Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 7625 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filter Profiles - how to differentiate between AD domain and "guests"

tm-rimak
1.  I am new to this forum, so I apologize if I am posting incorrectly.
2.  I also apologize if this is a repeated question ( I could not locate answer).
3.  Fairly new to Sophos (few months old), so learning as I go.

4.  Setup:
1 x SG230, 3 x SG210, 1 x SG125, 1 x UTM120
UTM v 9.307-6 on all
combo of "mesh" and "hub & spoke" VPN site2site tunnels
single internal AD domain
UTM has been joined to AD domain for SSO
AD users successfully authenticate through UTM proxy using "backend" AD

5.  Notes:
Maybe this is a fundamental impossibility, but it would be very helpful if the UTM would offer AD groups for computers (just like it does for AD users), and allow the group to be applied just like DNS Host etc..

The Web Filtering module is a bit difficult for me to wrap my head around, so I do realize there is a good chance I am just doing something incorrectly.

6.  Goal:
 When a domain computer is connected to network via Ethernet cable, we want the AD user to be able to access the internet, invisibly using UTM proxy (transparent mode & AD SSO) using "filter A".  When a non-domain computer (such as a vendor) connects to our network via Ethernet cable, we want them to get the Sophos "splash page" with disclaimer and "guest user" login and then use "filter B".  I realize this can be easily handled when using wireless (can therefore use the wireless network to apply that specific profile) but often wireless is not being used.

My limited understanding is that profiles allow differentiating between "IPs" such as a single host, multiple hosts, a range, or entire subnet.  But going top down, once a profile matches the client, no other profiles are attempted.  Policies instead match against "users', such as a local user/s and/or AD user/s.

The "guest" computers and domain computers are on the same subnet, and it seems that separating them is not going to be the best solution (ex:  via DHCP reservations - so that UTM web filter profile can limit per network range).  What happens is that a "guest" computer will match the "internal network" profile which is set for AD SSO, and of course, the "guest" computer cannot authenticate using AD, so prompt comes up asking for un/pw, but this need to be an AD account and not a local UTM account (we would prefer not to use AD for the "guest" user account).

Sorry for the rambling, just frustrated and trying to think of all details that may help.

Thank you.


This thread was automatically locked due to age.
Parents
  • 0
    Success!!!
    Thank you all very much (mod2402, BAlfson, Michael Dunn, Scott_Klassen, and Hallowach).

    For posterity sake, here is an abridged recap of this thread:
    1. I wanted to create Web Filter profiles in such a way that would allow me to apply ADSSO authentication to domain computers and Browser authentication to “guest” computers.
    a. The "guest" computers and domain computers are on the same subnet, and it seems that separating them is not going to be the best solution at this point.
    b. Group Policy has removed “Internet Explorer Maintenance” which makes it more difficult to manage IE proxy settings (and what about Firefox and Chrome proxy settings).
    2. mod2402 (mod):  you should use two web filter profiles. The first for ad sso with a configured ad group policy and standard mode proxy. The second for guests with local account policy and transparent mode proxy. For both policies you can define explicit filter actions.  This should be working. You can't use two different authentication methods in one web filter profile.
    a. I was unclear as to the order of the profiles (should "transparent/browser - guest machines" be first and then "standard/adsso - domain machines" be second?).
    b. mod2402:  the standard profile must be at the first place. This is because the proxy listens in transparent mode, not only on port 80 and 443. He listens also on port 8080.   Therefore, the transparent mode profile must be placed behind the standard mode proxy profile.
    3. BAlfson (Bob) provided me with some great documentation on how to “Configure HTTP Proxy for a Network of Guests”.  Though not applicable in my current environment, my boss and I agree that it will prove invaluable later this year.
    4. I created 4 Web Filter profiles in the following order (only enabling during testing periods – production environment is currently using default with transparent mode).
    a. Servers:  applied to specific “server” hosts, Standard ADSSO, specific “server filter”.
    b. Domain:  applied to internal network, Standard ADSSO, two policies (first an IT policy with corresponding IT filter, followed by a User policy and their more restrictive filter).
    c. Guest:  applied to internal network, Transparent Browser, same User policy/filter.
    d. WiFi Guest:  applied the WiFi guest network, Transparent Browser, same User policy/filter (may need to tweak this – won’t want wireless guests to have two login prompts, one for WiFi access  and one for Browsing access).
    5. The two profiles above (Domain and Guest) functioned as needed, placing Standard first and then Transparent.
    6. Next hurdle:  how to deploy proxy configurations (GPO not likely an option since IEM has been removed, and our environment also includes Chrome and Firefox).
    a. Michael Dunn:  tm-rimak, you can also consider using WPAD and the browser "automatically detect settings". 
    b. Scott_Klassen:  Good refresher resource. FindProxyForURL - PAC & WPAD Resource 
    7. Reviewed documentation on WPAD and worked through the following DNS issues (prefer DNS over DHCP).
    a. WPAD “Host A Record” does not resolve.  Using DNSCMD commands, “unblocked” WPAD (DNS servers are 2008R2.  By default, there is a global block for WPAD and ISATAP).  WPAD now resolves to UTM internal address.
    b. “Single domain/multiple sites” required multiple WPAD “Host A Records”, each pointing to the corresponding subnet’s UTM.  Confirmed that DNS default behavior is to resolve WPAD to the same subnet as the requesting machine.
    c. Tested successfully IE LAN Settings, first by manually entering proxy server and then also by pointing to UTM for “automatic configuration script”.  Tests failed with “automatic detect settings”.
    i. If I browse to http://wpad.mydomain.local:8080/wpad.dat, I am prompted to download.
    ii. If I browse to http://wpad.mydomain.local/wpad.dat, I get a Sophos window indicating a "connection to server timed out".
    8. Next hurdle:  Using DNS for WPAD, requires destination to answer on port 80.  Sophos UTM cannot use port 80 (default is port 8080).
    a. Hallowach (Manfred):   You need a dnat rule on the internal interface that forwards port 80 to 8080 if you use the dns method.
    b. Created DNAT rule as follows (only have this NAT rule):
    i. For traffic from: ANY
    ii. Using service: HTTP
    iii. Going to: Internal address (UTM)
    iv. Change destination to: blank
    v. ‘Change’ the service to: HTTP Proxy
    vi. Automatic firewall rule: yes
    c. Still unable to browse to http://wpad.mydomain.local/wpad.dat successfully.
    d. mod2402 (mod):  hi TM-rimak, have you unchecked "detected http Loopback" under Filterung Options ->misc  thats a New Feature that must be unchecked.
    9. Browser now successfully finds UTM’s PAC file via WPAD/DNS.
    a. Web browsing behaves in line to specific Web Filter profile’s applied filter action.
    b. Web Filter’s logs now successfully show AD user and domain information.
Reply
  • 0
    Success!!!
    Thank you all very much (mod2402, BAlfson, Michael Dunn, Scott_Klassen, and Hallowach).

