Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 21 replies
  • Subscribers 39 subscribers
  • Views 27378 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bestimmte Websites von der Authentifizierung ausnehmen

Matthias Mey

Hallo zusammen,

ich bekomme es einfach nicht hin und hoffe, ihr könnt mir weiterhelfen.

Ich stehe vor folgendem Problem:

Bei uns sollen sich alle Nutzer, die eine Berechtigung für das Internet haben (geregelt über ein LDAP-Attribut) für die Internetnutzung im Browser anmelden (Proxy im Standard-Modus, Browseranmeldung, block access on authentication failure). Dies wird global gesetzt. Nun gibt es jedoch Websites, die auch ohne Anmeldung genutzt werden dürfen. Block on failure deaktivieren hat im Test keinen Erfolg gebracht (meldet sich ja auch kein Nutzer an).

In der Base Policy wird alles blockiert (alle categories, uncategorized und ab trusted). Im Bereich "Websites" der Base Policy ist eine Whitelist mit den erlaubten Websites angelegt und zusätzlich werden Websites mit dem Tag "Ohne Passwort" ebenso erlaubt (Whitelist und Tag-Websites ist deckungsgleich). Auch eine Umstellung auf "alles erlauben" ändert nichts.

Es gibt eine zusätzliche Filter-Policy, die die Anmeldung auf die LDAP-Attribut-User einschränkt. Das funktioniert auch tadellos.

Ebenso können bestimmte Server, die ohne Anmeldung am Proxy bestimmte Ziele erreichen müssen, diese auch erreichen (extra Web Filter Profile im Transparent-Proxy-Modus). Hier scheint die Whitelist zu greifen.
Sobald ich aber Netzwerke (IP-Adressbereiche der Nutzer-PCs) diesem extra Profil hinzufüge, funktioniert die Whitelist nicht, so dass die Websites von einem PC aus durch einen dann nicht angemeldeten Nutzer auf einmal nicht mehr aufgerufen werden können.

Ich habe es auch mit und ohne Exceptions versucht, leider immer ohne Erfolg.

Ich hatte noch an eine gesonderte Kategorie für die Base Policy gedacht, die ich dann direkt dort erlauben wollen würde, doch leider habe ich keinen Ort gefunden, an dem ich Websites einer Kategorie zuweisen kann; lediglich die vordefinierten Bereiche konnte ich auswählen, was in meinem Falle nicht wirklich weiter hilft.

Ich hoffe ich konnte mich klar genug ausdrücken. 

 

Danke und Gruß

Matthias



This thread was automatically locked due to age.
  • 0

    Guck Dir mal die vordefinierten Ausnahmen unter Webfilter -> Filteroptionen an. Dort kannst Du die Authentifizierung für bestimmte Webseiten überspringen.

  • 0 in reply to ThorstenSult

    Hey Thorsten, danke für die schnelle Antwort.

    Leider hilft das nicht weiter.
    Ich hatte schon eine Exception für die Liste (getaggte Websites, die aus den Nutzer-Bereichen aufgerufen werden) erstellt, die alle Optionen überspringt (ich habe nach und nach immer mehr ausgenommen). Leider ebenso erfolglos, wie der Rest. :-(

    Gruß

    Matthias

  • 0 in reply to Matthias Mey

    Screenshot von der Exception wäre hilfreich!

  • 0 in reply to ThorstenSult

    Aber gerne doch. :-)

    Ich habe es mit allerlei Einstellungen (Häkchen) versucht.

    Die ausgenommenen Websites habe ich mit dem Tag "Ohne Passwort" versehen.

    Mit Dank und Gruß

    Matthias

  • 0 in reply to Matthias Mey

    Hallo Matthias,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Please show a line or two from the Web Filtering log file where your solution doesn't work.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hey Bob,

    danke für die Antwort. Ich könnte auch auf Englisch antworten, aber werde des deutschen Forums wegen weiterhin auf Deutsch schreiben. Englische Antworten sind kein Problem.

    Hier nun zwei Zeilen und die Erklärung dazu:

    1.:
    2018:04:25-08:06:01 prx01-1 httpproxy[8062]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.10.XXX.XXX" dstip="10.0.YYY.YYY" user="abcd" group="LDAP Users" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffLdapusers2 (LDAP_Users)" size="4071" request="0xdb17ac00" url="https://www.borncity.com/" referer="" error="" authtime="2" dnstime="0" cattime="54" avscantime="0" fullreqtime="3439976" device="0" auth="4" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" exceptions="" category="181" reputation="neutral" categoryname="Marketing/Merchandising"

    Dies ist ein erfolgreicher Versuch, die Website aufzurufen. Der Filter ist NICHT aktiv. Der User (ich) wird korrekt erkannt (LDAP_Users) und darf auf die Website zugreifen.

