Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6090 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regeln greifen nicht wenn Web Protection aktivert ist.

Roodemol
Hallo,
wir haben hier eine Sophos UTM320 am Laufen. Folgende Netze sind angeschlossen:
eth0: ISP A
eth1: ISP B
eth2: Gastnetz
eth3: Internes Netz für die Mitarbeiter
eth4: Netz mit unserem Fileserver, Printserver, Drucker, ...
eth5: Entwickelung
eth6: unbenutzt
eth7: unbenutzt

Bis jetzt hatten wir die "Web Protection" immer abgeschaltet und alles mit Regeln der Firewall gelöst. Da die meisten Mitarbeiter zwischen Weihnachten und Neujahr die Brücke machen, wollten wir von der Gelegenheit profitieren und die Web Protection im transparent mode einschalten um so auch den integrierten Antivirus zu nutzen. Das ganze noch ohne "Web Filtering" und "Application Control". Eigentlich ganz einfach und es hat auch tadellos funktioniert. Mir ist jetzt aber aufgefallen dass dadurch einige regeln der Firewall nicht mehr greifen. Einige Geräte haben ein Webinterface (z.B. Drucker) und im Entwicklungsnetz laufen einige interne Webserver. Befindet man sich jetzt zum Beispiel im Gastnetz und kennt die IP Adresse von diesen Geräten, kann man darauf zurückgreifen. Dies ist meiner Meinung nach ein "kleines" Sicherheitsrisiko. Besteht die Möglichkeit den http Verkehr in der "Web Protection" zwischen den internen Netzen zu sperren? Für den Nutzer soll es so aussehen als ob das Gerät/Webserver nicht existiert.

MFG,
Gilles


This thread was automatically locked due to age.
Parents
  • 0
    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    @BAlfson: Sorry but this is not correct.

    Unter "Web Security >> Web Filtering >> URL Filtering >> Additional URLs / Sites to block" kannst Du alle URLs angeben, auf die nicht zugegriffen werden darf. Da kann man auch reguläre Ausdrücke verwenden, so lassen sich auch ganze Netze als Ziele aussperren. Wichtig: Es handelt sich um URLs! Es gibt möglicherweise mehrere URLs für ein und dasselbe Ziel, z.B. verschiedene Hostnamen oder IPs, die müssen dann ebenfalls angegeben werden! Bei Proxy-Profilen gibt's diese Möglichkeit übrigens auch..
Reply
  • 0
    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    @BAlfson: Sorry but this is not correct.

    Unter "Web Security >> Web Filtering >> URL Filtering >> Additional URLs / Sites to block" kannst Du alle URLs angeben, auf die nicht zugegriffen werden darf. Da kann man auch reguläre Ausdrücke verwenden, so lassen sich auch ganze Netze als Ziele aussperren. Wichtig: Es handelt sich um URLs! Es gibt möglicherweise mehrere URLs für ein und dasselbe Ziel, z.B. verschiedene Hostnamen oder IPs, die müssen dann ebenfalls angegeben werden! Bei Proxy-Profilen gibt's diese Möglichkeit übrigens auch..
Children
  • 0 in reply to trollvottel
    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    Das ist nicht korrekt!
    Wenn man die Einträge unter "Skip transparent mode [SIZE="3"]destination[/SIZE] hosts/nets" hinzufügt und der Haken bei "Allow HTTP/S traffic for listed hosts/nets" nicht gesetzt ist, können diese Hosts/Netzwerke nicht mehr über den Proxy erreicht werden (Firewallregeln werden notwendig). Jedoch können diese Hosts/Netzwerke weiterhin über den Proxy hinweg surfen.

    Hast du evtl. die beiden Skiplisten verwechselt?
    Es gibt dort "Skip transparent mode [SIZE="3"]source[/SIZE] hosts/nets" und "Skip transparent mode [SIZE="3"]destination[/SIZE] hosts/nets".
  • 0 in reply to GMF
    Das ist nicht korrekt!
    Wenn man die Einträge unter "Skip transparent mode [SIZE="3"]destination[/SIZE] hosts/nets" hinzufügt und der Haken bei "Allow HTTP/S traffic for listed hosts/nets" nicht gesetzt ist, können diese Hosts/Netzwerke nicht mehr über den Proxy erreicht werden (Firewallregeln werden notwendig). Jedoch können diese Hosts/Netzwerke weiterhin über den Proxy hinweg surfen.


    Jein. Dein beschriebenes Szenario funktioniert zwar so, aber Du übersiehst dabei etwas ganz wesentliches: Die Optionen beziehen sich nur auf den "transparent mode", d.h. das "Abgreifen" von Verbindungen. Clients, die den Proxy manuell eingetragen haben (das geht auch wenn der Proxy im transparent mode arbeitet!), erreichen aber *dennoch* diese Ziele! Nicht wirkliche Sicherheit also.
Cookie Information Banner