In diesem Thema finden Sie Hilfestellungen für die Konfiguration von Standorten mit einer Webanwendungs-Firewall (WAF) vor MOVEit Transfer. Der Hauptzweck einer WAF besteht darin, fehlerhafte HTTP-Anfragen zu blockieren, bevor sie von MOVEit Transfer bearbeitet werden.

WAFs bieten zusätzliche Sicherheit, dass Web-Datenverkehr (z. B. REST-API-Anfragen und Anfragen von der Web-Benutzeroberfläche) wie erwartet ankommt. HTTP-Anfragen, die ordnungsgemäß geformt sind und mit den aktuellen WAF-Konfigurationsrichtlinien übereinstimmen, werden durchgelassen, während fehlerhafter oder unerwarteter Datenverkehr blockiert wird.

Tipp: Wenn Sie MOVEit Transfer zum ersten Mal verwenden oder unsicher sind, welche Ports MOVEit Transfer derzeit verwendet oder abhört, finden Sie diese Informationen im Konfigurationshilfsprogramm von MOVEit Transfer. Sie können die Gültigkeit dieser Einstellungen auch mit Port-Scanner-Tools wie nmap testen.

Konfiguration einer WAF zum Einsatz mit MOVEit Transfer

MOVEit Transfer-Administratoren müssen mit dem Netzwerkteam und dem WAF-Anbieter zusammenarbeiten, um die WAF-Einstellungen an die spezifischen Datenverkehrsströme und -protokolle anzupassen. WAFs von verschiedenen Anbietern erfordern unterschiedliche Einstellungen für MOVEit Transfer. Nachfolgend sind Punkte aufgeführt, die in der Regel auf Protokollbasis eingerichtet werden müssen.

HTTPS

Beachten Sie bei der Konfiguration der Drittanbieter-WAF für HTTPS Folgendes:

  • Die WAF benötigt das vollständige MOVEit Transfer-Zertifikat

    Die WAF benötigt das vollständige (öffentliche und private) MOVEit Transfer-Serverzertifikat, um die Entschlüsselung der HTTPS-/TLS-Anforderungsdaten zu ermöglichen.

  • HTTP-Methoden, die die WAF enthalten muss.

    Für MOVEit Transfer müssen alle der folgenden Methoden erlaubt sein: GET, POST, HEAD, OPTIONS, PUT, PATCH und DELETE HTTP.

  • Einstellungen für HTTP POST.

    Bei einigen WAFs ist die Gesamtgröße von POST-Nachrichten eingeschränkt, oder es sind Zeitüberschreitungen integriert, die sich auf große Datei-Uploads auswirken können. Diese Einstellungen betreffen meist Datei-Uploads, die den MOVEitISAPI-Endpunkt in MOVEit verwenden, (z. B. MOVEit Automation, MOVEit EZ oder benutzerdefinierte Anwendungen, die mit dem .NET API- oder Java API-Modul von MOVEit Transfer geschrieben wurden.)
    • Die POST-Einstellungen müssen so konfiguriert werden, dass die maximale Dateigröße, die über HTTPS hochgeladen werden kann, berücksichtigt wird.
    • Große Datei-Uploads über die Benutzeroberfläche, die MOVEit RESTful-APIs verwenden, sollten ebenfalls getestet werden.

SFTP

WAFs überprüfen den SSH-Verkehr im SFTP-Protokoll nicht. Es werden u. a. folgende Optionen für SFTP-Datenverkehr empfohlen:

  • Option 1: Konfigurieren Sie den Datenverkehr auf Port 22 so, dass er ohne Inspektion durch die WAF geleitet wird.

  • Option 2: Wenn Pass-Through vom WAF-Anbieter untersagt ist, muss eine zusätzliche URL bereitgestellt werden, die speziell für SFTP-Verkehr vorgesehen ist.

    • Beispiel: Wenn die MOVEit Transfer-URL Ihres Unternehmens dateien.beispiel.de lautet, können Sie sftp.beispiel.de als URL für den SFTP-Zugriff wählen.

  • Option 3: Verwenden Sie einen Lastenausgleich vor der WAF, um SFTP-Verkehr an die MOVEit Transfer-Knoten zu senden und nur HTTPS-Verkehr an die WAF zu senden.

  • Option 4: Deaktivieren Sie SFTP, wenn es von Ihrer Organisation nicht verwendet wird, und deaktivieren Sie Port 22.

FTPS

WAFs überprüfen den Datenverkehr auf Port 21 bzw. 990 für das FTPS-Protokoll nicht. Es werden u. a. folgende Optionen für FTPS-Datenverkehr empfohlen:

  • Option 1: Konfigurieren Sie den Datenverkehr über Port 21 bzw. 990 so, dass er durch die WAF geleitet wird.

    • Wenn der passive FTPS-Modus verwendet wird, müssen auch die im Konfigurationsdienstprogramm für MOVEit Transfer definierten oberen Portbereiche durch die WAF zugelassen werden. Die standardmäßigen oberen Portbereiche für MOVEit Transfer sind 3000 bis 3100. Kontrollieren Sie diese Einstellung bei den FTP-Ports unter „Passive Range“ (Passiver Bereich) im Konfigurationsdienstprogramm für MOVEit Transfer.

  • Option 2: Wenn Pass-Through vom WAF-Anbieter untersagt ist, muss eine zusätzliche URL bereitgestellt werden, die speziell für FTPS-Verkehr vorgesehen ist.

    • Beispiel: Wenn die MOVEit Transfer-URL Ihres Unternehmens dateien.beispiel.de laut, können Sie ftp.beispiel.de als URL für den SFTP-Zugriff wählen.

  • Option 3: Verwenden Sie einen Lastenausgleich vor der WAF, um FTPS-Verkehr an die MOVEit Transfer-Knoten zu senden und nur HTTPS-Verkehr an die WAF zu senden.

  • Option 4: Deaktivieren Sie FTPS, wenn es von Ihrer Organisation nicht verwendet wird, und deaktivieren Sie Port 21 und 990.

Häufige Probleme bei der Implementierung von WAF

  • Fehler beim Hochladen großer Dateien mit MOVEit Automation, MOVEit EZ oder benutzerdefinierten Anwendungen, die die MOVEit Transfer- oder Java-API verwenden

    • Dieses Problem ist meist vom Anbieter abhängig. Bei einigen Anbietern gibt es POST-Größenbeschränkungen oder Zeitüberschreitungen, die neu konfiguriert werden müssen; andere Anbieter ändern die MOVEit POST-Anforderungskopfzeilen auf eine Weise, die von MOVEit Transfer nicht unterstützt wird.

    • Dieses Problem betrifft höchstwahrscheinlich Datei-Uploads, die die MOVEitISAPI für den Datei-Upload verwenden. Meist können Sie in den WAF- oder IIS-Protokollen für die fehlgeschlagene Anforderung erkennen, ob der Upload MOVEitISAPI verwendet.

    • Mögliche Lösungen:

      • Ändern Sie die maximalen POST-Größen und -Zeitüberschreitungen anhand der maximal erwarteten Dateigröße und der längsten erwarteten Upload-Zeit.

      • Einige WAF-Implementierungen ändern die HTTP-Kopfzeile transfer-encoding: chunked, die von der MOVEit Transfer MOVEitISAPI-Schnittstelle benötigt wird. In der Regel muss dies beim WAF-Anbieter erfragt werden; der WAF-Anbieter muss möglicherweise eine Umgehungslösung oder eine alternative Konfiguration der WAF bereitstellen.

  • Leistung

    • Eine WAF im Datenverkehr wird immer eine gewisse Latenz hinzufügen und kann potenziell einen messbaren Einfluss auf die Gesamtleistung von MOVEit Transfer haben. Dies liegt daran, dass die WAF die Daten, die durch sie hindurchfließen, entschlüsseln, inspizieren, erneut verschlüsseln und weiterleiten muss. Arbeiten Sie mit dem WAF-Anbieter zusammen, um das Verhalten der WAF anzupassen, wenn die Leistung beeinträchtigt wird.