Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

of

Paloalto#2 Slide 1 Paloalto#2 Slide 2 Paloalto#2 Slide 3 Paloalto#2 Slide 4 Paloalto#2 Slide 5 Paloalto#2 Slide 6 Paloalto#2 Slide 7 Paloalto#2 Slide 8 Paloalto#2 Slide 9 Paloalto#2 Slide 10 Paloalto#2 Slide 11 Paloalto#2 Slide 12 Paloalto#2 Slide 13 Paloalto#2 Slide 14 Paloalto#2 Slide 15 Paloalto#2 Slide 16 Paloalto#2 Slide 17 Paloalto#2 Slide 18 Paloalto#2 Slide 19 Paloalto#2 Slide 20 Paloalto#2 Slide 21 Paloalto#2 Slide 22 Paloalto#2 Slide 23 Paloalto#2 Slide 24 Paloalto#2 Slide 25 Paloalto#2 Slide 26 Paloalto#2 Slide 27 Paloalto#2 Slide 28 Paloalto#2 Slide 29 Paloalto#2 Slide 30 Paloalto#2 Slide 31 Paloalto#2 Slide 32 Paloalto#2 Slide 33 Paloalto#2 Slide 34
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

Download to read offline

Paloalto#2

Download to read offline

palo

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Paloalto#2

  1. 1. 【paloalto】 アジェンダ 0900~0910 起動・物理結線 0910~0920 コンフィグリストア 鈴木メモ palo×3、PC×5、スイッチ×2 今日、出来るようになる事 DMZゾーンを作成できる App-IDでブロック NAT インターネットからDMZ公開サーバへアクセス 鈴木備忘メモ 1 untrustのPCに以下を追加 route print route add 192.168.10.0 mask 255.255.255.0 192.168.210.207 route add 192.168.20.0 mask 255.255.255.0 192.168.210.208 route add 192.168.30.0 mask 255.255.255.0 192.168.210.209 route print R05ルーターに以下を追加 ip route 192.168.10.0 255.255.255.0 192.168.210.207 ip route 192.168.20.0 255.255.255.0 192.168.210.208 ip route 192.168.30.0 255.255.255.0 192.168.210.209 DMZ PC sudo route add –net 192.168.10.0 netmask 255.255.255.0 gw 192.168.214.1 sudo route add –net 192.168.20.0 netmask 255.255.255.0 gw 192.168.214.2 sudo route add –net 192.168.30.0 netmask 255.255.255.0 gw 192.168.214.3
  2. 2. システム構成図 trust(192.168.10.0/24) trust(192.168.20.0/24) trust(192.168.30.0/24) 2 DMZ(192.168.214.0/24) untrust(192.168.210.0/24) 1 1 1 2 2 2 3 3 3 1 2 3 1 2 3 9 8 R05ルータ インターネット 8 192.168.210.207 192.168.210.208 192.168.210.209 192.168.214.1 192.168.214.2 192.168.214.3 192.168.214.10 192.168.10.1 192.168.20.1 192.168.30.1 192.168.1.2 192.168.20.10 192.168.30.10 route print route add 192.168.10.0 mask 255.255.255.0 192.168.210.207 route add 192.168.20.0 mask 255.255.255.0 192.168.210.208 route add 192.168.30.0 mask 255.255.255.0 192.168.210.209 route add 192.168.214.0 mask 255.255.255.0 192.168.210.207 route print 192.168.210.210 255.255.255.0 192.168.210.254 DMZのPC untrustのPC 社内のPC 社内のPC 社内のPC MGT 192.168.1.1 192.168.10.10
  3. 3. IPアドレス表 参加者1 参加者2 参加者3 PCのIPアドレス 192.168.1.2 ↓ 192.168.10.10 192.168.1.2 ↓ 192.168.20.10 192.168.1.2 ↓ 192.168.30.10 paloalto ethernet1/1 192.168.210.207 192.168.210.208 192.168.210.209 ethernet1/2 192.168.10.1 192.168.20.1 192.168.30.1 ethernet1/3 192.168.214.1 192.168.214.2 192.168.214.3 NAT用IPアドレス 192.168.210.217 192.168.210.218 192.168.210.219 3
  4. 4. コンフィグをリストアする 手順1 ダウンロードしたファイル名を変更する 例suzuki-running-config.xml 「Device」→「setup」→「operations」→「import named configuration snapshot」 4
  5. 5. DMZを作成する 要求:DMZゾーンを作成して下さい 社内(trust)→DMZは通信許可、DMZ→社内(trust)は通信拒否 手順2 ゾーンを作成 手順3 インターフェースにIPアドレスを採番 手順4 commit palo→DMZPCへの疎通確認(CUI) 手順5 オブジェクト作成 192.168.214.0_24、192.168.10.0_24、192.168.20.0_24、192.168.30.0_24 手順6 ポリシー作成 社内→DMZへの通信許可 DMZ→インターネットへの通信許可 手順 untrustPC 5
  6. 6. ゾーンを作成する 手順2 「Network」→「Zones」→「Add」 Nameに「DMZ」、Tyepに「Layer3」を設定する 6
  7. 7. インターフェースにIPアドレスを設定する(1) 手順3 「Network」→「Interfaces」→「ethernet1/3」 Interface Typeに「Layer3」を選択、「config」タブで、Vitural Routerに「default」、Security Zoneに「DMZ」を選択 「ipv4」タブで「192.168.214.1/24」or 「192.168.214.2/24」or 「192.168.214.3/24」を入力し「OK」 7
  8. 8. インターフェースにIPアドレスを設定する(2) 手順4 SSHからcommitして、ping確認する。 commitの待ち時間に、次のページへ 8 admin@PA-02> configure Entering configuration mode [edit] admin@PA-02# commit Commit job 4 is in progress. Use Ctrl+C to return to command prompt ..........................55%...60%75%..98%.................100% Configuration committed successfully [edit] admin@PA-02# admin@PA-02# exit Exiting configuration mode admin@PA-02> ping source 192.168.214.2 host 192.168.214.10 PING 192.168.214.10 (192.168.214.10) from 192.168.214.2 : 56(84) bytes of data. 64 bytes from 192.168.214.10: icmp_seq=1 ttl=128 time=480 ms 64 bytes from 192.168.214.10: icmp_seq=2 ttl=128 time=1.96 ms 64 bytes from 192.168.214.10: icmp_seq=3 ttl=128 time=1.98 ms ^C --- 192.168.214.10 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2027ms rtt min/avg/max/mdev = 1.961/161.585/480.813/225.728 ms admin@PA-02>
  9. 9. オブジェクトを作成する 手順5 「Objects」→「Address」→ DMZセグメント用 「+Add」Nameに「192.168.214.0_24」Typeに「IP Netmask」「192.168.214.0/24」を入力 社内セグメント用 「+Add」Nameに「192.168.10.0_24」Typeに「IP Netmask」「192.168.10.0/24」を入力 9
  10. 10. policyを作成する Trust-To-DMZ(1) 手順6 「Policies」→「Security」→「+Add」 GeneralタブのNameにて「rule-Trust-to-DMZ」、SourceタブのSource Zoneにて「trust」Source Addressにて「192.168.10.0_24」 Userタブ デフォルトのまま 10
  11. 11. policyを作成する Trust-To-DMZ(2) 手順7 DestinationタブのDestination Zoneにて「DMZ」Destination Addressにて「192.168.214.0_24」、Applicationタブにて「ping」 Service/URL Categoryにて「any」、Actionsタブにて「Allow」を設定する 11
  12. 12. 疎通確認を実施する(Trust-to-DMZ) 手順8 コミット 社内PC(192.168.10.10 or 192.168.20.10 or 192.168.30.10)からDMZPC(192.168.214.10)に疎通確認を実施する 12 admin@PA-02> configure Entering configuration mode [edit] admin@PA-02# commit Commit job 4 is in progress. Use Ctrl+C to return to command prompt ..........................55%...60%75%..98%.................100% Configuration committed successfully [edit] admin@PA-02#
  13. 13. policyを作成する DMZ-To-Untrust(1) 手順6 「Policies」→「Security」→「+Add」 GeneralタブのNameにて「rule-DMZ-to-Untrust」、SourceタブのSource Zoneにて「DMZ」Source Addressにて「192.168.214.0_24」 Userタブ デフォルトのまま 13
  14. 14. Policyを作成する DMZ-To-Untrust(2) 手順7 DestinationタブのDestination Zoneにて「untrust」、Applicationタブ デフォルトのまま Service/URL Categoryにて「any」、Actionsタブにて「allow」を設定する コミット 14
