Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 2381 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Protection on Endpoint + UTM625

dmw2112
With the release of 9.1, we are testing the Endpoint Web Protection feature, something we are very excited about.  In doing so we've noticed however there are some discrepancies.  I know this is new to the UTM so we expect a few hurdles.

For some background, we are running 2 UTM 625s in an HA cluster, version 9.101-12.  Web Protection is setup using Standard Mode with AD SSO authentication.  We tie a few groups on the UTM to various AD groups and in conjunction with Web Filtering Profiles provide proxy (via PAC) to our users on our private company network.  Works beautifully I might add; extremely fast (db in mem), have not run in the CPU/Mem issues seen on various other posts, etc.  (6 months in production).

We're testing Endpoint Protection, and prior to 9.101-12, we were just doing the basics available to us; virus and device control.  No issues.

Now we're trying out the Web Protection Endpoint Protection feature now that it is available, so when our users go off network, we can continue to log/control where they can go - and we have run into a few bumps in the road.

** None of these issues exist when on the private network and using the proxy per normal **

Issues when off network using the End Point client:

1.  Not all sub-categories in a category are blocked.  Example: we have a category "Adult Oriented" - and under that we have ****ography, Provocative Attire, Nudity, and a few others.  ****ography is blocked but Provocative Attire is not.

2. Web Protection Profiles are out the window.  Example, I am in a "Power Users" group that allows me to go to certain sites.  Fine when on private network via proxy, blocked when off network via End Point client.  I have looked at the logs and I see where the End Point client sends my username a bit differently (domain\username) vs when on the private network via proxy just (username) is sent.  Might have something to do with it, not sure.

Has anyone else tried this feature out?  The browser messages indicating "site blocked" all have our custom logo/text, etc.  Just the two issues I mentioned above.

I'm still in the process comparing logs, etc.  Any thoughts on how to look into the LiveConnect cloud and see the Web Filtering setup?

Sincerely,
dmw


This thread was automatically locked due to age.
  • 0
    I've used it quite a bit:

    1)  I recall that as part of adding the Endpoint Web Security capabilities in, they have switched from using the TrustedSource Content Filter DB to the SophosXL one... there may be some category mis-mapping going on (the new db categories to the old one), I'd start a support case regarding this.  I've not seen this issue specifically myself, but I can imagine that may be the issue.

    2)  Profiles aren't "out the window" per se; they can't send your AD information via the SophosXL category lookup system, so profiles are created and enforced by endpoint (machine) groups... you can create Web Protection profiles for Endpoint-secured systems by using their computer groups in the profiles.  Again, based off of the actual machine group membership in Endpoint, not the user's AD credentials.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Thank you for the insight. I'll open a case on item #1 and do a bit more research on what you mentioned for #2.
  • 0 in reply to dmw2112
    Just have a look at creating a new Proxy Profile under Web Security, you'll see the extra list box there for Endpoint Groups...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Bruce, thank you for the info.  It was very helpful.

    Item #1 - We think we figured out the discrepancy between UTM URL categorization and Endpoint URL categorization based upon your comment about SophosXL.  UTM categories are matching EndPoint categories now.

    [SIZE="1"]

    If anyone is interested:  we were using local db in mem on the UTM.  Yesterday afternoon we noticed all the sudden that all websites were coming up as uncategorized on the UTM.  We also noticed a large amount of traffic on the outside interface belonging to Sophos Content Filter Framework Server.  Based on your comment regarding UTM going to SophosXL we thought our previously existing local db was no longer getting periodic updates.  We reverted back to local db none and low and behold, the categories were OK again and matching the behavior on the endpoint.

    [/SIZE]

    Item #2 - The tip for Proxy Profile was also right on.  After creating a new Proxy Profile for the EndPoint group, the End Point web protection is behaving as expected for users in certain groups.

    Thanks again, working great.
    dmw
  • 0 in reply to dmw2112
    Sorry I should have been more clear; my understanding regarding Web Security and the Content Filter DBs is precisely what you have found; as soon as you switch on Endpoint Web Security, the SophosXL system becomes the content filter DB for everything...

    I'm pretty sure at some point they'll drop support for the "legacy" content filter DB entirely, as it doesn't make sense for Sophos to pay for a content db when they already have one they own.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    I know this is an old thread,but wanted to correct some mis-information for anyone else who stumbles across it. 

    The newer SXL lookup mechanism is just the protocol used to query the content filter database. It queries a different set of servers than the old Astaro CF lookups, but the database used is the same in both cases. URLs should be categorized the same in either case. If not, you'll want to check with support.

    The SXL lookup mechanism has a much more efficient caching mechanism, so it ends up being quite a bit faster in many cases. In most every case I've seen, users have found it to solve performance limits that caused them to switch to the old local content filter database option.
  • 0
    Good to know, thanks Alan.
    ..

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?