FTP - Antivirus Scanning

Hallo,

wir haben eine SG230 mit der Firmware 9.500-9 im Einsatz.

Seit kurzem haben wir Probleme das Uploads auf unseren FTP-Server nicht mehr hochgeladen werden, sondern stattdessen 0KB Dateien dort angezeigt werden. Ich konnte feststellen, dass das Problem nur dann auftritt, wenn ich in der Sophos UTM unter "Web Protection - FTP - Antivirus" "Use Antivirus scanning" aktiviert habe. Sobald ich dies deaktiviere funktioniert der Upload ohne Probleme. Solange es aktiviert ist, bekomme ich im Live Log auch folgende Meldungen:

"sophos-1 frox[20883]: Command opts not implemented"

"sophos-1 frox[20884]: >> SOCKET CLOSED"

Da es bis vor einigen Tagen noch funktioniert hat, stellte sich mir die Frage was sich geändert hat in den letzten Tagen. Zum einen habe ich das Firmware Update 9.500-9 eingespielt zum anderen habe ich Sophos Sandstorm aktiviert. Da die Sandstorm auch die Sophos Scan Engine benötigt wurde diese von Avira auf Sophos umgestellt.

Da wir gerne zum einen unsere FTP Uploads auf Viren scannen möchte, aber ebenfalls auch die Sophos Sandstorm einsetzen möchten, ist eine Umstellung auf die Avira Scan Engine leider keine Lösung.

Hat schon jemand Erfahrungen mit diesem Problem bzw. ist dieses Problem schon bekannt?

Vielen Dank,

Silvio Geller

  • FormerMember
    FormerMember

    Haben sie bereits die "Allowed Networks" unter WebProtection>FTP überprüft?

  • In reply to FormerMember:

    Hallo,

    ja das habe ich. Dort ist "Any" eingetragen.

  • FormerMember
    FormerMember

    In reply to SilvioGeller:

    Haben sie bereits die maximale scangröße überprüft?

    Versuchen sie es doch bitte einmal mit dem dualengine scan mode.

  • In reply to FormerMember:

    Hallo,

    die maximale Scangröße ist eingestellt auf 1024 Megabyte.

    Ein Test mit der Dual Scan Engine hat dazu geführt, dass von einer 248 MB Datei 49 MB übertragen wurden und dann die Übertragung beendet wurde.

    MfG

    Silvio Geller

  • In reply to SilvioGeller:

    Hallo Silvio,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    The largest scan size that I've ever used is 50MB. based on others' reports here, I'm certain that 1GB is beyond the design maximum.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • Aktuell habe ich mit 9.413-4 genau das gleiche Problem. Einziger Workaround bisher ist das Abschalten des Viren Scan für FTP, andernfalls bricht der Upload per FTP ab. Von einer 80 MB Datei kommen hierbei etwa 20 oder 40 MB auf dem Server an.

    Änderung der Max. Scangröße oder Einzel-/Zweifachscan brachten keine Änderung.

     

    Beste Grüße

    Alex

  • In reply to Alexander Busch:

    Alex, do you see the problem if you single-scan with the Sophos engine?  What about with the Avira engine?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi Bob,


    es ist leider vollkommen egal ob Sophos (war mein Standard) oder Avira. Sobald ich einen Upload mit aktivierter Virenprüfung durchführe erhalte ich:

    2017:06:15-14:16:50 g-1 frox[7931]: Connect from 192.168.xx.xx(xxxx.xxxxx.xxx)
    2017:06:15-14:16:50 g-1 frox[7931]: ... to 134.xxx.xxx.xx(ftp.xxxxx.xxx)
    2017:06:15-14:16:50 g-1 frox[7882]: Client closed connection
    2017:06:15-14:16:50 g-1 frox[7882]: Closing session
    2017:06:15-14:16:51 g-1 frox[7931]: PASV: xxx.xxx.xxx.xx:62507
    2017:06:15-14:16:51 g-1 frox[7931]: PASV: xxx.xxx.xxx.xx:60529
    2017:06:15-14:16:52 g-1 frox[7931]: >> SOCKET CLOSED
     
    [Edit:]
    Jetzt habe ich das ganze noch mit einer neu aufgesetztem UTM 9.501-5 (Home) getestet, gleiches Ergebnis. Ich denke ich werde in den kommenden Tagen dazu mal bei Sophos ein Ticket eröffnen.
    Es wundert mich ja, dass dies bei anderen zu funktionieren scheint. Ggf spielt der FTP-Server eine Rolle!?
     
    Beste Grüße
     
    Alex
  • In reply to Alexander Busch:

    Hallo Alex, hi Bob,

    ich habe das Problem an unseren Sophos Support weitergeleitet. Zu erst hiess es eine Update auf die neue Version 9.501-5 würde das Problem beheben. Leider ist dies nicht der Fall, das Problem besteht weiterhin. Ich werde weiter berichten, wenn ich weitere Rückmeldungen vom Support erhalten habe.

    Viele Grüße/Best regards

    Silvio

  • In reply to SilvioGeller:

    Habe das gleiche Problem UTM 9.412-2

    FTP Upload größerer Dateien funktioniert nur wenn ich Antiviren-Scan deaktiviere.

     

    Habe bereits vor einer Woche ein Ticket geöffnet.

  • Hallo,

    ich habe gestern eine Finale Antwort von Sophos erhalten:

    "Das von ihnen beobachtete Verhalten ist ein bekanntes Problem welches aber nicht behoben wird.

    Sie haben nur die Möglichkeit einen anderen FTP-Client zu verwenden und einen sehr hohen Timeout einzustellen oder auf den AV-Scan zu verzichten."

    Ich muss gestehen, dass ich von der Antwort ziemlich enttäuscht bin. Die Konsequenzen aus dieser Antwort müssen gut überlegt sein ...

    Mit freundlichen Grüßen,

    Silvio Geller

  • In reply to SilvioGeller:

    Hallo Silvio,

    man scheint unsere Support Fälle irgenwie zusammen bearbeitet zu haben   Ich kann auch einige Zitate zum besten geben:

    "Leider ist die von Ihnen angesprochene Problematik ein bekanntes issue im Zusammenhang mit einer Inkompatibilität des FTP Clients.
    Der Status wie der Upload der Datei voranschreitet wird im Normalfall synchronisiert aber kann nicht ausgetauscht werden und dann bricht die Verbindung ab.

    Gerne hätte ich Ihnen eine Lösung angeboten muss aber leider sagen dass wir dahingehend außer AV ausschalten keine andere Möglichkeit haben."

    Dokumentiert sein soll das Ganze sein auf einer KIL (Known Issues List) unter "Upload through ftp proxy don't work directly if the file is bigger then 150 MB". Hat hier jemand vielleicht Zugriff auf diese Liste? Wäre interessant was dort noch so gelistet ist, verkürzt vielleicht auch die Zeit bei der Fehlersuche. Hier: https://community.sophos.com/kb/en-us/124067 Übrigend tritt dieses Verhalten bei mir auch schon mit 40 MB auf.

    Ob das Verhalten bei der XG ein Anderes ist konnte der Support mir leider nicht beantworten.

    Abgesehen davon, dass es mit der UTM also scheinbar keine funktionierende Möglichkeit gibt FTP zu scannen, finde ich es sehr erstaunlich dass dieses Problem hier solch eine geringe Resonanz hat. Wie handhabt Ihr dies denn in den Unternehmen, wo die UTM zum Einsatz kommt? FTP ist sicherlich kein Standardanwendungsfall für alle Mitarbeiter im Unternehmen, ich kann mir jedoch nicht vorstellen, dass dies so selten vorkommt.

    Best

    Alex

    P.S. Vielleicht passt es zum Thema, bin da gerade drüber gestolpert: https://community.sophos.com/products/unified-threat-management/f/management-networking-logging-and-reporting/32129/ftp-proxy-timeout

  • In reply to Alexander Busch:

    Thanks for posting in this thread, Alex!

    I just realized that this was my problem with FileZilla and an attempt to upload a UTM ISO to the MediaSoft FTP site.  I solved the problem by adding an Exception for our site for 'Antivirus checking' and 'Extension blocking'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to Alexander Busch:

    Hallo Alex,

    vielen Dank für deine Antwort, die sehr informativ war. Ich kann leider auch nicht nachvollziehen, dass diese Problematik nicht weiterverfolgt wird. Gerade wo alle von Sicherheit gegen Viren, Trojaner, etc. reden.

    Sicherlich ist FTP kein Anwendungsfall der bei allen Mitarbeitern vorkommt. Aber z.B. unser Support tauscht Log-Dateien, Patches, Bugfixes, etc. mit unseren Kunden mittels FTP aus. Aus meiner Sicht wäre es ein Rückschritt, wenn wir im Zeitalter der Digitalisierung/Cloudcomputing/etc. die Daten wieder per Post versenden würden. Jetzt interesiert mich der ausgehende Traffic nicht so sehr, aber verständlicherweise der eingehende Traffic um so mehr.

    Jetzt untersuchen wir den E-Mail-Traffic, Web-Traffic, Downloads mittels Sandstorm, aber gerade den FTP-Traffic soll/muss ich unkontrolliert passieren lassen? Irgendwie passt das nicht in das Konzept aus meiner Sicht.

    Viele Grüße,

    Silvio