ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Create a Security Policy to Block Selective Flash https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Create-a-Security-Policy-to-Block-Selective-Flash/ta-p/61505   概要 この記事は標準のAdobe Flash サイトをブロックしつつ、特定のFlash サイトは許可するセキュリティ ポリシーの設定方法について説明したものとなります。 注: この設定が完全に動作するにはドメインがダイナミック IP アドレスを使用していない必要があります。   手順 example.com と example.org 用のアドレス オブジェクトを作成します。 Object > アドレス に移動し、新たなアドレスオブジェクトを追加します。どちらのアドレス オブジェクトもタイプでFQDNを選択し、ドメイン名を入力します: 注:  example.com が3つのダイナミック IP アドレスにマッチする場合、取得したIPアドレスに基づいた制御になり、FQDN リフレッシュの度(デフォルト30分間隔)にアクセス可能なIP アドレスが変わることになります。 アドレス グループ オブジェクトを作成します。 Object > アドレス グループに移動し、example.com と example.org 用の新たなアドレス グループ オブジェクトを作成します: Policies > セキュリティに移動し、宛先アドレスとして新たに作成したアドレス グループを含むセキュリティ ポリシーを作成します。アプリケーションに"flash"を設定し、アクションは"Allow"を設定します。作成したらこのポリシーを最上部に移動します。 上記のセキュリティ ポリシーの下に、"flash"を拒否する別のセキュリティ ポリシーを作成します。重要なポイントは、上記で設定した以外全てのFlashへのアクセスをブロックするためにこのポリシーを2番目に設定することです。   著者: pchanda  
記事全体を表示
tsakurai ‎07-09-2018 07:18 PM
3,908件の閲覧回数
0 Replies
※この記事は以下の DotW (Discussion of the Week) の日本語訳です。 DotW: Disk space issue on root https://live.paloaltonetworks.com/t5/Featured-Articles/DotW-Disk-space-issue-on-root/ta-p/71914   今回はいっぱいになったルート パーティションとそのスペースを解放する方法についての質問を取り上げ、一般的な原因といくつかの対処法について見ていきます。以下はディスカッションフォーラムでコミュニティメンバーjcawsey13が質問した内容です。   いくつかのイベントによってルート パーティションが、ゆっくりまたは急激にいっぱいになることがあります。ルート パーティションは運用ストレージではないのでいっぱいになったとしても一般にサービス中断は発生しません。ただし、いっぱいになったルート パーティションはアップグレードやパケット キャプチャが失敗する原因になります。   ルート パーティションがいっぱいになる一つの原因は、管理者が特定のプロセスのトラブルシューティングをするためにコア ファイルを作成するときです。コア ファイルはルート パーティションに格納され、管理者が削除するまで残ります。   > show system files /var/cores/: total 454M -rw-rw-rw- 1 root root 453M Feb  1 13:43 mgmtsrvr_7.0.3_0.tgz drwxrwxrwx 2 root root 4.0K Feb  1 13:43 crashinfo /var/cores/crashinfo: total 0 -rw-r--r-- 1 root root 0 Feb  1 13:43 mgmtsrvr_7.0.3_0.info これらのファイルはscp/tftp exportコマンドを使用してエクスポートした後、削除することでファイアウォールのスペースを開放することができます:   > scp export core-file management-plane from mgmtsrvr_7.0.3_0.tgz to user@10.0.0.10:/home/ user@10.0.0.10 's password: ******** mgmtsrvr_7.0.3_0.tgz                      100%  453MB  46.4MB/s   00:12  >admin@myNGFW> > delete core management-plane file mgmtsrvr_7.0.3_0.tgz > delete core management-plane file crashinfo\mgmtsrvr_7.0.3_0.info   ディスクスペースが限られる小さなプラットフォームでディスクスペースを専有しやすい他の種類のファイルとしては、プロセスなどのログがあります。これらのログはローテートされ古いファイルは削除されますが、手動で削除することができます:   delete debug-log mp-log file *.1 delete debug-log mp-log file *.2 delete debug-log mp-log file *.3 delete debug-log mp-log file *.old   トラブルシューティングを目的として、いくつかのプロセスではパケット キャプチャを有効にすることで取得されたパケットを分析することができます。管理者はトラブルシューティングを終了した後でこれらのファイルを削除する必要があります:   > debug ike pcap > delete   delete > off      off > on       on > show     show > view     view > delete pcap directory <tab>     このDotWの元になったディスカッションは以下から参照できます: Out of disk space
記事全体を表示
tsakurai ‎07-09-2018 06:59 PM
4,689件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 macOS X 10.13 & iOS 11 - New Requirements for GlobalProtect Connections https://live.paloaltonetworks.com/t5/Configuration-Articles/macOS-X-10-13-amp-iOS-11-New-Requirements-for-GlobalProtect/ta-p/179049 この情報の入手先についてはAppleのサポート記事 https://support.apple.com/en-us/HT207828(英文)https://support.apple.com/ja-jp/HT207828(日本語)を参照してください。   要約するとこれらのリリースには次の要件が含まれています: SHA-1 証明書を使用した TLS 接続はサポートされなくなります。TLS サービスの管理者の方は、SHA-2 証明書を使うようにサービスをアップデートしてください。 すべての TLS 接続において、RSA 鍵長が 2048 ビット未満の証明書は信頼対象から除外されます。 TLS 1.2 を EAP-TLS ネゴシエーションのデフォルトとして使用します。このデフォルト設定は、構成プロファイルで変更できます。古いクライアントでは引き続き 1.0 が必要な場合もあります。 注: GlobalProtect ポータルとゲートウェイの"SSL/TLS サービス プロファイルの最大バージョンが"TLSv1.1"と設定されている場合、iOS 11とMac OS X 10.13のどちらのシステムでも接続を確立できます。最大バージョンが"TLSv1.2"または "max"に設定された状態で設定がコミットされると、GlobalProtect エージェントは接続に成功します。   iOS 11における変更点(原文) Security iOS 11, tvOS 11, and Mac OS High Sierra include the following changes to TLS connections: Removes support for TLS connections using   SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates. Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections. Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0. Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy. macOS High Sierra における変更点(原文) Security macOS High Sierra, tvOS 11, and iOS 11 include the following changes to TLS connections: Removes support for TLS connections using SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates. Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections. Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0. Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy.   著者: jjosephs
記事全体を表示
tsakurai ‎07-02-2018 02:45 AM
5,002件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 GlobalProtect failed to connect - required client certificate is not found https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-failed-to-connect-required-client-certificate-is/ta-p/70192 問題 2要素認証を使用するように認証プロファイルと証明書プロファイルをGlobalProtect ポータルとゲートウェイで構成しましたが、クライアント コンピューターでGlobalProtectに接続しようとした際に、GlobalProtect クライアントのステータス ページに以下のエラーメッセージが表示されます: "Required Client Certificate is not found"   また、PanGP サービス ログでは以下のエラー メッセージが表示されます: Debug(3624): Failed to pre-login to the portal XX.XX.XX.XX. Error 0 Debug(1594): close WinHttp close handle. Debug(3588): prelogin status is Error Error(3591): pre-login error message: Valid client certificate is required Debug(1594): close WinHttp close handle. Debug(4213): portal status is Client Cert Required. Debug(3697): Portal required client certificate is not found.   解決方法 これらのエラーはクライアント コンピュータに正しい/有効な証明書がないため発生します。 クライアント マシンにインポートされた証明書はGlobalProtect ポータル及びゲートウェイで設定されたサーバ証明書と一致する必要があります。 自己署名証明書の場合は、"個人"及び"信頼されたルート証明機関"の両方にインポートする必要があります。 クライアント コンピュータに証明書をインポートする方法については、ここをクリックして"step 2"を参照してください。   次の手順に従い、P12形式の証明書をクライアント コンピュータ(Windows マシン)にインポートします:   スタートをクリックし、mmcを実行します。 ファイル > スナップインの追加と削除をクリックします。 スナップインから"証明書"を選択し、追加をクリック、コンピューター アカウントを選択し完了をクリックします。 OKをクリックしスナップインの追加と削除を閉じます。 "個人"と"信頼された証明機関"に証明書をインポートします。
記事全体を表示
tsakurai ‎07-02-2018 02:42 AM
5,784件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Active Session Information Using the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Active-Session-Information-Using-the-CLI/ta-p/55630   概要 この記事はCLIでアクティブなセッションの情報を確認する方法について記載しています。   詳細 アクティブなセッションを確認するために次のコマンドを実行します: > show session all filter state active ------------------------------------------------------------------------------- ID/vsys  application    state  type flag  src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 35299/1  facebook       ACTIVE  FLOW        10.16.2.100[52648]/corp-trust/6 (10.16.2.100[52648])                                             69.63.176.170[80]/corp-untrust (69.63.176.170[80]) 32026/1  ssl            ACTIVE  FLOW        10.16.3.220[45307]/corp-untrust/6 (10.16.3.220[45307])   特定のセッション IDのすべての情報を表示するには、次のコマンドを使用します: > show session id <session id> > show session id 35299 session    35299         c2s flow:                 source:  x.x.x.x[corp-trust]                 dst:      x.x.x.x                 sport:    52648        dport:    80                 proto:    6            dir:      c2s                 state:    INIT          type:    FLOW                 ipver:    4                      src-user: unknown                 dst-user: unknown         s2c flow:                 source:  x.x.x.x[corp-untrust]                 dst:      x.x.x.x                 sport:    80            dport:    52648                 proto:    6            dir:      s2c                 state:    INIT          type:    FLOW                 ipver:    4                      src-user: unknown                 dst-user: unknown         start time            : Thu May 28 11:31:58 2009         timeout              : 30 sec         total byte count      : 1603         layer7 packet count  : 13         vsys                  : vsys1         application          : facebook         rule                  : rule38         session to be logged at end      : yes         session in session ager          : no         session sync'ed from HA peer    : no         layer7 processing                : enabled         URL filtering enabled            : yes         URL category                    : personal-sites-and-blogs         session QoS rule index          : default (class 4)   vsys単位で表示するには、次のコマンドを使用します: > show session all filter vsys-name < vsys >state active > show session all filter vsys-name vsys1 state active -------------------------------------------------------------------------------- ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port]) Vsys                                          Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 67137512     ldap           ACTIVE  FLOW  NS   192.168.55.218[62453]/trust-L3/17  (10.66.22.55[17114]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137503     ldap           ACTIVE  FLOW  NS   192.168.55.218[54391]/trust-L3/17  (10.66.22.55[20289]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137521     ldap           ACTIVE  FLOW  NS   192.168.55.218[49393]/trust-L3/17  (10.66.22.55[64245]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137501     ldap           ACTIVE  FLOW  NS   192.168.55.218[53507]/trust-L3/17  (10.66.22.55[23654]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137489     ldap           ACTIVE  FLOW  NS   192.168.55.218[64742]/trust-L3/17  (10.66.22.55[10889]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137523     ssl            ACTIVE  FLOW  NS   192.168.55.218[4958]/trust-L3/6  (10.66.24.55[61829]) vsys1                                          74.125.227.233[443]/untrust-L3  (74.125.227.233[443])   著者: wtam
記事全体を表示
tsakurai ‎07-02-2018 02:41 AM
3,938件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What Happens When Licenses Expire on the Palo Alto Networks Firewall? https://live.paloaltonetworks.com/t5/Management-Articles/What-Happens-When-Licenses-Expire-on-the-Palo-Alto-Networks/ta-p/53918   質問: Palo Alto Networks ファイウォールでライセンスの有効期限が切れた場合に何が起こりますか?   回答: ファイアウォールでライセンスの有効期限が切れた場合、下記の事象が発生します。 Support   - オンラインでのソフトウェア アップデートが不可となります。 Threat Prevention   - ThreatおよびAntivirus アップデートが実行されなくなり、スキャンには現状のデータベースが利用されます。 GlobalProtect サブスクリプション   - iOSおよびAndroid デバイスからのVPN接続が不可になります。 WildFire   - FreeバージョンのWildFire機能で動作します。つまり: WildFireではPortable ExecutableもしくはPEファイルのアップロードのみサポートします。 PEファイルタイプとは、拡張子が .exe、 .dll、.scrのファイルや、PEのヘッダー マジック ナンバーと一致したその他の拡張子のファイルを含むコンテナを意味します。 WildFire シグネチャに関しては、WildFire ライセンス有効時のようにWildFire signature feed (5分間隔)でのアップデートは行われませんが、有効なThreat Preventionのライセンスによりアップデートは行われます。 URL Filtering BrightCloud - BrightCloud データベースのアップデートは行われなくなります 。 URL Filtering ライセンスが切れた際の全体の通信に対するURL Filteringのアクションを指定できます。 WebGUI のObjects > セキュリティ プロファイル > URL フィルタリングへ進み、任意のプロファイル名をクリックし下記のウィンドウを表示します。URL Filtering ライセンスが切れた際のアクションとして、通信を許可("allow") もしくはブロック("block") の2つのオプションから選択できます。 Action On License Expiration で設定されたアクションは、当該URL Filtering プロファイルが適用されたルールにマッチする全てのウェブ通信に適用されます。アクションが"block"に指定されている場合、このルールにマッチする全てのウェブ通信は許可されません。アクションが "allow"に指定されている場合、通信は許可されます。 URL Filtering profile showing Action On License Expiration (BrightCloud) PAN-DB - PAN-DB クラウドではURLのルックアップとアップデートがブロックされます。 URL のカテゴライズには現状のデータベースが引き続き利用されます。現状のURL Filtering セキュリティ プロファイルで各カテゴリ毎に指定されているアクションがウェブ通信に適用されます。 URL エントリがキャッシュに存在する場合は、ルックアップの結果としてキャッシュ内のどのカテゴリでも返ります。 キャッシュ内のエントリが期限切れの場合もしくは存在しない場合は、ファイアウォールは最新の情報をクラウドへ問い合わせることができません。 カテゴライズされないURLへの通信は許可されます。 カスタム カテゴリ設定で指定されているURLは引き続きカスタム カテゴリに一致する動作になります。 PAN-DBの場合、URL Filtering セキュリティプロファイルに"Action On License Expiration   option "設定はありません。 新しいライセンスを取得した場合 ファイアウォールでDevice > ライセンス より新しいライセンスを取得した場合は、適用後すぐにライセンスに準じた通常の動作に戻ります。 注:  ファイアウォール上で 再度動作させるためのcommitや再起動は不要です。   著者: jjosephs
記事全体を表示
anishinoya ‎06-26-2018 09:30 PM
9,311件の閲覧回数
1 Reply
※この記事は以下の記事の日本語訳です。 How to Monitor Live Sessions in the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Monitor-Live-Sessions-in-the-CLI/ta-p/56958   詳細 次のコマンドを使用してセッション状況をリアルタイムに確認することができます:    > show session info ------------------------------------------------------------------------------- number of sessions supported:                   131071 number of active sessions:                      7501 number of active TCP sessions:                  5503 number of active UDP sessions:                  1980 number of active ICMP sessions:                 16 number of active BCAST sessions:                0 number of active MCAST sessions:                0 number of predict sessions:                     914 session table utilization:                      5% number of sessions created since system bootup: 1054609 Packet rate:                                    3298/s Throughput:                                     20321 Kbps ------------------------------------------------------------------------------- session timeout   TCP default timeout:                          3600 seconds   TCP session timeout before 3-way handshaking:    5 seconds   TCP session timeout after FIN/RST:              30 seconds   UDP default timeout:                            30 seconds   ICMP default timeout:                            6 seconds   other IP default timeout:                       30 seconds   Session timeout in discard state:     TCP: 90 seconds, UDP: 60 seconds, other IP protocols: 60 seconds ------------------------------------------------------------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                               2 X ------------------------------------------------------------------------------- session setup   TCP - reject non-SYN first packet:            no   hardware session offloading:                  yes   IPv6 firewalling:                             no ------------------------------------------------------------------------------- application trickling scan parameters:   timeout to determine application trickling:   10 seconds   resource utilization threshold to start scan: 80%   scan scaling factor over regular aging:       8 -------------------------------------------------------------------------------   現在のスループットと統計情報を表示する場合:    > show system statistics Device is up          : 2 days 23 hours 39 mins 11 sec Packet rate           : 2136/s Throughput            : 9599 Kbps Total active sessions : 7355 Active TCP sessions   : 5248 Active UDP sessions   : 2089 Active ICMP sessions  : 16   アクティブな全てのセッションを表示する場合:    > show session all ID/vsys   application     state   type flag   src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 4583/1    0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.83.1[4907]/corp-untrust (192.168.83.1[4907]) 16407/1   0               ACTIVE  FLOW        10.16.0.200[1475]/corp-trust/6 (10.16.0.200[1475])                                               10.5.20.110[139]/corp-untrust (10.5.20.110[139]) 119943/1  skype           ACTIVE  PRED        0.0.0.0[0]/corp-trust/6 (0.0.0.0[0])                                               75.111.30.222[443]/corp-untrust (75.111.30.222[443])   セッション フィルタのオプションを表示する:    > show session all filter + application        Application name + destination        destination IP address + destination-port   Destination port + destination-user   Destination user + from               From zone + nat                If session is NAT + nat-rule           NAT rule name + protocol           IP protocol value + proxy              session is decrypted + rule               Rule name + source             source IP address + source-port        Source port + source-user        Source user + state              flow state + to                 To zone + type               flow type   |                  Pipe through a command   フィルタ表示の例:    > show session all filter source 10.5.20.110 ------------------------------------------------------------------------------- ID        application     state   type flag   src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 22306     0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.83.1[4907]/corp-untrust (192.168.83.1[4907]) 20318     0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.189.1[4492]/corp-untrust (192.168.189.1[4492]) 111056    0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.83.1[3007]/corp-untrust (192.168.83.1[3007]) 130911    0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])   参照 How to View/Clear Sessions How to View Active Session Information Using the CLI   著者: panagent
記事全体を表示
tsakurai ‎06-26-2018 09:10 PM
4,418件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: How to Create an Application Override https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-Override/ta-p/65513   アプリケーション オーバーライドとは? アプリケーション オーバーライドは、Palo Alto Networks ファイアウォールを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。アプリケーション オーバーライド ポリシーが有効になると、すぐにそのトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。   使用例 あなたはアプリケーション識別を上書きする必要がある理由を尋ねるかもしれません。場合によって、顧客固有のニーズに対応する独自のカスタム アプリケーションを作成する場合があります。これらのアプリケーションでは、ファイアウォールがトラフィックの動作を認識し、既知のアプリケーションとして適切に識別するためのシグネチャがない場合があります。このような場合は、識別やレポートを簡単にし混乱を避けるためのアプリケーション オーバーライドを作成することをお勧めします。   アプリケーション オーバーライドを使用する典型的なシナリオを見てみましょう。例えば、TCP ポート 23を使用する独自のアプリケーションがあったとします。しかしファイアウォールを通過するトラフィックが"temenos-t24"と誤判定されることで混乱する場合は、トラフィックを正しく識別するためにアプリケーション オーバーライドを実装することができます。   セットアップに必要なもの アプリケーション オーバーライドを設定するには、WebUIで、Policies > アプリケーション オーバーライド に移動します。設定には次のものが必要となります: アプリケーション オーバーライド ポリシーで使用するカスタム アプリケーション(推奨) アプリケーション オーバーライド ポリシー 新しく作成されたカスタム アプリケーションを許可するセキュリティ ポリシー 手順 TCP ポート 23を使用するTelnetのための新しいカスタム アプリケーションを設定する: 当該トラフィックに対して新しいカスタム アプリケーションを作成します。WebUIで、Objects > アプリケーション に移動し、左下の"追加"をクリックします。 アプリケーションに名前をつけます(この場合、既に使用されているTelnet以外のもの)。この例では"Telnet_Override"を名前として使用します。またカテゴリ、サブカテゴリ、テクノロジの値を選択します。 オプション手順: これは必須ではない別のレイヤーまたは詳細を追加するものです。 詳細 > デフォルト に進み、ポートを選択し、アプリケーションのポートを一覧表示します。 この例ではTCP ポート 23が表示されています: パラメータとして"ポート"を選択した後、"追加"をクリックし、必要に応じて例のようにプロトコルとポートを入力します。この例ではシグネチャは必要ないため、このカスタム アプリケーションの作成を完了するために"OK"をクリックします。 アプリケーション オーバーライド ポリシーを作成するために、Policies > アプリケーション オーバーライドに移動し、"追加"をクリックします: "全般"タブでポリシーの名前を入力します。この例では"Telnet_Override"を使用します。 "送信元"に移動し、送信元ゾーンを追加します。送信元が静的の場合は送信元アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 "宛先に"に移動し、宛先ゾーンを追加します。宛先が静的の場合は宛先アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 プロトコル/アプリケーションに移動し、プロトコルを選択してからポート番号を入力し、作成したカスタム アプリケーションを選択します。 独自のアプリケーションを使って作成したアプリケーション オーバーライドが正しく動作することの確認   この新しいアプリケーションがファイアウォールを通過することを許可するためのセキュリティ ポリシーを作成するか、既存のルールを変更します。   新しいルールを作成するには、Policies > セキュリティ に移動し、左下の"追加"をクリックします。トラフィックがカスタム アプリケーションを使用して通過するゾーンのセキュリティ ポリシーを作成します。サービスで使用されるポートを指定します。全ての新しいセッションは新しいカスタム アプリケーションで検出され、トラフィックは許可されます。 コミットを実行し、テストします。前述のようにトラフィックは"telnet"や"temenos-t24"の代わりに、Telnet_Override"を使用する必要があります。 ポリシーの変更を反映するためにコミットを実行した後、CLIで以下のコマンドを実行し、セッションの詳細を表示します。 > show session all filter application Telnet_Override  
記事全体を表示
tsakurai ‎06-26-2018 06:40 PM
4,619件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dynamic Updates Display Error after Clicking on Check Now Button https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-Updates-Display-Error-after-Clicking-on-Check-Now-Button/ta-p/62294 症状 ダイナミック更新タブで最新のシグネチャを確認するために、"今すぐチェック" ボタンをクリックした際に、次のエラーが表示されることがあります: "Failed to check content upgrade info due to generic communication error. Please check network connectivity and try again."   原因 このエラーが表示される理由はいくつかありますが、通常はファイアウォールがインターネットに到達できるかどうかが関係しています。   解決方法   ファイアウォールで、updates.paloaltonetworks.comを解決できるようにDNS サーバーが設定されていることを確認します: WebUIから、Device > セットアップ > サービスに移動します: DNS servers ファイアウォールに適切なデフォルト ゲートウェイが設定されており、インターフェイス速度とデュプレックスが接続先のスイッチと一致するように設定されていることを確認します: Management interface properties Pingコマンドを使用してファイアウォールがFQDNを解決できることを確認します: admin@firewall> ping host www.example.com PING www.example.com (93.184.216.34) 56(84) bytes of data. 64 bytes from 93.184.216.34: icmp_seq=1 ttl=52 time=107 ms 64 bytes from 93.184.216.34: icmp_seq=2 ttl=52 time=106 ms 64 bytes from 93.184.216.34: icmp_seq=3 ttl=52 time=106 ms ^C --- www.example.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 106.349/106.643/107.025/0.388 ms Tracerouteコマンドを使用して、updates.paloaltonetworks.comへの通信が正しい経路を通ることを確認してください(最終ホストは応答しません) admin@firewall> traceroute host updates.paloaltonetworks.com traceroute to 199.167.52.141 (199.167.52.141), 30 hops max, 40 byte packets 1   10.192.16.1 (10.192.16.1)   0.522 ms   0.507 ms   0.497 ms 2   1.111-11-1.adsl-static.isp.belgacom.be (1.11.111.1)   32.761 ms   32.753 ms   32.740 ms 3   2 .222-22-2.adsl-static.isp.belgacom.be (2.22.222.2)   81.856 ms * * 4   * * * 5   * * * 6   * * * 7   prs-bb4-link.telia.net (213.155.136.222)   82.884 ms * * 8   ash-bb4-link.telia.net (62.115.122.159)   142.306 ms   147.212 ms * 9   sjo-b21-link.telia.net (80.91.248.188)   226.073 ms   222.208 ms   214.858 ms 10   internap-ic-140172-sjo-b21.c.telia.net (213.248.81.134)   201.253 ms   198.637 ms   219.945 ms 11   66.151.144.15 (66.151.144.15)   225.185 ms   242.096 ms   178.880 ms 12   paloaltonetit-5.border3.sje011.pnap.net (66.151.155.74)   194.397 ms * paloaltonetit-5.border3.sje011.pnap.net (66.151.155.74)   206.609 ms 13   * * * 14   * * * 15   * * * 16   * * * サービス ルートが期待どおりに設定されていることを確認します。管理ネットワークが分離されている場合は、インターネット接続のためにデータプレーンのインターフェイスを介して通信する必要があるサービスがあります: Use Default or Custom settings ファイアウォールが外部接続を行うことを許可しているセキュリティ ポリシーがあることを確認します: Note there is no URL filtering or file blocking profile SSL復号を使用している場合、updates.paloaltonetworks.comを復号対象から除外していない場合は、"更新サーバー ID の確認 (Verify Update Server Identity)"を無効にする必要があります: Verify Update Server Identity    
記事全体を表示
tsakurai ‎06-26-2018 06:25 PM
6,343件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URL Filtering Test Pages https://live.paloaltonetworks.com/t5/Management-Articles/URL-Filtering-Test-Pages/ta-p/198276 多くの管理者は「URL フィルタリング サービスが有害なURLや無害なURLに対して組織のポリシーを適切に実施できているかをどのようにテストすればよいか?」という疑問を持っています。 無害なカテゴリの場合、これは比較的簡単です。ウェブサイトにアクセスし、設計通りのポリシーやアクションが実行さているかログを確認するだけです。 これはWeb メール、スポーツ、ショッピングなどの無害なカテゴリでうまく機能します。一般的にアダルトサイトなど、職場でアクセスするのに相応しくないグレイ エリアのカテゴリの場合は少々難しくなります。更にマルウェアサイトなど明らかに有害なサイトに対してアクセスしたくないのは明白です。   我々は全てのカテゴリをテストするためのテスト URLを用意しています。これらのテスト URLは完全に無害ですが、URL フィルタリングのテストを目的としそれぞれのカテゴリに分類されています。   例えば、command-and-controlのテスト URLにアクセスする場合を説明します。ポリシーでcommand-and-controlと識別されるURLに対してcontinueが設定されている場合は、http://urlfiltering.paloaltonetworks.com/test-command-and-control にアクセスすると、continueのブロック ページが表示されます。     social-networkingなどの無害なカテゴリでは、ポリシーでこのカテゴリがalertに設定されている(アクセスは許可されている)場合、https://urlfiltering.paloaltonetworks.com/test-social-networking にアクセスすると次の結果が表示されます。   この情報もログに記録されるので、ログを参照することでどのようにカテゴリ判定されているか確認することができます。   有害なカテゴリのテスト ページの一覧は次のとおりです: http://urlfiltering.paloaltonetworks.com/test-malware http://urlfiltering.paloaltonetworks.com/test-phishing http://urlfiltering.paloaltonetworks.com/test-command-and-control   無害なカテゴリのテスト ページの一覧は次のとおりです: http://urlfiltering.paloaltonetworks.com/test-abortion http://urlfiltering.paloaltonetworks.com/test-abused-drugs http://urlfiltering.paloaltonetworks.com/test-adult http://urlfiltering.paloaltonetworks.com/test-alcohol-and-tobacco http://urlfiltering.paloaltonetworks.com/test-auctions http://urlfiltering.paloaltonetworks.com/test-business-and-economy http://urlfiltering.paloaltonetworks.com/test-computer-and-internet-info http://urlfiltering.paloaltonetworks.com/test-content-delivery-networks http://urlfiltering.paloaltonetworks.com/test-copyright-infringement http://urlfiltering.paloaltonetworks.com/test-dating http://urlfiltering.paloaltonetworks.com/test-dynamic-dns http://urlfiltering.paloaltonetworks.com/test-educational-institutions http://urlfiltering.paloaltonetworks.com/test-entertainment-and-arts http://urlfiltering.paloaltonetworks.com/test-extremism http://urlfiltering.paloaltonetworks.com/test-financial-services http://urlfiltering.paloaltonetworks.com/test-gambling http://urlfiltering.paloaltonetworks.com/test-games http://urlfiltering.paloaltonetworks.com/test-government http://urlfiltering.paloaltonetworks.com/test-hacking http://urlfiltering.paloaltonetworks.com/test-health-and-medicine http://urlfiltering.paloaltonetworks.com/test-home-and-garden