みなさまこんにちは。

このところ暖かい日が増えてきて、だいぶ春を感じられるようになってきましたね。
先日、娘が植えたチューリップの球根がつぼみをつけまして、何色の花が咲くか、ただいま家族で賭けをしております。

（※写真のチューリップはイメージです）

さて、今回はPAシリーズのUser-ID機能から、syslog連携の機能についてご紹介させていただきます。

PAN-OS Ver6.0より、User-ID機能にsyslog連携機能が追加されました。 この機能により、認証ゲートウェイ装置などが出力する、ユーザ認証のsyslogを使用したユーザ識別が可能となっています。

この機能がうれしい点は、スマートフォンやタブレット、PCなど、様々な機器の通信ログに対してユーザ識別を適用できるところにあります。

User-ID機能はADと連携してドメインログオンユーザの通信を可視化する使い方が主な利用形態ですが、syslogを使用したUser-ID機能はクライアント端末の種類を選ばないため、BYOD端末やタブレット端末など、様々なデバイスが混在する環境においても通信のユーザ可視化を実現できる点が魅力と言えるでしょう。

仕組み自体は単純であり、syslog (1レコード) 中に含まれるユーザ名とIPアドレス情報を、正規表現などを使用したフィルタで抜き出して、マッピングテーブル上へ登録して利用します。このため、ユーザ認証成功時のsyslog内にユーザ名と紐づくIPアドレスの情報があれば、様々な機器と連携してユーザの可視化を実現することができます。
Squid Web Proxyや、ASA Any Connect など、いくつかのプロダクトについては、あらかじめ機器内にsyslogフィルタが用意されており、自分でフィルタを作成しなくても、そのまま用意されたものを利用する、ということも可能です。

今回は、Web認証成功時のsyslog中にユーザ名とIPアドレスが含まれるラッカス(集中管理型無線LANコントローラ製品)と、PAシリーズのUser-IDのsyslog連携を例に、PAシリーズのsyslog連携機能の具体的な設定方法についてご紹介します。

まずは、今回の試験構成についてご紹介します。

無線LANクライアントは、ラッカスのWeb認証機能を使用して無線接続を行います。

ラッカスの無線コントローラであるZone Directorには、syslogをPAシリーズへ転送する設定を実施します。
Paloaltoは、syslogの受信設定とユーザ名IPアドレスを読み出すためのsyslogのフィルタを設定し、syslogからユーザ識別情報を読み出す設定を行います。 今回はZone DirectorからsyslogをPAシリーズへ直接転送していますが、User-ID Agentへsyslogを送り、PAシリーズと連携する構成も可能です。

設定のプロセスは以下のようになります。

・syslogフィルタの作成

・User-ID モニターサーバの設定

・マネジメントI/F 上での User-IDサービス、User-ID syslogリスナーの設定

・ゾーン上でのUser-ID有効化の設定

それでは、実際に設定を行ってみましょう。

●syslogフィルタの作成

まずは、ラッカスが生成する認証ログの記述について確認します。 Web認証画面での認証成功時、ラッカスは下記のようなsyslogを出力します。 この試験環境では、ログインユーザは

UserID: guest1
IP-Address: DHCP

となっていますが、下記のログから

＜認証成功＞
Mar 26 15:38:21 ZD3025_CTL-004 stamgr: stamgr_send_log_v4():operation=add;seq=15;sta_ip=10.30.1.152;sta_mac=f0:cb :a1:aa:33:55;zd/ap=c0:8a:de:3e:93:a0/6c:aa:b3:28:97:e0;sta_ostype=iOS;sta_na me=guest1;stamgr_handle_admin_auth_sta_request

Mar 26 15:38:21 ZD3025_CTL-004 syslog: eventd_to_syslog():User[guest1@f0:cb: a1:aa:33:55] of WLAN[test-webauth] is authorized at AP[ZF7782-002@6c:aa:b3:28:97:e0]

ユーザ名は"sta_name=guest1"の形式で、無線クライアントのIPアドレスは"sta_ip=10.30.1.152"の形式で、syslog中に記載されていることが確認できます。
また、各要素の区切り文字には";"が使用されていることが確認できます。

この内容を、PAシリーズの設定に反映していきます。

フィルタの作成は、"Device"タブ=>"ユーザID"=>"ユーザマッピング"=>"Palo Alto Networks ユーザ ID エージェント設定" から、"Syslog のフィルタ"へ追加を行います。

●User-IDモニターサーバの設定

ここでは、PAシリーズへsyslogを送信する機器を登録します。
IPアドレスや、取得するsyslogに適用するフィルタの選択などを設定します。
設定は、"Device"タブ=>"ユーザID"=>"ユーザマッピング"=>"サーバー モニタリング" から追加を行います。

●マネジメント設定

マネジメントI/F 上での ユーザIDサービス、ユーザIDsyslogリスナーの設定を有効にします。
設定は、"Device"タブ=>"セットアップ"=>"管理"タブ=>"管理インターフェイス設定" から実施します。

●ゾーン上でのUser-ID有効化の設定

可視化対象の機器が存在するzoneの設定上で、User-IDを有効化します。
設定は、"Network"タブ=>"ゾーン"=>可視化対象通信の送信元機器が所属するゾーン、から実施します。

設定は以上で完了です。

それでは、実際に無線LANクライアントをWeb認証で認証させ、通信を流してログを見てみましょう。 トラフィックログの"送信元ユーザ"に、認証ユーザ名が入っていれば成功です。

ユーザのマッピングテーブルを確認してみましょう。

ユーザ情報とIPアドレスの管理テーブルを表示、確認することができます。

このように、認証機能を提供する機器のsyslogを使用して、PAシリーズを通過する通信のユーザの可視化が可能となります。
IPアドレスとユーザ情報が併せてログに残ることについては、ネットワークの利用状況の把握という面からも有効ですが、端末のウィルス感染などのインシデント発生時に、端末特定のための情報としても大変有効です。

ファイアウォールのログから確認できる情報がIPアドレスのみであった場合、その時間帯に実際にどの端末がそのIPアドレスを使用していたのか、DHCPにより変化するIPアドレス、様々なデバイスが混在する環境において、その特定は大変な困難を伴います。

このような状況に対し、脅威のログとともにユーザ情報もログ中に残っていれば、その労力を省くことができ、いち早く脅威に対処することができるようになります。

今回は、無線LANのWeb認証機能との連携の形で機能をご紹介しましたが、以前にこのBlogで紹介されました、Web Proxy制御の自動化設定などと組み合わせて（以下のブログ記事で紹介をしております）、

おいしいラッカスの楽しみ方(3) ～ ブラウザのプロキシ制御を自動化してみよう ～

クライアントへのWeb Proxy伝達を自動化し、Web Proxyの認証機能と、そのsyslogを用いたUser-ID機能の連携、といった利用方法も考えられます。

IPアドレスとUser-IDのマッピングテーブルの管理に関連するタイマーの調節など、設計にあたって注意が必要な点もありますが、様々な機器との連携が可能ですので、是非ご活用いただければと思います。