Shunze 學園 - 搜尋結果

Shunze 學園 > 搜尋 > 搜尋結果

哈囉，還沒有註冊或者登入。請你[註冊|登入]

作者

文章

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》WebUI TLS 1.0/1.1風險問題

關於Captive Portal 8090 Port TLS1.0, 1.1的風險問題，
除了可以在Device Access中直接關閉服務外，
在韌體版本17.5.12後，可以透過console下達以下指令關閉TLS1.0。

set http_proxy captive_portal_tlsv1_0 on/off

在18.5以後，再多了TLS1.1版本關閉指令。

set http_proxy captive_portal_tlsv1_1 on/off

查看設定指令如下。

show http_proxy

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2025-02-06, 09:30

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》HA to HA

客戶買了多台Sophos防火牆，並將其中四台以兩組A/S的HA來串接，以期在跨樓層的條件下，還能維持HA的高可用性。

那麼問題來了，每台設備的兩條串接線究竟是要用LACP還是LAG的方式組成群組呢？

其實不論是LACP或LAG，它都是以網卡的硬體狀況來判斷網卡meber是好還是壞。
以LACP來說，它是以Active/Active的方式來運作，

所以若以LACP來串接4台防火牆，那麼對任何一台Primary node而言，
它對接的兩張網卡都有回應，都是好的，
它在傳送時就會透過兩張網卡去做load sharing，以提高網路速度。

然而對端的實際情形卻是只有一台在正常運作(A/S HA狀態下)，
導致了只有一半的封包會通，另一半失敗，造成防火牆運作上的異常！

那麼改成Active/Standby的LAG不就好了？
LAG member中只有一條會運作，這樣不就沒有問題～

理論上是如此，
但客戶在MA或韌體升時後，卻又發現不會通的狀況！
需要在LAG的進階設定中，指定“主要介面”到目前連接的介面才會通，
不過一旦HA failovder後，又不通了！這是怎麼回事？

順子猜測是MA/韌體升級後，兩端防火牆的線路是同一時間接上，
而LAG純粹就網卡介面的up/down來判斷哪一張是active，哪一張又是standby，
而在這個當下，判斷先後的時間差，造成了LAG的active網卡無法對在正確的對端網卡上，完成通路。

【解決方式如下】

先將兩端的Auxiliary node都下線，
讓Primary node以Standalone的角色運作．

在這條件下，由於Auxiliary node不在，兩端勢必將正確的網卡標記為active完成連線。
網路通了後，把一台Auxiliary node上線，恢復HA組態。
最後再把另一台Auxiliary node上線，恢復兩端的HA組態。
由於LAG member網卡已正確的標記了active/standby的角色，
在其中一組HA發生failover後，Primary node會變成failed角色短暫離線，而Auxiliary node則接手變成Primary node，
這時因為failed角色離線，網卡失聯，而接手的Primary node網卡正常運作，
所以會觸發對端LAG member中的active/standby角色對調，而與新的Primary node建立連線；反之亦然～

所以問題的核心並不是指定“主要介面”這件事，
而是LAG member能否在第一時間與對端建立正確的關係。
若關係建立錯誤，請依照上述方式，讓LAG的member能成功的跟對端建立正確的角色關係。
指定“主要介面”這件事，就保留預設值即可，不需要動它。

經客戶反覆多次切換防火牆測試，驗證LAG member的關係，
兩端網路都能順利的在斷一個ping的情況下順利連線，異常狀況排除～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2025-01-20, 17:38

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》Ftp-bounce attack訊息

客戶在內部架設好Passive FTP server後，也把ftpbounce-prevention參數由control改為data了，
FTP server看起來可以正常使用，
但在log中，卻總是伴隨著 Ftp-bounce attack 的錯誤訊息，
這正常嗎？

在開case給原廠後，原廠也不明白為何會如此？
在轉交開發團隊分析後，發現passive FTP的連線發起行為就跟FTP bounce attack一樣，
所以SFOS會顯示出一個對應的攻擊log。
但這是否為攻擊事件，還是要由管理者來做判斷...

若要停止此警告訊息，Sophos提供兩種方式。
1. 於advanced shell中輸入以下指令，但指令會在重開機後失效，需於每次重開機後再輸入一次。

echo Y > /sys/module/nf_conntrack_ftp/parameters/loose

2. 於advanced shell中輸入以下指令，先掛載磁區，將指令寫在開機磁碟，讓程式於重開機後主動再執行一次指令。
但此方法會在升級韌體後失效，升級韌體後需再執行一次。

mount -no remount, rw /
echo "echo Y > /sys/module/nf_conntrack_ftp/parameters/loose" >> /etc/sysinit_original

透過以上的處理方式，總算可以讓這個訊息不再出現了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2025-01-08, 17:29

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》API應用範例之2-大量輸入FQDN

有客戶在問，情資單位給的惡意FQDN清單，Sophos有沒有辦法批次匯入？

順子仔細去查了一下，SFOS都已經到21版了，但Sophos還是沒有這個功能...
不過有好心的使用者提供了自製的API script，可以透過API大量輸入IP與FQDN物件，連結如下。
Automated load of object through API from CSV!

這個script順子看了一下，發現它只要稍微修改一下，就可以完美符合客戶需求！

要修改哪些內容呢？
首先，FQDN跟IP物件不一樣，IP有IP list可用，可以以一個IP list物件收容多個IP，並套用在防火牆規則之中簡單管理；
但FQDN沒有FQDN list物件，每一個FQDN都是一個獨立物件，若要將大量的FQDN列入拒絕清單，對管理者而言將是一筆不小的負擔。

不過雖然FQDN沒有FQDN list可用，但我們可以透過FQDN group來達成類似需求，
把這些FQDN加到FQDN group之中，就可以在防火牆規則之中以FQDN group來進行管理。

再來就是匯入的FQDN雖然可以加上前綴字串來識別與管理，
但script中的內容是寫死的，順子把它變成一個變數，讓使用者依需求去調整。

基於以上的需求，順子修改了script內容，
讓它它可以依需求先建立FQDN Group，讓隨後的FQDN物件在建立時直接歸屬在這個FQDN Group之中，
之後要套用在防火牆規則時就簡單多了，直接套用這個Group物件即可。

# Variables you need to adjust for your environment
# -------------------------------------------------
$_FIREWALL_IP = "192.168.1.210"
$_FIREWALL_PORT = "4444"
$_API_USER = "admin"
$_API_PASSWORD = 'correcthorsebatterystaple'
$_WORK_FOLDER = "D:\test\"
$_DATA_FILE_NAME = "ips.txt"
$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"
$_ADD_FQDN_GROUP = "FQDN_G_Test"

# Main functions
# --------------

# 順子增加FQDN群組判斷
if ($_ADD_FQDN_GROUP -ne "")
    {
    $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Get><FQDNHostGroup><Filter><key name='Name' criteria='='>$($_ADD_FQDN_GROUP)</key></Filter></FQDNHostGroup></Get></Request>"
    $_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
    [xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content

    #FQDN GROUP物件不存在時,建立FQDN物件
if ($_API_QUERY_RESULT_PARSED.Response.FQDNHostGroup.Status -eq "No. of records Zero.")
{
        $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHostGroup><Name>$($_ADD_FQDN_GROUP)</Name></FQDNHostGroup></Set></Request>"

        $_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
        [xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content
        Write-Host "[INFO] Create FQDN Group object $($_ADD_FQDN_GROUP)"
        }

    $_ADD_FQDN_GROUP = "<FQDNHostGroupList><FQDNHostGroup>" + $_ADD_FQDN_GROUP + "</FQDNHostGroup></FQDNHostGroupList>"
    }


    # For FQDN item
    # --------------
    if ($_OPERATION -eq "FQDN_Mode")
     {
        $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHost><Name>$($_CODIFIED_ITEM_NAME)</Name><FQDN>$($_SECOND_FIELD)</FQDN>$($_ADD_FQDN_GROUP)</FQDNHost></Set></Request>"
        $_TYPE_OBJECT = "FQDN"
     }

然後批次建立的FQDN物件的前綴字串也可以自訂，只要修改對應的參數即可。

$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"

# Prefix for name of object
# -------------------------

if ($_ADD_PREFIXES_TO_OBJECTS -eq "Yes")
{
if ($_OPERATION -eq "FQDN_Mode")
{
$_ITEM_NAME = $_FQDN_Prefix + $_ITEM_NAME
} else {
if ($_THIRD_FIELD -eq "255.255.255.255")
{
$_ITEM_NAME = "HOST_" + $_ITEM_NAME
} else {
$_ITEM_NAME = "NET_" + $_ITEM_NAME
}
}
}

完整的script就在附加檔案之中(解壓密碼Sophos)，有需要的朋友請自行取用～

shunze 上傳的檔案

Sophos_API.zip (5 KB, 已經被下載 75 次)

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-12-27, 17:35

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》舊XG退位，轉生為AP Controller

Sophos XG系列在2025年3月底Eol，
後續接手的產品為Sophos XGS系列防火牆。
對應的21版SFOS韌體也完全拋開XG包袱，全心對應XGS的硬體規格，以撥揮更好的效能～

然而舊的legacy無線AP自18.5版韌體後，已不被SFOS支援，
客戶在購入新的XGS防火牆後，舊的AP就只能認命，隨之拋棄嗎？
Legacy AP series support on SFOS version...S series models

其實只要把舊的XG保留在18.5以前的版本，轉生為AP controller角色，就可以為舊AP續命了。

首先，由於XG的角色已被XGS取代，所以我們要給XG一個新的內網IP，讓它不會跟XGS發生衝突。
然後停用XGS的wireless protection，讓舊AP不會被XGS攔到，防礙它跟XG報到。
接著在DHCP的設定中，增加一個234選項(此選項對應AP報到用的Magic IP)，
讓AP透過DHCP拿到IP後，知道它要去舊XG報到，而不是預設的Magic IP 1.2.3.4，
這樣就完成XG轉生為AP Controller的設定了～

架構示意圖如下。

在此架構下，派發IP的XGS需在console中增加DHCP 234選項參數，指令如下。

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
system dhcp dhcp-options binding add dhcpname [DHCP組態名稱] optionname dhcp_magic_ip(234) value 10.1.1.253

這樣無線AP在拿到IP後，就知道要去跟XG的10.1.1.253報到，而不是預設的1.2.3.4。

另外由於XG中的無線虛擬網段192.168.99.0/24與192.168.101.0/24外頭的XGS並不認識，
所以要在XGS中增加靜態路由，讓XGS知道這兩個網段要往XG的10.1.1.253送。

192.168.99.0/24 -> 10.1.1.253
192.168.101.0/24 -> 10.1.1.253

XG本身也要增加一筆預設路由，將所有流量往XGS送，
這樣XG本身與虛擬出來的無線網段才能連外。

0.0.0.0/0 -> 10.1.1.254

而橋接到內網的無線網段，其default gateway參照內網的設定，會是XGS而不是XG，
這樣可以避免掉路由不對稱的問題。

最後，這樣的架構會出現一個潛在的問題，
若由XG虛擬出來的無線網段有連到內網的需求時，
會在XGS上出現只有單向路由通過的狀況，這種不安全的路由會被XGS封鎖。

解決的方法也很簡單，因為只有單向路由會經過XGS，所以也只能在XGS的console中增加bypass設定，
略過這兩段的封包檢查。

set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.99.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.101.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.99.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.101.0 dest_netmask 255.255.255.0

由於XGS略過了這些網段的封包檢查，若要進行條件等相關過濾設定，
就只能在XG上做，而不是XGS了...

透過以上的設定，就能把換下來的XG當成AP controller，讓不被支援的legacy AP能繼續使用了～
不過XG將在2025年3月底EoL，之後將沒有保固，
一旦壞了，連帶上面的legacy AP都無法續命使用，要轉生為AP Controller前也請留意這個風險喔～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-12-25, 13:58

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》Chrome沒聲音？

最近很迷Youtube上的鋼琴、小提琴的快閃影片～

昨天用Chrome看Youtube影片時，突然接到Line的電話。
接電話時，Youtube影片的聲音自動變小，以避免干擾語音通話；
但電話講完後，無論怎麼調音量，都沒有辦法恢復Chrome的聲音...

試著去調整各種音量，無法恢復聲音。
試過重開機，沒有改善。
音量測試與撥放本機音檔、影片，聲音都正常，很明顯的是Chrome被消音了...

