Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 15 replies
  • Answers 1 answer
  • Subscribers 5 subscribers
  • Views 3918 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM WebFilter - credentials Abfrage

MichaelbeiGDH

UTM, 9.703-3

Hallo Kollegen,

wir haben den Webfilter im Standard-Modus aktiv und erhalten bei vielen
Webseiten seit ca. 4 Wochen eine Abfrage der credentials.
Abbrechen drücken reicht, damit die Seite ganz normal geladen wird.
Auslöser sind js-Bestandteile der Webseiten,
z.B. bei focus.de

Edge-Log:
(Index):274 GET a.bf-ad.net/.../adengine.js net::ERR_ABORTED 407 (Proxy Authorization Required)

Sophos Log:
2020:07:22-09:58:13 asg220-2 httpproxy[7910]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="172.20.10.83" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="2468" request="0x1065fc00" url="https://a.bf-ad.net/" referer="" error="" authtime="1" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="117" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36 Edg/84.0.522.40" exceptions="application"
2020:07:22-09:58:13 asg220-2 httpproxy[7910]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="172.20.10.83" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="2468" request="0x1065fc00" url="https://a.bf-ad.net/" referer="" error="" authtime="8" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="108" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36 Edg/84.0.522.40" exceptions="application"

Beim direkten Aufruf der URL kommt eine block-page mit Blocked Category (Content Server) ohne Proceed Button,
also greift hier die default block Regel.

Workaround momentan Ausnahme-Authentifizierungs-Regel für die URLs. Jedoch kaum praktikabel. Da dies pro Webseite gemacht werden muss.
Hat da Jemand eine Idee?
Support-Fall bei Sophos ohne Ergebnis.

Vielen Dank!



This thread was automatically locked due to age.
  • 0

    Hallo,

     

    d.h. du / ihr wollt, eine Möglichkeit, geblockte Seiten per Login / Override abrufbar zu machen? 

    Und bei welchem "direkten Aufruf de rURL" kommt die block-page?

    Die website focus.de ist zugänglich, aber innerhalb der website ist ein geblockter content, welcher die auth-aufforderung hervorruft!?

     

    Hier nun ist die b.bf-ad.net auf der Test-XG als "advertising" kategorisiert und ebenso geblockt.

     

    Welche UTM Version verwendet du?

  • 0 in reply to nd

    Hi ! 

     

    > d.h. du / ihr wollt, eine Möglichkeit, geblockte Seiten per Login / Override abrufbar zu machen? 

    Nein, darum geht es nicht.

     

    > Und bei welchem "direkten Aufruf de rURL" kommt die block-page?

    Wenn ich die URL vom geblockten Javascript aufrufe, welche die auth-Aufforderung verursacht.

     

    > Die website focus.de ist zugänglich, aber innerhalb der website ist ein geblockter content, welcher die auth-aufforderung hervorruft!?

    Genau das ist mein Problem! 

     

    > Welche UTM Version verwendet du?

    9.703-3

     

    Danke!

  • 0 in reply to MichaelbeiGDH

    Hier bleibt aber die Vermutung, dass du im WebFilter was aktiviert hast, um evtl geblockte Inhalte trotzdem freizugeben...

    Hast du unter "Web Protection" in einer "Filter Action" evtl "active content removal" aktiviert?

    Und/Oder unter einem Filter Profil eine User Auth aktiv?

  • 0 in reply to nd

    Ich antworte mal für Michael, da er heute frei hat.

     

    > Hast du unter "Web Protection" in einer "Filter Action" evtl "active content removal" aktiviert?

    Wenn es die PUA-Erkennung ist, dann ja.

     

    > Und/Oder unter einem Filter Profil eine User Auth aktiv?

     Die Authentifizierung ist im Standardprofil aktiv. 
     
     
    Es wurden keine Einstellungen geändert und es ging vor einem Monat noch problemfrei.
     
     
    -Alex

     

  • 0

    Hallo Michael & Akre1,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    When I first saw this, I thought you had a different issue, now I think that nd has put his finger on it.  To confirm, please show a picture of the authentication request you see.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    hier am Beispiel heise.de

     

    Beste Grüße

    Alex

  • 0 in reply to BAlfson

    Hi Bob,

     

    hast du eine Idee, die uns weiterhelfen könnte?

     

    Danke!

  • 0 in reply to MichaelbeiGDH

    Ohne genaue Kenntnis, wie das default profile und evtl weitere definierte aussehen, bleibt das schwierig, insbesondere mit der bereits angedeuteten Auth Regel innerhalb des default profiles. Wozu und in welcher Konstellation gibt es diese?

    Hier müsst ihr euch die einzelnen Filter / Profile mal genauer anschauen, genauso die Reihenfolge jener.

     

    Ganz am Anfang war die rede von "support kontaktiert, ohne Ergebnis" - was genau heisst das? Der Support wollte doch sicher auch ein paar Details wissen oder?

  • 0 in reply to nd

    Es gab jetzt schon mehrere Termine mit dem Support 

    zur Aufnahme des Problems, jedoch ohne Lösungsansätze. 

    Ich hatte die Hoffnung hier im Forum schnell Hilfe zu bekommen,

    weil das Problem vielleicht bekannt ist. 

    Morgen steht wieder ein Termin mit dem Support an.

    Da kommen wir vielleicht weiter.

    Ich verstehe, dass ohne weitere Informationen mühsam ist,

    da weiter zu kommen.

     

    Trotzdem vielen Dank!

  • 0 in reply to MichaelbeiGDH

    Falls hierbei was rauskommen sollte, wäre es dann vielleicht für andere hilfreich, die Lösung zu erfahren, bzw dann das "Geheimnis" eurer besonderen Konfiguration zu lüften. ;)

    Und ja, es wäre von Anfang an hilfreich gewesen, mehr über die Konfiguration der Webfilter zu erfahren, denn hier wird irgendwo der Grund zu finden sein.

     

    Good luck... 

Unfiltered HTML