Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 7004 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New to Sophos UTM9,

saqib
Hi,
i am new to Sophos UTM 9 and playing with this firewall from a week or so. i just want to configure some basic rules which i am unable to do so. i have experience with pfsense and untangle but this one is different.
what i am trying to achieve is that:

  • allow all traffic to network
  • block some websites which includes (facebook, linkedin, twitter etc) both http & https.
  • block p2p softwares

i have figured out how to allow a single host or a network.
when i am using this with Transparent Mode it does not allow https request and returns the certificate is not trusted error(cannot even open gmail.com).
when i try this with standard mode it does nothing(google is not even accessible).
tried both with "none" authentication mode.

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Hi ,

    In transparent with https scan you need to install the UTM certificate in each computer using the proxy.
    In standard you need to configure manually the proxy in your browser and use port 8080.
    And here again you need to install the UTM certificate on all computers for https scan.
    Without installing the certificate of the UTM on your computers you will get the certificate error in each site using HTPS.

    Ally best
    Gilipeled.
  • 0
    For HTTPS scanning to work without warnings you need to import the UTM's certificate into your browser (each browser) you use.
  • 0
    The reason you are getting the certificate error is because the proxy is intercepting the traffic and then re-transmitting. If you add an exception for a certificate you should be able to browse to the site in question without an issue.  

    The easiest way to deploy the certificate is using GPO or an proxy-auto configuration script. It will save you alot of time in the future. 

    In transparent mode, users are not are not authenticated unless you prompt for them to login using the web browser. This causes alot of issues in larger organizations since users have to log on to every browser and need to manage multiple user names and passwords. 

    If you use standard authentication, you need to setup Active Directory/Open Directory, etc. to authenticate to the Asatro Box. The best way to implement user authentication is by far using AD SSO so the user is automatically authenticated when they logon to the domain. Keep in mind you need to setup your proxy settings and push them out to clients, preferably with GPOs. 

    Hope this helps
    Kyle
  • 0 in reply to gilipeled
    thanks for the quick response, here are my findings:
    i configured the "standard mode" and manually set the proxy of the browser to IP:8080 and then i clicked on "https CAs" and download the certificate under "Signing CA" and imported it in the chrome browser. after that 
    i cannot access the sophos main page
    and when i try to access gmail.com i am getting
    "The Site's Security certificate is not trusted!
    .....................
    .............some text
    and a button "back to safety"
    what am i doing wrong here.
    i had to use different browser to access the sophos main page.
    same results are with Transparent Mode.
  • 0
    I think you'll have to configure your browser not to send local addresses (and your sophos webadmin) to the proxy.
  • 0
    @apijnappels...thanks for the response.
    as i am new to sophos can you please explain how i can configure these things.
    Thanks.
  • 0
    Hi ,

    In the proxy configuration of your browser put in exclude those address.
    In the place you configure the proxy in the browser there is a place to do that.

    All my best
    Gilipeled
  • 0
    Thanks for the reply...but i am not getting my desired result i am still at point zero. i downloaded Astaro security gateway V8 but got the same results on that as well when i enable "scan https traffic" it started giving me certificate errors with transparent mode, now i again install UTM9 to try things again. 
    do i have to download and then upload the same certificate again on Https's CA. 
    so that it can recognize the requests.  
    or is there any other way to block specific https site i have tried using this 
    ^https?://[A-Za-z0-9.-]+\.facebook\.com/
    ^https?://[A-Za-z0-9.-]+\.fbcdn\.net/
    ^https?://facebook\.com/ 
    but no change https is still accessible if "scan https traffic is disabled" .

    please explain in detail, if possible.

    thanks.
  • 0
    saqib, no, the different UTM versions won't help you on that issue in any way.

    The problem you have is documented in the online help at the web security section and it's very normal: The https proxy intercepts the SSL connection, which means it presents a different certificate authority (Proxy-CA) to the browser -  other than the expected signing CA of the webserver certificate. Since the https-proxy has to re-generate the webserver certificates and signs them using his Proxy-CA, the certificate is not signed by a trusted (known to the browser) CA anymore => You have to import the HTTPS-Proxy CA into your browser as TRUSTED ROOT CA. Otherwise you'll get the warnings for each different site and each time. This can be done by visiting the security certificate settings of your browser, there should be options to add/delete CAs. With Microsoft IE, this is done via the Windows certificate management console (certmgr.msc).

    Additionally, with HTTPS-Proxy, there can arise another problem for some sites: If a webserver certificate was signed by a CA the HTTPS-Proxy doesn't know/trust (most probably self-signed), you have to import that CA into the HTTPS-Proxy via the UTM WebAdmin. Or you add an exception to not check the certificate for that URL.
  • 0
    @trollvottel....thank u very much, it worked and finally i have been able to open https sites without certificate errors...i just downloaded the certificate and as per your instructions import it in Trusted Root CA and its working on Chrome, but its not working on firefox 23.0.1 i have searched different forums for help but unable to get any. 
    i am able to block https://facebook etc and things are working perfectly fine on chrome. but not on firefox, do u have any idea what could be the problem.

    Thanks.