Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 15056 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

how to block HTTP Tunneling

gyt
Hello,
I am using Astaro version 7.504 and i face problem to block HTTP tunnelling [:(].
users on network can install hotspot software and can bypass web filter.

this software use openvpn software to establish HTTP tunnel [:@]
i tried to block all VPN using packet filter but I failed it is still connected 

anyone can help
Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Yes i am able to browse when i stopped the proxy.

    You might want to change the packet filter rule that allows such traffic.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes remote access is blocked and i blocked all traffic goes to all anchorfree.net and hotspotshield.com. also i blocked all VPN tunnel ports.

    on user computer i made netstat to show all connected ips and ports and i blocked all of them but hotspot can connect and bypass.

    it is not just url filter i think we need tool to analysis port 80 traffic.
  • 0 in reply to gyt
    Hi folks,
    I think you are missing part of the point. The point being you can't block tunnels within port 80. The proxy and packet filters will see it as traffic.

    I expect the destination sites will have revolving addresses. To start the ball rolling you could block some of the destination IP addresses in the web proxy.

    To stop them bypassing the web filtering by using IP addresses, you need to block the use of IP addresses in the proxy.
    http://([0-9]{1,3}\.){3}[0-9]{1,3}
    https://([0-9]{1,3}\.){3}[0-9]{1,3}

    I don't claim authorship of these just a happy user.

    Ian M
  • 0 in reply to RFCat_vk_01
    This is pretty cool, it should be a built in option in the proxy [:)]

    As for blocking tunnels using a protocol, it is very hard (SSL/HTTP tunnel). I guess it might be possible to make some snort rules that would trigger on known Tunnels.
  • 0 in reply to x-cimo
    Hi,
    I think there is another issue here and we are approaching it from the wrong end (partially).
    The longer term is to have the url identified as proxy and added to theweb catergorisation lists.

    I have similar problems at home until the web classification block list was updated on the ASG. The use of proxies stopped after that.

    Then, if you are like the company I work for, any site is accessible if it doesn't affect your work or workmates. Bloody data security management nightmare.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hello
    I fixed that by blocking all http traffic for all users except the proxy ip. 
    now all users surf HTTP using transparent proxy 
    Thanks for help
  • 0 in reply to gyt
    Care to share the rule that you used to block all traffic except proxy traffic?
Reply Children
No Data