Webserver Protection für virtuelle Webserver (VMWare ESXi)

Share

Sophos UTM  Webserver Protection für virtuelle Webserver mit VMWare ESXi

Die Webserver Protection der Sophos UTM Astaro stellt eine sichere und
sehr performante Lösung für den Betrieb eines eigenen

Webservers da, auch diese Seite wird durch die Sophos UTM Web Application Firewall (WAF) geschützt. Voraussetzung ist nicht mal eine feste IP, wenn man für seine Domain einen CNAME im DNS hinterlegen kann.

Der oder die Webserver soll(en) in einer eigenen DMZ laufen, getrennt von allen anderen Host im Netzwerk. Dazu legt man in der Sophos UTM Astaro ein eigenes VLAN-Interface an, als Interface kann ein schon VLAN getagtes eth genommen werden. Alle Interfaces, die nur von Servern und oder VMWare ESXi (vswitch) genutzt werden, tagge ich immer.

Als Netzwerk für die Webserver nehme ich den IP Kreis 172.16.42.0 /C,
das VLAN-Tag 1042 und das
IPv6-Netzwerk mit der Subnet ID 1042.

Das ganze entsteht aus diesem Schema:

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

Das IPv6 Subnet ist in diesem Beispiel ein /48, die Subnet ID kann also frei gewählt werden,
hier wird das VLAN Tag als Subnet ID genutzt.
2001:4dd0:fff5:1042::/48

Das Interface sieht dann so aus:

DMZ Server Interface Sophos UTM 9

Unter
Network Protection -> Intrusion Prevention |Gobal| kann ich das Netzwerk als "local Networks" hinzufügen.

 

Des weiteren werden DNS, NTP und ein Internetzugang benötigt:
Networks Services -> DNS |Global| "Allowed Networks" das 'Interface network' D-S-WAN-1 hinzufügen.
Network Services -> NTP "Allowed Networks" das 'Interface network' D-S-WAN-1 hinzufügen.
Web Protection -> Web Filtering |Global| "allowed Networks" das 'Interface network' D-S-WAN-1 hinzufügen.

Im VMWare ESXi muss das VLAN Tag natürlich auch bekannt sein und dann dem virtuellem Webserver zugewiesen werden. Das zu den vSphere Client öffnen und den ESXi Server öffnen.

Auf dem Reiter Konfiguration ist unter "Hardware" der Menüpunkt "Netzwerk".  Der Standard-Switch vSwitch 0 wird um ein weiteres Netzwerk ergänzt, das geht unter "Eigenschaften".

Dann dort auf "Hinzufügen" und den Verbindungstyp 'Virtuelle Maschine' wählen.  -> Weiter

Netzwerkbezeichnung: Die gleich wie in der Sophos UTM Astaro nehmen D-S-WAN-1 (DMZ-Server-WAN-1)  auch das gleiche VLAN Tag (WLAN-ID) 1042 eintragen, dann mit beenden schließen.

VSphere Client Assistent zum Hinzufuegen von Netzwerken

 

 

Als Webserver soll in diesem Beispiel ein Ticketsystem laufen,  Turnkey Linux OTRS Ticket Request System. Kann auch jedes anderes Betriebssystem sein.
Für meinen ESXi 5,1 habe ich die OVF zur Installation gewählt.

Die Datei entpacken und im vSphere Client die OVF Datei bereitstellen. Als Namen habe ich S-OTRS gewählt.

vSphere Client OVF Vorlage

 

Das Netzwerk kann jetzt schon auf D-S-WAN-1 im VSwitch geändert werden.

vSphere Client OVF Vorlage bereitstellen Netzwerk

 

Nach dem Einschalten der VM läuft das Setup automatisch durch, als IP habe ich die 172.16.42.12 eingegeben, die Netzwerkmaske ist 255.255.255.0
Das setzten eines VLAN Tags in der virtuellen Maschine ist nicht notwendig, der ESXi gibt das Netz ungetagged weiter.

