Dôležité upozornenie: |
-------------------------------------------------------------------------------------------------------------------
Spoločnosť Zyxel vám pomáha pri ochrane vašej siete a údržbe brány firewall!
Pozrite si tento článok a prečítajte si všetky informácie TechTalk Insights:
[BEST PRACTICE] Údržba firewallu, ochrana konfigurácie a zmierňovanie útokov CVE
-------------------------------------------------------------------------------------------------------------------Obvykléproblémy s krokmi aktualizácie a obnovy
Sekcia najčastejších otázok
Optimalizácia brány Firewall na ochranu zariadení
V súčasnosti nám bolo oznámených niekoľko problémov súvisiacich s pripojením VPN a prerušeniami siete. V reakcii na tento problém sme urýchlili vývoj naliehavého opravného firmvéru, ktorý je k dispozícii od 5/23 a vzťahuje sa na všetky modely a ktorého cieľom je riešiť a urýchlene odstrániť túto situáciu. Od 5/24 spoločnosť Zyxel vydala oficiálne opravy pre firewally postihnuté viacerými zraniteľnosťami typu buffer overflow. Používateľom sa odporúča, aby si ich nainštalovali na optimálnu ochranu.
Pozrite si CVE na našej globálnej webovej stránke
CVE-2023-33009
Zraniteľnosť pretečenia vyrovnávacej pamäte vo funkcii upozornenia v niektorých verziách firewallov môže neautentifikovanému útočníkovi umožniť spôsobiť na postihnutom zariadení stav odmietnutia služby (DoS) a dokonca vzdialené spustenie kódu.
CVE-2023-33010
V niektorých verziách brány firewall môže zraniteľnosť pretečenia vyrovnávacej pamäte vo funkcii spracovania ID umožniť neoverenému útočníkovi spôsobiť podmienky DoS a dokonca vzdialené spustenie kódu na postihnutom zariadení.
Potvrdenie
Poďakovanie patrí nasledujúcim bezpečnostným poradenským spoločnostiam:
- Lays a atdog zo spoločnosti TRAPA Security, ďalej
- STAR Labs SG
Potrebujete kompletný balík pre všetky modely?
Stiahnite si tu všetky zariadenia v jednom kroku! (3 GB)
Môžete tiež použiť Cloud Firmware upgrade a namiesto verzie hotfix nainštalovať 5.36 Patch 2 alebo 4.73 Patch 2! Ako aktualizovať zariadenia USG prostredníctvom cloudovej služby
[Hotfix a Patch 2 sú podobné. Ak používate jednu z nich, nemusíte aktualizovať na oficiálnu verziu. Môžete aktualizovať nasledujúcu verziu firmvéru 5.37, v júli 2023 (normálny tok vydávania).
| Model | Firmvér Hotfix |
| Staršie zariadenia (založené na verzii 4.73 Patch 1 + obsahuje všetky najnovšie týždenné opravy) 4.73 Patch 2 je podobný a môžete ho tiež použiť (Online aktualizácia firmvéru alebo MyZyxel.com Download) |
|
| USG40 | Stiahnite si opravu Hotfix |
| USG40W | Stiahnite si opravu Hotfix |
| USG60 | Stiahnite si opravu Hotfix |
| USG60W | Prevziať opravu Hotfix |
| USG110 | Prevziať opravu Hotfix |
| USG210 | Stiahnutie opravy Hotfix |
| USG310 | Prevziať opravu Hotfix |
| USG1100 | Prevziať opravu Hotfix |
| USG1900 | Prevziať opravu Hotfix |
| USG2200 | Prevziať opravu Hotfix |
| ZyWALL110 | Prevziať opravu Hotfix |
