Die Sophos UTM 9.6 Webserver Protection (WAF) kann nun WebSocket Verbindungen an die Real Server durchleiten. Damit funktionieren nun Webanwendungen, die WebSocket für die Funktion voraussetzen, in der Verbindung mit der UTM WAF. Eine dieser Anwendungen ist beispielsweise das Windows Admin Center, aber auch der UniFi SDN Controller nutzt WebSockets für gewisse Features.
Zwar ließ sich Websocket durch bearbeiten der Konfigurationsdateien auf der UTM schon länger aktivieren, aber die Einstellungen wurden überschreiben, wenn Änderungen der Konfiguration via WebGUI durchgeführt wurden. Nun ist das Durchreichen von WebSockets aber in der WebGUI möglich und die Konfiguration bleibt erhalten.
Hier mal eine kleine Konfigurationsanleitung für das Windows Admin Center und der Webserver Protection der Sophos UTM 9.601-5.
Zunächst mit der Server auf dem das Windows Admin Center installiert wurde, als “Echter Webserver (Real Server) angegeben werden:
Danach wird ein Firewall Profil benötigt. Für das Windows Admin Center müssen die folgenden Filterregeln ausgeschlossen werden:
981203 960017 981173 981246 981204 981176 960015 960032
Die restlichen Einstellungen für das Firewall Profil können dem Screenshot entnommen werden:
Nachdem das Firewall Profil und der Real Server erstellt wurden, kann der der virtuelle Webserver erstellt werden. Das erforderliche Zertifikat kann die UTM direkt von Let’s Encrypt holen. Die Einstellungen für den virtuellen Webserver können dem Screenshot entnommen werden:
Auf dem Reiter “Site-Path-Rounting” gibt es nun eine neue Route für das Windows Admin Center. Hier lässt sich nun das Durchreichen von Websockets aktivieren:
Die Konfiguration ist damit auch schon abgeschlossen und kann nun getestet werden, bisher konnte ich keine Probleme feststellen:
Auch Remote Desktop funktioniert mit Websockets und der UTM problemlos:
Wie bereits eingangs erwähnt, funktioniert auf diesem Weg auch der UniFi SDN Controller. Die Vorgehensweise ist nahezu identisch, nur die Ausnahmen im Firewall Profil unterscheiden sich:
960015 981203 970003 960032
Mit diesen Einstellungen lädt auch die GUI des UniFi Controllers ohne Fehlermeldungen:
Auf diesem Weg lassen sich auch beliebige weitere Anwendungen veröffentlichen welche Websockets verwenden.
Hi,
ich habe das Problem das ich immer diese Meldung angezeigt bekomme
„Sie sind nicht berechtigt, diese Seite anzuzeigen. Wenn Sie Windows Admin Center vor Kurzem aktualisiert haben, müssen Sie ggf. Ihren Browser neu starten und die Seite dann aktualisieren.“
Muss ich in der Config irgendwo die Domain Bekannt machen ?
Hast Du auch eine Lösung für Unifi Video?
Hallo, das würde mich auch interessieren.
Kann denn nun auch die WebProtection (PROXY) mit Web Sockets umgehen?
Hi,
gibt es eine Übersicht, welche Werte in „Filterregeln übergehen“ eingetragen werden können?
Grüße, Martin
Hi,
das ist eine gute Frage und ich habe mich das auch schon gefragt. Was bedeuten die Filterregeln und gibt es eine Anlaufstelle um weitere Webdienste über das WAF sinnvoll zu schützen?
Danke und Gruss,
Eric
Wo wir gerade dabei sind… ist dir ein Workaround bekannt, mit dem WebDAV, insbesondere das Umbenennen von Dateien korrekt funktioniert?
https://community.sophos.com/products/unified-threat-management/f/web-server-security/50386/master-list-of-waf-rules
bisher habe ich da aber nix konkretes finden können. Wir bauen das bei uns als Lab (ohne Internet und sonstigen „Dreck-Effekten“) auf und lassen dann nur dedizierten Test-Datenverkehr drüber laufen. Im Log schauen wir uns dann die blocked sessions an: Da stehen dann die angewendeten filter rules drin. Diese schalten wir dann Schritt für Schritt frei, bis der Testverkehr ohne Blockierungen durchläuft. Dadurch haben wir aber z.B. beim Exchange ein paar mehr filter rules ausgeschlossen als durch Sophos oder Frank empfohlen.