Tärkeä huomautus: |
-------------------------------------------------------------------------------------------------------------------
Zyxel auttaa sinua suojaamaan verkkoasi ja ylläpitämään palomuuriasi!
Lue tästä artikkelista kaikki TechTalk Insights:
[BEST PRACTICE] Palomuurin ylläpito, konfigurointisuojaus ja CVE-hyökkäysten lieventäminen.
-------------------------------------------------------------------------------------------------------------------
Yleiset ongelmat päivitys- ja palautusvaiheissa
Useimmin kysyttyjä kysymyksiä sisältävä FAQ-osio
Palomuurin optimointi laitteiden suojaamiseksi.
Meille on tällä hetkellä ilmoitettu useista VPN-yhteyteen liittyvistä ongelmista ja verkkokatkoksista. Vastauksena tähän ongelmaan olemme nopeuttaneet 23.5. alkaen saatavilla olevan ja kaikkiin malleihin sovellettavan kiireellisen hotfix-firmware-ohjelmiston kehittämistä, jonka tarkoituksena on puuttua tilanteeseen ja korjata se nopeasti. Zyxel on julkaissut 24.5. lähtien virallisia korjauksia palomuureihin, joissa on useita puskurin ylivuotohaavoittuvuuksia. Käyttäjiä kehotetaan asentamaan ne optimaalisen suojan varmistamiseksi.
Tutustu CVE:hen maailmanlaajuisella verkkosivustollamme.
CVE-2023-33009
Joidenkin palomuuriversioiden ilmoitustoiminnon puskurin ylivuoto-haavoittuvuus voi antaa auktorisoimattoman hyökkääjän aiheuttaa palvelunesto-olosuhteita (DoS) ja jopa koodin etätoteutuksen kyseisessä laitteessa.
CVE-2023-33010
Joissakin palomuuriversioissa ID-tunnisteiden käsittelytoiminnon puskurin ylivuoto-haavoittuvuus voi mahdollistaa sen, että tunnistamaton hyökkääjä voi aiheuttaa DoS-olosuhteita ja jopa etäkoodin suorittamisen kyseisessä laitteessa.
Kuittaus
Kiitokset seuraaville tietoturvakonsulttiyrityksille:
- Laysille ja atdogille TRAPA Securitystä, jonka jälkeen
- STAR Labs SG
Tarvitsetko täydellisen paketin kaikille malleille?
Lataa tästä kaikki laitteet yhdellä kertaa! (3GB)
Voit myös käyttää Cloud Firmware -päivitystä ja asentaa 5.36 Patch 2 tai 4.73 Patch 2 hotfix-version sijaan! USG-laitteiden päivittäminen pilvipalvelun kautta
[Hotfix ja Patch 2 ovat samanlaisia. Jos käytät jompaakumpaa niistä, sinun ei tarvitse päivittää virallista versiota. Voit päivittää seuraavan laiteohjelmistoversion 5.37 heinäkuussa 2023 (normaali julkaisuvirta).
Malli | Firmware Hotfix |
Legacy Devices (4.73 Patch 1 -pohjainen + sisältää kaikki viimeisimmät viikoittaiset korjaukset) 4.73 Patch 2 on samanlainen ja sitä voidaan myös käyttää (Online Firmware Upgrade tai MyZyxel.com Download). |
|
USG40 | Hotfixin lataaminen |
USG40W | Lataa hotfix |
USG60 | Lataa Hotfix |
USG60W | Lataa Hotfix |
USG110 | Lataa Hotfix |
USG210 | Lataa Hotfix |
USG310 | Lataa Hotfix |
USG1100 | Lataa Hotfix |
USG1900 | Lataa Hotfix |
USG2200 | Lataa Hotfix |
ZyWALL110 | Lataa Hotfix |
ZyWALL310 | Lataa Hotfix |
ZyWALL1100 | Lataa Hotfix |
Paikalliset laitteet (5.36 Patch 1 perustuu + sisältää kaikki viimeisimmät viikoittaiset korjaukset) 5.36 Patch 2 on samanlainen ja sitä voidaan myös käyttää (Online Firmware Upgrade tai MyZyxel.com Download). |
|
USG FLEX 50 / USG20-VPN | Hotfixin lataaminen |
USG FLEX 50W / USG20W-VPN | Hotfixin lataaminen |
USG FLEX 100 | Lataa Hotfix |
USG FLEX 100W | Lataa Hotfix |
USG FLEX 200 | Lataa Hotfix |
USG FLEX 500 | Lataa Hotfix |
USG FLEX 700 | Lataa Hotfix |
VPN50 | Lataa Hotfix |
VPN100 | Lataa Hotfix |
VPN300 | Lataa Hotfix |
VPN1000 | Lataa Hotfix |
ATP100 | Lataa Hotfix |
ATP100W | Lataa Hotfix |
ATP200 | Lataa Hotfix |
ATP500 | Lataa Hotfix |
ATP700 | Lataa Hotfix |
ATP800 | Lataa Hotfix |
EOL Legacy-laitteet (3.30) eivät vaikuta tähän. |
Käynnissä olevat ongelmat ja ratkaisutavat
Firmware 4.73 Patch 0 tai uudempi ja 5.32 Patch 0 tai uudempi:
Laitteen pitäisi pystyä päivittämään suoraan 4.73 Patch 2:een tai 5.36 Patch 2:een. Muita toimenpiteitä ei tarvita. (On-Premise & Nebula Cloud)
!! Firmware 4.72 Patch 0 tai aikaisempi ja 5.32 Patch 0 tai aikaisempi: (On-Premise) !!
[Pitkään vanhentuneet palomuurit eivät välttämättä pysty päivittämään nykyistä suojausta].
Oire:
Laite lataa laiteohjelmiston, mutta se ei käynnisty uudelleen.
Laite on jumissa 100 %:n näytöllä latauksen aikana.
Laite ei voi päivittää 4.73 Patch 2:een tai 5.36 Patch 2:een pilvipalvelun tai manuaalisen latauksen avulla.
1) Ratkaisu (paikan päällä):
1a) Varmuuskopioi startup-config.conf-tiedosto RUNNING-osiosta.
Siirry kohtaan Maintenance (Ylläpito) -> File Manager (Tiedostonhallinta) -> Configuration File (Konfigurointitiedosto) -> Configuration (Konfigurointi)
Valitse "startup-config.conf" ja paina "Lataa".
1b) Käynnistä uudelleen valmiustilaosioon [CONFIG LOST] .
Config voi olla system-default.conf tässä tai muita vanhempia config-tiedostoja! WAN / Remote voi kadota!
[Tämä mahdollistaa päivitykset "PREVIOUS RUNNING" -osioon]
Laiteohjelmisto on may Base (4.29) ja selainongelma, käytä mieluummin Chromea, yritä ohittaa Wizard ja lataa Patch 2 -laiteohjelmisto manuaalisesti.
Tämä korvaa käynnissä olevan konfiguraation, jos sinulla ei ole varmuuskopiota, kaikki alkuperäinen konfiguraatio poistetaan.
Stand-by-osion konfiguraatio ladataan nyt, ja saatat menettää pääsyn palomuuriin uudelleenkäynnistyksen jälkeen. Jos sinulla ei ole järjestelmänvalvojan salasanaa, palomuuri on NOLLAUTETTAVA pitämällä RESET-painiketta painettuna 15 sekunnin ajan ja käyttämällä varmuuskopioitu konfiguraatio nollauksen jälkeen.
Odota, että palomuuri käynnistyy valmiustilaosioon.
1c) Sovelletaan konfiguraation varmuuskopiota käynnissä olevaan osioon
Kirjaudu palomuuriin uudelleen. Voit käyttää tietokoneen cmd-ohjelmaa (ipconfig) tai ladata Advanced IP scanner -ohjelman palomuurin IP-osoitteen löytämiseksi.
1d) Päivitä Running-osio (#2 alla) Patch 2 -laiteohjelmistoon.
Tai voit päivittää valmiustilaosion (#1 alla), jolloin se kloonaa/kopioi konfigurointitiedoston Running-osionista valmiustilaosioon.
e) Lataa varmuuskopioitu kokoonpano päivitettyyn osioon.
Anna palomuurin käynnistyä uudelleen ja lataa vaiheessa 1 lataamasi varmuuskopioitu kokoonpano.
Anna sen sitten käynnistyä uudelleen ja soveltaa konfiguraatiota.
Nyt voit päivittää myös valmiusosion uusimpaan versioon tulevien ongelmien välttämiseksi.
