Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 4054 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Tunneling

asg-user
I am having problems with users using http tunneling to bypass the http proxy 'surf protection' feature on the ASG V7. I know on V6, there is a block 'HTTP Connect' check box but doesn't exist on V7.

Astaro tech support suggest using blacklisting websites and categorization. Unfortunately, blacklisting will require me to google search the internet for http tunneling website. That will take too long, and categorization doesn't work because there are http tunneling sites that have not been discovered.

The two suggestions offered by Astaro support is impractical . Can any tech out there give me some suggestions? 

This is really important. Unfortunately my users are a bit more intelligent than what the Astaro assumed. Some of the http tunneling sites: proxify.com, unblockthis.net


This thread was automatically locked due to age.
Parents
  • 0
    I am having problems with users using http tunneling to bypass the http proxy 'surf protection' feature on the ASG V7. I know on V6, there is a block 'HTTP Connect' check box but doesn't exist on V7.

    Astaro tech support suggest using blacklisting websites and categorization. Unfortunately, blacklisting will require me to google search the internet for http tunneling website. That will take too long, and categorization doesn't work because there are http tunneling sites that have not been discovered.

    The two suggestions offered by Astaro support is impractical . Can any tech out there give me some suggestions? 

    This is really important. Unfortunately my users are a bit more intelligent than what the Astaro assumed. Some of the http tunneling sites: proxify.com, unblockthis.net

    no you can't except through strict policy enforcement.  Since the data is encrypted nothing is going to be able to read what is in there.  Your only technological choices are to block 443(https)..not sure you can do that..or start taking serious disciplinary actions against those violating company policy.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0
    I am having problems with users using http tunneling to bypass the http proxy 'surf protection' feature on the ASG V7. I know on V6, there is a block 'HTTP Connect' check box but doesn't exist on V7.

    Astaro tech support suggest using blacklisting websites and categorization. Unfortunately, blacklisting will require me to google search the internet for http tunneling website. That will take too long, and categorization doesn't work because there are http tunneling sites that have not been discovered.

    The two suggestions offered by Astaro support is impractical . Can any tech out there give me some suggestions? 

    This is really important. Unfortunately my users are a bit more intelligent than what the Astaro assumed. Some of the http tunneling sites: proxify.com, unblockthis.net

    no you can't except through strict policy enforcement.  Since the data is encrypted nothing is going to be able to read what is in there.  Your only technological choices are to block 443(https)..not sure you can do that..or start taking serious disciplinary actions against those violating company policy.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
  • 0 in reply to William Warren
    If the IPS could take custom rules (cough), then you could try to create a rule to watch for the Connect method on port 80. HTTPS would still get by though.

    Barry
  • 0 in reply to BarryG
    Thanks for the response guys. I forwarded all your response to management to prove outside opinion on this matter.

    Honestly, it doesn't look like I'll be keeping the name ASG-USER much longer. My network environment is much too strict to be dependent on just policy alone. Management and I see this as a potential hole in our seurity and it must be resolved. We need to cover our A55 in all possible ways.

    Again, thanks for your posts.
  • 0 in reply to asg-user
    I guess you could downgrade your version to V6.

    Make sure you let your reseller know how you feel.

    Barry
  • 0 in reply to FN-Eagle
    You probably want to start with a packet filter to block all outbound traffic, then only allow out those services your company needs. Don't allow HTTP or HTTPS out, instead use the proxy provided by the firewall. The last step is to blacklist the sites they're using. At this stage you can still monitor where they are connecting to and so forth, you just can't see what they are sending if the connection is encrypted. If you use the transparent mode proxy, make sure you have no one in the skip these hosts list in the advanced tab, or if you do, uncheck Allow HTTP traffic. This will prevent the users in this list from accessing the web at all.