Webserver-Verzeichnisse für externen Zugriff sperren mit Webserver Protection WAF

Share

Verzeichnisse und/oder Dateien über die Site Path Routing der Sophos UTM Astaro WAF schützen oder umleiten

Klassischer Weise werden Verzeichnisse und Dateien auf Webservern
mit .htaccess geschüzt,  dazu muss man auf dem

Webserver eine Datei erstellen und sich auch mit der Syntax befassen. Alternativ kann man das auch mit der Sophos UTM Astaro Webserver Protection WAF lösen, allerdings lassen sich Seiten nur komplett sperren, d.h. den Zugriff von Extern bzw aus dem Internet ganz unmöglich zu machen. Der Zugriff von intern auf diese Seiten bleibt also weiterhin ohne Einschränkungen möglich. Site Path Routing ermöglicht es, Zugriffe auf einzelne Verzeichnisse und Dateien umzuleiten auf einen anderen internen Webserver.

 

Unter
Webserver Protection -> Web Application Firewall |Real Webservers| "New Real Webserver"
wird ein Server angegeben, auf die der Zugriff umgeleitet wird. Dazu legt man einen Webserver an, den es nicht gibt und deaktiviert diesen. Damit lässt man den  Zugriff ins Leere laufen.

 

WAF real webserver dead end Sophos UTM Astaro

 

Die URL des Adminbereich von WordPress erfolgte in den älteren Version über /wp-admin/, in der neusten Version über /wp-login.php, der Zugriff über die Android und iPhone Aps gehen über /xmlrpc.php. Wenn man den Zugriff auf diese beiden mit einer New Site Path Route umleitet und zwar auf den S-Dead-End, den es ja gar nicht gibt, ist kein Zugriff mehr von Extern möglich.

 

Unter |Site Path Routing| + "New Site Path Route" anlegen und den Webserver angeben, für den der Site Path gelten soll:

 

Die Site Path Rule wird jetzt bei dem Webserver mit angezeigt:
Sophos UTM WAF Site Path Rule WebServer
  

Jetzt kommt folgende Meldung beim Aufrufen des Adminbereichs:

Service Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

 

Sophos UTM WAF Site Path Server Error 403

 

Das muss man jetzt für die Seite /xmlrpc.php machen und falls konfiguriert auch für die IPv6 Adresse des Webservers bzw der UTM.

 

Das kann man so natürlich für beliebige Dateien und Verzeichnissen machen, nicht nur für WordPress.

So kann man auch den Zugriff auf www.MeineWebsite.de/forum/  umleiten auf einen eigenen internen Webserver, auf dem das Forum läuft

Für eine WordPress Seite in beliebiger Version ist das Sperren für jeden externen Login also mit einer SitePath Rule für die Verzeichnisse
/wp-login.php
/xmlrpc.php
/wp-admin
/wp-cron.php

möglich.

 

Münster AD 2013

 

 

 

Share