Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 7006 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New to Sophos UTM9,

saqib
Hi,
i am new to Sophos UTM 9 and playing with this firewall from a week or so. i just want to configure some basic rules which i am unable to do so. i have experience with pfsense and untangle but this one is different.
what i am trying to achieve is that:

  • allow all traffic to network
  • block some websites which includes (facebook, linkedin, twitter etc) both http & https.
  • block p2p softwares

i have figured out how to allow a single host or a network.
when i am using this with Transparent Mode it does not allow https request and returns the certificate is not trusted error(cannot even open gmail.com).
when i try this with standard mode it does nothing(google is not even accessible).
tried both with "none" authentication mode.

Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    saqib, no, the different UTM versions won't help you on that issue in any way.

    The problem you have is documented in the online help at the web security section and it's very normal: The https proxy intercepts the SSL connection, which means it presents a different certificate authority (Proxy-CA) to the browser -  other than the expected signing CA of the webserver certificate. Since the https-proxy has to re-generate the webserver certificates and signs them using his Proxy-CA, the certificate is not signed by a trusted (known to the browser) CA anymore => You have to import the HTTPS-Proxy CA into your browser as TRUSTED ROOT CA. Otherwise you'll get the warnings for each different site and each time. This can be done by visiting the security certificate settings of your browser, there should be options to add/delete CAs. With Microsoft IE, this is done via the Windows certificate management console (certmgr.msc).

    Additionally, with HTTPS-Proxy, there can arise another problem for some sites: If a webserver certificate was signed by a CA the HTTPS-Proxy doesn't know/trust (most probably self-signed), you have to import that CA into the HTTPS-Proxy via the UTM WebAdmin. Or you add an exception to not check the certificate for that URL.
Reply
  • 0
    saqib, no, the different UTM versions won't help you on that issue in any way.

    The problem you have is documented in the online help at the web security section and it's very normal: The https proxy intercepts the SSL connection, which means it presents a different certificate authority (Proxy-CA) to the browser -  other than the expected signing CA of the webserver certificate. Since the https-proxy has to re-generate the webserver certificates and signs them using his Proxy-CA, the certificate is not signed by a trusted (known to the browser) CA anymore => You have to import the HTTPS-Proxy CA into your browser as TRUSTED ROOT CA. Otherwise you'll get the warnings for each different site and each time. This can be done by visiting the security certificate settings of your browser, there should be options to add/delete CAs. With Microsoft IE, this is done via the Windows certificate management console (certmgr.msc).

    Additionally, with HTTPS-Proxy, there can arise another problem for some sites: If a webserver certificate was signed by a CA the HTTPS-Proxy doesn't know/trust (most probably self-signed), you have to import that CA into the HTTPS-Proxy via the UTM WebAdmin. Or you add an exception to not check the certificate for that URL.
Children
No Data