Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 13 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 6944 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebProtection -> BUG? -> VLAN / LAN Zugriff untereinander möglich zu unterbinden?

nd

Hallo zusammen,

 

ich habe hier privat eine Sophos UTM im Einsatz.

Folgende Netzwerke sind definiert / vorhanden:

- external (WAN; eth0)

- internal (eigenes LAN; eth4; 172.16.0.0/16)

- guest (Test / Guest LAN; eth1; 192.168.69.0/24)

- guest-wlan1 (Gäste WLAN; wlan1 (separate zone); 192.168.88.0/24)

- guest-wlan2 (Gäste WLAN mit Captive-Portal, offen / nicht verschluesselt; wlan2 (separate zone); 192.168.89.0/24)

- mgmt (only Management, falls mal was schief geht und ich aus dem internal nicht mehr auf die UTM kommen sollte; eth3)

 

Fuer internal, guest, guest-wlan1, guest-wlan2 ist die WebProtection aktiviert, jedes Netzwerk hat sein eigenes Profil mit eigenen Policies.

 

Jetzt ist es ab diesem Punkt aber moeglich, dass die Netzwerke indirekt miteinander sprechen koennen, d.h. ich kann z.B. aus dem "guest" via Port 80,443,53 auf IP Adressen aus dem "Internal" zugreifen, das ist insofern problematisch, da keiner aus den Gaestenetzen z.B. auf die zwei managebaren Switche zugreifen koennen soll (wozu auch?) oder z.B. auf den "Test-Server", den ich fuer die Arbeit und private Tests am laufen habe.

 

Ich habe nun den Zugriff auf die Switche insofern unterbunden, indem ich die einzelnen IPs als "geblockt" in die Policies hinterlegt habe.

 

Gibt es hier eine "sauberere" und einfachere Methode, um den Zugriff auf das komplette Subnetz / Netzwerk zu unterbinden, anstatt jede IP einzeln in die jeweiligen Policies zu pruegeln?

Manuell erstellte Firewall-Regeln greifen hier nicht, da die WebProtection diese wohl aushebelt.

 

Ich vermute, dass das hier kein "Feature" ist, sondern ein Bug / Fehler!?

 

Vielen Dank vorab und Gruesse!

Andy.



This thread was automatically locked due to age.
  • 0

    Hallo Andy,

    das ist normal und war schon immer so.

    Arbeitest du im Transparenzmodus?
    Wenn ja, dann einfach unter Filteroptionen -> Sonstiges die entsprechenden Subnetze als Zielnetze ausnehmen und den HTTP-Verkehr nicht zulassen.
    In dem Fall greift dann wieder das Firewallregelwerk.

    Grüße
    Sebastian

  • 0 in reply to SebastianMeeseAW

    Hallo Sebastian,

     

    danke fuer deine flotte Antwort.

    Ja, es ist der Transparenzmodus aktiv.

     

    Wie genau wirkt sich das dann aus?

    Wird hier weiterhin der Traffic von der "Web Protection" geprueft, wenn ich das "internal" als Zielnetz ausschliesse?

     

    Lg Andy.

  • 0 in reply to SebastianMeeseAW

    Danke nochmal!

    Also das funktioniert so wie von dir beschrieben.

     

    Was mich momentan noch interessieren wuerde:

    Warum ist das "normal" und welchen Sinn ergibt das, dass die Netze hier mit den oben genannten Ports sprechen koennen? Hier gruebel ich grad ein wenig. Ja, ich bin noch recht am Anfang, was "Netzwerk-Skills" angeht - vielleicht erschliesst sich mir das deshalb nicht... ;)

     

    Die Netze, welche ich unter "Skip Transparent Mode Destination Hosts/Nets" eintrage sind aber weiterhin durch WebProtection geschuetzt? Ich surfe initial ja nach Aussen hin...

    Das betrifft ja nur den Traffic, der speziell und initial an dieses Netz adressiert ist und hier sollte soweit eh nichts von Haus aus durchkommen, da die Anfragerichtung von Aussen und den anderen Netzen aus auf das "Internal" durch die Firewall-Regelung ja komplett geblockt ist!?

     

    Danke nochmal und sorry fuer die vielleicht duemmlichen Fragen. :)

  • 0 in reply to nd

    Das ist ein technisches Problem. Da die Firewall/Paketfilter nichts zu sagen haben, wenn der Webproxy sich um Traffic kümmert, kann man hier auch nichts blocken.

    Für ein Paket, welches vom Gäste-Netz kommt und den Proxy verwendet, ist eine "Interne-IP" durchaus ein legitimes Ziel (Destination). (warum auch nicht)

    Trägt man dieses Netz in die Destination-skiplist ein, so wird der Proxy hier nicht aktiv und damit das Firewall Regelwerk wieder relevant.

