Client Isolation

IF it does anything in bridged modes, it would only be between 2 wireless clients.

Barry

CC, I commented on this in your other thread.  In the wired portion of the VLAN, would you expect to achieve Client Isolation with the UTM?

Cheers - Bob

I would because I have configured it with other wireless equipment (specifically Ubiquiti).  I put this in the other thread, but here's the scoop on how it works with Sophos gear (directly from UTM support):

"When using Bridge-to-LAN/Bridge-to-VLAN client isolation will not be able to block traffic between two stations connected to different APs on the same LAN segment."

This means that if you implement it, and are able to then restrict communication between APs, you can acheive full L3 isolation.  I did this by adding IP ACLs on the AP switchports.

The Ubiquity gear uses IP ACLs on the APs so clients can only communicate with the gateway IP address.  Sophos gear must use MAC blacklisting based on the MAC addresses of locally connected clients; that's my best guess anyway based on this behavior.  So it is possible to get full client isolation, but it wold be nice to see more customer-facing documentation about this feature, since you can enable it using bridge mode.  If I hadn't verified that is was working, I'd be oblivious to a wide-open attack vector in the network.

If all traffic is forced to the UTM, what advantage is there for you to choose bridge to VLAN/LAN?

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Well, beside avoiding bugs like this one, there are wired portions of the network that I need to have on the same subnet.

Other than that, it's preferential; I don't like applications using automatic tunneling when I can help it.  I feel like it gives me better control/visibility into network traffic.

Understood. So, in your ideal scenario, how would you allow a wireless client to access a printer on the same VLAN - a firewall rule for traffic from the VLAN subnet to the printer?

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

If the traffic is bridged to the LAN,/VLAN, the UTM won't be able to control the traffic (it'd be switched at layer 2 and never sent to the UTM).  What I would do there is use an IP ACL on the switchports.  You want the traffic dropped as close to the source as possible so that you keep the unnecessary traffic off of any uplinks/bottlenecks.

Thanks, CC.  I still can't wrap my head around why/how some IPs on the VLAN would be blocked from each other by the switch's ACL while others would not - block IPs assigned by DHCP (e.g., .50-to-.254) and allow all others?

Cheers - Bob

Here's an example:

Client subnet: 10.10.10.0/24
Gateway Address:  10.10.10.254

Here's what the ACL would look like on the switch:

##Allow traffic from the clients to the gateway -may not be necessary, see ##my note below

permit ip 10.10.10.0 0.0.0.255 host 10.10.10.254 

##Denies all traffic from the client subnet, to the client subnet -isolating clients

deny ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255

##Permits all traffic that doesn't match the previous two rules

permit ip any any

About the gateway, if you don't have a captive portal or services that need to be reachable from the clients, you don't actually need to allow traffic to it.  IP traffic destined for a network outside of the local subnet will not use the IP of the gateway, only it's MAC address.  Since this is an IP layer ACL, it won't affect internet bound traffic from the clients.

ACLs are matched in order, and stop when traffic matches a rule, so if packets don't match the first two, they will be allowed per the final rule (it is necessary because ACLs have an implicit "deny all" at the end for packets that don't match any rules).

It's important to note that L2 traffic is not affected.  This means that running an ARP ping sweep would allow you to discover the IP addresses of other connected clients.  Any attacks which run over TCP/IP would be blocked, however.  So recon attacks and ARP poisoning are still a real thing, but your severely limiting your attack surface.

Ah, thanks, I think I see now.  You put these L3 rules only on the ports connected to APs.  The wireless clients can use the MACs of the wired devices and so use L2 to reach them, unaffected by the L3 limitations in the switch port connected to the AP.

So, Client Isolation for bridge-to-LAN/VLAN SSID's would be possible by adding the MACs of the other APs to the "blacklist" in each AP (assuming that's the technique in use)?  I think you have a Feature suggestion there!

Cheers - Bob