエートしていることを確認し、2つの一方向のSPIが存在することを確認します。 > show vpn ipsec-sa > show vpn ipsec-sa tunnel <tunnel.name> プロポーザルが正しいことを確認します。正しくない場合、ミスマッチに関するログが、Monitorタブ配下のSystemログで確認できます。もしくは以下のコマンドを使用して確認できます。 >  less mp-log ikemgr.log PFSが両方のエンドで有効になっていることを確認します。正しくない場合、ミスマッチに関するログが、Monitorタブ配下のSystemログで確認できます。もしくは以下のコマンドを使用して確認できます。 >  less mp-log ikemgr.log Proxy-IDの設定を確認します。この設定は通常トンネルが2つの Palo Alto Networks のファイアウォール間のトンネルの場合は必要ありませんが、ピアが別のベンダーの場合はIDの設定が必要です。正しくない場合、ミスマッチがSystemログで確認できます。もしくは以下のコマンドを使用して確認できます。 > less mp-log ikemgr.log 役に立つCLIコマンド: > show vpn flow name <tunnel.id/tunnel.name> > show vpn flow name <tunnel.id/tunnel.name> | match bytes カプセル化と非カプセル化のバイト数が増加しているかどうかを確認します。トラフィックがファイアウォールを通過していれば、カプセル化と非カプセル化の両方の値が増加しているはずです。 > show vpn flow name <tunnel.id/tunnel.name> | match bytes もしカプセル化のバイト数が増加していて非カプセル化のバイト数が一定の場合は、ファイアウォールはパケットを送信していますが受信していません。 ポリシーがトラフィックをドロップしていないか、もしくは、PANの手前のポート変換デバイスがESPパケットをドロップしていないかを確認します。 > show vpn flow name <tunnel.id/tunnel.name> | match bytes   もし非カプセル化のバイト数が増加していてカプセル化のバイト数が一定の場合、ファイアウォールはパケットを受信していますが送信していません。 ポリシーがトラフィックをドロップしているか確認します。 > test routing fib-lookup virtual-router default ip <destination IP> -------------------------------------------------- runtime route lookup -------------------------------------------------- virtual-router:  default destination:      10.5.1.1 result:          interface tunnel.1 >  show routing route > test vpn ipsec-sa tunnel <name> Advanced CLI commands: > debug ike global on debug > less mp-log ikemgr.log > debug ike pcap on > view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap > debug ike pcap off トンネルはアップしているがトラフィックがトンネルを通過していない場合、 セキュリティ ポリシーとルーティングを確認します。 ポートアドレス変換を行っているアップストリームのデバイスがあるか確認します。ESPは レイヤ3プロトコルなので、ESPパケットにはポート番号がありません。このようなデバイスが ESPパケットを受信すると、変換するポート番号が確認できないため、パケットをサイレントにドロップする可能性が高いです。 必要に応じて debug packet filters、debug packet captures、debug packet logs を適用し、トラフィックがどこでドロップされているかを切り分けます。
記事全体を表示
kishikawa ‎04-14-2016 10:20 PM
6,524件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Authorize or Register a VM https://live.paloaltonetworks.com/t5/Integration-Articles/How-to-Authorize-or-Register-a-VM/ta-p/52239   VMを登録するためには、 カスタマー サポート ポータル ( https://support.paloaltonetworks.com ) にログインします。 Assets に移動し、Current Account がそのアセットを所有するアカウントであることを確認します。 もしアカウントが異なる場合は、Change Account のリンクをクリックし、正しいアカウントを選択します。 VM-Series Auth-Code を取得します。 How to Register a Palo Alto Networks Device, Spare or VM-Series Auth Code を参照してください。 Download アイコンをクリックし、ソフトウェアをダウンロードします。 VMware プラットフォームにソフトウェアをインストールします。CPUID と UUID をメモします。これは後程必要となります。VMシリーズ ソフトウェアのインストールおよび設定に関するさらに詳細な情報については、VM-Series Deployment Guide 6.1 (English) を参照してください。 カスタマー サポート ポータル > Assets > VM-Series Auth-Codes に戻ります。 VM-Series Auth-Code 表から取得したVM-Series Auth-Code を見つけ、同じ行の Register VM ボタンをクリックします。 Register Virtual Machine ウィンドウで CPUID と UUID を入力します。もしくは、CPUID と UUID が記載されたデバイス ファイルをアップロードします。 VM のシリアル番号が生成され、Devices 表に表示されます。
記事全体を表示
kishikawa ‎04-14-2016 10:18 PM
2,260件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Troubleshoot LDAP Authentication https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Troubleshoot-LDAP-Authentication/ta-p/61818   概要 この文章では、次のようなLDAP認証上でのトラブルについてどのように問題を切り分けるかを記載します。 LDAP認証が、デバイスの管理者アクセス、Captive Portal、GlobalProtectに対して設定されていますが、認証が常に失敗します。   この問題の予備知識: LDAPサーバーはMicrosoft Active Directoryサーバーを使用 許可リストは設定された認証プロファイルで設定されていません( 許可リスト の使用を前提にすると他の問題を推考してしまうため、この文章では対象外とします)   手順 認証のプロセスは、管理プレーン上のauthdプロセスによって動作します。すべてのデバッグ ログはmp-logのauthd.logに出力されます。 1.   LDAPサーバー プロファイルを確認します。 # show shared server-profile ldap ldap {   ad2008 {     server {       myadserver {         port 389;         address 10.0.0.10;       }     }     ldap-type active-directory;     base DC=panw,DC=dom;     bind-dn admin@panw.dom;     timelimit 30;     bind-timelimit 30;     bind-password -AQ==LEkLjmi5LnnONEwl89h/wpfRI0Y=AgBprzhy+CcbuOsMV p+mJg==;     ssl no;   } }   1.1   TCPポートの389番が一般的なLDAP通信では使われます。389番ポートを使用する場合、必ずSSL設定がされていない (ssl no;)ことを確認してください。 仮にSSLが有効だと、LDAPサーバー側でLDAPSがサポートされていること、そしてTCPポートの636番(LDAPSのデフォルトポート)が設定されたサーバー プロファイルで設定されていることをご確認ください。 # show shared server-profile ldap l dap {   ad2008 {     server {       myadserver {         port 636;         address 10.0.0.10;       }     }     ldap-type active-directory;     base DC=panw,DC=dom;     bind-dn admin@panw.dom;     timelimit 30;     bind-timelimit 30;     bind-password -AQ==LEkLjmi5LnnONEwl89h/wpfRI0Y=AgBprzhy+CcbuOsMV p+mJg==;     ssl yes;   } }   1.2   LDAPサーバー プロファイルで、ベースのドロップ ダウンリストから選択されれば(Device > LDAP > LDAP Server Profile)ベースDNはPalo Alto Networks装置から自動的に取得されるはずです。自動取得されたものをLDAPサーバー ベースとして使用することを強く推奨します。.   1.3   LDAPサーバー プロファイルで、ドメイン名を手動で設定することができます。この個所を空白のままにしておくことを推奨します、そうすればPAN-OSは自動的にドメイン名を推測することができます。この設定は、複数のADドメインが存在していて、各々を特定化するために使用されます。   1.4   LDAP接続を確認する方法としては、Group-Mapping 設定をする際にLDAPツリー ブラウザーを参照することです(該当のLDAPサーバーをサーバー プロファイルで選択してください) 上記画面のようにLDAP情報が参照できれば、LDAPサーバー プロファイルは正しく設定されていることを意味します。   2. デバッグ ログauthd.logを確認する authd.logログ出力をCLIの”tail follow yes mp-log authd.log”で確認すると、次のような典型的なログ出力が成功例、失敗例で確認できます。   「認証成功例」 Jan 08 14:00:46 pan_authd_service_req(pan_authd.c:2604): Authd:Trying to remote authenticate user: user1 Jan 08 14:00:46 pan_authd_service_auth_req(pan_authd.c:1115): AUTH Request <'vsys1','adauth','user1'> Jan 08 14:00:46 pan_authd_handle_nonadmin_auths(pan_authd.c:2245): vsys, authprof <vsys1,adauth> doesnot exist in db, trying 'shared' vsys Jan 08 14:00:46 pan_authd_common_authenticate(pan_authd.c:1511): Authenticating user using service /etc/pam.d/pan_ldap_shared_adauth_0,username user1 Jan 08 14:00:46 pan_authd_authenticate_service(pan_authd.c:663): authentication succeeded (0)   「認証失敗例 」 Jan 09 23:21:15 pan_authd_service_req(pan_authd.c:2604): Authd:Trying to remote authenticate user: user1 Jan 09 23:21:15 pan_authd_service_auth_req(pan_authd.c:1115): AUTH Request <'vsys1','adauth','user1'> Jan 09 23:21:15 pan_authd_handle_nonadmin_auths(pan_authd.c:2245): vsys, authprof <vsys1,adauth> doesnot exist in db, trying 'shared' vsys Jan 09 23:21:15 pan_authd_common_authenticate(pan_authd.c:1511): Authenticating user using service /etc/pam.d/pan_ldap_shared_adauth_0,username user1 Jan 09 23:21:21 pan_authd_authenticate_service(pan_authd.c:663): authentication failed (6) Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1531): Authenticating user using service /etc/pam.d/pan_ldap_shared_adauth_0,usename user1 failed - trying other hosts Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1506): Skipping LDAP server due to missing Auth-Profile: pan_ldap_shared_adauth_1 Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1506): Skipping LDAP server due to missing Auth-Profile: pan_ldap_shared_adauth_2 Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1506): Skipping LDAP server due to missing Auth-Profile: pan_ldap_shared_adauth_3 Jan 09 23:21:21 authentication failed for user <shared,adauth,user1> Jan 09 23:21:21 pan_authd_process_authresult(pan_authd.c:1258): pan_authd_process_authresult: user1 authresult not auth'ed Jan 09 23:21:21 pan_authd_process_authresult(pan_authd.c:1282): Alarm generation set to: False. Jan 09 23:21:21 User 'user1' failed authentication.  Reason: Invalid username/password From: 192.168.0.17   これらのログ出力は認証失敗したとても一般的な出力で、他の問題と混同しがちです。 同様のログ出力は、様々なケースで見受けられます。 LDAPサーバーに接続できない(サービス ルート設定を確認) 存在しないLDAPサーバーを設定している ユーザ名もしくは、パスワード、その両方が間違っている サーバー プロファイル設定のバインドDNフォーマットもしくはパスワード、その両方が間違っている   3. サービス ルート設定の確認 サービス ルート 設定がUIDエージェント サービス用に設定されている場合、グループ マッピング テストは成功しますが、LDAP認証が失敗する可能性があります。それは、Palo Alto Networksデバイスはマネージメント インターフェイスを送信元のインターフェイスとして利用するからです。確かに、Group Mapping はUseriddプロセスが管理していますが、前述したとおり、認証サービスはAuthdプロセスが管理していてこのサービスに対して個別の サービス ルート 設定ができません。もしLDAP認証のリクエストにマネージメント インターフェイスが設定されていない場合、個別のLDAPサーバーIPアドレスを、以下の設定例のように宛先として、 サービス ルート 設定する必要があります。
記事全体を表示
kkondo ‎04-08-2016 11:18 PM
5,481件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Setting Up the PA-200 for Home and Small Office https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-Up-the-PA-200-for-Home-and-Small-Office/ta-p/61838   概要 この文書はホーム オフィス、小規模オフィス向け設定のクイック スタートアップ ガイドです。 訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。   提案の構成に必要な装置 Palo Alto Networks PA-200ファイアウォール. 注: PA-500などの他機種も同様に設定いただけます。 モデム。DHCPによりパブリックIPアドレスをアサインされます。 無線ルーター。典型的なモデルは4ポート以上の有線LANポートと 、1無線LANインターフェイスを持ちます。 RJ-45 UTPストレート ケーブル×3。 注: ギガビット イーサネットを考慮しCAT5eまたCAT6を推奨します。   構成   WebGUIにアクセス UTPケーブルでコンピューターとPalo Alto NetworksファイアウォールのMGTポートを接続します。 コンピューターのイーサネット ポートにIPアドレス 192.168.1.2とサブネットマスク 255.255.255.0を設定します。デフォルト ゲートウェイの設定は必要ありません。  ウェブ ブラウザを開き、https://192.168.1.1 にアクセスします。工場出荷時はN ame: admin、Password: adminでログインできます。   セキュリティー ゾーンの設定 Network > ゾーンに移動し、追加をクリック 3つのゾーンを作成。 Untrust-L3、タイプ レイヤー 3 Trust-L3 、タイプ レイヤー 3 Trust-L2 、タイプ レイヤー 2 各ゾーン設定を行うと、下記のスクリーン ショットのように表示されます。   ISPモデムとファイアウォールとの接続 ISP提供のモデムとPalo Alto Networksファイアウォールの ethernet1/1 をUTPケーブルで接続します。 WebGUI上にてNetwork > インターフェイス に移動し、ethernet1/1を設定します。 ethernet1/1をクリックし、Ethernet インターフェイス画面が開きます。 インターフェイス タイプをレイヤー 3に設定します。 仮想ルーターをdefaultに設定します。 セキュリティ ゾーンをUntrust-L3に 設定します。 IPv4に移動します。 ISPがDHCPで自動的にクライアントに設定を配布するモデムを提供している場合、タイプをDHCPクライアントに設定してください。 注:"サーバー提供のデフォルト ゲートウェイを指すデフォルト ルートを自動的に作成"を有効にすると、仮想ルーター'default'にデフォルト ルートが作成されます。 ISPが手動で固定の設定をする必要があるモデムを配布している場合、固定IPアドレス、サブネット マスクを設定します。  設定例: 次に Network > 仮想ルーター > 'default' > スタティック ルート > IPv4に移動し、ISPのネクスト ホップを指す静的ルートを作成します。 設定例: 注: スクリーン ショット上のIPアドレスは例となります。ISPにより指定されたIPアドレスを設定してください。   無線ルーターとの接続 一般的な推奨事項 二重での送信元NATを避けるため、無線ルーターのWAN側またはインターネット用ポートは使用しないでください。それによって事実上アクセス ポイント モードとして使用することとなります。 