Sophos Firewall rules per IPTables auf der Console deaktivieren

Hier eine kurze Beschreibung wie man sämtliche Firewall Rules auf einer Sophos per Console aushebeln kann ohne sie permanent zu löschen.

Wann ist das nützlich?

  • Wenn eine Fehlerhafte ACL Konfiguriert wurde, die Zugriff sperrt.
  • Wenn man sich vom Webadmin ausgeschlossen hat, weil man nicht unter Allowed Networks gelistet ist.

Symptome:

Nach einer Anpassung der Konfiguration ignoriert die Firewall jede Verbindung auf IP Ebene. Ports gehen ca alle 30 Sekunden kurz down. Einziges Lebenszeichen aus Netzwerk Sicht sind antworten auf ARP Requests.

 

Ursache (Hypothese):

Der Config Prozess, der die Einstellungen von der Datenbank auf die Firewall überträgt, stürzt während der Verarbeitung ab. Da die iptables Firewall standardmässig auf DROP steht werden die Ports für SSH, Webinterface und auch ICMP nicht mehr freigegeben. Die Firewall schottet sich sozusagen selbst ab.

 

Lösungen:

Wenn kein Backup vorhanden ist und der SSH Zugriff aktiviert worden ist kann man sich über einen Monitor & Tastatur direkt an der Firewall mit dem user root und dem admin Passwort einloggen. Mit dem Befehl

„iptables –I INPUT 1 –j ACCEPT“

fügt man eine neue Regel an erster Stelle für eingehende Pakete ein welche pauschal alles erlaubt.

Da die Firewall nach kurzer Zeit bemerkt das der Konfigurations-Prozess nicht mehr läuft startet sie den Prozess immer wieder neu und löscht damit auch die manuell eingefügten Regeln. Daher muss der iptables Befehl mit dem watch Befehl kombiniert werden, dieser führt den Prozess alles 2 Sekunden aus:

watch iptables –I INPUT 1 –j ACCEPT

der Prozess kann mit CTRL+C wieder beendet werden. Der Zugriff auf das Webinterface funktioniert jetzt wieder eingeschränkt, da die Verbindung regelmässig abbricht (wegen Config Neustart) können keine längeren Anfragen ausgeführt werden, zudem funktioniert auch das Einspielen eines Backups nicht. Es ist daher sinnvoll nur die Änderung vor dem Crash rückgängig zu machen und dann zu testen ob die Firewall wieder läuft.

Sophos SMS Gateway Funktion

Die SMS Funktion wurde bei Sophos auf Basis eines Feature Request in der Version 9.2.x irgendwann man eingeführt, verschwand dann allerdings wieder aus dem GUI. Zweischenzeitlich war recht unklar, wann und wie die Funktion eingeführt wird.

Der Feature Request ist hier zu finden:

Wireless: SMS Passcode for HotSpot

Folgender Kommentar eines Sophos Admins verschafft Klarheit was es mit der halbwegs- Einführung aufsich hat:

Aktuell ist unser Produkt-Management noch dran eine Entscheidung zu treffen welche SMS-Provider zum finalen Release des Features unterstützen. Daher wurde das Feature (welches bereits fertig entwickelt wurde und funktioniert) vorerst im Webadmin versteckt. Während der Entwicklungsphase haben die Entwickler sich 5 internationale Provider rausgesucht um die Funktion des Features zu testen. Diese 5 Provider können aktuell gewählt und genutzt werden. Der Kunde hat also jetzt die Möglichkeit das Feature via Kommandozeile zu aktivieren und dann schlussendlich zu nutzen, jedoch mit dem Hinweis dass es sein KÖNNTE (aber nicht muss), dass ein oder mehrere dieser aktuellen 5 Provider nicht mehr auf der finalen SMS-Provider Liste steht/stehen und er dann ggfs. den Anbieter wechseln MÜSSTE. Wie gesagt wurde das aktuell noch nicht entschieden. Einer der 5 Provider ist „SMSTrade“ und damit ein deutscher SMS Provider. Mit diesem haben wir vom Presales bereits schon erfolgreich getestet und SMS-Authentifizierungen am Hotspot durchgeführt. Hierbei kann man via Prepaid auch für z.B. 20 Euro sich ein SMS-Paket von rund 800 SMS kaufen und somit ohne Vertragslaufzeit immer wieder nachkaufen.
 
