Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 10987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspots can access internal LAN IP's..?

hckeith
Hi Everyone,

I'm trying to create 'Guest' Hotspots using a UTM425 (on 9.105-9) and AP30's.

I've followed the guide (new interface, masquerading, vouchers, etc), and everything works fine as expected. I can connect to the unsecured hotspot and get directed to the portal to enter a voucher code, after which I can access the internet.

The problem I've found is that clients connected to a Hotspot for some reason can access IP's on our internal LAN's.
For example, we have some fileshares, for arguments sake on \fileserver\share.  If I try accessing the share using the hostname of the server, I can't resolve it and access it.  It's the same for internally hosted websites too.

However, if I use the internal IP address of the fileserver instead of the server's hostname (ie, \10.10.10.2\share), I can access the shares with no problems.  It's the same for internally hosted websites.  If I replace the hostname with the internal IP of the server that's hosting the site, it opens fine.

Surely this shouldn't be the case?  The hotspots are set up as 'separate zones', on a completely different subnet to our internal LAN's.

The guest WLAN interfaces are not members of any firewall rules that allow them to pass traffic to any of the internal interfaces (that I can tell). The only firewall rule in place for them allows 'web browsing' and 'VPN protocols' to 'internet', which in turn is bound to our internet connection interface.

I've been crawling through all the Firewall and NAT rules we have and cannot see how the traffic is being passed between the networks.


I was wondering if the problem lies with the VLAN's we have on our internal network and L3 switches routing the traffic before the UTM saw it, but from what I've read, these access points create an SSL connection between the access point and the UTM so it shouldn't matter if there are routes on other network equipment, the UTM should be handling all traffic from its AP's?
As a test, I connected an AP directly to the UTM on a spare NIC we had with a completely separate subnet to our internal LAN's, but the behavior of the hotspots was the same.

Have I found a potential bug, or could there be something I'm missing somewhere?
This is quite worrying as it means our guest hotspots aren't as secure as we need them to be.

I'd appreciate any suggestions, and if anyone needs more information, just let me know what you need to know!

Thanks!


This thread was automatically locked due to age.
  • 0
    Do you happen to have rules in your firewall like

    Guest network -> any -> any allow

    Maybe because you want your guests to have internet access? In that case try using:

    Guest -> Internet IPv4 -> any allow

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • 0
    Hi,

    Thanks for your response..

    The firewall rule I have in place that is specifically for the guest WLAN is:

    Guest WLAN > Web Surfing, VPN protocols > internet. Allow.

    The 'Web Surfing' group includes ports 80, 443, 8080, 3128
    The 'VPN protocols' group includes ports 51,50,500,4500, 1701, 1723, 3389, 55198.

    Both of those were default groups that came pre-configured in the UTM.

    The 'internet' network is the "any" network, bound to interfaces with default gateway 0.0.0.0/0.

    Again, that was already pre-configured in the UTM and can't be edited.

    Aside from adding in the 'VPN protocols' to the firewall rule (to allow our corporate guests to connect to their own companies VPN's), the firewall rule was auto-created by wireless security.

    We do have an 'any internal networks > any > any internal networks' rule in the firewall to allow all traffic between our internal LAN's, however the interface networks of the guest WLAN's are not part of the 'any internal networks' group.

    Accessing the internet on the guest networks is no problem so I believe that the firewall rules to allow them to access the internet are working as they should.  For some reason though the clients connected to the guest WLAN can access IP's on the internal LAN's, but I can't seem to find a rule or other part of our configuration that would allow them to do that.

    Is our Firewall rule for the Guest WLAN along the lines of what you were thinking?
  • 0
    Do you have the HTTP-Proxy enabled (Web Security)? If the hotspot users can also use the proxy, they may go anywhere the proxy allows to (via HTTP/S). If you want them to use the proxy but not access internal stuff, you'll need to create explicit URL filters. Use regex like "^https?://192\.168\.", "^https?://intra\.net" and keep in mind users may access via IP or DNS so create filters for both.
  • 0
    Yes, we do use the HTTP proxy in Web Security, however for now the Guest WLAN network I'm testing this with is not in the 'Allowed networks' on the 'Global' tab.

    I did read somewhere that the Web Security module can cause this behavior on the Guest WLAN's, and have since tested by disabling the module and then testing, Unfortunately the same thing happens and the guests can access the internal LAN's.

    Would the Web Security module interfere with, and allow, access to fileshares on the internal networks?

    I'll look into this though and create filter rules for the Guest WLAN just in case the Web Security module is still interfering in some way.
  • 0
    Sorry to make my first forum post a "Me, too!".... but me, too!

    Precise scenario: Guest WiFi created manually (without the wizard) has full access to the interior LAN and Site-to-Site VPN, even with firewall rule #1 as:

    Guest WiFi -> Internal Network -- Drop

    Can't understand why the "Separate Network" option for WiFi doesn't create a separated network. All it does is create a separate address space, then bridges the traffic right through anyway.
  • 0
    Hi, do either of you have any "auto firewall rules" on any NATs or Masquerading settings?

    Barry
  • 0
    I have one NAT rule, and it's disabled. It does have Automatic Rules checked.

    I only have two rules referencing the Guest WiFi:

    #1 : Public WiFi Hotspot (Network) > 172.16.0.0/16 DROP
    #14 : Public WiFi Hotspot (Network) > Internet IPv4 Allow

    All other rules are for the Internal LAN.

    It's as if the first rule is ignored. Watching the Firewall Log in realtime just shows the connections working.
  • 0
    Yes, I have a few NAT rules to allow mail routing, RDP, SSH access, all with 'automatic firewall rules' in place.
    I've viewed the automatic firewall rules, and the UTM appears to have created them OK.  They all have at least one of either a specific source, specific protocol/port, or specific destination. None of which would allow traffic to the internal IP of the fileserver, or even HTTP traffic from the guest to the internal web server's IP.

    During initial investigation, I too tried creating a firewall rule like Troy did to drop all traffic between the Guest WLAN and the internal networks, without success of blocking the traffic.

    I've been doing some more playing around, and it doesn't appear like this is isolated to the 'separate zone' setting.  I directly connected an AP to a spare NIC on the UTM, gave it a physical subnet outside of our internal LAN's, created a firewall rule for 'internet', set masquerading, and then with the guest WLAN set as the only WLAN available on this AP, and this AP alone, set the guest WLAN to 'bridge to AP LAN'.  Same behaviour.  Couldn't access any internal systems via hostnames, but could via their IP.
  • 0
    Somehow I get the feeling that your proxy is allowing the traffice like trollvottel told you in this post. Read that post again and check that you have the regex settings to disallow your hotspot hosts to reach the internal network(s).

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • 0
    Well, it has taken a few months of playing around and interrogating all the firewall rules, but I've sorted this out in part.  Our UTM was initially configured by an old employee who left shortly before I started, so there has been a fair bit of 'junk' configurations to sift through.  I myself have been learning as I go along, but am now getting to grips with things.

    The problem was our Blackberry server firewall rule which allowed the CIFS protocol, hence why clients on the guest hotspot could still access network drives.

    Our other problem was to do with the webfilter.  We run a number of internal web-based services and portals.  We had 'Allow HTTP/S traffic for listed hosts/nets' turned on for the internal networks that host these services to avoid any potential problems caused by a proxy.  Disabling this option now has prevented the Hotspot networks from accessing the internal web pages, without any impact that I've noticed to the people who should be accessing the pages.  I've even been able to set a separate transparent filter up for the hotspots too.

    The only thing I can't seem to prevent is pinging from the hotspot to the internal LAN's.  I need to play around a little more, but if anyone has any pointers it would be appreciated!  I already have a 'hotspot -> any -> internal networks -> drop' rule in place at position 1.  I suppose it's not critical, but a 'nice to have' if I can get it blocked.
Unfiltered HTML