Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 9190 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Quarantine Report | Release/Whitelist | OWA

TJHooker74
Hallo Forengemeinde!

Bei uns wird die externe OWA-Nutzung derzeit stark intensiviert, daher ergibt sich aktuell folgende Frage:

Wie kann man den Release- und/oder Whitelist-Link aus einem Quarantine Report, den man in OWA öffnet, nutzbar machen? 

Aktuell steht im Quarantine Report die interne URL der Appliance, was natürlich dazu führt, das ein "Seite kann nicht angezeigt werden" kommt, wenn man einen der Links aus OWA heraus anklickt.

Gibt´s dazu irgendwo ein How-To oder Ähnliches (falls das überhaupt geht soll das Ganze natürlich möglichst hinter WAF und nicht nur hinter einer NAT-Regel stehen)?

Vielen Dank im Voraus!

TJ


This thread was automatically locked due to age.
Parents
  • 0
    Das wirft übrigens der Live-Log der WAF aus, wenn ich versuche über OWA einen Release-Link anzuklicken. Ich hoffe, ich habe die richtigen Zeilen erwischt. Sagt das jemandem etwas? Habe da leider höchstens "gefährliches Halbwissen"...

    [Thu Sep 18 11:34:18.545753 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Warning. Match of "beginsWith %{request_headers.host}" against "TX:1" required. [file "/usr/apache/conf/waf/modsecurity_crs_generic_attacks.conf"] [line "163"] [id "950120"] [rev "3"] [msg "Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [data "Matched Data: http://MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0 found within TX:1: MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/WEB_ATTACK/RFI"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

    2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:34:18.547319 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(.*)" at TX:950120-OWASP_CRS/WEB_ATTACK/RFI-TX:1. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=, XSS=): Last Matched Message: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [data "Last Matched Data: MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

    2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:34:18.547690 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/modsecurity_crs_correlation.conf"] [line "37"] [id "981204"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5, SQLi=, XSS=): Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

    2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: id="0299" srcip="2.2.2.2" localip="1.1.1.1" size="216" user="-" host="2.2.2.2" method="GET" statuscode="403" reason="waf" extra="Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=, XSS=): Last Matched Message: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link" exceptions="SkipURLHardening" time="77653" url="/owa/redir.aspx" server="mail.domain.de" referer="mail.domain.de/.../ZLexkRcp8vqJVzuNUI=\"; UserContext=lt8KJBHqzEqKL1dZIXntCvhcy4O6ptEIe9FJcX9IArHnv6D3jlmPqOxUtWxt9O0I6loPOrrjYro.; tzid=W. Europe Standard Time" set-cookie="-" 

    2014:09:18-11:35:02 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:35:02.923223 2014] [security2:error] [pid 18130:tid 3744529264] [client 2.2.2.2] ModSecurity: Warning. Match of "rx ^0$" against "REQUEST_HEADERS:Content-Length" required. [file "/usr/apache/conf/waf/modsecurity_crs_protocol_anomalies.conf"] [line "84"] [id "960904"] [rev "2"] [msg "Request Containing Content, but Missing Content-Type header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "9"] [hostname "mail.domain.de"] [uri "/owa/ev.owa"] [unique_id "VBqnRgoKAP4AAEbSFgYAAABu"] 

    2014:09:18-11:35:03 UTMAPPLIANCE reverseproxy: id="0299" srcip="2.2.2.2" localip="1.1.1.1" size="18" user="-" host="2.2.2.2" method="POST" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="340986" url="/owa/ev.owa" server="mail.domain.de" referer="mail.domain.de/.../ZLexkRcp8vqJVzuNUI=\"; UserContext=lt8KJBHqzEqKL1dZIXntCvhcy4O6ptEIe9FJcX9IArHnv6D3jlmPqOxUtWxt9O0I6loPOrrjYro.; tzid=W. Europe Standard Time" set-cookie="-" 

    2014:09:18-11:35:03 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:35:03.269024 2014] [avscan:warn] [pid 18130:tid 3836849008] [client 2.2.2.2:64559] [18130] client requesting /owa/ev.owa has disconnected, referer: https://mail.domain.de/owa/
Reply
  • 0
    Das wirft übrigens der Live-Log der WAF aus, wenn ich versuche über OWA einen Release-Link anzuklicken. Ich hoffe, ich habe die richtigen Zeilen erwischt. Sagt das jemandem etwas? Habe da leider höchstens "gefährliches Halbwissen"...

    [Thu Sep 18 11:34:18.545753 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Warning. Match of "beginsWith %{request_headers.host}" against "TX:1" required. [file "/usr/apache/conf/waf/modsecurity_crs_generic_attacks.conf"] [line "163"] [id "950120"] [rev "3"] [msg "Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [data "Matched Data: http://MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0 found within TX:1: MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/WEB_ATTACK/RFI"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

    2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:34:18.547319 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(.*)" at TX:950120-OWASP_CRS/WEB_ATTACK/RFI-TX:1. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=, XSS=): Last Matched Message: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [data "Last Matched Data: MAIL.domain.de:3840/release.plc?proto=smtp&cluster_id=1&message_id=1XUOWV-0003MA-GI&size=517&whitelist=0"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

    2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:34:18.547690 2014] [security2:error] [pid 18130:tid 3828456304] [client 2.2.2.2] ModSecurity: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/modsecurity_crs_correlation.conf"] [line "37"] [id "981204"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5, SQLi=, XSS=): Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"] [hostname "mail.domain.de"] [uri "/owa/redir.aspx"] [unique_id "VBqnGgoKAP4AAEbSFf8AAABk"] 

    2014:09:18-11:34:18 UTMAPPLIANCE reverseproxy: id="0299" srcip="2.2.2.2" localip="1.1.1.1" size="216" user="-" host="2.2.2.2" method="GET" statuscode="403" reason="waf" extra="Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=, XSS=): Last Matched Message: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link" exceptions="SkipURLHardening" time="77653" url="/owa/redir.aspx" server="mail.domain.de" referer="mail.domain.de/.../ZLexkRcp8vqJVzuNUI=\"; UserContext=lt8KJBHqzEqKL1dZIXntCvhcy4O6ptEIe9FJcX9IArHnv6D3jlmPqOxUtWxt9O0I6loPOrrjYro.; tzid=W. Europe Standard Time" set-cookie="-" 

    2014:09:18-11:35:02 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:35:02.923223 2014] [security2:error] [pid 18130:tid 3744529264] [client 2.2.2.2] ModSecurity: Warning. Match of "rx ^0$" against "REQUEST_HEADERS:Content-Length" required. [file "/usr/apache/conf/waf/modsecurity_crs_protocol_anomalies.conf"] [line "84"] [id "960904"] [rev "2"] [msg "Request Containing Content, but Missing Content-Type header"] [severity "NOTICE"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "9"] [hostname "mail.domain.de"] [uri "/owa/ev.owa"] [unique_id "VBqnRgoKAP4AAEbSFgYAAABu"] 

    2014:09:18-11:35:03 UTMAPPLIANCE reverseproxy: id="0299" srcip="2.2.2.2" localip="1.1.1.1" size="18" user="-" host="2.2.2.2" method="POST" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="340986" url="/owa/ev.owa" server="mail.domain.de" referer="mail.domain.de/.../ZLexkRcp8vqJVzuNUI=\"; UserContext=lt8KJBHqzEqKL1dZIXntCvhcy4O6ptEIe9FJcX9IArHnv6D3jlmPqOxUtWxt9O0I6loPOrrjYro.; tzid=W. Europe Standard Time" set-cookie="-" 

    2014:09:18-11:35:03 UTMAPPLIANCE reverseproxy: [Thu Sep 18 11:35:03.269024 2014] [avscan:warn] [pid 18130:tid 3836849008] [client 2.2.2.2:64559] [18130] client requesting /owa/ev.owa has disconnected, referer: https://mail.domain.de/owa/
Children
No Data
Unfiltered HTML