This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9 - Web Filter Policy funktioniert nicht korrekt im Firefox 97.01

Hallo zusammen,

folgendes Setting:
1. Notebook mit Windows 10 Pro 64bit (21H2, Build 19044.1566, WFEP 120.2212.4170.0) mit Edge 98.0.1108.56, Firefox 97.01 und Brave (Version 1.35.103 Chromium: 98.0.4758.102)
2. DrayTec VigorAP 900 Dualband Access-Point (firmware version: 1.2.7) für LAN und WLAN
3. NetGear ProSafe GS108 Switch
4. Sophos UTM 9 (firmware version: 9.709-3), Web Filtering im "Transparent mode", HTTPS "Decrypt and scan", Web Filter Policy blockt die Kategorie "Entertainment/Culture", d.h. der Zugriff auf YouTube ist gesperrt

Fehlerbeschreibung (Fehler tritt sowohl via LAN als auch via WLAN auf):
Im Edge und im Brave wird YouTube durch das Web Filtering geblockt.
Im Firefox wird YouTube durch Web Filtering nur geblockt, wenn man YouTube in einem privaten Fenster öffnet.
Wenn man YouTube in einem normalen Fenster öffnet, wird es nicht geblockt.

Wie unterscheidet sich der URL-Aufruf in einem normalen Fenster von dem in einem privaten Fenster genau? Meines Wissens wurden im Firefox keine speziellen Einstellungen diesbezüglich vorgenommen. Das SSL-Zertifikat (Signing CA) der Sophos scheint auch im Firefox einwandfrei zu funktionieren.

Könnte es sich vielleicht um ein Problem mit Cookies im Firefox handeln? Cookies werden beim Beenden von Firefox nicht gelöscht. Enthalten die YouTube-Cookies möglicherweise irgendwelche Informationen, welche den Sophos Webfilter aushebeln können?

Interessant ist auch Folgendes: Wenn das Notebook direkt an den NetGear Switch angeschlossen, der DrayTec AP also nicht dazwischengeschaltet ist, wird YouTube im Firefox auch im normalen Fenster geblockt, nicht nur im privaten Fenster.

Wichtig ist auch noch: Ich hatte vor einiger Zeit einmal für die Dauer von ein paar Tagen die Kategorie "Entertainment/Culture" temporär freigeschaltet und danach wieder gesperrt. Kann es sein, dass der Status der temporären Freischaltung dieser Kategorie im Firefox auf irgendeine Weise "konserviert" wurde, wie als wenn eine WebSocket-Session nicht beendet worden wäre? Ich hatte ein solches Problem schon einmal bei einem Browserspiel, das mit einem bestimmten Zeitkontingent belegt war. Da alle Requests in einer WebSocket-Session liefen, registrierte die Sophos diese Requests nicht und unterbrach folglich nach Ablauf des Zeitkontingents auch nicht die Verbindung.

Auch wenn bei diesem Fehler zahlreiche Komponenten beteiligt sind, die möglicherweise den Fehler mit verursachen, glaube ich doch, dass das Web Filtering der Sophos nicht einwandfrei funktioniert. Im Falle des Browserspiels (siehe oben) war es der Umstand, dass Requests innerhalb eines WebSockets von der Sophos nicht getrackt werden (können). Im aktuellen Fall muss eine ähnlich gelagerte Problematik vorliegen. Im Falle von YouTube wird aber, selbst wenn man - aus welchen Gründen auch immer - sich bereits auf der YouTube-Website befindet (sie also trotz Webfilter erfolgreich aufrufen konnte), beim Aufrufen einer neuen Video-URL trotzdem erneut ein ganz normaler HTTP-Request abgesetzt, der eigentlich von der Sophos erkannt und geblockt werden müsste.

Hat hierzu vielleicht jemand eine Idee?



This thread was automatically locked due to age.
  • Sounds like a browser issue, not a UTM issue.  If it were UTM and was blocking YouTube, it would not matter which browser you use if you try to connect to anything behind the UTM.

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • If it were a pure browser issue, Sophos would still have to block new video URLs from being viewed, even if the YouTube website was open before the Entertainment/Culture category was blocked and remains open without interruption after the Entertainment/Culture category was blocked. This is because every click on another link in YouTube triggers a new HTTP request. However, Sophos did not block the call of further URLs after the "Entertainment/Culture" category had been blocked. Unfortunately, the error is currently not reproducible. So I can't do any further research on the causes that led to this issue.

  • There is even one more aspect to consider. Longer time ago there was installed a second language on the Windows system: "Greek". After a while Windows-Update installed security patches. Maybe the Windows Updates created some issues in context with the new language "Greek", which is based on a non-latin alphabet. So it is possible that also this fact has to be taken into account, when investigating this issue. As you see that is an really complex context.