Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 7196 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Client SSL Certificates/Mutual SSL Authentication Possible?

bjackson_01
Hello,

I'm new to Sophos UTM, and I'm currently setting it up for a client in Amazon's AWS environment.  I have the firewall, NAT, IPS, and Proxy server all working correctly.  However, they host a web server that requires client side SSL certificates(aka mutual SSL authentication) and I'd like to be able to take advantage of the UTM's web server protection functions.  Is there a way to configure Sophos UTM's web server protection to pass the client side certificate?  It currently does not work, but at least responds back with the forbidden page when you don't pass a client certificate correctly, which is expected when a client does not pass a cert.  Thanks for your help!

Brad


This thread was automatically locked due to age.
Parents
  • 0
    We're getting a little off topic from the OP's original question about the reverse proxy and pass-through of client certs.

    In our case, given these are private government servers for administering stuff like staff Social Security and Medical Services data, the govt won't won't trust an outside third party to verify us. The certs are govt issued and are tied to our logins so that our staff can only access the data from designated workstations, with their own login.

    The idea is that by giving the client cert to us, they avoid issues like people accessing sensitive data from home or a hacker who keylogged the password from gaining access. Access becomes two factor, what you have (a designated PC in the office), and what you know (your ID & password).
  • 0 in reply to TheDrew
    Thanks for your comments Bob and Andrew!

    Andrew, you are correct in why our client is using the client certificates.  It gives an added layer of security to authenticate the users.  We can't simply add a cert to the UTM and have it passed back to the web server.  The web server sitting behind the UTM needs to see the client's unique certificate(each client has their own unique cert).  The web server will then check their username and password against the certificate they provide.  If everything checks out, we authenticate and let them in.

    I currently have a DNAT running in place with the one UTM instance and everything works fine in that configuration.  The username/password and the client cert gives us the authentication level we require.  I'd like to implement the web protection features so that the UTM can monitor the traffic coming from an authenticated user and drop/log anything harmful before it gets to the web server.  The client cert and the web server protection are handling two different functions of our overall security architecture.

    Andrew, have you implemented client side certs successfully with Sophos UTM before?

    Thanks,
    Brad
Reply
  • 0 in reply to TheDrew
    Thanks for your comments Bob and Andrew!

    Andrew, you are correct in why our client is using the client certificates.  It gives an added layer of security to authenticate the users.  We can't simply add a cert to the UTM and have it passed back to the web server.  The web server sitting behind the UTM needs to see the client's unique certificate(each client has their own unique cert).  The web server will then check their username and password against the certificate they provide.  If everything checks out, we authenticate and let them in.

    I currently have a DNAT running in place with the one UTM instance and everything works fine in that configuration.  The username/password and the client cert gives us the authentication level we require.  I'd like to implement the web protection features so that the UTM can monitor the traffic coming from an authenticated user and drop/log anything harmful before it gets to the web server.  The client cert and the web server protection are handling two different functions of our overall security architecture.

    Andrew, have you implemented client side certs successfully with Sophos UTM before?

    Thanks,
    Brad
Children
No Data
Unfiltered HTML