GlobalProtect: ローカルサブネットアクセスを無効にする

GlobalProtect: ローカルサブネットアクセスを無効にする

103256
Created On 09/25/18 19:03 PM - Last Modified 06/13/23 05:04 AM


Resolution


プレ7.0 で。パン OS バージョンでは、GlobalProtect 接続が確立されると、ユーザーはローカルサブネットにアクセスできるようになります。 ローカルプリンタ、ローカルファイル共有などにもアクセスできます。

 

これは、機密情報を印刷したり、ローカルファイルサーバーにこの情報を送信したりできるため、潜在的なリスクを示します。

 

PAN-OS 7.0 以降、管理者はローカルサブネットへのアクセスを無効にする方法を持っています。 ローカルサブネットへのすべての要求は、トンネルを経由してルーティングされます。

 

 

この機能は iOS または Android クライアントではサポートされていないので、Windows または OSX のみであることに注意してください。

 

この機能は、さまざまなネットワークの種類で動作します。 例としては、ホテル/パブリックホットスポット、プライベートネットワーク、既存の VPN または仮想アダプタが存在するシステム、プロキシサーバーを使用するシステムなどがあります。

 

この機能は IPv4 のみをサポートすることに注意してください。

 

どのように Windows では、この作品:

 

  • GlobalProtect が接続されている場合、ローカル PC のルーティングテーブルをスキャンし、ローカルサブネットルート (127.0.0.1) と物理アダプタのセルフポインティングルートを除いて、すべての既存のすべての地域に対して新しいマスクされたルートを作成します。
  • GlobalProtect が切断されると、これらのマスクされたルートはすべて削除されます。
  • GlobalProtect が予期せず終了した場合、マスクされたルートはその後すぐに削除され
    • GlobalProtect 仮想アダプタが存在しなくなったため、OS によって
    • OS が失敗した場合、GP は再起動時に削除されます。

たとえば、送信先ルートは次のようにマスクできます。

ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257

にマスクすることができます

 

ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
0.0.0.0 0.0.0.0 オンリンク 172.20.30.40 1

 

追加されたルートには、より低いメトリック (1) があるため、推奨ルートになります。

 

どのように OSX でこの作品:

 

  • ほとんど同じように動作します。唯一の OSX は、多少異なるマスクルートを処理します。Mac は、マスクされたルートにフラグ "I" を追加し、その特定のインターフェイススコープでのみ使用すると言います。

たとえば、送信先ルートは次のようにマスクできます。

宛先ゲートウェイフラグリファレンス使用 Netif 有効期限
10.35.14/24 リンク # 5 UCS 3 0 en1

にマスクすることができます

 

宛先ゲートウェイフラグリファレンス使用 Netif 有効期限
10.35.14/24 7.7.7.5 UGdCSc 0 2 gpd0 10.35.14 
/24 Link # 5 UCSI 1 0 en1

上記で説明したように、フラグ ' I ' は RTF_IFSCOPE が使用されることを意味します。 

 

 設定は非常に簡単で、CLI および/または GUI 上で行うことができます。

 

CLI を介して:

 

# セットグローバル保護-ゲートウェイの<NAME>リモートユーザートンネル-configs の<name>ない直接アクセス-ローカルネットワーク-いいえいいえ

はいはい </name> </NAME>

 

GUI を介して:

  •  PAN-OS 7.0: ネットワークタブ > GlobalProtect > ゲートウェイ > <Your gateway="">> クライアント構成 > ネットワーク設定 > <Your config="">> ネットワーク設定</Your></Your>

2016-07-26 _13-39-16PAN-OS 7.0 での設定

  • PAN-OS 7.1: ネットワークタブ > GlobalProtect > ゲートウェイ > <Your gateway="">> エージェント > クライアント設定 > <Your config="">> ネットワーク設定</Your></Your>

2016-07-26 _13-44-27PAN-OS 7.1 での設定

 

スプリットトンネリングはこの機能によって上書きされることに注意してください。この機能を有効にした場合、アクセスルートはマスクされますので、動作しません。 エラーまたは警告メッセージが表示されず、[アクセスルート] ボックスが淡色表示になっていない。あなたはまだアクセスルートを作成することができますが、ちょうどあなたがこの機能を有効にしている場合、彼らは動作しません覚えておいてください。

 

トラブルシューティングについては、PanGPA または PanGPS にログが追加されていないことに注意してください。この機能が有効かどうかは、PanGPS と PanGPA で確認できます。  これにより、ゲートウェイがこの構成を送信していることが確認されます。

Windows では、アプリケーションとシステムログでルートの作成に失敗したかどうかを確認します。 OSX では、ルートの作成に失敗するかどうかをチェック/var/log/system.log ます。

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTmCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language