Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

I ntrusion P revention S ystem - Astaro Sophos UTM 9 - blockiert Suchanfragen

Frage Sicherheit Erkennung und -Abwehr

Mitglied: calebAdm

calebAdm (Level 1) - Jetzt verbinden

27.01.2015, aktualisiert 28.01.2015, 1279 Aufrufe, 9 Kommentare, 4 Danke

Hallo.

Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Die Google-Suchmaschine hingegen läuft ohne Probleme auch bei der Bildsuche.

Durch Bearbeiten der Ausnahmen:
307b2afa8bdaa1168b810f185c65ecd1 - Klicke auf das Bild, um es zu vergrößern

Die erstellte Ausnahme:
4db92d678f40206bf6d2e1e5df9ce42f - Klicke auf das Bild, um es zu vergrößern

-------->>>> Problem gelöst!

Man müsste dafür wissen, was genau macht die Suchmaschine in den Moment...
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?
Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)
Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...

Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...
Gerne möchte ich Ergänzungen von euch hören ^^
Mitglied: Alchimedes
27.01.2015 um 23:23 Uhr
Hallo,

bei dieser Pruefung auslassen fuer bing.com musst Du alles anhaken !

Gruss
Bitte warten ..
Mitglied: calebAdm
28.01.2015 um 08:43 Uhr
Sehr löblich dass zu sagen, wenn es doch schon funktioniert!

Mal eben Zur Lösung beigetragen um die Stats zu verbessern, ähnlich wie die Abstauber bei Counterstrike :D

Ich weiß nicht ob ich mich nicht klar genug ausgedrückt habe oder ob du alles gelesen hast.

An sich ist das Problem gelöst - trotzdem will ich die genaue Ursache ermitteln - ob das jetzt für dich einen Sinn ergibt sei dahingestellt...
Bitte warten ..
Mitglied: Alchimedes
28.01.2015 um 17:04 Uhr
Hallo ,

sorry , dann hab ich den Kontext falsch verstanden ich dachte es geht nicht, war wohl etwas spaet.
Die Datenpakete zu analysieren ist mitnichten eine gute Uebung.
Der Kabelhai oder oder tshark oder tcpdump sind da dann Deine Freunde.

Viel Spass
Bitte warten ..
Mitglied: DerSchorsch
28.01.2015 um 17:26 Uhr
Hallo,

habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.

Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.


Gruß
Bitte warten ..
Mitglied: calebAdm
28.01.2015, aktualisiert um 18:15 Uhr
@Alchimedes
Macht ja nix :p

Danke dir, ich denke auch, dass mir die Übung zu Gute kommt.

@DerSchorsch

Interessant zu wissen.
Wir haben bei uns das Release 9.007-5 - vielleicht hängt es damit zusammen
Ich habe gerade bei Up2Date nachgesehen, ich bekomme die Rückmeldung dass alles aktuell ist
Bitte warten ..
Mitglied: DerSchorsch
28.01.2015 um 18:40 Uhr
Hallo,

9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...

Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2

Gruß
Bitte warten ..
Mitglied: rdennis
23.02.2015 um 12:07 Uhr
Besser wäre gewesen mindestens den Sophos Support zu nutzen (ist in jeder Appliance und jedem Vertrag obligatorisch) und zusätzlich einen Kurs zu besuchen. Die Vorgehensweise ist wenig zielführend. Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!
Bitte warten ..
Mitglied: Alchimedes
23.02.2015 um 17:38 Uhr
Hallo ,

@rdennis
Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!

Da hast Du Grundsaetzlich recht.

Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.

Gruss
Bitte warten ..
Mitglied: rdennis
23.02.2015 um 18:20 Uhr
Das ist ja unverschämt!!!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

DSL, VDSL
gelöst Sophos UTM virtuell vs. FritzBox 7490 Hardware (26)

Frage von photographix zum Thema DSL, VDSL ...

Firewall
gelöst Sophos UTM DMZ und VLAN (2)

Frage von DaPedda zum Thema Firewall ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...