This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Seit Update auf 9.602-3 Probleme mit Webfilter (HTTPS)

Hallo Zusammen,

 

seit dem Update auf 9.602-3 haben wir bei ungefähr 20 Sophos Firewalls extreme Probleme mit dem Webfilter.

Leider sind die Probleme nicht überall gleich, zum Teil werden die Aufrufe aktiv geblockt (reason="range") oder die Clients bekommen im Browser ein ERR_CONNECTION_REFUSED und das Log bleibt leer.

Scheinbar ist das Problem nur bei HTTPs Webseiten, daher ist unser aktueller Workaround "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktivieren oder den Proxy ausschalten.

 

Habt Ihr ähnliche Probleme oder zufällig eine gute Idee?



This thread was automatically locked due to age.
Parents Reply Children
  • Gibt es hier inzwischen Neuigkeiten? Betrifft es ausschließlich https im transparent mode? Hat jemand einen Workaround entdeckt, welcher nicht bedeutet, sein gesamtes Sicherheitsmodell über Bord zu werfen?

  • Soweit ich weiß, gibt es noch keinen Lösungsansatz. Das einzige, was Du machen kannst ist skip https im transparenten modus oder Du stellst auf Standard-Modus um. Im Std-Modus funktioniert das https-scanning.

  • Von Sophos selbst gibt es aktuell nur eine Rückmeldung, dass das Thema noch in der Entwicklung sei. Ende dieser Woche soll es erst wieder eine Info geben, ob und wie eine Lösung dazu kommt.

    Als Workaround setzen wir inwzischen eine zusätzliche UTM auf Version 9.510 ein und haben hier den Standardproxy aktiviert. Die Clients erhalten den neuen Proxy per Gruppenrichtlinie. Bei uns war zusätzlich das Gedankenspiel eine Policy-Route anzulegen, sämtlichen HTTPS-Traffic auf die 2. UTM zu schicken. Dies würde aber bei uns einen hohen Aufwand an zusätzlichen Policy-Routes hinterherziehen, da sämtliche RED-Tunnel mit HTTP-Geräten hinten an, entsprechend manuell geroutet werden müssten.

  • Schade, dass der Fehler mit 9.603 nicht behoben wird... aber vielleicht kommt ja noch was...

  • Hallo zusammen,

     

    ich habe mittlerweile eine Antwort vom Sophos Support bekommen, und es liegt zumindest bei mir am SPX Port bzw. Einstellung. 

    lt. Sophos liegt es an einer Iptables Rule für diese SPX Port.

     

    Damit wurde das Problem bie mir gelöst.  

  • Ich hab von 443 auf 10444 umgestellt und der Webfilter funktioniert. Danke!

  • Super schön zu hören, ist nur etwas doof da ältere SPX Mails / Links dann nicht funktionieren und dieser HighPort bei den meisten Kunden mit Firewall nciht erreichbar ist.

    Sophos arbeitet aber an einer Lösung....nur das so etwas passiert ist schon ziemlich merkwürdig.

    Das ist ein Fehler der Priorisierung....

     

    Gruß

    Stefan

  • Ja, da muss man erstmal drauf kommen. Das erklärt auch, warum das Phanomen nur vereinzelnt auftritt. Danke nochmal!

  • you made my day[Y]

     

    Trinkst Du lieber Bier oder Wein?

     

    Seit Tagen suche ich verzweifelt nach dem Fehler, verd*![li]

     

    - Sophos UTM virtual (HyperV)

    - Version 9.603-1

    - Webfilter im transparenten Modus

    - HTTPS URL Scanning bricht nach kurzer Zeit ab, Seiten können nicht geladen werden

    - HTTP Webfilter funktioniert tadellos

    - Portping auf 443 externe Seiten zeigt auch sofort Abbruch (vorher 1ms, da die UTM die Anfragen ja abfängt), der transparente Proxy antwortet also einfach nicht mehr

    - hatte alles mögliche getestet, IPS aus, TCP/UDP flooding aus etc., es half nichts

    - Check andere Installation: HTTPS URL Filtering läuft eigentlich OK

    - Check SPX-Portal: teilweise bei anderen noch nicht aktiviert, oder andere Ports, bei mir auf 443 (!)

    - Port geändert -> es funktioniert[B]

    - Check abhörender Adapter: ist nur auf eine bestimmte externe IP gebunden, dennoch Fehler

     

    Also was bleibt? Viel Zeitaufwand, ein wirklich blöder Fehler und die Erkenntnis, dass transparente Webfilterung parallel mit dem SPX-Portal ein Ausschlusskriterium ist.

     

    SPX Portal auf nicht-Standardports macht für mich keinen Sinn, das gibt auf Dauer nur Ärger und nervige Rückfragen (geht mal, geht mal nicht, je nachdem, wer da von extern wie drauf will).

     

    Wird das Sophos jemals fixen???

     

    Dennoch erst mal ein großes Dankeschön für die Info hier[^]

  • Dr No said:

     ...

    Wird das Sophos jemals fixen???

    ...

    Ja - Zumindest ist mein Ticket beim Sophossupport noch offen mit der Rückmeldung, dass das Problem in der Entwicklung ist und dort weiter bearbeitet wird.