Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 10 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 8067 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access Microsoft CRLs through Webfilter

stephan_lache
Hello to all,

i just changed our proxy from TMG to UTM ( Standard Mode with AD SSO)
Everything is working fine for authenticated Users.

But i can see a lot blocked connections from computeraccounts which want to contact http://crl.microsoft.com/pki/crl.....

Via TMG there was a rule which allowed unauthenticated traffic.
How can i do this with UTM Webfilter?

A exception with "skiping authentication" does not work.

any ideas?

Thanks in advance

best regards
Stephan


This thread was automatically locked due to age.
  • 0
    Hi Stefan,
    you are on the right track - an exception is the way to go. Can you post a screenshot of the exception and a logline that shows the block. That will help us to help you :-).

    Regards
    Manfred
  • +1 in reply to Hallowach2
    This should help, Web Proxy Exception, skipping:

    Authentication / Antivirus / Extension blocking / URL Filter / Certificate Trust Check / Certificate Date Check

    and Matching these URLs:

    ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/pki
    ^https?://([A-Za-z0-9.-]*\.)?ocsp\.entrust\.net
    ^https?://([A-Za-z0-9.-]*\.)?crl\.entrust\.net
    ^https?://([A-Za-z0-9.-]*\.)?ocsp\.usertrust\.com
    ^https?://([A-Za-z0-9.-]*\.)?crl\.usertrust\.com
    ^https?://([A-Za-z0-9.-]*\.)?crl\.microsoft\.com
    ^https?://([A-Za-z0-9.-]*\.)?ocsp\.comodoca\.com
    ^https?://([A-Za-z0-9.-]*\.)?crl\.comodoca\.com
    ^https?://([A-Za-z0-9.-]*\.)?ctldl\.windowsupdate\.com
    ^https?://([A-Za-z0-9.-]*\.)?crl\.verisign\.com

    Administrating:

    • 2x UTM Software HA-Clusters (Active-Passive), Enthusiast Home Lab
    • 1x UTM525 HA-Cluster (Active-Passive), Full Guard, 6x AP15, 2x AP30, 40x RED10, 1x RED50
    • 1x SG230, Full Guard, 6x AP10, 1x AP15
    • 1x UTM220, Full Guard, 16x AP10
    • 1x UTM220, Full Guard
  • 0 in reply to Hallowach2
    Hallo Manfred,

    ich switche mal lieber um zu Deutsch ;-)
    Danke für Deine Antwort.
    Hier der Auszug aus dem LOG:
    ----
    /var/log/http/2015/06/http-2015-06-20.log.gz:2015:06:20-00:09:04 utm-1 httpproxy[7962]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="1.2.3.4" dstip="" user="computeraccount$" ad_domain="AD DOM" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (Standard Surfpolicy)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="3251" request="0xddc8f000" url="crl.microsoft.com/.../Hardware" reason="category" 
    ----------------------
    Habe die AD Gruppe "Domänencomputer" zu der in der Policy erlaubten Gruppe hinzugefügt.
    Die Anfrage ist ja scheinbar auch erfolgreich authentifiziert ( oder für was steht "auth=2" und "autthime=90")?.Trotzdem matcht die Policy nicht und die Default Block Action greift.


    Die Exception die getestet habe sieht so aus:
    ----------
    Skipping: Authentication / Block by download size / Antivirus / Extension blocking / SSL scanning 
     
    Matching these URLs: ^https?://([A-Za-z0-9.-]*\.)?windowsupdate\.com/
    ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/ 
     --------------

    Danke vorab.

    Gruß
    STephan
  • 0
    Stephan, I don't think the "Domänencomputer" group works in a Backend Group definition.  I tested that in V7 and found that only manually-created Security Groups of users could be used.  In any case, it appears that the URL in your post qualified for a different Exception.  It was blocked because there was authentication and the user was disqualified or maybe because authentication was required and this Exception removed authentication - it's not clear.

    I also don't think a Backend Group can work in an Exception that includes an exception for "Authentication."

    MfG - Bob
    PS In order to attach the screenshots that Manfred requested, click on [Go Advanced] below .
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hallo Stefan,
    wie Bob schon sagt, scheint der request auf eine andere exception zu treffen - als geskippte Tests stehen ja da nur 'exceptions="av,ssl,fileextension,size' und nicht 'auth' im log. Der http Statuscode 403 im log sagt auch, das der request nicht berechtigt ist. Das auth=2 hat etwas mit dem Authentifizierungs-Typ zu tun und sagt nicht ob erfolgreich oder nicht erfolgreich authentifiziert wurde.
    Aber wie schon gesagt, mach mal bitte einen Screenshot von der exception.
    Gruß
    Manfred
  • 0 in reply to HiRN
    Hello HiRN,
    thanks for the exceptionlist.
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your explanations.
    Now i think i understand the webfilter process.
    After studying the logfiles and playing around with "filter-policy-Action"
    i got the understanding.

    best regards
    Stephan

    this user board is great :-)

    Stephan, I don't think the "Domänencomputer" group works in a Backend Group definition.  I tested that in V7 and found that only manually-created Security Groups of users could be used.  In any case, it appears that the URL in your post qualified for a different Exception.  It was blocked because there was authentication and the user was disqualified or maybe because authentication was required and this Exception removed authentication - it's not clear.

    I also don't think a Backend Group can work in an Exception that includes an exception for "Authentication."

    MfG - Bob
    PS In order to attach the screenshots that Manfred requested, click on [Go Advanced] below .
  • 0
    Hallo Manfred,

    danke für deine Antwort.
    Ich hatte den "trafficflow" durch den webfilter generell nicht verstanden
    und vieles in den Logs  falsch interpretiert.
    DIe Exception(siehe Bild) für den nicht authentifizierten Zugriff  auf bestimmte URLS
    scheint jetzt zu funktionieren.Sehe keine geblockten Verbindungen mehr zu diesen URLs.
    Noch eine kurze Frage.
    Eine Verbindung durch den Webfilter ist doch nur zustande gekommen,
    wenn im Log steht ( Action=pass,statuscode=200,filteraction=(filtername)
     Richtig?
    Bei den Verbindungen mit statuscode=407(auth erforderlich)
    sieht man auch immer Action =pass und filteraction=()
    Wenn ich es richtig verstehe,heißt "pass" ,daß der Webfilter die Verbindung überhaupt angenommen hat ,weil Source IP und  Operation Mode gepasst haben.
    Wenn man von TMG kommt ist der UTM Webfilter nicht leicht zu verstehen ;-)

    Gruß
    Stephan



    Hallo Stefan,
    wie Bob schon sagt, scheint der request auf eine andere exception zu treffen - als geskippte Tests stehen ja da nur 'exceptions="av,ssl,fileextension,size' und nicht 'auth' im log. Der http Statuscode 403 im log sagt auch, das der request nicht berechtigt ist. Das auth=2 hat etwas mit dem Authentifizierungs-Typ zu tun und sagt nicht ob erfolgreich oder nicht erfolgreich authentifiziert wurde.
    Aber wie schon gesagt, mach mal bitte einen Screenshot von der exception.
    Gruß
    Manfred
  • 0
    Hi Stefan,
    ich hatte nie das Vergnügen mit TMG zu arbeiten, von daher fällt es mir manchmal schwer zu verstehen wo die Probleme eines Umsteiger liegen ;-). Aber hier im Forum wird einem schon gut geholfen und der Webfilter ist auch nicht die einfachste Ecke der UTM. Es gibt ein paar Grundkonzepte in der UTM die man immer im Hinterkopf haben sollte, z.B. das eingehende Pakete in der Reihenfolge DNAT, Proxys, Paketfilter, SNAT bearbeitet werden und das ein first-match Prinzip (fast?) überall gilt.
    Das mit den Logs stimmt soweit, aber es gibt auch noch andere statuscodes die eine erfolgreiche Verbindung zeigen (ich meine z.B. 304 ist auch ok.).
    Viele Grüße
    Manfred
  • 0

    Please keep posts in English in the main forums.  If you need to switch to German, please post in the German language forum at https://community.sophos.com/products/unified-threat-management/astaroorg/f/68.  Thanks.

    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Unfiltered HTML