| ZyWALL310 | Prevziať opravu Hotfix |
| ZyWALL1100 | Prevziať opravu Hotfix |
|
On-Premise zariadenia (založené na 5.36 Patch 1 + obsahuje všetky najnovšie týždenné opravy) 5.36 Patch 2 je podobná a môže sa tiež použiť (Online Firmware Upgrade alebo MyZyxel.com Download) |
|
| USG FLEX 50 / USG20-VPN | Stiahnite si opravu Hotfix |
| USG FLEX 50W / USG20W-VPN | Stiahnutie opravy Hotfix |
| USG FLEX 100 | Stiahnuť Hotfix |
| USG FLEX 100W | Stiahnuť Hotfix |
| USG FLEX 200 | Prevziať opravu Hotfix |
| USG FLEX 500 | Prevziať opravu Hotfix |
| USG FLEX 700 | Prevziať opravu Hotfix |
| VPN50 | Stiahnutie opravy Hotfix |
| VPN100 | Stiahnutie opravy Hotfix |
| VPN300 | Stiahnutie opravy Hotfix |
| VPN1000 | Stiahnutie opravy Hotfix |
| ATP100 | Stiahnutie opravy Hotfix |
| ATP100W | Stiahnutie opravy Hotfix |
| ATP200 | Stiahnutie opravy Hotfix |
| ATP500 | Stiahnutie opravy Hotfix |
| ATP700 | Stiahnutie opravy Hotfix |
| ATP800 | Stiahnutie opravy Hotfix |
| Staršie zariadenia EOL (3.30) nie sú ovplyvnené | |
Prebiehajúce problémy a spôsoby riešenia
Firmvér 4.73 Patch 0 alebo vyšší a 5.32 Patch 0 alebo vyšší:
Zariadenie by malo byť možné aktualizovať na 4.73 Patch 2 alebo 5.36 Patch 2 priamo. Nie sú potrebné žiadne ďalšie kroky. (On-Premise a Nebula Cloud)
!! Firmvér 4.72 Patch 0 alebo predchádzajúci a 5.32 Patch 0 alebo predchádzajúci: (On-Premise) !!
[Dlho neaktualizované firewally možno nebudú schopné aktualizovať na aktuálnu ochranu]
Symptóm:
Zariadenie nahráva firmvér, ale nespúšťa reštart
Zariadenie sa pri nahrávaní zasekne na obrazovke 100 %
Zariadenie nemôže aktualizovať na verziu 4.73 Patch 2 alebo 5.36 Patch 2 pomocou cloudu alebo manuálneho nahrávania
Riešenie:
Zálohujte súbor startup-config.conf z oddielu RUNNING
Prejdite do časti Údržba -> Správca súborov -> Konfiguračný súbor -> Konfigurácia
Vyberte súbor "startup-config.conf" a stlačte tlačidlo "Stiahnuť".
Reštartujte počítač do pohotovostného oddielu [CONFIG LOST]
Konfigurácia tu bude may system-default.conf alebo iné staršie konfiguračné súbory! WAN / Remote by mohol byť stratený!
[Toto umožní aktualizáciu na "PREVIOUS RUNNING" partition]
Firmvér bude may Base (4.29) a problém s prehliadačom, radšej použite Chrome, skúste preskočiť Sprievodcu a nahrajte firmvér Patch 2 ručne
Toto prepíše konfiguráciu na Running, ak nemáte zálohu, všetka pôvodná konfigurácia sa odstráni
Konfigurácia pohotovostného oddielu sa teraz načíta a po reštarte môžete stratiť prístup k firewallu. Ak nemáte heslo správcu, musíte firewall RESETOVAŤ podržaním tlačidla RESET na 15 sekúnd a po resete použiť zálohu konfigurácie.
Počkajte, kým brána firewall naštartuje pohotovostný oddiel
Aplikovanie zálohy konfigurácie na spustený oddiel
Opäť sa prihláste do brány firewall. Na zistenie IP adresy brány firewall môžete použiť príkaz cmd (ipconfig) v počítači alebo si stiahnuť program Advanced IP scanner.
Aktualizujte Bežiacu oblasť (č. 2 nižšie) na firmvér Patch 2.
Alebo môžete aktualizovať pohotovostný oddiel (č. 1 nižšie), pričom dôjde ku klonovaniu/kopírovaniu konfiguračného súboru z pohotovostného oddielu do oddielu Running.
Nahrajte záložnú konfiguráciu do aktualizovanej oblasti
Teraz nechajte firewall reštartovať a nahrajte záložnú konfiguráciu, ktorú ste prevzali v kroku 1.
Potom ho nechajte reštartovať a použite konfiguráciu.
Teraz môžete aktualizovať aj pohotovostný oddiel na najnovší, aby ste sa vyhli budúcim problémom.
Ak máte problémy, upravte záložný konfiguračný súbor "startup-conf.conf" v Poznámkovom bloku (alebo Poznámkovom bloku++) odstránením riadku firmvéru
Pred:
Po:
Uložte konfiguračný súbor a znovu ho nahrajte.
Čo ďalšie by vám mohlo blokovať prístup k bráne firewall?
Môže sa vás týkať predchádzajúce porušenie CVE, ktoré spôsobuje abnormálne správanie vášho zariadenia. Zatiaľ je dobrou správou, že ich všetky dokážeme opraviť. Musíme však identifikovať, ktorým predchádzajúcim CVE je vaše zariadenie ovplyvnené.
Situácia A - Po reštarte nie ste schopní zablokovať "UDP500", pretože grafické rozhranie je priamo preč
V tomto prípade sa môžete pokúsiť dostať k zariadeniu pomocou nástroja Teamviewer (prístup do siete LAN) a vytvoriť pripojenie FTP systému Windows (bez nástroja FTP) na IP adresu siete LAN. Skopírujte "startup-config" z priečinka "conf" do priečinka "standby_conf" a "drag&drop" firmvér Patch 2 do priečinka "firmware 1". Tým sa firewall reštartuje a systém sa aktualizuje.
Situácia B - Po reštarte môžete zablokovať UDP500, ale nemôžete aktualizovať firmvér
Postupujte podľa nasledujúcich pokynov: Toto riešenie
Situácia C - Nemôžete sa dostať do zariadenia pomocou "HTTPS" na bežnom porte
Skontrolujte prostredníctvom vzdialenej siete LAN, či vaše zariadenie funguje "HTTP" na základe portu 4337 ako záloha.
V takom prípade postupujte podľa postupu pre situáciu A.
Situácia D - zariadenie HA nemôže aktualizovať firmvér
Zobrazí sa napríklad chyba: "DHA2 detect passive fail"
V tomto prípade je potrebné opätovne nasadiť zariadenie Device HA On-Site. Nebude existovať žiadny spôsob vzdialenej obnovy.
Opätovné nasadenie zariadenia HA Pro
Sekcia často kladených otázok
Ktoré problémy sa objavia v mojej sieti alebo bráne firewall, ak som už postihnutý?
- Grafické rozhranie vám nemusí umožniť prihlásiť sa do rozhrania administrátora (démon ZySH je zaneprázdnený)
- VPN môže mať nestabilné scenáre (prestupovanie prevádzky alebo tunel sa často obnovuje s menším časom prevádzky)
- Zariadenie sa môže reštartovať, ak strážny pes často obnovuje démona
- Zariadenie vykazuje vysoké využitie CPU (90 % alebo viac)
- Veľmi starý firmvér: Port HTTPS nefunguje
- Veľmi starý firmvér: Zariadenie nemôže aktualizovať firmvér
Akú verziu firmvéru potrebujem, aby som bol v bezpečí?
- Nainštalujte najnovší firmvér 5.36 Patch 2 alebo našu opravu hotfix uvedenú v tabuľke vyššie
Musím nainštalovať nejakú aktualizáciu pred verziou 4.73 Patch 2 alebo 5.36 Patch 2, alebo môžem aktualizovať priamo?
