Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 4 subscribers
  • Views 1829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM WAF AV Scan Problem mit großen Dateien

MA_

Hallo zusammen,

unsere Umgebung:

Sophos UTM (vollgepatcht) - WAF - IIS Webserver

Die WAF Konfig:

Problem:

Ich kann EXTERN die Dateien nicht herunterladen, nach ~30-40sekunden kommt eine 403 Forbidden Meldung. (EXTERN -> WAF -> IIS)
Ich kann INTERN die Dateien ohne Problem herunterladen. (INTERN -> IIS)

Somit habe ich das Problem auf die WAF minimiert. Nach etwas Analyse bin ich zu folgendem Ergebnis gekommen:

Sobald ich den AV Scanning (s.o.) deaktiviere, funktioniert der Download instant über Extern. Downloads +~1.6GB über Extern funktionieren nicht, Downloads über Extern von ~1.4GB funktionieren mit etwas Wartezeit.

Daher vermute ich, dass aufgrund der großen Datei (=+~1.6GB) und aktiviertem AV Scanning Feature es zu einem Timeout oder ähnliches kommt, und der Download nicht startet bzw. auf 403 forbidden endet.

Was ich auch schon getestet habe:

von DUal auf Single Scan gewechselt, gleicher Fehler

Single Scan -> dann Scan Engine auf Avira umgestellt -> gleicher Fehler

Die WAF LOGS:

2023:04:18-14:27:40 unsereUTM-1 httpd[10695]: [avscan:error] [pid 10695:tid 3984517952] [client 10.x.x.147:52030] [10695] virus UNSCANNABLE found in request /enqsig/File/KmWRC1xrEO9AuHIlHqcCmJK8qyn033HDWn92JSXq4Iu4CybYN2dcrNxrvyLBBq3-l6dyOfM0XwmyAL40Me0VqiAACQSpKyKzUPAHtklJ5B0ftd4-RwNCjBLJCL8l0
2023:04:18-14:27:40 unsereUTM-1 httpd: id="0299" srcip="10.x.x.147" localip="80.x.x.x" size="199" user="-" host="10.x.x.147" method="GET" statuscode="403" reason="av" extra="UNSCANNABLE" exceptions="SkipURLHardening" time="107963749" url="/enqsig/File/KmWRC1xrEO9AuHIlHqcCmJK8qyn033HDWn92JSXq4Iu4CybYN2dcrNxrvyLBBq3-l6dyOfM0XwmyAL40Me0VqiAACQSpKyKzUPAHtklJ5B0ftd4-RwNCjBLJCL8l0" server="subdomain.domain.com" port="443" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="ZD6MUAL5U9dCjNSAx7v_qQAAABE"
2023:04:18-14:27:44 unsereUTM-1 httpd[10695]: [avscan:error] [pid 10695:tid 4118801216] [client 10.x.x.147:52034] [10695] virus UNSCANNABLE found in request /enqsig/File/KmWRC1xrEO9AuHIlHqcCmJK8qyn033HDWn92JSXq4Iu4CybYN2dcrNxrvyLBBq3-l6dyOfM0XwmyAL40Me0VqiAACQSpKyKzUPAHtklJ5B0ftd4-RwNCjBLJCL8l0
2023:04:18-14:27:44 unsereUTM-1 httpd: id="0299" srcip="10.x.x.147" localip="80.x.x.x" size="199" user="-" host="10.x.x.147" method="GET" statuscode="403" reason="av" extra="UNSCANNABLE" exceptions="SkipURLHardening" time="84597251" url="/enqsig/File/KmWRC1xrEO9AuHIlHqcCmJK8qyn033HDWn92JSXq4Iu4CybYN2dcrNxrvyLBBq3-l6dyOfM0XwmyAL40Me0VqiAACQSpKyKzUPAHtklJ5B0ftd4-RwNCjBLJCL8l0" server="subdomain.domain.com" port="443" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="ZD6MawL5U9dCjNSAx7v_qwAAAAE"

Edit: habe in den LOGS nun eine 408er Statuscode erhalten + darauf folgt 403.

Ich möchte die Funktion nicht deaktivieren. Habt ihr Vorschläge, Tipps hierzu?



Removed TAGs
[edited by: emmosophos at 4:30 PM (GMT -8) on 3 Jan 2024]
Unfiltered HTML