Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2679 views
  • Users 0 members are here
Options
Suggested

[8.285][NOTABUG][CLOSED] App Control blocking in daily executive report

Billybob
Hi, this might be related to
 [17634] [UBB][8.163] AppCtrl: traffic falsely shows up at "Top10 blocked"

I have application control active to control QoS but I don't have any applications defined in the application control rules as shown in screenshot1. However I see facebook[8-)] blocked for some reason in my daily executive report.

Screenshot1: App control configuration.
Screenshot 2&3: Daily executive report of top blocked applications.

Regards
Bill.
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.285
    Type: NOTABUG
    State: CLOSED
    Reporter: Billybob
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0 in reply to Astaro Beta Bot
    Hi Billybob,
    interesting you should have that issue. I had that issue before the v8.3b and had logged it in the v8.2b forum but didn't get any response until I saw the fix list for v8.3b.
    All my supposedly blocked applications are no longer showing as blocked. I have some QOS rules and some application blocking, but not the ones that were appearing the in the daily reports. An interesting point was the blocked applications were coming from my and my wife's PCs for applications we didn't/don't use.

    I am happy now, no false alarms.

    Ian[:)]
  • 0
    Hi guys,
    we are currently investigating this issue and will let you know whether it refers to MantisID 17634.

    Thanks,
    Masoumeh
  • 0 in reply to msaki
    ...interesting you should have that issue. I had that issue before the v8.3b and had logged it in the v8.2b forum but didn't get any response until I saw the fix list for v8.3b....

    I remember your post. I however was logging and blocking traffic at that time and didn't see anything out of the ordinary[:$] probably should have looked more closely[:)]
    we are currently investigating this issue and will let you know whether it refers to MantisID 17634.

    Great, thanks for checking.

    Regards
    Bill
  • 0
    Hi Bill,
    we couldn´t reproduce your issue and now we are sure, that it isn´t the same problem like the one in MantisID 17634. 
    The reason for the displaye blocked application could be something else for example an advertismentrequest with the "facebook" as destination. You should know that the request could be blocked not only by Application Control. In such situations you will also see the Action ="block" and Application "facebook" and these is actually the funtionality of Reporting. So to figure out the right reason for the behavior  of your ASG I would aks you for the http.log. 

    Cheers,
    Masoumeh
  • 0 in reply to msaki
    Thanks for the hint. I can see in my report from yesterday, I had 
    TOP10 Blocked Destinations
    Total packets: 2
      Server IP Server Hostname Packets %
    1 66.211.180.60 srv.ebayrtm.com 1 50.00 %
    2 66.211.181.40 srv.ebayrtm.com 1 50.00 %

    and in my http log I can see 

    2011:11:29-10:03:48 gatekeeper httpproxy[23725]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.11" dstip="66.211.180.60" user="" statuscode="500" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="5749" request="0xaaa2760" url="http://srx.main.ebayrtm.com/rtm?--snip-------" exceptions="" error="Download aborted by client" country="United States" category="158" reputation="neutral" categoryname="Auctions/Classifieds" content-type="application/x-javascript" application="ebay"

    I still don't know why it got a status of block if it was aborted by the client.

    Regards
    Bill
  • 0
    statuscode="500" - wouldn't that be a server that doesn't like proxies?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bill,
    as you in your http log see, an application has been blocked because of the word "ebay". Such blocked applications would be saved in the DB and will be displayed in reporting. In these situations the reporting makes any differences whether the client abort the application or not.
    BTW. the statuscode="500" could be based of several reasons occured.

    Have fun,
    Masoumeh
  • 0 in reply to msaki
    ...as you in your http log see, an application has been blocked because of the word "ebay". Such blocked applications would be saved in the DB and will be displayed in reporting. In these situations the reporting makes any differences whether the client abort the application or not....

    I would say your query is wrong then. If you query something like
    select * from http_log_table where action='block' and application='ebay'
     without verifying the most important condition which is whether application control is even active for that application, then your results are wrong.

    Guys, you can call it not a bug and since we have release candidate out, there is probably a code freeze but this is a bug. Big companies have compliance policies. If my HR says ebay blocked and facebook open, yet when we look at the daily report, I am blocking facebook, someone will have to answer. Simple things like this make a huge difference in how a product is perceived and a reputation between flaky reporting and top notch reporting.
    /Rant

    Regards
    Bill
  • 0
    Agree with Bill - if I understand correctly, this is not a functional bug. It is not an example of caring for the customer, though. We need to be sure that our customers trust us and believe that we are concerned about their needs.  We can't be surprising or confusing them.  This is not a simple, cosmetic bug.  Fixing it can wait until V9, but our customers deserve that it be fixed. 

    Cheers - Bob
    PS Just to be clear, I've been beating this drum here on the BB and at Astaro since I became convinced of the exceptional functionality of Astaro in V7.

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML