Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3280 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Designing a Structure for HTTP with Profiles

BAlfson
There seems to be a lot of confusion about the use of Profiles with the HTTP Proxy.  I wanted to start a thread on what one should have in mind when approaching this.

If you haven't already downloaded and read the related Knowledgebase document 293192 ("HTTP Profiles Guide"), you should.  The quotation below is from that document.
-------------------------
The HTTP proxy can be configured to apply globally to selected networks. Alternatively, you can create individual proxy profiles that can be used to enforce various security policies to be applied to different segments of your network. That way you can define different content filtering policies for the various departments within your organization, even with varying user authentication methods. 


At present, only one profile can be applied to a given group in a given subnet, although the profiles are processed sequentially, so a smaller subnet or group within a larger one could have a different profile if placed before the more-inclusive one.  For example, in a larger organization, the profile for sales managers would be placed before the profile for sales reps.  Also, the profile for a 10.10.10.128/29 subnet obviously would have to be before one for 10.10.10.0/24.

Inside the Proxy Profile, individual filter assignements are processed sequentially until one matches, so, here too, more-specific assignments must be above ones that apply more broadly.  The filter assignment for 8am to 9am must appear above the one for 7am to 11am.  In a school, the filter assignment for teachers would go before the one for students.

The only "global" items are the 'Web Security >> HTTP' Exceptions which are processed prior to the Profiles.  Although you can create whitelists with Exceptions, there are no blacklists that can be shared between profiles, but I'm not convinced that it makes sense to try to do otherwise.

Authentication with the HTTP Proxy works only if the users' browser is manually set to speak to it, so be aware that someone will have to make that change in every PC.  The instructions to do so are straightforward, but we all know not everyone can follow them.

Please offer other design considerations that I've missed and any critiques or questions about the above.  Where would you start designing a structure for an organization?

Thanks for your thoughts - Bob


This thread was automatically locked due to age.
Parents
  • 0
    Tickling this thread back to the top to try to get some discussion. - Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sounds like a good idea, I know when I helped someone setup the content filter, it was kind of confusing.

    Barry
  • 0 in reply to BarryG
    I believe that global blacklists are important.  We manage firewalls with up to eight profiles, and whenever there is a change, we have to do it for each.  Because we cannot bulk add, a change of 4 items for example involves 32 manual additions.  Not good.  If we can have a global whitelist, why not a global blacklist?
  • 0 in reply to BangkokBob
    BangkokBob, I wonder if the decision to not offer bulk blacklist entry wasn't done purposely to stimulate everyone to use the categorization byTrusted Source.  It would be easy for Astaro to include importing such lists in the upgrade from 6.3 to 7, but that is still not supported.  It would have been easy to have exceptions include blacklists as well as whitelists, but that's not supported.

    I just took a look at two different customers, each with about 100 employees.  One upgraded to V7 in September 2007, the other upgraded last September and added Web Security for the first time.

    The first has an extensive whitelist left over from V6; out of over 60 domains, only five (5!) really need to be there.  These are customers or prospects involved with Indian gaming (Gambling).  Their blacklist consists of three sites, two of which would be unnecessary if they chose to block Social Networking.

    The other has three in 'Always Allow' that wouldn't have been blocked anyway.  They have an Exception named "Whitelist" with a dozen sites, only one of which would have been blocked anyway.

    I suspect that the unnblocked sites were added to the whitelist because one person complained when their first try was blocked.  We've gotten into the habit of trying a second time, and that usually solves the problem.  I've never thought to look to see the reason for the first block.

    Do you find that you really need large lists, or is this just the habit that we've all had for so long?

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I have to agree with BangkokBob that global blacklists are important because I need to  block some sites that belong to some Categories (which are allowed) but without global blacklist I have to manually add these sites for each profile
Reply
  • 0 in reply to BAlfson
    I have to agree with BangkokBob that global blacklists are important because I need to  block some sites that belong to some Categories (which are allowed) but without global blacklist I have to manually add these sites for each profile
Children
  • 0 in reply to techuser
    Bob, an awful lot of Thai sites are not categorised, nor does anyone really expect them to be.  I appreciate your comments about the effectiveness of the newer categorisations, however the best way for us to manage is by black lists.  Logically, it is a sound approach to have this capability, and we should also have a way to handle bulk loading of addresses.

    If things were going to be clever, perhaps the system could advise on status of these entries on a report basis?  Perhaps we could run a report on any of our white or black lists and get a status from the surf engine?  Now I think of this, it could be a useful thing, enabling us to reduce the items on the black list when we see they are categorised as we want.
  • 0 in reply to BangkokBob
    You  can register with TrustedSource for free.  You can bulksubmit a text file with up to  100 URLs or domains at a time.  

    You can suggest up to three categories for a given URL/domain.  Within five to ten hours, each is categorized.  I experimented with submitting eight sites at about 7am my time one day last week.  All were categorized by 4pm the same day.  Some were categorized as I had suggested.

    Here's the advantage.  Once you have chosen which categories to block and allow, turn on the 'Block uncategorized'.  Only the admin of an Astaro can modify black and white lists, but anyone can submit an uncategorized URL to TrustedSource.  Now, the admin only needs to do whitelist maintenance in a few, limited cases, not everytime some new website is created.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Currently we don't use profiles, we just use the following:

    Web Security, HTTP, Global HTTP settings
    Allowed networks: Internal Network
    Operation mode: eDirectory SSO
    User/Group = users, mapped to an edirectory group with users that can access the internet

    Under 'Content Filter'
    we block several categories

    Now we need to make exceptions for a few users to get to some of the blocked sites without giving that access to everyone

    So I'm looking at HTTP profiles

    I created a new group containing the users that need access to some of the blacklisted sites - everyone else should stay the same as we are now

    My first question is...
    is there a chance I could disable users access to the internet while setting up profiles, filter actions, and filter assignments?
    Normally I would hold something like this until the weekend, but there is a lot of pressure to get this working.

    can I just setup a profile for the users needing more access, and have everyone else just go to default? I'm assuming when it says default that it is referring to the settings I have setup under 'Global HTTP settings'

    Can I have a user in more than one group or will that cause problems?
  • 0 in reply to smoke455
    just answering my own questions...
    - no one got disconnected while I added profiles
    - I just added a profile that gets the exceptions, eDirectory SSO to the group I want to have those exceptions and it worked. Users that aren't in that group are still using the Global HTTP exceptions
    - I do have users in more than one group and no problems so far...
  • 0 in reply to smoke455
    The help files say that for SSO AD auth, only IE is supported.

    Has anyone had issues using Firefox?

    Is there any way to auto configure Firefox via network policies?