*本内容は、米国Palo Alto Networksが公開したブログポストを元にしています

PAN-SA-2016-0005、PAN-SA-2016-0004、およびPAN-SA-2016-0003に記載されている脆弱性の

エクスプロイトを正常に検出し防御するには、PAN-OSデバイスの適切な構成が必要です。

パロアルトネットワークスが推奨する対処策は、PAN-OSデバイスにパッチを適用して、セキュリティ
アドバイザリで指定されている適切なバージョン レベルにすることですが、緊急コンテンツ リリース
563に、PAN-OSの保護に役立つシグネチャが含まれています。

それらのシグネチャの脅威IDと名前を示します。 

ソリューション
ソリューションは、いくつかの小さなステップに分割されます。

1.  コンテンツ パッケージ563以降のコンテンツをインストールする

2.  シグネチャ パターン マッチに対して適切なアクションをとれるように、脆弱性防御プロファイルを
構成する(Reset-both)

3.  構成した脆弱性防御プロファイルをセキュリティ ルールに割り当てる 

4.  デバイス管理でデータプレーン インターフェースが使用されている場合は、PAN-SA-2016-0003に
対する防御のためにインバウンドSSL復号化を構成する。

1. コンテンツ パッケージ563のコンテンツをインストールする

- 必ずコンテンツ アップデート563をダウンロードして、インストールしてください。

2. 脆弱性防御プロファイルの構成

このセクションでは、脆弱性防御プロファイルを構成して、これらのセキュリティ アドバイザリ
(38902、38903、38904)に関連した脅威IDの検出に対して、防御策をとる方法について簡単に
説明します。

構成のこの部分については2つのオプションがあります。

- 脆弱性防御プロファイル「strict」を構成して、重大度の高いシグネチャの検出に対して、RESET-BOTHアクションをとります(38902、38903、38904は重大度の高いシグネチャです)。
このプロファイルは、ファイアウォールを宛先とする着信トラフィックと一致するセキュリティ ルールで使用できます。

- これら3つのシグネチャに関するアクションを備えたカスタムの脆弱性防御プロファイルをRESET-BOTHに設定します。このプロセスについては、このリンクを参考にしてください。

3. 脆弱性防御プロファイルをセキュリティ ルールに割り当てる

このセクションでは、Global Protect、もしくは管理で使用するその他のデータプレーン インターフェースを宛先とするトラフィックと一致するセキュリティ ルールに、上記で構成した脆弱性防御プロファイルを割り当てる方法を説明します。

この演習では、「Untrust」ゾーンにあるインターフェース上でGlobal Protectがホストされており、VPNトラフィックもその「Untrust」ゾーンから発生するものと仮定しています。

PAN-SA-2016-0005、PAN-SA-2016-0004のアドバイザリに定義されたGlobal Protect の脆弱性に対する
エクスプロイトを防御するには、「Untrust」ゾーンから「Untrust」ゾーンへのトラフィックを検査するセキュリティ ルールに、脆弱性防御プロファイルを割り当てる必要があります。 

上記スクリーンショットのPROFILE列の下にあるアイコンは、前のステップで説明した脆弱性防御プロファイル「strict」です。送信元ゾーンは「Untrust」で、宛先ゾーンは「Untrust」です。

データプレーン インターフェースがデバイス管理に使用されている場合、以下の追加ステップが必要になります。

4. インバウンドSSL復号化を構成する

インバウンドSSL復号化の構成については、以下の資料を参照してください。

Configure SSL Inbound Inspection

How to Implement and Test SSL Decryption