  15. 15. 疎通確認を実施する(DMZ→untrust) 手順 untrustPCにスタティックルートを追加する (参加者毎に違います) 参加者1の場合 参加者2の場合 参加者3の場合 DMZ-PCから、Untrust-PCに接続出来る事を確認します 15 untrustのPCに以下を追加 route add 192.168.214.0 mask 255.255.255.0 192.168.210.207 route print untrustのPCに以下を追加 route add 192.168.214.0 mask 255.255.255.0 192.168.210.208 route print untrustのPCに以下を追加 route add 192.168.214.0 mask 255.255.255.0 192.168.210.209 route print
  16. 16. App-IDで twitterのみブロックする(1) 手順9 社内PCからtwitterをブロックする ブラウザで「twitter」ブロック前の確認 16 手順10 「ACC」→「Network Activity」→「Last 15 Minutes」 「twitter-base」がある事を確認する
  17. 17. App-IDで twitterのみブロックする(2) 手順11 「Policies」→「Security」→「+Add」 GeneralタブでNameに「rule-twitter-Block」、Sourceタブで、SourceZoneに「trust」Source Addressに「192.168.10.0_24」 Userタブはなにもしない:デフォルト 17
  18. 18. App-IDで twitterのみブロックする(3) 18 手順12 DestinationタブのDestination Zoneに「untrust」を設定、Service/URL Categoryに「any」を設定 ApplicationタブのApplicationで「twitter」を設定、AllowタブでAction「Deny」を設定
  19. 19. App-IDで twitterのみブロックする(4) 手順13 作成したPolicyの優先順位を上げる。「rule-twitter-Block」を選択、→「Move」→「MoveTop」 19 admin@PA-02# commit Commit job 4 is in progress. Use Ctrl+C to return to command prompt ..........................55%...60%75%..98%.................100% Configuration committed successfully admin@PA-02# 「commit」する
  20. 20. App-IDで twitterのみブロックする(5) 手順13 社内PCのブラウザにて「twiiter.com」 ブロックされる事を確認 20 手順14 ブロックのログがある事を確認する
  21. 21. シナリオ 特定の取引先数社にファイルを連携したい インターネットから、DMZにある公開FTPサーバに疎通可能とする NATのパケットフロー NATポリシーを作成 セキュリティポリシーを確認 トラフィックログを確認する DMZ(192.168.214.0/24) untrust(192.168.210.0/24) NATシナリオ、フロー、 21 DMZのPC untrustのPC 192.168.210.210 4SE-004 vsftpd yokosuka odawara kamakura warabimochi.txt kamaboko.txt potechi-pan.txt
  22. 22. NATのパケットフロー 22 ① 宛先 :192.168.210.217 送信元:192.168.210.210 ② 宛先 :192.168.214.10 送信元:192.168.210.210 ④ 宛先 :192.168.210.210 送信元:192.168.210.219 192.168.214.10 DMZのPC 192.168.210.210 untrustのPC NAT用IP 192.168.210.217 192.168.214.1 ① 宛先 :192.168.210.218 送信元:192.168.210.210 NAT用IP 192.168.210.218 192.168.214.2 NAT用IP 192.168.210.219 192.168.214.3 ③ 宛先 :192.168.210.210 送信元:192.168.214.10 ④ 宛先 :192.168.210.210 送信元:192.168.210.217 ④ 宛先 :192.168.210.210 送信元:192.168.210.218 ① 宛先 :192.168.210.219 送信元:192.168.210.210
  23. 23. 手順15 オブジェクト(NAT用IPアドレス)を作成する 「Objects」→「Addresses」→「+Add」 Nameに「NAT-192.168.210.217_32」Typeに「IP Netmask」 「192.168.210.217/32」 Nameに「NAT-192.168.210.218_32」Typeに「IP Netmask」 「192.168.210.218/32」 Nameに「NAT-192.168.210.219_32」Typeに「IP Netmask」 「192.168.210.219/32」 手順16 FTPサーバのアドレスを作成する 「Objects」→「Addresses」→「+Add」 Nameに「FTP-192.168.214.10_32」Typeに「IP Netmask」 「192.168.214.10/32」 アドレスオブジェクトを作成する 23
  24. 24. NAT Policyを作成する DMZ→Untrustを双方向 手順17 「Policies」→「NAT」→「+Add」 Generalタブ Nameに「bi-NAT-DMZ-FTP」 (bi-directional:双方向) Object Packetタブ SourceZoneに「DMZ」 Destination zone「untrust」 Destination Interfaceに「ethemet1/1」 Serviceに「any」 SourceAddress「192.168.214.10_32」 Translated Packetタブ Translation Type「Static_IP」Translated Address「192.168.210.217_32-NAT」Bi-directionalに「チェックオン」 24
