Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 2773 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Application Firewall bei internem und externem Zugriff

Stylianos Dracopoulos

Hallo liebe Community,

ich nutze die Web Application Firewall in Zusammenhang mit einem Let's Encrypt Zertifikat, ausgestellt durch die Firewall. Soweit funktioniert auch alles.

Da ich sowohl eine externe Domain "website.com" als auch interne mit gleichem Namen "website.com" laufen habe, möchte ich gerne dass auch bei internen Aufrufen die UTM eingreift um einen Zugriff direkt per https und dem Zertifikat ermöglicht.

Dazu habe ich für einen Webserver Aufruf zwei Virtual Webserver erstellt, wovon der eine auf das WAN Interface konfiguriert ist, und der andere auf das LAN.

Jedoch passiert der Traffic bei internen Aufrufen nicht die UTM. Wie kriege ich das hin, das auch beim internem Aufruf der URL "website.com" die UTM "hellhörig" wird und der Virtual Webserver zum Einsatz kommt? 

 

Vielen Dank für eure Unterstützung.



This thread was automatically locked due to age.
Parents
  • 0

    Hast Du intern ein Split DNS konfiguriert? Nach was löst website.com intern denn auf?

  • 0 in reply to ThorstenSult

    Nein, ein DNS Split habe nicht eingerichtet, welches mir in der Form ehrlich gesagt auch nicht bekannt ist.

    Als DNS Server läuft intern ein eigenständiger Server. Beim Ping wird intern die lokale IP Adresse in der Form 192.168.1.10 aufgelöst. Beim externen Ping die entsprechende öffentliche IP Adresse.

  • 0 in reply to Stylianos Dracopoulos

    Macht es Sinn den DNS Server direkt über die Sophos laufen zu lassen?

  • 0 in reply to Stylianos Dracopoulos

    Hi,

     

    also wenn intern die Seite website.com in eine private Adresse aufgelöst wird, dann hast Du ein Split-DNS. Dann läuft die Verbindung zu website.com auch nicht über die UTM. 

    Wenn Du schon einen internen DNS-Server betreibst, macht es keinen Sinn, die UTM für Clients und Server als DNS einzutragen. Vermutlich wirst Du bei Deinem internen DNS-Server eine Weiterleitung auf die UTM haben.

  • 0 in reply to ThorstenSult

    Guten Morgen,

    sofern ich manuell oder per DHCP als DNS Server einen öffentlichen hinterlege, wie Google (8.8.8.8 / 4.4.4.4), dann funktioniert es sowohl von intern als auch von extern. Jedoch mit dem Nachteil, dass Applikationen, wie z.Bsp. Sophos sich intern nur über IP Adresse aufrufen lassen, da natürlich von außen nicht erreichbar.

     

    Wünschenswerter SOLL Zustand:

    Alle internen Systeme sollen per DNS in der Form subdomain-x.website.com erreichbar sein.

    Ich möchte in der Lage sein Web Application Regeln einzurichten, einerseits die nur intern greifen (Bsp: Sophos sollte intern über die URL https://sophos.website.com statt 192.168.2.1:4444 erreichbar sein) und anderseits die von extern greifen (Bsp.: E-Mail Server: https://app.website.com statt https://app.website.com:8443).

    Ich hatte die Hoffnung dass sich dass durch die Hinterlegung des entsprechenden Interfaces bei der Einrichtung eines Virtual Webservers konfigurieren lässt (WAN/LAN) - wie hier abgebildet:


     

  • 0 in reply to Stylianos Dracopoulos

    Warum hebst Du das Split-DNS nicht einfach auf?

  • 0 in reply to ThorstenSult

    Wenn ich den DNS-Split aufhebe, dann würde ja jegliche Kommunikation beim Aufruf von *.website.com über das Internet laufen, unabhängig davon ob ich mich im lokalen LAN befinde oder nicht.

    Befinde ich mich im lokalen LAN, so soll der Traffic auch darüber laufen, da performanter. Jedoch kommt da die UTM nicht ins Spiel, so dass die Web Application FW nicht greift.

    Gefühlt ein Teufelskreis.

     

    Ich müsste quasi ein Routing einrichten dass jeglicher Traffic, ob intern oder extern (wobei extern schon gegeben), die UTM passiert.

     

    Wie lässt sich sowas einrichten, oder bin ich da auf dem falschen "Dampfer"?

  • 0 in reply to Stylianos Dracopoulos

    Soweit ich weiß, macht die UTM an dieser Stelle ein Loopback sodass es auch nicht zu Performanceeinbußen kommen sollte.

  • 0 in reply to Stylianos Dracopoulos

    Hallo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.)

    In any case, you will want to configure Web Filtering to not use the Proxy to reach internal servers.  If the Proxy is in Transparent mode, you configure that in the 'Transparent Mode Skiplist' on the 'Advanced' tab.  In Standard mode, this is configured on each browser.  This can be done with a GPO when using Active Directory.  You might want to consult Configuring HTTP/S proxy access with AD SSO.  Although the article is aimed at Standard mode, 98% of it applies to Transparent mode, too.

    I feel like you're trying to make this too complicated.  Normally, instead of going through either WAF or Web Filtering, one would configure Web Filtering and DNS to have internal users connect directly to the internal www.website.com server, having DNS resolve www.website.com to the internal IP of the server.

    Once you have configured internal users to avoid using Web Filtering for internal accesses, you can use a Virtual Server on the Internal interface for the internal users.  In this case, DNS resolves www.website.com to the IP on the Internal interface that is used in the Virtual Server.  I like to have my clients do this with a test workstation (not the entire Internal LAN) so that they can configure the 'Advanced' section of the Virtual Server and the Firewall Profile to be used for the Virtual Server on the External interface.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to Stylianos Dracopoulos

    Hallo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.)

    In any case, you will want to configure Web Filtering to not use the Proxy to reach internal servers.  If the Proxy is in Transparent mode, you configure that in the 'Transparent Mode Skiplist' on the 'Advanced' tab.  In Standard mode, this is configured on each browser.  This can be done with a GPO when using Active Directory.  You might want to consult Configuring HTTP/S proxy access with AD SSO.  Although the article is aimed at Standard mode, 98% of it applies to Transparent mode, too.

    I feel like you're trying to make this too complicated.  Normally, instead of going through either WAF or Web Filtering, one would configure Web Filtering and DNS to have internal users connect directly to the internal www.website.com server, having DNS resolve www.website.com to the internal IP of the server.

    Once you have configured internal users to avoid using Web Filtering for internal accesses, you can use a Virtual Server on the Internal interface for the internal users.  In this case, DNS resolves www.website.com to the IP on the Internal interface that is used in the Virtual Server.  I like to have my clients do this with a test workstation (not the entire Internal LAN) so that they can configure the 'Advanced' section of the Virtual Server and the Firewall Profile to be used for the Virtual Server on the External interface.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML