This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Master List of WAF rules ?

Hi all,

Sorry if this is a dumb question but I am new to the forum and I have tried searching but cannot find an obvious FAQ which addresses my query…. 

Is there a master list of WAF filter rules and what they do?   Or alternatively, can anyone tell me which ones I need for ActiveSync only (and not the rest of the Exchange services)?

The reason I ask is: 

I have a UTM running 9.3 and Exchange 2010. I have successfully followed the guide for setting up Exchange Connectivity with version 9.2 (https://sophserv.sophos.com/repo_kb/...to%209%202.pdf), and this all seems to work fine, but since I actually only want ActiveSync and not the rest of the Exchange services, I have been progressively disabling everything I don’t need so as to expose the bare minimum through the firewall. 

The guide says to skip rules “960015”, “981203”, “960010”, ”960018” and “981204” but this instruction applies to “owa”,“ews”, “oab” and  “ecp” which I don’t want to expose,  as well as to “ActiveSync” which I do.  

I am guessing that it may not be necessary to skip all of those rules, but since I don’t know what they actually do, I don’t know which (if any) I can re-enable. 

Cheers,

Mark


This thread was automatically locked due to age.
  • Is there a master list of WAF filter rules and what they do? Or alternatively, can anyone tell me which ones I need for ActiveSync only (and not the rest of the Exchange services)?
    No, there isn't really a list like this or anything to tell you which rules are for one specific software package.  UTM WAF uses ModSecurity (https://www.modsecurity.org/rules.html) and its' free core ruleset, so for further research into rule specifics, you'd have to head in that direction.

    Setup WAF, make activesync connections, then see which of those rules listed above are triggered in the log.  Then you know which specifically you need to skip.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Thanks for the quick answer. 

    You mean, take them all out of the 'skip' list, see what's firing, and then put the ones that have fired back ?  

    I was hoping to avoid that approach, as there are a lot of possible use cases to test.  

    Is this stuff really totally undocumented ?
  • Ah - just checked the link you sent - plenty of documentation to read there!
  • You mean, take them all out of the 'skip' list, see what's firing, and then put the ones that have fired back ? 
    Exactly.  That's how the rules needing disabling were found for the guide you referenced.

    Is this stuff really totally undocumented ?
    Yep.  There are literally thousands of possible rules, created by hundreds of different people, as they are part of an open source project.  You'd need to follow the link I gave, then go to OWASP, the origination point of the rules used to see what they have.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Thanks!  I'll have a trawl through that and see if I can find out.