    2.:
    2018:04:25-08:05:41 prx01-1 httpproxy[8062]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="10.10.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaManagNetwo3 (Domains ohne Passwort)" filteraction="REF_HttCffWhiteZulas (Whitelist zulassen)" size="7638" request="0xde73d000" url="https://www.borncity.com/" referer="" error="" authtime="0" dnstime="0" cattime="76" avscantime="0" fullreqtime="206414" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" exceptions="" category="181" reputation="neutral" categoryname="Marketing/Merchandising" reason="category"

    Dies ist ein NICHT erfolgreicher Versuch. Der Filter ist aktiviert. Die gleiche Website wird aufgerufen, diesmal wird der User (wieder eigentlich ich) nicht erkannt, sondern der Filter "Whitelist zulassen" im Bereich "Domains ohne Passwort" wird alleine(!) genutzt und blockt die Website. Das ist richtig, aber hindert ein Mitglied von LDAP_Users an der Nutzung des Internets.

    Ziel ist es, dass Websites, die auf der Whitelist stehen, komplett ohne Authentifizierung aufzurufen sind, alle anderen Websites über die Gruppenmitgliedschaft in LDAP_Users zugelassen werden.

    Ich hoffe es wird klar, was ich meine.

    MfG Matthias

  • 0 in reply to Matthias Mey

    "Englische Antworten sind kein Problem."

    Sowas habe ich erwartet, Matthias, und es ist deswegen dass ich hier im deutschen Forum fast immer auf Englisch poste.

    Now you may want to prepare for a facepalm...

    "web request blocked, forbidden category detected"

    In your Exception, if you also select 'URL Filter', does this work as you want?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Base policy applies if user is authenticated but user does not match the group)user list for any enabled policy.

    Try this:

    Verify that "block unauthenticated users" is not checked on the filter profile

    Create a policy with no users or groups, but check the option for "use this policy for unauthenticated users.". Make it lowest  oriirity

    Create a filter action for that profile.   Block all categories but put your special cases in the website exception tab of the filter action.

  • 0 in reply to BAlfson

    Nope, Bob, das hilft leider nicht. Das hatte ich auch schon getestet. 

    Der Fehlereintrag im Logfile sieht so aus:
    2018:04:26-08:44:07 prx01-1 httpproxy[25154]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="10.10.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaManagNetwo3 (Domains ohne Passwort)" filteraction="REF_HttCffWhiteZulas (Whitelist zulassen)" size="7638" request="0xd503f800" url="https://www.borncity.com/" referer="" error="" authtime="0" dnstime="0" cattime="107" avscantime="0" fullreqtime="203328" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" exceptions="" category="181" reputation="neutral" categoryname="Marketing/Merchandising" reason="category"

    Hier wird beim Aufruf der Website die Zugehörigkeit zur Gruppe LDAP_Users nicht geprüft, denn diese Gruppe darf ja in Internet, sondern sofort die Block-Regel angewendet. Der User, der die Seite aufruft (ich) durfte direkt vor der Aktivierung und direkt nach der Deaktivierung auch wieder auf die Website surfen.

    Web Filter Profile und Policy sind beide unten, also mit niedrigster Priorität, so dass eigentlich zuerst (wenn ich es richtig verstanden habe) die anderen Policies/Web Filter Profiles aktiv/genutzt werden müssten.

    Danke und MfG

    Matthias

  • 0 in reply to DouglasFoster

    Hi Douglas,

    danke für die Vorschläge. Leider führen auch sie nicht zum Ziel.

    Die genutzten Web Filter Policies sehen so aus:


    Die Web Filter Policy "LDAP_Users" (prüft das Passwort) steht vor der Web Filter Policy "Websites ohne PW" (Nutzung der Filter Action "Whitelist zulassen"), am Ende greift die Default Policy.

    Die Web Filter Action "Whitelist zulassen" und die Default Policy sind so eingestellt, dass alle Sites geblockt werden, bis auf Websites, die auf der Whitelist stehen und/oder den Tag "Ohne Passwort" haben (Whitelist und Tag-Liste sind deckungsgleich):

     

    Das Web Filter Profile "Domain ohne Passwort" nutzt ebenso die Web Filter Policy "Websites ohne PW", sowie nachfolgend die Default/Base Policy.
    Sobald ich dieses Web Filter Profil aktiviere, werden die Seiten bis auf die Seiten der Whitelist für ALLE Users, also auch die, die ein Passwort besitzen (und bereits authentifiziert sind) geblockt. Erst nach Deaktivierung des Web Filter Profiles wird die Sperre wieder freigegeben.

    Logfile-Einträge sind bereits oben zu sehen.

     

    Die Web Filter Policy "Websites ohne PW" ist, wie vorgeschlagen, keinem User und keiner Gruppe zugewiesen, die Option "for unauthenticated users" ist aktiviert:


    (Es gibt keinen Unterschied, wenn in dem oben zu sehenden Bereich die Web Filter Policy "LDAP_Users" aktiviert ist oder nicht)

     

    Dies ist die Einstellung der Whitelist, auf die alle Web Filter Policies/Web Filter Actions zugreifen:

    Liste und Websites mit Tag "Ohne Passwort" sind deckungsgleich.

     

    All dies hatte ich schon so eingerichtet. Habe ich Dich falsch verstanden, Douglas?

    Ich hoffe, das zeigt meine Problemstellung. Ich weiß nicht, wo ich nach dem Fehler suchen muss/müsste.

    Habt ihr weitere Ideen? Ich freue mich über jeden Vorschlag, denn ich bin immer ratloser.

    Danke und MfG

    Matthias

     

     

Unfiltered HTML