ぱんせ

お役立ち情報

PA自身への攻撃に対する防御手法

ご存知のようにPAシリーズは高度なセキュリティ機能を持っており、企業NWにおけるクライアントやサーバを悪意のある攻撃から守っています。ただPAシリーズもIT製品である以上、PA自身に脆弱性が発見され、PA自身が攻撃の対象となる可能性はゼロで...
Packet Capture

パケットキャプチャ機能(マネジメントポート編)

今回は、PAシリーズのマネジメントポートでのパケットキャプチャ方法について記載します。 パケットキャプチャ手順 パケットのキャプチャ方法 マネジメントポートのパケットキャプチャはすべてCLIで実行します。 コマンド構文 tcpdump [f...
お役立ち情報

デバイス証明書のインストール方法

(Panoramaで管理されていない)PAシリーズへのデバイス証明書のインストール方法を説明します。 デバイス証明書はCDSS等のパロアルトネットワークスのクラウドサービスとの連携に必要な証明書です。 デバイス証明書を設定していないとCor...
PA設定ガイド

冗長構成(HA)Active/Passiveの設定 その2

← 冗長構成(HA)Active/Passiveの設定 その1 前回に引き続き、HA構成について記載します。今回は、実際にHAを組んだ際の挙動や手動での切替方法について説明します。なお、今回はPA-445を使用しています。 設定関連 基本的...
Packet Capture

パケットキャプチャ機能

今回はPAシリーズのパケットキャプチャー機能についてご紹介します。 トラブルシューティングの際に実際に流れているパケットをキャプチャしたいというケースはよくあると思います。L3SWやL2SWでパケットキャプチャーを行う場合、ミラーポートを作...
PAN-OS

(新機能)スキップ ソフトウェア バージョン アップグレード!!!

今回は、PAN-OS11.0で実装された「Skip Software Version Upgrade」についてご紹介します。前回ご紹介したPAN-OSバージョンアップ手順で、PAN-OSはメジャーバージョンおよびメンテナンスバージョン単位で...
PA設定ガイド

トラブルシューティング機能について

PAシリーズのトラブルシューティング機能を使ってみました。主な機能は以下の通りです。 項目内容Security Policy Matchどのセキュリティポリシーにマッチしているか?QoS Policy MatchどのQoSポリシーにマッチし...
PA設定ガイド

Auto-Tagを利用したローカルブレイクアウト

今回はAuto-Tagについて紹介します。一般的にローカルブレイクアウトというとSD-WANをイメージされる方が多く、ローカルブレイクアウトのためだけにFWとは別にSD-WAN装置を導入されているユーザーも見受けられますが、実はPAシリーズ...
お役立ち情報

ISMAPへの登録が完了しました!

日本の政府情報システムにおけるクラウドサービスのセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)にパロアルト製品が登録されまし...
ハードウェア情報

PAシリーズのインターフェイス情報

PAシリーズのインターフェイス構成の一覧を作成しました。※ 情報に差異がある場合は、公式ドキュメントを優先してください。 PA-5400 シリーズ PA-5400 PA-5400には、SFP-CG(1Gbps)が2つ同梱されています。また、...
お役立ち情報

EoS/EoL ポリシー

Palo Alto Networks製品の販売終了(EoS)、サポート終了(EoL)に関する情報を記載します。 End-of-Life(EoL) ポリシー ハードウェア製品のサポートポリシー 製品の販売終了(EoS)の 6か月前までに販売終...
DNS

DNS Proxyの設定方法

PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更...
PAN-OS

PAN-OSのバージョンアップ手順

PAN-OSのバージョンアップ手順について記載したいと思います。PAN-OS10.1以上で利用可能になるスキップソフトウェアバージョンアップグレード機能についても参照してください。 PAN-OSのバージョン表記について PAN-OSのバージ...
お役立ち情報

Docker その1 コンテナ環境の構築(CentOS7)

コンテナ環境を利用するために、CentOS7上にDocker環境を構築してみました。Dockerを利用することで検証に利用するWebサーバなどを簡単に構築することができます。また、環境をコード化することが出来ますので、同じ環境を様々な場所で...
お役立ち情報

DoT / DoH について

最近よく聞くDoTとDoHについて調べてみました。 DoT / DoH とは? DoT(DNS over TLS)、DoH(DNS over HTTPS)のことで、どちらもDNS通信の暗号化(プライバシーの保護)を目的に開発されている暗号化...
お役立ち情報

URLフィルタリングにEncrypted-DNS(DoH)カテゴリ追加

URLフィルタリングに新たにEncrypted-DNSカテゴリが追加されました。 2022年12月8日から利用可能になっています。(コンテンツアップデートが必要です)PAN-OS9.1以降で利用可能です。デフォルトプロファイルではEncry...
PA設定ガイド

冗長構成(HA)Active/Passiveの設定 その1

冗長構成(HA)Active/Passiveの設定 その2 → 今回はPAシリーズの冗長構成(Active/Passive構成)について説明します。 【前提条件】 MGTインタフェースなどの基本的な設定は終わっていること 同じPAN-OSバ...
お役立ち情報

【要設定変更!】URLフィルタリングにランサムウェアカテゴリ追加

URLフィルタリングに新たにランサムウェアカテゴリが追加されました。 2022年9月27日から利用可能になっています。(コンテンツアップデートが必要です)PAN-OS9.1以降で利用可能です。デフォルトプロファイルではランサムウェアカテゴリ...
お役立ち情報

FreeRADIUS構築メモ

PAとのRADIUS連携のために、CentOS7上にFreeRADIUSを構築した際のメモです。 前提条件として、CentOSをminimalでインストールしておきます。以下2点の動作確認を行います。PAP(平文)によるRadius認証PA...
PA設定ガイド

初期設定

PA Firewallデバイス自身に関わる、マネージメントインタフェースの設定やOSのアップグレードなど、最初実施しておくべき作業です。 想定ネットワーク構成はこちらを参照ください。 マネージメントIPの設定 マネージメントインターフェイス...
PA設定ガイド

ネットワーク設定

ゾーン、インターフェイス、ルーティングなど、ネットワーク関連の設定を行います。 想定ネットワーク構成はこちらを参照ください。 ゾーンの設定 ゾーンは、物理または仮想インターフェイスをグループとして扱うための設定です。 ゾーンによって、異なる...
PA設定ガイド

SSL/TLS復号化の設定

現在のインターネット通信は大半がWebアクセスですが、ほぼSSL/TLSで暗号化された通信になっています。 [参考]Google透明性レポート: ウェブ上での HTTPS 暗号化 SSL/TLSによって暗号化された通信は、Firewallで...
PA設定ガイド

コンフィグのバックアップと復元

PA Firewallは、実施したコンフィグレーションをスナップショットとして保存しておくことができます。 そのスナップショットをロードすることで、その時実施したコンフィグレーションまで戻ることができます。 スナップショットの保存 ここまで...
PA設定ガイド

App-ID

App-IDは、アプリケーション・シグネチャ、プロトコル・デコーディング、ヒューリスティクスなどの複数の技術を使ってアプリケーションを識別する機能です。 以降、App-IDを使ったポリシーを設定して、その動作を確認します。 [事前準備]HT...
PA設定ガイド

Content-ID

Content-IDは、アンチウイルス、脆弱性防御、アンチスパイウェアなど、レイヤ7を検査して脅威を検出する機能です。 以降、それぞれの脅威防御を設定して、比較的容易に実現できる擬似攻撃で、動作を確認します。 アンチウイルス ウイルスをブロ...
PA設定ガイド

エージェントレス型User-ID (※工事中※)

※現在、WMIを利用した本記事の設定は利用できません。 [理由] ドメインコントローラーをホストしているWindowsサーバーにCVE-2021-26414に関連するMicrosoftのセキュリティパッチをインストールすると、ドメインコント...
PA設定ガイド

エージェント型User-ID

本記事では、User-IDエージェントを使った場合のUser-ID設定方法について記載します。 エージェントレス型の場合は、PA Firewallが直接Active Directoryに問い合わせを行いますが、 エージェント型の場合は、PA...
GP設定ガイド

GlobalProtectの動作概要

設定の解説に入る前に、GlobalProtectの動作を説明します。 ここで説明する動作については、GlobalProtect Agent (以降、GP Agent) ソフトウェアがクライアントPCへインストール済みである前提とします。 E...
お役立ち情報

ADCSサーバーの構築

ここでは、Active Directory Certificate Services (以降、ADCS) サーバーの構築ステップを記載します。 Windows Server 2019のADCSはSCEP (Simple Certificat...
お役立ち情報

CRL配布ポイント (CDP) の構築

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。 例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させること...