無線LANルーターのDHCPサーバー機能は無効にしてください。DHCPサーバーはファイアウォールの'vlan'インターフェイスに設定します。 無線ルーターの管理用IPアドレスとして、 192.168.1.253を設定してください。 無線ルーターのポートの一つを、 Palo Alto Networksファイアウォールのethernet 1/2ポートに接続します。   VLAN Objectの作成 Network > VLANに移動し、追加をクリック。 名前を入力して、さらにVLANインターフェイスで'v'を入力してvlanを選択してください。    レイヤー 2ポートとVLAN Objectの設定 Network > インターフェイスに移動し、各ethernet1/Xを設定します。 Go to Network > Interfaces > Ethernet. ethernet1/2, ethernet1/3 and ethernet1/4 インターフェイスで下記の設定をしてください。 インターフェイス タイプ:レイヤー 2 Netflowプロファイル:None VLAN:VLAN Object セキュリティ ゾーン:Trust-L2   VLANインターフェイスの設定 Network > インターフェイス > VLAN に移動し 、以下を設定。 設定 タブ VLAN:VLAN Object 仮想ルーター:default セキュリティー ゾーン:Trust-L3 IPv4 タブ 追加をクリックして 192.168.1.254/24を入力。   DHCPサーバーの設定 Network > DHCP > DHCP サーバーに移動します。 追加をクリックします。 DHCPサーバー設定を以下のスクリーン ショットを参考に編集します。 ISPが DHCPで自動的にクライアントに設定を配布するモデムを提供している場合、ファイアウォールのDHCPサーバーはDHCPクライアント機能にて、ISP受信した設定を引き継がせる こと(inherited )が できます。こうしてISPから得られた設定を引き継いで 、 ローカルのネットワークの設定にそれらを受け渡すことができます。 ISPが手動で固定の設定をする必要があるモデムを配布している場合、ローカル ネットワーク用の設定を行います。 注:GoogleによるパブリックDNSサーバー 8.8.8.8と8.8.4.4のアドレスをここでは例として使用しています。しかし、ISPによって提供されるDNSサーバーの設定を推奨します。   セキュリティ プロファイル グループの定義 Objects > セキュリティプロファイル グループに移動し、追加をクリックします。 セキュリティ プロファイル グループを要件に応じて編集します。 注:上記例のプロファイルは、ユーザー様へのご紹介目的で Palo Alto Networksファイアウォールのデフォルト設定を使用しています。実際の設定にあたっては、ここで選択しているプロファイルが、ユーザ様の要件に合致しているかの確認のため、プロファイルに関する設定を十分にレビューされることを推奨します。   インターネット接続セキュリティ ポリシーの設定 Policies > セキュリティに移動し、追加をクリック。 名前と内容を入力。 送信元ゾーンを追加。 宛先ゾーンを追加。 アクションをAllowとし、さらにプロファイルを設定。   インターネット接続用NATポリシーの設定 Policies > NATに移動し、追加をクリック。 名前を入力し、NATタイプでIPv4を選択。 元のパケットにて、送信元ゾーン、宛先ゾーン、宛先インターフェイスを設定。 変換済みパケットにて、以下を設定。 変換タイプ:ダイナミック IPおよびポート アドレス タイプ: インターフェイス アドレス インターフェイス: ethernet1/1   管理IPの設定 Device > セットアップ > 管理に移動し、 以下の管理インターフェイス設定を行います。 IP アドレス ネットマスク デフォルト ゲートウェイ   管理ネットワーク用DNSの設定 Device > セットアップ > サービスに移動します。 DNSサーバーのIPアドレスを入力します。例:Google パブリックDNSの 8.8.8.8および8.8.4.4。 注:これらはファイアウォールにライセンスをインストールする際に、設定されているはずの項目です。もしライセンスがインストールされていないのであれば、ファイアウォールがライセンス サーバーに接続できていない可能性も考えられます。 変更のコミット 変更した設定をコミット操作により、ファイアウォールの実行用の設定(running config)に反映させます。DHCPでのIPアドレス割り当てのため、インターネット モデムの再起動が必要となる可能性があります。   著者:mivald
記事全体を表示
TShimizu ‎04-08-2016 10:58 PM
2,474件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Change the Management IP Address via the Console https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Management-IP-Address-via-the-Console/ta-p/61331   詳細 ユーザー名とパスワードを入力してログインする。デフォルトの場合、 ユーザー名とパスワードは 以下となります。 ユーザー名:admin パスワード:admin   ハイパーターミナルの設定 (訳注:原文はハイパーターミナルを想定した文書ですが、他のターミナルソフトウェアでも同様に設定してください。) bits per second 9600 data bits 8 parity none stop bits 1 flow control none   ログイン後、以下のCLIコマンドを実行。 > configure (コンフィグレーションモードに移行) # set deviceconfig system ip-address 1.1.1.1 netmask 255.255.255.0 default-gateway 1.1.1.2 dns-settings servers primary 4.2.2.2 # commit   著者:jnguyen
記事全体を表示
TShimizu ‎04-08-2016 12:34 AM