http://urlfiltering.paloaltonetworks.com/test-hunting-and-fishing http://urlfiltering.paloaltonetworks.com/test-insufficient-content http://urlfiltering.paloaltonetworks.com/test-internet-communications-and-telephony http://urlfiltering.paloaltonetworks.com/test-internet-portals http://urlfiltering.paloaltonetworks.com/test-job-search http://urlfiltering.paloaltonetworks.com/test-legal http://urlfiltering.paloaltonetworks.com/test-military http://urlfiltering.paloaltonetworks.com/test-motor-vehicles http://urlfiltering.paloaltonetworks.com/test-music http://urlfiltering.paloaltonetworks.com/test-news http://urlfiltering.paloaltonetworks.com/test-nudity http://urlfiltering.paloaltonetworks.com/test-online-storage-and-backup http://urlfiltering.paloaltonetworks.com/test-parked http://urlfiltering.paloaltonetworks.com/test-peer-to-peer http://urlfiltering.paloaltonetworks.com/test-personal-sites-and-blogs http://urlfiltering.paloaltonetworks.com/test-philosophy-and-political-advocacy http://urlfiltering.paloaltonetworks.com/test-private-ip-addresses http://urlfiltering.paloaltonetworks.com/test-proxy-avoidance-and-anonymizers http://urlfiltering.paloaltonetworks.com/test-questionable http://urlfiltering.paloaltonetworks.com/test-real-estate http://urlfiltering.paloaltonetworks.com/test-recreation-and-hobbies http://urlfiltering.paloaltonetworks.com/test-reference-and-research http://urlfiltering.paloaltonetworks.com/test-religion http://urlfiltering.paloaltonetworks.com/test-search-engines http://urlfiltering.paloaltonetworks.com/test-sex-education http://urlfiltering.paloaltonetworks.com/test-shareware-and-freeware http://urlfiltering.paloaltonetworks.com/test-shopping http://urlfiltering.paloaltonetworks.com/test-social-networking http://urlfiltering.paloaltonetworks.com/test-society http://urlfiltering.paloaltonetworks.com/test-sports http://urlfiltering.paloaltonetworks.com/test-stock-advice-and-tools http://urlfiltering.paloaltonetworks.com/test-streaming-media http://urlfiltering.paloaltonetworks.com/test-swimsuits-and-intimate-apparel http://urlfiltering.paloaltonetworks.com/test-training-and-tools http://urlfiltering.paloaltonetworks.com/test-translation http://urlfiltering.paloaltonetworks.com/test-travel http://urlfiltering.paloaltonetworks.com/test-unknown http://urlfiltering.paloaltonetworks.com/test-weapons http://urlfiltering.paloaltonetworks.com/test-web-advertisements http://urlfiltering.paloaltonetworks.com/test-web-hosting http://urlfiltering.paloaltonetworks.com/test-web-based-email
記事全体を表示
tsakurai ‎06-26-2018 06:18 PM
5,396件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View/Clear Sessions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Clear-Sessions/ta-p/52577   ファイアウォール上のアクティブセッションを表示: > show session all ------------------------------------------------------------------------------------------ ID/vsys application state type flag src[sport]/zone/proto (translated IP[port]) dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------------------ 129617/1 skype ACTIVE PRED 0.0.0.0[0]/corp-trust/6 (0.0.0.0[0]) 97.87.56.37[28775]/corp-untrust (97.87.56.37[28775]) 114143/1 yahoo-voice ACTIVE FLOW 10.16.3.232[49259]/corp-trust/6 (10.16.3.232[49259]) 68.142.233.183[443]/corp-untrust (68.142.233.183[443])   セッション ID を指定して特定のセッションを削除: > clear session ID 129617 session 129617 cleared   全てのセッションを削除: > clear session all    セッションを削除する際に利用可能なフィルターの一覧を表示: > clear session all filter [tab] + application Application name + destination destination IP address + destination-port Destination port + destination-user Destination user + from From zone + nat If session is NAT + nat-rule Rule name + protocol IP protocol value + proxy session is decrypted + rule Rule name + source source IP address + source-port Source port + source-user Source user + state flow state + to To zone + type flow type <Enter> Finish input   特定のアプリケーションのセッションを削除: > clear session all filter application skype Sessions cleared   特定の送信元もしくは宛先 IP アドレスのセッションを削除: > clear session all filter source 192.168.51.71 Sessions cleared > clear session all filter destination 8.8.8.8 Sessions cleared     注:  セッションを削除するすべてのコマンドは、単体のファイアウォールもしくは High Availability (HA) 構成のペアのファイアウォール上で同様に動作します。     参照:   How to Clear Sessions from the Session Monitor   著者: panagent
記事全体を表示
anishinoya ‎06-25-2018 10:22 PM
3,042件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Can Policies be Exported from the Firewall? https://live.paloaltonetworks.com/t5/Management-Articles/Can-Policies-be-Exported-from-the-Firewall/ta-p/60321   ポリシーを見やすくするために、Palo Alto Networksファイアウォールからエクスポートすることはできますか?   ポリシーのエクスポート機能はありませんが、CLIより"set" フォーマットでルールを表示することが可能です。   CLIより下記のコマンドを実行:  > set cli config-output-format set   Configureモードにて下記のコマンドを実行: # show rulebase security rules  # show rulebase   (他のポリシーを表示する場合は種類を指定)   著者:  odaos
記事全体を表示
anishinoya ‎06-25-2018 10:17 PM
3,175件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Advanced VPN IPSec troubleshooting 8.0 (enable debugging per VPN peer) https://live.paloaltonetworks.com/t5/Management-Articles/Advanced-VPN-IPSec-troubleshooting-8-0-enable-debugging-per-VPN/ta-p/169303   PAN-OS 8.0以降より、IPSec VPNのpeer を指定してdebug ログを有効にすることができます。   PAN-OS 8.0以前:  admin@PA-VM-7.1> debug ike > global   global > pcap     pcap > socket   socket > stat     show IKE daemon statistics    PAN-OS 8.0 以降:  admin@PA-VM-8.0> debug ike > gateway   debug IKE gateway > global    global > pcap      pcap > socket    socket > stat      show IKE daemon statistics > tunnel    debug IPSec tunnel     "gateway" もしくは "tunnel" のキーワードを使用して、指定したVPN ゲートウェイもしくはIPSec トンネルでのみdebug ログを有効にすることができます。   例:  admin@PA-VM-8.0> debug ike gateway IKE-GW-HQ > clear   clear IPSec tunnel statistics > off     Turn off IPSec tunnel debug logging > on      Turn on IPSec tunnel debug logging > stats   show IPSec tunnel statistics admin@PA-VM-8.0> debug ike gateway IPSEC-HQ > clear   clear IPSec tunnel statistics > off     Turn off IPSec tunnel debug logging > on      Turn on IPSec tunnel debug logging > stats   show IPSec tunnel statistics   注: 指定できるフィルタはIKE ゲートウェイ、IPSec トンネル併せて 5 つまでです。     VPN IPSEC トラブルシューティングの情報についてはこちらもご覧ください。(英文) https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Troubleshoot-IPSec-VPN-connectivity-issues/ta-p/59187
記事全体を表示
anishinoya ‎06-25-2018 10:05 PM
2,698件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View and Install PAN-OS Software through the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-and-Install-PAN-OS-Software-through-the-CLI/ta-p/51976   概要 このドキュメントでは、CLIを使用して利用可能なPAN-OS ソフトウェアを表示したり、インストールする方法について説明します。   詳細 利用可能なPAN-OS ソフトウェアのリストを表示するために、次のコマンドを使用します: > request system software info   このコマンドは以下に示すように、利用可能なソフトウェアとダウンロード済みソフトウェアの一覧を表示します: 目的のソフトウェア バージョンが一覧にない場合は、次のコマンドで最新の利用可能なPAN-OSの一覧を取得できます: > request system software check   このコマンドは以下に示すように、このファイアウォールで利用可能な全てのソフトウェア バージョンを取得します: 目的のソフトウェア バージョンにダウンロード済みのマークが付いていない場合は、まずダウンロードしてください: > request system software download version 6.1.2   ダウンロード済みのソフトウェアをインストールするには、次のコマンドを使用してください: > request system software install version 6.1.2   インストール後、以下のコマンドを使用してデバイスを再起動します: > request restart system   参照 コマンド ライン インターフェース (CLI)の詳細については、次のドキュメントを参照してください: (訳注:原文ではPAN-OS 6.0のCLI リファレンスガイドへのリンクとなっていますので、翻訳に際しPAN-OS 7.1以降のCLI Quilck Startへのリンクと差し替えさせていただきます。) PAN-OS 7.1 CLI Quick Start PAN-OS 8.0 CLI Quick Start PAN-OS 8.1 CLI Quick Start 著者: rkotty
記事全体を表示
tsakurai ‎06-25-2018 08:48 PM
4,629件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Application-Default Ports for an Application https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Application-Default-Ports-for-an-Application/ta-p/61616   概要 "Application-default" ポートは、様々なアプリケーションで使用されるデフォルトの宛先ポートであり、セキュリティ ポリシーの設定でよく使用されます。   詳細 次のコマンドを使用して、各アプリケーションの"application-default" ポートを確認することができます: # show predefined application <application>   以下の例では、"gmail-base"によって使用されるデフォルトの宛先ポートがデフォルト セクションに表示されています: > configure Entering configuration mode [edit] # show predefined application gmail-base gmail-base {   ottawa-name gmail;   category collaboration;   subcategory email;   technology browser-based;   description "Gmail is a free, advertising-supported email service provided by Google. Users may access Gmail as secure webmail, as well as via POP3 or IMAP4 protocols.";   alg no;   appident yes;   virus-ident yes;   spyware-ident yes;   file-type-ident yes;   vulnerability-ident yes;   evasive-behavior no;   consume-big-bandwidth no;   used-by-malware yes;   able-to-transfer-file yes;   has-known-vulnerability yes;   tunnel-other-application yes;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   timeout 1800;   deny-action drop-reset;   data-ident yes;   run-decoder no;   cachable no;   file-forward yes;   references {     Wikipedia {       link http://en.wikipedia.org/wiki/Gmail;     }   }   default {     port tcp/80,443,993,995,465,587;   }   use-applications [ imap pop3 smtp ssl web-browsing];   tunnel-applications [ gmail-chat gmail-drive gmail-enterprise google-buzz google-talk-base];   implicit-use-applications web-browsing;   applicable-decoders http;   risk 4;   application-container gmail; } Web UIで同じ情報を確認することができます。(Objects > アプリケーション) 以下のスクリーンショットは、gmail-baseのポートを表示したもので、標準ポート (Standard Ports) で確認できます:   著者: sdurga
記事全体を表示
tsakurai ‎06-25-2018 08:43 PM
2,634件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Use Anti-Spyware, Vulnerability and Antivirus Exceptions to Block or Allow Threats https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Use-Anti-Spyware-Vulnerability-and-Antivirus-Exceptions/ta-p/66099   この記事は、アンチスパイウェア、脆弱性防御、アンチウイルスの例外設定において、Palo Alto Networks ファイアウォールで、特定脅威のアクションを変更する方法について記述しています。    アンチスパイウェア、脆弱性防御の例外設定 この例では、アンチスパイウェアの既存プロファイル名 "Threat_exception_test_profile" の例外設定に脅威ID番号30003を追加します。 Objects > セキュリティ プロファイル > 'アンチスパイウェア' もしくは '脆弱性防御' に移動します。 既存のプロファイルを選択 "例外 (Exceptions)"タブを選択 まず、画面左下にある"Show all signatures"チェックボックスを選択し、 検索フィールドで、検索したい文字列(例:'microsoft' )もしくは脅威ID番号(例:30003)を入力し、改行ボタン、もしくは緑の矢印をクリックし、検索を実行します。 注意: もしシグネチャ検索がdynamic update直後で、検索結果が得られない場合は、GUIのキャッシュをクリアするために、WebUIをログアウトして、ログインしなおしてください。 "Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability"(脅威ID番号30003)が表示されます。 注意: 脅威ID番号は、threatログから容易に見つけられます。 この例外を有効にするため'Enable'ボックスをクリックします。 既定の'アクション'を変更するため、通過させたい場合はAllow、落としたい場合は、Dropを選択します。 Threat Action detail - change default action. IPアドレスの例外欄は、脅威例外をIPアドレスでフィルターしたい場合に使います。もしIPアドレスが追加されれば、送信/宛先IPアドレスが例外設定と一致した場合のみ、シグネチャのルールアクションが適応されます。シグネチャ当たり100個までIPアドレスを追加できます。このオプション設定によって、特定のアドレス毎に、新しいセキュリティ・ルールを作る必要はありません。全てのトラフィックでなく特定のアドレスを除外したい場合、画面下の"IP Address Exemptions"をクリックして、追加したいIPアドレスを100個まで追加してください。 IP Address Exemption detail. IPアドレス例外設定詳細 アンチスパイウェアもしくは脆弱性防御プロファイルが適切なセキュリティ ポリシーに設定されていることを確認してください。 例外設定を有効にするためにCommitを実行します。   アンチウイルス例外設定 この例では、アンチウイルスの既存のプロファイル名 "AV_exception_test_profile" の例外設定に脅威ID番号253879を追加します。 (注意: アンチウイルスの例外設定は、全体に対して有効か無効かの設定であり、特定のIPアドレスに対しての例外設定はできません)   Objects > セキュリティ プロファイル > アンチウイルスに移動します。 既存のプロファイルを選択し、ウイルス例外 (Virus Exception) タブをクリック。 ID(この例では253879)をページ下の脅威 ID フィールドに入力し、追加をクリックします。 注意: 脅威 IDはthreat ログから見つけられます。 この例では、"Win32/Virus.Generic.koszy"の例外が作られました。 AntiVirus - Virus Excemption window detail. AntiVirus – Virus例外ウィンドウの詳細 アンチウイルス プロファイルが適切なセキュリティ ポリシーに設定されていることを確認してください。 アンチウイルス例外設定には特定IP アドレスを除外するオプションはありません。 変更を反映するためにCommitを実施します。   著者: kadak
記事全体を表示
kkondo ‎06-13-2018 10:24 PM
5,758件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Configure Palo Alto GlobalProtect with Azure Multi-Factor Authentication https://live.paloaltonetworks.com/t5/Management-Articles/Configure-Palo-Alto-GlobalProtect-with-Azure-Multi-Factor/ta-p/79117   AzureのRADIUS認証で多要素認証 (MFA) を使ったGlobalProtectの設定方法について記述します。設定の注意点として、AzureはPAP と MSCHAPv2 認証のみのサポートなので、Palo Alto Networks GlobalProtectでは、PAP認証方式のみ設定が可能です。   Azure MFA設定は、オンプレミスのMFA Server RADIUS(Microsoft推奨)を使用します。 注意: MFA Serverが既にインストールされており、ADとユーザー情報がSync済みであることを前提としています。   Radius認証を有効にします。 クライアント タブでは、Azure Multi-Factor Authentication RADIUS serviceがRADIUS リクエストを受け付けるポートをスタンダードポート以外にする必要がある場合、認証、アカウンティングポートを変更します。これはPalo Alto Networks上の設定も同様です。 クライアント欄で、Addをクリック Palo Alto Networks ファイアウォールのManagement IPをAzure Multi-Factor Authentication Serverに認証するIPアドレスとして設定します。 名前を入力します(任意設定) 共有暗号鍵 (shared secret) を入力します。 'Require Multi-Factor Authentication user match' チェックボックスをクリック。 もしユーザがAzure Multi-Factor Authenticationモバイルアプリ認証を使用していて、OATHのパスコードを、外線通話、SMS、プッシュ通知の際に利用したい場合は、‘Enable fallback OATH token’ チェックボックスをクリックします。      8. Targetタブで、機器がドメインに参加している場合は‘Windows domain’を選択、そうでない場合は’LDAP bind’を選択します。       GlobalProtect設定 注意: Azure MFA SeverはPAPとMSCHAPv2のみのサポートです。GlobalProtectの設定で、PAP認証を設定する必要があります。デフォルト設定はAutoです。もし違う認証が選択された場合、authd.logに不正ユーザ名/パスワードのエラーメッセージのみが記録されます。 RADIUS CHAP認証モードをPAN-OS 7.0.3、それ以前で、CLI、WebUIから手動設定で外すオプションはありません。 PAN-OS 7.0.4以降では、以下のコマンドで、手動設定でRADIUS認証タイプを選択できます。 > set authentication radius-auth-type <auto|chap| pap >   Palo Alto Networks ファイアウォールにログインします。 Device> サーバー プロファイル > RADIUSに移動し、以下のプロファイルを作成します。 a. プロファイル名 (Profile Name) -  MFA serverの名前 b. 場所 (Location) - 共有 (Shared) c. タイムアウト (Timeout) – 30~60秒で、multi-factor認証、Radiusアクセス・リクエスト処理の送受信など、ユーザ認証に必要な時間(以下のスクリーンショットを参照) d. 再試行 (Retries) – 3回 e. 追加 (Add) をクリックし、RADIUS ServerにWindows Azure Multi-Factor Authentication serverのFQDNもしくはIP アドレスと、以前に設定したshared secretを入力 f. ポート (Port) - 1812 (デフォルト). Network > ゲートウェイ(ゲートウェイは設定済みであることが前提) 全般 > 認証プロファイルでステップ2で作成したプロファイルを選択           著者: smisra  
記事全体を表示
kkondo ‎06-12-2018 11:32 PM
2,531件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Delete Unnecessary Downloaded Software Versions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Delete-Unnecessary-Downloaded-Software-Versions/ta-p/66014   詳細 Palo Alto Networks ファイアウォールは、ダウンロード済みソフトウェア・バージョンを、いつでも古いバージョンに戻すことができるために保存しています。アップグレード後、ディスクスペースの確保のために、古い、不必要なソフトウェアを削除したいかもしれません。   WebGUIから WebGUI > Device > Softwareを選択し、内側のパネルから実行できます。内側のパネルには現在ダウンロード済みのソフトウェアが表示されています。そして現在使用していないソフトウェアを削除することができます。例えば、現在PAN-OS 7.1.2(ベースOSイメージとしてPAN-OS 7.1.0も必要です)にて起動しているとします。PAN-OS 7.0.1 or 6.1.0といった古いVersionが不必要だった場合、削除することができます。   Device > Software tab showing the installed versions. Use the X to delete a version that is not currently activated. Device > SoftwareタブではインストールされたVersionが表示されています。”X”ボタンで、未使用なVersionを削除できます。 内側のパネルに表示されている、未使用の各PAN-OSの右側に”X”ボタンがあり、それをクリックすることで削除することができます。システムの起動には現行Versionとベース Version(例:PAN-OS 7.1.3が現行Versionで、PAN-OS 7.1.0がベース Versionの場合、双方とも削除することができません)が必要です。それ以外のVersionは削除することができます。   CLIから 以下のコマンドで古いソフトウェアを削除することができます : > delete software version <filename> PAN-OS 5.0.8を削除するコマンドの例です : > delete software version 5.0.8   ?キーや<tab>キーを入力すると、その他のオプションが表示されます。   消したいVersionを選択してください。この例では、PAN-OS 6.0.6が現行Versionで、ベース VersionのPAN-OS 6.0.0は削除できません。   注意: これらのファイルが保存されているパーティションは”/opt/panrepo”です。”> show system disk-space”コマンドをファイル削除・前後で確認してみてください。古いVersionを削除後、スペースが確保されていることが確認できます。   著者: rborda
記事全体を表示
kkondo ‎06-12-2018 09:33 PM
3,033件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Management-Articles/User-ID-Agent-Shows-as-not-conn-on-the-Palo-Alto-Networks/ta-p/75618     User-ID エージェントの状態がPalo Alto Networks ファイアウォール上で'not-conn'と表示される。   admin@PA-200> show user user-id-agent state all   Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007           Status                                               : not-conn:idle           Version                                               : 0x0           num of connection tried                               : 13           num of connection succeeded                           : 0 .....   GUI上では、該当の状態は以下のようになります:        'non-conn' (未接続)状態は様々な理由で発生しえます。以下の事項をチェックしてください:   高可用性(HA)を設定していると、アクティブ デバイスのみがUser-ID エージェントに接続し、パッシブのファイアウォールは常に未接続と表示されます。 ユーザーID エージェントが機器/サーバーに適切にインストールされ、ホストが5007番ポートを開放している必要があります:User-IDエージェント設定のヒント(Tips) ファイアウォールからサービスルートにて、User-IDエージェントに対して適切な接続性を保つ必要があり、該当のポートは中間でブロックされてはなりません。 User-ID コレクターを使用する場合、再配信ファイアウォールが適切に設定され、ファイアウォールと接続性があることを確認してください。再配信ファイアウォールにて、サービスとポリシーが適切に許可されていることも確認してください:Firewall Deployment for User-ID Redistribution (訳注) ファイアウォールと再配信ファイアウォールはSSLを接続に使用するため、ファイアウォールで使用するSSL証明書が無効となっていないことを確認してください。管理ポートまたはデータプレーン ポート(サービス ルートを使用している場合)でハンドシェイクをキャプチャし、Client Certificateのパケットを展開して、証明書の有効性を確認してください:マネジメント インターフェイスでのパケット キャプチャの取得方法 何らかのエラーの出力がないか、ファイアウォールのUser-IDのログを確認します: admin@PA-200> tail follow yes mp-log useridd.log 2016-04-01 17:00:44.370 +0800 Error:   __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(10.129.80.47):50072016-04-01 17:00:44.371 +0800 Error:   __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(5007): Internal Error2016-04-01 17:00:44.371 +0800 Error:   pan_ssl_conn_open(pan_ssl_utils.c:383): pan_tcp_sock_open() failed   訳注:原文は翻訳時点でサポート期限切れのPAN-OS 6.0文書を参照していたため、翻訳文書ではPAN-OS 8.1文書へのリンクに変更しています   著者: abjain 
