Sophos Firewall: کوئی CVE نہیں، لیکن بگز کی بھرمار (v21.5 سے v22 تک)
فہرستِ مضامین
اگر آپ اس وقت فائر وال کے شعبے میں کام کر رہے ہیں، تو آپ عام طور پر دو بڑی برائیوں میں سے کسی ایک کا سامنا کر رہے ہوں گے: یا تو آپ مسلسل انتہائی اہم کمزوریوں (CVEs، جیسا کہ ابھی Fortinet کے ساتھ ہو رہا ہے) کو لے کر دباؤ میں ہیں اور راتیں پیچ کرنے میں گزار رہے ہیں - یا پھر سسٹم غیر مستحکم فرم ویئر اور پریشان کن بگز (جیسا کہ ابھی Sophos کے ساتھ ہو رہا ہے) کی وجہ سے باقاعدہ آپریشنز کے دوران آپ کے راستے میں اتنی رکاوٹیں ڈال رہے ہیں کہ آپ کچھ اور کر ہی نہیں پاتے۔
کمپنی میں میرے کام کے دوران، بالکل یہی بعد والی صورتحال ہو رہی ہے - ایک ایسا دباؤ جسے میں فطری طور پر کبھی کبھار اپنے ساتھ گھر بھی لے جاتا ہوں۔ ہمارے موجودہ درد سر کا نام ہے: Sophos Firewall۔
جبکہ Fortinet جیسے حریف ایسا لگتا ہے کہ ہر ہفتے نئی PSIRT ایڈوائزری جاری کر رہے ہیں، جس سے ایڈمنسٹریٹرز مسلسل پیچنگ کے چکر میں گھومتے رہتے ہیں، Sophos ہمارا بھاری مقدار میں وقت برباد کر رہا ہے۔ یہ ان کمزوریوں کی وجہ سے نہیں ہے جو سرخیاں بنتی ہیں، بلکہ روزمرہ کے آپریشنز (Operations) میں آنے والے بالکل عام، پھر بھی انتہائی اہم بگز کی وجہ سے ہے۔
ڈس کلیمر، تاکہ ایسا نہ لگے کہ میں سیب اور مالٹے کا موازنہ کر رہا ہوں: مجھے پوری طرح سے معلوم ہے کہ Fortinet بھی بھاری بگز سے دوچار ہے (FortiOS 7.2/7.4/7.6 میں Conserve Mode اور Memory Leaks کے بارے میں سوچیں) اور Sophos نے بھی ماضی میں سنگین CVEs دیکھے ہیں۔ تاہم، موجودہ v21.5/v22 مرحلے میں، یہ مخصوص صورتحال ہی ہمارے لیے پریشانی کا باعث ہے: ایک وینڈر کے ساتھ، یہ مسلسل CVE پیچنگ کا معاملہ ہے؛ وہیں Sophos کے ساتھ، یہ استحکام کے مسائل کی وجہ سے ہونے والا غیر ضروری اور فالتو کا کام (Ops-Work) ہے۔
ورژن کا پس منظر (مختصر طور پر)
یہ واضح کرنے کے لیے کہ میں کسی پرانی دھول کھا رہی v19 کے بارے میں نہیں لکھ رہا ہوں، بلکہ اس ورژن کے بارے میں لکھ رہا ہوں جسے فی الحال کئی لوگ “اپ ٹو ڈیٹ” مان کر چلا رہے ہیں:
- SFOS 21.5 GA (02.06.2025): ریلیز نوٹس: SFOS 21.5
- SFOS 21.5 MR2 (Build 323, 18.02.2026): ریلیز نوٹس کے مطابق، اس وقت کی مدت میں جدید ترین 21.5 ورژن۔
- SFOS 22.0 GA (دسمبر 2025) اور v22 GA Re-Release (Build 411, 20.01.2026): ریلیز نوٹس: SFOS 22.0
یہ GA (جنرل اویلیبلٹی) اور مینٹیننس ریلیز (Maintenance Releases) ہیں، کوئی بے ترتیب “نائٹلی” بلڈ نہیں۔
یہ یقینی بنانے کے لیے کہ یہ موازنہ محض احساسات پر مبنی نہیں ہے، یہاں ایک فوری حقیقت کی جانچ (Reality check) دی گئی ہے۔
Fortinet: نومبر 2025 سے FortiOS CVEs (26.02.2026 تک)
ٹائم فریم: 01.11.2025 سے 26.02.2026 (اشاعت کی تاریخ)۔ ماخذ: Fortinet PSIRT ایڈوائزریز (PSIRT جائزہ)۔
میں جان بوجھ کر یہاں “تمام Fortinet” کو درج نہیں کر رہا ہوں، بلکہ صرف اس مدت میں FortiOS/FortiGate-متعلقہ ایڈوائزریز کو ہی رکھ رہا ہوں، کیونکہ عملی طور پر، یہی درد ہے: آپ کو پیچ کرنا ہوگا، منصوبہ بندی کرنی ہوگی، ٹیسٹ کرنا ہوگا۔
CVSS اسکور سب کچھ نہیں ہے، لیکن یہ آپریشنل فرق کو نمایاں کرتا ہے: 5.x اسکور والا درمیانہ (Medium) لیول اکثر پلان کیا جا سکتا ہے، جبکہ 9.x اسکور جلدی ہی “سب کچھ چھوڑو اور پیچ کرو” کا منظر نامہ بن جاتا ہے۔
10 فروری 2026 کو شائع ہوا (ایک ہی دن میں کئی ایڈوائزری)
- FG-IR-25-667 (CVE-2025-55018, CVSSv3 5.2): FortiOS GUI میں Request smuggling۔ یہ اس لیے بھی ناخوشگوار ہے کیونکہ اس میں “unlogged requests” (لاگ نہ کی گئی درخواستیں) شامل ہیں۔
- FG-IR-25-795 (CVE-2025-64157, CVSSv3 6.7): CAPWAP فاسٹ-فیل اوور موڈ میں فارمیٹ-اسٹرنگ کا مسئلہ (ٹرگر کے طور پر Admin/Config)۔
- FG-IR-25-1052 (CVE-2026-22153, CVSSv3 7.5): Agentless VPN/FSSO میں LDAP آتھینٹیکیشن بائی پاس (عملی طور پر اکثر ورک اراؤنڈ: LDAP سرور پر ان آتھینٹیکیٹڈ بائنڈ کو غیر فعال کرنا)۔
- FG-IR-25-934 (CVE-2025-68686, CVSSv3 5.3): SSL VPN سم لنک پرسسٹینس پیچ بائی پاس۔ سیاق و سباق کے لیے اہم: ایڈوائزری کے مطابق، اس کے لیے فائل سسٹم کی سطح پر کسی اور کمزوری کے ذریعے پہلے سے سمجھوتہ (Compromise) ہونا ضروری ہے۔
- FG-IR-25-384 (CVE-2025-62439, CVSSv3 3.8): FSSO ٹرمینل سروسز ایجنٹ میں پالیسی بائی پاس (فکس FortiOS ورژن اور TS ایجنٹ کے کم از کم ورژن کا مجموعہ ہے)۔
جنوری 2026
- FG-IR-26-060 (CVE-2026-24858, CVSSv3 9.4)، شائع شدہ 27.01.2026: ایڈمنسٹریٹو FortiCloud SSO آتھینٹیکیشن بائی پاس۔ ایڈوائزری ان دی وائلڈ (in the wild) استحصال اور مخصوص جوابی اقدامات کو بھی بیان کرتی ہے۔
- FG-IR-25-084 (CVE-2025-25249, CVSSv3 7.4)، شائع شدہ 13.01.2026:
cw_acdڈیمن (FortiOS/FortiSwitchManager) میں ہیپ-بیسڈ بفر اوور فلو۔
9 دسمبر 2025 کو شائع ہوا
- FG-IR-25-647 (CVE-2025-59718, CVE-2025-59719, CVSSv3 9.1): ہیرا پھیری کیے گئے SAML پیغام کے ذریعے FortiCloud SSO لاگ ان آتھینٹیکیشن بائی پاس (یہ فیچر ڈیفالٹ کے طور پر لازمی نہیں ہے، لیکن فیلڈ میں حقیقی ہے)۔
- FG-IR-25-411 (CVE-2025-62631, CVSSv3 5.3): SSL VPN میں ناکافی سیشن ایکسپائری (سیشن کی زندگی/پاس ورڈ کی تبدیلی کا انتہائی معاملہ)۔
- FG-IR-24-268 (CVE-2024-47570, CVSSv3 6.3): حساس معلومات REST API لاگز میں ختم ہو جاتی ہیں (اگر REST API لاگنگ فعال ہے)۔
- FG-IR-24-133 (CVE-2024-40593, CVSSv3 5.9): پرائیویٹ کی (Private key) کو ایڈمن کے ذریعے پڑھا جا سکتا ہے (کی مینجمنٹ کی خرابی، پیچ کی سطح کے ذریعے ٹھیک کی جا سکتی ہے)۔
18 نومبر 2025 کو شائع ہوا
- FG-IR-25-358 (CVE-2025-53843, CVSSv3 6.9): CAPWAP ڈیمن اسٹیک بفر اوور فلو۔
- FG-IR-25-632 (CVE-2025-58413, CVSSv3 6.9): CAPWAP ڈیمن میں ایک اور اسٹیک بفر اوور فلو۔
- FG-IR-25-545 (CVE-2025-54821, CVSSv3 1.8): SSH کے ذریعے ٹرسٹڈ ہوسٹ (Trusted hosts) کا بائی پاس (CLI ایج کیس)۔
ہاں، یہ بہت زیادہ ہے۔ اور ہاں، آپ اسے عمل (پیچ ونڈو، اسٹیجنگ، چینج مینجمنٹ، مینٹیننس ونڈو) کے ساتھ منظم کر سکتے ہیں۔
اور پھر آتا ہے دوسرا پہلو۔
Sophos: کوئی سرخیاں نہیں، لیکن آپریشنز (Operations) آگ میں جل رہے ہیں
Sophos کے ساتھ، یقیناً ہم سیکیورٹی کے بارے میں بھی بات کرتے ہیں۔ لیکن ابھی جو واقعی ہمارا وقت کھا رہا ہے، وہ ہے صرف بگز۔
فائر وال کے مسلسل مسائل پیدا کرنے کی وجہ سے ابھی کمپنی میں ہمارے پاس بہت سارا غیر ضروری کام ہے۔ اور کسی موڑ پر، آپ خود سے ایک ایسا سوال پوچھتے ہوئے پاتے ہیں جو واقعی بے تکا ہے:
میں کیا پسند کروں گا: ایک سیکیورٹی کمزوری والا فائر وال جو کم از کم مستحکم طور پر تو چلتا ہے، یا بغیر کسی بڑی CVE سرخیوں والا فائر وال جو بوٹ ہونے کے بعد واپس چالو ہی نہیں ہوتا؟
یہ کوئی اکیڈمک بحث نہیں ہے۔ یہ آپریشنز (Operations) ہے۔ دکھ کی بات ہے کہ، ایک نظریاتی سیکیورٹی کمزوری جس کا شاید کبھی فائدہ اٹھایا جا سکے، مجھے اب اس صارف سے کہیں بہتر لگتی ہے جس کا نیٹ ورک ایک معمولی سے بگ کی وجہ سے پھر سے کئی گھنٹوں کے لیے مکمل طور پر ڈاؤن ہو گیا ہو۔
ہمارے موجودہ درد کے مقامات (ہاں، سب ایک ساتھ)
اور اسے واضح کرنے کے لیے: یہ صرف وہ بگز ہیں جن کا ہم نے حالیہ مہینوں میں مختلف سسٹمز پر کئی بار سامنا کیا ہے۔ جب آپریشن ایک پروجیکٹ میں بدل جاتا ہے تو یہ تھکا دینے والا اور مایوس کن ہوتا ہے۔ خاص طور پر تب جب آپ پھر سے Sophos سپورٹ کے چکر میں پھنس جاتے ہیں، اور وہ یہ دکھاوا کرنا پسند کرتے ہیں کہ “آپ پوری دنیا میں ٹھیک اسی مسئلے کا سامنا کرنے والے پہلے اور واحد گاہک ہیں”۔ نہیں، ہم نہیں ہیں۔
- فائر وال کبھی کبھار بوٹ ہونے کے بعد ٹھیک سے (cleanly) اسٹارٹ نہیں ہوتا ہے۔
- HA کلسٹر ٹوٹ جاتا ہے یا اسپلٹ برین (split-brain) کی طرح برتاؤ کرتا ہے۔
- لاگنگ اچانک ناقابل اعتبار ہو جاتی ہے (یا پوری طرح سے غائب ہو جاتی ہے)۔
- Let’s Encrypt سرٹیفکیٹس رینیو نہیں ہوتے ہیں، اور آپ کو رات میں مینول طریقے سے اس کی پیروی کرنی پڑتی ہے۔
- ایک انٹرفیس غائب ہو جاتا ہے یا اچانک GUI میں دکھائی نہیں دیتا ہے۔
- SSDs مر رہے ہیں (ہارڈ ویئر کا خراب ہونا)۔
- WebAdmin لاگ ان پوری طرح سے ہڑتال پر چلا جاتا ہے – آپ اب لاگ ان نہیں کر سکتے، اکثر صرف ریبوٹ ہی مدد کرتا ہے۔
- انٹرفیس اچانک کنفیگریشن سے پوری طرح غائب ہو جاتے ہیں۔
- لاگ ڈسک (Log-Disk) بھر جاتی ہے، جس کی وجہ سے ایرر میسج دکھائی دیتے ہیں یا متاثرہ سروسز سیدھے بند ہو جاتی ہیں۔
کمیونٹی (Community) کیا کہہ رہی ہے (آپ اکیلے نہیں ہیں!)
اگر آپ Sophos کمیونٹی (2026 کے آغاز تک) پر نظر ڈالیں، تو معیار میں گراوٹ کی تصویر افسوسناک طور پر ہمارے تجربات سے میل کھاتی ہے۔ ہمارے مسائل کے علاوہ، دیگر صارفین کو v21.5 / v22 میں اور بھی سنگین رکاوٹوں (showstoppers) کا سامنا کرنا پڑ رہا ہے:
- ٹوٹے ہوئے SSL VPN پروفائل (v22.0 Build 411): کچھ صارفین رپورٹ کرتے ہیں کہ تازہ ترین v22 میں اپ گریڈ کرنے کے بعد، SSL VPN پروفائل بنانا ناکام ہو جاتا ہے۔ انہیں کبھی کبھار v21.5 میں رول بیک کرنا پڑا کیونکہ نیا ورژن بس بہت زیادہ بگ والا (buggy) ہے۔
- ٹوٹا ہوا SNAT / ویب سرور ایکسیس (v22.0 Build 365): ایسی رپورٹیں ہیں کہ اپ ڈیٹ کے بعد، باہر سے اندرونی ویب سرورز تک رسائی ٹوٹ جاتی ہے۔ اکثر، انٹرنیٹ راؤٹنگ پوری طرح سے کام کرنا بند کر دیتی ہے جب تک کہ SNAT کو مینول طریقے سے ڈیفالٹ MASQ آپشن پر ری سیٹ نہیں کیا جاتا۔
- CLI اسپام / “Invalid rule id”: کنسول میں بڑے پیمانے پر “Invalid rule id or family for update” جیسی وارننگز دکھائی دیتی ہیں۔ (یہ “صرف” ایک ڈسپلے ایرر معلوم ہوتی ہے، لیکن یہ بیکار میں لاگ کو بھر دیتی ہے)۔
اور اس سب کا سب سے کڑوا حصہ: ان میں سے ہر ایک چیز صرف پریشان کن ہی نہیں ہے، بلکہ ایک بڑا خطرہ ہے۔ اگر لاگ غائب ہیں، تو آپ اندھیرے میں اڑ رہے ہیں۔ اگر HA غیر مستحکم ہے، تو آپ فیل اوور (failover) پر اعتماد کھو دیتے ہیں۔ اگر سرٹیفکیٹ رینیو نہیں ہوتے ہیں، تو آپ ورک اراؤنڈز (workarounds) بناتے ہیں۔ اور ورک اراؤنڈز ہی بعد کے واقعات کے لیے افزائش گاہ (breeding ground) ہوتے ہیں۔
Sophos بگز (v21.5 سے v22): جو سیدھے آپ کی علامات پر حملہ کرتے ہیں
میں جان بوجھ کر یہاں آفیشل ریلیز نوٹس یا باضابطہ طور پر دستاویزی معلوم مسائل (Known Issues) سے مخصوص NC-ID درج کر رہا ہوں تاکہ آپ، ایک ایڈمن کے طور پر، اسے واضح طور پر ٹریک کر سکیں۔
مختصراً: علامات -> نوٹس کیا کہتے ہیں
| آپریشنز میں علامات | ریلیز نوٹس / Known Issues سے مثالیں |
|---|---|
| بوٹ/ری اسٹارٹ ٹھیک سے چالو نہیں ہوتا | NC-151715, NC-152641, NC-123910 |
| فیل اوور کے دوران HA ڈگمگاتا ہے یا پینک کرتا ہے | NC-142962, NC-132291, NC-147307, NC-147739, NC-149039 |
| لاگز/رپورٹس غائب ہو جاتے ہیں یا ناقابل اعتبار ہو جاتے ہیں | NC-158526, NC-160962, NC-157663, NC-169237, NC-135594, NC-175936, NC-170292, NC-166381 |
| Let’s Encrypt/WAF تناؤ پیدا کر رہا ہے | NC-148937, NC-152022, NC-140663, NC-141062, NC-152540, NC-146082, NC-159041 |
| Entra SSO/Captive Portal/VPN Portal نخرے دکھا رہے ہیں | NC-167126, NC-157635, NC-167130, NC-167128 |
| VPN/IPsec چالو نہیں ہوتا یا انٹرآپ (interop) ٹوٹ جاتا ہے | NC-136352, NC-128116 |
| بغیر واضح اصول کی وجہ کے ٹریفک ڈراپ (Traffic Drops) | NC-169842 (اور اپ گریڈ کے بعد IPS/Snort کو وجہ کے طور پر ذہن میں رکھیں) |
| انٹرفیس “غائب” ہے (UI) | معلوم مسئلہ (Known Issue): 10+ ہندسوں والے انٹرفیس کے نام، انٹرفیس کو WebAdmin ویو میں پوشیدہ کر دیتے ہیں |
آپریشنز (Operations) سے ایک مایوس کن کہانی
ہم صبح وہاں بیٹھتے ہیں اور وہی کرتے ہیں جو آپ ہمیشہ کرتے ہیں: ٹکٹوں پر کام کرنا، تبدیلیوں کی منصوبہ بندی کرنا، مانیٹرنگ پڑھنا۔
اور پھر فائر وال دروازے پر دستک دیے بغیر آتا ہے۔
کسی CVE کے ساتھ نہیں، کسی “Critical Advisory” کے ساتھ نہیں۔ بلکہ روزمرہ کی زندگی کے ساتھ۔
پہلی کافی، پہلا ری اسٹارٹ، اور آپ کے دماغ میں سوال: کیا یہ واپس چالو ہوگا یا نہیں؟
اگر سب کچھ ٹھیک رہتا ہے، تو یہ چالو ہو جاتا ہے۔ اگر صورتحال خراب ہوتی ہے، تو یہ “Failsafe” اور “زندہ ہے، لیکن ٹریفک کو پروسیس نہیں کر رہا ہے” کے درمیان کہیں پھنس جاتا ہے۔ اور جب آپ ابھی بھی سوچ رہے ہیں کہ کیا آپ کو واقعی پھر سے کنسول کیبل کی ضرورت ہے، تو اگلا باب کھلتا ہے۔
HA (High Availability)۔ آپ کا ایئر بیگ۔ اور کبھی کبھار ایسا لگتا ہے جیسے پارکنگ کرتے وقت ایئر بیگ کھل گیا ہو۔
پھر لاگنگ۔ ہم سب جانتے ہیں: اگر آپ دیکھ نہیں سکتے کہ کیا ہو رہا ہے، تو آپ اسے کنٹرول نہیں کر سکتے۔ اور اچانک لاگ غائب ہو جاتے ہیں، رپورٹس خالی ہو جاتی ہیں، یا کوئی سروس الوداع کہہ دیتی ہے۔ آپ وہاں کھڑے ہو کر سوچتے ہیں کہ کیا آپ کے پاس ابھی سیکیورٹی کا مسئلہ ہے، ڈیٹا کوالٹی کا مسئلہ ہے، یا دونوں ہیں۔
اور پھر مرکزی رکاوٹ (showstopper) آتی ہے: WAF، ریورس پراکسی، Let’s Encrypt۔
