Haluaisin tietää miten Cozify avaa yhteyden internetiin. Mitä TCP tai UDP portteja se käyttää? Itselläni on ongelma, että en saa hubia muodostamaan nettiyhteyttä, jos siirrän sen palomuurin taakse. Aikaisemmin se oli suoraan NAT-modeemissa kiinni. Palomuuriin ei jää mitään jälkiä, mitään droppeja ei näy. DHCP:stä osoite on jaettu, muuta ei näy. Kaikki muut laitteet samasta verkosta toimivat ok, myös dhcp:llä. PC:llä internet toimii normaalisti samasta LAN-portissa missä Hubi oli.
Ja tämä tuli väärän kategoriaan, supporttiin olisi kuulunut...saa siirtää jos haluat.
Teen SSL (TLS) Decrypt&Scan toimintoa eli salauksen purkua omalla palomuurilla kaikille laitteille, joihin saan varmenteet asennettua. Koska hubiin ei saa serttiä, enkä saa serttiä myöskään Microsoftin Lumiaan, niin olen ne kaksi laitetta jättänyt SSL-skannauksen ulkopuolelle. Samoin olen jättänyt purkamisen ulkopuolelle muutamia webbisivuja kuten pankit.
Muita en jätä ulkopuolelle. Ja Cozify sovellus ei toimi sen vuoksi. En saanut selville miksi. Jouduin ottamaan SSL-salauksen purkamisen palomuurista pois päältä. Sen jälkeen toimi taas Cozify sovellus.
Jouduin siis heikentämään tietoturvaani. Koska kännykän ja Hubin pitää olla käytännössä samassa verkossa, niin en voi hubia omaan VLANiinkaan siirtää.
Kaikki muut internetin palvelut toimivat muilla laitteilla (Youtube, Spotify, vuokravideopalvelut, Google Play, sekä kaikki HTTPS saitit). Mutta Cozify sovellus ei toimi, jos skannaus on päällä. Sovelluksen käynnistyksessä tulee virhe "Applikaatiopalvelun varmentamisessa virhe" tai jotain sellaista, ja kehoittaa lataamaan uuden version (jota ei ole).
Mihin Cozify hubi ja sovellus ottaa yhteyttä, ja millä porteilla?
Ratkaisu: Sain kaivettua lokeista liikennettä. Realiaikainen loki ei jostain syytä näyttänyt kaikkea liikennettä, piti mennä historialokista kaivamaan. Nytpä (taas) tajuan senkin, että oikea loki ei ole reaaliloki palomuurituotteissa.
--> Laitoin yhden IP-osoitteen excludeen. Nyt pysyy Cozify sovellus toiminnassa vaikka SSL decrypt&Scan on päällä. Mutta en IP-osoitetta tähän palstalle nyt laita, vaikkapa tietoturva syistä.
Kysynpä kuitenkin, että voiko osoitteita olla useampia? Eli kyllä kunnon tekninen kuvaus voisi olla ohjeissa eli käytettävät ip-osoitteet ja portit. Tai ainakin ohjeet mistä niitä voisi pyytää.
Toivoo: Pari iltaa päätä seinään hakannut.
PS: Miksi menen niin pitkälle, että skannaan HTTPS:n sisälle? "Koska mä voin". Koska siten on mahdollista skannata liikennettä kahdella eri valmistajan AV:llä. Toisella ennen kuin se tulee sisälle. Toisella sitten kun se on laitteella. Ei olisi kovin kivaa joutua vaikkapa cryptolockerin uhriksi. Muurilla voi rajoittaa myös kätevästi epäsopivan materiaalin päätymistä nuoremman sukupolven saataville.
Kysyit pysyykö Cozify cloudin IP osoite samana ja vastaus on että ei, mutta ei se kokoaikaa vaihdu. Kyse on lähinnä automaatisesta kuorman jakamisesta, jota tehdään vain tarvittaessa. Emme miellään jukaise portteja koska ne saattavat myös muuttua ilman varoitusta.
Viestejä yhteensä
Teen SSL (TLS) Decrypt&Scan toimintoa eli salauksen purkua omalla palomuurilla kaikille laitteille, joihin saan varmenteet asennettua. Koska hubiin ei saa serttiä, enkä saa serttiä myöskään Microsoftin Lumiaan, niin olen ne kaksi laitetta jättänyt SSL-skannauksen ulkopuolelle. Samoin olen jättänyt purkamisen ulkopuolelle muutamia webbisivuja kuten pankit.
Muita en jätä ulkopuolelle. Ja Cozify sovellus ei toimi sen vuoksi. En saanut selville miksi. Jouduin ottamaan SSL-salauksen purkamisen palomuurista pois päältä. Sen jälkeen toimi taas Cozify sovellus.
Jouduin siis heikentämään tietoturvaani. Koska kännykän ja Hubin pitää olla käytännössä samassa verkossa, niin en voi hubia omaan VLANiinkaan siirtää.
Kaikki muut internetin palvelut toimivat muilla laitteilla (Youtube, Spotify, vuokravideopalvelut, Google Play, sekä kaikki HTTPS saitit). Mutta Cozify sovellus ei toimi, jos skannaus on päällä. Sovelluksen käynnistyksessä tulee virhe "Applikaatiopalvelun varmentamisessa virhe" tai jotain sellaista, ja kehoittaa lataamaan uuden version (jota ei ole).
Mihin Cozify hubi ja sovellus ottaa yhteyttä, ja millä porteilla?
Ratkaisu:
Sain kaivettua lokeista liikennettä. Realiaikainen loki ei jostain syytä näyttänyt kaikkea liikennettä, piti mennä historialokista kaivamaan. Nytpä (taas) tajuan senkin, että oikea loki ei ole reaaliloki palomuurituotteissa.
--> Laitoin yhden IP-osoitteen excludeen. Nyt pysyy Cozify sovellus toiminnassa vaikka SSL decrypt&Scan on päällä. Mutta en IP-osoitetta tähän palstalle nyt laita, vaikkapa tietoturva syistä.
Kysynpä kuitenkin, että voiko osoitteita olla useampia? Eli kyllä kunnon tekninen kuvaus voisi olla ohjeissa eli käytettävät ip-osoitteet ja portit. Tai ainakin ohjeet mistä niitä voisi pyytää.
Toivoo: Pari iltaa päätä seinään hakannut.
PS: Miksi menen niin pitkälle, että skannaan HTTPS:n sisälle? "Koska mä voin". Koska siten on mahdollista skannata liikennettä kahdella eri valmistajan AV:llä. Toisella ennen kuin se tulee sisälle. Toisella sitten kun se on laitteella. Ei olisi kovin kivaa joutua vaikkapa cryptolockerin uhriksi. Muurilla voi rajoittaa myös kätevästi epäsopivan materiaalin päätymistä nuoremman sukupolven saataville.
-
AutomateMe
t.Samppa / Cozify