Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Die Sophos UTM 9.6 Webserver Protection (WAF) kann nun WebSocket Verbindungen an die Real Server durchleiten. Damit funktionieren nun Webanwendungen, die WebSocket für die Funktion voraussetzen, in der Verbindung mit der UTM WAF. Eine dieser Anwendungen ist beispielsweise das Windows Admin Center, aber auch der UniFi SDN Controller nutzt WebSockets für gewisse Features.

Zwar ließ sich Websocket durch bearbeiten der Konfigurationsdateien auf der UTM schon länger aktivieren, aber die Einstellungen wurden überschreiben, wenn Änderungen der Konfiguration via WebGUI durchgeführt wurden. Nun ist das Durchreichen von WebSockets aber in der WebGUI möglich und die Konfiguration bleibt erhalten.

Hier mal eine kleine Konfigurationsanleitung für das Windows Admin Center und der Webserver Protection der Sophos UTM 9.601-5.

Zunächst mit der Server auf dem das Windows Admin Center installiert wurde, als “Echter Webserver (Real Server) angegeben werden:

Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Danach wird ein Firewall Profil benötigt. Für das Windows Admin Center müssen die folgenden Filterregeln ausgeschlossen werden:

981203
960017
981173
981246
981204
981176
960015
960032

Die restlichen Einstellungen für das Firewall Profil können dem Screenshot entnommen werden:

Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Nachdem das Firewall Profil und der Real Server erstellt wurden, kann der der virtuelle Webserver erstellt werden. Das erforderliche Zertifikat kann die UTM direkt von Let’s Encrypt holen. Die Einstellungen für den virtuellen Webserver können dem Screenshot entnommen werden:

Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Auf dem Reiter “Site-Path-Rounting” gibt es nun eine neue Route für das Windows Admin Center. Hier lässt sich nun das Durchreichen von Websockets aktivieren:

Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Die Konfiguration ist damit auch schon abgeschlossen und kann nun getestet werden, bisher konnte ich keine Probleme feststellen:

Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Auch Remote Desktop funktioniert mit Websockets und der UTM problemlos:

Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)

Wie bereits eingangs erwähnt, funktioniert auf diesem Weg auch der UniFi SDN Controller. Die Vorgehensweise ist nahezu identisch, nur die Ausnahmen im Firewall Profil unterscheiden sich:

960015
981203
970003
960032

Mit diesen Einstellungen lädt auch die GUI des UniFi Controllers ohne Fehlermeldungen:

UniFi SDN Controller

Auf diesem Weg lassen sich auch beliebige weitere Anwendungen veröffentlichen welche Websockets verwenden.

8 thoughts on “Windows Admin Center und Sophos UTM 9.6 WAF (WebSocket)”

  1. Hi,
    ich habe das Problem das ich immer diese Meldung angezeigt bekomme
    „Sie sind nicht berechtigt, diese Seite anzuzeigen. Wenn Sie Windows Admin Center vor Kurzem aktualisiert haben, müssen Sie ggf. Ihren Browser neu starten und die Seite dann aktualisieren.“

    Muss ich in der Config irgendwo die Domain Bekannt machen ?

    Reply
  2. Hi,
    gibt es eine Übersicht, welche Werte in „Filterregeln übergehen“ eingetragen werden können?
    Grüße, Martin

    Reply
    • Hi,

      das ist eine gute Frage und ich habe mich das auch schon gefragt. Was bedeuten die Filterregeln und gibt es eine Anlaufstelle um weitere Webdienste über das WAF sinnvoll zu schützen?

      Danke und Gruss,
      Eric

      Reply
    • Wo wir gerade dabei sind… ist dir ein Workaround bekannt, mit dem WebDAV, insbesondere das Umbenennen von Dateien korrekt funktioniert?

      Reply
    • https://community.sophos.com/products/unified-threat-management/f/web-server-security/50386/master-list-of-waf-rules

      bisher habe ich da aber nix konkretes finden können. Wir bauen das bei uns als Lab (ohne Internet und sonstigen „Dreck-Effekten“) auf und lassen dann nur dedizierten Test-Datenverkehr drüber laufen. Im Log schauen wir uns dann die blocked sessions an: Da stehen dann die angewendeten filter rules drin. Diese schalten wir dann Schritt für Schritt frei, bis der Testverkehr ohne Blockierungen durchläuft. Dadurch haben wir aber z.B. beim Exchange ein paar mehr filter rules ausgeschlossen als durch Sophos oder Frank empfohlen.

      Reply

Leave a Comment