Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1433 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User getting around our web appliance

fredvip
I got a nice tip from an end-user that user behind him; is using SW to get around our web appliance.  I have dled all logs from from the appliance, and searched his computer for said program.  Course i dont have the name of it.

Any tips on narrowing it down? Finding it? My next step would of been to log on to his PC and search.  I have manually tried to search through network share, but came up empty.


This thread was automatically locked due to age.
  • 0
    There is a technical and non-technical side to these kinds of "problems".  Don't overlook any legal/policy limitations/obligations in your environment - they relate to the user and the system/network/contract/business (or whatever your environment is) administration.  Not every problem is a technical problem and not every problem is best solved solely (if at all) through technology.

    Abstracting the problem a bit "a user as suggested/reported a system and/or network equipment may not be behaving as expected/desired."  Users, of all skill levels, can misunderstand/misuse technical terms and my experience is things can get messy (managers, HR, etc) when they stop being solely technical problems.

    Isolate/identify unexpected/undesired traffic:

    • Review/audit your web filter, firewall and network configurations.
    • Log* and/or capture* all* traffic to/from the system(s)* suspected of improper operation.
    • Re-review your web filter, firewall and network configurations as they relate to any anomalous traffic.

    * as permissible in your environment

    Identify the origin of the suspicious traffic:
    Specifics vary by operating system: with real-time access to the undesired network traffic and offending host the process(es)/software can be clearly identified (generally netstat -ano and process lists).

    If you can, please share more about your environment (web filter, firewall and network details) and what you find.
  • 0
    Hi, Fred, and welcome to the User BB!

    First, if you have a Sophos Web Appliance that is NOT a Sophos UTM, you'll want to go to a different site: SophosTalk community - SophosTalk community

    If your question is one that concerns a UTM, then, in addition to teched's excellent questions, please also tell us what business the organization is in and how long this Web device has been in use.

    Cheers - Bob
  • 0
    Hi, If there's  nothing in the Web protection log, you could set a firewall rule to log all traffic from that PC's ip, or run a sniffer. 

    Barry