Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
《分享》XG連不上了,怎麼辦?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG在V18版後做了很大的變革,
NAT規則自原本防火牆規則分拆後,造成很多規則設定上的問題,
甚至有幾個客戶因為NAT規則的錯誤配置,而導致XG的失聯!

原本我以為在這情況下,只能恢復出廠預設值,然後再把備份的組態檔倒回去。
(這時候你就知道組態備份密碼與SSMK的重要性了吧!)

不過昨天客戶讓我知道了另一種更有效率的做法 - enable appliance access。


其實console下的這個指令,我在一開始接觸Sophos XG時就知道了。

system appliance access enable


我知道這指令在執行後,可以無視Device Access中的設定,
直接放行介面IP的連入權限。

但這指令 enable 後,會丟棄所有外出到internet的流量,
所以在正常運作情況下,appliance access是要保持在disable這個狀態的。


我以為V18版後,錯誤的NAT規則會持續在XG中運作發酵,
即便是 enable appliance access,也無濟於事...

但客戶讓我知道即便在錯誤的NAT規則作用下,
還是能透過 enable appliance access 來放行介面IP的連入能力,進而去修復錯誤的NAT規則,
完成後再將appliance access disable即可。

這真是很重要的一個資訊啊!
(當然問題發生時,你還是必需找到console線直連XG,才有辦法進console去下達這個指令。)



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-11-25, 15:03 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
《分享》揪出ATP事件中真正的連線client顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos的ATP模組能在traffic透過XG做routing時,即時的過濾攔阻有害連線,
但在網域環境中,最頭痛的就是DNS Client的解析問題。

雖然惡意domain的DNS解析被XG的ATP攔下來了,
不過網域中client的DNS是指向內部的DNS Server,
當client欲連到惡意domain時,第一步的DNS解析工作會交給內部DNS Server來進行,
內部DNS Server沒有惡意domain的IP對應資訊,因此會再向上層DNS主機要求解析,
以至於ATP攔截事件中,攔的來源IP往往都是內部的DNS Server,而不是直正的DNS Client...

找不出來真正有問題的DNS Client,不是DNS Server也不是ATP的問題,
它們都正常的執行交付的工作.這是網域環境架構下的限制。
那麼在這樣的架構下,有沒有辦法揪出真正的DNS Client呢?


順子想到了一個做法,不過它需要DNS Server的配合。
既然DNS解析工作是由內部的DNS Server來進行,那麼我們就直接在DNS Server上建立一筆該domain的IP對應record,
例如將惡意domain msdnupdate.com 對應到 10.199.199.2 這個沒在使用的IP。
如何設定?Windows的DNS主機可以參考 這一篇 的做法。

然後在XG上啟用一個閒置介面,配置一個zone與這個假IP同網段的IP,例如 10.199.199.1/29,
接著設定內部到這個zone(或IP)的阻擋規則,並勾選log記錄,
這樣當內部電腦欲連到這個惡意domain時,DNS Server就會指向這個假IP,
而電腦依照DNS解析出來的結果,透過XG routing要連到這個假IP時,就會被XG上的阻擋規則所記錄下來,
我們只要去查看log,就可以清楚知道有哪些內部IP試圖連到這個惡意domain,揪出真正的DNS client!

為了避免連線被ATP所攔截,設定完成後,
請將這個惡意domain加到ATP的exception中,做例外放行,由設定阻擋規則來進行攔阻。


這個方法在實做上有幾個重點要注意。

  1. 綁IP的網卡必需為up狀態,簡單來說就是這張網卡必需接上switch,
    這樣介面路由才會運作,導向假IP的流向才會routing到這個介面,進而被防火牆規則阻擋而留下記錄。
    若只是設定好IP資訊,但網卡介面為down,則介面routing不會生效。

    網卡介面可以是一般網卡、VLAN或是Alias IP,
    若使用Alias IP來設定,那封鎖記錄的防火牆規則需小心定義,以免連帶擋掉所有正常流量。

  2. 用來補抓DNS Client IP的防火牆規則必需是阻擋類型,
    若採用放行規則,則該網卡介面必需真的接到一台設定假IP的主機才會留下記錄,
    大大的增加複雜度。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-09-20, 14:14 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
《分享》通行費詐騙顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

5/7一早,順子收到了一封通行費即將到期的簡訊通知,
要順子立即透過簡訊中的連結,下載APP來線上繳費。



順子的ETC是儲值自動扣繳的,印象中還有錢啊!
這個29元的費用,是否意味著順子ETC堭b戶堣w沒錢了?

透過網路查詢後,
帳戶媮晹酗C百多元啊!
那麼這個連結是什麼??

複製連結後,發現它會下載一個apk檔,
一般來說,官方的APP會叫你到市集去下載,
放在市集上的APP基本上也都經過了Apple或Google的驗證,
安全性層基本上比較沒有問題。

這個叫user自己下載apk檔來安裝的,風險很高!
再加上順子帳戶堜明有錢,卻跟你說費用未繳,明顯有鬼!
更詐的是到期日就是簡訊發送當日,擺明了要利用使用者擔心過期罰款的心理,
來詐騙使用者上勾,真是可惡啊!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-05-09, 10:35 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
《分享》SSLVPN客戶端軟體EoL?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos公告,基於Open VPN的SSLVPN用戶端軟體(紅緣燈版)將於2022年1月31日EoL



原本已下載安裝的紅綠燈版SSLVPN軟體依然可以使用,
但後續在User Portal上提供的VPN撥接軟體,將會由Sophos Connect來取代。




這意謂著Sophos在Windows上放棄了Open VPN這個公版軟體,
改推自家開發可同時支援IPsec VPN的Sophos Connect軟體。
但在其它系統上,例如Mac,行動裝置上倒是沒有Sophos Connect的對應方案,
所以還是要靠Open VPN。

換成Sophos Connect對Windows User來說有什麼影響?

  1. Sophos Connect不支援Win7,所以若你還是Win7的使用者,還是保留你的紅綠燈版軟體。
    不然就去下載公版的Open VPN來使用吧。

  2. Sophos Connect不支援多帳號切換。
    紅綠燈版的軟體支援多帳號組態匯入,
    同一個撥接IP在匯入多個組態後,您可以自由切換要用哪個帳號來進行SSLVPN的撥接。



    但Sophos Connect不行!
    一個目的地IP只能有一個組態檔。

  3. 安裝Sophos Connect後,使用者組態的取得無法透過User Portal的Download Configuration for Windows來安裝,
    必需透過Download Configuration for Other OSs來下載組態檔,



    然後再由Sophos Connect匯入ovpn格式的組態檔。


其它就沒有太大差別了,畢竟它是一個撥通的媒介,對應的使用權限還是在XG上控制。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-02-18, 17:11 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
《分享》V18的Direct Proxy設定顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在V18之後,Sophos把原本隱藏的0號阻擋規則強制顯示了!
而這條規則在Direct Proxy的使用上又會造成什麼影響?
就讓順子來實測看看。



經實際測試,將可正常運作的V17 Direct Proxy升級到V18後,
原本user可以正常開啟的網頁,現在都打不開了!



原因就跟V17版一樣,當清單最後有一條阻擋http/https的規則時,
就必需在這阻擋規則的前面,加上一條套用Deny All的Web filter的http/https放行規則,
否則所有網頁都將無法正常開啟!





在預設阻擋規則前,加上Deny All Web filter的http/https放行規則後,網頁就可以正常開啟了,
不僅可以依照Proxy規則中的Web filter來進行網頁控管,
而且log中,也可以看到Proxy的Web filter log記錄。



而端點沒有掛上proxy,就無法打開所有網頁。



基本上V18的Direct proxy的設定就沒有太大問題了。
(除了那個整個目標網段無法在web exception中放行的問題無法解決以外...)


參考資料
Resolve issues related to web proxy when...l rule is added



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-01-25, 16:31 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
SD WAN Policy Route顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

順子在這篇文章一開始就提到自V18後“將原本單一firewall rule可以完成的工作,硬是分拆成三種規則來協力達成”,
現在有firewall rule,有NAT rule,那第三種規則是什麼?

第三種規則就是SD WAN Policy Route。

原本在V17中,可以直接在firewall rule堳定這條規則要透過哪一個WAN port連外,
這個功能在V18中也被剝奪了...

在V18版中,多WAN的情境下,要指定透過哪一個WAN連外,
現在只能透過SD WAN Policy Route來設定了...



另外,若您是由V17升版到V18,在這個SD WAN Policy Route頁面還可以看到舊設定被移轉過來的對外組態設定。



這個移轉過來的組態設定只提供修改與刪除的功能,
要建立新的對外端口設定,就只能透過新的SD WAN Policy Route來建立了。


我們姑且不論V18在firewall UI上不便的地方,
但規則一拆三,怎麼看都是化簡為繁,有違Sophos的初衷!

不過在V17就要在2021/11/30停止支援的情況下,
或許也該是時候,挑個適合的時間升級到V18了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:39 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
Loopback規則 (SNAT+DNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如上情境,假設DMZ區的其它主機也會透過XG上的外部IP來連到同為DMZ區的FTP Server,
那麼情境上有什麼不同呢?

