This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF und FQDN

Hallo,

hat jemand eine Idee, wie ich eine WAF (Web Server Protection) Rule so einstelle, dass der dahinterliegende Webserver nur von einigen FQDN Hosts erreicht werden kann. In der WAF Rule selbst kann ich ja nur IP und NETWORK auswählen als ALLOWED SOURCE. Gibt es irgend einen Trick, damit ich das trotzdem irgendwie auf anfragende FQDN's begrenzen kann (zusätzlich andere Regeln, irgendwas auf der CLI) oder hat Sophos hier mal wieder gepennt (oder braucht die Funktion wirklich keiner) ?

Edit: Ich nutze eine XG Firewall mit SFOS 19.1 bzw. 19.5



Added TAGs
[edited by: Erick Jan at 1:24 PM (GMT -7) on 9 Jun 2023]
Parents
  • Moin

    Du kannst doch im Sitepathrouting nicht nur "Netzwork"- und "Host"-Objekte, sondern auch "DNS-host"-Objekte verwenden ("DNS Groups" allerdings nicht). Aber ist das nicht genau das, was Du Dir wünscht?

    LG, Janbo) 

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

  • Ok, mein Fehler. Hätte dazu schreiben sollen das ich die XG / XGS einsetze... auf der SG geht das - hat noch jemand eine Idee zur XG ?

  • Nein, gibt es leider noch nicht.

    Ich selbst habe auch eher private Einsatzfälle für dieses Feature ...

    Das wäre andernfalls ein Feature-Request wert.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • ich tendenziell eher nicht, denn wir betreiben zahlreiche API's auf Port 80 und 443 und wollen diese natürlich nicht WORLD WIDE exposen sondern auf einzelne "User" begrenzen... Die meisten die Zugreifen haben feste IP's oder eben ganze feste Netzwerke. Aber einzelne kleinere Kunden haben eben nur eine dynamische IP, die sie dann per DynDNS oder so in einen normalerweise benutzbaren FQDN für uns verwandeln.

    Als NAT Rule funktioniert das ganze natürlich, aber da muss ich dann auf die ganze "Web Server Protection" Dinge verzichten und die Sicherheit auf Seiten des Servers sicherstellen und im Zweifel eben auch auf allen 150-200 Servern die hinten dran hängen jedes Jahr das SSL Zertifikat tauschen (ok, geht größtenteils automatisch aber trotzdem hätte ich mir das gerne gespart)

  • Sprecht doch bitte mit eurem Sophos-Partner. Der soll bei seinem Ansprechpartner das Feature "melden".

    Das soll rel. ernst genommen werden.

    Auch gibt es im Firewall-GUI oben einen Link "Feedback". Der ist ebenfalls für Feature-Anfragen geeignet.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Das werden wir machen - auch wenn es sicherlich nichts bringt wie die "Features" davor, aber ich konnte mir nicht vorstellen, das eine solch elementare Funktion nicht von der SG übernommen wurde und ich dafür ein "Feature" melden muss :-(. Ich hab immer noch die Hoffnung das hier jemand einen Workaround hat wie z.B. NAT Rule -> DNAT -> INTERNE VIRTUELLE SCHNITTSTELLE mit 169er IP -> und erst darauf lauscht dann die WAF :-) Ich werde das mal im LAB testen ob das so irgendwie geht, aber irgendwie war halt auch die Hoffnung, dass ich FQDN einfach nur anders "einstellen" muss oder es irgendwie über die CLI lösen kann :-(

    Ein Feature-Request war unter anderem zumindest vor dem Kauf der WAF-Lizenz zu erklären, dass maximal 60 WAF-Rules möglich sind. Mittlerweile steht das wenigstens in EINEM Support Dokument, darauf hingewiesen wird man vor dem Kauf trotzdem nicht. Warum hab ich auf den großen XG's / XGS's ein solch UNÜBERWINDBARES Limit (das soll jetzt aber nicht Bestandteil dieses Threads sein sondern weist irgendwie darauf hin, das WAF augenscheinlich sehr stiefmütterlich behandelt wird im Hause SOPHOS).

  • Ich verkaufe die WAF auch nur noch selten. Dabei unterteile ich immer zwischen dem Szenario: Kenne ich den User oder nicht. Und in der Regel kennt man den Benutzer, daher greife ich auf ZTNA zurück, dort kannst du mit Client oder Clientless das deutlich performanter lösen und nebenbei noch zukunftsorientiert diese Szenarien aufbauen. 

    www.sophos.com/.../zero-trust-network-access

    __________________________________________________________________________________________________________________

  • Ja, das wäre der Traum von Sophos :-) ZTNA für alles - leider bei den aufgerufenen Konditionen eher nicht in der Masse erschwinglich. Außerdem denke ich nicht, dass ich "unseren" Kunden einfach so einen ZTNA Client installieren kann. Eine Lösung vielleicht; eine praktikable aber leider eher nicht...

