UTM 9.2 Exchange , OWA & Active Sync

Hier mein Firewall-Profil

Ok, jetzt versteh ich. Bei mir ist alles eingeschaltet bis auf die Anamolien. Das Profil ist nach Vorlage von Sophos gemacht worden. Ich bin mit der Vorlage nicht ganz einverstanden. Du hast das Rigid Filtering eingeschaltet. Wenn du das einschaltest werden wesentlich mehr Filter angewendet.

Du hast nun zwei Möglichkeiten, schalte die HTTP Policy wieder ein und das Rigid Filtering aus oder schalte die HTTP Policy ein und beobachte den Log. Die entsprechenden IDs die nun Probleme bereiten trägst du zus. unter Skip Filter Rules ein.

Damit hast du eine wesentlich höhere Sicherheit erreicht. Rigid Filterung bedeutet strenge Filterung. Dabei werden die Anfragen wesentlich genauer inspiziert.

Im englischen Forum geht kaum einer darauf ein. Scheinbar sind wir deutschen doch Vorreiter wenn es um möglichst hohe Sicherheit geht. 

Hier mal ein Beispiel meiner Ausschlüsse für Activesync:
960010
970901
981200
981205
981203
960015
960009

Im Anhang findest du noch ein Screenshot meiner Konfiguration für ActiveSync. Wenn OWA auch mit dem Firewall Profil abgedeckt werden muss, müssen hier noch zus. Ausschlüsse definiert werden. 

Ich würde immer empfehlen für jeden Dienst ein eigenes Firewall Profil zu erstellen. Spätestens wenn OA mit ins Spiel kommt wird es kritisch. Bei OA muss alles aus bis auf pass Outlook anywhere. OA Traffic wird dann nur ungefiltert durchgereicht und die anderen Dienste sind auch nicht ausreichend abgesichert.

vg
mod

Hi!

Erneut: Vielen Dank!

Was ich noch nicht ganz verstehe: 
"Rigid Filtering" ist bei mir ja bereits aktiviert. Durch das Ausschalten der Funktion "HTTP Policy" setze ich offenbar zusätzlich einen ganzen Satz von Regeln außer Kraft. Das sind aber (vermtl.) mehr Regeln, als ich außer Kraft setzen müsste, um EAS ans Laufen zu bekommen. Daher Deine Empfehlung, die Funktion "HTTP Policy" wieder zu aktivieren ("Rigid Filtering" bleibt eh an) und dann ganz explizit nur die Regeln zu deaktivieren, die mir wirklich Probleme machen. Habe ich das so korrekt wiedergegeben?

Liege ich vor allem mit der Aussage richtig, dass ich durch deaktivieren der Funktion "HTTP Policy" im Grunde "nur" einen großen Satz von Regeln deaktiviere oder was macht die Funktion "HTTP Policy" statt dessen bzw. darüber hinaus?

Wie viel größer ist die Sicherheit (im Vergleich zum Status Quo), wenn ich die Funktion "HTTP Policy" wieder aktiviere und nur einzelne Regeln außer Kraft setze? 

Vielen Dank im Voraus!

TJ

hi tj,

das siehst du genau richtig. Wie viel größer die Sicherheit ist lässt sich schwer in worte fassen. Die WAF basiert auf der modsecurity. Je mehr Filter angewendet werden um so höher ist natürlich auch die Sicherheit. Andersrum können mehr Filter auch mehr false / positiv auslösen. Deswegen mache ich es so das ich erst mal alles rein haue und dann manuell raus filtere.

Bei AS habe ich festgestellt das es auch auf die mobilen Geräte ankommt. Ein IPhone löst teilweise andere false / positive Meldungen aus als ein Android.

Wenn du dich damit beschäftigen möchtest, schau dir mal die modsecurity an. Aber du solltest ausreichend Zeit einplanen wenn du dich mit dem Thema intensiv beschäftigen möchtest [;)]
https://www.owasp.org/index.php/Category[:$]WASP_ModSecurity_Core_Rule_Set_Project
https://github.com/SpiderLabs/owasp-modsecurity-crs/tree/master/base_rules

Eine Auflistung und Zuordnung der IDs habe ich bis jetzt noch nicht gefunden. Vielleicht kann hier ja ein Sophos Mitarbeiter der hier mitliest dazu was sagen.

vg
mod

Danke!

TJ