Descripción del problema
Después de realizar una actualización de software de V1R1 a V5R5 del firewall USG, la comunicación entre el USG y el Firehunter Sandbox (que usa V1R1) se detuvo.
Se ha habilitado la función System > Setup > IDS con la configuración correcta (IP, claves, etc.).
Se activó la función debugging anti-apt y se reinició la clave API en ambos extremos.
En la salida del comando debug observamos que falla la negociación SSL:
May 8 2020 10:55:04.374.13+01:00 DST Lis-USG6680-001 ANTI-APT/7/linkage:[CURL]: sandbox capability curl easy perform failed: SSL connect error. May 8 2020 10:55:04.374.14+01:00 DST Lis-USG6680-001 ANTI-APT/7/timer:[timer]: capability of default get connect fail May 8 2020 10:55:04.374.15+01:00 DST Lis-USG6680-001 ANTI-APT/7/linkage:[Curl]: Sandbox default curl heartbeat or link-try close: 561
También realizó una captura de paquetes (se capturó paquetes entre USG y Firehunter), en la captura de paquetes se observa los mensajes "Client Hello"
Solución
El firmware V5R5 usa HTTPS de forma predeterminada para la comunicación, el firmware antiguo de Firehunter usa HTTP de forma predeterminada.
Para solucionar esto, realice los siguientes cambios de configuración:
sandbox default type FireHunter ip x.x.x.x protocol https
No use el parámetro de puerto aquí, para que HTTPS pueda usar el puerto predeterminado 5002 para hablar con Firehunter
Una vez realizada la configuración, restablezca la clave API, y con esta acción el problema se resolvió..
Saludos.
FIN.
También te puede interesar:
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Escenario de aplicación típica del firewall como cliente DNS
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente
