※この記事は以下の記事の日本語訳です。
Using Packet Filtering through the WebGUI
https://live.paloaltonetworks.com/t5/Management-Articles/Using-Packet-Filtering-through-the-WebGUI/t...
訳注:本文書で紹介する機能はPAN-OS:5.0以降で対応しています。
概要
この資料は、WebGUIを利用したPCAPについて詳述しています。ここでは、GUIを利用したフィルターの設定方法を扱っており、パケットのキャプチャ方法や、どのパケットがどのステージへ向かうのかを決める方法について説明しています。
いつパケットをキャプチャを必要があるのか?
ネットワーク トラフィックを分析する際にパケットキャプチャを行います。PAN-OSは、3種類のパケット キャプチャに対応しています:
- フィルター PCAP/デバッグ フィルター
- 送信元/宛先IPアドレス、および送信元/宛先ポートに基づいてパケットをキャプチャするため。
- アプリケーション PCAP
- 特定のApp-IDのパケットをキャプチャするため (特にApp-IDが該当のアプリケーションを検出せず、アプリケーション欄に"incomplete"と表示されている状況)。
- "Incomplete"とは、TCP 3ウェイ ハンド シェイクが完了していないということを意味しています。Palo Alto Networksファイアウォールは、クライアントからのSYNパケットの確認はしたが、サーバーからSYN-ACKを得ることはなかった、ということです。それには、2つの理由が考えられます:
- サーバーは、SYN-ACKの返答を一度もしなかった。これは、サーバーに問題があるということを意味しています。
- サーバーは、SYN-ACKを返答したが、SYN-ACKが異なるルートを通ったため、Palo Alto Networksデバイスを通過しなかった (非対象ルーティングとも呼ばれます)。
- この問題を解決するためには、フィルターとキャプチャを設定して、Palo Alto NetworksデバイスがSYN-ACKを確認しているかを判断する必要があります。
- Unknown PCAP
- "unknown-tcp"や"unknown-udp"、"unknown-p2p"のパケットをキャプチャするため。
- Palo Alto Networksデバイスが、App-IDを使用してアプリケーションを特定できない場合、パケットは、"unknown-tcp"、"unknown-udp"または"unknown-p2p"に分類されます。
キャプチャしたファイルはハード ディスク上に保存されます。ファイアウォールは、PCAPをログ毎に20MBずつ保存し、1時間ごとにディスクの空き容量を確認しています。ディスクの使用量が90%を超えた場合、パケット キャプチャは、90%以下になるまで、古いものから順番に削除されていきます。
注:ファイルのサイズを制限するために、オフ ピーク時にトラフィックをキャプチャすることの考慮が必要となる場合があります。
キャプチャする前にフィルターを設定することが重要である理由
フィルターに合致するパケットだけがキャプチャされるように、フィルターを定義します。パフォーマンスの低下を最小限に抑えたり、他の不要なデータがキャプチャされないことを保証するために、キャプチャを有効にする前に、フィルターを定義することが重要です。同様に、PCAPを取得後は、フィルターを解除する前にキャプチャを無効にすることが重要です。 そのようにしないと送信元IPアドレスだけをフィルターする代わりに、すべてのトラフィックがフィルターの対象となり、Palo Alto Networksファイアウォールのパフォーマンスが低下することになります。
フィルターとキャプチャを設定するためのステップ バイ ステップ ガイド
WebGUIを利用したPCAP
フィルタリング
- [ Monitor ] > [ パケット キャプチャ ] を選択します:

- フィルターを設定する前に、以前の設定が不要である場合、「すべての設定をクリア」を選択して、すべてのPCAP設定を削除します。

- 最初にフィルターを設定する方がより安全です。それにより、フィルターに合致するパケットだけをキャプチャすることができます。フィルターを設定するために、「フィルタの管理」を選択し、「追加」をクリックして新しいフィルターを設定します。

- 以下の情報を指定します:
- ID:フィルターを識別するためのIDを入力します。
- 入力インターフェイス:ファイアウォールのインターフェイスを入力します。
- 送信元:送信元IPアドレスを入力します。
- 宛先:宛先IPアドレスを入力します。
- 送信元ポート:送信元ポートを入力します。
- 宛先ポート:宛先ポートを入力します。
- 非 IP:非 IPトラフィックを扱うためのオプションを1つ選択します。
- None:IPフィルターを使用しない。
- Exclude
- Include
- Only:IPだけを含めるフィルター。
- IPv6:IPv6パケットを含めるには、チェックボックスにチェックを入れます。


注:事前解析一致は、高度なトラブルシューティングのためのものです。あるパケットが入力インターフェイスに入ってきた際に、何らかの失敗によりそのパケットはフィルタリングのステージまで到達しないことがあります。しかし、この設定を有効にすることで、ファイアウォールはフィルタリングのステージに到達しないパケットもキャプチャします。
キャプチャ
- キャプチャを有効にする前に、以下のステージを設定します:
- 「追加」をクリックして、キャプチャされるパケットのステージを設定します。パケットは、以下の4つのステージでキャプチャされます:
- Drop:エラーが原因で、Palo Alto Networksデバイスによってドロップされたパケットが、Dropステージに入ります。
- Firewall:Palo Alto Networksデバイスが、パケットを処理している時のパケットのステージです (キャプチャされたパケットは、ポリシーやIPS機能などを通過していきます)。
- Receive:Palo Alto Networksデバイスによって受信されたパケットは、このステージでキャプチャされます。
- Transmit:送信元から送出されるパケットは、(Firewallステージ後に) このステージでキャプチャされます。

- パケット キャプチャを有効にします。ダイアログが表示されますので、OKをクリックします。

注:特定のトラフィックのパケットだけがキャプチャされるように、キャプチャを有効にする前に、フィルターが有効になっていることを確認します。そうでない場合、作成されたすべての新しいセッションがキャプチャされてしまい、データ プレーンのパフォーマンスを著しく低下させることになります。
- パケットをキャプチャするために、送信元からのトラフィックを生成します。
- 画面を更新して、PCAPファイルがキャプチャされたかどうかを確認します。

- パケット キャプチャ画面の右側にPCAPファイルが表示された後、キャプチャとフィルターを無効にします。
注:フィルターを無効にする前に、キャプチャを無効にすることが重要です。さもないと、すべてのトラフィックがフィルターの対象となり、ファイアウォールのパフォーマンスを低下させてしまうことになります。
すべての設定は以下の「すべての設定をクリア」を使用することで削除することができます:

シナリオ例
"10.1.1.1"を使用している端末からのトラフィックをキャプチャします。
- 送信元が"10.1.1.1"であるフィルターを設定します。
- 4つのキャプチャ ステージを設定し、各ステージに対して個々にファイル名を付けます (Receive、Firewall、Transmit、Drop)。

- フィルタリングと事前解析一致を有効にします。
- キャプチャを有効にします。
- パケット キャプチャを有効にすると、ファイアウォールのパフォーマンスに影響を与えるという旨のリマインダーとして、警告が表示されます。
- 必要なトラフィックを生成します。
- 更新アイコンをクリックします。
- PCAPファイルが表示されます。最初にキャプチャを無効にし、次にフィルタリングを無効にします。
- 4つのキャプチャしたファイル (各ステージにつき1つ) をダウンロードし、Wiresharkを使用して開きます。
- 注:ステージに関連付けられたファイルは、トラフィックがキャプチャされた場合のみに作成されます。例えば、パケットが1つもドロップしない場合は、そのステージに関連付けられたファイルは何も作成されません。
著者:mvora