Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 7773 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy Frage regex

MMU

Hallo,

ich habe eine Frage zum Webproxy bei der UTM9.4.

Wir haben für Gäste uns Laptopuser einen Wlan Bereich. Dieser terminiert in der DMZ.

Von dort soll Internet möglich sein, sowie Active Sync in unser Netz.

Das läuft auch soweit ordentlich.

Wir haben jetzt einen neuen Exchange Server. Dieser soll gegen OWA und ECP aus diesem Netz geschützt werden.

Leider schaffe ich es nicht eine funktionierende RegEX einzutragen. Kann mich dabei jemand unterstützen?

Unser Exchange ist z.B. über folgende URL OWA erreichbar: https://mobile.local-srv.de/owa bzw. https://mobile.local-srv.de/ecp.

Diese beiden Url wollte ich blocken. Möglich wäre auch generell ecp und owa für die Domain local-srv zu blockieren.

Leider habe ich keinen Erfolg.

Probiert habe ich :

^https?://([A-Za-z0-9.-]*\.)?mobile\.local-srv\.de/owa
^https?://([A-Za-z0-9.-]*\.)?/owa
^https?://([A-Za-z0-9.-]*\.)?owa/



This thread was automatically locked due to age.
Parents
  • 0

    Wo genau hast Du das eingetragen und finden sich die Aufrufe im Log?

  • 0 in reply to K.N.

    Eingetragen ist das im Webproxy unter Filter Actions.(allow_all_admin)

    Das wird im Log auch angezeigt. Somit stimmt das wohl soweit.

    Leider wird die URL nicht komplett angezeigt? Vielleicht wird die irgendwie abgeschnitten wenn der Proxy nach intern geht?

    Im Browser steht : https://mobile.local-srv.de/owa/auth/logon.aspx

    httpproxy[18058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="xxx.xxx.xxx.xxx" dstip="xxx.xxx.xxx.xxx" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProAdmin (admin)" filteraction="REF_HttCffAllowallad (allow_all_admin)" size="52739" request="0xde759200" url="https://mobile.local-srv.de/" referer="" error="" authtime="0" dnstime="162" cattime="108" avscantime="0" fullreqtime="109984841" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions="" category="105" reputation="neutral" categoryname="Business"

  • 0 in reply to MMU

    Welche SSL Scan Einstellungen sind im Webfilterprofil admin konfiguriert? Wie lautet die Policy des Webfilterprofils?

    Ist vielleicht eine Ausnahme definiert, welche hier aufgrund Quelle/Ziel das ganze erlaubt?

    Was zeigt der Policytest an?

  • 0 in reply to K.N.

    Hallo,

    SSL steht nur auf URL Filter.

    Wir verwenden nur die Base Policy mit verschiedenen Filter Actions.

    Eine erlauben Ausnahme haben wir für das interne Netz nicht.

    Der Policytest ergibt Blocked.

    https://mobile.local-srv.de/owa

    Result: Blocked
    Reason: URL blocked by blacklist
    Filter Profile: admin
    Policy name: Base Policy

    Wie bereits erwähnt wenn ich auf OWA zugreife wird im Log nur der root URL angezeigt: 'https://mobile.local-srv-de' und in Browser steht aber 'https://mobile.local-srv.de/owa/auth/logon.aspx'. Von daher wird es wohl durchgelassen, da kein OWA in der URL vorhanden ist????

    Entweder der Webproxy verschluckt da was, da er auf die interne Umgebung geht. Oder aber der MS Webserver mit OWA oder ECP macht da irgendwas magisches?

    Danke

    UPDATE !!!

    Das Problem liegt darin, dass die URL wohl im SSL nicht untersucht wird.

    Der Connect wird nur zur root URL gemacht : https://mobile.local-srv-de' ..

    Die weitere URL /owa/auth/logon.aspx wird dann nicht mehr ausgewertet und somit nicht blockiert.

    Ich habe mir dann mal SSL scan eingeschaltet. Jetzt wird /owa blockiert !!!

    Dieses Verhalten ist sehr doof.. aber nachvollziehbar. Leider kann ich nicht für alle Clients ein Proxy Zertifikaten ausrollen.

    Somit bleibt es eine Sicherheitslücke die sich mit Sophos Mitteln nicht Schließen lässt.

    Danke

  • 0 in reply to MMU

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    PM me if you would like a copy of a document I maintain, "Configure HTTP/S Proxy for a Network of Guests."

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to MMU

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    PM me if you would like a copy of a document I maintain, "Configure HTTP/S Proxy for a Network of Guests."

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner