Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1124 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM seems to be blocking other Sophos software

SalishSwede
I'm using Windows 7 with the integrated Sophos antivirus products.
I see the following in the web log:

[FONT=monospace]
2014:07:06-13:19:44  ravenna httpproxy[32330]: id="0002" severity="info" sys="SecureWeb"  sub="http" name="web request blocked" action="block" method="GET"  srcip="10.1.2.3" dstip="" user="" statuscode="502" cached="0"  profile="REF_HttProSecurDeskt (Laptops & PC's)"  filteraction="REF_xtQVuVVAPc (Doug)" size="2642" request="0x296a4660"  url="http.00.s.sophosxl.net/.../"  exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"  error="Host not found" 
[/FONT]

Clearly as you can see all of the exceptions, an attempt to allow this traffic was made but is failing.

Can someone help me understand the following:
1. What this traffic is
2. How to fix this.

Given the 'Host Not Found' it seems the software needs to be updated as a host has changed remotely at Sophos.  At first glance it looks like a network problem, an outage or a rookie error at Sophos.

Much thanks in advance.


This thread was automatically locked due to age.
  • 0
    http.00.s.sophosxl.net/V3/01/nqqbaf.zbmvyyn.bet.w

    These are Sophos eXtensible Lists (SXL) lookups.  Essentially, you should NOT be seeing these in your Web filtering logs.  An update in 9.204 will rectify this.

    Your Sophos protected Endpoint clients are generating these, given that their local web protection feature is on and is assessing the reputation of requested resources.

    Transparent proxy slow down when using Sophos endpoint security

    Without forcing you to wait for the next release, you can create DNS Host Objects with the domain you see in your Web Filter logs.  In your example, this is:

    http.00.s.sophosxl.net

    Once you've created this, go to Web Protection > Filtering Options > Misc and ADD the DNS host object to 'Skip transparent mode destination hosts/nets', Click APPLY and the entries should be suppressed from being intercepted and reported on.
  • 0
    azron is generally correct, although all current versions of the UTM will display these in the log.  We're doing an optimization to remove them form the logs in the next 9.2 maintenance release.

    However the issue you have is in the end of the line (error="Host not found").

    The UTM is having DNS problems finding this domain name, which is a proper, public domain name.  You should check your DNS setup.