Thread Info
  • State Suggested Answer
  • +3 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Answers 4 answers
  • Subscribers 49 subscribers
  • Views 245369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy funktioniert seit 9.500-9 nicht mehr bei https Traffic

ITSupport19

Hallo zusamment,

 

seit über 2 Wochen haben wir nun unsere Web Protection abgeschaltet und warten auf den Sophos Support. Wir sind nun an einem Punkt an dem wir nicht mehr warten können, daher erhoffe ich mir Hilfe von den Profis ;-).

 

Seit dem wir auf 9.500-009 aktualisiert haben, reagiert der Web Proxy bei https Traffic nicht mehr. Http Websites funktionieren einwandfrei.

Wir setzen den Web Proxy mittels Standard Mode und AD SSO ein. Wir nutzen ein einfaches Webzugriffs Prinzip - Keine Authentifizierung über die definierte AD Gruppe - Kein Internetzugriff.

Im Web Proxy Log findet sich leider auch nichts hilfreiches da die Zugriffe als allowed geloggt werden.

 

Laut Sophos Support ist das Problem als Bug in 9.5 bekannt und wird unter Bug ID NUTM-7960  geführt. Kann mir jemand verraten wie ich zu diesem Bug Artikel komme?

Hier mein aktueller nicht zufriedenstellender Status seitens Support:

Als aktuellen Workaround kann ich Ihnen nur anbieten AD SSO temporär aus zu schalten oder falls bei Ihnen nur vereinzelt Webseiten Probleme haben eine Exception zu erstellen die die Authentifizierung überspringt.
Hierzu gibt es bereits eine Bug ID NUTM-7960 die auf critical eingestuft ist. Wir warten auf die Entwicklung bezüglich eines temporären Workarounds und einen Fix.

Wenn es doch Kerberos ist, dann muss man doch etwas seitens AD unternehmen können oder?

 

VG

Philipp



This thread was automatically locked due to age.
Parents
  • 0

    Hallo zusammen,

    also ich habe die 9.5 sehnlichst erwartet, bin aber nach dem ganzen Trara wirklich froh, dass ich sie noch nicht installiert habe. Das werde ich auch erstmal sein lassen. Vor ein paar Tagen habe ich vom Support auf die Frage, warum die 9.5 auf meiner SG330 nicht mehr als Update zur Verfügung steht folgende Antwort erhalten:

    ...die Updates sind aktuell nur im Softrelease aufgrund der Problematik, sprich nur über den FTP erhältlich und müssen manuell installiert werden. Die 9.502 sollte in nächster Zeit verfügbar werden und das AD SSO Problem größtenteils behoben haben. Ich würde jedoch raten, noch ein weiteres Update abzuwarten, da einige Folgen des AD SSO Feature auch in dieser Version noch zu Problemen führen...

    Also wer keinen dringenden Bug mit der 9.5 fixen will sollte vielleicht erstmal die Finger davon lassen. Für die meisten, die hier gepostet haben, ist er Hinweis vermutlich zu spät, aber vielleicht liest es ja noch jemand. :-)

    Viel Erfolg allen!

    VG
    Daniel

  • 0 in reply to astiadmin

    Hallo zusammen,

    also, ich habe heute morgen auch getestet und ich kann bestätigen das es mit Kaspersky zu tun hat.
    Wir arbeiten hier derzeit mit der Kaspersky Endpoint Secutity 10 (KES10) und ich konnte den Fehler eingrenzen.
    Sobald man in der KES10 die Funktion "Web-Anti-Virus aktivieren" zuschaltet, ist Feierabend mit https.
    Aber, ... das Problem tritt erst ab der 9.500-9 auf und ist somit meines Erachtens klar auf eine Änderung in diesem Release-Stand zurückzuführen.
    Auch ich wurde gebeten ein Kaspersky Update durchzuführen.

    Die Erklärung vom Support hat bei mir jedoch mehr Fragen aufgeworfen als beantwortet.
    Dabei stellte sich Kaspersky als _Man-in-the-middle_ dar und stufte die TLS unter Internet Explorer Einstellung herab. Die IE hinderte dann bestimmte Https-Webseiten zu öffnen

    @ Denis

    Deine Erklärung (Upgrade KES10 und Agent) macht da schon wesentlich mehr Sinn.
    Kannst Du mir vielleicht die Programmstände von KES10 und Agent nennen die Du benutzt?
    Dann weiß ich wenigstens wonach ich suchen muss....

     

    Viele Grüße
    Bruno

Reply
  • 0 in reply to astiadmin

    Hallo zusammen,

    also, ich habe heute morgen auch getestet und ich kann bestätigen das es mit Kaspersky zu tun hat.
    Wir arbeiten hier derzeit mit der Kaspersky Endpoint Secutity 10 (KES10) und ich konnte den Fehler eingrenzen.
    Sobald man in der KES10 die Funktion "Web-Anti-Virus aktivieren" zuschaltet, ist Feierabend mit https.
    Aber, ... das Problem tritt erst ab der 9.500-9 auf und ist somit meines Erachtens klar auf eine Änderung in diesem Release-Stand zurückzuführen.
    Auch ich wurde gebeten ein Kaspersky Update durchzuführen.

