パロアルトネットワークスな日々 というサイトに、設定が記載されている。どうやらメーカのSEが書いたような気がする。
https://pansetech.net
■ログイン
(1)接続方法
MGT(管理)ポートに接続後、https://192.168.1.1/にアクセス。
デフォルトでは192.168.1.1/24のIPアドレスが割り振られている。DHCPでは割り当ててくれなかったので、設定用PCには固定IPを設定して接続する。
ブラウザにて、証明書のエラーが出るが、継続して接続。
(2)ログイン画面
ユーザID:admin
password:admin
でログイン
全般的に、以下のサイトにもいろいろ書いてある。
https://www.my-technote.com/palo-loginout/
■CLIからの設定
(1)2つの設定モード
CiscoなどのNW機器と同様に、モードがある
①>
・operational mode(オペレーショナルモード)
・状態を見たりする
②#
・設定モード(コンフィグレーションモード)
・設定変更をする
・以下のコマンドでコンフィグレーションモードに
> configure
#
(2)CLIでのコマンド
以下の本家サイトも、意外に(と言っては失礼だが)わかりやすい
https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-cli-quick-start/get-started-with-the-cli/change-cli-modes
・set や show などを使う
・たとえば、show deviceconfig system でMGTポートのIPアドレスなどの状態を確認できる。
・pingを実行するには
> ping host 8.8.8.8
送信元を指定する(たとえば、送信元を10.1.1.1)には、
> ping source 10.1.1.1 host 8.8.8.8
※MGTポートからは、デフォルトでは外部への通信などができないような設定になっている
→設定変更の方法は後半に記載
・IPアドレスの設定
# set deviceconfig system ip-address 10.1.1.21 netm…
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClN7CAK
※設定を確定するにはcommitが必要。これをしないと設定が反映されない。
■初期化
(1)PWがわかる場合
初期化コマンド
request system private-data-reset
admin@PA-xxx>request system private-data-reset
ここで、以下が問われるのでyを押すと初期化される
Are you sure you want to continue? (y/n) (y or n)
→ランセンスも消えてしまうが、ライセンスはインターネットに接続して取得できる。
※機器情報とリンクしているので、何かを入力する必要はない。
(2)PWがわからない場合
コンソールから接続し、途中でmaintと入力できる場面がある。
そこで、FactoryResetを選択する。
■ライセンスの取得
初期化すると、ライセンスが消えてしまう。
Device>ライセンス
「ライセンスサーバからライセンスキーを取得」をクリックして、ライセンスを取得
→そのままだとエラーになる可能性がある。
それは、MGTポートからはインターネットにアクセスできないから。設定を変更する(後述)
+ソフトの最新化をしましょう。
ダイナミック更新から実行する
■初期設定
・デフォルトだと、ethernet1、2はVirtual wireに設定されている。(スイッチのポートの役割)
不要な場合はこれを消しましょう。NETWORK>バーチャルワイヤーから、デフォルトのvireをチェックして「削除」
※もちろん、COMMITが必要
・言語の設定は、画面右下の欄外にある
・一般設定
上メニュの「Device」>左メニューの「セットアップ」>管理>一般設定
-タイムゾーンをAsia/Tokyoにする。
・管理ポートの設定
Device>セットアップ>インターフェースにて、「インターフェース名」が「Mangaement」で設定。
MGTポートのIPアドレスなどの設定ができる
管理ポートにアクセスできる送信元IPアドレスは制限しておいたほうがセキュリティ面でいいだろう。
・Device>セットアップ>サービスから、NTPやDNSの設定を行う
・管理者(admin)のパスワード設定
Device>管理者 から設定する。
■設定の保存
commitをする必要がある。忘れずにね。
以下が画面つきで説明がわかりやすい。
https://www.my-technote.com/palo-config-mgt/
■設定ファイルのバックアップ(エクスポート)とインポート
(1)外部のファイルへ保存
デバイス>セットアップ>操作から
・外部へ保存(エクスポート)
もちろんcommitした上で
エクスポート:名前付き設定のエクスポート
「running-config.xml」を選択して「OK」。※保存したxmlファイルは別の名前にリネームしておこう。
・逆にインポート
インポート:名前付き設定スナップショットのインポート
先ほどどのxmlファイルを指定する。
※running-config.xmlの名前だと、うまくいかない。今動いているConfigなので。名前を変えれば成功
※インポートしたら、ロードが必要だと思う。そしてCommitも。
(2)PaloAltoに設定を保存し、インポートする
■再起動
DEVICEから「デバイスの操作」「デバイスの再起動」
■NW設定
Networkタブから設定する。 例を紹介します。
①ゾーンの設定
・名前:LAN、タイプ:レイヤ3、インターフェース:e4
・名前:WAN、タイプ:レイヤ3、インターフェース:e3
※ゾーンのIFはIFの設定で自動で入るので、ここでは指定しなくていい。
②IFの設定
・e4 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:LAN IPv4:10.1.1.254/24 ※その先の設定は入れない
・e3 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:WAN IPv4:PPPoE
③仮想ルータ default に設定したIFを入れる。e1、e2
・仮想ルータで、スタティックルート
0.0.0.0/0をWANのIFに向ける。ネクストホップのルータのIPアドレスも入れた。(入れる必要あり?)
⑤LAN側にDHCPで割り当て
NETWORK>DHCP DHCPサーバーを欄外下の「追加」ボタンで追加
インターフェースを選択(LAN側)、モードはauto、
リースにIPプールとして、払い出すIPのセグメントを記載する
172.16.1.0/24
オプションとして、継承ソースを選ぶWANがPPPoEの場合は、DNSなどを持ってくるはず(★取れてなかった気が)。→DNSはinheritedを入れたら取得できた。
・デフォルトゲートウェイのIPアドレスとサブネットは設定する必要がある
⑥LANからMGTさせるには?
・NETWORK>ネットワークプロファイル>インターフェース管理
追加で、利用させたいサービスを選ぶ。
・NETWORK>インターフェース>該当のIFを選択
「詳細」の管理プロファイルで、作成したプロファイルを選択する。
⑦ポリシーの設定
Policies>セキュリティ で追加
LANのゾーンからWANのゾーンを許可する
・アプリケーションではDNSやSSH、ping、web-browsingなどを選べる。
・サービスはapplication-defalultがメーカ推奨。anyでも通信は可能だが、application-defalultであれば、dnsなどのアプリケーションに応じて中身をチェックすることができる。
・application-defaultの内容はObjectのアプリケーションで(たてとえばDNSなら)dnsで検索すると、許可するプロトコルやポートが表示される。
・サービスには、プロトコルとポート番号を指定することもできる。たとえばUDP53番。ただし、DNSなのかどうかは判断せずに、単純にUDPと53であれば通す。
・アプリケーションをweb-browsingにして、サービスでhttpやhttpsを選ぶこともできる。ただ、多少クセがある。お勧めの方法は、アプリケーションをanyにしてサービスをservice-http service-httpsにすること。こうしないと、web-browsingにしてapplication-defalultにすると、httpsが通信できないなどの問題が発生した。
・アプリケーションとサービスはAND条件
⑧NATの設定
Policies>NAT 追加
・全般で名前をつける
・「元のパケット」 送信元ゾーンを指定(LAN)
宛先ゾーンも指定(WAN)、宛先IF(を指定すると思う)。サービスはANY
「変換済みパケット」変換タイプが「ダイナミックIPおよびポート」
アドレスタイプが「インターフェースアドレス」
インターフェースをインターネットに出るIF(WAN)
以下も参照
https://pansetech.net/network-config/#toc4
https://hirotanoblog.com/paloalto-basic-config/3980/#toc6
■MGTポートの設定
このままだと、インターネットに出れず、ライセンスUPdateやソフトウェアのUpdateも失敗する可能性がある。
→①デバイス>SETUP>サービス タグ
DNSを設定する。
②サービス機能のサービスルートの設定
「カスタマイズ」を選択して
「DNS」と「PaloAltoNetworkサービス」を
外部に出られるIFにする(PPPoEのWANは選べない)
■ソフトウェア(OS)のアップデート
DEVICE>ソフトウェア
ダウンロードしてから、インストール
■その他
・複数のポートを同一LANのポートにするには?
