Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5775 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent Mode Clarification

Albeck
First, this is what the helpfile says:

Transparent mode: In transparent mode, all connections made by client browser applications on port 80 (port 443, respectively, if SSL is used) are intercepted and redirected to the Web Filter without client-side configuration. The client is entirely unaware of the Web Filter server. The advantage of this mode is that no additional administration or client-side configuration is necessary, the disadvantage however is that only HTTP (port 80) requests can be processed. Thus, when you select the transparent mode, the client's proxy settings will become ineffective.



So, now, what I don't get, is, when I use the proxy in transparent mode, according to the helpfile article, requests on port 443 (https) are redirected to the web filter (proxy), but not processed ("the disadvantage however is that only HTTP (port 80) requests can be processed")?

If that is correct, does the checkbox "Scan HTTPS (SSL) traffic." has any effect on that behavior in this mode or only in standard mode?

So is it somehow possible to scan https traffic in transparent mode or just http traffic and allow https with a firewall rule?


Next thing is, if I want to scan https traffic, I need a valid SSL certificat that the clients will accept or import the self signed certificat from the UTM in the clients browser, right? Otherwise an untrusted SSL certificat message will pop up I guess.

Thanks for your info, Albeck.


This thread was automatically locked due to age.
  • 0
    I use transparent mode with https enabled. For this to work seamlessly, you need to import, in every client, the certificate issued by the gateway, in the trusted root ca's store of your clients. On Windows clients, the certificate manager can be accessed by running this command: certmgr.msc (to verify the imported certificate). To import a certificate, simply 2x on the certificate and select trusted root ca store as the destination of the certificate. If you are running an AD, push the certificate through the group policy to every joined clients. 

    You can download the gateway's certificate (which you need to import) from WebAdmin > Web Protection > Web Filter > HTTP CA. 

    The web filter should work now without any major issues in transparent mode.
  • 0 in reply to PeterPH
    Well, thank you for your response.

    So the helpfile is wrong? I think this line needs some clean up. I'm really struggeling with this line: "the disadvantage however is that only HTTP (port 80) requests can be processed." What does that mean?

    Or is it like this: The HTTPS traffic goes through the Webfilter ("intercepted and redirected to the web filter") and there, the requests are only catagorized by the URL Filter but not processed by the antivirus ("disadvantage however is that only HTTP (port 80) requests can be processed")

    So it would be no real scanning, just URL lookups for content filter?

    Would be great if there are a few more opinions on this topic or an official statment. 

    Thanks, Albeck.
  • 0
    the check-box is in your choice scan or not scan https traffic. If checked you have to import the CA.
    Transparent Mode means that end-user will not configure the proxy in browser. Like "hidden"
    In any mode the https scan will do the job very well
  • 0 in reply to Albeck
     I'm really struggeling with this line: "the disadvantage however is that only HTTP (port 80) requests can be processed." What does that mean?


    This means in transparent mode only traffic on port 80 is processed by web filtering. If a website is using a non-standard port it will not be intercepted by the proxy. So if you went to a website that was using port 4444 for example it would not be intercepted by the proxy. The same goes for https and port 443.

    In standard mode these sites would be subject to the proxy since the users browser would be configured to send all traffic to the UTM. You could manage which ports are allowed in the allowed target services in the web proxy.
  • 0
    So well now we have it, one says it scans https:

    In any mode the https scan will do the job very well


    and the other says it does not:

    If a website is using a non-standard port it will not be intercepted by the proxy. So if you went to a website that was using port 4444 for example it would not be intercepted by the proxy. The same goes for https and port 443.


    And that exactly is what I don't get! If really only port 80 http traffic is intercept, the checkbox "scan https ssl traffic" is nonsense for transparent mode...

    Thanks for trying to help me, but now I'm even more confused...[:S]
  • 0
    So, in other words, in transparent mode http and https traffic is filtered only if these protocols are using standard ports (80 for http, 443 for https). No need to configure anything on client side (browsers). 

    In standard mode, http and https traffic is filtered no matter the ports used by the website you visit. In this case however you need to configure every browser you use on every client to use this proxy. You can do this manually by typing the proxy address and port in every browser, or you can push automatic configurations to your browser using PAC (proxy auto settings) file configured in the UTM.
  • 0
    I don't think I contradicted what was said previously, in transparent mode it will intercept http (port 80). If scan https ssl traffic is checked it will also scan port 443 in addition to port 80. It will not scan any other traffic on ports other than 80 or 443 in transparent mode.
  • 0
    So, in my words (if I'm getting it right this time) in transparent mode https scanning will work if the checkbox "scan https ssl traffic" is checked. However only websites using 80 and 443 will be processed in this mode. According to this, the services in "allowed target services" will have no effect in transparent mode.

    Only standard mode will care of the "allowed target services" configured.

    Am I right this time? If that's it, I really think the helpfile should be a little bit rewritten...
  • 0 in reply to dilandau
    I don't think I contradicted what was said previously, in transparent mode it will intercept http (port 80). If scan https ssl traffic is checked it will also scan port 443 in addition to port 80. It will not scan any other traffic on ports other than 80 or 443 in transparent mode.


    You didn't... I myself used other words to explain the same thing, another approach, which maybe would help Albeck to understand.
  • 0
    To echo Dilandau,
    The well known browser ports (80 443) will be intercepted and scanned in Transparent Mode
    Port 4444  will intercepted in only when you configure the browser to use Astaro WebProxy