Hallo Community,
ich mache mir gerade Gedanken ob es möglich ist eine WAF vor die WAN Freigabe für den OPSI Configserver zu schalten.
Konkret wäre es in diesem Fall ein Sophos XGS Firewall mit Webserver Protection.
Die gut dokumentierten Security Ratschläge aus der Dokumentation sind schon umgesetzt.
Es geht mir nicht um eine Schritt für Schritt Anleitung, vielmehr um ein Signal ob das Vorhaben aufgrund des Aufbaus von OPSI überhaupt umzusetzen ist.
Vielen Dank für Euer Feedback
[gelöst] OPSI Server Service Web Application Firewall
[gelöst] OPSI Server Service Web Application Firewall
Zuletzt geändert von muecke_63 am 11 Nov 2024, 21:18, insgesamt 2-mal geändert.
Der der kommt wenn schon viele Admins am Werk waren 
Re: OPSI Server Service Web Application Firewall
Hi,
meinst du mit WAN-Freigabe die WebDAV Freigabe?
Ich kenne die Sophos jetzt nicht genau, die Frage die sich mir stellt ist, wie du das mit dem Zertifikatshandling hinbekommst?
Bei Proxy Servern ( ist kein WAF, aber trotzdem ) hast du ja, wenn es kein transparent proxy wie HAProxy ist, das Problem, dass du dem Proxy regelmäßig das aktuelle Zert des OPSI-Servers geben musst, ansonsten klappt https ja nun nicht.
Wir haben bei einigen Firewalls die Erfahrung machen dürfen, dass die bei einer DPI nicht gut mit der uU auftretenden Datenmenge klar gekommen sind und dann halt Pakete flöten gegangen sind...
meinst du mit WAN-Freigabe die WebDAV Freigabe?
Ich kenne die Sophos jetzt nicht genau, die Frage die sich mir stellt ist, wie du das mit dem Zertifikatshandling hinbekommst?
Bei Proxy Servern ( ist kein WAF, aber trotzdem ) hast du ja, wenn es kein transparent proxy wie HAProxy ist, das Problem, dass du dem Proxy regelmäßig das aktuelle Zert des OPSI-Servers geben musst, ansonsten klappt https ja nun nicht.
Wir haben bei einigen Firewalls die Erfahrung machen dürfen, dass die bei einer DPI nicht gut mit der uU auftretenden Datenmenge klar gekommen sind und dann halt Pakete flöten gegangen sind...
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: OPSI Server Service Web Application Firewall
Hallo Thomas,
das Thema mit dem Zertifikat habe ich damit gelöst dass ich das OPSI Server Cert neu erstellt habe und den Private Key exportiert und importiert habe.
Es ging dann tatsächlich der Traffic durch die TLS Inspektion der Firewall.
Allerdings war das Problem dann das die TCP Verbindungen dann regelmäßig verloren gegangen sind.
Daher habe ich das Thema erstmal auf Eis gelegt.
Grüße
Markus
das Thema mit dem Zertifikat habe ich damit gelöst dass ich das OPSI Server Cert neu erstellt habe und den Private Key exportiert und importiert habe.
Es ging dann tatsächlich der Traffic durch die TLS Inspektion der Firewall.
Allerdings war das Problem dann das die TCP Verbindungen dann regelmäßig verloren gegangen sind.
Daher habe ich das Thema erstmal auf Eis gelegt.
Grüße
Markus
Der der kommt wenn schon viele Admins am Werk waren