もしかして故障?を治す方法
【便利ツール】USBコンソールケーブル
PA-200のUSBポートをおそらく最もクールな方法で使ってみる

WindowsUpdateだけを許可する方法

2021.05.30
スポンサーリンク
スポンサーリンク

WindowsUpdateだけを許可する

この記事では、Paloaltoファイアウォールを使って、WindowsUpdateだけを許可する方法について記載する。

しかしこの壁を超えるためには前提知識が必要だ。

注意点も多くある。それらをすべて理解した上で実装することがおススメだ。

注意点も多くある。それらをすべて理解した上で実装することがおススメだ。

詳細はこの記事では纏めているので確認しておいてほしい。

Next generation Firewall Pro | Restricted Site
paloaltonetworks.cybersecure.tokyo

まず具体的な設定箇所を説明していく。

スポンサーリンク

設定

設定箇所は複数ある。

設定方法①App-ID

Paloaltoファイアウォールでは、標準でApp-IDが利用できる。

App-IDの中で、「MS-UPDATE」というアプリが事前定義されている。

まず一つ目の設定はこのアプリケーションを許可することだ。

アプリケーションについてはこの記事で紹介している

Next generation Firewall Pro | Restricted Site
paloaltonetworks.cybersecure.tokyo

設定方法②カスタムURL

microsoft社が公開しているURLがある。

このURLをPaloaltoファイアウォールのカスタムURL機能を使い全て許可するのが2つ目の手順だ。

https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808-url?forum=jpsccmwsus
social.msdn.microsoft.com

App-IDであるMS-UPDATEを許可し、更に公開URLを許可する理由

答えは、App-IDの属性によるもの、だ。

App-IDはその属性上、”アプリケーションが識別されるまでの通信を取りこぼす”。

この属性については別の記事で紹介する。

ポイント

App-IDはその属性を理解した上でうまく活用する

カスタムURLの設定方法はこの記事を参照してほしい

Next generation Firewall Pro | Restricted Site
paloaltonetworks.cybersecure.tokyo

設定方法③CDN

WindowsUpdateは、世界中から行われる。

これをmicrosoft社だけのシステムでまかないきることは現実的に困難だ。

故に、microsoft社はAkamai社のCDNを利用している。

このCDNへの通信はURL上も当然”akamai.com”といったURLになる。

これらをまた、カスタムURLで許可していく必要性がある。

設定方法④MINEMELD

MINEMELDというフリーで利用できるツールがある。

具体的な使い方は別の記事で紹介するが、動的なIP/URLリストを取得し、Paloaltoファイアウォールに連動させることができる優れモノだ。

この設定はマストではないが、MINEMELDを使うことでmicrosoft社が公開するすべてのIP/URLとの通信を許可させることができる。

スポンサーリンク

ここまでしても100%にはならない理由

名前解決できない宛先へ更新を取得しにいく

仮に、akamai系のURLを追加で許可したとしよう。

実はそれでも足りていない。

WindowsUpdateの通信先にはなぜか、名前解決ができないグローバルIPアドレスへ更新を取りに行く。

正体はCDNなのだが、CDNでは全てのグローバルIPアドレスにDNS設定が施されるわけではないようだ。

しかもこの宛先IPは、当然ではあるが一定ではない。

むしろ変わり続ける。

だから、そこだけ追加で許可するような作業は一時的な効用はあっても持続的な効用はないのだ。


しかし、99%のWindowsUpdateは許可することは既に紹介した方法で可能だ。

なので、100%にはならないが、ここを100%にする努力も必要ない。

さいごに

ここまでで、WindowsUpdateだけを許可するのが何故困難なのか、ある程度理解頂けただろうか。

次回、この困難な壁を突破しにかかる。

最新コンソールケーブル事情

最近、通称キシメンケーブルと呼ばれる、平たいコンソールケーブルを愛用する往年のエンジニアが驚く製品が登場した。

それが、USBコンソールケーブルである。

名前の通り、最初からUSBタイプのコネクタなので、わざわざキシメンケーブルとUSB変換アダプタ2つを用意する必要がない。

もう、2つ繋げて長すぎて邪魔なコンソールケーブルとはおさらばできるのだ。

最近では、USBポートが標準で備わっているコンソールケーブルがあるのでおススメだ。

Amazon.co.jp
amzn.to

といっても、従来のキシメンケーブルは、ネットワーク機器を購入すると、段ボール箱に同梱して送られてくるのが常である。

そういった場合には、従来通りUSB変換ケーブルがあればいいので、その方が安価であるため、それで十分であろう。

Amazon.co.jp
amzn.to

Amazon.co.jp
amzn.to

Paloalto PAシリーズを極める最短ルート

自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。

何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。

しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。

自宅環境に1台テスト用があればそれらの問題を解決できるだろう。

予算に余裕がある場合はPA220を持っておくことをおススメする。

PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。

PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。

しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。

PAシリーズを安価にGETする

 

PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。

しかし中古市場には安価に存在しており、入手可能だ。

ヤフオク!などで、PA-200を検索

ネットワークアドミニストレータ必携 オススメ最新コンソールケーブル

Next generation Firewall Pro | Restricted Site
paloaltonetworks.cybersecure.tokyo

スポンサーリンク

コメント

スポンサーリンク