ナレッジドキュメント

告知
Attention: Our Customer Support Portal (CSP) is currently experiencing intermittent login disruptions, and we are actively working towards a solution. We appreciate your patience and apologize for any inconvenience this may cause.
※この記事は以下の記事の日本語訳です。 How to enable email link forwarding with WildFire https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-enable-email-link-forwarding-with-WildFire/ta-p/62034     PAN-OS 6.1   概要 PAN-OS 6.1 以降のバージョンのPalo Alto Networksファイアウォールにおいて、SMTPとPOP3のプロトコルを使って送受信される電子メールに含まれるHTTPおよびHTTPSのリンクを抽出する機能が追加されています。これにより、抽出したリンクをファイアウォールからWildFireに転送し解析するように設定することができます。リンクが転送されると、WildFireによってリンク先のサイトが悪意のある振る舞いを行うかどうか検査されます。WildFireによってそのリンクが悪意のあるものだと判定されると、電子メールのヘッダ情報と共に詳細なレポートが作成されファイアウォールに送られます。また、そのURLはPAN-DBにMalwareカテゴリとして追加されます。   注:この機能はWildFireクラウドでのみサポートされています。WF-500アプライアンスではサポートされていないため、email linkを転送したり解析したりすることはできません。   以下のリストはこの機能をフルに活用するための必要条件です。 WildFireサブスクリプションが有効である WildFireのシグネチャ更新がダウンロードおよびインストールに設定されている(最小の設定は15分ごと) PAN-DBを使用しており、URLフィルタリング プロファイルでMalwareカテゴリをblockするように設定されている   手順 Device > セットアップ > WildFire に移動し、WildFireサーバーとしてWildFireクラウドが設定されていることを確認します。 ファイル ブロッキング プロファイルを作成し、ファイル タイプに'email-link'を含めます。 より詳細について、次のビデオも参照してください。Video Link : 1287 作成したファイル ブロッキング プロファイルをセキュリティ ルールに適用します。 電子メールのヘッダ情報をWildFireクラウドに送信するように設定します。 Device > セットアップ > WildFire へ移動し、セッション情報送信項目設定 (Session Information Settings) の編集アイコンをクリックします。 注: より詳細については、 Wildfire Administrator Guide 6.1 (40ページ目) を参照してください。(訳注:2016年4月時点でリンクが切れています。) "電子メール送信者" (Email sender)、"電子メール受信者" (Email recipient)、"電子メール件名" (Email subject) を選択します。 設定をコミットします。   著者: jwebb
記事全体を表示
ymiyashita ‎04-14-2016 10:14 PM
2,698件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure DNS Proxy on a Palo Alto Networks Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Proxy-on-a-Palo-Alto-Networks-Firewall/ta-p/61619   概要 本文では Palo Alto Networks ファイアウォールにおける DNS Proxy 有効、設定、確認方法について記述しています。   手順 Webユーザーインターフェイス画面上: Network > DNS Proxyを選択 Add をクリックし、 DNS Proxy 設定画面を表示します。 DNS proxy を有効化するインターフェイスを選択します。下の図例では、 Ethernet 1/2 と 1/3 が選択されています。 ファイアウォールから DNS クエリーが転送される、プライマリーとセカンダリー サーバーが設定されています。 プライマリー サーバー 10.0.0.246 が設定されています。 静的エントリーを DNS Proxy に追加することができます。 FQDN と相対する Address 情報を Static Entries タブに追加します。 Palo Alto Networksファイアウォールは DNSサーバー からの結果を保持するかどうか設定できます。 DNSサーバー からの結果を保持する設定については、How to Configure Caching for the DNS Proxy を参照ください。 注意 : DNSエントリーが過去の結果から得られない場合、 Domain の検索が静的エントリー リストに対して実行されます。合致したエントリーが見つかった場合、それに応じたアドレスが提供されます。もし合致したエントリーがない場合、 DNS query の送信元が DNS Proxy が設定されたインターフェイスの場合(この設定例では Ethernet 1/2 か 1/3 になります)、 DNS リクエストは設定されたプライマリーかセカンダリー サーバーに送られます。 DNS Proxy Rulesタブでは、ルールを設定することができます。 Palo Alto Networks ファイアウォールでは、ドメイン名によって転送するプライマリーとセカンダリー サーバーを個別に設定ができます。以下の設定例では、 DNS proxy ルールにおいて、 techcrunch.com ドメイン名については、 DNS サーバー( 10.0.0.36 )に送付されます。 注意 : Palo Alto Networksファイアウォールはリバース DNS proxy ルックアップを実行できます。クライアント側で、 DNS proxy 設定されいてるインターフェイスの IP アドレスがクライアントに設定されている DNSサーバー で設定されている必要があります。   CLIによる設定 : > configure # set network dns-proxy dnsruletest interface ethernet1/2 enabled yes # set network dns-proxy dnsruletest default primary 10.0.0.246 # set network dns-proxy dnsruletest static-entries tss domain xyx.com address 1.1.1.1 # set network dns-proxy dnsruletest domain-servers test cacheable no primary 10.0.0.246 domain-name yahoo.com # commit   設定確認 DNS Proxyの設定は以下のコマンドにて確認します。 > show dns-proxy statistics all   Name: dnsruletest Interfaces: ethernet1/2 ethernet1/3 ethernet1/4 Counters:   Queries received from hosts:12   Responses returned to hosts:12   Queries forwarded to servers:6   Responses received from servers:6   Queries pending:0     TCP:0     UDP:0 --------------------------------------   > show dns-proxy cache all   Name: dnsruletest Cache settings:   Size:1024 entries   Timeout:14400 seconds                               Domain                 IP/Name                 Type  Class     TTL       Hits -------------------------------------------------- ---------------------------- 2.2.2.4.in-addr.arpa   b.resolvers.l evel3.net   PTR    IN      60598      1   さらなる解析情報として、 dnsproxyd.log を参照ください。 > tail follow yes mp-log dnsproxyd.log   デフォルトの動作として同じゾーンの通信は許可します。しかし "deny all" ルールが存在していると、セキュリティー ルールで通信を許可する必要があります。 DNS トラフィックを許可するセキュリティー ルールを追加してください。   注意 : DNS Proxyルールはマネージメント インターフェイスからの通信には適応されません。 例えば、マネージメント インターフェイスから DNS Proxy に定義されているエントリーに Ping した場合、 DNS Proxy ルールは適応されず、 DNSサーバー からのエントリーが使用されます。   参考 Not authorized to view the specified document 3522 Blocking Suspicious DNS Queries with DNS Proxy Enabled  
記事全体を表示
kkondo ‎04-11-2016 10:44 PM
7,612件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Active Directory Server Profile for Group Mapping and Authentication https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Active-Directory-Server-Profile-for-Group/ta-p/58089   概要 Palo Alto NetworksはLDAPブラウザーを使って、正確なLDAP情報を確認することを推奨します。   正確なバインド情報の見つけ方 バインドDNを検索するには、AD サーバーのコマンド ラインにて、以下のコマンド(例:ユーザー名 test1)実行します。 dsquery user -name test1 以下の例ではバインドDN "CN=test1, OU=outest2, OU=outest, DC=pantac2, DC=org" が返答されます。   または、バインドDNを検索するためにLDAPブラウザを使用することもできます。   ベースDNはLDAPディレクトリー構造で、PANがユーザー情報を検索する起点です。 バインドDNで使用するユーザーは、認証のために情報を検索するために使用するものです。   注意 : アクティブ ディレクトリー(AD)では空白のフォルダー アイコンはコンテナ (CN) 、通常のフォルダーは組織(OU)を表します。     この例では、adminアカウントがUsersコンテナにある場合、バインドDN情報はcn=admin,cn=users,dc=pantac2,dc=orgとなります。   次の例ではtest1アカウントがOUtest2組織ユニット(OU)に存在します。そしてOUtest2はOUtestの中にいます。   LDAP設定 Device > Server Profile> LDAP   上記の例ではアクティブ ディレクトリー(AD)の接続にSSL暗号化は使用されません。TCP ポート389はLDAP接続で非暗号化接続の標準ポートです。以下は、TCP ポート636(SSL暗号化)設定例です。   LDAP情報 Domain: paloalto (NETBIOS名かWindows 2000以前のドメイン名です。詳しくは What Should be Configured as Domain in an LDAP Profile? をご参照ください) Type: active-directory Base DN: DC=paloalto, DC=com Bind DN: CN=PAadmin, OU=Users, DC=paloalto, DC=com   グループ マッピング プロファイル設定 Device > User Identification> Group Mapping Settings: 許可リストのグループ化タブをクリックします。 左パネルにあるBase情報左の”+”をクリックすると、検索をかけたいグループ情報一覧が表示されます。 グループ リストから、ファイアウォール上のポリシーで使用したい"cn="で始まるグループを選択し、画面中央の”+”で右側の含まれたグループに追加します。 注意!含まれた グループに何も選択しない場合、アクティブ ディレクトリー(AD)上のすべてのグループがけ検索対象になり、負荷をかける原因になることがあります。 コミットを実行します。 CLIでLDAP serverとの接続を確認するコマンドは以下になります。 > show user group name all   LDAP認証の設定 Device > 認証プロファイル 認証 プロファイルで、クエリ検索をかけたいグループを追加します。 このプロファイルは、Captive Portal、Global Protect、ユーザー ログイン、その他ファイアウォールで使用する認証で使用することができます。 許可リストのグループが異なる場合は、別の認証プロファイルを作成し違う目的で使用することができます。
記事全体を表示
kkondo ‎04-08-2016 11:42 PM
5,595件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Troubleshoot LDAP Authentication https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Troubleshoot-LDAP-Authentication/ta-p/61818   概要 この文章では、次のようなLDAP認証上でのトラブルについてどのように問題を切り分けるかを記載します。 LDAP認証が、デバイスの管理者アクセス、Captive Portal、GlobalProtectに対して設定されていますが、認証が常に失敗します。   この問題の予備知識: LDAPサーバーはMicrosoft Active Directoryサーバーを使用 許可リストは設定された認証プロファイルで設定されていません( 許可リスト の使用を前提にすると他の問題を推考してしまうため、この文章では対象外とします)   手順 認証のプロセスは、管理プレーン上のauthdプロセスによって動作します。すべてのデバッグ ログはmp-logのauthd.logに出力されます。 1.   LDAPサーバー プロファイルを確認します。 # show shared server-profile ldap ldap {   ad2008 {     server {       myadserver {         port 389;         address 10.0.0.10;       }     }     ldap-type active-directory;     base DC=panw,DC=dom;     bind-dn admin@panw.dom;     timelimit 30;     bind-timelimit 30;     bind-password -AQ==LEkLjmi5LnnONEwl89h/wpfRI0Y=AgBprzhy+CcbuOsMV p+mJg==;     ssl no;   } }   1.1   TCPポートの389番が一般的なLDAP通信では使われます。389番ポートを使用する場合、必ずSSL設定がされていない (ssl no;)ことを確認してください。 仮にSSLが有効だと、LDAPサーバー側でLDAPSがサポートされていること、そしてTCPポートの636番(LDAPSのデフォルトポート)が設定されたサーバー プロファイルで設定されていることをご確認ください。 # show shared server-profile ldap l dap {   ad2008 {     server {       myadserver {         port 636;         address 10.0.0.10;       }     }     ldap-type active-directory;     base DC=panw,DC=dom;     bind-dn admin@panw.dom;     timelimit 30;     bind-timelimit 30;     bind-password -AQ==LEkLjmi5LnnONEwl89h/wpfRI0Y=AgBprzhy+CcbuOsMV p+mJg==;     ssl yes;   } }   1.2   LDAPサーバー プロファイルで、ベースのドロップ ダウンリストから選択されれば(Device > LDAP > LDAP Server Profile)ベースDNはPalo Alto Networks装置から自動的に取得されるはずです。自動取得されたものをLDAPサーバー ベースとして使用することを強く推奨します。.   1.3   LDAPサーバー プロファイルで、ドメイン名を手動で設定することができます。この個所を空白のままにしておくことを推奨します、そうすればPAN-OSは自動的にドメイン名を推測することができます。この設定は、複数のADドメインが存在していて、各々を特定化するために使用されます。   1.4   LDAP接続を確認する方法としては、Group-Mapping 設定をする際にLDAPツリー ブラウザーを参照することです(該当のLDAPサーバーをサーバー プロファイルで選択してください) 上記画面のようにLDAP情報が参照できれば、LDAPサーバー プロファイルは正しく設定されていることを意味します。   2. デバッグ ログauthd.logを確認する authd.logログ出力をCLIの”tail follow yes mp-log authd.log”で確認すると、次のような典型的なログ出力が成功例、失敗例で確認できます。   「認証成功例」 Jan 08 14:00:46 pan_authd_service_req(pan_authd.c:2604): Authd:Trying to remote authenticate user: user1 Jan 08 14:00:46 pan_authd_service_auth_req(pan_authd.c:1115): AUTH Request <'vsys1','adauth','user1'> Jan 08 14:00:46 pan_authd_handle_nonadmin_auths(pan_authd.c:2245): vsys, authprof <vsys1,adauth> doesnot exist in db, trying 'shared' vsys Jan 08 14:00:46 pan_authd_common_authenticate(pan_authd.c:1511): Authenticating user using service /etc/pam.d/pan_ldap_shared_adauth_0,username user1 Jan 08 14:00:46 pan_authd_authenticate_service(pan_authd.c:663): authentication succeeded (0)   「認証失敗例 」 Jan 09 23:21:15 pan_authd_service_req(pan_authd.c:2604): Authd:Trying to remote authenticate user: user1 Jan 09 23:21:15 pan_authd_service_auth_req(pan_authd.c:1115): AUTH Request <'vsys1','adauth','user1'> Jan 09 23:21:15 pan_authd_handle_nonadmin_auths(pan_authd.c:2245): vsys, authprof <vsys1,adauth> doesnot exist in db, trying 'shared' vsys Jan 09 23:21:15 pan_authd_common_authenticate(pan_authd.c:1511): Authenticating user using service /etc/pam.d/pan_ldap_shared_adauth_0,username user1 Jan 09 23:21:21 pan_authd_authenticate_service(pan_authd.c:663): authentication failed (6) Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1531): Authenticating user using service /etc/pam.d/pan_ldap_shared_adauth_0,usename user1 failed - trying other hosts Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1506): Skipping LDAP server due to missing Auth-Profile: pan_ldap_shared_adauth_1 Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1506): Skipping LDAP server due to missing Auth-Profile: pan_ldap_shared_adauth_2 Jan 09 23:21:21 pan_authd_common_authenticate(pan_authd.c:1506): Skipping LDAP server due to missing Auth-Profile: pan_ldap_shared_adauth_3 Jan 09 23:21:21 authentication failed for user <shared,adauth,user1> Jan 09 23:21:21 pan_authd_process_authresult(pan_authd.c:1258): pan_authd_process_authresult: user1 authresult not auth'ed Jan 09 23:21:21 pan_authd_process_authresult(pan_authd.c:1282): Alarm generation set to: False. Jan 09 23:21:21 User 'user1' failed authentication.  Reason: Invalid username/password From: 192.168.0.17   これらのログ出力は認証失敗したとても一般的な出力で、他の問題と混同しがちです。 同様のログ出力は、様々なケースで見受けられます。 LDAPサーバーに接続できない(サービス ルート設定を確認) 存在しないLDAPサーバーを設定している ユーザ名もしくは、パスワード、その両方が間違っている サーバー プロファイル設定のバインドDNフォーマットもしくはパスワード、その両方が間違っている   3. サービス ルート設定の確認 サービス ルート 設定がUIDエージェント サービス用に設定されている場合、グループ マッピング テストは成功しますが、LDAP認証が失敗する可能性があります。それは、Palo Alto Networksデバイスはマネージメント インターフェイスを送信元のインターフェイスとして利用するからです。確かに、Group Mapping はUseriddプロセスが管理していますが、前述したとおり、認証サービスはAuthdプロセスが管理していてこのサービスに対して個別の サービス ルート 設定ができません。もしLDAP認証のリクエストにマネージメント インターフェイスが設定されていない場合、個別のLDAPサーバーIPアドレスを、以下の設定例のように宛先として、 サービス ルート 設定する必要があります。
記事全体を表示
kkondo ‎04-08-2016 11:18 PM
4,892件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure High Availability on PAN-OS https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-High-Availability-on-PAN-OS/ta-p/54086 訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。   概要 本ドキュメントでは、Palo Alto Networksファイア ウォールの高可用性設定手順を記載しています。 注:  本ドキュメントはPA-200デバイスの高可用性設定には該当しません。   手順 プライマリ機を設定します "Network" > "インターフェイス" へ移動します。 注: HAのリンクは以下のスクリーンショットのようになります。 使用しようとしているHAリンクがアップしている状態であることを確認してください。 インターフェイス タイプがどちらもHAになっていることを確認してください。 PA-3000, PA-4000 または PA-5000 Series のデバイスのペアを設定する場合は、上記の手順はスキップしてください。VM-Seriesを含むその他の ファイアウォールでは、特定のポートをHAタイプとして設定する必要があります。 "高可用性" > "全般" へ移動します。 注: セットアップ セクションで設定変更を行います。 右上の 歯車(編集)ボタンを押してください。 HAの有効化にチェックをいれます。 HAの2台の機器で共通となるグループIDを入力します。 ピアのIPアドレスを入力します。このアドレスは以降の手順で使用します。 設定の同期化の有効化にチェックを入れます。 グループIDはL3インスタンスの仮想MACを生成する際に使われます。もし1つ以上のクラスタが同一のL 2ネットワークに存在する場合、IDはクラスタ毎に異なる必要があります。 ピアHA IPアドレスには、ネットワーク内で現在使われていない任意のIPアドレスを使用することができます。 もしポート数に十分な空きがあれば、"バックアップ側 ピア HA IP アドレス" の設定を推奨します。 "全般" タブにある "コントロール リンク (HA1)" をクリックします。 注: コントロールリンクとして、一つ目のHAインターフェイスを選択します。 手順2で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。 コントロール リンクが対向の機器に直接繋がっていない場合、暗号化(AES-256)を使うことも可能です。 コントロール リンクが異なるブロードキャスト ドメインにある場合は、ゲートウェイの設定のみ必要です。 "全般" タブにある "データ リンク (HA2)" をクリックします。 注:転送の設定 データリンクで使用するために二つ目のHAインターフェイスを選択します。 データリンク用のIP情報を設定します。 有効化のチェックボックスにチェックを入れます。 Ethernet: ファイアウォールが直接繋がっている場合、またはスイッチ(Ethertype 0x7261) 経由で繋がっている場合に使用します。 IP: レイヤー3転送が必要な場合に使用します。(IPプロトコル番号は99です)。 UDP: IPオプション(UDP port 29281)にてヘッダだけではなくパケット全体に対してチェックサムの計算をする場合、アドバンテージと して使うことが可能です。 "全般" > "選択設定" にある歯車マークをクリックします。 どちらかのファイアウォールがアクティブになるように設定するにはプリエンプティブを両方のファイアウォールで有効にしデバイス優先度を設定します。 デバイス優先度で設定された値が小さい方のデバイスがアクティブになります。 その他の設定項目に関しては、右上の"?"ボタンを押してヘルプを参照してください。 セッション同期が有効になっている場合、セッション テーブル、フォワーディング テーブル、ARPテーブル、VPN Security Associations (SA) はHA2を用いてアクティブ機からコピーされます。パッシブ機が引き継いだ際には、既存のセッションは継続します。 プライマリとセカンダリ間で管理インターフェイスを用いた接続が可能であれば、管理インターフェイスでpingを行うハートビート バックアップを有効にすることを推奨します。 設定をコミットします。 この時点で、全てのレイヤー3インターフェイスは新しい (共通) MACアドレスを取得します。それぞれのレイヤー3インターフェイスに接続されているスイッチに対し、新し いIPアドレスとMACアドレスの組み合わせをgratuitous ARPによって数回通知します。 プライマリ機がアクティブであることを確認します。 以下のように、ローカルはアクティブと表示され、ピアはunknownと表示されます。 ダッシュボードへ移動します。 高可用性ウィジットを追加します。 "ウィジット" > "システム" > "高可用性" セカンダリ機を設定します。 手順1を参照し、プライマリ機のHAリンクと通信するための二つのHAリンクを、セカンダリ機において も設定します。 セカンダリ機の "Device" > "高可用性" > "全般" へ移動し、HAの有効化にチェックを入れます。(手順2を参照) プライマリ機と同じグループIDを設定します。 プライマリ機のコントロール リンクに設定したIPアドレスを入力します。 設定の同期化の有効化にチェックを入れます。 "全般" タブにある "コントロール リンク (HA1)" をクリックします。 注:プライマリ機にて暗号化を有効にした場合は、ここでも暗号化を有効にします。 セカンダリ機のコントロール リンクのために使用する一つ目のHAインターフェイスを選択します。 手順8で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。 "全般" タブにある "データ リンク (HA2)"をクリックします。 データ リンクとして使用する二つ目のHAインターフェイスを選択します。 データ リンク用にIP情報を設定します。 有効化のチェックボックスにチェックを入れます。 転送のドロップ ダウンの設定がプライマリ機の設定と同じことを確認してください。 プリエンプティブの設定を除き、プライマリ機の選択設定と同じ設定を行います。 この設定では、プリエンプティブは無効になっています。 プリエンプティブを有効にします。 デバイス優先度を設定します。値が大きい程、優先度は低くなります。 セカンダリ機において、変更をコミットします。 プライマリ機に移動します。 ローカルがアクティブで、ピアがパッシブであることを確認します。 全てのダイナミック更新が同期されていることを確認します。 この例は、アンチウィルスとGlobalProtectが同期されていない状態を示しています。 必要に応じてアップデートを行います。全てがマッチすると以下のようになります。 両方のデバイスにおいて全てがマッチしたら、アクティブ機のダッシュボードへ移動し、"ピアと同期" をクリック します。"synchronization in progress"と表示されます。 セカンダリ (パッシブ) 機のCLIにて、HAの同期プロセスを以下のコマンドで確認します。 > show jobs all 最初の二回のHAの同期は失敗しています。原因を特定し問題を解決します。 失敗したジョブの詳細を確認するためには、以下のコマンドを実行してください。 > show jobs id <id number of the HA-Sync job> 最初の同期の失敗は、ID 13です。 パッシブ機において"Samir"という名前のセキュリティ ルールが存在し、それによってHAの同期プロセスが失敗しています。このルールは以前にPanoramaか らプッシュされた共有ポリシーです。 このルールを削除し、アクティブ機のダッシュボードより再度ピアへの同期を開始します。今回はジョブが正常 に終了しました。 高可用性が設定されました。 リンク モニタリングとパス モニタリングを設定します(任意): "Device" > "高可用性" > "リンクおよびパスのモニタリング" タブへ移動します。 この例では全てのリンクをモニターします。つまり、もしいずれかのリンクがアクティブ機でダウンした場合、 フェイルオーバーが発生します。 この例では、パス モニタリングは設定されていません。 リンクおよびパスのモニタリングのヘルプを参照するためには、タブの右上にある"?"ボタンをクリックして ください。    
記事全体を表示
ymiyashita ‎04-08-2016 11:00 PM