2,707件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 How to Factory Reset a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Ar ticles/How-to-Factory-Reset-a-Palo-Alto-Networks-D ...   概要 後述の手順では、Palo Alto Networks デバイスのファクトリー リセット手順を紹介しています。 注釈:PAN-OS 6.0 (もしくは、6.0以降)をご利用で、かつSSHを使用してMaintenance Modeに入る場合、下記のリンクについてもご参照ください。 How to SSH into Maintenance Mode   手順 Palo Alto Networksから提供されているコンソールケーブルを使用し、コンピューターとPalo Alto Networks デバイスを接続します。接続に使用するターミナル ソフトでは、9600,8,n,1の設定を御利用ください。 注釈:御利用のコンピューターに9ピンのシリアル ポートが準備されていない場合、USB ポートを使い、USBシリアル変換ケーブルをご利用ください。 Palo Alto Networks deviceの電源を入れます。 起動中、ターミナル ソフトの画面に、メッセージが出力されます:(下記画面) maintenance modeに入るため、maint と入力します。 maintenance modeに入ると、下記画面が表示されます。 メニューを表示させるため、Enterをクリックします: Factory Reset を選択し、Enter をクリックします: Factory Reset を選択し、Enter をもう一度クリックします。   参考 Admin-Admin not Working After Factory Reset  (英文)
記事全体を表示
kkawachi ‎04-06-2016 05:21 PM
12,854件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Save an Entire Configuration for Import into Another Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Save-an-Entire-Configuration-for-Import-into-Another-Palo/ta-p/61476   概要 後述の手順では、セキュリティポリシーと設定情報の移行手順を紹介しています。 下記が前提条件となります。:   インポート先とエクスポート元のPalo Alto Networks Deviceのハードウェアモデルが共通していること(PA-500 から PA-500, PA-5020 から PA-5020 等) インポート先とエクスポート元のハードウェアモデルが共通していない条件化での設定情報の移行は現状では対応致しておりません。 インポート先とエクスポート元のPalo Alto Networks DeviceのPAN-OSのメジャーバージョンが一致していること (4.1.x から 4.1.x, 5.0.x から 5.0.x等) 設定情報を移行する場合、事前にPAN-OSのメジャーバージョンアップを実施してください。   事前準備 ライセンスキーの検索を実施します。 インポート先とエクスポート元Palo Alto Networks DeviceのPAN-OSのメジャーバージョンが一致していることを確認し、かつAntiVirus、Application and Threat database,AntiVirusのバージョンが同じものをインストールします。 手順 エクスポート元のPalo Alto Networks Device上で、Named Configuration Snapshotを保存します。 GUIのDevice > Setup > Operationsの順にクリックし、"Save named configuration snapshot."を選択します。: CLIで実施する場合、 下記のように行います。: > configure # save config to 2014-09-22_CurrentConfig.xml # exit > エクスポート元のPalo Alto Networks Device上で、Named Configuration Snapshotをエクスポートします。 GUIのDevice > Setup > Operationsの順にクリックし、  "Export named configuration snapshot"を選択します。: CLIで実施する場合、 下記のように行います。: > scp export configuration [tab for command help] 例: > scp export configuration from 2014-09-22_CurrentConfig.xml to username@scpserver/PanConfigs 注意: username@scpserverの後ろに指定している'/'は、エクスポートした設定ファイルを保存するユーザーのホームディレクトリとの区切り文字です。'//'を指定した場合、エクスポートした設定ファイルはRootディレクトリに保存されることになります。 Palo Alto Networks Deviceを交換する場合、Palo Alto Networks support portalを使用し。最初にエクスポート元のPalo Alto Networks Deviceのシリアルから、インポート先のPalo Alto Networks Deviceのシリアルにライセンスの移行を行います。 次に、インポート先のPalo Alto Networks Device上でManagement Interface にエクスポート元のPalo Alto Networks Deviceと同じIPアドレス/デフォルトゲートウェイを指定します。Management Interfaceからインターネットにアクセス可能なことを確認します。 ライセンスファイルを取得します。 インポート先とエクスポート元の Palo Alto Networks Device の PAN-OS のメジャーバージョンが一致していることを確認し、かつ AntiVirus、Application and Threat database のバージョンが同じものがインストールされていることを確認します。 インポート先のPalo Alto Networks Device上で、 2でエクスポートした設定情報をインポートします。 GUIのDevice > Setup > Operationsの順にクリックし、"Import named configuration snapshot"を選択します。: CLIで実施する場合、 下記のように行います。: 例: > scp import configuration username@scpserver/PanConfigs/ 2014-09-22_CurrentConfig.xml インポートした設定情報をロードします。 GUのDevice > Setup > Operations の順にクリックし、"Load named configuration snapshot"を選択します。: インポートした設定情報を選択し、OK を押し、commit を行います。 CLIで実施する場合、 下記のように行います。: > configure # load config from 2014-09-22_CurrentConfig.xml # commit # exit >   See Also 設定情報のバックアップの詳細情報については、ご利用のPAN-OSのAdministrator's Guideをご参照ください。 :Documentation.  
記事全体を表示
kkawachi ‎04-04-2016 09:48 PM
7,777件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Install a Chained Certificate Signed by a Public CA https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Install-a-Chained-Certificate-Signed-by-a-Public-CA/ta-p/55523   概要 Palo Alto Networks 次世代ファイアウォールを設定する際、信頼された公的な証明機関(CA)によって署名された証明書を以下の用途に使うことができます: Captive Portal ("CP") ページ レスポンス ページ GlobalProtect ("GP") ポータル 多くの公的CAはチェーン証明書を使用します。チェーン証明書では、証明書がルート証明書自身によって署名されているのではなく、一つ以上の中間証明書によって署名されています。これらは主に同じCAによって所有され運用されますが、こうすることによって柔軟性を持たせ、何か問題が起きたときに証明書を失効しやすくなります。   手順 1. 証明書のリクエスト ファイアウォールにインストールされているPAN-OSのバージョンによって、秘密鍵とCSRはOpenSSLなどのサードパーティ プログラムを使用して生成する必要があります。 もしPAN-OS 5.0を使用しているのであれば、以下のドキュメントを参照してください。 How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate   2. 証明書の連結 証明書がルートCAによって署名されない場合、クライアントの信頼済み鍵ストアに中間証明書が既に存在しなければ、中間証明書がクライアントに送信されなければなりません。これを実現するために、CP、GP、またはレスポンスページの証明書に中間証明書が続く形で署名された各証明書を連結します。以下の図は中間証明書が二つの場合の例ですが、中間証明書が一つだけの場合や、複数の場合でも同様のやり方で実現できます。     各証明書を取得する手順は以下の通りです: CAから送られてきた"サーバー証明書"を開きます。 ウィンドウズにおいては証明書のダイアログ ボックスには"全般"、"詳細"、"証明のパス"の三つのタブが存在します。 "証明のパス"をクリックし、一番下から一つ上の証明書をクリックします。 その証明書を開き、詳細タブをクリックします。そしてテキストファイルにコピーします。 そのファイルをBase-64 エンコード X.509 (.CER) フォーマットの証明書として保存します。 同様の手順を一番上のルート証明書以外の全ての証明書に対して行います。 それぞれの .CER 証明書ファイルをプレーン テキスト エディタ (メモ帳など)で開きます。 サーバー証明書を先頭に、各証明書を間を開けずに貼り付けていきます。 拡張子を .TXT または .CER にして保存します。 注: ファイル名に空白文字を含めることはできません。空白文字が存在するとインポートに失敗する恐れがあります。   3. 証明書のインポート 前述の手順で連結した証明書をファイアウォールにインポートします。 PAN-OS 4.1以前のバージョンでは, 秘密鍵をこの証明書と共にインポートする必要があります。詳細は上記手順1を参照してください。OpenSSLでCSRを生成する際に秘密鍵が生成されます。 PAN-OS 5.0においては、秘密鍵は既にファイアウォール上に存在します。証明書のインポートをするためには、以下のドキュメントに書かれた手順を参照してください。 How to Generate a CSR and Import the Signed CA Certificate  
記事全体を表示
ymiyashita ‎04-04-2016 09:42 PM
4,751件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Upgrade PAN-OS on a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-on-a-Palo-Alto-Networks-Device/ta-p/53648   概要 後述の手順では、Palo Alto Networks Deviceの PAN-OS を最新 バージョンにアップグレード する方法を示しています 。   手順 WebGUIにてDevice/Panoramaタブに移動し、左ペインのSoftwareをクリックしてSoftwareページを開きます。 左下にある "Check Now" をクリックするとPalo Alto Networksからリリースされているアップデート可能な最新のソフトウェアの一覧が表示されます。 "Download" をクリックすると該当バージョンのPAN-OSがダウンロードされ、"Install"をクリックすることでインストールされます。以下のベースバージョンに関する注意を参照してください。 ダウンロードサイトから新しいバージョンをインストールするには: インストールするバージョンの "Download" をクリックします。ダウンロードが完了すると、"Downloaded" 列にチェックマークが表示されます。 インストールするバージョンの "Install" をクリックします。 インストールが完了すると、デバイスを再起動するためのプロンプトが表示されます。   手動でソフトウェアをダウンロードし、デバイスにインストールするには: WebブラウザでPalo Alto Networksサポートポータルに移動します。 Software Updates ページに移動し、お使いのデバイスに併せた適切なPAN-OSバージョンをダウンロードしてください。 デバイスのWebUI上で Device > Software に移動し、"Upload" をクリックします。ローカルにダウンロードしたファイルの場所を参照し、OKをクリックしてデバイスにPAN-OSをアップロードします。 "Install from File" をクリックしアップロードしたPAN-OSを選択します。 "OK"をクリックしアップグレードを開始します。  要件: アップグレードを行っている最中に電源が落ちるとデバイスが使用できなくなる可能性があるため、デバイスやPanoramaを信頼性の高い電源に接続してください。 Deviceタブ (PanoramaはPanoramaタブ) のSetup内にある " Save named config snapshot " をクリックすることで現在の設定ファイルをバックアップとして保存してください。 アップグレードに必要な最小Contentバージョンを確認するために、リリースノート内の "Upgrade/Downgrade Procedures"   を確認してください。 Panoramaからデバイスのアップグレードを実施する場合、下部のドキュメントを参照して最初にPanoramaのアップグレードを実行してください。 PAN-OSのアップグレードに伴い、関連ソフトウェア (Global ProtectやUser-ID agent等) のアップグレードが必要な場合があります。確認するためにリリースノート内の "Associated Software Versions chart" を参照してください。 ベースバージョンに関する注意: ベースバージョン (4.1.0、5.0.0、6.0.0、6.1.0などのメジャー/マイナーバージョンにおける最初のリリース) はアップグレードを行うデバイス上で最初にダウンロードされている必要があります。ベースバージョンがダウンロードされており、'ACTION'列が'Install'と表示されていれば、同一ブラン地上の最新バージョンをダウンロードしてインストールすることができます。   例: Palo Alto Networks device をPAN-OS 5.0.5から6.1.6にアップグレードする場合: 注意: 5.0.xから6.1.xへ直接アップグレードすることは出来ません。この場合は5.0.xから6.0.x、6.0.xから6.1.xへと段階的にアップグレードする必要があります。     ベースバージョンの6.0.0のみダウンロードとインストールを行います。インストール完了後、新しいOSを有効にするためPalo Alto Networks device の再起動を行います。     ベースバージョンの6.1.0をダウンロードします。6.1.0のインストールは必要ありません。     ターゲットバージョンとなる6.1.6のダウンロードとインストールを行います。インストール完了後、新しいOSを有効にするためPalo Alto Networks device の再起動を行います。   リリースノート: 新機能や既知の問題、修正済みの問題を含め各リリースにおける変更点の説明を参照するには、ターゲットバージョンの "Release Notes" をクリックします。   古いバージョンの削除方法: 既に実行されていない古いバージョンのPAN-OSについては削除することが出来ます。6.0.6を実行している場合、5.0.x (Firewall) や5.1.x (Panorama) はベースバージョンを含めて削除することが出来ます。 Panorama: Panorama自体のアップグレードを行う場合、手順は上記同様です。 Panoramaを使用して新しいPAN-OSを Palo Alto Networks Device に展開する場合は、詳細を確認するために以下のドキュメントを参照してください。 - How to Install Software Image that was Pushed from Panorama - PAN-OS Software Does Not Appear on Device GUI when Pushed from Panorama - How to use Deployment in Panorama  
記事全体を表示
tsakurai ‎04-04-2016 09:38 PM
6,175件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URLフィルタリングによる特定HTTPSサイトのブロック方法 https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Block-a-Specific-HTTPS-Site-with-URL-Filtering/ta-p/53840   概要 URLフィルタリングは特定のHTTPSサイトをブロックし、同時にその配下のサイトをすべて許可したい場合、いくつかの課題を提示します。 たとえば、"https://public.example.com/extension1/a" はブロックしたいものの、"https://public.example.com/extension1/b" は許可したい場合などです。   セキュリティポリシーとカスタムURLカテゴリを利用する場合、そのサイトの提供する証明書の「発行先」のコモンネーム(Common Name, CN)でしかマッチさせることができません。   Note: PAN-OS 6.0リリースより、 SSLセッションの "Client Hello message"に含まれる SNI(Server Name Indication) でマッチさせることができます。詳細は Resolving URL Category in Decryption Policy When Multiple URLs are Behind the Same IP を参照ください。   以下のスクリーンショットでは、コモンネームが "*.example.com" であることを確認できます。   セキュリティポリシーでは"*.example.com"をブロックできますが、そのサイト全体がブロックされてしまいます。これでは望ましくないので、URLフィルタープロファイル (URL Filtering Profile) を設定する必要があります。しかしながら、URLフィルタープロファイルを利用する場合の問題は、ファイアーウォール上でそのセッション内のURL全体を精査しなければならないことです。セッションはSSLで暗号化されていますので、復号ポリシーを有効にしないと通信内容を確認できません。   SSL復号化は注意して実装する必要があります。もし、まだファイアウォール上でこれが実装されていない場合、必要な通信に対してのみ復号化 (Decryption) を実施します。復号ポリシーには「URLカテゴリ」を設定することができます。復号化では、セキュリティポリシーと同じ理由で、HTTPSサイト上の特定のサブページでブロックが必要なことを知ることができません。復号ポリシーは、提供された証明書の発行先のCNをチェックします。もしこれが設定上のURLカテゴリにマッチした場合、SSLセッションの復号化を実施します。   これは "*.example.com" に対し復号化を実施し、URLフィルタで "public.example.com/extension1/a" 宛ての通信をブロックしたい場合に有用な方法です。 Note: "https://" 部分は上記URLから除外しています   手順 以下の手順を実施することで、このような動作を設定できます: Objects > Custom Objects > URL Category へ移動し、"Example Blacklist" という名前のカスタム URL カテゴリを作成します。そこに「public.example.com/extension1/a」のURLを追加します。 URLリストの頭に「https://」は含めないでください。 Objects > Custom Objects > URL Category で、"Wildcard Blacklist" のカスタム URL カテゴリを作成します。URLリストに「*.example.com」を追加します。 Objects > Security Profiles > URL Filtering に移動し、"Blacklisted HTTPS Sites" という名前の URL Filtering profileを作成します。"Example Blacklist" のカスタム URL カテゴリーのアクションを「block」にします。 (これにより URL Filtering profile の URL Block Categories に追加されます) Policies > Securityに移動し、trust から untrust 宛の通信用に "Deny HTTPS Sites" のポリシーを作成します。アクションは  allow のままで、Profile Settings > Profile Type を選択し、URL Filtering で "Blacklisted HTTPS Sites" のプロファイルを選択します。 Device > Certificate Management > Certificatesへ移動し、"Palo Alto Decryption Trusted" と "Palo Alto Decryption Untrusted" という2つの自己署名 (self-signed) CA 証明書を生成します。 証明書の CN を "Palo Alto Decryption Untrusted" ではファイアウォールの信頼された IP を、 "Palo Alto Decryption Trusted" では任意のものを指定します。 (これらの証明書をエクスポートし、Group Policy等を利用してユーザへプッシュします)。"Palo Alto Decryption Trusted" 証明書を開き、 "Forward Trust Certificate" のチェックを入れます。また、"Palo Alto Decryption Untrusted"  証明書では "Forward Untrust Certificate"にチェックします。 Policies > Decryption へ移動し、"Decrypt Blacklisted Sites" という復号ポリシーを追加します。送信元ゾーンをtrust、宛先ゾーンを untrust、 URL カテゴリに "Wildcard Blacklist"、 オプションでは Action: Decrypt、Type: SSL Forward Proxy とします。 コミット後、 https://public.example.com/extension1/a はブロックされます。    
記事全体を表示
dyamada ‎04-04-2016 01:24 AM
