von MedienDeZign | Feb 17, 2022 | GNU/Linux
Vorbereitung des Systems und Anpassung der Quellen:
apt-get update && apt-get -y upgrade && apt-get -y dist-upgrade
sed -i 's/buster/bullseye/g' /etc/apt/sources.list
sed -i 's/bullseye\/updates/bullseye-security/g' /etc/apt/sources.list
Falls man z.B. PHP Quellen nutzt diese nicht vergessen:
sed -i 's/buster/bullseye/g' /etc/apt/sources.list.d/php.list
Nun das System aktualisieren:
apt-get update && apt-get -y upgrade && apt-get -y dist-upgrade
von MedienDeZign | Feb 10, 2022 | Hardware
Kann man an den Default SSL VPN Einstellungen keine Änderungen, wie z.B. Protokoll oder IP Range vornehmen, erstelle man die Defalt CA und das Appliance Zertifikat neu.
von MedienDeZign | Jan 29, 2022 | Hardware
Einrichtung einer IPSec VPN Verbindung zwischen Sophos XG(S) mit SFOS 18 und einer Fritz! Box über den Fully-Qualified Domain Name (FQDN), auch für Hosts ohne statischer IP Adresse via einem DynDNS Dienst:
Sophos XG IPSec Richtlinie
Allgemeine Einstellungen
Name: FritzBox
Schlüsselaustausch: IKEv1
Authentifizierungsmethode: Hauptmodus
Schlüsselaushandlungsversuche: 0
Schlüsselerneuerungsverbindung: An
Daten in komprimierten Format übergeben: Aus
SHA-2 mit 96-Bit-Verkürzung: Aus
Phase 1
Schlüssel-Lebensdauer: 3600
Zeit bis zur Schlüsselerneuerung: 360
Zeit variieren um: 50
DH-Gruppe (Schlüsselgruppe): 14 [DH2048]
Verschlüsselung: AES2556
Authentifizierung: SHA2 512
Phase 2
PFS-Gruppe (DH-Gruppe): Gleich wie Phase 1
Schlüssel-Lebensdauer: 3600
Verschlüsselung: AES2556
Authentifizierung: SHA2 512
Dead Peer Detection (DPD)
Dead Peer Detection (DPD): An
Peer überprüfen alle: 30
Auf Antwort warten bis zu: 120
Wenn Peer unerreichbar: Neu initiieren
Sophos XG IPSec Verbindung
Allgemeine Einstellungen:
Name: BlaBla
IP-Version: IPv4
Verbindungstyp: Standort zu Standort
Gateway-Typ: Verbindung herstellen
Beim Speichern aktivieren: An
Firewallregel anlegen: An
Verschlüsselung
Richtlinie: FritzBox
Authentifizierung-Typ: Verteilter Schlüssel
Schlüssel: IPSEC-PASSWORT
Gateway-Einstellungen
Lausch-Schnittstelle: PortX-ExterneIP
Lokaler ID-Typ: DNS
Lokale ID: FQDN-SophosXG
Lokales Subnetz: IP-Range-SophosXG
Gateway-Adresse: FQDN-FritzBox
Entfernter ID-Typ: DNS
Entfernte ID: FQDN-FritzBox
Entferntes Subnetz: IP-Range-FritzBox
Network Address Translation (NAT): Aus
Erweitert
Benutzerauthentifizierungsmodus: Aus
FritzBox IPSec Richtlinie
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fritz to Sophos";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "FQDN-SophosXG";
localid {
fqdn = FQDN-FritzBox;
}
remoteid {
fqdn = FQDN-SophosXG;
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "IPSEC-PASSWORT";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = IP-RANGE-FRITZ-LAN;
mask = NETZWERKMASKE-FRITZ-LAN;
}
}
phase2remoteid {
ipnet {
ipaddr = IP-RANGE-SOPHOS-LAN;
mask = NETZWERKMASKE-SOPHOS-LAN;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any IP-RANGE-SOPHOS-LAN NETZWERKMASKE-SOPHOS-LAN";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
von MedienDeZign | Jan 14, 2022 | Microsoft
diskpart -> selcet disk X – > select partition X -> delete partition override
von MedienDeZign | Jan 1, 2022 | Microsoft
Dank eines Fehlers bei den Updates der Filtering Engine liefert der Transport Dienst keine Mails mehr aus und diese bleiben in der Queue stecken.
Im Ereignisprotokoll findet man Einträge bezüglich des FIPS Dienstes (The FIP-FS Scan Process failed initialization) und des MSExchange Antimalware Dienstes (The anti-malware agent could not submit a message to the hygiene management service).
Ob man betroffen ist kann man mit
Get-Queue
auf der Exchange Verwaltungsshell prüfen.
Als Workaround hilft aktuell leider nur die Malwareprüfung für den Exchange zu deaktivieren:
Set-MalwareFilteringServer -BypassFiltering $true -Identity SERVERNAME
und danach den Microsoft Exchange Transport Dienst neu zu starten
Get-Service MSExchangeTransport | Restart-Service
*Update 03.01.2022*
Mittlerweile hat das Microsoft Exchange Team den Fehler bestätigt und einen Patch veröffentlicht, danach muss allerdings der Server neu gestartet werden.
Mit
Get-TransportAgent
Kann man dann überprüfen, ob der Malwarefilter wieder läuft, wenn nicht:
Set-MalwareFilteringServer -BypassFiltering $false -Identity SERVERNAME
Get-Service MSExchangeTransport | Restart-Service
Nun noch checken, ob der Antimalwaredienst auch aktiv ist
Get-ExchangeServer | % {Get-TransportAgent "Malware Agent"}
