Firewall stop sending logs to syslog

အလုပ်ထဲမှာ Palo Alto Firewall + Panorama သုံးတယ်။ logs တွေကိုတော့ firewall ကနေ panorama ကိုပို့တယ်။ ပီးရင် panorama ကနေ external syslog server ကနေ SPLUNK ဆီကို ထပ်ပို့တယ်။ လက်ရှိသုံးနေတဲ့ firmware ကတော့ panorama + firewall က 8.0.10 SPLUNK ဘက်မှာတော့ 6.2.14, palo alto addon version က 3.8.2

အဲဒီအတိုင်းသုံးနေတာ အဆင်ပြေတယ်။ ဒါပေမယ့် vulnerability ကြောင့် panorama + firewall ကို 8.1.6 တင်ဖို့လိုလာတယ်။ အဲဒါနဲ့ panorama ကို အရင် 8.1.6 upgrade လုပ်လိုက်တယ်။ အဲလိုလုပ်ပီးတာနဲ့ panorama ကနေ SPLUNK ဆီကို traffic logs တွေ မပို့တော့ဘူး။ ထူးဆန်းတာက configuration changes logs တွေ ပို့နေသေးတယ်။ configuration တွေစစ်ကြည့်တော့လဲ အကုန်အဆင်ပြေတယ်။ အဲလိုနဲ့ paloalto ကို case ဖွင့်၊ သူတို့လဲ စစ်ကြည့်တာ အကြောင်းမထူးဘူး။ အဲလိုနဲ့ firewall ကို upgrade လုပ်မယ့်ရက်အထိ မထူးသေးဘူး။ အဲလိုနဲ့ firewall ကို upgrade လုပ်ရမယ့်အချိန်ရောက်လို့ upgrade လုပ်လိုက်တော့မ traffic logs တွေက SPLUNK ပြန်ပီးပို့တော့တယ်။ တစ်ခါမ မကြုံဖူးဘူး။ ဘာကြောင့်အဲလိုဖြစ်ရတယ်ဆိုတာတော့ သေချာမသိရသေးဘူး။ tech support ဆီက အဖြေသိရတော့မပဲ ပို့ထပ်ရေးဦးမယ်။

Advertisements

Testing policy in Palo Alto

Palo Alto firewall မှာ ဘယ် network ကနေ ဘယ် network ပီးတော့ ဘယ် port ကို သုံးရင် configure လုပ်ထားတဲ့ ဘယ် policy ကို hit မလဲ ဆိုတာကို စမ်းချင်ရင် အောက်က ကွန်မန်းကို အသုံးပြုနိုင်ပါတယ်။

test security-policy-match from source-zone to destination-zone destination destination-ip source source-ip-address protocol 6 destination-port 53

အဲလိုရိုက်လိုက်ရင် အဲဒီ traffic က ဘယ် policy ကို hit ဖြစ်မလဲဆိုတာကို ပြပေးပါလိမ့်မယ်။

တစ်ရက်က ဘယ်လိုမ စစ်လို့မရလို့ case ဖွင့်လိုက်တော့ လာကြည့်ပီး ဟိုစစ် ဒီစစ်လုပ်လိုက်တော့မ တိကျတဲ့အဖြေကိုရတယ်။

ခုလိုမျိုးကြုံလာရင် စမ်းကြည့်လို့ရတာပေါ့။

Palo Alto Firmware upgrade

ဒီနေ့အချိန်ပေးတာနဲ့ palo alto ကို VM တင်ပီးစမ်းကြည့်ဖြစ်တယ်။ စစချင်းကိုတော့ 8.0.0 တင်လိုက်တယ်။ ပီးတော့ software update ကနေ 8.1.2 ကို ဒေါင်းလုပ်လုပ်လိုက်တာ failed ဖြစ်သွားတယ်။ error ကို ဖတ်ကြည့်လိုက်တော့ အရင်ဆုံး base image ဖြစ်တဲ့ 8.1.0 ကို အရင် ဒေါင်းလုပ်လုပ်ရမယ်။ အင်စတောလုပ်စရာမလိုဘူးပြောတယ်။ ပီးတော့မ 8.1.2 ကို ဒေါင်းလုပ်ပေးလုပ်တယ်။ ပီးတော့မ 8.1.2 အင်စတောလုပ်လို့ရတယ်။

panos

Tacacs with CPPM and Palo Alto

ဒီနေ့ clearpass policy manger နဲ့ palo alto ကို tacacs integration လုပ်ကြည့်တာအဆင်ပြေတယ်။ CPPM 6.6.0 နဲ့ palo alto 7.1.0
palo alto ကို login ဝင်လိုက်ရင် CPPM မှာ ရှိတဲ့ local user ဒါမမဟုတ် AD မှာ ရှိတဲ့ login account ကို သုံးပီးတော့ authentication လုပ်တယ်။ ခုစမ်းထားတာကတော့ local user ကို သုံးထားပါတယ်။ ဘာလို့စမ်းဖြစ်လဲဆိုတော့ customer ဆီမှာ သွားလုပ်တာ အဆင်မပြေလို့ VM မှာ စမ်းကြည့်ဖြစ်သွားတာ။ ခုတော့ CPPM ကို 6.6.7 ကို update လုပ်နေတယ်။ အဆင်ပြေပါမလားတော့ မသိဘူး။ ကျွန်တော့် laptop က hardware နိမ့်တော့ အဆင်ပြေမပြေ မသေချာဘူး။ ရတယ်ဆိုရင်တော့ ဘယ်လိုလုပ်လဲဆိုတာ ထပ်ရေးပါဦးမယ်။