Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 8879 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Downloads Interrupted

DaveKay
Hi Team,

Our network is increasingly suffering from interrupted downloads from major file sharing sites and almost always from AmazonAWS servers i.e. WeTransfer & Dropbox.

Firmware version: 9.307-6
Currently using web proxy in Standard Mode with SSO, we have no limits to download size set. Downloads outside the proxy work without issue.

Looking at the Web Filtering logs it appears to be timing out but I'm not 100% sure that's the issue.

2015:02:26-11:00:17 UTM httpproxy[5915]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.80.235" dstip="54.231.132.146" user="test.user" ad_domain="PACIFIC" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="59649796" request="0x131d2800" url="wetransfer-eu1.s3.amazonaws.com/.../12.0" exceptions="" category="177" reputation="trusted" categoryname="Content Server" application="amazonws" app-id="800"


There didn't appear to be anything at the corresponding time in the Firewall or the IPS logs .

So far we have tried the following after reading through various forum posts:

Added *.wetransfer.com *.amazonaws.com *.dropbox.com to the browser proxy override exceptions. This appeared to work but we soon found the problem still persisted.

Also played around with some web exception rules ignoring SSL Scanning, Authentication etc for the domains listed above i.e. ^https?://wetransfer([A-Za-z0-9.-]*\.)?amazonaws\.com & ^https?://([A-Za-z0-9.-]*\.)?wetransfer\.com

Now starting to scratch my head over what I'm missing, any assistance would be greatly appreciated.

Cheers
Dave


This thread was automatically locked due to age.
  • 0
    Added *.wetransfer.com *.amazonaws.com *.dropbox.com to the browser proxy override exceptions.

    I didn't follow this comment.  In Standard mode, the 'Transparent mode skiplists' do not apply.  In DNS Group definitions, only precise FQDNs can be used - no wildcards.

    I would try an Exception for Anti-Virus (not Auth, etc.) for: ^https?://wetransfer[A-Za-z0-9.-]*amazonaws\.com

    Cheers - Bob
  • 0
    I didn't follow this comment. In Standard mode, the 'Transparent mode skiplists' do not apply
      He added them to the proxy exceptions list in his browser.
  • 0 in reply to BAlfson
    I would try an Exception for Anti-Virus (not Auth, etc.) for: ^https?://wetransfer[A-Za-z0-9.-]*amazonaws\.com

    Cheers - Bob


    Thanks Bob & Scott for your clarification, I should have been clearer, we actually already have an anti-virus exception in place for those addresses added yesterday afternoon after the snippet from the log above. As it stands Anti-Virus and SSL Scanning are selected.

    I've just tested again this morning while minimal users are on the network. Managed to download a file which was 85mb, anything larger and the interrupts persist 

    2015:02:27-06:37:39 UTM httpproxy[5844]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.80.235" dstip="54.231.136.82" user="test.user" ad_domain="PACIFIC" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="242483099" request="0x1400d000" url="https://wetransfer-eu1.s3.amazonaws.com/" referer="" error="" authtime="773" dnstime="16600" cattime="160" avscantime="0" fullreqtime="301457791" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36 Edge/12.0" exceptions="av,ssl" category="177" reputation="trusted" categoryname="Content Server"
  • 0
    By chance, anything showing up in the intrusion prevention log when the interupts happen?  I have seen cases where a certain large download triggers an IPS rule, killing it part way through.

    Also, make certain in your Filter Action(s) used that you don't have Block downloads larger than: set.
  • 0 in reply to Scott_Klassen
    By chance, anything showing up in the intrusion prevention log when the interupts happen?  I have seen cases where a certain large download triggers an IPS rule, killing it part way through.

    Also, make certain in your Filter Action(s) used that you don't have Block downloads larger than: set.


    Thanks Scott, double checked Filter Actions, definitely not blocking downloads by size.

    I've just tested again with the IPS live log open, nothing corresponds when the interrupts happen. The IPS log has nothing logged for the day, I've had 4 downloads drop this morning so far.
  • 0
    Update: In a test environment I have re-added the following proxy exceptions within the browser:

    *.wetransfer.com; *.amazonaws.com; *.dropboxusercontent.com

    So far no interrupted downloads, will look to test with a few users in the live environment to confirm
  • 0
    Resolved: The steps above didn't work in the live environment.

    Did some investigation and found this started at the same time we updated from v9.2 to v9.3.

    Ran up a new virtual box using the 9.2 image, copied in the old config file, tested and found the issue was resolved.
  • 0 in reply to DaveKay
    Update: In a test environment I have re-added the following proxy exceptions within the browser:

    *.wetransfer.com; *.amazonaws.com; *.dropboxusercontent.com

    So far no interrupted downloads, will look to test with a few users in the live environment to confirm


    add them to the utm's exceptions not the browser.
  • 0
    UTM 9.307-6 Appliance...SG310.... does the same thing.  Only fixed by adding website to client IE settings to bypass...