  25. 25. Securityポリシー(untrust→DMZ)を作成する(1/2) 手順17 GeneralタブでNameに「rule-dstNAT」Rule Type「universal(default)」 Sourceタブで、SourceZoneに「untrust」 Userタブはなにもしない:デフォルト 25
  26. 26. Securityポリシー(Untrust→DMZ)を作成する(2/2) 手順18 DestinationタブでDestination Zoneに「DMZ」Destination Addressに「 NAT-192.168.210.217_32 」 Applicationタブの Applicationsに「ftp」「icmp」「ping」 Service/URL Categoryに「any」を設定 ActionタブでAction「Allow」を設定 26
  27. 27. Securityポリシー(DMZ→untrust)を作成する(1/2) 手順19 GeneralタブでNameに「rule-srcNAT」Rule Type 「universal(default)」 Sourceタブで、SourceZoneに「DMZ」 Source Addressに「FTP192.168.214.10_32」 Userタブはなにもしない:デフォルト 27
  28. 28. Securityポリシー(DMZ→Untrust)を作成する(2/2) 手順20 DestinationタブでDestination Zoneに「untrust」Destination Addressに「 any」 ApplicationタブのApplicationsに「ftp」「icmp」 「ping」 Service/URL Categoryに「any」を設定 ActionタブでAction「Allow」を設定 commit 28
  29. 29. untrustPC → DMZPCをから確認する(1/3) untrustPCからNAT用IPアドレスにpingする。 #同時には出来ないので、1人ずつお願いします 手順21 DMZ PCにてtcpdump 手順22 untrustPCから、NAT用IPへping ping 192.168.210.217 ping 192.168.210.218 ping 192.168.210.219 TTL=63 でubuntu(Linux系)である事を確認する tcpdumpの結果を確認する 29 C:WINDOWS¥system32>ping 192.168.210.217 192.168.210.217にpingを送信しています32バイトのデータ: 192.168.210.217からの応答:バイト数=32 時間<1ms TTL=63 192.168.210.217からの応答:バイト数=32 時間<1ms TTL=63 192.168.210.217からの応答:バイト数=32 時間<1ms TTL=63 192.168.210.217からの応答:バイト数=32 時間<1ms TTL=63 192.168.210.217のpingの統計: パケット数:送信=4、受信=4、損失0(0%の損失)、 ラウンド トリップの概算時間(ミリ秒): 最小 = 0ms、最大 = 1ms、平均 = 0ms C:WINDOWS¥system32> DMZ PC connpass@4se-004:~$ sudo tcpdump –nn icmp DMZ PC connpass@4se-004:~$ sudo tcpdump -nn icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp0s31f6, link-type EN10MB (Ethernet), capture size 262144 bytes 20:07:59.153467 IP 192.168.210.210 > 192.168.214.10: ICMP echo request, id 1, seq 364, length 4020:07:59.153623 IP 192.168.214.10 > 192.168.210.210: ICMP echo reply, id 1, seq 364, length 4020:08:00.177563 IP 192.168.210.210 > 192.168.214.10: ICMP echo request, id 1, seq 365, length 4020:08:00.177647 IP 192.168.214.10 > 192.168.210.210: ICMP echo reply, id 1, seq 365, length 4020:08:01.207269 IP 192.168.210.210 > 192.168.214.10: ICMP echo request, id 1, seq 366, length 4020:08:01.207353 IP 192.168.214.10 > 192.168.210.210: ICMP echo reply, id 1, seq 366, length 4020:08:02.227116 IP 192.168.210.210 > 192.168.214.10: ICMP echo request, id 1, seq 367, length 4020:08:02.227202 IP 192.168.214.10 > 192.168.210.210: ICMP echo reply, id 1, seq 367, length 4020:08:03.254384 IP 192.168.210.210 > 192.168.214.10: ICMP echo request, id 1, seq 368, length 4020:08:03.254456 IP 192.168.214.10 > 192.168.210.210: ICMP echo reply, id 1, seq 368, length 40 ^C 10 packets captured10 packets received by filter0 packets dropped by kernel
