Sophos XG Firewall: Fehlersuche mit dem SlowHTTP-Schutz

Übersicht

Dieser Artikel beschreibt, wie Sie einige der häufiger auftretenden Probleme mit dem SlowHTTP-Schutz beheben können.

Diese Anleitung gilt für alle Firewall-Modelle der XG-Serie:
XG 85, XG 105, XG 115, XG 125, XG 135, XG 210, XG 230, XG 310, XG 330, XG 430, XG 450, XG 550, XG 650, XG 750

Anleitung

Das SlowHTTP-Schutzmodul schützt vor langsamen HTTP-Angriffen, indem es eine Zeitüberschreitung für den Request Header festlegt.

slowhttp1

  • Sophos Firewall verfügt über eine globale Option zum Aktivieren der SlowHTTP-Schutzfunktion, die nicht selektiv auf verschiedene Webserver angewendet werden kann.
  • Die Einstellungen sollten optimiert werden und die Sitzungsanforderungen von konfigurierten Webservern berücksichtigen, um Fehlalarme zu vermeiden.
  • Sitzungen, die aufgrund von SlowHTTP Protection abgelehnt werden, verursachen den Fehlercode 408 in der Datei reverseproxy.log

Beispiel Log:

[Fri Aug 12 20:02:22.271555 2016] timestamp=”1471028542” srcip=”192.168.1.7” localip=”192.168.1.254” user=”-“ host=”192.168.1.7” method=”GET” statuscode=”408” reason=”-“ extra=”-“ exceptions=”-“ duration=”13119159” url=”/” server=”www.dvwa.com” eferrer=”https://github.com/shekyan/slowhttptest/” cookie=”-“ set-cookie=”-“ recvbytes=”311” sentbytes=”0” protocol=”HTTP/1.1” ctype=”text/html” uagent=”Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:27.0) Gecko/20100101 Firefox/27.0AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1” querystring=”” ruleid=”-“

Hinweis: Es sind keine GUI-Protokolle für den SlowHTTP-Schutz des Sophos Firewall WAF-Moduls verfügbar.