Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 53 replies
  • Subscribers 0 subscribers
  • Views 26056 views
  • Users 0 members are here
Options
Suggested

[9.185][BUG] Many Suspicious TCP state log entry's

mod2402
I've configured for android phones a Proxy Profile with transparent scanning and no HTTPS Scan. My firewall log shows many Suspicious TCP state entry's. See following extract:
Same result if I use Lync client on my notebook with same scan Settings.
  

17:44:40 Suspicious TCP state TCP 

192.168.24.69 : 40437

→ 

173.194.70.188 : 5228

 

[ACK PSH] len=145 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:50 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:53 Suspicious TCP state TCP 

192.168.24.69 : 40321

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

 
The lync client disconnects the connection often if I use non https scanning. With "URL Filtering only", the client seems to work without disconnections. 
 
regards
mod
Parents
  • 0
    Hi All, 

    Please find the rpm attached which is of more recent version. I have not tested all the scenarios, however I believe that it fixes the issue. I would like to test in your env. 

    rpm -Uhv 
    /etc/init.d/mdw restart

    disable Strict TCP and reenable it. 

    Note: please don't erase and install it, it will break the system.

    Best Regards,
    yash
    ep-mdw-9.20-142.gc737cdc.i686.rpm
  • 0 in reply to yash
    Hi All, 

    Please find the rpm attached which is of more recent version. I have not tested all the scenarios, however I believe that it fixes the issue. I would like to test in your env. 

    rpm -Uhv 
    /etc/init.d/mdw restart

    disable Strict TCP and reenable it. 

    Note: please don't erase and install it, it will break the system.

    Best Regards,
    yash


    Hi Yash,

    This one did it!!! [:D]

    I have only testet for about 5min but that is what I ever was able to do without issues. I checked the logs and no log entries regarding HTTPS and suspicious tcp [:)]

    I will do some more tests tomorrow but it lookning good for sure!

    Great Work!

    Best Regards,
    Frank
Reply
  • 0 in reply to yash
    Hi All, 

    Please find the rpm attached which is of more recent version. I have not tested all the scenarios, however I believe that it fixes the issue. I would like to test in your env. 

    rpm -Uhv 
    /etc/init.d/mdw restart

    disable Strict TCP and reenable it. 

    Note: please don't erase and install it, it will break the system.

    Best Regards,
    yash


    Hi Yash,

    This one did it!!! [:D]

    I have only testet for about 5min but that is what I ever was able to do without issues. I checked the logs and no log entries regarding HTTPS and suspicious tcp [:)]

    I will do some more tests tomorrow but it lookning good for sure!

    Great Work!

    Best Regards,
    Frank
Children
No Data
Unfiltered HTML