This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG230 Proxy tauscht Zertifikat aus trotz Ausnahme-Regel

Hallo zusammen,

ich habe gestern auf unseren SG230 die Firmware 9.710-1 eingespielt. Der Web-Proxy läuft im Standard-Modus. Seit dem kann kein Login mehr auf login.datev.de vorgenommen werden, das scheint daran zu liegen, dass nicht das original Datev-Zertifikat verwendet wird, sondern der Proxy das Zertifikat austauscht. Laut Datev muss hierfür eine Ausnahme gesetzt werden (Meldung "Fehlerhafte Authentifizierung" - DATEV Hilfe-Center), folgendes habe ich heute in Web Protection -> Filteroptionen eingestellt:

^https?://([A-Za-z0-9.-]*\.)?bstbk-vollmachtsdatenbank\.de/
^https?://([A-Za-z0-9.-]*\.)?datev\.de/

sind als Filteroption-Ausnahmen (Quell-Netzwerke: gesamtes Intranet) definiert. Auch ein Zusatz von

duo.datev.de
login.datev.de
secure4.datev.de
secure18.datev.de
www.bstbk-vollmachtsdatenbank.de

bringt keine Änderung, es wird immer ein Zertifikat ausgestellt von "Sophos Endpoint RSA Root" verwendet.

Ist das ein Bug in der aktuellen Firmware? Oder wo kann ich noch Einstellungen ändern um die Verbindung hinzubekommen?
Vielen Dank im Voraus,
Tobias Wagener

This thread was automatically locked due to age.

Top Replies

ToWa over 1 year ago +1

Hallo nochmal, das Problem scheint gelöst. "Schuld" ist nicht der Web Proxy der SG230, sondern die Sophos Endpoint Protection. Mir war aufgefallen, dass das angezeigte Zertifikat mit "signiert von…

Parents

0 ToWa over 1 year ago

Hallo nochmal,

das Problem scheint gelöst. "Schuld" ist nicht der Web Proxy der SG230, sondern die Sophos Endpoint Protection. Mir war aufgefallen, dass das angezeigte Zertifikat mit "signiert von Sophos Endpoint RSA Root" versehen war - das passt nicht zur Proxy CA der UTM!

Sophos rollt seit diese Woche Montag (zunächst nur für Client PCs) einen neuen Core Agent aus, welcher eine Zusatzfunktion mit Paket Inspection (IPS) einführt, diese ist standardmäßig aktiv in der Basis-Richtlinie. Nachdem ich dort eine Ausnahme für den Daten IP-Bereich eingeführt habe und der Client sich die neue Richtlinie gezogen hat geht der Zugriff wieder.

Vielleicht hilft das ja dem ein oder anderen weiter ;-)
LG
Cancel
Vote Up +1 Vote Down

Cancel
0 Kevin Marshall1 over 1 year ago in reply to ToWa

Hallo ToWa,

welche IP-Adressen hast du dort hinterlegt. Und welche Basis-Richtlinie hast du genau angepasst?

Gefunden unter Sophos Central https://cloud.sophos.com/manage/endpoint/config/settings/ssl-tls-decryption

und dort die Server von oben eingeben
Cancel
Vote Up 0 Vote Down

Cancel
0 Kevin Marshall1 over 1 year ago in reply to Kevin Marshall1

Gefunden unter: Sophos Central cloud.sophos.com/.../ssl-tls-decryption
Cancel
Vote Up 0 Vote Down

Cancel
0 ToWa over 1 year ago in reply to Kevin Marshall1

Hallo Kevin Marshall1,

ich bin nicht über die globale Einstellung gegangen sondern über Endpoint Protection - Richtlinien - Basisrichtlinie - Schutz vor Bedrohungen. Dort unter "SSL/TLS-Entschlüsselung von HTTPS-Websites" kann man Richtlinien-Ausschlüsse hinzufügen, in diesem Fall wie von Datev vorgegeben 193.27.48.0/21. Nach weiteren Problemen z.B. mit einer Zoll-Anwendung habe ich die SSL-Entschlüsselung im Antivirus-Produkt komplett abgeschaltet, die Sophos SG230 macht das ja schon.

LG
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 ToWa over 1 year ago in reply to Kevin Marshall1

Hallo Kevin Marshall1,

ich bin nicht über die globale Einstellung gegangen sondern über Endpoint Protection - Richtlinien - Basisrichtlinie - Schutz vor Bedrohungen. Dort unter "SSL/TLS-Entschlüsselung von HTTPS-Websites" kann man Richtlinien-Ausschlüsse hinzufügen, in diesem Fall wie von Datev vorgegeben 193.27.48.0/21. Nach weiteren Problemen z.B. mit einer Zoll-Anwendung habe ich die SSL-Entschlüsselung im Antivirus-Produkt komplett abgeschaltet, die Sophos SG230 macht das ja schon.

LG
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data