calebadm
Goto Top

I ntrusion P revention S ystem - Astaro Sophos UTM 9 - blockiert Suchanfragen

Hallo.

Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Die Google-Suchmaschine hingegen läuft ohne Probleme auch bei der Bildsuche.

Durch Bearbeiten der Ausnahmen:
307b2afa8bdaa1168b810f185c65ecd1

Die erstellte Ausnahme:
4db92d678f40206bf6d2e1e5df9ce42f

-------->>>> Problem gelöst!

Man müsste dafür wissen, was genau macht die Suchmaschine in den Moment...
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?

Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)

Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...

Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...

Gerne möchte ich Ergänzungen von euch hören ^^

Content-ID: 261263

Url: https://administrator.de/contentid/261263

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

Alchimedes
Alchimedes 27.01.2015 um 23:23:46 Uhr
Goto Top
Hallo,

bei dieser Pruefung auslassen fuer bing.com musst Du alles anhaken !

Gruss
calebAdm
calebAdm 28.01.2015 um 08:43:36 Uhr
Goto Top
Sehr löblich dass zu sagen, wenn es doch schon funktioniert!

Mal eben Zur Lösung beigetragen um die Stats zu verbessern, ähnlich wie die Abstauber bei Counterstrike :D

Ich weiß nicht ob ich mich nicht klar genug ausgedrückt habe oder ob du alles gelesen hast.

An sich ist das Problem gelöst - trotzdem will ich die genaue Ursache ermitteln - ob das jetzt für dich einen Sinn ergibt sei dahingestellt...
Alchimedes
Alchimedes 28.01.2015 um 17:04:45 Uhr
Goto Top
Hallo ,

sorry , dann hab ich den Kontext falsch verstanden ich dachte es geht nicht, war wohl etwas spaet.
Die Datenpakete zu analysieren ist mitnichten eine gute Uebung.
Der Kabelhai oder oder tshark oder tcpdump sind da dann Deine Freunde.

Viel Spass
DerSchorsch
DerSchorsch 28.01.2015 um 17:26:37 Uhr
Goto Top
Hallo,

habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.

Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.


Gruß
calebAdm
calebAdm 28.01.2015 aktualisiert um 18:15:37 Uhr
Goto Top
@Alchimedes
Macht ja nix :p

Danke dir, ich denke auch, dass mir die Übung zu Gute kommt.

@DerSchorsch

Interessant zu wissen.
Wir haben bei uns das Release 9.007-5 - vielleicht hängt es damit zusammen
Ich habe gerade bei Up2Date nachgesehen, ich bekomme die Rückmeldung dass alles aktuell ist
DerSchorsch
DerSchorsch 28.01.2015 um 18:40:37 Uhr
Goto Top
Hallo,

9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...

Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2

Gruß
rdennis
rdennis 23.02.2015 um 12:07:12 Uhr
Goto Top
Besser wäre gewesen mindestens den Sophos Support zu nutzen (ist in jeder Appliance und jedem Vertrag obligatorisch) und zusätzlich einen Kurs zu besuchen. Die Vorgehensweise ist wenig zielführend. Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!
Alchimedes
Alchimedes 23.02.2015 um 17:38:38 Uhr
Goto Top
Hallo ,

@rdennis
Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!

Da hast Du Grundsaetzlich recht.

Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.

Gruss
rdennis
rdennis 23.02.2015 um 18:20:51 Uhr
Goto Top
Das ist ja unverschämt!!!!