PaloAltoのアプリケーション識別の依存関係 | SEの道標
PaloAlto

PaloAltoのアプリケーション識別の依存関係

PaloAltoのアプリケーション識別の依存関係

PaloAlto ではアプリケーション識別を行うために、ある程度通信を泳がせ、その間に識別をします。

そのため、通常のファイアウォール/UTM と異なり、TCP コネクションを張った後に通信を切断する、ということもあり得ます。

例えば、facebook の識別を行う際にはまず TCP コネクションが確立しますが、その後に facebook かどうかの判定を行います。

このような場合、App「facebook-base」はApp「web-browsing(http)」に依存している、と呼びます。

PaloAltoの古いPAN-OSだと、セキュリティポリシーを書く際に facebook だけではダメで、facebook-base と web-browsing を両方記載する必要がありました。

しかしPAN-OS 5.0以降では、web-browsingのような一部の基本的なアプリケーションについては、依存関係があっても明示的に書かなくてもよくなりました。つまり、facebook-baseだけ指定すればよいのです。

これにより、セキュリティが格段に向上しました。なぜなら、facebookを識別出来たとしても、今まではfacebookだけを狙って拒否 or 許可、というのができなかったからです。(httpも道連れに拒否 or 許可設定となる)

依存関係自体は下記ページで確認できますが、このページには明示すべきか否かは書かれていません。

Application Research Center
Palo Alto Network's rich set of applicat...

そこで、以下手順での確認が必要となります。

  1. PaloAltoにCLIでログインする
  2. # show predefined application <name-of-app>を打つ
  3. 「use-applications」と「implicit-use-applications」の項目を確認する

2 の<name-of-app>は facebook-base などのアプリケーション名を入れます。

3 について、「use-applications」は依存しているアプリ名、「implicit-use-applications」は依存しており、かつ明示せずともよいアプリ名を指しています。つまり、「use-applications」と「implicit-use-applications」が同じであれば明示的に書く必要はなく、「implicit-use-applications」の項目が無い場合は全て明示的に書く必要があります。

コメント

タイトルとURLをコピーしました