Fortigate SD-WAN ?

Đọc về lý thuyết sdwan thấy khá trừu tượng và khó hiểu. Khi mình cấu hình sdwan trên fortigate 60F thì nó có các mục sau (như trong hình):

+SDWAN zones: tại đây mình tạo mới 1 interface ảo (hoặc dùng cái mặc định có tên là virtual wan link) và add các member interfaces (là các wan interfaces vật lý có sẵn) vào interface ảo này. Gần giống kiểu mình dùng cisco etherchannel để gộp các ports vật lý vào trong 1 port ảo. Cái virtual wan link này là dùng để ra internet, còn nếu mình muốn vpn đến site khác thì mình tạo 1 vpn zone (ảo) và sau đó tạo và add các đường vpn (vpn1, vpn2 …) vào vpn zone đó (và nó là overlay, vì nó dựa trên cái underlay ở dưới là các đường wan). Việc tạo giao diện wan ảo (gộp các wan vật lý) là để giúp phối hợp và lựa chọn các wan vật lý để đem đến các tính năng như failover, load balancing, path selection, load distribution, lựa chọn đường wan dựa theo chất lượng đường wan và dựa theo app / service / ip / fqdn …

+SDWAN rules: phần này có 1 rule mặc định nằm dưới cùng và trong rule này nó cho mình chọn 1 số thuật toán load balance. Ngoài ra mình có thể tạo thêm rule mới để control vấn đề path selection dựa vào ip / fqdn / app / service / category … ví dụ mình định nghĩa là truy cập Office 365 phải đi qua đường wan1, hoặc tự động chọn đường wan nào có chất lượng tốt nhất dựa vào các SLA đã được định nghĩa và cấu hình, hoặc lựa chọn và phối hợp các đg wan sao cho tối đa bandwidth, hoặc có latency thấp nhất …

+Performance SLA: phần này mình định nghĩa cách thức mình monitor 1 server ngoài internet dựa vào các giao thức như ping, http, dns … để đo lường tính sẵn sàng và chất lượng các đường wan dựa vào nhiều tiêu chí như packet loss, latency, jitter … và dùng các kết quả này vào việc chọn đường wan ở mục sdwan rules. VD mình sẽ cấu hình để nó ping liên tục đến 8.8.8.8 và đo lường các thông số chất lượng của các đg wan thông qua kết quả gói ping.

Tóm lại, sau khi cấu hình 3 mục trên thì ta có 1 giao diện wan ảo mới là virtual wan link (hoặc tên khác do ta đặt) trong đó nó gộp các đường wan vật lý là wan1, wan2 … Ta cũng tạo Perf SLA để monitor và đo chất lượng các đg wan1, wan2 … và tạo sdwan rule để control path selection dựa vào thông tin source, destination và kết quả của perf sla. Nhưng cái virtual wan link này chỉ là để truy cập internet, nếu ta muốn kết nối vpn giữa HQ và branch thì ta phải tạo thêm VPN theo 1 trong 2 cách sau:

+cách 1: tạo và cấu hình IPsec s2s vpn tunnel truyền thống, việc cấu hình khá đơn giản, chú ý cấu hình phase 1 và phase 2 trên fortigate đầu này phải tương thích với phase 1 và phase 2 trên fortigate đầu kia

+cách 2: vào mục sdwan/sdwan zones và tạo 1 vpn zone (ảo) và sau đó tạo và add các vpn thành viên (vd: vpn1 dựa trên wan1, vpn2 dựa trên wan2) vào vpn zone này, việc tạo và add vpn thành viên làm ngay trong giao diện của mục sdwan chứ ko làm trong giao diện của mục VPN như thông thường. Cấu hình vpn theo cách này thì ta phải tạo nhiều đường vpn (vpn1, vpn2) để hệ thống tự động lựa chọn đường vpn phù hợp với từng traffic. Cấu hình khá lằng nhằng nhiều bước, phức tạp hơn so với cách 1, nên mình ko thích cách này lắm, và nó cũng failed trong test lab của mình.