記事全体を表示
TShimizu ‎06-12-2018 08:29 PM
3,124件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Recommended update interval and timings for Dynamic Updates https://live.paloaltonetworks.com/t5/Management-Articles/Recommended-update-interval-and-timings-for-Dynamic-Updates/ta-p/215475     はじめに 本ドキュメントでは、ダイナミック更新における繰り返し周期および更新タイミングの推奨値について記載しています。  アップデート サーバーにおけるネットワーク負荷は特定のタイミングによって高かったり低かったりします。安定してアップデートを受け取るために、ダイナミック更新を行う際にはサーバーの負荷が高いタイミングをなるべく避けることをお勧めします。     推奨 1. 繰り返し周期の設定 繰り返し周期はなるべく短く設定することをお勧めします。そうすることによって、次のアップデートのタイミングが早く来るためです。   例えば、繰り返しの設定(Recurrence)が "毎日"に設定されており、仮にダイナミック更新に失敗した場合は、次の日になるまでダイナミック更新が行われません。"毎時"に設定しておくことによって、次の更新を1時間後に走らすことができます。   2. 更新タイミングの設定 (分、日時) 以下のタイミングは避けて設定するようにお勧めします。 00/01/02/03/05/10/15/16/20/25/30/31/35/40/45/46/50/55 (分)     PAN-OS 6.1                                        日時(Time)の箇所はプルダウン メニューですが、手動で値を変更することも可能です。   PAN-OS 7.0                                       日時(Time)の箇所はプルダウン メニューですが、手動で値を変更することも可能です。   PAN-OS 8.0                     PAN-OS 8.1                                     ここに書かれた推奨設定は、アンチウイルス、WildFire 、アプリケーションおよび脅威、の全てが対象となります。(ただし、WildFireのアップデートが毎分更新に設定されている場合を除きます。)   必要に応じて、ファイアウォールが最新のコンテンツをインストールするまでどれくらい待つかを決める ”しきい値” を設定してください。詳細については、管理者ガイド(ベストプラクティスの章)や以下の記事を参照してください。   https://www.paloaltonetworks.com/documentation/document-search?q=Best+Practices+for+Application+and+Threat+Content+Updates(英文) https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-updates-scheduled-with-a-threshold-set-but-are-never-or/ta-p/65952(英文)
記事全体を表示
ymiyashita ‎06-12-2018 01:09 AM
4,651件の閲覧回数
0 Replies
Symptoms キャプティブ ポータル(CP)  ユーザーは始めに必ずユーザー名とパスワードを入力することになります。しかし、キャプティブ ポータル ユーザーがHTTPS ウェブ サイトを訪問するとき、ユーザー名とパスワードを入力するページに遷移しません。結果として、パロアルトネットワークスのファイアーウォールはそのユーザーが誰であるかを認識しません。(これは、HTTPSセッションがキャプティブ ポータルのページをバイパスするためです。) Diagnosis 既知のユーザーにはno decrypt policy を使います。ユーザー名とパスワードを入力した後は既知のユーザーということになります。 無線を利用した未知のユーザーにはdecrypt policy を使って、HTTPSセッション/ウェブサイトを開いた際にキャプティブ ポータルのページが表示されるようにします。ユーザー名とパスワードを入力するまでは未知のユーザーであるため、SSL復号化により、キャプティブ ポータルがトリガーされます。 未知のユーザーに対する復号化ポリシーによって、ユーザーが訪問しようとしているウェブサイトとは別にキャプティブ ポータルのページが提供されます。  Solution 前提条件   SSL復号化の知識 キャプティブ ポータル(CP)の知識 動作しないときのシナリオ 無線用のゾーンから未知のユーザーがhttps://www.google.comを訪問しようとします。 SSLセッションであるため、キャプティブ ポータルがトリガーされません。 ファイアーウォールはユーザーを識別できず、キャプティブ ポータルのページも表示されません。   動作するときのシナリオ ユーザーがHTTPSでどこかのURLを訪問するときに必ずキャプティブ ポータルのページが表示されるように、SSL復号化の設定が必要です。 SSL復号化の設定はここをクリック キャプティブ ポータルの設定はここをクリック   以下のスクリーン ショットと記述を参考にしてください:       動作するときのシナリオ 復号化ポリシー 1は無線経由の既知ユーザーに対するno decryptポリシーです。 復号化ポリシー 2は無線のゾーンから来たすべてのトラフィックに対して復号化するポリシーです。   未知のユーザーが無線のゾーンからhttps://www.google.comにアクセスしようとします。 復号化ポリシー 2がトリガーされ、CPのページが表示されます。 未知のユーザーが別のHTTPSサイトにアクセスしようとしても、復号化ポリシーによって同じようにCPのページが表示されます。 ユーザーがユーザー名とパスワードを入力します。このユーザーは captive-portal-grpに属しています (ADでCPユーザーを認証します)。 この後はファイアーウォールはユーザーを認識でき、復号化ポリシー 1がトリガーされます。これにより既知のユーザーのこれ以降のトラフィックについては復号化されず、認証の警告ページは表示されません。 グループとゾーンを設定したセキュリティー ポリシーもそれぞれ必要です。グループを指定したポリシーは一番上に設定し、ゾーンを指定したポリシーはその下にくるようにしてください。   警告メッセージの説明 未知のユーザーは無線のゾーンからアクセスしてきますが、彼らにファイアーウォールの自己署名証明書をインストールする手段はないので、復号化の際に警告メッセージが表示されることになります。   もしサード パーティーの証明書をCP用に利用できるのであれば、ユーザー認証の後no decryptのルールが適用され、証明書の警告が表示されないようになります。   ありがとう。   Tarang Srivastav   ※この記事は以下の記事の日本語訳です。 Captive Portal Not Working with HTTPS sessions https://live.paloaltonetworks.com/t5/Management-Articles/Captive-Portal-Not-Working-with-HTTPS-Sessions/ta-p/78346  
記事全体を表示
skobayashi ‎06-06-2018 05:28 PM
3,489件の閲覧回数
0 Replies
本文書ではTraps トラブルシューティングセミナー(情報収集編)"(コースコード:JPN-002)でご紹介するリンクをまとめています。   ProcDump https://technet.microsoft.com/ja-jp/sysinternals/dd996900.aspx TestWER http://support.citrix.com/article/CTX111901 StartTypeについて https://technet.microsoft.com/en-us/library/cc959920.aspx [SQL Troubleshooting] 第1回 : Tips / SQL Server エラーログとイベント ログを採取する (SQL 2000 ~ 2014) Ver 2.0 https://blogs.msdn.microsoft.com/jpsql/2012/03/29/sql-troubleshooting-1-tips-sql-server-s/ データベースの完全バックアップの作成 (SQL Server) https://msdn.microsoft.com/ja-jp/library/ms187510(v=sql.120).aspx Ask Core:なにかと便利な Err.exe https://blogs.technet.microsoft.com/askcorejp/2010/05/28/err-exe/ ProcessExplorer https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx Process Monitor https://technet.microsoft.com/ja-jp/sysinternals/processmonitor.aspx CURL https://curl.haxx.se/ Cytoolの利用方法について https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-admin-guide/troubleshooting/cytool Traps Explorer https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-View-and-Manage-the-Traps-Client-Policy-on-the-Endpoint/ta-p/75549 構成オプションを使用して SQL Server のメモリ使用量を調整する方法 http://support.microsoft.com/kb/321363/ja Python https://www.python.org/downloads/ Service Stop Operations https://technet.microsoft.com/en-us/library/cc756361(v=ws.10).aspx EventCreator https://blakehandler.wordpress.com/2006/02/28/new-free-Microsoft-mom-2005-resource-kit-with-powertoy/ お客さま向けサポート情報 https://live.paloaltonetworks.com/t5/お客さま向けサポート情報/tkb-p/JPSupportInfo
記事全体を表示
rtakeishi ‎05-29-2018 05:51 PM
2,285件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Threat Database Handler (Commit Error) https://live.paloaltonetworks.com/t5/Featured-Articles/Threat-Database-Handler-Commit-Error/ta-p/120490     問題/現象 Palo Alto Networks デバイスにて以下のエラーでコミットが失敗します。   Threat database handler failed Commit failed Failed to commit policy to device     原因 AV アップデート プロセスや、コンテンツ アップデート プロセスが特別な理由もなく不意に失敗することがあります。この問題はPA-200においてよく見られますが、 PA-3000 のような他のプラットフォームでも見受けれます。壊れたAV シグネチャー データベース、またはコンテンツのデータベースがこれらのコミットの失敗を引き起こします。   回避策 CLIから Anti-Virus を手動でインストールすることによって、この問題を回避できるようになります。まず Anti-Virus ファイルを https://support.paloaltonetworks.com  > Dynamic Updates から手動でダウンロードし、そのファイルをパロアルトネットワークス ファイアウォールにアップロードします。アップロード後、以下のコマンドをCLIにて実行し、手動でAVをインストールします。   > request anti-virus upgrade install file panup-all-antivirus-2276-2715.candidate.tgz 2016/02/23 15:21:13 97473.4K panup-all-antivirus-2283-2722.candidate.tgz 2016/03/01 15:27:58 102607.3K <value>   もしこの回避策を行っても問題が解決しなければ、PAN-OS を以下に記載したバージョン以降のものにアップグレードするか、パロアルトネットワークス サポートにお問い合わせください。   解決手段 本問題に関する修正がPAN-OS バージョンの  7.1.2, 7.0.8, 6.1.13に含まれています。   トラブルシューティング 本事象のエラーが起きているかどうかは、device server ログ内に出てくる以下のAVキャッシュのエラーがあるかどうかで判断してください。   2016-02-24 01:39:29.493 -0500 [TDB] Load virus cache now 2016-02-24 01:39:29.493 -0500 load virus cache /opt/pancfg/mgmt/updates/curav/ 2016-02-24 01:39:29.493 -0500 Virus - Content Engine version: 0x7000000 version 6e308c2, min_ threat _version 92007b , path /opt/pancfg/mgmt/updates/curav/ 2016-02-24 01:39:29.814 -0500 Error: pan_tdb_do_load_virus_serialize(pan_tdb_ser.c:735) : Virus version mismatch 0x6df08be vs 0x6e308c2 2016-02-24 01:39:29.862 -0500 Error: pan_tdb_do_load_virus_cache(pan_tdb_handler.c:365) : [TDB] Load /opt/pancfg/mgmt/updates/curav//cache/virus.cache. ser-8 error, will load again 2016-02-24 01:39:29.862 -0500 [TDB] Loaded path /opt/pancfg/mgmt/updates/curav/ cache loaded 0 skip 0 2016-02-24 01:40:10.202 -0500 Error: pan_tcomp_sqlite3_compile(pan_tcomp_sqlite3.c:295) : SQL error: database disk image is malformed  
記事全体を表示
ymiyashita ‎05-03-2018 04:03 AM
3,610件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Meaning of Error Codes When Content Update Fails With "Auto update agent failed to download content" https://live.paloaltonetworks.com/t5/Management-Articles/Meaning-of-Error-Codes-When-Content-Update-Fails-With-quot-Auto/ta-p/54109   詳細 コンテンツの更新に失敗すると、システムログに次のような内容が表示されることがあります: xx/xx 04:30:17  Connection to Update server: staticupdates.paloaltonetworks.com completed successfully, initiated by xx.xx.xx.xx xx/xx 04:30:27  Connection to Update server closed: , source: xx.xx.xx.xx xx/xx 04:30:28    Auto update agent failed   to download content version xxxx-xxxx   ms.logでエラーの詳細が確認できます: --2014-xx-xx xx:xx:x-- https://staticupdates.paloaltonetworks.com/Updates/UpdateService.asmx/CheckForSignatureUpdate Resolving staticupdates.paloaltonetworks.com... 199.167.52.15 Connecting to staticupdates.paloaltonetworks.com|199.167.52.15|:443... connected.   2014-07-09 04:30:17 (4.00 MB/s) - `/tmp/.contentinfo.xml.tmp' saved [4215/4215] NO_MATCHES NO_MATCHES xxx xx 04:30:28   updater error code:-8 xxx xx 04:30:28 Error: pan_jobmgr_downloader_thread(pan_job_mgr.c:2080): DOWNLOAD job failed xxx xx 04:30:28 Error: _pan_mgmtop_finish_download_content(pan_ops_content.c:1351): Failed to download file   エラー コード 8 は Palo Alto Networks ファイアウォールがダウンロード サーバーに接続した後に予期しない応答または不正な応答を受け取ったことを示します。   以下によく見られるエラー コードと一般的な意味について記述します: 一般的な通信エラー(DNSの名前解決失敗など) パースエラー(‘.wgetrc’ や ‘.netrc’ などのコマンドライン オプションを解析する時など) ファイル I/O エラー ネットワーク障害 SSL検証失敗 認証失敗 プロトコル エラー サーバーからのエラー応答   著者: kkondo  
記事全体を表示
tsakurai ‎04-28-2018 07:35 PM
4,182件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What Will Cause a URL to be Categorized as 'private-ip-address'? https://live.paloaltonetworks.com/t5/Management-Articles/What-Will-Cause-a-URL-to-be-Categorized-as-private-ip-address/ta-p/52194   カテゴリ 'private-ip-address' は、RFC 1918で定義されている以下のIPアドレスに使用されます: 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) 169.254.0.0 - 169.254.255.255 (169.254/16 prefix)   'private-ip-address' カテゴリは、'.local' のように公的に登録されていないトップレベルドメインにも使用されます。 これには、トップレベルドメインを含まない短い名前を使用するURLも含まれます。 以下を参照してください:   著者: jteetsel  
記事全体を表示
tsakurai ‎04-28-2018 07:33 PM
3,071件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 Policy behavior change application-default https://live.paloaltonetworks.com/t5/Configuration-Articles/PAN-OS-7-1-Policy-behavior-change-application-default/ta-p/75664     PAN-OS 7.1において、セキュリティ ポリシー ルールがアプリケーション  'Any' かつサービス設定 'application-default'  に設定されている場合、そのルールのアクションは標準ポートを使用するアプリケーションにのみ適用されます。   例えば、もしセキュリティ ポリシー ルールがデフォルトのアプリケーション ポートを使用するアプリケーションのみ許可する設定になっていた場合、 web-browsingはポート80番のみで許可されることになります。   以前の PAN-OS リリース バージョンでは、アプリケーション設定が 'Any' になっていた場合、サービス設定 'application-default' は適用されませんでした。
記事全体を表示
ymiyashita ‎04-25-2018 08:52 PM
5,633件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Integrating Cisco ISE Guest Authentication with PAN-OS https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication-with-PAN-OS/ta-p/98295     Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。  この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。   Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。   — 詳細   Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります: Administration > System > Logging > Remote Logging Targets を選択します。 Addをクリックします。 Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。 Submitをクリックします。   他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。   ISEでPassed Authentication Syslog Messages転送設定をします。 Administration > System > Logging > Logging Categoriesを選択します。 Passed Authenticationsをクリックします。 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。 Saveをクリックします。    ユーザー ID Syslog リスナー UDPをPAN-OS上で有効にします。 Device > セットアップ > 管理インターフェイス設定を選択します。 ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。 OKをクリックします。   Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。 Device > ユーザー ID > ユーザー マッピングを選択します。 Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。 追加を選択します。 下記のようにすべての情報を入力します。   ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。   参照例としては、   10.10.130.0/24 = 無線ゲスト 10.10.30.0/24 = 無線ゲスト 10.10.140.0/24 = 有線ゲスト イベントの正規表現は以下のようになります。   Syslog 解析プロファイル: Cisco ISE イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140))) ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+ アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})  OKをクリックします。   Cisco ISE 2.1のsyslog 解析プロファイルは以下のようになります。 Event Regex ([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*) Username Regex User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a- zA-Z0-9\@\-\\/\\\._]+) Address Regex Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1 ,3}\.[0-9]{1,3})   ISEサーバーをサーバー モニタリングに追加します。 Device > ユーザー ID > ユーザー マッピングを選択します。 サーバー モニタリングにて、追加をクリックします。 名前と内容は自由に入力します。 タイプでは、Syslog Senderを選択します。 ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。 接続タイプはUDPを選択します。 フィルタにはCisco ISEを選択します。 デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。 OKをクリックして閉じ、Commitをクリックします。     準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。   show user server-monitor state  show user ip-user-mapping all type SYSLOG test user-id user-id-syslog-parse tail follow yes mp-log useridd.log   参考情報 Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog Configuring ISE to Forward User Login Events to CDA   著者: Marcos
記事全体を表示
kkondo ‎04-25-2018 08:44 PM
3,216件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 URL Filtering - Dynamic Block List - External Block List EDL https://live.paloaltonetworks.com/t5/Tutorials/PAN-OS-7-1-URL-Filtering-Dynamic-Block-List-External-Block-List/ta-p/74098     以前のバージョンの PAN-OSでは、ファイアウォール管理者は、ダイナミック ブロック リスト (EDL - 外部ダイナミック リスト) または、外部ブロック リスト (EBL) 機能を用い、IPアドレスを含む外部のファイルを参照することで、IPサブネットやIPアドレスの範囲をブロックすることが可能でした。 PAN-OS 7.1 より、リストで使用できるタイプにURLが追加され、より簡単にブロック制御ができるようになりました。     要件 各URLリストはカテゴリとして使われます。URLリストの名前がカテゴリ名となります。 これらのカテゴリはURLフィルタリング プロファイルとセキュリティ ルールで使用できます。 更新の間隔は、5分、毎時、毎日、毎週、月次のいずれかで設定できます。 5分を更新間隔に設定した場合、リストに変更があった場合のみコミットが実行されます。また、それは1時間に1回となります。 もしリストが外部のサイトで更新されたにも関わらずファイアウォール上で反映されていないのであれば、設定監査にてcandidate configのチェックをし、新しい項目がリストから引っ張られているかどうか確認してください。 URLリストはHTTPSサイトに置くことも可能です。その際、次のすべてがチェックされます。(CA、CN/SAN、有効期限、OCSP & CRL) ハードウェア スペック PA-200, PA-500, PA-2000, PA-3000, PA-4000, PA-VM プラットフォーム 30リスト (IP + DNS + URL) 合計50,000 IP。個々のリストに制限なし。 DNS + URLを合わせて50,000まで。リスト単位では制限なし。 PA-5000 & PA-7000 シリーズ 30リスト (IP + DNS + URL) 合計150,000 IP。個々のリストに制限なし。 DNS + URLを合わせて50,000まで。リスト単位では制限なし。 (訳注: 値が変更になっている可能性もあるので、念のため別の資料でも確認してください。    https://www.paloaltonetworks.com/products/product-selection.html)   注: もし最大数の 50,000 以上のURLが使われた場合、ファイアウォールは先頭から 50,000までの項目 を使用し、残りの項目は使用しません。これが起きた際は、システム ログにログが生成されます。       設定 ステップ 1. 新しく外部リストを作成するには、Objects > 外部ダイナミック リスト > 追加、をクリックします。以下の例では、'Bad Mojo' という名前を付けました。外部ファイルの参照先には "http://www.example.com/url-list.txt" を指定しています。繰り返し間隔は、5分です。   ステップ 2. 新しくURL フィルタリング プロファイルを作成するには、Objects > セキュリティ プロファイル > URL フィルタリング > 追加、をクリックします。新しく作ったリストは、下の方にスクロールすると見つかります。 注: 新しいプロファイルでは、作成したEDLに対するアクションがデフォルトで 'allow' になるので注意してください。   ステップ 3. 既存のURLフィルタリング プロファイルを編集する場合は、Objects > セキュリティ プロファイル > URL フィルタリング、にてプロファイル名をクリックします。 注: 管理者が変更するまでアクションは 'none' になっています。これはカスタムURLカテゴリと同様です。   ステップ 4. セキュリティ ポリシー (Policies > セキュリティ)にて、編集したいルールの名前をクリックすると、サービス/URL カテゴリのところで、上記で作成した "Bad Mojo" が外部ダイナミック リストの下に見つかります。   Step 5. このリストを有効にするために、コミットをします。   リスト フォーマットの要件 リストはプレーンテキストである必要があります。 (HTML、PDFなどは使用できません) スキームはオプションです。もし見つかれば、読み飛ばされます。 http:// 部分は不要です。 ワイルドカード (*) はサポートされます。 *.example.com/hacked/* www.example.net/wp-*/debug/ 1行の最大長は 1024 文字です。 ダブルバイト文字は未サポートです。 ドメインを指定する場合は、以下のように両方のフォーマットを使用してください。