This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF Antivirus File Upload

Hallo zusammen,

 

ich betreibe auf meinem NAS zuhause meine eigene Cloud die jeder vom www aus erreichen kann. Um diese zu Protecten läuft vor meinem NAS meine SOPHOS UTM Home auf der die WAF aktiv ist.

Im Firewall Profil der WAF ist der Virenscan beim Upload aktiviert. Testweise habe ich heute mal ein Virus File von der Eicar Test Seite heruntergeladen und dieses File in meine Cloud hochgeladen. Meine Erwartungshaltung war eigentlich dass der Upload abgebrochen wird, leider wurde das File vollständig auf mein NS geschoben.

Das Firewall Profil der WAF sieht folgendermaßen aus:

Im Log der WAF war nur zu sehen dass das File hochgeladen wurde:

2017:08:02-17:20:04 sgw01 httpd: id="0299" srcip="xx.xx.xx.xx" localip="192.168.178.2" size="1905" user="-" host="xx.xx.xx.xx" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="439685" url="/index.php/apps/files_trashbin/ajax/preview.php" server="hostname.de" port="443" query="?file=%2Feicar.com.txt.d1501686845&c=1501686845000" referer="-" cookie="__Host-nc_sameSiteCookiestrict=true; ocpz7lvjcvtb=u6lepebglcvcjvm22fmd2c4cvk; oc_sessionPassphrase=C4Fznxmu29IYqOiZhB4%2Fa67BufvRpjq3V%2FLMh2eTAUnTcz4YsZcKPc8S7D45lJEvPFYMDLSsl%2B1GNtT7Gb7H3gk2aLNBvKIKWLyHO7wmV2%2Bf9KbfMyGt%2FaJxnvgj7Idh; __Host-nc_sameSiteCookielax=true" set-cookie="-" uid="WYHtpMCosgIAAGH@9VQAAAAS"

 

Habt Ihr eine Idee an was es liegen könnte da der Virenscanner das File nicht blockt?




This thread was automatically locked due to age.
  • Moin Mathias,

     

    Bei mir ist genau das gleiche Verhalten, hab es ebenfalls mit Eicar geteset. (Im konkreten Fall will ich mein WebDAV absichern)

     

    Hast Du schon neue Erkentnisse?

     

    Habe das Gefühl, dass der WAF völlig egal ist was man hochlädt... Ob Dual Scan an oder aus und ob Avira oder Sophos als Engine genutzt wird :-(

     

     

    Hat jeamnd ne IDee???

  • Hi, 
    nein leider nicht. Seit dem Post habe ich den AV Scan deaktiviert.

  • Ja ich auch, traurig das so ein Basisfunktion anscheinend nicht funktioniert .... ;(

     

    Kann das jemand anderes ebenfalls bestätigen?

     

  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I believe that this works.  Have either of you contacted Sophos Support?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    Ich persönlich habe leider nur die Home License zuhause, da gibt es ja nur Community support, oder?

    Hast Du die Möglichkeit das ebenfalls zu testen?

    Es funktioniert definitiv nicht.

    Upload von Viren (zumindest Eicar Testvirus) funktioniert leider.

    Der Download geschütz durch den Webfilter (transparent proxy) blockiert den Eicar Virus und erkennt diesen sauber.

    Aber  bei der WAF geht download und upload...

     

    EDIT -> 22.02.2019 ->

    The WAF Antivirus  Protection works only for 'POST Method' I think..... :-( I have tested another internal Server with *.jsp upload form. And there the Eicar Testvirus was detected....

     

    WebDAV 'PUT Method' is ignored??? Can someone can confirm that Sophos WAF cannot "look" into 'PUT Method'????

     

    Mit freundlichen Grüßen

    HamburgerJung