→VLANをまずは作成する。同一LANのポートにしたいIFをL2モードに設定し、VLANに入れる。このとき、VLAN用の専用のセキュリティゾーンを作成する必要ある。
・Commitは1つずつできないのか?
→一つずつCommitすればいいが、設定をあちこち変更して、Commitすると、一つでもエラーになると途中終了する。
・複数の設定をしてCommitしたが、何がエラーかわからない。
→Device>セットアップ>操作
「戻す」>「実行中の 設定に戻します」を実行すれば、元に戻せる。
・ライセンスの自動更新
→MGTポートからはインターネットに出られない。設定を調整する必要がある。
・DHCPサーバを設定したとき、継承のIFからDNSなどは持ってこないの?
→inheritedは継承するという意味で、PPPoEから取得したものを継承する。
・IFはPingが応答しない?
→設定にて、管理サービスを有効にするかを決める。インターフェース管理プロファイルを作成する。
→できる。
■脅威防御の設定
(1)適用方法
・ポリシーのところの「プロファイル」で、デフォルトは「none」になっているところをクリック。または、指定されていても、AVなどのアイコンをダブルクリック
※古いOSの場合は以下かも。Policies>セキュリティ>各ルールの「アクション」「プロファイル設定」で割り当てる。
「追加」から設定を行う。
・基本はカテゴリで制御をする。
→Malware、phishing、C&C(Command & Control)のカテゴリはブロックしましょう。
・オーバーライドで、ホワイトリスト、ブラックリストの設定が可能。
・URLフィルタリング
ログの容量が多すぎるので、「コンテナページにのみロギング」がデフォルトになっている。
・URLフィルタリングのヘッダのロギングで、必要なものを取得するようにしましょう。チェックできるのは、ユーザーエージェント、Referer、X-Forwarded-For
■SSLインスペクション
①証明書を作成
DEVICE>証明書の管理>証明書
■AV
オブジェクトで作成して、それをプロファイルに割り当てる
■HA
「Device」>「高可用性」から設定する。
HAといっても、すべてが同期されるわけではない。もちろん通信セッションは同期される、管理系の設定は個別に入れる必要あり。
HAのリンクが2つ必要(物理ポートが2つ)
①HA1:Control Link、HeatBeatの交換 →IPアドレスを割り当てる。相手のPeerを登録する。
②HA2:Data Link、セッション情報の交換 →直結していればIPアドレスの割り当て不要。HA1経由でやってくれるのかも。
※HA1やHA2のポートがダウンしたときように、通常のポートをバックアップとして設定することも可能
ダイナミック更新は、SSL復号をしているとエラーになる可能性がある。→復号を除外すべき。
■ユーザの作成
管理者ユーザ以外に、権限を制限したユーザの作成も可能
・Device>管理者ロール 「追加」にて権限を設定する。大カテゴリは読み取り専用は選べないので注意
・次に「管理者」で「追加」にて、「ロールベース」を先ほど作成した管理者ロールを選択。それ以外の認証プロファイルやパスワードプロファイルはNoneのままで設定。
---------------------------
AWSの仮想VMでの設定
---------------------------
https://pansetech.net
■ログイン
(1)接続方法
MGT(管理)ポートに接続後、https://192.168.1.1/にアクセス。
デフォルトでは192.168.1.1/24のIPアドレスが割り振られている。DHCPでは割り当ててくれなかったので、設定用PCには固定IPを設定して接続する。
ブラウザにて、証明書のエラーが出るが、継続して接続。
(2)ログイン画面
ユーザID:admin
password:admin
でログイン
全般的に、以下のサイトにもいろいろ書いてある。
https://www.my-technote.com/palo-loginout/
■CLIからの設定
(1)2つの設定モード
CiscoなどのNW機器と同様に、モードがある
①>
・operational mode(オペレーショナルモード)
・状態を見たりする
②#
・設定モード(コンフィグレーションモード)
・設定変更をする
・以下のコマンドでコンフィグレーションモードに
> configure
#
(2)CLIでのコマンド
以下の本家サイトも、意外に(と言っては失礼だが)わかりやすい
https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-cli-quick-start/get-started-with-the-cli/change-cli-modes
・set や show などを使う
・たとえば、show deviceconfig system でMGTポートのIPアドレスなどの状態を確認できる。
・pingを実行するには
> ping host 8.8.8.8
送信元を指定する(たとえば、送信元を10.1.1.1)には、
> ping source 10.1.1.1 host 8.8.8.8
