I ntrusion P revention S ystem - Astaro Sophos UTM 9 - blockiert Suchanfragen
Hallo.
Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Die Google-Suchmaschine hingegen läuft ohne Probleme auch bei der Bildsuche.
Durch Bearbeiten der Ausnahmen:
Die erstellte Ausnahme:
-------->>>> Problem gelöst!
Die erstellte Ausnahme:
-------->>>> Problem gelöst!
Man müsste dafür wissen, was genau macht die Suchmaschine in den Moment...
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?
Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)
Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...
Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...
Gerne möchte ich Ergänzungen von euch hören ^^
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?
Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)
Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...
Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...
Gerne möchte ich Ergänzungen von euch hören ^^
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 261263
Url: https://administrator.de/contentid/261263
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.
Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.
Gruß
habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.
Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.
Gruß
Hallo,
9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...
Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2
Gruß
9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...
Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2
Gruß
Hallo ,
@rdennis
Da hast Du Grundsaetzlich recht.
Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.
Gruss
@rdennis
Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!
Da hast Du Grundsaetzlich recht.
Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.
Gruss