ich habe ein seltsames Verhalten meiner ASG220 fest gestellt.
Ich habe mehrere Netzwerke, die von einander getrennt sind.
Im Schulungsnetz ist der Webfilter aktiv, und in einem Schulungsraum stehen 13 PCs.
Wenn ich hier den Webfilter vor Ort überprüfe, kann ich zum Beispiel auf einem PC .exe Dateien herunterladen, etc.(also ohne Webfilter ins Netz), und mit dem anderen nicht.
Gestern war es genau umgekehrt, der PC der den Webfilter angewendet hat, hatte ihn auf einmal nicht mehr, und der PC der nicht gefiltert worden ist, hat den Filter auf einmal angewendet.
Ich habe alle Netzwerk Einstellungen überprüft. Alle Switche ebenso. Die betroffenen PCs haben keine statischen Routen hinterlegt, ach ja und im Netz läuft die Endpoint Protection auf allen Clients.
Zusätzlich sind alle Schulungs PCs über eine PC-Wächter Karte gesichert. Somit sollte eigentlich ein verändern des PC-Systems ausscheiden.
Die Proxy Einstellungen der Clients sind auf automatisch erkennen gestellt. Der Proxy im Webfilter steht auf Standardmodus und als Authentifizierung habe ich Browser gewählt, und Zugriff bei fehlgeschlagener Authentifizierung blockieren, aktiviert.
Ich weiß so langsam einfach nicht mehr weiter. Meine Kollegen haben auch keinen Rat.
Vielleicht hat ja jemand hier einen Tipp.
Gibt es vielleicht irgendeine spezielle Firewall-Regel, die den Webfilter "umgeht"?
Welche Version hast du im Einsatz?
Anhand welches Merkmales werden die PCs unterschieden und nach welchem Merkmalen werden deren "Rechte" auf der UTM gewährt?
Hey KN,
die PCs werden unterschieden, über die Computerverwaltung der Endpoint.
Hier habe ich die PCs aufgenommen und in die jeweilige Computergruppe SCHULUNG gesteckt. Natürlich habe ich die Gruppe Schulung neu definiert.
Der Schulungsbereich darf nur ins Netz per Standardports. Anmelden an der FW darf nur mein PC, aus dem Verwaltungsnetz.
die PCs werden unterschieden, über die Computerverwaltung der Endpoint.
Hier habe ich die PCs aufgenommen und in die jeweilige Computergruppe SCHULUNG gesteckt. Natürlich habe ich die Gruppe Schulung neu definiert.
Der Schulungsbereich darf nur ins Netz per Standardports. Anmelden an der FW darf nur mein PC, aus dem Verwaltungsnetz.
die PCs werden unterschieden, über die Computerverwaltung der Endpoint.
Hier habe ich die PCs aufgenommen und in die jeweilige Computergruppe SCHULUNG gesteckt. Natürlich habe ich die Gruppe Schulung neu definiert.
Ich offenbare mich in diesem Punkt jetzt mal als unwissend und in Ermangelung von Endpoint-Clients als unerfahren.
Kannst Du das etwas ausführen? Tritt dieses Fehlverhalten auch auf, wenn die Clients anders zugeordnet werden, wie zB klassisch über Gruppen aus Netzwerkobjekten?
Nicht das sich die ID der Endpoints hier überschnippelt ...
Ich vermute ein Konflikt nach dem Klonen. Wechselst du die WindowssSID mit Sysprep nach dem Klonen?
Ist der Sophos AV Client bereits im Image enthalten? Wenn ja, Image ohne AV und dann manuell oder per GPO ausrollen.
Hey Traxxus,
ja neu SSID wurde mit Sysprep vergeben.
Der AV Client ist im Image enthalten, hat bisher aber auch immer geklappt, aber gut, wird raus genommen, und testweise manuell installiert.
Allerdings erklärt das trotzdem nicht, warum einige Clients den Webfilter anwenden, und andere nicht.
Mir ist auch gerade aufgefallen, dass Sophos LiveConnect ist deaktiviert ist.
Laut log Sleeping for 300 seconds
Schläft der Dienst einfach mal soo[:D]
Ich habe die Vermutung, dass was mit der Hardware nicht stimmt....
das Problem besteht weiter.
Ich habe jetzt zu Test zwecken, alle von mir erstellten Gruppen im Webfilter entfernt, und nur die Default Content Gruppe aktiv.
Ich habe die Netzwerke die gefiltert werden sollen eingetragen, aber trozdem das gleiche Problem. Auf einigen PCs greift die Webfilterregel, auf andere PCs nicht.
Ach ja Traxxus, das Problem tritt bei geklonten PCs auf, und bei nicht geklonten PCs. Kann also somit nicht damit zusammen hängen.
ich würde einen Hardwaredefekt ausschlißen. Probier mal bitte folgendes:
Web Filter der Endpoint Protection deaktivieren und dafür den Webfilter der UTM konfigurieren und den Clients einen Proxy fest eintragen. Manchmal hat da WIndows eigene Ideen wie er den Proxy finden soll. Daher lieber mal testweise einen fest eintragen und später über eine GPO fest verteilen.
Quote