Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 7638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filter Profiles - how to differentiate between AD domain and "guests"

tm-rimak
1.  I am new to this forum, so I apologize if I am posting incorrectly.
2.  I also apologize if this is a repeated question ( I could not locate answer).
3.  Fairly new to Sophos (few months old), so learning as I go.

4.  Setup:
1 x SG230, 3 x SG210, 1 x SG125, 1 x UTM120
UTM v 9.307-6 on all
combo of "mesh" and "hub & spoke" VPN site2site tunnels
single internal AD domain
UTM has been joined to AD domain for SSO
AD users successfully authenticate through UTM proxy using "backend" AD

5.  Notes:
Maybe this is a fundamental impossibility, but it would be very helpful if the UTM would offer AD groups for computers (just like it does for AD users), and allow the group to be applied just like DNS Host etc..

The Web Filtering module is a bit difficult for me to wrap my head around, so I do realize there is a good chance I am just doing something incorrectly.

6.  Goal:
 When a domain computer is connected to network via Ethernet cable, we want the AD user to be able to access the internet, invisibly using UTM proxy (transparent mode & AD SSO) using "filter A".  When a non-domain computer (such as a vendor) connects to our network via Ethernet cable, we want them to get the Sophos "splash page" with disclaimer and "guest user" login and then use "filter B".  I realize this can be easily handled when using wireless (can therefore use the wireless network to apply that specific profile) but often wireless is not being used.

My limited understanding is that profiles allow differentiating between "IPs" such as a single host, multiple hosts, a range, or entire subnet.  But going top down, once a profile matches the client, no other profiles are attempted.  Policies instead match against "users', such as a local user/s and/or AD user/s.

The "guest" computers and domain computers are on the same subnet, and it seems that separating them is not going to be the best solution (ex:  via DHCP reservations - so that UTM web filter profile can limit per network range).  What happens is that a "guest" computer will match the "internal network" profile which is set for AD SSO, and of course, the "guest" computer cannot authenticate using AD, so prompt comes up asking for un/pw, but this need to be an AD account and not a local UTM account (we would prefer not to use AD for the "guest" user account).

Sorry for the rambling, just frustrated and trying to think of all details that may help.

Thank you.


This thread was automatically locked due to age.
  • 0
    Hi tm-rimak,

    you should use two web filter profiles. The first for ad sso with a configured ad group policy and standard mode proxy. The second for guests with local account policy and transparent mode proxy. For both policies you can define explicit filter actions.

    This should be working. You can't use two different authentication methods in one web filter profile.

    regards
    mod
  • 0
    Hi, tm-rimak, and welcome to the User BB!

    Click on my username (beside the Cyrano avatar) and send me an email requesting a document I maintain: Configure HTTP Proxy for a Network of Guests - V8.3.  It is still valid in V9.

    Cheers - Bob
  • 0
    Thank you mod2402 for the advice.  I am currently building 2 more UTMs and getting ready to ship out to remote sites.  I will test your configuration early next week.  I am unsure how "standard" versus "transparent" will change the results, unless maybe I reverse the profile order?  Should the "transparent/browser - guest machines" be the first profile, and then have the "standard/adsso - domain machines" be second?

    Thank you BAlfson for your "welcoming" and response.  I am unsure if I performed the "difficult procedure" of clicking on your name to request the document.  [;)]  I will try again in case I fudged it up the first time.
  • 0
    Hi tm-rimak,

    the standard profile must be at the first place. This is because the proxy listens in transparent mode, not only on port 80 and 443. He listens also on port 8080.

    Therefore, the transparent mode profile must be placed behind the standard mode proxy profile.

    Regards
    mod
  • 0
    Hello mod2402,

    So I finally got around to testing out your suggested configuration.  I honestly did not think it would work (no disrespect meant to you).  I just guess that I misunderstood how the Web Filter profiles are "selected/applied".  I thought that the profiles were ONLY IP centric (host, hosts, range, or entire subnet).  But it seems that the "source-host" is also required to "match" the operation mode too (Standard/Transparent).  This would explain why the guest machine (no configured proxy) is able to skip the "standard" profile and be applied to the "transparent with browser".  So thank you for this helpful information, for now I can in theory, separate domain and non-domain machines via web filter profiles.  Now the main problem ( outside the scope of this forum), is how to apply IE11 proxy configurations via GPO Preference from a 2008rs/win7 that only supports up to IE8 by default.  Don't particularly want to touch each individual machine to configure proxy settings.

    Hello BAlfson,
    I read your thorough procedures, and shared the concept with IT manager.  Though step IV is currently our roadblock (DHCP & DNS for the Guests), we both feel this is a direction we want to take in the near future.  So thank you very much for this documentation.  It will definitely assist me when the time comes to put this into place.
  • 0
    tm-rimak, you can also consider using WPAD and the browser "automatically detect settings".
  • 0
    Hello Michael,
    Thanks for making me feel dumb.  [:)]  I totally forgot about this option.  Seriously though, thanks Michael.  I was reminded (I have been able to ignore the issue for the last year or so - with workarounds) how frustrated I am with the lack of IE11 support in GPMC (running smooth on 2008r2 domain and win7 clients, and no real budget to move to 2012).  I was resigning myself to use GPO to push logon reg script for IE proxy (EnableProxy, ProxyServer, ProxyOverride), and then cross my fingers/toes with FF and Chrome GPO settings (have not yet needed to add appropriate admx).  I will need to freshen up on WPAD and DHCP/DNS deployment (most likely DNS only).  I love re-learning things that I have successfully brain-flushed.  [;)]
  • 0
    Thank you Scott for this great resource.

    After a number of typical "fires", I finally MADE the time to try and get WPAD/PAC configured with DNS ( I definitely prefer DNS option to DHCP).  After numerous "syntax" trial and errors, I was able to get the "PAC end" to work and the "WPAD end" to work (that was a goat rope - could not figure out why wpad would not resolve, but finally used dnscmd to unblock wpad).  But for the life of me, I cannot get WPAD to work with PAC (I realize this is not worded quite right, but it is how I laid it out in my brain).  I think the problem is that DNS/WPAD needs port 80 to answer on the WPAD server (Sophos UTM), and I cannot find a way for the Web Filter to be changed from port 8080 to port 80 (besides the fact that it barks that ADSSO is using that port, I am guessing other things may break).  Am I missing something here?  Am I mistaken about DNS or Sophos limitations?  Do need more or less coffee???  our users browse with IE, FF, and Cr, so would like to manage all - as least complex as possible (obviously no such thing in the IT world).
    Thanks in advance to anyone who successfully reminds me of how "IT-illiterate" I can be at times. [:)]
  • 0
    You need a dnat rule on the internal interface that forwards port 80 to 8080 if you use the dns method.

    Regards
    Manfred