Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 12218 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM & Google Safe Search

tbennett365
Hi

I'm new to this forum and to Sophos UTM, so please be gentle!

I've setup UTM on a dedicated computer with the intention of providing internet filterin to my home network for my children and their friends. I've set everything up so that client configuration is automatic, subject to the computer being set to automatically detect settings (there's an auto config script in place), and browsing requires credentials whcih, when entered, provide filtered access. Thats all fine om standard Windows computers, but my problem is with mobile devices (Android and iOS). At one point I had it so that the mobile browser requested credentials (although I'm not sure how, because I've since change settings and then changed back and now that feature doesn't work), and when entered the device could get access, but the access wasn't being carried over to other apps on the phone (Facebook is the one I've been testing with - I just get a cannot 'connect/tap to retry' message). 

On my Web Filtering page, the profile there is set to:

Allowed Networks: Internal (Network) - this is my 192.168.1.0 subnet that my mobile devices connect to

Operation Mode: Standard Mode

Default Authentication: Browser

Block access on authentication failure: Enabled

Enable device specific authentication - enabled with Android and iOS set to 'None'


Ideally I'd like to figure out how I can set it so that mobile devices have to provide credentials, and then the access they are granted carries over to other apps on the device. Until I can achieve that, I do have Net Nanny on the device we own, but that doesn't cover security for friends devices.

Any help or advice would be greatly appreciated!

Many thanks


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to tbennett365
    Ok so I think I'm almost there, but safe search features don't appear to work on non-Windows machines. 

    Here's what I have:

    One Filter Profile for Windows 
    - Standard Mode
    - Browser authentication
    - Contains active Adults Internet and Kids Internet profiles

    One Filter Profile for Non-Windows
    - Transparent Mode
    - Default authentication of None
    - Only active policy is Kids Internet

    In the Kids Internet Filter I have Google/Bing/Yahoo safesearch boxes checked. When I do a search on a mobile device via Google, I get the blocked site returned (I'm using a **** site as a test), but when I click on it, the sites does get blocked. If I go back to the search results and click on Google images, I get a whole host of **** images returned to me.

    The logs seem to show that the right policy is being used, but the images are still allowed. This is the case on an Android device and an up to date iPhone browser. 

    Here's what I got from the log when I hit the Images button on the android browser:

    2015:01:29-19:19:54 192 httpproxy[5554]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.1.94" dstip="74.125.71.94" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo2 (Internet Filter for Non-Windows)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="320180" request="0xe2a8b800" url="www.google.co.uk/" referer="" error="" authtime="0" dnstime="3" cattime="116" avscantime="0" fullreqtime="35117928" device="0" auth="0" ua="" exceptions="" category="145" reputation="trusted" categoryname="Search Engines" application="google" app-id="182"


    Does anyone know what I'm doing wrong, or does safesearch just not work with mobile browser?

    Thanks all
  • 0 in reply to tbennett365

    Here's what I got from the log when I hit the Images button on the android browser:

    2015:01:29-19:19:54 192 httpproxy[5554]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.1.94" dstip="74.125.71.94" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo2 (Internet Filter for Non-Windows)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="320180" request="0xe2a8b800" url="https://www.google.co.uk/" referer="" error="" authtime="0" dnstime="3" cattime="116" avscantime="0" fullreqtime="35117928" device="0" auth="0" ua="" exceptions="" category="145" reputation="trusted" categoryname="Search Engines" application="google" app-id="182"


    Does anyone know what I'm doing wrong, or does safesearch just not work with mobile browser?

    Thanks all


    I've also got it set to URL filtering only, not HTTPS decryption scanning. Forgot to add that first time.

    Thanks

    If you're not using HTTPS scanning, Safesearch cannot be enforced. You'll need to disable SSL Google Search by modifying your DNS records.

    Go here to see how this works.
    To force SafeSearch for your network, you’ll need to update your DNS configuration. Set the DNS entry for Google (and any other Google ccTLD country subdomains your users may use) to be a CNAME for forcesafesearch.google.com.

    We will serve SafeSearch Search and Image Search results for requests that we receive on this VIP.


    I wish somebody would sticky this.
  • 0 in reply to Someone7272

    I wish somebody would sticky this.


    Hi, if somebody wants to make a new thread, with a summary of the issue and solution, and mention that it should be made sticky, I will do so if I see it.

    As is, this thread is, on the surface, about mobile devices only, not about Google Safe Search.

    Barry
  • 0 in reply to Someone7272
    Great suggestion, but small problem for me; because it's a home installation, I don't have an internal DNS server to point requests off to on which I can modify the DNS, and DNS on UTM seems to only accommodate forwarding not full zone hosting (if I'm wrong, please advise, but I can't see how I can create a zone). 

    Is there a way of redirecting the forward proxy request?

    If not, I do have a way around this, which is to make mobile devices go via a different router, which is a Netgear router that uses OpenDNS for filtering (good enough for kids at least). I don't have visibility of search engine searches that way though, so I'd like to keep it all via one route if possible.

    Thanks for your advice so far.
  • 0 in reply to tbennett365
    Great suggestion, but small problem for me; because it's a home installation, I don't have an internal DNS server to point requests off to on which I can modify the DNS, and DNS on UTM seems to only accommodate forwarding not full zone hosting (if I'm wrong, please advise, but I can't see how I can create a zone). 

    Is there a way of redirecting the forward proxy request?

    If not, I do have a way around this, which is to make mobile devices go via a different router, which is a Netgear router that uses OpenDNS for filtering (good enough for kids at least). I don't have visibility of search engine searches that way though, so I'd like to keep it all via one route if possible.

    Thanks for your advice so far.

    Hi, glad to offer advice.

    [SIZE="5"]Enforcing Google SafeSearch over HTTPS without full HTTPS decryption[/SIZE]

    [SIZE="4"]How it works[/SIZE]
    Similar to the discontinued Microsoft Forefront TMG, I belive that with Sophos UTM, when SafeSearch enforcement is enabled, the UTM adds #safe=strict to the URL request as seen in this example URL search query for 'Reddit': 
    https://www.google.co.uk/#safe=strict&q=reddit

    When using HTTP, this can easily be done transparently, over HTTPS this is also possible transparently as long as HTTPS decryption is enabled and the clients have the appropriate UTM authority certificate installed.

    [SIZE="4"]The problem with HTTPS[/SIZE]
    All Google Searches are now performed over HTTPS. With HTTPS filtering configured to URL Filtering ONLY, the UTM cannot decrypt the SSL encrypted HTTP query to add #safe=strict because, URL filtering does not perform ANY HTTPS decryption, it merely checks SNI to determine the domain you're connecting to. Anything after the domain name is not known to the UTM. For example, the UTM would see this when performing a search using these conditions: 
    https://www.google.co.uk/

    Notice that the URL parameters are missing.

    [SIZE="4"]The solution[/SIZE]
    Google now provides a domain name which enforces SafeSearch, without any involvement of the UTM, including over HTTPS.
    The information below was originally a reply to the OP, and is a solution only tailored to Sophos UTM.
    The official guide from Google can be found here and then by selecting 'Option 3'.

    Assuming your clients are configured to use Sophos UTM as a DNS forwarder, what I would suggest is to do a DNS lookup of nosslsearch.google.com or forcesafesearch.google.comI would strongly recommend using forcesafesearch.google.com as there is a rumor that Google is going to retire nosslsearch.google.com. Don't worry, these IP addresses never seem to change. Take note of the IP address returned.
    Then, configure a static host record for google.comgoogle.co.uk and any other localized country domains your clients might use to the IP address that the DNS lookup you performed returned.
    This should yield the results you want. Additionally, you could configure Sophos UTM to use OpenDNS servers to retrieve DNS requests, effectively filtering your entire network on top of the UTM Web Protection.

    When you conduct your first search after applying these changes, if you see either of these notices shown in the attached screenshot, then it has worked.

    Let me know how you get on.

    [SIZE="4"]A note about third-party DNS servers[/SIZE]
    Sophos UTM does not currently allow you to configure CNAME domain entries for hosts as described by the linked guide from Google. If your clients are not using Sophos UTM as a DNS forwarder, the information above may not apply to you. You'll need to find your vendor's proceedure to set up this solution on third party DNS services. I will add one example, Microsoft DNS, usually used with Active Directory will fully support CNAME records and Google's guide can be used to implement this solution, although bear in mind that you'll need to make zones, and make the DNS server authorative for the domain(s) that you wish to enforce SafeSearch.
    For any other third party DNS servers, you'll need to check if they support CNAME records, and if they don't, then simply create a host or A record as mentioned in the guide above.

    [SIZE="4"]A quick warning...[/SIZE]
    Check your DHCP settings. Make sure that your clients are configured to use the DNS server which you made these changes on, because if they are not, the DNS request for Google will be returned by an external server, unmodified and without SafeSearch enforcement. You wouldn't want this to happen to your kids!
    It may also be beneficial to block outgoing port 53 for your clients, to prevent them from using a different DNS server. Of course though, don't block outgoing port 53 for your own DNS server which you're making these changes on!

    [SIZE="3"]Note:[/SIZE]
    As is, this thread is, on the surface, about mobile devices only, not about Google Safe Search.

    All Google searches, including mobile searches now default to the SSL version of Google Search which is why Safesearch is not working for the OP, so technically, this topic is partially about Google Safesearch.


    [SIZE="4"]Checking if your changes have worked[/SIZE]
    When you perform your first search after making these settings, you should see notices on the search page. See the attached screenshot to see what they look like. If you don't see these (they will only appear once), try clearing your browser cache completely. If you still don't see the notices, then your changes have not worked and you'll need to go back and review your DNS settings.
    If you do see these notices, you have successfully implemented SSL SafeSearch enforcement without full SSL decryption!
    This will continue to work, accross all desktops, tablets and mobile devices connected to the network which you made the changes to.
    If Google makes any changes to this proceedure, I will update the guide as appropriate.

    Having problems? Leave a reply and I'll try my best to help you.
    I cannot offer support for configuring this guide on third party DNS servers.

    I hope you all find this guide helpful.