11,354件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Setting Up the PA-200 for Home and Small Office https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-Up-the-PA-200-for-Home-and-Small-Office/ta-p/61838   概要 この文書はホーム オフィス、小規模オフィス向け設定のクイック スタートアップ ガイドです。 訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。   提案の構成に必要な装置 Palo Alto Networks PA-200ファイアウォール. 注: PA-500などの他機種も同様に設定いただけます。 モデム。DHCPによりパブリックIPアドレスをアサインされます。 無線ルーター。典型的なモデルは4ポート以上の有線LANポートと 、1無線LANインターフェイスを持ちます。 RJ-45 UTPストレート ケーブル×3。 注: ギガビット イーサネットを考慮しCAT5eまたCAT6を推奨します。   構成   WebGUIにアクセス UTPケーブルでコンピューターとPalo Alto NetworksファイアウォールのMGTポートを接続します。 コンピューターのイーサネット ポートにIPアドレス 192.168.1.2とサブネットマスク 255.255.255.0を設定します。デフォルト ゲートウェイの設定は必要ありません。  ウェブ ブラウザを開き、https://192.168.1.1 にアクセスします。工場出荷時はN ame: admin、Password: adminでログインできます。   セキュリティー ゾーンの設定 Network > ゾーンに移動し、追加をクリック 3つのゾーンを作成。 Untrust-L3、タイプ レイヤー 3 Trust-L3 、タイプ レイヤー 3 Trust-L2 、タイプ レイヤー 2 各ゾーン設定を行うと、下記のスクリーン ショットのように表示されます。   ISPモデムとファイアウォールとの接続 ISP提供のモデムとPalo Alto Networksファイアウォールの ethernet1/1 をUTPケーブルで接続します。 WebGUI上にてNetwork > インターフェイス に移動し、ethernet1/1を設定します。 ethernet1/1をクリックし、Ethernet インターフェイス画面が開きます。 インターフェイス タイプをレイヤー 3に設定します。 仮想ルーターをdefaultに設定します。 セキュリティ ゾーンをUntrust-L3に 設定します。 IPv4に移動します。 ISPがDHCPで自動的にクライアントに設定を配布するモデムを提供している場合、タイプをDHCPクライアントに設定してください。 注:"サーバー提供のデフォルト ゲートウェイを指すデフォルト ルートを自動的に作成"を有効にすると、仮想ルーター'default'にデフォルト ルートが作成されます。 ISPが手動で固定の設定をする必要があるモデムを配布している場合、固定IPアドレス、サブネット マスクを設定します。  設定例: 次に Network > 仮想ルーター > 'default' > スタティック ルート > IPv4に移動し、ISPのネクスト ホップを指す静的ルートを作成します。 設定例: 注: スクリーン ショット上のIPアドレスは例となります。ISPにより指定されたIPアドレスを設定してください。   無線ルーターとの接続 一般的な推奨事項 二重での送信元NATを避けるため、無線ルーターのWAN側またはインターネット用ポートは使用しないでください。それによって事実上アクセス ポイント モードとして使用することとなります。 無線LANルーターのDHCPサーバー機能は無効にしてください。DHCPサーバーはファイアウォールの'vlan'インターフェイスに設定します。 無線ルーターの管理用IPアドレスとして、 192.168.1.253を設定してください。 無線ルーターのポートの一つを、 Palo Alto Networksファイアウォールのethernet 1/2ポートに接続します。   VLAN Objectの作成 Network > VLANに移動し、追加をクリック。 名前を入力して、さらにVLANインターフェイスで'v'を入力してvlanを選択してください。    レイヤー 2ポートとVLAN Objectの設定 Network > インターフェイスに移動し、各ethernet1/Xを設定します。 Go to Network > Interfaces > Ethernet. ethernet1/2, ethernet1/3 and ethernet1/4 インターフェイスで下記の設定をしてください。 インターフェイス タイプ:レイヤー 2 Netflowプロファイル:None VLAN:VLAN Object セキュリティ ゾーン:Trust-L2   VLANインターフェイスの設定 Network > インターフェイス > VLAN に移動し 、以下を設定。 設定 タブ VLAN:VLAN Object 仮想ルーター:default セキュリティー ゾーン:Trust-L3 IPv4 タブ 追加をクリックして 192.168.1.254/24を入力。   DHCPサーバーの設定 Network > DHCP > DHCP サーバーに移動します。 追加をクリックします。 DHCPサーバー設定を以下のスクリーン ショットを参考に編集します。 ISPが DHCPで自動的にクライアントに設定を配布するモデムを提供している場合、ファイアウォールのDHCPサーバーはDHCPクライアント機能にて、ISP受信した設定を引き継がせる こと(inherited )が できます。こうしてISPから得られた設定を引き継いで 、 ローカルのネットワークの設定にそれらを受け渡すことができます。 ISPが手動で固定の設定をする必要があるモデムを配布している場合、ローカル ネットワーク用の設定を行います。 注:GoogleによるパブリックDNSサーバー 8.8.8.8と8.8.4.4のアドレスをここでは例として使用しています。しかし、ISPによって提供されるDNSサーバーの設定を推奨します。   セキュリティ プロファイル グループの定義 Objects > セキュリティプロファイル グループに移動し、追加をクリックします。 セキュリティ プロファイル グループを要件に応じて編集します。 注:上記例のプロファイルは、ユーザー様へのご紹介目的で Palo Alto Networksファイアウォールのデフォルト設定を使用しています。実際の設定にあたっては、ここで選択しているプロファイルが、ユーザ様の要件に合致しているかの確認のため、プロファイルに関する設定を十分にレビューされることを推奨します。   インターネット接続セキュリティ ポリシーの設定 Policies > セキュリティに移動し、追加をクリック。 名前と内容を入力。 送信元ゾーンを追加。 宛先ゾーンを追加。 アクションをAllowとし、さらにプロファイルを設定。   インターネット接続用NATポリシーの設定 Policies > NATに移動し、追加をクリック。 名前を入力し、NATタイプでIPv4を選択。 元のパケットにて、送信元ゾーン、宛先ゾーン、宛先インターフェイスを設定。 変換済みパケットにて、以下を設定。 変換タイプ:ダイナミック IPおよびポート アドレス タイプ: インターフェイス アドレス インターフェイス: ethernet1/1   管理IPの設定 Device > セットアップ > 管理に移動し、 以下の管理インターフェイス設定を行います。 IP アドレス ネットマスク デフォルト ゲートウェイ   管理ネットワーク用DNSの設定 Device > セットアップ > サービスに移動します。 DNSサーバーのIPアドレスを入力します。例:Google パブリックDNSの 8.8.8.8および8.8.4.4。 注:これらはファイアウォールにライセンスをインストールする際に、設定されているはずの項目です。もしライセンスがインストールされていないのであれば、ファイアウォールがライセンス サーバーに接続できていない可能性も考えられます。 変更のコミット 変更した設定をコミット操作により、ファイアウォールの実行用の設定(running config)に反映させます。DHCPでのIPアドレス割り当てのため、インターネット モデムの再起動が必要となる可能性があります。   著者:mivald
記事全体を表示
TShimizu ‎04-08-2016 10:58 PM
2,271件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Portal and Gateway License Requirements https://live.paloaltonetworks.com/t5/Configuration-Articles/GlobalProtect-Portal-and-Gateway-License-Requirements/ta-p/57162   概要 GlobalProtect ポータルおよびゲートウェイが必要となるシナリオを列挙します。   GlobalProtect ポータル ライセンス   PAN-OS 7.0以前: 以下の状況でGlobalProtect ポータル ライセンスが必要となります。 HIPを使用 複数のゲートウェイを設定 内部ゲートウェイを設定 PAN-OS 7.0以降: GlobalProtect ポータル ライセンスは必要ありません。     GlobalProtect ゲートウェイ ライセンス   以下の状況でGlobalProtect ゲートウェイ ライセンスが必要となります。 HIPを使用 iOSまたはAndroid モバイル アプリケーションを使用 GlobalProtect ゲートウェイ ライセンスの要件はPAN-OS version 7.0による変更はありません。   ポータルおよびゲートウェイの高可用性(HA)実装では双方のデバイスに同一のライセンスのインストールが必要です。   参考   GlobalProtect Configuration Tech Note(英文) GlobalProtect Configuration for the IPsec Client on Apple iOS Devices (英文) GlobalProtect Configuration for the IPSec Client on Android Devices(訳注:2016/04/08現在、本記事は参照できません。)   著者:sdarapuneni
記事全体を表示
TShimizu ‎04-08-2016 10:46 PM
6,953件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect/ta-p/58351   GlobalProtect (GP) を実装するための設定:   Palo Alto Networks firewall 上で GlobalProtect クライアントをダウンロードし、アクティベート実行 ポータル設定 ゲートウェイ設定 Trust ゾーンとGlobalProtect クライアント間のルーティング (場合によってはUntrust ゾーンとGlobalProtect クライアント間) Trust ゾーンとGlobalProtect クライアント間のトラフィックを許可するSecurity および NAT ポリシーの設定 オプション: GlobalProtect クライアントからインターネットにアクセスするためのNATポリシー (スプリット トンネリングが無効な場合) iOS および Android デバイスは接続するためにGlobalProtect アプリケーションを使用することができます。   ポータル設定   最初は証明書プロファイルを設定せずにテストされることを推奨します。これは初期設定で意図したとおりに動作しない場合、トラブルシュートを容易にすることを可能にします。正常に設定でき、基本的な認証が成功したら、証明書認証用の証明書プロファイルを追加します。   Portal のIPアドレスは外部のGP クライアントが接続するためのアドレスです。ほとんどの場合、外部インターフェイスを指定し、通常Gateway アドレスも同じIPアドレスとします。   GlobalProtect 接続方式: On-demand: VPN へのアクセスが必要なときに手動で接続する必要があります。 User-logon: ユーザーがマシンにログインするとすぐにVPN が確立されます。SSO を有効にすると、Windows のログオン情報からユーザー資格情報を自動的に取り出し、GP クライアントのユーザーを認証するために使用されます。 Pre-logon: マシンにログインする前にVPN が確立されます。この設定にはマシン証明書が必要になります。 Agent タブはユーザーがGP Agent上での実施可否に関する重要な情報が含まれています。"GlobalProtect の無効化を許可" で "with-comment"と設定した場合、コメントや理由を入力した後、ユーザーがGP Agent を無効化することができます。このコメントはユーザーが次回ログインしたときにシステム ログに表示されます。   "disabled" オプションを選択すると、ユーザーが任意でGP Agent を無効化することから防ぎます。   ゲートウェイ設定 初期設定の際は、基本設定のみを実施されることをお勧めします。全ての設定について確認されたあと、必要に応じてクライアント証明書による認証を追加できます。   サードパーティ製のVPN アプリケーションを使用するデバイスを認証するには、ゲートウェイのクライアントの設定にて " X-Auth サポートの有効化 " をチェックします。グループ名とグループ パスワードを設定する必要があります。   ほとんどの場合、静的な公開IPアドレスを持つファイアウォールのために、継承ソースは"None"に設定します。   ファイアウォールが接続してきたGP クライアントに割り当てるIP アドレスのプールとなるため、IP プール設定の情報は重要です。GP クライアントはローカル ネットワークの一部として考慮される場合であっても、ルーティングを容易にするため、LAN アドレス プールと同じサブネットをIP プールに使用することを推奨しません。送信元が異なるサブネットの場合、 社内 サーバーはゲートウェイにパケットを自動的に送り返します。GP クライアントがLANと同じサブネットからIP アドレスを発行された場合、内部LAN リソースはGP クライアントへの通信をファイアウォール (デフォルトGW) へ向けることはありません。   アクセス ルート アクセス ルートとはGP クライアントが接続することを期待されるサブネットです。ほとんどの場合、これはLAN ネットワークとなります。インターネット向けの通信を含む全ての通信をファイアウォールを通過するように強制するには、全ての通信を意味する "0.0.0.0/0" と設定する必要があります。     "0.0.0.0./0" が設定されている場合、セキュリティ ルールはGP クライアントがアクセスできる社内LANリソースを制御することができます。セキュリティポリシーがGP クライアント ゾーンからUntrust ゾーンへの通信を許可していない場合、GP クライアントからPalo Alto Networks ファイアウォールにSSL VPN経由で接続された際、クライアントは内部リソースのみアクセスすることができ、インターネットへの通信は許可されません。   GlobalProtect クライアントのゾーンとトンネルは他のインターフェイスと同じバーチャル ルーターに含まれている必要があります。
記事全体を表示
tsakurai ‎04-08-2016 10:39 PM
17,405件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Change the Management IP Address via the Console https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Management-IP-Address-via-the-Console/ta-p/61331   詳細 ユーザー名とパスワードを入力してログインする。デフォルトの場合、 ユーザー名とパスワードは 以下となります。 ユーザー名:admin パスワード:admin   ハイパーターミナルの設定 (訳注:原文はハイパーターミナルを想定した文書ですが、他のターミナルソフトウェアでも同様に設定してください。) bits per second 9600 data bits 8 parity none stop bits 1 flow control none   ログイン後、以下のCLIコマンドを実行。 > configure (コンフィグレーションモードに移行) # set deviceconfig system ip-address 1.1.1.1 netmask 255.255.255.0 default-gateway 1.1.1.2 dns-settings servers primary 4.2.2.2 # commit   著者:jnguyen
記事全体を表示
TShimizu ‎04-08-2016 12:34 AM