Reply
  • Ja, das wäre der Traum von Sophos :-) ZTNA für alles - leider bei den aufgerufenen Konditionen eher nicht in der Masse erschwinglich. Außerdem denke ich nicht, dass ich "unseren" Kunden einfach so einen ZTNA Client installieren kann. Eine Lösung vielleicht; eine praktikable aber leider eher nicht...

Children
  • Wir setzen WAF auch häufig und primär für "FirmenFremde" ein. Da passt ZTNA einfach nicht.
    Uns fehlen auf der XGS auch noch ein paar Features, welche die Migrationen auf XGS bei KRITIS-Kunden ausbremsen. (2FA für WAF, Länderliste in WAF ... der CountryBlocking-Workaround ist Haarsträubend und das logging unzureichend)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Welche Features fehlen euch bei ZTNA Clientless vs WAF? 

    __________________________________________________________________________________________________________________

  • Sorry, ungenau gewünscht, die erwähnten fehlenden Features beziehen sich auf die XGS. Hab das korrigiert.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Also, ich habe mit der ZTNA as a Service eine bessere Implementation von Clientless Apps gefunden. Als Sophos Partner kann ich nur eine NFR empfehlen und das mal ausprobiereren. 
    Wer das einmal genutzt hat, möchte keine WAF mehr zurück. 

    __________________________________________________________________________________________________________________

  • Ok, ZTNA Agentless schau ich mir an, aber überwacht das ZTNA Gateway denn public Traffic wie die WAF (sprich SQL Injection, HTTP Injection) es tun SOLLTE? Evtl. sogar besser und sicherer?

  • Im Grunde nein. Weil das auch nicht die Aufgabe von einer ZTNA Lösung ist. ZTNA soll die Verbindung herstellen und absichern. Nicht was in der Verbindung passiert - Weil die Verbindung gilt als "gesichert" nachdem der User sich auch autorisiert hat. SQL Injection werden "selten" von Benutzern ausgeführt, die zum Unternehmen gehören. SQL Injection und andere Themen werden primär gefordert, wenn die Benutzer nicht bekannt sind: Webserver die im Internet stehen und wo unbekannte Benutzer darauf Surfen. Das ist weniger die Anforderung von ZTNA. 

    __________________________________________________________________________________________________________________

  • Sieht du jetzt mein Problem :-) ZTNA hilft mir nicht, weil eben die Pakete nicht überwacht werden und WAF könnte es, kann aber kein FQDN :-(

  • Und ich werde gerade etwas nervös, wenn ich das hier lese:

    30. Juni 2026 - Sophos SG-Serie End-of-Life und End-of-Support Hardware Appliances

    Das heißt ihr habt jetzt 3 Jahre WAF zu fixen - ich sehe schwarz...

  • Welches Problem? Du hast einen Webshop hinter der WAF? Weil ich kann mir vorstellen, im Jahre 2023 kann es nicht mehr wirtschaftlich sein, einen on premise Webshop anzubieten, der eine WAF und ähnliches benötigt. Alle Ressourcen, die dafür notwendig sind (Material, Server, Strom, Lizenzkosten etc.) können in meinen Augen nicht mehr so günstig sein, dass onpremise gegenüber eine Cloud basierten Lösung anzubieten.

    Daher die Frage, ob diese Art von "Ressource für alle (unbekannten) User" on premise weiterhin anbieten zu können, weiterhin hinter einer WAF on Premise passiert. 

    Für die Applikationen, die einen bekannten Benutzer haben, das bedeutet, ich kenne die Person, eignet sich ZTNA sowieso besser. Dort kann ich nämlich Client und Server schützen und nutze nur den Transportlayer ZTNA mit Authentifizierung drüber gestülpt. 

    __________________________________________________________________________________________________________________

  • Hallo LuCar Toni,

    Such doch nicht ständig nach Ausreden für fehlende / fehlerhafte Funktionalität. Nimm uns doch mal ernst.

    Wenn ständig die Fragen nach diesen Themen kommen, ist doch offensichtlich Bedarf da.

    Ich selbst habe etliche Kunden (meist KRITIS), welche Dyn-DNS für die Zugangsbeschränkung zu lokalen Webserver-Ressourcen nutzen.

    Auch die in der Firewall fehlende 2FA für WAF ist derzeit häufig mit der SG im Einsatz.

    ... und ja, diese Art von "Ressource für alle (unbekannten) User" on premise ... wird von jeder Stadtverwaltung eingesetzt die ich kenne, um die E-GOV-Ressourcen anzubieten. Hast du in der letzten Zeit schon mal nen Führerschein, Ausweis,KFZ-Kennzeichen o.Ä. beantragt? 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.