Web Protection / Richtlinientest

Hab das mal versucht nachzustellen, ist bei mir definitiv nicht so.

Ist der Client eventuell in der Transparent Proxy Skiplist enthalten? Die wird beim Policy Test nämlich nicht berücksichtigt, unabhängig von der verwendeten Quell-IP.

Wo finde ich die Skiplist?

Bzw. unser Betriebsmodus ist auf "Transparenzmodus" eingestellt und unter Webfilter > HTTPS ist "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktiviert. Wird https://www.kinox.to/ deshalb nicht geprüft?

Wo finde ich die Skiplist?

Bzw. unser Betriebsmodus ist auf "Transparenzmodus" eingestellt und unter Webfilter > HTTPS ist "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktiviert. Wird https://www.kinox.to/ deshalb nicht geprüft?

Der von Dir erwähnte Haken wäre schon mal ein Problem. Den solltest Du rausnehmen und wenigstens die oberste Option (im engl. " URL filtering only") aktivieren, da sonst der https-Traffic komplett ignoriert wird. Die UTM kann dann zwar immer noch nicht den Inhalt der Pakete sehen, aber anhand der URL zumindest unerwünschte Kategorien blockieren.

Was ich aber meinte ist unter den Einstellungen für den Webfilter der dritte Punkt im Menü links "Filtering Options" (über dem Richtlinientest), dann letzter Reiter ganz rechts (im engl. "Misc."). Dort gibt es zwei Listen für die Steuerung des transparenten Proxy-Modus, einmal für die Quelle (hier vermute ich einen Eintrag der IP des betreffenden Rechners oder gar des gesamten Subnets) und einmal für die Ziele.

Elemente in diesen zwei Listen werden vom transparenten Proxy-Modus ausgenommen (d.h. aber u.U. auch, dass es eine entsprechende Firewall-Regel geben muss, die den entsprechenden http oder https Traffic erlaubt).

Ich würde sogar fast behaupten, dass der Haken das Grundproblem ist :-)
Haken raus und der der Aufruf der https-Seite wird gescannt bzw. geblockt bzw. bei https://www.kinox.to/ kommt vorab die Zertifikatswarnung....

In der Skiplist sind/waren übrigens keine Einträge vorhanden....

Dann sollte das ja soweit passen. Die Skiplists sind bei mehreren an der UTM liegenden Netzen oder bei VPN-Verbindungen ein Thema.

Z.B. du hast ein Client-Netz 192.168.1.0 und ein Server-Netz 192.168.2.0 und für das Client-Netz ist der transparente Proxy aktiv. Dann würde ein Aufruf von http://192.168.2.1 z.B. für das Intranet durch den Proxy gejagt werden, was im Normalfall nicht gewollt ist. Für solche Fälle würde man das Servernetz (oder den Intranet-Server) dann als zu skippendes Ziel aufnehmen.

Wir haben zwar auch unterschiedliche Netze (z.B. für die RED-Standorte) - aber von denen will ich keines aushebeln :-)

Vielen vielen Dank für deine Mithilfe!

You also need to create a firewall rule to block UDP 443 (Google Chrome QUIC protocol).   Otherwise Chrome will completely bypass your web filter for any servers that understand QUIC.

Hallo zusammen,

eine Frage noch zu dem Thema - im Webfilter unter HTTPS habe ich nun ja die Auswahl auf "Nur URL-Filterung" gesetzt. Wenn wir nun z.B. in Google auf ein Suchergebnis vom Typ "Anzeige" klicken erhalten wir eine Meldung "Diese Verbindung ist nicht sicher" im Firefox. Zum Beispiel ad.doubleclick.net verwendet ein ungültiges Sicherheitszertifikat....

Woran liegt das?

Firefox uses a personal certificate store instead of the Windows one, so it does not have the UTM root certificate.   When UTM blocksvan https link, it has to impersonate the remote server, so the root certificate is needed to valdate the imoersonation.

That means that despite the parameter "URL filtering only" I should distribute the certificate?

Yes.

Or allow the page ad.doubleclick.net in the policy ?!