2,446件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure WildFire https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-WildFire/ta-p/56165   概要   WildFireは、ユーザに悪意のあるアクティビティの有無を自動的に解析する Palo Alto Networks のセキュアかつクラウドベースの、仮想化された環境へファイルを提出することを可能にします。脆弱な環境でそのファイル実行させ、システムファイルを修正する、セキュリティ機能を無効にする、検出を回避するために様々な方法を使用する、などの特定悪意ある行動やふるまいをPalo Alto Networksは監視します。ZIP圧縮されたファイルや HTTP(GZIP) ファイルは検査され、内部の EXE や DLL ファイルを解析対象にすることが可能です。 WildFireポータルでは解析ファイルの解析結果の閲覧が可能で、標的にされたユーザー、利用されたアプリケーション、悪意のあるふるまいが確認できます。WildFireポータルでは、解析結果が利用可能になった際にEメールを送信することもできます。   構成   設定方法: Device > Setup > WildFire タブに移動 default-cloudを選択し、maximum file size を 2MBにする WildFire に転送される情報を指定 Source IP—疑わしいファイルを送信した送信元IPアドレス Source Port—疑わしいファイルを送信した送信元ポート Destination IP—疑わしいファイルが送信された宛先IPアドレス Destination Port—疑わしいファイルが送信された宛先ポート Vsys—マルウェアの可能性が識別されたファイアウォール上のバーチャルシステム Application—ファイル転送に利用されたユーザーアプリケーション User—狙われたユーザ URL—疑わしいファイルに関連するURL Filename—送信されたファイルの名称   デフォルトでは、すべてのオプションが選択されていますが、Wildfireが動作するための必須情報ではありません。選択をはずした情報はWildFireクラウドに送信されません。   復号化ポリシーを利用している場合、WildFireでは暗号化されたファイルのアップロードの有効化が可能 Device > Setup > Content-ID > Enable に移動し“Allow Forwarding of Decrypted Content”を有効化                    デフォルトでは、暗号化されたファイルはWildFireクラウドに転送されません。PAN-OS 6.0では修正されるでしょう。(翻訳者注:要確認) Objects > Security Profiles > File Blocking に移動 ルールを追加. ルール名入力 (英字 31 文字以内) Applications— anyを選択 File Types—exe, dll のファイルタイプを選択 Direction—ファイル転送の方向を選択 (Upload, Download, または Both) Action—設定したファイルタイプを検知した際のアクションを設定 : Forward (ファイルを自動的にWildFireに送信)     作成した File Blocking プロファイルを Policies > Security 内の Wildfire を利用したいルールに適用 OKをクリック 設定をコミット     WildFire CLI コマンド 基本設定完了後、以下のコマンドで接続されたサーバの詳細が確認できます。接続性の確認 : > test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire         wildfire registration:        successful         download server list:        successful         select the best server:      va-s1.wildfire.paloaltonetworks.com   初回のレジストレーションは Active/Pasive 構成の Active ユニット上でのみ実施することができます。   Note: PINGでの接続性確認は実施しないでください。PingリクエストはWildFireサーバでは無効に設定されてます。接続性確認のベストプラクティスとして、サーバの443ポートへTelnetを実施する方法があります。   確認として、もしなんらかのファイルがサーバへ転送されている場合、以下のコマンドを利用します。 > show wildfire status Connection info:         Wildfire cloud:                default cloud         Status:                        Idle         Best server:                  va-s1.wildfire.paloaltonetworks.com         Device registered:            yes         Service route IP address:      10.30.24.52         Signature verification:        enable         Server selection:              enable         Through a proxy:              no Forwarding info:         file size limit (MB):                  2         file idle time out (second):            90         total file forwarded:                  0         forwarding rate (per minute):          0         concurrent files:                      0   "total file forwarded" カウンタでサーバへ転送されたファイルの数が確認できるでしょう。   WildFireログの確認 Monitor > Logs > Data Filtering ページへ移動 :   "data filtering logs" にてファイルのステータスを確認します。 もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。   以下はアクションについての説明です。   Forward データプレーンが潜在的に実行可能ファイルをWildFireが有効化されたポリシー上で検知しています。このファイルはマネジメントプレーン上にバッファされています。 もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。どちらのケースでも、このファイルに対して更なるアクションは実施されておらず、クラウド上にも送信されません (以前に良性であると判断されたファイルに関するセッション情報も送信されません)。これらのファイルに関する情報は WildFire Web ポータルにも記録されません。   どれだけのPEファイルがチェックされたか、クリーンまたはアップロードするために発見されたかについてのカウンタを確認するには、以下のコマンドを実施します: > show wildfire statistics statistics for wildfire DP receiver reset count:                  12 File caching reset cnt:                  12 FWD_ERR_CONN_FAIL                        1 data_buf_meter                            0% msg_buf_meter                            0% ctrl_msg_buf_meter                        0% fbf_buf_meter                            0%   wildfire-upload-success これは、そのファイルは信頼された署名がされておらず、ファイルはまだクラウド上で確認されていないことを意味します。この場合、そのファイル(とセッション情報)は解析ためにクラウド上にアップロードされています。.   wildfire-upload-skip これは、そのファイルがすでにクラウド上で確認されていることを意味します。 もしこのファイルが以前に悪意があると判断されている場合、その悪意があると判断された際のレポートがWildFireサーバ上に表示されす。 もしファイルが悪意のない良性のファイルであると判断されている場合、レポートはWildFireサーバ上では表示されません。   WildFire ポータル WildFire Portal にアクセスするには、https://wildfire.paloaltonetworks.com にアクセスし、Palo Alto Networks のサポートアカウントまたは WildFire アカウントででログインします。ダッシュボードが表示され、WildFire アカウントまたはサポートアカウントに紐づくすべてのファイアウォールからのサマリレポート情報がリストされます。この画面では解析されたファイルの数とどのくらいのファイルが malware、 benign、 または pending と判定されたかが表示されます。     その他の便利なコマンド show wildfire disk-usage debug wildfire dp-status   See Also Not All Files Appear on the WildFire Portal When Logs Show the Wildfire-Upload-Skip Message  
記事全体を表示
dyamada ‎04-08-2016 12:31 AM
10,028件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 How to Factory Reset a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Ar ticles/How-to-Factory-Reset-a-Palo-Alto-Networks-D ...   概要 後述の手順では、Palo Alto Networks デバイスのファクトリー リセット手順を紹介しています。 注釈:PAN-OS 6.0 (もしくは、6.0以降)をご利用で、かつSSHを使用してMaintenance Modeに入る場合、下記のリンクについてもご参照ください。 How to SSH into Maintenance Mode   手順 Palo Alto Networksから提供されているコンソールケーブルを使用し、コンピューターとPalo Alto Networks デバイスを接続します。接続に使用するターミナル ソフトでは、9600,8,n,1の設定を御利用ください。 注釈:御利用のコンピューターに9ピンのシリアル ポートが準備されていない場合、USB ポートを使い、USBシリアル変換ケーブルをご利用ください。 Palo Alto Networks deviceの電源を入れます。 起動中、ターミナル ソフトの画面に、メッセージが出力されます:(下記画面) maintenance modeに入るため、maint と入力します。 maintenance modeに入ると、下記画面が表示されます。 メニューを表示させるため、Enterをクリックします: Factory Reset を選択し、Enter をクリックします: Factory Reset を選択し、Enter をもう一度クリックします。   参考 Admin-Admin not Working After Factory Reset  (英文)
記事全体を表示
kkawachi ‎04-06-2016 05:21 PM
11,276件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 User-ID Agent Setup Tips https://live.paloaltonetworks.com/t5/Configuration-Articles/User-ID-Agent-Setup-Tips/ta-p/54755   User-IDエージェントの要件: 問い合わせ対象のドメインに所属するWindows 2008/2003 Server上で動作させること。User-IDエージェントはADサーバー上で直接動作させられますが、この構成は推奨しておりません。 該当サービスは、User-IDエージェントサーバーに対しローカル管理者権限を持つドメインアカウントとして起動する必要があります。 該当サービスアカウントはセキュリティログを読める権限が必要です。Windows 2008またはそれ以降のドメインでは、“Event Log Readers”の作成済みのグループが有り、エージェントに適用するのに十分な権限が有ります。それ以前のWindowsバージョンでは、該当アカウントにグループポリシーから “Audit and manage security log”権限を付与しなければなりません。アガウントをDomain Administratorsグループのメンバーにすることで、すべての操作に必要な権限が付与できます。 WMIプローブを使用する場合、該当サービスアカウントはクライアントワークステーションの CIMV2名前空間を読む権限が必要です。Domain adminはデフォルトでこの権限を持ちます。 1つのUser-IDエージェントのみ使用する場合、すべてのドメインコントローラーがDiscoveryのリストに含まれていることを確認してください。 ドメインコントローラー(DC)は “successful login”の情報をログに記録していなければなりません。   User-IDエージェントはドメインコントローラの以下のイベントを監視します。 Windows 2003 672 (Authentication Ticket Granted, which occurs on the logon moment), 673 (Service Ticket Granted) 674 (Ticket Granted Renewed which may happen several times during the logon session) Windows 2008 4768 (Authentication Ticket Granted) 4769 (Service Ticket Granted) 4770 (Ticket Granted Renewed) 4624 (Logon Success) アカウントのログオンについて、DCはイベントID 672を認証チケット要求の最初のログオンとして記録します。 関連するログオフのイベントは記録されません。 NetBIOSプローブが有効な場合、監視対象サーバーのファイルサービスやプリントサービスへの接続もエージェントは読み込みます。これらの接続はユーザーとIPのマッピング情報の更新に使用されます。常に新しいイベントが古いイベントによるマッピングを上書きします。 WMIプローブが有効な場合、プローブの間隔はワークステーションの数量を考慮の上、合理的な値となっていることを確認してください。例えば、5000のプローブ対象のホストがある場合、プローブ間隔を10分には設定しないでください。これらの設定はUser-IDエージェント上の User Identification > Setup > [Edit]ボタン > Client Probingにあります。   ワークステーションがローカルでファイアウォール機能を動作させていたり、ドメインのメンバーでない場合など、WMIプローブが失敗するケースが有ります。その場合、該当ワークステーションが起動していて通信を行っていたとしても、キャッシュがタイムアウトすると該当するマッピングは削除されます。確認するにはUser-IDエージェントにて下記のコマンドを実行します。 wmic /node:workstationIPaddress computersystem get username これにより該当するコンピューターに現在ログインしているユーザーが確認できます。 もしワークステーションがWMIプローブに応答しているか確信が持てない場合、マッピングはユーザーのログインによって行われることを考慮し、User-IDキャッシュのタイムアウトを大きめに設定するようにします。この場合、最初のログインイベントからキャッシュのタイムアウト値を超過すると、マッピングはユーサーがログインしていても消去されます。この設定は User-IDエージェント上の User Identification > Setup > [Edit]ボタン > Cacheにあります。   ドメインコントローラーがモニター対象のサーバーの一覧にあることを確認してください。どのドメインコントローラもユーザーの認証が可能なため、もし一覧にないものがある場合、すべてのユーザーとIPのマッピングができていないことになります。 ドメインコントローラー上で下記のコマンドを実施して、ドメインコントローラーの一覧が正確であることを確認してください。 dsquery server –o rdn   (DCの一覧を表示します). 既に存在しないDCが一覧にあった場合は、削除してください。 User-IDがトラフィックの送信元となるゾーンで有効になっていることを確認してください。この設定はNetwork > ゾーンにあります。   ファイアウォールにて有用なコマンド エージェントと接続の統計情報のステータス show user user-id-agent state all IPマッピングの表示 show user ip-user-mapping all 特定のIPマッピングと所属グループを含む詳細情報の表示 show user ip-user-mapping ip IPaddress ファイアウォール上にて解析しているグループの表示 show user group list ファイアウォール上にあるグループのメンバーの表示 show user group name “group name”  (DN表記) グループマッピングの削除と再構築 debug user-id clear group “group name” debug user-id refresh group-mapping all   参考 Getting Started: User-ID(英文) How to Configure Agentless User-ID(英文)       著者:jteetsel
記事全体を表示
TShimizu ‎04-06-2016 01:48 AM
2,949件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 List of Applications Excluded from SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/List-of-Applications-Excluded-from-SSL-Decryption/ta-p/62201   以下のアプリケーションはPalo Alto Networks ファイアーウォールにて複合化できません。もしSSL複合化を実施すると、SSLエンジンで失敗し、セッションがシステムによって破棄されます。これらのアプリケーションは、コンテンツをロードする際に、例外設定として追加されることにより、SSLエンジンで複合化させずに素通りさせます。     # Application 1 Whatsapp 2 aim 3 second life 4 wallcooler 5 onepagecrm 6 ea games 7 microsoft update, microsoft product activation 8 yuguu 9 packetix 10 simplify media 11 winamax 12 gotomeeting 13 mozilla 14 live-mesh 15 call anywhere 16 sugarsync 17 rift 18 zubodrive 19 paloalto-url-cloud 20 paloalto-wildfire-cloud 21 telex 22 apple-icloud, apple-appstore, itunes-appstore 23 onlive 24 apple push notifications 25 wetransfer 26 HP-virtual-rooms 27 logmein, logmeinrescue 28 itwin 29 metatrader 30 vudu 31 kaseya 32 ubuntu-one 33 puffin 34 pando 35 gotoassist 36 airdroid 37 amazon-aws-console 38 purple-p3 39 norton-zone 40 bitdefender 41 pathview 42 naver-line 43 apple-game-center 44 wiredrive 45 finch 46 vagrant 47 appguru 48 silent-circle 49 tumblr 50 dropcam 51 efolder 52 ntr-support 53 cryptocat 54 origin    
記事全体を表示
kkondo ‎04-06-2016 12:55 AM
3,103件の閲覧回数
0 Replies
質問 ※この記事は以下の記事の日本語訳です。 App-ID changes to Google apps https://live.paloaltonetworks.com/t5/Management-Articles/App-ID-changes-to-Google-apps/ta-p/66890     2015年12月1日、Palo Alto Networks ファイアーウォールはGoogleアプリケーションを有効化するための簡素化、ポリシー設定のスリム化を考慮して、google-baseという名前の新しいApp-IDを追加しました。以下のFAQにて、既存ファイアーウォールの設定に対するインパクト、変更について、基本的な質疑応答を掲示します。もし追加の質問がございましたら、Discussion forumをご利用ください。     良くある御質問   質問: なぜPalo Alto Networksはこの変更を実施したのですか?   回答: 今日、Googleアプリケーションを有効化するためにはお客様にその他の依存するアプリケーション(ssl, web-browsing)を許可設定していただく必要がございました。この変更によって、明示的に依存するアプリケーションを許可するする必要なくなりました。新しいApp-ID、google-baseを許可することにより、Googleアプリケーションの基本サービスをご利用することができます。     質問: この変更によりどのような影響がありますか?   回答: 新しい変更の優位性を得るために、Googleアプリケーションを許可するために設定している、ssl, web-browsingの代わりに、google-baseをポリシーのApplication欄で許可する必要があります。サンプルの設定は以下をご参照ください。Google Calendar, Gmail, YouTubeとGoogle Mapsが許可され、その次の新しく設定されたポリシーで、google-baseをApplication欄で許可されています。        質問: どのようにしてGoogleアプリケーション継続動作することができますか?   回答: Palo Alto Networksは、2015年11月の第1週目にgoogle-baseをアプリケーションカタログに追加しました。これにより我々のお客様に、事前変更を実施することが可能となります。   この仮のApp-IDは、既存のファイアーウォールポリシーや、App-ID既存ルールに影響を及ぼすものではございません。 サンプルの移行ポリシーは以下です。   Palo Alto Networksが、仮のgoogle-baseを正式なものに更新するのは、2015年12月の第1週目です。   Palo Alto Networksの変更タイムラインはいかのようになります。   2015年10月20日 - Palo Alto Networksが次期Googleアプリケーションのファイアーウォールによる処理の変更点についてアナウンスいたします。 2015年11月の第2週目– Palo Alto Networks は仮のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。これにより、ファイアーウォールの事前設定が可能となります。 2015年12月の第1週目– Palo Alto Networks は正式のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。このアップデートにより、google-baseがApp-IDとして稼働します。以前ご使用になられていた、依存アプリケーションのssl, web-browsingを取り除くことができます。これより、いずれのGoogleアプリケーションにおいても依存アプリケーションはgoogle-baseとなります。   質問: いつこの変更が、アプリケーションと脅威のアップデートによって提供されますか?   回答: Palo Alto Networks は正式のgoogle-baseであるApp-IDを2015年12月の第1週目で配布するコンテンツアップデートで提供します。   質問: もしファイアーウォールのポリシー上にgoogle-base を追加せず、"ssl"、 "web-browsing" のままにしてたらどうなりますか?   回答: ファイアーウォールのポリシー上にgoogle-base を追加しなかった場合、Googleアプリケーションが正常に動作しなくなりますので、2015年12月の第1週目で配布されるコンテンツ アップデートで、google-base を許可する必要があります。   質問: PAN-OSどのバージョンがこの変更の影響を受けますか?   回答: 全てのPAN-OS softwareサポートバージョンで、2015年12月の第1週目で配布されるコンテンツアップデートを実施すると影響を受けます。   質問: 'google-base'が必要なアプリケーションのリストはありますか?   回答: 'google-base' が必要なアプリケーションのリストは、こちらのリンクをご参照ください。: List of applications that require 'google-base'   質問:  'google-base' App-IDを識別するためにSSL復号化を有効化する必要がありますか?   回答: いいえ、SSL復号化'google-base' App-ID を識別するために必要ではありません。しかしながら、SSL上で動作するGoogleアプリケーション(例えば、gmail)を復号化するためには必要です。   質問: 'google-base' App-IDをポリシーで許可すると、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)も許可されますか?   回答: いいえ、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)は個別にポリシー上で許可する必要がございます。   Palo Alto Networks 社は、お客様のファイアーウォール上のポリシーをご確認いただき、仮の'google-base' App-ID 設定を2015年12月1日以前に設定していただくことを強く推奨いたします。   その他質問に関して もしその他に、この記事に書かれている変更点についてご質問がありましたら、Discussion forumにご質問を掲示していただくようお願いします。 回答
記事全体を表示
kkondo ‎04-06-2016 12:32 AM
2,702件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Save an Entire Configuration for Import into Another Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Save-an-Entire-Configuration-for-Import-into-Another-Palo/ta-p/61476   概要 後述の手順では、セキュリティポリシーと設定情報の移行手順を紹介しています。 下記が前提条件となります。:   インポート先とエクスポート元のPalo Alto Networks Deviceのハードウェアモデルが共通していること(PA-500 から PA-500, PA-5020 から PA-5020 等) インポート先とエクスポート元のハードウェアモデルが共通していない条件化での設定情報の移行は現状では対応致しておりません。 インポート先とエクスポート元のPalo Alto Networks DeviceのPAN-OSのメジャーバージョンが一致していること (4.1.x から 4.1.x, 5.0.x から 5.0.x等) 設定情報を移行する場合、事前にPAN-OSのメジャーバージョンアップを実施してください。   事前準備 ライセンスキーの検索を実施します。 インポート先とエクスポート元Palo Alto Networks DeviceのPAN-OSのメジャーバージョンが一致していることを確認し、かつAntiVirus、Application and Threat database,AntiVirusのバージョンが同じものをインストールします。 手順 エクスポート元のPalo Alto Networks Device上で、Named Configuration Snapshotを保存します。 GUIのDevice > Setup > Operationsの順にクリックし、"Save named configuration snapshot."を選択します。: CLIで実施する場合、 下記のように行います。: > configure # save config to 2014-09-22_CurrentConfig.xml # exit > エクスポート元のPalo Alto Networks Device上で、Named Configuration Snapshotをエクスポートします。 GUIのDevice > Setup > Operationsの順にクリックし、  "Export named configuration snapshot"を選択します。: CLIで実施する場合、 下記のように行います。: > scp export configuration [tab for command help] 例: > scp export configuration from 2014-09-22_CurrentConfig.xml to username@scpserver/PanConfigs 注意: username@scpserverの後ろに指定している'/'は、エクスポートした設定ファイルを保存するユーザーのホームディレクトリとの区切り文字です。'//'を指定した場合、エクスポートした設定ファイルはRootディレクトリに保存されることになります。 Palo Alto Networks Deviceを交換する場合、Palo Alto Networks support portalを使用し。最初にエクスポート元のPalo Alto Networks Deviceのシリアルから、インポート先のPalo Alto Networks Deviceのシリアルにライセンスの移行を行います。 次に、インポート先のPalo Alto Networks Device上でManagement Interface にエクスポート元のPalo Alto Networks Deviceと同じIPアドレス/デフォルトゲートウェイを指定します。Management Interfaceからインターネットにアクセス可能なことを確認します。 ライセンスファイルを取得します。 インポート先とエクスポート元の Palo Alto Networks Device の PAN-OS のメジャーバージョンが一致していることを確認し、かつ AntiVirus、Application and Threat database のバージョンが同じものがインストールされていることを確認します。 インポート先のPalo Alto Networks Device上で、 2でエクスポートした設定情報をインポートします。 GUIのDevice > Setup > Operationsの順にクリックし、"Import named configuration snapshot"を選択します。: CLIで実施する場合、 下記のように行います。: 例: > scp import configuration username@scpserver/PanConfigs/ 2014-09-22_CurrentConfig.xml インポートした設定情報をロードします。 GUのDevice > Setup > Operations の順にクリックし、"Load named configuration snapshot"を選択します。: インポートした設定情報を選択し、OK を押し、commit を行います。 CLIで実施する場合、 下記のように行います。: > configure # load config from 2014-09-22_CurrentConfig.xml # commit # exit >   See Also 設定情報のバックアップの詳細情報については、ご利用のPAN-OSのAdministrator's Guideをご参照ください。 :Documentation.  
記事全体を表示
kkawachi ‎04-04-2016 09:48 PM
7,523件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure DNS Sinkhole https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Sinkhole/ta-p/58891   概要 PAN-OS 6.0より、アンチスパイウェア プロファイルにおいてDNS シンクホールのアクションが使用できるようになりました。DNSシンクホールは、ファイアウォールが悪意のあるURLに対するDNSクエリが見える環境において、保護されたネットワーク内にある感染したホストをDNSトラヒックをベースに特定するために使うことができます。   このDNSシンクホールの機能により、Palo Alto Networksデバイスは悪意のある既知ドメインやURLに対するDNSクエリを見つけると、定義しておいた任意のIPアドレス(偽のIP)をクライアントに返します。それを受け取ったクライアントがその偽のIPアドレスにアクセスしようとし、かつ、そのIPアドレスへの通信をブロックするセキュリティポリシーが存在する場合、その情報がログとして残ります。   重要!  "偽のIP" を選択する際には、そのIPアドレスが内部のネットワークに実際に存在しないことを確認してください。また、悪意のあるURLが検知され、設定した偽のIPへのアクセスが止められるようにするには、該当DNSとHTTPトラヒックがPalo Alto Networksファイアウォールを通過する必要があります。もし偽のIPが別に存在しファイアウォールを通過しないのであれば、この機能は正しく動作しません。   手順 Palo Alto Networksデバイスにおいて最新のアンチウィルス シグネチャがインストールされていることを確認します。 WebUIより、"Device" > "ダイナミック更新" へ移動し、"今すぐチェック" をクリックします。アンチウィルス シグネチャが最新であることを確認します。最新でなければ、最新版をインストールしてください。スケジュールによる自動更新の設定も可能です。 注: DNSシンクホールの機能を利用するには、脅威防御 ( Threat Prevention ) のサブスクリプションが必要となります。 アンチスパイウェア プロファイル内にあるDNSシンクホールを設定します。"Objects" > "セキュリティ プロファイル" > "アンチスパイウェア" をクリックします。 既存のプロファイルを使うか、新しくプロファイルを作成します。以下の例では、"alert-all" を使用します。 プロファイル名 "alert-all" をクリックし、"DNSシグネチャ" タブを開きます。 "DNSクエリに対するアクション" をデフォルトの "alert" から ”シンクホール” に変更します。 シンクホールIPv4フィールドをクリックし、偽のIPアドレスを入力します。上記の例では、簡単のために1.1.1.1を使っていますが、内部のネットワークで使われていないIPアドレスであれば値は何でも構いません。 次に、シンクホールIPv6フィールドをクリックし、偽のIPv6 IPアドレスを入力します。たとえIPv6がネットワーク上使われていなくても、この値は入力する必要があります。上記の例では ::1 です。最後にOKボタンをクリックします。   注: シンクホールIPv6フィールドに何も設定されていない場合は、OKボタンは無効のままになります。 作成したアンチスパイウェア プロファイルを、内部ネットワーク(または内部のDNSサーバー)からインターネットへ抜けるDNSトラヒックを許可するセキュリティ ポリシーに適用します。 "Policies" > "セキュリティ" をクリックします。 セキュリティ上 ルールの一覧から外部へ抜けるDNS通信を許可するルールを特定し、そのルール名をクリックします。"アクション" タブを開き、該当のアンチスパイウェア プロファイルが選択されていることを確認し、OKボタンを押します。 最後に、設定した偽のIP 1.1.1.1 と :1 (IPv6を使用している場合) を宛先とする全てのweb-browsingとSSL通信をブロックするセキュリティ ルールを用意します。これは感染したマシンから偽のIPへの通信をブロックするためのものです。 設定をコミットします。   See Also テスト手順とセットアップの確認方法については、以下のドキュメントを参照してください。 How to Verify DNS Sinkhole Function is Working   DNSシンクホールを説明したビデオ チュートリアルもあります。 Video Tutorial: How to Configure DNS Sinkhole Video Tutorial: How to Verify DNS Sinkhole  
記事全体を表示
ymiyashita ‎04-04-2016 09:45 PM
7,323件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Install a Chained Certificate Signed by a Public CA https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Install-a-Chained-Certificate-Signed-by-a-Public-CA/ta-p/55523   概要 Palo Alto Networks 次世代ファイアウォールを設定する際、信頼された公的な証明機関(CA)によって署名された証明書を以下の用途に使うことができます: Captive Portal ("CP") ページ レスポンス ページ GlobalProtect ("GP") ポータル 多くの公的CAはチェーン証明書を使用します。チェーン証明書では、証明書がルート証明書自身によって署名されているのではなく、一つ以上の中間証明書によって署名されています。これらは主に同じCAによって所有され運用されますが、こうすることによって柔軟性を持たせ、何か問題が起きたときに証明書を失効しやすくなります。   手順 1. 証明書のリクエスト ファイアウォールにインストールされているPAN-OSのバージョンによって、秘密鍵とCSRはOpenSSLなどのサードパーティ プログラムを使用して生成する必要があります。 もしPAN-OS 5.0を使用しているのであれば、以下のドキュメントを参照してください。 How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate   2. 証明書の連結 証明書がルートCAによって署名されない場合、クライアントの信頼済み鍵ストアに中間証明書が既に存在しなければ、中間証明書がクライアントに送信されなければなりません。これを実現するために、CP、GP、またはレスポンスページの証明書に中間証明書が続く形で署名された各証明書を連結します。以下の図は中間証明書が二つの場合の例ですが、中間証明書が一つだけの場合や、複数の場合でも同様のやり方で実現できます。     各証明書を取得する手順は以下の通りです: CAから送られてきた"サーバー証明書"を開きます。 ウィンドウズにおいては証明書のダイアログ ボックスには"全般"、"詳細"、"証明のパス"の三つのタブが存在します。 "証明のパス"をクリックし、一番下から一つ上の証明書をクリックします。 その証明書を開き、詳細タブをクリックします。そしてテキストファイルにコピーします。 そのファイルをBase-64 エンコード X.509 (.CER) フォーマットの証明書として保存します。 同様の手順を一番上のルート証明書以外の全ての証明書に対して行います。 それぞれの .CER 証明書ファイルをプレーン テキスト エディタ (メモ帳など)で開きます。 サーバー証明書を先頭に、各証明書を間を開けずに貼り付けていきます。 拡張子を .TXT または .CER にして保存します。 注: ファイル名に空白文字を含めることはできません。空白文字が存在するとインポートに失敗する恐れがあります。   3. 証明書のインポート 前述の手順で連結した証明書をファイアウォールにインポートします。 PAN-OS 4.1以前のバージョンでは, 秘密鍵をこの証明書と共にインポートする必要があります。詳細は上記手順1を参照してください。OpenSSLでCSRを生成する際に秘密鍵が生成されます。 PAN-OS 5.0においては、秘密鍵は既にファイアウォール上に存在します。証明書のインポートをするためには、以下のドキュメントに書かれた手順を参照してください。 How to Generate a CSR and Import the Signed CA Certificate  
記事全体を表示
ymiyashita ‎04-04-2016 09:42 PM
4,283件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Upgrade PAN-OS on a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-on-a-Palo-Alto-Networks-Device/ta-p/53648   概要 後述の手順では、Palo Alto Networks Deviceの PAN-OS を最新 バージョンにアップグレード する方法を示しています 。   手順 WebGUIにてDevice/Panoramaタブに移動し、左ペインのSoftwareをクリックしてSoftwareページを開きます。 左下にある "Check Now" をクリックするとPalo Alto Networksからリリースされているアップデート可能な最新のソフトウェアの一覧が表示されます。 "Download" をクリックすると該当バージョンのPAN-OSがダウンロードされ、"Install"をクリックすることでインストールされます。以下のベースバージョンに関する注意を参照してください。 ダウンロードサイトから新しいバージョンをインストールするには: インストールするバージョンの "Download" をクリックします。ダウンロードが完了すると、"Downloaded" 列にチェックマークが表示されます。 インストールするバージョンの "Install" をクリックします。 インストールが完了すると、デバイスを再起動するためのプロンプトが表示されます。   手動でソフトウェアをダウンロードし、デバイスにインストールするには: WebブラウザでPalo Alto Networksサポートポータルに移動します。 Software Updates ページに移動し、お使いのデバイスに併せた適切なPAN-OSバージョンをダウンロードしてください。 デバイスのWebUI上で Device > Software に移動し、"Upload" をクリックします。ローカルにダウンロードしたファイルの場所を参照し、OKをクリックしてデバイスにPAN-OSをアップロードします。 "Install from File" をクリックしアップロードしたPAN-OSを選択します。 "OK"をクリックしアップグレードを開始します。  要件: アップグレードを行っている最中に電源が落ちるとデバイスが使用できなくなる可能性があるため、デバイスやPanoramaを信頼性の高い電源に接続してください。 Deviceタブ (PanoramaはPanoramaタブ) のSetup内にある " Save named config snapshot " をクリックすることで現在の設定ファイルをバックアップとして保存してください。 アップグレードに必要な最小Contentバージョンを確認するために、リリースノート内の "Upgrade/Downgrade Procedures"   を確認してください。 Panoramaからデバイスのアップグレードを実施する場合、下部のドキュメントを参照して最初にPanoramaのアップグレードを実行してください。 PAN-OSのアップグレードに伴い、関連ソフトウェア (Global ProtectやUser-ID agent等) のアップグレードが必要な場合があります。確認するためにリリースノート内の "Associated Software Versions chart" を参照してください。 ベースバージョンに関する注意: ベースバージョン (4.1.0、5.0.0、6.0.0、6.1.0などのメジャー/マイナーバージョンにおける最初のリリース) はアップグレードを行うデバイス上で最初にダウンロードされている必要があります。ベースバージョンがダウンロードされており、'ACTION'列が'Install'と表示されていれば、同一ブラン地上の最新バージョンをダウンロードしてインストールすることができます。   例: Palo Alto Networks device をPAN-OS 5.0.5から6.1.6にアップグレードする場合: 注意: 5.0.xから6.1.xへ直接アップグレードすることは出来ません。この場合は5.0.xから6.0.x、6.0.xから6.1.xへと段階的にアップグレードする必要があります。     ベースバージョンの6.0.0のみダウンロードとインストールを行います。インストール完了後、新しいOSを有効にするためPalo Alto Networks device の再起動を行います。     ベースバージョンの6.1.0をダウンロードします。6.1.0のインストールは必要ありません。     ターゲットバージョンとなる6.1.6のダウンロードとインストールを行います。インストール完了後、新しいOSを有効にするためPalo Alto Networks device の再起動を行います。   リリースノート: 新機能や既知の問題、修正済みの問題を含め各リリースにおける変更点の説明を参照するには、ターゲットバージョンの "Release Notes" をクリックします。   古いバージョンの削除方法: 既に実行されていない古いバージョンのPAN-OSについては削除することが出来ます。6.0.6を実行している場合、5.0.x (Firewall) や5.1.x (Panorama) はベースバージョンを含めて削除することが出来ます。 Panorama: Panorama自体のアップグレードを行う場合、手順は上記同様です。 Panoramaを使用して新しいPAN-OSを Palo Alto Networks Device に展開する場合は、詳細を確認するために以下のドキュメントを参照してください。 - How to Install Software Image that was Pushed from Panorama - PAN-OS Software Does Not Appear on Device GUI when Pushed from Panorama - How to use Deployment in Panorama  
記事全体を表示
tsakurai ‎04-04-2016 09:38 PM
5,266件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Palo-Alto-Networks-Firewall-with-Dual-ISPs/ta-p/59774     概要 本文書はVPNトンネルを用いて2つのISP接続をPalo Alto Networks ファイアーウォールに設定する際の、設定手順を解説します。   設定目標: 1つのデバイスが2つのインターネット接続を持つ(高可用性) 静的なサイト間VPN インターネット接続とVPNの自動フェイルオーバー   構成 この構成は本社、支社間の接続方法として一般的なものです。ISP1は Ethernet1/3でプライマリとして、ISP2はバックアップとしてEthernet1/4に接続します。   設定 2つのファイアウォールの設定は同一のため、ここでは1台についてのみ説明します。この例では2つのヴァーチャルルーター(VR)を設定します。 インターフェイス設定 2つのインターフェイスを設定: Eth 1/3: 10.185.140.138/24 (ISP1に接続) をuntrust zoneに配置 Eth 1/4: 10.80.40.38/24 (ISP2に接続)を the untrust zoneに配置   ヴァーチャルルーター 2つのヴァーチャルルーター を設定: VR1: プライマリ (ISP1) (Ethernet1/3) VR2: セカンダリ (ISP2) (Ethernet1/4)   各VRに1つのISP向けインターフェイスを追加しますが、他のすべてのインターフェイス(将来の追加分も含め)はセカンダリのVRに追加します。これはメインのISP障害時に、すべてのインターフェイスの存在をコネクティッドルートとVR上のルートによって、ルーティングを用いて明示するためです。 プライマリのVRにはEthernet1/3を追加 プライマリVRのルートはデフォルトルートと、すべてのプライベートアドレスの戻りルートとなり、これらはインターフェイスのConnectedルートがあるセカンダリVRに向かいます。トラフィックがPBFによってインターフェイスから出力される場合、それらのトラフィックはセカンダリVRの生存しているインターフェイスによって戻りのルートを知ることになります。 セカンダリVRには  下記の通りEthernet1/4 と他のすべてのインターフェイスを追加。 セカンダリVRに接続したインターフェイスのルートは、ルーティング上にコネクティッドルートとしてルーティングテーブルに現れます。そして、トンネル向けのルートはポリシーベースフォワーディング(PBF)にて扱われます。 プライマリISP向けインターフェイスからトラフィックを出力するために、PBFの送信元ルーティングにてTrustedゾーンを追加します。 ファイアウォールはPBFにてプライベートネットワーク向けにトラフィックを転送しません。これはプライベートアドレスはインターネット上ではルーティングされないためです。プライベートアドレスの転送が必要となるため、Negateをチェックします。 下記の例の通り、プライマリインターフェイスから出力するように設定し、またモニター機能にてルールを無効化を設定します。すべてのコネクティッドルートを持つセカンダリVRのルーティングテーブルを使って切り替えを行います。 送信元NATポリシーを両方のISP用に設定します。両方のNATルールにて"元のパケット"タブにある宛先インターフェイスを確実に設定してください。 複数のVRを設定するのは、両方のトンネルが同時にアップとなり稼働するためです。もしISP1へのVPNの接続性の問題が発生すれば、すみやかにISP2にフェイルオーバーします。もしISP2へのバックアップVPNがネゴシエーション済みであれば、フェイルオーバーの高速化につながります。   フェーズ1設定 それぞれのVPNトンネルのためIKEゲートウェイを設定します。   フェーズ2設定 それぞれのVPNトンネルにIPSecトンネルを設定します。トンネルが別の Palo Alto Networks ファイアウォールに接続する場合、 IPSecトンネルにてトンネルモニターによるフェイルオーバーを設定します。そうでない場合はPBFでモニターを有効化し、セカンダリのトンネルにルートする設定を行います。   トンネルモニタリング(Palo Alto Networks ファイアウォール同士の接続) トンネルモニター有りのプライマリトンネル。 トンネルモニター有りのセカンダリトンネル。 モニターのプロファイルにて、アクションでフェイルオーバーを選択。 この設定方法ではトンネルモニターに2つのルートがルーティングテーブルにあることを利用します。1つ目のルートはメトリック10のプライマリVPNトラフィック向け、2つ目はメトリック20のセカンダリVPN向けです。トンネルはセカンダリVRで終端されるので、これらのルートはセカンダリのVRに置かれます。   ポリシーベースフォワーディング (Palo Alto Networks ファイアウォールと他ベンダーのファイアウォールとの接続) この設定方法は2つのファイアウォール感での接続に使用されます。 送信元ゾーンを設定します。 対抗のネットワーク向けの宛先トラフィックを指定します。(この例では192.168.10.0/24)。 トラフィックをトンネルに転送します。 PBFが無効になると宛先は到達不能となるので、もう一つのVPNはルーティングテーブルを使用し始めます。そのルーティングテーブルには、同じ宛先ですが、別に設定したトンネルがエントリとして存在しています。   注: 上記の例では接続性を確認するため192.168.10.2にプローブをします。プローブは送信元IPアドレスがなければならず、出力インターフェイス、つまりトンネルインターフェイスのIPアドレスを使用します。もしIP アドレスがトンネルインターフェイスに設定されていないと、PBFルールは有効になりません。この設定例では、例えば172.16.0.1/30といった任意のIPが設定されている必要があります。192.168.10.2宛のスタティックルートはトンネルインターフェイスを選択の上、ネクストホップを指定しなければなりません。さもないとファイアウォールから開始されるトラフィックがPBF対象とならずに、PBFは常に失敗します。対抗のデバイスが復路のパケットを適切に送信できることを確認する必要があります。Cisco ASAを使用している場合、172.16.0.1/30宛の復路のトラフィックを適切に処理できることを確認しておいてください。さらに、Palo Alto NetworksファイアウォールでのIPSecトンネルのプロキシIDを設定しておく必要があります。     著者: rvanderveken
記事全体を表示
TShimizu ‎04-04-2016 09:37 PM
2,971件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URLフィルタリングによる特定HTTPSサイトのブロック方法 https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Block-a-Specific-HTTPS-Site-with-URL-Filtering/ta-p/53840   概要 URLフィルタリングは特定のHTTPSサイトをブロックし、同時にその配下のサイトをすべて許可したい場合、いくつかの課題を提示します。 たとえば、"https://public.example.com/extension1/a" はブロックしたいものの、"https://public.example.com/extension1/b" は許可したい場合などです。   セキュリティポリシーとカスタムURLカテゴリを利用する場合、そのサイトの提供する証明書の「発行先」のコモンネーム(Common Name, CN)でしかマッチさせることができません。   Note: PAN-OS 6.0リリースより、 SSLセッションの "Client Hello message"に含まれる SNI(Server Name Indication) でマッチさせることができます。詳細は Resolving URL Category in Decryption Policy When Multiple URLs are Behind the Same IP を参照ください。   以下のスクリーンショットでは、コモンネームが "*.example.com" であることを確認できます。   セキュリティポリシーでは"*.example.com"をブロックできますが、そのサイト全体がブロックされてしまいます。これでは望ましくないので、URLフィルタープロファイル (URL Filtering Profile) を設定する必要があります。しかしながら、URLフィルタープロファイルを利用する場合の問題は、ファイアーウォール上でそのセッション内のURL全体を精査しなければならないことです。セッションはSSLで暗号化されていますので、復号ポリシーを有効にしないと通信内容を確認できません。   SSL復号化は注意して実装する必要があります。もし、まだファイアウォール上でこれが実装されていない場合、必要な通信に対してのみ復号化 (Decryption) を実施します。復号ポリシーには「URLカテゴリ」を設定することができます。復号化では、セキュリティポリシーと同じ理由で、HTTPSサイト上の特定のサブページでブロックが必要なことを知ることができません。復号ポリシーは、提供された証明書の発行先のCNをチェックします。もしこれが設定上のURLカテゴリにマッチした場合、SSLセッションの復号化を実施します。   これは "*.example.com" に対し復号化を実施し、URLフィルタで "public.example.com/extension1/a" 宛ての通信をブロックしたい場合に有用な方法です。 Note: "https://" 部分は上記URLから除外しています   手順 以下の手順を実施することで、このような動作を設定できます: Objects > Custom Objects > URL Category へ移動し、"Example Blacklist" という名前のカスタム URL カテゴリを作成します。そこに「public.example.com/extension1/a」のURLを追加します。 URLリストの頭に「https://」は含めないでください。 Objects > Custom Objects > URL Category で、"Wildcard Blacklist" のカスタム URL カテゴリを作成します。URLリストに「*.example.com」を追加します。 Objects > Security Profiles > URL Filtering に移動し、"Blacklisted HTTPS Sites" という名前の URL Filtering profileを作成します。"Example Blacklist" のカスタム URL カテゴリーのアクションを「block」にします。 (これにより URL Filtering profile の URL Block Categories に追加されます) Policies > Securityに移動し、trust から untrust 宛の通信用に "Deny HTTPS Sites" のポリシーを作成します。アクションは  allow のままで、Profile Settings > Profile Type を選択し、URL Filtering で "Blacklisted HTTPS Sites" のプロファイルを選択します。 Device > Certificate Management > Certificatesへ移動し、"Palo Alto Decryption Trusted" と "Palo Alto Decryption Untrusted" という2つの自己署名 (self-signed) CA 証明書を生成します。 証明書の CN を "Palo Alto Decryption Untrusted" ではファイアウォールの信頼された IP を、 "Palo Alto Decryption Trusted" では任意のものを指定します。 (これらの証明書をエクスポートし、Group Policy等を利用してユーザへプッシュします)。"Palo Alto Decryption Trusted" 証明書を開き、 "Forward Trust Certificate" のチェックを入れます。また、"Palo Alto Decryption Untrusted"  証明書では "Forward Untrust Certificate"にチェックします。 Policies > Decryption へ移動し、"Decrypt Blacklisted Sites" という復号ポリシーを追加します。送信元ゾーンをtrust、宛先ゾーンを untrust、 URL カテゴリに "Wildcard Blacklist"、 オプションでは Action: Decrypt、Type: SSL Forward Proxy とします。 コミット後、 https://public.example.com/extension1/a はブロックされます。    
記事全体を表示
dyamada ‎04-04-2016 01:24 AM
14,650件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Agentless User-ID https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/62122   手順 エージェントレス User-IDを設定するには、まずサービスアカウントを作成し、作成したアカウントのセキュリティ設定を変更します。   以下のようにActive Directory(AD)サーバとPalo Alto Networks機器を設定します。 機器で使用されるサービスアカウントをAD上で作成します。作成されたユーザが、Distributed COM Users, Server Operators および Event Log Readers groups に所属することを確認してください。 Note: サービスアカウントの機能させるうえで、ドメイン管理者(Domain Admin)の権限は必須要件ではありません。詳細は「Best Practices for Securing User-ID Deployments」を確認してください。 Windows2003の場合、サービスアカウントには"Audit and manage security log"の権限をグループポリシ経由で与える必要があります。ドメイン管理者グループに所属するアカウントを作成することで、すべての操作に必要な権限が付与されます。“Event Log Readers”グループはWindows 2003では利用できません。 WMI 認証を利用する機器やユーザは、接続されるAD上でCIMV2セキュリティ属性を変更する必要があります。 コマンドプロンプト上で'wmimgmt.msc'を実行しコンソールを開き、プロパティを選択します。 WMI コントロールのセキュリティタブを選択し、CIMV2フォルダを選択します。セキュリティをクリックし、step1で作成したサービスアカウントを追加します。この例ではpanrunner@nike.localを設定しています。追加したアカウントで「アカウントの有効化」と「リモート有効化」をチェックしてください。 PAのDevice > User Identification MenuよりUser Mapping を選択します。 PAのUser-IDエージェントの設定を完了します。 User Mapping > WMI Authenticationタブのユーザーネーム設定が domain\username フォーマットになっていることを確認します。 Server Monitorオプションを有効にし、security log/session を有効にします。 Client probingはデフォルトで有効です。必要であれば無効にします。 もしセットアップ中にドメインが設定されている場合、ユーザは接続先のサーバを選択できます。もし設定されていない場合、マニュアルでサーバを設定します。 接続されたかどうか、WebUIまたはCLIにて確認します。 > show user server-monitor statistics Name                          TYPE    Host            Vsys    Status --------------------------------------------------------------------------- 2k8                            AD      10.30.14.250    vsys1  Connected ip-user-mappingが機能していることを動作を確認します。 > show user ip-user-mapping all IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ---------- 10.16.0.28      vsys1  AD      nike\palto                      2576          2541 10.30.14.106    vsys1  AD      nike\panrunner                  2660          2624 10.30.14.110    vsys1  AD      nike\panrunner                  2675          2638 Total: 3 users ユーザ識別を実施したい通信が発信されるZoneでUser Identificationが有効であることを確認します。Network > Zone でZoneを選択します。   See Also User-ID Agent Setup Tips  
記事全体を表示
dyamada ‎04-03-2016 10:30 PM
5,019件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure IPSec VPN https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-IPSec-VPN/ta-p/56535     概要 本ドキュメントは、IPSec VPNの設定方法について記載しています。Palo Alto Networksファイアウォールにおいて、少なくとも二つのレイヤ3インターフェイスが設定されている事を想定しています。   手順 "Network" > "トンネル" > "トンネル インターフェイス" へ移動し、新規にトンネル インターフェイスを作成し、以下のパラメータを設定します。 インターフェイス名:tunnel.1 仮想ルーター:(既存の仮想ルーターを選択) ゾーン:(トラヒックの開始元となるレイヤー3の内部ゾーンを選択) 注:もしトンネル インターフェイスがトラヒックが入ってくる、もしくはトラヒックが出て行くゾーンと異なるゾーンにある場合、送信元ゾーンからトンネル インターフェイスを含むゾーンへのトラヒックを許可するポリシーを作成する必要があります。 "Network" > "ネットワーク プロファイル" > "IKE 暗号" > "IKE 暗号プロファイル" へ移動し、IKE 暗号 (IKEv1 フェーズ1) パラメータを定義します。 IKEフェーズ1ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。 "Network" > "ネットワーク プロファイル" > "IKE ゲートウェイ" に移動し、IKE フェーズ1ゲートウェイを設定します。 注:上記で設定したトンネルはトンネルを通過するトラヒックをTrustゾーンで終端します。もしより細かい制御がそのトンネルのポリシー設定で必要な場合は、VPNを使用するか別のゾーンを使ってください。また、以下のゲートウェイの設定はUntrustインターフェイス用の設定であり、Trustインターフェイスで終端するトンネルとは異なることに注意してください。 "Network" > "ネットワーク プロファイル" > "IPSec 暗号" へ移動し、"IPSec 暗号プロファイル" を定義します。 "IPSec 暗号プロファイル" 内でプロトコル、認証方法等、IPSec SAネゴシエーション(IKEv1 フェーズ2)をベースにしたVPNトンネルで使用する暗号化方式などを設定します。IKEフェーズ2ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。 "Network" > "IPSec トンネル" > "全般" へ移動し、ファイアウォール間でIPSec VPNトンネルを確立するためのパラメータを設定します。 注: もし対向側のトンネルがポリシー ベースVPNとして設定されているサードパーティ製のVPNデバイスの場合、ローカルproxy IDとリモートproxy IDを対向側と一致するように設定します。 NATされているトラヒックのローカルとリモートのIPネットワークを特定するためにIPSecトンネルProxy-IDを設定する際、そのIPSecトンネルのためのProxy-IDはNATされた後のIPネットワーク情報を元に設定されなければなりません。なぜならばProxy-ID情報は両端のIPSec設定おいて、トンネル経由で許可されるネットワークを定義するからです。  "Network" > "仮想ルーター" > "スタティック ルート" へ移動し、対向のVPNエンドポイントの後ろにあるネットワーク用に新しいルートを追加します。 設定をコミットします。   注:Palo Alto NetworksではIPSec VPNのトンネルモードのみをサポートします。IPSec VPNのトランスポート モードはサポートしません。   See Also VPNに関するより複雑な設定については、以下のドキュメントを参照してください。 How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover Selecting an IP Address to use for PBF or Tunnel Monitoring Dead Peer Detection and Tunnel Monitoring  
記事全体を表示
ymiyashita ‎04-03-2016 10:23 PM
12,273件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SSL Decryption Not Working due to Unsupported Cipher Suites https://live.paloaltonetworks.com/t5/Management-Articles/SSL-Decryption-Not-Working-due-to-Unsupported-Cipher-Suites/ta-p/55543     問題 インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブ サーバー上で正常に機能しません。 同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。     詳細 Palo Alto Networks Deviceでは、以下の5つのcipher suitesをサポートし復号化が可能です。 RSA-AES256-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) RSA-AES128-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) RSA-3DES-EDE-CBC-SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) RSA-RC4-128-MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) RSA-RC4-128-SHA Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)     以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。 > show counter global filter delta yes | match ssl_sess_id_resume_drop   PAN-OS 6.0以降では、 show counter global コマンドでcipher suitesが未サポートかどうか確認できます。 PCAPフィルターを適用し、delta(差分)カウンタを使用: > show counter global filter packet-filter yes delta yes or > show counter global filter delta yes | match "ssl_server_cipher_not_supported"   ... ... ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported     解決方法 ウェブ サーバー上で未サポートのcipher suitesを無効にします。 注:PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。   PAN-OS 6.0 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)   PAN-OS 7.0 TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c) TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)   See Also Palo Alto Networks Supported SSL/TLS Version and Cipher Suites for Web UI    
記事全体を表示
ymiyashita ‎04-03-2016 10:23 PM
3,613件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Test WildFire with a Fake Malicious File https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Test-WildFire-with-a-Fake-Malicious-File/ta-p/60925     概要 WildFireもしくはWF-500の運用を始める際に、マルウェア ファイルのダウンロード検証が求められる場合があります。既知のファイルや信頼できる署名者によって署名されているファイルはWildFireへ送信されないため、Palo Alto Networksはこれを簡単にするテスト手法を提供致します。   以下のリンクをクリックすると、ランダムに生成されたテスト用ファイルをダウンロードすることができます。 http://wildfire.paloaltonetworks.com/publicapi/test/pe
記事全体を表示
ymiyashita ‎04-03-2016 10:22 PM
10,793件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 IPSec VPN Error: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-VPN-Error-IKE-Phase-2-Negotiation-is-Failed-as-Initiator/ta-p/60725   問題 Palo Alto Networks ファイアーウォール と他ベンダーの機器間で拠点間 IPsec VPN (site-to-site IPsec VPN) を設定した際、IKEフェーズ1 は成功しますが、IKEフェーズ2 のネゴシエーションに失敗します。 ikemgr.logの内容を以下のコマンドで確認します。 > tail follow yes mp-log ikemgr.log   以下のエラーが確認されます: ( description contains 'IKE protocol notification message received: INVALID-ID-INFORMATION (18).' ) および IKE phase-2 negotiation is failed as initiator, quick mode. Failed SA: 192.168.1.150[500]-192.168.5.108[500] message id:0x43D098BB. Due to negotiation timeout   解決策 最も良くあるIKEフェーズ2失敗の原因は、Proxy ID の不一致によるものです。 Palo Alto Networksファイアーウォールと他ベンダーの機器上でProxy ID の設定を確認します。 Note: 他ベンダーの機器上では、Proxy ID は アクセスコントロールリスト(アクセスリスト、ACL)と呼ばれる場合があります。 IPsec でネゴシエーションされる暗号化方式についても、両サイドで確認します。
記事全体を表示
dyamada ‎04-01-2016 07:39 AM
3,619件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Client not Connecting https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Client-not-Connecting/ta-p/53185   GlobalProtect 1.2 以上   問題 GlobalProtect クライアントで接続ができません。   以下のログが PanGPA.log 内で出力されます: P 195-T519 Oct 09 18:02:17:24315 Info ( 83): Failed to connect to server at port:4767 P 195-T519 Oct 09 18:02:17:24325 Info ( 460): Cannot connect to service, error: 61 P 195-T519 Oct 09 18:02:17:24330 Debug( 742): Unable to connect to service   原因 これは、PanGPA サービスの接続が同じ端末上の PanGPS サービスへ実施される際に発生する問題です。   解決策 PanGPA サービスは localhost の 4767ポートで通信を待ち受けている必要があります。確認するには以下のコマンドを実施します。   MACの場合 : netstat -an | grep 4767 tcp4 0 0 127.0.0.1.4767 *.* LISTEN   Windowsの場合 : netstat -an | find "4767" TCP    127.0.0.1:4767         0.0.0.0:0              LISTENING   4767ポートでの待ち受けが確認できない場合、サービスは正しく起動していません。PanGPS.log の内容を確認したり、OS上で競合状態等が発生してないかを確認します。   もし4767ポートでの待ち受けが確認できた場合、TELNETコマンドで接続性を確認します。(telnet 127.0.0.1:4767)  TELNET接続に失敗する場合、端末上のファイアーウォール機能が通信を破棄していないか確認します。ファイアーウォール機能を一時的に無効にしてテストを実施することも検討します。
記事全体を表示
dyamada ‎04-01-2016 07:36 AM
5,243件の閲覧回数
0 Replies
 ※ この記事は以下の記事の日本語訳です。 Download the Migration Tool https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582     概要 パロアルトネットワークス 移行ツール( Palo Alto Networks Migration Tool) は弊社とチャネルパートナー向けに提供される移行ツールとなります。当該ツールは設定移行のみならず、各項目の、拡張、最適化、追加、削除、編集をも可能とし、従来の機器のルールを次世代ファイアウォール向けに最終的には変換します。変換は既存の運用環境における実際の通信を元に、App-IDベースとして行われます。 適切なルールベースの管理を望むセキュリティ管理者のため、パロアルトネットワークス 移行ツールは有効な手段となります。 注:移行ツールは仮想マシンイメージとして提供されています。ダウンロードファイルはtar形式で圧縮され、サイズはおよそ680MBとなります。    パロアルトネットワークス コミュニティーメンバーの場合 コミュニティーメンバーは以下をクリックして移行ツール( Migration Tool  3.1  VMware ESXi 5.5 (or higher)) を入手できます。 Click here to get the Migration Tool for VMplayer and Workstation     コミュニティーメンバーでない場合 コミュニティーのアカウントがない場合は、以下をクリックして入手できます。 Click to download Migration Tool 3.0
記事全体を表示
TShimizu ‎03-29-2016 03:35 AM
4,599件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community