Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 24565 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with WAF configuration

NewEagle
I've setup a personal lab with 3 virtual machines to test Sophos UTM. I want to test the WAF launching an automatic web vulnerability scanner (Zap Proxy) from Kali Linux to inspect badstore (a vulnerable webapp) and check if Sophos detect the payloads launched by the scanner.

This is my setup:

1- Sophos VM interface list
********************
External: 192.168.0.105 
KaliNet: 192.168.2.100 
Webserver: 192.168.3.100

1- Kali VM
********************
IP: 192.168.2.50

2- Badstore VM 
********************
IP: 192.168.3.50


           192.168.2.100|192.168.3.100
[Kali]  [UTM]  [Badstore]
192.168.2.50                                       192.168.3.50


In the Webserver Protection I've set-up:

1- A real webserver:
www.badstore.com
192.168.3.50

2- A virtual webserver pointing to the real webserver Badstore and using the Advanced Protection profile.

If I start an active scan with ZAP Proxy, the IPS module detects SQL Inyection attacks and nothing else. However, the WAF also includes other categories (like XSS) and is not detecting anything. I can freely use the most basic attacks like 

In the main dashboard I can see how the IPS has X attacks blocked, but the WAF shows always 0 attacks blocked. Does anybody knows what could be happening? If you need screenshots or any info just ask for it, please.

Thank you!


This thread was automatically locked due to age.
Parents
  • 0
    NewEagle,

    Please [Edit] post #4, delete your external links, click on [Go Advanced] and attach your images to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you.

    I think I understand what you are saying, but I'm not sure how to do it. I'm not sure how to point www.wavsep.com to the virtual host, now how to use DNAT. Im going to read a little bit to check if I find out how to solve this problem... I'll post my feedback as soon as possible.

    NewEagle,

    Please [Edit] post #4, delete your external links, click on [Go Advanced] and attach your images to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Cheers - Bob


    Hi! I can only use 4   tags, that's why I changed everything to the direct link to the .jpg. I've left the first 2 links with a broken tag so I can edit the post.

    Thank you!
Reply
  • 0 in reply to BAlfson
    Thank you.

    I think I understand what you are saying, but I'm not sure how to do it. I'm not sure how to point www.wavsep.com to the virtual host, now how to use DNAT. Im going to read a little bit to check if I find out how to solve this problem... I'll post my feedback as soon as possible.

    NewEagle,

    Please [Edit] post #4, delete your external links, click on [Go Advanced] and attach your images to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Cheers - Bob


    Hi! I can only use 4   tags, that's why I changed everything to the direct link to the .jpg. I've left the first 2 links with a broken tag so I can edit the post.

    Thank you!
Children
No Data
Unfiltered HTML