Sophos SMS Gateway Funktion

Die SMS Funktion wurde bei Sophos auf Basis eines Feature Request in der Version 9.2.x irgendwann man eingeführt, verschwand dann allerdings wieder aus dem GUI. Zweischenzeitlich war recht unklar, wann und wie die Funktion eingeführt wird.

Der Feature Request ist hier zu finden:

Wireless: SMS Passcode for HotSpot

Folgender Kommentar eines Sophos Admins verschafft Klarheit was es mit der halbwegs- Einführung aufsich hat:

Aktuell ist unser Produkt-Management noch dran eine Entscheidung zu treffen welche SMS-Provider zum finalen Release des Features unterstützen. Daher wurde das Feature (welches bereits fertig entwickelt wurde und funktioniert) vorerst im Webadmin versteckt. Während der Entwicklungsphase haben die Entwickler sich 5 internationale Provider rausgesucht um die Funktion des Features zu testen. Diese 5 Provider können aktuell gewählt und genutzt werden. Der Kunde hat also jetzt die Möglichkeit das Feature via Kommandozeile zu aktivieren und dann schlussendlich zu nutzen, jedoch mit dem Hinweis dass es sein KÖNNTE (aber nicht muss), dass ein oder mehrere dieser aktuellen 5 Provider nicht mehr auf der finalen SMS-Provider Liste steht/stehen und er dann ggfs. den Anbieter wechseln MÜSSTE. Wie gesagt wurde das aktuell noch nicht entschieden. Einer der 5 Provider ist „SMSTrade“ und damit ein deutscher SMS Provider. Mit diesem haben wir vom Presales bereits schon erfolgreich getestet und SMS-Authentifizierungen am Hotspot durchgeführt. Hierbei kann man via Prepaid auch für z.B. 20 Euro sich ein SMS-Paket von rund 800 SMS kaufen und somit ohne Vertragslaufzeit immer wieder nachkaufen.
 
Zum aktivieren via Kommandozeile müssen folgender Befehl abgesetzt werden:
 
touch /var/sec/chroot-httpd/tmp/enable_sms
/etc/init.d/httpd restart
 
Hierbei wird lediglich der Webadmin neugestartet, es wirkt sich also auf den normalen Betrieb nicht aus. Danach einfach den Webadmin neu laden und im Bereich MANAGEMENT findet man SMS GATEWAY um dort das GATEWAY zu konfgurieren, während man im HOTSPOT Bereich dann auf SMS AUTHENTIFIZIERUNG umstellen kann.

 

Ich hab die Funktion gleich mal getestet und mir einen Gratis Account auf SMSTrade erstellt, dieser behinaltet grob 20 Gratis SMS, je nach Destination.

(mehr …)

SNMPv3 Konfig Beispiele

Für SNMPv3 brauchst man drei Elemente “Gruppe”, “User” und eine “View”. Die View ist quasi nochmals ein Filter, welche MIBs verfügbar gemacht werden. Oft reicht es dort  “iso” rein zu machen, was soviel heisst wie “alle MIB”, man kann ja via ACL einschränken, wer überhaupt verbinden darf. Nachfolgend ein paar Beispiele

Beispiel mit Verweis auf eine ACL

snmp-server group SNMPV3_GROUP v3 auth access SNMP_ACL
snmp-server user NEDI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server user CACTI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY 
snmp-server user PRIME_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY
snmp-server user ISE_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Die ACL ziehst du auf der Gruppe oder dem User an. Ums nicht unnötig zu verkomplizieren, würd ichs jeweils auf der Gruppe anziehen und nicht auf dem User. Theoretisch kann man sogar auf User und Group Level machen.

Beispiel ohne ACL mit nur einem User

snmp-server group NEDI_SNMPV3_GROUP v3 auth 
snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Sollte das Management kein SHA/AES256 unterstützen, kannst du die Verschlüsselung auch runterschrauben:

 

snmp-server group NEDI_SNMPV3_GROUP v3 auth 

snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 128 SNMPV3_AES_KEY 

snmp-server view SNMPV3_VIEW iso included 

Der Key wäre in den Beispielen jeweils: SNMPv3_SHA_KEY

Under zur Verschlüsselung wird verwendet: SNMPV3_AES_KEY 

Beispiel anhand WCS:

Sophos UTM 9.211003-304009 Up2date failed

Hatte heute ein Problem auf einer Sophos UTM220 beim Update von 9.211003 nach 9.304009 via Up2date Funktion.

Der Fehler:

2015:03:11-12:28:11 lxfw01 auisys[25578]: >=========================================================================
2015:03:11-12:28:11 lxfw01 auisys[25578]: id="371J" severity="error" sys="system" sub="up2date" name="Fatal: Version conflict: required version: 9.302002 <=> current version: 9.211003" status="failed" action="install" package="sys"
2015:03:11-12:28:11 lxfw01 auisys[25578]: 
2015:03:11-12:28:11 lxfw01 auisys[25578]:  1. main::alf:75() auisys.pl
2015:03:11-12:28:11 lxfw01 auisys[25578]:  2. main::perform_work:1068() auisys.pl
2015:03:11-12:28:11 lxfw01 auisys[25578]:  3. main::auisys_prepare_and_work:560() auisys.pl
2015:03:11-12:28:11 lxfw01 auisys[25578]:  4. main::top-level:37() auisys.pl
2015:03:11-12:43:02 lxfw01 audld[27848]: Starting Up2Date Package Downloader
2015:03:11-12:43:02 lxfw01 audld[27848]: patch up2date possible
2015:03:11-12:43:10 lxfw01 audld[27848]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
2015:03:11-12:43:10 lxfw01 audld[27848]: id="3707" severity="info" sys="system" sub="up2date" name="Successfully synchronized fileset" status="success" action="download" package="avira3"
2015:03:11-12:43:11 lxfw01 auisys[27892]: Starting Up2Date Package Installer
2015:03:11-12:43:11 lxfw01 auisys[27892]: Searching for available up2date packages for type 'sys'
2015:03:11-12:43:11 lxfw01 auisys[27892]: Installing up2date package file '/var/up2date//sys/u2d-sys-9.302002-303002.tgz.gpg'
2015:03:11-12:43:11 lxfw01 auisys[27892]: Verifying up2date package signature
2015:03:11-12:43:12 lxfw01 auisys[27892]: Unpacking installation instructions
2015:03:11-12:43:12 lxfw01 auisys[27892]: >=========================================================================
2015:03:11-12:43:12 lxfw01 auisys[27892]: id="371J" severity="error" sys="system" sub="up2date" name="Fatal: Version conflict: required version: 9.302002 <=> current version: 9.211003" status="failed" action="install" package="sys"
2015:03:11-12:43:12 lxfw01 auisys[27892]: 

  (mehr …)

Cisco ASA eigenes Objekt „INTERNET“

Jeder der schon mit einer Cisco ASA zu tun hatte, der hat sich viellicht auf schon darüber genervt, dass es kein Objekt gibt, welches das Internet, also alle Netze, ausser private Adressbereiche. 

Solche Objekte gibt eis bei anderen Hersteller wie beispielsweise Sophos schon längst. Deren Definition geht sogar noch ein Schritt weiter indem sie das Obekt noch auf die WAN Schnittstelle(n) binden.

 

(mehr …)

Public SSL Zertifikat auf Sophos UTM importieren

Um ein public SSL Zertifikat auf einer Sophos UTM zur zu verwenden, sind folgende vier Punkte notwendig.

  • Privates Key File generieren
  • CSR Request generieren
  • SSL Zertifikat kaufen und generieren lassen
  • SSL Zertifikat in kompatibles Format umwandeln (.p12 / .pfx)
  • SSL Zertifikat in Sophos importieren und mit Webadmin verlinken.

Da sämtliche Anleitungen von Sophos die ich gefunden habe, entweder Fehler enthalten oder unverständlich geschrieben sind, habe ich nachfolgen die Prozedur mit ein paar Screenshots und Copy / Paste Notizen dokumentiert.

Privates Key File generieren

Dieser Schritt ist relativ einfach, man braucht dazu lediglich OpenSSL, welches auf jedem gängigen MAC OSX oder Linux bereits enthalten sein sollte. Sollte man Windows benutzen, muss man sich entweder den Umweg über cygwin machen oder man connectet via SSH auf die UTM und generiert es dort.

Ich habe mich für die SSH auf UTM Variante entschieden, dazu reicht der normale Login mit dem „loginuser“ ohne sudo root.

cat /etc/ssl/openssl.cnf | grep -v SUBJECT_ALT_NAME > ./openssl.config

 

Damit erstellt man das Konfig file für den späteren CSR. (mehr …)

Firewall 1×1: Full NAT ( Source and Destination)

Full NAT (Source and Destination)

 

Wann kommt FullNAT zum Einsatz?

FullNAT kommt dann zum Einsatz, wenn beim passieren eines IP Paket durch ein NAT Device (hier im Beispiel eine Firewall) die Source und Destination im IP Header so verändert werden soll, dass das Paket als Absender und Empfänger jeweils andere IP Adressen vorweist.

Anwendungsbeispiele von FullNAT?

Mehre Remote Standorte mit den gleichen IP Subnetzen sollen per VPN angebunden werden.

doppelte IP ranges

(mehr …)

Sophos UTM 220 A/S HA – Up2date failed on slave

Gestern bei einem Kunden ein Update von zwei Sophos UTM 220 gemacht, welche im A/S HA Betrieb laufen. Normalerweise funktioniert so ein Update im HA problemlos, zuerst wird der slave hochgepatched, reloaded und sobald dieser wieder „active“ ist, macht das System einen Failover und upgraded den Master.

Nun, nachdem ich den Up2Date Prozess über den Webadmin angestossen habe, fand ich folgendes Szenario vor:

Jegliche Versuche den Prozess nochmals über den Webadmin anzustossen schlugen fehl. Über das GUI konnte man das Problem nicht mehr lösen.

Let’s troubleshoot

(mehr …)

Cisco VPN Client läuft nicht mehr nach Upgrade auf Windows 8.1

 Das Problem mit Windows 8.1 scheint bekannt zu sein. Von Seiten Cisco gibt es aktuell kein Update, da das Problem nicht direkt mit dem Cisco Client zu tun hat sondern mit dem DNE [1] (Determinist Network Enhancer) Treiber.

 Offizielles Microsoft Forum

http://social.technet.microsoft.com/Forums/windows/en-US/ad556ff3-8d33-453e-8b16-71e36e23e2c6/cisco-vpn-client-and-windows-81-preview-determinist-network-enhancer-dilema?forum=w8itpronetworking

  (mehr …)