Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 24565 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with WAF configuration

NewEagle
I've setup a personal lab with 3 virtual machines to test Sophos UTM. I want to test the WAF launching an automatic web vulnerability scanner (Zap Proxy) from Kali Linux to inspect badstore (a vulnerable webapp) and check if Sophos detect the payloads launched by the scanner.

This is my setup:

1- Sophos VM interface list
********************
External: 192.168.0.105 
KaliNet: 192.168.2.100 
Webserver: 192.168.3.100

1- Kali VM
********************
IP: 192.168.2.50

2- Badstore VM 
********************
IP: 192.168.3.50


           192.168.2.100|192.168.3.100
[Kali]  [UTM]  [Badstore]
192.168.2.50                                       192.168.3.50


In the Webserver Protection I've set-up:

1- A real webserver:
www.badstore.com
192.168.3.50

2- A virtual webserver pointing to the real webserver Badstore and using the Advanced Protection profile.

If I start an active scan with ZAP Proxy, the IPS module detects SQL Inyection attacks and nothing else. However, the WAF also includes other categories (like XSS) and is not detecting anything. I can freely use the most basic attacks like 

In the main dashboard I can see how the IPS has X attacks blocked, but the WAF shows always 0 attacks blocked. Does anybody knows what could be happening? If you need screenshots or any info just ask for it, please.

Thank you!


This thread was automatically locked due to age.
Parents
  • 0
    Hi, and welcome to the User BB!

    Configuring Firewall Profiles is not immediately obvious.  First, use the FP with Basic Protection.   Once you've confirmed that you have a correct configuration, activate all of the protections in a new FP and test against that.

    It's unlikely that you will find anyone here that knows either product, let alone both.  As you document here, be precise about the test and show the related line(s) from the Web Application Firewall log file for your test.  Also, click on [Go Advanced] below and attach a picture of your new Firewall Profile open in Edit.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, and welcome to the User BB!

    Configuring Firewall Profiles is not immediately obvious.  First, use the FP with Basic Protection.   Once you've confirmed that you have a correct configuration, activate all of the protections in a new FP and test against that.

    It's unlikely that you will find anyone here that knows either product, let alone both.  As you document here, be precise about the test and show the related line(s) from the Web Application Firewall log file for your test.  Also, click on [Go Advanced] below and attach a picture of your new Firewall Profile open in Edit.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML