PSIRTの情報
今月のPVが100を突破したとの通知がありました。
読者の皆様、ありがとうございます。まだまだ不慣れな点や稚拙な内容があると思いますが、今後ともよろしくお願いいたします。
さて、タイトルの件ですがLinuxベースだったりCentOSベースだったりと囁かれるものですのでセキュリティアプライアンス自身にも脆弱性はあります。
ベンダが運営しているPSIRTで情報が公開されていますので、新たな脆弱性の情報の有無、脆弱性がご利用環境で影響するものか、影響範囲はどれぐらいなのかを定期的に確認することをオススメします。
Palo Alto Networks Product Vulnerability - Security Advisories
なお、個人的には
・管理アクセスの宛先IPアドレスがグローバルIPアドレス
・管理アクセスの送信元IPアドレスを限定していない
・宛先ポートを標準から変更していない
上記すべてが該当する環境では早急にバージョンアップして対処をすべきと考えています。導入先のセキュリティポリシー上、あまりない環境とは思いますが念のため。
PaloAlto VM-Series for AWS 序章その1
AWS Marketplace: VM-Series Next-Generation Firewall Bundle 2
AWSマーケットプレイスにある「VM-Series Next-Generation Firewall Bundle 2」を構築して、よりGUIやCLIに関する解説にむけた準備をしています。
モデルはPA-VM-300となり、Bundle 2は脅威防御だけではなく、WebフィルタリングやWildFireもあります。Bundle 1は脅威防御のみですね。
使える時間などの兼ね合いから、もう少々お待ちください。
なお、無料枠も使っていますが請求があってビックリしました。(微々たるものですが)
筆者の知識不足でNAT Gatewayを作成したまま放置と、Elastic IPを起動中のインスタンスに紐づけていなかったというしょうもないオチ。。。
念のため気をつけていただければ幸いです。
FortiGate PPPoE IP unnumbered
PAシリーズ 大量のコンフィグをCLIで投入する場合
XML API使えって声が聞こえそうですが、GUIでは捌ききれない設定量の際はCLIから投入するのが便利です。
ただし、50行程度でもコピペだけでは弾かれやすいです。
TeraTermマクロでwaitかけながら投入すればいいじゃんって思われそうですが、PAシリーズは細かい設定ができるゆえに設定量が多く、期限に間に合わない可能性があります。
そんな時の強い味方が「scripting-mode」!
set cli scripting-mode on
configure
してからコマンドをコピペすると弾かれずに数万行も投入可能です!
なお、注意点は戻す際にTabも?も利かなくなるので、設定投入後にexitしてから、
set cli scripting-mode off
をコピペすると設定を元に戻せるうえ、誤操作もなくなります。
FortiGate IoTに関する話題
PAシリーズからRSTパケットを送信する条件
実装観点からいうとアンチウィルス、アンチスパイウェア、脆弱性防御の各プロファイルでアクションをreset-client、reset-server、reset-bothに設定していると脅威検出時にRSTパケットを送信します。
・reset-client:通信のクライアント側のみにRSTパケット送信
・reset-server:通信のサーバ側のみにRSTパケット送信
・reset-both:通信のクライアント/サーバ両方にRSTパケット送信
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUvCAK
https://www.paloaltonetworks.com/documentation/81/pan-os/pan-os/policy/security-profiles
いやいや、そんな設定してないけどRSTパケット送信されてきたよって場合は、PAシリーズのIPアドレスでNATしているクライアントまたはサーバから送信されていると考えられますね。そのためのパケットキャプチャは別記事で紹介します。