Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 3027 views
  • Users 0 members are here
Options
Suggested

[7.500][BUG][NOTABUG] HTTP "Authentication Failed"

BAlfson
I just Up2Dated from 7.405 to 7.500.  As soon as I tried to access an external website, I got the first image attached.

The second image shows the Profile that was working correctly before.

The third image demonstrates that the Astaro is definitely joined to our local domain.

Here's  line from the 'Content Filter (HTTP)' log earlier today, prior to 7.500: 
2009:09:18-15:07:48 post httpproxy[28353]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.*.*.62" user="" statuscode="200" cached="0" profile="REF_RMxbSZXQTi (7301 and VPN)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="33815" time="17241 ms" request="0xb1cfe420" url="www.google.com/search

There were no lines in the log indicating the authorization failed or that anything was blocked.

Cheers - Bob
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.500
    Type: BUG
    State: NOTABUG
    Reporter: BAlfson
    Contributor: 
    MantisID: 
    --------------------------------
  • 0
    I can confirm this.

    The default HTTP-Proxy settings under

    WebAdmin->Web Security->HTTP/S->Global

    use a Transparent proxy setting (with SSL but no full transparent) WITHOUT authentication.

    HTTP-Proxy-Profil under

    WebAdmin->Web Security->HTTP/S Profiles->Proxy Profiles

    uses a normal (no transparent) proxy with Basic User Authentication.

    When the browser uses the Astaro as HTTP Proxy with user authentication, all works fine.

    When the browser uses no proxy at all, the default transparent proxy should work without authentication. With 7.405 all works fine, since 7.500 I get a authentication request on EVERY web page I try to connect in transparent proxy mode!

    Regards
    Manuel
  • 0 in reply to m.fischer
    Just to get this right: You have one Network (say 192.168.0.0/16), and are trying to apply different profiles for clients who are using transparent mode, vs clients using non-transparent mode in that network?
  • 0 in reply to svens
    Just to get this right: You have one Network (say 192.168.0.0/16), and are trying to apply different profiles for clients who are using transparent mode, vs clients using non-transparent mode in that network?


    Yes, that's right!

    All application or browsers without a configured proxy uses the default transparent proxy settings (high security settings, no active content, ...).

    All browsers with a configured proxy using basic authentication against the proxy profil and get lower security settings.

    All clients are in the same subnet.

    Regards,
    Manuel
  • 0
    Well, i have bad news for you: This setup was never supposed to work - you have to have a one Network to one Profile mapping, and can't mix transparent and authenticated modes.
    Most likely this behaviour changed due to the addition of the 'Authenticated Transparent' mode.

    (BTW, IMHO this is a security flaw - the Profiles should always be applied before the global profile, so if somebody can use the proxy without authentication, this is simply wrong)
  • 0
    Sven, I beg to differ.  There is a bug here. 

    For example, I could have a profile for 10.10.7.0/24 followed by one for 10.10.0.0/16 and that should be supported.

    In any case, the problem is that the default is "Transparent" NOT "Transparent with Authentication."  The global behavior should not be changed just because some subnet has a specific mode assigned.

    FWIW, this breaks our standard HTTP Proxy configuration which allows the admin to establish more-open profiles and tell the users that they can access it by aiming their browser at the proxy on port 8080.  If this is not fixed, the admins will get hammered to go out and "fix" all the people who were happy with the more-restrictive default.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Are Fischer and I the only ones who're very concerned about this new limitation?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    No, you are not alone! I had planned to introduce http profiles based on my tests on v 7.405 but this will become impossible with this limitation. I cannot educate my users that they have to use the proxy settings and their old setup will no longer work when I activate the profiles. This will be a longer process and I need the transparent proxy as fallback during this time!
    Not sure but I believe there will be more concerns after the rollout.

    Michael
  • 0 in reply to rimi
    This is a major concern for all of us that have used this in the past to control non-authenticated users.
Unfiltered HTML