Já faz um tempo que eu estive enfrentando um problema com empresas que utilizam de WebLogin, no SonicWall, que alguns computadores não conseguiam autenticar via browser, foi então que eu percebi que o problema estava no SonicWall, por ainda utilizar um protocolo chamando RC4.

De tanto fuçar nele acabei encontrando alguns recursos que podemos chamar de ocultos, porque em nenhum lugar do SonicOS, encontrei algo queme levasse à essa página, que possui diversas outras funcionalidades que podem ser ativadas\desativadas.

Fiz alguns testes em outros SonicWall’s que eu tenho acesso em modelos TZ e SOHO, todos eles possuem acesso página oculta.

Mas logo que acessamos essa página já ganhamos de cara um aviso, portanto, cuidado com as alterações que você vai fazer.

DELL, Inc. DISCLAIMS ALL WARRANTIES WITH REGARD TO THISSOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, INNO EVENT SHALL DELL, Inc. BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIALDAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISINGOUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

THE FOLLOWING FEATURES AND DIAGNOSTICROUTINES ARE NOT SUPPORTED BY DELL, Inc.. DELL makes no representations about the suitability of this software forany purpose. It is provided “as is” without express or impliedwarranty.

Para acessar esse recurso é muito fácil, o endereço de URL do SonicWall costuma ser https://0.0.0.0.0/main.html?, subistitua o MAIN, por DIAG, ficando da seguinte maneira https://0.0.0.0.0/diag.html?.

Segue à baixo uma lista completa de todos os recursos que eu encontrei nessa página oculta:

Registro de rastreamento:

  • Log de rastreamento: [Current \ /]
  • [Baixar registro de rastreamento]
  • [Clear Trace Log]

Configurações ARP:

  • Permitir a ponte ARP
  • Habilitar o comportamento ARP aberto (AVISO: Insecure !!)
  • Habilite a validação do endereço IP da origem para estar conectado diretamente
  • Só permite entradas ARP com endereços unicast
  • Limite ARPS de IP não responsivos
  • Ignorar o processamento do ARP nas interfaces da ponte L2
  • Habilite o Modo de Compatibilidade ARP Gratuito
  • Nunca transmitiu mais de 100 ARPs Gratuitos em qualquer período de 60 segundos.
  • Periodicamente transmite ARPs de sistema a cada 60 minutos.
  • Ignore ARPs com o MAC do gateway primário recebido em outras interfaces
  • [Enviar ARPs do sistema …]

Roteamento e configurações de rede:

  • Flush flui no caminho alternativo quando o caminho da rota normal está ativado (afeta as conexões existentes)
  • Atualize a versão da rota quando a rota é ativada / desativada (afeta as conexões existentes)
  • Ativar marcação de opção de pacote TCP
  • Corrigir / ignorar cabeçalhos TCP malformados
  • Habilitar aleatorização do número de sequência TCP
  • Execute a validação SYN quando não estiver operando no modo de conformidade TCP estrito
  • [Processo OSPF claro]
  • Borrão DF (Não Fragmento) Bit
  • Permitir primeiro fragmento de tamanho menor que 68 bytes
  • Ativar o redirecionamento ICMP na zona DMZ
  • Desativar a filtragem da ponte de aprendizado nas interfaces da ponte L2
  • Nunca adicione rotas padrão estáticas ao banco de dados da rota NSM
  • Ativar envio de tráfego de pilha por núcleo DP

Configurações DHCP:

  • Ativar pré-descoberta de rede do servidor DHCP
  • Período de Detecção de Conflito do Servidor DHCP: 300 Segundos
  • Número de recursos DHCP a descobrir: 10
  • Tempo limite para recursos conflitantes a serem revisados: 1800 segundos
  • Tempo limite para o recurso disponível a ser revisado: 600 segundos
  • [Salvar concessões DHCP para Flash]
  • Enviar DHCPNAK se o ‘endereço IP solicitado’ estiver na rede errada
  • Intervalo de tempo do banco de dados de concessão DHCP para atualização: 600 segundos
  • Número de concessões DHCP no banco de dados a serem atualizadas: 10
  • Agressivamente, recicla as concessões de DHCP expiradas antecipadamente

Configurações VoIP:

