Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 636 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] Possible bug in HTTP-proxy

lejzer
Hi, 

I've noticed a strange thing today. First our setup:

ASG 7.405 with lots of VLANs and transparent HTTP proxy. 

In our place we have many different companies accessing internet behind our ASG. I've configured every company on different LANs using VLANS. 

Now i've discovered that every company that uses our http-proxy can access any of the other VLANs printers (webinterface) on the different VLANS, even though i've setup rules like this:

LAN2 > service: any > LAN1- drop/reject

Example:

LAN1: 192.168.2.x
LAN2: 192.168.10.x
LAN1 printer: 192.168.2.114

Users on LAN2: can browse to http://192.168.2.*** and access the webinterface of the printer. This shouldn't be working since i have PF-rules denying access. Somehow the proxy seem to override these rules

But, if i remove the company's LAN from the proxy, and add HTTP as a packetfilter rule, then they can't access our printers webinterface.

So, what's the deal here? Why is the proxy overriding these rules making it insecure?

Any ideas?

Thank you


This thread was automatically locked due to age.
  • 0
    Well I am no expert, but if they are logged into the proxy and you want packet filters rules to apply to some things, those things must be listed in the Skip transparent mode hosts/nets.  This will bypass the proxy for these networks and apply only the packet filter rules. 

    Of course, when using a VLAN this advice could be COMPLETELY wrong...


    Add all of your networks in CIDR notation to this skiplist.  192.168.0.0/24, 192.168.1.0/24 etc.  Then if they try to get to one of these IP's the request will bypass the proxy and go to the packet filter rules. To keep from blocking themselves from their own IP's, I think you will have to make a rule for each network to block only the other networks. 
    192.168.0.0/24 ---> 192.168.1.0/24, 192.168.2.0/24 DROP  
    192.168.1.0/24 --> 192.168.0.0/24, 192.168.2.0/24 DROP
    192.168.2.0/24 --> 192.168.0.0/24, 192.168.1.0/24 DROP
    That should block all traffic to other networks, but allow their own.

    If I am wrong, someone will let you know! (Great group here!)

    Good  luck,
    C68
  • 0
    Coder68's suggestion will work.  Another member here, esev, and I have worked together on a document for the KnowledgeBase that deals with this problem.

    The general idea is that you need a separate HTTP Profile in Standard (or other non-transparent) mode for each customer.  The main HTTP setup is in Transparent mode, blocks everything and includes all VLANs in the transparent mode skiplist with 'Allow HTTP traffic for listed hosts/nets' not checked.

    The customers VLANs should not be in 'Allowed Networks' for DNS.  If you provide DHCP for them, you should provide only the external DNS servers of your ISP.  At the top of the Packet Filter list, add: 'Any -> DNS -> Internet : Allow'; Instead of 'Any', you might use "Customers" = 192.168.0.0/16, for example.

    Create another PF rule near the bottom (using, for example, the definition above): 'Customers -> Any -> Customers : Drop'.

    Customers wishing to access the Internet will need to point their browsers at the Astaro Proxy and select the option to 'Bypass the proxy for local addresses'.

    You can click on my name above and email me if you would like a draft copy of the document in its current state.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi and thanks for your replies,

    Coder68: This sounds like a solution, but i'm not at work at the moment, so i have to wait till i get there and try your suggestions. Thank you very much!

    Bob: That document sounds interesting too, i will send you an PM about this. I got a question though:

    "The general idea is that you need a separate HTTP Profile in Standard (or other non-transparent) mode for each customer. The main HTTP setup is in Transparent mode, blocks everything and includes all VLANs in the transparent mode skiplist with 'Allow HTTP traffic for listed hosts/nets' not checked."

    I'm not sure i understand you on this one. We're using transparent proxy for us and every costumer. So what should be in the skiplist? Nothing, right? And 'Allow HTTP traffic for listed hosts/nets' should not be checked?

    "Customers wishing to access the Internet will need to point their browsers at the Astaro Proxy and select the option to 'Bypass the proxy for local addresses'."

    Is the above a must? We need to use the proxy in transparent mode for everyone.

    Another view: If i totally skip the proxy for the companies, do i still need to remove their networks from the dns-proxy? 

    Thank you!
  • 0
    I think the Customers can choose.  If they don't mind having their printers and other port 80/443 devices visible to the other customers, they can stay in transparent mode.  If they don't want the devices available, they will need to change to a non-transparent mode so you can put their VLAN in the skiplist.  It's just the nature of how Transparent mode has to work.

    I suppose the other alternative they could choose would be to NOT be protected by the Astaro's Anti-Spam and Anti-Virus engines.

    In any case, if you have any DNS static entries, someone using the transparent proxy could access that device, so there's no good reason to let them use your Astaro's DNS.  You're right that you don't need to worry about DNS if you skip the proxy for them, but, remember that they always can access the proxy by pointing their browser at it. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    A word of caution when using the transparent mode skiplist, b/c it affects both source and destination. So if you add for example LAN1 to the list the none of the traffic will be filtered by the http proxy. If you add just the IP of the printer, then just the printer will no longer be filtered by the http proxy.

    I know in v6 you could use reg ex to block the private IP addresses, but I haven't played with this in v7 but there may be a knowledgebase article about it.
  • 0
    Great idea, dilandau!  That would let him leave all customers in transparent mode.  The only downside is that he would need to put in a lot of individual addresses unless his customers are organized enough to structure their networks logically.

    Yeah, that's such a simple solution and so obvious once you mention it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hey guys,

    Thanks for all your suggestions. I will try to summarize this thread and try the different solutions. Will get back to you if i have any questions.

    You guys at this forum rocks! [:)]