Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2686 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kopieren von xlsm Dokumenten über S2S VPN

BenLee
Hallo zusammen.

Folgendes Problem:
Zwei Stanndorte von uns sind per S2S VPN verbunden. Bisher funktionierte alles super bis mich heute eine Kollegin anrief und ich feststellen musst, dass das Kopieren einer "xlsm" Datei (Excel-Datei mit Makros) von Ihrem Lokalen Computer über de VPN Verbindung auf einen File-Server (Windows Server 2008 R2) nicht möglich ist.

Nach langem hin und her schien es letztendlich an der "Intrusion Prevention" der Sophos UTM 9 (Firmwareversion:  9.109-1) zu liegen. Nachdem ich eine Ausnahme für die entsprechende Verbindung (Von Quell-Netz ins Zielnetz) hinzugefügt hatte, lief alles Problemlos. Allerdings wird so die gesammte Verbindung nicht mehr überwacht.

Gibt es da nicht eine bessere Lösung? Z.B. diese Dateiendung in die Ausnahmen hinzufügen oder ähnliches?

Hat da jemand einen Rat?

Vielen Dank schonmal im Vorraus.

Grüße

Benjamin L.


This thread was automatically locked due to age.
  • 0
    Moving to German Forum...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    (Sorry, my German-speaking brain isn't creating thoughts. [:(])

    Hello, Benjamin, and welcome to the User BB!

    That might be the right solution, but, without seeing a representative line from the Intrusion Prevention log, it's difficult to make a different suggestion.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    (Sorry, my German-speaking brain isn't creating thoughts. [:(])

    Hello, Benjamin, and welcome to the User BB!

    That might be the right solution, but, without seeing a representative line from the Intrusion Prevention log, it's difficult to make a different suggestion.

    MfG - Bob (Bitte auf Deutsch weiterhin.)


    Hallo Bob,

    danke erstmal für deine Antwort. [:)]

    ich habe jetzt mal den Log-Eintrag rausgesucht, der produziert wird, wenn ich versuche eine entsprechende Datei zu kopieren. 

    2014:03:26-14:24:06 HEPCompanyUTM snort[26110]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="OS-WINDOWS Microsoft Groove mso.dll dll-load exploit attempt" group="110" srcip="192.168.1.9" dstip="172.16.172.3" proto="6" srcport="59910" dstport="445" sid="18500" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

    Zusätzlich haben meine Kollegen und ich nun rausgefunden, dass dieser Fehler nicht direkt bei Excel-Dateien auftritt die die "xlsm"-Endung haben. Bei xlsm Dateien scheint es nun zu funktionieren. Es funktioniert nur bei Office-Dateien nicht, die Makros oder VB/VBA-Code enthalten aber nicht als solche gespeichert sind (xls,xlsx,doc,docx). Wenn die entsprechende Datei dann einfach als xlsm oder docm abgespeichert wird kappt es. Ist das jetzt ein Bug oder ein Feature ?

    Grüße

    Benjamin
  • 0
    @BenLee

    In deinem Fall würde ich einfach diese Snort-ID deaktivieren,
    so dass dieser Check gar nicht mehr überprüft wird.

    Dies ist dann ( leider ) unabhängig von der Quell-IP.

    Aus deinem IPS-Log-Eintrag kannst du sehen, dass die Snort-ID für diesen Check die 2101 ist ( id="2101" ).

    Für diese ID kannst du im WebAdmin unter "Network Protection" -> "Intrusion Prevention" -> "Erweitert" im Bereich "Manuelle Regeländerung" einstellen, dass diese Snort-ID ( Check ) deaktiviert werden soll.

    Teste das einfach mal und gib uns hier ein Feedback.

    Gruß, Datax
  • 0 in reply to Datax_87
    @BenLee

    In deinem Fall würde ich einfach diese Snort-ID deaktivieren,
    so dass dieser Check gar nicht mehr überprüft wird.

    Dies ist dann ( leider ) unabhängig von der Quell-IP.

    Aus deinem IPS-Log-Eintrag kannst du sehen, dass die Snort-ID für diesen Check die 2101 ist ( id="2101" ).

    Für diese ID kannst du im WebAdmin unter "Network Protection" -> "Intrusion Prevention" -> "Erweitert" im Bereich "Manuelle Regeländerung" einstellen, dass diese Snort-ID ( Check ) deaktiviert werden soll.

    Teste das einfach mal und gib uns hier ein Feedback.

    Gruß, Datax



    Hallo Datax,

    vielen Dank zunächst für deinen Lösungsvorschlag und die gute Erklärung.
    Ich habe es jetzt mal ausprobiert und ein Regel mit der ID 2101 angelegt. Allerdings funktioniert es immernoch nicht. [:(]

    Was kann ich jetzt noch tun ?

    Grüße

    Benjamin
  • 0
    Jetzt habe ich die Lösung:

    Anstatt die ID von "id=2101" zu nutzen muss in die ID von sid="18500" genutzt werden. 

    Also wie beschrieben unter "Network Protection" -> "Intrusion Prevention" -> "Erweitert" im Bereich "Manuelle Regeländerung" einstellen, dass diese Regel-ID 18500 deaktiviert werden soll. Bei mir hat es sofort funktioniert nachdem die Regeländerung eingestellt war. 

    Die Lösung fand ich auf folgender Seite: 
    How to disable IPS rule manually


    Vielen vielen Danke an alle die mir geholfen haben! 

    Grüße

    Benjamin
  • 0
    @BenLee

    Wie bist du denn jetzt auf die ID 18500 gekommen?

    Gruß, Datax
  • 0 in reply to Datax_87
    Guck mal auf die Seite die ich verlinkt habe im letzten Beitrag. Da steht das. 

    Gruß Benjamin
Cookie Information Banner