Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 1132 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF [url_hardening:error] [pid 8351:tid 3900500848] [client IP extern] Hostname in HTTP request (IP) does not match the server name (URL)

Dome96

Hallo zusammen,

in unserer DMZ habe ich ein Anwendungsserver von Siemens installiert, der von extern erreichbar ist.

Um die bereitgestellten Dienste nutzten zu können, ist es notwendig eine eigenständige Software mit diesem Anwendungsserver zu verbinden.

Leider bekommen ich nach dem Start der Software einen Fehler, dass der Server nicht verfügbar sei.

In den Logs der Software bekomme ich folgende Fehlermeldung:

Im Live-Protokoll der WAF bekomme ich folgenden Fehler:

2021:11:10-13:15:40 astaro httpd[8351]: [url_hardening:error] [pid 8351:tid 3900500848] [client IP_EXTERN] Hostname in HTTP request (IP_PUBLIC_WAN) does not match the server name (SUB.DOMAIN.COM)
2021:11:10-13:15:40 astaro httpd: id="0299" srcip="IP_EXTERN" localip="IP_WAN_LOCAL" size="199" user="-" host="IP_EXTERN" method="GET" statuscode="403" reason="-" extra="-" exceptions="-" time="849" url="/" server="IP_PUBLIC_WAN" port="443" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="YYu37Cb8ZlZG-sPxo6Jj6QAAALE"

Hier noch die Konfiguration meiner WAF:

Um weitere Dienste verfügbar zu machen, habe ich 3 DNAT Regeln erstellt. Dabei bin ich mir jedoch nicht ganz sicher, ob das wirklich der beste und attraktivste Weg ist, um an das gewünschte Ziel zu kommen.

Was kann ich ändern?

Vorab vielen Dank für alle Antworten!



This thread was automatically locked due to age.
Parents
  • 0

    Erst einmal vielen Dank für eure Kommentare.

    Ich nutze bei dem virtuellen Server den Typ Verschlüsselt (HTTPS).

    Das dazugehörige Zertifikat habe ich über Lets Encrypt eingebunden.

    Wie kann ich denn dort zusätzlich noch die öffentliche IP-Adresse hinzufügen?

    Die Zielübersetzung bei den DNAT-Regeln habe ich entfernt. Vielen Dank für die Hilfen!

  • 0 in reply to Dome96

    Die anfangs erwähnte "eigenständige Software" braucht ja eine Information, wo die Serverkomponente zu finden ist. Dort kann man doch bestimmt auch des Server-Namen statt der IP eingeben... Wenn dann trotzdem die IP in der URL verwendet wird, wird es kompliziert.

    Dann bräuchte man u.U. tatsächlich ein Zertifikat für eine IP. Über LE geht das meines Wissens nach nicht.

    Keine Ahnung, wo/ob so etwas zu bekommen ist.

    Mit einem selbst signierten Zertifikat ist das Machbar ... aber ob die Software das akzeptiert ...? 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Die Software von Siemens arbeitet leider trotz der Eingabe des URLs mit der dahinterliegenden IP-Adresse.

    Ich werde es über ein selbst signiertes Zertifikat versuchen. Falls das auch nicht funktioniert, muss ich wohl mit dem Hersteller der Software abstimmen, ob es eine URL basierte Lösung gibt.

    Vielen Dank und viele Grüße

    Domenik

Reply
  • 0 in reply to dirkkotte

    Die Software von Siemens arbeitet leider trotz der Eingabe des URLs mit der dahinterliegenden IP-Adresse.

    Ich werde es über ein selbst signiertes Zertifikat versuchen. Falls das auch nicht funktioniert, muss ich wohl mit dem Hersteller der Software abstimmen, ob es eine URL basierte Lösung gibt.

    Vielen Dank und viele Grüße

    Domenik

Children
No Data
Unfiltered HTML