Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 8781 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS-scanning can't be bypassed

pelumu
Hi,

in ASG 7.401 I've activated HTTPS-scanning. My client is configured to use the same proxy (asg.xyz.local:8080) for all protocols.

That blocked my online banking. So I created an exception for some destination URLs to skip authentication, URL Filter and certificate check.
With some banks it functions well but with one bank I find no solution. In the http live log I get the following line:

2009:03:26-02:27:01 ASG httpproxy[11844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.3.138" user="" statuscode="502" cached="0" profile="REF_mIyDSMevUH (Test)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2177" time="166 ms" request="0xb2e0e188" url="hbci-01.hypovereinsbank.de/" exceptions="av,auth,content,url,certcheck,certdate,mime" error="Unable to get peer certificate"

I believe the problem is the error "Unable to get peer certificate".

What could be a solution for my problem?
Who can I completely skip HTTPS-scanning for some URLs?

Peter


This thread was automatically locked due to age.
  • 0
    Hi there,

    While we might adjust this to be more clear in a future up2date, we have adjusted the "transparent mode" skiplist to include support for destinations as well. Define the site url and add it to the skiplist for transparent mode.

    In browser mode where you POINT at the proxy however, you can easily remove a site and just have it go out the normal packet filter, for example in mozilla under the Options-->Advanced-->Network where you set the proxy, at the bottom is a field that says "no proxy for" where you can define as many sites as you need. 

    Hope this helps!
  • 0
    Hi,

    in ASG 7.401 I've activated HTTPS-scanning. My client is configured to use the same proxy (asg.xyz.local:8080) for all protocols.

    That blocked my online banking. So I created an exception for some destination URLs to skip authentication, URL Filter and certificate check.
    With some banks it functions well but with one bank I find no solution. In the http live log I get the following line:

    2009:03:26-02:27:01 ASG httpproxy[11844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.3.138" user="" statuscode="502" cached="0" profile="REF_mIyDSMevUH (Test)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2177" time="166 ms" request="0xb2e0e188" url="https://hbci-01.hypovereinsbank.de/" exceptions="av,auth,content,url,certcheck,certdate,mime" error="Unable to get peer certificate"

    I believe the problem is the error "Unable to get peer certificate".

    What could be a solution for my problem?
    Who can I completely skip HTTPS-scanning for some URLs?

    Peter


    The main problem is that the Server tries to use an Anonymous Cipher, which doesn't work with the sslproxy. To prevent this, logon as root to your ASG, and execute the following commands:

    # cc set http ciphers DEFAULT
    # /var/mdw/scripts/httpproxy restart

    After that, the you shouldn't get this error any longer. (I'm still getting a 404 error from the Server, but that's not ASGs fault...)

    Cheers,

    Sven.
  • 0 in reply to svens
    SvenS, what does that command do?  What are the side-effects?  When should one NOT do that - or is that one of the fixes planned for an Up2Date?

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry for being late for the meeting, but I have noticed sven post a few hacks for http proxy lately. Up until 7.401 most of the http proxy files were under /var/chroot-http/etc/http.ini or something to that effect. Although the proxy was not as configurable as the old squid proxy, it seemed like you could tweak the connections etc. 

    I understand that with new proxy certain things are hidden but the .conf files is what makes linux so much interesting compared to windozez. If its not too much to ask could you guys leave the configuration files so that we don't have one size fits all and we can tweak when necessary. 

    A prime example of this is spamassassin which has been deleted due to memory usage or whatever and we have ctasd. Just for fun, I hooked up my old 6.3 machine behind the 7.401 astaro to see if it will catch any spam and sure enough even with default configuration, it catches spam that v7.4xx thinks is not spam.
    Just my 2 cents.[:)]
  • 0 in reply to Billybob
    Billybob, since I'm not a linux guru, I can't add my support except to say that it makes sense to let home users hack around just to get better intel from them.

    My experience with the new spam filter is that the current engine is better at almost everything, but it has a singular weakness when it comes to advance-fee fraud (Nigerian 419).  Of the spams caught by 6.3, how many were Nigerian fraud and how many "other"?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Don't get me wrong, I like the hacks too, but if making changes via ssh voids support then why not leave conf files the way they were. Plus atleast you had some kind of record of what you mucked with. It would also make sense maybe to add a list of hacks into a readme file and then we can go that way.

    Of the spams caught by 6.3, how many were Nigerian fraud and how many "other"?

    Bob, I didn't run it for a long time to really break it down but now that you mention it, I believe it was mostly fee fraud and a few pharmaceutical. The thing I liked the best about spamassassin was that you could send spam mail from lets say hotmail or yahoo but spam was still considered spam and wasn't based solely on the IP reputation. I also liked the levels of spam in v6 and that way at home, even though I got a few regular mails tagged as spam, I always had control to mark most of the spam as spam.

    I might do a detailed test this summer and will post results if I get a chance. Unless ofcourse by then the spam engine has become flawless and I don't need a test (hint hint)[:D]
  • 0
    The thing I liked the best about spamassassin was that you could send spam mail from lets say hotmail or yahoo but spam was still considered spam and wasn't based solely on the IP reputation.

    Just thought I'd revisit this thread from a year ago.  I looked back at the "spam" that got through over the last two weeks.  All but two were due to an exception I have for a forward from my balfson@alumni.university.edu account.  All of the spams were fraud attempts of some sort and, including those two, could have been caught by SpamAssassin.  I still prefer the current system as it catches just about everything: two misses out of over 20,000 spams stopped is an enviable record!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA