Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3338 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Major Issue - SSL Scanning and Google safe search on but **** not blocked

Bergie008
Ok guys, I started plugging away and ran into a major issue.

So my UTM is working by all accounts.

I activate HTTPS scanning and the User Portal (with access from only the admin and "guest" user) so that users can download the cert if and when they need. I went to test and see if downloading the cert provided in the user portal allowed access to HTTPS while letting the filter scan it worked.

So I try and go expecting to see a site not trusted from Chrome and nothing. Ok fine. Now I try and use HTTPS to go to bad searches while logged into Google and not only was I able to search for "****" in my case (I was wondering if Google Safe Serach ON would be enforced if it could scan the HTTPS body) but I clicked on the top result for good measure and it went! 

Low and behold nothing is being blocked by my filter right now. Aside from the certificate change I recently upgraded my firmware....I have turned the web filter off and on to no avail and I am completely flabbergasted as to what happened. Its almost as if the filter does not exist. And no i'm not in standard mode not pointed to the proxy, its in normal transparent mode. If anyone knows what this is please enlighten me!

Thanks,

Bergie


**Edit**

I have also tried rebooting the hardware, taking the certificate out of my browser in case that was somehow allowing me past everything, and double triple checking with another client laptop to see if they were unfiltered too and indeed they were!!! I'm losing my mind. I can't trust something that just randomly lets everything work after a simple firmware upgrade! I mean had this truly been in production and not just in my home I would be ... in a world of hurt to say the least.


**Edit**

I even tried disabling all firewall rules (for a deny all policy with the exception of my pc > https > sophos rule) so I could access the box and still no luck. I can go anywhere I want on the web unrestricted. 

Oddly enough though Google safe search seems to be in effect on HTTP...so somethings working.... leads me to believe its a config issue but for the life of me I can't figure out what it is.

**Edit**

Tried backing up to 2 different old configurations. The first one I was not 100% sure if it was blocking what I am now seeing that is being "allowed" but the second one should have for sure, I made the backup myself and always do a through check before I do. The firmware did stay the same though so perhaps its possible its a problem with it and my settings or hardware or something?

**Edit**

Restored to oldest config I had and the system is back to blocking the content. Not sure what happened there, got me pretty good. I'll try and post once I know what was causing the issue.


This thread was automatically locked due to age.
  • 0
    BAlfson,

    Thank you for moving this to the proper location in the forum, I will try and use more diligence moving forward to keep things where they belong.

    As I have stated in my other thread my current goal is to disallow users easy bypassing tools to the Sophos filter in my network. I understand this is a major undertaking but not one I am willing to give up on just yet.

    I had restored my system and gotten everything to a point where it was working again, re-enabled the HTTPS scanning and the end user portal and everything was hunky dory. I then fiddled with PPTP some from work to try and get on the network level and figure out what was being filtered so I could still run my tests from work itself (this led to more questions but those are for another time)

    After that I tried including some No NAT rules to and from known ultrasurf networks and the internal network as well as some QoS to limit bandwidth to 1kbps if possible on such traffic. If I can't stop it I may as well make it unusable is my thinking.

    After making these changes (there may have been one or two more but nothing major that I could think of) the filtering went away again.

    I undid all the changes I had made, conscious as I was to the problem that I had yesterday, no luck. I looked at the live log for the web filter and it seems to be giving a "pass" to the http site I am going to! Which is a really bad P word site. Anyone have any idea what could be causing this? I would really hate to have to be so self conscious and revert back to the known good config and make a change and make sure it didn't break the filter and so on and so forth.

    Also its not just the filter, traffic seems to be blocked and allowed on like a 50/50 basis, some stuff is still blocked (safe search is forced) while other major things are not... Any help you have to offer would be greatly appreciated.

    Best Regards,

    Bergie
  • 0
    Please [Go Advanced] below so you can attach pictures of your Web Filtering configuration, specifically, the 'Global', 'URL Filtering' and 'Advanced' tabs.

    Cheers - Bob
  • 0 in reply to BAlfson
    As requested attached are the screenshots of my Web Filtering configuration. The only thing I have done other than turn it on and use some of the default options is to add the "Adware Blocker" category which I added a screenshot of the URL Categories so you know what I had in it...I did not mess with any other categories they are all stock. I simply did not want to have to turn on IT to get some of the stuff it blocked turned on.

    If I were to restore to an earlier config on my box the Web filter would look exactly like this with the exception of HTTPS filtering would be off....and I don't see how that is causing all of these problems but perhaps it is.

    If you guy spot it let me know so I can fix it!

    Best Regards,

    Bergie

    **Edit**

    I hope this does not break any forums rules but I am putting a link here to a folder on my Google Drive with the files I tried to attach so you don't have to enlarge them and squint, I can't figure out how to make them bigger. Pictures have never really been my strong suit.

    !!EDIT!! Removed external link, my issue has been resolved and I will attempt to enlarge the attached thumbnails when I have the time.

    They are showing up small in Drive too but if you download it you should be able to open in Picasa or Paint or your favorite viewer at full size.

    Thanks for the help!


    **Edit**

    In the interest of exploring all of the options myself to help diagnosing my issue I currently have 6 active IP's out of an available 50 with regards to my license.
  • 0
    I hope this does not break any forums rules but I am putting a link here to a folder on my Google Drive with the files I tried to attach so you don't have to enlarge them and squint, I can't figure out how to make them bigger. Pictures have never really been my strong suit.

    They are showing up small in Drive too but if you download it you should be able to open in Picasa or Paint or your favorite viewer at full size.

    It's never a good idea to click on an external link as we can't know how safe/protected the site is.

    The trick is to eliminate all of the white space instead of having the image be a small corner.  I'm not familiar with the protection level of Google Drive, so I won't download from there.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'll fiddle with it and see what I can get so we don't have to go externally. I don't blame you for not using the link and I don't like doing it that way I was just at work.

    Best Regards,

    Bergie


    **Edit**

    Ok so I feel like such an idiot. I got off of work and cracked my knuckles...time to nip this in the bud. Reverted to last known good config (changing the config fixes the block so I was like 99% sure it was a config issue) and I made each change I wanted to make and did a play by play check on the filtering. Well my wife was getting content removed from her Pinterest site, its just food and she did not tell me what reason the filter gives so I just added an exception. Well either I spelled it wrong or the URL filter was not blocking it so adding this domain (http://www.pinterest.com and https://www.pinterest.com...is that redundant?) did not fix the problem. So i added it to the major exception list...well when I told the filter how to define the exception I added the internal network and that was it... in my head thinking I had told the filter that I wanted this to only apply to pinterest (my rule name) but in reality I was allowing everything on the internal network on the exception list...

    So yes completely my fault and 100% dumb thing to do and I should have caught it sooner. Obviously you guys already know its not a problem with the filter but I wanted to make this clear for others who may read this post. Now cross your fingers and hope my HTTPS scanning accomplishes what I want it to do!