Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 13236 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Allow certain access without authentication

RobM_01
We are currently using Web filtering in transparent mode, with AD SSO.

However certain applications (currently struggling with npm/node.js, and powershell invoke-webrequest) don't appear to be able to authenticate against the UTM, and show a blank user in the Web filtering log file, and fail to connect.

On our previous proxy/firewall (ISA server), we had a set of rules that allowed access without any authentication, but limited to specific destination or source IPs.
I would like to replicate this, e.g. with a 'rule'/policy that allows unauthenticated access to a 'safe' set of web sites/url.

Adding an exception (to bypass Authentication) based on url seems to work, but maintaining that list in regex format is quite tricky/cumbersome (and can't easily be re-used)
I have also tried adding a similar exception based on Category, or Website tag, however this still fails with an Authentication type error.
Testing this in the Policy Helpdesk also returns:
Blocked User required by policy

And the Exception isn't displayed (as it is when testing, successfully, URL based exceptions)

Any help or alternate methods would be appreciated


This thread was automatically locked due to age.
  • 0
    I also interesting in this solution.

    Did exact same Exception based on Category ("Search Engines" in my case) so anyone can open google.com without authentication prompt. But no go. 

    Policy test page shows "Blocked" and "User required by policy".

    Looks like Category based Exceptions do not honour "Skip Authentication" setting. 

    Can Support / Developers confirm this issue?

    Thanks.
  • 0
    Can Support / Developers confirm this issue?
    This is a user-to-user forum, so officially, nope.  There is one Sophos dev who pops in here unofficially on occasion who may or may not see this thread.  For now, your best bet is exception via regex URL.  If either of you have a paid license, open up a case with support, as it's the ONLY way to get development to take a look and put out a fix, if it is a bug.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Thanks for clarification. 

    For now I'm going to use regex.
  • 0
    Exceptions can cause logical impossibilities.

    For example, for the user "Bob" I would like to skip authentication.  Uh...  how do you know it is Bob?

    There are other, less obvious issues that are to do with the order of processing.  For example, I believe that authentication must be performed before categorization.  This is because the system doesn't know which Filter Action will be used until it knows the user, and without the Filter Action it doesn't know whether categorization is even needed.

    Therefore, you cannot skip authentication based on category.

    Website tags...  I'm not as sure about.  Off the top of my head I don't see why it wouldn't work, but the proof is in the testing.  Note that a tag that are only for domain names (no path) can sometimes match more often (due to HTTPS scanning issues).
  • 0
    Thought this over again and I suspect tags won't work for the same reason.  But again, testing will prove it out.


    I did have another thought - and here is an undocumented thing:

    If you whitelist/blacklist a website, then categorization is not performed, which means that tags are not calculated, which means that exceptions based on tags do not get applied.
  • 0 in reply to Michael Dunn
    Well... You can't skip authentication for User "Bob". You are right - it is logically impossible.
    But my goal is to allow everyone "Search Engines" sites (Google, Yahoo, Bing etc) without User/Password authentication. So skip authentication for Category sounds logical (for me [:)] ).
  • 0
    Wouldn't this be possible using Filtering Options - Misc - Transparent Mode Skiplist?
  • 0 in reply to InformaticaOostkamp
    Even if it does - you need to add ALL sites manually one by one.
    The ideas was too use Category, so any sites with it can skip authentication.
  • 0
    Ahh, I thought you were talking about an application running on a server or something so you could add the server to the (source) skiplist, but that's probably not the case?
Unfiltered HTML