Webserver über Sophos UTM veröffentlichen

Wir betreiben in unserer DMZ noch einen eigenen Webserver, der nun neu über die Sophos UTM veröffentlicht wird.

Definitionen
Für die DMZ benötigt man ein Interface und Netzwerkdefinitionen.

image

image

Web Application Firewall
Mit der Web Application Firewall (WAF) wird erreicht, dass die Sophos UTM als sogenannter Reverse Proxy für die internen Server auftritt und damit Angriffe wie Cross Site Scripting oder SQL Injection auf die Server abfangen kann.

Dazu muss man unter Web Application Firewall einen Realen Webserver und einen virtuellen Webserver mit passendem Firewall Profil erfassen. Ich habe da mal Basic Protection ausgewählt.

image

image

Intrusion Prevention
Bei “Intrusion Prevention” muss man neben den internen Netzwerken (resp. VLAN’s) auch die DMZ hinzufügen, damit eben der Verkehr zum Webserver auch auf Auffälligkeiten (Attack Patterns) überprüft und solcher Verkehr dann geblockt wird.

image

NAT
Für die “Übersetzung” der IP-Adressen habe ich eine “masquerading rule” von der DMZ auf einen externen Anschluss erstellt. Somit wird der Verkehr vom Webserver ins Internet (z.B. für Updates) korrekt geroutet. Eine “masquerading rule” für das routing von der DMZ ins interne Netzwerk wird nicht benötigt, beim Anlegen eines neuen internen Interfaces wird automatisch eine Route eingetragen. Vielen Dank für diesen Hinweis an das Sophos Forum.

image

Firewall
Ich habe zwei Firewallregeln erstellt.
Die erste geht vom internen Netzwerk (resp. nur vom Server-Vlan) zum Webserver in der DMZ. So kann ich mit Putty über SSH auf den Server zugreifen. Zur komfortableren Verwaltung ist auch noch Webmin auf dem Server installiert, daher ist auch noch der Port 10000 offen, aber nur vom internen Netzwerk und nicht vom Internet.
Die zweite Regel ist für den Zugang des Webservers ins Internet. Das sind zum einen grundlegende Dienste wie DNS und NTP, aber auch SMTP für den E-Mailversand aus den Formularen. Den HTTP und HTTPS Zugang benötigt der Server, um sich Updates übers Internet zu holen.

image

Damit der Mailversand aus der DMZ an die internen Empfänger der Formulare funktioniert, musste ich unter Email Protection noch den RDNS Test für diese Mails überspringen .

image

9 Gedanken zu „Webserver über Sophos UTM veröffentlichen

  1. Pingback: Publishing Webserver with Sophos UTM - Sophos User Bulletin Board

  2. Simon

    Hi,
    Kannst mir erklären wie das mit der DMZ läuft, wenn ich mit Public IP Adressen arbeiten möchte.
    Ich hab einen ganzen Range von Public IP’s zur verfügung. Wie konfiguriere ich nun das DMZ Interface auf der Sophos?
    Die Server haben die jeweils eine Public IP und stehen hinter der Sophos.
    Müsste ich also für jeden Server eine masquerading rule erstellen, damit er sich mit seiner eigenen IP gegen aussen meldet?

    Irgendwie steh ich auf dem Schlauch 🙂 Danke

    Antwort
    1. ictschule Autor

      Die Server in der DMZ stehen in einem internen Netzwerk, mit nicht öffentlichen IP’s. Dieses Netzwerk ist einfach von den anderen internen Netzwerken mit den Clients getrennt. Danach erstellt man unter NAT eine Masquerading rule von der DMZ auf ein externes Interface mit öffentlicher IP.
      Danach gibt es zwei Möglichkeiten.
      1. Man erstellt eine Regel unter Firewall um einzustellen, welches Protokoll auf welchen Server weitergeleitet wird. So stellt man den Server „direkt“ ins Internet. Die Verbindung wird aber über die Intrusion Prevention geschützt.
      2. Man veröffentlicht den Server über Webserver Protection. In dem Fall tritt die Sophos UTM als Reverse Proxy auf und „vermittelt“ zwischen Anfragen aus dem Internet und den Servern. Somit sind sie nochmals besser gegen Angriffe von aussen geschützt.

      Ich wünsche viel Erfolg!

      Antwort
  3. Simon

    Hey vielen Dank für die schnlle Antwort.
    Jetzt wo du das so schreibst, macht es sinn. Ich war total verwirrt, da ich eine falsche Zeichnung vor mir hatte, auf welcher dem Server die Public IP zugewiesen war 😀

    Danke grüsse Simon

    Antwort
  4. Kevin Dudda

    Hallo,
    die eigentliche Frage von Simon würde mich auch interessieren! Ich habe jetzt eine Watchguard und die Server dahinter haben die echten öffentlichen IPs. Das gleiche würde ich jetzt gern auf der Sophos einrichten. Kannst du helfen?

    Gruß Kevin

    Antwort
    1. ictschule Autor

      Hallo Kevin
      Ich weiss nicht, wie das mit der Watchguard gemacht wird. Wenn die Firewall für den Webserver antworten soll, muss sie ja die entsprechende öffentliche IP haben. Wie man das dann einrichtet, dass der reale Webserver dann die gleiche IP besitzt, weiss ich nicht wirklich. Dies soll aber nicht heissen, dass es nicht möglich wäre. Unter http://www.astaro.org findet man deutlich kompetentere Antworten, als ich sie bieten kann.

      Antwort
  5. Christian

    Hallöchen,

    ich hoffe mal, trotz des mehrere Jahre alten Beitrags bekommst du zu Kommentaren deiner Posts noch Benachrichtigungen 🙂

    Ich betreibe eine Infrastruktur, in welcher sich ein Exchange befindet, der ganz normal aus dem Internet über Port 443 erreichbar ist, ich habe eine normale NAT-Regel dafür eingerichtet.

    Nun möchte ich allerdings auch noch ownCloud aus dem WAN erreichbar machen, OHNE einen Port angeben zu müssen beim Aufruf der Cloud.
    Ich habe ownCloud bereits so konfiguriert, dass HTTPS aktiviert ist, und aktuell sieht es so aus, dass
    cloud.xxxx.de auf https://gateway.xxxx.de:8443 weiterleitet (weil der normale 443 Port ja bereits belegt ist).
    Ich möchte allerdings, dass die Cloud direkt über cloud.xxxx.de erreichbar ist, bzw https://cloud.xxxx.de
    Ein Bekannter meinte zu mir, dass das nur mit einem Reverse Proxy erreichbar ist.
    Mir ist noch nicht ganz klar, wie das funktionieren soll. Ich habe ja trotzdem nur eine externe IP, bei der bereits der Port 443 belegt ist (durch den Exchange).

    Meiner Auffassung nach müsste der Reverse Proxy vor der Firewall sein, damit das funktioniert.

    Kannst du mir erklären, wie das gehen soll?

    Danke.

    lg

    Christian

    Antwort
    1. ictschule Autor

      Hallo Christian

      Ja, ich bekomme noch Benachrichtigungen zu neuen Kommentaren :-). Der Beitrag ist wirklich schon einige Jahre her und in der Zwischenzeit sieht es bei uns deutlich anders aus. Exchange haben wir durch Office 365 abgelöst und den internen Webserver zu einem Webhosting Dienst ausgelagert.

      Die Sophos UTM ist sowohl Reverse Proxy als auch Firewall. Damit kann man schon eine Weiterleitung eines externen Ports auf einen anderen internen Port erreichen. Das Problem ist aber, dass du zwei Dienste hast, die auf den gleichen externen Port hören sollen.
      Normalerweise löst man dieses Problem mit einer anderen IP. Wir haben bei unserem Internetzugang mehrere IPs hinzugebucht. In deinem Fall könnte man also im DNS hinterlegen, dass Cloud.xxxx.de auf die zweite IP zeigt, auf der noch kein Dienst am Port 443 lauscht.

      Ob sich dein Szenario auch mit einer IP umsetzen lässt, weiss ich nicht (was noch lange nicht heisst, dass es nicht geht). Da würde ich mich an das offizielle Sophos UTM Forum wenden, dort hat es Leute mit deutlich mehr Ahnung in dem Bereich als ich.

      Auf jeden Fall wünsche ich viel Erfolg!

      Antwort

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s