Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》所有的SNAT規則都無法觸發顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

這幾天在客戶端上架新機時,遇到了一個之前沒遇過的怪現象,
新機上架後,發現所有的SNAT規則都無法觸發,包含預設的Default SNAT IPv4規則。





不過內對外是通的,
除了SNAT規則無法觸發,導致內對外無法帶上WAN Port上的alias IP去連外,
內對外的網路基本上是正常的。

而外對內的DNAT服務也是正常的,
包含WAN port上的alias IP的DNAT服務,也都可以正常導到內部伺服器。

這個問題太難,馬上開case給原廠。

原廠判斷也很快,原來是授權中的Base Firewall授權出了問題,變成無效,
導致這個狀況發生。



在原廠後端修復這個授權問題後,SNAT規則無法觸發的問題就順利排除了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-03-20, 18:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》SPX outbound email encryption顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

SFOS在V16版後,導入了Sophos UTM中的MTA mode郵件防護功能,
跟原本的Legacy mode相較之下最大的差別在於MTA mode中,XG/S本身就是個MTA agent,
郵件會先停留在XG/S上,經過XG/S的spam機制掃描後,再往下一跳送;
而Legacy mode中,XG/S做為proxy角色,傳輸時居中檢查郵件,郵件本身並不會停留在XG/S上。

同樣都是做為SPAM檢查機制,同樣都有SFOS獨有的SPX outbound郵件加密功能,
那兩者在outbound郵件加密上有何不同?

首先來看看Legacy mode下的郵件加密,
由於是outbound的郵件加密,因此它會在LAN to WAN郵件外送的規則中,藉由SMTP/S的掃描選項,



來觸發SMTP spam scan規則中的outbound郵件加密功能。



在Legacy mode下SPAM過濾機制較靈活,
您可以根據情境與優先順序,例如主旨、寄/收件人、特定header字串,來決定哪些郵件要用A方式加密,
哪些又透過B方式來加密。
(SPX提供了自訂密碼、一次性密碼、建立並儲存收件者密碼與收件者自訂密碼,等四種加密方式。)

在Legacy mode下,SMTP traffic必需經過XG/S才能觸發SMTP/S scan,這是設定上的重點。
另外,Legacy mode下無法由XG/S夾帶DKIM私鑰寄出,供對端mail server驗證,
在現今安全意識提升的要求下,這是個硬傷!
而在log查詢上,Legacy mode只能透過log viewer中的email類別來查看記錄。
但你知道的,log viewer中的記錄只能保留一段時間,久一點的記錄就查不到了...


而來自Sophos另一款防火牆UTM技術的MTA mode,在架構上有些不同。
XG/S本身就是個MTA agent,可以主動收/發郵件,
因此郵件到了XG/S後,可以駐留在XG/S上,再由XG/S判斷郵件要往哪個mail server送,
或是根據DNS中MX record的解析結果來判定要往哪送,
不需要觸發LAN to WAN規則,
不論來自LAN或WAN,只要允許relay的主機將郵件送到XG/S後,都可以透過XG/S把郵件送出。



相較於Legacy mode,MTA mode支援DKIM機制!
在郵件透過SPX機制加密後,一樣可以把DKIM私鑰夾帶在這封已加密的郵件寄出,供對端mail server驗證,

在log查詢上,
UI中不僅有mail log專屬頁面可查詢歷史log,
還有mail spool頁面可以查詢佇列中等待處理的郵件記錄,
MTA在log查詢上比Legacy mode友善多了∼



但MTA mode也有一個很大的缺點,
那就是一個domain只能有一條SMTP Policy可以對應。
換言之它相當死板,無法依據情境,設定不同的policy來對應。
一旦這個domain設定了以A方式的郵件加密,那所有來自這個domain的郵件都會以A方式來做加密.
即便某些郵件不想加密也不行,
即便某些郵件想用其它方式來加密也做不到。
完全沒有任何彈性...

而且inbound/outbond郵件過濾沒有獨立的規則,在操作設定上很容易混淆,
對管理者在制定規則時很不友善!
MTA mode吊詭的policy設定


但不論是Legacy或是MTA mode,在outbound郵件加密這件事上還隱藏著一個很大的問題,
那就是email protection只是SFOS的一個附加功能
要做到真正的郵件防護,Sophos原廠會建議您移到Sophos Central來進行。
當使用上遇到問題,希望原廠改善或是強化功能,原廠是不會理你...

舉例來說,在四種郵件加密機制中的Generate one-time password for every email,
會對每一封信以隨機產生的密碼來加密郵件,
然後將密碼寄給寄件者,寄件者再透過其它方式,通知收件者以對應的密碼來開啟加密信件。

看起來沒問題對不對?
但若這封信有多個收件者,多個CC,人數達100人時,
你猜猜SPX會怎麼加密?

