Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 13360 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Logging HTTPS traffic

isaif
Hello,

I have a specific scenario in which I am trying to find out of a particular user visited a particular secure website on a particular day. 
Is there a way to log HTTPS traffic via the firewalls built in monitoring? As far as I can see there is an HTTPS CA but no HTTPS traffic is showing up under Logging & Reporting > Web Security.

ASG V8 on 8.303

(I'm very new to this system)

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Still able to access internet and no logging of https

    At the top of your list of firewall rules, add 'DROP : Internal (Network) -> HTTPS -> Any' and enable the rule.  If that blocks access, then a later rule was allowing it.  If it doesn't block access, then either a proxy or a VPN is allowing it.  If it's going through httpproxy, the access will be logged.

    Cheers - Bob
Reply
  • 0
    Still able to access internet and no logging of https

    At the top of your list of firewall rules, add 'DROP : Internal (Network) -> HTTPS -> Any' and enable the rule.  If that blocks access, then a later rule was allowing it.  If it doesn't block access, then either a proxy or a VPN is allowing it.  If it's going through httpproxy, the access will be logged.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    I think I can help...   bear with me.
     
    I'm beginning to experiment with a FireFox plugin which anonimizes ones web connections.  This is used for three common purposes.
     
    1)  Making sure the government or other sniffers cannot trace your traffic back to you.
    2) Making sure a web site cannot trace/trace you.
    3) Circumventing URL filtering systems like Astaro/Sophos UTM.
     
    It appears that this service called Anonymox uses a server at the following address:   http.00.s.sophosxl.net
     
    PLEASE NOTE: THIS IS NOT sophos but sophosxl.
     
    Tracking them down via dns I find the name LexSynergy Ltd which appears to be located in London.  
     
    They advertise phone numbers in English Speaking countries like the US, UK, Australia, and South Africa.
     
    Their street address is listed as "The Pentagon", Abingdon, Oxfordshire.
     
    Another street address lists the address of a  public post office in West Hampstead, London, England.
     
    Reasonable solution/response:
    1) Create a corporate policy that explicitly allows or disallows this technology in your business.  I'm talking about stated rules of acceptable and unacceptable behavior not firewall rules.
     
    2) If allows, create firewall [Sophos UTM] rules that manage how and when this companies addresses are used.


    3) If disallowed, block this domain.
     
     
    I'd ask Sophos to include this in the Application Management section of the UTM.  It may be already, I haven't checked.  [pending]
     
    Anyway... it appears this traffic is folks circumventing your management of your network.
     
    Cheers.
  • 0 in reply to SalishSwede
    Addendum: there is a dynamic filter rule set under Application Management called "Proxy".  It does not appear to include this technology.
     
    To be fair, this is a classic technological cat and mouse game with those sophisiticated enough to use this. This is EXACTLY the reason that companies like Sophos exists.  Arguably this may be a losing game, but with stated and adequately communicated corporate policies, the conscientious members of your team should play along.  Those that don't... well that's another discussion between the technology team and human resources team.  In my shop... [home] that's just me mumbling to myself.
     
     
    Post post scriptus:  Sophos should certainly have the common FireFox add-ons like this included in the rule set in application management.  ping!!