Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》開啟HTTPS掃描後對軟體的干擾 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》開啟HTTPS掃描後對軟體的干擾引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

開啟HTTPS掃描後對軟體的干擾收集記錄如下。

測試Sophos XG版本16.X。


請注意
Exception中的支援的4個類別是採AND邏輯。
如果要放行的軟體需同時允許URL與IP的例外放行,那麼就要分別建立兩個Exception來對應處理;
若建在同一個Exception會因AND邏輯而造成兩個類別都無法發揮作用喔!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-02-15, 15:43 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》干擾Line的傳檔引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶端反映,在防火牆規則中啟用HTTPS掃描後,Line在傳圖時會受到干擾而傳不出去!



由於確認是開啟HTTP/HTTPS掃描後才發生,所以建議從Web堛慟xceptions定義一個Line的exception來略過掃描。

但麻煩的是不確定Line所使用的完整FQDN或IP區段,也沒有官方資料提供Line的相關設定,
所以只能透過觀察Live Connections的連線記錄,來記錄Line所使用到的IP。

順子目前測得Line使用了以下IP。

23.53.74.182 (stickershop.line-scdn.net)
23.48.143.4
104.115.172.145 (stickershop.line-scdn.net)
119.235.235.4
162.209.122.23 (analytics.pokki.com, data.appexnw.com)
203.69.141.XX (vdn-obs.line-apps.com)
203.104.131.24 (nelo2-col.nhncorp.jp)
203.104.142.52 (lan.line.me)
203.104.150.XX (gfp.line.naver.jp)
203.104.153.XX (gfp.line.naver.jp, obs-tw.line-apps.com, gd2.line.naver.jp)
210.61.248.91


把能解析出來的FQDN與IP分離後,簡化為以下兩個要放行的類別。
^[A-Za-z0-9.-]*\.line-apps\.com/
^[A-Za-z0-9.-]*\.line\.naver\.jp/
analytics.pokki.com
data.appexnw.com
lan.line.me
nelo2-col.nhncorp.jp
stickershop.line-scdn.net

119.235.235.4
210.61.248.91
23.48.143.4


但XG的Exception設定中,同一個Exception中的4個類別是採用AND邏輯,
所以FQDN與IP的例外放行需分別以兩個Exception個別處理,
若把FQDN與IP放在同一條Exception條例下,會因AND邏輯而無法達到預期除效果。



在增加了這兩個Line的exception後,Line總算可以順利的傳檔(圖)了∼


但若是要封鎖Line的話,
在建立了這個exception條例後,Line還擋的住嗎?

這個部分順子測試過,
由於Line是應用程式,不是web,
所以在Web Categories中並沒有建立Line的相關類別,
相反的在Application List則已經定義了Line的應用程式類別。

因此要擋Line的話,請在Application Filter中進行。



然後套用到使用者對應的規則,這樣就可以擋掉Line了∼


*****2018/04/16更新*****
前一陣子不少客戶反映,放行了以上exception後,Line的傳檔還是會偶發性開不起來...
即便順子把一整個203.104.150.0/24與203.104.153.0/24網段加入exception中,狀況還是沒有改善!

有沒有這麼誇張?
都在excpetion中放行兩個Line的Class C了,還是不行?



後來順子發現,這似乎是XG的bug!?
要對整個網段放行,必需在防火牆規則中,做bypass放行才有效果!
Exception中的IP放行無法對整個網段發生效果...



在加入置頂放行的規則後,Line總算能順利打開/檢視傳檔了∼

由 shunze 在 2018-04-16, 09:50 最後修改.



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-03-13, 11:50 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》干擾Skype VoIP的語音通話引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在開啟HTTPS scan後,Skype VoIP語音通話無法成功撥出及接聽,
經嘗試過多種方法後,最後確認以下的方法有效(由台灣Sophos原廠技術人員提供)。

  1. 建立以下FQDN的host。
    tr001.skype-edf.akadns.net
    1.dr.skype-cr.akadns.net
    2.dr.skype-cr.akadns.net
    3.dr.skype-cr.akadns.net
    4.dr.skype-cr.akadns.net
    5.dr.skype-cr.akadns.net
    6.dr.skype-cr.akadns.net


  2. 針對以上FQDN host設定一條置頂的Network bypass rule,
    放行內對外,到以上FQDN host的封包。

    當然這條規則就不要再加HTTP/HTTPS scan、Web/Application Filter了∼

  3. 想要更有效率的管理這條bypass規則,順子建議建一個FQDN Host Group來收容這些FQDN Host,
    當所需開放的FQDN Host有異動時,只要修改這個Group的成員即可∼


參考資料
How to free skype?


*****2017/09/01更新*****
同事反映,原本可以放行的Skype不知何故,又被擋了?
順子測試後,發現確實有些問題!

在Web Exception中再加開一條如下pattern的exception後,Skype又可以順利交談與傳檔了。
^[A-Za-z0-9.-]*\.skype\.com/


*****2017/11/09更新*****
測試V17對Skype的穩定性時,發現Skype又不通了...

透過Wireshark撈取封包後發現,需再增加messenger.live.com與login.live.com才會通。
^[A-Za-z0-9.-]*\.live\.com/


*****2018/03/04更新*****
社群上有人反映Skype又不通了!
需要再放行額外的FQDN才會通...
整理如下。
^([A-Za-z0-9.-]*\.)?skype\.com/
^([A-Za-z0-9.-]*\.)?office\.com/
^([A-Za-z0-9.-]*\.)?lync\.com/
^([A-Za-z0-9.-]*\.)?office365\.com/
^([A-Za-z0-9.-]*\.)?live\.com/
^([A-Za-z0-9.-]*\.)?yammer\.com/
^([A-Za-z0-9.-]*\.)?trouter\.io/


參考資料:Skype does not connect anymore from this morning

由 shunze 在 2018-03-14, 14:20 最後修改.



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-03-13, 12:10 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》干擾Webex的正常使用引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

網友linpohsiung反映,在開啟HTTPS scan後Cisco Webex線上會議變的無法使用!

經其多次測試後,發現在Web Exception中放行以下相關domain的pattern後,
Webex總算可以正常使用了∼

^[A-Za-z0-9.-]*\.ciscowebex\.com
^[A-Za-z0-9.-]*\.webex\.com
^[A-Za-z0-9.-]*\.webexconnect\.com


以上分享給需要的朋友們∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-03-13, 12:25 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》干擾Win10上的郵件工具連線Office365引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Win10自帶的郵件工具可以收發多種郵件服務,包含Office365。
但這郵件工具在收發Office365時,
會被干擾,無法成功同步Office365上的郵件...



解決方式為對 outlook.office.comoutlook.office365.com 這兩個FQDN做例外放行。
設定好例外排除後,Win10上的郵件工具總算可以連線同步Office365上的郵件了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-06-12, 18:13 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》金融網站例外放行引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

台灣Sophops原廠提供的訊息,金融網頁大多會有憑證的問題,
可以直接Exceptions中加入 金融類別 Financial services 的例外排除,
以放行金融網頁。



若例外排除沒有效果,可以在XG的URL Category Lookup查詢該金融domain的類別是否正確?
是否被歸類在錯誤的類別中?



若分類錯誤的話,可向Sophos原廠提出更正需求,網址如下。

https://secure2.sophos.com/en-us/support/contact-support.aspx

進入網頁後,點Submit a Sample,然後在Type of sample中選Web Address (URL),
再將相關資料填寫進出即可。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-06-14, 13:23 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》干擾桌面分享遙控軟體Zoom引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

說來好笑,Zoom這個桌面分享遙控軟體是在跟Sophos原廠debug時會用上的,
但Sophos XG的HTTPS scan也干擾到了這個軟體的運行,
實在是讓人無言...


↑被干擾的zoom,始終是連線中,無法順利連上...

解決的方式很簡單,就設定一個 zoom.us 的exception即可∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-06-16, 16:20 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2296

shunze 離線
《分享》干擾Win10的更新引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

網友Alex反映,Win10 1709在XG的環境下無法完成系統更新!?
下載更新到了44%∼45%就會停滯不前...

想當然爾這又是Sophos XG所造成的干擾了!
依據 COmmunity 的建議,請Alex對以下FQDN做例外放行。

^([A-Za-z0-9.-]*\.)?microsoft\.com/
^([A-Za-z0-9.-]*\.)?windows\.com/
^([A-Za-z0-9.-]*\.)?windowsupdate\.com/
^([A-Za-z0-9.-]*\.)?delivery.mp.microsoft\.com/
officecdn.microsoft.com.edgesuite.net


經Alex測試,放行以上pattern後,Win10總算能順利更新了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2018-03-20, 17:48 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR