Hallo liebe Community,
folgende Ausgangssituation:
Sophos UTM als zentrale Firewall. Firmware 9.700-5 und vorher noch 9.605001 mit selben Ergebnis.
- RSA SecureID als Radius Server mit Token um die VPN Einwahl zu schützen. Läuft.
- SSL Zertifkate Let´s Encrypt - läuft.
- Exchange WAF - Läuft.
- weiterer Webdienst per WAF - Läuft.
Nun mochte die GF das das Self-Service Portal vom RSA Server von extern nutzbar wird, damit man auch außerhalb der Arbeitszeit sein Token resyncronisieren etc. kann.
Als RSA Server ist eine Appliance mit der Version 8.2 SP1 CU8 installiert. Das Portal läuft mit internem Zertifikat ohne Probleme.
Nun wollte ich (wie schon bei diversen anderen Servern gemacht) auch dort das Portal freigeben. Hab VORHER auch das Handbuch des RSA Servers gelesen und verstanden. Dort wird leider per NAT der Port 443 komplett freigegeben. Möchte ich nicht weil 443 schon weg und auch nur eine externe IP da ist. Und mit anderem Port möchte ich auch nicht. URL soll rsa.firma.tld sein. Kann sich jeder (Chef) merken.
WAF konfiguriert und läuft.... dachte ich. Und hier kommt IHR ins Spiel.
Die Startseite geht offensichtlich fehlerfrei auf. Aber bei jeder Funktion kommt dann eine Meldung, das der Dienst nicht verfügbar ist.
"Ihre Anforderung kann derzeit leider nicht verarbeitet werden. Die Anforderung wurde verarbeitet, oder es handelt sich um eine unzulässige Anforderung. Wechseln Sie wieder zur Startseite und versuchen Sie es erneut."
Wenn man sich die Webseite in der Console ansieht, dann werden 3-5 Dateien (1 x CSS und der Rest JS oder JSP) nicht geladen wegen HTTP Fehler 500. Das selbe sehe ich auch im WAF Protokoll. Direkt auf dem internen Server kommen die Dateien natürlich an.
Hab das alles direkt auf der Appliance und auch auf einem vorgeschalteten Web-Tier probiert. Mit selbem Ergebnis.
Ich werde diese Frage auch mal im RSA-Link stellen. Leider brachte die Google Suche nur Hinweise zu anderen Firewalls und älteren Versionen des RSA Servers.
Ich habe eigentlich schon einiges mit Firewall und Ausnahmen probiert. Bin bei UTM auch kein Neuling.
Hab jemand eine gute Idee ?
Anbei noch etwas Logfile...
2019:11:06-07:49:40 sophos-2 httpd: id="0299" srcip="xxx..xxx.xxx.xxx" localip="192.168.178.20" size="3960" user="-" host="xxx..xxx.xxx.xxx" method="GET" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening, SkipThreatsFilter_XssAttacks" time="70293" url="/console-selfservice/" server="rsa.firma.tld" port="443" query="" referer="-" cookie="console-selfservice-jsessionid=4bw_bDgQW8jLHKr2I3s6ANNaq3ZnszX3e4cc4IetaJkZWwYd5Wy3!851688784" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="XcJtBI63aV0fqXs@oDTcMwAAACI"
2019:11:06-07:49:40 sophos-2 httpd: id="0299" srcip="xxx..xxx.xxx.xxx" localip="192.168.178.20" size="2169" user="-" host="xxx..xxx.xxx.xxx" method="GET" statuscode="500" reason="-" extra="-" exceptions="SkipURLHardening, SkipThreatsFilter_XssAttacks" time="17497" url="/console-selfservice/framework/js/extjs/4.0.2a/resources/css/ext-all-gray.css" server="rsa.firma.tld" port="443" query="" referer="rsa.firma.tld/.../" cookie="console-selfservice-jsessionid=4bw_bDgQW8jLHKr2I3s6ANNaq3ZnszX3e4cc4IetaJkZWwYd5Wy3!851688784" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="XcJtBI63aV0fqXs@oDTcNAAAACI"
2019:11:06-07:49:40 sophos-2 httpd: id="0299" srcip="xxx..xxx.xxx.xxx" localip="192.168.178.20" size="2233" user="-" host="xxx..xxx.xxx.xxx" method="GET" statuscode="500" reason="-" extra="-" exceptions="SkipURLHardening, SkipThreatsFilter_XssAttacks" time="57107" url="/console-selfservice/framework/js/extjs/4.0.2a/ext-all.js" server="rsa.firma.tld" port="443" query="" referer="rsa.firma.tld/.../" cookie="console-selfservice-jsessionid=4bw_bDgQW8jLHKr2I3s6ANNaq3ZnszX3e4cc4IetaJkZWwYd5Wy3!851688784" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="XcJtBI63aV0fqXs@oDTcNQAAADE"
2019:11:06-07:49:40 sophos-2 httpd: id="0299" srcip="xxx..xxx.xxx.xxx" localip="192.168.178.20" size="2298" user="-" host="xxx..xxx.xxx.xxx" method="GET" statuscode="500" reason="-" extra="-" exceptions="SkipURLHardening, SkipThreatsFilter_XssAttacks" time="45323" url="/console-selfservice/framework/js/extjs/extensions/rsa/1.2/Ext-rsa-extensions.js" server="rsa.firma.tld" port="443" query="" referer="rsa.firma.tld/.../" cookie="console-selfservice-jsessionid=4bw_bDgQW8jLHKr2I3s6ANNaq3ZnszX3e4cc4IetaJkZWwYd5Wy3!851688784" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="XcJtBI63aV0fqXs@oDTcNgAAAAk"
[:(]
Alex
This thread was automatically locked due to age.
