Information of IT

[PaloAlto] Firewall Traffic Monitor Filtering/Syntax - 트래픽 필터링, 구문 검색 방법

Basics of Traffic Monitor Filtering 1. Environment - Supported PAN-OS. - Palo Alto Firewall. 2. ResolutionWhen Trying to search for a log with a source IP, destination IP or any other flags, Filters can be used. The filters need to be put in the search section under GUI: Monitor > Logs > Traffic (or other logs). This document demonstrates several methods of filtering and looking for specific..

[Webproxy] Skyhigh Security SWG - Timeout 종류 및 의미(Initial connection timeout, Connection timeout, Maximum idle time, UDP Timeout)

Timeouts for HTTP(S), FTP, and ICAP Settings for timeouts on connections for communication under the HTTP, HTTPS, FTP, and ICAP protocols.Setting can be found by navigating to Configuration > Application > Proxies (HTTP(S), FTP, SOCKS, ICAP...) HTTP, HTTPS, FTP 및 ICAP 프로토콜에서 통신할 때 연결 시간 초과에 대한 설정입니다. 설정은 구성 > 애플리케이션 > 프록시(HTTP(S), FTP, SOCKS, ICAP...)로 이동하여 찾을 수 있습니다. 1. Initial Connection Time..

[PaloAlto] Firewall Cloud Identity Engine에 대한 SCIM 커넥터 구성 - Azure Active Directory, PingFederate, Okta Directory

Cloud Identity Engine에 대한 SCIM 커넥터 구성Cloud Identity Engine의 일부인 Directory Sync는 디렉터리에 연결하여 사용자 식별 및 그룹 기반 및 사용자 기반 보안 정책 시행을 위한 사용자 및 그룹 정보를 얻습니다.Cloud Identity Engine에서 디렉터리 동기화를 위한 SCIM (크로스 도메인 ID 관리 ) 프로토콜을 구성하면 디렉터리 동기화가 디렉터리에서 수집하는 속성을 사용자 지정할 수 있습니다. 디렉터리 포털에서 속성을 추가하거나 제거하여 사용자 및 그룹 식별을 위해 Cloud Identity Engine과 공유할 속성을 사용자 지정할 수 있습니다. SCIM 갤러리 앱은 userType 속성을 지원하지 않습니다. Cloud Identity E..

[PaloAlto] Firewall API Usage Guide (PAN-OS 및 Panorama API 사용 가이드) - API 액세스 활성화, API 키 받기, API 요청 인증, 첫 번째 API 호출하기

1. API 액세스 활성화API는 다음 유형의 관리자 및 관리자 역할을 지원합니다.동적 역할: 슈퍼유저, 슈퍼유저(읽기 전용), 장치 관리자, 장치 관리자(읽기 전용), Vsys 관리자, Vsys 관리자(읽기 전용)역할 기반 관리자: Device, Vsys, Panorama.관리자 역할 프로필은 방화벽 또는 Panorama 관리 인터페이스, XML API, 웹 인터페이스 및 CLI에서 기능을 활성화하거나 비활성화합니다. 가장 좋은 방법은 XML API 액세스를 위해 별도의 관리자 계정을 설정하는 것입니다. 1) 관리자 역할 프로필을 선택하세요.장치 관리자 역할로 이동하여 관리자 역할을 선택하거나 만듭니다. 2) 관리자 역할에서 사용할 수 있는 기능을 선택하세요.XML API 탭을 선택합니다.목록에서 R..

All PaloAlto Networks firewalls allow you to take packet captures (pcaps) of traffic that traverses the management interface and network interfaces on the firewall. When taking packet captures on the dataplane, you may need to Disable Hardware Offload to ensure that the firewall captures all traffic. 1.Types of Packet Captures ( 패킷 캡처 유형 ) There are different types of packet captures you can e..

PaloAlto firewalls offer various timeout settings for different aspects of their operation, including session timeouts, authentication timeouts, and application-specific timeouts. These timeouts help manage firewall resources and ensure efficient network performance. 1. 세션 타임아웃Session Timeouts:Global Session Timeouts:Palo Alto firewalls have global session timeouts for TCP, UDP, and ICMP.These ..

1. 개 요 The "Session End Reason" in PaloAlto firewall logs indicates why a network session terminated. Common reasons include tcp-fin, tcp-rst-from-client, tcp-rst-from-server, aged-out, resources-unavailable, and threat. Understanding these reasons helps in troubleshooting network connectivity and identifying potential security issues. 2. 종류 및 의미 Here's a breakdown of common session end re..

팔로알토 방화벽 운영 시, 많이 사용할 수 있는 객체 생성 및 반영 관련 CLI Command입니다.아래의 명령어는 configure 모드 (#)에서 사용 가능합니다. 1. 스케줄 객체 생성#set schedule "스케줄 객체명" schedule-type non-recurring "날짜" ex) #set schedule example schedule-type non-recurring 2025/01/01@00:00-2025/12/31@23:59 2. 스케줄 객체 반영 #set rulebase security rules "정책명" schedule "객체명" ex) #set rulebase security rules "Rule 1230" schedule example 3. Description 추가 #..

