Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 9580 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Protection blocks install of Endpoint Protection

gzartman
I've setup mostly default web protection using transparent proxy with SSL scanning on Sophos UTM 9.2.  

I'm attempting to setup Endpoint Protection on windows clients, but the Web Protection filtering blocks registration of client machines during install of the Sophos Endpoint application on the clients.   I shut off Web Protection and the client machine install works fine and the client shows up in the endpoint protection dialog in the UTM.  

However, as soon as I turn Web Protection back on, the Status of the client shows as offline.

Is there an exception I need to add to Web Protection so that Endpoint Projection will work properly on Windows clients?   The default exception titled "Sophos LiveConnect [Allow endpoints to connect to Sophos LiveConnect]"  doesn't seem to be working.

Thanks,

Greg


This thread was automatically locked due to age.
Parents
  • 0
    Greg,

    I noticed the same issue.  I believe there is a bug in the "Out of the Box" web protection exceptions.

    The default exceptions for live connect are as such:
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com/
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com/
    ^https?://[A-Za-z0-9.-]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com/
    ^https?://[A-Za-z0-9.-]*\.upe\.p\.hmr\.sophos\.com/

    I noticed two oddities after manually disabling Web Control on my endpoint.
    1) The Endpoint with Web Control disabled shows as "Offline" on the Endpoint Protection page of the UTM WebAdmin.
    2) The Web Filter logs had entries showing that https://mcs1-e407.broker.sophos.com was being blocked.

    2014:04:16-15:04:41 remote httpproxy[5833]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProStaff (Server Proxy Profile)" filteraction="REF_HttCffStaffConteFilte (Server content filter)" size="3221" request="0xe1c8000" url="mcs1-e407.broker.sophos.com" exceptions="" error="" authtime="0" dnstime="0" cattime="52305" avscantime="0" fullreqtime="56605" device="0" auth="0" country="Singapore" reason="category" category="175" reputation="trusted" categoryname="Software/Hardware"



    I used the Policy Test Tool to test that URL, but that tool reported back that it met the conditions for the exception "Sophos LiveConnect".  So, either the Policy Test Tool is incorrect or there is a bug in how the Web Filter processes RegEx.

    I modified the Regular Expressions in the Sophos LiveConnect Exception by removing the "/" at the end.  The Web Filter logs immediately showed action="pass" for that URL.  My Endpoints also now show as being Online regardless of whether I have Web Control turned on or off.

    The RegEx now looks like this:
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com
    ^https?://[A-Za-z0-9.-]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com
    ^https?://[A-Za-z0-9.-]*\.upe\.p\.hmr\.sophos\.com

    Can anyone else confirm this is a bug?

    -Chris
Reply
  • 0
    Greg,

    I noticed the same issue.  I believe there is a bug in the "Out of the Box" web protection exceptions.

    The default exceptions for live connect are as such:
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com/
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com/
    ^https?://[A-Za-z0-9.-]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com/
    ^https?://[A-Za-z0-9.-]*\.upe\.p\.hmr\.sophos\.com/

    I noticed two oddities after manually disabling Web Control on my endpoint.
    1) The Endpoint with Web Control disabled shows as "Offline" on the Endpoint Protection page of the UTM WebAdmin.
    2) The Web Filter logs had entries showing that https://mcs1-e407.broker.sophos.com was being blocked.

    2014:04:16-15:04:41 remote httpproxy[5833]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProStaff (Server Proxy Profile)" filteraction="REF_HttCffStaffConteFilte (Server content filter)" size="3221" request="0xe1c8000" url="mcs1-e407.broker.sophos.com" exceptions="" error="" authtime="0" dnstime="0" cattime="52305" avscantime="0" fullreqtime="56605" device="0" auth="0" country="Singapore" reason="category" category="175" reputation="trusted" categoryname="Software/Hardware"



    I used the Policy Test Tool to test that URL, but that tool reported back that it met the conditions for the exception "Sophos LiveConnect".  So, either the Policy Test Tool is incorrect or there is a bug in how the Web Filter processes RegEx.

    I modified the Regular Expressions in the Sophos LiveConnect Exception by removing the "/" at the end.  The Web Filter logs immediately showed action="pass" for that URL.  My Endpoints also now show as being Online regardless of whether I have Web Control turned on or off.

    The RegEx now looks like this:
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com
    ^https?://[A-Za-z0-9.-]*-wdx-[A-Za-z0-9.-]*\.broker\.sophos\.com
    ^https?://[A-Za-z0-9.-]*\.upe\.p\.hmr\.sophos\.com

    Can anyone else confirm this is a bug?

    -Chris
Children
No Data
Unfiltered HTML