16,143件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SSL Decryption Not Working due to Unsupported Cipher Suites https://live.paloaltonetworks.com/t5/Management-Articles/SSL-Decryption-Not-Working-due-to-Unsupported-Cipher-Suites/ta-p/55543     問題 インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブ サーバー上で正常に機能しません。 同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。     詳細 Palo Alto Networks Deviceでは、以下の5つのcipher suitesをサポートし復号化が可能です。 RSA-AES256-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) RSA-AES128-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) RSA-3DES-EDE-CBC-SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) RSA-RC4-128-MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) RSA-RC4-128-SHA Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)     以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。 > show counter global filter delta yes | match ssl_sess_id_resume_drop   PAN-OS 6.0以降では、 show counter global コマンドでcipher suitesが未サポートかどうか確認できます。 PCAPフィルターを適用し、delta(差分)カウンタを使用: > show counter global filter packet-filter yes delta yes or > show counter global filter delta yes | match "ssl_server_cipher_not_supported"   ... ... ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported     解決方法 ウェブ サーバー上で未サポートのcipher suitesを無効にします。 注:PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。   PAN-OS 6.0 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)   PAN-OS 7.0 TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c) TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)   See Also Palo Alto Networks Supported SSL/TLS Version and Cipher Suites for Web UI    
記事全体を表示
ymiyashita ‎04-03-2016 10:23 PM
3,964件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Test WildFire with a Fake Malicious File https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Test-WildFire-with-a-Fake-Malicious-File/ta-p/60925     概要 WildFireもしくはWF-500の運用を始める際に、マルウェア ファイルのダウンロード検証が求められる場合があります。既知のファイルや信頼できる署名者によって署名されているファイルはWildFireへ送信されないため、Palo Alto Networksはこれを簡単にするテスト手法を提供致します。   以下のリンクをクリックすると、ランダムに生成されたテスト用ファイルをダウンロードすることができます。 http://wildfire.paloaltonetworks.com/publicapi/test/pe
記事全体を表示
ymiyashita ‎04-03-2016 10:22 PM
12,161件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 IPSec VPN Error: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-VPN-Error-IKE-Phase-2-Negotiation-is-Failed-as-Initiator/ta-p/60725   問題 Palo Alto Networks ファイアーウォール と他ベンダーの機器間で拠点間 IPsec VPN (site-to-site IPsec VPN) を設定した際、IKEフェーズ1 は成功しますが、IKEフェーズ2 のネゴシエーションに失敗します。 ikemgr.logの内容を以下のコマンドで確認します。 > tail follow yes mp-log ikemgr.log   以下のエラーが確認されます: ( description contains 'IKE protocol notification message received: INVALID-ID-INFORMATION (18).' ) および IKE phase-2 negotiation is failed as initiator, quick mode. Failed SA: 192.168.1.150[500]-192.168.5.108[500] message id:0x43D098BB. Due to negotiation timeout   解決策 最も良くあるIKEフェーズ2失敗の原因は、Proxy ID の不一致によるものです。 Palo Alto Networksファイアーウォールと他ベンダーの機器上でProxy ID の設定を確認します。 Note: 他ベンダーの機器上では、Proxy ID は アクセスコントロールリスト(アクセスリスト、ACL)と呼ばれる場合があります。 IPsec でネゴシエーションされる暗号化方式についても、両サイドで確認します。
記事全体を表示
dyamada ‎04-01-2016 07:39 AM
3,913件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Client not Connecting https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Client-not-Connecting/ta-p/53185   GlobalProtect 1.2 以上   問題 GlobalProtect クライアントで接続ができません。   以下のログが PanGPA.log 内で出力されます: P 195-T519 Oct 09 18:02:17:24315 Info ( 83): Failed to connect to server at port:4767 P 195-T519 Oct 09 18:02:17:24325 Info ( 460): Cannot connect to service, error: 61 P 195-T519 Oct 09 18:02:17:24330 Debug( 742): Unable to connect to service   原因 これは、PanGPA サービスの接続が同じ端末上の PanGPS サービスへ実施される際に発生する問題です。   解決策 PanGPA サービスは localhost の 4767ポートで通信を待ち受けている必要があります。確認するには以下のコマンドを実施します。   MACの場合 : netstat -an | grep 4767 tcp4 0 0 127.0.0.1.4767 *.* LISTEN   Windowsの場合 : netstat -an | find "4767" TCP    127.0.0.1:4767         0.0.0.0:0              LISTENING   4767ポートでの待ち受けが確認できない場合、サービスは正しく起動していません。PanGPS.log の内容を確認したり、OS上で競合状態等が発生してないかを確認します。   もし4767ポートでの待ち受けが確認できた場合、TELNETコマンドで接続性を確認します。(telnet 127.0.0.1:4767)  TELNET接続に失敗する場合、端末上のファイアーウォール機能が通信を破棄していないか確認します。ファイアーウォール機能を一時的に無効にしてテストを実施することも検討します。
記事全体を表示
dyamada ‎04-01-2016 07:36 AM
5,607件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community