※MGTポートからは、デフォルトでは外部への通信などができないような設定になっている
→設定変更の方法は後半に記載
・IPアドレスの設定
# set deviceconfig system ip-address 10.1.1.21 netm…
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClN7CAK
※設定を確定するにはcommitが必要。これをしないと設定が反映されない。
■初期化
(1)PWがわかる場合
初期化コマンド
request system private-data-reset
admin@PA-xxx>request system private-data-reset
ここで、以下が問われるのでyを押すと初期化される
Are you sure you want to continue? (y/n) (y or n)
→ランセンスも消えてしまうが、ライセンスはインターネットに接続して取得できる。
※機器情報とリンクしているので、何かを入力する必要はない。
(2)PWがわからない場合
コンソールから接続し、途中でmaintと入力できる場面がある。
そこで、FactoryResetを選択する。
■ライセンスの取得
初期化すると、ライセンスが消えてしまう。
Device>ライセンス
「ライセンスサーバからライセンスキーを取得」をクリックして、ライセンスを取得
→そのままだとエラーになる可能性がある。
それは、MGTポートからはインターネットにアクセスできないから。設定を変更する(後述)
+ソフトの最新化をしましょう。
ダイナミック更新から実行する
■初期設定
・デフォルトだと、ethernet1、2はVirtual wireに設定されている。(スイッチのポートの役割)
不要な場合はこれを消しましょう。NETWORK>バーチャルワイヤーから、デフォルトのvireをチェックして「削除」
※もちろん、COMMITが必要
・言語の設定は、画面右下の欄外にある
・一般設定
上メニュの「Device」>左メニューの「セットアップ」>管理>一般設定
-タイムゾーンをAsia/Tokyoにする。
・管理ポートの設定
Device>セットアップ>インターフェースにて、「インターフェース名」が「Mangaement」で設定。
MGTポートのIPアドレスなどの設定ができる
管理ポートにアクセスできる送信元IPアドレスは制限しておいたほうがセキュリティ面でいいだろう。
・Device>セットアップ>サービスから、NTPやDNSの設定を行う
・管理者(admin)のパスワード設定
Device>管理者 から設定する。
■設定の保存
commitをする必要がある。忘れずにね。
以下が画面つきで説明がわかりやすい。
https://www.my-technote.com/palo-config-mgt/
■設定ファイルのバックアップ(エクスポート)とインポート
(1)外部のファイルへ保存
デバイス>セットアップ>操作から
・外部へ保存(エクスポート)
もちろんcommitした上で
エクスポート:名前付き設定のエクスポート
「running-config.xml」を選択して「OK」。※保存したxmlファイルは別の名前にリネームしておこう。
・逆にインポート
インポート:名前付き設定スナップショットのインポート
先ほどどのxmlファイルを指定する。
※running-config.xmlの名前だと、うまくいかない。今動いているConfigなので。名前を変えれば成功
※インポートしたら、ロードが必要だと思う。そしてCommitも。
(2)PaloAltoに設定を保存し、インポートする
・保存
Device>操作>保存>「名前付き スナップショットの保存」で名前をつける。たとえば、2020.xml このようにxmlをつけておく
・ロード
同じところで、ロード の「名前付き 設定スナップショットのロード」で、該当するxmlファイルを選択する。→Commitしたら反映されると思う。
■ログや設定履歴などを消去
DEVICE>ログ設定>(下の方にある)ログの管理
ここで、トラフィックログや、脅威のログのクリア、設定ログのクリアなどが行える。
→COMMIT無しで、リアルタイムに消せる。
■再起動
DEVICEから「デバイスの操作」「デバイスの再起動」
■NW設定
Networkタブから設定する。 例を紹介します。
①ゾーンの設定
・名前:LAN、タイプ:レイヤ3、インターフェース:e4
・名前:WAN、タイプ:レイヤ3、インターフェース:e3
※ゾーンのIFはIFの設定で自動で入るので、ここでは指定しなくていい。
②IFの設定
・e4 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:LAN IPv4:10.1.1.254/24 ※その先の設定は入れない
・e3 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:WAN IPv4:PPPoE
③仮想ルータ default に設定したIFを入れる。e1、e2
・仮想ルータで、スタティックルート
0.0.0.0/0をWANのIFに向ける。ネクストホップのルータのIPアドレスも入れた。(入れる必要あり?)
