Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 8783 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS-scanning can't be bypassed

pelumu
Hi,

in ASG 7.401 I've activated HTTPS-scanning. My client is configured to use the same proxy (asg.xyz.local:8080) for all protocols.

That blocked my online banking. So I created an exception for some destination URLs to skip authentication, URL Filter and certificate check.
With some banks it functions well but with one bank I find no solution. In the http live log I get the following line:

2009:03:26-02:27:01 ASG httpproxy[11844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.3.138" user="" statuscode="502" cached="0" profile="REF_mIyDSMevUH (Test)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2177" time="166 ms" request="0xb2e0e188" url="hbci-01.hypovereinsbank.de/" exceptions="av,auth,content,url,certcheck,certdate,mime" error="Unable to get peer certificate"

I believe the problem is the error "Unable to get peer certificate".

What could be a solution for my problem?
Who can I completely skip HTTPS-scanning for some URLs?

Peter


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    in ASG 7.401 I've activated HTTPS-scanning. My client is configured to use the same proxy (asg.xyz.local:8080) for all protocols.

    That blocked my online banking. So I created an exception for some destination URLs to skip authentication, URL Filter and certificate check.
    With some banks it functions well but with one bank I find no solution. In the http live log I get the following line:

    2009:03:26-02:27:01 ASG httpproxy[11844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.3.138" user="" statuscode="502" cached="0" profile="REF_mIyDSMevUH (Test)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2177" time="166 ms" request="0xb2e0e188" url="https://hbci-01.hypovereinsbank.de/" exceptions="av,auth,content,url,certcheck,certdate,mime" error="Unable to get peer certificate"

    I believe the problem is the error "Unable to get peer certificate".

    What could be a solution for my problem?
    Who can I completely skip HTTPS-scanning for some URLs?

    Peter


    The main problem is that the Server tries to use an Anonymous Cipher, which doesn't work with the sslproxy. To prevent this, logon as root to your ASG, and execute the following commands:

    # cc set http ciphers DEFAULT
    # /var/mdw/scripts/httpproxy restart

    After that, the you shouldn't get this error any longer. (I'm still getting a 404 error from the Server, but that's not ASGs fault...)

    Cheers,

    Sven.
  • 0 in reply to svens
    SvenS, what does that command do?  What are the side-effects?  When should one NOT do that - or is that one of the fixes planned for an Up2Date?

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry for being late for the meeting, but I have noticed sven post a few hacks for http proxy lately. Up until 7.401 most of the http proxy files were under /var/chroot-http/etc/http.ini or something to that effect. Although the proxy was not as configurable as the old squid proxy, it seemed like you could tweak the connections etc. 

    I understand that with new proxy certain things are hidden but the .conf files is what makes linux so much interesting compared to windozez. If its not too much to ask could you guys leave the configuration files so that we don't have one size fits all and we can tweak when necessary. 

    A prime example of this is spamassassin which has been deleted due to memory usage or whatever and we have ctasd. Just for fun, I hooked up my old 6.3 machine behind the 7.401 astaro to see if it will catch any spam and sure enough even with default configuration, it catches spam that v7.4xx thinks is not spam.
    Just my 2 cents.[:)]
  • 0 in reply to Billybob
    Billybob, since I'm not a linux guru, I can't add my support except to say that it makes sense to let home users hack around just to get better intel from them.

    My experience with the new spam filter is that the current engine is better at almost everything, but it has a singular weakness when it comes to advance-fee fraud (Nigerian 419).  Of the spams caught by 6.3, how many were Nigerian fraud and how many "other"?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to Billybob
    Billybob, since I'm not a linux guru, I can't add my support except to say that it makes sense to let home users hack around just to get better intel from them.

    My experience with the new spam filter is that the current engine is better at almost everything, but it has a singular weakness when it comes to advance-fee fraud (Nigerian 419).  Of the spams caught by 6.3, how many were Nigerian fraud and how many "other"?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Don't get me wrong, I like the hacks too, but if making changes via ssh voids support then why not leave conf files the way they were. Plus atleast you had some kind of record of what you mucked with. It would also make sense maybe to add a list of hacks into a readme file and then we can go that way.

    Of the spams caught by 6.3, how many were Nigerian fraud and how many "other"?

    Bob, I didn't run it for a long time to really break it down but now that you mention it, I believe it was mostly fee fraud and a few pharmaceutical. The thing I liked the best about spamassassin was that you could send spam mail from lets say hotmail or yahoo but spam was still considered spam and wasn't based solely on the IP reputation. I also liked the levels of spam in v6 and that way at home, even though I got a few regular mails tagged as spam, I always had control to mark most of the spam as spam.

    I might do a detailed test this summer and will post results if I get a chance. Unless ofcourse by then the spam engine has become flawless and I don't need a test (hint hint)[:D]