這種同網段電腦,連到SFOS的外部IP後再導回同網段主機的內部服務的需求,
在Cyberoam系列上的防火牆都必需透過Loopback規則來達成。
Loopback詳細說明可參考 這篇

Loopback規則一個設定上的重點就是要做SNAT
而原本對外服務的規則已經做了DNAT,
所以這條loopback規則將同時進行SNAT與DNAT轉址
這是loopback規則設定上最特別的地方!



Loopback規則完成後,再把原本firewall rule的source zone加上DMZ,
同時允許來自WAN與DMZ的連線,這樣loopback規則就完成了∼

那其它內部zone去存取DMZ的外部服務時,也需要透過loopback來完成嗎?
其實要透過loopback來導向也不是不行,
但透過loopback導向後,因為做了SNAT,所以服務server看到的來源IP統一會變成XG的介面IP,
無法正確識別來源IP,安全性較低,因此不建議透過loopback規則來導通,
這種情形順子建議在原來的firewall rule中,直接把內部zone加進去source zone即可。

且以上述範例環境來說,LAN到DMZ的外部服務IP再導回DMZ,並沒有不對稱路由的問題,不需要做SNAT,
所以除了相同zone的存取以外,其它內部zone去存取外部服務,透過基本的DNAT就可以達成。

而在對外服務同時有DNAT與Loopback規則的情況下,
這兩條的優先順序該如何排列呢?


由於loopback規則的來源範圍較小,只鎖定在與服務主機所屬的網段;
而DNAT的來源範圍是Any,所以在套用時,應該是先loopback規則,然後才是DNAT規則。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:34 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
目的地端NAT規則 (DNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在提供對外服務的目的地端DNAT規則上,
順子建議初次接手的工程師透過DNAT精靈來建立。
不過由DNAT精靈建立的規則不見得完全適用,可能需要修改其內容,
由我們可由這樣的範本規則來建立符合自己需求的firewall與DNAT rule。

假設SFOS上的配罝如下,
Port1 LAN 192.168.23.1/24
Port2 WAN 123.123.123.1/24
Port3 DMZ 172.18.10.254/24

我們要建一條DNAT規則,讓DMZ區的FTP server 172.18.10.1能夠提供對外服務,
那麼我們可以先建立一條如下firewall rule。



然後再建立如下對應的DNAT rule,將連接到XG介面的FTP服務轉到內部的172.18.10.1 FTP server。



基本上透過以上兩條規則的協力合作,就可以讓FTP Server透過XG上WAN IP提供對外服務了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:33 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
來源端NAT規則 (SNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在內到外的來源端SNAT規則上,
SFOS已有一條內建的SNAT規則 - Default SNAT IPv4。
透過這條規則會把內部去到外部public IP的所有traffic,統一進行SFOS介面IP的MASQ轉址後,再連到外部,
讓內部到外部public IP能夠以SFOS的介面IP去訪問,而不是以內部虛擬IP去裸奔。
這條規則預設適用於所有內部IP,包含LAN、DMZ、Wifi、VPN等zone對外的流量。



不過若是自V17版升級到V18版,這條預設SNAT規則是被停用的,
可以在清整所有內對外的規則後,再啟用這條規則來取代。

我們若想設定不同來源IP所對應的SNAT對外規則時,可以參考這條預設規則來設定,
只要把來源端對應到想要套用的IP區段即可。

另外,若介面上有多個alias IP可用,對外想用不同的alias IP去連結,
則可以在MAQS IP這邊帶上你要的alias IP去取代。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:32 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2345

shunze 離線
《分享》V18版化簡為繁?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos SFOS自V18版後做了重大變革,將原本單一firewall rule可以完成的工作,
硬是分拆成三種規則來協力達成。
對既有V17版的user來說造成了不小的衝擊,
也顛覆了Sophos以往的口號 Security made Simple



不過V17.5版眼看著就要在2021/11/30全面停止技術支援,
化簡為繁,升級到V18,似乎也是一個不得不面對的問題了...


SFOS在V18開始,把原本含在firewall rule中的NAT規則,分拆成一個獨立的頁面,
如果原本的firewall rule並不需要做來源或目的地的NAT,
例如LAN to DMZ或是VPN to LAN這樣的規則,
那麼並不需要去增加NAT規則來對應原本的firewall rule,由這條firewall rule即可獨立達成。

但反過來說,如果原本的firewall rule需要做NAT,
不論是內到外,將內部私有虛擬IP轉成XG介面IP再連外的來源端NAT (SNAT),
或是提供外部IP連到內部私有虛擬IP伺服器的目的地端NAT (DNAT),
那就需要NAT這個新頁面的規則。

以下我們就來看看SNAT與DNAT該如何設定。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:31 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2045 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR