Anonymous Proxt that uses SSL.

What version of Astaro?  Do you have Anonymizers blocked?

Oops, sorry I didn't leave specs. I'm running 7.306 and I am blocking Anonymizers .

7.401 / 7.402 would allow you to block the SSL sites.  Just make sure you deploy the CA certs on the Astaro to all your clients before enabling HTTP/S scanning.

So.. i would achieve this by enabling HTTP/S Profiles and use a GPO to push out the certs? Would this require proxy modification to IE and Firefox?

That doesn't seem to work on my unit. I just tested it and it is allowed through. Any ideas as to why this would happen?

You are using http proxy and all your traffic is going via proxy and your content filter is enabled? You have anonymous proxies blocked in content filter? And you are still able to get to vtunnel.com?[:O]

The thing is once you block a certain site, it doesn't matter if it is http or https it is blocked even if https scanning is not enabled.

You are using http proxy and all your traffic is going via proxy and your content filter is enabled? You have anonymous proxies blocked in content filter? And you are still able to get to vtunnel.com?[:O]

The thing is once you block a certain site, it doesn't matter if it is http or https it is blocked even if https scanning is not enabled.

[:O]  Any clue why this would occur? It also happens with http://www.proxify.com, https://www.proxify.com. If I try to access proxify non SSL site, the content filter DOES block it. However, when I toss in a s in the url I get to it straight away. This would happen on version 7.306 and the new version that I upgraded to today, v 7.402.



Just a update, I tried adding https://www.vtunnel.com/ to the Additional URLs/sites to block list. It still comes through!?!?!

Here is the thing, if a site is in content filter category, it is blocked. You can put http, ftp, https or anything as long as your http proxy has http ftp and https as allowed services. Https scanning doesn't have anything to do with categorization. 

Look at your packet filter log while you surf to a website, there shouldn't be anything in it if you are using the proxy, if there is http/https traffic, you have a packet filter rule that is allowing some traffic to bypass your http/s proxy.

As a workaround you can try this. Create an account at OpenDNS | Providing A Safer And Faster Internet, its free. Choose the categories that you would like to block under settings. Now under astaro dns, use only opendns.com servers as forwarders. Also make sure that you have a rule to deny any DNS query directly to the internet. All DNS queries should come to astaro. This will block everything for sure.

Billybob, are you certain that the proxy applies the content filter to HTTPS if that is an allowed target service?  I can understand the proxy being allowed to access https, but not that it would pro-actively capture port 443 traffic when in transparent mode.  I've never looked at this possibiity before - are you sure you've seen this behavior?

I just now turned on the Live Log and did some stuff with PayPal.  All the Content Filter saw was my first access to http://www.paypal.com/.  After that, the traffic was invisible to it because I'm in Transparent Mode and have HTTPS scanning disabled.

So, I'm confused.  What am I not understanding?

Cheers - Bob

jburke - what mode is the http proxy in?

It sounds like you have it in transparent mode which will only be filtering port 80 or http traffic. If it was in standard or user auth mode then it would filter like billybob mentioned. The other option is to enable the new https scanning in 7.402.

Bob sorry for not clarifying. If the proxy is in standard mode, all your initial connections are handled by the proxy as long as the service is in allowed services. So the content filter is applied to the url as long as you enter it.

If the link existed on a https page, ofcourse the proxy won't see it but it will filter all the urls entered manually as long as it is in standard mode (probably anything other than transparent would work like this).

jburke - what mode is the http proxy in?

Thanks dilandau, I assumed he was using regular proxy throughout. I bet its transparent proxy. Still nothing that a quick group policy can't fix. Change IE settings for all users to use http proxy in Active directory. Of course it won't work if they are using firefox but its a school and jburke seems to be running it like my old head master.

Have you ticked the box for 'Scan HTTPS (SSL) Traffic' on the 'Global' tab?

jburke - what mode is the http proxy in?

It sounds like you have it in transparent mode which will only be filtering port 80 or http traffic. If it was in standard or user auth mode then it would filter like billybob mentioned. The other option is to enable the new https scanning in 7.402.

I am in Transparent mode.

Have you ticked the box for 'Scan HTTPS (SSL) Traffic' on the 'Global' tab?

[:$] I didn't see that new feature. I ticked the "Scan HTTPS (SSL) Traffic" box and it has blocked the ssl proxy site. [[:D]] The only thing now is, the "Content Blocked" page displays strangely in the browser. Before the site attempts to load a prompt comes up warning the cert is invalid. Once you accept it, the "Content blocked" webpage comes up, there aren't any images displayed. Looks like this. [[:D]] And thank you everyone for helping me out with this!!

Screen shot.jpg

Have you ticked the box for 'Scan HTTPS (SSL) Traffic' on the 'Global' tab?

[:$] I didn't see that new feature. I ticked the "Scan HTTPS (SSL) Traffic" box and it has blocked the ssl proxy site. [[:D]] The only thing now is, the "Content Blocked" page displays strangely in the browser. Before the site attempts to load a prompt comes up warning the cert is invalid. Once you accept it, the "Content blocked" webpage comes up, there aren't any images displayed. Looks like this. [[:D]] And thank you everyone for helping me out with this!!

Screen shot.jpg

Hmmmm.. So, I tried opening https://www.chase.com and got the same warning about the cert, i accepted it twice and chase came up. Is this where the ssl cert from the Astaro comes into play?

Hmmmm.. So, I tried opening https://www.chase.com and got the same warning about the cert, i accepted it twice and chase came up. Is this where the ssl cert from the Astaro comes into play?

Ok.. So I have been playing around here. I noticed Astaro has added a skip cert check in the Exceptions tab under HTTPS/S. Even if I tick Certificate Trust Check and Certificate Date Check, under HTTPS Scanning the broswer still warns of a invalid security cert.

I and still running 7.306 and it blocks based on catagory for both http and https. I am running in Auth mode with Edir, is that why it workes?

Yes. In order to use auth or standard mode you have to point your browser at the Astaro HTTP Proxy.  As Billybob pointed out above, the content filter will be applied to any service listed in 'Allowed Services'.  If you were in transparent mode, the browser would not capture your port-443 traffic, just the port-80 traffic.

Yes. In order to use auth or standard mode you have to point your browser at the Astaro HTTP Proxy.  As Billybob pointed out above, the content filter will be applied to any service listed in 'Allowed Services'.  If you were in transparent mode, the browser would not capture your port-443 traffic, just the port-80 traffic.

So this sounds like a weekend project. I should apply a GPO pointing IE to the Astaro proxy. Then change Operation Mode to Standard and tick the scan SLL traffic and all should be good?

Also add the Astaro certificate to the Trusted Root for the domain.
That will illiminate the security pop-ups for legit SSL sites.

Sounds like a good plan, too.  Probably easier than dealing with the various cert issues now when scanning HTTPS!

Another advantage of pointing the browsers at your Astaro proxy is that you can later turn on Active Directeory authentication and be able to assign users to specific HTTP Profiles based on group membership in Active Directory.  Yet another benefit is that users in Web Security reports are identified by their AD CN instead of by the IP of the accessing computer.

Cheers - Bob