Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

I ntrusion P revention S ystem - Astaro Sophos UTM 9 - blockiert Suchanfragen

Frage Sicherheit Erkennung und -Abwehr

Mitglied: calebAdm

calebAdm (Level 1) - Jetzt verbinden

27.01.2015, aktualisiert 28.01.2015, 1373 Aufrufe, 9 Kommentare, 4 Danke

Hallo.

Mir ist aufgefallen, dass bei der Bing-Suchmaschine, die Bildsuche nicht funktioniert, wenn das IPS der Astaro aktiviert ist.
Er läd unendlich und gibt mir als Meldung zurück, dass die Seite nicht existiert.
Die "normale" Suche funktioniert einwandfrei.
Die Google-Suchmaschine hingegen läuft ohne Probleme auch bei der Bildsuche.

Durch Bearbeiten der Ausnahmen:
307b2afa8bdaa1168b810f185c65ecd1 - Klicke auf das Bild, um es zu vergrößern

Die erstellte Ausnahme:
4db92d678f40206bf6d2e1e5df9ce42f - Klicke auf das Bild, um es zu vergrößern

-------->>>> Problem gelöst!

Man müsste dafür wissen, was genau macht die Suchmaschine in den Moment...
Soviel weiß ich:
Sobald ich die Bildersuche ausführe (ohne Bing in die Ausnahmeliste zu nehmen), versucht die IP 204.79.197.200 über Port 80 eine Verbindung zu
meinen Proxy aufzubauen, welches direkt von der (Firewall) bzw. vom IPS geblockt wird
Die IP, wie soll es anders sein, stammt von Microsoft - https://whois.domaintools.com/204.79.197.200
und Microsoft sendet ungültige Pakete(ACK / RST) weshalb die IPS anschlägt und die Bildersuche nicht funktioniert...
TCP 204.79.197.200 : 80 → interne Proxy IP : 53286 [ACK RST] len=40 ttl=119 tos=0x00 srcmac=0:1a:8c:10:c3:e8
TCP 95.100.248.155 : 443 → öfftl. Gateway IP : 52260 [ACK PSH] len=67 ttl=57 tos=0x00
Die zweite Zeile kommt direkt im Anschluss und das ist Germany Frankfurt Am Main Akamai Technologies - http://de.wikipedia.org/wiki/Akamai
Wenn das IPS deaktiviert ist, die Firewall aber aktiv ist, funktioniert es - Was sind das für ungültige Pakete?
Ist das IPS so strikt und agressiv das leichte Abweichungen innerhalb eines Datenpaketes als ungültig verworfen werden?
Ja, komm als nächstes muss ich mir noch die Datenpakete reinpfeiffen dann kann ich gleich meinen Schädel mit Strom und RJ45 Anschluss versorgen ;)
Das muss komplett auseinander gepflückt werden, erst dann kann ich sagen, dass ich es wirklich verstehe...

Ich glaube ich muss meinen Schädel nachher mal von der Informatik abschalten, nicht das der temporäre Speicher zu voll wird...
Gerne möchte ich Ergänzungen von euch hören ^^
Mitglied: Alchimedes
27.01.2015 um 23:23 Uhr
Hallo,

bei dieser Pruefung auslassen fuer bing.com musst Du alles anhaken !

Gruss
Bitte warten ..
Mitglied: calebAdm
28.01.2015 um 08:43 Uhr
Sehr löblich dass zu sagen, wenn es doch schon funktioniert!

Mal eben Zur Lösung beigetragen um die Stats zu verbessern, ähnlich wie die Abstauber bei Counterstrike :D

Ich weiß nicht ob ich mich nicht klar genug ausgedrückt habe oder ob du alles gelesen hast.

An sich ist das Problem gelöst - trotzdem will ich die genaue Ursache ermitteln - ob das jetzt für dich einen Sinn ergibt sei dahingestellt...
Bitte warten ..
Mitglied: Alchimedes
28.01.2015 um 17:04 Uhr
Hallo ,

sorry , dann hab ich den Kontext falsch verstanden ich dachte es geht nicht, war wohl etwas spaet.
Die Datenpakete zu analysieren ist mitnichten eine gute Uebung.
Der Kabelhai oder oder tshark oder tcpdump sind da dann Deine Freunde.

Viel Spass
Bitte warten ..
Mitglied: DerSchorsch
28.01.2015 um 17:26 Uhr
Hallo,

habe das gerade mal bei uns getestet, konnte das Problem aber nicht nachstellen.
Wir haben die Version 9.306-6 laufen, IPS und ATP sind aktiv, wir arbeiten über den Proxy, nur HTTPS-Scan ist nicht aktiv, ist aber bei Bing irrelevant.
Auch wenn ich das IPS auf alle Regeln hochgesetzt habe, gab es keine Warnung.

Leider kann ich dir daher nicht helfen, aber es scheint kein generelles Problem zu sein. Vielleicht ein Problem eines der Akamai-Server, Microsoft nutzt ja die als CDN.


Gruß
Bitte warten ..
Mitglied: calebAdm
28.01.2015, aktualisiert um 18:15 Uhr
@Alchimedes
Macht ja nix :p

Danke dir, ich denke auch, dass mir die Übung zu Gute kommt.

@DerSchorsch

Interessant zu wissen.
Wir haben bei uns das Release 9.007-5 - vielleicht hängt es damit zusammen
Ich habe gerade bei Up2Date nachgesehen, ich bekomme die Rückmeldung dass alles aktuell ist
Bitte warten ..
Mitglied: DerSchorsch
28.01.2015 um 18:40 Uhr
Hallo,

9.0 ist definitiv nicht die aktuelle Version. Habt ihr vielleicht eine ältere Hardware und die Hardware-Vorrausetzungen sind nicht erfüllt?
http://www.sophos.com/de-de/support/resource-centers/unified/upgrade-ce ...

Und ja, das kann durchaus damit zusammenhängen, mit ATP (Advanced Thread Protecion) haben die auch das IPS ziemlich umgebaut, war glaube ich mit Version 9.2

Gruß
Bitte warten ..
Mitglied: rdennis
23.02.2015 um 12:07 Uhr
Besser wäre gewesen mindestens den Sophos Support zu nutzen (ist in jeder Appliance und jedem Vertrag obligatorisch) und zusätzlich einen Kurs zu besuchen. Die Vorgehensweise ist wenig zielführend. Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!
Bitte warten ..
Mitglied: Alchimedes
23.02.2015 um 17:38 Uhr
Hallo ,

@rdennis
Learning by Doing ist bei UTM's und Firewalladministration nicht angesagt!

Da hast Du Grundsaetzlich recht.

Der Sophos Support ist aber oft sehr unwissend so das manchmal einem Admin mit einer UTM keine andere Wahl bleibt.
Wir haben da schon aberwitzige Antworten bekommen die wir alle widerlegen konnten.
So betreiben wir 2 Stueck eine als Master die andere als Slave. Lizenz fuer 3 Jahre.
Nach einem Update liefen beide parallel , Linzenz ploetzlich nur noch 1 1/2 Jahre .
In der Konfig stand eine als Master und die andere als Slave...... trotzdem liefen beide.

Gruss
Bitte warten ..
Mitglied: rdennis
23.02.2015 um 18:20 Uhr
Das ist ja unverschämt!!!!
Bitte warten ..
Ähnliche Inhalte
Firewall
Sophos UTM 9 Netze trennen
gelöst Frage von Florian86Firewall19 Kommentare

Hallo, wir haben eine Sophos UTM9 und wollen dort unsere vorhandenen Netze trennen. Netze: 192.168.0.0/24 Netz 1 255.255.255.0 192.168.0.1 ...

Netzwerke
Sophos UTM 9 Probleme mit Ports
Frage von 106561Netzwerke1 Kommentar

Guten Abend. Seit dem verwenden der UTM 9 ist bei mir mit Telekom ENtertain kein Time-Shift mehr verfügbar. Die ...

Firewall
Sophos UTM 9 SG-115
gelöst Frage von OSelbeckFirewall3 Kommentare

Finde irgenwie nüscht bei Dr. Google Also, neuer Kunde, Sophos UTM9, Lizenz abgelaufen Gibt es diese Lizenz nur bei ...

Firewall
Sophos UTM 9 OpenVPN SSO
Frage von Julian94Firewall2 Kommentare

Guten Morgen allerseits, wir haben seit Freitag 2 Sophos SG330 im Einsatz und möchten nun den Außendienst per SSL ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 8 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 15 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless18 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...