- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
PAN-OSのXML APIによる特定IPアドレスの即時通信遮断の方法
告知
- LIVEcommunity
- Japan Community
- Information by Market
- 公共市場向け情報
- PAN-OSのXML APIによる特定IPアドレスの即時通信遮断の方法
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
khayakawa
L3 Networker
PAN-OSはXML APIが提供されており、外部システムからの様々な制御やログ情報の取得などが可能です。この記事では、PAN-OSのポリシー変更やコミットを伴わず、即座に特定のIPアドレスからの通信を制御するための仕組みについてご紹介します。
まず、お客様のニーズとしては、運用時に様々なセキュリティインシデントなどで、一時的に即座に特定のIPアドレスの通信を遮断したいケースがあります。例えば、外部組織からの通報で、自身の組織から攻撃トラフィックが送出されていたり、まさに今攻撃され何らかのサイバー攻撃の被害が出ていると考えられるケース、またPAシリーズ以外のセキュリティ製品が危険な通信や端末を検知した場合などです。そういう場合には、その特定のIPアドレスからのインターネットとの通信を一旦遮断して、端末や状況を確認し、問題なければ遮断を解除したくなります。
通常、PAシリーズで特定のIPアドレスからの通信を遮断したい場合には、そのためのセキュリティポリシーを設定し、コミット処理を行います。しかし、これが一時的な制御の場合、遮断を解除するためには、作成したセキュリティポリシーを削除してコミットしなければならず、運用面での操作が負担になります。また、管理GUIもしくはCLIの操作が必要になり、PAN-OSを操作できる技術者でなければできません。そういう場合に、この記事でご紹介する仕組みが役に立つケースがあります。
早速仕組みの種明かしですが、以下がポイントとなります。
- PAN-OSのUserID機能で利用するip-user-mappingテーブルをXML-APIで操作する
ip-user-mappingテーブルとは、PAN-OSが提供しているAD連携機能やCaptivePortal機能で、ユーザIDとIPアドレスの動的なマッピングとして利用されるテーブルです。今回はその領域をXML-APIを通じて制御します。 - あらかじめ制御用の特定のUserID(例えばblock-clientなど)に対してセキュリティポリシーを設定しておく。
例えば、通信を全部遮断するポリシーなど。 - 192.168.1.100からの通信を遮断したい場合、XML APIにて、192.168.1.100のIPアドレスにblock-clientのユーザIDをマッピングさせることで、該当するセキュリティポリシーにて通信の遮断などがポリシー変更やコミット処理なく即座に可能
- XML APIで登録したマッピングエントリにはタイマー制御も可能です。エントリ毎にタイマー設定でき、指定した時間が経過すれば、そのマッピングエントリは削除されるため、通信遮断などが自動的に解除されます。タイマー時間を0にすると、自動的にマッピングエントリは削除されません。
尚、このip-user-mappingテーブルの情報はPAN-OSの再起動などを実施した場合にはクリアされますので、一時的かつポリシー変更せずに通信制御を行いたい場合に非常に便利です。
では、以下にXML APIについて解説いたします。
以下のサンプルXMLは、192.168.1.100のIPアドレスをblock-clientとしてUserIDにマッピングします。
タイマーは10分です。(0を指定するとタイマー制御なしとなります)
<uid-message><version>1.0</version><type>update</type><payload><login><entry name="block-client" ip="192.168.1.100" timeout="10"></entry></login></payload></uid-message>
ip-user-mappingテーブル情報を取得するXML APIです。
<show><user><ip-user-mapping><all></all></ip-user-mapping></user></show>
最後に、マッピングテーブルからエントリを削除するXML APIです。
<uid-message><version>1.0</version><type>update</type><payload><logout><entry name="block-client" ip="192.168.1.100"></entry></logout></payload></uid-message>
非常に簡単なXML APIで制御を行うことができます。尚、PAN-OSでは、XML-APIを使わなくともExternal Dynamic List(EDL)という機能があり、外部のWebサーバーからIPアドレス情報などを自動的に読み込んでアドレスオブジェクトとしてポリシーで利用する機能もあります。XML APIでプログラム開発が面倒と思われる方は、EDL機能を利用して、設定変更を伴わずに特定のIPアドレスをブロックすることなども可能です。
この記事を評価:
- 4837 閲覧回数
- 0 コメント
- 1 賞賛
ラベル
-
API
1 -
Auto Tag
1 -
autofocus
1 -
Bi-directional
1 -
campus network
1 -
Configuration
1 -
core switch
1 -
GlobalProtect App
1 -
L3
1 -
lgwan
1 -
lgwan-asp
1 -
minemeld
1 -
NAPT
1 -
NAT
1 -
PA Firewall
1 -
pa-220
1 -
Policy Optimizer
1 -
Pre-Logon
1 -
Prisma Access
1 -
sandbox
1 -
Setup
1 -
SSO
1 -
Tag
1 -
userid
1 -
公共
2
- « 前へ
- 次へ »
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks