本日未明頃からSophos XG Firewallで、SophosのAVスキャンエンジンを使用した状態でHTTPスキャンを有効にしているとHTTPサイトが見れず、Webの例外で「マルウェアスキャンとコンテンツスキャン」を除外している等を除き、全滅しています。
何時頃か忘れたけど深夜に急にブロックされるサイトが出てて、その時のブラウザ上に表示されるエラーメッセージが「The requested content could not be scanned for malware. It may be corrupted or encrypted.」で何かスキャンに失敗してるっぽいなーと。
まあ、暫くしたらなおるかなと一旦放置してたんですが、夕方に改めて同じ事象が出てて仕方ないので調査。
何時頃か忘れたけど深夜に急にブロックされるサイトが出てて、その時のブラウザ上に表示されるエラーメッセージが「The requested content could not be scanned for malware. It may be corrupted or encrypted.」で何かスキャンに失敗してるっぽいなーと。
まあ、暫くしたらなおるかなと一旦放置してたんですが、夕方に改めて同じ事象が出てて仕方ないので調査。
まあ、すぐに分かったんですけどね。
XG Firewall側のマルウェアログ見たら予想に反して大量に「Unscannable」でブロックされてるし・・・
どうやら裏で動いている未だにHTTPを使ってるアップデート系とかが止められてた為でした。
で、これはもうあれだ、NetScreen SSGのUTMでもたまに起こしてくれてたパターンファイルの不具合だろうって察しがついたのでSophosのコミュニティ覗いたら案の定騒がれてた。
Sophos AV engine broken? - Sophos Community
なお、AVスキャンエンジンを「Avira」の方に変更したら回避はできます。(パターンファイルも別だから。)
もしくは「マルウェアスキャンでエラーが発生したときのアクション」を許可にしても回避はできる気がするけどリスクも上がるので推奨はされないけど。
この手の不具合は過去に何度となく経験してるけどリリース前にテストしないのかね・・・
【追記】
恐らく発生はSophos AVのバージョン「1.0.14436」から発生、その後更に「1.0.14437」に上がってるけど直ってない。
【更に追記】
Sophos AVバージョン「1.0.14439」で復旧しました。
■閉じる■
XG Firewall側のマルウェアログ見たら予想に反して大量に「Unscannable」でブロックされてるし・・・
どうやら裏で動いている未だにHTTPを使ってるアップデート系とかが止められてた為でした。
で、これはもうあれだ、NetScreen SSGのUTMでもたまに起こしてくれてたパターンファイルの不具合だろうって察しがついたのでSophosのコミュニティ覗いたら案の定騒がれてた。
Sophos AV engine broken? - Sophos Community
なお、AVスキャンエンジンを「Avira」の方に変更したら回避はできます。(パターンファイルも別だから。)
もしくは「マルウェアスキャンでエラーが発生したときのアクション」を許可にしても回避はできる気がするけどリスクも上がるので推奨はされないけど。
この手の不具合は過去に何度となく経験してるけどリリース前にテストしないのかね・・・
【追記】
恐らく発生はSophos AVのバージョン「1.0.14436」から発生、その後更に「1.0.14437」に上がってるけど直ってない。
【更に追記】
Sophos AVバージョン「1.0.14439」で復旧しました。
■閉じる■
Sophos XG Firewall Home Editionのファームウェア、SFOSのv17.5系マイナーバージョンGA版(General Availability)が11月末にリリースされました。
今回も管理コンソール上に利用可能な最新ファームウェアとして出てくれなかったので手動でファームウェアファイルをアップロードして適用です。
バージョンは「SFOS 17.5.0 GA(SFOS 17.5.0-310)」になります。
「おうちでUTM F/W - Sophos XG Firewall SFOS v17.1.0 マイナーアップデート&HA構成での手動ファームウェアアップデート編」の時と何も変わらず、ダウンロードしてきた「VI-17.5.0_GA.VMW-310.gpg」を「アップロード&再起動」で適用するだけなのでもう慣れたもんです。
今回も管理コンソール上に利用可能な最新ファームウェアとして出てくれなかったので手動でファームウェアファイルをアップロードして適用です。
バージョンは「SFOS 17.5.0 GA(SFOS 17.5.0-310)」になります。
「おうちでUTM F/W - Sophos XG Firewall SFOS v17.1.0 マイナーアップデート&HA構成での手動ファームウェアアップデート編」の時と何も変わらず、ダウンロードしてきた「VI-17.5.0_GA.VMW-310.gpg」を「アップロード&再起動」で適用するだけなのでもう慣れたもんです。
で、以下がリリースノート。
ざっと見た感じいまいち恩恵のある変化はありませんが、個人的に嬉しかったのはファイアウォールポリシー内でポリシーグループ変更が可能になって容易に入れ替えができるようになったところかな。
これまでは別のグループに移すのに一旦グループから外して、別のグループに入れてって割と面倒だったのでね。
待ち望んでいる改修は今回もなかったし。
What's New in XG Firewall v17.5
Lateral Movement Protection
Lateral Movement Protection extends our Security Heartbeat automated threat isolation to prevent any threat from moving laterally or spreading across the network, even on the same subnet. The firewall instructs all healthy endpoints to completely isolate any unhealthy endpoints.
Synchronized User ID
Synchronized User ID utilizes Security Heartbeat™ to greatly streamline authentication for user-based policy enforcement and reporting in any Active Domain network by eliminating the need for any kind of server or client agent.
Education Features
Education Features such as per-user policy-based control over SafeSearch and YouTube restrictions, teacher enabled block-page overrides, and Chromebook authentication support.
Email Features
Sender Policy Framework (SPF) anti-spoofing protection and a new MTA based on Exim which closes a couple of top requested feature differences with SG Firewall is added.
IPS Protection
IPS is enhanced with greatly expanded categories enabling you to better optimize your performance and protection.
Management Enhancements
Management including enhanced firewall rule grouping with automatic group assignment, a custom column selection for the log viewer and revamped online help with learning content approach.
VPN and SD-WAN Failover and Failback
New IPSec failover and failback controls and SD-WAN link failback options.
Client Authentication
Client Authentication gets a major update with a variety of new enhancements such as per-machine deployment, a logout option, support for wake from sleep, and MAC address sharing.
Sophos Connect
Sophos Connect is our new IPSec VPN Client that’s free for all XG Firewall customers that makes remote VPN easy for users and supports Synchronized Security.
Additionally
Coming in a following Maintenance Release we have:
・Wireless APX Access Point Support provides support for the new Wave 2 access points providing faster connectivity and added scalability.
・Airgap Support for deployments where XG Firewall can’t get updates automatically via an internet connection (due to an “airgap” or physical isolation) – Patterns and Licenses can now be updated manually.
・Sophos Central Management of XG Firewall With v17.5, XG Firewall is also joining Sophos Central. The Early Access Program for Sophos Central Management of XG Firewall is expected to start soon.
You will be able to manage XG Firewall from within Sophos Central along with all your other Sophos Central products. And there’s a few great new features coming along with Sophos Central Management of XG Firewall:
・Secure access and management with single-sign-on through Sophos Central from anywhere
・Backup management and storage for your regularly scheduled firewall backups
・Firmware update management to make multiple firewall updates easy
・Light-touch deployment to enable easy remote setup of a new Firewall
Notes
・Enforcement of search engine Safe Search and additional image filters is now configurable per-web policy and is no longer a global option. The settings have been moved from Web >> General Settings into the additional options that are available when editing a web policy. In addition, configuration for YouTube restrictions have been broken out into a separate option.
Product behaviour will be preserved on upgrade by automatically migrating the existing global settings to all existing web policies.The exceptions to this are the following built-in, uneditable policies: Allow All, Deny All and ClPA-Compliance. KBA 123589
・IPS now with Cisco Talos IPS library and more granular IPS categories KBA 133197
・XG Firewall v17.5 has incorporated new Avira virus scan engine v4.x. When v17.5 will boot for the first time, it will download full (not incremental) Avira patterns approx. ~90 MB and reload virus scan engine. This may take a few seconds or minutes based on the bandwidth. In this duration, web and email traffic will be blocked. Blocked emails will stay in email spool and it shows reason as malware scan failed. However, these emails will be delivered once the engine is up after reload. KBA 133165
Issues Resolved
・NC-39029 [Authentication] Show proper error message in UI if you enter an used port in Chromebook SSO configuration
・NC-39212 [Authentication] CSD: make sure the userSessions map is not overwritten
・NC-39532 [Authentication] Migration from 17.1 fails if host definition for "*.gstatic.com" exists
・NC-39677 [Authentication] Success message shown in ui even though deleting a user fails
・NC-37683 [Base System] cURL (libcurl) NTLM Authentication Code Buffer Overrun Vulnerability (CVE-2018-14618)
・NC-39192 [CM-Join-to-cloud] Appropriate status should update on SF and Sophos Central once FW is remove from Central and register again
・NC-36497 [Email] POP3 mails reach the proxy empty
・NC-38052 [Email] Subject not displayed properly in mail log with sender generated password method
・NC-38282 [Email] mail_sender opcode stuck in CSC
・NC-38470 [Email] Some reason filters on mail log page are not working as expected
・NC-38571 [Email] Port validation not working when adding new port in SMTP via CLI
・NC-39233 [Email] Email delivery failed for some recipients when email containing 512 recipients
・NC-39280 [Email] Error message 'Relay not permitted' when sending an inbound mail to email address base profile
・NC-39379 [Email] Bad (malformed syntax) mails should be displayed separately from network failed emails on UI
・NC-39454 [Email] Mail doesn't get formatted properly when file filter protection applied
・NC-39513 [Email] Network type IP host should not allowed to add in exception policy
・NC-39668 [Email] RDNS check should be applied to inbound emails only
・NC-39737 [Email] Mail from header changed when wrong "Return-Path" used in smart host deployment
・NC-39953 [Email] Email attachments get corrupted with BDAT
・NC-38505 [IPS] IPS policy backup is not created while applying signature upgrade
・NC-39687 [IPS] IPS log filling up with entries and causing problems for legitimate traffic
・NC-39083 [IPsec] IPsec: charon starts parsing fragmented messages before they are reassembled
・NC-38832 [Network Services] Issue with wildcard FQDN based rule
・NC-37817 [UI Framework] SAC tab not loaded because of OutOfMemory error
・NC-39310 [UI Framework] Control Center: Icons for VPN and Connections have been switched
・NC-38184 [Web] Check settings functionality is not working from device level of firewall manager(SFM)
・NC-38844 [Web] Web Policy Override not working in HA(A-A) mode if traffic served from Aux appliance
・NC-39039 [Web] When "Drop connection" feature is enabled, blocked/warned events are not logged correctly
Issues Resolved in EAP1
・NC-32763 [Authentication] Importing users with .csv file having usernames with Thai characters creates junk character
・NC-34340 [Authentication] Users not getting authenticated via Radius SSO
・NC-37091 [Authentication] Show error when Chromebook SSO is not configured correctly
・NC-37300 [Authentication] Create FQDN Hosts and Groups for Chromebook
・NC-38381 [Authentication] "Record does not exist" error when trying to open created LDAP server
・NC-36185 [Azure] Upgrade Linux VM Agent
・NC-38176 [Base System] garner memory corruption affecting RED
・NC-38471 [Base System] EULA not shown on GUI on Azure
・NC-38473 [Base System] Reading of /proc/timer_list file leads to NMI watchdog soft lockups
・NC-31499 [Email] Unable to send .eml attachments to specific domain
・NC-32682 [Email] SPX generates password for same email recipient in different case
・NC-32690 [Email] SPX encryption corrupting attachments by adding line breaks
・NC-32754 [Email] XG not able to insert spool query
・NC-33360 [Email] Add missing header fields in notification emails
・NC-33391 [Email] Quarantine digest and released emails not sent
・NC-33977 [Email] Unable to release unscannable quarantined emails
・NC-34450 [Email] Fail to send email notifications
・NC-35494 [Email] UI hangs when user selects specific date on SMTP quarantine page
・NC-36612 [Email] Cross version import/export not working for exception policy
・NC-37849 [Email] Console command 'subsystem-info' shows awarrensmtp and smtpd service with same name
・NC-37945 [Email] Scanner crash on low end devices due to high number of forwarders
・NC-38005 [Email] Improper IP reputation reject status message in mail log
・NC-38013 [Email] Typo in Authentication Relay drop message
・NC-38015 [Email] Emails moved to error queue when header part is big
・NC-38021 [Email] Return-Path/Reply-To header ignored while sending failure notifications
・NC-38252 [Email] Add support of email based routing and RBL scanning
・NC-38257 [Email] No reason logged in mail logs for mails dropped due to file filter
・NC-38297 [Email] Improper label in exception policy at device level from SFM
・NC-38312 [Email] SFM pushes exception policy to firewalls even in legacy mode
・NC-38391 [Email] Core dump in mail scanner
・NC-38392 [Email] Notifications are logged with '0 bytes' in MailLogs
・NC-38501 [Email] SPX fails to encrypt on hardware appliances when SPX reply portal is enabled template
・NC-39024 [Email] Do not allow multi use for port 587
・NC-32530 [Firewall] Post-Authentication SQL injection in Firewall User Interface
・NC-34612 [Firewall] Appliance frequently rebooting when having IPv6 permitted networks for remote access SSLVPN
・NC-34675 [Firewall] Live connections page not showing connection list
・NC-35656 [Firewall] Internet access being lost, SFOS consuming all memory.
・NC-35660 [Firewall] MAC address missing in export of MAC list having only one list member
・NC-37274 [Firewall] SMTP MTA mode does not support TCP port 587
・NC-37760 [Firewall] Misleading message when adding rule using automatic grouping and group has already 200 rules
・NC-37992 [Firewall] Transferred data not shown in firewall rules when reaching tera bytes
・NC-36318 [IPS, SFM-SCFM] Application filter policy rule not containing any application being pushed from SFM is not applied on SF
・NC-36565 [IPS] Category replacement not working on export/import
・NC-38347 [IPS] Category based IPS policy import not mapping to Talos categories
・NC-30016 [IPsec] Merged IKE gets deleted when one connection is disabled in UI
・NC-32269 [IPsec] GRE traffic forwarded through WAN interface after HA failover event
・NC-34131 [IPsec] L2TP still connects after user was disabled
・NC-38310 [IPsec] IPsec site-to-site tunnel not established with Cisco ASA and gateway type "Initiate the connection"
・NC-39059 [Localization] Using "state" causes mistranslations
・NC-36455 [Networking] WWAN is not connected automatically at boot time if the primary WAN link is disconnected/down
・NC-36720 [Networking] Traffic might flow via backup gateway even hard gateway failback configured
・NC-34149 [nSXLd] Keywords are not deleted when custom web category is deleted
・NC-37809 [nSXLd] Proxy authentication is not cleared after config reload
・NC-38125 [SSLVPN] Unable to edit SSLVPN (remote access) page
・NC-35500 [UI Framework] Apache service start fails if webadmin certificate passphrase having single quote character
・NC-35682 [WAF] Unable to edit and load business app rule for WAF
・NC-37178 [Web] Name should not be pre-filled while creating new overrides
・NC-37179 [Web] Improve UI for adding website domains to an Application Override
Issues Resolved in EAP0
・NC-29648 [Base System] If Default CA is not configured, Generate CSR option should be disabled
・NC-29906 [Base System] Unable to edit NTP server when 10 servers are configured
・NC-30497 [Base System] [VMware] SFOS Guest OS detail shows wrong/missing
・NC-30635 [Base System] Missing focus after closing dialog when editing default certificate
・NC-31010 [Base System] Configuration import running into timeout on SG/XG 100 series appliances
・NC-31100 [Base System] Upgrade notification pop-up does not work in some cases
・NC-35536 [Base System] OpenSSL - Denial of service during forward secrecy setup (CVE-2018-0732)
・NC-34154 [Clientless Access] Unable to connect RDP type bookmark with NLA
・NC-34803 [Email] Possible denial-of-service due to secure client-initiated renegotiation
・NC-35175 [Email] Sophos XG is not adding received-by header as per RFC 5321
・NC-35256 [Email] Invalid XML is generated for Email -> General Settings -> Blocked Senders
・NC-35915 [Email] "POP-IMAP Scanning" policy generated XML does not contain information of filter criteria "Source IP/Network Address"
・NC-26440 [Firewall] Firewall rule dropping traffic when there is no user identity attached to the rule
・NC-30989 [Firewall] CVE-2018-8897: Don't use IST entry for #BP stack
・NC-31282 [Firewall] Firewall rule group entity name not sent to SFM upon insert/update/delete
・NC-22889 [Hardware] XG85: poweroff command reboots the device instead of shutting it down
・NC-21909 [IPsec] Do not show empty-value-warning on page entry
・NC-30319 [IPsec] Backup fails import when containing IPv6 remotes
・NC-30462 [IPsec] Site-to-Site connection not initiated after DHCPv6 interface update
・NC-30618 [IPsec] New virtual IP on every Phase 1 rekey even though client requests same IP
・NC-30794 [IPsec] NAT checkbox is always enabled in IE11
・NC-30796 [IPsec] Local gateway selection shows invalid interface in IE11
・NC-33410 [IPsec] VPN Connection Status shows 'Any' on both sides even when configured only on one side
・NC-22604 [Logging] GUI alignment issue when sender name or subject is longer
・NC-25714 [Logging] Firewall rule ID in log viewer not linking to actual rule anymore
・NC-29974 [Network Services] Disconnect PPPoE interface doesn't update corresponding interface based DNS static entry
・NC-30753 [Network Services] DGD service in stopped state and segmentation fault
・NC-33876 [Network Services] IPset command shows wrong information for wildcard and FQDN Host
・NC-30483 [Networking] Port and IP address may show "undefined" in WAN Link Manager "Failover Rules"
・NC-30493 [Networking] Link status not updated in WAN Link Manager when RA client has no IP address
・NC-30544 [Networking] Full and selective configuration import fails when bridge innterface configured in WAN zone
・NC-31399 [Networking] Full backup import fails when bridge member interface is LAG
・NC-33628 [Networking] LAG mode related configuration missing on configuration export
・NC-34573 [Networking] Configuration changes of CFM not propagated to XG
・NC-20785 [Reporting] PDF export of reports taking much time or failing completely
・NC-26459 [Reporting, UI Framework] Reports for "Traffic Insight" not shown on dashboard
・NC-29573 [Reporting] Sending of scheduled reports does not consider changes of daylight saving time
・NC-31243 [Reporting] Table headers in reports span two lines and cannot be seen
・NC-32490 [Reporting] Unable to click "PDF", "CSV", "Bookmark" or "Schedule" under "Report > Applicazioni & Web" when WebAdmin language is Italian
・NC-28206 [SecurityHeartbeat] Heartbeat deamon does not handle all allowed MAC address formats correctly
・NC-32459 [SecurityHeartbeat] Endpoint name in StoneWall message
・NC-32580 [SecurityHeartbeat] Extend StoneWall protocols/messages
・NC-34169 [SSLVPN] Fail to access SSLVPN (site-to-site) page after any tunnel modification
・NC-30984 [Synchronized App Control] [SAC] improve usability
・NC-30987 [Synchronized App Control] [SAC] no action "acknowledge" for acknowledged apps
・NC-30988 [Synchronized App Control] [SAC] filter with deleted apps should be last in the dropdown field
・NC-28064 [WAF] Form hardening sets block-reason only in case of GET requests
・NC-25805 [Web] Handle non-compliant HTTP status code 999
・NC-27519 [Web] Proxy continues to download files in batch mode even if client closes connection
・NC-28851 [Web] Default Web policies contain duplicate rules
・NC-29305 [Web] "Expect" header not handled correctly
・NC-31837 [Web] Add "alert.hitmanpro.com" to proxy bypass list
・NC-33650 [Web] Enabling web content cache for Sophos Updates blocks further updates
【追記】
SFOS 17.5.1 MR-1がリリース。
リリースノート
【更に追記】
MR2は飛んでSFOS 17.5.3 MR-3がリリース。
リリースノート
【更に追記】
SFOS 17.5.4 MR4がリリース。されたと思ったら不具合があったからMR4-1が更にリリース。
リリースノート
アップデート後から「次回のメジャー機能リリースで、HTTP/S ブックマーク機能が終了されます。代わりに、Web Server Protection ルールを使用してください。」(英語版は「Retiring HTTP/S bookmarks in the next major feature release. Use web server protection rules as an alternative.」)の警告が。
多分VPNのブックマークの話と思われるけど、今のところWeb Server Protectionとの関係がよく分からない。
【更に追記】
SFOS 17.5.5 MR-5がリリース。
リリースノート
【更に追記】
SFOS 17.5.6 MR-6がリリース。
リリースノート
【更に追記】
SFOS 17.5.7 MR-7がリリース。
リリースノート
適用後からDHCPリーステーブル表示がおかしくなってるよう。
また、17.5.5以降、DHCPクライアントがゲートウェイを取得できないといった申告もあるようです。
【更に追記】
DHCPリーステーブルの表示がおかしかったのは放っておいたら直ってました。
表示に時間かかった感じなのかも。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
ざっと見た感じいまいち恩恵のある変化はありませんが、個人的に嬉しかったのはファイアウォールポリシー内でポリシーグループ変更が可能になって容易に入れ替えができるようになったところかな。
これまでは別のグループに移すのに一旦グループから外して、別のグループに入れてって割と面倒だったのでね。
待ち望んでいる改修は今回もなかったし。
What's New in XG Firewall v17.5
Lateral Movement Protection
Lateral Movement Protection extends our Security Heartbeat automated threat isolation to prevent any threat from moving laterally or spreading across the network, even on the same subnet. The firewall instructs all healthy endpoints to completely isolate any unhealthy endpoints.
Synchronized User ID
Synchronized User ID utilizes Security Heartbeat™ to greatly streamline authentication for user-based policy enforcement and reporting in any Active Domain network by eliminating the need for any kind of server or client agent.
Education Features
Education Features such as per-user policy-based control over SafeSearch and YouTube restrictions, teacher enabled block-page overrides, and Chromebook authentication support.
Email Features
Sender Policy Framework (SPF) anti-spoofing protection and a new MTA based on Exim which closes a couple of top requested feature differences with SG Firewall is added.
IPS Protection
IPS is enhanced with greatly expanded categories enabling you to better optimize your performance and protection.
Management Enhancements
Management including enhanced firewall rule grouping with automatic group assignment, a custom column selection for the log viewer and revamped online help with learning content approach.
VPN and SD-WAN Failover and Failback
New IPSec failover and failback controls and SD-WAN link failback options.
Client Authentication
Client Authentication gets a major update with a variety of new enhancements such as per-machine deployment, a logout option, support for wake from sleep, and MAC address sharing.
Sophos Connect
Sophos Connect is our new IPSec VPN Client that’s free for all XG Firewall customers that makes remote VPN easy for users and supports Synchronized Security.
Additionally
Coming in a following Maintenance Release we have:
・Wireless APX Access Point Support provides support for the new Wave 2 access points providing faster connectivity and added scalability.
・Airgap Support for deployments where XG Firewall can’t get updates automatically via an internet connection (due to an “airgap” or physical isolation) – Patterns and Licenses can now be updated manually.
・Sophos Central Management of XG Firewall With v17.5, XG Firewall is also joining Sophos Central. The Early Access Program for Sophos Central Management of XG Firewall is expected to start soon.
You will be able to manage XG Firewall from within Sophos Central along with all your other Sophos Central products. And there’s a few great new features coming along with Sophos Central Management of XG Firewall:
・Secure access and management with single-sign-on through Sophos Central from anywhere
・Backup management and storage for your regularly scheduled firewall backups
・Firmware update management to make multiple firewall updates easy
・Light-touch deployment to enable easy remote setup of a new Firewall
Notes
・Enforcement of search engine Safe Search and additional image filters is now configurable per-web policy and is no longer a global option. The settings have been moved from Web >> General Settings into the additional options that are available when editing a web policy. In addition, configuration for YouTube restrictions have been broken out into a separate option.
Product behaviour will be preserved on upgrade by automatically migrating the existing global settings to all existing web policies.The exceptions to this are the following built-in, uneditable policies: Allow All, Deny All and ClPA-Compliance. KBA 123589
・IPS now with Cisco Talos IPS library and more granular IPS categories KBA 133197
・XG Firewall v17.5 has incorporated new Avira virus scan engine v4.x. When v17.5 will boot for the first time, it will download full (not incremental) Avira patterns approx. ~90 MB and reload virus scan engine. This may take a few seconds or minutes based on the bandwidth. In this duration, web and email traffic will be blocked. Blocked emails will stay in email spool and it shows reason as malware scan failed. However, these emails will be delivered once the engine is up after reload. KBA 133165
Issues Resolved
・NC-39029 [Authentication] Show proper error message in UI if you enter an used port in Chromebook SSO configuration
・NC-39212 [Authentication] CSD: make sure the userSessions map is not overwritten
・NC-39532 [Authentication] Migration from 17.1 fails if host definition for "*.gstatic.com" exists
・NC-39677 [Authentication] Success message shown in ui even though deleting a user fails
・NC-37683 [Base System] cURL (libcurl) NTLM Authentication Code Buffer Overrun Vulnerability (CVE-2018-14618)
・NC-39192 [CM-Join-to-cloud] Appropriate status should update on SF and Sophos Central once FW is remove from Central and register again
・NC-36497 [Email] POP3 mails reach the proxy empty
・NC-38052 [Email] Subject not displayed properly in mail log with sender generated password method
・NC-38282 [Email] mail_sender opcode stuck in CSC
・NC-38470 [Email] Some reason filters on mail log page are not working as expected
・NC-38571 [Email] Port validation not working when adding new port in SMTP via CLI
・NC-39233 [Email] Email delivery failed for some recipients when email containing 512 recipients
・NC-39280 [Email] Error message 'Relay not permitted' when sending an inbound mail to email address base profile
・NC-39379 [Email] Bad (malformed syntax) mails should be displayed separately from network failed emails on UI
・NC-39454 [Email] Mail doesn't get formatted properly when file filter protection applied
・NC-39513 [Email] Network type IP host should not allowed to add in exception policy
・NC-39668 [Email] RDNS check should be applied to inbound emails only
・NC-39737 [Email] Mail from header changed when wrong "Return-Path" used in smart host deployment
・NC-39953 [Email] Email attachments get corrupted with BDAT
・NC-38505 [IPS] IPS policy backup is not created while applying signature upgrade
・NC-39687 [IPS] IPS log filling up with entries and causing problems for legitimate traffic
・NC-39083 [IPsec] IPsec: charon starts parsing fragmented messages before they are reassembled
・NC-38832 [Network Services] Issue with wildcard FQDN based rule
・NC-37817 [UI Framework] SAC tab not loaded because of OutOfMemory error
・NC-39310 [UI Framework] Control Center: Icons for VPN and Connections have been switched
・NC-38184 [Web] Check settings functionality is not working from device level of firewall manager(SFM)
・NC-38844 [Web] Web Policy Override not working in HA(A-A) mode if traffic served from Aux appliance
・NC-39039 [Web] When "Drop connection" feature is enabled, blocked/warned events are not logged correctly
Issues Resolved in EAP1
・NC-32763 [Authentication] Importing users with .csv file having usernames with Thai characters creates junk character
・NC-34340 [Authentication] Users not getting authenticated via Radius SSO
・NC-37091 [Authentication] Show error when Chromebook SSO is not configured correctly
・NC-37300 [Authentication] Create FQDN Hosts and Groups for Chromebook
・NC-38381 [Authentication] "Record does not exist" error when trying to open created LDAP server
・NC-36185 [Azure] Upgrade Linux VM Agent
・NC-38176 [Base System] garner memory corruption affecting RED
・NC-38471 [Base System] EULA not shown on GUI on Azure
・NC-38473 [Base System] Reading of /proc/timer_list file leads to NMI watchdog soft lockups
・NC-31499 [Email] Unable to send .eml attachments to specific domain
・NC-32682 [Email] SPX generates password for same email recipient in different case
・NC-32690 [Email] SPX encryption corrupting attachments by adding line breaks
・NC-32754 [Email] XG not able to insert spool query
・NC-33360 [Email] Add missing header fields in notification emails
・NC-33391 [Email] Quarantine digest and released emails not sent
・NC-33977 [Email] Unable to release unscannable quarantined emails
・NC-34450 [Email] Fail to send email notifications
・NC-35494 [Email] UI hangs when user selects specific date on SMTP quarantine page
・NC-36612 [Email] Cross version import/export not working for exception policy
・NC-37849 [Email] Console command 'subsystem-info' shows awarrensmtp and smtpd service with same name
・NC-37945 [Email] Scanner crash on low end devices due to high number of forwarders
・NC-38005 [Email] Improper IP reputation reject status message in mail log
・NC-38013 [Email] Typo in Authentication Relay drop message
・NC-38015 [Email] Emails moved to error queue when header part is big
・NC-38021 [Email] Return-Path/Reply-To header ignored while sending failure notifications
・NC-38252 [Email] Add support of email based routing and RBL scanning
・NC-38257 [Email] No reason logged in mail logs for mails dropped due to file filter
・NC-38297 [Email] Improper label in exception policy at device level from SFM
・NC-38312 [Email] SFM pushes exception policy to firewalls even in legacy mode
・NC-38391 [Email] Core dump in mail scanner
・NC-38392 [Email] Notifications are logged with '0 bytes' in MailLogs
・NC-38501 [Email] SPX fails to encrypt on hardware appliances when SPX reply portal is enabled template
・NC-39024 [Email] Do not allow multi use for port 587
・NC-32530 [Firewall] Post-Authentication SQL injection in Firewall User Interface
・NC-34612 [Firewall] Appliance frequently rebooting when having IPv6 permitted networks for remote access SSLVPN
・NC-34675 [Firewall] Live connections page not showing connection list
・NC-35656 [Firewall] Internet access being lost, SFOS consuming all memory.
・NC-35660 [Firewall] MAC address missing in export of MAC list having only one list member
・NC-37274 [Firewall] SMTP MTA mode does not support TCP port 587
・NC-37760 [Firewall] Misleading message when adding rule using automatic grouping and group has already 200 rules
・NC-37992 [Firewall] Transferred data not shown in firewall rules when reaching tera bytes
・NC-36318 [IPS, SFM-SCFM] Application filter policy rule not containing any application being pushed from SFM is not applied on SF
・NC-36565 [IPS] Category replacement not working on export/import
・NC-38347 [IPS] Category based IPS policy import not mapping to Talos categories
・NC-30016 [IPsec] Merged IKE gets deleted when one connection is disabled in UI
・NC-32269 [IPsec] GRE traffic forwarded through WAN interface after HA failover event
・NC-34131 [IPsec] L2TP still connects after user was disabled
・NC-38310 [IPsec] IPsec site-to-site tunnel not established with Cisco ASA and gateway type "Initiate the connection"
・NC-39059 [Localization] Using "state" causes mistranslations
・NC-36455 [Networking] WWAN is not connected automatically at boot time if the primary WAN link is disconnected/down
・NC-36720 [Networking] Traffic might flow via backup gateway even hard gateway failback configured
・NC-34149 [nSXLd] Keywords are not deleted when custom web category is deleted
・NC-37809 [nSXLd] Proxy authentication is not cleared after config reload
・NC-38125 [SSLVPN] Unable to edit SSLVPN (remote access) page
・NC-35500 [UI Framework] Apache service start fails if webadmin certificate passphrase having single quote character
・NC-35682 [WAF] Unable to edit and load business app rule for WAF
・NC-37178 [Web] Name should not be pre-filled while creating new overrides
・NC-37179 [Web] Improve UI for adding website domains to an Application Override
Issues Resolved in EAP0
・NC-29648 [Base System] If Default CA is not configured, Generate CSR option should be disabled
・NC-29906 [Base System] Unable to edit NTP server when 10 servers are configured
・NC-30497 [Base System] [VMware] SFOS Guest OS detail shows wrong/missing
・NC-30635 [Base System] Missing focus after closing dialog when editing default certificate
・NC-31010 [Base System] Configuration import running into timeout on SG/XG 100 series appliances
・NC-31100 [Base System] Upgrade notification pop-up does not work in some cases
・NC-35536 [Base System] OpenSSL - Denial of service during forward secrecy setup (CVE-2018-0732)
・NC-34154 [Clientless Access] Unable to connect RDP type bookmark with NLA
・NC-34803 [Email] Possible denial-of-service due to secure client-initiated renegotiation
・NC-35175 [Email] Sophos XG is not adding received-by header as per RFC 5321
・NC-35256 [Email] Invalid XML is generated for Email -> General Settings -> Blocked Senders
・NC-35915 [Email] "POP-IMAP Scanning" policy generated XML does not contain information of filter criteria "Source IP/Network Address"
・NC-26440 [Firewall] Firewall rule dropping traffic when there is no user identity attached to the rule
・NC-30989 [Firewall] CVE-2018-8897: Don't use IST entry for #BP stack
・NC-31282 [Firewall] Firewall rule group entity name not sent to SFM upon insert/update/delete
・NC-22889 [Hardware] XG85: poweroff command reboots the device instead of shutting it down
・NC-21909 [IPsec] Do not show empty-value-warning on page entry
・NC-30319 [IPsec] Backup fails import when containing IPv6 remotes
・NC-30462 [IPsec] Site-to-Site connection not initiated after DHCPv6 interface update
・NC-30618 [IPsec] New virtual IP on every Phase 1 rekey even though client requests same IP
・NC-30794 [IPsec] NAT checkbox is always enabled in IE11
・NC-30796 [IPsec] Local gateway selection shows invalid interface in IE11
・NC-33410 [IPsec] VPN Connection Status shows 'Any' on both sides even when configured only on one side
・NC-22604 [Logging] GUI alignment issue when sender name or subject is longer
・NC-25714 [Logging] Firewall rule ID in log viewer not linking to actual rule anymore
・NC-29974 [Network Services] Disconnect PPPoE interface doesn't update corresponding interface based DNS static entry
・NC-30753 [Network Services] DGD service in stopped state and segmentation fault
・NC-33876 [Network Services] IPset command shows wrong information for wildcard and FQDN Host
・NC-30483 [Networking] Port and IP address may show "undefined" in WAN Link Manager "Failover Rules"
・NC-30493 [Networking] Link status not updated in WAN Link Manager when RA client has no IP address
・NC-30544 [Networking] Full and selective configuration import fails when bridge innterface configured in WAN zone
・NC-31399 [Networking] Full backup import fails when bridge member interface is LAG
・NC-33628 [Networking] LAG mode related configuration missing on configuration export
・NC-34573 [Networking] Configuration changes of CFM not propagated to XG
・NC-20785 [Reporting] PDF export of reports taking much time or failing completely
・NC-26459 [Reporting, UI Framework] Reports for "Traffic Insight" not shown on dashboard
・NC-29573 [Reporting] Sending of scheduled reports does not consider changes of daylight saving time
・NC-31243 [Reporting] Table headers in reports span two lines and cannot be seen
・NC-32490 [Reporting] Unable to click "PDF", "CSV", "Bookmark" or "Schedule" under "Report > Applicazioni & Web" when WebAdmin language is Italian
・NC-28206 [SecurityHeartbeat] Heartbeat deamon does not handle all allowed MAC address formats correctly
・NC-32459 [SecurityHeartbeat] Endpoint name in StoneWall message
・NC-32580 [SecurityHeartbeat] Extend StoneWall protocols/messages
・NC-34169 [SSLVPN] Fail to access SSLVPN (site-to-site) page after any tunnel modification
・NC-30984 [Synchronized App Control] [SAC] improve usability
・NC-30987 [Synchronized App Control] [SAC] no action "acknowledge" for acknowledged apps
・NC-30988 [Synchronized App Control] [SAC] filter with deleted apps should be last in the dropdown field
・NC-28064 [WAF] Form hardening sets block-reason only in case of GET requests
・NC-25805 [Web] Handle non-compliant HTTP status code 999
・NC-27519 [Web] Proxy continues to download files in batch mode even if client closes connection
・NC-28851 [Web] Default Web policies contain duplicate rules
・NC-29305 [Web] "Expect" header not handled correctly
・NC-31837 [Web] Add "alert.hitmanpro.com" to proxy bypass list
・NC-33650 [Web] Enabling web content cache for Sophos Updates blocks further updates
【追記】
SFOS 17.5.1 MR-1がリリース。
リリースノート
【更に追記】
MR2は飛んでSFOS 17.5.3 MR-3がリリース。
リリースノート
【更に追記】
SFOS 17.5.4 MR4がリリース。されたと思ったら不具合があったからMR4-1が更にリリース。
リリースノート
アップデート後から「次回のメジャー機能リリースで、HTTP/S ブックマーク機能が終了されます。代わりに、Web Server Protection ルールを使用してください。」(英語版は「Retiring HTTP/S bookmarks in the next major feature release. Use web server protection rules as an alternative.」)の警告が。
多分VPNのブックマークの話と思われるけど、今のところWeb Server Protectionとの関係がよく分からない。
【更に追記】
SFOS 17.5.5 MR-5がリリース。
リリースノート
【更に追記】
SFOS 17.5.6 MR-6がリリース。
リリースノート
【更に追記】
SFOS 17.5.7 MR-7がリリース。
リリースノート
適用後からDHCPリーステーブル表示がおかしくなってるよう。
また、17.5.5以降、DHCPクライアントがゲートウェイを取得できないといった申告もあるようです。
【更に追記】
DHCPリーステーブルの表示がおかしかったのは放っておいたら直ってました。
表示に時間かかった感じなのかも。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
Sophos XG Firewall Home Editionのファームウェア、SFOSのv17.0系から17.1系へのマイナーバージョンアップとしてGA版(General Availability)がリリースされました。
今回は管理コンソール上に利用可能な最新ファームウェアとして出てくれなかったので手動でファームウェアファイルをアップロードして適用しました。
HA構成にしてから手動アップロードでのアップデートは初になります。
バージョンは「SFOS 17.1.0 GA(SFOS 17.1.0-152)」になります。
今回は管理コンソール上に利用可能な最新ファームウェアとして出てくれなかったので手動でファームウェアファイルをアップロードして適用しました。
HA構成にしてから手動アップロードでのアップデートは初になります。
バージョンは「SFOS 17.1.0 GA(SFOS 17.1.0-152)」になります。
手動アップロードからの適用は動きが分からなかったのでとりあえずSlave(Auxiliary)側から実施してみようとしましたが、案の定、「設定を追加/変更する権限がありません。」と怒られました。