找了好久，最後終於找到Win10要在哪裏針對應用程式調整音量了！

以上分享給大家。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-12-05, 23:30

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》外拋第三方log sever

Sophos XG/S要將log外拋到第三方log server其實很簡單，
只要在 CONFIGURE / System services / Log settings 中將第三方log server的IP, port等資訊加入。
(一般log server使用的port是514。)

然後再選擇需要外拋log類別即可。

不過在透過以上設定後，或許你會發現為什麼有時候這樣的設定可以外拋成功，
但在另外一台設定卻又不行？？

其實上述的設定還有一個重點，
那就是Sophos防火牆的log事件在Severity level中是屬於information(資訊)層級，
Severity必需是information(資訊)或更高的debug(偵錯)，Firewall的log才會外拋到第三方logserver.

若選擇了其它層級，你會發現你要的防火牆log完全不會拋出去。

另外，在外拋的偵錯上，我們可以在advanced shell中，輸入以下指令(通訊port為514)來進行觀察。

tcpdump -nie any port 514

以我的LAB為例，我的第三方Logserver IP是10.1.1.136。
在tcpdump的觀察中，就會看到XG本身IP 127.0.0.1對10.1.1.136的514封包。
若將severity改為notification，則看不到對10.1.1.136的任何封包。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-11-28, 11:42

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》20版後，XG拒絕紅綠版SSLVPN的使用

在Sophos大力推動自家開發的Sophos Connect軟體後，
終於在20版，XG正式拒絕傳統紅綠版SSLVPN軟體的使用，
強迫使用者改用Sophos Connect或是第三方的OpenVPN軟體。
(順子測試過OpenVPN還是可以成功連線到20版的XG。)

https://community.sophos.com/sophos-xg-f...s-now-available

除了強迫使用Sophos Connect外，Sophos還把VPN功能自User Portal中分離，
多了一個VPN portal讓使用者下載軟體與個人組態。

也多一個Port號給VPN Portal來使用。

管理者在升版時，請留意這項改變喔～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-11-22, 14:32

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》SSD firmware update

Sophos XGS appliance的某一批硬體因採用了某一型號的SSD，造成了系統上的不穩定。
除了開case請原廠處理外，從20版的韌體開始，也會主動在WebUI中提醒管理者要更新韌體。

更新韌體的方式很簡單，但要在console下進行。
進入console後輸入 system ssd show，
就可以由回應訊息來判斷這台設備需不需要進行SSD的韌體更新。

若需要更新，請輸入 system ssd update 來進行更新。

更新韌體的時間約為5分鐘左右，
順子更新過兩台設備，小型號的XGS136在更新完會關機，需要手動開機；
而大型號的XGS2300則會自動重開機，完成更新。
由於有不同的結果，因此更新時人最好還是在現場，
若過了五分鐘還沒有任何回應，請在現場確認一下設備是否被關機，而不是重開機。

更新後再去檢查SSD，會發現韌體已是最新版，不需要進行其它動作了。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-08-07, 17:47

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

SD-WAN Connection Groups

Sophos Central中的SD-WAN Connection Groups其實就是把多台防火牆以route base的site to site VPN串起來，
然後透過policy route去導通本地與遠端的分享網段。

以下順子以兩台防火牆為例，一步步操作，看看此功能如何透過精靈把route base site to site VPN建起來。
首先，我們建立一個Connection group。

然後把目標的兩台防火牆加入此group。

第二步，就是把site to site VPN中要分享給對端的資源加入。

兩台防火牆要分享的網段資源都加入後，按下一步。

到第三步Configure Networks，會提示還沒有本地資源。

展開後，逐一把兩台防火牆的本地資源加入。

本地資源包本地的網段與用來撥接的WAN Port。

兩台資源都加入後，按下完成。

完成後需要給它一點時間，將組態部署到兩台防火牆中。

部署完成，兩組的狀態會顯示綠燈。

到地端防火牆去看，會發現此精靈已成功建立一條tunnel base的Site to site VPN。

並在對應的WAN port上，建立一個VPN tunnel的介面IP。

同時以此IP建立了一個gateway。

並以設定的本地網毁與對端分享的網段透過policy route建立了指向規則。

透過這樣的示範，我們可以清楚看到SD-WAN Connection Groups確實就是把多台防火牆，
以route base的site to site VPN串起來的一個精靈～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-08-05, 18:07

跳到:	顯示從 1 到 10 在所有的 2584 個結果中. 12345...»