Jos sinulla on ongelmia, muokkaa varmuuskopion "startup-conf.conf"-määritystiedostoa Notepadissa (tai Notepad++:ssa) poistamalla firmware-rivi
Ennen:
After:
Tallenna konfigurointitiedosto ja lataa se uudelleen.
2) Ratkaisu (etänä):
USG / USG FLEX / ATP / VPN - Miten sallitaan HTTPS Web GUI -käyttöliittymän käyttö WANista?
Jos voit käyttää GUI:ta, lähetä HTTPS - Full Admin User -käyttäjä tukitiimille, niin autamme sinua päivittämään laitteen uusimpaan laiteohjelmistoon. Tarvitsemme HTTPS-yhteyden porttiin, jonka avaat SRC:n WAN-IP:ssä: 93.159.250.200 / SSH:ta ei tarvita. Jos et pääse GUI:hen, kokeile uudelleenkäynnistystä ja estä UDP500 WAN ZyWALLille "deny". Autamme laiteohjelmiston päivittämisessä ja palautamme kauan vanhentuneen laitteesi. Kiitos. Huomaa, että etätyökalut kuten Teamviewer ja Anydesk eivät ole toteutettavissa. Meidän on käynnistettävä laite uudelleen. Voimme tehdä sen klo 9-17 välisenä aikana; jos se ei sovi sinulle, jatka paikan päällä -opastuksella.
.
Mikä muu voi estää pääsyn palomuuriin?
Sinuun saattaa vaikuttaa aiempi CVE-loukkaus, joka aiheuttaa epänormaalia käyttäytymistä laitteessasi. Toistaiseksi hyvät uutiset ovat, että pystymme korjaamaan ne kaikki. Meidän on kuitenkin tunnistettava, mikä aiempi CVE vaikuttaa laitteeseesi.
Tilanne A - Uudelleenkäynnistyksen jälkeen et pysty estämään "UDP500":aa, koska käyttöliittymä on suoraan poissa.
Tässä tapauksessa voit yrittää päästä laitteeseen Teamviewerin avulla (LAN-yhteys) ja tehdä Windows FTP-yhteyden (ei FTP-työkalua) LAN IP:hen. Kopioi "startup-config" "conf"-kansiosta "standby_conf"-kansioon ja "vedä ja pudota" Patch 2 -firmware "firmware 1"-kansioon. Tämä käynnistää palomuurin uudelleen ja päivittää järjestelmän.
Tilanne B - Uudelleenkäynnistyksen jälkeen voit estää UDP500:n, mutta et voi päivittää laiteohjelmistoa.
Noudata seuraavia ohjeita: Tämä ratkaisu
Tilanne C - Laitetta ei voi tavoittaa HTTPS:llä normaalin portin kautta.
Tarkista etälähiverkon kautta, toimiiko laitteesi "HTTP" portin 4337 kautta varmuuskopiona.
Jos näin on, noudata tilannetta A.
Tilanne D - Laite HA ei voi päivittää laiteohjelmistoa.
Saat esimerkiksi seuraavan virheilmoituksen: "DHA2 havaitsee passiivisen vian"
Tässä tapauksessa sinun on otettava Device HA On-Site uudelleen käyttöön. Etäpalautusta ei voi tehdä.
Device HA Pro:n uudelleen käyttöönotto
FAQ-osio
Mitkä ongelmat näkyvät verkossani tai palomuurissani, jos ongelma on jo ilmennyt?
- GUI-käyttöliittymä ei ehkä anna sinun kirjautua sisään Admin-käyttöliittymään (ZySH Daemon varattu)
- VPN:ssä voi olla epävakaita skenaarioita (liikenteen läpivienti tai tunneli rakennetaan usein uudelleen heikommalla käytettävyydellä).
- Laite saattaa käynnistyä uudelleen, jos watchdog palauttaa daemonin liian usein.
- Laitteet osoittavat suurta suorittimen käyttöä (90 % tai enemmän).
- Hyvin vanha laiteohjelmisto: HTTPS-portti ei toimi.
- Hyvin vanha laiteohjelmisto: Laite ei voi päivittää laiteohjelmistoa
Minkä laiteohjelmistoversion tarvitsen ollakseni turvassa?
- Asenna uusin laiteohjelmisto 5.36 Patch 2 tai yllä olevasta taulukosta löytyvä hotfixi.
Pitääkö minun asentaa jokin päivitys ennen 4.73 Patch 2:ta tai 5.36 Patch 2:ta, vai voinko päivittää suoraan?
Ei ole väliä, mikä laiteohjelmistoversio laitteessasi on, voit päivittää suoraan uusimpaan versiomme, ja voit jättää huomiotta kaikki aiempien Release Notes -asiakirjojen polkuohjeet!
Entä jos en voi kirjautua laitteeseen tai vain joskus? [Suojausvaiheet DDOS-hyökkäyksen kellottamiseksi]
- Voit kokeilla käynnistää laitteen ensin uudelleen ja soveltaa sitten laiteohjelmiston
- Poista väliaikainen portti "IKE500" WAN:sta ZyWALL-ryhmään (Object > Address)
- Luo väliaikainen palomuurisääntö "WAN to ZyWALL" Service: IKE500 (UDP) > Estä
Jos olet paikan päällä, voit myös poistaa WAN-uplinkin toistaiseksi ja jatkaa päivitystä paikallisesti. Voit kokeilla tätä myös etänä hankkimalla apua WAN-uplinkin poistamiseen paikan päällä ja suorittamalla päivityksen Teamviewerin kautta, eli "Hotspot älypuhelimesta".
Näiden vaiheiden pitäisi auttaa vakauttamaan laite ja päivittämään laiteohjelmisto suojattuun versioon.
VPN-verkkoni on edelleen epävakaa sen jälkeen, kun olen päivittänyt laitteen. Mitä voin tehdä?
On tärkeää päivittää palvelin- ja asiakassivustot (Site-to-Site VPN:ssä). Vain jos molemmat sivustot päivitetään, suojaus onnistuu.
Pitääkö minun silti päivittää 5.36 Patch 2:een tai 4.73 Patch 2:een, jos otan käyttöön päivityksen?
Ei, versio on samanlainen, joten lisäpäivitystä ei tarvita.
Koskeeko tämä myös Nebula-hallittua laitettani?
Kyllä, Nebulan päivitykset ovat nyt saatavilla, ja palomuuri voidaan päivittää Nebula Control Centerin kautta Nebula CC - Laitteen laiteohjelmiston päivittäminen [Firmware Management].
Haluan asentaa laiteohjelmiston, mutta edistyminen pysyy 100 %:ssa latauksen jälkeen tai laite ei käynnisty uudelleen. Mitä voin tehdä?
Näin voi käydä, jos käytössäsi on vanhempi laiteohjelmistoversio, esimerkiksi 5.30, ja jos aiemmin julkaistut korjaukset vaikuttavat muihin ennaltaehkäisyihin. Ole yhteydessä asiakaspalveluun saadaksesi lisäapua.
Päivitin laitteeni, mutta VPN-liikennettä ei vieläkään ole tai VPN:ää ei ole rakennettu. Mitä voin tehdä?
Varmista, että poistat säännöt "WAN to ZyWALL" estääksesi UDP500-liikenteen.
Onko olemassa toinen tapa päivittää Firmware, jos se ei toimi?
Voit yrittää päivittää Firmwarea FTP:n kautta. USG & Zywall - Firmware-päivitys FTP:n kautta.
VPN-liikenteeni ei toimi. Minulla on yhteys Sveitsiin tai Swisscom ISP. Mistä se voi johtua?
Swisscom julkaisi äskettäin päivityksen Swisscom-reitittimelle, joka estää VPN-liikenteen DMZ-alueella. Ole yhteydessä Swisscomin asiakaspalveluun, jotta asia saadaan korjattua. Tämä ei ole Zyxelin ongelma. Myös Swisscom-reitittimen uudelleenkäynnistys (2-3 kertaa) voi korjata asian väliaikaisesti.
Palomuurin optimointi laitteiden suojaamiseksi
Toimitamme monia artikkeleita ja tietoturvaominaisuuksia siitä, miten voit pitää laitteesi aina up2date ja saada optimaalisen palomuurisuojauksen.
[BEST PRACTICE] Palomuurin ylläpito, konfigurointisuojaus ja CVE-hyökkäysten torjunta
Jos sinulla on kysyttävää, kommentoi tätä artikkelia, niin otamme sinuun yhteyttä pian.
Tai ota yhteyttä tukitiimiin!
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.