Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 53 replies
  • Subscribers 0 subscribers
  • Views 26041 views
  • Users 0 members are here
Options
Suggested

[9.185][BUG] Many Suspicious TCP state log entry's

mod2402
I've configured for android phones a Proxy Profile with transparent scanning and no HTTPS Scan. My firewall log shows many Suspicious TCP state entry's. See following extract:
Same result if I use Lync client on my notebook with same scan Settings.
  

17:44:40 Suspicious TCP state TCP 

192.168.24.69 : 40437

→ 

173.194.70.188 : 5228

 

[ACK PSH] len=145 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:50 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:53 Suspicious TCP state TCP 

192.168.24.69 : 40321

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

 
The lync client disconnects the connection often if I use non https scanning. With "URL Filtering only", the client seems to work without disconnections. 
 
regards
mod
Parents
  • 0
    Hi yash,

    now I could reproduce this issue. This issue occurs only if I add a destination in the "Skip transparent mode destination host" list.

    [HTML]14:30:44  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=77  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:46  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=151  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:49  Suspicious TCP state  TCP    
    192.168.24.60  :  51090
    → 
    194.0.***.***  :  443
      
    [ACK]  len=52  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:49  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=77  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:49  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=77  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:50  Suspicious TCP state  TCP    
    192.168.24.60  :  51090
    → 
    194.0.***.***  :  443
       [/HTML]

    I've added a host to the skip list for direct XEN App access. It seems that tunneled protocols cause this issue. In the past I had same problems with Lync client and some mobile apps. All use tunneled protocols.

    I've no firewall rule configured for https access. In the proxy profile I use decrypt and scan. The destination host is in the skiplist. I can't see any other related log entry.

    Citrix access is working but sometime the connection freeze.

    If I create an additional firewall rule for https access the issue is gone.

    There are some strange behaviors in conjunction with http proxy. Also in my other post.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65611

    regards
    mod
  • 0 in reply to mod2402
    Hi Mod, 

    Thanks again , I am looking into this issue.

    Best Regards,
    Yash
  • 0 in reply to yash
    Hi mod, 
    I am unable to reproduce the issue with the settings.
    1. Strict TCP session enabled 
    2. Web filtering--> HTTPS traffic-> Decrypt and scan enabled.
    3. Web filtering -> Transparent mode enabled.
    4. Added the destination to   --> Skip transparent mode destination hosts/nets
    5. No firewall rule entry for https traffic. 

    Did I missed any of your configuration settings? . 

    It will add one more level of help, if you could send me the iptables entries . 

    Best Regards,
    Yash
Reply
  • 0 in reply to yash
    Hi mod, 
    I am unable to reproduce the issue with the settings.
    1. Strict TCP session enabled 
    2. Web filtering--> HTTPS traffic-> Decrypt and scan enabled.
    3. Web filtering -> Transparent mode enabled.
    4. Added the destination to   --> Skip transparent mode destination hosts/nets
    5. No firewall rule entry for https traffic. 

    Did I missed any of your configuration settings? . 

    It will add one more level of help, if you could send me the iptables entries . 

    Best Regards,
    Yash
Children
No Data
Unfiltered HTML