8.0 以降の接続セキュリティの強化 PAN-OS

8.0 以降の接続セキュリティの強化 PAN-OS

41397
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:43 PM


Symptom


PAN-OS8.0 では、接続セキュリティの強化により、一部のパロアルトネットワークスのエンティティ間の管理接続に関連する追加のセキュリティ対策が導入されました。 この機能によって保護されている接続は図に示されており、セキュリティ対策には次のサポートが含まれています。

  • カスタム SSL / TLS サービス プロファイル
  • カスタムクライアント証明書
  • SCEP サポート
  • CRL/ OCSP サポート
Panorama ログ コレクタは、ファイアウォール、ログ コレクタ クライアント、クライアントなどのクライアントによって開始される管理接続用のサーバとして機能します Panorama HA 。

connectenhance1

A セキュア・サーバー通信と呼ばれる新しい構成スペースが導入 Panorama され、ユーザーが MGMT デバイスがサーバーとして機能している接続のさまざまなセキュリティー機能を構成できるように、Log Collector が導入されました。

オン Panorama :セキュリティ Panorama で保護されたサーバー通信>管理>設定>セットアップ

panorama 設定 .png


また、ログ コレクターは MGMT 、ファイアウォールから発信された接続のサーバーとして機能します。

ログ コレクタ: セットアップ>管理対象コレクタ>通信>セキュアなサーバ通信

セキュア通信 .png

Environment


  • PAN-OS 8.0
  • Panorama (またはログコレクタ)

Resolution


セキュアなサーバー通信 ( Panorama およびログコレクタ)

カスタム SSL / TLS プロファイル

  • 管理者は、 SSL Panorama クライアントと通信するときに、接続のために /Log-Collector サーバーによって使用される暗号と証明書 SSL を完全に制御できます。

セキュア通信 2. png

  • Panorama/Log-Collector は、クライアント firewall (、Log-Collector、または高可用性ピア) からの接続を受け入れる際に、証明書プロファイル構成ごとに証明書を検証できます。
  • Panorama/Log-Collector は証明書 OCSP CRL プロファイルで / 構成されている場合に証明書の状態をチェックし、証明書が期限切れまたは失効した場合に接続を終了できます。

セキュア通信 3. png


クライアント認証

  • [カスタム証明書のみ] オプションを有効にすると Panorama 、/Log-Collector は Pan-OS 7.1 以前の バージョンを実行しているクライアントからの接続を拒否します。 これらのデバイスは、Log-Collector に接続するときに、デフォルトのプリロードされた証明書を提示 Panorama します。

カスタム certs

  • クライアント認証は、承認リストでさらに細かく調整することができます。
  • 承認リストにはサブジェクト、サブジェクトの Alt 名があります。 サブジェクト値の種類は IP 、アドレスまたはドメイン名にすることができます。 [件名] の [名前] には、電子メール、ドメイン名、アドレスなどの種類を指定できます IP 。
  • クライアントは、シリアル番号を介して認証することもできます。
カスタム certs2

 

セキュア・クライアント通信 ( Firewall 、 LC クライアント、 Panorama HA クライアント)

  • ユーザーは、/Log-Collector サーバーと通信するときに、クライアントから提示されるクライアント証明書を選択できます Panorama 。 このクライアント証明書は、ローカルに存在することも、プロファイルを介してインポートすることもできます SCEP 。
  • 証明書プロファイルは、/Log-Collector サーバーによって提示された証明書を検証するために使用 Panorama されます。 OCSP/ CRL が設定されている場合、クライアントはこれらの方法で証明書の状態をチェックし、証明書が失効または期限切れになった場合に接続を終了します。

 

クライアント側の構成部分は、 セキュア クライアント通信 スペース を使用して行います ファイアウォール、 Panorama 高可用性クライアント、Log-Collector クライアントはさまざまなケースでクライアントとして機能できるため、この構成スペースはこれらすべてのデバイスで使用できます。

グラフ .png

 

On Firewall: セットアップ>管理> Panorama セキュリティで保護されたクライアント通信
セキュアクライアント通信 .png>設定

Panorama HA クライアント上: Panorama >高可用性>セットアップ

クライアント通信 panorama .png

ログ コレクタ クライアント: Panorama > マネージ コレクタ>通信>セキュア クライアント通信

クライアント通信コレクター .png

 

トラブルシューティング

  • システムログ Firewall と、 Panorama MGMT SSL 接続の問題のトラブルシューティングに使用できます。

Panorama システム ログ
panoramalog

Firewall システム ログ
firewalllog

  • A 証明書と呼ばれる新しい列は、 Panorama クライアントによって提示されたクライアント証明書のステータスを示す管理対象デバイスの下に導入されます。

管理対象デバイス .png

[証明書の状態] 列のメッセージの一覧を次に示します。

  • 展開–クライアントは、証明書プロファイルのチェックを通過したカスタム証明書を使用しています
  • 定義済みのクライアントは、事前に定義された証明書を使用しています
  • 証明書の検証エラー-クライアントは、サーバー上の証明書プロファイルのチェックに失敗しました。
  • クライアント id チェックエラー-クライアント証明書サーバー上の認証リストのチェックに失敗しました
  • メッセージなし-クライアントはサーバー側のすべてのチェックに合格しました。 サーバー証明書がクライアント側で行われたチェックに失敗した可能性があります。

Additional Information


このトピックの詳細や PAN-OS 一般的な情報については、TechDocs PAN-OS のランディング ページを参照してください。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTGCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language