Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 10870 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent HTTPS scanning proxy profile for one client

trialrider
Hi all,

ASG in routing mode works fine. Sometimes one application has problems with getting information from it's external server through our transparent proxy. A single proxy profile using standard mode and setting up the application helped.

Now I want to try HTTPS traffic scanning. So at first I thought creating a profile for my client linked to the default action, default assignment and with HTTPS traffic scanning enabled will work.

It works without HTTPS traffic scanning. Log file shows my client goes through the defined profile but HTTPS goes through our paket filter rule.

At the second I created filter action and filter assignment completely new but HTTPS goes through pfr too.

Is there a possibility to get HTTPS traffic scanning with a transparent proxy profile enabled?

Deactivating HTTPS pfr and enabling in web proxy is no option.
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Hi Bob, hi Bill

    Yes, I understand that with the two profiles and scanning enabled in global tab.

    I played around with(out) browsers proxy settings and it's behaviour again.

    At first without changing browser's proxy settings I visited wikipedia.de - Wikipedia, die freie Enzyklopdie. See attached screenshot. At second I changed browser's settings to our ASG for all services and visited wikipedia and https://www.gmx.net. And third, I disabled browser's proxy settings and visited wikipedia again.

    For all steps my proxy profile was activated with HTTPS scanning and in standard mode.

    Here are the log entries for the last step:
    2010:04:12-09:52:15 astaro httpproxy[4058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***" user="" statuscode="200" cached="0" profile="REF_NTZkryZuSH (HTTPS-Test)" filteraction="REF_fRSTWCecVE (2 - HTTPS-Test)" size="586" time="127 ms" request="0xb172bfd8" url="http://upload.wikimedia.org/centralnotice/images/2009/button-end.png" exceptions="" error="" category="177" reputation="unverified" categoryname="Content Server" content-type="image/png"
    2010:04:12-09:52:16 astaro httpproxy[4058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***" user="" statuscode="200" cached="0" profile="REF_NTZkryZuSH (HTTPS-Test)" filteraction="REF_fRSTWCecVE (2 - HTTPS-Test)" size="5567" time="432 ms" request="0xb1789558" url="http://www.wikipedia.de/img/bg_gradient_2.gif" exceptions="" error="" category="111,188" reputation="neutral" categoryname="Education/Reference,Blogs/Wiki" content-type="image/gif"
    2010:04:12-09:52:16 astaro httpproxy[4058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***" user="" statuscode="200" cached="0" profile="REF_NTZkryZuSH (HTTPS-Test)" filteraction="REF_fRSTWCecVE (2 - HTTPS-Test)" size="318" time="373 ms" request="0xb1c87958" url="http://www.wikipedia.de/favicon.ico" exceptions="" error="" category="111,188" reputation="neutral" categoryname="Education/Reference,Blogs/Wiki" content-type="image/x-icon"
    2010:04:12-09:53:17 astaro httpproxy[4058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6644" time="168 ms" request="0xb1e42298" url="http://www.wikipedia.de/" exceptions="" error="" category="111,188" reputation="neutral" categoryname="Education/Reference,Blogs/Wiki" content-type="text/html"
    2010:04:12-09:53:17 astaro httpproxy[4058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***" user="" statuscode="304" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="65 ms" request="0xb1e42298" url="http://www.wikipedia.de/style.css" exceptions="" error="" category="111,188" reputation="neutral" categoryname="Education/Reference,Blogs/Wiki"
    2010:04:12-09:53:17 astaro httpproxy[4058]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***" user="" statuscode="304" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="65 ms" request="0xb1e8a508" url="http://www.wikipedia.de/img/fro.gif" exceptions="" error="" category="111,188" reputation="neutral" categoryname="Education/Reference,Blogs/Wiki" 
  • 0
    For all steps my proxy profile was activated with HTTPS scanning and in standard mode.

    It looks like the first three log lines are from the first access and were captured by your profile in transparent mode.  The last three lines look like they're from when the browser was talking on port 8080.

    This is interesting.  It looks like a profile in transparent mode can't "see" port 8080 traffic, but the Default ('Web Security >> HTTP/S') can see that traffic when it's in transparent mode.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    no, the log lines showing call for the last step. I was visiting GMX with profile enabled and then I turned off proxy in browser and visited Wikipedia. I didn't close the log window.

    Maybe I didn't understand correctly how the proxy engine works. But I thought and IMHO the picture in HTTP/S Profile screen shows it too, that the proxy checks the incoming network/IP and uses profile or default settings.

    That the network must placed on right position I know. But for a single IP that shouldn't be a problem.

    Perhaps one of the others has an explanation...
    -- 
    MfG, Steffen