Webserver über Sophos UTM veröffentlichen

Wir betreiben in unserer DMZ noch einen eigenen Webserver, der nun neu über die Sophos UTM veröffentlicht wird.

Definitionen
Für die DMZ benötigt man ein Interface und Netzwerkdefinitionen.

image

image

Web Application Firewall
Mit der Web Application Firewall (WAF) wird erreicht, dass die Sophos UTM als sogenannter Reverse Proxy für die internen Server auftritt und damit Angriffe wie Cross Site Scripting oder SQL Injection auf die Server abfangen kann.

Dazu muss man unter Web Application Firewall einen Realen Webserver und einen virtuellen Webserver mit passendem Firewall Profil erfassen. Ich habe da mal Basic Protection ausgewählt.

image

image

Intrusion Prevention
Bei “Intrusion Prevention” muss man neben den internen Netzwerken (resp. VLAN’s) auch die DMZ hinzufügen, damit eben der Verkehr zum Webserver auch auf Auffälligkeiten (Attack Patterns) überprüft und solcher Verkehr dann geblockt wird.

image

NAT
Für die “Übersetzung” der IP-Adressen habe ich eine “masquerading rule” von der DMZ auf einen externen Anschluss erstellt. Somit wird der Verkehr vom Webserver ins Internet (z.B. für Updates) korrekt geroutet. Eine “masquerading rule” für das routing von der DMZ ins interne Netzwerk wird nicht benötigt, beim Anlegen eines neuen internen Interfaces wird automatisch eine Route eingetragen. Vielen Dank für diesen Hinweis an das Sophos Forum.

image

Firewall
Ich habe zwei Firewallregeln erstellt.
Die erste geht vom internen Netzwerk (resp. nur vom Server-Vlan) zum Webserver in der DMZ. So kann ich mit Putty über SSH auf den Server zugreifen. Zur komfortableren Verwaltung ist auch noch Webmin auf dem Server installiert, daher ist auch noch der Port 10000 offen, aber nur vom internen Netzwerk und nicht vom Internet.
Die zweite Regel ist für den Zugang des Webservers ins Internet. Das sind zum einen grundlegende Dienste wie DNS und NTP, aber auch SMTP für den E-Mailversand aus den Formularen. Den HTTP und HTTPS Zugang benötigt der Server, um sich Updates übers Internet zu holen.

image

Damit der Mailversand aus der DMZ an die internen Empfänger der Formulare funktioniert, musste ich unter Email Protection noch den RDNS Test für diese Mails überspringen .

image

7 Gedanken zu „Webserver über Sophos UTM veröffentlichen

  1. Pingback: Publishing Webserver with Sophos UTM - Sophos User Bulletin Board

  2. Simon

    Hi,
    Kannst mir erklären wie das mit der DMZ läuft, wenn ich mit Public IP Adressen arbeiten möchte.
    Ich hab einen ganzen Range von Public IP’s zur verfügung. Wie konfiguriere ich nun das DMZ Interface auf der Sophos?
    Die Server haben die jeweils eine Public IP und stehen hinter der Sophos.
    Müsste ich also für jeden Server eine masquerading rule erstellen, damit er sich mit seiner eigenen IP gegen aussen meldet?

    Irgendwie steh ich auf dem Schlauch 🙂 Danke

    Antwort
    1. ictschule Autor

      Die Server in der DMZ stehen in einem internen Netzwerk, mit nicht öffentlichen IP’s. Dieses Netzwerk ist einfach von den anderen internen Netzwerken mit den Clients getrennt. Danach erstellt man unter NAT eine Masquerading rule von der DMZ auf ein externes Interface mit öffentlicher IP.
      Danach gibt es zwei Möglichkeiten.
      1. Man erstellt eine Regel unter Firewall um einzustellen, welches Protokoll auf welchen Server weitergeleitet wird. So stellt man den Server „direkt“ ins Internet. Die Verbindung wird aber über die Intrusion Prevention geschützt.
      2. Man veröffentlicht den Server über Webserver Protection. In dem Fall tritt die Sophos UTM als Reverse Proxy auf und „vermittelt“ zwischen Anfragen aus dem Internet und den Servern. Somit sind sie nochmals besser gegen Angriffe von aussen geschützt.

      Ich wünsche viel Erfolg!

      Antwort
  3. Simon

    Hey vielen Dank für die schnlle Antwort.
    Jetzt wo du das so schreibst, macht es sinn. Ich war total verwirrt, da ich eine falsche Zeichnung vor mir hatte, auf welcher dem Server die Public IP zugewiesen war 😀

    Danke grüsse Simon

    Antwort
  4. Kevin Dudda

    Hallo,
    die eigentliche Frage von Simon würde mich auch interessieren! Ich habe jetzt eine Watchguard und die Server dahinter haben die echten öffentlichen IPs. Das gleiche würde ich jetzt gern auf der Sophos einrichten. Kannst du helfen?

    Gruß Kevin

    Antwort
    1. ictschule Autor

      Hallo Kevin
      Ich weiss nicht, wie das mit der Watchguard gemacht wird. Wenn die Firewall für den Webserver antworten soll, muss sie ja die entsprechende öffentliche IP haben. Wie man das dann einrichtet, dass der reale Webserver dann die gleiche IP besitzt, weiss ich nicht wirklich. Dies soll aber nicht heissen, dass es nicht möglich wäre. Unter http://www.astaro.org findet man deutlich kompetentere Antworten, als ich sie bieten kann.

      Antwort

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s