This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF Terminalserver 2k8 RDWEB

Hallo Zusammen,

wir haben hier die WAF im Einsatz. 
Des weiteren stellen wir externen Usern ein Terminalserver Web (Windows Server 2008 R2) zur Verfügung. Mit Einsatz von WAF kann sich der User am Webinterface anmelden, danach können keine Anwendungen gestartet werden. Die RDP Connection sollte hier aufgebaut werden, aber sie läuft in einen Timeout. 
Hat hier jemand einen Tip für mich?

Das Problem, seit die Verbindung über NAT abgeschaltet wurde und über WAF hergestellt werden soll.

Pasqual


This thread was automatically locked due to age.
Parents
  • hallo zusammen,

    die Feature request stammen noch aus der 9.1 beta. Da steht lediglich "in Prüfung". Das heißt noch lange nichts. Ich mach aktuell das 9.2 Beta Programm mit. Dort steht lediglich in der overview:
    [Web Server] The WAF engine has been updated with a new version that offers many improvements.


    Die Sophos UTM ist sicherlich im Moment die beste UTM die den TMG teilweise ersetzen kann. Alles kann Sie jedoch nicht. Viele kleine Features vom TMG fehlen noch. Dafür hat sie aber auch viele zus. Features die der TMG nicht hat.

    Die Vorauthentifizierung kommt jetzt erst in der Version 9.2. Diese bietet aber lange noch nicht alle Möglichkeiten die ein TMG bietet. Für die meisten Implementationen sollten diese aber ausreichend sein.

    Outlook Anywhere (RPC over http) wird lediglich ungefiltert durchgelassen. Einen RPC Filter wie beim TMG gibt es nicht. In der 9.2 kommen aber einige zus. Absicherungsmöglichkeiten. Die kann ich aber erst testen wenn die Vorauthentifizierung funktioniert. Aktuell funktioniert das noch nicht mit Domain Accounts. Aber ist ja auch noch Beta Status [[;)]] RDG und SSTP funktionieren auch noch nicht da hier keine passenden Filter vorhanden sind. OA ist die einzige Ausnahme. Die UTM hat wie die meisten anderen linuxbasierten Firewalls ein Problem mit in HTTP/S getunnelten Protokollen. Bei SSTP wird PPTP getunnelt.

    Beim ISA/TMG konnte man HTTP Filter manuell anpassen um eine zus. Absicherung zu gewährleisten oder getunnelte Protokolle zuzulassen oder auch nicht. Das geht so in der UTM auch nicht und ist auch nicht vorgesehen. In der UTM kann ich lediglich bestimmte Signaturen ausschließen.

    Ein D-Nat funktioniert immer. Man sollte aber bedenken das hier keine IPS Rules ziehen. Für das IPS muss der Datenverkehr über einen Proxy laufen. Forward- oder Reverseproxy. Was anderes sind die verbindungsorientierten Schutzmaßnahmen. Das nennt man beim ISA/TMG IDS und hat nichts mit IPS zu tun.

    Es gibt noch viele Dinge die in der UTM noch fehlen. Das soll aber nicht bedeuten das diese kein Ersatz sein kann. Für mich ist die ehemalige Astaro im Bezug auf TMG Replacement der absolute Favorit. Es wird sicher noch einige Zeit dauern bis alle Funktionalitäten vom TMG abgebildet werden können. Wenn überhaupt möglich ...

    Dafür kommen richtig gute neue Features wie Z.B. die Onboard OTP Authentifizierung. Ich kann euch nur empfehlen, macht das Beta Programm mit und bringt euch auch mit ein [[;)]]

    vg
    mod
Reply
  • hallo zusammen,

    die Feature request stammen noch aus der 9.1 beta. Da steht lediglich "in Prüfung". Das heißt noch lange nichts. Ich mach aktuell das 9.2 Beta Programm mit. Dort steht lediglich in der overview:
    [Web Server] The WAF engine has been updated with a new version that offers many improvements.


    Die Sophos UTM ist sicherlich im Moment die beste UTM die den TMG teilweise ersetzen kann. Alles kann Sie jedoch nicht. Viele kleine Features vom TMG fehlen noch. Dafür hat sie aber auch viele zus. Features die der TMG nicht hat.

    Die Vorauthentifizierung kommt jetzt erst in der Version 9.2. Diese bietet aber lange noch nicht alle Möglichkeiten die ein TMG bietet. Für die meisten Implementationen sollten diese aber ausreichend sein.

    Outlook Anywhere (RPC over http) wird lediglich ungefiltert durchgelassen. Einen RPC Filter wie beim TMG gibt es nicht. In der 9.2 kommen aber einige zus. Absicherungsmöglichkeiten. Die kann ich aber erst testen wenn die Vorauthentifizierung funktioniert. Aktuell funktioniert das noch nicht mit Domain Accounts. Aber ist ja auch noch Beta Status [[;)]] RDG und SSTP funktionieren auch noch nicht da hier keine passenden Filter vorhanden sind. OA ist die einzige Ausnahme. Die UTM hat wie die meisten anderen linuxbasierten Firewalls ein Problem mit in HTTP/S getunnelten Protokollen. Bei SSTP wird PPTP getunnelt.

    Beim ISA/TMG konnte man HTTP Filter manuell anpassen um eine zus. Absicherung zu gewährleisten oder getunnelte Protokolle zuzulassen oder auch nicht. Das geht so in der UTM auch nicht und ist auch nicht vorgesehen. In der UTM kann ich lediglich bestimmte Signaturen ausschließen.

    Ein D-Nat funktioniert immer. Man sollte aber bedenken das hier keine IPS Rules ziehen. Für das IPS muss der Datenverkehr über einen Proxy laufen. Forward- oder Reverseproxy. Was anderes sind die verbindungsorientierten Schutzmaßnahmen. Das nennt man beim ISA/TMG IDS und hat nichts mit IPS zu tun.

    Es gibt noch viele Dinge die in der UTM noch fehlen. Das soll aber nicht bedeuten das diese kein Ersatz sein kann. Für mich ist die ehemalige Astaro im Bezug auf TMG Replacement der absolute Favorit. Es wird sicher noch einige Zeit dauern bis alle Funktionalitäten vom TMG abgebildet werden können. Wenn überhaupt möglich ...

    Dafür kommen richtig gute neue Features wie Z.B. die Onboard OTP Authentifizierung. Ich kann euch nur empfehlen, macht das Beta Programm mit und bringt euch auch mit ein [[;)]]

    vg
    mod
Children
No Data