Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 58698 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Prevent WAN access on additional IP address.

spacemancw
To map a public address to an internal address in the UTM-9, my understanding is that under "Interfaces" > "Additional Addresses" > I add a new address and assign it to the Outside interface.

Then create a NAT that for instance maps ANY service coming from ANY source going to this Additional address gets translated to the internal address that I choose.

My problem is that now I can manage the firewall using the additional address.
For instance, if the WAN address of the UTM is 65.65.65.60 and the additional address is 65.65.65.70, I can now managed the UTM using:

https://65.65.65.60:4444/ and https://65.65.65.70:4444/


How do I prevent https://65.65.65.70:4444/ form working.

I tried firewall rules such as, traffic from ANY using service 4444,80,443 going to 65.65.65.70, drop or reject. But it doesn't change anything.

Any help would be appreciated.


This thread was automatically locked due to age.
  • 0
    i tested blackholing "any" service coming in on the secondary IP. the DNAT shows up in the log for anything except 4444. When I use 4444 in my browser, it just continues to work as normal, it goes straight to the login screen.
  • 0
    for anything except 4444

    Thanks for letting us know.  I think this is a bug.  If you have a paid subscription, please ask your reseller to submit a support request to Sophos.

    Cheers - Bob
  • 0
    Thanks Bob for your help. My company is a partner. I called support and it seems as if this is just the way it works, maybe it's not how they intend it to, but it does, in which case it's a bug. I put in a feature request, dunno how often they get fulfilled, but I asked for a check box on additional IPs that asks if you want to be able to manage via WebAdmin on the address or not.

    thanks again.
  • 0
    It's odd that is how it's intended to work.  On most firewalls you have a primary address on the WAN interface and then say management access is allowed through it.  With additional addresses on say static nat they can only be used for that service.
  • 0
    OK, I've slept on this.  I don't think this is  problem, and I know that a properly configured UTM does not appear to accept traffic on 4444 when PCI scans are done.

    WebAdmin traffic from networks/hosts outside of those listed in 'Allowed networks' will be dropped.  You should not have "Any" or "Internet" in the list in either 'WebAdmin Settings' or on the 'Shell Access' tab of 'System Settings'.  In both, public access should be limited to specific IPs, at most.  Depending on internal security requirements, some organizations will want to limit access to specific private IPs.

    The tightest security is using only objects like "admin (User Network)" or "balfson (User Network)" in 'Allowed networks' and requiring admins to login via VPN first.  That certainly blocks direct access to 4444 for everyone from everywhere.  You just need to add the supportaccess DNS Group when Sophos Support needs access.

    Cheers - Bob
  • 0
    In WebAdmin and SSH allowed networks we do not have ANY. We only have our office networks allowed. So I understand the logic that someone from outside those networks going to 4444 will be dropped, and someone from inside the network will be allowed. But this inside access can be a big deal depending on how you perceive it.

    If the additional IP is a NAT for an Exchange server, my.exchange.com, it doesn't make a lot of sense to me that if someone (even from within the allowed networks) went to https://my.exchange.com:4444/ they suddenly have a login screen to my firewall.

    So even within allowed networks, we still want the ability to control every port on every IP, and basically this is saying 4444 is out of our hands. I guess conceptually for me, it's the lack of control, even if is only one port. As Ross86 said, additional addresses are meant for NATs for other devices, and each device should own ports 1 through 65535.
  • 0
    Normaly inside your netowork "my.exchange.com" would be redirected to your internal IP isn't it? So my.exchange.com:4444 wouldn't work from inside your network..
  • 0
    And, if you don't want to allow access from anywhere in your network, use the VPN technique I described or some other approach to limit access to specific IP's.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    @Solae, When I spoke of inside access, I meant access from networks included in the allowed networks, which are mostly public addresses of our offices. 
    Anyway, the bottom line is unless there is a change in the way this works, I'll work on alternative ways to lock down.
    thanks for the replies.
  • 0
    So do you have the whole range in the allowed networks within web admin?  If so would you not just add the primary WAN IP in web admin allowed networks and remove the whole range.

    Apologies if you have done that, I haven't completely followed the thread.