  • Parâmetros de VoIP máximos “públicos”: 2048
  • Porta de controle de mídia H323 Force Odd
  • Auto-adicionar pontos finais SIP
  • Transforme URIs SIP para ter uma porta explícita
  • Permitir B2BUA para vincular chamadas estabelecidas em conjunto
  • Intervalo de atualização de conexão SIP (segundos): 40
  • Flush mídia ativa para SIP INVITEs sem SDP
  • Elimine mídia não utilizada para SIP INVITEs sem SDP
  • [Redefinir bancos de dados SIP]

Configurações VPN:

  • Não ajuste a opção TCP MSS para tráfego VPN
  • Use a troca IKE DH interoperável
  • Fragmento de pacotes VPN após a aplicação do ESP
  • Use o índice de parâmetros SPI / CPI para conexões IPsec / IPcomp passthru
  • Aceite o tipo de identificação reservada no modo rápido.
  • Confie certificados CA integrados para autenticação IKE e importação de certificados locais.
  • Ative compatibilidade com o cliente do Android 4.0.

Configurações de criptografia:

  • Ativar criptografia de hardware
  • Desativar SSLv3
  • Desativar TLSv1

Configurações da pilha DP:

  • Ativar processamento de pilha DP

Configurações de firewall:

  • Proteção de ataque de salto de FTP
  • Permitir conexões de dados órfãos
  • Permitir o pacote TCP / UDP com a porta de origem sendo zero para passar pelo firewall
  • Proteção de ataque de anomalia de protocolo FTP
  • IP Spoof checking
  • Desativar detecção de varredura de porta
  • Trace conexões para a porta TCP: 0
  • Incluir conexões de dados TCP em traços
  • Habilitar o rastreamento do uso da largura de banda para o tráfego padrão
  • Permitir a largura de banda gerenciar o tráfego WAN para WAN
  • Diminuir a contagem de conexões imediatamente após a conexão TCP fechar
  • Proteja contra o TCP State Manipulation DoS
  • Desabilitar Validação de token CSRF
  • Disable Secure Session ID Cookie
  • [Flush Connections]
  • Contagem de pacotes Deschedule:
  • Atualize sub-domínios de objetos de endereço FQDN curinga

Configurações dos Serviços de Segurança:

  • Aplicar assinaturas do IPS de forma bidirecional
  • Ativar a remontamento de fragmentos IP no DPI
  • Informações adicionais de depuração do dev
  • Desativar o ajuste de seqüência esperado TCP no DPI
  • Desativar a modificação SMTP CHUNKING do Firewall do aplicativo
  • Disable Gateway AV POP3 Eliminação automática
  • Desativar Gateway AV POP3 UIDL Reescrever
  • Disable Gateway AV SMB aplicação de pedidos de leitura / gravação
  • Log URI de vírus.
  • Não aplique assinaturas contendo qualificadores de deslocamento de arquivo
  • esse gatilho em TCP Streams com protocolos não identificados.
  • Comprimento mínimo do cabeçalho HTTP (0 para desativar): 0
  • Habilite atualizações incrementais para bancos de dados de assinatura IDP, GAV e SPY.
  • Permitir a execução de um limite na janela TCP anunciada permitida máxima com qualquer serviço baseado em DPI habilitado.
  • 256 Defina um limite na janela TCP anunciada permitida máxima com qualquer serviço baseado em DPI habilitado (KBytes).
  • Desative o recarregamento do banco de dados de assinatura.
  • 1500 Limiar acima dos limites de tamanho aplicados no Regex Automaton.
  • 3000 Tamanho máximo permitido para o Automate Regex.
  • Limite a verificação IPS CFT.
  • Aplicar marca de host procuram CFS
  • [Redefinir informações AV]
  • [Redefinir informações de execução de CF do cliente]
  • [Redefinir Cache de Execução de CF do Cliente]
  • [Repor licenças e informações de serviços de segurança]
  • [Redefinir o cache de notificação sem cliente HTTP]
  • [Redefinir Cloud Cloud Cache]

Configurações DPI-SSL:

  • Certificado reescrito SN modificador:
  • Armazenamento em cache de certificados falsificados pelo cliente:
  • Remover a opção timestamp do TCP:
  • Solte os pacotes SSL quando a memória estiver baixa:
  • Permitir SSL sem proxy quando o limite de conexão excedido:
  • Disable Endpoint TCP Window Setup:
  • Desativar a reutilização da sessão de exibição do servidor:
  • Bloqueie conexões em sites com certificados não confiáveis:
  • 512 Deslocamento máximo do fluxo para verificar a semelhança cliente-hello SSL:
  • Multiplicador de janela TCP (N * 64k):
  • Substituir as conexões SSL maximizadas por proxy:
  • Desative as conexões do cliente SSLv3 em DPI-SSL:
  • Versão SSL:
  • Métodos de cifra

