Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6088 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regeln greifen nicht wenn Web Protection aktivert ist.

Roodemol
Hallo,
wir haben hier eine Sophos UTM320 am Laufen. Folgende Netze sind angeschlossen:
eth0: ISP A
eth1: ISP B
eth2: Gastnetz
eth3: Internes Netz für die Mitarbeiter
eth4: Netz mit unserem Fileserver, Printserver, Drucker, ...
eth5: Entwickelung
eth6: unbenutzt
eth7: unbenutzt

Bis jetzt hatten wir die "Web Protection" immer abgeschaltet und alles mit Regeln der Firewall gelöst. Da die meisten Mitarbeiter zwischen Weihnachten und Neujahr die Brücke machen, wollten wir von der Gelegenheit profitieren und die Web Protection im transparent mode einschalten um so auch den integrierten Antivirus zu nutzen. Das ganze noch ohne "Web Filtering" und "Application Control". Eigentlich ganz einfach und es hat auch tadellos funktioniert. Mir ist jetzt aber aufgefallen dass dadurch einige regeln der Firewall nicht mehr greifen. Einige Geräte haben ein Webinterface (z.B. Drucker) und im Entwicklungsnetz laufen einige interne Webserver. Befindet man sich jetzt zum Beispiel im Gastnetz und kennt die IP Adresse von diesen Geräten, kann man darauf zurückgreifen. Dies ist meiner Meinung nach ein "kleines" Sicherheitsrisiko. Besteht die Möglichkeit den http Verkehr in der "Web Protection" zwischen den internen Netzen zu sperren? Für den Nutzer soll es so aussehen als ob das Gerät/Webserver nicht existiert.

MFG,
Gilles


This thread was automatically locked due to age.
Parents
  • 0
    Du kannst für jeden Client welcher nicht von einem anderen Netz erreichbar sein soll unter 'Web Protection' - 'Web Filtering' - 'Advanced' - 'Skip transparent mode destination hosts/nets' Ausnahmen definieren.

    Wird mit zunehmender Anzahl an Geräten zwar lästig - sollte aber dazu führen, dass diese Anfragen an die eingetragenen Ziele wieder an der Firewall kleben bleiben.
  • 0 in reply to GMF
    Hallo,

    Du kannst für jeden Client welcher nicht von einem anderen Netz erreichbar sein soll unter 'Web Protection' - 'Web Filtering' - 'Advanced' - 'Skip transparent mode destination hosts/nets' Ausnahmen definieren.

    Wird mit zunehmender Anzahl an Geräten zwar lästig - sollte aber dazu führen, dass diese Anfragen an die eingetragenen Ziele wieder an der Firewall kleben bleiben.


    Nachdem ich den „Skip transparent mode destination hosts/networks“ Vorschlag vom GMF implementiert hatte, hatte alles so wie gewünscht funktioniert und da andere Dinge dazwischen kamen konnte ich nicht auf den Thread antworten.

    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    @BAlfson: Sorry but this is not correct.

    Unter "Web Security >> Web Filtering >> URL Filtering >> Additional URLs / Sites to block" kannst Du alle URLs angeben, auf die nicht zugegriffen werden darf. Da kann man auch reguläre Ausdrücke verwenden, so lassen sich auch ganze Netze als Ziele aussperren. Wichtig: Es handelt sich um URLs! Es gibt möglicherweise mehrere URLs für ein und dasselbe Ziel, z.B. verschiedene Hostnamen oder IPs, die müssen dann ebenfalls angegeben werden! Bei Proxy-Profilen gibt's diese Möglichkeit übrigens auch..


    Jetzt soll ein weiteres Netz dazu kommen, und da wir ein Gastnetz haben, in welchem wir die Proxyeinstellungen nicht kontrollieren können, will ich jetzt den Vorschlag mit den regulären Ausdrücken von trollvottel implementieren. Mir scheint es auch saubere Lösung zu sein. Jedes Netz soll über den Proxy auf Internet zugreifen können, gegenseitiger http/s Traffic soll aber nur möglich sein wenn es eine Firewallregel gibt. Wie sehen die Ausdrücke aus wenn man diese Netze gegeneinander sperren soll:
    • 192.168.100.0/24
    • 192.168.110.0/24
    • 192.168.120.0/24
    • 192.168.130.0/24
    • 192.168.140.0/24 (neues Netz)

    MFG,
    Gilles
Reply
  • 0 in reply to GMF
    Hallo,

    Du kannst für jeden Client welcher nicht von einem anderen Netz erreichbar sein soll unter 'Web Protection' - 'Web Filtering' - 'Advanced' - 'Skip transparent mode destination hosts/nets' Ausnahmen definieren.

    Wird mit zunehmender Anzahl an Geräten zwar lästig - sollte aber dazu führen, dass diese Anfragen an die eingetragenen Ziele wieder an der Firewall kleben bleiben.


    Nachdem ich den „Skip transparent mode destination hosts/networks“ Vorschlag vom GMF implementiert hatte, hatte alles so wie gewünscht funktioniert und da andere Dinge dazwischen kamen konnte ich nicht auf den Thread antworten.

    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    @BAlfson: Sorry but this is not correct.

    Unter "Web Security >> Web Filtering >> URL Filtering >> Additional URLs / Sites to block" kannst Du alle URLs angeben, auf die nicht zugegriffen werden darf. Da kann man auch reguläre Ausdrücke verwenden, so lassen sich auch ganze Netze als Ziele aussperren. Wichtig: Es handelt sich um URLs! Es gibt möglicherweise mehrere URLs für ein und dasselbe Ziel, z.B. verschiedene Hostnamen oder IPs, die müssen dann ebenfalls angegeben werden! Bei Proxy-Profilen gibt's diese Möglichkeit übrigens auch..


    Jetzt soll ein weiteres Netz dazu kommen, und da wir ein Gastnetz haben, in welchem wir die Proxyeinstellungen nicht kontrollieren können, will ich jetzt den Vorschlag mit den regulären Ausdrücken von trollvottel implementieren. Mir scheint es auch saubere Lösung zu sein. Jedes Netz soll über den Proxy auf Internet zugreifen können, gegenseitiger http/s Traffic soll aber nur möglich sein wenn es eine Firewallregel gibt. Wie sehen die Ausdrücke aus wenn man diese Netze gegeneinander sperren soll:
    • 192.168.100.0/24
    • 192.168.110.0/24
    • 192.168.120.0/24
    • 192.168.130.0/24
    • 192.168.140.0/24 (neues Netz)

    MFG,
    Gilles
Children
No Data
Cookie Information Banner