UTM/NGFW解説ブログ

フリーのネットワーク/セキュリティエンジニアが綴るFW/UTM/NGFWに関する情報

PSIRTの情報

Fortinet NGFW UTM PaloAlto

今月のPVが100を突破したとの通知がありました。

読者の皆様、ありがとうございます。まだまだ不慣れな点や稚拙な内容があると思いますが、今後ともよろしくお願いいたします。

 

さて、タイトルの件ですがLinuxベースだったりCentOSベースだったりと囁かれるものですのでセキュリティアプライアンス自身にも脆弱性はあります。

ベンダが運営しているPSIRTで情報が公開されていますので、新たな脆弱性の情報の有無、脆弱性がご利用環境で影響するものか、影響範囲はどれぐらいなのかを定期的に確認することをオススメします。

PSIRT Advisories | FortiGuard

Palo Alto Networks Product Vulnerability - Security Advisories

 

なお、個人的には

・管理アクセスの宛先IPアドレスグローバルIPアドレス

・管理アクセスの送信元IPアドレスを限定していない

・宛先ポートを標準から変更していない

上記すべてが該当する環境では早急にバージョンアップして対処をすべきと考えています。導入先のセキュリティポリシー上、あまりない環境とは思いますが念のため。

 

PaloAlto VM-Series for AWS 序章その1

AWS NGFW PA-VM PaloAlto

AWS Marketplace: VM-Series Next-Generation Firewall Bundle 2

AWSマーケットプレイスにある「VM-Series Next-Generation Firewall Bundle 2」を構築して、よりGUICLIに関する解説にむけた準備をしています。

モデルはPA-VM-300となり、Bundle 2は脅威防御だけではなく、WebフィルタリングやWildFireもあります。Bundle 1は脅威防御のみですね。

使える時間などの兼ね合いから、もう少々お待ちください。

 

なお、無料枠も使っていますが請求があってビックリしました。(微々たるものですが)

筆者の知識不足でNAT Gatewayを作成したまま放置と、Elastic IPを起動中のインスタンスに紐づけていなかったというしょうもないオチ。。。

念のため気をつけていただければ幸いです。

FortiGate PPPoE IP unnumbered

FortiGate Fortinet UTM

設定方法はオンラインヘルプ参照で。

https://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-networking/Interfaces/PPPoE%C2%A0%20addressing%20mode%20on%20an%20interface.htm?Highlight=pppoe

 

困るパターンは、自動でアサインされるグローバルIPアドレスを公開サーバなどで使いたいと言われる場合です。

その時はPPPoE---トランスペアレントモードのVDOM---NAT/ルートモードのVDOM---LANという構成で実現可能です。

トランスペアレントモードのVDOMにDMZを接続しましょう。ただし、管理IPは必須設定となりますので、割り当てられるグローバルIPから1つ消費するデメリットがあります。

PAシリーズ 大量のコンフィグをCLIで投入する場合

NGFW PAN-OS PaloAlto

XML API使えって声が聞こえそうですが、GUIでは捌ききれない設定量の際はCLIから投入するのが便利です。

ただし、50行程度でもコピペだけでは弾かれやすいです。

TeraTermマクロでwaitかけながら投入すればいいじゃんって思われそうですが、PAシリーズは細かい設定ができるゆえに設定量が多く、期限に間に合わない可能性があります。

そんな時の強い味方が「scripting-mode」!

set cli scripting-mode on

configure

してからコマンドをコピペすると弾かれずに数万行も投入可能です!

https://www.paloaltonetworks.com/documentation/81/pan-os/cli-gsg/get-started-with-the-cli/customize-the-cli

 

なお、注意点は戻す際にTabも?も利かなくなるので、設定投入後にexitしてから、

set cli scripting-mode off

をコピペすると設定を元に戻せるうえ、誤操作もなくなります。

FortiGate IoTに関する話題

FortiGate Fortinet IoT

10日ほど出遅れてますが、、、

FA(生産システム)やIoT向けのCC-Link IE TSNの仕様策定完了に対して、フォーティネットジャパンの久保田社長がコメントを出していました。

prtimes.jp

【CC-Link IE TSNとは】

https://www.cc-link.org/ja/cclink/cclinkie/cclinkie_tsn.html

 

執筆のために振り返りで記事を見ましたが、シスコもパートナー企業でした。

単にTCP/IPEthernetだけの環境ではなく、CC-Link IE TSNのように新たなものに関してもアンテナを張っていければと思います。

AWSマーケットプレイスのFortiGate/PaloAlto

FortiGate NGFW UTM PaloAlto Panorama AWS

AWSでAnsible検証環境作ろうとトライ中です。

息抜きを兼ねて、AWSマーケットプレイスにFortiGateとPaloAltoがどれぐらいあるのか見てみました。AWSでセキュリティアプライアンス使う時の参考にしていただければと思います。

 

【PaloAlto】BYOLを含む3パターンのPAバンドルタイプ、およびPanoramaでした。

f:id:network_security:20181202215114j:plain

 

【FortiGate】UTMはBYOLと従量課金の2種類、その他はUTM以外でした。なお、キャプチャしきれず9エントリー中8エントリーが画像となり、最後は FortiAuthenticatorだったのを確認しています。

f:id:network_security:20181202215240j:plain

f:id:network_security:20181202215244j:plain

 

PAシリーズからRSTパケットを送信する条件

実装観点からいうとアンチウィルス、アンチスパイウェア脆弱性防御の各プロファイルでアクションをreset-client、reset-server、reset-bothに設定していると脅威検出時にRSTパケットを送信します。

・reset-client:通信のクライアント側のみにRSTパケット送信

・reset-server:通信のサーバ側のみにRSTパケット送信

・reset-both:通信のクライアント/サーバ両方にRSTパケット送信

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUvCAK

https://www.paloaltonetworks.com/documentation/81/pan-os/pan-os/policy/security-profiles

 

いやいや、そんな設定してないけどRSTパケット送信されてきたよって場合は、PAシリーズのIPアドレスでNATしているクライアントまたはサーバから送信されていると考えられますね。そのためのパケットキャプチャは別記事で紹介します。