    Die Erklärung vom Support hat bei mir jedoch mehr Fragen aufgeworfen als beantwortet.
    Dabei stellte sich Kaspersky als _Man-in-the-middle_ dar und stufte die TLS unter Internet Explorer Einstellung herab. Die IE hinderte dann bestimmte Https-Webseiten zu öffnen

    @ Denis

    Deine Erklärung (Upgrade KES10 und Agent) macht da schon wesentlich mehr Sinn.
    Kannst Du mir vielleicht die Programmstände von KES10 und Agent nennen die Du benutzt?
    Dann weiß ich wenigstens wonach ich suchen muss....

     

    Viele Grüße
    Bruno

Children
  • 0 in reply to Bruno Schley

    Hallo,

    ich will das Thema nochmal auffrischen. Gibt es denn hier schon neue Erkenntnisse? Wir haben das gleiche Problem auf einem Cluster SG430. Gleiches Problem wie bei den anderen  oben beschrieben. Nach dem Update auf 9.502 funktionieren jetzt bei vielen Usern Internetseiten wieder, aber bei vielen wiederum nicht. Das seltsame ist, dass bei Leuten wo im Browser die Seiten angezeigt werden, trotzdem 407 Meldungen kommen. Mich würde interessieren, ob es da noch Bewegung seitens Sophos gibt, oder ob das Thema vom Tisch ist.

     

    Hier nochmal ein Auszug aus dem Log:

    Max.Mustermann ruft Seite "golem.de" auf. 


    2017:08:21-09:15:05 home-1 httpproxy[8827]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.2" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="90804" request="0xc35f9600" url="http://golem.de/" referer="" error="" authtime="1" dnstime="0" cattime="0" avscantime="0" fullreqtime="1791" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""

    2017:08:21-09:15:05 home-1 httpproxy[8827]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.2" dstip="109.68.230.138" user="Max.Mustermann" group="" ad_domain="SG" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xc35f9600" url="http://golem.de/" referer="" error="" authtime="462" dnstime="18524" cattime="31794" avscantime="0" fullreqtime="86105" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions="" category="134" reputation="neutral" categoryname="General News"

    2017:08:21-09:15:05 home-1 httpproxy[8827]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.1.2" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="90804" request="0xd689600" url="https://golem.de/" referer="" error="" authtime="1" dnstime="0" cattime="0" avscantime="0" fullreqtime="848" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""


    2017:08:21-09:15:05 home-1 httpproxy[8827]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.1.2" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="90804" request="0xc2bc1800" url="https://www.golem.de/" referer="" error="" authtime="1" dnstime="0" cattime="0" avscantime="0" fullreqtime="1097" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""

    2017:08:21-09:15:05 home-1 httpproxy[8827]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.1.2" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="90804" request="0xd0871800" url="https://www.golem.de/" referer="" error="" authtime="1" dnstime="0" cattime="0" avscantime="0" fullreqtime="1739" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""


    2017:08:21-09:15:05 home-1 httpproxy[8827]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.1.2" dstip="109.68.230.138" user="Max.Mustermann" group="" ad_domain="SG" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4492" request="0xd689600" url="https://golem.de/" referer="" error="" authtime="485" dnstime="3" cattime="89" avscantime="0" fullreqtime="658013" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions="" category="134" reputation="neutral" categoryname="General News"

    Vielen Dank

  • 0 in reply to Marko H�rtel

    Ich kann das Problem bei 2 Kunden nachstellen. Ist definitiv eine Kombination von Sophos und Kaspersky welche das Problem mit den https-Anfragen verursacht.

    Sophos Supportfall ist offen

     

    Sobald es etwas zielführendes gibt, poste ich es.

     

    Gruß Steve

  • 0 in reply to SWeissflog

    Hallo zusammen

    also, bei mir ist das Problem behoben.

    Es ist bei mir wirklich das Zusammenspiel von Kaspersky und Sophos gewesen.
    Noch mal zur Erklärung, ich wurde vom Support gebeten meine Kaspersky Umgebung auf die neueste version upzugraden.

    Ende letzter Woche habe ich die Updatearbeiten am zentralen Kaspersky Virenschutz abgeschlossen und am Wochenende getestet.

    Das Kaspersky Security Center ist nun auf dem Stand 10.4.343
    Die Net Agents , welche die zentrale Verteilung der Virendefinitionen regeln, sind nun auch bei allen Workstations und Servern auf dem Stand  10.4.343
    Die Kaspersky Endpoint Security auf den Workstations hat nun den Stand 10.3.0.6294

    Am Samstag habe ich dann im Webfilterprofil in der SG 210, den Betriebsmodus wieder "Standardmodus" und die Standardauthentifizierung wieder auf "Active Directory SSO" umgestellt.
    Ich kann nun bestätigen das die Authentifizierung wieder funktioniert und auch https-Webseiten wieder erreichbar sind.
    Somit wäre dieser Fall bei mir gelöst.

Unfiltered HTML