HowTo: Broken SMB Communication through PanOs 8.1. Firewalls Fix

Anybody who installed PanOS 8.1 on his Palo Alto firewall – we use the PA 220 in quite some numbers, may have experienced quite some strange behaviour if through IPSEC tunnels connected file shares user SMB. So did I.

With the latest firmware upgrade, no write or read jobs through any of these VPN tunnels succeded. The mapped drives lit up in the file explorer. in some cases even browsing directories may have succeded … perhaps even two or three levels down. Then the explorer started to hang, crashed, even some systems blue screened. Copied files showed perhaps up in the destination with a filename aka. directory entry but never any content showed up.

Since we updated the Microsoft world on top, the assumption some backward compatibility stack or group policy setting may have caused the headache. Many Continue reading

PanOS – Palo Alto basic commands after web console lockout

Since I’m still a big fan of the Palo Alto firewall family, there are some things, which really feel strangely disturbing. Nothing functional, otherwise I won”t be as convinced but in terms of administration. The most advanced network security device is better managed by webinterface – something every network guru feels goosebumps in his neck.

The worse it is, if the webinterface hangs and you need to use the unfamiliar command line interface. Whereas many vendors simply follow SNMP logic and somehow end up with something similar to the industry standard context setup, PanOs CLI feels strangely different.

Here are your survival commands to make login on the web interface work again:

  1. Have you rebooted the System?
    request restart system
  2. Did you restart the management service?
    debug software restart process management-server
  3. Did you check the file system and free space?
    show system disk-space
  4. In case you need to delete crash dumps or free space anyway:
    delete debug-log mp-log file *
  5. And finally if the system still does not respond due to hanging commits:
    commit force

This list is far from being complete, but after experiencing one software version which filled up the root file system after failed content updates and locking out the admins from the web interface, combinations of these commands helped to make the firewall accessible again.

To be fair, this was a one time error in three years running twelve of these boxes, nevertheless it felt quite uncomfortable.

Kyp. F.

The Art of Loging

System Monitoring ist ja an sich eine Kunst. Ich sehe das mittlerweile mit ziemlich gespaltenen Gefühlen und auch wenn ich von der Notwendigkeit sinnvollen Monitorings absolut überzeugt bin, habe ich mittlerweile genug Erfahrungen sammeln dürfen, dass ich gerne “Die Heisenbergsche Unschärferelation für das Monitoring von IT-Systemen” postuliere – Ich verändere durch Beobachtung schon mein Ergebnis, je genauer ich hin sehe um so stärker werden die tatsächlich relevanten Werte beeinflusst. Je nach verwendetem Werkzeug und Anzahl meiner Proben und abgefragten Parameter ist der Aufwand für Monitoring signifikant und beeinträchtigt meine Systemleistung.

vrealizeLogInsigt2Daher lohnt es sich einmal einen Schritt zurück zu treten und einmal zu betrachten welche Informationen ohnehin vor liegen und nicht verwertet werden. Typischerweise sind das die System- Logs. Jetzt sagt der geneigte Leser “Moment- ich suche darin immer nach Continue reading

Palo Alto SSL Decryption Caveats.

Die Best Practice beim Einrichten klang zu schön um wahr zu sein. So einfach ist es dann auch tatsächlich nicht. Alleine die Tatsache, dass in den Screenshots drei Decryption Policies definiert sind, obwohl best Practice eigentlich zwei genügen, sollte stutzig machen.

Die Ausnahmen sind vielfältig und IMHO durchaus gängig. Da man nicht alle Internet Infrastruktur URLs frei geben will gehen schon die Microsoft Update Dienste auf die Bretter. Aber die einschlägigen Erfahrungen der Reihe nach: …

Continue reading

Palo Alto SSL Decryption

Nachdem die Kommentare zum Thema SSL Decryption eher allgemeiner Natur waren, jetzt einmal die konkrete Umsetzung. Zunächst gilt es dem System ein geeignetes Zertifikat aus zu stellen. Da es sich üblicherweise um kommerzielle Umgebungen mit einer Zertifizierungsstelle handelt, benötigt man zunächst einen “Certificate Signing Request” – CSR. Den kann man in den “Certificates” unter Device stellen. Die Details findet ihr hier.

Der Request – Dialog sieht dann in etwa wie folgt aus:

CSR

Gleich was hier eingetragen wird, auf jeden Fall NICHT Certificate Authority anwählen. Der CSR liegt dann in dem Zertifikat Store vor und kann durch Export abgespeichert werden. Den CSR nimmt man

 

Continue reading