9
I ntrusion P revention S ystem - Astaro Sophos UTM 9 - blockiert Suchanfragen
Hallo.
Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Die Google-Suchmaschine hingegen läuft ohne Probleme auch bei der Bildsuche.
Durch Bearbeiten der Ausnahmen:
Die erstellte Ausnahme:
-------->>>> Problem gelöst!
Die erstellte Ausnahme:
-------->>>> Problem gelöst!
Man müsste dafür wissen, was genau macht die Suchmaschine in den Moment...
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?
Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)
Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...
Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...
Gerne möchte ich Ergänzungen von euch hören ^^
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?
Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)
Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...
Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...
Gerne möchte ich Ergänzungen von euch hören ^^
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 261263
Url: https://administrator.de/contentid/261263
Printed on: April 25, 2024 at 07:04 o'clock
9 Comments
Latest comment
Hallo,
bei dieser Pruefung auslassen fuer bing.com musst Du alles anhaken !
Gruss
bei dieser Pruefung auslassen fuer bing.com musst Du alles anhaken !
Gruss
1
Sehr löblich dass zu sagen, wenn es doch schon funktioniert!
Mal eben Zur Lösung beigetragen um die Stats zu verbessern, ähnlich wie die Abstauber bei Counterstrike :D
Ich weiß nicht ob ich mich nicht klar genug ausgedrückt habe oder ob du alles gelesen hast.
An sich ist das Problem gelöst - trotzdem will ich die genaue Ursache ermitteln - ob das jetzt für dich einen Sinn ergibt sei dahingestellt...
Mal eben Zur Lösung beigetragen um die Stats zu verbessern, ähnlich wie die Abstauber bei Counterstrike :D
Ich weiß nicht ob ich mich nicht klar genug ausgedrückt habe oder ob du alles gelesen hast.
An sich ist das Problem gelöst - trotzdem will ich die genaue Ursache ermitteln - ob das jetzt für dich einen Sinn ergibt sei dahingestellt...
Hallo ,
sorry , dann hab ich den Kontext falsch verstanden ich dachte es geht nicht, war wohl etwas spaet.
Die Datenpakete zu analysieren ist mitnichten eine gute Uebung.
Der Kabelhai oder oder tshark oder tcpdump sind da dann Deine Freunde.
Viel Spass
sorry , dann hab ich den Kontext falsch verstanden ich dachte es geht nicht, war wohl etwas spaet.
Die Datenpakete zu analysieren ist mitnichten eine gute Uebung.
Der Kabelhai oder oder tshark oder tcpdump sind da dann Deine Freunde.
Viel Spass
1
Hallo,
habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.
Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.
Gruß
habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.
Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.
Gruß
1
@Alchimedes
Macht ja nix :p
Danke dir, ich denke auch, dass mir die Übung zu Gute kommt.
@DerSchorsch
Interessant zu wissen.
Wir haben bei uns das Release 9.007-5 - vielleicht hängt es damit zusammen
Ich habe gerade bei Up2Date nachgesehen, ich bekomme die Rückmeldung dass alles aktuell ist
Macht ja nix :p
Danke dir, ich denke auch, dass mir die Übung zu Gute kommt.
@DerSchorsch
Interessant zu wissen.
Wir haben bei uns das Release 9.007-5 - vielleicht hängt es damit zusammen
Ich habe gerade bei Up2Date nachgesehen, ich bekomme die Rückmeldung dass alles aktuell ist
Hallo,
9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...
Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2
Gruß
9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...
Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2
Gruß
1
Besser wäre gewesen mindestens den Sophos Support zu nutzen (ist in jeder Appliance und jedem Vertrag obligatorisch) und zusätzlich einen Kurs zu besuchen. Die Vorgehensweise ist wenig zielführend. Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!
Hallo ,
@rdennis
Da hast Du Grundsaetzlich recht.
Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.
Gruss
@rdennis
Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!
Da hast Du Grundsaetzlich recht.
Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.
Gruss
Das ist ja unverschämt!!!!
