Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 53 replies
  • Subscribers 0 subscribers
  • Views 26053 views
  • Users 0 members are here
Options
Suggested

[9.185][BUG] Many Suspicious TCP state log entry's

mod2402
I've configured for android phones a Proxy Profile with transparent scanning and no HTTPS Scan. My firewall log shows many Suspicious TCP state entry's. See following extract:
Same result if I use Lync client on my notebook with same scan Settings.
  

17:44:40 Suspicious TCP state TCP 

192.168.24.69 : 40437

→ 

173.194.70.188 : 5228

 

[ACK PSH] len=145 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:50 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:53 Suspicious TCP state TCP 

192.168.24.69 : 40321

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

 
The lync client disconnects the connection often if I use non https scanning. With "URL Filtering only", the client seems to work without disconnections. 
 
regards
mod
  • 0
    UTM 9.200 Soft-Released Fresh install
    This rpm seem to work no more vpn disconnects  But log is filling up with the ones listed below and making it grow.
    dont know if this happen before or after patch but did a scan with nmap and it reported 3 open port see this post
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65649

    2014:02:27-14:57:52 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" srcip="174.xx.xx.xx.xx" dstip="64.191.223.35" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="50029" dstport="80" tcpflags="ACK PSH FIN" 

    2014:02:27-14:57:54 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" srcip="174.xx.xx.xx.xx" dstip="64.191.223.35" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="50029" dstport="80" tcpflags="ACK PSH FIN"
     
    2014:02:27-14:57:56 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" srcip="174.xx.xx.xx.xx" dstip="64.191.223.35" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="50029" dstport="80" tcpflags="ACK PSH FIN" 

    2014:02:27-14:57:59 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" srcip="174.xx.xx.xx.xx" dstip="64.191.223.35" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="50029" dstport="80" tcpflags="ACK PSH FIN" 

    2014:02:27-14:58:07 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" outitf="eth1" srcmac="x:xx:xx:xx:xx:xx" srcip="174.xx.xx.xx.xx" dstip="64.191.223.35" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="50029" dstport="80" tcpflags="ACK PSH FIN" 

    2014:02:27-15:00:55 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth1.115" mark="0x40000" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.xx.xx.xx.xx" dstip="23.193.202.247" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="62713" dstport="443" tcpflags="ACK FIN" 

    2014:02:27-15:00:55 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth1.115" mark="0x40000" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.xx.xx.xx.xx" dstip="54.219.160.92" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="62703" dstport="443" tcpflags="ACK FIN" 

    2014:02:27-15:00:58 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth1.115" mark="0x40000" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.xx.xx.xx.xx" dstip="54.219.160.92" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="62703" dstport="443" tcpflags="ACK FIN" 

    2014:02:27-15:00:58 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth1.115" mark="0x40000" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.xx.xx.xx.xx" dstip="50.18.217.218" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="62702" dstport="443" tcpflags="ACK FIN" 

    2014:02:27-15:00:59 AYALl ulogd[2840]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" initf="eth1.115" mark="0x40000" srcmac="x:xx:xx:xx:xx:xx" dstmac="x:xx:xx:xx:xx:xx" srcip="172.xx.xx.xx.xx" dstip="23.193.202.247" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="62713" dstport="443" tcpflags="ACK FIN"
  • 0 in reply to Knome
    Hi Knome, 
    Could you please give us more details, about the features enabled.
    1. http and https features.
    2. User defined firewall rules
    3. Masquerading and NAT rules
    4. SSL VPN rules features.
    Without understanding your setup, I will be unable to reproduce the scenario. 
    More specifically, send us the iptables entries.

    Best Regards,
    Yash
  • 0 in reply to mod2402
    Hi,

    Just finished working via my SSL VPN and no problems at all. From my standpoint this issue is resolved with the latest fix [:)]

    Best Regards,
    Frank
  • 0
    dont know if this patch is the problem but can some one who applied the patch 
    not running a ftp server try to connect with their browser from the outside  to (ftp://your your sophos utm external ip here)  (http://your sophos utm external ip her)  and (https:// your sophos utm external ip here)  also do a external scan with (nmap -sS -sU -T4 -A -v  your sophos utm external ip here)

    and respond with result if open ports  or close port  and result from connecting to ftp http https
    thanks
  • 0
    Hi Knome, 

    Did you observed this behavior before applying this patch or in version 9.1 ?

    Best Regards,
    yash
  • 0
    fresh install Sophos UTM 9.200  did another scan
    without installing the patch got the same open ports its not the patch 
    did not see this in version 9.1
  • 0
    Hi mod, 
    I did the testing of the attahced rpm with minimal setup, seems its success. 
    Please test this in your setup. If this didnt get resolved , I need to login to ur box for understanding 
    your setup and also debugging.

    Best Regards,
    yash
    ep-mdw-9.20-143.gc1dd83f.i686.rpm
  • 0
    hi yash,
    the rpm is running perfectly. Great Job! [:)]
    I'll observe the logs a few days more.
    Regards
    mod
Unfiltered HTML