Mover Sophos XG dentro de Azure

By 18 septiembre, 2018 Knowledgebase, XG

Si bien hay muchos aspectos técnicos para tener en cuenta al trasladar un appliance virtual XG de un inquilino a otro en Microsoft Azure, es importante verificar nuestro entorno para asegurar la continuidad del funcionamiento posterior a la migración.

Primero, hay que tener en cuenta lo siguiente:

  1. XG utiliza IP públicas estándar de SKU que no se pueden mover entre cuentas (https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-move-resources#pip-limitations)
  2. No puede mover una máquina virtual con un plan (como la licencia BYOL para XG)

 

Estas situaciones requieren revertir al tenant anterior porque la conectividad con el dispositivo se pierde después de haberlo movido.

Existen otros motivos por los que puede fallar el traslado de un dispositivo, pero estos son los más comunes junto con el uso de discos administrados.

Aquí, vamos a examinar un mensaje de registro de Azure relacionado con un fallo de comunicación después de reiniciar:

 

FIRMWARE LOADER

Starting 17_0_8_209.

Warning: Detected Disk [/dev/hda] [size:8388608]

Warning: Detected Disk [/dev/hdb] [size:209715200]

Warning: Detected Disk [/dev/sda] [size:8388608]

Warning: Detected Disk [/dev/sdb] [size:209715200]

Warning: Detected Disk [/dev/sdc] [size:167772160]

Warning: using primary disk [/dev/sda] , auxiliary disk : [/dev/sdc]

Loading configuration

Performing automated file system integrity checks. It will take some time before your system is available.

Examining Config partition…..

Examining Signature partition…..

Examining Report partition…..

 

### System Detail ###

 

Number of cores:                4

Total RAM:                      6976 MB

Total Number of interfaces:     2

Total Primary Disk:             8 GB

Total Auxiliary Disk:           80 GB

 

#####################

 

mkdir: can’t create directory ‘/sdisk/conan_new’: File exists

Password: 2018/09/03 10:00:28.xxxxx INFO Azure Linux Agent Version:2.1.3

2018/09/03 10:00:29.216731 INFO OS: sfos 17

2018/09/03 10:00:29.219252 INFO Python: 3.5.1

2018/09/03 10:00:29.219510 INFO Run daemon

2018/09/03 10:00:29.220392 INFO Detect protocol endpoints

2018/09/03 10:00:29.221389 INFO WireServer endpoint is not found. Rerun dhcp handler

2018/09/03 10:00:29.221491 INFO Send dhcp request

2018/09/03 10:00:29.329677 INFO Configure routes

2018/09/03 10:00:29.343346 INFO Gateway:xxx.xxx.xxx.xxx

2018/09/03 10:00:29.359037 INFO Routes:None

2018/09/03 10:00:29.373068 INFO Request to install route: 0 0 xxx.xxx.xxx.xxx

2018/09/03 10:00:29.385071 INFO Wire server endpoint:xxx.xxx.xxx.xxx

2018/09/03 10:00:29.615998 INFO Fabric preferred wire protocol version:2015-04-05

2018/09/03 10:00:29.637200 INFO Wire protocol version:2012-11-30

2018/09/03 10:00:29.658134 WARNING Server prefered version:2015-04-05

2018/09/03 10:00:34.667711 INFO Start env monitor service.

2018/09/03 10:00:34.668910 INFO Configure routes

2018/09/03 10:00:34.669032 INFO Gateway:xxx.xxx.xxx.xxx

2018/09/03 10:00:34.669906 INFO Routes:None

2018/09/03 10:00:34.670010 INFO Request to install route: 0 0 xxx.xxx.xxx.xxx

2018/09/03 10:00:34.687595 ERROR run cmd ‘pidof udhcpc’ failed

2018/09/03 10:00:34.688913 ERROR Error Code:1

 

La información de los logs nos indica que el DHCP de Azure no puede entregar una IP cuando se espera que lo haga. Por lo general, esto se debe a que el puerto WAN ‘B’ ya cuenta con una IP asignada. Aunque la dirección fijada podría ser idéntica a la que entrega Azure, la infraestructura de comunicaciones y de seguridad que se encuentra por encima del XG es muy estricta. Este fallo hace que Azure entre en un ciclo continuo que rompe las comunicaciones.

Para evitar este problema, es esencial asegurarse de que el puerto WAN esté en modo DHCP. Un detalle simple que podría causar problemas complejos.

En términos de recomendaciones, por supuesto, se recomienda simplemente implementar una nueva máquina XG en la nueva suscripción e importar la configuración desde el nodo XG anterior.

Para manteneros al día sobre temas de Seguridad IT y noticias destacadas, haceros fans de nuestra página de Facebook y/o síguenos en Twitter.