Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4218 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Am not getting expected filtering results...

saxitalis
Hello All,

I cannot block all HTTPS sites except explicitly defined HTTPS sites...

I want to create a filter for a specific user (host actually) to ONLY be able to access online banking, Google (to search for banking sites only) and mail (Gmail, Yahoo mail and Hotmail) Here is what I tried.

1. Checked the “Scan HTTPS(SSL) Traffic” on Web Protection\Web Filtering Global Tab

2. Created a Filter Action
Name: “Google with Banking,gmail,yahoo,hotmail”
Mode: Block by default
Threshold: Off
Allow these website catagories: Finance/Investing
Allow these URL sites:
Name: “Google with Banking,gmail,yahoo,Hotmail”
Domains: Left this Blank
https://www.google.com/
https://mail.google.com/
http://mail.yahoo.com/
[url=http://www.hotmail.com/
Checked “Use Antivirus scanning”

3. Created a new filter action:
Name: “Google with Banking,gmail,yahoo,hotmail allways”
Allowed Users/Groups: Left this one blank
Time Event: Allways
Filter Action: “Google with Banking,gmail,yahoo,hotmail”

4. Created a Proxy Profile
Name: “Client IP 192.168.2.5”
Position: 1 (only one profile so far)
Source Networks:
Name: “Client IP 192.168.2.5”
Type: Host
IPv4 Address: 192.168.2.5
Filter Assignments: “Google with Banking,gmail,yahoo,hotmail allways”
Fallback Action: Default Filter Action
Operation Mode: Transparent
Authentication Type: None
Full Transparent mode: Did not check this
Scan HTTPS(SSL) Traffic: Did not check this

This works well to access the URLS listed in the filter action (Step 2. Above) and blocks all URLS using HTTP protocol but it DOES NOT block any URLS starting with HTTPS protocol.
When I also check the “Scan HTTPS(SSL) Traffic” on the “Client IP 192.168.2.5” Proxy Profile object, HTTPS sites are blocked but so are my allowed sites as defined in the “Google with Banking,gmail,yahoo,hotmail” Filter action (Step 2 above).
Can anyone see what I am doing wrong here?
Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    It's not clear to me that you want to scan SSL or use a Profile.

    Rather, why not change the Firewall rule created by the Installation Wizard?  Now, it's probably 'Internal (Network) -> Web Surfing -> Any : Allow'.  You could create a new services Group named "Web Surfing - HTTPS" to use in place of "Web Surfing" there.  Then create a Network Group "Allowed Targets" containing DNS Groups for the allowed banks, google.com, maps.google.com, gmail.com, etc.

    Finally, create new rules, in order:
    • Client IP 192.168.2.5 -> HTTPS -> Allowed Targets: Allow
    • Client IP 192.168.2.5 -> HTTPS -> Any : DROP
    • Internal (Network) -> HTTPS -> Any : Allow


    That said, I agree with Michael that the better solution is a Standard mode instead of Transparent.  Rather than key off a specific IP that can be changed very easily, some form of authentication would be preferred.

    Cheers - Bob
Reply
  • 0
    It's not clear to me that you want to scan SSL or use a Profile.

    Rather, why not change the Firewall rule created by the Installation Wizard?  Now, it's probably 'Internal (Network) -> Web Surfing -> Any : Allow'.  You could create a new services Group named "Web Surfing - HTTPS" to use in place of "Web Surfing" there.  Then create a Network Group "Allowed Targets" containing DNS Groups for the allowed banks, google.com, maps.google.com, gmail.com, etc.

    Finally, create new rules, in order:
    • Client IP 192.168.2.5 -> HTTPS -> Allowed Targets: Allow
    • Client IP 192.168.2.5 -> HTTPS -> Any : DROP
    • Internal (Network) -> HTTPS -> Any : Allow


    That said, I agree with Michael that the better solution is a Standard mode instead of Transparent.  Rather than key off a specific IP that can be changed very easily, some form of authentication would be preferred.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hello all,
    My goal: Block all traffic globally then Create two “policies for accessing the web” (defined by IP)

    Policy 1 - Wide Open now but will create some restrictions later (this works fine)
    Policy 2- All Web blocked except Search engines, web mail and online banking

    Profiles approach for Policy 2 above:
     Global Tab
    Turn ON Scan HTTPS(SSL) traffic
    Choose transparent mode

     Filter Acton Tab (Create a filter action)
    Name: Allow_SE_Mail_Banking
    Mode: Block by default
    Allow these Catagories: Search Engines, Web Mail, Finance/Banking, Internet Services
    Allow these URLS: Left this blank
    Allways block these URLS: Left this blank

     Proxy Profiles tab (Create new profile)
    Position: 1
    Name: Client IP 192.168.2.5
    Type: Host
    IPv4 address: 192.168.2.5
    Filter Assignments: None created or selected at this time
    Fallback Action: Allow_SE_Mail_Banking
    Operation mode: Transparent
    Turn ON Scan HTTPS(SSL) traffic

    This works fine using Internet Explorer but user has to blow through the “bad certificate messages” 

    Note. I tried importing the UTM as a trusted signing authority (per Michael’s suggestion but could not get it to work for some reason) Michael, could you elaborate on how to import the UTM as a trusted signing authority on the computer?

    Thanks!
    John



    Firewall rules approach: I started over with no profiles created…

    I created the three Firewall rules (Per Bob’s suggestion) in this order:

    WEB Surfing – HTTPS rules
    • Client IP 192.168.2.5 -> HTTPS -> Allowed Targets: Allow 
    • Client IP 192.168.2.5 -> HTTPS -> Any : DROP
    • Internal (Network) -> HTTPS -> Any : Allow
    WEB Surfing rule (added by installation wizard)
    • Internal (Network) -> HTTP,HTTP Proxy, HTTP WebCache,  HTTPS -> Any : Allow

    I can get this to work for google.com and all other HTTPS sites fail by timing out so you don’t know they are disallowed until they finally fail. Also, I can’t get any other site (besides google.com) to work in the Allowed Targets area of the first rule for some reason.


    I like the idea of creating profiles and using categories to filter web traffic because the user gets an immediate message from the UTM for disallowed sites and future editing of the profiles seems more granular. Please advise if this is the best way to hit my goals?