Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regeln greifen nicht wenn Web Protection aktivert ist.

Roodemol
Hallo,
wir haben hier eine Sophos UTM320 am Laufen. Folgende Netze sind angeschlossen:
eth0: ISP A
eth1: ISP B
eth2: Gastnetz
eth3: Internes Netz für die Mitarbeiter
eth4: Netz mit unserem Fileserver, Printserver, Drucker, ...
eth5: Entwickelung
eth6: unbenutzt
eth7: unbenutzt

Bis jetzt hatten wir die "Web Protection" immer abgeschaltet und alles mit Regeln der Firewall gelöst. Da die meisten Mitarbeiter zwischen Weihnachten und Neujahr die Brücke machen, wollten wir von der Gelegenheit profitieren und die Web Protection im transparent mode einschalten um so auch den integrierten Antivirus zu nutzen. Das ganze noch ohne "Web Filtering" und "Application Control". Eigentlich ganz einfach und es hat auch tadellos funktioniert. Mir ist jetzt aber aufgefallen dass dadurch einige regeln der Firewall nicht mehr greifen. Einige Geräte haben ein Webinterface (z.B. Drucker) und im Entwicklungsnetz laufen einige interne Webserver. Befindet man sich jetzt zum Beispiel im Gastnetz und kennt die IP Adresse von diesen Geräten, kann man darauf zurückgreifen. Dies ist meiner Meinung nach ein "kleines" Sicherheitsrisiko. Besteht die Möglichkeit den http Verkehr in der "Web Protection" zwischen den internen Netzen zu sperren? Für den Nutzer soll es so aussehen als ob das Gerät/Webserver nicht existiert.

MFG,
Gilles


This thread was automatically locked due to age.
  • 0
    Du kannst für jeden Client welcher nicht von einem anderen Netz erreichbar sein soll unter 'Web Protection' - 'Web Filtering' - 'Advanced' - 'Skip transparent mode destination hosts/nets' Ausnahmen definieren.

    Wird mit zunehmender Anzahl an Geräten zwar lästig - sollte aber dazu führen, dass diese Anfragen an die eingetragenen Ziele wieder an der Firewall kleben bleiben.
  • 0 in reply to GMF
    Du kannst für jeden Client welcher nicht von einem anderen Netz erreichbar sein soll unter 'Web Protection' - 'Web Filtering' - 'Advanced' - 'Skip transparent mode destination hosts/nets' Ausnahmen definieren.

    Wird mit zunehmender Anzahl an Geräten zwar lästig - sollte aber dazu führen, dass diese Anfragen an die eingetragenen Ziele wieder an der Firewall kleben bleiben.


    Ich werde das am Montag testen. Kann man anstelle eines einzelnen Clients auch ein ganze Subnet eintragen?
  • 0
    Ja.

    Grrrr. 10 Zeichen minimum.
  • 0
    (Sorry, my German-speaking brain isn't working at the moment. [:(])

    Gilles, It's not possible to achieve what you want without putting the rest of the networks in a Standard (not Transparent) mode.  Fellow member Hallowach helped me update "Configure HTTP Proxy for a Network of Guests - V8.3" earlier this year and translated it into Deutsch.  If you would like a copy, just click on my name and send me an email.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    @BAlfson: Sorry but this is not correct.

    Unter "Web Security >> Web Filtering >> URL Filtering >> Additional URLs / Sites to block" kannst Du alle URLs angeben, auf die nicht zugegriffen werden darf. Da kann man auch reguläre Ausdrücke verwenden, so lassen sich auch ganze Netze als Ziele aussperren. Wichtig: Es handelt sich um URLs! Es gibt möglicherweise mehrere URLs für ein und dasselbe Ziel, z.B. verschiedene Hostnamen oder IPs, die müssen dann ebenfalls angegeben werden! Bei Proxy-Profilen gibt's diese Möglichkeit übrigens auch..
  • 0 in reply to trollvottel
    @Roodemol: Dieser Tipp macht etwas ganz anderes: Die angebenen Hosts werden vom HTTP-Proxy ignoriert (und übrige Firewall-Regeln greifen dann). Damit ist dann aber für diese Hosts jegliche Proxy-Nutzung unmöglich oder der Proxy muss dort händisch angegeben werden. Besser ist da mein Tipp weiter unten, der tut genau das was der Threadersteller erreichen will.

    Das ist nicht korrekt!
    Wenn man die Einträge unter "Skip transparent mode [SIZE="3"]destination[/SIZE] hosts/nets" hinzufügt und der Haken bei "Allow HTTP/S traffic for listed hosts/nets" nicht gesetzt ist, können diese Hosts/Netzwerke nicht mehr über den Proxy erreicht werden (Firewallregeln werden notwendig). Jedoch können diese Hosts/Netzwerke weiterhin über den Proxy hinweg surfen.

    Hast du evtl. die beiden Skiplisten verwechselt?
    Es gibt dort "Skip transparent mode [SIZE="3"]source[/SIZE] hosts/nets" und "Skip transparent mode [SIZE="3"]destination[/SIZE] hosts/nets".
  • 0
    Hallo Roodemol,
    mich würden deine Firewall-Richtlinien interessieren und dessen Reihenfolge.

    Ist irgendwo der Haken "Automatische Firewallregeln" aktiviert?

    Brauche etwas mehr Informationen, damit man schauen kann, ob es wirklich die Web Protection ist, die da diese Regeln aushebelt.

    Nice greetings
  • 0 in reply to GMF
    Das ist nicht korrekt!
    Wenn man die Einträge unter "Skip transparent mode [SIZE="3"]destination[/SIZE] hosts/nets" hinzufügt und der Haken bei "Allow HTTP/S traffic for listed hosts/nets" nicht gesetzt ist, können diese Hosts/Netzwerke nicht mehr über den Proxy erreicht werden (Firewallregeln werden notwendig). Jedoch können diese Hosts/Netzwerke weiterhin über den Proxy hinweg surfen.


    Jein. Dein beschriebenes Szenario funktioniert zwar so, aber Du übersiehst dabei etwas ganz wesentliches: Die Optionen beziehen sich nur auf den "transparent mode", d.h. das "Abgreifen" von Verbindungen. Clients, die den Proxy manuell eingetragen haben (das geht auch wenn der Proxy im transparent mode arbeitet!), erreichen aber *dennoch* diese Ziele! Nicht wirkliche Sicherheit also.
  • 0
    Meine Lösung bezieht sich auf die Frage des Threadstarters. Hier ist nur die Rede vom transparenten Modus.

    Ansonsten würde es wohl auch mit den URL-Ausnahmen funktionieren.
  • 0 in reply to GMF
    Meine Lösung bezieht sich auf die Frage des Threadstarters. Hier ist nur die Rede vom transparenten Modus.

    Ansonsten würde es wohl auch mit den URL-Ausnahmen funktionieren.


    Wie gesagt, mit Deiner "Lösung" ist der Proxy durchlässig, wenn clientseitig manuell angegeben wird. Glaub's, probier's aus, oder lass es [:D]
Cookie Information Banner