Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 23346 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

esev
I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • 0
    i'll have to test this...I by default always setup a rule that denies traffic form guest to internal and form internal to guest in the packet filter...will have to see if this bypasses it.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    If the proxy wasn't involved, you could just deny it on the webserver itself. We generally don't filter guest access to the internet on our network so its easy. 

    If you have a special network for guests, more than likely they won't know that you have a web server running at 172.16.9.37. If they do, they are not guests to begin with. Its someone that is a little too familiar with your infrastructure that you are trying to keep out. For them to come up with the idea to specially register the above IP on dyndns so they can get in it means they are fairly tech savvy too. Dnatting would work like bob suggested but I don't like dnatting my proxies. Troubleshooting becomes very difficult.

    Easiest thing in this case would be to create a proxy profile, block the web server by IP, local domain name, and then add Internet Services under IT in categories to block dyndns. Heck block everything but google.com if they don't know how to act[;)]

    By the way, are you sure that blocking the interior webservers by ip doesn't work?
    EDIT: I just tested it, it doesn't work, so how about Feature Request: HTTP/S Proxy block sites by IP Range?
     You can block the server by IP but the blocker just matches the characters in the url. So it will block 172.16.9.37 if typed in the browser but won't block it if you type hack. dyndns. something which resolves to 172.16.9.37
Reply
  • 0 in reply to William Warren
    If the proxy wasn't involved, you could just deny it on the webserver itself. We generally don't filter guest access to the internet on our network so its easy. 

    If you have a special network for guests, more than likely they won't know that you have a web server running at 172.16.9.37. If they do, they are not guests to begin with. Its someone that is a little too familiar with your infrastructure that you are trying to keep out. For them to come up with the idea to specially register the above IP on dyndns so they can get in it means they are fairly tech savvy too. Dnatting would work like bob suggested but I don't like dnatting my proxies. Troubleshooting becomes very difficult.

    Easiest thing in this case would be to create a proxy profile, block the web server by IP, local domain name, and then add Internet Services under IT in categories to block dyndns. Heck block everything but google.com if they don't know how to act[;)]

    By the way, are you sure that blocking the interior webservers by ip doesn't work?
    EDIT: I just tested it, it doesn't work, so how about Feature Request: HTTP/S Proxy block sites by IP Range?
     You can block the server by IP but the blocker just matches the characters in the url. So it will block 172.16.9.37 if typed in the browser but won't block it if you type hack. dyndns. something which resolves to 172.16.9.37
Children
No Data
Unfiltered HTML