Ir para o Menu
Pesquisar a Base de conhecimento
XG: Guia de troubleshooting do Sophos XG
Número de Referência: AA-00642 Visualizações: 1106 Criado: 25-10-2017 13:04 Última Atualização: 10-11-2017 07:10

Referência Sophos: https://community.sophos.com/products/xg-firewall/f/sophos-xg-firewall-general-discussion/79041/troubleshooting-guide-for-xg

- Descrição:

Este artigo visa descrever alguns passos de verificação para troubleshooting do Sophos XG.

Nota: Este documento é uma tradução e releitura do artigo publicado pelo usuário sachingurung na comunidade da Sophos.

- Guia rápido:

- Roteamento, Web Filter ou Application Filter

- Entendendo o funcionamento interno do XG

- Roteamento assimétrico

- Lentidão/throughput ou ping timeouts

- CPU Alta

- GUI (WebAdmin)

- Pré-requisitos de Alta Disponibilidade (HA)

- STAS


- Análise:

Nota:

  1. O Sophos XG segue a abordagem TOP-DOWN enquanto procura a política correspondente ou uma regra de firewall. Lembre-se sempre de configurar as regras personalizadas no TOPO.

  2. Consulte o system log format, anexado ao final deste artigo, para entender o significado dos logs back-end no XG.

anexado ao final deste artigo, para entender o significado dos logs back-end no XG.

1- Roteamento, Web Filter ou Application Filter

Sempre que ocorrer qualquer comportamento inesperado com roteamento, Web Filter ou Application Filter, você pode considerar duas verificações:

  • Com a ajuda do Packet Capture, monitore como o tráfego é encaminhado e qual o código da Regra de Firewall que encaminha o tráfego. Isso lhe dará uma breve visão sobre o que está acontecendo com o pacote.
  • Verifique o log "drop-packet-capture" e procure o motivo e a ID da regra de Firewall para o Drop.

Ao capturar os logs de Drop, você também pode ver o log-id para verificar qual é a causa do Drop.

2- Entendendo o funcionamento interno do XG

Esta informação será útil para a compreensão interna do funcionamento do Firewall e as ações a serem tomadas em qualquer pacote recebido na interface do XG. Estas serão tratadas da seguinte forma:

Fragment Reassemble Module > Strict Policy Checking > Connection Bypass Module > DOS Policy > Spoof Checking > Connection tracking module for Stateful > Sequence Checking > Policy marking and firewall rule matching > Web Access Policy/AV/AS > IPS.

3- Roteamento assimétrico O roteamento assimétrico é uma situação indesejada em uma rede IP. Ocorre quando os pacotes que fluem na mesma conexão TCP fluem através de rotas diferentes.

O roteamento assimétrico é quando um pacote leva um determinado caminho do host de origem A através da rede para o host de destino B, mas, em seguida, um pacote de retorno leva um caminho separado do host de origem B para o host de destino A. Para dados normais, isso não é um problema, mas para alguns casos especiais, como dados que viajam através de firewalls de inspeção de estado, esse comportamento de roteamento pode causar problemas.


Procedimento para sobrescrever roteamento assimétrico:


Faça logon no CLI Console via Telnet ou SSH, vá para a opção 4. Device Console. Execute:


- console> set advanced-firewall bypass-stateful-firewall-config add source_network 10.x.x.0 source_netmask 255.255.255.0 dest_network 192.168.1.0 dest_netmask 255.255.255.0

     

- console> set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.1.0 source_netmask 255.255.255.0 dest_network 10.x.x.0 dest_netmask 255.255.255.0

- show advanced-firewall


NOTA:

  1. Assume-se que a XG possui todas as informações de roteamento necessárias para alcançar a sub-rede remota 10.x.x.0/24.

  2. Se você estiver ignorando a rede específica do advanced firewall, o escaneamento e NATing não serão aplicados a essa rede.


4- Lentidão/throughput ou ping timeouts Se você enfrentar a navegação lenta/throughput ou ping timeouts, execute ifconfig (no advanced shell) ou show network interfaces (no device console) e verifique se há erros, colisões, pacotes dropados nas interfaces de comunicação. Tente estas etapas em sequência, para encontrar uma resolução:

  1. Confirme se a Qualidade de Serviço (QoS) não está limitando a largura de banda;

  2. Quando você verifica um Erro na saída da interface, Edite o objeto da interface e no menu 'Advanced Settings' defina o MTU para 1350. Se isso funcionar, verifique com o seu ISP para ajudar a encontrar a maior configuração que funciona. Se isso não funcionar, defina o MTU de volta ao seu valor original;

  3. Se você está tendo vários pacotes dropados, troque o cabo Ethernet;

  4. Se conectado a um switch, mude a porta do switch;

  5. Se estiver conectado a um roteador ou modem, troque esse dispositivo;

  6. Na guia 'Hardware' em 'Interfaces & Routing >> Interfaces', experimente diferentes configurações de velocidades fixas e duplex. Faça as mesmas configurações no roteador / switch / modem ao qual a interface se conecta. Antes de testar a alteração, reinicie os dois dispositivos para forçá-los a renegociar sua velocidade de conexão;

  7. Finalmente, coloque um switch não gerenciável intermediário para o ISP e Firewall;


4.1- Pacotes sendo dropados Se Dropados, os pacotes de erro e colisão não são observados, a lentidão pode ser associada a DNS, DoS, IPS e ISP.