    Das bedeutet nicht, daß Traffic aus dem internen Netz kommend (source) auch ignoriert wird. Da ist der proxy/Webprotection weiterhin aktiv.

  • 0 in reply to nd

    Hallo Andreas,

    soweit ist das alles richtig, was bisher gesagt worden ist, aber bitte beachten...

    Der Proxy kann auch (auch im Transparenten Modus) direkt über den entsprechenden Port angesprochen werden (im default 8080).

    Wenn nun also ein Client im Gast Netzwerk die UTM als fixen Proxy mit Port 8080 definiert, dann hast du wieder das problem, dass dieser auf deine internen Ressourcen zugreifen kann.

    Um dies zu verhindern, soltest du noch ein DNAT einrichten: Gaste (Netzwerk) -> Port 8080 -> Gast (Adresse) -> Zielport ändern in 80

     

    Damit erreichst du, dass der Verkehr aus dem Gastnetzwerk über Port 8080 nicht deinen Proxy trifft, sondern wieder an den Transparenten Proxy weitergeleitet wird und somit deine Skiplisten und Firewall Regeln greifen.

    Ich hoffe dies ist so verständlich. Ohne dieses NATting ist es leider nur eine gefühlte Sicherheit.

     

    Gruß

    Tobias

  • 0 in reply to Tobi_K

    Hallo Tobias,

    "Um dies zu verhindern, soltest du noch ein DNAT einrichten: Gaste (Netzwerk) -> Port 8080 -> Gast (Adresse) -> Zielport ändern in 80

    Damit erreichst du, dass der Verkehr aus dem Gastnetzwerk über Port 8080 nicht deinen Proxy trifft, sondern wieder an den Transparenten Proxy weitergeleitet wird und somit deine Skiplisten und Firewall Regeln greifen."

    Wow !

    Das geht? Hast du das getestet? Auf diese Idee bin ich nicht gekommen. Das würde mir (und anderen) sehr helfen...

  • 0 in reply to dirkkotte

    Das funktioniert, ja.

    Gab hier auch shcon mindestens einen Thread der genau dieses Thema angesprochen hat.

    Einen anderen Weg, dieses Problem zu umgehen kenne ich bsiher auch nicht.

     

    Gruß

    Tobias

  • 0 in reply to Tobi_K

    Hallo zusammen,

    das mit dem Port 8080 ist ein wichtiger und nützlicher Hinweis von Tobias. Das einrichten einer DNAT Regel ist eine Möglichkeit. Damit kann ich aber den Standard Proxy gar nicht mehr verwenden. Es kann aber vorkommen das beides nutzbar sein muss. Hier nun die von mir empfohlenen Vorgehensweise um WLAN Gästen den Zugriff auf interne Web Resourcen zu verweigern.

    Die Transparentmodus Ausnahme ist ja schon beschrieben worden. Der Hinweis mit Port 8080 ist vollkommen korrekt. Die beste Lösung um solche Zugriffe zu verhindern ist folgende:

    Unter Web Protection / Filter Options / Websites eine neue Site erstellen. In dem Feld den internen Adress Bereich eintragen (z.B. 192.168.0.0/16) und zus. den oder die internen Domains eintragen (z.B. home.local). Hier kann ich nun diese Bereiche einer Kategorie zuordnen, eine Reputation zuordnen oder einfach einen Tag erstellen. Ich arbeite hier mit einem Tag. Unten einen neuen Tag (z.B. Interne Netze) erstellen und speichern.

    Jetzt muss nur noch in der Filter Action für das WLAN Gäste Proxy Profil dieses Tag unter websites unten eingetragen werden und die Option "Block" ausgwählt werden. Damit hat der WLAN Gast keine Chance mehr an interne Ressourcen zu gelangen. Das funktioniert einwandfrei und ich kann trotzdem für Ausnahmefälle den Standardproxy mit notwendigen Ausnahmen verwenden.

    vg

    mod

  • 0

    Hi,

    bevor man zig Ausnahmen und Regeln strickt: warum geht das Gäste-Netzwerk überhaupt über den Proxy? Die Anfoderung von meinen Gästen ist eigentlich immer ein ungefilterter Zugang. Daher habe ich das Gäste LAN erst gar nicht für den Proxy konfiguriert, und nötige Management Zugriffe aus meinem LAN ins Gäste-LAN über die Firewall geregelt.

    Gruß

    Jas Man

  • 0 in reply to Jas Man

    Stichwort Störerhaftung bzw der Aufwand, wenn Gäste Unfug treiben - ist aber denke ein wenig am Thema vorbei. ;-)

    Grüße
    Sebastian