[9.090][ANSWERED] Endpoint Webfiltering

If you have endpoint protection and have enabled the new web content filtering for those endpoints, the client will do the filtering (albeit exactly how it looks in the UTM, just the execution is handled at the client level), and this is location agnostic, no matter where they are.

It is very slick and works quite well, give it a shot!

I tried it, but what happens when the Laptop is back behind UTM? Double Content filtering?

As far as I can tell, yes, "double filtetring" if an endpoint has web filtering in the client enabled and the client ends up behind a UTM doing content filtering at the perimeter.

It was just a config error. My Default Filter was not set to block and had been used.

This Feature is very powerful and finding error is not easy.

But double filtering will not be done, cause of sophosxl.net usage. Is it correct, that sophosxl.net is no contacted and this traffic is decoded internally by UTM Proxy?

Hi,

I tried it, there is no double filtering done.

But there is a big big bug.

I enabled Endpoint Content Filter. After that I have only sophosxl.net traffic from Endpoint Client. This traffic is allowed with an Exception by default.

What happens. When there is no content filter endpoint config, all traffic from endpoint is hidden, cause sophosxl.net URL is used and allowed by default.

This is a very bad thing, because Content filter is bypassed by every user who uses sophos endpoint Webfilter. This is even worse, when external user using sophos endpoint webfilter and are able to Bypass UTM Content filter.

Sven

Hi all,

First of all, we have added an option "Scan traffic on both gateway and endpoint".  This is under Endpoint Protection \ Web Control \ Advanced.

I will try to explain briefly:

There are four issues:
- Antivirus scanning
- Category/Reputation blocking
- Other web protection (mime, active content removal, etc)
- Logging

If you have the "Scan traffic on both gateway and endpoint" unchecked:
- All HTTP Endpoint traffic that goes through the UTM is not virus scanned or content scanned by the UTM (this all happens on the Endpoint).
- Although the UTM is proxying the traffic it does not log it.  This is to prevent double-logging by both the Endpoint and UTM
- HTTPS traffic is scanned and logged by the UTM (depending in HTTPS scanning setting)
- Application Control is still enabled

If you have the "Scan traffic on both gateway and endpoint" checked:
- The UTM has the same logging as above
- All traffic will be virus scanned.  The Endpoint will always scan with the Sophos Antivirus.  If you have the UTM using the Avira engine (as single or dual scan) then that allows you to scan with two different engines.
- Some (but not all) "other" web protection is done on the UTM depending on technical feasibility.

Please note there is special magic that means that just installing a Sophos Endpoint does not automatically mean you are bypassed on the UTM.  You must have an Endpoint that has Web Protection on for the specific UTM that you are proxying through.

In Summary:
- Endpoints are always protected by the Endpoint software, including content filter
- Anything that the Endpoint cannot do (eg App Control) is still done at the UTM
- Checking the checkbox will do double-virus scanning (with a different engine if configured)
- UTM does not log everything it does because that can create double logging
- Turning on Web Control does not reduce protection in any way


Note: The sophosxl.net traffic is for the Endpoint to do cloud lookups for categorization and reputation.  This traffic (and the exception for it) is unrelated to anything above.