Can AStaro HTTP proxy be defeated by external 3rd party proxy?

Yes, very easily I am afraid.  I work in the technology department in our school district and manage the Astaro box.  

What I am finding is that the company that provides content filtering for the ASL is so far behind in classifying the the anonymous proxy sites that its pitiful.

The closest thing I have found to stopping this is to block the "Un-catogorized" sites as well as anonymous proxies.  Problem there is that there are so many sites that our teachers "need" to use that also fall under this classification (un-classified) that it creates more of a headache than just letting the anonoymous proxies go through.

If you are using v6,, it's pretty simple to add a bunch of sites to your black list. Do a search for anonymous proxies in Google and most of the sites you find will either have a very detailed listing of other anoymous proxies or a link to one.  Download this list and paste it into your v6 HTTP proxy list.  Simple.

If you have v7, you are screwed.  You would have to enter each and every one of these entries one at a time.  At last count, the blacklist for my high school students has over 1,800 entries.  I am not even going to make the attempt to type all that in as long as v6 is even remotely supported.

I have asked the US support team if there was some sort of import feature being looked at, and was assured that there was not.  I got the following message in reply:

"whitelest/blacklist import ? No there is not.. Sorry.  In future release we are going to modify the categories which may negate the need to re-enter your list.  Stay tuned!"

Not sure what magic they are going to do that will make the content catagorization actually catagorize the anonymous sites correctly, but I have time to wait.

... maybe you should try using www.opendns.com as first line in front of the asl proxy.

Gee, maybe the people we pay to catagorize the websites should do their job?  Isn't that a novel idea?

The web/cgi proxies that people are talking about here are blocked content filtering and categorization, no matter how poorly that is maintained, thats how you block the cgi proxies, via blacklist or categorization. This traffic is still going through your proxy, its just choosing not to filter it.

Using a 3rd party proxy to BYPASS your is different. First of all, I would think you would restrict your users from changing what proxy their browser uses (with windows you can group policy this). But also use the packet filter to block web traffic (pre-configed also includes web proxy traffic on port 8080)from your internal network. The proxy will be the only box that can access the web, and any attempts to bypass it by using another proxy will fail. 3rd party proxies that run on ports other than 8080 shouldn't make it past your packet filter either. Basically the rule that is preconfiged rule that uncludes the Web Traffic Group of protocols should be turned off. You don't want your users accessing the web directly.

So if your packet filter is tight, then no, they will not be able to bypass your proxy via 3rd party proxy.

The web/cgi proxies that people are talking about here are blocked content filtering and categorization, no matter how poorly that is maintained, thats how you block the cgi proxies, via blacklist or categorization. This traffic is still going through your proxy, its just choosing not to filter it.

Using a 3rd party proxy to BYPASS your is different. First of all, I would think you would restrict your users from changing what proxy their browser uses (with windows you can group policy this). But also use the packet filter to block web traffic (pre-configed also includes web proxy traffic on port 8080)from your internal network. The proxy will be the only box that can access the web, and any attempts to bypass it by using another proxy will fail. 3rd party proxies that run on ports other than 8080 shouldn't make it past your packet filter either. Basically the rule that is preconfiged rule that uncludes the Web Traffic Group of protocols should be turned off. You don't want your users accessing the web directly.

So if your packet filter is tight, then no, they will not be able to bypass your proxy via 3rd party proxy.

Since the question was if the ASL HTTP proxy can be defeated by a "External" 3rd party proxy server, I thought the discussion was supposed to reference other, "external" sites, not software installed on the local computer, which would be "internal".

The answer to this is, yes.  Using external websites that you can access through any web-enabled computer behind the ASL HTTP proxy, the content filtering is easily bypased. 

Go to this site:  http://www.udor.org/home.php

( Oddly enough this site is "un-catorized" )

From sites like this, you can go anywhere you want.  No modifications to the browser or ASL required by the user.  

These sites are how our users get by the filters at our school.  I check the logs every so often to see which ones they are using. In fact, I just caught the one above today while in one of our labs.

Tighten your packet filter all you want, it isn't going to make any difference for these types of sites.  As long as these types of sites are not being put in the anonymous proxy category, they will be able to use them unless you explicitly block them with your HTTP profile blacklist.

If you are letting the kids install programs on the computer, then all bets are off.  Give them a "no rights" account and make them use the computer as is, don't let them install anything.

The answer to this is, yes.  Using external websites that you can access through any web-enabled computer behind the ASL HTTP proxy, the content filtering is easily bypased. 

These websites are Web based cgi proxies. My students do this as well and its a daunting task to keep up with them. 

They were also using and external "real" proxy server at one point a few years ago. They would change the IE settings to that instead of using the ASG as the proxy server, they would point to one somewhere else on the net. We quickly killed their ability to change those proxy settings, but also block outgoing web access from everything but the proxy server.