URL Hardening Questions

A fundament concept is that traffic arriving at an interface is handled only once: DNATs come before Proxies and Proxies come before manual Static Routes and Firewall rules.  The DNAT prevents the WAF from seeing your traffic.

Cheers - Bob

A fundament concept is that traffic arriving at an interface is handled only once: DNATs come before Proxies and Proxies come before manual Static Routes and Firewall rules.  The DNAT prevents the WAF from seeing your traffic.

Cheers - Bob

Ok, good to know.

Thank you Bob for your very useful and concrete answer!

I just love BAlfson's title!  

I think what we need from Astaro/Sophos is the ability to create and modify (including enable & disable) WAF rules.

Our web apps are pretty complex and we currently use ModSecurity (embedded mode) and have many custom rules that either address undetected attacks or false positives, or simply do custom things we need.

Bob or anyone else. If "traffic arriving at an interface is handled only once", how can you limit access to the WAF protected virtual web server? For example I would only like the U.S. to be able to access the web server. Or I might want to limit access to certain networks. Am I wrong in assuming packet filter rules aren't looked at if WAF is enabled, and the traffic is handled only once? Thanks

Brian

That's a good question, Brian, and, in fact, that rule is one that's meant to help people stay out of trouble.

Your need is more sophisticated, and, in fact, you can write a firewall rule that's applied before proxies.  The trick is to use the "(Address)" object created by WebAdmin when you define an Interface or an Additional Address.

With, for example, an Additional Address of "Card Auth" on the External interface, use "External [Card Auth] (Address)" as the 'Destination' in the traffic selector portion of the rule.  The rule then will apply to the INPUT chain and be processed before the traffic gets to the WAF.

So, you would have a rule like '{group of allowed IPs} -> HTTPS -> External [Card Auth] (Address) : Allow' followed by a similar Drop rule for "Any" traffic arriving.

Is that what you were trying to accomplish?

Cheers - Bob

Bob,

That is exactly what I'm trying to accomplish. I believe I tried exactly as you describe, with an allow rule using the external interface, followed by a deny rule any any to the same external IP. Traffic is still getting through to the server. I'm still trying to figure out why. I don't have any DNAT or SNAT rules active for that external IP. I will post when and if I figure out why. Thanks.

Brian

Brian, did you log those rules and watch the Firewall Live Log?  I know that a DNAT would work, but the Firewall rules with the "(Address)" objects should work for the same reason.

Cheers - Bob

I did watch the firewall log and don't see any entries for traffic coming from my test IP that shouldn't have access based on my firewall rule.

My response to Sophos support ticket on the issue:

"I'm sorry but it is not possible to restrict the source networks which should connect over the WAF.

It is nit implemented. You could raise a feature request at feature.astaro.com.

Kind regards,

Sophos Technical Support Team - Network Security"

Like Bob mentioned, do it with DNATS.

Rule 1:
source:  netblocks to allow
service:  http(s)
destination: external WAN (address)
new destination:  external WAN (address) (same as above)

Rule 2:
source:  internet or any
service:  http(s)
destination:  external WAN (address)
new destination:  non-existent blackhole address

The first rule will accept the traffic and put it back on the external interface, so WAF can pick it up.  The second rule will take traffic from all other sources and send it to the packet dumpster.  [:)]