เมื่อสุดสัปดาห์ที่แล้ว เราได้ทำการอัปเกรดความปลอดภัยโดยอัตโนมัติบนหนึ่งในเกตเวย์ VPN ที่เชื่อมต่อไซต์กับสภาพแวดล้อมคลาวด์ของเรา หลังจากดำเนินการแก้ไขปัญหา (ผ่านการแก้ไขปัญหาเครือข่ายพื้นฐาน เช่น ผ่าน Wireshark) เราพบว่าหนึ่งในการอัปเดตด้านความปลอดภัยล่าสุดเป็นสาเหตุของปัญหานี้ เราได้คืนค่าระบบกลับสู่สถานะที่ใช้งานได้และได้ตั้งค่า (เราเชื่อว่าเป็น) แพ็คเกจที่ได้รับผลกระทบไว้ชั่วคราว
เป็นอินสแตนซ์ Ubuntu 20.04 LTS บน AWS ที่ติดตั้ง linux-image-aws เรากำลังใช้ IPsec เพื่อเชื่อมต่อ EdgeRouters หลายตัวกับสภาพแวดล้อมคลาวด์ส่วนตัว
หลังจากอัปเกรดไซต์ทั้งหมดเชื่อมต่อและสื่อสารได้ตามปกติ เช่น ICMP ใช้งานได้ แต่เราไม่สามารถเข้าถึงบริการบางอย่าง (เช่น RDP หรือ SMB) ในสภาพแวดล้อมคลาวด์ส่วนตัว
บันทึกการเปลี่ยนแปลงสำหรับแพ็คเกจที่เกี่ยวข้องไม่แสดงการเปลี่ยนแปลงที่เชื่อมโยงอย่างชัดเจน ดังนั้นฉันจึงสงสัยว่าฉันขาดอะไรพื้นฐานไปหรือไม่ การกำหนดค่า/การตั้งค่านี้ทำงานได้ดีมากว่าหนึ่งปีแล้วโดยไม่มีปัญหาใดๆ
รู้จักรุ่นดี: ลินุกซ์-image-aws 5.8.0.1041.43~20.04.13
รุ่นที่มีปัญหา: linux-image-aws 5.8.0.1042.44~20.04.14 และเป็นต้นไป (เราได้ทดสอบล่าสุด 5.11 ซึ่งดูเหมือนว่าจะได้รับผลกระทบ)
แยกการกำหนดค่า IPsec
# การกำหนดค่า IPSEC VPN หลัก
การตั้งค่าคอนฟิก
คอน %default
การแลกเปลี่ยนคีย์=ikev1
# <ลบออก>
conn peer-rt1.<ลบออก>.net.au-tunnel-1
ซ้าย = % ใด ๆ
right=rt1.<REMOVED>.net.au
rightid="%ใดๆ"
leftsubnet=172.31.0.0/16
rightsubnet=10.35.0.0/16
ike=aes128-sha1-modp2048!
การแลกเปลี่ยนคีย์=ikev1
ikelifetime=28800s
esp=aes128-sha1-modp2048!
คีย์ไลฟ์=3600 วินาที
rekeymargin=540 วินาที
พิมพ์=อุโมงค์
บีบอัด=ไม่
authby = ความลับ
อัตโนมัติ=เส้นทาง
การป้อนคีย์ = % ตลอดไป
dpddelay=30 วินาที
dpdtimeout=120 วินาที
dpdaction=รีสตาร์ท
ขอบคุณล่วงหน้า.
แก้ไข 1: ฉันสามารถจับภาพ tcpdump อื่นจากการเชื่อมต่อ RDP ที่ไม่สำเร็จหลังจากการอัปเกรดการทดสอบอื่น ซึ่งมีลักษณะดังนี้:
21:43:01.813502 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
21:43:01.813596 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sackOK], ความยาว 0
21:43:01.814238 IP <REMOTE>.3389 > <LOCAL>.51099: ค่าสถานะ [S.], seq 152885333, ack 2706968964, ชนะ 64000, ตัวเลือก [mss 1460,nop,wscale 0,nop,nop,sackOK], ความยาว 0
21:43:01.839105 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 1, ชนะ 1025, ความยาว 0
21:43:01.839168 IP <LOCAL>.51099 > <REMOTE>.3389: ตั้งค่าสถานะ [.], ack 1, ชนะ 1025, ความยาว 0
21:43:01.840486 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.840541 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.843746 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1:20, ack 48, win 63953, ความยาว 19
21:43:01.922120 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 20, ชนะ 1025, ความยาว 0
21:43:01.922212 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 20, ชนะ 1025, ความยาว 0
21:43:01.932646 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.932729 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.940677 IP <REMOTE>.3389 > <LOCAL>.51099: ค่าสถานะ [P.], seq 20:1217, ack 226, ชนะ 63775, ความยาว 1197
21:43:01.967343 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.967417 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.969452 IP <REMOTE>.3389 > <LOCAL>.51099: ค่าสถานะ [P.], seq 1217:1324, ack 408, ชนะ 63593, ความยาว 107
21:43:02.044376 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 1324, ชนะ 1020, ความยาว 0
21:43:02.044471 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 1324, ชนะ 1020, ความยาว 0
21:43:02.135594 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.135653 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.136796 IP <REMOTE>.3389 > <LOCAL>.51099: ค่าสถานะ [P.], seq 1324:2609, ack 637, ชนะ 63364, ความยาว 1285
21:43:02.212871 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 2609, ชนะ 1025, ความยาว 0
21:43:02.212940 IP <LOCAL>.51099 > <REMOTE>.3389: ค่าสถานะ [.], ack 2609, ชนะ 1025, ความยาว 0
โดยไม่ต้องขุดลงไป - อาจเป็นการลบรหัสเก่าที่อ่อนแอเช่น sha1 และ aes128 หรือไม่ ลองเปลี่ยนเป็น aes256-sha256-modp2048 ในเวอร์ชันเคอร์เนลที่ใช้งานได้ จากนั้นอัปเกรดเพื่อดูว่ายังใช้งานไม่ได้หรือไม่ อาจจะเป็น ikev2 แทน ikev1 ด้วย แต่นั่นเป็นข้อกังวลของพื้นที่ผู้ใช้ ไม่ใช่การตั้งค่าเคอร์เนล
ลองดูสิ¦
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
