Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 23331 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

esev
I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • 0
    Good trick, esev, that might indeed work.  I think you could obviate that by creating a separate HTTP Profile in Transparent mode for GUESTS and putting LAN into the transparent mode skiplist (don't check 'Allow HTTP traffic for listed hosts/nets').  GUESTS should not be in "Allowed networks' of the default Profile.

    Ian, 'GUESTS -> DNS > Internet : Allow' and otherwise don't put GUESTS into 'Allowed networks' in the DNS proxy.  It isn't clear to me at the moment that we would have blocked the proxy from resolving internal addresses if there are static entries in the Astaro DNS instead of in the internal nameserver.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,

    That's a good plan!  I'll try that.  It should take care of most issues.  I think however, even if the hosts are in the transparent skip list, a user in the GUESTS network segment could configure their browser to use the proxy on port 8080 (ie. use it non-transparently) and then still get passed the packet filter rules.

    I still find it a little strange that the proxy is exempt from the packet filter rules.  I'm guessing it is that way for ease of use.  It seems like a reasonable default.  But it would be nice that if an admin specifically configures the packet filter to deny the web proxy access to a subnet that such a rule actually works.
Reply
  • 0 in reply to BAlfson
    Bob,

    That's a good plan!  I'll try that.  It should take care of most issues.  I think however, even if the hosts are in the transparent skip list, a user in the GUESTS network segment could configure their browser to use the proxy on port 8080 (ie. use it non-transparently) and then still get passed the packet filter rules.

    I still find it a little strange that the proxy is exempt from the packet filter rules.  I'm guessing it is that way for ease of use.  It seems like a reasonable default.  But it would be nice that if an admin specifically configures the packet filter to deny the web proxy access to a subnet that such a rule actually works.
Children
No Data
Unfiltered HTML