Web Application Firewall bei internem und externem Zugriff

Hast Du intern ein Split DNS konfiguriert? Nach was löst website.com intern denn auf?

Nein, ein DNS Split habe nicht eingerichtet, welches mir in der Form ehrlich gesagt auch nicht bekannt ist.

Als DNS Server läuft intern ein eigenständiger Server. Beim Ping wird intern die lokale IP Adresse in der Form 192.168.1.10 aufgelöst. Beim externen Ping die entsprechende öffentliche IP Adresse.

Macht es Sinn den DNS Server direkt über die Sophos laufen zu lassen?

Hi,

also wenn intern die Seite website.com in eine private Adresse aufgelöst wird, dann hast Du ein Split-DNS. Dann läuft die Verbindung zu website.com auch nicht über die UTM. 

Wenn Du schon einen internen DNS-Server betreibst, macht es keinen Sinn, die UTM für Clients und Server als DNS einzutragen. Vermutlich wirst Du bei Deinem internen DNS-Server eine Weiterleitung auf die UTM haben.

Hi,

also wenn intern die Seite website.com in eine private Adresse aufgelöst wird, dann hast Du ein Split-DNS. Dann läuft die Verbindung zu website.com auch nicht über die UTM. 

Wenn Du schon einen internen DNS-Server betreibst, macht es keinen Sinn, die UTM für Clients und Server als DNS einzutragen. Vermutlich wirst Du bei Deinem internen DNS-Server eine Weiterleitung auf die UTM haben.

Guten Morgen,

sofern ich manuell oder per DHCP als DNS Server einen öffentlichen hinterlege, wie Google (8.8.8.8 / 4.4.4.4), dann funktioniert es sowohl von intern als auch von extern. Jedoch mit dem Nachteil, dass Applikationen, wie z.Bsp. Sophos sich intern nur über IP Adresse aufrufen lassen, da natürlich von außen nicht erreichbar.

Wünschenswerter SOLL Zustand:

Alle internen Systeme sollen per DNS in der Form subdomain-x.website.com erreichbar sein.

Ich möchte in der Lage sein Web Application Regeln einzurichten, einerseits die nur intern greifen (Bsp: Sophos sollte intern über die URL https://sophos.website.com statt 192.168.2.1:4444 erreichbar sein) und anderseits die von extern greifen (Bsp.: E-Mail Server: https://app.website.com statt https://app.website.com:8443).

Ich hatte die Hoffnung dass sich dass durch die Hinterlegung des entsprechenden Interfaces bei der Einrichtung eines Virtual Webservers konfigurieren lässt (WAN/LAN) - wie hier abgebildet:

Warum hebst Du das Split-DNS nicht einfach auf?

Wenn ich den DNS-Split aufhebe, dann würde ja jegliche Kommunikation beim Aufruf von *.website.com über das Internet laufen, unabhängig davon ob ich mich im lokalen LAN befinde oder nicht.

Befinde ich mich im lokalen LAN, so soll der Traffic auch darüber laufen, da performanter. Jedoch kommt da die UTM nicht ins Spiel, so dass die Web Application FW nicht greift.

Gefühlt ein Teufelskreis.

Ich müsste quasi ein Routing einrichten dass jeglicher Traffic, ob intern oder extern (wobei extern schon gegeben), die UTM passiert.

Wie lässt sich sowas einrichten, oder bin ich da auf dem falschen "Dampfer"?

Soweit ich weiß, macht die UTM an dieser Stelle ein Loopback sodass es auch nicht zu Performanceeinbußen kommen sollte.

Hallo,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment.)

In any case, you will want to configure Web Filtering to not use the Proxy to reach internal servers.  If the Proxy is in Transparent mode, you configure that in the 'Transparent Mode Skiplist' on the 'Advanced' tab.  In Standard mode, this is configured on each browser.  This can be done with a GPO when using Active Directory.  You might want to consult Configuring HTTP/S proxy access with AD SSO.  Although the article is aimed at Standard mode, 98% of it applies to Transparent mode, too.

I feel like you're trying to make this too complicated.  Normally, instead of going through either WAF or Web Filtering, one would configure Web Filtering and DNS to have internal users connect directly to the internal www.website.com server, having DNS resolve www.website.com to the internal IP of the server.

Once you have configured internal users to avoid using Web Filtering for internal accesses, you can use a Virtual Server on the Internal interface for the internal users.  In this case, DNS resolves www.website.com to the IP on the Internal interface that is used in the Virtual Server.  I like to have my clients do this with a test workstation (not the entire Internal LAN) so that they can configure the 'Advanced' section of the Virtual Server and the Firewall Profile to be used for the Virtual Server on the External interface.

MfG - Bob (Bitte auf Deutsch weiterhin.)