Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Machine names in users - HTTP Live Log

MojoQC
Hi guys,

Following multiple question on this forum, I am pleased to annouce you that we have succesfully implemented our proxy using AD SSO! And it works like a charm.

For some reasons though, I can see some strange things in my logs today (We have put our proxy in production this morning). 

See those lines : 


2010:06:29-04:45:46 monfw01 httpproxy[4061]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="192.191.190.97" user="STA203$" statuscode="200" cached="0" profile="REF_wdKqMpbtaX (Arborite Proxy)" filteraction="REF_BusmyQzNvV (Allow All Filter)" size="0" time="233 ms" request="0xb1c9cd20" url="download.windowsupdate.com/.../muv4wuredir.cab

2010:06:29-04:45:49 monfw01 httpproxy[4061]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.191.190.97" user="STA203$" statuscode="200" cached="0" profile="REF_wdKqMpbtaX (Arborite Proxy)" filteraction="REF_BusmyQzNvV (Allow All Filter)" size="0" time="0 ms" request="0xaf6a7fc8" url="www.update.microsoft.com/.../Hardware"


If you check, you will see something strange in the username. This is actually a workstation name followed by a $... What does it mean. Personnally, my thoughs about this is that the same user is connected at multiple places (our domain admin which we are using for instance) and it only successfully logs in at one place and at the other it generates those log lines...

What do you think?

Thanks,
MojoQC


This thread was automatically locked due to age.
Parents
  • 0
    Très intreressante, mon vieux!

    Thanks, that's the first time I've seen that, but I'll guess what it is.  Check the exception for software updates from microsoft.com and windowsupdate.com, and I bet you have them listed to skip authentication.  I'm going to guess that some smart programmer at Astaro decided to do an RDNS lookup on the IP when in AD-SSO mode and authentication is skipped.

    Very cool that he or she did that, and very cool that you found it!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Très intreressante, mon vieux!

    Thanks, that's the first time I've seen that, but I'll guess what it is.  Check the exception for software updates from microsoft.com and windowsupdate.com, and I bet you have them listed to skip authentication.  I'm going to guess that some smart programmer at Astaro decided to do an RDNS lookup on the IP when in AD-SSO mode and authentication is skipped.

    Very cool that he or she did that, and very cool that you found it!

    Cheers - Bob
    Yes, that is correct. Thanks for the answer. But again, since I wasn't the guy who configured this part of the Astaro, what is the point to skipping authentication for certain websites?

    Thanks,
    MojoQC
Reply
  • 0 in reply to BAlfson
    Très intreressante, mon vieux!

    Thanks, that's the first time I've seen that, but I'll guess what it is.  Check the exception for software updates from microsoft.com and windowsupdate.com, and I bet you have them listed to skip authentication.  I'm going to guess that some smart programmer at Astaro decided to do an RDNS lookup on the IP when in AD-SSO mode and authentication is skipped.

    Very cool that he or she did that, and very cool that you found it!

    Cheers - Bob
    Yes, that is correct. Thanks for the answer. But again, since I wasn't the guy who configured this part of the Astaro, what is the point to skipping authentication for certain websites?

    Thanks,
    MojoQC
Children
No Data