Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 13 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 6944 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebProtection -> BUG? -> VLAN / LAN Zugriff untereinander möglich zu unterbinden?

nd

Hallo zusammen,

 

ich habe hier privat eine Sophos UTM im Einsatz.

Folgende Netzwerke sind definiert / vorhanden:

- external (WAN; eth0)

- internal (eigenes LAN; eth4; 172.16.0.0/16)

- guest (Test / Guest LAN; eth1; 192.168.69.0/24)

- guest-wlan1 (Gäste WLAN; wlan1 (separate zone); 192.168.88.0/24)

- guest-wlan2 (Gäste WLAN mit Captive-Portal, offen / nicht verschluesselt; wlan2 (separate zone); 192.168.89.0/24)

- mgmt (only Management, falls mal was schief geht und ich aus dem internal nicht mehr auf die UTM kommen sollte; eth3)

 

Fuer internal, guest, guest-wlan1, guest-wlan2 ist die WebProtection aktiviert, jedes Netzwerk hat sein eigenes Profil mit eigenen Policies.

 

Jetzt ist es ab diesem Punkt aber moeglich, dass die Netzwerke indirekt miteinander sprechen koennen, d.h. ich kann z.B. aus dem "guest" via Port 80,443,53 auf IP Adressen aus dem "Internal" zugreifen, das ist insofern problematisch, da keiner aus den Gaestenetzen z.B. auf die zwei managebaren Switche zugreifen koennen soll (wozu auch?) oder z.B. auf den "Test-Server", den ich fuer die Arbeit und private Tests am laufen habe.

 

Ich habe nun den Zugriff auf die Switche insofern unterbunden, indem ich die einzelnen IPs als "geblockt" in die Policies hinterlegt habe.

 

Gibt es hier eine "sauberere" und einfachere Methode, um den Zugriff auf das komplette Subnetz / Netzwerk zu unterbinden, anstatt jede IP einzeln in die jeweiligen Policies zu pruegeln?

Manuell erstellte Firewall-Regeln greifen hier nicht, da die WebProtection diese wohl aushebelt.

 

Ich vermute, dass das hier kein "Feature" ist, sondern ein Bug / Fehler!?

 

Vielen Dank vorab und Gruesse!

Andy.



This thread was automatically locked due to age.
Parents
  • 0

    Hi,

    bevor man zig Ausnahmen und Regeln strickt: warum geht das Gäste-Netzwerk überhaupt über den Proxy? Die Anfoderung von meinen Gästen ist eigentlich immer ein ungefilterter Zugang. Daher habe ich das Gäste LAN erst gar nicht für den Proxy konfiguriert, und nötige Management Zugriffe aus meinem LAN ins Gäste-LAN über die Firewall geregelt.

    Gruß

    Jas Man

  • 0 in reply to Jas Man

    Hi Jas Man,

    seit wann bestimmen die Gäste wie ich meine Firewall konfiguriere? Schon mal was von einer Firmenrichtlinie gehört? Was machst du denn wenn deine Gäste anfangen die WAN Leitung auszulasten oder illegale Seiten aufzurufen? Noch gibt es eine Haftungspflicht, auch wenn das sicher im Moment heiß diskutiert wird und demnächst hier die Gesetze wahrscheinlich angepasst werden.

    Bei meinen Kunden gibt es in der Regel zwei Varianten. Entweder ein dedizierter Internet Zugang über eine eigene WAN Leitung (bei den Kunden wird die Haftung ignoriert oder auf den Provider verlagert) oder den Zugriff über die UTM reglementiert und geschützt.

    vg

    mod

  • 0 in reply to mod2402

    Hi mod,

    die Haftungsgeschichte ist eine Sache. Da geb ich Dir / euch Recht das das ein Grund für den Proxy ist. Soweit mir bekannt ist die Geschichte aber momentan so das keine Störerhaftung mehr besteht. Man kann höchstens verdonnert werden, ein Usermanagement inkl Logging einzuführen, falls es zu einer Abmahnung o.ä. gekommen ist, damit man bei zukünftigen Verstößen nachweisen kann wer es war. Aber bis dahin....wo kein Kläger, da kein Richter. Korrigiert mich bitte wenn ich falsch liege.

    Die andere Sache ist die Nutzbarkeit. Was ich aus meiner Erfahrung her kenne ist, dass irgendwelche Sonderdienste von Beratern und Dienstleister, die mein Gäste-WLAN nutzen, durch Proxy oder Firewall gestört werden. Eine Analyse und Behebung des Problems ist meistens nicht möglich und zu Zeitaufwändig, besonders wenn der teuer bezahlte Gast nur ein paar Stunden im Haus ist. Daher bekommt der Gast einen ungefilterten Zugang, verbunden mit einer eindeutigen User ID die ihn identifiziert.

    Oft wird es auch so gesehen, dass ein überteuerter Berater, der nicht arbeiten kann weil die Firewall was blockt, teurer ist, als eine Abmahnung. :)

    Das Thema Auslastung ist ein QoS Dingen. Das ist natürlich auch sinnvoll.

    Gruß

    Jas Man

  • 0 in reply to Jas Man

    Hallo Alle,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address. Ich behaupte auch eine deutsche Version, die ursprünglich von dem Mitglieder Hallowach übersetzt wurde, als er und ich im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Reply
  • 0 in reply to Jas Man

    Hallo Alle,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address. Ich behaupte auch eine deutsche Version, die ursprünglich von dem Mitglieder Hallowach übersetzt wurde, als er und ich im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Children
No Data