Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 22 replies
  • Subscribers 0 subscribers
  • Views 9198 views
  • Users 0 members are here
Options
Suggested

[9.165] Web filtering profiles SSO authentication

Rok
Hi!
I have some problems with new web transparent mode and SSO authentication. I set the web profile for one user where transparent mode with SSO is enabled (UTM is connected to AD, user login on UTM is working), but any of my browsers always started with login window (tested on Xp, W7 and W8). I am guessing utm should get logged username and set the IP for it, but I am not sure how long this "relation" is cached. In web log the user field is empty, so please advise what should I check that utm could recognise logged user instead prompting for login in browser.

Thanks,
Rok
Parents
  • 0
    This is actually a completely expected and explainable - even if the user experience is a little odd.

    Let me explain how AD SSO in transparent mode works because it is different from Standard mode (where a browser expects proxy authentication).  When you go to a HTTP website and the proxy requires authentication we redirect the browser to a page at passthough.fw-notify.net which requests authentication.  The browser sends the SSO credentials silently, if those fails then the browser does a screen pop asking the user for credentials.  If those succeed the browser will cache them (maybe just for this session, maybe permanently in its password manager).  After authentication the browser is redirected back to where it was originally trying to go.

    After 5 minutes of browsing the authentication timeout has been reached and again we redirect the browser to fw-notify.net for authentication.  This time the cached credentials are used, the authentication works silently, the browser is redirected back to the original destination, and the user does not know that anything has happened.

    When you say that you were authenticated for 30 minutes, in fact there were 6 authentications but the last 5 were silently handled by your browser.

    HTTPS is slightly more complicated.  Lets say that the proxy is in HTTPs "URL Filtering Only" and that you do not have the CA installed on the computer.

    Now you come in the morning and the very first thing that you do is open an HTTPS site.  It requires authentication so we actually man-in-middle attack the SSL connection to redirect you to passthrough.fw-notify.net to perform the authentication (as we do in HTTP mode).  Because of this and because the browser does not trust the CA you will get a certificate warning.  If you ignore that the authentication will proceed as before.

    Put these two things together and it explains your scenario.  You were browsing mostly HTTP sites and your browser was silently re-authenticating every 5 minutes.  Then you happened to be on an HTTPS site when you needed to be reauthenticated so you got a certificate error.  You closed the tab and did some HTTP request which silently re-authenticated you.


    To be clear:  Even if you select the HTTPS option "URL Filtering Only" we will still man-in-the-middle to do authentication and display block pages.  This was always the case in Standard mode (with the 9.1 Scan HTTPS checkbox off) and is now the case in Transparent mode (when in URL Filtering Only).  This means there are cases where we use the CA and browsers that do not trust us will get a cert warning.
Reply
  • 0
    This is actually a completely expected and explainable - even if the user experience is a little odd.

    Let me explain how AD SSO in transparent mode works because it is different from Standard mode (where a browser expects proxy authentication).  When you go to a HTTP website and the proxy requires authentication we redirect the browser to a page at passthough.fw-notify.net which requests authentication.  The browser sends the SSO credentials silently, if those fails then the browser does a screen pop asking the user for credentials.  If those succeed the browser will cache them (maybe just for this session, maybe permanently in its password manager).  After authentication the browser is redirected back to where it was originally trying to go.

    After 5 minutes of browsing the authentication timeout has been reached and again we redirect the browser to fw-notify.net for authentication.  This time the cached credentials are used, the authentication works silently, the browser is redirected back to the original destination, and the user does not know that anything has happened.

    When you say that you were authenticated for 30 minutes, in fact there were 6 authentications but the last 5 were silently handled by your browser.

    HTTPS is slightly more complicated.  Lets say that the proxy is in HTTPs "URL Filtering Only" and that you do not have the CA installed on the computer.

    Now you come in the morning and the very first thing that you do is open an HTTPS site.  It requires authentication so we actually man-in-middle attack the SSL connection to redirect you to passthrough.fw-notify.net to perform the authentication (as we do in HTTP mode).  Because of this and because the browser does not trust the CA you will get a certificate warning.  If you ignore that the authentication will proceed as before.

    Put these two things together and it explains your scenario.  You were browsing mostly HTTP sites and your browser was silently re-authenticating every 5 minutes.  Then you happened to be on an HTTPS site when you needed to be reauthenticated so you got a certificate error.  You closed the tab and did some HTTP request which silently re-authenticated you.


    To be clear:  Even if you select the HTTPS option "URL Filtering Only" we will still man-in-the-middle to do authentication and display block pages.  This was always the case in Standard mode (with the 9.1 Scan HTTPS checkbox off) and is now the case in Transparent mode (when in URL Filtering Only).  This means there are cases where we use the CA and browsers that do not trust us will get a cert warning.
Children
No Data