Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6842 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter is ignoring policies

Dozer
Hi all,

UTM Ver:  9.209-8

I have an issue where the webfilter seems to be ignoring policies...

I have AD authentication working correctly and webfilter test shows that the end user is triggering the correct policy, yet when looking at the logs, the web request falls through the filter and the base "block all" policy is being applied.

This is under the "global" policy.
Authentication is via AD SSO (windows PC's).

If I allow a particular website in the base Block all policy then it's accessible as this policy is being applied instead of the one further up the chain.
This appears to be for all users.

Any ideas what's going wrong here ?

EDIT: I've attached some screenshots...

Doz [:S]


This thread was automatically locked due to age.
  • 0
    Here's a sample Log entry:

    2014:11:11-17:28:19 UTM httpproxy[4783]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="GET" srcip="10.1.16.70" dstip="" user="test" ad_domain="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="3209" request="0x987b248" url="www.google.co.uk/" exceptions="" error="" authtime="58" dnstime="0" cattime="39196" avscantime="0" fullreqtime="53424" device="1" auth="2" category="145" reputation="trusted" categoryname="Search Engines" reason="category"
  • 0
    Can someone please post a guide or some screen shots on how they have the web filter setup using AD authentication and SSO (with HTTP or HTTPS) ?

    Bear in mind this is for version 9.2x

    The global filter and the other "sub" filter is confusing when it doesn't appear to work correctly.

    I've created a "Global" rule for all of the LAN's and a global policy for a test user with  a base policy of "block all" - the test user seems to be ignoring the webfilter and the base filter is being applied instead. Yet the logs show the username and domain correctly...

    I've logged a call with Sophos but they seem stumped so far... 

    I only intend to create "Global" policies.

    Any help would be greatly appreciated.

    Dozer
  • 0
    Still unable to get this working.. 

    The web filter rules seem to be ignored and the traffic is filtered by the "base" policy...

    Anyone got any ideas on where to go from here?
  • 0
    There are four parts to authentication.

    A) The UTM talking to the AD server to get usernames, group membership, etc.

    B) The UTM talking to the AD server to do password verification.

    C) The UTM talking to the client browser to do authentication (NTLM SSO in your case).

    D) The UTM matching the logged in user name with the user name or group configured in a policy.


    I suspect that B) and C) are working correctly given the username appears in the log.

    It "feels like" more of a issue of matching the correctly identified user with their membership (D).

    I would go to Definitions and Users \ Authentication Services.  Remove and re-add your AD server, make sure it is at the top and that the Base DN is set.  If you have things like an AD forest, see if you can simplify to get things working.

    Under Users and Groups.  Delete any AD users you have here, make sure you don't have any local user called "test".

    Then under the policies, recreate the policy first using the pre-created group "Active Directory Users".  Log in with any AD user.  Then if that works, create a Group within the UTM that has a backend sync to AD with a group.  Then if that works, use a UTM Group matching to an AD User.  Then if you really want, go and create a UTM User making sure that it is remote authentication with backend sync.

    As much as possible use the picker rather than manually entering in DN.

    Note: I am *not* an expert in this area and my steps might not work.  But I suspect this is at least the right area of the problem.  Work with Sophos Support.
  • 0
    Thanks for getting back to me...
    I've gone through the settings.. A to D 

    When I create a group called "test" using the plain backend as "Active Directory"  - the filter is working correctly.

    When I then modify the group to restrict it to backend server only and select the correct security group container - it stops working!
  • 0
    When I then modify the group to restrict it to backend server only and select the correct security group container - it stops working!

    Please attach a pic of the Group open in Edit.  Although HTTP-S Proxy Access with AD-SSO is written for 8.3, there's no change in 9.2 except the location of some settings.

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry for the delay in getting back.. Sophos Support has been on the case as well...

    They have classed it as a "bug" and are developing a fix for it...

  • 0
    Dozer, try changing the CN in AD to "webTest" instead of "web-Test."  Any luck with that?  Are you still on 9.209?

    Cheers - Bob
  • 0 in reply to BAlfson
    Similar issue here..  the only policies that seem to work are those with 'Any' listed under users/groups (i.e. no group/users added to policy).  Also the same results when I go to Policy Helpdesk and test that way.

    I've tried multiple things.. adding a static user and static group.. creating an AD group in the regular Users container (rather than an OU) and making sure the group name did not contain any dashes.. creating a policy with just 'Active Directory Users' dynamic group.. nothing works.

    I'm on the latest Up2Date - 9.307-6

    Haven't actually got through to 'Premium Support' to get their advice yet (been trying past 2 days).
  • 0
    Nevermind.. while on hold waiting for support to pick up, I think I figured out my own issue.

    I still had 'Default Authentication' set to 'None' on Web Protection > Web Filtering > Global

    Changed this to Active Directory SSO and it now works.. including the Policy Helpdesk tests.
    Duh!