Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 747 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IM Rules

FairyBurst
Hi,

I am in the process of designing the rules for our new ASG220 FW.

So far all is well.  I have been able to create the Proxy Profile, Filter Assignments and Filter Actions to allow access to the Internet based on an AD group, along with blocking inappropriate websites.

I have even been able to set up the timings so that social networking websites are only accessible at specific times of the day.

Unfortunately I am stuck at enabling Instant Messaging for a specific AD group.  I have read through the few threads that have been posted, but unfortunately I am drawing a blank.

I have IPS enabled and using AD SSO.  I have enabled IM Control as we have the licence to use this element.  By default everything is blocked.

I tried adding exceptions, packet filters, NAT rules etc, but alas nothing worked.

If anyone has any ideas I would be most grateful.

Cheers,

FB


This thread was automatically locked due to age.
Parents
  • 0
    It sounds like you have accomplished a lot on the Web Security side!

    First, a little overview...

    SSO works only with the HTTP/S Proxy.  It requires the users to point their browsers at the Internal (Address) IP of the Astaro, so it is incompatible with Transparent Mode in V7.4.  The FTP Proxy only works in Transparent Mode.

    The IM/P2P functionality is unrelated to 'Web Security' in the Astaro.  It is more-closely related to the Intrusion Protection System in 'Network Security' and the Astaro Flow Classifier (AFC) sub-system.  In any case, there is no connection between IM/P2P and SSO.

    In the Astaro proxies, the Packet Filter (PF) rules and the Routing all occur before any explicit routes or PF rules; this is why they were ignored in your experiments.

    However, I can think of one thing that might work.  Let's assume that you have created a User Group named "IM Users" in the Astaro that is authenticated by AD and limited to an AD group.  Go to 'Definitions >> Networks' to see the "Known IP addresses of users in group 'IM Users'" listed under 'IM_Users (User Group Network)'.  If you see IP addresses of the users in this group, that means the group definition is working, and you should be able to use the 'IM_Users (User Group Network)' as a 'Source network' in the definition of an IM Exception.

    Does that work?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    It sounds like you have accomplished a lot on the Web Security side!

    First, a little overview...

    SSO works only with the HTTP/S Proxy.  It requires the users to point their browsers at the Internal (Address) IP of the Astaro, so it is incompatible with Transparent Mode in V7.4.  The FTP Proxy only works in Transparent Mode.

    The IM/P2P functionality is unrelated to 'Web Security' in the Astaro.  It is more-closely related to the Intrusion Protection System in 'Network Security' and the Astaro Flow Classifier (AFC) sub-system.  In any case, there is no connection between IM/P2P and SSO.

    In the Astaro proxies, the Packet Filter (PF) rules and the Routing all occur before any explicit routes or PF rules; this is why they were ignored in your experiments.

    However, I can think of one thing that might work.  Let's assume that you have created a User Group named "IM Users" in the Astaro that is authenticated by AD and limited to an AD group.  Go to 'Definitions >> Networks' to see the "Known IP addresses of users in group 'IM Users'" listed under 'IM_Users (User Group Network)'.  If you see IP addresses of the users in this group, that means the group definition is working, and you should be able to use the 'IM_Users (User Group Network)' as a 'Source network' in the definition of an IM Exception.

    Does that work?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi everyone,

    I have also created a Group Policy to set the Proxy settings of the browser so the users will look at the Astaro.  Additionally DHCP will be changed so the Default Gateway points to the Astaro.

    Bob - Many thanks for your reply:

    You are indeed correct in your assumptions, unfortunately the IP address appears as [unresolved].  I would then assume because of this I cannot use it to create a PF rule etc for IM usage?

    That said is there anyway I can make it recognise the IP address (of course the group itself wont have an IP address, but its members will, which sadly also appear as unresolved).

    Cheers,

    FB
  • 0 in reply to FairyBurst
    Are you saying that the Astaro doesn't show the IP addresses when the users have Internet Explorer open?  Are you certain the group is correctly defined and functions as it should?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ben,

    Within Definition -> Network both the test user and IM group both appear as [unresolved].

    Actually non of the AD groups that are pulled through appear with an IP address, they also appear as [unresolved].

    My reseller tells me that they normally only appear for VPN connections/users.

    Unless I am looking in the wrong place Ben?

    Cheers,

    FB
  • 0 in reply to FairyBurst
    Hi,

    I have managed to get this working by doing the following:

    1. Create a Definition(Host) for each IM user
    2. Activate the IM control and block everything except MSN
    3. Create a Web Security URL Exception for Hosts wanting to access IM
    4. Create a PF rule for each Host to allow them to use IM

    Sadly I couldnt figure out how to group the hosts so I didn't need to add lots of PF rules [:(].

    Anyone think of a more refined method?

    Cheers,

    FB