Seit Update auf 9.602-3 Probleme mit Webfilter (HTTPS)

Hallo Zusammen,

 

seit dem Update auf 9.602-3 haben wir bei ungefähr 20 Sophos Firewalls extreme Probleme mit dem Webfilter.

Leider sind die Probleme nicht überall gleich, zum Teil werden die Aufrufe aktiv geblockt (reason="range") oder die Clients bekommen im Browser ein ERR_CONNECTION_REFUSED und das Log bleibt leer.

Scheinbar ist das Problem nur bei HTTPs Webseiten, daher ist unser aktueller Workaround "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktivieren oder den Proxy ausschalten.

 

Habt Ihr ähnliche Probleme oder zufällig eine gute Idee?

  • In reply to BAlfson:

    Hi, thanks for the suggestion. I had already tried that.

  • In reply to ThorstenSult:

    Gibt es hier inzwischen Neuigkeiten? Betrifft es ausschließlich https im transparent mode? Hat jemand einen Workaround entdeckt, welcher nicht bedeutet, sein gesamtes Sicherheitsmodell über Bord zu werfen?

  • In reply to JoergRiether:

    Soweit ich weiß, gibt es noch keinen Lösungsansatz. Das einzige, was Du machen kannst ist skip https im transparenten modus oder Du stellst auf Standard-Modus um. Im Std-Modus funktioniert das https-scanning.

  • In reply to JoergRiether:

    Von Sophos selbst gibt es aktuell nur eine Rückmeldung, dass das Thema noch in der Entwicklung sei. Ende dieser Woche soll es erst wieder eine Info geben, ob und wie eine Lösung dazu kommt.

    Als Workaround setzen wir inwzischen eine zusätzliche UTM auf Version 9.510 ein und haben hier den Standardproxy aktiviert. Die Clients erhalten den neuen Proxy per Gruppenrichtlinie. Bei uns war zusätzlich das Gedankenspiel eine Policy-Route anzulegen, sämtlichen HTTPS-Traffic auf die 2. UTM zu schicken. Dies würde aber bei uns einen hohen Aufwand an zusätzlichen Policy-Routes hinterherziehen, da sämtliche RED-Tunnel mit HTTP-Geräten hinten an, entsprechend manuell geroutet werden müssten.

  • In reply to eMSchma:

    Schade, dass der Fehler mit 9.603 nicht behoben wird... aber vielleicht kommt ja noch was...

  • In reply to ThorstenSult:

    Hallo zusammen,

     

    ich habe mittlerweile eine Antwort vom Sophos Support bekommen, und es liegt zumindest bei mir am SPX Port bzw. Einstellung. 

    lt. Sophos liegt es an einer Iptables Rule für diese SPX Port.

     

    Damit wurde das Problem bie mir gelöst.  

  • In reply to SLeTTeR:

    Ich hab von 443 auf 10444 umgestellt und der Webfilter funktioniert. Danke!

  • In reply to ThorstenSult:

    Super schön zu hören, ist nur etwas doof da ältere SPX Mails / Links dann nicht funktionieren und dieser HighPort bei den meisten Kunden mit Firewall nciht erreichbar ist.

    Sophos arbeitet aber an einer Lösung....nur das so etwas passiert ist schon ziemlich merkwürdig.

    Das ist ein Fehler der Priorisierung....

     

    Gruß

    Stefan

  • In reply to SLeTTeR:

    Ja, da muss man erstmal drauf kommen. Das erklärt auch, warum das Phanomen nur vereinzelnt auftritt. Danke nochmal!

  • In reply to SLeTTeR:

    you made my dayYes

     

    Trinkst Du lieber Bier oder Wein?

     

    Seit Tagen suche ich verzweifelt nach dem Fehler, verd*!Lightning

     

    - Sophos UTM virtual (HyperV)

    - Version 9.603-1

    - Webfilter im transparenten Modus

    - HTTPS URL Scanning bricht nach kurzer Zeit ab, Seiten können nicht geladen werden

    - HTTP Webfilter funktioniert tadellos

    - Portping auf 443 externe Seiten zeigt auch sofort Abbruch (vorher 1ms, da die UTM die Anfragen ja abfängt), der transparente Proxy antwortet also einfach nicht mehr

    - hatte alles mögliche getestet, IPS aus, TCP/UDP flooding aus etc., es half nichts

    - Check andere Installation: HTTPS URL Filtering läuft eigentlich OK

    - Check SPX-Portal: teilweise bei anderen noch nicht aktiviert, oder andere Ports, bei mir auf 443 (!)

    - Port geändert -> es funktioniertBeer

    - Check abhörender Adapter: ist nur auf eine bestimmte externe IP gebunden, dennoch Fehler

     

    Also was bleibt? Viel Zeitaufwand, ein wirklich blöder Fehler und die Erkenntnis, dass transparente Webfilterung parallel mit dem SPX-Portal ein Ausschlusskriterium ist.

     

    SPX Portal auf nicht-Standardports macht für mich keinen Sinn, das gibt auf Dauer nur Ärger und nervige Rückfragen (geht mal, geht mal nicht, je nachdem, wer da von extern wie drauf will).

     

    Wird das Sophos jemals fixen???

     

    Dennoch erst mal ein großes Dankeschön für die Info hierCake

  • In reply to Dr No:

    Dr No

     ...

    Wird das Sophos jemals fixen???

    ...

    Ja - Zumindest ist mein Ticket beim Sophossupport noch offen mit der Rückmeldung, dass das Problem in der Entwicklung ist und dort weiter bearbeitet wird.

  • In reply to Dr No:

    Habe  heute eine Antwort erhalten.

     

    Your issue with the above reference number has been assigned to a release. 

    Current plans are to include this fix as part of UTM 9.6 MR4. At this time we do not currently have a confirmed release date, however once we have more details on when this release will be made available we will relay this information to you