آپ کچھ فینسی (fancy) بھی نہیں چاہتے ہیں۔ آپ بس یہی چاہتے ہیں کہ سرٹیفکیٹس رینیو ہو جائیں اور آپ کی ویب سائٹس رات 02:13 بجے “connection refused” چلانا شروع نہ کر دیں۔
اور ایک بونس کے طور پر، ایک انٹرفیس “غائب” ہو جاتا ہے۔ واقعی غائب نہیں ہوا، بس UI میں غائب ہو گیا ہے۔ ٹریفک شاید اب بھی چل رہا ہو، لیکن آپ وہ نہیں دیکھ سکتے جسے آپ کو ڈیبگ (debug) کرنے کی ضرورت ہے۔
کسی موڑ پر، آپ خود سے یہ سوال پوچھتے ہیں جو واقعی بے تکا ہے:
میں کیا پسند کروں گا: ایک سیکیورٹی کمزوری والا فائر وال جو کم از کم مستحکم طور پر تو چلتا ہے، یا بغیر کسی بڑی CVE سرخیوں والا فائر وال جو آپریشنز میں ہر ہفتے میرے فرش میں نئے سوراخ جلاتا ہے؟
1) بوٹ، ری بوٹ، اپ گریڈ: “یہ زندہ ہے، لیکن کام نہیں کر رہا ہے”
اگر فائر وال بوٹ ہونے کے بعد ٹھیک سے چالو نہیں ہوتا ہے، تو یہ صرف “اپ ٹائم (uptime)” کا معاملہ نہیں ہے۔ یہ ایک کھویا ہوا دن ہے اور ساتھ ہی خطرہ بھی ہے، کیونکہ ایسی صورتحال میں، آپ اکثر ایسے کام کرتے ہیں جو آپ بصورت دیگر کبھی نہیں کرتے۔
SFOS 21.5 ریلیز نوٹس سے کچھ مثالیں:
- ری اسٹارٹ کے دوران Failsafe: NC-151715 (فرم ویئر مینجمنٹ): ری اسٹارٹ کے دوران آکسیلری (Auxiliary) ڈیوائس Failsafe میں چلا گیا؛ ری اسٹارٹ ناکام رہا۔
- اپ گریڈ کے بعد ٹریفک رک جاتا ہے: NC-152641 (فرم ویئر مینجمنٹ): اپ گریڈ (21.0 MR1 Build 237) کے بعد، کوئی ٹریفک پروسیس نہیں کیا گیا (SWAP میموری کنفیگریشن میں تبدیلی)۔
- کرنل پینک (Kernel Panic): NC-123910 (فائر وال): کرنل پینک کا مسئلہ۔
اور ہاں: SFOS 22.0 ایک اضافی اپ گریڈ عنصر پیش کرتا ہے: Sophos ریلیز نوٹس میں بتاتا ہے کہ v22 آرکیٹیکچرل تبدیلیاں لاتا ہے اور نایاب معاملات میں اضافی مینول مراحل کی ضرورت پڑ سکتی ہے۔ یہ بالکل اسی طرح کا اپ گریڈ ایج کیس (edge case) ہے جو آپریشنز میں درد دیتا ہے۔
2) HA: ایئر بیگ جو پارکنگ کرتے وقت کھل جاتا ہے
HA آپ کا سیکیورٹی نیٹ (safety net) ہے۔ اور ٹھیک اسی لیے جب ایج کیس وہیں پر بڑھ جاتے ہیں تو یہ بہت تکلیف دہ ہوتا ہے۔
SFOS 21.5 ریلیز نوٹس سے (منتخب شدہ):
- ایک ساتھ ری اسٹارٹ ہونے پر HA Event Tracking رک جاتا ہے: NC-142962 (HA)۔
- پیسو (Passive) پر فرم ویئر اپ لوڈ ہینگ ہو جاتا ہے: NC-132291 (HA)۔
- فیل اوور کی وجہ سے Restart Loop ہوتا ہے: NC-147307 (HA) (نوٹس میں واضح طور پر مثال کے طور پر XGS 2300)۔
- بجلی جانے (Power Outage) کے بعد سنک ناکام ہو جاتا ہے: NC-147739 (HA)۔
- HA اسٹیٹس فلیپ کرتا ہے، ڈیڈیکیٹڈ لنک پر Crash Dump: NC-149039 (HA)۔
3) لاگنگ اور رپورٹنگ: جب آپ اندھیرے میں اڑ رہے ہوں
میرے لیے، یہ اصلی وجہ ہے کہ “بگز” صرف “آپریشنز” کا مسئلہ نہیں ہیں۔ جب لاگنگ/رپورٹنگ ڈگمگاتی ہے، تو یہ سیکیورٹی کا مسئلہ ہے۔
SFOS 21.5 ریلیز نوٹس سے (منتخب شدہ):
- لاگنگ/رپورٹنگ چھٹ پٹ طور پر رک جاتی ہے؛ Garner بار بار coredump ہوتا ہے: NC-158526 (لاگنگ فریم ورک)۔
- Garner اور
fwcm-heartbeatdرک جاتے ہیں: NC-160962 (لاگنگ فریم ورک)۔ - اپ گریڈ کے بعد: کوئی اور رپورٹ نہیں: NC-157663 (لاگنگ فریم ورک)۔
- Log Viewer DB کرپشن (Corruption) کی وجہ سے ایونٹ کھو دیتا ہے: NC-169237 (لاگنگ فریم ورک)۔
- Syslog فائل ڈسکرپٹر (fd) کرپشن، ڈیٹا غلط FD میں جاتا ہے: NC-135594 (لاگنگ فریم ورک)۔
اس کے علاوہ، آپ کو Sophos کی معلوم مسئلہ کی فہرست (Known Issues List - KIL) میں کچھ ایسے نکات ملیں گے جو روزمرہ کی زندگی میں اتنے ہی تکلیف دہ ہیں:
- لاگ ویور نیا ڈیٹا نہیں دکھاتا ہے (active.db غائب ہے): NC-175936 (لاگنگ فریم ورک)۔ کچھ 21.5.1 سسٹمز پر،
/tmp/eventlogs/کے تحتactive.dbغائب ہو سکتا ہے۔ پھر لاگ ویور “فریز” ہو جاتا ہے، بھلے ہی ٹریفک اور سیکیورٹی فنکشن چلتے رہیں۔ KIL کے مطابق، یہ v22 میں طے ہو گیا ہے اور اسے 21.5 MR2 فکس میں شامل کیا جانا چاہیے۔ - HA میں فالس پازیٹو (False Positive) “advanced threat detected”: NC-170292 (لاگنگ فریم ورک)۔ Sophos Central HA ڈیپلائمنٹ (deployments) میں ایک الرٹ بھیج سکتا ہے، جس کی تفصیلات میں را لاگز (raw logs) شامل ہوتے ہیں۔ KIL کے مطابق ورک اراؤنڈ: Garner سروس کو دوبارہ شروع (restart) کریں۔ KBA: https://support.sophos.com/support/s/article/KBA-000043672
- ReportDB_v9 STOPPED دکھاتا ہے (ڈرامائی دکھتا ہے، لیکن ہے نہیں): NC-166381 (رپورٹنگ)۔ v21.0 GA یا اس کے بعد کے ورژن میں اپ گریڈ کرنے کے بعد، یہ سروس ایک بہت مخصوص مدت کے بعد STOPPED کے طور پر دکھائی دیتی ہے۔ KIL کے مطابق، یہ متوقع ہے اور اس کا کوئی آپریشنل اثر نہیں ہے کیونکہ یہ صرف v21 سے پہلے کی لیگیسی (legacy) رپورٹنگ کو متاثر کرتا ہے۔
اور یہاں “Sophos Central Factor” آتا ہے: اگر آپ Central کو سنگل پین آف گلاس (Single Pane of Glass) کے طور پر استعمال کرتے ہیں، تو لاگنگ کا مسئلہ دوگنا تکلیف دہ ہوتا ہے۔ اگر مقامی لاگنگ پائپ لائن (Garner/DB) گر جاتی ہے، تو Central Firewall Reporting (CFR) پر اپ لوڈ بھی ناکام یا ہینگ ہو سکتا ہے۔ اور ویسے بھی CFR ہمیشہ “ریئل ٹائم” نہیں ہوتا ہے۔ اس کا مطلب ہے: سب سے خراب صورتحال میں، نہ صرف آپ کے پاس مقامی لاگ کی کمی ہے، بلکہ ٹھیک اسی مرکزی منظر (central view) کی بھی کمی ہے جس پر آپ واقعی روزمرہ کی زندگی میں انحصار کرنا چاہتے تھے۔
4) WAF اور Let’s Encrypt: پبلک سروس، لیکن براہ کرم بغیر ڈرامے کے
جب سرٹیفکیٹ رینیو نہیں ہوتے ہیں اور ریورس پراکسی (reverse proxy) پاگل ہو جاتی ہے، تو یہ کوئی “چھوٹا بگ” نہیں ہے۔ یہ سیدھا گاہک پر اثر (Customer Impact) ہے۔
SFOS 21.5 ریلیز نوٹس میں آپ کو WAF/Let’s Encrypt مسائل کا ایک پورا خاندان ملے گا:
- Let’s Encrypt سرٹیفکیٹ کی تخلیق ناکام رہتی ہے: NC-148937 (WAF)۔
- LE درخواست ناکام رہتی ہے کیونکہ Auto-Firewall-Rule غائب ہے: NC-152022 (WAF)۔
- غیر معتبر LE کنفیگریشن کی وجہ سے ریورس پراکسی لگاتار ری اسٹارٹ ہوتا ہے: NC-140663 (WAF)۔
- ACME IPs کے لیے سرٹیفکیٹ جاری نہیں کرتا ہے: NC-141062 (WAF)۔
- WAF رول اپنے آپ چالو/بند (toggles on/off) ہو جاتا ہے: NC-152540 (WAF)۔
اور پھر ایسے موضوعات ہیں جو “بگ کی طرح دکھتے ہیں، لیکن ایک سیکیورٹی ٹریڈ آف (tradeoff) ہیں”۔ KIL سے مثال:
- URLs میں انکوڈ شدہ سلیش (
%2F): WAF 404 لوٹاتا ہے: NC-159041 (WAF)۔ اگر آپ کی ایپ URL میں انکوڈ شدہ سلیش کا استعمال کرتی ہے، تو Apache ڈیفالٹ طور پر اسے بلاک کر دیتا ہے (ہدایتAllowEncodedSlashesڈیفالٹ طور پرNoپر ہوتی ہے) اور آپ کو 404 دکھائی دیتا ہے، حالانکہ بیک اینڈ میں “واقعی” وہ پاتھ (path) ہوتا ہے۔ پس منظر: انکوڈ شدہ سلیش پاتھ کی پابندیوں (path restrictions) کو بائی پاس کر سکتے ہیں (کلاسک مثال:.../something%2F..%2Fadmin)۔ تفصیلات: https://httpd.apache.org/docs/2.4/mod/core.html#allowencodedslashes
اور اگر آپ جاننا چاہتے ہیں کہ فیلڈ میں یہ کیسا دکھتا ہے: اس کمیونٹی تھریڈ میں، کوئی شخص بیان کرتا ہے کہ 21.5.x میں اپ گریڈ کرنے کے بعد، آٹو-رینیو (auto-renew) سرٹیفکیٹ “غائب” ہو گئے تھے، WAF شروع نہیں ہوا، اور ویب سائٹس ERR_CONNECTION_REFUSED کے ساتھ مر گئیں۔ آخر میں حل یہ تھا: ویب پروٹیکشن رولز (Web Protection Rules) کی صفائی اور ٹوٹے ہوئے LE CSR کو ہٹانا، جس کے بعد یہ پھر سے چلنے لگا۔ (تھریڈ: اپ گریڈ کے بعد WAF/Let’s Encrypt ناکام، ERR_CONNECTION_REFUSED)۔
اور کبھی کبھار یہ “بگ” بھی نہیں ہوتا ہے، بلکہ ایک عمل ہے: Sophos کمیونٹی میں، ایسے معاملات بھی سامنے آئے ہیں جہاں Let’s Encrypt کی سروس کی شرائط (Terms of Service) WebAdmin میں ختم (expired) کے طور پر نشان زد تھیں اور انہیں پھر سے قبول کیا جانا تھا۔ (تھریڈ: Let’s Encrypt Terms of Service have expired)۔
معلوم مسئلہ کی فہرست (Known Issues List) سے ایک اور “اپ گریڈ ٹریپ (upgrade trap)” کلاسک: اگر CA اسٹور میں کسی آن بورڈ سرٹیفکیٹ کا نام نئے متعارف کرائے گئے Let’s Encrypt سرٹیفکیٹس کے جیسا ہی ہے، تو اپ گریڈ ناکام ہو سکتا ہے (NC-146082)۔
5) “ایک انٹرفیس غائب ہے” (یا صرف پوشیدہ ہے)
یہ اس قسم کا بگ ہے جو ریلیز نوٹس میں تو بہت عام لگتا ہے، لیکن عملی طور پر آپ کو اندھیرے میں اڑنے (blind flight) پر مجبور کر دیتا ہے۔
باضابطہ طور پر ایک معلوم مسئلہ (Known Issue) کے طور پر درج شدہ:
اگر SFOS 21.5 GA اور اس کے بعد کے ورژن میں کسی فزیکل (physical) یا لاجیکل (logical) انٹرفیس کے نام کے آخر میں 10 یا زیادہ ہندسے ہیں (نوٹس میں مثال: VLAN_1234567890)، تو فزیکل انٹرفیس WebAdmin میں نیٹ ورک > انٹرفیس کے تحت دکھائی نہیں دیتے ہیں، یا لاجیکل انٹرفیس کو پھیلایا (expand) نہیں جا سکتا ہے۔ اہم: ریلیز نوٹس کے مطابق، فنکشن متاثر نہیں ہوتا ہے، صرف WebAdmin کنسول میں ڈسپلے (display) متاثر ہوتا ہے۔
