Sophos – Network Threat Protection – ConnectionTracking

Este problema (digamos que mi primera vez con sophos, pero no con otros), es algo recurrente. Siempre empieza igual, se jode un equipo, luego otro, luego otro … cuando empieza a llegarte la noticia probablemente es demasiado tarde…

Y todo empieza con algo que no tiene sentido y que, en vez de mirarlo se trata de echar la mierda para otro lado (normalmente, la red y/o el firewall).

Hoy es domingo tarde … esto empezó el martes. De repente una incidencia … no funciona la red wifi en una oficina. Hacemos un primer chequeo rápido, y no parece pasar nada. La wifi funciona, hay al menos 400 tíos conectados. Otro rápido chequeo al firewall … y tampoco parece ser el responsable … y mientras mas equipos que se van a la mierda.

Después de mas chequeos … parece que el sophos (o mas bien una actualización) tiene la culpa. Los windows 7 están empezando a caer como moscas. Se abre incidencia con sophos y dicen que ellos no tienen detectado nada … que tiene que ser otra cosa.

El síntoma es que, cuando actualiza el agente de sophos a la versión 10.8.2VE3.74.0 y si tienes activado en la política Threat Protection -> Detect network traffic to command and control servers.

Cuando el equipo reinicia (porque ademas te lo pide) la red deja de funcionar … a veces directamente deja de contestar a ping, otras contesta pero no se puede autenticar con ninguna cuenta que sea local.

Después de estar un par de dias peleando con los de sophos … por fin nos hacen caso y nos manda un KB133172, por supuesto … sin solución (y va llevamos 6 putos días así).

«Disable Tamper Protection
Open Services and Stop «Sophos Network Threat Protection»
On an endpoint navigate to C:\ProgramData\Sophos\Sophos Network Threat Protection\Config
Open the file «Policy.xml» and locate the section below to confirm that this states «true»
true
If this field does state «true» take a copy of Policy.xml and amend the line so it reads below
false
Rename the original Policy.xml to Policy.orig
Place the newly amended Policy.xml into this location
Open Services and Start «Sophos Network Threat Protection»
Confirm that the behavior does not reoccur»

Y la solución que dan … desactiva Network threat protection. Por suerte (para mi) de los 200 equipos así a ojo que se han ido a la mierda están a muchos miles de kilómetros … así que el black friday se ha convertido en black sunday. Y aquí estamos … domingo a las 20:17 de la tarde …

Señores de Sophos … os estáis cubriendo de gloria.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.