Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 660 views
  • Users 0 members are here
Options
Suggested

SECURITY RISK

theRat_01
I just had someone gain access to the webmin interface of my firewall (version 3.383).  It was due to a config error, but I believe there should be a little protection from such F#$kups.

OK. What what caused it.  I just set up astaro with PPPoE and enabled MASQ of the internal network.  I added a rule to allow HTTPS to go from ANY to INTERNAL WEB SERVER (a specific internal address).  All good so far.  I however forgot to add the DNAT/SNAT rule to redirect port 443 to go to this internal address.  So rather than dropping the packets the fw accepted them itself and presented the webmin interface to the outside world (this is BAD). Maybe a few checks need to be added to prevent this occuring.

Regards
Simon.
Parents
  • 0
    I know admins needing to access the FW admin interface from anywhere (e.g. from home). So they rightfully allow "any-https-fw". This would be prevented by the suggested security-wizard. All "intelligent" checks I know (even the meager ones CheckPoint implements) fail earlier or later, when the ruleset reaches a sufficient complexit.

    So yes, being the firewall admin gives you the license to shoot (non-literally meaning) - even to shoot yourself into the foot...
Reply
  • 0
    I know admins needing to access the FW admin interface from anywhere (e.g. from home). So they rightfully allow "any-https-fw". This would be prevented by the suggested security-wizard. All "intelligent" checks I know (even the meager ones CheckPoint implements) fail earlier or later, when the ruleset reaches a sufficient complexit.

    So yes, being the firewall admin gives you the license to shoot (non-literally meaning) - even to shoot yourself into the foot...
Children