Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 28 subscribers
  • Views 14203 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ziel IP vom SSL Scanning ausnehmen

UTM-User

Hallo,

ich würde gerne eine bestimmte IP vom SSL Scanning ausnehmen.

Es soll möglich sein, dass von egal welcher internen IP eine Verbindung zu der IP 13.107.64.2 ohne SSL Scanning funktioniert.

Grund dafür ist das das Tool (Skype for Business Network Assessment) nur funktioniert wenn ich meinen Host vom SSL Scanning ausnehme.

Sobald ich die Regel wieder deaktiviere, und das scannen somit aktiviere, kommt keine Verbindung zustande.

Ich habe es schon mit Matching these URLs und verschiedenen Schreibweisen versucht, z.B. ^https://(13\.107\.64\.2) , mit und ohne Klammern alles ausprobiert.

Leider finde ich keine Option in der UTM dafür, übersehe ich die Möglichkeit oder ist diese nicht gegeben?

 

Wir setzen übrigens eine UTM 9 Modell SG310 mit dem Release 9.508-10 ein.



This thread was automatically locked due to age.
  • 0

    Hallo,

     

    sprechen wir vom Standard oder Transparenten Proxy?

    Die Exceptions sollte größer gebaut werden.

    Siehe XG Guide:

    https://community.sophos.com/kb/en-us/128179

     

    Gruß

  • 0 in reply to LuCar Toni

    Hallo ManBearPig,

    wir sprechen vom Standard Proxy.

    Die Firewall benutzen wir nicht wirklich.

    Um sie auszuschließen habe ich eine Regel erstellt, Source meine IP | Services Any | Destination Any | Action Allow .

    Auch wenn diese Regel aktiv ist, funktioniert der Test Call vom NetworkAssessmentTool nicht.

     

    Deinen Link habe ich mir dennoch mal angeschaut.

    Leider finde ich diese Möglichkeiten gar nicht.

    Eine FQDN Group zu erstellen gibt es nicht, deshalb habe ich mal einen DNS Host erstellt und wollte damit testen.

    Allerdings gibt es bei der Firewall nicht die Möglichkeit bei einer Regel zu sagen das HTTP und HTTPS nicht gescannt werden.

    Hier ein Screenshot was möglich ist:

     

  • 0 in reply to UTM-User

    Hallo,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    You will first need to find what Skype is asking for:

    1. Start the Web Filtering Live Log.
    2. In the Filter box, enter the IP of the Skype client, touch enter and click on reload.
    3. Attempt to connect with Skype.

    Show us the lines related to Skype with block in them.

    After you do that, look at this, which I quickly found with a Google on site:community.sophos.com/products/unified-threat-management/f skype for business SSL

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo,

     

    danke :)

     

    Hier die Auszüge aus dem Web Filtering Live Log:

    Wenn ich für meine IP SSL Scanning NICHT deaktiviere:  (Für microsoft.com existiert bereits eine Ausnahmeregel)

    Es kommt nur diese eine Zeile:

    2018:03:29-08:03:34 scalar-1 httpproxy[6072]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="xxxxxx" dstip="13.107.3.128" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllUsers (All Users)" size="8267" request="0xc72c3800" url="config.teams.microsoft.com/" referer="" error="" authtime="0" dnstime="2" cattime="55" avscantime="0" fullreqtime="4536064" device="0" auth="0" ua="" exceptions="av,sandbox,ssl,certcheck,certdate,fileextension,size" category="105" reputation="trusted" categoryname="Business"

     

    Wenn ich für meine IP SSL Scanning deaktiviere:

    2018:03:29-08:06:59 scalar-1 httpproxy[6072]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="xxxxxx" dstip="13.107.64.2" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllUsers (All Users)" size="4619" request="0xbfbee400" url="https://13.107.64.2/" referer="" error="" authtime="0" dnstime="0" cattime="133" avscantime="0" fullreqtime="1146741" device="0" auth="0" ua="" exceptions="ssl" category="9998" reputation="unverified" categoryname="Uncategorized"
     
    2018:03:29-08:07:17 scalar-1 httpproxy[6072]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="xxxxxx" dstip="52.114.124.59" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllUsers (All Users)" size="426861" request="0xd484e600" url="https://52.114.124.59/" referer="" error="" authtime="0" dnstime="0" cattime="40867" avscantime="0" fullreqtime="17733137" device="0" auth="0" ua="" exceptions="ssl" category="9998" reputation="unverified" categoryname="Uncategorized"
     
    2018:03:29-08:07:17 scalar-1 httpproxy[6072]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="xxxxxx" dstip="13.107.3.128" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllUsers (All Users)" size="8267" request="0xc2216400" url="config.teams.microsoft.com/" referer="" error="" authtime="0" dnstime="21002" cattime="118" avscantime="0" fullreqtime="19913970" device="0" auth="0" ua="" exceptions="av,sandbox,ssl,certcheck,certdate,fileextension,size" category="105" reputation="trusted" categoryname="Business"
     
     
    So funktioniert die Verbindung.
  • 0 in reply to UTM-User

    Hi UTM-User,

    das ist ein sehr gutes Beispiel was mal wieder beweist das Microsoft Sicherheitsmechanismen komplett ignoriert. Das Problem ist das hier verschlüsselt auf verschiedene IPs zugegriffen wird und keine dns namen verwendet werden. Dir wird nichts anderes übrig bleiben als für jede einzelne IP eine HTTPs Ausnahme zu erstellen.

    Falls du im Transparent Modus arbeitest könntest du mal probieren den Standard Modus zu verwenden. Eventuell wird dann ja ein User Agent (ua=) mitgeschickt. Dann könntest du eine Ausnahme für den User Agent machen. Ich befürchte aber das da auch nichts mitgeschickt wird.

    vg mod

    €dit

    Eine andere Alternative für den Transparent Modus wäre eine Netzwerkgruppe zu erstellen wo alle diese IPs eingetragen werden und die dann in die Transparent Mode Skip List eintragen.

  • 0 in reply to mod2402

    Hallo mod2402,

     

    das ist momentan mein Problem, ich weiß nicht wie ich eine Ausnahme für die IP bzw. den IP Adressbereich erstellen kann.

     

    Wärst du so freundlich und sagst mir wie man so eine Regel erstellen kann?

     

    Im ersten Post habe ich schon ein Beispiel genannt wie ich es versucht habe, leider ohne Erfolg.

     

  • 0 in reply to UTM-User

    Läuft der Proxy im Transparent Modus?

  • 0 in reply to UTM-User

    OK, die Ausnahme die du selber als Beispiel genannt hast ist eigentlich korrekt und müsste funktioneren. Das muss dann aber für alle IPs so konfiguriert werden.

    Fangen wir mal vorne an, worum geht es eigentlich grundsätzlich, spielt hier Skype for Business online eine Rolle oder geht es um Skype for Business on Premise. Du beziehst dich ja nur auf das (Skype for Business Network Assessment) Tool. Für Skype for Business muss ein komplexes Regelwerk aufgebaut werden.

  • 0 in reply to mod2402

    Wenn es um Skype for business on Premise geht hat Bob bereits den passenden Hinweis gegeben. Wenn es um die Online Variante geht sind noch wesentlich mehr Ausnahmen zu berücksichtigen.

    Dazu hat Microsoft einen Artikel veröffentlicht. https://support.office.com/en-us/article/office-365-urls-and-ip-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

    vg mod