HTTPS Proxy Authentication Timeout with Browser Authentication

Hi, Greg, and welcome to the User BB!

If you're using 9.2 to evaluate, I would suggest starting with 9.109-1 at this point in time.  Hopefully, later this month, V9.2 will be officially released, and you'll be able to UP2Date automatically sometime later.

What do you mean that you set the HTTPS timeout to two hours?

Cheers - Bob
PS Please always remember to state the exact version of UTM when posting an issue.

Hi, Greg, and welcome to the User BB!

If you're using 9.2 to evaluate, I would suggest starting with 9.109-1 at this point in time.  Hopefully, later this month, V9.2 will be officially released, and you'll be able to UP2Date automatically sometime later.

What do you mean that you set the HTTPS timeout to two hours?

Cheers - Bob
PS Please always remember to state the exact version of UTM when posting an issue.

I am running V9.2 as this was the latest in the download repository I was presented with after filling out the registration information.  Is 9.2 beta or something?

The Authentication Timeout is located in Web Protection -> Filtering Options -> Misc

The docs states "Authentication timeout: This setting allows you to set the length of time (in seconds) that a user can browse after logging in with browser mode authentication. "

The problem I am having is that my session seems to timeout sooner than the limit I set in this config option, at which point I start to received certificate errors on my browser.  Once I start getting these certificate errors, I can't figure out how to re-authenticate into the proxy.

Greg

OK, I was confused because I thought you were specifically referring to HTTPS and SSL scanning instead of the authentication timeout for browser authentication in Transparent mode.  In any case, this is unrelated to the problem you're having.

Please press the [Go Advanced] button below to attach a picture of what you're seeing.  Also, show a line from the Web Filtering logfile that seems to be related to your issue.

Cheers - Bob
PS V9.2 just completed beta.  You are running the first Release Candidate, 9.200.  Nearer the end of the month, a Sophos engineer has said 9.201 will be the first official release of 9.2.  The 'Web Protection' portion of the WebAdmin GUI has been redesigned in V9.2, but the Up2Date from 9.1 to 9.2 will automatically reformat your settings from 9.1 for 9.2.

This is really starting to drive me nuts.  Basically, it looks like there's just certificate errors.  I'm regenerated and reinstalled the Root CA like 6-8 times.  It was working yesterday, then I tried reinstalling Sophos and can't get this working again.  See screenshots from my web filtering setup.  Is there a sure fire way of getting https transparent proxy working?   

2014:04:07-22:55:57 gateway httpproxy[13609]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.0.100" dstip="178.77.120.104" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="0" request="0xce8bdc0" url="178.77.120.104/" exceptions="" error="Failed to verify server certificate" authtime="0" dnstime="3" cattime="0" avscantime="0" fullreqtime="0" device="0" auth="0"
2014:04:07-22:55:58 gateway httpproxy[13609]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xcee4660" function="is_server_certificate_valid" file="ssl.c" line="735" message="Unable to get peer certificate"
2014:04:07-22:55:58 gateway httpproxy[13609]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.0.100" dstip="178.77.120.104" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="0" request="0xcee4660" url="178.77.120.104/" exceptions="" error="Failed to verify server certificate" authtime="0" dnstime="4" cattime="0" avscantime="0" fullreqtime="0" device="0" auth="0"
2014:04:07-22:55:58 gateway httpproxy[13609]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.0.100" dstip="74.125.239.40" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffZartman (Zartman)" size="0" request="0xcee4ee0" url="talkgadget.google.com" exceptions="" error="" authtime="0" dnstime="61819" cattime="44325" avscantime="0" fullreqtime="24" device="0" auth="0" category="122,157" reputation="trusted" categoryname="Instant Messaging,Web Phone"

Just found the following in the release notes.  Looks like this problem is fixed in 9.201.  I'm running 9.200.   

ID30934 9.200 Incorrect Certificate used during Transparent HTTPS
------------------------------------------------------------------------
Description:
Workaround:
Fixed in:     9.201

From your original response to me, are you saying that this isn't a problem with the 9.1xx development stream?

By the way, setting Sophos to standard proxy and manually setting the proxy on my client machines works just fine.  So, I seem be caught with this bug.


Thankss

In 9.200 Transparent Mode AD SSO has a bug regarding HTTPS.  This will be resolved in 9.201 which will be available "real soon now".  Please also note that AD SSO does not use the "authentication timeout" that is on the misc settings page.

But...  you said you were using Browser authentication.  So that might not be your issue.

If you are encountering SSL errors, please let us know whether you have SSL scanning turned on, and whether you have the certificate authority trusted by your browser.  If you do not trust the CA, you will indeed get certificate error messages.  During browser authentication, the proxy needs to do HTTPS interception and redirection to an internal page.

I have seen the authentication timeout set that high - but you shouldn't need to.  When you log in with browser authentication it should open up a new tab with your login information and a logout button.  If you do not have this then please check any pop-up blockers.  As long as this tab is open you should not be automatically logged out.  The screwy way it works is that after that tab is closed it starts the "authentication timeout" timer.

I believe I need to break my issue down into a couple sub-issues:  1) SSL Transparent Proxy and 2) Proxy Auth.

Let's take the first one.  In general, I'm having difficulties consistently getting my clients working properly with Transparent Proxy with SSL Scanning.   I'm mostly getting certificate errors.

Can someone please tell me where I'm going wrong setting this up.  Following is generally the steps I'm taking:

1. Sophos UTM 9.2:  Select Web Filtering menu item, turn on web filter, allow internal network only, set Operation mode to transparent, Default Authentication set to none, and HTTPS (SSL) traffic set to Decrypt and scan.

2. Sophos UTM 9.2:  Leave all of filter settings at default (i.e. Default content filter action, Default Web Filter Profile).

3. Sophos UTM 9.2:  Goto Filter Options menu and select HTTPS CA.   Download Signing CA in "PEM" format.

4. On client machine (windows 8), import the HTTPS CA (PEM downloaded in step 3) certificate into Google Chrome Certificate manager as a Trusted Root Certificate Authority.

5. Import the HTTPS CA certifate into the operating system certificate manager as Trusted Root Certificate Authority using the certmgr.msc  windows app.

6.  Clear browser cache and reboot machine.

After doing this, I'm still getting certificate errors on Google Chrome when I browse to Google or any google apps urls.

Am I don't something wrong here or missing a step?

I don't really know Chrome importing of certificates, but I think it uses the Windows/IE settings.  I just tried the following with no problems:

Go to Management, User Portal, and turn it on.
Now on the client computer, using Chrome, go to the UTM https on port 443.
You should be able to log in as a user or admin
From there you should be able to download HTTPS certificate (as .cer).
Click on it to launch the Certificate Import Wizard.

Note: If you are in the Certificate Import Wizard, do not choose "Automatically select the certificate store".  Instead place it Trusted Root Certificate Authorities.

This must be a Chrome thing, as I'm not having the problem with IE.  I ditched IE a couple years ago because of how targeted it is for malware.  I tried your steps with IE and everything works fine.

The moral of the story here is to try multiple browsers when testing transparent proxy and SSL scanning!

Perhaps the issue I was having with browser authentication will resolve itself with the change in browsers as well.  I'll report back after I mess with it some.

I'm going to research this Chrome issue a bit further, as my company is heavily invested in Google Apps.

Thanks!

Greg

I have seen the authentication timeout set that high - but you shouldn't need to.  When you log in with browser authentication it should open up a new tab with your login information and a logout button.  If you do not have this then please check any pop-up blockers.  As long as this tab is open you should not be automatically logged out.  The screwy way it works is that after that tab is closed it starts the "authentication timeout" timer.

On my client, the browswer auth opens a "pop-up" browser window, not a tab.  The problem I think I was having with my original post is that most browsers are set to block pop-ups, so I never saw the browser authentication tab you are talking about.  I just now allowed pop-ups and am seeing it for the first time.

Is there a setting somewhere so that this browser authentication opens in a tab and now a pop-up window?  I don't wanna go around to every client and enable pop-ups

Greg