This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF and Remote Desktop Gateway

I am trying to setup the Web Application Firewall to filter Microsoft's Remote Desktop Gateway (Terminal Services Gateway).  I currently have DNAT rules to forward ports 80 and 443, but would like to put Astaro in between the big bad internet and my IIS server.

When I setup the basic rules with Firewall Profile set to None (to keep initial testing easy) I get the following error in the log:

2010:11:30-10:53:17 astaro reverseproxy: srcip="x.x.x.x" localip="y.y.y.y" size="13" user="-" host="x.x.x.x" method="RPC_IN_DATA" statuscode="401" time="33175" url="/rpc/rpcproxy.dll" server="mydomain.com" referer="-" cookie="-" set-cookie="-"


2010:11:30-10:53:17 astaro reverseproxy: srcip="x.x.x.x" localip="y.y.y.y" size="13" user="-" host="204.16.64.3" method="RPC_OUT_DATA" statuscode="401" time="20956" url="/rpc/rpcproxy.dll" server="mydomain.com" referer="-" cookie="-" set-cookie="-"



I appears to me that the initial 401 challenge response is not getting passed.  The RDP Gateway requires Basic or Windows authentication to access anything in the /rpc/ directory.

But I could be misreading this - it could be that the 401 challenge is passing just fine and it is the RDP Gateway authentication that is failing.

Other notes:

  • I have a valid certificate from a real certificate authority (same cert is used by IIS and WAF)
  • I can access my regular Joomla website via HTTPS through WAF (the browser does not report any cert errors)


I've seen several other posts of people not getting RPC stuff to pass.  I'm hopping this add'l info will get us somewhere.

Any thoughts?


This thread was automatically locked due to age.
  • Hi, as TSG tunnels RDP over HTTPS, I'm not sure the WAF would be able to add any protections.

    You might want to setup remote access VPNs for your remote admins, btw.

    Barry
  • Barry,

    Thanks for the response. 

    I do have pptp VPN setup for admin use.  The tsg is for our staff.

    What makes me' nervous is having to forward ports 80 and 443 straight to my IIS server. Would I be safer setting up a VPN connection for staff and limiting what traffic can pass? I am worried about our users connecting from home w/ infected computers. Using rdp (w/o local drives redirected) seems safer to me than putting a worm infested machine on the network. 

    Thanks, 
    Keith
  • Well, the IPS will still offer some protection for VPN connections.

    This is for a private web server?

    Barry