Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 6 replies
  • Answers 1 answer
  • Subscribers 28 subscribers
  • Views 11268 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter Richtlinien funktionieren nicht

galador

Hallo zusammen,

 

ich habe da ein recht seltsames Problem. Wir haben eine UTM 9 die hauptsächlich als Webfilter eingesetzt wird. Im AD sind verschiedene Gruppen angelegt, die auch entsprechende Proxy Einstellungen verteilen wie z.B. "Internet verweigern". Wenn der AD User Mitglied in einer dieser "Sophos Gruppen" ist, dann wird der richtige Proxy eingestellt und verhindert das der User die Einstellungen verändern kann. Das funktioniert auch tadellos. Dummerweise kommen User die der Gruppe "Internet verweigern" angehören trotzdem weiterhin ins Internet. Das Blöde ist nur das es mal funktioniert hat und auch wenn ich den Sophos Richtlinientester verwende dieser mir angibt das die erwartete (korrekte) Aktion durchgeführt wird.....beim Test am Rechner wird diese Aktion dann aber doch nicht ausgeführt. Der User und die AD Gruppen sind soweit korrekt von dem Active Directory synchronisiert worden.

Ich kann mir das nicht so recht erklären zumal es bisher funktioniert hat und ich nur durch Zufall bemerkt habe das dem nicht mehr so ist. Mir ist auch keine Änderung an der UTM bekannt die dafür verantwortlich sein könnte. Hat jemand zufällig Tipps für mich was noch nachsehen könnte um dem Problem auf die Spur zu kommen?

 

Vielen Dank an alle ......



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Please show a line from the Web Filtering log file where an access was allowed that you intended to block.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Entschuldigung dafür das ich mich jetzt erst melde.

    Folgende Zeilen aus dem Webfilter Log habe ich einmal beispielhaft herauskopiert:

    2017:11:30-10:48:14 SOPGOF httpproxy[18518]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.X.XXX" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProProxy (Proxy)" filteraction=" ()" size="2524" request="0xd235ca00" url="http://www.goch.de/" referer="" error="" authtime="3" dnstime="0" cattime="0" avscantime="0" fullreqtime="212" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36" exceptions=""

     

    2017:11:30-10:48:14 SOPGOF httpproxy[18518]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.X.XXX" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProProxy (Proxy)" filteraction=" ()" size="2524" request="0xd235ca00" url="http://www.goch.de/" referer="" error="" authtime="3" dnstime="0" cattime="0" avscantime="0" fullreqtime="212" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36" exceptions=""

     

    2017:11:30-10:48:15 SOPGOF httpproxy[18518]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.X.XXX" dstip="194.77.236.20" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProProxy (Proxy)" filteraction="REF_HttCffGofaGuest (Gofa Guest)" size="6661" request="0xd235ca00" url="http://www.goch.de/" referer="" error="" authtime="100" dnstime="127739" cattime="140017" avscantime="49908" fullreqtime="967646" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36" exceptions="" category="108" reputation="neutral" categoryname="Public Information" sandbox="-" content-type="text/html"

     

    2017:11:30-10:48:15 SOPGOF httpproxy[18518]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.X.XXX" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProProxy (Proxy)" filteraction=" ()" size="2524" request="0xd734ec00" url="http://www.goch.de/c12574c50066f9bd/files/head.load.min.js/$file/head.load.min.js?openelement" referer="http://www.goch.de/" error="" authtime="3" dnstime="0" cattime="0" avscantime="0" fullreqtime="235" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36" exceptions=""

     

    Vielen Dank für die Hilfe.

  • 0 in reply to galador

    The first two lines and the fourth have statuscode="407" and no information was sent, just the code indicating that the client needed to authenticate with the Proxy.  The third line confirms that this was allowed by a transparent proxy user="" group="" ad_domain="" where the user was not logged into AD.  Please show a picture of the Edit of the Gofa Guest Filter Action.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Vielen Dank für die Antwort.

    Ich habe "Gofa_Guest" entfernt weil dieses nicht von mir erstellt worden ist und auch nicht gewollt war. Unser Dienstleister hatte das Beispielhaft bei einem Meeting eingerichtet und vergessen es wieder zu entfernen. Von daher kann es nichts mehr mit dieser Filteraktion zu tun haben. Was mich etwas wundert ist die User Authentifizierung, der User mit dem ich getestet habe ist im AD und in der UTM vorhanden und er war ganz normal im AD angemeldet. Also scheint hier irgendwo ein Problem zu sein? 

  • 0 in reply to galador

    Was ist denn Deine "Base Policy"? Wenn Du mit Authentifizierungen arbeiten willst und Du eigene Filter Actions für die anderen Gruppen hast musst Du die Base Policy auf "Block" stellen. Sonst rauscht ein nicht authentifizierter Client einfach durch und darf am Ende doch wieder alles. Der Dumme wäre in dem Fall der, der sich authentifiziert ;-)

     

    Welche Einstellung verwendet denn der Proxy für die Authentifizierung und reden wir von einem transparenten oder einem dedizierten Modus?

Reply
  • 0 in reply to galador

    Was ist denn Deine "Base Policy"? Wenn Du mit Authentifizierungen arbeiten willst und Du eigene Filter Actions für die anderen Gruppen hast musst Du die Base Policy auf "Block" stellen. Sonst rauscht ein nicht authentifizierter Client einfach durch und darf am Ende doch wieder alles. Der Dumme wäre in dem Fall der, der sich authentifiziert ;-)

     

    Welche Einstellung verwendet denn der Proxy für die Authentifizierung und reden wir von einem transparenten oder einem dedizierten Modus?

Children
  • 0 in reply to kerobra_retired

    Hallo und Danke für die Antworten.

    Ich habe auf anraten des Sophos Supports einen Domain Rejoin durchgeführt. Jetzt funktioniert alles wieder eiwandfrei. Anscheinend hat das etwas mit einem der letzten Updates zu tun und Sophos rät dazu nach den Installation den Rejoin durchzuführen was mir allerdings entgangen war.

     

    Trotzdem vielen Dank für die Hilfe.