[9.194-5][ANSWERED] HTTP/S Proxy

HTTPS SNI inspection was introduced into 9.165.  Under "HTTPS (SSL) traffic:", there's "Do not scan", "URL filtering only" (new), and "Decrypt and scan".  The new option is for SNI inspection where newer clients will indicate their desired target server as a part of the TLS negotiation.

The following is with the "Web Filtering" "Operation Mode" in "Transparent Mode".  When I have it set to "Do not scan", HTTPS traffic isn't noted at all by the web filter and can be blocked by a simple drop rule.  When set to "URL filtering only", the HTTPS drop rule no longer drops the traffic and it is instead filtered by the transparent proxy.  While in "Transparent Mode", an HTTP drop rule also has no affect as it's controlled by the transparent proxy.

When in "Standard Mode", I see that "Do not scan" is no longer an option and it forces it to "URL filtering only" and a simple HTTP drop rule blocks transparent access.

Is this what you're observing?

hi genec,
you missunderstood me. "Do not scan" is configured. A simple drop rule no more works. All https traffic is handled by the proxy. This is a new behavior.

When I have "Transparent Mode" and "Do not scan", an HTTPS drop firewall works.  Check the order of rules.

did you use the same version?

[HTML]2014:02:16-20:58:15 asg-1 httpproxy[9697]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.24.60" dstip="173.194.69.94" user="" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (w8)" filteraction="REF_HttCffTestKc (Test KC)" size="49503" request="0xb5eccc0" url="www.google.de/.../HTML]

In the log/pictures, I see critical details that are likely relevant.  I was only tweaking the defaullt profile and not a system-specific profile.  Does your default profile include "URL filtering only"?  This is begining to sound like it's a bug as it should either be noting a different profile/policy OR doing absolutely nothing.

A possible workaround is to configure the default as "Transparent Mode", "Do not scan" then apply "URL Filtering" on another profile that includes the other systems.

Hello guys

just discovered this post. I have two questions:

1.) We are using v.9.107-33 whereby v.9.108-23 seems to be the newest one. You are talking about v.9.194 ? Is that an unofficial/beat one?

2.) Could your topic apply to this post that I urgently need a solution for?: https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46200

hi uwe,
this is a beta Forum [;)]

Oops, now I see in the URL. ^_^

However, this method sounds charming. What about my second point? :-}

UweT, "URL filtering only" only works on SNI inspection (the hostname only).  For SNI-friendly clients, yes.

If it's so urgent, I'd suggest beta testing.  I have a UTM 9.2 beta VM on my laptop I've been using it for testing like this.

I have to discuss that internally. It's possible that we will go with a work around for the next time. I would like to wait for the official version because we use it in a productive environment.

It would be really good to know the publishing date.

Thank you up to this point!