This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF Terminalserver 2k8 RDWEB

Hallo Zusammen,

wir haben hier die WAF im Einsatz. 
Des weiteren stellen wir externen Usern ein Terminalserver Web (Windows Server 2008 R2) zur Verfügung. Mit Einsatz von WAF kann sich der User am Webinterface anmelden, danach können keine Anwendungen gestartet werden. Die RDP Connection sollte hier aufgebaut werden, aber sie läuft in einen Timeout. 
Hat hier jemand einen Tip für mich?

Das Problem, seit die Verbindung über NAT abgeschaltet wurde und über WAF hergestellt werden soll.

Pasqual


This thread was automatically locked due to age.
  • Tip wäre, mal zu schauen, was dieses Terminalserver Applet denn so als Ziel-IP hat. Und mal schauen, ob Du einen Unterschied beim Zugriff via DNAT und WAF im Sourcecode des Terminalserver Web Dings siehst.

    Aber, wenn Du eh einen Zugriff via Terminalserverapplikation auf Deine Server machst, warum dann noch zusätzlich ne WAF? Also, was willst Du hier vor wem schützen?

    Liebe Grüße
    Christian
  • Hallo Zusammen,

    in der Version 8.100 kann über die WAF keine RDP over HTTPS verbindung aufgebaut werden. RDP muss als Ausnahme hinzugefügt werden. Alles lt. Auskunft von Astaro.

    Christianlouis, auf den Terminalserver kann per Internetseite Zugegriffen werden. Also eine Webseite an der man sich anmeldet und von dieser Seite aus, kann dann eine Anwendung gestartet werden. Für die Anwendung wird dann eine Verbindung RDP over HTTPS aufgebaut. Und die eigentliche Webseite des Terminalservers soll durch die WAS geschützt werden.

    Gruß

    Pasqual
  • Hallo alle 

    Habe auch versucht rdweb über rdwebgateway  zu proxen (Windows Server 2012 R2)
    leider funktioniert das nicht.
    Auch nicht wenn man jeglichen check (modsecurity) deaktiviert
    der Reverseproxy meint dann,  wenn man die Applikation starten will, daß eine Funktion nicht implementiert wäre.
     
    auch mit der Beta ist das nicht möglich 
    Firmwareversion: 9.165-15
    Patternversion: 54070

    für die die Ms rdweb bzw Gateway nicht kennen 

    Deploying Remote Desktop Gateway RDS 2012 | Ryan Mangan's IT Blog

    Schicke gerne Logfiles wenn das proxen funktionieren sollte 

    Nach einigem Suchen habe ich diverse Infos gelesen das es Bugs in diversen apache versionen gibt  (habe nach der Reverseproxy Fehlermeldung gesucht)  

    Würde mich über eine Antwort freuen 

    Gruß
    Gmorok

  • Schicke gerne Logfiles wenn das proxen funktionieren sollte 



    Hier sind die auszüge des Logs die mir komisch vorkommen. 

    Einerseits [security2:error] [pid 24089:tid 4089572208] ModSecurity: Request body (Content-Length) is larger than the configured limit (134217728)  [uri "/rpc/rpcproxy.dll"]

    und 

    (ip adressen mit x und y  ersetzt)

    reverseproxy: [Wed Nov 27 21:38:52.301468 2013] [proxy_http:error] [pid 8282:tid 3862965104] (70023)This function has not been implemented on this platform: [client x.x.x.x:43529] AH01095: prefetch request body failed to y.y.y.y:443 (y.y.y.y) from x.x.x.x ()

    Outlook Webaccess und alle anderen Webserver funken einwandfrei 
    nur mit rdweb oder rdgateway bekomme ich diese Fehler
  • Das solltest Du an dem Support weiterleiten.



    BTW: Woher kommt die Unart, medizinische Begrifflichkeiten (ADS, Proxen) im IT Bereich zu missbrauchen?
  • Das solltest Du an dem Support weiterleiten.



    BTW: Woher kommt die Unart, medizinische Begrifflichkeiten (ADS, Proxen) im IT Bereich zu missbrauchen?


    hm ich dachte der Support schaut auch hier in die Posts 
    Falls nicht werde ich den mal per Mail anschreiben [;)]
  • Hi Leute. Ich warte auch auf die Unterstützung des Remote Desktop Gateways von Sophos.
    Sobald Sophos dieses Feature bereitstellt, werden viele da draussen den ISA Server bzw. TMG Server herunterfahren können und OWA, OA, ActiveSync und auch RDGW über die UTM 9 bereitstellen können.
    Gem. mlenk (Sophos UTM Developper) ist dieser Request bereits in den Feature-Requests gelandet, schaut hier!

    Ich hoffe, dass Sophos dieses Feature-Request mit Prirität behandelt!
    Gem. diesem Eintrag sollte der Request bereits untersucht werden.

    Bitte beachtet: Die RDP over HTTP/S Implementation für von OutlookAnywhere, ist nicht die gleiche wie die von Remote Desktop Gateway in Windows Server 2008 oder 2012.

    Alternativen um RD Gateway bereitszustellen sind momentan SSL VPN oder DNAT.
    Für diejenigen die aber nur eine Public IP, und diese in Verbindung mit einem Wildcard Zertifikat alle Services bereitstellen wollen, wäre die RDGW Unterstützung ein gern gesehens Feature!
  • hallo zusammen,

    die Feature request stammen noch aus der 9.1 beta. Da steht lediglich "in Prüfung". Das heißt noch lange nichts. Ich mach aktuell das 9.2 Beta Programm mit. Dort steht lediglich in der overview:
    [Web Server] The WAF engine has been updated with a new version that offers many improvements.


    Die Sophos UTM ist sicherlich im Moment die beste UTM die den TMG teilweise ersetzen kann. Alles kann Sie jedoch nicht. Viele kleine Features vom TMG fehlen noch. Dafür hat sie aber auch viele zus. Features die der TMG nicht hat.

    Die Vorauthentifizierung kommt jetzt erst in der Version 9.2. Diese bietet aber lange noch nicht alle Möglichkeiten die ein TMG bietet. Für die meisten Implementationen sollten diese aber ausreichend sein.

    Outlook Anywhere (RPC over http) wird lediglich ungefiltert durchgelassen. Einen RPC Filter wie beim TMG gibt es nicht. In der 9.2 kommen aber einige zus. Absicherungsmöglichkeiten. Die kann ich aber erst testen wenn die Vorauthentifizierung funktioniert. Aktuell funktioniert das noch nicht mit Domain Accounts. Aber ist ja auch noch Beta Status [[;)]] RDG und SSTP funktionieren auch noch nicht da hier keine passenden Filter vorhanden sind. OA ist die einzige Ausnahme. Die UTM hat wie die meisten anderen linuxbasierten Firewalls ein Problem mit in HTTP/S getunnelten Protokollen. Bei SSTP wird PPTP getunnelt.

    Beim ISA/TMG konnte man HTTP Filter manuell anpassen um eine zus. Absicherung zu gewährleisten oder getunnelte Protokolle zuzulassen oder auch nicht. Das geht so in der UTM auch nicht und ist auch nicht vorgesehen. In der UTM kann ich lediglich bestimmte Signaturen ausschließen.

    Ein D-Nat funktioniert immer. Man sollte aber bedenken das hier keine IPS Rules ziehen. Für das IPS muss der Datenverkehr über einen Proxy laufen. Forward- oder Reverseproxy. Was anderes sind die verbindungsorientierten Schutzmaßnahmen. Das nennt man beim ISA/TMG IDS und hat nichts mit IPS zu tun.

    Es gibt noch viele Dinge die in der UTM noch fehlen. Das soll aber nicht bedeuten das diese kein Ersatz sein kann. Für mich ist die ehemalige Astaro im Bezug auf TMG Replacement der absolute Favorit. Es wird sicher noch einige Zeit dauern bis alle Funktionalitäten vom TMG abgebildet werden können. Wenn überhaupt möglich ...

    Dafür kommen richtig gute neue Features wie Z.B. die Onboard OTP Authentifizierung. Ich kann euch nur empfehlen, macht das Beta Programm mit und bringt euch auch mit ein [[;)]]

    vg
    mod