Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 25 subscribers
  • Views 12016 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Application Firewall - HTTPS / HTTP

semperfidelis
Hallo liebes Forum,

Folgendes Problem stellt sich mir bei der Einrichtung der WAF. 
Ich möchte die Website eines internen Programmes nach außen freigeben. Der Entwickler der Software stellt allerdings keine Möglichkeit für HTTPS bereit. Ein Zugang ist lediglich über ganz normales HTTP möglich. Warum konnte er mir selbst nicht so genau erklären. [8-)]

VPN-Verbindungen sollen vorerst nicht an alle Benutzer verteilt werden. 

Ich habe nun ein bisschen mit der WAF herum experimentiert und es jetzt hinbekommen das meine Website über Port 80 an der Sophos bereitgestellt wird. Soweit so gut. [:)]

Mein Gedanke war jetzt allerdings das ich an der Sophos einen virtuellen HTTPS-Server bereitstelle der mir aber den Verkehr intern an Port 80 weitergibt.
Ich kann aber soviel probieren wie ich will aber die Sophos meldet mir ständig den Fehler:
Hostname in HTTP request (215.*.*.*) does not match the server name (*.*.*.*)


Dieser Fehler ist mir auch schon beim bereitstellen über Port 80 erschienen, hier konnte ich ihn jedoch mit einem Beitrag aus diesem Forum beheben 
If you also want to be able to reach the web server via a numeric IP, then you must include that in the 'Domains' list of the Virtual Server.


Sobald ich aber HTTPS auswähle habe ich nicht mehr die Möglichkeit "Domains" anzugeben und die Sophos weigert sich die Website anzuzeigen. Habe ich hier generell einen Denkfehler und das switchen zwischen HTTPS und HTTP ist nicht möglich oder was mache ich falsch? 

Auf der eigentlichen Website bringt er mir dann nur ein "403 Forbidden to access "/" "

Viele Grüße und Danke im Voraus


This thread was automatically locked due to age.
  • 0
    Hallo,

    ich stelle mir die Frage wie der virtuelle Webserver den Echten Webserver unter HTTPS finden soll, wenn es doch gar keinen gibt.

    Wie sieht denn dein echter Webserver aus?
    Einenen DNS-Host hast du angegeben?

    Gruß Tobias
  • 0 in reply to Tobbi
    Hi Tobbi,

    Momentan habe ich jetzt den Stand (der auch funktioniert): 

    mein echter Webserver -> HTTP / Port 8080
    mein virtueller Webserver -> HTTP / angelegt auf Port 80

    Ich rufe im Internet eine Adresse auf, diese wird umgeleitet auf meine öffentliche IP-Adresse dann lande ich auf meiner Website.

    Meine Idee war eigentlich:

    mein echter Webserver -> HTTP / Port 8080
    mein virtueller Webserver -> HTTPS / angelegt Port 444

    Wenn ich nun letzteres einrichte habe ich nicht mehr die Möglichkeit "Domains" im virtuellen Webserver einzurichten. Diese werden ja jetzt über das Zertifikat abgehandelt. Jetzt habe ich einfach ein neues Zertifikat auf meine öffentliche IP-Adresse angelegt und siehe da es funktioniert. Es kommt nicht mehr die besagte Fehlermeldung "403 Forbidden TTP request (21*.***.***.***) does not match the server name". 

    Ich hatte vorher nur besagte Internet-Adresse z.B. meinprogramm.firma.de als eigenes Zertifikat hinterlegt. Deswegen hat Sophos dann den Zugang blockiert weil meinprogramm.firma.de ungleich meiner öffentlichen IP-Adresse ist. 

    Wie kann ich dem vorbeugen? Ein Zertifikat auf Internet-Adresse und IP ausstellen? Oder liegt das vielleicht an der Weiterleitung von meiner Internetadresse? [:S]

    Anbei nochmal Fotos mit HTTP Einstellung und HTTPS.
  • 0
    Hallo,

    es gibt Multi-Domain Zertifikate, muss man allerdings käuflich erwerben.
    Die Frage wäre erst einmal ob die Website überhaupt über die IP direkt aufrufbar sein soll.
    Wenn die virtuellen Webserver eh nur auf domain.de hören ist ein Multi-Domain Zertifikat doch gar nicht notwendig.
  • 0 in reply to Tobbi

    Wenn die virtuellen Webserver eh nur auf domain.de hören ist ein Multi-Domain Zertifikat doch gar nicht notwendig.


    Der Webserver ist an sich eine total doofe Applikation. Das ist nur ein Webportal für ein bisschen mobiles arbeiten anstatt der ganzen Software. 

    Meine Frage ist einfach nur was jetzt sinnvoll ist. 

    Wenn ich ein Zertifikat auf meinprogramm.firma.de austelle, egal ob gekauft oder selbsterstellt, meckert die Sophos das meinprogramm.de nicht auf meine öffentliche IP-Adresse passt und blockiert mir den Zugang. ("403 Forbidden TTP request (21*.***.***.***) does not match the server name )

    Stelle ich ein Zertifikat auf meine öffentliche IP-Adresse aus, funktioniert es. Jedoch würde ich wenn dann ein Zertifikat auf *.firma.de austellen, nicht auf meine öffentliche IP. Nur wie bringe ich das der Sophos bei? [8-)] [H]

    NACHTRAG:
    Oder ich benenne meinen "echten Webserver" in den Einstellungen gleich meiner öffentlichen IP-Adresse. Das ist aber spätestens mit dem zweiten Webserver keine Option mehr....
  • 0
    Moment... Also erst einmal muss natürlich die domain vom virtuellen Webserver mit der aus dem Zertifikat übereinstimmen.
    Ein wildcard-Zertifikat kannst du nur nutzen, wenn keine anderen subdomains mehr benötigt werden.
    Denn, der virtuelle Webserver wird dann alle (da *) auf den verknüpften echten Webserver leiten.

    Wenn du doch eine echte Domain Programm1.firma.de hast dann leg doch eben genau für die Domain einen virtuellen Websever an mit dem entsprechenden Zertifikat.
    So bleibt der rest von firma.de davon total unbeeindruckt.
    Die IP spielt hier eigentlich gar keine Rolle. Dafür gibt es den DNS Service, der so etwas erledigt.

    Gruß Tobbi
  • 0 in reply to Tobbi
    Ich glaube wir reden ein bisschen aneinander vorbei [;)]

    meinprogramm.firma.de -> Internetadresse die aufgerufen wird
    meinprogramm.firma.de -> DNS-Host Eintrag in der Sophos mit der internen IP des "Webservers"

    Die sind vom Namen her genau gleich angelegt.

    Lege ich nun an der Sophos ein Zertifikat für meinprogramm.firma.de an und weise dieses meinem virtuellen Webserver zu, funktioniert es nicht mehr. Da die Sophos nämlich sieht das ich über die öffentliche IP-Adresse reinkomme. Ich verstehe nicht warum er die IP als Name definiert?!

    Hostname in HTTPS request 21*.***.***.***  Er prüft die aufgerufene Website / IP mit dem Webserver den ich ansprechen möchte und obwohl "Internet-Adresse" = DNS-Eintrag des Webservers ist lehnt er die Verbindung ab und bezieht sich auf meine DSL IP?!

    Erstelle ich nun ein Zertifikat auf 21*.***.***.*** also direkt auf die IP Adresse des DSL Anschlußes funktioniert alles. Aber das ist ja nicht Sinn und Zweck. Normalerweise benötige ich ein Zertifikat auf meinprogramm.firma.de das ich an der Sophos hochlade und dann auch dem virtuellen Webserver zu Verfügung stelle. Korrigiert mich wenn ich völlig falsch liege.
  • 0
    Ich denke die Sophos wird deinen DNS-Host auflösen also aus meinprogramm.firma.de deine interne IP Adresse nehmen.

    Kannst du den DNS-Host mal anders benennen und das Zertifikat auf den Namen der Internetadresse ausstellen?

    Schau mal auf mein Anhang. So sollte das ungefähr aussehen.
    Bei mir klappt das ohne Probleme schon einige Monate
  • 0
    Wenn ich mal kurz dazwischenfunken darf... so wie ich es lese ist hier überhaupt kein offizieller dns Eintrag erstellt worden. Er greift ja über die IP zu und nicht über den Domain name.

    Ist die Domain überhaupt öffentlich registriert?

    Wenn ein öffentlicher dns eintrag auf die Domain erstellt wird und über diesen Namen zugegriffen wird moppert die UTM auch nicht mehr [;)]

    vg
    mod
  • 0 in reply to mod2402
    Schönen Guten Morgen,

    Die Domain liegt bei 1und1.de. Hier ist alles soweit soweit in Ordnung was DNS etc. angeht.

    Wenn ein öffentlicher dns eintrag auf die Domain erstellt wird und über diesen Namen zugegriffen wird moppert die UTM auch nicht mehr


    Was meinst du damit? meinprogramm.firma.de ist ist ja erreichbar und wird moment auch weitergeleitet.

    Anbei habe ich in einer Visio Zeichnung nochmal kurz den aktuellen Stand verdeutlicht wie es momentan mit der WAF und reinem HTTP und funktioniert. Vielleicht ist es so einfacher als geschrieben... Bilder = Tausend Worte... [;)]

    Mein Kollege meinte schon ein reiner Forward und kein Frame wäre eine Option, dann spreche ich über den Button auf der Website direkt meine Firewall per IP an, ABER 1und1.de beschwert sich dann, das das Zertifikat das auf dieser Website antwortet nicht vertrauenswürdig ist und blockiert. Auch sollte in der Adresszeile immer stehen meinprogramm.firma.de und nicht dann irgendwann meine SDSL IP.

    Müsste ich nicht ein Zertifikat auf meinprogramm.firma.de ausstellen? Den aktuellen Frame in der Website so stehen lassen und dann das Zertifikat von 1und1.de noch in der Sophos hochladen? Wobei ich dann wieder das Problem habe das die Sophos "moppert" das die aufgerufene Webiste im HTTP Request meinprogramm.firma.de ist und nicht meine öffentliche IP 21*.***.***.***.....  Ich bin etwas ratlos wo es klemmt. [:(]
  • 0
    Prinzipiell sollte das veröffentlichen deines internen Webservers per WAF so funktionieren:

    Denke dir für deinen internen Webserver einen öffentlichen Namen aus und konfiguriere dein (öffentliches) DNS so, dass dieser Name auf die IP-Adresse des UTM-Interfaces aufgelöst wird, auf dem die WAF läuft. In deinem Beispiel also: meinprogramm.firma.de, IP-Adresse: 21*.***.***.***.

    Stelle für den öffentlichen Namen ein Zertifikat aus und konfiguriere dann in der WAF einen virtuellen Webserver, für den du HTTPS mit diesem Zertifikat konfigurierst. Als echten Webserver wählst du deinen internen Webserver aus. Der interne Webserver darf gerne auf HTTP laufen, die WAF macht die Umsetzung von HTTPS auf HTTP.

    Auf firma.de verlinkst du dann den öffentlichen Namen, also in deinem Beispiel .

    Oder habe ich falsch verstanden, was du eigentlich erreichen willst?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?