Configurações de alta disponibilidade:

  • Habilite a monitoração do Monitor de rede na unidade de inatividade
  • HA Failover quando Packet Pool está baixo na unidade ativa
  • Suprima Alarme na Transição HA para Ativo
  • Sempre reinicie o backup HA para a tarefa de guarda
  • Envie ARP gratuito para DMZ ou LAN no modo transparente enquanto HA failover
  • Número máximo de ARP gratuito de modo transparente por interface enquanto HA failover: 256
  • Número máximo de ARP gratuito enquanto HA failover: 1
  • Enviar mensagens Syslog de ambas as unidades HA com números de série exclusivos

PPPOE Configurações:

  • Permitir solicitações LCP ao servidor PPPOE
  • Log LCP Echo Requests e Respostas entre o cliente eo servidor
  • Permitir PPPoE End-of-List Tag
  • PPPOE Netmask: 255.255.255.0

Configurações dial-up:

  • Exibir status de discagem no console
  • Falhas de configuração PPPDU Max: 9
  • [Reiniciar dispositivos dial-up]
  • Auxílios de configuração de um toque
  • [DPI e Stateful Firewall Security]
  • Visualizar as mudanças aplicáveis
  • [Stateful Firewall Security]
  • Visualizar as mudanças aplicáveis

Configurações de gerenciamento:

  • Use Standby Management SA
  • Permitir que o SGMS preprima um administrador conectado
  • Priorize os seguintes tipos de tráfego selecionados abaixo para serem mais altos e acima de todos os outros tipos de tráfego:
  • ICMP SNMP HTTPS

Configurações de autenticação de usuário:

  • URL de redirecionamento do usuário de autenticação postal:
  • Registre uma trilha de auditoria de todas as tentativas de SSO no log de eventos
  • (X) no log de eventos
  • () na memória para baixar como ssoAuthLog.wri, max. tamanho do buffer: 64 KBytes.
    • Quando o buffer está cheio: (X) stop () wrap. Baixe ssoAuthLog.wri Baixe e reinicie ssoAuthLog.wri
  • Para addreses IP do usuário: [All \ /]
  • Incluir SSO polling Incluir SSO bypass Incluir a não inicialização adicional de SSO
  • Tente negociar o protocolo do agente SSO com a versão: 5 (a versão padrão do protocolo é 5)
  • [Sair todos os usuários]

Configurações de diagnóstico:

  • Desativar o Servidor SonicSetup / Setup Tool
  • Nível de mensagem de rastreamento: [Warning \ /]
  • Para fins de teste de diagnóstico, reinicie automaticamente o sistema a cada 60 minutos.
  • Secured www.mysonicwall.com crash analysis

Configurações do Watchdog:

  • Não recomeçar para tarefa de vigilância
  • Reinicie rapidamente após uma exceção
  • Reinicie quando o pool de pacotes estiver baixo
  • Configurações IPHelper:

  • Não habilite a correspondência de portas de origem para respostas de servidores DHCP.
  • Desativar verificação do caminho reverso para IP de origem.
  • Desativar verificação de saída de entrada.

Configurações sem fio:

