Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 10819 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Users bypassing content filtering and virus scanning using PuTTY

FN-Eagle
I’m still using version 6 but have a problem with users tunnelling connection via SSL and bypassing content filtering and virus scanning. ASL is configured like this:
HTTP Proxy (allowed target services HTTPS), user authentication, surf protection on, virus scanning on.

I discovered that internal users bypassing the security architecture while using PuTTY. They have a squid proxy server and SSH server running at home. They are using PuTTY from the internal network to tunnel a connection via SSL to their Squid box at home. All traffic goes out without content and virus checks via SSL.

Do I have a change to block this traffic? How to configure ASL to stop the users?


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for your suggestions. I think the only (professional) way to stop user doing this, is to terminate all encrypted connections an to send them to an additional  scan process. I’m looking for some kind of SSL scanner or SSL proxy. Does somebody use this and what kind of scanners do you know? I’ve found this one:

    Webwasher SSL scanner

    http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

    Is Astaro working on this too? ;-)
  • 0 in reply to FN-Eagle
    Thanks for your suggestions. I think the only (professional) way to stop user doing this, is to terminate all encrypted connections an to send them to an additional  scan process. I’m looking for some kind of SSL scanner or SSL proxy. Does somebody use this and what kind of scanners do you know? I’ve found this one:

    Webwasher SSL scanner

    http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

    Is Astaro working on this too? ;-)

    this is an ssl proxy.....[:)]  I am sorry about this i meant ssl not ssh.  The result is the same..the connection is established first then the traffic is sent the same as in ssh.  If the cost of this isn't too high it's a viable option.  However keep in mind that ssl traffic can be moved to another port just as easily as ssh can.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    This company http://www.deepnines.com/ is contacting school districts to market their product which they claim scans all ports, transparently without even using an IP number or being detectable on the network, and it blocks all port tunneling and anonymous proxy sites by signature.  I contacted Astaro to inform them of this a few months ago but they have not shown a sign that they intend to tackle this issue.  Deep Nines will give us a box on a free trial for a month.  I will get one and test it on the hundreds of ssl anonymous proxy sites that students found last year.  I blocked them one at a time in Astaro using network definitions and packet filters, but it's too much work trying to track down the new ones every day.  And now that we don't have detailed log searches in v.7 anymore, that will make it impossible to track down new sites manually anymore.
Reply
  • 0 in reply to William Warren
    This company http://www.deepnines.com/ is contacting school districts to market their product which they claim scans all ports, transparently without even using an IP number or being detectable on the network, and it blocks all port tunneling and anonymous proxy sites by signature.  I contacted Astaro to inform them of this a few months ago but they have not shown a sign that they intend to tackle this issue.  Deep Nines will give us a box on a free trial for a month.  I will get one and test it on the hundreds of ssl anonymous proxy sites that students found last year.  I blocked them one at a time in Astaro using network definitions and packet filters, but it's too much work trying to track down the new ones every day.  And now that we don't have detailed log searches in v.7 anymore, that will make it impossible to track down new sites manually anymore.
Children
  • 0 in reply to masliah
    Here's my list of network definitions of manually blocked ssl sites, entered as DNS Groups because some have multiple IPs.  The names of the definitions don't include the extensions to keep them short, but they would have .com or .net or .info  etc at the end of each URL and www at the beginning.  Then create a group called Blockgroup, add all of these definitions to it, then create a packet filter that blocks all traffic to and from that one group:

    block_72-174-63-69 
    block_anonymizer 
    block_anything4you4me 
    block_birdsflyfast 
    block_blockmy 
    block_blueyonder.co.uk 
    block_bravebadger 
    Block_browsefilterless 
    block_cacheproxy 
    block_cacheproxy2 
    block_cacheproxy3 
    block_cacheproxy4 
    block_cacheproxy5 
    block_cacheproxy6 
    block_cacheproxy7 
    block_cheesecamera 
    block_concealme 
    block_cpr0x 
    block_devoprox.info 
    block_eightclowns 
    block_flyproxy 
    block_Freeproxies 
    block_fsurf 
    block_hidebehind.net 
    block_homeip 
    block_housecancer 
    block_iwantmyowncomputer 
    block_jtan.com 
    block_kaxy 
    block_kaxy.com 
    block_keyfeather.com 
    block_kgbinternet 
    Block_kproxy 
    Block_kproxy2 
    block_leetproxy.org 
    block_mathpartyanimals 
    Block_meebo 
    Block_megaproxy 
    block_mirt.net 
    block_morningmarathon 
    block_mouseroad 
    block_neomailbox 
    block_neomailbox2 
    Block_ninjaproxy 
    block_no-ip 
    block_nyud 
    block_onedumb 
    block_papermuffin.com 
    block_perlproxy 
    block_pirateskunk 
    block_pol.co.uk 
    Block_proxify 
    block_proxify2 
    block_proxify3 
    block_proxify4 
    block_proxify5 
    block_proxify6 
    block_proxify7 
    Block_proxy 
    block_proxy2 
    block_proxygeek 
    Block_Proxyhttps 
    block_proxywaypro 
    block_proxyweb.net 
    block_prx9.com 
    block_qzkunli 
    block_roaar.com 
    block_rockbunny.com 
    block_scoobidoo.net 
    block_secure-tunnel 
    block_shortfarmer.com 
    block_sidewalksoup 
    block_silverladybug 
    block_sneakyproxy 
    block_snoopblocker 
    block_socksify 
    block_socksify2 
    block_sonicproxy 
    block_sourceforge 
    block_stupidcensorship 
    block_sureproxy 
    block_surf1.info 
    block_theproxyconnection 
    block_tntproxy 
    block_treebeach 
    block_unblock-myspace-peacefire 
    block_unblockworld 
    block_unicornstew.com 
    block_vahr.com 
    block_vtunnel 
    block_wief 
    block_xroxy 
    block_zoxy