Önemli Uyarı: |
-------------------------------------------------------------------------------------------------------------------
Zyxel, Ağınızı korumanıza ve Güvenlik Duvarınızın bakımını yapmanıza yardımcı olur!
TechTalk Insights'ın tamamını okumak için bu makaleye göz atın:
[EN İYİ UYGULAMA] Güvenlik Duvarı Bakımı, Yapılandırma Koruması ve CVE Saldırılarını Azaltma
-------------------------------------------------------------------------------------------------------------------Yükseltme ve Kurtarma Adımlarıyla İlgili YaygınSorunlar
SSS En çok sorulan sorular bölümü
Cihazları korumak için Güvenlik Duvarının Optimizasyonu
Şu anda bize bildirilen VPN bağlantısıyla ilgili çeşitli sorunlar ve ağ kesintileri hakkında bilgilendirildik. Bu soruna yanıt olarak, 5/23 tarihinden bu yana mevcut olan ve tüm modeller için geçerli olan, durumu ele almayı ve derhal düzeltmeyi amaçlayan acil bir düzeltme ürün yazılımının geliştirilmesini hızlandırdık. Zyxel, 5/24 tarihinden itibaren birden fazla arabellek taşması güvenlik açığından etkilenen güvenlik duvarları için resmi yamalar yayınlamıştır. Kullanıcıların optimum koruma için bunları yüklemeleri tavsiye edilir.
Global Web Sayfamızdaki CVE'ye göz atın
CVE-2023-33009
Bazı güvenlik duvarı sürümlerinde bildirim işlevindeki bir arabellek taşması açığı, kimliği doğrulanmamış bir saldırganın etkilenen bir cihazda hizmet reddi (DoS) koşullarına ve hatta uzaktan kod yürütülmesine neden olmasına izin verebilir.
CVE-2023-33010
Bazı güvenlik duvarı sürümlerinde, kimlik işleme işlevindeki bir arabellek taşması güvenlik açığı, kimliği doğrulanmamış bir saldırganın etkilenen bir cihazda DoS koşullarına ve hatta uzaktan kod yürütülmesine neden olmasına izin verebilir.
Teşekkür
Aşağıdaki güvenlik danışmanlıklarına teşekkür ederiz:
- TRAPA Security'den Lays ve atdog, ardından
- STAR Labs SG
Tüm modeller için eksiksiz bir pakete mi ihtiyacınız var?
Tek adımda tüm cihazlar için buradan indirin! (3GB)
Ayrıca Cloud Firmware yükseltmesini kullanabilir ve düzeltme sürümü yerine 5.36 Yama 2 veya 4.73 Yama 2 'yi yükleyebilirsiniz! USG cihazları bulut hizmeti aracılığıyla nasıl yükseltilir
[Hotfix ve Patch 2 benzerdir. Eğer bunlardan birindeyseniz, resmi sürümde yükseltme yapmanıza gerek yoktur. Bir sonraki aygıt yazılımı sürümü 5.37'yi Temmuz 2023'te yükseltebilirsiniz (Normal Sürüm akışı)
| Model | Ürün Yazılımı Düzeltmesi |
| Eski Cihazlar (4.73 Yama 1 tabanlı + tüm son Haftalık düzeltmeleri içerir) 4.73 Yama 2 benzerdir ve ayrıca kullanılabilir (Çevrimiçi Ürün Yazılımı Yükseltme veya MyZyxel.com İndirme) |
|
| USG40 | Düzeltmeyi İndirin |
| USG40W | Düzeltmeyi İndirin |
| USG60 | Düzeltmeyi İndirin |
| USG60W | Düzeltmeyi İndirin |
| USG110 | Düzeltmeyi İndirin |
| USG210 | Düzeltmeyi İndirin |
| USG310 | Düzeltmeyi İndirin |
| USG1100 | Düzeltmeyi İndirin |
| USG1900 | Düzeltmeyi İndirin |
| USG2200 | Düzeltmeyi İndirin |
| ZyWALL110 | Düzeltmeyi İndirin |
| ZyWALL310 | Düzeltmeyi İndirin |
| ZyWALL1100 | Düzeltmeyi İndirin |
|
Şirket İçi Cihazlar (5.36 Yama 1 tabanlı+en son Haftalık düzeltmeleri içerir) 5.36 Yama 2 benzerdir ve ayrıca kullanılabilir (Çevrimiçi Ürün Yazılımı Yükseltmesi veya MyZyxel.com İndirmesi) |
|
| USG FLEX 50 / USG20-VPN | Düzeltmeyi İndirin |
| USG FLEX 50W / USG20W-VPN | Düzeltmeyi İndirin |
| USG FLEX 100 | Düzeltmeyi İndirin |
| USG FLEX 100W | Düzeltmeyi İndirin |
| USG FLEX 200 | Düzeltmeyi İndirin |
| USG FLEX 500 | Düzeltmeyi İndirin |
| USG FLEX 700 | Düzeltmeyi İndirin |
| VPN50 | Düzeltmeyi İndirin |
| VPN100 | Düzeltmeyi İndirin |
| VPN300 | Düzeltmeyi İndirin |
| VPN1000 | Düzeltmeyi İndirin |
| ATP100 | Düzeltmeyi İndirin |
| ATP100W | Düzeltmeyi İndirin |
| ATP200 | Düzeltmeyi İndirin |
| ATP500 | Düzeltmeyi İndirin |
| ATP700 | Düzeltmeyi İndirin |
| ATP800 | Düzeltmeyi İndirin |
| EOL Eski cihazlar (3.30) etkilenmez | |
Devam Eden Sorunlar ve Çözüm Yolları
Firmware 4.73 Patch 0 veya üstü ve 5.32 Patch 0 veya üstü:
Cihaz doğrudan 4.73 Patch 2 veya 5.36 Patch 2'ye yükseltilebilmelidir. Başka bir işlem yapılmasına gerek yoktur. (Şirket İçi ve Nebula Bulut)
!! Firmware 4.72 Patch 0 veya önceki ve 5.32 Patch 0 veya önceki: (On-Premise) !!!
[Uzun süredir güncel olmayan güvenlik duvarları güncel korumaya güncellenemeyebilir]
Belirti:
Cihaz aygıt yazılımını yüklüyor ancak yeniden başlatmayı tetiklemiyor
Cihaz yükleme sırasında %100 ekranda takılı kalıyor
Cihaz, Bulut veya manuel yükleme kullanılarak 4.73 Yama 2 veya 5.36 Yama 2'ye yükseltilemez
Çözüm:
RUNNING bölümünden startup-config.conf dosyasını yedekleyin
Bakım -> Dosya Yöneticisi -> Konfigürasyon Dosyası -> Konfigürasyon'a gidin
"startup-config.conf" dosyasını seçin ve "İndir" düğmesine basın
Bekleme Bölümüne Yeniden Başlatma [CONFIG LOST]
Yapılandırma burada system-default.conf veya diğer eski yapılandırma dosyaları olabilir! WAN / Uzak kaybolabilir!
[Bu, "ÖNCEKİ ÇALIŞMA" bölümüne Yükseltmelere izin verecektir]
Ürün yazılımı Mayıs Tabanı (4.29) ve Tarayıcı Sorunu olacaktır, Chrome kullanmayı tercih edin, Sihirbazı atlamayı ve Yama 2 ürün yazılımını manuel olarak yüklemeyi deneyin
Bu, Çalışan'daki yapılandırmanın üzerine yazacaktır, eğer bir yedeğiniz yoksa, tüm Orijinal yapılandırma kaldırılır
Yedek bölüm yapılandırması şimdi yüklenecektir ve yeniden başlatmadan sonra güvenlik duvarına erişiminizi kaybedebilirsiniz. Yönetici parolanız yoksa, RESET düğmesine 15 saniye basılı tutarak ve sıfırlamadan sonra yedek yapılandırmayı uygulayarak güvenlik duvarını SIFIRLAMANIZ gerekir.
Güvenlik duvarının stand-by bölümünü önyüklemesini bekleyin
Çalışan Bölüme Yapılandırma Yedeklemesi Uygulama
Güvenlik duvarınıza tekrar giriş yapın. Güvenlik Duvarı IP'nizi bulmak için bilgisayarınızdaki cmd'yi (ipconfig) kullanabilir veya Gelişmiş IP tarayıcısını indirebilirsiniz.
Çalışan bölümü (aşağıdaki #2) Yama 2 ürün yazılımına yükseltin.
