Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 3571 views
  • Users 0 members are here
Options
Suggested

[9.200][ANSWERED] Allowed category displays warning message

mayday175
Brief description: A user (me) browses to a banking website (eg. http://anz.com.au) and receives the unexpected message:

Warning: Questionable Internet use policy

Reason: Finance & Investment site

Site: anz.com.au

Your organization's Internet access policy suggests you should not be visiting this website.

You may proceed to this website at your own discretion.


Additional details: When running a Policy Test and entering in the URL  http://anz.com.au, my IP address and my user name, I get the expected result: 
Request URL:		http://anz.com.au/

Request Time:		27 Feb, 14:30 (EST)

Result:			Allowed

URL Category:		Finance/Banking

URL Reputation:		Trusted

Policy name:		dpIT Policy


The policy "dpIT Policy" is the correct policy I expect to see applied to me. The Content Filter Action for this policy has the category "Finance/Investing" set to "Allow". The sub-category "Finance/Banking" is inside the "Finance/Investing" category.

Further information: I have been testing UTM 9.2 beta since early December 2013. We have chosen to continue with UTM (over other products I was also testing) and I have spent the last few weeks preparing to put it into production. While this issue currently occurs on release 9.200, I saw issue this earlier today on 9.195 and have seen it numerous times on earlier versions over the last few weeks. In fact, I don't remember my favourite banking site working without generating this warning message.

This issue also occurs for other banking sites, eg. bendigobank.com.au, commbank.com.au, ing.com.au. Other categories allow/warn/block action appears to work as expected. I have only made one change to the default category/sub-category configuration, and that is to make a Streaming Media category and place the Streaming Media sub-category in it. All other categories are default out of the box since this appliance was deployed in early-mid December.

Since I am new to UTM, please advise if there is any further information I can provide and where I can obtain it from. We are still considering which support option to purchase so, in the mean time, I thought I raise this issue here...

Thanks
  • 0
    Could it be that you use endpoint protection and that for endpoints you have the finance category on "warned"?
    I believe the endpoint webfiltering takes precedence over the network/user webfiltering.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0 in reply to apijnappels
    Thats a good point. Yes, we are using endpoint protection... Sophos Endpoint Security and Control v10.3 to be exact. The config of the endpoint is controlled by our SEC 5.2 server; of which the web filtering is configured to use the SophosCloud/UTM synchronisation. There was a problem with one of the earlier beta version where the sync part didn't work (my local Sophos contact confirmed this prior to us purchasing UTM), but this appears to work well when out of the office now [:)]

    Speaking of which, I am at home at the moment and can get to my banking sites just fine. Taking this test further, browsing the test categories on sophostest.com/ I can see block and warning pages as expected. I should try these sites again from at work and see what happens...
  • 0
    Please confirm whether this is occurring for computers with Endpoint, computers without Endpoint, or both.

    On the UTM when you get one of these can you please post the corresponding line from the http.log file, or the eplog.log file (if the computer is an endpoint).

    Can you please check all your configuration to see if there is any Filter Action which has "Warn" configured?
  • 0 in reply to Michael Dunn
    I've only tested this on a limited number of PCs, all of which have SESC 10.3. However, only my pc has the web protection enabled from SEC (which is how they will all eventually be configured). So, in a side by side test with my Web Control "enabled" PC and another Web Control "disabled" PC, with both browsers proxy set to UTM, I browse to sophostest.com/.../index.html. The "Nudity" category is set to Warn, but what I see is:
    - on my PC a Blocked Request message is displayed. This appears to be a generic Web Protection message, not the custom warning text I configured in UTM. There is no entry in the http.log.
    - on the second PC, the actual web page is displayed. The http.log shows access as expected.

    This is odd... I would expect to see the same Warning message on both. So I disable this policy (for our IT team only, which has less restrictions) and allow the next policy to take affect (for all staff) an repeat the test:
    - on my PC I still see the same Blocked Request message. There is no entry in the http.log.
    - on the other PC I see a warning message (containing my custom text) that the site is uncategorised. The http.log shows warning as expected.

    This says a few things to me:
    - the IT policy I disabled is not working correctly. I'll delete it and try again.
    - the Web Protection may not synchronising correctly, or not fast enough. It might be related to the above policy not working. I'll disable/enable the Web Protection and reset the LiveConnect registration token.
    - the Sophos nudity/adult test site is not categorised correctly. I can't fix that [;)]

    Let reset these few things and report back again...
  • 0
    The computer with Endpoint will not log to http.log it will log to eplog.log, and it can take several minutes for the log entries to appear.

    Please note that with the Endpoint the "warn" will appear as a Block Page (it will say that you are blocked) but it will contain a proceed button.

    Web protection might not be synchronizing.  If you make a change on the UTM you should see files in c:\programdata\sophos\web control\policies being updated (sort by date).  If you are not getting updates, please send me your UTM system-id (here or IM) and I will check cloud servers.

    Agreed that the IT web policy seemed to be occurring when it shouldn't have.  You can look at the log files at the profile="" and filteraction="" to confirm what filter action is being applied (and deduce which policy).  If you cant get it to work the way you think you should, post some screenshots.

    Please note that sophostest.com will only work if you are using SXL - if you have enabled the local db then you cannot use this site for testing on the UTM.  If you are not using the local db and still having problems, can you try www .sophostest.com rather than sophostest.com.

    Please note that if you reset the registration token you will need to update SEC.
  • 0
    Michael

    Thanks for the advice. I looked in c:\programdata\sophos\web control\policies and found a bunch of policy files dated from mid-November. This is about the time I was testing the Web Protection appliance, before I started testing UTM. 

    I ended up upgrading my SESC from 10.3.? to 10.3.6, after which that folder was empty. When testing from home I saw a bunch of new policy files arrive, all time/dated within a few minutes of when I started testing at home.

    I suspect this issue was a remnant of my previous Web Protection testing and not related to UTM at all. I'll let you know if there's any change to this... but I doubt it will happen.
Unfiltered HTML