عبوری نتیجہ (یہاں تک): بوٹ/اپ گریڈ، HA، لاگنگ/رپورٹنگ، WAF/Let’s Encrypt اور یہاں تک کہ UI بھی آپ کو ایک ساتھ پریشان کر سکتے ہیں۔ یہاں سے ایسے موضوعات آتے ہیں جو شروع میں “نیٹ ورک کی تفصیلات” کی طرح لگتے ہیں لیکن آپریشنل طور پر اتنے ہی مہنگے ہیں: Entra SSO، VPN Interop، اور بظاہر رینڈم ٹریفک ڈراپس۔
6) آئیڈینٹٹی/SSO (Entra) اور Captive Portal: جب ایکسیس “رینڈم” لگتا ہے
یہ بگ کی وہ کیٹیگری ہے جو آپریشنز میں خاص طور پر دھوکہ دہی والی ہے: صارف (User) کے لیے، یہ ایسا لگتا ہے کہ “میرا اکاؤنٹ کام نہیں کر رہا ہے”۔ آپ کے لیے، یہ ایسا لگتا ہے کہ “یہ صرف SSO کا مسئلہ ہے”۔ دراصل، اکثر اس کے بیچ میں فائر وال ہوتا ہے۔
KIL سے کچھ کھلے مسائل (open issues) اگر Microsoft Entra ID (Azure AD) آپ کے مکس میں ہے:
- Sophos Connect VPN: کنڈیشنل ایکسیس (Conditional Access) پوری طرح سے سپورٹڈ نہیں ہے: NC-167126 (آتھینٹیکیشن)۔ پہلے لاگ ان پر ابتدائی MFA چیلنج کے بعد، کنڈیشنل ایکسیس چیک بعد کے ہر کنکشن پر ٹرگر نہیں ہوتا ہے۔ KIL کے مطابق، پالیسی انفورسمنٹ تب تک دوبارہ نہیں ہوتا جب تک کہ صارف Sophos Connect Client میں مینول طور پر لاگ آؤٹ نہیں کر دیتا۔
- VPN SSO: UPN اور ای میل مختلف ہیں، لاگ ان ٹوٹ جاتا ہے: NC-157635 (آتھینٹیکیشن)۔ اگر Entra میں ای میل ID اور UPN مختلف ہیں، تو صارفین VPN پورٹل تک پہنچ سکتے ہیں، لیکن SSL VPN یا IPsec پورٹل تک نہیں۔ KIL کے مطابق وجہ: OAuth ہیڈر ای میل فراہم کرتا ہے، جسے بعد میں UPN کے طور پر سمجھا جاتا ہے۔
- Captive Portal: Entra SSO صارفین کو اصول (Rule) میں پرائمری گروپ (Primary Group) کی ضرورت ہوتی ہے: NC-167130 (آتھینٹیکیشن)۔ انٹرنیٹ ایکسیس تب ہی کام کرتا ہے جب آپ فائر وال رول میچ (Firewall Rule Match) میں پرائمری گروپ کا استعمال کرتے ہیں (سیکنڈری گروپ یہاں شمار نہیں ہوتے ہیں)۔ KIL کے مطابق حل “اگلی مینٹیننس ریلیز” میں؛ ورک اراؤنڈ: پرائمری گروپ کو واضح طور پر میچ کریں یا صارف پر مبنی اصول استعمال کریں۔
- Entra SSO کے ساتھ کبھی کبھار “no permission” (اجازت نہیں) کی خرابیاں: NC-167128 (آتھینٹیکیشن)۔ یہ تب ہو سکتا ہے جب Entra ID Auth اور On-Prem AD Auth کا متوازی (parallel) استعمال کیا جاتا ہے (ٹوکن-دوبارہ استعمال)۔ KIL کے مطابق ورک اراؤنڈ: براؤزر کوکیز صاف کریں یا Sophos Connect Client میں “force re-logon” (زبردستی دوبارہ لاگ آن) کریں۔ متبادل کے طور پر، مستقل طور پر ایک آتھینٹیکیشن طریقہ استعمال کریں۔
7) VPN/IPsec انٹرآپریبلٹی (Interop): اپ گریڈ اکثر “مخالف” کی وجہ سے ناکام ہوتے ہیں
دو KIL موضوعات جو نہ صرف 21.5 سے شروع ہوئے، بلکہ 21.5/v22 میں بھی متعلقہ بنے ہوئے ہیں جیسے ہی آپ کے پاس فیلڈ میں پرانے کلائنٹ یا ریموٹ پیئر (remote peers) ہوں:
- IPsec IKEv2: ٹنل چالو نہیں ہوتی (فریگمینٹیشن/PMTU): NC-136352 (IPsec)۔ 20.0 MR1 سے، ڈیفالٹ IKEv2 پروفائل بڑے پیکٹ (زیادہ ڈیفالٹ فیلڈز) بنا سکتا ہے، کبھی کبھار 1500 بائٹس سے زیادہ۔ اگر راستے (path) پر فریگمینٹیشن/PMTU خراب ہے (فریگمنٹ چھوڑ دیے جاتے ہیں)، تو S2S ٹنل چالو نہیں ہوگی۔ KIL کے مطابق تخفیف (Mitigation): IPsec پروفائل میں DH گروپس (DH Groups) کو کم کریں (کم از کم 4) یا ریموٹ پیئر کی طرف سے استعمال کیے جانے والے گروپس کو بالکل کنفیگر کریں۔
- SSL VPN/OpenVPN 2.6.0: EoL کلائنٹس/UTM9 کے ساتھ عدم مطابقت (Incompatibility): NC-128116 (SSLVPN)۔ 20.0 MR1 سے، OpenVPN 2.6.0 پر ہے۔ یہ پرانے SFOS ورژنز (18.5 اور پرانے)، لیگیسی (Legacy) SSL VPN کلائنٹ (EoL) اور UTM9 OS کے ساتھ سائٹ ٹو سائٹ SSL VPNs کو توڑ دیتا ہے۔ KIL کے مطابق سفارش: دونوں اطراف کو اپ گریڈ کریں یا IPsec/RED پر سوئچ کریں؛ ریموٹ (Remote): Sophos Connect یا موجودہ OpenVPN کلائنٹ استعمال کریں۔
8) بغیر رول ہٹ کے ٹریفک ڈراپ: ایک گندی وجہ کے طور پر Accurate ECN
جب ٹریفک “رینڈم” طور پر گرتا ہوا محسوس ہوتا ہے، تو آپ سب سے پہلے رول (rules)، IPS، TLS انسپیکشن اور راؤٹنگ کی جانچ کرتے ہیں۔ اور فرم ویئر اپ گریڈ کے بعد، فہرست میں ایک کلاسک شامل ہو جاتا ہے: IPS انجن (Snort) یا سگنیچر (signatures) سخت ہو جاتے ہیں، جائز (legitimate) ٹریفک کو بلاک کر دیتے ہیں، اور آپ کو فوری طور پر اس کے لیے کوئی واضح لاگ ایونٹ نہیں ملتا ہے۔ پھر آپ “راؤٹنگ” یا “رولز” کو ڈیبگ کرنے میں گھنٹوں صرف کرتے ہیں، بھلے ہی یہ بالآخر پالیسی یا ٹیوننگ (Tuning) کا کام ہو۔
تاہم، KIL کے پاس ایک ایسا امیدوار بھی ہے جو آپ کو بہت طویل عرصے تک مصروف رکھ سکتا ہے اگر آپ نے اسے اپنے ریڈار پر نہیں رکھا ہے:
- Accurate ECN Bits کی وجہ سے ٹریفک چھوڑ دیا گیا: NC-169842 (فائر وال)۔ Accurate ECN, TCP بٹس (ECE/CWR/NS) کو مختلف طریقے سے سیٹ کرتا ہے (RFC 7560)۔ KIL کے مطابق، کرنل اس کی تشریح “ریزروڈ بٹ سیٹ (reserved bit set)” کے طور پر کرتا ہے اور ٹریفک کو چھوڑ دیتا ہے۔ اسے کم کرنے کے لیے، کلائنٹ کی طرف ایک نظر ڈالنا مدد کرتا ہے: عملی طور پر، یہ نئے لینکس (Linux) کرنل یا Apple کلائنٹس کے ساتھ زیادہ دیکھا جا سکتا ہے، کیونکہ وہ RFC 7560/Accurate ECN کا زیادہ سرگرمی سے استعمال کرتے ہیں (“صرف MacBooks ہی کیوں باہر پھینکے جا رہے ہیں؟")۔ RFC: https://www.rfc-editor.org/rfc/rfc7560
9) v22 GA Re-Release Build 411: پہلی بار میں اس کی ضرورت کیوں تھی
20 جنوری 2026 کو، Sophos نے “نایاب اور الگ تھلگ مسائل” کو ٹھیک کرنے کے لیے v22 GA کو ری ریلیز (Build 411) کے طور پر آگے بڑھایا۔ یہ فہرست “چینج ونڈو (change window) میں غیر ضروری کام” کے بہترین ہٹس (Best-Of) کی طرح پڑھتی ہے (ماخذ: ری ریلیز پر Sophos کمیونٹی بلاگ پوسٹ):
- NC-171003: VLAN فلٹرنگ کے ساتھ برج (Bridge) انٹرفیس کے ذریعے WebAdmin تک نہیں پہنچا جا سکتا۔
- NC-170987: CLI اسپام لاگ “Invalid rule id or family for update”۔
- NC-170970: اگر DNAT رول (Rule) میں ایک مخصوص آؤٹ باؤنڈ انٹرفیس (outbound interface) ہے، تو DNAT ٹریفک ناکام ہو جاتا ہے۔
- NC-171600: SSL/TLS وجیٹ اور سیشن چارٹ (Session Chart) کا ڈیٹا غلط/خالی ہے۔
- NC-172197: کوئی SNMP کنفیگریشن شامل نہیں کی جا سکتی۔
بلاگ پوسٹ: v22 GA re-release (Build 411) is now available۔
اصلی نقصان: بگز سیکیورٹی کو مزید مہنگا بناتے ہیں
مسئلہ یہ نہیں ہے کہ “بگز CVE سے بھی بدتر ہیں” یا اس کے برعکس۔
مسئلہ یہ ہے: جب آپ کا آپریشنز (Ops) ڈگمگاتا ہے، تو سیکیورٹی خود بخود بدتر ہو جاتی ہے۔
- آپ اپ گریڈ کرنے میں تاخیر کرتے ہیں کیونکہ آپ اگلے ریگریشن بگ (Regression-Bug) سے ڈرتے ہیں۔
- آپ فیچرز کو ڈس ایبل کر دیتے ہیں (“ہمیں ابھی اس کی ضرورت نہیں ہے”) کیونکہ وہ دباؤ کا باعث بنتے ہیں۔
- آپ آبزرویبلٹی (لاگ) کھو دیتے ہیں، جس کا مطلب ہے ردعمل میں تاخیر۔
- آپ اپنا وقت سیگمنٹیشن، بیک اپ اور صاف رول (clean rules) بنانے کے بجائے آگ بجھانے (firefighting) کے کام میں ضائع کرتے ہیں۔
اور ایک نقطہ جسے عملی طور پر پوری طرح سے کم سمجھا جاتا ہے: Time-to-Resolution (حل کا وقت)۔ CVE کے ساتھ، آپ کے پاس عام طور پر ایک ایڈوائزری، مٹیگیشن (mitigation) اور ایک فکس (fix) ہوتا ہے۔ بگ کے ساتھ، ثبوت کا بوجھ (burden of proof) جلدی سے ایڈمن پر آ جاتا ہے: tcpdump، CTR لاگ، ایڈوانسڈ شیل ایکسپورٹ (Advanced Shell export)، “کیا آپ نے اسے بند کر کے پھر سے چالو کرنے کی کوشش کی ہے؟” - جبکہ پروڈکشن (production) جل رہا ہے۔ اور اس کے بعد ہی آپ سپورٹ کے چکر میں پھنستے ہیں: مسئلے کو آگے بڑھانا (escalating)، ہاٹ فکس (hotfix) یا اگلے MR کا انتظار کرنا۔ یہ اضافی آپس ٹائم (ops time) کھا جاتا ہے جس کی آپ نے منصوبہ بندی نہیں کی تھی۔
اور ٹھیک یہی وجہ ہے کہ یہ سوال “کیا ایک کمزوری بہتر ہے، لیکن مستحکم ہے؟” انسانی ہے، لیکن حقیقت میں ایک غلط موڑ ہے:
نہ صرف “کمزوری” ایک سیکیورٹی مسئلہ ہے۔ “غیر مستحکم فائر وال” بھی ایک سیکیورٹی مسئلہ ہے۔
ہم اس سے کیا سیکھ سکتے ہیں (تاکہ یہ پوری طرح سے قابو سے باہر نہ ہو جائے)
کچھ چیزیں جو ہمیں ہر ہفتے پہیے کو پھر سے ایجاد کیے بغیر پاگل پن کو محدود کرنے میں مدد کرتی ہیں:
اپ گریڈ پری فلائٹ (Upgrade-Preflight) (شروع کرنے سے پہلے)
- بیک اپ (Backups) کو ری اسٹور (Restores) کی طرح اہمیت دیں: کنفیگریشن ایکسپورٹ کریں، آف لائن بیک اپ لیں، اور کم از کم ایک بار ری اسٹور کا ٹیسٹ کریں۔
- HA اسٹیٹس کا “سبز (green)” ہونا ہی کافی نہیں ہے – فیل اوور کا ٹیسٹ کریں! GUI کے مطابق، ہمارا سنک (sync) ٹھیک تھا اور ہارٹ بیٹ صاف تھا۔ لیکن ایمرجنسی کے دوران، آکسیلری ڈیوائس (Auxiliary Appliance) فیل اوور کو آسانی سے ٹیک اوور نہیں کر سکا۔ WebAdmin میں ایک سبز چیک مارک فی الحال افسوسناک طور پر اس بات کی کوئی ضمانت نہیں ہے کہ یہ چینج ونڈو (change-window) کے دوران کام کرے گا۔
- لاگنگ کی تصدیق کریں: بیرونی Syslog/Collector کو ایونٹس مل رہے ہیں، لاگ میں کوئی خلا نہیں ہے، وقت/NTP درست ہے۔
- سرٹیفکیٹ/WAF چیک کریں: میعاد ختم ہونے کی تاریخیں، Let’s Encrypt کی توثیق، اور پلان B کے طور پر ایک فال بیک (Fallback) سرٹیفکیٹ۔
- واقعی SSO/VPN کا ٹیسٹ کریں: Entra لاگ ان، Captive Portal، Sophos Connect، SSL VPN، IPsec S2S (بشمول فیل اوور) یہ سب اپنے آپ میں ٹیسٹ کیس (test cases) ہیں۔
- بریک-گلاس (Break-Glass) کے لیے تیار رہیں: کنسول/آؤٹ-آف-بینڈ (Out-of-band) ایکسیس، مقامی منتظمین (local admins)، اور رول بیک کے لیے فرم ویئر امیجز (images)۔
- ڈیول-بوٹ (Dual-Boot) کو مت بھولیں (اور اسے زیادہ اہمیت بھی نہ دیں): Sophos میں دو فرم ویئر پارٹیشن (partitions) ہوتے ہیں۔ اپ گریڈ کرتے وقت کوئی گڑبڑ ہونے پر، 21.5 میں رول بیک کرنا اکثر صرف دوسرے پارٹیشن کو منتخب کر کے ریبوٹ کرنے جتنا ہی آسان ہوتا ہے۔ لیکن: ایسے واقعات بھی ہوئے ہیں جہاں دوسرا پارٹیشن بھی ٹھیک سے بوٹ نہیں ہوا، اور تب صرف ایک ری امیج (reimage) ہی واحد راستہ بچتا ہے (جسے سپورٹ عام طور پر بہت جلدی کرنے کو کہتا ہے)۔ اور یہاں تک کہ ایک ری امیج بھی ہمیشہ اصل بنیادی وجہ کو حل نہیں کر سکتا۔
اپ گریڈ کے دوران (اگر HA شامل ہے)
- پہلے پیسو/سیکنڈری (Passive/Secondary)، پھر فیل اوور، اور پھر ایکٹو (Active)۔
- ہر قدم کے بعد مختصراً درست (validate) کریں: ٹریفک، VPN، DNS، لاگنگ، WAF/ریورس پراکسی۔
جاری آپریشنز (Ongoing Operations) میں
- HA کو صرف کنفیگر ہی نہ کریں، اسے ٹیسٹ بھی کریں: فیل اوور ڈرلز (Failover drills) اور کلسٹر کو کب الگ (split) کرنا ہے اس کے واضح معیار۔
- لاگنگ کو ایک پروڈکٹ کے طور پر سمجھیں: لاگ کے خلا کے لیے الرٹ، سروس ہیلتھ (Service Health)، اور UI کے نخرے دکھانے پر CLI کے ذریعے ایمرجنسی ایکسپورٹ (Emergency export) کا انتظام۔
- فعال طور پر سرٹیفکیٹس کی نگرانی کریں: تجدید (Renewal) کوئی “اچھا ہونے (nice to have)” کی بات نہیں ہے، بلکہ یہ ایک آپریشنل خطرہ ہے۔ ToS کی تبدیلیوں کو انفراسٹرکچر کی تبدیلیوں (Changes) کی طرح ہی اہمیت دیں۔
- ہیلتھ چیک (Health Check) ایک اشارے کے طور پر، KPI کے طور پر نہیں: v22 میں، Sophos نے ہیلتھ چیک (Health Check) متعارف کرایا ہے (تفصیلات میرے مضمون Sophos Firewall v22 Health Check - مکمل جائزہ میں)۔ ایک بہترین عمل کی چیک لسٹ (best-practice checklist) کے طور پر یہ اچھا ہے، لیکن کبھی کبھار ایسا لگتا ہے کہ “ایکو سسٹم کے سوئچز کو صرف سبز رنگ میں بدلنا” ہی اس کا مقصد ہے۔ پریکٹس سے ایک مثال: بہت سے لوگ صرف ہیلتھ چیک میں سبز چیک مارک حاصل کرنے کے لیے لاگ ان ڈس کلیمر (Login Disclaimer) کو فعال کر دیتے ہیں۔ مجھے وہاں جس چیز کی کمی محسوس ہوتی ہے، وہ ہیں سخت آپریشنل اشارے، جیسے “کیا لاگنگ/رپورٹنگ DB صحت مند ہے؟” یا “SSD کی موجودہ حالت کیا ہے؟” - خاص طور پر اس وجہ سے کہ کچھ آلات (appliances) میں توقع سے کہیں زیادہ تیزی سے اسٹوریج کے مسائل دیکھے گئے ہیں۔
نتیجہ: جب ٹول ہی ایک خطرہ بن جائے
دن کے اختتام پر، ہم سب ایک ہی کشتی کے مسافر ہیں۔ ہم اہم انفراسٹرکچر (infrastructure) کا انتظام کرتے ہیں اور ہمیں ان ٹولز پر بھروسہ کرنے کے قابل ہونا چاہیے جنہیں ہمیں افراتفری سے بچانا چاہیے، نہ کہ خود اس افراتفری کا سبب بننا چاہیے۔ موجودہ فرم ویئر کے معیار (v21.5 / v22) کو دیکھتے ہوئے، Sophos کو یقینی طور پر اپنا ہوم ورک مزید بہتر طریقے سے کرنا ہوگا۔ “مستحکم ریلیز (stable releases)” پر جو اعتماد تھا، اسے ہمارے اور کمیونٹی کے کئی دوسرے لوگوں کے لیے ایک بڑا دھچکا لگا ہے۔
مجھے ایسا فائر وال نہیں چاہیے جو “یا تو محفوظ ہو یا مستحکم”۔ مجھے ایک ایسا فائر وال چاہیے - نہیں، مجھے ضرورت ہے - جس میں یہ دونوں خوبیاں ہوں۔
جب تک Sophos کوالٹی کے ان مسائل کو حل نہیں کر لیتا، آپریشنز میں ہمارے پاس صرف ایک ہی آپشن بچتا ہے: ہمیں اور بھی زیادہ نظم و ضبط کا مظاہرہ کرنا ہوگا، UI میں “سبز چیک مارک” کی پرواہ کرنا چھوڑنا ہوگا، اور ڈیپلائمنٹ (deployment) کی منصوبہ بندی میں عام بگز کو بھی اتنی ہی سنجیدگی سے لینا ہوگا جتنی سنجیدگی سے ہم کسی کریٹیکل CVE کو لیتے ہیں۔
اگلی بار تک،
Joe
ذرائع (Sources)
- Fortinet PSIRT ایڈوائزریز
- Sophos Firewall v21.5 ریلیز نوٹس
- Sophos Firewall v22.0 ریلیز نوٹس
- Sophos KIL (معلوم مسائل - Known issues)
- Sophos کمیونٹی: v22 GA re-release Build 411
- Sophos کمیونٹی تھریڈ (Let’s Encrypt/WAF)
- Sophos کمیونٹی تھریڈ (Let’s Encrypt سروس کی شرائط - ToS)
- Apache دستاویزات: AllowEncodedSlashes
- Sophos KBA (Garner ایڈوانسڈ خطرے (advanced threat) کا فالس پازیٹو)
- RFC 7560 (Accurate ECN)
