Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https Seiten können trotz Sperrung aufgerufen werden ?

Hallo alle zusammen,

Wir haben hier ein kleines bis mittelschweres Problem.
Wir haben die Software Version 8.202. Dort haben wir im Webfilter dauerhaft gesperrte Seiten wie z.B. oder
Das Problem hierbei ist, dass der Zugriff über http zwar geblockt wird, jedoch ein Zugriff per https weiterhin möglich ist. Wir wissen um die Option den SSL Verkehr mitzuscannen, doch ist der Haufen an Arbeit der da mit dran hängt, alle nur erdenklichen SSL Zertifikate von Webseiten die wir erlauben, ständig auf dem neuesten Stand zu halten und in die Astaro einzupflegen definitiv ausserhalb unserer zeitlichen Möglichkeiten.
Wir haben auch schon die RegEx getestet, jedoch ebenfalls ohne Erfolg.
Mit den Einstellungen im WebApplication Filter können wir zwar Facebook endlich komplett sperren, vermissen aber die Fehlermeldung für den "Blocked Content", sofern per https darauf zugegriffen wird. 

Wir würden uns tierisch über eine einfach zu übernehmende Lösung freuen.

This thread was automatically locked due to age.
  • (Sorry, I can't get my German-speaking brain to work. )[:)]

    It is apparent that your HTTP/S Proxy is in a "Transparent" mode.  It's not possible to do what you want in that mode.  You likely have a Firewall (Packet Filter) rule like 'Internal (Network) -> Web Surfing -> Any : Allow' and that is how the HTTPS traffic is allowed.

    The easiest solution is change the Webfilter mode to a "Standard" type.  Then, disable the Web Surfing Firewall rule.  In order to use the Proxy, all browsers must be set to send on port 8080 to the IP of "Internal (Address)".  In a "Standard" mode, all of the 'Zugelassene Zieldienste' listed on the 'Erweitert' tab are handled by the Proxy.

    Also, in a "Standard" mode, the 'Transparenzmodus-Ausnahmen' are not valid.  This means the entries there may need to be added to the proxy skip in each browser.

    That's all much easier if you have a Windows Server and can do a Group Policy to distribute it.  Another option is to modify DHCP to use a 'Proxy-Autokonfiguration' (PAC) file.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • (Sorry, I can't get my German-speaking brain to work. )[:)]

    It is apparent that your HTTP/S Proxy is in a "Transparent" mode.  It's not possible to do what you want in that mode.  You likely have a Firewall (Packet Filter) rule like 'Internal (Network) -> Web Surfing -> Any : Allow' and that is how the HTTPS traffic is allowed.

    The easiest solution is change the Webfilter mode to a "Standard" type.  Then, disable the Web Surfing Firewall rule.  In order to use the Proxy, all browsers must be set to send on port 8080 to the IP of "Internal (Address)".  In a "Standard" mode, all of the 'Zugelassene Zieldienste' listed on the 'Erweitert' tab are handled by the Proxy.

    Also, in a "Standard" mode, the 'Transparenzmodus-Ausnahmen' are not valid.  This means the entries there may need to be added to the proxy skip in each browser.

    That's all much easier if you have a Windows Server and can do a Group Policy to distribute it.  Another option is to modify DHCP to use a 'Proxy-Autokonfiguration' (PAC) file.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo p.hackert,

    mit ein wenig Arbeit geht es auch im Transparent Mode. Ich gehe mal davonb aus, das Sie bereits die entsprechende Filteraktion angelegt und dort Social Networks hinzugefügt haben. 

    Jetzt unter Proxy-Profile im entsprechenden Profil noch "HTTPS-Verkehr (SSL) scannen" aktivieren. 
    Nun beginnt die Arbeit: Damit es keine Problem beim Zugriff auf HTTPS Seiten gibt, muss zuvor noch das Astaro Zertifikat auf allen Clients/Browser im LAN ausgerollt/installiert werden. Siehe dazu: Web Security -> Webfilter -> Reiter HTTPS-CAs. Das Zertifikat herunterladen und entweder manuell auf die gewünschten Clients installieren oder bei Windows Systemen und größeren Installationen automatisch mittel AD. 

    Mit der Methode wird die Nutzung des Webfilters mit HTTPS ermöglicht und dadurch die Umgehung der Filter via HTTPS unterbunden. Eine weitere Methode ist die Nutzun der neuen v8.2 Funktion "Application Control". Hier muss man z.B. für Facebook nur ein entsprechendes Profil erstellen. Allerdings kann man diese Funktion derzeit leider noch nicht zeitgesteuert nutzen. Es gilt auch hier die o.g. Beschreibung zur Nutzung des Proxys für HTTPS!


    with a little work it is also possible to use HTTPS in transparent proxy mode. I am assuming that you have already created the appropriate filter action, where social networks added.

    Under proxy-profiles, activate "HTTPS traffic (SSL). Now the work begins: To avoid problems accessing HTTPS pages, you first have to install or rollout the Astaro certificate on all client/browsers at the LAN-Network. See also: Web Security -> Web Filter -> tab HTTPS CAs. The certificate, either manually download and install on the client, for larger installationa at MS Windows automatically via AD.

    With this method, the use of the Web Filter with HTTPS is enabled and thus prevented the circumvention of the filter via HTTPS. Another method is to use the new v8.2 feature "Application Control". Here you have, for example Facebook,  to create a profile first. However, this function can be unfortunately still not use a timer, like the Webfilter does. And it also applies the described way to use the proxy for HTTPS!

    Udo Pasch