Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 53 replies
  • Subscribers 0 subscribers
  • Views 26023 views
  • Users 0 members are here
Options
Suggested

[9.185][BUG] Many Suspicious TCP state log entry's

mod2402
I've configured for android phones a Proxy Profile with transparent scanning and no HTTPS Scan. My firewall log shows many Suspicious TCP state entry's. See following extract:
Same result if I use Lync client on my notebook with same scan Settings.
  

17:44:40 Suspicious TCP state TCP 

192.168.24.69 : 40437

→ 

173.194.70.188 : 5228

 

[ACK PSH] len=145 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:50 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:53 Suspicious TCP state TCP 

192.168.24.69 : 40321

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

 
The lync client disconnects the connection often if I use non https scanning. With "URL Filtering only", the client seems to work without disconnections. 
 
regards
mod
  • 0 in reply to mod2402
    Thanks mod for helping in this . [:)] .
  • 0
    Hi yash,

    now I could reproduce this issue. This issue occurs only if I add a destination in the "Skip transparent mode destination host" list.

    [HTML]14:30:44  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=77  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:46  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=151  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:49  Suspicious TCP state  TCP    
    192.168.24.60  :  51090
    → 
    194.0.***.***  :  443
      
    [ACK]  len=52  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:49  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=77  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:49  Suspicious TCP state  TCP    
    192.168.24.60  :  51105
    → 
    194.0.***.***  :  443
      
    [ACK PSH]  len=77  ttl=127  tos=0x00  srcmac=84:3a:4b:a1:c6:a4  dstmac=0:1a:8c:f0:4b:a0
    14:30:50  Suspicious TCP state  TCP    
    192.168.24.60  :  51090
    → 
    194.0.***.***  :  443
       [/HTML]

    I've added a host to the skip list for direct XEN App access. It seems that tunneled protocols cause this issue. In the past I had same problems with Lync client and some mobile apps. All use tunneled protocols.

    I've no firewall rule configured for https access. In the proxy profile I use decrypt and scan. The destination host is in the skiplist. I can't see any other related log entry.

    Citrix access is working but sometime the connection freeze.

    If I create an additional firewall rule for https access the issue is gone.

    There are some strange behaviors in conjunction with http proxy. Also in my other post.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65611

    regards
    mod
  • 0 in reply to mod2402
    Hi Mod, 

    Thanks again , I am looking into this issue.

    Best Regards,
    Yash
  • 0 in reply to yash
    Hi mod, 
    I am unable to reproduce the issue with the settings.
    1. Strict TCP session enabled 
    2. Web filtering--> HTTPS traffic-> Decrypt and scan enabled.
    3. Web filtering -> Transparent mode enabled.
    4. Added the destination to   --> Skip transparent mode destination hosts/nets
    5. No firewall rule entry for https traffic. 

    Did I missed any of your configuration settings? . 

    It will add one more level of help, if you could send me the iptables entries . 

    Best Regards,
    Yash
  • 0
    We are planning to release a fix for this issue in Version 9.201.
  • 0
    Hi yash,
    I've tried one more time. In my first try I can't see any Suspicious TCP state entry.
    Than, I've deleted the entry in the skiplist and recreated. 
    The second try shows at the beginning no error. But after three minutes the issue comes back. The issue occurs not all the time, just sometimes.

    Could you please send me your email for the iptables conf export? Or did you have an upload link for me?

    regards
    mod
  • 0
    I sent a PM. Also , please send me the packet filter log rather than the log from the GUI.

    The connections are of interactive sessions or just file download ?

    Best Regards,
    Yash
  • 0
    hi yash,
    I sent you a PM and an email.
    The connection is an interactive Citrix session (ica over https).
    regards
    mod
  • 0
    Hi mod, 

    I am unable to receive the contents and I sent a PM.

    Best Regards,
    Yash
  • 0
    I am also having the Suspicious TCP state log entry's connection gets drop  

    1. Strict TCP session enabled
    2. Web filtering--> HTTPS traffic-> Decrypt and scan enabled.
    3. Web filtering -> Transparent mode enabled.

    here are some logs

    2014:02:24-12:02:28 AYALl ulogd[388]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth11.127" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.XX.XX.XX" dstip="124.XX.XX.XX" proto="6" length="178" tos="0x00" prec="0x00" ttl="127" srcport="44677" dstport="20003" tcpflags="ACK PSH" 
    2014:02:24-12:02:28 AYALl ulogd[388]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth11.127" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.XX.XX.XX" dstip="124.XX.XX.XX" proto="6" length="178" tos="0x00" prec="0x00" ttl="127" srcport="44677" dstport="20003" tcpflags="ACK PSH

    2014:02:24-11:45:48 AYALl ulogd[388]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth11.129" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.XX.XX.XX" dstip="198.XX.XX.XX" proto="6" length="66" tos="0x00" prec="0x00" ttl="63" srcport="54834" dstport="5223" tcpflags="ACK PSH" 
    2014:02:24-11:45:48 AYALl ulogd[388]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth11.129" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.XX.XX.XX" dstip="198.XX.XX.XX" proto="6" length="136" tos="0x00" prec="0x00" ttl="63" srcport="54834" dstport="5223" tcpflags="ACK PSH FIN"
Unfiltered HTML