User Based Application Control

Hi, iirc user network defs will say unresolved unless the user is connected via one of the authentication methods that support user network definitions.

Are you using authentication in Web Protection?

Barry

Standard mode.
Authentication on the profiles is set to ADSSO.

The "(User Network)" objects are not resolved by the httpproxy.

We are trying to keep "Streaming Media" down to just what is required and I am losing the battle. Any help would be appreciated. 

What do you want to allow, Robert?

Cheers - Bob

It's more a case of what I want to stop.  I want to stop the students from going to anywhere.com - Informationen zum Thema Mobile internet. and watching live episodes of their favorite TV shows.  today it was Syfy: Imagine Greater | Syfy.  The History channel allows for it as well.  When I examined the logs the content was classified as video but the application was shown as "http". So even if the application monitor was pointing to the the student station by IP and was set to block streaming video it would have still gotten through.

Long story short, we want to block streaming video from the students.  Bandwidth is a big concern in the classrooms.

Why not restrict all WiFi devices from Internet access?  If you just want to do that for the kids, why not have a separate network for them?  Why not have a policy that anyone found violating the policy of no video watching during school will have their device confiscated for a week?

Why not ban Streaming Media in the Student Profile and have SmartFilter XL add that classification whenever a new one shows up?

Cheers - Bob

Why not restrict all WiFi devices from Internet access?

Because the vast majority of our students access our local network though laptops via teh wireless network.  As do a great many of our staff.

Why not have a separate network for the students?  

Because we were unable to get the Windows 2008 radius server to communicate correctly with our Cisco WACs and opted for a WPA/WPA2 security key.  The teachers see no reason the students can't know the code to the teacher network so they gave it out when asked.  So, back to the one network for all.

3: (too much to type).  Students observed violating the AUP are assigned to a profile that lets them access the barest minimum required to participate in daily activities.  Numerous classes the students take require access to the websites.

4: Streaming Media is blocked in the student profile.  Doesn't do anything when the Watch History Full Episodes & Videos Online - History.com link is classified as "Education/Reference / Entertainment

5: I send links to https://www.trustedsource.org All.The.Time in the hopes that they will change the classification of the websites.  Not to date.  Some yes, the video sites not so much.

When I send them a site the students are playing games on I receive responses that this site is "entertainment" not "Games" and they leave it be. 

I have been using the 4.2 (XL-1) product.  Is that the wrong one?  It is what I was given by support many moons ago.

the vast majority of our students access our local network 

Yes, but do they need to get out to the Internet?

Because we were unable to get the Windows 2008 radius server to communicate correctly with our Cisco WACs

The RADIUS configuration between the UTM and a WinServer is tricky, but it does work.  I suspect the issues with the Cisco are the same.  This would, indeed, be the best solution for you.  If you have Full Guard, you might consider replacing those recalcitrant Ciscos with Sophos APs. [;)]

3: That's great!

5: I'm fairly certain that it's SmartFilter XL.  They have up to three categories for each URL.  I made suggestions earlier today for your two links above that included Streaming Media as well as their existing categories.  You can check tomorrow to see if that's been done.

Cheers - Bob

If you listen to the teachers, yes.  The world would stop spinning if the students were not allowed to access the internet.  

We currently have $$$$$ invested in 2 Cisco 4402's, 2 Cisco 5508 WACs, not to mention almost 200 Cisco APs.  And since we are just on year 4 of a 10 year warranty I don't see us changing over any time soon.  Would be nice to have it centrally located though.

I guess I need to verify with Sophos support to make sure which SmartFilter I should be requesting my updates from.

If you listen to the teachers, yes. The world would stop spinning if the students were not allowed to access the internet. 

Agreed, but getting that RADIUS problem solved would let you enforce the separation of Student and Teacher IPs, thus enforcing separate AppControl rules and Web Profiles.  The tricky part is on the WinServer side.

Cheers - Bob

If you listen to the teachers, yes.  The world would stop spinning if the students were not allowed to access the internet.  

We currently have $$$$$ invested in 2 Cisco 4402's, 2 Cisco 5508 WACs, not to mention almost 200 Cisco APs.  And since we are just on year 4 of a 10 year warranty I don't see us changing over any time soon.  Would be nice to have it centrally located though.

I guess I need to verify with Sophos support to make sure which SmartFilter I should be requesting my updates from.

Don't listen to the teachers.  The world won't end of the kids can't get to the internet.  I would talk with administration and get their take on it.  If they agree to ban student wifi internet you're good to go.