  30. 30. untrustPC → DMZPCをから確認する(2/3) 192.168.210.210のネクストホップを参加者毎に切り替える 手順23 ルーティング(参加者1の方) 192.168.210.210宛て通信の優先度が、_gateway(192.168.214.1)で ある事を確認する 手順23 ルーティング(参加者2の方) 192.168.210.210宛て通信の優先度を(192.168.214.2)最優先にする 手順23 ルーティング(参加者3の方) 192.168.210.210宛て通信の優先度を(192.168.214.3)最優先にする 30 DMZ PC connpass@4se-004:~$ route カーネルIP経路テーブル 受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インタフェース default _gateway 0.0.0.0 UG 100 0 0 enp0s31f6 link-local 0.0.0.0 255.255.0.0 U 1000 0 0 enp0s31f6 192.168.20.0 192.168.214.2 255.255.255.0 UG 0 0 0 enp0s31f6 192.168.210.210 _gateway 255.255.255.255 UGH 100 0 0 enp0s31f6 192.168.214.0 0.0.0.0 255.255.255.0 U 100 0 0 enp0s31f6 connpass@4se-004:~$ DMZ PC connpass@4se-004:~$ sudo route add –net 192.168.210.210 netmask 255.255.255.255 gw 192.168.214.2 metric 99 connpass@4se-004:~$ connpass@4se-004:~$ route カーネルIP経路テーブル 受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インタフェース default _gateway 0.0.0.0 UG 100 0 0 enp0s31f6 link-local 0.0.0.0 255.255.0.0 U 1000 0 0 enp0s31f6 192.168.20.0 192.168.214.2 255.255.255.0 UG 0 0 0 enp0s31f6 192.168.210.210 192.168.214.2 255.255.255.255 UGH 99 0 0 enp0s31f6 192.168.210.210 _gateway 255.255.255.255 UGH 100 0 0 enp0s31f6 192.168.214.0 0.0.0.0 255.255.255.0 U 100 0 0 enp0s31f6 connpass@4se-004:~$ DMZ PC connpass@4se-004:~$ sudo route add –net 192.168.210.210 netmask 255.255.255.255 gw 192.168.214.3 metric 98 connpass@4se-004:~$ route カーネルIP経路テーブル 受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インタ フェース default _gateway 0.0.0.0 UG 100 0 0 enp0s31f6 link-local 0.0.0.0 255.255.0.0 U 1000 0 0 enp0s31f6 192.168.20.0 192.168.214.2 255.255.255.0 UG 0 0 0 enp0s31f6 192.168.210.210 192.168.214.3 255.255.255.255 UGH 98 0 0 enp0s31f6 192.168.210.210 192.168.214.2 255.255.255.255 UGH 99 0 0 enp0s31f6 192.168.210.210 _gateway 255.255.255.255 UGH 100 0 0 enp0s31f6 192.168.214.0 0.0.0.0 255.255.255.0 U 100 0 0 enp0s31f6 connpass@4se-004:~$
  31. 31. untrustPC → DMZPCをから確認する(3/3) 手順24 untrustPCから、FFFTPでFTP接続する 参加者1の方 192.168.210.217 yokosuka / yokosuka で接続する 横須賀名物はなんですか? 参加者2の方 192.168.210.218 odawara / odawara で接続する 参加者3の方 192.168.210.219 kamakura / kamakura で接続する 手順25 参加者2の方(ルーティングテーブルを削除) 31 DMZ PC connpass@4se-004:~$ sudo route del –net 192.168.210.210 netmask 255.255.255.255 gw 192.168.214.2 metric 99 DMZ PC connpass@4se-004:~$ sudo route del –net 192.168.210.210 netmask 255.255.255.255 gw 192.168.214.3 metric 98
  32. 32. NAT変換ログを確認する 手順26「Monitor」→「traffic」でトラフィックログを表示させる 表示項目に、「送信元NATIP」「宛先NATIP」を追加する。 トラフィックログの虫眼鏡で確認する 32
  33. 33. NAT変換ログを確認する 手順26トラフィックログの虫眼鏡で確認する おしまい。おつかれさまでした 33 admin@PA-01> request system private-data-reset Executing this command will remove all logs and configuration will revert back to factory defaults. The system will restart and then reset the data. Are you sure you want to continue? (y/n) (y or n)
  34. 34. paloaltoを工場出荷に戻す 以下は印刷しない 34

palo

Views

Total views

40

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

4

Shares

0

Comments

0

Likes

0

×