Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 58699 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Prevent WAN access on additional IP address.

spacemancw
To map a public address to an internal address in the UTM-9, my understanding is that under "Interfaces" > "Additional Addresses" > I add a new address and assign it to the Outside interface.

Then create a NAT that for instance maps ANY service coming from ANY source going to this Additional address gets translated to the internal address that I choose.

My problem is that now I can manage the firewall using the additional address.
For instance, if the WAN address of the UTM is 65.65.65.60 and the additional address is 65.65.65.70, I can now managed the UTM using:

https://65.65.65.60:4444/ and https://65.65.65.70:4444/


How do I prevent https://65.65.65.70:4444/ form working.

I tried firewall rules such as, traffic from ANY using service 4444,80,443 going to 65.65.65.70, drop or reject. But it doesn't change anything.

Any help would be appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    OK, I've slept on this.  I don't think this is  problem, and I know that a properly configured UTM does not appear to accept traffic on 4444 when PCI scans are done.

    WebAdmin traffic from networks/hosts outside of those listed in 'Allowed networks' will be dropped.  You should not have "Any" or "Internet" in the list in either 'WebAdmin Settings' or on the 'Shell Access' tab of 'System Settings'.  In both, public access should be limited to specific IPs, at most.  Depending on internal security requirements, some organizations will want to limit access to specific private IPs.

    The tightest security is using only objects like "admin (User Network)" or "balfson (User Network)" in 'Allowed networks' and requiring admins to login via VPN first.  That certainly blocks direct access to 4444 for everyone from everywhere.  You just need to add the supportaccess DNS Group when Sophos Support needs access.

    Cheers - Bob
Reply
  • 0
    OK, I've slept on this.  I don't think this is  problem, and I know that a properly configured UTM does not appear to accept traffic on 4444 when PCI scans are done.

    WebAdmin traffic from networks/hosts outside of those listed in 'Allowed networks' will be dropped.  You should not have "Any" or "Internet" in the list in either 'WebAdmin Settings' or on the 'Shell Access' tab of 'System Settings'.  In both, public access should be limited to specific IPs, at most.  Depending on internal security requirements, some organizations will want to limit access to specific private IPs.

    The tightest security is using only objects like "admin (User Network)" or "balfson (User Network)" in 'Allowed networks' and requiring admins to login via VPN first.  That certainly blocks direct access to 4444 for everyone from everywhere.  You just need to add the supportaccess DNS Group when Sophos Support needs access.

    Cheers - Bob
Children
No Data