Nezáleží na tom, akú verziu firmvéru máte vo svojom zariadení, môžete priamo aktualizovať na našu najnovšiu verziu a môžete ignorovať všetky kroky cesty z predchádzajúcich dokumentov Poznámky k vydaniu!
Čo ak sa nemôžem prihlásiť do zariadenia alebo len niekedy? [Kroky ochrany na hodiny DDOS útoku]
- Najprv môžete skúsiť zariadenie reštartovať a potom aplikovať firmvér
- Odstráňte dočasný port "IKE500" z WAN do skupiny ZyWALL (Objekt > Adresa)
- Vytvorte dočasné pravidlo brány firewall "WAN to ZyWALL" (Služba WAN to ZyWALL): IKE500 (UDP) > Blokovať
V prípade, že sa nachádzate na pracovisku, môžete tiež dočasne odstrániť prepojenie WAN a pokračovať v aktualizácii lokálne. Môžete to vyskúšať aj na diaľku tak, že na mieste získate pomoc pri odstránení uplinku WAN a vykonáte upgrade prostredníctvom programu Teamviewer, t. j. "Hotspot from Smartphone".
Tieto kroky by mali pomôcť stabilizovať zariadenie a aktualizovať firmvér na chránenú verziu.
Moja sieť VPN je po aktualizácii zariadenia stále nestabilná. Čo môžem urobiť?
Je dôležité aktualizovať server a klientske stránky (pre Site-to-Site VPN). Ochrana bude úspešná len vtedy, ak budú aktualizované obe lokality.
Musím ešte aktualizovať na verziu 5.36 Patch 2 alebo 4.73 Patch 2, ak použijem opravu hotfix?
Nie, verzia bude podobná, takže ďalšia aktualizácia nie je potrebná.
Týka sa to aj môjho zariadenia spravovaného Nebulou?
Áno, aktualizácie pre Nebulu sú už k dispozícii a firewall je možné aktualizovať prostredníctvom Nebula Control Center Nebula CC - Aktualizácia firmvéru zariadenia [Správa firmvéru].
Chcem nainštalovať firmvér, ale priebeh zostane po nahratí na 100 % alebo sa zariadenie nereštartuje. Čo môžem urobiť?
Môže sa to stať, ak používate staršiu verziu firmvéru, napríklad 5.30, a týka sa vás skôr vydaná oprava pre inú prevenciu. Pre získanie ďalšej pomoci sa obráťte na podporu.
Aktualizoval som svoje zariadenia, ale stále nemám prevádzku VPN alebo VPN nie je vybudovaná. Čo môžem urobiť?
Uistite sa, že ste odstránili pravidlá "WAN to ZyWALL" na blokovanie prevádzky UDP500.
Existuje iný spôsob aktualizácie firmvéru, ak nefunguje?
Firmvér môžete skúsiť aktualizovať prostredníctvom FTP. USG a Zywall - aktualizácia firmvéru cez FTP
Moja prevádzka VPN nefunguje. Mám pripojenie do Švajčiarska alebo k ISP Swisscom. Čím by to mohlo byť?
Spoločnosť Swisscom nedávno spustila aktualizáciu pre Swisscom Router, ktorá blokuje prevádzku VPN v zóne DMZ. Obráťte sa na podporu spoločnosti Swisscom, aby ste to opravili. Toto nie je problém spoločnosti Zyxel. Dočasne by to mohlo vyriešiť aj reštartovanie smerovača Swisscom (2-3 krát).
Optimalizácia brány Firewall na ochranu zariadení
Dodávame mnoho článkov a bezpečnostných funkcií o tom, ako môžete svoje zariadenie vždy udržiavať up2date a mať optimálnu ochranu bránou firewall.
[BEST PRACTICE] Údržba firewallu, ochrana konfigurácie a zmiernenie útokov CVE
Ak máte v budúcnosti nejaké otázky, stačí komentovať tento článok a my sa s vami čoskoro spojíme.
Alebo sa spojte s tímom podpory!