Như vậy với fortigate sdwan thì có 2 dạng virtual link: virtual link dùng để truy cập internet (như cái virtual wan link), và virtual link dùng để kết nối các sites (như vpn zone). SDwan phục vụ truy cập internet thì khá ngon và cấu hình khá đơn giản nên ok, 

Nguồn từ fb minhconan

Những lưu ý đối với bản vá Exchange Server ngày 10 tháng 01 năm 2023

Microsoft_Exchange_(2019-present).svg

Các Chú ý liên quan bản cập nhật vá lổ hổng (SU) của Exchange Server ngày 10/01/2023

Thông tin

Exchange 2019:
Exchange 2019CU12-KB5022193 (SU5)
Exchange 2019CU11-KB5022193 (SU9)
Exchange 2016:
Exchange2016-KB50221431(SU5)

Tính năng được giới thiệu mới:

Certificate signing of PowerShell serialization payload in Exchange Server, lưu ý khi cài đặt update bản vá thì sẽ bật tính năng này


Cập nhật các vá lỗ hổng:


Vấn đề vá lỗi:

  • Store Worker Process stops and returns “System.NullReferenceExceptions” lặp lại nhiều lần.
  • Không ghi âm và play được Exchange Unified Messaging
  • Log Exchange Application bị tràn liên quan có mã event ID: 6010

Các lỗi khi update có thể gặp phải:

  • Dịch vụ Microsoft Exchange AD Topology service có thể không start tự động hoặc lỗi treo làm die hệ thống (Đối với Exchange server 2016 chạy trên Windows Server 2012R2)
  • Bản xem trước trang web cho các URL được chia sẻ trong Outlook trên web (OWA) không được hiển thị chính xác.
  • Không thể mở công cụ quản lý Exchange Toolbox MMC snapin


Khuyến cáo Phương nguyễn:


Hiện bản này đang có nhiều lỗi liên quan khuyến cáo mạnh mẽ anh em IT System chưa hãy update nhé để ăn tết vui vẻ chờ MS confirm các bản vá trong tương lai. Vì có rất nhiều người bị lỗi rồi.
Khuyến cáo đặc biệt: Tuyệt đối không chạy bản vá này cho Exchange 2013

Phương nguyễn

Exchange Server 2013 sắp kết thúc hỗ trợ

Microsoft_Exchange_(2019-present).svg

Exchange Server 2013 End of Support Coming Soon
Vào ngày 11 tháng 4 năm 2023, tức là chưa đầy 90 ngày kể từ hôm nay, Exchange Server 2013 sẽ kết thúc Hỗ trợ!
Sau ngày đó, Microsoft sẽ không còn cung cấp:
Hỗ trợ kỹ thuật cho các sự cố có thể xảy ra liên quan Exchange 2013
Bản vá sửa lỗi cho các sự cố được phát hiện và có thể ảnh hưởng đến tính ổn định cũng như khả năng sử dụng của máy chủ Exchange Server 2013
Các bản sửa lỗi bảo mật (SU, CU) cho các lỗ hổng (,vulnerabilities ) được phát hiện và có thể khiến máy chủ dễ bị xâm phạm bảo mật
Cập nhật múi giờ

Tất nhiên, Exchange Server 2013 sẽ tiếp tục chạy sau ngày 11/04/2023; tuy nhiên, do những rủi ro được liệt kê ở trên, Microsoft thực sự khuyên khuyến cáo AE System nên di chuyển khỏi Exchange Server 2013 càng sớm càng tốt. Hãy bắt đầu ngay bây giờ lên plan để migration.
Để tiếp tục được hỗ trợ Sản phẩm liên quan Exchange, bạn có thể:
Upgrade to Exchange Server 2019 hoặc
Migrate to Exchange Online

jsisen

phuongit

exchange2013_eos

New opt-in endpoint for POP3/IMAP4 clients that need legacy TLS

Microsoft_Exchange_(2019-present).svg

Exchange Online ended support for TLS1.0 and TLS1.1 in October 2020. This year, we plan to disable these older TLS versions for POP3/IMAP4 clients to secure our customers and meet compliance requirements. However, we know that there is still significant usage of POP3/IMAP4 clients that don’t support TLS 1.2, so we’ve created an opt-in endpoint for these clients so they can use TLS1.0 and TLS1.1. This way, an organization is secured with TLS1.2 unless they specifically decide to opt for a less secure posture.

Only WW tenants can use this new endpoint. Tenants in US government clouds have higher security standards and cannot use older versions of TLS.

To take advantage of this new endpoint, admins will have to:

  1. Use Set-TransportConfig to set the AllowLegacyTLSClients parameter to True.
  2. Configure legacy POP3/IMAP4 clients and devices to use pop-legacy.office365.com / imap-legacy.office365.com as the new endpoint. Customers who use Microsoft 365 operated by 21 Vianet need to configure their clients to use pop-legacy.partner.outlook.cn / imap-legacy.partner.outlook.cn.

Starting in February 2023, we will reject a small percentage of connections that use TLS1.0 for POP3/IMAP4. Clients should retry as they do with any other temporary error that can occur when connecting. Over time we will increase the percentage of rejected connections, causing delays in connecting that should be more and more noticeable. The error will be:

TLS 1.0 and 1.1 are not supported. Please upgrade/update your client to support TLS 1.2. Visit https://aka.ms/popimap_tls.

We intend to fully disable TLS 1.0 and TLS 1.1 for POP3/IMAP4 on the regular endpoint by the end of April 2023.  Affected customers will receive a Message Center post in a few days notifying them of this change.

Additional documentation can be found here: Opt in to the Exchange Online endpoint for legacy TLS clients using POP3 or IMAP4.

Exchange Team

HƯỚNG DẪN XOÁ VNPT CA TOKEN CŨ HẾT HẠN

Bước 1 Tải phần mềm VNPT CA Admin để xóa thông tin chữ ký số hết hạn

Link tại đây

Bước 2: Đóng app hiện tại quyền và chạy ứng dụng vừa download về

Chọn vào chứng thư số-> nhập pin-> xoá chọn thông tin chữ ký số hết hạn cần xoá, nhớ là phải check ký nhé không là xoá nhằm nguy hiểm lại tốn time để xin lại căng lắm

Chọn CA hết hạn chọn xoá là xong

Phương nguyễn

CÁCH CÀI ĐẶT FREEPBX TRÊN VMWARE ESXI

THÔNG TIN

Download source mới nhất tại đây

https://downloads.freepbxdistro.org/ISO/SNG7-PBX16-64bit-2208-2.iso

https://downloads.freepbxdistro.org/ISO/SNG7-PBX-64bit-2203-2.iso

Copy lên datastore hoặc burn ra usb

Tạo Máy ảo

Chọn ISO vừa download về

Chọn Finish để cài máy ảo

CÀI ĐẶT FREEPBX

Reboot

Tắt firewall của Voice Server

fwconsole firewall --help

fwconsole firewall disable

fwconsole firewall stop

fwconsole firewall start

fwconsole firewall restart

fwconsole firewall trust 172.16.33.0/24

fwconsole firewall trust 172.16.17.0/24

fwconsole firewall list trusted

Logon Khởi tạo

CẤU HÌNH FREEPBX CƠ BẢN

Skip để qua nhé, nếu trường hợp chúng ta mua subscription tổng đài sẽ active, còn không chạy skip để lướt qua các quảng cáo

Mỗi khi cấu hình lưu ý phải apply config nhé.

Cấu hình firewall trust với server voice

Chọn No=> Not now skip trunk

Đây là giao diện sao khi init config

CẤU HÌNH SIP TRUNKING VÀ INCOMING OUTGOING để phần sau nhé.

Bài viết do phương nguyễn chủ biên, mọi thông tin reup vui lòng ghi rõ nguồn gốc.

Have nice good day

[Lỗ hổng] CVE-2022-41080 | Lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server

Thông tin

Thông tinMô Tả
Mức độCAO
Sản phẩmExchange Server
Phiên bảnMicrosoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019
Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft
Exchange Server 2019 Cumulative Update 12
Mã lỗiCVE-2022-41080
Bảng tóm tắt thông tin lỗ hổng Exchange CVE-2022-41080

Tổng quan

Microsoft cập nhật thông tin về CVE-2022-41080, lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server. Lỗ hổng đã được cảnh báo trong Patch Tuesday tháng 11 của Microsoft. Tin tặc đã xác thực có thể khai thác lỗ hổng Server-side request forgery (SSRF) để leo thang đặc quyền trên hệ thống hoặc kết hợp với CVE-2022-41082 để thực thi mã từ xa.
Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.

Mô tả chi tiết

Dựa trên các tiêu chí:

  • Microsoft Exchange Server là sản phẩm được sử dụng phổ biến trong các doanh nghiệp.
  • Kết hợp với CVE-2022-41082, tin tặc có thể thực thi mã từ xa trên hệ thống mục tiêu.
  • Tin tặc cần xác thực để khai thác lỗ hổng.
  • Lỗ hổng đã có bản vá từ phía hãng.

Thông tin chi tiết:

CVE-2022-41080 đã được Microsoft cảnh báo trong Patch Tuesday tháng 11/2022. Lỗ hổng Server-side request forgery (SSRF) cho phép tin tặc đã xác thực có thể khai thác để nâng cao đặc quyền. Đặc biệt kết hợp với lỗ hổng CVE-2022-41082 , tin tặc có thể thực thi mã từ xa trên hệ thống.
Microsoft sẽ cập nhật thông tin về lỗ hổng ngay khi có thông tin mới nhất và cảnh báo cho khách hàng.
Kịch bản tấn công:

  1. Tin tặc đã xác thực khai thác CVE-2022-41080 để nâng cao đặc quyền trên hệ thống.
  2. Tin tặc tiếp tục khai thác lỗ hổng CVE-2022-41082 để thực thi mã và chiếm quyền điều khiển hệ thống mục tiêu.

Điều kiện khai thác
Hệ thống sử dụng Exchange Server các phiên bản:

  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 12


Hệ thống chưa cài đặt bản vá Patch Tuesday tháng 11 hoặc bản vá trực tiếp cho lỗ hổng.
Tin tặc cần xác thực để khai thác lỗ hổng.


Dấu hiệu nhận biết/Cách khắc phục


Dấu hiệu nhận biết:

  • Gói tin tin tặc sử dụng để truy vấn lỗ hổng có các dấu hiệu sau:
  • Truy vấn HTTP phương thức GET.


Có chứa các chuỗi “X-OWA-ExplicitLogonUser” ,”owa/”, trong header.
Rule suricata:

alert http any any -> any any (msg:"Detecting CVE-2022-41082 attack"; flow:to_server,established; content:"GET";http_method; pcre:"/(X-OWA-ExplicitLogonUser:).(owa\/.)/Hi"; classtype:web-application-attack;sid:20224540;rev:1;)


Biện pháp khắc phục:

Lỗ hổng không có biện pháp khắc phục tạm thời. Microsoft khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng, chi tiết tại:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

Phương Nguyễn

CÁCH DI CHUYỂN BACKUP VERITAS SERVER SANG SERVER VERITAS BACKUP MỚI

Ngữ cảnh

Trong quản trị hệ thống vì lý do cần nâng cấp hệ thống backup chúng ta cần move hệ thống lưu trữ backup vertias cũ sang hệ thống server mới. Hôm nay Phương nguyễn sẽ giới thiệu các bạn cách move hệ thống backup veritas server từ server cũ sang hệ thống máy chủ mới.

Các bước thực hiện

Bước 1: Dĩ nhiên phải setup full máy mới

Bước 2: Ở Server cũ STOP ALL SERVICES SERVER VERITAS CŨ

Bước 3: Backup SQL Databases backup db

Sử dụng công cụ SQL manager nếu có hoặc dùng luôn tính năng của Vertias nhé.

Bước 4: Copy database hoặc restore vào server mới

Trước khi copy hoặc backup chúng ta phải stop all services Vertias và SQL

Hoặc dùng tools

Trước khi restored chúng ta phải stop all services Vertias và SQL hoặc đưa mode single

ALTER DATABASE [bedb] SET SINGLE_USER WITH ROLLBACK IMMEDIATE

Restored bedb.bak vào server mới hoặc attachment file bedb_dat.mdf và bedb.ldf vào nhé

Hoặc sài Tools backup util Copy databases của Veritas lun nhé

Sau khi restored ok hoặc attachment đưa về mode multi user

ALTER DATABASE bedb

SET MULTI_USER;

Bước 5: Copy cac dữ liệu cũ sang server mới

Copy thư mục catalogs theo đường dẫn C:\Program Files\Veritas\Backup Exec\Catalogs sang server Mới đúng bằng đường dẫn đó.

Copy all data except the msgq*.*.dat files from the following directory:

C:\Program Files\Veritas\Backup Exec\Data

Copy the catalog files and folders from the following directory:

C:\Program Files\Veritas\Backup Exec\Catalogs

Copy the job log files from the following directory:

C:\Program Files\Veritas\Backup Exec\Data

Copy the IDR files from the following directory:

C:\Program Files\Veritas\Backup Exec\\sdr\

Copy the report files from the following directory:

C:\Program Files\Veritas\Backup Exec\Reports

C:\Program Files\Common Files\Veritas Shared\SavedReports

Copy the user configuration file, user.config, from the Documents and Setting directory.

Bước 6: Start lại toàn bộ dịch vụ Vertias backup như hình nhé

Reboot lại rồi kiểm tra server đã chuyển đổi nhé.

Kiểm tra Job Backup còn nguyên nhé.

Chúc các bạn thành công.

Tài liệu được viết bởi Phương Nguyễn… Các bạn like share nhé. Ghi rõ nguồn từ web nếu có sao chép.

Phương Nguyễn

Nguồn : https://viettechgroup.vn/cach-di-chuyen-backup-vertias-server-sang-server-vertias-backup-moi.html

Cách Reset Password Root Và Admin F5 BIG-IP Configuration Utility Bằng TMSH

Mô tả

Để cập nhật admin BIG-IP Configuration qua web thì chúng ta còn nhớ mật khẩu mới vào được. Tuy nhiên vì lý do gì đó quên luôn mật khẩu admin trên web. Chúng ta phải dùng đến công cụ TMOS Shell (tsmh) của F5 nhé.

Thực hiện

Bước 1: logon vào Shell hoặc SSH gỏ lệnh tmsh

tmsh

Bước 2: gỏ lệnh bên dưới

modify auth password root

Nhập password mới và nhập lại cho root account

Bước 3 : để reset luôn tài khoản web admin dùng để cấu hình gỏ lệnh bên dưới

modify auth user admin prompt-for-password

Bước 4 : lưu cấu hình bằng lệnh save sys config

save sys config

Bước 5: Quit

Kiểm tra lại logon nhé

Như vậy là thành công rồi nhé. Chúc các bạn reset thành công trong công việc quản trị F5 network.

Phương Nguyễn Viết

Vui lòng ghi rõ nguồn từ trang nếu có repost

Nguồn: https://viettechgroup.vn/cach-reset-password-root-va-admin-f5-big-ip-configuration-utility-bang-tmsh.html

Cách ủy quyền quyền để cho phép người dùng tham gia máy tính vào miền AD-Join Domain

Ngữ cảnh

Câu chuyện quản trị system của Doanh nghiệp thường quy mô cở trung, vừa to,… Nếu doanh nghiệp chúng ta nhỏ thường ông quản trị mạng làm hết nghĩa là roles và vai trò system admin, network admin là 1 nói chung là all in one 🙂 đó là câu chuyện đương nhiên để tiết giảm chi phí cho Doanh nghiệp. Tuy nhiên đối với Doanh nghiệp lớn SMB to hệ thống vài 1000 user đến vài trăm ngàn user, thì IT helpdesk cần có và phân công nhiệm vụ rõ ràng. Ông System Admin quản trị Domain controller rồi có thể cho các bạn Helpdesk hoặc đơn vị nào đó ví dụ Outsoucing để có quyền tham gia hay join máy tính vào domain. Câu chuyện đặt ra chúng ta không thể một mình làm hết được nên chúng ta phải cho phép ủy quyền 1 số nhóm hoặc người dùng helpdesk làm công chuyện này. Dĩ nhiên loại trừ 1 số người dùng có số lần join domain là 10 lần.

Giải pháp

Hôm nay phương nguyễn chia sẽ đến các bạn một mẹo nhỏ trong quản trị hệ thống mạng Domain controller nhé để làm công đoạn này có 2 cách có thể làm:

  • Ủy quyền 1 nhóm người hoặc người nào đó có quyền sử dụng Active Directory Users and Computers mà cụ thể là join domain.
  • Tạo 1 chính sách GPO trên default domain group policy để cấp quyền

Các thực hiện ủy quyền trên ADUC

Để thực hiện delegation vào start-> gỏ lệnh dsa.ms run Active Directory Users & Computers

Tạo 1 nhóm để ủy quyền nhé ví dụ GroupITHelpdesk

Thêm các user cần ủy quyền join vào nhé ví dụ : jsisen, phuong

Muốn ủy quyền OU nào thì chọn OU đấy nhé hoặc có thể chọn cả domain 🙂 phải chuột chọn delegation

Chọn Nex->

Chọn -> Add group vừa tạo trên và chọn ok->next.

Chọn Delegation the following Common tasks-> Join a Computer to the domain

Hoặc chọn Create a custom task to delegate thì chọn Create computer object và Delete nhé.

Chọn Ok finish nhé.

Như vậy Phương Nguyễn chia sẽ cách ủy quyền 1 tài khoản hoặc nhóm có thể có quyền join domain. Chúng ta có thể bàn giao cho các anh em IT helpdesk đi làm mỗi 1 nhiệm vụ join thôi nhé.

Hehehe Nếu thấy hay hãy nhớ like và sharing cho các anh em IT và nếu có copy bài nhớ ghi source từ bài viết.

Phương Nguyễn Viết