答案是對這100封信以100個不同的密碼來加密信件。
然後寄件者要在這100封密碼通知信中,逐一找出哪個收件者是對應到哪個密碼!

這個密碼mapping的差事,幾封信還好,
但當數量一多,例如100封信時,你就知道問題大了...

改成同一個密碼不就解決了!?
而且也沒有安全性問題∼

偏偏它沒有這個選項,而Sophos也不會回應這樣的合理需求...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-02-29, 15:33 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》SSLVPN組態範本顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

SFOS的SSLVPN組態範本位置在如下路徑。

/content/sslvpn/client-config-template.ovpn

若有參數調整需求,可以修改此範本,其變動套用到修改後再下載的個人組態。

舉例來說,iOS使用的OpenVPN APP,在2023年10月升版到3.4後不再支援 route-delay 4 此參數,
此升版造成原iOS用戶無法撥接成功。

除了手動修改已匯入的SSLVPN個人組態,去掉此參數外,
也可以直接修改XG/S上的SSLVPN組態範本,註解掉此不支援的參數,
再通知用戶重新下載組態檔,重新匯入,以恢復SSLVPN的正常使用。

[<OPENVPN_WIN_OPTIONS>]
client
dev tun
proto [<OPENVPN_PROTOCOL>]
verify-x509-name "[<OPENVPN_SERVER_DN>]"
route remote_host 255.255.255.255 net_gateway
resolv-retry infinite
nobind
persist-key
persist-tun
ca [<OPENVPN_CA_FILE>]
cert [<OPENVPN_CLIENT_CERT>]
key [<OPENVPN_CLIENT_KEY>]
auth-user-pass
cipher [<OPENVPN_CIPHER>]
auth [<OPENVPN_AUTH>]
comp-lzo [<OPENVPN_COMPRESSION>]
;can_save [<OPENVPN_SEVECREDENTIAL>]
;otp [<OPENVPN_TWOFATOKEN>]
;run_logon_script [<OPENVPN_ADLOGON>]
;auto_connect [<OPENVPN_AUTOCONNECT>]
;route-delay 4
verb 3
reneg-sec 0

https://community.sophos.com/sophos-xg-f...-breaks-ssl-vpn


另外,在有多個WAN的情況下,
原本無法指定SSLVPN撥入時,優先透過哪個WAN IP來進行撥接。
在知道範本位置後,我們也可以修改此範本,
將WAN加到組態範本中,例如WAN IP 123.1.2.3。

[<OPENVPN_WIN_OPTIONS>]
client
dev tun
proto [<OPENVPN_PROTOCOL>]
verify-x509-name "[<OPENVPN_SERVER_DN>]"
route remote_host 255.255.255.255 net_gateway
resolv-retry infinite
nobind
persist-key
persist-tun
ca [<OPENVPN_CA_FILE>]
cert [<OPENVPN_CLIENT_CERT>]
key [<OPENVPN_CLIENT_KEY>]
auth-user-pass
cipher [<OPENVPN_CIPHER>]
auth [<OPENVPN_AUTH>]
comp-lzo [<OPENVPN_COMPRESSION>]
;can_save [<OPENVPN_SEVECREDENTIAL>]
;otp [<OPENVPN_TWOFATOKEN>]
;run_logon_script [<OPENVPN_ADLOGON>]
;auto_connect [<OPENVPN_AUTOCONNECT>]
route-delay 4
verb 3
reneg-sec 0
remote 123.1.2.3 8443

完成後,使用者重新下載組態並匯入後,第一個撥接的IP就是 123.1.2.3 了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-02-29, 11:41 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
Surface無法啟用開機PIN碼功能?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶反映Surface筆電在安裝Sophos Central Encryption軟體時,
到最後設定PIN碼的環節時總是會失敗!
即便移除再安裝也是同樣的情形。
這問題要怎麼解決?




跟Sophos原廠反映後,發現這是Surface筆電獨有的問題。
由於Surface筆電不見得會有實體鍵盤,在沒有鍵盤的情況下,啟用開機PIN碼保護,會造成卡關!
因此在預設狀況下,Surface筆電是不啟用此功能的。

若要強制啟用此功能,需要進去該電腦的“本機群組原則編輯器”中,啟用Operating System drives選項中的以下功能.
Enable use of BitLocker authentication requiring preboot keyboard input on slates



經客戶驗證,啟用此項目後,Surface已可成功啟用開機PIN碼保護了。


參考資料
Encryption does not start on tablet (slate) devices



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-01-22, 11:13 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》DKIM設定顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

DKIM (DomainKeys Identified Mail)是透過一組公/私鑰來判斷郵件是否可被信任的一種加解密技術。

公鑰放置在發信方domain DNS的txt記錄中,
當收信方收到信時,會透過發信方DNS中的公開金鑰來進行解密。
若是公私鑰無法成功對應上,或是發信方沒依收件端要求設定DKIM ,
那麼就會因此被判定為無法信任而被視為假冒郵件或垃圾郵件。

所以在DKIM的架設上,第一步就是要產生這成對的公/私鑰,
然後配置在DNS與Mail server中。

DKIM的公/私鑰除了自行安裝DKIM套件來產生外,
也可以透過免費的DKIM creater來產生。

EASYDMARC 提供的服務為例,
輸入自己的domain與一個自訂的Selector後,就可以產生出一組公/私鑰來使用。



事實上除了公/私鑰以外,它連DNS所需的txt record內容都一併產生了。

v=DKIM1;t=s;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCijEpLx9RSOweN0Lf+91tyA1g6rQNCai/chGjEDN+Nng9N8R/42bPK6jjkGXY37mf67WaaENUKpc6EcZzOTSJQr/RYMocGczd0ju8fXwXH6m9rpAbUs+eg1CRcqSvdsc9SxAyOHJ25ByOJ4V9KKa6hOlABi4Fi8R2HyNv6ec+FswIDAQAB


我們只要把這組內含公鑰的字串貼在DNS的txt內容中,
建立一個名稱為 Selector._domainkey 的txt record,
DNS上的設定就完成了~
(其中_domainkey為固定的識別字串,與Selector間以 . 區隔)


↑以順子的範例來說,順子自訂的Selector名稱是myKey,那這筆DNS record的名稱就應該是myKey._domainkey。


DNS上的txt record完成後,接著進行發信端的設定,
以Sophos XG/S的MTA mode為例,
在 保護 > 電子郵件 > 一般設定 的 DKIM簽發 中新增一筆DKIM記錄,然後貼上剛才產生出來的私鑰。




↑Domain與Selector請務必對應正確。



完成後,該domain透過XG/S對外寄出時,就會夾帶DKIM資訊在header中,供收信方驗證。


如何驗證DKIM設定是否正確呢?
除了透過線上DKIM檢查工具來查看DNS上的設定是否正確以外,
直接發信給Gmail信箱,然後透過表頭中的DKIM檢查結果來確認是最準確的!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-01-04, 10:45 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》找不到console線怎麼辦?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如果手邊就是找不到console線,
或是console線接了沒反應(pin腳位不對),
那還可以怎麼處理?

其實Sophos XG/S appliance本身就是一台電腦,
有VGA port,或是HDMI port可接螢幕,
再接上USB鍵盤就可以直接透過螢幕、鍵盤來進行操作,
就跟接console線是一樣的∼


PS.補充說明
協助業務對規格時,突然發現從XGS系列開始,不論大小型號,HDMI完全退出Sophos XGS appliance了!
XGS系列後,客戶找不到console線時,就不能請客戶直接接螢幕來查狀況了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-12-22, 13:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》Sophos FW A/A HA行為特性顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos FW支援Active/Standby與Active/Active兩種HA架構。
在A/S模式下,只要一份授權,然後加買Enhanced Support Plus提供對端的保固;
而在A/A模式下,則需要兩份相同授權。

以下記錄在A/A模式下,客戶提問的問題。

  • 解除HA後,Auxiliary Node的IP配置是否會衝突?
    在解除HA後,Auxiliary Node上只會保留管理Port (LAN Port)原本設定的對端IP與HA對接Port IP,
    其它Port的IP配置都會被清掉,
    所以不會跟Primary Node上的IP衝突。

  • Primary/Auxiliary 角色上的差異
    雖然A/A HA同時間兩台都在運作(所以各需要一份授權),
    但在角色上還是有一些差異,會由Primary Node統一接受封包,然後分散到兩台設備上。
    但有些服務在A/A HA並不支援,例如3/4G Wifi模組,DHCP,PPPoE,SAC等。
    另外,部分服務也不支援分流,僅會由Primary Node獨自處理,例如ICMP,UDP,多撥封包,廣撥封包,VPN等。
    詳情請參考以下連線.
    https://docs.sophos.com/nsg/sophos-firew...tion/index.html

  • 啟用/停用HA會不會造成斷線?
    會!
    啟用HA時,會由Primary Node產生一個Virtual MAC給HA對外使用,所以會短暫的斷線。
    同理,停用HA時,MAC會恢復到原本的實體MAC,也會造成短暫的斷線。
    以實際的架設經驗來看,大多在1,2個ping的時間就恢復正常了。

  • 監控port有什麼作用?
    在HA組態中,有一個監控port可供設置。
    設定在此的Port會被做為HA切換與否的一個根據,
    例如Port1很重要,不能斷,那麼就可以把Port1加到監控port中,
    當Primay Node上的Port1故障(例如網路線被拔掉,對端設備停電)時,就會觸發切換,由Auxiliary Node來獨立運作(Standalone);
    原本的Primary Node會變成Fault狀態,直到問題排除才會恢復HA。


  • 當Primary Node上的port異常時
    當Primary Node上的Port有異常時,若此Port在監控Port中,那會觸發HA切換,
    Primary Node變成Fault,由Auxiliary Node變成Standalone獨立運作。
    若此Port不在監控Port中,那會由於此Port故障,所以無法從此Port聽流量,
    即便Auxiliary Node的該Port是正常的,也無法提供服務。


  • 當Auxiliary Node上的port異常時
    當Auxiliary Node上的有異常時,若此Port在監控Port中,那會因為監控機制的關係,
    Auxiliary Node會變成Fault,由Primary Node變成Standalone獨立運作。
    若此Port不在監控Port中,會由Primary Node接受封包,如同正常狀況。
    但因為Auxiliary Node的此Port故障,所以這Port的流量不會分享到Auxiliary Node上。

  • 當Primary與Auxiliary Node上各有一port異常,且都是監控Port,是否會造成HA failover迴圈?
    不會的。
    因為Primary上有一Port故障,所以會由Auxiliary Node變成Standalone獨立接手服務,
    不會因自己身上的另一個監控Port故障而切換,因為此時角色是Standalone而不是Primary Node。
    直到原本Primay Node上的Port故障排除,重新加入HA後,這時才會因為Primary Node上的監控Port故障,而造成切換。

  • Log查詢
    在A/A HA架構下,log會同步抄寫至兩台。
    所以在任何一台都可以查詢到完整log。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-12-18, 17:41 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《通知》2023/10開始XG註冊功能移轉到Central顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG的授權管理,原廠在2023年10月開始做了重大變革,
XG的註冊與授權管理由原來的MySophos Portal強制移轉到Sophos Central上。
IMPORTANT: Sophos Firewall Licensing Portal Changes

原有的MySophos Portal帳號,會被Sophos強制移轉到Central平台上,
如果該帳號已存在Central上,那會繼續透過此帳號來使用;
如果該帳號不存在,Sophos會強制建立此帳號,並發信通知客戶完成帳號的建立。

本討論串的重點-授權移轉,同樣也可以在Central平台中進行,
移轉方於Transfer功能中找到要轉出的設備序號後,跟著提示輸入接收方帳號,按下確定即可轉出設備;
而接收方則在登入Central後會收到提示,同意後即完成設備的移轉,
這部分跟MySophos Portal的操作基本上是相同的。

另外,Home版license不會顯示在Central中,
Home版註冊與授權更新會自動進行,無需透過Sophos Central來進行。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-11-20, 11:42 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》PDF文件無法開啟tar.gz夾檔顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

今天客戶反映一個PDF加密文件的問題。
在郵件透過PDF加密後,文件中的tar.gz夾檔無法開啟,也無法另存新檔!
這是產品的bug嗎?



經查後發垷這是一個Windows OS本身的限制,不讓有威脅性的檔案類型能夠直接在PDF文件中保存。
要讓PDF夾檔中的gz文件能夠開啟與另存新檔,
必需透過修改註冊機碼來逹成。

機碼路徑如下。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC(依user安裝的PDF版本而異)\FeatureLockDown\cDefaultLaunchAttachmentPerms




然後修改機碼 tBuiltInPermList 中的值,將此字串中的 gz:3 調整為 gz:1 後儲存.



調整過後,重啟pdf reader,會發現原本不能另存新檔的 tar.gz 檔已經能夠另存新檔了∼






參考資料
How to open a .zip / .tar.* file attache...der/Acrobat XI?



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-09-18, 17:09 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》本機安全性原則中的登入事件無法啟用顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在協助客戶啟用STAS機制時,常常遇到客戶AD主機的”登入事件”反白無法啟用。



由於無法啟用登入事件的稽核記錄,
AD主機就無法擷取ID 4768的事件來做為user name與IP的mapping記錄,
進而將此配對資訊傳給XG,完成身份驗證...

為何AD主機的“本機安全性原則”會反白無法啟用呢?
最合理的判斷就是受到AD GPO的影響,而無法自行進行變更。

而AD主機做為Domain Controller,它所對應的GPO也跟一般user/computer不一樣,
是“Default Domain Controllers Policy”,而不是“Default Domain Policy”。



在瞭解這個重點後,我們可以去檢查一下這個GPO是否有啟用”登入事件”的稽核,
有的話,就把“成功/失敗”的事件勾選,然後update GPO的派送。



或著是直接停用GPO的控管,恢復AD主機“本機安全性原則”的控管能力。



透過以上方式的處理後,登入事件就可以成功被稽核了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-08-30, 18:14 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2070 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR