Sophos UTM 9 Firewall Regel für Dropbox IP

Hallo Paul,

Was möchtest Du denn erreichen? Die IP's sperren oder erlauben, das log sauberhalten?

Poste doch einmal die entsprechenden Zeilen im Log.

CS

Hi,

habe das gleiche Problem (zumindestes hört es sich so an) mit einem Android Handy. Eine App baut regelmässig im Hintergrund eine Verbindung ins Internet über Port 80 zum Server "gibmirdeinedat.en" über den transparenten Proxy der UTM auf.

Die Firewall droppt aber auch täglich mehrere tausend Verbindungsversuche vom Server "gibmirdeinedat.en" Port 80 an das Android Handy auf einen dynamischen Highport. Ich vermute das die Verbindung vom Handy über den transparenten Proxy geschlossen wurde (Timeout), und die Rückantworten vom Server somit keiner Verbindung mehr zugeordnet werden können weshalb sie dann von der Firewall gedroppt werden.

Könnte ja sein das der Dropbox Client ein ähnliches Problem mit sich bringt?! Nutzen die angesprochenen internen Clients Dropbox?

Gruß

Jas

Moin CS,

es geht mir in erster Linie darum eine Deny Regel für diesen Verkehr zu erstellen. Es bestehen in der Umgebung besondere Umstände, weswegen ich an den Clients nichts verändern kann. Mein Stand ist, das es sich bei dem Verkehr nur noch um Dienste handelt, die nach der Deinstallation von Dropbox übrig geblieben sind. (Wurde wohl deinstalliert weil mein Vorgänger es nicht geschafft hat, den Verkehr durch die Sophos zu bekommen und man sich dann nach einer Alternative umgeschaut hat)

Wäre jetzt mal ein Beispiel. Das ganze gibts noch mit einer anderen Source IP und auch mit anderen Destination Hosts. Über die Firewall habe ich schon die üblichen Regeln probiert, ohne Erfolg.

PS. Im Vordergrund steht hier für mich grade, was über die Sophos und zukünftige, ähnliche Fälle zu lernen. Sprich Antworten gerne im Detail warum und wieso man das Problem so und so lösen würde. :)

Hi Paul,

um den Verkehr zu blocken, muss Du ihn erst Mal über ein eindeutiges Merkmal identifizieren. Sind es z.b. immer dieselben externen IP Adressen die von aussen kommen, legst Du die in der UTM als Host oder Netz an, und baust Dir eine Regel

Src: DropBox IPs

Dst: LAN Network

Service: SSL (wenn es nur 443 ist, ansonsten erweitern)

Action: Drop

Der richtige Weg wäre aber eher die Dienste auf den Clients zu deinstallieren. Falls das nicht möglich ist solltest Du den ausgehenden DropBox Verkehr der Clients identifizieren, und diesen blocken. Das geht auch über die Firewall oder über die Application Control.

Gruß

Jas

Moin Jas,

was den ersten Teil deines Replys angeht, habe ich alles schon gemacht. Hab auch einen extra Service gebaut 443 -> x. (Sprich umgedreht wie die normale Definition, die Anfrage läuft ja aber auch anders rum) hat auch nichts gebracht.

Ich werde mir jetzt mal den letzten Teil anschauen. Ich seh mal ob ich da mehr Informationen bekommen kann. Den outgoing Traffic finde ich über den Web Filter nehme ich mal an?

Am liebsten würde ich auch an den Clients direkt arbeiten um das grade zu ziehen. Da blutet das ITler Herz schon ein wenig.

PS. Mit der Application Control habe ich noch keine Erfahrungen gesammelt, ich schaus mir aber danach nochmal an.

Hi,

da warst Du eigentlich auf dem richtigen Weg. Vermutlich war noch irgendwo ein Fehler in der Regel weshalb sie nicht gegriffen hat. In so einem Fall würde ich grober anfangen. Z.b. erst mal nur die externen IPs von Dropbox der Drop-Regel hinzufügen, und den Rest auf Any lassen. Wenn die Regel dann greift, den Dienst als nächstes hinzufügen usw.. Ziel sollte sein nirgendswo ein Any stehen zu haben, wobei das bei Drop-Regeln nicht ganz so kritisch ist wie bei Allow-Regeln.

Wenn Du den Proxy nutzt, dann musst Du wie vermutet im Web Filter Log nach den Verbindungen suchen. Ansonsten siehst Du ihn in der Firewall. Ggf. muss das Logging für die HTTPS Regel aktiviert werden, damit er geloggt wird.

Gruß

Jas

Hab jetzt

Dropbox IPs -> Any -> Any Drop - kein Erfolg

Internal -> Any -> Dropbox IPs Drop um überhaupt Anfragen zu blockieren - kein Erfolg

Dropbox in der Application Control geblockt - kein Erfolg

Ich bekomme immer die gleichen Source IPs über Port 443 in den Default Drops.

Habe nochmal mit dem Betreuer gesprochen. Auf den CLients wird Dropbox genutzt, es funktioniert auch alles. Dennoch möchte ich diese IPs entweder auf Allow haben oder Deny. Hauptsache, es stehen nur noch relevante Meldungen in meinem Log.

Hi,

hört sich wie mein Problem an (siehe Post oben), dass der Server im Internet versucht den Client im LAN zu erreichen, obwohl die Verbindung über den Proxy schon ausgelaufen ist. Ist nur eine Vermutung...aber würde Sinn ergeben.

Wenn die User Dropbox nutzen, kannst Du den Verkehr von innen natürlich nicht sperren. D.h. es bleibt nur das Sperren von außen.
Du musst irgendwo einen Fehler in der Regel haben.....

- Hast Du die Host Objekte für die externen IPs fest auf einen Adapter/Interface gebunden, oder stehen die auf ANY? Wenn Du einen Adapter ausgewählt hast, bist Du sicher das es der richtige ist?

- Ist die Regel auch aktiv / eingeschaltet?

- Ist die Regel vielleicht auf einen falschen Adapter gebunden?

Gruß

Jas

Jas Man said:

- Hast Du die Host Objekte für die externen IPs fest auf einen Adapter/Interface gebunden, oder stehen die auf ANY? Wenn Du einen Adapter ausgewählt hast, bist Du sicher das es der richtige ist?

- > steht auf any Interface

- Ist die Regel auch aktiv / eingeschaltet?

- > aktiv und auf Log traffic

- Ist die Regel vielleicht auf einen falschen Adapter gebunden?

- > Hatte da jetzt keine Möglichkeit ein Interface für die Regel auszuwählen

Ich krieg die nicht mal mit ner 3x A Regel gedroppt. Sprich landet bei Default Drop

Mmhh, da fällt mir erst mal auch nix mehr ein. Ich könnte am WE mal versuchen meinen Verkehr von den externen Servern zu blocken. Vielleicht verhält es sich da gleich. Dann wüssten wir, dass es kein Konfigurationsfehler ist, sondern irgendwoher anders kommt.

Kannst Du mal die entsprechenden Zeilen aus dem Textlog der Firewall hier posten? Also nicht aus dem Monitor, sondern aus dem Berech "Log -> Firewall Log". Vielleicht enthält der noch ein paar mehr Infos.

Gruß

Jas