  • Configurações avançadas sem fio
  • Definir o bit local para o ponto de acesso virtual Endereço MAC BSSID
  • Permitir que os mesmos grupos de pontos de acesso virtual sejam usados ​​para rádios duplos
  • SonicPoint Type suportado: [All \ /]
  • SonicPoint-N System Self Maintenance: [Semanalmente (3:00 da manhã todos os domingos) \ /]
  • Legacy SonicPoint A / B / G e SonicPoint-G Somente Execução de Gestão
  • [Atualize o Firmware do All SonicPoint]
  • SonicPoint KeepAlive Enforcement
  • SonicPoint Provisioning Protocol Tamanho da janela TCP: 1400
  • Usar o tamanho da janela TCP padrão para o protocolo de provisionamento SonicPointN
  • SonicPointN Provisioning Protocol Configuração TCP MSS:
  • (X) Use o Valor Padrão.
  • () TCP MSS personalizado: 1460 bytes.
  • Preferir SonicPointN 2.4GHz Auto Channel Selection para ser apenas 1, 6 e 11
  • SonicPointN SSH Management Enable
  • Ativar a retenção de endereço IP do SonicPoint (N)
  • SonicPointN Logging Enable
  • Erase SonicPoint Crash Log gerado pela imagem de firmware anterior quando a imagem do SonicPoint é atualizada
  • SonicPoint-Ni / Ne Nível de sensibilidade ao ruído: (O nível de sensibilidade ao ruído mais alto deve ser selecionado quando o ambiente RF estiver recebendo noiser) [Medium \ /]
  • Reinicialização do SonicPointN quando o modo de segurança por ruído detectado
  • Use o pacote SNAP entre SonicPoint / SonicPointN e Gateway
  • Enviar pacote Fragmento ICMP para o cliente SonicPoint / SonicPointN
  • Ativar comunicação intra-WLAN Zone para pacote bonjour
  • WLAN DHCP lease / ARP entrega sucesso taxa de aprimoramento
  • Serviços de convidados sem fio Intervalo de redirecionamento: 15 segundos
  • Suporte Legacy WiFiSec Enforcement
  • Não aplique a aplicação de segurança WiFi no tráfego de resposta da WLAN para qualquer outra zona
  • Ativar capacidade de processamento de núcleo de DP de tráfego WLAN
  • Ativar comunicação intra-WLAN Zone para o pacote de transmissão
  • Habilitar o tráfego da zona sem fio local para ignorar o firewall do gateway
  • Configurações de dicas de ferramentas
  • Ativar dicas de ferramentas sem descrições

Preferências Conversão:

  • Servidor de processador de preferência: convert.global.sonicwall.com
  • Site Relative Directory: / popup
  • Habilitar verificação ao importar configurações

Serviço anti-spam:

  • Desativar SYN Flood Protection para conexões relacionadas ao Anti-Spam
  • Use somente a verificação de reputação GRID IP somente
  • Desabilitar a verificação de reputação IP da GRID para conexões SMTP de saída
  • NÃO desabilite as políticas personalizadas de e-mail do usuário quando o Anti-spam estiver ativado
  • Permitir que os usuários de Administradores Limitados configurem o Serviço Anti-Spam.
  • Bypass SHLO Verifique quando a loja de lixo não está disponível (enquanto a segurança do email está operacional).
  • NÃO verifique SHLO entrante
  • Marcado como repetição se o cronograma SHLO entrante for superior a: 3600 segundos
  • [Limpar estatísticas]
  • [Restaurar o cache do nome GRID]
  • [Excluir políticas e objetos]
  • CASS Cloud Service Address: [Resolva automaticamente \ /]
  • Detecção de sistema de email:

  • Ativar detecção de sistema de email

TZ Atribuição de porta padrão:

  • Modo TZ básico (LAN / WAN)

Assistência remota:

  • Ativar Assistência Remota

Configurações SSLVPN:

  • NetExtender (para Windows) Versão:
  • Ocultar recurso EPC remoto

Configurações de aceleração WAN:

  • Ativar verificação de respostas de conexão por dispositivo de aceleração WAN remoto
  • Ignorar temporariamente a aceleração do TCP para conexões com proxy falhadas (minutos): 15
  • Ignorar temporariamente a aceleração TCP para conexões proxy de curta duração (minutos): 60
  • Ignore a aceleração TCP para canais de controle com estado (mas acelerem os canais de dados)
  • Ativar aceleração CIFS transparente
  • Ativar redirecionamento de cache da Web WXA
  • [Zero debug stats]
  • [Mostrar estatísticas de depuração]
  • [Abrir página de configurações internas WXA]
  • [Dispositivo SSH para WXA]

Comunicação Backend Server:

  • Impedir a comunicação com os servidores do DELL Backend
  • Tempo limite de conexão do servidor (seg): 30

Configurações de log:

  • Extinto de eventos não filtrados de mudanças globais, de nível de categoria e de nível de grupo
  • [Restaurar configurações de evento não filtrado]
  • Intervalo de reprogramação do processo de log principal: 100
  • Entradas de log
  • Tempo limite de leitura SMTP (seg): 10

Configurações IPv6:

  • Habilitar o cumprimento do requisito de logotipo pronto para IPv6

Configurações ICMP:

  • Habilitar o cumprimento do pacote ICMP inacessível da queda
  • Habilitar a execução do tempo de soltar Excede o pacote ICMP

Opção de depuração:

  • Disable Pkt Monitor Application Detection