Zum aktivieren via Kommandozeile müssen folgender Befehl abgesetzt werden:
 
touch /var/sec/chroot-httpd/tmp/enable_sms
/etc/init.d/httpd restart
 
Hierbei wird lediglich der Webadmin neugestartet, es wirkt sich also auf den normalen Betrieb nicht aus. Danach einfach den Webadmin neu laden und im Bereich MANAGEMENT findet man SMS GATEWAY um dort das GATEWAY zu konfgurieren, während man im HOTSPOT Bereich dann auf SMS AUTHENTIFIZIERUNG umstellen kann.

 

Ich hab die Funktion gleich mal getestet und mir einen Gratis Account auf SMSTrade erstellt, dieser behinaltet grob 20 Gratis SMS, je nach Destination.

(mehr …)

Sophos UTM 9.211003-304009 Up2date failed

Hatte heute ein Problem auf einer Sophos UTM220 beim Update von 9.211003 nach 9.304009 via Up2date Funktion.

Der Fehler:

2015:03:11-12:28:11 lxfw01 auisys[25578]: >=========================================================================
2015:03:11-12:28:11 lxfw01 auisys[25578]: id="371J" severity="error" sys="system" sub="up2date" name="Fatal: Version conflict: required version: 9.302002 <=> current version: 9.211003" status="failed" action="install" package="sys"
2015:03:11-12:28:11 lxfw01 auisys[25578]: 
2015:03:11-12:28:11 lxfw01 auisys[25578]:  1. main::alf:75() auisys.pl
2015:03:11-12:28:11 lxfw01 auisys[25578]:  2. main::perform_work:1068() auisys.pl
2015:03:11-12:28:11 lxfw01 auisys[25578]:  3. main::auisys_prepare_and_work:560() auisys.pl
2015:03:11-12:28:11 lxfw01 auisys[25578]:  4. main::top-level:37() auisys.pl
2015:03:11-12:43:02 lxfw01 audld[27848]: Starting Up2Date Package Downloader
2015:03:11-12:43:02 lxfw01 audld[27848]: patch up2date possible
2015:03:11-12:43:10 lxfw01 audld[27848]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
2015:03:11-12:43:10 lxfw01 audld[27848]: id="3707" severity="info" sys="system" sub="up2date" name="Successfully synchronized fileset" status="success" action="download" package="avira3"
2015:03:11-12:43:11 lxfw01 auisys[27892]: Starting Up2Date Package Installer
2015:03:11-12:43:11 lxfw01 auisys[27892]: Searching for available up2date packages for type 'sys'
2015:03:11-12:43:11 lxfw01 auisys[27892]: Installing up2date package file '/var/up2date//sys/u2d-sys-9.302002-303002.tgz.gpg'
2015:03:11-12:43:11 lxfw01 auisys[27892]: Verifying up2date package signature
2015:03:11-12:43:12 lxfw01 auisys[27892]: Unpacking installation instructions
2015:03:11-12:43:12 lxfw01 auisys[27892]: >=========================================================================
2015:03:11-12:43:12 lxfw01 auisys[27892]: id="371J" severity="error" sys="system" sub="up2date" name="Fatal: Version conflict: required version: 9.302002 <=> current version: 9.211003" status="failed" action="install" package="sys"
2015:03:11-12:43:12 lxfw01 auisys[27892]: 

  (mehr …)

Public SSL Zertifikat auf Sophos UTM importieren

Um ein public SSL Zertifikat auf einer Sophos UTM zur zu verwenden, sind folgende vier Punkte notwendig.

  • Privates Key File generieren
  • CSR Request generieren
  • SSL Zertifikat kaufen und generieren lassen
  • SSL Zertifikat in kompatibles Format umwandeln (.p12 / .pfx)
  • SSL Zertifikat in Sophos importieren und mit Webadmin verlinken.

Da sämtliche Anleitungen von Sophos die ich gefunden habe, entweder Fehler enthalten oder unverständlich geschrieben sind, habe ich nachfolgen die Prozedur mit ein paar Screenshots und Copy / Paste Notizen dokumentiert.

Privates Key File generieren

Dieser Schritt ist relativ einfach, man braucht dazu lediglich OpenSSL, welches auf jedem gängigen MAC OSX oder Linux bereits enthalten sein sollte. Sollte man Windows benutzen, muss man sich entweder den Umweg über cygwin machen oder man connectet via SSH auf die UTM und generiert es dort.

