Sophos Firewall rules per IPTables auf der Console deaktivieren

Hier eine kurze Beschreibung wie man sämtliche Firewall Rules auf einer Sophos per Console aushebeln kann ohne sie permanent zu löschen.

Wann ist das nützlich?

  • Wenn eine Fehlerhafte ACL Konfiguriert wurde, die Zugriff sperrt.
  • Wenn man sich vom Webadmin ausgeschlossen hat, weil man nicht unter Allowed Networks gelistet ist.

Symptome:

Nach einer Anpassung der Konfiguration ignoriert die Firewall jede Verbindung auf IP Ebene. Ports gehen ca alle 30 Sekunden kurz down. Einziges Lebenszeichen aus Netzwerk Sicht sind antworten auf ARP Requests.

 

Ursache (Hypothese):

Der Config Prozess, der die Einstellungen von der Datenbank auf die Firewall überträgt, stürzt während der Verarbeitung ab. Da die iptables Firewall standardmässig auf DROP steht werden die Ports für SSH, Webinterface und auch ICMP nicht mehr freigegeben. Die Firewall schottet sich sozusagen selbst ab.

 

Lösungen:

Wenn kein Backup vorhanden ist und der SSH Zugriff aktiviert worden ist kann man sich über einen Monitor & Tastatur direkt an der Firewall mit dem user root und dem admin Passwort einloggen. Mit dem Befehl

„iptables –I INPUT 1 –j ACCEPT“

fügt man eine neue Regel an erster Stelle für eingehende Pakete ein welche pauschal alles erlaubt.

Da die Firewall nach kurzer Zeit bemerkt das der Konfigurations-Prozess nicht mehr läuft startet sie den Prozess immer wieder neu und löscht damit auch die manuell eingefügten Regeln. Daher muss der iptables Befehl mit dem watch Befehl kombiniert werden, dieser führt den Prozess alles 2 Sekunden aus:

watch iptables –I INPUT 1 –j ACCEPT

der Prozess kann mit CTRL+C wieder beendet werden. Der Zugriff auf das Webinterface funktioniert jetzt wieder eingeschränkt, da die Verbindung regelmässig abbricht (wegen Config Neustart) können keine längeren Anfragen ausgeführt werden, zudem funktioniert auch das Einspielen eines Backups nicht. Es ist daher sinnvoll nur die Änderung vor dem Crash rückgängig zu machen und dann zu testen ob die Firewall wieder läuft.

Sophos UTM ARP Table

Heute eine Firewall Migration gehabt, 1x ASA5510 raus, 2x Sophos UTM220 rein.

Die Firewall hat zwei DMZ Interfaces 
172.16.126.225/29 DMZ-Public VLAN500
172.16.126.250/29 DMZ-Private VLAN300

Nach der Migration lief ein FTP Server, welcher ein Interface in beide DMZ’s hat, nicht mehr so wie erwartet.

Im Zuge des Troubleshoots war es notwendig, die MAC Adresse des Servers herrauszufinden, da die Firewall das einzige Device ist, welches ein IP Interface in den entsprechenden Layer2 Broadcast Domains hat,  ist sie die einzige die die MAC Adresse des Servers kennt. Leider bietet das GUI der Sophos UTM keine Übersicht der ARP Table.

Challenge accepted 🙂
–> SSH auf Firewall

<M> loginuser@ssl:/ > arp -a
-bash: arp: command not found
<M> loginuser@ssl:/ > man arp
-bash: man: command not found
<M> loginuser@ssl:/ > man ip
-bash: man: command not found

  (mehr …)