最初に
この記事では、PAシリーズのパスワードプロファイル設定ついて解説する。
特にローカルユーザーを複数作成する場合、有効期限やパスワード変更の運用をしていくのは非常に困難だ。
そういった時、あらかじめパスワードプロファイルを設定しておくことで運用上の負荷を下げることができる。
アカウントに対する設定はほかにもいくつかある。
例えば管理者ロールの変更については下記を参照してほしい。
パスワードプロファイルでできること
パスワードプロファイルはデフォルトでは何も設定されていない。
つまり何の制約もかかっていない状態だ。
プロファイルを作成すれば下記設定が可能になる。
■各設定の解説
・パスワード変更が必要になる期間(日)
例えば365日と設定すれば、1年に1回はパスワード変更が必要になる。
・失効の警告期間(日)
パスワード変更は忘れるものである。よって期限切れ前に警告を設定した日数分だしてくれる。
これで管理者はパスワード期限が近づいていることを認識でき、忘れ防止ができる。
・失効後の管理者ログイン回数
繰り返すが、それでもパスワード変更は忘れるものである。
つまり失効後に全くログインできなくなるのはまずい。
しかし回数限定で失効後もログインできるならどうだろう。
失効後にログインできれば、それで新しいパスワードを設定することができるのだ。
この機能は本当に素晴らしい。
この機能があることで安心してパスワードプロファイルを設定できると言っても過言ではない。
是非使ってみてほしい。
・失効後の猶予期間(日)
これは、失効後も予め設定した日数は失効を延期してくれる設定だ。
もちろん失効した後も、失効後のログイン回数を設定できるので、各設定を組合せることで、”パスワード変更は忘れるものである”という壁を突破しよう。
パスワードプロファイルの設定方法
では設定方法を解説する
設定方法
①[デバイス] → [パスワードプロファイル]を表示し「追加」をクリック
各設定をいれていこう
②作成したプロファイルを個別のユーザアカウントに割り当てる
設定は以上だ。
ファイアウォールは常に攻撃者に狙われている
ファイアウォールは属性上、グローバルIPを設定するか、インターネットからのアクセスを受け付けるようにすることが多い。
例えばVPNの設定をしている場合などがそうだ。
VPNでも、ファイアウォールでローカルユーザーを作成し、特定ユーザのみVPNできるように設定できるが、そのアカウントはその時点で攻撃者のターゲットになると考えておいた方がいい。
単純なパスワードの設定、無期限で放置されているアカウントは本当に危険だ。
気付かぬうちに不正侵入をされてしまう。
その時、パスワードプロファイルの設定は「転ばぬ先の杖」として助けてくれるに違いない。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント