Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 5567 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebProxy-Ausnahme für HTTPS-Seite einrichten

Datax_87
Hallo UTM-Experten,

ich habe aktuell noch Verständnisprobleme was das Erstellen von WebProxy-Ausnahmen für HTTPS-Seiten angeht.

Muss der HTTPS-Scan aktiviert sein, wenn ich beim WebProxy im Standardmodus eine Ausnahme für eine HTTPS-Seite erstelle?

Braucht man also den HTTPS-Scan damit die erstellte Ausnahme greift?

Wie verhält sich das beim WebProxy im Transparenten Modus?

Danke schon mal für eure Hilfe!!

Gruß, Datax


This thread was automatically locked due to age.
Parents
  • 0
    Generell: Du musst für HTTPS scanning die Proxy-CA der UTM auf deinen Clients als vertrauenswürdige Stammzertifizierungsstelle importieren. Die UTM muss ja für den HTTPS Scan den Stream entschlüsseln, um reinschauen zu können. Danach wird er mit der UTM-CA neu verschlüsselt, damit beim Client auch HTTPS ankommt.

    Generell läuft nach meiner Erfahrung HTTPS scanning beim Standard Mode besser, beim Transparenten machen diverse Seiten und Dienste immer mal Probleme. Auch greifen beim Transparenten Modus Proxy-Ausnahmen mit URL nicht (z.B. ^https://.*some-domain\.org/) stattdessen muss man hier die Ziel-IP eintragen, was ja nicht immer auf eine IP beschränkt ist.
    Die 9.2 bringt hier allerdings Verbesserungen, da ein "Light"-HTTPS-Scan implementiert ist, der bei HTTPS-Seiten zumindest eine Kategorisierung der URL erlaubt (aber keinen Virenscan u.ä.).

    Weiterer Unerschied:
    Im Transparenten Modus werden nur die Ports 80 und 443 gefiltert, beim Standard Modus auch alles andere, was aus dem Browser aufgerufen wird.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0
    Generell: Du musst für HTTPS scanning die Proxy-CA der UTM auf deinen Clients als vertrauenswürdige Stammzertifizierungsstelle importieren. Die UTM muss ja für den HTTPS Scan den Stream entschlüsseln, um reinschauen zu können. Danach wird er mit der UTM-CA neu verschlüsselt, damit beim Client auch HTTPS ankommt.

    Generell läuft nach meiner Erfahrung HTTPS scanning beim Standard Mode besser, beim Transparenten machen diverse Seiten und Dienste immer mal Probleme. Auch greifen beim Transparenten Modus Proxy-Ausnahmen mit URL nicht (z.B. ^https://.*some-domain\.org/) stattdessen muss man hier die Ziel-IP eintragen, was ja nicht immer auf eine IP beschränkt ist.
    Die 9.2 bringt hier allerdings Verbesserungen, da ein "Light"-HTTPS-Scan implementiert ist, der bei HTTPS-Seiten zumindest eine Kategorisierung der URL erlaubt (aber keinen Virenscan u.ä.).

    Weiterer Unerschied:
    Im Transparenten Modus werden nur die Ports 80 und 443 gefiltert, beim Standard Modus auch alles andere, was aus dem Browser aufgerufen wird.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
No Data
Cookie Information Banner