⑤LAN側にDHCPで割り当て
NETWORK>DHCP DHCPサーバーを欄外下の「追加」ボタンで追加
インターフェースを選択(LAN側)、モードはauto、
リースにIPプールとして、払い出すIPのセグメントを記載する
172.16.1.0/24
オプションとして、継承ソースを選ぶWANがPPPoEの場合は、DNSなどを持ってくるはず(★取れてなかった気が)。→DNSはinheritedを入れたら取得できた。
・デフォルトゲートウェイのIPアドレスとサブネットは設定する必要がある
⑥LANからMGTさせるには?
・NETWORK>ネットワークプロファイル>インターフェース管理
追加で、利用させたいサービスを選ぶ。
・NETWORK>インターフェース>該当のIFを選択
「詳細」の管理プロファイルで、作成したプロファイルを選択する。
⑦ポリシーの設定
Policies>セキュリティ で追加
LANのゾーンからWANのゾーンを許可する
・アプリケーションではDNSやSSH、ping、web-browsingなどを選べる。
・サービスはapplication-defalultがメーカ推奨。anyでも通信は可能だが、application-defalultであれば、dnsなどのアプリケーションに応じて中身をチェックすることができる。
・application-defaultの内容はObjectのアプリケーションで(たてとえばDNSなら)dnsで検索すると、許可するプロトコルやポートが表示される。
・サービスには、プロトコルとポート番号を指定することもできる。たとえばUDP53番。ただし、DNSなのかどうかは判断せずに、単純にUDPと53であれば通す。
・アプリケーションをweb-browsingにして、サービスでhttpやhttpsを選ぶこともできる。ただ、多少クセがある。お勧めの方法は、アプリケーションをanyにしてサービスをservice-http service-httpsにすること。こうしないと、web-browsingにしてapplication-defalultにすると、httpsが通信できないなどの問題が発生した。
・アプリケーションとサービスはAND条件
⑧NATの設定
Policies>NAT 追加
・全般で名前をつける
・「元のパケット」 送信元ゾーンを指定(LAN)
宛先ゾーンも指定(WAN)、宛先IF(を指定すると思う)。サービスはANY
「変換済みパケット」変換タイプが「ダイナミックIPおよびポート」
アドレスタイプが「インターフェースアドレス」
インターフェースをインターネットに出るIF(WAN)
以下も参照
https://pansetech.net/network-config/#toc4
https://hirotanoblog.com/paloalto-basic-config/3980/#toc6
■MGTポートの設定
このままだと、インターネットに出れず、ライセンスUPdateやソフトウェアのUpdateも失敗する可能性がある。
→①デバイス>SETUP>サービス タグ
DNSを設定する。
②サービス機能のサービスルートの設定
「カスタマイズ」を選択して
「DNS」と「PaloAltoNetworkサービス」を
外部に出られるIFにする(PPPoEのWANは選べない)
■ソフトウェア(OS)のアップデート
DEVICE>ソフトウェア
ダウンロードしてから、インストール
■その他
・複数のポートを同一LANのポートにするには?
→VLANをまずは作成する。同一LANのポートにしたいIFをL2モードに設定し、VLANに入れる。このとき、VLAN用の専用のセキュリティゾーンを作成する必要ある。
・Commitは1つずつできないのか?
→一つずつCommitすればいいが、設定をあちこち変更して、Commitすると、一つでもエラーになると途中終了する。
・複数の設定をしてCommitしたが、何がエラーかわからない。
→Device>セットアップ>操作
「戻す」>「実行中の 設定に戻します」を実行すれば、元に戻せる。
・ライセンスの自動更新
→MGTポートからはインターネットに出られない。設定を調整する必要がある。
・DHCPサーバを設定したとき、継承のIFからDNSなどは持ってこないの?