Ich habe mich für die SSH auf UTM Variante entschieden, dazu reicht der normale Login mit dem „loginuser“ ohne sudo root.

cat /etc/ssl/openssl.cnf | grep -v SUBJECT_ALT_NAME > ./openssl.config

 

Damit erstellt man das Konfig file für den späteren CSR. (mehr …)

Firewall 1×1: Full NAT ( Source and Destination)

Full NAT (Source and Destination)

 

Wann kommt FullNAT zum Einsatz?

FullNAT kommt dann zum Einsatz, wenn beim passieren eines IP Paket durch ein NAT Device (hier im Beispiel eine Firewall) die Source und Destination im IP Header so verändert werden soll, dass das Paket als Absender und Empfänger jeweils andere IP Adressen vorweist.

Anwendungsbeispiele von FullNAT?

Mehre Remote Standorte mit den gleichen IP Subnetzen sollen per VPN angebunden werden.

doppelte IP ranges

(mehr …)

Sophos SG230 Temperatur auslesen.

Ich hatte kürzlich das Problem, dass bei einem Kunden eine Sophos SG230 im A/S HA sich aufgehängt hat. Bei der vor Ort Analyse stellte ich fest, dass die SG 230 sich überhitzt hat, da das Rack nicht entsprechend belüftet war. Glücklicherweise hat die SG230 keinen Schaden genommen und kam nach einem Kaltstart wieder hoch.

Durch diesen Vorfall bemerkte ich, dass man sich im Sophos GUI gar nirgends die Temperatur anzeigen lassen kann.

 

Temperatur auf Sophos SG230 Master anzeigen:

Leider wird hier nur die Temperatur der Master Box angezeigt, damit man die Temperatur der Slave SG230 anschauen kann, muss man über den internen Tunnel auf diese via SSH connecten… 
(mehr …)

Sophos iView Reporting Appliance

Vor zwei Wochen einem unserer Kunden die brandneue Sophos iView Reporting Appliance verkauft. Die Artikelnummer gabs beim Disti bereits zu bestellen, die Ernüchterung kam jedoch als er mir erklärte, dass die beim Hersteller noch gar nicht Lieferbar

Nun ist sie Lieferbar und steht auch zum Download  auf dem Sophos FTP Server als ISO bereit.

Edit 06.01.2014: Sophos bietet keine FTP Downloads mehr an, stattdessen verweist Sophos auf ihr Web Download Portal:

iso and exe files are no longer available from ftp.astaro.com
please use https://www.sophos.com/en-us/support/utm-downloads.aspx instead

Sophos iView from Sophos on Vimeo.

Ich hab die neue Box natürlich gleich mal in unserer Testumgebung angetestet. Nachfolgend ein kleiner Bilderverlauf der Installation. An und für Sich keine grossartige Aktion, nach 5 Minuten war die Appliance Ready und spuckte erste Reports aus.

 

VMWare Setup:

Snip20141017_14

Klick Klick next Installation

Snip20141017_15

 

Snip20141017_16

Snip20141017_17

Snip20141017_18

Snip20141017_19

Snip20141017_20

Snip20141017_21

Snip20141017_22

Snip20141017_23

Snip20141017_24

Snip20141017_25

Snip20141017_26

 

 

 

 

 

 

Snip20141017_27

 

 

 

 

 

 

 

 

 

 

 

 

 

 

It’s Alive!

Snip20141017_34

Snip20141017_28

Scheintbar gibt es wie beim UTM Manager zwei Ebenen, die Admin Ebene und die Applikations Ebene.

Admin Link: https://IP_ADRESSE:4444

iView Applikation: https://IP_ADRESSE:8000

 

 

Snip20141017_29

Snip20141017_30

 

Damit die Sophos iView Appliance Daten empfängt, muss sie als Syslog Server auf den UTM hinterlegt werden!

 Default Syslog Port TCP/514

 

Snip20141017_33

 

Dashboard nach erstem Login:

Snip20141017_31

Damit die Box die empfangene Daten der UTM darstellt, muss diese zuerst aktiviert werden:

 

Snip20141017_32

 

 

 

Nach einer Weile sieht das dann so aus:Snip20141017_35

Cisco AP Discovery mit Option 43

Damit Cisco Accesspoints beim Erststart ihren Kontroller finden gibt es mehre Möglichkeiten. Mein persönlicher Favorit ist die Discovery Methode über DNS. Sollte man jedoch nicht die Möglichkeit haben einen DNS Eintrag erstellen zu können oder ist gar kein DNS Server im Netz vorhanden, erweist sich die Discovery Methode via DHCP Option 43 als praktisch.

Option 43 Szenario:

 

 

Kurz nochmal die verschiedenen Methoden im Überblick:

(mehr …)