Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 5226 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple exceptions in web filtering based on AD group membership

url404
Hi all, due to aging hardware and end of life support our firm has decided to move from MS Forefront TMG 2010 to Sophos UTM

We are currently on what I believe to be the latest version 9.106-17 running on a UTM 320 device

I am trying to replicate what we currently have set up on our current TMG system. The scenario is as follows:

Certain categories are blocked for everyone (e.g. Drugs and Nudity).

Certain categories are blocked for everyone EXCEPT users that are members of the groups "TMG Exceptions - Social Networking" and "TMG Exceptions - Video Streaming" (the names are legacy and will be changed before the unit goes into production). There are more than just two exception groups but I'll just focus on these two.
Additionally there are some time restrictions but I won't touch that until this is sorted. 

At first I thought it would be a simple case of setting the exceptions via a new exception list under the "Exceptions" tab in "Web Filtering". I set a rule skipping "URL Filter" going to the categories of "Social Networking" coming from the users/groups "TMG Exceptions - Social Networking" but this didn't seem to have any affect.

Then I had a look at Web Filtering options and read through the Sophos supplied documentation and searched the forums here to get an idea on how it should be set up (and yes I looked at that flowchart in the UTM Web Filtering page as well). At first I thought I could create a simple "allow only" rule for Social networking when a user is a member of "TMG Exceptions - Social Networking" so they can access Facebook but still be blocked from the really nasty stuff. I have since learnt this is wrong and I have to actually recreate ALL the categories I wish to block for everyone EXCEPT Social Networking. I tested this and it worked although I consider it incredibly cumbersome. Please see the attached screen shots for how I configured this.

Now this introduces another problem. Say someone is a member of both "TMG Exceptions - Social Networking" and "TMG Exceptions - Video Streaming". If they want to get to Youtube.com they would be successfully matched against the Social Networking rule (as they are a member) which doesn't allow Video Streaming and the subsequent rules will not be evaluated. To get around this I would have to create new groups for every conceivable combination of group memberships and create custom Filter assignments and actions for those!

Can somebody please tell me if 1) There is a more simple way to allow access to blocked content based on membership in Active Directory groups & 2) How you would can get around the issue of evaluation other rules if the group membership in filter assignments IS matched but the site category IS NOT matched.

I feel like I am either taking crazy pills or I have misunderstood something very simple.[:S]

Many thanks


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    Like most things in the UTM, Profiles are processed in sequence, and no further ones are considered once a match is found.  The same is true of the Filter Assignments inside a Profile.  The only "universal" items are the Exceptions and it's likely that that's where you should use your groups.

    It sounds like you're already using AD-SSO with the UTM successfully, but you might want to check your work against Configuring HTTP/HTTPS proxy access with AD SSO with a Sophos UTM.

    Cheers - Bob
  • 0
    Thanks Bob. I appreciate you taking the time to reply.

    So if I could just confirm, you are saying that no, the Sophos UTM can not evaluate both the group memberships and categories in proxy profiles? It will only look at the group membership and not process it after that and so you couldn't have a user with 2 group memberships and be evaluated independently for each proxy profile based on the destination? 

    Have you (or anybody else) ever had got the global exceptions lists working? On this, should I be "skipping" the URL Filter "Going to the Categories of wedsites" Social Networking and "Coming from these users/groups" "TMG Exceptions - Social Networking"? I believe I did try this when I was testing the device but unfortunately it didn't seem to do the trick.

    I did check my work against the link you provided and it seems that I have already followed the instructions correctly from the administrator guide (demostrated I suppose by the fact that this setup is working in part).

    Thanks.
  • 0
    the Sophos UTM can not evaluate both the group memberships and categories in proxy profiles?

    They can, but not in the way you're trying to do it.  Group memberships determine which is the first Filter Assignment to match.  Categories are used in Filter Actions.

    Please show the "TMG Exceptions - Social Networking" group definition and a line from the Web Filtering log file demonstrating that the Exception wasn't applied.

    Cheers - Bob
  • 0
    Hi Bob,

    Thanks for getting back to me. Unfortunately the system isn't live yet so I can't easily show the web Filtering log until some time this weekend when I come in to do some testing.

    I will show the results (and the group definition - which is confirmed working in the proxy profiles at least) when I can cause a quick internet outage at work!

    Thanks again for your prolific responding.
  • 0 in reply to url404
    Well I managed to test the UTM over the weekend and it appears my settings for the global exceptions (under Web Filtering) were correct once I totally disabled the "All access" filter profile.

    This also allowed me to block Streaming media as an individual group as well and not cause it to stop processing if only the group membership was matched.

    For others that may need to, the exception I created was skipping 'URL Filter' going to the category of 'Social Networking' and coming from the users/groups 'TMG Exceptions - Social Networking'.

    What this means is the WFP is a bit useless for me but as long as there is a way around it then I don't care.

    Thanks again for your time and for replying.
  • 0
    If you're getting all you want, then that's great!  If you're still finding "uselessness" in Web Protection, then it's because it works differently from what you're expecting.

    Cheers - Bob
  • 0
    I've realised that unfortunately the exceptions won't be a complete solution for our needs.

    I have to allow access for everyone during lunch hours and outside of work hours and the exceptions don't seem to allow it as part of the processing.

    Can anybody point me in the direction of how to implement this with Web Filtering Profiles that won't stop processing the rules once it hits a match on the group membership?

    If you're still finding "uselessness" in Web Protection, then it's because it works differently from what you're expecting.


    I was expecting to be able to block access to certain sites based on the time of the day but allow access for certain users at all times if they are a member of particular AD groups. I also expect these blocks to be independent of each other and if someone has access to Social Networks (via AD group membership) it only checks for that membership IF they are going to a social networking site and will continue to process the other rules if they are requesting access to a different site category.

    I have 5 different blocks based on categories that I wish to implement similar to the above (some have time restrictions and some do not).

    Is anybody able to illuminate how I could achieve the above with UTM 9.106-17 using the Web Filtering Profiles? Should I be able to combine the exceptions mentioned in my other post with Web Filtering profiles to achieve my results or is there a simpler, less complex method?

    I confess that I am part of the great unwashed TMG-using masses and it may have tainted my thinking about the best way to go about this (and it's coupled with lack of Sophos UTM experience as to boot!).

    Thanks.
  • 0
    I have to allow access for everyone during lunch hours and outside of work hours and the exceptions don't seem to allow it as part of the processing.

    For this, create a Filter Action "Open Access" that allows what you want.  Next, with that Filter Action, create Filter Assignments "Lunch," "Morning" and "Evening" using the appropriate Time Events but with no User/Group assignment.  Finally, put these Filter Assignments at the top in your Profile.

    Next, create another "Open Access" Filter Assignment with no Time Event for the AD Group.  It can go anywhere in the Profile list, but you will want to put it below the other three just for clarity.

    Finally, create Filter Actions and Filter Assignments for other groups as needed.  I like to have the "Default Profile" (defined on the first three tabs of "Web Filtering") be the 'Fallback action' and to have it be in Transparent mode with very strict URL Filtering.

    You may not need Exceptions.

    Cheers - Bob
  • 0
    Hi all & thanks Bob.

    I couldn't quite get your rules working as I hoped but I'm sure that's more to do with my inability to understand your instructions than them not being correct.

    I did however create the rules similar to how you said and included the previous successful results with default profile filtering and I got it to work.

    I managed to do this over the Christmas break so I could put the UTM into production work and I wanted to share how I've set it up with everyone here in case it helps others (sorry it's been a while).

    The first step is to define you AD groups. The second step is to define the times when open access is to be used. 

    Hopefully the rest of these screenshots are self explanatory, if anyone needs any further guidance let me know (before everything changes in 9.2 presumably![:P]).
  • 0
    In your Filter Assignments, the ones with Time Events should have "Users/Groups" empty.  Also, I'm confused by your "Active Directory Users" Group - how is that defined?

    Cheers - Bob