Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 3315 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP via (Android+iOS) application blocked by UTM

Tmg2UTM
Hey All, thank you for the help thus far. I really appreciate it!

I am able to connect to the RDP server via RD Gateway using a Microsoft Client. The successful logs look as follows:
---------------------------------------------------------------------------------------------------------------

2014:06:10-06:51:12 utm reverseproxy: [Tue Jun 10 06:51:12.350196 2014] [url_hardening:error] [pid 10353:tid 3979213680] [client 14.14.14.14:49519] No signature found, URI: tech.wan.com.au/.../
2014:06:10-06:51:12 utm reverseproxy: srcip="14.14.14.14" localip="11.11.11.11" size="284" user="-" host="14.14.14.14" method="RDG_OUT_DATA" statuscode="403" reason="url hardening" extra="No signature found" exceptions="-" time="342736" url="/remoteDesktopGateway/" server="tech.wan.com.au" referer="-" cookie="-" set-cookie="-"
2014:06:10-06:51:13 utm reverseproxy: srcip="14.14.14.14" localip="11.11.11.11" size="13" user="-" host="14.14.14.14" method="RPC_IN_DATA" statuscode="401" reason="-" extra="-" exceptions="SkipURLHardening" time="744980" url="/rpc/rpcproxy.dll" server="tech.wan.com.au" referer="-" cookie="-" set-cookie="-"
2014:06:10-06:51:13 utm reverseproxy: srcip="14.14.14.14" localip="11.11.11.11" size="13" user="-" host="14.14.14.14" method="RPC_OUT_DATA" statuscode="401" reason="-" extra="-" exceptions="SkipURLHardening" time="197524" url="/rpc/rpcproxy.dll" server="tech.wan.com.au" referer="-" cookie="-" set-cookie="-"

However I am unable to connect via the Microsoft RDP app on any other platform. The error log is as follows:
---------------------------------------------------------------------------------------------------------

2014:06:10-06:50:09 utm reverseproxy: [Tue Jun 10 06:50:09.655723 2014] [url_hardening:error] [pid 10353:tid 3995999088] [client 14.14.14.14:52726] URI prefix does not match, URI: tech.wan.com.au:443/.../rpcproxy.dll
2014:06:10-06:50:09 utm reverseproxy: [Tue Jun 10 06:50:09.655746 2014] [url_hardening:error] [pid 10353:tid 3987606384] [client 14.14.14.14:52727] URI prefix does not match, URI: tech.wan.com.au:443/.../rpcproxy.dll
2014:06:10-06:50:09 utm reverseproxy: srcip="14.14.14.14" localip="11.11.11.11" size="286" user="-" host="14.14.14.14" method="RPC_IN_DATA" statuscode="403" reason="url hardening" extra="URI prefix does not match" exceptions="-" time="3054527" url="/rpc/rpcproxy.dll" server="tech.wan.com.au" referer="-" cookie="-" set-cookie="-"
2014:06:10-06:50:09 utm reverseproxy: srcip="14.14.14.14" localip="11.11.11.11" size="286" user="-" host="14.14.14.14" method="RPC_OUT_DATA" statuscode="403" reason="url hardening" extra="URI prefix does not match" exceptions="-" time="3049346" url="/rpc/rpcproxy.dll" server="tech.wan.com.au" referer="-" cookie="-" set-cookie="-"

The things I have tried are as follows:
-----------------------------------------------------------------

1. Connecting directly to the server via the app and bypass the utm = working! (So issue is definitely the firewall and not the server or iis publishing...etc).

2. Adding the full uri to the url hardening list: 
"tech.wan.com.au:443/.../rpcproxy.dll.

3. Adding the partial uri to the url hardening list:
"/rpc/rpcproxy.dll?localhost:3388" - I still get the same error


This thread was automatically locked due to age.
Parents
  • 0
    I think I figured it out. The issue here is that Remote Desktop Client for IOS and Android passes the URL as https://your.rdweb.url:443. Note the :443 at the end of the URL. That throws URL Hardening haywire, as it expects a plain url such as https://your.rdweb.url

    I also found out that if we create an exception for URL Hardening with the complete URL, everything works. Unfortunatelly, Webadmin won't allow us to add such a exception. When trying to add it though it, UTM complains that 

    "The path is invalid. Paths must begin with a slash ('/').


    Fortunatelly, there is a way. Completely unsupported, I might add. I don't know how comfortable you are using the shell, but I was doing some tests on my lab about this issue and found out that adding an exception for the whole URL in reverseproxy.conf solves the issue. I added semtehing like that to my test setup:

    WAFExceptions PATH your.rdweb.url:443/rpc* SkipURLHardening


    This file resides under /var/chroot-reverseproxy/usr/apache/conf/reverseproxy.conf. You can add this line after the existing exceptions. After that, restart the service with

    /var/mdw/scripts/reverseproxy restart


    It shoud work then. At least, it did for me.

    There are several catches though: 

    - Modifying configurations through the shell voids your warranty
    - Everytime the service is restarted, this file is overwritten, meaning that everytime you reboot your UTM, change any setting on other Virtual Web Servers ou even disable and enable a Virtual Web Server, this manual setting is removed.
    - Modifying configurations through the shell voids your warranty - yes, I'm repeating it 'cause I can't strees this enough. 

    That's not a fix nor a workaround. These are just my findings. Maybe someone from Sophos woul be kind enough to take a loot at it and hopefully allow us to create such an exception for URL Hardening in Webadmin.
Reply
  • 0
    I think I figured it out. The issue here is that Remote Desktop Client for IOS and Android passes the URL as https://your.rdweb.url:443. Note the :443 at the end of the URL. That throws URL Hardening haywire, as it expects a plain url such as https://your.rdweb.url

    I also found out that if we create an exception for URL Hardening with the complete URL, everything works. Unfortunatelly, Webadmin won't allow us to add such a exception. When trying to add it though it, UTM complains that 

    "The path is invalid. Paths must begin with a slash ('/').


    Fortunatelly, there is a way. Completely unsupported, I might add. I don't know how comfortable you are using the shell, but I was doing some tests on my lab about this issue and found out that adding an exception for the whole URL in reverseproxy.conf solves the issue. I added semtehing like that to my test setup:

    WAFExceptions PATH your.rdweb.url:443/rpc* SkipURLHardening


    This file resides under /var/chroot-reverseproxy/usr/apache/conf/reverseproxy.conf. You can add this line after the existing exceptions. After that, restart the service with

    /var/mdw/scripts/reverseproxy restart


    It shoud work then. At least, it did for me.

    There are several catches though: 

    - Modifying configurations through the shell voids your warranty
    - Everytime the service is restarted, this file is overwritten, meaning that everytime you reboot your UTM, change any setting on other Virtual Web Servers ou even disable and enable a Virtual Web Server, this manual setting is removed.
    - Modifying configurations through the shell voids your warranty - yes, I'm repeating it 'cause I can't strees this enough. 

    That's not a fix nor a workaround. These are just my findings. Maybe someone from Sophos woul be kind enough to take a loot at it and hopefully allow us to create such an exception for URL Hardening in Webadmin.
Children
No Data