De acuerdo

Error de comunicación entre el firewall USG y el firehunter despues de actualizar el firewall a una nueva versión.

197 0 6 0 0

Descripción del problema

Después de realizar una actualización de software de V1R1 a V5R5 del firewall USG, la comunicación entre el USG y el Firehunter Sandbox (que usa V1R1) se detuvo.

 

Se ha habilitado la función System > Setup > IDS con la configuración correcta (IP, claves, etc.).

 

Se activó la función debugging anti-apt y se reinició la clave API en ambos extremos.

 

En la salida del comando debug observamos que falla la negociación SSL:

May  8 2020 10:55:04.374.13+01:00 DST Lis-USG6680-001 ANTI-APT/7/linkage:[CURL]: sandbox capability curl easy perform failed: SSL connect error.
May  8 2020 10:55:04.374.14+01:00 DST Lis-USG6680-001 ANTI-APT/7/timer:[timer]: capability of default get connect fail
May  8 2020 10:55:04.374.15+01:00 DST Lis-USG6680-001 ANTI-APT/7/linkage:[Curl]: Sandbox default curl heartbeat or link-try close: 561


También realizó una captura de paquetes (se capturó paquetes entre USG y Firehunter), en la captura de paquetes se observa los mensajes "Client Hello"


firewall


Solución

El firmware V5R5 usa HTTPS de forma predeterminada para la comunicación, el firmware antiguo de Firehunter usa HTTP de forma predeterminada.

 

Para solucionar esto, realice los siguientes cambios de configuración:

sandbox default
type FireHunter
ip x.x.x.x                      
protocol https


No use el parámetro de puerto aquí, para que HTTPS pueda usar el puerto predeterminado 5002 para hablar con Firehunter           

 

Una vez realizada la configuración, restablezca la clave API, y con esta acción  el problema se resolvió..

 

Saludos.


FIN.


También te puede interesar:

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenario de aplicación típica del firewall como cliente DNS

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente



  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.