(カスタム URL カテゴリと同様です): example.com *.example.com   CLI の変更点 (ダイナミック ブロック リストの作成) マルチ-vsys 環境: > set shared/<vsys vsys> external-list <tab> {displays a list of current added lists } <name>   > set shared/<vsys vsys1> external-list <name> + description description + url         url + type        type > recurring   recurring <Enter> Finish input   > set shared/<vsys vsys1> external-list <name> type <tab> + domain Domain List + ip IP List + url URL List   シングル-vsys 環境: > set external-list <tab> -list of current added lists <name>   > set external-list <name> + description description + url       url + type      type > recurring recurring <Enter> Finish input   > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List   Panorama: > set shared/<device-group dg name> external-list <tab> {displays a list of current added lists} <name>   > set shared/device-group dg name> external-list <name> + description description + url       url + type      type + recurring recurring <Enter> Finish input   > set shared/device-group dg name> external-list <name> type <tab> + domain Domain List + ip IP List + url URL List CLI の変更点 (refresh & show コマンド) > request system external-list show type + domain Domain list type + ip    IP list type + url   URL list type   > request system external-list show type url name <tab> + edl-url1  edl-url1 + edl-url2  edl-url2 + <name>    <name>   > request system external-list show type url name edl-url1 {displays list of URL entries}   > request system external-list refresh type + domain Domain list type + ip   IP list type + url  URL list type   > request system external-list refresh type url name <tab> + edl-url1 edl-url1 + edl-url2 edl-url2 + <name>   <name>   > request system external-list refresh type url name edl-url1   Panorama 7.1より前のバージョンのファイアウォールを管理する場合、'IP' タイプの外部ブロック リストのみが使用できます。 7.0以前の PAN-OSバージョンにコンフィグをプッシュする際、'url' タイプのオブジェクトは取り除かれます。 ポリシーがURLリスト タイプを参照している場合、コミットは失敗します。   参照 PAN-OS 7.1 Resource List(英文)    
記事全体を表示
ymiyashita ‎04-25-2018 05:52 PM
6,822件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Getting Started: Network Address Translation (NAT) https://live.paloaltonetworks.com/t5/Tutorials/Getting-Started-Network-Address-Translation-NAT/ta-p/116340   Getting Started seriesを参照しながら、ファイアウォール設定が完了した後、次にサーバー類の設定をしたいと思うかもしれません。全ての内部ホストを賄うほどの潤沢なパブリックIPを有していない限り、以下のネットワークアドレス変換(NAT)設定方法もしくはポートアドレス変換(PAT)設定詳細が内部ホストが外部へ、特定のアドレスを使ってインターネット接続する方法となります。   この設定仕様では、NATもしくはPATをあなたの要求要件を満たすのか、いくつかのシナリオを交えで解説します。     ポートアドレス変換, 送信元NAT   基本的にはポートアドレス変換が広範囲によく使われているアドレス変換手法です。内部サブネットを外部の1つのアドレスでカバー変換します。設定例は以下になります。 このNATポリシーは、全てのTrustゾーンからのセッションを変換し、Untrustゾーンへ送り出します。そして、送信元アドレスを、外部物理インターフェイスに設定されたアドレスに変換します。それらはランダムなソースポートを使用します。返ってくるパケットはファイアウォールでメインテナンスされているステートテーブルで、全てのアクティブセッション、NAT変換により自動的に逆変換されます。   ダイナミックNAT   ポートアドレス変換のバリエーションの一つで、送信元アドレスを追加して可用性を高めます。もしあなたのISPがパブリックアドレスとしてサブネット/29もしくはもっと多くのアドレスを提供した場合、かつあなたの内部ネットワークが広大な場合、NATプールのオーバーサブスクリプションoversubscription を防ぐのに役立つかもしれません。 アドレスタイプの設定で、インターフェイスから、変換アドレスに変更します。そして、有効なIPアドレスとして、IPレンジかIPサブネットを指定します。 ファイアウォールは送信元IPアドレスのハッシュテーブルを利用して、利用可能なプールからIPアドレスを選択します。この送信元アドレスは、この送信元アドレスからくる全てのセッションで利用されます。送信元ポートはランダムになります。   もし送信元ポートが変換前と同様である必要がある場合(いくつかのアプリケーションでは、特定の送信元ポートである必要があるかもしれません)、変換タイプをダイナミックIPに設定すれば、クライアントの送信元ポートをセッション毎に等変換します。変換アドレスは次の割り当て可能なアドレスが供給されます。 連続した32000個以上のIPアドレスはサポートされません。 変換されるアドレスプールは、内部ホストアドレスの数と同じ、もしくは多い必要があります。それぞれの内部ホストが変換後のアドレスを割り当てるためです。   上記の要件をたいていは満たしているが、時々満たさないケースがあるという場合、バックアップとして、ダイナミックNAT、ポートアドレス変換にフォールバック設定ができます。変換アドレス、インターフェイスアドレスオプションが可能です。デフォルトは未設定となっています。   1対1 NAT、静的NAT   もし、ローカルのSMTPサーバーやWebサーバーのようにインターネットからサーバーの存在を明確にする必要がある場合、1対1NATポリシーを特定のサーバー向けに設定する必要があります。いくつかの違った方法により実現する方法があります。   双方向ポリシー:   双方向ポリシーでは、上記で示したように通常の外部向け静的NATを作成し、双方向フラグを設定します。これによりシステムは(暗黙的に)インバウンドポリシーを作成することができます。   このポリシーでは、送信をtrustゾーン、宛先をUntrustゾーン、送信元アドレスを内部サーバー、送信元アドレス変換を外部NATアドレスに設定されています。送信をUntrustゾーン、宛先を全て、宛先IPアドレスを外部NATアドレス、そして宛先変換として、サーバーのアドレスとした暗黙のポリシーが作成されます。 この手法が、複数の1対1変換して、サーバーが各々単一のパブリックIPを所有している場合、有効に働きます。   片側方向のポリシー:   片側方向NATは双方向の場合よりも多少制御でき、PATやポートアドレス変換が可能です。PATは1個のパブリックIPを複数の内部サーバーでシェアできます。   次の3つのルールでは、3つの異なった内向きの静的NATサンプルです。 1番目のNATルールは従来の1対1ルールで、全ての内部サーバ向けポートを変換し、宛先ポートをメンテナンスします。 2番目のNATルールは内部向け通信で、宛先ポートが80番ポートを、内部サーバの8080番ポートに変換します。 3番目のNATルールは内部向けセッションで、2番目のルールと同じですが、宛先ポート25番だけは違う内部サーバーにリダイレクトされます。 注意事項:    なぜ宛先ゾーンがUntrustに設定され、宛先インターフェイスは何になりますか? 'any'を内向けNAT(UntrustからUntrust)の宛先アドレスとして使用できますか?   セキュリティポリシーは、送信ゾーンをUntrustゾーン、宛先ゾーンを(最終的な宛先ゾーン)をtrustと設定すべきです。そして、宛先アドレスは、NAT変換前のパブリックアドレスと設定してください。     Source and Destination NAT   いくつかのケースにおいて、送信元、宛先NATを同時に実行する必要があるかもしれません。一つの例として、Uターンの場合で、内部ホストが、内部サーバーにアクセスする必要があり、クライアントと同じセグメントにいながら、パブリックアドレスを使用する場合です。 Uターンと詳細について、記事と、チュートリアルビデオがありますが、大まかな説明としては、   パブリックアドレスでインターナルリソースにアクセスするために、新たに、trustからUntrustへ変換するNATポリシーが必要になります。   もし、送信元変換がこのポリシーに含まれていない場合、サーバーはオリジナルのソースアドレスでパケットを受け取り、サーバーは直接クライアントにパケットを返信します。   これにより、非対称ループが作られ、TCPサニティチェックに違反され、ファイアウォールでセッションが終了されます。   解決方法としては、例として、ファイアウォールのIPに送信元変換のするルールを追加することです。そうすることによりサーバーの返信はファイアウォールに戻され、ステートフルセッションとして動作します。       追記: VwireにおけるNAT     NATはルーターでルーティングテーブルを編集することができれば(ISPのルーターでは許可されないかもしれませんが)VwireにもNAT設定が可能です。理想的には、Vwireの両端にルーターがあれば単純な設定にできますが、上位側のルーターだけでも、難易度は上がりますが、設定することができるでしょう。   2つのルーター間で、ポイントツーポイントのサブネット(例:10.10.10.0/30)を作成し、各々のルーターにIPを設定し、変換後IPアドレスのルートテーブルを、変換する側の対抗ルータのアドレスでポイントします(例:198.51.100.1をUntrustルーターに、trustルーターのIPでポイントします)。ファイアウォールは残りの部分を処理します。       注意事項   ゾーン解決はルートのルックアップで実施します。パケットがファイアウォールに到着した時、送信元と宛先サブネット、セッションに割当てられた適切なゾーンのルーティング・ルックアップ・チェックが実施されます。インターネットから内向けのトラフィックの場合、送信元ゾーンはUntrustとなり、デフォルトルート(0.0.0/0)はUntrustインターフェイスをポイントします。そして、宛先IPアドレスは、NAT変換前となり、Untrustインターフェイス所属となります(上記例では198.51.100.0/24)。   NATポリシーで宛先インターフェイスを使用すると、類似NATポリシーを使用した場合、競合が発生することを防ぐ助けになります。例えば、もし2つの外部インターフェースが存在して、2つのISP接続があり、違うパブリックアドレスを使用している場合、2つの同様の外向けNATルールが設定できます。   NAT IPの場合、インターフェースに物理的に設定されていないアドレスを使用します(例、インターフェースは51.100.1で、サーバーに使用するNATでは198.51.100.5を使用)。ファイアウォールはGARPを対向機器に送付して通知し、上位機器に対して、ARPリクエストの応答をします。GARPは以下のコマンドで手動で実施することもできます。 admin@MyFW> test arp gratuitous interface ethernet1/1 ip 198.51.100.6 1 ARPs were sent 注意事項: もしNATルールで、変換するサブネットがインターフェイスに設定されていない場合、ファイアウォールは全てのIPアドレスのサブネットに対してGARPを送付します。   ファイアウォールは宛先NAT(内向き)にリストされている宛先アドレスのProxy ARP解決を提供するので、宛先アドレスは、宛先変換サブネットに一致する必要があります。宛先アドレスに'any'を使用することはできません。   内部クライアントが、DMZもしくは信頼できるネットワークにパブリックアドレスを介して接続するNATポリシーを作る場合は、どのような場合でも上記の1ポートアドレス変換NATポリシーを参考にご使用ください。   オーバーサブスクリプション   オーバーサブスクリプションはファイアウォールが作成されるセッションの量に対するパブリックIPアドレスが少なすぎる場合に、同じIPアドレスとポートのペアに変換した現行のセッションを共有し、スケーラビリティを提供します。例えば、通常、最大の現行セッションは、64,000(65,000ソースポート - 1,024サーバーポート)ですが、プラットフォームによっては、8倍の512,000セッションまでオーバーサブスクリプションすることができます。   以下のKBをご参照ください: How to Change the NAT Oversubscription Rate How to Check the Oversubscription on a NAT Rule   著者: Reaper
記事全体を表示
kkondo ‎04-25-2018 05:32 PM
10,061件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Controlling Skype using App-ID https://live.paloaltonetworks.com/t5/Learning-Articles/Controlling-Skype-using-App-ID/ta-p/149689   Skypeとは?     Skype (スカイプ)はよく知られているインターネット電話サービスで、 Niklas Zennstrm と Janus Friis によって開発されました。ピア・ツー・ピアのファイル共有ソフト Kazaa と新しいピア・ツー・ピアのテレビ アプリケーション Joost の創業者でもあります。 Skype は、従来の POTS から VoIP サービスまで、既存の電話サービスと競い合います。強みとしては、ファイアウォールや NAT 変換を介して接続性を提供でき、多くのアクティブ ユーザーをサポートし、強力な暗号化技術によりプライバシーを保護しています。さらに、インスタント メッセージ、チャット、ファイル転送、ビデオ会議、グローバル ディレクトリーなどをサポートしています。   スカイプの基礎となる技術は、分散型 ピア・ツー・ピア  アーキテクチャを利用して、マルチメディア パケットを中央サーバ型ではなくユーザ間でやりとりします。 ピア・ツー・ピア  ネットワークは接続性とスケーラビリティを向上させると同時に、ファイアウォール トラバーサルや、ダイナミック ルーティングによって、会社に設置されたファイアウォールを回避します。独自のプロトコルに基づくクローズド ソース アプリケーションであるにもかかわらず、Skype の独自でかつ回避的な動作は、特に、可視性や制御なしにファイルや情報を転送する能力を備えているため、エンタープライズ ネットワークにとってセキュリティ上の課題となっています。詳しくは以下の URL をご参照ください。 - https://www.skype.com/en/about/   Skypeをネットワーク上で許可するには、以下のApp-IDをパロアルトネットワークス・ファイアウォールで許可する必要があります。   office365-consumer-access rtcp rtp skype skype-probe ssl websocket stun web-browsing windows-azure-base apple-push-notifications   Policies > Security にて以下のスクリーンショットの例にあるように、Skypeを許可するためのセキュリティ ポリシーを追加します。     Skype For Business:   最小設定では、以下のApp-IDを、Skype For Businessが正しく動作するために許可する必要があります。   Ms-lync-base (matches the core functionality of the application) ms-lync-online rtcp stun (for media negotiation) rtp (for media streaming) ms-office365-base (core functionality of O365 applications) ssl web-browsing ms-lync-audio/video   クライアント端末では、固定の証明書を使用しており、 Skype For Business でも、「 *.online.lync.com 」や「 *.infra.lync.com 」を例外リストに追記し( Device > Certificate Management の SSL 復号化例外より)、復号化の除外すべきです。     著者: vsathiamoo 
記事全体を表示
kkondo ‎04-21-2018 05:09 PM
4,212件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community