Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 13123 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF site with protection not loading

Ross86
Hi all,

I have a public web site published over http on the WAF with a custom protection profile. This was setup months ago and has been fine.

All of a sudden today the website isn't loading properly (blank screen) and when it does load it works for a bit then hangs or takes ages to load.

I've had to take the protection profile completely off now it's fine.

I thought this might be down to some definitions from sophos but looking in the logs can't see any blocked attacks only lots of 304 messages.

I don't want to have no protection on this but it's having an effect on customers.  Any ideas?

Thanks
Ross


This thread was automatically locked due to age.
  • 0 in reply to dcline97
    I was able to finally get thru to Sophos support and open up a case.  The tech (Nathan) was able to confirm what we are experiencing, but did not have an answer.  There was nothing in the IPS logs (or any other logs he could find) to indicate any sort of issue with http packet processing.  He said this will be escalated to the global support group.  Stay tuned.
      

    Thanks for the update,  strange this looks like the same issue and sophos apparently have updated it with a workaround:  

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41822

    Seems all linked to dodgy IPS definitions as suspected, just strange it's not showing in logs!
  • 0
    This morning same issue.  Had to do an IPS exception for the websites external interface.  

    Leaving the protection profile on the web server protection still seemed to work, not sure if that's counter productive or gives me some protection!
  • 0
    I called into support to check on the status and was told it was still sitting in the escalation queue.  They suggested I contact my account rep to see if they can help with making this a high priority.  I was also told the escalation guys were overloaded with a lot of issues.

    Not good news.

    Anyone else hear anything on this?

    Dave
  • 0
    That's a bit crap, surely they know your case is the same as many others and should be high priority already!  Bit of a joke we don't have IPS on vulnerable websites and it's not even high priority.
  • 0
    I just got an email from support stating:

    "The IPS issue should be resolved by now.  Sorry for the inconvenience."

    Will be testing later today and will report back.

    Dave
  • 0
    Just tested the websites - still messed up.  Here is my response to Sophos Support:

    "Nope, still messed up.  We are currently using firmware 9.209-8 and pattern version 70929.  I just turned IPS back on and immediately our website and portals became non-responsive from the Internet.  IPS has now been turned back off."

    Have a great Thanksgiving!!

    Dave
  • 0
    still showing problems for me as well, maybe I'll throw a soft brick at Sophos HQ in Abdingdon as a go home tonight ;-)
    Perhaps the move of UTM support to India as part of the Cyberoam purchase isnt helping things either.
Unfiltered HTML