Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 2192 views
  • Users 0 members are here
Options
Suggested

[9.165][ANSWERED]HTTPS Full Transparent Scanning - How?

scorpionking
Hi!

Updated via Up2Date - no problems so far.

How do I configure the transparent HTTPS scanning without the need for the Proxy CA on the client? Didn't find an appropriate option in the profile settings...
  • 0
    AFAIK this is done automatically if SSL scanning is not enabled.

    Please understand the feature does *not* somehow do AV scanning for SSL as it does not man-in-the-middle the SSL stack! It's only for URL filtering, done via analyzing the SNI in the header!
  • 0
    Yes, I understood that it's only URL filtering. Better than nothing... [;)]

    So I still need to have a firewall rule allowing HTTPS traffic for non-proxy-capable clients?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    OK, now I'm a bit confused... [:S]

    I disabled the firewall rule allowing https for internal clients. Then checked the transparent proxy: no ssl scanning enabled.

    Then I tried to reach a https site: works!
    I double checked my firewall rules and web Protection: there is no rule allowing https for this client nor is there https scanning enabled!

    There's nothing in the firewall or proxy log.

    Why do I reach https sites?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    If there's nothing in packetfilter nor http.log, your requests haven't been filtered in any way. I strongly guess there's a hole somewhere in your packetfilter ruleset and the packets are allowed to go through. But will check for myself when I'm at home.
  • 0
    Seems I didn't look deeply enough. I see something in the proxy log now.

    So my current setup is:
    No firewall rule allowing Web Surfing (HTTP or HTTPS).
    2 Proxy Profiles: one in standard mode with HTTPS scanning enabledon top position, one in Transparent mode without HTTPS scanning (for non-proxy-capable clients).

    It's working for all devices I have tested so far (both standard and transparent mode devices)

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    FYI, we will perhaps add a radio-button or other visual indicator to the Web Protection menu to indicate that if you are not using the deep (man in the middle) HTTPS inspection, the certificate-based URL check will be used.

    regardless, https is now handled by the proxy in transparent mode [:)]
  • 0 in reply to AngeloC
    I have not tested it, but what happens when customer is migrating from 9.1 to 9.2 with transparent mode  and https packet filter rule.

    Is then still the packet filter rule running and have to be disabled?
    If not, and transparent Proxy will be used for https after migration from 9.1 to 9.2 this might produce a lot of unhappy customers (not reading the release notes) cause System is acting diffrent after update.

    May be there should be a transparent http proxy mode, with options to enable full transparent https and half(certificate based) https transparent mode.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    In both 9.1 and 9.2 when "Scan HTTP (SSL) Traffic" is unchecked, the transparent proxy was still used for HTTPS.  In both 9.1 and 9.2 if you block nudity and try to go to https playboy you will be blocked - even with scanning off.

    This is true except in cases where you multiple domains hosted at the same IP that use the same SSL certificate (eg www.penthouse.com and forums.penthouse.com at the same IP with the same certificate but different hostnames).  In this case in 9.1 during the TLS handshake we don't know the real destination and therefore cannot do categorization blocking.  After the TLS handshake is done I think the HTTP CONNECT is not visible (no SSL scanning) so we don't block.

    The 9.2 SNI support is an improvement, allowing us to detect the real destination earlier (during TLS handshake).  This means that sites which have one certificate handling multiple domains, we now block them.

    In practical terms, for those who who have "Scan HTTP (SSL) Traffic" turned off the only difference will be better categorization detection for sites that have multiple domains on one certificate, which means better blocking.
Unfiltered HTML