Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 7575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Encryption Error Using Mozy Backup

bjamin82
I am using Astaro in Transparent mode. I have installed the certificates on the desktop and windows update is working. However, when I try and use Mozy Backup, I get an encryption error. I know this is being caused by Astaro but I haven't been able to figure out why.

Anyone have any thoughts?

Thanks


This thread was automatically locked due to age.
  • 0
    The astaro probably is the least likely place for that, but for me security is about minimizing risks. That means your online banking stuff should not be cached anywhere.
  • 0 in reply to BAlfson
    Create a packet filter rule 'Internal (Network) -> Web Surfing -> Internet : Allow'.  Now, if that lets you use Mozy, you have several choices:
    • Continue to use the proxy for HTTP only.
    • Enable SSL Scanning and put Mozy into the 'Transparent mode skiplist' on the 'Advanced' tab.
    • Put the proxy into "Standard" mode, point your browser at the IP of "Internal (Address)" on port 8080 and tell your browser to skip the proxy for local IPs.  Also tell it to skip Mozy if you enable SSL scanning

    Cheers - Bob
    PS The last option is the most-secure, plus, if ever you plan on using one of the Authentication modes (shows user names in the HTTP log and in the reports), you have to do the same thing with your local browser settings.


    Here is the issue I have using the proxy configuration of the browser... Small office, all laptops, they take them home, and obviously the config doesn't work. I can't use automatically detect since there is no domain for auth and/or GPO for the settings to be automatically detected. Thats why I had to go with transparent. Less administration. I have SSL Scanning enabled, and everyone has the certificate authority installed. The first ever issue i had was with mozy. 

    If there is an easier way to do what I am doing I am all ears, but at the time, this seemed like the only option lacking a Domain.
  • 0
    That's a valid concern, and it's the reason for the new 'Proxy Auto Configuration' section on the 'Advanced' tab.  I first played with this last week, and it works great.  Here's the PAC we're using internally (I've changed the IP range):

    function FindProxyForURL(url, host) 

     if (isInNet(myIpAddress(), "10.20.30.0", "255.255.255.0")) 
      return "PROXY 10.20.30.1:8080"; 
     else 
      return "DIRECT"; 
    }


    Cheers - Bob
  • 0 in reply to BAlfson
    That's a valid concern, and it's the reason for the new 'Proxy Auto Configuration' section on the 'Advanced' tab.  I first played with this last week, and it works great.  Here's the PAC we're using internally (I've changed the IP range):

    function FindProxyForURL(url, host) 

     if (isInNet(myIpAddress(), "10.20.30.0", "255.255.255.0")) 
      return "PROXY 10.20.30.1:8080"; 
     else 
      return "DIRECT"; 
    }


    Cheers - Bob


    Where is the new "Proxy Auto Configuration" section?
  • 0
    On the 'Advanced' tab of 'Web Security >> HTTP/S'.  If you aren't yet at 7.504, you'll need to Up2Date to it.

    Cheers - Bob
  • 0 in reply to BAlfson
    On the 'Advanced' tab of 'Web Security >> HTTP/S'.  If you aren't yet at 7.504, you'll need to Up2Date to it.

    Cheers - Bob


    Wow.. okay, I haven't updated it yet. So by doing this, having it on auto detect will pick up these settings? Also, will I have to keep https scanning on by using this type of configuration?
  • 0
    Barkas, as Sascha Paris pointed out on my suggestion on the features site, there already is a checkboix in the caching section on the 'Advanced' tab that must be checked to include HTTPS caching.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, I am surprised to see you think that SSL should not be enabled.
    True about banking sites etc. however the biggest reason (and I hope this is happening) would be to block malware from communicating with home base.

    My understanding of the current malware world and where it has been for a while is that the more sophisticated malware use SSL to communicate with "home base", thats why I say SSL scanning SHOULD be enabled.  

    A few things could happen with SSL scanning and malware:

    Most likely, the secure channel will fail unless the malware is using the local machine's certificate repository.  If it fails, you have either already stopped it or (assuming its failover model is to use unencrypted communications) you should be able to see the traffic and stop it. (providing you know about that particular strain of malware)
    If the malware uses the certificate repository and therefore accepts the Astaro being in the middle, you can still decrypt the traffic and see that its malicious...

    Curious what your thoughts on this matter are...
  • 0
    Jamie, I agree that it's safer to use SSL scanning.  I think that it's more difficult for a lot of Admins to align the stars to do it, that's all.  In fact, I'm definitely in favor of getting rid of the generic 'Internal (Network) -> Web Surfing -> Internet : Allow' rule, as that is the way most malware gets their messages out.

    To do that, the Proxy needs to be in a Standard mode, and the users are unable to reach the web unless they have their browser pointed at the Proxy on port 8080.  In this case, the Proxy handles all of the browser requests for Services listed in 'Allowed target services' on the 'Advanced' tab - including HTTPS.  If Unclassified sites are not allowed, I doubt that any malware could communicate with home base.

    So, I'm curious, too!

    Cheers - Bob
  • 0 in reply to jamiebah
    Bob, I am surprised to see you think that SSL should not be enabled.
    True about banking sites etc. however the biggest reason (and I hope this is happening) would be to block malware from communicating with home base.

    My understanding of the current malware world and where it has been for a while is that the more sophisticated malware use SSL to communicate with "home base", thats why I say SSL scanning SHOULD be enabled.  

    A few things could happen with SSL scanning and malware:

    Most likely, the secure channel will fail unless the malware is using the local machine's certificate repository.  If it fails, you have either already stopped it or (assuming its failover model is to use unencrypted communications) you should be able to see the traffic and stop it. (providing you know about that particular strain of malware)
    If the malware uses the certificate repository and therefore accepts the Astaro being in the middle, you can still decrypt the traffic and see that its malicious...

    Curious what your thoughts on this matter are...

    any properly implemented SSL system should detect the MITM of the astaro and fail anyway.  Mozy is but one example of this.  The best thing to do is use the same philosophy the firewall does..block by default..not the other way around.