Web Protection blocks install of Endpoint Protection

As a follow-up:

I created a Web Projection filter exception for everything that comes from sophos.com and that solved the problem.  

I didn't see the point in troublshooting the regex URLs in the current "Sophos LiveConnect" Exception rule, as I would think everything coming from sophos.com would be safe from a web filtering standpoint.     

Greg

Greg,

I noticed the same issue.  I believe there is a bug in the "Out of the Box" web protection exceptions.

The default exceptions for live connect are as such:
^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com/
^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com/
^https?://[A-Za-z0-9.-]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com/
^https?://[A-Za-z0-9.-]*\.upe\.p\.hmr\.sophos\.com/

I noticed two oddities after manually disabling Web Control on my endpoint.
1) The Endpoint with Web Control disabled shows as "Offline" on the Endpoint Protection page of the UTM WebAdmin.
2) The Web Filter logs had entries showing that https://mcs1-e407.broker.sophos.com was being blocked.

2014:04:16-15:04:41 remote httpproxy[5833]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProStaff (Server Proxy Profile)" filteraction="REF_HttCffStaffConteFilte (Server content filter)" size="3221" request="0xe1c8000" url="mcs1-e407.broker.sophos.com" exceptions="" error="" authtime="0" dnstime="0" cattime="52305" avscantime="0" fullreqtime="56605" device="0" auth="0" country="Singapore" reason="category" category="175" reputation="trusted" categoryname="Software/Hardware"

I used the Policy Test Tool to test that URL, but that tool reported back that it met the conditions for the exception "Sophos LiveConnect".  So, either the Policy Test Tool is incorrect or there is a bug in how the Web Filter processes RegEx.

I modified the Regular Expressions in the Sophos LiveConnect Exception by removing the "/" at the end.  The Web Filter logs immediately showed action="pass" for that URL.  My Endpoints also now show as being Online regardless of whether I have Web Control turned on or off.

The RegEx now looks like this:
^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com
^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com
^https?://[A-Za-z0-9.-]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com
^https?://[A-Za-z0-9.-]*\.upe\.p\.hmr\.sophos\.com

Can anyone else confirm this is a bug?

-Chris

Hi, Chris, and welcome to the User BB!

I modified the Regular Expressions in the Sophos LiveConnect Exception by removing the "/" at the end. [...]

Can anyone else confirm this is a bug?

Great catch!  Since [A-Za-z0-9.-]* includes -, I also would change ^https?://[A-Za-z0-9.]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com to

^https?://[A-Za-z0-9.-]*wdx[A-Za-z0-9.-]*\.broker\.sophos\.com

Cheers - Bob

There is a known bug that will be fixed in 9.202.

If you are using Transparent Mode with "URL Filtering Only" the system used SNI to detect where the HTTPS connection is going to - but it only uses the domain name without a trailing slash.  Therefore any exceptions that rely on a trailing slash will not work for HTTPS.

Note that trailing slash is the most secure way to write regex, else it will apply it to sophos.com.evilsite.com.

This only applies to Transparent Mode with HTTPS URL Filter only and it only applies to HTTPS connections.  Your options right now are either to wait for the fix, or to rewrite the RegEx to remove trailing slash.

Good point regarding the security of the trailing slash!  I will keep that in mind.