Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 4 subscribers
  • Views 8907 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webserver Protection

MatthiasLang

Hallo Community,

folgendes Szenario ist gegeben.

FritzBox----SophosUTM

                              +----Internal Network

                              +----Server Network

 

Ich habe auf meiner FritzBox die WAN-IP Adresse der Sophos als Exposed Host eingerichtet.
Auf der UTM habe ich ein D-NAT (Portforwarding) auf mein NAS eingerichtet.
Nun ist mein NAS über meine DynDNS Adresse über HTTPS von aussen erreichbar.

Ich bin nun auf den Punkt Webserver Protect an der UTM gestoßen der einen internen Webserver

gegen Angriffe jeglicher Art absichern soll.

Könnt Ihr mir die Funktion im Detail erklären bzw. macht das ganze bei meiner Konstellation sinn

da ich nur mit DynDNS und daher mit Portforwarding arbeiten kann.

VG
Matthias



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    Die Webserver protection ist ein reverse-proxy.

    Die Funktionsweise sieht ein wenig wie NAT aus.

    Es wird z.B. eine externe IP der Firewall von einem Browser aus angesprochen.

    Wenn dort ein "virtual Server" aktiv ist nimmt die UTM die Verbindung an.

    Die UTM baut eine Verbindung zum "realen Server" im LAN auf und leitet die Anfragen dorthin weiter.

    Nun vermittelt sie immer die Anfragen und Antworten der beiden Partner und schaut in die Pakete.

    Je nach gewähltem "Firewall-profil" in der WebServer-Security werden etliche Angriffe erkannt.

    ... aber eine 100%ige Sicherheit ist auch hier nur durch ziehen aller Verbindungen zu erreichen. ;-)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo,

    danke für deine Antwort.
    Das ganze leuchtet mir ein.

    Ich hab das ganze mal versucht umgesetzen. Beim aufrufen meiner DynDNS Adresse im Internet bekomme ich schon ein Zertifikatswarnung.

    Allerdings wenn ich diese dann bestätige werde ich Weitergeleitet und ich bekomme einen 403 Forbidden (You dont´t have permissive to access / on this Server).
    Anbei mal ein paar Screens was ich eingestellt habe.

    Könnt Ihr mir sagen was ich falsch gemacht habe?

     

    VG

     

     

  • 0 in reply to MatthiasLang

    Versuch es erst mal ohne Authentifizierung.

    In diesem Fall reicht dich die WebServer-Protection direkt an die QNAP-Seite weiter.

    Dort sollte dann die Abfrage nach der Authentifizierung kommen.

    Wenn das läuft, kann man sich mit dem nächsten Schritt (vorgelagerte Authentifizierung) beschäftigen.

    Das bringt noch mal ein kleines add-on an Sicherheit, ist aber nicht ganz einfach.

    Ein Formular ausfüllen kann die UTM z.B. nicht, hier muss das Backend (QNAP) simple Authentication o.ä. anfordern.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ich habe nun den Webserver Protect eingerichtet.
    Der Zugriff von aussen hat auch schon funktioniert. Allerdings ist mir gestern meine UTM zusammengebrochen da die CPU Last auf 100% über einen längeren Zeitraum angestiegen ist.
    Ob das ganze nun mit dem Webserver Protect zu tun hat weiß ich noch nicht. Hab das ganze erstmal wieder ausgeschaltet und werde es die Tage nochmal versuchen.

    Allerdings würde ich euch gerne bitte mal über meine Konfiguration zu schauen ob das alles so OK ist wie ich das eingestellt habe.

     

    Echter Webserver:

    Hier habe ich eine QNAP eingetragen mit Zugriff über HTTPS

     

    Virtueller Webserver:

    Als Schnittstelle habe ich die WAN Leitung die zur FirtzBox zeigt verwendet.

    Der Verkehr erfolgt auch hier über HTTPS. Da ich HTTPS verwende muss ich auch ein Zertifikat mit Domänennamen angeben. Dazu habe ich unter der "Zertifikatsverwaltung" -"Zertifikate" ein neues Zertifikat für meinen DynDNS angelegt und dieses dann dem virtuellen Webserver zugewiesen. Unter Domäne steht dann auch mein DynDNS Name.

    Ist das ganze mit dem Zertifikat so richtig? Jedenfalls hat der Zugriff funktioniert.

     

    Firewall Profil:

    Dem Virtuellen Webserver habe ich dann folgendes Firewall Profil zugewiesen.

     

     

  • 0 in reply to MatthiasLang

    Hallo Matthias,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Your current configuration looks good.

    You might want to start a command line session so that you can be watching top when you enable Webserver Protection.  You didn't say what RAM and CPU you have.

    One trick that might interest you is that you can have the UTM do the HTTPS conversation with the Internet and then just use HTTP between the UTM and the Real Server.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

     

    danke für deine Antwort.
    Ich habe die Webserver Protection nochmal eingeschaltet. Das bedeutet von aussen ist der Server nun per https erreichbar. Nach innen wird das ganze

    über HTTP weitergeleitet.
    Als Firewall Profil habe ich nun das Advanced Profil mit Virusscan aktiviert.

    Zum testen habe ich mir über die Eicar Test Virus Seite einen Test-Virus heruntergeladen. 
    Diesen habe ich dann im Anschluss zum test von aussen auf meinen Fileserver geschoben. Leider wurde diese

    Datei ohne irgendeine Fehlermeldung auf den Server hochgeladen. Normalerweise hätte sie mit dem Advanced Profil

    geblockt werden müssen.

    Hattet ihr schon mal das selbe Problem?

     

    MFG

    Matthias

  • 0 in reply to MatthiasLang

    If you enabled Webserver Protection without disabling your DNAT, then the traffic is not being handled by your Virtual Server.  See #2 in Rulz - was that the case?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    DNAT hab ich aber deaktiviert.

    Also der komplette Verkehr läuft über meinen virtuellen Server.

    Mit freundlichen Grüßen

    Matthias

  • 0 in reply to MatthiasLang

    Hallo Matthias,

     

    was steht denn im reverseproxy.log, wenn du die Eicar-Datei hochlädst?

    Gruß
     Sabine

Reply Children
No Data