Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 24559 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with WAF configuration

NewEagle
I've setup a personal lab with 3 virtual machines to test Sophos UTM. I want to test the WAF launching an automatic web vulnerability scanner (Zap Proxy) from Kali Linux to inspect badstore (a vulnerable webapp) and check if Sophos detect the payloads launched by the scanner.

This is my setup:

1- Sophos VM interface list
********************
External: 192.168.0.105 
KaliNet: 192.168.2.100 
Webserver: 192.168.3.100

1- Kali VM
********************
IP: 192.168.2.50

2- Badstore VM 
********************
IP: 192.168.3.50


           192.168.2.100|192.168.3.100
[Kali]  [UTM]  [Badstore]
192.168.2.50                                       192.168.3.50


In the Webserver Protection I've set-up:

1- A real webserver:
www.badstore.com
192.168.3.50

2- A virtual webserver pointing to the real webserver Badstore and using the Advanced Protection profile.

If I start an active scan with ZAP Proxy, the IPS module detects SQL Inyection attacks and nothing else. However, the WAF also includes other categories (like XSS) and is not detecting anything. I can freely use the most basic attacks like 

In the main dashboard I can see how the IPS has X attacks blocked, but the WAF shows always 0 attacks blocked. Does anybody knows what could be happening? If you need screenshots or any info just ask for it, please.

Thank you!


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    Configuring Firewall Profiles is not immediately obvious.  First, use the FP with Basic Protection.   Once you've confirmed that you have a correct configuration, activate all of the protections in a new FP and test against that.

    It's unlikely that you will find anyone here that knows either product, let alone both.  As you document here, be precise about the test and show the related line(s) from the Web Application Firewall log file for your test.  Also, click on [Go Advanced] below and attach a picture of your new Firewall Profile open in Edit.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Every network security professional knows Kali/Backtrack.  [:P]  As Bob alludes to though, most forum denizens here do not fit into that category.  As such, provide as much detail as possible when posting so the issue can be more generalized and less product specific for apps.  In the end it's more about ports and protocols than specific apps.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Hi!

    Thank you for your suggestions. I've made same screenshots so you can see:

    This is the list of interfaces created in the UTM:

    [/img]s16.postimg.org/.../Interfaces.png s21.postimg.org/.../img]

    As you can see, I've setup www.wavsep.com as the hostname.

    These are the virtual and real webserver tabs:




    This is the log of the WAF while the attack is being launched:




    As you can see, I've done automatic and manual testing. Nothing is showed in the WAF logs. Just these, and I'm pretty sure that's before even starting the attack

    2015:10:19-18:52:18 sophosutm reverseproxy: [Mon Oct 19 18:52:18.013621 2015] [core:notice] [pid 4982:tid 4147611328] AH00094: Command line: '/usr/apache/bin/httpd'
    2015:10:19-18:52:18 sophosutm reverseproxy: [Mon Oct 19 18:52:18.013642 2015] [mpm_worker:warn] [pid 4982:tid 4147611328] AH00291: long lost child came home! (pid 5814)
    2015:10:19-18:52:18 sophosutm reverseproxy: [Mon Oct 19 18:52:18.013651 2015] [mpm_worker:warn] [pid 4982:tid 4147611328] AH00291: long lost child came home! (pid 5825)
    2015:10:19-18:52:56 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="484" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
    2015:10:19-18:52:58 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="356" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
    2015:10:19-19:00:40 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="343" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
    2015:10:19-19:01:46 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="274" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
    2015:10:19-19:02:58 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="340" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
    2015:10:19-19:09:26 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="564" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
    2015:10:19-19:09:29 sophosutm reverseproxy: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="54" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="329" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-" 


    I'm not sure if you need any extra information... thank you for your help and suggestions.

    PS: In case you see something strange about badstore and wavsep, I've just switched "badstore" with "wavsep" as the vulnerable web app to attack.
  • 0 in reply to NewEagle
    Hi,

    you should change the virtual webserver interface to 'Internal (Address)'.

    Sabine
  • 0
    I've tried that and nothing happens [:S]

    More ideas?
  • 0 in reply to NewEagle
    The traffic is not going through the WAF at all. Do you have a DNAT rule configured?
  • 0
    You configured www.wavsep.com to resolve to 192.168.3.50:

    Web_Server.png

    But that's your backend server. You have to configure it to resolve to your virtual webserver.

    As Sabine said, there's no traffic reaching WAF, all your requests are going directly to your backend server.
  • 0
    NewEagle,

    Please [Edit] post #4, delete your external links, click on [Go Advanced] and attach your images to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you.

    I think I understand what you are saying, but I'm not sure how to do it. I'm not sure how to point www.wavsep.com to the virtual host, now how to use DNAT. Im going to read a little bit to check if I find out how to solve this problem... I'll post my feedback as soon as possible.

    NewEagle,

    Please [Edit] post #4, delete your external links, click on [Go Advanced] and attach your images to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Cheers - Bob


    Hi! I can only use 4   tags, that's why I changed everything to the direct link to the .jpg. I've left the first 2 links with a broken tag so I can edit the post.

    Thank you!
  • 0
    Ok, thank youu, thank you soo much. I've done it:

    1. Created a new host, "wavsep backend" at 192.168.3.50
    2. Created a new DNAT rule:

    Matching Condition
    From: Kali host (192.168.2.50)
    Using: HTTP
    Going to: Internal (192.168.2.100)

    Action
    Change destination to: Wavsep Backend (192.168.3.50)
    Using: HTTP

    3. Created a new Real Web Server, pointing to Wavsev Backend
    4. Created a new Virtual Web Server:

    Interface: Internal (192.168.2.100)
    Domains: 192.168.2.100
    Real Web Server: The last one.

    And now... XSS stopped!

    Thank you so much. If you think that it would be useful, I can take screenshots and post them so anyone looking for the same thing can check my solution.
Unfiltered HTML