Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 7811 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering Profiles

RBueeler
Hallo zusammen und ein Frohes Neues Jahr,

Ich hab mir für unser Firmen-WLAN ein eigenes VLAN erstellt, welches komplett vom LAN abgeschottet ist.
Nun habe ich dem WLAN ein Proxy-Profile zugewiesen.

Das Proxy-Profile hat als Source-Network wieder das WLAN/das VLAN.
Soweit funktioniert eigentlich auch alles bestens.

Nun habe ich 2 Filter Assignments eingerichtet, zum einen einen Restricted Filter, der zeitbasiert am Vor- und Nachmittag aktiv ist und einen OPEN Filter, der über Mittag aktiv ist. 

Soweit so gut :-)

Nun, der Restricted Filter hat z.B. Facebook geblockt (^https?://([A-Za-z0-9.-]*\.)?facebook\.com/) und der OPEN Filter nicht.

Wenn ich während der Restricted Zeit auf http://www.facebook.com gehe, wird das schön geblockt, wenn ich aber auf https://www.facebook.com gehe, kann ich mich wunderbar austoben. Gleich verhält sich das auch mit Youtube oder ähnlichem.

Wir haben die Application Control auch aktiv, jedoch ist das VLAN in der Skiplist.

Habt ihr eine Ahnung, warum bei der Schreibweise:

^https?://([A-Za-z0-9.-]*\.)?facebook\.com/

der HTTP-Traffic geblockt wird, der HTTPS aber nicht? [:S]

Herzlichen Dank und einen schönen Abend!


This thread was automatically locked due to age.
  • 0
    Wird denn auch der HTTPS-Traffic über den Proxy geführt?
    Logfile müsste hier Auskunft geben.
  • 0
    Hi GMF,

    Der HTTPS-Traffic geht auch über den Proxy, jedoch, wenn ich z.B. auf https://www.youtube.com oder https://www.facebook.com gehe wird Folgendes geloggt:

    YouTube HTTP:
    name="web request blocked, forbidden url detected" action="block" method="GET" srcip="192.168.240.3" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProIbainProfi (Mitarbeiter Profile)" filteraction="REF_HttCffIbamiFilteZu (Mitarbeiter Filter RESTRICTED)" size="2890" request="0xb2adf068" url="http://www.youtube.com/"

    YouTube HTTPS:
    name="http access" action="pass" method="POST" srcip="192.168.240.3" dstip="199.7.57.72" user="" statuscode="200" cached="0" profile="REF_HttProIbainProfi (Mitarbeiter Profile)" filteraction="REF_HttCffIbamiFilteZu (Mitarbeiter Filter RESTRICTED)" size="1596" request="0x87366f8" url="ocsp.verisign.com/" exceptions="application" error="" reputation="trusted" category="178" reputation="trusted" categoryname="Internet Services"

    So wie's ausseht geht die Anfrage nach https://www.youtube.com also zur Zertifizierungsstelle und flupps, die UTM lässt durch. Wie kann ich das umgehen?
  • 0
    YouTube HTTPS:
     name="http access" action="pass" method="POST" srcip="192.168.240.3" dstip="199.7.57.72" user="" statuscode="200" cached="0" profile="REF_HttProIbainProfi (Mitarbeiter Profile)" filteraction="REF_HttCffIbamiFilteZu (Mitarbeiter Filter RESTRICTED)" size="1596" request="0x87366f8" url="http://ocsp.verisign.com/" exceptions="application" error="" reputation="trusted" category="178" reputation="trusted" categoryname="Internet Services"

    "http://ocsp.verisign.com/" ist nicht "https://www.youtube.com/" ???

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, 
    Das ist korrekt, aber sobald ich https://www.youtube.com aufrufe, erscheint der Eintrag oben im Log.
    Ich kann ausschliessen, dass der von einem anderen Client ist (Bin der einzige in dem WLAN). Any ideas? Find das Ganze schon sehr komisch...
  • 0
    (Sorry, my German-speaking brain has left the building!)

    In "Transparent" mode, only HTTP traffic is handled by the Proxy unless 'Scan HTTPS' is selected.  All other web traffic passes via a firewall rule.  When you set up the UTM initially, the installation wizard probably created a rule like 'Allow : Internal (Network) -> Web Surfing -> Any'.  http://ocsp.verisign.com/ was probably a link on the youtube page.

    In "Standard" mode, all of the services listed in 'Allowed target services' on the 'Advanced' tab are handled by the Proxy.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Ich habe nun einmal "Scan HTTPS" aktiviert, nun werden auch Seiten wie Facebook oder Youtube aufgrund des Webfilters geblockt.
    Problematischerweise bekomme ich nun aber für JEDE HTTPS-Seite, die ich aufrufe, eine Zertifikatswarnung. Wie umgehe ich das? ;-)

    Das Ziel ist greifbar nah...
  • 0 in reply to RBueeler
    @RBueeler:
    Hallo,

    einfach das Zertifikat in der letzten Registerkarte in "Webfilter" herunterladen (bitte ohne privaten Schlüssel!) und via mmc/zertifikate/(lokale) computerzertifikate in "Vertrauenswürde Stammzertifizierngsstellen) importieren, schon sollte das nichtmehr stören.

    Grüße,

    Manuel
  • 0
    Hallo Manuel,

    Merci für den Tipp, das klappt auch.
    Problematisch ist allerdings: Das WLAN ist ein Mitarbeiter und Gäste Netzwerk, und ich kann ja nicht von jedem Gast verlangen, dass er sich zuerst das Zertifikat importiert...

    Gibts noch eine andere Lösung?
  • 0 in reply to RBueeler
    Nein, meines Wissens müssen die Besucher/Gäste dann mit dem Bestätigen der Zertifikatswarnungen leben, lasse mich da aber auch gerne eines Besseren belehren...

    In meinem WLAN-Netz (DHCP) filtere ich aktuell auch kein HTTPS, um eben diese Umstände zu umgenen, auch wenn das sicherheitstechnisch natürlich nicht so gewollt ist.

    Du kannst höchstens das Zertifikat im Netz (NAS/Server) zur Verfügung stellen mit dem Hinweis, es zu importieren (Userbasiert). Ggf. ein Hinweis im Hotspot-Portal oder gar Link darauf?

    Manuel
  • 0
    Hi Manuel,

    Das ist natürlich eine Idee.
    Prinzipiell muss ich im Gäste-WLAN nicht filtern, aber es gibt eben auch eins für Mitarbeiter, und da sind Facebook und YouTube nicht erlaubt.

    Man könnte das Ganze theoretisch auch über die Application Control laufen lassen, aber ich hab das Problem, dass das Management will, dass Facebook & Youtube über Mittag offen sind. 

    Das lässt sich mit Web Filtering Profiles gut lösen, aber eben, leider Gottes hat die Application Control keine zeitbasierte Steuerung von geblockten oder offenen Seiten...

    Wär vielleicht was für UTM (Formerly ASG) Feature Requests: Hot (1141 ideas) :-)
Cookie Information Banner