PaloAlto

PAN-OS 9系以降におけるURLフィルタリングプロファイルの設計変更の話

当記事では、PAN-OS 9系以降からURL フィルタリングプロファイルに関する設計変更が行われたことによって予期せぬ通信遮断が発生してしまった話を記載します。

遮断の原因について

遮断の原因となったのは、「オーバーライド」という機能がPAN-OS 9系以降廃止されたことによりアクション優先度が変わった為です。

PAN-OS 8系以前までは、「OBJECTS > セキュリティプロファイル > URLフィルタリング > オーバーライド」にて、許可リストおよびブロックリストとしてURLを設定することでアクションの優先度を上げる機能がありました。

しかし、PAN-OS 9系以降「オーバーライド」機能は廃止となり、当該機能に設定されていた許可リストおよびブロックリストは自動的に「OBJECTS > カスタムオブジェクト > URLカテゴリ」上に「allow-[プロファイル名]」「block-[プロファイル名]」という名称で作成されるようになりました。

アクション優先度について

PAN-OS毎のアクション優先度の違いは以下の通りです。

  • PAN-OS 8系以前
    1. ブロックリスト
    2. 許可リスト
    3. ユーザー設定のカテゴリ(OBJECTS > カスタムオブジェクト > URLカテゴリ にて設定されているカテゴリ)
    4. キャッシュ
    5. 事前に定義されたカテゴリ(malware、graywareなどの事前にPaloAltoが定義しているカテゴリ)
  • PAN-OS 9系以降
    1. ユーザー設定のカテゴリ
    2. キャッシュ
    3. 事前に定義されたカテゴリ

遮断の詳細について

具体例を用いて説明します。

  • PAN-OS 8系以前
    URLフィルタリングプロファイル「SecuAvail-Profile」は以下設定とします。
    ①許可リストに「https://www.secuavail.com/」を設定
    ②カスタムURLカテゴリ「SecuAvail-CustomCategory」のアクションは「block」
    ※「SecuAvail-CustomCategory」には「https://www.secuavail.com/」が設定されています。
    →上記の場合、アクション優先度から①が優先されるため、通信は”通過”します。
  • PAN-OS 9系以降
    許可リストは、カスタムURLカテゴリ「allow-SecuAvail-Profile」という名称で移行し、URLフィルタリングプロファイル「SecuAvail-Profile」は以下設定となります。
    ①カスタムURLカテゴリ「allow-SecuAvail-Profile」のアクションは「allow」
    ※URLフィルタリングプロファイル内において、移行した許可リストは自動的にアクション「allow」、ブロックリストはアクション「block」として追加されます。
    ②カスタムURLカテゴリ「SecuAvail-CustomCategory」のアクションは「block」
    →同一プロファイル内に異なるアクションが含まれることとなり、「allow」よりも「block」が優先されるため通信は”遮断”されます。

対応策について

今回遮断が発生したPaloAltoでは、カスタムURLカテゴリや許可リストが大量に設定されていることから、影響する箇所を全て探し出すのは難しかったため以下対応を取ることで対策しました。

URLフィルタリングプロファイルが適用されている各ポリシーの上部に、カスタムURLカテゴリ「allow-[プロファイル名]」を許可するための新規ポリシーを追加します。
※送信元や宛先、セキュリティプロファイル(URLフィルタリングを除く)等は全て各ポリシーの内容を踏襲し、タブ「Service/URL Category」にてカスタムURLカテゴリ「allow-[プロファイル名]」を追加します。

まとめ

PAN-OS 8系以前のPaloAltoにおいて、カスタムURLカテゴリおよび許可リストを使用していると、PAN-OS 9系以降へバージョンアップを行う際や、機器更改に伴い設定は踏襲したまま、PAN-OS 9系以降に変わる際に上記事象に該当する恐れがあるため注意が必要です。

参考

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boO3CAI&lang=en_US

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(240409_01)前のページ

SSH接続切断時にプログラムが停止する理由と対処法次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    ネットワーク機器への不正接続の検知(PaloAlto)

    ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを…

  2. NW機器

    【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2…

    ※本記事の内容は、2021年11月15日現在の公開情報をもとに記載して…

  3. PALOALTOのURLフィルタリングのカテゴリ例外における脆弱性
  4. NW機器

    OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況につい…

    セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenS…

  5. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

  6. PaloAlto

    【2022/04/07更新】Spring Frameworkの脆弱性(CVE-2022-22965)…

    ※本記事の内容は、2022年4月5日現在の公開情報をもとに記載しており…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. 実践記事

    DNSキャッシュポイズニングやってみた
  2. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP