Formation

Palo Alto
Firewall Troubleshooting

Mohamed Anass EDDIK

Une formation
 Cursus Palo Alto Networks

1. Installation et
configuration de base
2. Sécurité avancée

3. Panorama : Configuration
et Administration

4. Troubleshooting

5. Configuration Avancée

Une formation
 Plan de la formation
Introduction
1. Connaitre les outils ,ressources et CLI
2. Comprendre le comportement des flux
3. Définir la capture des paquets
4. Diagnostiquer les paquets
5. Gérer le trafique des hotes-entrants
6. Identifier le Transit Traffic
7. Diagnostiquer les services Systèmes
8. Gérer les certificats et le décryptage SSL
9. Diagnostiquer les User-ID
10. Diagnostiquer GlobalProtect
Une formation
Conclusion
 Public concerné

Architectes de solution
Spécialistes du soutien
Administrateurs de pare-feu Palo Alto Networks

Une formation
 Connaissances requises

Routing, commutation,adressage IP et concepts de

sécurité réseau
Configuration et administration du pare-feu Palo
Alto Networks
6 mois d'expérience minimum avec les pare-feu Palo
Alto Networks

Une formation
 Formations pour les prérequis

Une formation
 Présentation du Lab
de travail

Mohamed Anass EDDIK

Une formation
 Plan

La topologie du LAB
Les prérequis du Lab
Les machines du LAB

Une formation
La topologie du LAB
 Les prérequis du Lab

Une machine avec 16Go de RAM

VMware Workstation/Fusion (ou ESXi)
Une License Palo Alto Networks vm-
50 ou vm-50 lite
Un serveur linux
Une formation
 Les machines fournies

Une image d’un pare-feu Palo Alto

Un serveur Linux
Une machine client windows

Une formation
 Découvrir les différents
outils de diagnostique

Mohamed Anass EDDIK

Une formation
 Plan

Activer le dépannage
Outils de diagnostique
Options d'information et de
support
Une formation
 Activer le dépannage

Knowledge Methodology

General

Specific

Problem
Tools and Skills
Resolution

Une formation
 Outils de diagnostique
Au-niveau du PAN Outils externe
Interface Web Informations de référence
CLI Analyse et affichage des données
Mode de maintenance Connaissances et expérience individuelles
et la participation de la communauté

Compétences stratégiques Compétences tactiques

Reconnaissance des problèmes Methodology
Définition du problème Search and filtering
Sélection de solutions Log and pcap interpretation
CLI capability
Tool mastery
Une formation
 Options d'information et de support

Fuel user Group

Live Community
Customer support Portal

Une formation
 Démo

Une formation
 Accéder au
mode maintenance

Mohamed Anass EDDIK

Une formation
 Comprendre
la structure des CLI

Mohamed Anass EDDIK

Une formation
 Plan

CLI Command Modes

Navigation de la hiérarchie
de Configuration

Une formation
CLI Command Modes
Operational Mode Configuration Mode
Pour utiliser : Default mode configure command

Signe rapide : > #

Exemples de commandes : show show
less set or delete
test edit
debug commit

Context de travail variable : No Yes, via edit command

Effet opérationnel : Immediate After commit

Caractéristiques partagées : Role-based access control

Autocomplete

Suggestions

Short explanations for options

Navigation de la Hiérarchie de Configuration

application deviceconfig network service zone

dhcp interface profiles tunnel virtual-wire

loopback ethernet tunnel vlan

ethernet1/1 ethernet1/2 ethernet1/3 ethernet1/4

Layer 3 > ip >

10.10.1.2/24
 Démo

Une formation
 Afficher et naviguer au
niveau des données

Mohamed Anass EDDIK

Une formation
CLI Configuration Display Formats
 Démo

Une formation
 Découvrir les sessions
et les états

Mohamed Anass EDDIK

Une formation
 Plan

C’est quoi une session ?

Les états de la session

Une formation
 C’est quoi une session ?
Une session est un ensemble de deux flux de données unidirectionnels entre un
client (initiateur) et un serveur (répondeur)

TCP UDP Other

• Des SYN-ACK aux FIN-ACK • Du premier paquet vu à la • Semblable à UDP pour

perte de 30 secondes du d'autres protocoles IP sans
• Peut être réinitialisé (RST) ou paquet précédent connexion
chronométré à la place
• Pas d'"état", donc pas de "fin" • Aucune session pour les
• La même chose qu'une certaine protocoles non IP, qui ne sont
"connexion" TCP
pas abandonnés, sur la base
• Limité (artificiellement) par de la politique
une minuterie de
rafraîchissement
 Les états de la session
Ouverture

INIT ACTIVE

DISCARD
Gratuit
CLOSING

Fermé
Une formation
 Démo

Une formation
 Etudier la logique
des flux

Mohamed Anass EDDIK

Une formation
 Plan

Diagnostique Hardware
Diagnostique Software
Flux de paquets Data-Plane

Une formation
Diagnostique Hardware
Key Term Alternative Names Definition

Network processor • NPU Fournit un support matériel personnalisé (c'est-à-dire le déchargement)

• Offload processor pour l'éminence initiale des paquets et la recherche de flux, et le transit
• EZchip direct de certains paquets de charge utile qui n'ont pas besoin d'inspection
• FPGA de la couche 7
• ASIC

Security Processeur
• CPU Gère la plupart du traitement DATA-Plane sur le FW
Security • Data-plane processor Pour les pare-feu qui n'ont pas de processeur réseau, le processeur de
Processor
• Cavium processor sécurité gère tout le traitement du réseau.

Hardware offload Deux types possibles de déchargement matériel sont sur les pare-feu Palo
• Offload Alto Networks: déchargement du réseau et le chargement de modèle-
• Session offload match. Le déchargement de type-match est utilisé par les processus App-ID
et Content-ID. "Session déchargement" se réfère toujours au déchargement
du réseau.
Diagnostique Software
Key Term Alternative Names Definition

Security processing • Firewall processing Fournit le traitement De base L2-L4, NAT, App-ID et Content-ID
• CPU processing signature matching, détection de la menace, évaluation du décryptage
SSL, et d'autres inspections de contenu couche 7

App-ID • Application Identification d'application basée sur le contenu. Les types

identification d'applications peuvent être détectés par le moteur App-ID lui-même et
par une inspection ultérieure du contenu.

Content-ID • Content inspection Inclut l'antivirus, l'anti-spyware, la protection des vulnérabilités, le

• Layer 7 processing filtrage d'URL, le blocage de fichiers, la soumission ® WildFire, le filtrage
• Threat detection des données et la protection DoS

Session offload • Offload La fonction logicielle qui signale les sessions de déchargement vers un
processeur réseau
 Flux de paquets Data-Plane
PHY PHY

Packetize signals
Network
Processor Ingress Parse packets

Session Setup Match packets

Security to sessions
Processor
Security Processing Apply policy

App-ID Continuously
Pattern inspect session
Match
Content-ID content

Une formation Network

Processor Egress Forward to exit
interface
 Démo

Une formation
 Connaître
la capture des paquets

Mohamed Anass EDDIK

Une formation
Étapes de capture de paquets

Data-Plane Security Processor (CPU) Packet Flow

Ingress c2s

ethernet 0/3
ethernet 0/1

Egress c2s
Receive Stage Firewall Stage Pcap Content Inspection Transmit Stage
Pcap Inclut les paquets qui établissent ou Application et contenu Pcap
correspondent à une session existante l'inspection peut entraîner des
Post-parsing baisses.
Post-NAT
received traffic transmitted
Session traffic
Setup
Ingress s2c

ethernet 0/1
ethernet 0/3

Egress s2c
DROP DROP DROP DROP DROP DROP

Drop Stage Pcap Pre-NAT Addressing | L7 = Post-NAT Addressing

Politique de sécurité/droped
Ports bloqués, défaillances de configuration des sessions,
profil
sessions fermées et baisses de protection des zones
 Démo

Une formation
 Configurer la capture
des paquets

Mohamed Anass EDDIK

Une formation
 Connaitre les caractéristiques
des logs du débogage

Mohamed Anass EDDIK

Une formation
 Plan

Le périmètre du flow-basic log

Les étapes pour utiliser Flow
Basic

Une formation
 Le périmètre du flow-basic log

Aucune information L7 :
Enregistre la politique L7 sur le premier paquet uniquement
Pas de véritable App-ID
Pas d'URL HTTP get
Pas de SSL handshake
Aucune trace d'interception proxy SSL

Une formation
 Les étapes pour utiliser Flow Basic
Effacer les anciens paramètres
Filtrer de façon étroite (et tester)
Configurer les étapes de capture
Activer le flux de base
Vérifier les sessions en cours
Activer la capture puis l'enregistrement
Capture de moniteur
Désactiver l'enregistrement puis capturer
Afficher les logs de base du flux
Une formation Afficher les pcaps
 Démo

Une formation
 Interpréter les flux
des logs générés

Mohamed Anass EDDIK

Une formation
 Etapes
Vérifier que les paquets sont vus
Tracer les flux de paquets à travers le pare-feu :
Vérifier la configuration de la session et le trafic de retour
Vérifier la configuration de la session «Predict» (le cas
échéant)
Comparer les temps d'entrée et d'évacuation
Vérifier les correspondances de la politique L2-L4 en
corrélation avec :
Pcaps avec informations sur la couche d'application
Autres données du journal
Une formation
 Démo

Une formation
 Assurer l'assistance matérielle
et déchargement

Mohamed Anass EDDIK

Une formation
 Plan

Déchargement matériel vers

le processeur réseau
Quel trafic peut être
déchargé?
Une formation
 Déchargement matériel vers
le processeur réseau
Session-match, route, and ARP lookups
NAT, le cas échéant (sur les paquets déchargés seulement)
Gestion de file d'attente QoS, le cas échéant

Network Security
Processor Processor
Une formation
 Quel trafic peut être déchargé?
Les sessions SSL et SSH qui ne sont pas sujet de décryptage
Sessions auxquelles une règle de remplacement d'application est
appliquée avec une application personnalisée
Protocoles de routage dynamiques tels que OSPF, BGP ou RIP
Sessions basées sur des protocoles pour lesquels il n'existent pas
d'exploits connus, de sorte qu'une inspection supplémentaire ne
s'applique pas

Ce trafic ne sera jamais déchargé :

Non-TCP/UDP (including ping) TCP SYN, FIN, and RST

Navigation sur le Web
Une formation
ARP (all non-IP traffic) SSL décrypté
NAT64 Séances liées au pare-feu
 Démo

Une formation
 Identifier le type
de trafic

Mohamed Anass EDDIK

Une formation
 Plan

C’est quoi le trafic host-entrant ?

Progression générale pour les
diagnostics spécifiques aux
fonctionnalités

Une formation
 C’est quoi le trafic host-entrant ?
Le trafic hôte-entrant se termine sur l'interface de gestion
ou les interfaces data-plane,il est traité par le pare-feu lui-
même :
MGT interface examples : Data-plane examples :
• Management • Routing protocol updates
• Ping • Ping
• SNMP • GlobalProtect
• User-ID • IPsec
• Authentication
• Online Certificate Status Protocol (OCSP) and Certificate Revocation
Une formation
List (CRL)
Progression générale pour les diagnostics
spécifiques aux fonctionnalités
Features

Authentication Progression
Indicateurs de performance
GlobalProtect du système de haut niveau
GUI indicators
HA
Log Systeme
counters
IPsec Besoin de plus d’information?

Gestion de connectivité tcpdump

Panorama Commit

Besoin de plus d’information?

Examples
User-ID
Log de service (daemon) Authentication User-ID Web
Une formation
…Escaladé authd useridd appweb3
 Démo

Une formation
 Diagnostiquer
le Traffic VPN

Mohamed Anass EDDIK

Une formation
 Plan

Dépannage VPN
Le tunnel ne s'établit pas
Établissement du tunnel :
Contexte
Une formation
 Dépannage VPN

Une formation
 Le tunnel ne s'établit pas

Intranet Serveur Web

Le tunnel VPN n'est pas établi

entre les endpoints
Memphis firewall :
• Reçoit le trafic
• Permet le trafic
• Itinéraires du
trafic
... et aucun trafic ne
dans le tunnel
traverse
Denver
Firewall

Une formation
Établissement du tunnel : Contexte
IKE SA UDP 500
Site A Firewall Site B Firewall

IKE IKE IKE IKE

IKE Control Channel
Crypto Profile Gateway Gateway Crypto Profile

Internet IP Protocol 50
or 51

Symmetrically
IPsec Tunnel Encrypted: Bulk Tunnel IPsec
Crypto Settings Interface Data Transport Interface Crypto Settings

Multiple Phase 2 Phase 2 outbound Phase 2 inbound

SAs may exist. ESP SA ESP SA
Une formation Phase 2 inbound Phase 2 outbound
ESP SA ESP SA
 Démo

Une formation
 Diagnostiquer l'IKE

Mohamed Anass EDDIK

Une formation
 Vérifier le
Management Interface

Mohamed Anass EDDIK

Une formation
 Connaitre le type de trafic

Mohamed Anass EDDIK

Une formation
 Plan

C’est quoi le Transit Traffic?

Troubleshooting Progression

Une formation
C’est quoi le Transit Traffic?
Transit Traffic passe à travers le pare-feu
Trafic acheminé entre deux interfaces de data plane

Reçu sur le data-plane Transferé

interface physique out physical interface
sous-interface out subinterface Data Plane Management
Plane
interface physique to loopback interface

physical interface à l'interface tunnel, puis à Transit Traffic

l'extérieur
Troubleshooting Progression
Le trafic est-il destiné à se Troubleshoot as
terminer sur le pare-feu? Oui host-inbound traffic.*
non

Les paramètres du réseau Quel type d'interface est

d'interface sont-ils corrects ? Oui destiné à traiter le trafic?

L3 Virtual Wire L2 or Tap

La destination IP du paquet
Apply NAT/PAT if Le trafic passe-t-il
est-elle affectée à une
Oui needed. Resolved? No entre les zones?
interface sur le pare-feu ?
No Yes

Le trafic est-il interrompu par Le trafic atteint-il le pare- Créez des règles de
le pare-feu ? Yes feu? No sécurité au besoin. Résolu?
Yes

Use utilities, counters, and logs to resolve the Troubleshoot as a system

problem. Is the problem service-related? Yes service issue.*
 Démo

Une formation
 Collecter les informations

Mohamed Anass EDDIK

Une formation
 Plan

Dépannage Rule-Match
Avoir des sessions, mais pas
de log

Une formation
Dépannage Rule-Match

Nombre de hits de règle de référence

Analyser les données de session Reference Traffic Log –

Analyser les données de session et de
log contre des critères d'appariement Policy Evaluation table

Hitting une règle par default

Déplacer la règle cible vers le haut pour
éliminer les effets de l'ordre des règles et
Créer une règle spécifique comme réduire la confusion potentielle
dernière règle pour attraper et
enregistrer le trafic de test
 Avoir des sessions, mais pas
de log

État du système de haut niveau

OK

Logs: Trafic, Menace, etc..

No?

Navigateur de session

Une formation
 Démo

Une formation
 Utiliser les counters

Mohamed Anass EDDIK

Une formation
 Plan

Recevoir du trafic mais aucune session

Besoin d'une preuve de trafic ou plus
d’info

Une formation
 Recevoir du trafic mais
aucune session

État du système de haut niveau

OK

Logs: Traffic, Menace, etc.

No

Session du navigateur
No?

Global counters

Une formation
 Besoin d'une preuve de
trafic ou plus d’info
État du système de haut niveau
OK

Logs: Traffic,Menace, etc.

No

Session du navigateur
No

Global counters
Not enough information

Packet diagnostics
(pcaps and flow basic)
No drops or errors
Une formation
Pas un problème de pare-feu
 Démo

Une formation
 Identifier les problèmes
de performance

Mohamed Anass EDDIK

Une formation
 Plan

C’est quoi les problèmes des

performances?
Progression de dépannage de
performance

Une formation
 C’est quoi les problèmes des
performances?

Les problèmes de performances sont des problèmes

de système avec management plane et le data plane :
• Défaillances de service
• Échecs d'allocation des ressources
• Échecs de validation
• Échecs de mise à jour
Une formation
Progression de dépannage de performance
Dépannage comme:
Le pare-feu ou le data plane ne Trafic d'hôtes entrants ou Résolu?
démarre-t-il pas ? Non Trafic de transport en commun Oui
Oui
non

Les compteurs affichent les problèmes

de tendance?

Les services sont-ils La mémoire est-elle

opérationnels? non disponible?
Oui Oui non
Utiliser le mode maintenance
Des indicateurs dans les logs de service?

Obtenir des fichiers de crash Fin

Escalade
s'ils sont présents
 Démo

Une formation
 Voir un aperçu
des services système

Mohamed Anass EDDIK

Une formation
 Plan

Services Système (Daemons)

Quelques services mangement
plane

Une formation
 Services Système (Daemons)

Core PAN-OS® management-plane and

data-plane functions :
• Sont mis en œuvre dans des logiciels individuels appelés
Daemons
• Comprennent plus de 100 services individuels (daemons)
• Incluent de nombreux services qui écrivent leurs propres
journaux

Une formation
 Services Système (Daemons)

Service (daemon) logs :

• Peut fournir des informations précieuses pour le
dépannage
• Peut inclure une propriété de niveau journal de
débogage qui définit le type d'événements
enregistrés
• Peut être affiché localement dans le CLI
• Peut être exporté pour l'analyse à distance
Une formation
Quelques services mangement plane
Process/Daemon Description Log Name

management-server Met en œuvre des services de gestion backend; gère la gestion de la ms.log
Opérations

configuration, les opérations de validation, les rapports, etc. (runs as

internes

“mgmtsrvr”)

device-server Pousse les configurations vers le plan de données et gère diverses devsrvr.log
communications avec le plan de données, telles que les recherches d'URL

high-availability Gère l'état de haute disponibilité, la synchronisation de configuration, etc. ha-agent.log

Externe

routing Fournit des services de routage et de routage dynamique de l'état- routed.log

machine

log-receiver Enregistre les logs de trafic envoyés à partir de la data plane logrcvr.log
Logs

syslog-ng Handles log forwarding syslog-ng.log

vardata-receiver Enregistre les les d'URL et les pcaps envoyés à partir du data plane varrcvr.log
 Démo

Une formation
 Collecter plus
de données

Mohamed Anass EDDIK

Une formation
 Diagnostiquer le
décryptage SSL

Mohamed Anass EDDIK

Une formation
Types de règles de stratégie de décryptage
Proxy SSL Forward (sortant) SSL Inbound Inspection SSH Proxy

Serveur Utilisateur Serveur

externe externe externe

SSH Tunnel

SSH Tunnel

Utilisateur Serveur Utilisateur

interne interne interne
 Démo

Une formation
 Gérer les facteurs externes
pour le décryptage SSL

Mohamed Anass EDDIK

Une formation
 Plan

Épinglage de certificat (HPKP)

Application ECDHE et impact
sur la sécurité

Une formation
 Épinglage de certificat (HPKP)

Une formation
 Application ECDHE et
impact sur la sécurité

Une formation
 Démo

Une formation
 Détailler le flux de
mappage des User-ID

Mohamed Anass EDDIK

Une formation
 Plan

Méthodes du mapping des

utilisateurs
Flux d'agent User-ID

Une formation
Méthodes du mapping des utilisateurs
Terminal Services Third-Party Proxy
Third-Party Third-Party Third-Party
Aruba/Clear User/Group WLAN Controller Proxy VPN Agent
Pass Mapping
XFF Headers
Syslog Listening Port Mapping
XML API
Microsoft
Active Directory

GlobalProtect Captive Portal

Surveillance des serveurs
Joe’s Devices
Authentification de 11.11.11.11
l'utilisateur 12.12.12.12
Client Probing
Joe’s Roles/Groups
IT Admins
HQ Employees
Microsoft Active
Directory, LDAP Windows Clients

Rapport et politique d'application

Flux d'agent User-ID
Client Moniteur de Group
Event Log XML API Portail captif
Probing session Mapping

User-ID Agent PAN-OS®

Cache de groupe
Cache utilisateur-IP
d'utilisateurs

Début de Rechercher Utilisateur Rechercher Déterminer

Source IP Y
la session Cache connu? Cache la politique

Portail captif Y Authentification

Politique?
 Démo

Une formation
 Débloquer
le User-ID agent

Mohamed Anass EDDIK

Une formation
Exigences pour l'extraction d'informations
sur les serveurs
Création d'un compte de service dédié
Affectation des membres du groupe suivants :
Lecteurs de journaux d'événements : Lire le journal des événements de sécurité
Opérateurs de serveurs (facultatif) : Actualiser les cartographies en surveillant les
sessions utilisateur
Les événements enregistrés sur le serveur doivent être des événements
d'authentification réussis :
Ouvrir les sessions de serveur
Avec plusieurs serveurs, on doit identifier le serveur dont l'utilisateur est authentifié
(serveur de connexion echo)
 Démo

Une formation
 Diagnostiquer les users
et les groups mapping

Mohamed Anass EDDIK

Une formation
 Vérifier l'authentification

Mohamed Anass EDDIK

Une formation
 Plan

Liste de contrôle de configuration

Authentication Policy Troubleshooting
Progression
Étapes de dépannage User-ID

Une formation
Liste de contrôle de configuration
Activer l’USER-ID sur la zone source : Configurer une liste de contrôle
d'accès dans la zone
Activer la politique d'authentification
Configurer les paramètres de la stratégie d'authentification de
l'identification des utilisateurs
Définir la règle de la politique d'authentification pour être défi de
navigateur ou formulaire Web
Activer un profil de gestion pour une interface de page de réponse
Créer des règles de politique de sécurité au besoin
Authentification Policy Troubleshooting
Progression
Une politique Utilisez les logs de système
Les utilisateurs finaux Erreurs de certificat sur
d'authentification et d'authentification pour
Yes sont-ils mis au défi ? Yes la page de chargement? No
est-elle utilisée? identifier les problèmes de
No No Yes profil, d'authentification et
Vérifier une règle de règle de connectivité. Résolu?
Utilisez le log système pour
d'authentification correspond
identifier les problèmes No
au trafic de l'utilisateur.
OCSP/CRL. Résolu?
Dépannage en tant Résolu?
que problème USER- No No
ID. Activer l'identifiant
utilisateur sur la zone
source. Résolu? Troubleshoot comme un
No problème de trafic hôte- L'AMF est-elle utilisée?
Yes
Fonctionnement des entrant.
services d’USER_ID No
requis?
Une formation No
Escalade.
Troubleshoot comme un problème
de service système.
Liste de contrôle de configuration
Inspectez les journaux du système et de l'authentification
Utilisez la commande de test pour trouver la correspondance de la
stratégie d'authentification
Vérifiez que les défis sont reçus; les utilisateurs obtiennent-ils le formulaire
Web ?
Filtrez les compteurs globaux par adresse IP source
Activez le débogage sur les services L3 (NTLM) et l'Utilisateur-ID (l3svc et
user-id) et exécutez l'agent de débogage de l'identifiant utilisateur ntlm
En l'absence d'erreurs, cochez le décryptage : activé ou non ?
 Démo

Une formation
 Découvrir les problèmes
courants de GlobalProtect

Mohamed Anass EDDIK

Une formation
 Plan

GlobalProtect Troubleshooting
GlobalProtect Progression

Une formation
 GlobalProtect Troubleshooting
Pour l'initialisation et l'établissement des tunnels :
• Log système et compteurs de trafic
• Capture de paquets par CLI

Pour l'absence de trafic dans un tunnel établi :

• Traffic logs
• Routing tables
• Traffic packet captures
Une formation
• HIP logs
GlobalProtect Progression
Dépannement en tant que Dépannage en tant que problème de
Le tunnel est-il établi? service système.
problème de transport en
Oui commun.
No Oui
Les services
La question est liée à No
GlobalProtect nécessaires Escalade.
l'authentification ? No
en cours d'exécution?
Yes Yes No Yes

Les certs sont Rééditez des Communication

valides? certificats.Résolu? avec le serveur OK? No
No No Yes
OCSP/CRL en
cours d'utilisation? Yes
Yes
Examiner les logs : Communication avecNo les Troubleshoot comme
Système et authentification. Certificat lié? serveurs Yes un problème de trafic
No No No
Profil lié? d'authentification OK? hôte-entrant.
Yes

No
Ajuster le profil et le test.
Une formation Résolu?
 Démo

Une formation
 Vérifier les logs de
GlobalProtect et les certificats

Mohamed Anass EDDIK

Une formation
 Plan

Configuration Checklist
GlobalProtect Agent Log
Collection

Une formation
 Configuration Checklist
Licenses
Interface setup
Certificates
Client Certificate Profile
User authentication
GlobalProtect Profile
GlobalProtect Gateway Profile (passerelle externe et interne)
Host Information Profile (du client)
Créez un objet HIP ou un profil HIP et incluez-vous dans la
configuration de la passerelle
Une formation Configurez les règles de sécurité appropriées avec les profils HIP
 GlobalProtect Agent Log Collection

• Main components:
• PanGPA.exe (agent UI)
• PanGPS.exe (Windows service)
• PanGPUpdater.exe (Service Windows pour la mise à niveau et la déclassement des
logiciels clients sans l'autorisation de l'administrateur)

• Log files:
• PanGPS.log (situé dans le répertoire de l'installation)
• PanGPA.log (situé dans l'annuaire par défaut de l'utilisateur)

• Enable debug trace:

• Cliquez sur l'onglet Dépannage et sélectionnez Les logs.
• Ajustez le niveau de débogage pour contrôler le niveau de détail
Une formation
 Démo

Une formation
 Conclusion

Mohamed Anass EDDIK

Une formation
 Bilan
Connaitre les outils, ressources et CLI
Comprendre le comportement des flux
Définir la capture des paquets
Diagnostiquer les paquets
Gérer le trafic des hotes-entrants
Identifier le Transit Traffic
Diagnostiquer les services Systèmes
Gérer les certificats et le décryptage SSL
Diagnostiquer les User-ID
Une formation Diagnostiquer GlobalProtect
 Cursus Palo Alto Networks

1. Installation et configuration

2.
de base
Sécurité avancée

3. Panorama : Configuration
et Administration

4. Troubleshooting

5. Configuration Avancée

Une formation