 

In der Sophos UTM Astaro nun einen neuen Host anlegen, der die IP des VM-Servers und auch den Namen enthält, unter der dieser intern erreichbar sein soll.

Unter
Definition & Users -> Network Definitions |Network Definitions| "New network definition"
Da bei mir die interne und externe Domaine gleich lauten, nehme ich hier nicht die Domaine meineDomain.local. Dann den Server auch im DNS des DCs eintragen.

Network Host OTRS Sopos UTM

Der Host wird jetzt unter
Web Protection -> Web Filtering |Advanced| "Skip transparent mode destination hosts/nets" eingesetzt. Alternativ das 'Interface network' D-S-WAN-1 hinzufügen.

 

 

Sophos UTM Astaro Web Server Protection - Veröffentlichen des Hostes im Internet.

Unter
Webserver Protection -> Web Application Firewall |Real Webservers| "New Real Webserver"

WAF Real Webserver anlegen OTRS Sophos UTM

wird der Server angelegt.
Wenn das ganze über HTTPS laufen soll, braucht man dafür ein SSL-Zertifikat. Das kann man in der Sophos UTM anlegen lassen (das ist dann nicht offiziell valid) oder bei einer Certification Authority kaufen und dann einbinden.

Wie man ein eigenes Wildcard Zertifikat erstellen
Sophos UTM Astaro als CA – Wildcard Zertifikate erstellen

 

Unter
Webserver Protection -> Web Application Firewall |Firewall Profiles| "New Firewall Profile" anlegen.

WAF Firewall Profile OTRS Sophos UTM

 

Danach wird unter
Webserver Protection -> Web Application Firewall |Virtual Webserver| "New Virtual Webserver" anlegen.

OTRS virtueller Webserver Sophos UTM

Dieser virtuelle Webserver wird auf dem WAN Interface veröffentlich und reagiert auf die eintreffende Anfrage auf die Domain 'Support.neise.de' . Im DNS Server der externen Webdomain muss diese Subdomain mit der festen IP des WAN Interfaces eingetragen werden.

Mit einem Wildcard SSL Zertifikat sieht das dann so aus

Wirdlcard OTRS SSL Sophos UTM

Wenn der virtuelle Webserver angeschaltet wird und die Namensauflösung für die Subdomain eingetragen ist für die feste IP des Internetanschlusses, kann der Webserver von extern erreicht werden. Es ist auch möglich, dass Interface Tunnelbrokers anzugeben und den Server über IPv6 erreichbar zu machen. Dazu den virtuellen Webservern clonen und das Interface "WAN" gegen den Tunnelbroker tauschen.

Um -als Beispiel- den OTRS Server von Turnkey aus dem internen Netz von einem Host aus verwalten zu können, ist noch eine Firewallregel in der Sophos UTM Astaro notwendig:

Dazu unter
Definition & Users -> Service Definitions "New Service Definition"  Turnkey-Admin (Port 12320 bis 12322) anlegen

Firewall-Rule-Turnkey-Admin-Sophos-UTM

 

Wenn alle Clienten per DHCP im internen Netzwerk die IP-Adresse beziehen, dann den Admin PC als DNS-Host anlegen.

Damit das Interne Netzwerk den OTRS Webserver erreichen kann geben ich jetzt in einer weiteren Rule HTTP und oder HTTPS vom Internal Network zu dem Host OTRS frei

oder ich legen einen weiteren virtuellen Webserver in der WAF an für das Internal LAN:

Virtual Webserver OTRS Internal Sophos UTM

 

Damit der Web Traffic vom dem WPAD-Server nicht über den  Web Proxy gefiltert wird,  unter
Web Protection -> Web Filtering  |Advanced| “Transparent mode skiplist” ‘Skip transparent mode destination hosts/nets’ den OTRS-Server als Host einfügen.

Wichtig ist der DNS Eintrag für den OTRS-Webserver im internen DNS-Server (meistens der DC des Windows Netzwerkes) mit der internen IP des Servers.

 

Münster AD 2013

Share