Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1675 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

v7.303 HTTP proxy in standard mode leaks

RFCat_vk_01
Hi,
 I was always under the impression that when the HTTP proxy was enabled it picked up web traffic before it got to the packet filter.

I have my HTTP proxy in standard mode and without the proxy being enabled in the web browser the traffic is passed by the packet filter into the internet.

I am currently using a build from the 7.302 ISO with the 7.303 update applied.

This to me would appear to be a security bug.[:@]

Ian M[8-)][:O]

In this situation you don't need any bypass rules or other sophisticated HTTP proxy management functions, just turn off the proxy in the web browser. I am using Firefox 3.0.1.


This thread was automatically locked due to age.
  • 0
    Did you check your packet filter rules?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    make usre you don't have http allowed in the packet filter.  Otherwise when you turn off the proxy it would be blocked.  it could be that the proxy is still on even thought it's showing off.  try rebooting the firewall to see if that clears it up.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    There is no "leak" inherent in Version 7.303.  If you have a packet filter defined that includes HTTP traffic, and are running the HTTP Proxy in Standard mode, if the client is not configured to use the proxy, the client will access the internet via the packet filter rule you defined.  If you run the proxy in transparent mode, then it will intercept any traffic that has a service defined under the advanced properties of the Proxy.  This is as designed, and is more an issue with misconfiguration than anything else.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    I found the issue by turning on the packet filter logging to see why when I turned off the http proxy on my PC I could still access the internet.

    The packet filter rule is internal-> 1030:65535-> any-> allow. Now to me that isn't allowing port 80 out. From memory previous tests on earlier versions of ASG using this rule and turning the proxy off did not allow the user access to the internet. To me this is a security weakness in that a user can easily bypass any form of checking by turning the proxy on their PC off.

    Ian M

    It was either faulty before and has now been fixed or is faulty now.

    I have a number of applications that don't use a proxy config and each time I needed to download updates I had to open the ASG with temporary allow everything rules. I thought the application owners had fixed them because they now download without me changing the firewall.[:S]
  • 0 in reply to RFCat_vk_01
    Ian, what about 'External -> ??? -> Internal (Network) : Allow' filter rules?  It's the inbound port 80 traffic on the External interface that the HTTP Proxy manages.  On a perimeter Astaro, I always create a packet filter rule 'Internal (Network) -> Any -> Any : Allow'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    rfckat... I tested this on 3 different systems, none behaved as you describe... it must have been a momentary issue with your particular system.   These were all 7.303 systems.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Thank you all for your responses.

    On deeper investigation the packet filter rule is wrong. It should be 
    internal -> 1:65535-> 1030:65535 -> external -> allow
    with additional filters to allow specific protocols below 1030 out and specific bypass proxy rules. With more rules for 8080 block.

    Ian M[[[:)]]][[[:)]]][[[:)]]]