Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1699 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Failure of Transparent mode skiplist

myasgsoft
Failure of "Transparent mode skiplist"
System configured with https filtering and client system web browser with ASG cert installed. Version: 8.103. Fresh install.

The skip list with multiple items fails to work, now and then it will correctly skip one of the items resulting in the client receiving the cert from the originating website, but mostly the client receives the ASG gateway certificate, thus not skipping the domain.

Example, running in transparrent mode, setup skip list:
amazon.co.uk (DNS host)
barclaycard.co.uk (DNS host)
Checked: Allow HTTP/S traffic for listed hosts/nets

The result, more often than not failure of the skip list, and client systems receiving the ASG cert for ssl sites. Now and then the client does receive the original cert from the website.
Have tried removing entries and changing domain name for fqdn or just top level domain name, does not fix the problem.
Have tried clearing the cache, and turning HTTP/S Proxy Status On/Off (some times causes one entry in list to correctly skip).

I really would not want banking site access to be scanned and proxyed, is there any way to fix this?


Thanks


This thread was automatically locked due to age.
  • 0
    Given the examples that you list, the reason why you're experiencing failures is due to your choice of definition type.  You are choosing DNS host as the type for a URL that resolves to multiple addresses (multiple A records).  If you do an NSLookup for amazon.co.uk, you'll see that it resolves to three records.  When set as a DNS host type, only the first address returned will be used in that host definition.  If your client connects to one of the other two, the skip will fail.  For connecting to these types of URLs, you would want to set the definition type as DNS Group, so that all addresses in the cluster are recognized.  DNS Host type would be used when you know that a URL only resolves to a single host address.

    Also, it's considered best practice to pre-install your Astaro proxy CA certificate onto your clients under the computer account to make the proxy process more transparent and convenient for your users.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Thanks did not think of that, dough, all works just perfect now, this seems to be an excellent product, very impressed with level of attention to detail.

    Thanks again. [:)]
  • 0
    Happy to help.

    As you use the product over time, please come back here to the forums to share your knowledge with others.  We definitely appreciate a thriving and robust community here.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Think I will be here for a while.

    For last 4 months have had nightmare with my ISP/Router, my internet laptop has been owned about 7 times in this time, I keep having to refresh the laptop from a backup image. In 19 hours asg has blocked 4,000 packets from the external interface and sucessfully blocked my owned box from sending out a load of packets (port scans) to lots of ip's, the gateway detected and blocked all traffic for a period which was impressive. Seems to be working good, I believe the attacks are originating as an MIM, I only use HTTP/HTTPS/POP3S/SMTP_SSL, with a standard ubuntu ufw filter, yet it always gets owned, starts stalling, crashes and packets logs show a load of network traffic including port scans coming from the box. Day one of asg seems perfect no problems, and lots of log data to look through, I get masses of packets to high port numbers originating from 80 (of which there is no connection established), and lots of RST packets too. Any tips on tightning up the gateway would be welcome, oh and switching to Centos 6 from now.

    More than welcome to answer peoples questions if I can..


    Thanks again.
  • 0
    Moved this to the correct forum.  It was in the Essential Firewall forum; the Essential Firewall license is different from the Home-Use license.  The Home license includes Web Security with the HTTP/S Proxy; the Essential firewall license does not.

    This conversation between myasgsoft and Scott_Klassen is good information for visitors to this forum.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner