Users bypassing content filtering and virus scanning using PuTTY

Thanks for your suggestions. I think the only (professional) way to stop user doing this, is to terminate all encrypted connections an to send them to an additional  scan process. I’m looking for some kind of SSL scanner or SSL proxy. Does somebody use this and what kind of scanners do you know? I’ve found this one:

Webwasher SSL scanner

http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

Is Astaro working on this too? ;-)

Thanks for your suggestions. I think the only (professional) way to stop user doing this, is to terminate all encrypted connections an to send them to an additional  scan process. I’m looking for some kind of SSL scanner or SSL proxy. Does somebody use this and what kind of scanners do you know? I’ve found this one:

Webwasher SSL scanner

http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

Is Astaro working on this too? ;-)

William,
I might be missing something very obvious. There must at some stage be the initial setup packet to the webserver, in fact maybe even a couple that go through the firewall before the encryption starts. 

Ian M

William,
I might be missing something very obvious. There must at some stage be the initial setup packet to the webserver, in fact maybe even a couple that go through the firewall before the encryption starts. 

Ian M

nopers.  The tunnel is totally secured.  The only thing you can do is either attempt to proxy it(easier said than done) or jsut use a highly enforced ans strong IT policy.  Unless you are a large enterprise the costs of trying to proxy ssh traffic is most likely going to be prohibitive.

Thanks for your suggestions. I think the only (professional) way to stop user doing this, is to terminate all encrypted connections an to send them to an additional  scan process. I’m looking for some kind of SSL scanner or SSL proxy. Does somebody use this and what kind of scanners do you know? I’ve found this one:

Webwasher SSL scanner

http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

Is Astaro working on this too? ;-)

this is an ssl proxy.....[:)]  I am sorry about this i meant ssl not ssh.  The result is the same..the connection is established first then the traffic is sent the same as in ssh.  If the cost of this isn't too high it's a viable option.  However keep in mind that ssl traffic can be moved to another port just as easily as ssh can.

This company http://www.deepnines.com/ is contacting school districts to market their product which they claim scans all ports, transparently without even using an IP number or being detectable on the network, and it blocks all port tunneling and anonymous proxy sites by signature.  I contacted Astaro to inform them of this a few months ago but they have not shown a sign that they intend to tackle this issue.  Deep Nines will give us a box on a free trial for a month.  I will get one and test it on the hundreds of ssl anonymous proxy sites that students found last year.  I blocked them one at a time in Astaro using network definitions and packet filters, but it's too much work trying to track down the new ones every day.  And now that we don't have detailed log searches in v.7 anymore, that will make it impossible to track down new sites manually anymore.

Here's my list of network definitions of manually blocked ssl sites, entered as DNS Groups because some have multiple IPs.  The names of the definitions don't include the extensions to keep them short, but they would have .com or .net or .info  etc at the end of each URL and www at the beginning.  Then create a group called Blockgroup, add all of these definitions to it, then create a packet filter that blocks all traffic to and from that one group:

block_72-174-63-69 
block_anonymizer 
block_anything4you4me 
block_birdsflyfast 
block_blockmy 
block_blueyonder.co.uk 
block_bravebadger 
Block_browsefilterless 
block_cacheproxy 
block_cacheproxy2 
block_cacheproxy3 
block_cacheproxy4 
block_cacheproxy5 
block_cacheproxy6 
block_cacheproxy7 
block_cheesecamera 
block_concealme 
block_cpr0x 
block_devoprox.info 
block_eightclowns 
block_flyproxy 
block_Freeproxies 
block_fsurf 
block_hidebehind.net 
block_homeip 
block_housecancer 
block_iwantmyowncomputer 
block_jtan.com 
block_kaxy 
block_kaxy.com 
block_keyfeather.com 
block_kgbinternet 
Block_kproxy 
Block_kproxy2 
block_leetproxy.org 
block_mathpartyanimals 
Block_meebo 
Block_megaproxy 
block_mirt.net 
block_morningmarathon 
block_mouseroad 
block_neomailbox 
block_neomailbox2 
Block_ninjaproxy 
block_no-ip 
block_nyud 
block_onedumb 
block_papermuffin.com 
block_perlproxy 
block_pirateskunk 
block_pol.co.uk 
Block_proxify 
block_proxify2 
block_proxify3 
block_proxify4 
block_proxify5 
block_proxify6 
block_proxify7 
Block_proxy 
block_proxy2 
block_proxygeek 
Block_Proxyhttps 
block_proxywaypro 
block_proxyweb.net 
block_prx9.com 
block_qzkunli 
block_roaar.com 
block_rockbunny.com 
block_scoobidoo.net 
block_secure-tunnel 
block_shortfarmer.com 
block_sidewalksoup 
block_silverladybug 
block_sneakyproxy 
block_snoopblocker 
block_socksify 
block_socksify2 
block_sonicproxy 
block_sourceforge 
block_stupidcensorship 
block_sureproxy 
block_surf1.info 
block_theproxyconnection 
block_tntproxy 
block_treebeach 
block_unblock-myspace-peacefire 
block_unblockworld 
block_unicornstew.com 
block_vahr.com 
block_vtunnel 
block_wief 
block_xroxy 
block_zoxy

I think the only way you stop this kind of crap is to have management make it clear that it's not allowed and if people do it, they'll be reprimanded and/or fired. 
Technology can't solve all problems. This is not a technology problem, it is a management problem. 
Having said that, how 'bout just blocking their access completely. [:)]