  1. Verifique se as Configurações DoS estão ativadas no System > System Services > DoS & Spoof Protection;

Nota - Nunca restrinja o TCP Flood flag. Se você descobrir os valores do pacotes dropados, configure o valor DoS em um valor adequado para sua arquitetura de rede.

  1. Verifique a configuração de DNS - Se houver um servidor de DNS interno configurado para usuários de LAN, todos os pedidos de DNS são direcionados a ele. Problemas com o Servidor DNS Interno ou o Servidor DNS Externo, para o qual encaminha solicitações, podem resultar em navegação lenta de forma geral;

Resolução: Para resolver esse problema, contate os administradores apropriados ou os fabricante dos servidores.

4.1.2- Se vários links de ISP caem no XG e os sistemas de usuários são configurados com o DNS de um determinado ISP. Nesse caso, o tráfego DNS de saída obtém o balanceamento de carga. Portanto, duas (2) possibilidades ocorrem:

  1. Se uma requisição de DNS passa através do Link ISP, cujo DNS está configurado no sistema do usuário, a solicitação é resolvida e o tempo de resposta é bom;

  2. Se uma requisição de DNS passa através de outro Link ISP, a solicitação é descartada porquê o DNS configurado no sistema do usuário não coincide com o DNS do ISP. Isso resulta em apenas pedidos de DNS parciais na rede a serem resolvidos, o que, em última instância, leva a uma navegação lenta;

Resolução: Configure uma rota estática no XG que encaminha todo o tráfego DNS para o Link ISP, cujo DNS está configurado nos sistemas do usuário. Você pode configurar Rotas estáticas em Network > Static Route > Unicast.

O IP da LAN do XG é configurado como DNS em sistemas de usuários. Problemas com a configuração do DNS no XG podem levar a uma navegação lenta;


Vá para System > Diagnostics > Services para verificar se o Serviço DNS está sendo executado. Se o serviço estiver parado, reinicie-o clicando em Iniciar;


O XG resolve consultas usando Servidores DNS em uma ordem superior a inferior. Portanto, compare os tempos de resposta de cada Servidor e coloque o Servidor com o menor tempo de resposta no topo;

Consulte: https://community.sophos.com/kb/en-US/123191


5- CPU alta A melhor prática que sugerimos é verificar se o acesso Telnet ou SSH está aberto na WAN em System > Administration > Device Access > WAN. Sempre desabilite o acesso SSH e Telnet no lado WAN quando não for necessário.


Olhe as configurações de IPS para Telnet ou SSH. No advanced shell, use a opção 4. Device Console.

Execute: show ips-settings.

Se você verificar que o maxpkts está configurado para um valor superior a 8, ajuste-o para 8, a menos que tenha sido configurado por meio do suporte para algo específico.

6- GUI (WebAdmin) Se você enfrentar alguma falha ou mau comportamento da GUI(WebAdmin) no XG, reinicie o serviço TOMCAT a partir do advanced shell. O serviço Tomcat é responsável pela geração do opcode para as configurações GUI no backend

Comando: service tomcat:restart -ds nosync


7- Pré-requisitos de Alta Disponibilidade(HA)

Deve ser o mesmo modelo, o número de portas e os detalhes do fornecedor devem ser iguais, bem como a mesma versão.

  1. HA não é suportado se os links WAN estiverem configurados com DHCP ou PPPoE. Isso significa que HA também não é suportado para modelos sem fio.

  2. HA deve estar desativado no aparelho auxiliar. Você precisa habilitar o HA de um appliance primário e habilitar automaticamente HA para o appliance auxiliar.

  3. A porta HA dedicada deve estar na zona DMZ e o acesso SSH deve ser habilitado para a DMZ nos dois aparelhos.

  4. Os pares de HA estão fisicamente conectados usando um cabo cruzado através desta porta. A mesma porta também deve ser usada como uma porta de ligação HA no dispositivo intermediário.

  5. Por exemplo, se a porta E estiver configurada como porta de ligação HA no dispositivo primário, use a porta E apenas como a porta de ligação HA no dispositivo auxiliar. Certifique-se de que o endereço IP da porta do link HA, tanto para o dispositivo primário como para os dispositivos auxiliares, esteja na mesma sub-rede.

  6. Nenhum alias ou VLAN deve ser configurado na porta HA dedicada.

  7. MTU / MSS e velocidade de ligação devem ser padrão na porta HA dedicada. Recomendamos conectar o link HA dedicado diretamente entre dois aparelhos.

Modelos que não suportam HA: Todos os modelos sem fio das séries XG, SG e CR, bem como CR15i.

8- STAS

Uma das menores, porém mais importantes configurações que podem ser esquecidas ao configurar o STAS é o TEMPO(Data e Hora). A diferença horária entre o Firewall XG e o Controlador de Domínio não deve ser superior a 5 minutos. Quando os logs STAS possuem as informações do usuário, mas o usuário não está autenticado no firewall XG e a UI do usuário não é preenchida no Live Users com o Usuário, isso pode estar relacionado às configurações de tempo(Data e Hora).

Clique aqui para retornar à página inicial do suporte

Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283

Anexos
System Log Format.pdf 0.3 Mb Baixar Arquivo