Neu Abgleich - Worker -> Shop funktioniert nicht mehr - LOG inside

[Fries]

Hallo zusammen, unser Abgleich vom Worker und Shop funktioniert nicht mehr, Er wird ständig abgebrochen:



Hier die Logfiles vom Shop-Backend:


Kann damit nicht wirklich was anfangen... Worker wurde schon mehrfach neu gestartet.
Wir haben kürzlich über die Domainfactory eine Website Firewall eingerichtet, kann es daran liegen?
Ansonten wurde nichts geändert...

Danke schonmal für das Feedback

 

[AlexR17]

Hi,
klar - die Firewall kann da schon was blockieren. Wenn die Firewall bspw. eine Web Application Firewall beinhaltet, filtert diese nach einem regulären Ausdruck die URL und weist diese dann (je nachdem wie diese eingestellt ist) einen HTTP-Fehler 403 zurück. Wir haben das auf unseren Webservern auch aktiv, und da wurden die ein oder anderen Requests vom Worker zurückgewiesen. Als wir dann die Regeln angepasst haben hat wieder alles ohne Probleme funktioniert.

Hast du Zugriff auf die Firewall Logs? Ich hab leider noch keine Erfahrungen mit Domainfactory gemacht..

Grüße!

 

[Fries]

Ich habe unsere IP einfach in den Allow IP Addresses hinzugefügt. Nun funktioniert es zwar, jedoch habe ich Sicherheitsbedenken, da unsere IP nun komplett offen ist ?

Kann man das vielleicht noch mehr spezifisch, durch Ports? gestalten?

 

[AlexR17]

Wenn ihr eine statische IP habt und diese jetzt komplett freigegeben ist, könnten auch nur "böse" Angrifft von eurer IP völlig ungeschützt auf den Shop losgehen. Prinzipiell ist das in Ordnung - wenn ihr aber eine dynamische IP habt ist das nicht unbedingt das Beste.

Wie gesagt ich kenn mich leider nicht mit der Firewall von Domainfactory aus, so wie sich das aber anhört hat die eine Application Firewall integriert. Dann bleibt dir eh keine andere Lösung wenn man da nichts umstellen bzw. einstellen kann. Normalerweise nutzt JTL (zwangsläufig) den Port 443 zum Shop.

Wahrscheinlich ist das so (vereinfacht):

Anfrage
|
|
Website-Firewall mit WAF (Web Application Firewall)
|
|
Website (JTL-Shop)


Die WAF hängt dazwischen und überprüft die Parameter in der URL, damit solche Sachen wie bspw. ?execute=/bin/bash oder ?file=/etc/shadow usw. blockiert werden und gar nicht erst an die Website weitergeleitet werden. Ich hoffe das hilft

 

[Fries]

Wenn ihr eine statische IP habt und diese jetzt komplett freigegeben ist, könnten auch nur "böse" Angrifft von eurer IP völlig ungeschützt auf den Shop losgehen. Prinzipiell ist das in Ordnung - wenn ihr aber eine dynamische IP habt ist das nicht unbedingt das Beste.

Wie gesagt ich kenn mich leider nicht mit der Firewall von Domainfactory aus, so wie sich das aber anhört hat die eine Application Firewall integriert. Dann bleibt dir eh keine andere Lösung wenn man da nichts umstellen bzw. einstellen kann. Normalerweise nutzt JTL (zwangsläufig) den Port 443 zum Shop.

Wahrscheinlich ist das so (vereinfacht):

Anfrage
|
|
Website-Firewall mit WAF (Web Application Firewall)
|
|
Website (JTL-Shop)


Die WAF hängt dazwischen und überprüft die Parameter in der URL, damit solche Sachen wie bspw. ?execute=/bin/bash oder ?file=/etc/shadow usw. blockiert werden und gar nicht erst an die Website weitergeleitet werden. Ich hoffe das hilft

Hallo, Danke erstmal für deine Hilfe!

Aktuell haben wir noch eine statische IP - Bald bekommen wir aber eine Hardware Firewall und da wird dann natürlich permanent gewechselt... Wie das dann laufen soll, muss ich noch in Erfahrung bringen.




Hier habe ich mal einen kleinen Einblick in die Domainfactory Firewall... Kann ich vielleicht die IP Adresse vielleicht mit :443 ergänzen, zwecks Port? Somit hätte man es ja schon eingeschränkt zum aktuellen Zeitpunkt?

Sorry für das laienhafte Verständnis.

 

[AlexR17]

Hmm... wenn da "Allow User-Agents" also ein komplettes Whitelisting dafür wäre, wäre das eigentlich cool weil die JTL macht die Requests an den JTL- Shop mit dem User-Agent " JTL-Wawi"...das würde es zumindest ein wenig sicherer machen, wobei sich jede Person als "JTL-Wawi"-User-Agent ausgeben könnte. Bleibt wohl vorerst bei dem "Allow IP Addresses"

Warum sollte die IP mit einer Hardware Firewall gewechselt werden? Das ist abhängig vom ISP (Internet Service Provider) also bspw. Vodafone oder Telekom o. ä. ob ihr dort eine feste IP gebucht habt oder nicht.

In meinen Augen bringt da :443 nichts, weil da die gesamten IP nicht blockiert wird. Falls ihr eine wechselnde IP habt, könnte man noch unter "Allow URL Paths" die URL rein schreiben, an welche die Daten von der Wawi geschickt werden. Ich meine das ist an die index.php -> bringt also wieder nichts die freizuschalten weil dann auch wieder alles frei ist... Die Angriffe erfolgen übrigens auch über :443 bzw. die URL oder allgemein die Website, sofern ihr den JTL-Shop nicht auf einem eigenen Server mit irgendwelchen offenen und "unsicheren" Ports oder unsicherer Konfiguration betreibt.

Die ganze Funktionalität der Firewall von Domainfactory ist in meinen Augen auch nicht wirklich transparent...

Grüße!