Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 957 views
  • Users 0 members are here
Options
Suggested

[9.194][NOTABUG] Web Filter Profiles

mod2402
Hi there,

I've found a bug in handling of web filter profiles.
As you can see in attached image I have configured one profile for my  w8 test client with operation mode "Standard".

I've expected that If I don't configure a proxy in my browser I don't have internet access.

The UTM don't block this access. The request is handled by the "Default Webfilter Profile".
[HTML]2014:02:07-21:45:17 asg-2 httpproxy[9835]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.24.60" dstip="85.182.250.163" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4034" request="0x179ef760" url="www.google.de" exceptions="" error="" authtime="0" dnstime="11" cattime="309" avscantime="0" fullreqtime="100856477" device="0" auth="0" application="" category="145" reputation="trusted" categoryname="Search Engines"
2014:02:07-21:45:17 asg-2 httpproxy[9835]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.24.60" dstip="85.182.250.163" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="5804" request="0x179ef540" url="www.google.de" exceptions="" error="" authtime="0" dnstime="8" cattime="279" avscantime="0" fullreqtime="100846140" device="0" auth="0" application="" category="145" reputation="trusted" categoryname="Search Engines"
[/HTML]
I think this is not a normal handling. If I configure in my standard profile access for all internal users in  transparent mode, all other users that should use a profile with standard mode, could easy bypass this policy.

regards,
mod
  • 0
    From your log lines:
    profile="REF_DefaultHTTPProfile (Default Web Filter Profile)"

    It is hitting the Default Web Filter Profile, which according to your screenshot is in Transparent Mode for the Internal network.

    Your W8 test client is likely in the Internal network.  You are correct in that the Standard mode you have configured for that client doesn't work but it will fall through and attempt all other profiles in order.

    Having overlapping Standard and Transparent mode networks is a valid configuration used by some people.  Both apply and the profiles are examined (and used) in order top to bottom.
  • 0
    I have a question regarding this tho.

    I run full transparent yet Google seems to be one domain that doesnt attach a user - it becomes user "" and goes to defaultprofile. which i dont want. if it cant Auth I want it to block all traffic but setting base policy to block means google never works cos it always goes to base policy.

    PLEASE HELP.
    is this a problem with LDAP or AD?
  • 0 in reply to bigmacmclean
    Google is only HTTPS.

    If you are doing AD SSO in transparent mode, it cannot automatically authenticate on an HTTPS connection.  It can only only authenticate connections that are HTTP, have no parameters, and claim to be a browser (based on user agent string).

    If you visit any other website, so that it authenticates, then go to Google it should work.  Even if you first go to http google.com then it should work.
Unfiltered HTML