Quarantine Report | Release/Whitelist | OWA

Unter Advanced kannst Du Hostname und Allowed Network konfigurieren.

Hi!

Danke!

Das hatte ich im Nachgang zu meinem Post auch gefunden. Dort habe ich a) eine URL hinterlegt, die aus dem Internet heraus aufzulösen ist und b) unter "Allowed Networks" meine Internet-Verbindung hinterlegt. Außerdem habe ich c) eine DNat-Regel für Port 3840 eingerichtet, die auf die IP meiner UTM zielt.

Damit müsste es doch eigentlich gehen, oder? 
Funktioniert aber nicht, nach wie vor aber "Seite kann nicht angezeigt werden"
:-(

Wo liegt mein Fehler?

Danke im Voraus!

TJ

Lass C) weg und sorge dafür, dass der eingetragene DNS-Name von intern und extern jeweils korrekt aufgelöst wird (Stichwort: Split DNS).

Hi!

SplitDNS hab ich schon.
c) weg lassen stelle ich Morgen gleich mal ein.

Was ich aber nicht verstehe: Wenn ich c) weg lasse, wie kann das dann funktionieren?

Danke!

TJ

Hat mich doch gejuckt und ich habe es gleich ausprobiert.
Funktioniert aber leider nicht.
Aufgerufen wird: http://mail.meinedomain.de:3840
Ergebnis ist: Seite kann nicht angezeigt werden

Ich habe jetzt wie gesagt keine NAT-Regel mehr.
Schießt mir die WAF (Konfiguriert für OWA, EAS usw.) dazwischen oder schützt die "nur" Dinge HINTER der UTM, aber nicht die UTM selbst?

Vielen Dank im Voraus!

TJ

Pack doch testweise bei den Allowed Networks mal "Any" rein.

Hallo!

Vielen Dank!

Das ändert leider nichts, sowohl mit als auch ohne "Any" kommt eine Fehlerseite des Browser, allerdings nicht (mehr) "Die Seite kann nicht angezeigt werden" sondern "Die Website hat die Anzeige dieser Webseite abgelehnt". Ich könnte schwören, dass das da bisher nicht stand, aber GANZ sicher bin ich mir auch nicht...

In einem anderen Thread von heute habe ich gelesen, dass jemand diese Meldung beim Versuch bekommt auf sein OWA zuzugreifen, aber erst seit dem letzten Update für die UTM, vielleicht hängt es damit zusammen?!

https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/62713


Vielen Dank im Voraus!

TJ

Sorry, bei mir schon wieder Entwarnung

Die meinem iPhone von Vodafone zugewiesene IP war auf der DNSBL Blacklist. 
Einmal Flugmodus an und wieder aus, dadurch neue IP bekommen, EAS geht.

TJ

Das wirft übrigens der Live-Log der WAF aus, wenn ich versuche über OWA einen Release-Link anzuklicken. Ich hoffe, ich habe die richtigen Zeilen erwischt. Sagt das jemandem etwas? Habe da leider höchstens "gefährliches Halbwissen"...

[Thu Sep 18 11:34:18.545753 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Warning. Match of "beginsWith %{request_headers.host}" against "TX:1" required. [file "/usr/apache/conf/waf/modsecurity_crs_generic_attacks.conf"] [line "163"] [id "950120"] [rev "3"] [msg "Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [data "Matched Data: http://MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0 found within TX:1: MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/WEB_ATTACK/RFI"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:34:18.547319 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(.*)" at TX:950120-OWASP_CRS/WEB_ATTACK/RFI-TX:1. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=, XSS=): Last Matched Message: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [data "Last Matched Data: MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:34:18.547690 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/modsecurity_crs_correlation.conf"] [line "37"] [id "981204"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5, SQLi=, XSS=): Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: id="0299" srcip="2.2.2.2" localip="1.1.1.1" size="216" user="-" host="2.2.2.2" method="GET" statuscode="403" reason="waf" extra="Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=, XSS=): Last Matched Message: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link" exceptions="SkipURLHardening" time="77653" url="/owa/redir.aspx" server="mail.domain.de" referer="mail.domain.de/.../ZLexkRcp8vqJVzuNUI=\"; UserContext=lt8KJBHqzEqKL1dZIXntCvhcy4O6ptEIe9FJcX9IArHnv6D3jlmPqOxUtWxt9O0I6loPOrrjYro.; tzid=W. Europe Standard Time" set-cookie="-" 

2014:09:18-11:35:02 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:35:02.923223 2014] [security2:error] [pid 18130:tid 3744529264] [client 2.2.2.2] ModSecurity: Warning. Match of "rx ^0$" against "REQUEST_HEADERS:Content-Length" required. [file "/usr/apache/conf/waf/modsecurity_crs_protocol_anomalies.conf"] [line "84"] [id "960904"] [rev "2"] [msg "Request Containing Content, but Missing Content-Type header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "9"] [hostname "mail.domain.de"] [uri "/owa/ev.owa"] [unique_id "VBqnRgoKAP4AAEbSFgYAAABu"] 

2014:09:18-11:35:03 UTMAPPLIANCE reverseproxy: id="0299" srcip="2.2.2.2" localip="1.1.1.1" size="18" user="-" host="2.2.2.2" method="POST" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="340986" url="/owa/ev.owa" server="mail.domain.de" referer="mail.domain.de/.../ZLexkRcp8vqJVzuNUI=\"; UserContext=lt8KJBHqzEqKL1dZIXntCvhcy4O6ptEIe9FJcX9IArHnv6D3jlmPqOxUtWxt9O0I6loPOrrjYro.; tzid=W. Europe Standard Time" set-cookie="-" 

2014:09:18-11:35:03 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:35:03.269024 2014] [avscan:warn] [pid 18130:tid 3836849008] [client 2.2.2.2:64559] [18130] client requesting /owa/ev.owa has disconnected, referer: https://mail.domain.de/owa/

Ah, dass das nur aus OWA heraus nicht klappt, hatte ich überlesen...

Da schlägt eine Regel der WAF an. Diese müsstest du im WAF-Firewall-Profil für den Virt. Server in der UTM deaktivieren (Feld "Skip Filter Rules").
Trag dort die IDs ein, die im entsprechenden WAF-Logeintrag gemeldet werden (müsste also in deinem Fall die 950120 sein, aus deinem erstgenannten Log-Eintrag).

Edit: ein DNAT brauchst du trotzdem nicht, es müssen nur alle Netze, aus denen das Release-Portal erreichbar sein soll, bei Allowed Networks drin sein (also vermutlich "Any").