    For posterity sake, here is an abridged recap of this thread:
    1. I wanted to create Web Filter profiles in such a way that would allow me to apply ADSSO authentication to domain computers and Browser authentication to “guest” computers.
    a. The "guest" computers and domain computers are on the same subnet, and it seems that separating them is not going to be the best solution at this point.
    b. Group Policy has removed “Internet Explorer Maintenance” which makes it more difficult to manage IE proxy settings (and what about Firefox and Chrome proxy settings).
    2. mod2402 (mod):  you should use two web filter profiles. The first for ad sso with a configured ad group policy and standard mode proxy. The second for guests with local account policy and transparent mode proxy. For both policies you can define explicit filter actions.  This should be working. You can't use two different authentication methods in one web filter profile.
    a. I was unclear as to the order of the profiles (should "transparent/browser - guest machines" be first and then "standard/adsso - domain machines" be second?).
    b. mod2402:  the standard profile must be at the first place. This is because the proxy listens in transparent mode, not only on port 80 and 443. He listens also on port 8080.   Therefore, the transparent mode profile must be placed behind the standard mode proxy profile.
    3. BAlfson (Bob) provided me with some great documentation on how to “Configure HTTP Proxy for a Network of Guests”.  Though not applicable in my current environment, my boss and I agree that it will prove invaluable later this year.
    4. I created 4 Web Filter profiles in the following order (only enabling during testing periods – production environment is currently using default with transparent mode).
    a. Servers:  applied to specific “server” hosts, Standard ADSSO, specific “server filter”.
    b. Domain:  applied to internal network, Standard ADSSO, two policies (first an IT policy with corresponding IT filter, followed by a User policy and their more restrictive filter).
    c. Guest:  applied to internal network, Transparent Browser, same User policy/filter.
    d. WiFi Guest:  applied the WiFi guest network, Transparent Browser, same User policy/filter (may need to tweak this – won’t want wireless guests to have two login prompts, one for WiFi access  and one for Browsing access).
    5. The two profiles above (Domain and Guest) functioned as needed, placing Standard first and then Transparent.
    6. Next hurdle:  how to deploy proxy configurations (GPO not likely an option since IEM has been removed, and our environment also includes Chrome and Firefox).
    a. Michael Dunn:  tm-rimak, you can also consider using WPAD and the browser "automatically detect settings". 
    b. Scott_Klassen:  Good refresher resource. FindProxyForURL - PAC & WPAD Resource 
    7. Reviewed documentation on WPAD and worked through the following DNS issues (prefer DNS over DHCP).
    a. WPAD “Host A Record” does not resolve.  Using DNSCMD commands, “unblocked” WPAD (DNS servers are 2008R2.  By default, there is a global block for WPAD and ISATAP).  WPAD now resolves to UTM internal address.
    b. “Single domain/multiple sites” required multiple WPAD “Host A Records”, each pointing to the corresponding subnet’s UTM.  Confirmed that DNS default behavior is to resolve WPAD to the same subnet as the requesting machine.
    c. Tested successfully IE LAN Settings, first by manually entering proxy server and then also by pointing to UTM for “automatic configuration script”.  Tests failed with “automatic detect settings”.
    i. If I browse to http://wpad.mydomain.local:8080/wpad.dat, I am prompted to download.
    ii. If I browse to http://wpad.mydomain.local/wpad.dat, I get a Sophos window indicating a "connection to server timed out".
    8. Next hurdle:  Using DNS for WPAD, requires destination to answer on port 80.  Sophos UTM cannot use port 80 (default is port 8080).
    a. Hallowach (Manfred):   You need a dnat rule on the internal interface that forwards port 80 to 8080 if you use the dns method.
    b. Created DNAT rule as follows (only have this NAT rule):
    i. For traffic from: ANY
    ii. Using service: HTTP
    iii. Going to: Internal address (UTM)
    iv. Change destination to: blank
    v. ‘Change’ the service to: HTTP Proxy
    vi. Automatic firewall rule: yes
    c. Still unable to browse to http://wpad.mydomain.local/wpad.dat successfully.
    d. mod2402 (mod):  hi TM-rimak, have you unchecked "detected http Loopback" under Filterung Options ->misc  thats a New Feature that must be unchecked.
    9. Browser now successfully finds UTM’s PAC file via WPAD/DNS.
    a. Web browsing behaves in line to specific Web Filter profile’s applied filter action.
    b. Web Filter’s logs now successfully show AD user and domain information.
Children
No Data