Ya da stand-by bölümünü (aşağıdaki #1) yükseltebilirsiniz ve yapılandırma dosyasını Çalışan bölümden stand-by bölümüne kopyalayacaktır.
Yedek yapılandırmayı yükseltilmiş bölüme yükleyin
Şimdi güvenlik duvarının yeniden başlatılmasına ve Adım 1'de indirdiğiniz yedek yapılandırmayı yüklemesine izin verin.
Ardından yeniden başlatın ve yapılandırmayı uygulayın.
Şimdi, gelecekteki sorunları önlemek için stand-by bölümünü de en son sürüme yükseltebilirsiniz.
Eğer sorun yaşıyorsanız, yedek "startup-conf.conf" yapılandırma dosyasını Not Defteri'nde (veya Not Defteri++) firmware satırını kaldırarak değiştirin
Önce:
Sonra:
Yapılandırma dosyasını kaydedin ve tekrar yükleyin.
Güvenlik duvarınıza ulaşmanızı başka ne engelleyebilir?
Cihazınızda anormal davranışlara neden olan önceki CVE ihlallerinden etkilenmiş olabilirsiniz. Şimdiye kadar iyi haber şu ki hepsini düzeltebiliyoruz. Ancak cihazınızın hangi önceki CVE'den etkilendiğini belirlememiz gerekiyor.
Durum A - Yeniden başlattıktan sonra, GUI doğrudan gittiği için "UDP500 "ü engelleyemezsiniz
Bu durumda, cihazı bir Teamviewer (LAN erişimi) ile almayı deneyebilir ve LAN IP'sine bir Windows FTP bağlantısı (FTP aracı olmadan) yapabilirsiniz. "conf" klasöründen "startup-config" dosyasını "standby_conf" klasörüne kopyalayın ve Patch 2 ürün yazılımını "firmware 1" klasörüne "sürükleyip bırakın". Bu işlem güvenlik duvarını yeniden başlatacak ve sistemi yükseltecektir.
Durum B - Yeniden başlatmadan sonra UDP500'ü engelleyebilirsiniz ancak ürün yazılımını yükseltemezsiniz
Lütfen takip edin: Bu çözüm
Durum C - Cihazınıza normal portunuzdan "HTTPS" ile ulaşamazsınız
Cihazınızın yedek olarak Port 4337'ye dayalı "HTTP" çalışıp çalışmadığını uzak LAN üzerinden kontrol edin.
Eğer durum buysa, lütfen Durum A sürecini takip edin.
Durum D - Cihaz HA aygıt yazılımını yükseltemiyor
Örneğin, şu hatayı alırsınız: "DHA2 algılama pasif başarısız"
Bu durumda, Device HA'yı Yerinde yeniden dağıtmanız gerekir. Uzaktan kurtarma yolu olmayacaktır.
SSS Bölümü
Zaten etkilenmişsem ağımda veya güvenlik duvarımda hangi sorunlar ortaya çıkıyor?
- GUI, Yönetici Arayüzünde oturum açmanıza izin vermeyebilir (ZySH Daemon meşgul)
- VPN istikrarsız senaryolara sahip olabilir (trafik geçişi veya Tünel genellikle daha az çalışma süresi ile yeniden oluşturulur)
- Watchdog daemon'u sık sık kurtarırsa cihaz yeniden başlatılabilir
- Cihazlar yüksek CPU kullanımı gösteriyor (%90 veya daha yüksek)
- Çok eski ürün yazılımı: HTTPS Bağlantı Noktası çalışmıyor
- Çok eski aygıt yazılımı: Cihaz aygıt yazılımını yükseltemiyor
Güvende olmak için hangi aygıt yazılımı sürümüne ihtiyacım var?
- Lütfen en son aygıt yazılımı 5.36 Patch 2 'yi veya yukarıdaki tabloda yer alan düzeltmemizi yükleyin
4.73 Yama 2 veya 5.36 Yama 2'den önce herhangi bir güncelleme yüklemem gerekiyor mu yoksa doğrudan yükseltme yapabilir miyim?
Cihazınızda hangi aygıt yazılımı sürümüne sahip olduğunuz önemli değildir, doğrudan en son sürümümüze yükseltebilirsiniz ve önceki Sürüm Notları belgelerindeki tüm yol adımlarını yok sayabilirsiniz!
Ya cihaza giriş yapamazsam ya da sadece bazen giriş yaparsam? [DDOS saldırısına karşı koruma adımları]
- Önce cihazı yeniden başlatmayı deneyebilir, ardından ürün yazılımını uygulayabilirsiniz
- "IKE500" geçici bağlantı noktasını WAN'dan ZyWALL grubuna kaldırın (Nesne > Adres)
- Geçici bir güvenlik duvarı kuralı oluşturun "WAN'dan ZyWALL'a" Hizmet: IKE500 (UDP) > Blok
Sahada olmanız durumunda, WAN bağlantısını şimdilik kaldırabilir ve yükseltme işlemine yerel olarak devam edebilirsiniz. Ayrıca, sahada WAN bağlantısını kaldırmak için yardım alarak ve Teamviewer aracılığıyla "Akıllı Telefondan Hotspot" gibi bir yükseltme gerçekleştirerek bunu uzaktan da deneyebilirsiniz.
Bu adımlar cihazın stabilize edilmesine ve ürün yazılımının korumalı bir sürüme yükseltilmesine yardımcı olacaktır.
Cihazı yükselttikten sonra VPN'im hala kararsız. Ne yapabilirim?
Sunucu ve İstemci sitelerini yükseltmek önemlidir (Siteden Siteye VPN için). Yalnızca her iki site de yükseltilirse koruma başarılı olacaktır.
Düzeltmeyi uygularsam yine de 5.36 Yama 2 veya 4.73 Yama 2'ye yükseltmem gerekir mi?
Hayır, sürüm benzer olacaktır, bu nedenle başka bir yükseltme gerekmez.
Nebula tarafındanyönetilen cihazım da etkileniyor mu?
Evet, Nebula için güncellemeler şu anda mevcuttur ve güvenlik duvarı Nebula Kontrol Merkezi aracılığıyla güncellenebilir Nebula CC - Cihaz Ürün Yazılımını Yükseltme [Ürün Yazılımı Yönetimi]
Ürün yazılımını yüklemek istiyorum, ancak yüklemeden sonra ilerleme %100'de kalıyor veya cihaz yeniden başlatılmıyor. Ne yapabilirim?
Bu durum, örneğin 5.30 gibi daha eski bir ürün yazılımı sürümündeyseniz ve diğer önlemler için daha önce yayınlanan düzeltmelerden etkilenmişseniz meydana gelebilir. Daha fazla yardım almak için lütfen Destek ile iletişime geçin.
Cihazlarımı yükselttim, ancak hala VPN trafiğim yok veya VPN oluşturulmadı. Ne yapabilirim?
UDP500 trafiğini engellemek için "WAN to ZyWALL" kurallarını kaldırdığınızdan emin olun.
Çalışmıyorsa Firmware'i yükseltmenin başka bir yolu var mı?
Firmware'i FTP aracılığıyla yükseltmeyi deneyebilirsiniz. USG & Zywall - FTP başına Firmware güncellemesi
Trafik VPN'im çalışmıyor. İsviçre veya Swisscom ISP ile bağlantım var. Sorun ne olabilir?
Swisscom kısa süre önce DMZ bölgesinde VPN trafiğini engelleyen Swisscom Router için bir yükseltme başlattı. Düzeltilmesi için lütfen Swisscom Destek ile iletişime geçin. Bu bir Zyxel sorunu değildir. Ayrıca, Swisscom Yönlendiricinin yeniden başlatılması (2-3 kez) geçici olarak sorunu çözebilir.
Cihazları korumak için Güvenlik Duvarı optimizasyonu
Cihazınızı her zaman nasıl güncel tutabileceğiniz ve optimum güvenlik duvarı korumasına nasıl sahip olabileceğiniz konusunda birçok makale ve güvenlik özelliği sunuyoruz.
[EN İYİ UYGULAMA] Güvenlik Duvarı Bakımı, Yapılandırma Koruması ve CVE Saldırılarını Azaltma
İleride sormak istediğiniz bir şey olursa bu makaleye yorum yapın, kısa süre içinde sizinle iletişime geçeceğiz.
Ya da Destek Ekibi ile iletişime geçin!