Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 10806 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Users bypassing content filtering and virus scanning using PuTTY

FN-Eagle
I’m still using version 6 but have a problem with users tunnelling connection via SSL and bypassing content filtering and virus scanning. ASL is configured like this:
HTTP Proxy (allowed target services HTTPS), user authentication, surf protection on, virus scanning on.

I discovered that internal users bypassing the security architecture while using PuTTY. They have a squid proxy server and SSH server running at home. They are using PuTTY from the internal network to tunnel a connection via SSL to their Squid box at home. All traffic goes out without content and virus checks via SSL.

Do I have a change to block this traffic? How to configure ASL to stop the users?


This thread was automatically locked due to age.
  • 0
    I am trying to remember my v6.x stuff.

    I think you would need to put everything through a profile and specifically block the site in the blacklist. They have either fixed IP or a domain name from dyns to locate their home box.



    Ian M
  • 0 in reply to RFCat_vk_01
    if they are tunneling ssh you can't do any kind of filtering on it as ssh is encrypted.  The best you can try is ips filtering the protocol..the best thing is to make a policy saying that behavior is against policy and make the consequences harsh and then ENFORCE them.  After a couple of folks either get fired or have their computers pulled that behavior will stop right quick.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    " .... The best you can try is ips filtering the protocol..the best ...."

    Thanks for the suggestions. Who is already using the IDS to block this traffic?  Can I write my own rule?
    Does somebody have other experiences?
  • 0 in reply to FN-Eagle
    If you are using Version 7, you're out of luck (can't add a custom rule as of yet) ... if you're using Version 6.x, check out http://www.bleedingsnort.com ... they may have a rule there that you can add to your custom IPS rule list in Webadmin.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hello,

    Can you not block port 80/443 in the firewall rules?  This should stop users accessing these ports via SSH.  I haven't experienced the issue first hand to know if this will resolve the issue.

    Cheers,

    Gary
  • 0 in reply to William Warren
    William,

    if they are tunneling ssh you can't do any kind of filtering on it as ssh is encrypted. snip


    While yes, SSH is encrypted, it still must have some header for the proxy to read otherwise it doesn't get past the proxy. Further if the proxy is in standard mode being used to manage SSH connections, then a blacklist in V6 will stop it.
    Otherwise a packet filter rule for ssh at the top of the filter list blocking all packets to the users home site. This will only work until they change their DNS name on the assumption they are using something like dyndns.

    In the end it comes down to a company policy as William advised, unless you like the ongoing challenge of tracking the name changes.

    Ian M
  • 0 in reply to RFCat_vk_01
    William,



    While yes, SSH is encrypted, it still must have some header for the proxy to read otherwise it doesn't get past the proxy. Further if the proxy is in standard mode being used to manage SSH connections, then a blacklist in V6 will stop it.
    Otherwise a packet filter rule for ssh at the top of the filter list blocking all packets to the users home site. This will only work until they change their DNS name on the assumption they are using something like dyndns.

    In the end it comes down to a company policy as William advised, unless you like the ongoing challenge of tracking the name changes.

    Ian M

    no..the ssh connection is secured from the client end to the other side and completly bypasses everything.  ALL data is inside the ssh tunnel..if there was a header the encryption would be meaningless.  The dataflow is user----through the firewall(while being fully encrypted)---to their terminal end(where it's decrypted) then they can surf w/o hindrance.  There's nothing the astaro machine can do since all it sees is the "noise" of the encryption.  It never sees the web data inside.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Thanks for your suggestions. I think the only (professional) way to stop user doing this, is to terminate all encrypted connections an to send them to an additional  scan process. I’m looking for some kind of SSL scanner or SSL proxy. Does somebody use this and what kind of scanners do you know? I’ve found this one:

    Webwasher SSL scanner

    http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

    Is Astaro working on this too? ;-)
  • 0 in reply to FN-Eagle
    William,
    I might be missing something very obvious. There must at some stage be the initial setup packet to the webserver, in fact maybe even a couple that go through the firewall before the encryption starts. 

    Ian M
  • 0 in reply to RFCat_vk_01
    William,
    I might be missing something very obvious. There must at some stage be the initial setup packet to the webserver, in fact maybe even a couple that go through the firewall before the encryption starts. 

    Ian M


    nopers.  The tunnel is totally secured.  The only thing you can do is either attempt to proxy it(easier said than done) or jsut use a highly enforced ans strong IT policy.  Unless you are a large enterprise the costs of trying to proxy ssh traffic is most likely going to be prohibitive.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow