Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 10858 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent HTTPS scanning proxy profile for one client

trialrider
Hi all,

ASG in routing mode works fine. Sometimes one application has problems with getting information from it's external server through our transparent proxy. A single proxy profile using standard mode and setting up the application helped.

Now I want to try HTTPS traffic scanning. So at first I thought creating a profile for my client linked to the default action, default assignment and with HTTPS traffic scanning enabled will work.

It works without HTTPS traffic scanning. Log file shows my client goes through the defined profile but HTTPS goes through our paket filter rule.

At the second I created filter action and filter assignment completely new but HTTPS goes through pfr too.

Is there a possibility to get HTTPS traffic scanning with a transparent proxy profile enabled?

Deactivating HTTPS pfr and enabling in web proxy is no option.
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
Parents
  • 0
    if you want to use https scanning you ahve to remove the packet filter rule and instlal the astaro certificate manually on every machine.   when you try to establish an  ssl connection the proxy redirects the ssl connection from the remote  server to itself...then it initiates another ssl connection between  itself and your machine.  In between the two connections it decrypts the  data coming form you..scan it..re encrypts it with the remote key and  sends it along.  For the return trip it takes the packets form the  remote server..decrypts them..scans them..and then re-encrypts it with  the key it uses for the interior network.  This is a classic  man-in-the-middle attack and any decent ssl application will detect this  and either work badly or break and\or may generate warnings as well.  If you want to compromise security in this way you can install  the certificates for the astaro box on every workstation behind the  firewall....but some ssl applications can still detect this.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hill William,

    Thank you for explanation but Astaros HTTPS traffic scanning through the web proxy is not new to me. It's like MITM.

    With my ASL I configured HTTPS for all cliens through the proxy in transparent mode too. Now I tried on my ASG with one client only.

    I tried to browse to https://www.gmx.net with my HTTPS profile enabled. But the pakets went through our pfr. That's why I asked.
    -- 
    Kind regards,

    Steffen
  • 0 in reply to trialrider
    Can an admin move the thread to web proxy section please?
Reply Children
No Data