《分享》多重帳號之驗證Agent安裝

若欲透過單一驗證Agent來提供多重user的帳號登入，需透過XG Admin Portal中的驗證Agent軟體來達成。





下載CAASetup.msi安裝檔後，請以具備該電腦之管理員權限帳號來進行安裝。









軟體安裝完成後，請再於Admin Portal中下載對應的CA憑證。





然後將此憑證安裝於受信任的根憑證之中。





由於XG提供的是pem格式的憑證，所以請檔案類型改為All Files (*.*)以顯示出XG的憑證。









安裝完成後，可於受信任的根憑證中，看到此安裝的Sophos Client Authentication CA憑證。



在軟體與憑證都安裝完成後，user就可以登入驗證了，也可以不同的帳號進行登入。


↑如同單一user驗證Agent，多重Agent軟體一樣提供密碼記憶功能。


也提供開機時，自動載入此驗證軟體。

在XG上顯示的Client Type驗證類型與單一user版相同，一樣是Authentication Agent。



單機版Agent軟體之安裝到此告一段落∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》單機驗證Agent之安裝說明

Sophos XG的身份驗證基本上可透過三種方式來達成，
之前順子已分享過“於AD主機上裝驗證Agent”與“透過網頁做身份驗證”，接下來就來看看如何在單機電腦上安裝驗證Agent。


若是一般user要安裝Sophos XG的驗證Agent軟體，請以user自己的帳號登入Sophos XG的user portal進行軟體下載。
User Portal的URL為 https://(Sophos XG的介面IP) ，預設SSL的443 port。



登入user portal後，點選“Download for Windows”下載個人版身份驗證軟體。



下載後進行安裝軟體安裝。(安裝軟體需具備該電腦之管理員權限)









於安裝過程中，會安裝此Agent的憑證。



而此憑證綁定個人帳號，
所以透過這種方式安裝完Agent後，只適用此帳號登入，無法提供其它帳號登入使用！

安裝完成後，就可以啟動此驗證Agent了∼



於登入視窗中輸入user的帳號/密碼進行驗證。


↑登入畫面中，可以記錄密碼。


↑預設也有勾選Autostart，以利每次開機的自動載入。
在搭配記錄密碼的功能後，就可以實現每次開機登入，自動完成身份驗證∼

而驗證失敗或未驗證時，Agent會以灰色icon來顯示其驗證狀態。



以Agent進行身份驗證，在XG上會顯示Client Type為Authentication Agent；
若是透過網頁驗證，則會顯示Web Client；
而透過裝於AD主機上的驗證Agent來達到Single Sign On機制，則會顯示SSO。



由於此Agent包含user個人帳號的憑證，所以無法提供其他user透過此Agent來進行登入，
欲透過單一驗證Agent來提供多重user的帳號登入，請參考下一章節。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》V17版IPsec異動

Sophos XG V17已經release MR3了，聽說V17版最多的問題是在IPsec VPN上。
試著升級到MR3來測試IPsec的穩定性，卻發現無法與其它V16版XG或Cyberoam成功串接！？

仔細比對預設的DefaultBranchOffice與DefaultHeadOffice IPsec Policy後，
發現V17版與V16版/Cyberoam有很大的不同，Phase1/2加解密邏輯變了！
難怪會串不起來...



若V17版XG要與V16/Cyberoam串接，請手動建立如下舊版的IPsec Policy。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》Spoof Protection Trusted MAC支援的匯入格式

透過MAC來控管電腦是個好主意，但網卡一多可是會要人命，
還好XG的Spoof Protection Trusted MAC支援了csv檔的匯入，
其樣本格式如下。

shunze 上傳的檔案 Sample.zip (0 KB, 已經被下載 1081 次)

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》Site-to-Site RED Tunnel VPN

Site-to-Site RED Tunnel VPN是Sophos防火牆所擁有的一個特殊功能。
兩個站台可透過RED協定，將兩端串接起來∼

在架設Site-to-Site RED Tunnel VPN時，有幾件事是您必需知道的。

• 首先，採用RED Tunnel的兩端XG都必需要有Network Protection授權。
  
• 第二，RED採Client/Server架構，所以一端為Server，另一端為Client。
  
• 第三，RED VPN兩端的通導必需透過路由來指定。
  
• 第四，跟其它VPN不同，對端RED連上來的ZONE不見得是VPN，
  對端ZONE可以自行指定，也需要建立對應的防火牆規則。

• Server端建置
  在Server端XG建置RED組態，跟一般RED設定一樣在網路中新增一個RED組態；
  不過Type要選Firewall RED Server，
  然後在下方RED Network Settings中，輸入RED interface的IP與ZONE。
  
  
  ↑為了跟其它ZONE區隔，順子新增了一個複製自LAN的RED ZONE給RED使用。
  
  設定完成後，Server Side的RED會產生Provisioning File，
  請下載此組態檔，於Client端建置會用上此檔。
  
  
  
  
• Client端建置
  Client端XG建置RED組態，請選擇Firewall RED Client這個類別，
  然後Provisioning File欄位，上傳剛才自Server端下載的組態檔，
  並在Firewall IP/Hostname中，輸入Server端允許連接的外部IP，
  RED Network Settings中，請輸入RED interface的IP與所屬ZONE。
  
  
  
  完成後，如果網路都沒問題的話，Server端可以看到Client端連線IP，RED Tunnel已建起來了。
  
  
  
  而Client端也可以看到RED Tunnel成功透過Server端的外部IP來進行連結。
  
  
  
  
• 設定靜態路由
  在Server端上，設定一筆靜態路由，將Client端網段透過RED的對端IP來傳導。
  
  
  
  同樣的，在Client端也要設定一筆靜態路由，將Server端網段透過RED的對端IP來傳導。
  
  
  
  
• 設定防火牆規則放行
  在Server端上，分別建立LAN to RED與RED to LAN雙向規則。
  
  
  
  同樣的在Client端上，也建立LAN to RED與RED to LAN雙向規則。
  
  
  
  完成以上後，Client與Server兩端就可以互通了∼
  
  
• 設定Client端Full Tunnel
  上述設定完成了Client與Server兩端的雙向通導，
  如果想把Client端所有流量都往Server端送，進行所謂的Full Tunnel全導向設定，又該如何進行呢？
  
  理論上只要將Client端的靜態路由由原本的對端網段擴大為0.0.0.0/0，
  
  
  
  然後在於Server端建立RED to WAN的放行規則即可。
  
  
  
  不過在實測上發現，Full Tunnel只會通幾秒，幾秒之後RED Tunnel就會斷掉，
  Client端網路無法對外！
  
  造成這樣的結果是因為設定0.0.0.0/0的default route，會將所有對外流量往RED介面送，
  連原本Client端透過WAN與Server端外部IP的RED Tunnel連線也一併導轉至該Tunnel，導致連線失敗！
  
  要解決此問題，必需捨棄static route改用policy route。
  
  
  
  在Client端建立一筆policy route，設定LAN to ANY要透過RED Tunnel對端的IP來做為Gateway。
  
  
  
  完成後，透過traceroute來觀察，Client端確實可以透過RED Tunnel將所有流量往Server端送了∼
  
  

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》房屋/地價申請自用省很大

新北市政府稅捐稽徵處發廣告通知，地價稅申請自用省很大！

一、申請按自用住宅用地稅率課徵地價稅，五項要件缺一不可：

1. 地止房屋為土地所有權人或其配偶、直系親屬所有。
   
2. 本人、配偶或直系親屬於該地上房屋設定戶籍。
   
3. 地上房屋無出租、營業。
   
4. 本人、配偶及未年成之受扶養親屬以一處為限。
   供已成年之直系親屬設籍居住者，無一處之限制。
   
5. 都市土地面積以300平方公司為限；非都市土地面積以700平方公司為限。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》如何阻擋網站子目錄

有網友來信提問，如何阻擋某個網站的子目錄路徑，例如 https://sites.google.com/site/playfunblocked/ ？

這問題初看覺得很簡單，實則不然，並不容易做。

首先是因為它是加密的HTTPS網站，所以若要透過Web Filter來進行，就必需匯入XG的憑證做為中繼才能辦到；
若想直接透過Firewall rule的目的地FQDN host來阻擋，又沒有辦法針對子目錄路徑來個別限制，
所以真的有的點麻煩...

實際嘗試後發現，在XG中只有自訂的Web Category可以設定子目錄路徑，
而其它與FQDN相關的URL group或FQDN Host均辦不到，
因此只能透過建立Web Category來使用。



建立此Category後，再建立一條Web Filter來套用。


↑請注意，由於目的地網頁是HTTPS，所以HTTPS一定要選擇block，才能進行阻擋。

設定好Web Filter後，再把此filter套用在防火牆的規則中。



由於目的網頁是加密的HTTPS網頁，所以Decrypt & Scan HTTPS一定要勾選，
不然開啟HTTPS網頁還是不會有過濾效果。



設定完成後，若使用者的瀏覽器有匯入XG憑證，
那麼開啟此子目錄網頁時，將會被XG的Web Filter所阻擋。



而上層網頁， https://sites.google.com/ 則一樣可以正常開啟，不受限制。


↑網址不一樣是因為被Google所導轉，不是順子開錯網頁魚目混珠喔∼

不過沒匯入XG憑證的電腦，因為沒有XG的憑證做為中繼憑證，所以開啟所有HTTPS網頁時，都會出現錯誤！




結論
要阻擋整個網域很簡單，除了透過Web Filter來阻擋外，
還可以要建一條LAN to WAN (FQDN Host) Service HTTP/HTTPS drop|deny的規則來拒絕對外連線。

但要阻擋網域子目錄就比較麻煩，尤其是加密的HTTPS網站，
除了只能透過Web Category來建立物件外，還必需匯入XG的憑證才能辦到喔∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》V17新增的功能

V17的XG增加了以下很棒的新功能

• Firewall加了Group功能，有效解決V15、16版所有規則雜亂在一塊，不好管理與查找上的困難。
  
  
  
  
• log不再局限於每個類別1100筆，且重開機後log不會消失，可以查到舊log。
  
  
  
  但筆數限制一直沒有一個官方的回覆答案，且沒有依時間查找的filter功能。
  所以若需要詳細的log記錄，還是建議額外安裝3rd party的syslog server來收容記錄。
  
  
• Business Application Rule加了ICMP對應，可以將ICMP mapping到內部主機。
  
  
  
  
• 增加了*萬用字完的FQDN主機設定。
  
  
  

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《轉載》超難的國小數學陷阱題

下圖據說是對岸的國小數學題，但陷阱一堆，有夠難的...





答案如下

1. 三雙鞋30元，所以一雙鞋10元。
   
2. 一雙鞋＋兩隻貓20元，所以每隻貓5元。
   
3. 一隻貓＋兩對哨子13元，所以一對哨子4元，每個哨子2元。
   
4. 陷阱來了，一雙鞋 + 一隻貓 X 一個哨子多少錢？
   先乘除後加減沒問題，
   但請注意這隻貓少了哨子！
   
   所以沒有哨子的貓應該是5 - 2 = 3元，
   代入算式為10 + 3 X 2 = 16元。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》Passive FTP於XG上的參數調校

FTP不同於其它服務，除了透過TCP 21 Port來傳遞Command外，
還需透過另一個port來進行資料傳輸。

在一般Active Mode下的FTP Server，在命令傳遞完成後，
會由Client指定一個port，讓FTP Server透過此Port向Client端傳輸資料。

但若user在防火牆內，防火牆不見得能mapping這個隨機的Port給內部所有user的IP來提供對外服務，
所以出現了Passive Mode FTP來解決此問題。



Passive Mode FTP跟Active Mode一樣，在一開始傳遞命令時，都是透過TCP 21 Port來進行。
但在傳輸資料時，則由FTP Server指定一個port給外部user來連結。
因為FTP Server只有一個IP，mapping這個隨機port給此單一主機相對簡單多了∼




不過在Sophos XG上，明明已經mapping標準的TCP 21 port與指定的隨機port範圍給內部Passive Mode FTP Server了，
為什麼FTP服務還是無正常使用，遠端FTP server的目錄結構無法顯示？？

原來在Sophos XG上，除了mapping標準的TCP 21 port與指定的隨機port範圍外，
還必需在console下，將 ftpbounce-prevention 的參數值由 control 變更為 data 才能順利導通FTP服務。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!