→inheritedは継承するという意味で、PPPoEから取得したものを継承する。
・IFはPingが応答しない?
→設定にて、管理サービスを有効にするかを決める。インターフェース管理プロファイルを作成する。
たとえば、LAN側のPaloのIFにログインしたりPingを打てるようにする方法は以下
Network>該当のIF(たとえばethernet1/1)を選び、「詳細」タブから、「その他の情報」の「管理プロファイル」を新規作成する。ここで、許可したいHTTPSやSSHなどを設定する。
そして、設定を変更する場合は、Network>ネットワークプロファイル>インターフェース管理 から編集する。
・同じ名前で複数ユーザで同時ログインができるか?→できる。
■脅威防御の設定
(1)適用方法
・ポリシーのところの「プロファイル」で、デフォルトは「none」になっているところをクリック。または、指定されていても、AVなどのアイコンをダブルクリック
※古いOSの場合は以下かも。Policies>セキュリティ>各ルールの「アクション」「プロファイル設定」で割り当てる。
・アンチウイルスや脅威防御やURLフィルタリングなどのプロファイルを選択していく。
デフォルトを使わずに、新規で作った方がいい。
❶AVの場合
名前を付ける。そして、デフォルトで、「default」となっていて
AVが有効になっている。それを、不要なところをallow(許可)にしたり、
alert(ログを出力)、drop(拒否)にしたりする。
❷URLフィルタ
AVと同様。デフォルトは全て許可になっているので、たとえばMalwareを禁止したければ、malwareで検索して、サイトアクセスをblockまたはAlertにする。
・Objects>セキュリティプロフィアル>URLフィルタリング❷URLフィルタ
AVと同様。デフォルトは全て許可になっているので、たとえばMalwareを禁止したければ、malwareで検索して、サイトアクセスをblockまたはAlertにする。
「追加」から設定を行う。
・基本はカテゴリで制御をする。
→Malware、phishing、C&C(Command & Control)のカテゴリはブロックしましょう。
・オーバーライドで、ホワイトリスト、ブラックリストの設定が可能。
・URLフィルタリング
ログの容量が多すぎるので、「コンテナページにのみロギング」がデフォルトになっている。
・URLフィルタリングのヘッダのロギングで、必要なものを取得するようにしましょう。チェックできるのは、ユーザーエージェント、Referer、X-Forwarded-For
■SSLインスペクション
①証明書を作成
DEVICE>証明書の管理>証明書
■AV
オブジェクトで作成して、それをプロファイルに割り当てる
■HA
「Device」>「高可用性」から設定する。
HAといっても、すべてが同期されるわけではない。もちろん通信セッションは同期される、管理系の設定は個別に入れる必要あり。
HAのリンクが2つ必要(物理ポートが2つ)
①HA1:Control Link、HeatBeatの交換 →IPアドレスを割り当てる。相手のPeerを登録する。
②HA2:Data Link、セッション情報の交換 →直結していればIPアドレスの割り当て不要。HA1経由でやってくれるのかも。
※HA1やHA2のポートがダウンしたときように、通常のポートをバックアップとして設定することも可能
ダイナミック更新は、SSL復号をしているとエラーになる可能性がある。→復号を除外すべき。
■ユーザの作成
管理者ユーザ以外に、権限を制限したユーザの作成も可能
・Device>管理者ロール 「追加」にて権限を設定する。大カテゴリは読み取り専用は選べないので注意
・次に「管理者」で「追加」にて、「ロールベース」を先ほど作成した管理者ロールを選択。それ以外の認証プロファイルやパスワードプロファイルはNoneのままで設定。
・または、ロールを選択せずに、スーパーユーザー(読取専用)を選ぶこともできる。
・また、SSHで接続してCLIを使って操作をさせる点に関しては、「コマンドライン」タブで設定する。noneだと接続すらできない。superreaderにてすれば、とりあえず接続はできた。---------------------------
AWSの仮想VMでの設定
---------------------------
これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。
コメント