PaloAlto Firewall (PAN-OS) CLI Command 1. CLI Cheat Sheet: HAUse the following table to quickly locate commands for HA tasks. If you want to ... Use ...View all HA cluster configuration content.> show high-availability cluster allView HA cluster flap statistics.Cluster flap count is reset when the HA device moves from suspended to functional and vice versa. Cluster flap count also resets when n..

1. Mode - 0 : balance-rr - 1 : active-bakcup 2. Setting 예시로 [ens32], [ens34] Bonding 진행 시, # nmcli device status # nmcli connection add type bond con-name [bond0] ifname [bond0] bond.options "mode=active-backup,miimon=1000" # nmcli device status # nmcli connection add type ethernet slave-type bond con-name [bond0-ens32] ifname [ens32] master [bond0] # nmcli connection add type ethernet slave-t..

BPFDoor 악성코드 점검 가이드 1. 개요- 최근 BPFDoor 악성코드 감염 사례가 발견됨에 따라, 기업 내 보안 담당자가 스스로 감염 여부를 점 검하고 조기에 대응할 수 있도록 본 문서를 작성하였습니다. - 본 문서는 악성코드의 특성을 분석하여, 단순한 침해 지표(IOC) 검색만으로는 확인하기 어려운 감염 흔적까지 점검할 수 있도록 가이드를 제공합니다. 2. BPFDoor 악성코드란? 리눅스 환경에서 포트를 열지 않고 외부 연결을 대기하는 백도어 악성코드 - 위협 행위자의 매직패킷(Magic Packet) 수신 시 셸 연결 > 리버스셸(Reverse Shell), 다이렉트 모드(바인드셸, Bind Shell) 연결 > 명령에 따라 원격지(Remote)와 셸 연결 - BPF 기술을 악용하..

1. ChatGPT 4- 많은 사람들이 알고 있는 멀티모델 AI로써, 대체 불가능- 하지만 뾰족한 결과물이 나오지 않음 (월 20달러, 부가세별도)- https://chatgpt.com/ - https://openai.com/ 홈페이지 등에 API를 붙여서 API Key 생성하기 위해 사용, 쓴 만큼 지불하는 구조- https://platform.openai.com/api-keys - https://platform.openai.com/ 2. Microsoft Copilot- 마이크로소프트 생성형AI, 결과에 참고자료 링크가 나옴- 보고서/기획서 쓸 때 사용하기 좋음- https://copilot.microsoft.com/ InfoLet's take a trip to a forest of stones:..

A. 컨테이너란? 컨테이너는 OS의 커널 위에서 cgroup, namespace, netfilter등과 같은 커널 기능들을 통해 프로세스를 cpu, memory, networking, filesystem의 특정 영역에 격리시켜 다른 공유 영역의 접근을 제한하고 독립적인 공간을 제공하는 기술입니다. 독립된 공간에 애플리케이션과 애플리케이션의 구동에 필요한 바이너리 및 라이브러리를 Docker나 Podman을 통해서 OCI(Open Container Initiative) 표준에 맞게 이미지화할 수 있으며 컨테이너 엔진 위에 배포, 관리 가능합니다 좀 더 간단히 말하자면 컨테이너는 애플리케이션을 환경에 구애받지 않고 별도의 운영 환경을 제공해 주는 기술입니다. 즉, 운영체제에서 실행되는 프로세스를 별도로 격리..

A. 개요 1. 환경변수  2. 셸스크립의 작성과 실행 위의 셸스크립트를 작성하여 실행하면 아래와 같이 정상 실행이 된다. 그런데 왜 셸스크립트 앞에 sh 명령어를 붙이지 않으면 실행이 되지 않을까?    그것은 환경변수를 확인해 보면 알 수 있다. 아래의 경로에 리눅스의 명령어들이 들어있는데 해당 디렉터리에 우리가 실행하는 명령어가 없으면 리눅스는 그 명령어를 정상적으로 실행할 수 없다. 셸 스크립트 파일을 /usr/local/bin/ 디렉터리에 복사하고 속성을 755로 변경해 주면 모든 사용자가 스크립트를 사용할 수 있다.    또 다른 실행 방법은 chmod를 통해 실행 가능 속성으로 변경한 후 현재 디렉터리를 앞에 붙여주고 사용이 가능하다.   3. 변수변수 = 필요한 값을 계속 변경해 저장한다는..

네임 서버 A. 도메인 구조   B. 네임 서버 개요1. 네임 서버 개념URL를 아이피 주소로 바꿔주는 역할을 전문적으로 담당하는 서버다.  2. 네임 서버가 필요한 이유인터넷 시대 초기에는 웹사이트가 수가 적어 IP 주소를 외워서 접속하였다. 그러나 시간이 지나고 웹사이트의 수가 증가하여 리눅스, 윈도우 파일에 존재하는 hosts에 URL 주소와 IP 주소를 적어서 사용하였다. 하지만, hosts에 일일이 적을 수 없을 만큼 웹사이트의 수가 증가한 요즘엔 URL 주소와 IP 주소를 매핑해 주는 전문적인 역할이 필요하고 그 역할을 해주는 것이 DNS 서버이다.  3. 네임 서버가 IP 주소를 얻는 방법 - 리눅스 기준1. PC가 인터넷 브라우저를 통해 "www.naver.com" 에 접속하려고 입력을 했..