仕方ないのでMaster(Primary)側から実施する事に。
手動アップロードでのアップデートはv16.0のアップデート時「おうちでUTM F/W - Sophos XG Firewall SFOS v16 メジャーアップデート編」と同様の手順になります。
で、ダウンロードしてきた「VI-17.1.0_GA.VMW-152.gpg」を「アップロード&再起動」で適用開始すると「おうちでUTM F/W - Sophos XG Firewall HA構成でのファームウェアアップデート編」で実施した「利用可能な最新ファームウェア」からダウンロード適用した時と同様の順序で適用されました。
Slave側にも転送してくれるんですね、手動でアップロードしても。
この辺りは良くも悪くもブレないのはさすがです。
変化点はマイナーバージョンアップなのでそこまで多くはありません。
一番変わったのはある意味、ログイン画面のロゴかもしれない。

機能面で新機能は
■クラウドアプリケーション可視化
・CASB(Cloud Access Security Broker)、通称キャスビーの実装でクラウドアプリケーションの可視化ができるように。(HTTPSスキャンの有効化が必要です。)
■App Control同期
・クラウド型エンドポイントのSophos Centralと同期させてセキュリティ制御するセキュリティハートビートでのアプリケーション管理が更に強化。
■電子メールセキュリティ
・より柔軟なSMTPポリシー例外をサポート。ドメインやアドレスでのホワイトリスト、ブラックリスト実装。
■SSL VPNポートオプション
・SSL VPNリスニングポートカスタマイズオプション。(一番実装が求められていた機能らしい。)
■ファイアウォール機能拡張
・ファイアウォールルールをダブルクリックで編集画面に入れるようになった。
・Googleが開発しているUDPをベースとしたWebプロトコル、QUIC(Quick UDP Internet Connections)が使われている場合にUDP over HTTPSをブロックして、TCPのHTTP/Sを強制させるオプションが追加。

・ACL例外を定義する柔軟性が追加(らしい。どの事かは今のところ見つけられず。)
■ワイヤレス機能拡張
・GUIからチャネル幅設定、Radius Accountingといったオプションの機能拡張。
■IPSec VPN IKEv2強化
・IPSec VPN接続に新しいIKEv2サポート導入。
■新しいハードウェアのサポート
・そのまま。仮想版には関係なし。
とまあ、個人的にはあまり関係のない機能追加ばかりでした。
HA構成で手動アップロードでのアップデート手順確立が一番の収穫だったかも。(基本的に一緒だったけど。)
まあ、以下がリリースノートになりますが、複数のバグフィックス等もされているのでアップデートはした方がいいのかなと。
What's New
Check out all the enhancements in XG Firewall v17.1 including the new Cloud Application Visibility feature in our XG Firewall v17.1 demo video.
Cloud App Visibility - brings the visibility pillar of CASB to XG Firewall, providing quick and easy Shadow IT discovery and visibility into data that may be at risk in cloud applications with great reporting on users and volume of data being uploaded and downloaded from cloud services.
Synchronized App Control - gets further enhancements in managing newly discovered applications, including options to search, filter, and delete applications. You’ll also see the category assigned to the discovered app in the list for easy reference.
Email Security - adds user management over individual SMTP block and allow lists via the User Portal. Domains or email addresses added to the Allow list will bypass policies (except for malware or sandboxing enforcement) and adding domains or addresses to the block list will automatically quarantine emails from those senders. In addition, more flexible SMTP policy exceptions are supported to provide parity with Sophos SG UTM.
SSL VPN Port Option - one of the most requested features on XG Firewall is the option to customize the SSL VPN listening port.
Firewall Enhancements - Enhancements have been made to the firewall and rule management to improve flexibility and streamline management even further. You can now double-click a firewall rule in the list to open it for editing. There's a new option to block Google QUIC's HTTPS over UDP forcing a fallback to TCP enabling full SSL inspection of the traffic. And there is now added flexibility in defining ACL exceptions to restrict access to services like the User Portal from a single alias, for example.
Wireless Enhancements - XG Firewall v17.1 provides wireless networking enhancements including the option to set the channel width for wireless radios in the GUI as well as Radius Accounting.
IPSec VPN IKEv2 Enhancements - XG Firewall v17 introduced new IKEv2 support for IPSec VPN connections and all stability and reliability enhancements, included in subsequent maintenance releases, are included with v17.1.
New Hardware Support - Support for the latest XG Series desktop hardware connectivity and features, unveiled in an earlier maintenance release, is also included in XG Firewall v17.1
You can find the PDF of what's new here: Sophos XG Firewall v17.1 Whats New.pdf.
Notes
In case you are managing your Firewalls using SFM/CFM, Firewalls running SFOS 17.1 GA won’t accept application filter rules when applied from a device group or template. You can manage application rules from the device-level view in SFM/CFM until this limitation is addressed in SFOS 17.1 MR-1.
Issues Resolved
NC-31554 [Base System] Missing color indication for ATP widget
NC-31662 [Base System] Change of the XG Firewall login screen
NC-31484 [Email] Emails are not removed from spool after update to SF 17.0 MR8
NC-31514 [Firewall] Editing IPv6 host is not possible
NC-31030 [SSLVPN] Remove misleading message "Port 443 is already in use by User Portal"
NC-31615 [Web] Remove file type data columns in cloud application dashboard
Issues Resolved in Beta3 build
NC-30212 [Base System] Device displays fail message for SFM/CFM heartbeat
NC-29075 [Email] Unable to update mail spool if mail address contains special character (')
NC-29757 [Email] CVE-2011-1473: POP/IMAP - Secure Client-Initiated Renegotiation vulnerability
NC-30160 [Email] Option "Skip mails (for malware scan) greater than" is not working for outbound traffic
NC-30183 [Email] Notification test email fails with authentication when mail send without saving configuration
NC-30303 [Email] Possible authenticated remote code execution in mail_sender
NC-30649 [Email] Permissions for Email protection are not exported correctly
NC-29216 [Firewall] Separate out filter and NAT table chains for IPsec in two different services
NC-29505 [Firewall] Traffic shaping rule for firewall has wrong default policy association
NC-29776 [Firewall] After migrating from CR to SF DNAT rules stop working after every reboot
NC-29990 [Firewall] Import/Export of destination local acl always set to "any" if any port is selected before
NC-30037 [Firewall] Validation missing if IPv4 is selected as IP version
NC-30197 [Firewall] Firewall rule filter is not working from second page onwards
NC-30588 [Firewall] Policy Tester ignores IP host groups in the firewall rule
NC-30766 [Firewall] Unauthenticated XSS in diagnostics component
NC-30871 [Firewall] Japanese column header not displayed in the right place in Protect -> Firewall
NC-19980 [Framework(UI)] Filter search containing backslash char will not find the match
NC-30575 [Framework(UI)] VPN FO Group selection widget doesn't display correctly in Chrome
NC-28826 [HA] HA migration does not complete if dedicated link goes down during migration process
NC-29572 [IPsec] GUI allows admin to select external certificate for Remote Certificate for IPsec Connection for Remote Access
NC-30830 [IPsec] CVE-2018-10811 & memleak: Import upstream strongswan patches
NC-30979 [IPsec] IPsec route can disappear if two connections use the same
NC-29889 [Network Services] Unable to lease the IP to some users
NC-31017 [RED] RED S2S client does not work with routed server address
NC-29733 [Reporting] Showing unknown character for Current HA status under reports with HA
NC-29846 [Reporting] Sort by Users/Byte is not working on Cloud Applications page
NC-30155 [Reporting] Wrong label displayed for widget of Cloud Application
NC-30190 [Reporting] Records are not displaying in HTML export for "Records Per Chart 25 and more" for some widget of Cloud application
NC-28789 [Sandstorm] ExcludeSandstormFileTypes is not available in SandboxSettings XMLAPI data
NC-27461 [SFM-SCFM] Compatibility v17: Firewall UI issues at device level
NC-28913 [SFM-SCFM] Compatibility v17: Appliance unsync when applying L2TP (Remote Access) or IPSEC configuration
NC-29907 [SSLVPN] Not able to edit SSL VPN (Remote Access) policy
NC-30847 [SSLVPN] Unable to set user portal port to SSL VPN port
NC-29278 [Synchronized App Control] Renaming an Endpoint does not update SAC table
NC-29820 [Synchronized App Control] No new logs since 2 days - /tmp is full on XG85
NC-31020 [Synchronized App Control] Synchronized Application Control page is taking too long to load
NC-31229 [Synchronized App Control] SAC data table not loaded after migration to v17.1 Beta1
NC-30054 [UI] Device Access page showing error on Auxiliary machine
NC-29602 [WAF] API Get for SecurityPolicy does not return Traffic Shaping settings for the policy
NC-29876 [WAF] Website hosted over WAF taking more time to load when Common Threat Filter enabled
NC-30448 [WAF] Rewrite HTML for site path with special characters leads to memory allocation failure
NC-28699 [Web] Cloud Applications Control center widget - spacing issue
NC-28762 [Web] After power failure, Android devices captive portal does not disappear after logging in
NC-29002 [Web] API Import for WebFilterPolicy with dependent entities failed
NC-29164 [Web] Proxy drops HTTP Response when 100 and 200 in same packet
NC-29166 [Web] AV files served from cache are not scanned if 'scan av' flag enabled after file was cached
NC-29385 [Web] Data mismatch for Control Center and reporting widget for Cloud Application
NC-29479 [Web] Usercache is not updated when classification set through AppClassificationBatchAssignment
NC-29504 [Web] Captive Portal customization Reset to Defaults does not work
NC-29601 [Web] Policy Test Tool not working
NC-29809 [Web] When cloud dash board page contains more than 10 apps, some apps will not show app-icon warning exclamation triangle mark when changing app classification
NC-29984 [Web] WebFilterURLGroup API Doc is misleading
NC-30606 [Web] Fail to change application classification when changing to other languages
NC-30682 [Web] Cloud Applications page loading failed in XG85 appliance
NC-31042 [Web] Cloud Applications dashboard column names have overlapping text in French
NC-27033 [Wireless] Pending text is wrapping to next line for Wireless APs counter
NC-27535 [Wireless] UI is not displaying WiFi client's IP when multiple clients are connected to AP
NC-28763 [Wireless] UI displays AP as inactive even if AP was active
NC-28765 [Wireless] AP goes in inactive mode when used "2.4 Ghz and 5 Ghz" Frequency band
NC-29419 [Wireless] Not able to configure channel 12 and channel 13 on Desktop refresh devices
NC-29988 [Wireless] Wireless network update is not reflecting when it is assigned to LocalWiFi1(OptionalWiFi)
Issues Resolved in Beta2 build
NC-29977 [WAF] Reverse authentication: Access possible for empty protection profile
Issues Resolved in Beta1 build
NC-28797 [Access] User Edit page doesn't load for some users who are part of multiple groups
NC-26797 [API] HA devices update from MR2 to MR3 result in primary unit being factory reset
NC-22530 [Authentication] Webfilter policy is not working for auto-created AD user
NC-28175 [Authentication] Customer from NC-21823 has updated and getting segfault for access_server
NC-16090 [Base System] Source port changes to random over IPSec VPN
NC-25783 [Base System] Import certificate option is missing for CSR
NC-26328 [Base System] Additional CPU cores not detected in v17 after license upgrade
NC-27022 [Base System] Import from configuration failed due to too long certificate name
NC-27076 [Base System] Ping utility not working
NC-27263 [Base System] Incorrect interface speed is shown via SNMP
NC-28033 [Base System] Packet capture and connection list issue
NC-28220 [Base System] Garner active.db file size is too big in /tmp/eventlogs due to LogViewer output plug-in
NC-28566 [Base System] Garner service restarts
NC-27087 [Certificates] Default CA regeneration fails
NC-27853 [DDNS] DynDNS update does not happen in the configured time range
NC-28177 [DNS] Unable to resolve DNS of services.vip.symantec.com when registering it in Services/FQDN Host
NC-22864 [Firewall] Quick QUIC block
NC-22878 [Firewall] Allow user to edit rule while double clicking on the rule
NC-22927 [Firewall] NATPolicy API export fails when it contains NAT profile created on network
NC-26433 [Firewall] Captive Portal access issue for Android devices
NC-26560 [Firewall] One time schedule in firewall rule for VPN traffic doesn't block traffic when schedule expires
NC-27004 [Firewall] Unable to send email due to Default Internet Scheme Policy
NC-27164 [Firewall, Performance] LAN interface become unresponsive
NC-28025 [Firewall] Policy Tester ignores service groups in the firewall rule
NC-28710 [Firewall] Display of firewall rule in Firewall Group overlaps with display of action
NC-28756 [Firewall] Appliance inaccessible after the backup restore
NC-28785 [Firewall] Packet capture log is empty when opened via hyperlink in log viewer for IPv6
NC-28791 [Firewall] Sometimes VPN is not working when bridge has WAN interface
NC-28800 [Firewall] Firewall Rule ID is shown with an incorrect ID
NC-29379 [Firewall] HA Aux appliance goes in failsafe mode when failed to load LBS module (occurs only in specific IPv6 condition)
NC-29243 [Framework(UI)] Subnet creation is broken for IE11
NC-25854 [HA] Disable HA fails on auxiliary appliance when LAG interface is used as peer admin port and a bridge interface is also configured in SFOS
NC-29040 [Hotspot] File name containing space is not working for images/stylesheets and logos of hotspots
NC-26514 [IPS] IPS core dumps with appliances in HA (A-A)
NC-27549 [IPS] ATP Exception is getting removed automatically
NC-28602 [IPS] Filter alignments in Application Filter Policy Rule are displayed incorrect
NC-29174 [IPS] IPS Policies are not being pushed out via SFM template
NC-25380 [IPsec] Add an option to auto create a Firewall rule
NC-22604 [Logging] GUI alignment issue when sender name or subject is longer
NC-26357 [Logging] Log viewer is not loading after adding any filter and read/write goes high after activity
NC-21745 [Mail Proxy] i18n file name is not displayed in log viewer and on sandstorm activity page for sandstorm module
NC-25746 [Mail Proxy] CVE-2012-4929: SSL/TLS CRIME Vulnerability on port 8094
NC-26472 [Mail Proxy] AwarrenMTA: few mails appear on queue after delivery (DB connect fail)
NC-26930 [Mail Proxy] XG not able to update spool due to special characters in failure reason
NC-27240 [Mail Proxy] Unable to send emails due to auto routing to rcpt DNS in case of greylisting reply for MX
NC-27365 [Mail Proxy] Display issues with german umlauts in SPX Template
NC-28081 [Mail Proxy] Unable to save the SMTP policy when some MIME types are selected
NC-28364 [Mail Proxy] Email should be quarantined if scanning fails due to unscannable file
NC-28819 [Mail Proxy] Quarantined emails are not visible on SMTP Quarantine
NC-29018 [Mail Proxy] XG is unable to block email attachments when sent via Powershell v5.1
NC-29103 [Mail Proxy] Unable to release quarantine mails with special characters from spam digest
NC-29315 [Mail Proxy] CTIPD service should be stopped if Email or WAF subscription is not activated
NC-29319 [Mail Proxy] Unable to release false positive outbound spam emails
NC-29339 [Mail Proxy] CVE-2013-0169: Multiple SSL/TLS vulnerabilities - POP/IMAP
NC-29437 [Mail Proxy] Multi-level subdomain getting 501 syntax error while “Reject invalid HELO or missing RDNS” enabled
NC-29671 [Mail Proxy] AwarrenMTA restarts when used with high CCLs on certain mails
NC-21993 [Network Services] Static MAC-IP binding issue
NC-28815 [Network Services] CVE-2018-5732 and CVE-2018-5733: DHCP vulnerabilities
NC-27874 [Networking] IP address in static DHCP leases is shown incompletely
NC-28029 [Networking] Firewall configured as DHCP relay agent is generating flood on internal DHCP server
NC-28564 [Networking] Backup-Restore failed for different interface name devices when VDSL interface is configured
NC-29721 [Networking] HA failover is taking 10 minutes in v17.0 MR5
NC-28320 [nSXLd] URL Category Lookup provides different results for UI and command line
NC-27556 [PPTP] PPTP Remote Access fails when user name is not in lower case
NC-27881 [Qos] Unit for bandwidth parameter is incorrect on the Dashboard
NC-27942 [RED] XG red to XG red not connecting over MPLS network
NC-22787 [Reporting] Dashboard uses incorrect design for ATP and UTQ widgets
NC-22829 [Reporting] Reports section in Control Center gets stucked when "None" is configured as Admin Profile for "Reports Access"
NC-25786 [Reporting] Logo is not displayed properly in SAR report
NC-27046 [Reporting] "Search Key" filter not working for Google Search Engine
NC-28918 [Reporting] Unable to view Objectionable websites in Control Center and Reports
NC-29465 [Reporting] Not able to send mail digest - due to PG connections full
NC-26575 [SecurityHeartbeat] Heartbeat DB opcode sync command gets stuck
NC-27258 [SecurityHeartbeat] Ipset opcode stucks in HA setup
NC-28065 [SSLVPN] Port 8443 should be useable at any time when not used somewhere else
NC-28219 [SSLVPN] Site-Site SSLVPN: Routes aren't added with IP HOST Group in remote network
NC-23106 [Synchronized App Control] [SAC] Extended Filter/Search function in app Lists
NC-22122 [UI] CVE-2007-6750: Apache Partial HTTP Request Denial of Service Vulnerability for port 8443, 443, 4444
NC-26436 [WAF] Common Threat Filter should be disabled in default Outlook Anywhere Web Protection Policy
NC-28405 [WAF] Content gets lost when using form-hardening
NC-28944 [WAF] HTTPS Certificate Error when editing a Business Application Rule
NC-29483 [WAF] Creating IP host object inline leads to hanging SlowHTTP UI
NC-29650 [WAF] CVE-2018-1301: Possible out of bound access after failure in reading the HTTP request
NC-18038 [Web] Page redirections for authentication (and others) should use hostname not IP
NC-25617 [Web] Log virus name for unscannable content as "Unscannable" in the Web Virus report
NC-25745 [Web] CVE-2016-2183, CVE-2016-6329: SWEET32 SSL/TLS Vulnerability and Triple DES on port 8090
NC-26136 [Web] Change link of Guest User Registration on Captive Portal page into https
NC-27893 [Web] Unable to use apostrophe character in Captive Portal settings
NC-28457 [Web] No response when clicking on Captive Portal login button
NC-28601 [Web] Dynamic app filter rules which do not contain any applications is enforced for all applications
NC-28695 [Web] Block and warnpage previews use wrong template
NC-28759 [Web] Awarrenhttp segfaults when killed while scanning
NC-28792 [Web] IPS fails to close connections which are blocked by an app filter (causing proxy to timeout after 60 sec)
NC-28899 [Web] 'Block HTTP' option disappears if switching from a dynamic category to a non-dynamic one for an activity
NC-29124 [Web] Possible buffer overflow in Web Proxy's warn-proceed transformer
NC-5395 [Wireless] Wrong interface status shown on auxiliary appliance for wireless network
NC-19851 [Wireless] Support Radius Accounting on Remote APs & Local Wifi models
NC-26278 [Wireless] IP addresses not visible in Wireless Client List
NC-27261 [Wireless] Wizard is failing in XG85W(old model) after configuring SSID from wireless config page of wizard
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■

仕方ないのでMaster(Primary)側から実施する事に。
手動アップロードでのアップデートはv16.0のアップデート時「おうちでUTM F/W - Sophos XG Firewall SFOS v16 メジャーアップデート編」と同様の手順になります。
で、ダウンロードしてきた「VI-17.1.0_GA.VMW-152.gpg」を「アップロード&再起動」で適用開始すると「おうちでUTM F/W - Sophos XG Firewall HA構成でのファームウェアアップデート編」で実施した「利用可能な最新ファームウェア」からダウンロード適用した時と同様の順序で適用されました。
Slave側にも転送してくれるんですね、手動でアップロードしても。
この辺りは良くも悪くもブレないのはさすがです。
変化点はマイナーバージョンアップなのでそこまで多くはありません。
一番変わったのはある意味、ログイン画面のロゴかもしれない。

機能面で新機能は
■クラウドアプリケーション可視化
・CASB(Cloud Access Security Broker)、通称キャスビーの実装でクラウドアプリケーションの可視化ができるように。(HTTPSスキャンの有効化が必要です。)
■App Control同期
・クラウド型エンドポイントのSophos Centralと同期させてセキュリティ制御するセキュリティハートビートでのアプリケーション管理が更に強化。
■電子メールセキュリティ
・より柔軟なSMTPポリシー例外をサポート。ドメインやアドレスでのホワイトリスト、ブラックリスト実装。
■SSL VPNポートオプション
・SSL VPNリスニングポートカスタマイズオプション。(一番実装が求められていた機能らしい。)
■ファイアウォール機能拡張
・ファイアウォールルールをダブルクリックで編集画面に入れるようになった。
・Googleが開発しているUDPをベースとしたWebプロトコル、QUIC(Quick UDP Internet Connections)が使われている場合にUDP over HTTPSをブロックして、TCPのHTTP/Sを強制させるオプションが追加。

・ACL例外を定義する柔軟性が追加(らしい。どの事かは今のところ見つけられず。)
■ワイヤレス機能拡張
・GUIからチャネル幅設定、Radius Accountingといったオプションの機能拡張。
■IPSec VPN IKEv2強化
・IPSec VPN接続に新しいIKEv2サポート導入。
■新しいハードウェアのサポート
・そのまま。仮想版には関係なし。
とまあ、個人的にはあまり関係のない機能追加ばかりでした。
HA構成で手動アップロードでのアップデート手順確立が一番の収穫だったかも。(基本的に一緒だったけど。)
まあ、以下がリリースノートになりますが、複数のバグフィックス等もされているのでアップデートはした方がいいのかなと。
What's New
Check out all the enhancements in XG Firewall v17.1 including the new Cloud Application Visibility feature in our XG Firewall v17.1 demo video.
Cloud App Visibility - brings the visibility pillar of CASB to XG Firewall, providing quick and easy Shadow IT discovery and visibility into data that may be at risk in cloud applications with great reporting on users and volume of data being uploaded and downloaded from cloud services.
Synchronized App Control - gets further enhancements in managing newly discovered applications, including options to search, filter, and delete applications. You’ll also see the category assigned to the discovered app in the list for easy reference.
Email Security - adds user management over individual SMTP block and allow lists via the User Portal. Domains or email addresses added to the Allow list will bypass policies (except for malware or sandboxing enforcement) and adding domains or addresses to the block list will automatically quarantine emails from those senders. In addition, more flexible SMTP policy exceptions are supported to provide parity with Sophos SG UTM.
SSL VPN Port Option - one of the most requested features on XG Firewall is the option to customize the SSL VPN listening port.
Firewall Enhancements - Enhancements have been made to the firewall and rule management to improve flexibility and streamline management even further. You can now double-click a firewall rule in the list to open it for editing. There's a new option to block Google QUIC's HTTPS over UDP forcing a fallback to TCP enabling full SSL inspection of the traffic. And there is now added flexibility in defining ACL exceptions to restrict access to services like the User Portal from a single alias, for example.
Wireless Enhancements - XG Firewall v17.1 provides wireless networking enhancements including the option to set the channel width for wireless radios in the GUI as well as Radius Accounting.
IPSec VPN IKEv2 Enhancements - XG Firewall v17 introduced new IKEv2 support for IPSec VPN connections and all stability and reliability enhancements, included in subsequent maintenance releases, are included with v17.1.
New Hardware Support - Support for the latest XG Series desktop hardware connectivity and features, unveiled in an earlier maintenance release, is also included in XG Firewall v17.1
You can find the PDF of what's new here: Sophos XG Firewall v17.1 Whats New.pdf.
Notes
In case you are managing your Firewalls using SFM/CFM, Firewalls running SFOS 17.1 GA won’t accept application filter rules when applied from a device group or template. You can manage application rules from the device-level view in SFM/CFM until this limitation is addressed in SFOS 17.1 MR-1.
Issues Resolved
NC-31554 [Base System] Missing color indication for ATP widget
NC-31662 [Base System] Change of the XG Firewall login screen
NC-31484 [Email] Emails are not removed from spool after update to SF 17.0 MR8
NC-31514 [Firewall] Editing IPv6 host is not possible
NC-31030 [SSLVPN] Remove misleading message "Port 443 is already in use by User Portal"
NC-31615 [Web] Remove file type data columns in cloud application dashboard
Issues Resolved in Beta3 build
NC-30212 [Base System] Device displays fail message for SFM/CFM heartbeat
NC-29075 [Email] Unable to update mail spool if mail address contains special character (')
NC-29757 [Email] CVE-2011-1473: POP/IMAP - Secure Client-Initiated Renegotiation vulnerability
NC-30160 [Email] Option "Skip mails (for malware scan) greater than" is not working for outbound traffic
NC-30183 [Email] Notification test email fails with authentication when mail send without saving configuration
NC-30303 [Email] Possible authenticated remote code execution in mail_sender
NC-30649 [Email] Permissions for Email protection are not exported correctly
NC-29216 [Firewall] Separate out filter and NAT table chains for IPsec in two different services
NC-29505 [Firewall] Traffic shaping rule for firewall has wrong default policy association
NC-29776 [Firewall] After migrating from CR to SF DNAT rules stop working after every reboot
NC-29990 [Firewall] Import/Export of destination local acl always set to "any" if any port is selected before
NC-30037 [Firewall] Validation missing if IPv4 is selected as IP version
NC-30197 [Firewall] Firewall rule filter is not working from second page onwards
NC-30588 [Firewall] Policy Tester ignores IP host groups in the firewall rule
NC-30766 [Firewall] Unauthenticated XSS in diagnostics component
NC-30871 [Firewall] Japanese column header not displayed in the right place in Protect -> Firewall
NC-19980 [Framework(UI)] Filter search containing backslash char will not find the match
NC-30575 [Framework(UI)] VPN FO Group selection widget doesn't display correctly in Chrome
NC-28826 [HA] HA migration does not complete if dedicated link goes down during migration process
NC-29572 [IPsec] GUI allows admin to select external certificate for Remote Certificate for IPsec Connection for Remote Access
NC-30830 [IPsec] CVE-2018-10811 & memleak: Import upstream strongswan patches
NC-30979 [IPsec] IPsec route can disappear if two connections use the same
NC-29889 [Network Services] Unable to lease the IP to some users
NC-31017 [RED] RED S2S client does not work with routed server address
NC-29733 [Reporting] Showing unknown character for Current HA status under reports with HA
NC-29846 [Reporting] Sort by Users/Byte is not working on Cloud Applications page
NC-30155 [Reporting] Wrong label displayed for widget of Cloud Application
NC-30190 [Reporting] Records are not displaying in HTML export for "Records Per Chart 25 and more" for some widget of Cloud application
NC-28789 [Sandstorm] ExcludeSandstormFileTypes is not available in SandboxSettings XMLAPI data
NC-27461 [SFM-SCFM] Compatibility v17: Firewall UI issues at device level
NC-28913 [SFM-SCFM] Compatibility v17: Appliance unsync when applying L2TP (Remote Access) or IPSEC configuration
NC-29907 [SSLVPN] Not able to edit SSL VPN (Remote Access) policy
NC-30847 [SSLVPN] Unable to set user portal port to SSL VPN port
NC-29278 [Synchronized App Control] Renaming an Endpoint does not update SAC table
NC-29820 [Synchronized App Control] No new logs since 2 days - /tmp is full on XG85
NC-31020 [Synchronized App Control] Synchronized Application Control page is taking too long to load
NC-31229 [Synchronized App Control] SAC data table not loaded after migration to v17.1 Beta1
NC-30054 [UI] Device Access page showing error on Auxiliary machine
NC-29602 [WAF] API Get for SecurityPolicy does not return Traffic Shaping settings for the policy
NC-29876 [WAF] Website hosted over WAF taking more time to load when Common Threat Filter enabled
NC-30448 [WAF] Rewrite HTML for site path with special characters leads to memory allocation failure
NC-28699 [Web] Cloud Applications Control center widget - spacing issue
NC-28762 [Web] After power failure, Android devices captive portal does not disappear after logging in
NC-29002 [Web] API Import for WebFilterPolicy with dependent entities failed
NC-29164 [Web] Proxy drops HTTP Response when 100 and 200 in same packet
NC-29166 [Web] AV files served from cache are not scanned if 'scan av' flag enabled after file was cached
NC-29385 [Web] Data mismatch for Control Center and reporting widget for Cloud Application
NC-29479 [Web] Usercache is not updated when classification set through AppClassificationBatchAssignment
NC-29504 [Web] Captive Portal customization Reset to Defaults does not work
NC-29601 [Web] Policy Test Tool not working
NC-29809 [Web] When cloud dash board page contains more than 10 apps, some apps will not show app-icon warning exclamation triangle mark when changing app classification
NC-29984 [Web] WebFilterURLGroup API Doc is misleading
NC-30606 [Web] Fail to change application classification when changing to other languages
NC-30682 [Web] Cloud Applications page loading failed in XG85 appliance
NC-31042 [Web] Cloud Applications dashboard column names have overlapping text in French
NC-27033 [Wireless] Pending text is wrapping to next line for Wireless APs counter
NC-27535 [Wireless] UI is not displaying WiFi client's IP when multiple clients are connected to AP
NC-28763 [Wireless] UI displays AP as inactive even if AP was active
NC-28765 [Wireless] AP goes in inactive mode when used "2.4 Ghz and 5 Ghz" Frequency band
NC-29419 [Wireless] Not able to configure channel 12 and channel 13 on Desktop refresh devices
NC-29988 [Wireless] Wireless network update is not reflecting when it is assigned to LocalWiFi1(OptionalWiFi)
Issues Resolved in Beta2 build
NC-29977 [WAF] Reverse authentication: Access possible for empty protection profile
Issues Resolved in Beta1 build
NC-28797 [Access] User Edit page doesn't load for some users who are part of multiple groups
NC-26797 [API] HA devices update from MR2 to MR3 result in primary unit being factory reset
NC-22530 [Authentication] Webfilter policy is not working for auto-created AD user
NC-28175 [Authentication] Customer from NC-21823 has updated and getting segfault for access_server
NC-16090 [Base System] Source port changes to random over IPSec VPN
NC-25783 [Base System] Import certificate option is missing for CSR
NC-26328 [Base System] Additional CPU cores not detected in v17 after license upgrade
NC-27022 [Base System] Import from configuration failed due to too long certificate name
NC-27076 [Base System] Ping utility not working
NC-27263 [Base System] Incorrect interface speed is shown via SNMP
NC-28033 [Base System] Packet capture and connection list issue
NC-28220 [Base System] Garner active.db file size is too big in /tmp/eventlogs due to LogViewer output plug-in
NC-28566 [Base System] Garner service restarts
NC-27087 [Certificates] Default CA regeneration fails
NC-27853 [DDNS] DynDNS update does not happen in the configured time range
NC-28177 [DNS] Unable to resolve DNS of services.vip.symantec.com when registering it in Services/FQDN Host
NC-22864 [Firewall] Quick QUIC block
NC-22878 [Firewall] Allow user to edit rule while double clicking on the rule
NC-22927 [Firewall] NATPolicy API export fails when it contains NAT profile created on network
NC-26433 [Firewall] Captive Portal access issue for Android devices
NC-26560 [Firewall] One time schedule in firewall rule for VPN traffic doesn't block traffic when schedule expires
NC-27004 [Firewall] Unable to send email due to Default Internet Scheme Policy
NC-27164 [Firewall, Performance] LAN interface become unresponsive
NC-28025 [Firewall] Policy Tester ignores service groups in the firewall rule
NC-28710 [Firewall] Display of firewall rule in Firewall Group overlaps with display of action
NC-28756 [Firewall] Appliance inaccessible after the backup restore
NC-28785 [Firewall] Packet capture log is empty when opened via hyperlink in log viewer for IPv6
NC-28791 [Firewall] Sometimes VPN is not working when bridge has WAN interface
NC-28800 [Firewall] Firewall Rule ID is shown with an incorrect ID
NC-29379 [Firewall] HA Aux appliance goes in failsafe mode when failed to load LBS module (occurs only in specific IPv6 condition)
NC-29243 [Framework(UI)] Subnet creation is broken for IE11
NC-25854 [HA] Disable HA fails on auxiliary appliance when LAG interface is used as peer admin port and a bridge interface is also configured in SFOS
NC-29040 [Hotspot] File name containing space is not working for images/stylesheets and logos of hotspots
NC-26514 [IPS] IPS core dumps with appliances in HA (A-A)
NC-27549 [IPS] ATP Exception is getting removed automatically
NC-28602 [IPS] Filter alignments in Application Filter Policy Rule are displayed incorrect
NC-29174 [IPS] IPS Policies are not being pushed out via SFM template
NC-25380 [IPsec] Add an option to auto create a Firewall rule
NC-22604 [Logging] GUI alignment issue when sender name or subject is longer
NC-26357 [Logging] Log viewer is not loading after adding any filter and read/write goes high after activity
NC-21745 [Mail Proxy] i18n file name is not displayed in log viewer and on sandstorm activity page for sandstorm module
NC-25746 [Mail Proxy] CVE-2012-4929: SSL/TLS CRIME Vulnerability on port 8094
NC-26472 [Mail Proxy] AwarrenMTA: few mails appear on queue after delivery (DB connect fail)
NC-26930 [Mail Proxy] XG not able to update spool due to special characters in failure reason
NC-27240 [Mail Proxy] Unable to send emails due to auto routing to rcpt DNS in case of greylisting reply for MX
NC-27365 [Mail Proxy] Display issues with german umlauts in SPX Template
NC-28081 [Mail Proxy] Unable to save the SMTP policy when some MIME types are selected
NC-28364 [Mail Proxy] Email should be quarantined if scanning fails due to unscannable file
NC-28819 [Mail Proxy] Quarantined emails are not visible on SMTP Quarantine
NC-29018 [Mail Proxy] XG is unable to block email attachments when sent via Powershell v5.1
NC-29103 [Mail Proxy] Unable to release quarantine mails with special characters from spam digest
NC-29315 [Mail Proxy] CTIPD service should be stopped if Email or WAF subscription is not activated
NC-29319 [Mail Proxy] Unable to release false positive outbound spam emails
NC-29339 [Mail Proxy] CVE-2013-0169: Multiple SSL/TLS vulnerabilities - POP/IMAP
NC-29437 [Mail Proxy] Multi-level subdomain getting 501 syntax error while “Reject invalid HELO or missing RDNS” enabled
NC-29671 [Mail Proxy] AwarrenMTA restarts when used with high CCLs on certain mails
NC-21993 [Network Services] Static MAC-IP binding issue
NC-28815 [Network Services] CVE-2018-5732 and CVE-2018-5733: DHCP vulnerabilities
NC-27874 [Networking] IP address in static DHCP leases is shown incompletely
NC-28029 [Networking] Firewall configured as DHCP relay agent is generating flood on internal DHCP server
NC-28564 [Networking] Backup-Restore failed for different interface name devices when VDSL interface is configured
NC-29721 [Networking] HA failover is taking 10 minutes in v17.0 MR5
NC-28320 [nSXLd] URL Category Lookup provides different results for UI and command line
NC-27556 [PPTP] PPTP Remote Access fails when user name is not in lower case
NC-27881 [Qos] Unit for bandwidth parameter is incorrect on the Dashboard
NC-27942 [RED] XG red to XG red not connecting over MPLS network
NC-22787 [Reporting] Dashboard uses incorrect design for ATP and UTQ widgets
NC-22829 [Reporting] Reports section in Control Center gets stucked when "None" is configured as Admin Profile for "Reports Access"
NC-25786 [Reporting] Logo is not displayed properly in SAR report
NC-27046 [Reporting] "Search Key" filter not working for Google Search Engine
NC-28918 [Reporting] Unable to view Objectionable websites in Control Center and Reports
NC-29465 [Reporting] Not able to send mail digest - due to PG connections full
NC-26575 [SecurityHeartbeat] Heartbeat DB opcode sync command gets stuck
NC-27258 [SecurityHeartbeat] Ipset opcode stucks in HA setup
NC-28065 [SSLVPN] Port 8443 should be useable at any time when not used somewhere else
NC-28219 [SSLVPN] Site-Site SSLVPN: Routes aren't added with IP HOST Group in remote network
NC-23106 [Synchronized App Control] [SAC] Extended Filter/Search function in app Lists
NC-22122 [UI] CVE-2007-6750: Apache Partial HTTP Request Denial of Service Vulnerability for port 8443, 443, 4444
NC-26436 [WAF] Common Threat Filter should be disabled in default Outlook Anywhere Web Protection Policy
NC-28405 [WAF] Content gets lost when using form-hardening
NC-28944 [WAF] HTTPS Certificate Error when editing a Business Application Rule
NC-29483 [WAF] Creating IP host object inline leads to hanging SlowHTTP UI
NC-29650 [WAF] CVE-2018-1301: Possible out of bound access after failure in reading the HTTP request
NC-18038 [Web] Page redirections for authentication (and others) should use hostname not IP
NC-25617 [Web] Log virus name for unscannable content as "Unscannable" in the Web Virus report
NC-25745 [Web] CVE-2016-2183, CVE-2016-6329: SWEET32 SSL/TLS Vulnerability and Triple DES on port 8090
NC-26136 [Web] Change link of Guest User Registration on Captive Portal page into https
NC-27893 [Web] Unable to use apostrophe character in Captive Portal settings
NC-28457 [Web] No response when clicking on Captive Portal login button
NC-28601 [Web] Dynamic app filter rules which do not contain any applications is enforced for all applications
NC-28695 [Web] Block and warnpage previews use wrong template
NC-28759 [Web] Awarrenhttp segfaults when killed while scanning
NC-28792 [Web] IPS fails to close connections which are blocked by an app filter (causing proxy to timeout after 60 sec)
NC-28899 [Web] 'Block HTTP' option disappears if switching from a dynamic category to a non-dynamic one for an activity
NC-29124 [Web] Possible buffer overflow in Web Proxy's warn-proceed transformer
NC-5395 [Wireless] Wrong interface status shown on auxiliary appliance for wireless network
NC-19851 [Wireless] Support Radius Accounting on Remote APs & Local Wifi models
NC-26278 [Wireless] IP addresses not visible in Wireless Client List
NC-27261 [Wireless] Wizard is failing in XG85W(old model) after configuring SSID from wireless config page of wizard
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
ちょっとハマったのでメモ。
普段、PS4でダウンロードゲームを利用する事はめったにないので気付いていませんでしたが、いつの間にかどうもPSNからのゲームダウンロードに失敗するようになってたようです。
ダウンロードしていると、以下のエラーに。
ダウンロードの最初から弾かれる事もあれば、ダウンロードは始まるものの、途中で止まってしまう場合も。
サーバーでエラーが起きました。
(HTTP Status Code:416)
(CE-40862-0)
普段、PS4でダウンロードゲームを利用する事はめったにないので気付いていませんでしたが、いつの間にかどうもPSNからのゲームダウンロードに失敗するようになってたようです。
ダウンロードしていると、以下のエラーに。
ダウンロードの最初から弾かれる事もあれば、ダウンロードは始まるものの、途中で止まってしまう場合も。
サーバーでエラーが起きました。
(HTTP Status Code:416)
(CE-40862-0)
最初はPSNの障害かなーとか思っていた(しょっちゅうトラブってるイメージあるので。)のですが、数日経っても改善されず、これはもうこっち側のネットワーク・・・というか、Sophos XG Firewallが何かしら悪さしているのだろうなと。
とはいっても、元々ゲーム機関連は宛先、サービスは全て許可し、アンチウイルスのチェックはしないようにポリシーを切っていたのでIPSか?と思いそっちも切ってみたけど改善せず。
通信を止める要素が全くないのでお手上げだなーと思いつつSophosのコミュニティを漁ってみたらドンピシャな情報が。
Installed Sophos XG. Now cannot download games on PS4 (Fail halfway through downlod with HTTP 416 error) - Sophos Community
PlayStation 4 cannot download updates: Inavlid Traffic - Sophos Community
要はWebポリシーに「Allow All」にしていたのが原因でした。
全て許可なので関係ないと完全にスルーしてたけど、「なし」にするとダウンロードできるように。
その他、アンチウイルスはもちろん、アプリケーションコントロールもNG。
原理はよく分かりませんが、とどのつまり、たとえ許可でも通信に介入してチェックするのがダメなんでしょう。
なぜかIPSルールだけは大丈夫なので細かいところは分かりませんが・・・
本当に稀な状況、というか環境だとは思うけど、最近はこのご時世なので一般家庭向けにもトレンドマイクロ製のセキュリティ機能を搭載した無線LANルーターとかも出てきているので同じような状況になるのでは?と。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
とはいっても、元々ゲーム機関連は宛先、サービスは全て許可し、アンチウイルスのチェックはしないようにポリシーを切っていたのでIPSか?と思いそっちも切ってみたけど改善せず。
通信を止める要素が全くないのでお手上げだなーと思いつつSophosのコミュニティを漁ってみたらドンピシャな情報が。
Installed Sophos XG. Now cannot download games on PS4 (Fail halfway through downlod with HTTP 416 error) - Sophos Community
PlayStation 4 cannot download updates: Inavlid Traffic - Sophos Community
要はWebポリシーに「Allow All」にしていたのが原因でした。
全て許可なので関係ないと完全にスルーしてたけど、「なし」にするとダウンロードできるように。
その他、アンチウイルスはもちろん、アプリケーションコントロールもNG。
原理はよく分かりませんが、とどのつまり、たとえ許可でも通信に介入してチェックするのがダメなんでしょう。
なぜかIPSルールだけは大丈夫なので細かいところは分かりませんが・・・
本当に稀な状況、というか環境だとは思うけど、最近はこのご時世なので一般家庭向けにもトレンドマイクロ製のセキュリティ機能を搭載した無線LANルーターとかも出てきているので同じような状況になるのでは?と。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
Sophos XG Firewall Home Editionのファームウェア、SFOSのv17メジャーバージョンが正式リリース(General Availability)されました。
v15からv16へのメジャーバージョンアップ時は管理コンソール上に出てこなかったんですが、今回は利用可能な最新ファームウェアに普通に現れました。

なので、マイナーリリース時と同じように基本的にダウンロードしてインストールするだけです。
バージョンは「SFOS 17.0.0 GA」になります。
v15からv16へのメジャーバージョンアップ時は管理コンソール上に出てこなかったんですが、今回は利用可能な最新ファームウェアに普通に現れました。

なので、マイナーリリース時と同じように基本的にダウンロードしてインストールするだけです。
バージョンは「SFOS 17.0.0 GA」になります。
また、HA構成時のメジャーバージョンアップはどうなんだろうと、思いつつ今回も後先考えずに適用を実行してみましたが、結果は前回のマイナーリリースアップデート時と流れは全く同じでした。
ただし、マイナー時はそんな事なかったんですが、Slave機側にまず適用された後、完全に起動しきる前にMaster側がスタンバイに移行して適用が始まっちゃいました。
なので完全に通信断が暫く続く事に。
さすがにメジャーアップデートで起動時間がかかったのかもですが、完全に上がりきったのを確認せずに進んでしまう辺りはやっぱりちょっと詰めが甘いなぁと。
とりあえず流れは上記の画面で「ダウンロード」を実行し、完了すると「インストール」を選ぶだけです。

機器のコンソールの方を眺めていると、Config Migrateが走っているのが分かるので、メジャーアップデート時は特にちゃんと「successfully」となっているのを確認しておいた方がいいかなと。

まあ、気長に待ってれば無事どちらもアップデート完了しました。
後は正常構成に戻すのに逆転したMasterとSlaveを入れ替えれば終わりです。

ちなみに、メジャーアップデートと言いつつ、ほとんど変化はなさそう。
リリースノートは以下の通り。いまいち分かりづらいですが。
News
Feature Release.
New Features.
App Control Policy Enhancements and Smart Filters.
Central Management.
Email Greylisting.
Email Recipient Verification.
Email Smart Host.
Firewall Rule and Policy Test Simulator.
Firewall Rule Management.
How-to Guides.
Initial Setup Wizard.
IPS Policy Enhancements and Smart Filters.
Microsoft Azure High Availability.
New Hardware Support.
NAT Rule Enhancements.
Report Scheduling.
Security Audit Report (SAR).
Synchronized App Control.
Synchronized App Control Widget.
Synchronized Applications Report.
Synchronized Security in Discover (TAP) Mode Deployments.
Unified Log Viewer and More Granular Logging.
VPN IKEv2 Support.
VPN UI Enhancements.
Web Filtering Enhancements.
Web Keyword Content Report.
Web Keyword Monitoring and Enforcement.
Web Streaming Media Enhancements.
Wildcard Support for Domain Name Host Objects.
Bugs
NC-21736 [Base System] Upload of Azure firmware fails if up2date is larger than 300MB.
NC-21045 [CR-to-CN_Migration] Support migration from CR10.6.6 to SF v17.0.
NC-22582 [Firewall] NAT chain failed if DNAT rule configured using wildcard FQDN.
NC-22657 [Firewall] Cyberoam to SF v17 migration fails when virtual hosts with portforwarding and firewall rule with DNAT are used.
NC-22508 [IPS] Change button text from “Cancel” to “Don’t Upgrade Yet" in the firmware pop up.
NC-22664 [IPsec] IPSec local id validation always failes if another connection uses external cert with remote gateway *.
NC-22385 [Logging] Fix UI issues in new log viewer.
NC-22523 [Logging] "Firewall Rule ID" label is sometimes displayed wrong as "Policy ID" in Logviewer.
NC-22570 [Logging] "Copy_to Clipboard" text is added at the end of the log content copied.
NC-22571 [Logging] Platform column details are not displayed properly under IPS logs.
NC-22625 [Logging] Content match is not color coded if the match is a date.
NC-22655 [Logging] Special chars need to be handled in the log viewer filter .
NC-22656 [Logging] Results which match filter key are also highlighted.
NC-22685 [Logging] Web filter icon showing red color even log sub type is allowed in some case.
NC-22691 [Logging] In- and output interface show same name in logviewer standard view 'Firewall' log.
NC-22612 [Mail Proxy] Control Center widget does not reflect email sandstorm activities.
NC-22709 [Mail Proxy] SMTP connection issue with high latency mail servers.
NC-22782 [Network Services] Remove *.cloudefront.net wildcard FQDN host.
NC-21776 [Networking] MLM methods can be changed in HA via CLI from Auxiliary appliance.
NC-22619 [Networking] Unicast route is removed from routing table after interface update.
NC-22431 [nSXLd] Embedded URLs are categorized incorrectly.
NC-22536 [Reporting] Manual filter is not working for application contain "\ & \\".
NC-22699 [Reporting] App details are missing for blocked applications.
NC-22747 [Reporting] Report drill down stops working when using languages other than English.
NC-22043 [Synchronized App Control] It is not possible to add new apps to application filter without customization.
NC-22393 [Synchronized App Control] Synchronized Applications in reports doesn't display details for application.
NC-22542 [Synchronized App Control] Use filename instead of full path in app list.
NC-22719 [UI] Logviewer logs are not updated properly when switching between pages.
NC-22130 [WAF] Issue with TLS settings for virtual webserver.
NC-22610 [WAF] Logviewer does not show the affected entity name.
NC-22654 [Web] Captive portal redirection does not work for iOS mobile devices.
NC-22006 [Wireless] WPA2 KRACK vulnerability fixes.
ファイアウォールポリシーとログビューアだけは見た目がかなり変更に。
メジャーバージョンが変わる度にここは大きく変わりますね。
ポリシー画面はまだいいんですが、ログビューアはかなり見にくくなった。
特にトラフィックログで詳細を出さないとポート番号とかが見えないのは運用するとなるとちと困ると思うんですが。
他の追加機能として、ログビューアに「ポリシーテスト」機能が実装されました。
宛先や送信元等の条件を入力してテストするとどのポリシーにマッチしてどういった制御がされているかを確認できます。
これは便利かも。

他にWebポリシーでキーワード条件ができるっぽいけど、ヘルプにもまだ載っておらず実際にどう動くのかは未検証です。
また、UTMをTAPモードとして導入可能に。
それとFQDNホストにワイルドカード登録ができるようになりました。
ただ、勝手にホスト登録を大量にしてくれなくていいんですが。しかもあくまで海外ホストばかりだし。

ちょっと期待していたんですが相変わらずアプリケーションベースのポリシー評価はできず・・・
(先に必ずサービスポート評価されてしまう。)
これはできるようになるといいんだけども。
※他にも追加はあるようですが、見つけきれなかったり使っていなかったりで未評価です。
【追記】
メンテナンスリリースのSFOS 17.0.1 MR-1がリリースされました。
【更に追記】
メンテナンスリリースのSFOS 17.0.2 MR-2がリリースされました。
ログの見にくさが以前のように戻り改善。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
ただし、マイナー時はそんな事なかったんですが、Slave機側にまず適用された後、完全に起動しきる前にMaster側がスタンバイに移行して適用が始まっちゃいました。
なので完全に通信断が暫く続く事に。
さすがにメジャーアップデートで起動時間がかかったのかもですが、完全に上がりきったのを確認せずに進んでしまう辺りはやっぱりちょっと詰めが甘いなぁと。
とりあえず流れは上記の画面で「ダウンロード」を実行し、完了すると「インストール」を選ぶだけです。

機器のコンソールの方を眺めていると、Config Migrateが走っているのが分かるので、メジャーアップデート時は特にちゃんと「successfully」となっているのを確認しておいた方がいいかなと。

まあ、気長に待ってれば無事どちらもアップデート完了しました。
後は正常構成に戻すのに逆転したMasterとSlaveを入れ替えれば終わりです。

ちなみに、メジャーアップデートと言いつつ、ほとんど変化はなさそう。
リリースノートは以下の通り。いまいち分かりづらいですが。
News
Feature Release.
New Features.
App Control Policy Enhancements and Smart Filters.
Central Management.
Email Greylisting.
Email Recipient Verification.
Email Smart Host.
Firewall Rule and Policy Test Simulator.
Firewall Rule Management.
How-to Guides.
Initial Setup Wizard.
IPS Policy Enhancements and Smart Filters.
Microsoft Azure High Availability.
New Hardware Support.
NAT Rule Enhancements.
Report Scheduling.
Security Audit Report (SAR).
Synchronized App Control.
Synchronized App Control Widget.
Synchronized Applications Report.
Synchronized Security in Discover (TAP) Mode Deployments.
Unified Log Viewer and More Granular Logging.
VPN IKEv2 Support.
VPN UI Enhancements.
Web Filtering Enhancements.
Web Keyword Content Report.
Web Keyword Monitoring and Enforcement.
Web Streaming Media Enhancements.
Wildcard Support for Domain Name Host Objects.
Bugs
NC-21736 [Base System] Upload of Azure firmware fails if up2date is larger than 300MB.
NC-21045 [CR-to-CN_Migration] Support migration from CR10.6.6 to SF v17.0.
NC-22582 [Firewall] NAT chain failed if DNAT rule configured using wildcard FQDN.
NC-22657 [Firewall] Cyberoam to SF v17 migration fails when virtual hosts with portforwarding and firewall rule with DNAT are used.
NC-22508 [IPS] Change button text from “Cancel” to “Don’t Upgrade Yet" in the firmware pop up.
NC-22664 [IPsec] IPSec local id validation always failes if another connection uses external cert with remote gateway *.
NC-22385 [Logging] Fix UI issues in new log viewer.
NC-22523 [Logging] "Firewall Rule ID" label is sometimes displayed wrong as "Policy ID" in Logviewer.
NC-22570 [Logging] "Copy_to Clipboard" text is added at the end of the log content copied.
NC-22571 [Logging] Platform column details are not displayed properly under IPS logs.
NC-22625 [Logging] Content match is not color coded if the match is a date.
NC-22655 [Logging] Special chars need to be handled in the log viewer filter .
NC-22656 [Logging] Results which match filter key are also highlighted.
NC-22685 [Logging] Web filter icon showing red color even log sub type is allowed in some case.
NC-22691 [Logging] In- and output interface show same name in logviewer standard view 'Firewall' log.
NC-22612 [Mail Proxy] Control Center widget does not reflect email sandstorm activities.
NC-22709 [Mail Proxy] SMTP connection issue with high latency mail servers.
NC-22782 [Network Services] Remove *.cloudefront.net wildcard FQDN host.
NC-21776 [Networking] MLM methods can be changed in HA via CLI from Auxiliary appliance.
NC-22619 [Networking] Unicast route is removed from routing table after interface update.
NC-22431 [nSXLd] Embedded URLs are categorized incorrectly.
NC-22536 [Reporting] Manual filter is not working for application contain "\ & \\".
NC-22699 [Reporting] App details are missing for blocked applications.
NC-22747 [Reporting] Report drill down stops working when using languages other than English.
NC-22043 [Synchronized App Control] It is not possible to add new apps to application filter without customization.
NC-22393 [Synchronized App Control] Synchronized Applications in reports doesn't display details for application.
NC-22542 [Synchronized App Control] Use filename instead of full path in app list.
NC-22719 [UI] Logviewer logs are not updated properly when switching between pages.
NC-22130 [WAF] Issue with TLS settings for virtual webserver.
NC-22610 [WAF] Logviewer does not show the affected entity name.
NC-22654 [Web] Captive portal redirection does not work for iOS mobile devices.
NC-22006 [Wireless] WPA2 KRACK vulnerability fixes.
ファイアウォールポリシーとログビューアだけは見た目がかなり変更に。
メジャーバージョンが変わる度にここは大きく変わりますね。
ポリシー画面はまだいいんですが、ログビューアはかなり見にくくなった。
特にトラフィックログで詳細を出さないとポート番号とかが見えないのは運用するとなるとちと困ると思うんですが。
他の追加機能として、ログビューアに「ポリシーテスト」機能が実装されました。
宛先や送信元等の条件を入力してテストするとどのポリシーにマッチしてどういった制御がされているかを確認できます。
これは便利かも。

他にWebポリシーでキーワード条件ができるっぽいけど、ヘルプにもまだ載っておらず実際にどう動くのかは未検証です。
また、UTMをTAPモードとして導入可能に。
それとFQDNホストにワイルドカード登録ができるようになりました。
ただ、勝手にホスト登録を大量にしてくれなくていいんですが。しかもあくまで海外ホストばかりだし。

ちょっと期待していたんですが相変わらずアプリケーションベースのポリシー評価はできず・・・
(先に必ずサービスポート評価されてしまう。)
これはできるようになるといいんだけども。
※他にも追加はあるようですが、見つけきれなかったり使っていなかったりで未評価です。
【追記】
メンテナンスリリースのSFOS 17.0.1 MR-1がリリースされました。
【更に追記】
メンテナンスリリースのSFOS 17.0.2 MR-2がリリースされました。
ログの見にくさが以前のように戻り改善。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
Sophos XG Firewall Home Editionのファームウェアアップデート「SFOS 16.05.8 MR-8」がリリースされていました。
HA構成にしてから初のファームウェアアップデートです。
※大した更新がなかったのであえて記事にはしてなかったですが、「SFOS 16.05」にはリリース直後にアップグレード済、「SFOS 16.05.7 MR-7」まで適用済だったので今回はメンテナンスリリース適用になります。
さて、どうやるの?状態で軽く調べてみたけどいまいち情報を見つけられず、もういいやととりあえずやってみる事に。
レッツトライ。
HA構成にしてから初のファームウェアアップデートです。
※大した更新がなかったのであえて記事にはしてなかったですが、「SFOS 16.05」にはリリース直後にアップグレード済、「SFOS 16.05.7 MR-7」まで適用済だったので今回はメンテナンスリリース適用になります。
さて、どうやるの?状態で軽く調べてみたけどいまいち情報を見つけられず、もういいやととりあえずやってみる事に。
レッツトライ。
まず、ピア側(Slave側)でファームウェア確認を行っても「新しいファームウェアの確認に失敗しました」となります。

これは恐らく、Slave側はたとえadminでログインしても変更権限を持たないからと思われます。
その証拠に、パターンファイルのアップデートでは手動で「今すぐ更新」を実行しても「設定を追加/変更する権限がありません。」と怒られます。
もしくはSlave側はアップデート確認をWAN側から行おうとしてもインターフェイスアドレス持ってないからかも。
まあ当たり前っちゃあ当たり前ですね。
ならとりあえずMaster側でやるしかない。
ダウンロードを終わらせ、「インストール」を選択します。

で、しばらく待つと、「ファームウェアを適用しました。」となります。
この後、これまでの単体構成であれば自身が再起動したはずなのですが、メッセージをよく見ると「ピアデバイスが 'SFOS 16.05.8 MR-8' で再起動しています。」と。

ん?ピアデバイス?
確かに、管理画面の接続もなかなか切れません。
更にしばし待ち続けていると、管理画面の接続が切れ、再度ログインするとSlave側にフェイルオーバーされていました。
そしてファームウェアは「SFOS 16.05.8 MR-8」に更新済。
じゃあ、元Master側はというと、再起動中でした。
再起動完了後、特にフェイルバックが発生しなかった(自動フェイルバックの概念がそもそもないし)ので、Master、Slaveが逆転した状態で完了となるようです。
簡単に流れをまとめると、
[Master]ファームウェア適用開始
↓
[Slave]ファームウェア適用し、再起動
↓
[Master]フェイルオーバーし、ファームウェア適用、再起動(逆で再起動したからフェイルオーバーしたかもだけど。)
[Slave]Masterに昇格
↓
[元Master]適用完了後、そのままSlave動作
↓
必要に応じて手動で構成を元に戻す
両方勝手に上げてくれるのはラクチンです。
この間、通信が切れるといった事もありませんでした。
ただ、逆に考えると片側だけ上げてみて動作確認⇒もう1台上げるといった事は基本できません。
無理やりするならSlave停止してMaster側だけ上げてみるですかね。(やってみないとどうなるか不明ですが。)
あと、正副が逆転して終わるのも中途半端。
まあ、何となくこれまでの経験から違和感があるだけで、これまで単体構成時からもファームウェアアップデートで何か問題が出たといった事もなかったので安定しているし慣れてくれば非常に運用が楽なファイアウォールであるのは間違いないです。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■

これは恐らく、Slave側はたとえadminでログインしても変更権限を持たないからと思われます。
その証拠に、パターンファイルのアップデートでは手動で「今すぐ更新」を実行しても「設定を追加/変更する権限がありません。」と怒られます。
もしくはSlave側はアップデート確認をWAN側から行おうとしてもインターフェイスアドレス持ってないからかも。
まあ当たり前っちゃあ当たり前ですね。
ならとりあえずMaster側でやるしかない。
ダウンロードを終わらせ、「インストール」を選択します。

で、しばらく待つと、「ファームウェアを適用しました。」となります。
この後、これまでの単体構成であれば自身が再起動したはずなのですが、メッセージをよく見ると「ピアデバイスが 'SFOS 16.05.8 MR-8' で再起動しています。」と。

ん?ピアデバイス?
確かに、管理画面の接続もなかなか切れません。
更にしばし待ち続けていると、管理画面の接続が切れ、再度ログインするとSlave側にフェイルオーバーされていました。
そしてファームウェアは「SFOS 16.05.8 MR-8」に更新済。
じゃあ、元Master側はというと、再起動中でした。
再起動完了後、特にフェイルバックが発生しなかった(自動フェイルバックの概念がそもそもないし)ので、Master、Slaveが逆転した状態で完了となるようです。
簡単に流れをまとめると、
[Master]ファームウェア適用開始
↓
[Slave]ファームウェア適用し、再起動
↓
[Master]フェイルオーバーし、ファームウェア適用、再起動(逆で再起動したからフェイルオーバーしたかもだけど。)
[Slave]Masterに昇格
↓
[元Master]適用完了後、そのままSlave動作
↓
必要に応じて手動で構成を元に戻す
両方勝手に上げてくれるのはラクチンです。
この間、通信が切れるといった事もありませんでした。
ただ、逆に考えると片側だけ上げてみて動作確認⇒もう1台上げるといった事は基本できません。
無理やりするならSlave停止してMaster側だけ上げてみるですかね。(やってみないとどうなるか不明ですが。)
あと、正副が逆転して終わるのも中途半端。
まあ、何となくこれまでの経験から違和感があるだけで、これまで単体構成時からもファームウェアアップデートで何か問題が出たといった事もなかったので安定しているし慣れてくれば非常に運用が楽なファイアウォールであるのは間違いないです。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
2017.09.17
おうちでUTM F/W - Sophos XG Firewall HA(冗長化)設定編
超久しぶりにこのシリーズ。Sophos XG Firewall Home Editionのコーナーです。
相変わらず安定している事もあってポリシー系ぐらいしか触る事も普段はないのですが。
ただ、時間がまとまってある時に試したい事がいくつか残っていたのも事実で、久々にまともに連休、そして台風襲来中って事でまずはHA(冗長化)を試してみる事に。
まあ、自宅利用で大した環境でもないので冗長構成なんてそこまで必要はないんですが。
ただ、自宅VM環境のディスクがRAID構成でないので吹っ飛ぶとインターネット接続を戻すのに手間がかかるし、ディスクを分けて2台設置しておけば少しは安心かなと。
構成はアクティブ - パッシブで設定しています。
アクティブ - アクティブ構成も組めますが、DHCP、PPPoEインタフェースがある場合はアクティブ - パッシブのみになります。
また、WWAN、WLANを使っているとHA自体組めません。
相変わらず安定している事もあってポリシー系ぐらいしか触る事も普段はないのですが。
ただ、時間がまとまってある時に試したい事がいくつか残っていたのも事実で、久々にまともに連休、そして台風襲来中って事でまずはHA(冗長化)を試してみる事に。
まあ、自宅利用で大した環境でもないので冗長構成なんてそこまで必要はないんですが。
ただ、自宅VM環境のディスクがRAID構成でないので吹っ飛ぶとインターネット接続を戻すのに手間がかかるし、ディスクを分けて2台設置しておけば少しは安心かなと。
構成はアクティブ - パッシブで設定しています。
アクティブ - アクティブ構成も組めますが、DHCP、PPPoEインタフェースがある場合はアクティブ - パッシブのみになります。
また、WWAN、WLANを使っているとHA自体組めません。
あくまで、仮想アプライアンス、すでに1台稼働している環境から作成する前提で書いています。
1から作る場合は適当に読み替えて下さい。
物理機なら直結しておくリンクですね。
HA用に使用するリンクが1本というのは珍しいけど。
ESXi側でvNICを足しておきます。(反映にはXG Firewallの再起動が必要。)
vNICのラベルはどれでも構わないですが、専用のラベル作っておいた方が分かりやすいかも。
1対1で通信するだけなので、適当なIPアドレス振る予定だったし、うちではvSwitchも分けて切り離しておきました。
そしてここで注意点ですが、vNIC1~4はXG Firewall側のポートA~Dに順番に割り当てられますが、vNIC5を足すとなぜかポートBに割り当たり、順番がずれます。
後から追加でも、新規マシンに最初からvNIC5個つけても同じ状況だったのでそうゆう仕様のようです。
(vNIC6以降は未検証)
そしてXG Firewall側でポートの設定をしておきます。
まず、割り当てるゾーンは"種類"がDMZである必要があります。
最初から作られているDMZのゾーンを使ってもいいですが、デバイスのアクセスで「SSH」が有効になっている必要がある事もあってこちらも別に作っておいた方が分かりやすいかも。

IPアドレスは何でもいいですが、2台が直接相互アクセスするだけなのでマスクを/30(255.255.255.252)で専用に振った方が分かりやすいかと。
ただし、リンクローカルアドレス(DHCP取れなかった時に振られる169.254.x.x)は設定できませんので注意です。
※サブネット間違ってました。画像は間違ったままだけど気にしない方向で。

記事を作成した時はメジャーバージョンがv15時代ですが、今も変わりませんので同じようにデプロイします。
おうちでUTM F/W - Sophos XG Firewall仮想マシン作成編
そして、同じようにコンソールからLAN側からアクセスできるようにIPアドレス設定を。
これで準備は完了です。
おうちでUTM F/W - Sophos XG Firewall初期ネットワーク設定編
v15の時こんな画面あったっけなぁって感じですがWelcom画面が表示されます。
画面は日本語化した後ですが、最初は英語。右上から言語変更できます。
画面上をクリックすれば進みます。

2.新しい管理者アカウントの作成画面になりますが、よく見るとある「HA スペアとして接続する」を選びます。
また、作り直した時はとっておいたコンフィグを使ってその横にある「バックアップを復元する」から復元できます。

3.HAペアを組む為のセカンダリ側としての設定を行います。
各項目を設定し、「適用」を選択します。
なお、注意点としてこの設定をすると以降、なぜかライセンス(シリアル)投入をしてもエラーになります。
アクティブ - パッシブ構成の場合はプライマリ機側のライセンスのみでOK(太っ腹!)で自動で作成されるので不要ですが、アクティブ - アクティブ構成の場合はそれぞれでライセンスが必要になるのでその場合はここで設定せず(通常デバイスとして初期セットアップする)か、初期セットアップ後に一度HAデバイス設定を消してライセンスを通す必要があります。

4.画面が基本設定に戻り、「HAスペアとして接続しました」と表示され設定値が表示されます。
管理者パスワードを設定し、「設定中に、~」はどちらでもOK(デフォルトでチェック)、「使用許諾契約に同意する」にチェックを入れ「次へ」を選択します。

5.インターネット接続では、「オフラインで続行」にチェックで「次へ」でOKです。(ライセンス通さないので)

6.設定内容が表示されるので「次へ」を選択します。

7.設定が適用されるので完了するのを待ちます。

8.適用完了後、管理コンソールにログインします。
ファイアウォールの登録でライセンスについて聞かれますが、「今は登録しない」にチェックで「次へ」でOKです。

9.設定 > システムサービス > 冗長化 (HA)で現在の設定の確認・変更が可能です。
(HA組んでしまうと一旦壊さないと変更不可。)

これでセカンダリ機側の設定は終わりです。
1.プライマリ機側の管理コンソールにログインし、設定 > システムサービス > 冗長化 (HA)とアクセス。
2.各項目を設定し、「HAの有効化」を選択します。

注意点として、ヘルプを見ると監視対象ポートの選択は仮想アプライアンスでは機能しないようです。
まあ、vNIC接続だけが落ちるなんて事ないし、確かに意味はないですね。
3.HAの有効化確認が表示されるので「OK」を選択します。
再起動され、HA構成が有効になります。

4.有効化後、ステータスを確認するとこんな感じになっています。

通信自体は全く切れずでした。実際にはWAN側へのアクセスはDHCP環境からか、若干の遅延はありましたが、LAN側インタフェースへのPingは全くロストせず。
これは十分実用的ですね。
ただし、管理サービスはどちらも再起動されているのか、管理コンソールへはしばらくアクセスできなくなります。
また、その管理コンソールへのアクセスですが、ここまでの設定でわかる通り、他のファイアウォールでは必ずある個別の管理ポートというものが存在しません。
プライマリ機側は基本的にLAN側のアドレス、セカンダリ機側は「ピア管理 IP」で設定したアドレスが管理用になりますが、フェイルオーバーさせて入れ替わるとこのIPアドレスも逆転して設定されます。
LAN側のインタフェースアドレスはまあフェイルオーバーされて当たり前なので分かりますが、セカンダリ用まで逆に移行されるとは珍しいです。
なので、個体を判別する手段がシリアル番号しかないので、どっちがプライマリで動作しているのか分かり辛くて仕方ないのはちょっと困りものです。
後は「Preempt」の設定やプライオリティの設定もないので、自動フェイルバックはできません。
また、各種ログもデバイス毎で同期されていません。
しかもプライマリ⇒セカンダリになった時点でログが全部消えます。
個人ならまだしも企業利用ではSyslogは必須ですね。
というわけでHAの設定はこれで完了です。
個人で利用する分には十分すぎるレベルになっていますが、癖はありますね。
デバイス固有の設定がないので管理は楽ですけどね。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■
1から作る場合は適当に読み替えて下さい。
プライマリ機のHAリンク作成
HAを組むのにピア用の専用インタフェースを作成する必要があります。物理機なら直結しておくリンクですね。
HA用に使用するリンクが1本というのは珍しいけど。
ESXi側でvNICを足しておきます。(反映にはXG Firewallの再起動が必要。)
vNICのラベルはどれでも構わないですが、専用のラベル作っておいた方が分かりやすいかも。
1対1で通信するだけなので、適当なIPアドレス振る予定だったし、うちではvSwitchも分けて切り離しておきました。
そしてここで注意点ですが、vNIC1~4はXG Firewall側のポートA~Dに順番に割り当てられますが、vNIC5を足すとなぜかポートBに割り当たり、順番がずれます。
後から追加でも、新規マシンに最初からvNIC5個つけても同じ状況だったのでそうゆう仕様のようです。
(vNIC6以降は未検証)
そしてXG Firewall側でポートの設定をしておきます。
まず、割り当てるゾーンは"種類"がDMZである必要があります。
最初から作られているDMZのゾーンを使ってもいいですが、デバイスのアクセスで「SSH」が有効になっている必要がある事もあってこちらも別に作っておいた方が分かりやすいかも。

IPアドレスは何でもいいですが、2台が直接相互アクセスするだけなのでマスクを/30(255.255.255.252)で専用に振った方が分かりやすいかと。
ただし、リンクローカルアドレス(DHCP取れなかった時に振られる169.254.x.x)は設定できませんので注意です。
※サブネット間違ってました。画像は間違ったままだけど気にしない方向で。

セカンダリ機の作成
次はHAに組み込むセカンダリ機の作成。記事を作成した時はメジャーバージョンがv15時代ですが、今も変わりませんので同じようにデプロイします。
おうちでUTM F/W - Sophos XG Firewall仮想マシン作成編
そして、同じようにコンソールからLAN側からアクセスできるようにIPアドレス設定を。
これで準備は完了です。
おうちでUTM F/W - Sophos XG Firewall初期ネットワーク設定編
セカンダリ機の初期セットアップ
1.ブラウザより「https://LAN側に設定したIPアドレス:4444」にアクセスします。v15の時こんな画面あったっけなぁって感じですがWelcom画面が表示されます。
画面は日本語化した後ですが、最初は英語。右上から言語変更できます。
画面上をクリックすれば進みます。

2.新しい管理者アカウントの作成画面になりますが、よく見るとある「HA スペアとして接続する」を選びます。
また、作り直した時はとっておいたコンフィグを使ってその横にある「バックアップを復元する」から復元できます。

3.HAペアを組む為のセカンダリ側としての設定を行います。
各項目を設定し、「適用」を選択します。
なお、注意点としてこの設定をすると以降、なぜかライセンス(シリアル)投入をしてもエラーになります。
アクティブ - パッシブ構成の場合はプライマリ機側のライセンスのみでOK(太っ腹!)で自動で作成されるので不要ですが、アクティブ - アクティブ構成の場合はそれぞれでライセンスが必要になるのでその場合はここで設定せず(通常デバイスとして初期セットアップする)か、初期セットアップ後に一度HAデバイス設定を消してライセンスを通す必要があります。

パラメータ名 | 説明 |
ピアのシリアル番号 | プライマリ機に投入されているシリアル番号を指定します。 |
パスフレーズ | HA用パスワード。プライマリ機側にも同じものを後程入れるので忘れないように。 |
専用 HAリンク | HA接続用のポート指定。プライマリ側と同じポート構成にする必要があるので注意。 |
IPアドレス | プライマリ機側で設定した同じアドレス形態で設定。 |
サブネットマスク | こちらもプライマリ機側にあわせる。 |
4.画面が基本設定に戻り、「HAスペアとして接続しました」と表示され設定値が表示されます。
管理者パスワードを設定し、「設定中に、~」はどちらでもOK(デフォルトでチェック)、「使用許諾契約に同意する」にチェックを入れ「次へ」を選択します。

5.インターネット接続では、「オフラインで続行」にチェックで「次へ」でOKです。(ライセンス通さないので)

6.設定内容が表示されるので「次へ」を選択します。

7.設定が適用されるので完了するのを待ちます。

8.適用完了後、管理コンソールにログインします。
ファイアウォールの登録でライセンスについて聞かれますが、「今は登録しない」にチェックで「次へ」でOKです。

9.設定 > システムサービス > 冗長化 (HA)で現在の設定の確認・変更が可能です。
(HA組んでしまうと一旦壊さないと変更不可。)

これでセカンダリ機側の設定は終わりです。
プライマリ機のHA設定
それでは最後にプライマリ機側にHAの設定を投入し、構成を完了させます。1.プライマリ機側の管理コンソールにログインし、設定 > システムサービス > 冗長化 (HA)とアクセス。
2.各項目を設定し、「HAの有効化」を選択します。

パラメータ名 | 説明 |
HA設定モード | HAの動作モードを指定します。 |
初期の HAデバイスの状態 | プライマリとして動作するか、補助(セカンダリ)として動作するかを指定。もちろんプライマリを指定 |
パスフレーズ | HA用パスワード。セカンダリ機側でも入れたものを。 |
専用 HA リンク | HA接続用のポート指定。 |
ピア HA リンク IPv4 | セカンダリ機側のHAリンク用IPアドレスを入力。 |
ピア管理ポート | セカンダリ機側の管理インタフェースアクセスに使用するポートを指定。通常はプライマリと同じでいいと思います。 |
ピア管理 IP | セカンダリ機側の管理インタフェースアクセスに使用するIPアドレスを入力。 |
監視対象ポートの選択 | フェイルオーバー条件としてリンクモニターするポートの指定。 |
注意点として、ヘルプを見ると監視対象ポートの選択は仮想アプライアンスでは機能しないようです。
まあ、vNIC接続だけが落ちるなんて事ないし、確かに意味はないですね。
3.HAの有効化確認が表示されるので「OK」を選択します。
再起動され、HA構成が有効になります。

4.有効化後、ステータスを確認するとこんな感じになっています。

HAフェイルオーバーの確認
プライマリ機側のシャットダウンと、手動でのフェイルオーバーを試してみました。通信自体は全く切れずでした。実際にはWAN側へのアクセスはDHCP環境からか、若干の遅延はありましたが、LAN側インタフェースへのPingは全くロストせず。
これは十分実用的ですね。
ただし、管理サービスはどちらも再起動されているのか、管理コンソールへはしばらくアクセスできなくなります。
また、その管理コンソールへのアクセスですが、ここまでの設定でわかる通り、他のファイアウォールでは必ずある個別の管理ポートというものが存在しません。
プライマリ機側は基本的にLAN側のアドレス、セカンダリ機側は「ピア管理 IP」で設定したアドレスが管理用になりますが、フェイルオーバーさせて入れ替わるとこのIPアドレスも逆転して設定されます。
LAN側のインタフェースアドレスはまあフェイルオーバーされて当たり前なので分かりますが、セカンダリ用まで逆に移行されるとは珍しいです。
なので、個体を判別する手段がシリアル番号しかないので、どっちがプライマリで動作しているのか分かり辛くて仕方ないのはちょっと困りものです。
後は「Preempt」の設定やプライオリティの設定もないので、自動フェイルバックはできません。
また、各種ログもデバイス毎で同期されていません。
しかもプライマリ⇒セカンダリになった時点でログが全部消えます。
個人ならまだしも企業利用ではSyslogは必須ですね。
というわけでHAの設定はこれで完了です。
個人で利用する分には十分すぎるレベルになっていますが、癖はありますね。
デバイス固有の設定がないので管理は楽ですけどね。
【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。
■閉じる■