Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4998 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UltraSurf and Proxies ?!?

Sami Alio
Hello All
i have ASG120 , i want to block some employess from using facebook.com
i could create a web filter
but they can access this website by using proxy or using Ultrasurf program to be over my network and access the net !

is there any way to force my employees on my policy and ban them from using proxy or ultrasurf program ??


thanks in advance


This thread was automatically locked due to age.
  • 0
    Hey Im an IT admin for a ford dealership and had the same issue but with hotspot shield.

    This is what I did.

    I implemented group policy thru my server so they couldnt do squat on the computers other than use internet explorer, and a few other apps. It is configured so they are locked out of changing any settings, using the cmd prompt, using the run command. They don't have access to the cd or usb drives so they cant bring it in from home.

    THAT eliminated the hotspot shield from getting on the computers (same thing as ultra surf).

    I then made a filter that blocks all sites but the sites that are work related that I manually put in there.

    I then installed the HTTPS certificate under the trusted root cert folder, and turned on the HTTPS monitor, so say if they were to go httpS://facebook.com instead of Willkommen bei Facebook... they would still get blocked. When they add the S onto http, it makes it a secured "tunnel" that a regular http content filter can't monitor.

    I also make it a habit to randomly go around to the computers during the day and do audits- just look and see what is in the computers, and i will open astaro and review logs while at it to just make it a point to let people know that they are being monitored.

    At one point when I didnt have the CD drives locked down, they were ripping CDs to the HD, and I found out thru a random audit I did at night, and I took everything and deleted it. I told them that the GM said these computers are work computers, not personal computers... bring in a radio and if you dont like that, hit the road b/c you are making my job a nightmare.
  • 0
    sweet - i wish the mgmnt here had enuff balls to back me up with a strategy like yours - jealous!
  • 0 in reply to Kingbuzzo
    My gm told me to basically go to town and LOCK IT DOWN.

    He recently laid it to the salesmen here that we can see anything they do on the computers and when they do it.

    Plus with the group policy, I am the only one who can install stuff, so I know it is done right and i know what is on each computer.

    When I initally locked it down me and the gm were laughing our butts off b/c people were complaining that they couldnt go to facebook or get online radio.

    Too bad sooo sad [:D]
  • 0
    oh yes- forgot to mention- ultrasurf/hotspot shield makes the computer very vulrnable to viruses b/c any computer i found with hotspot on it was screwed up.
  • 0
    Thanks You all
    But i found an eaiser answer 
    I could enable Scan HTTPS (SSL) Traffic and thats block Ultrasurf 
    and all proxies my employees could put
    but in the same time , they block messengers also like MSN cause it depends on 443 Port
    Any idea of blocking Ultrasurf only ???


    regards
  • 0
    perhaps add an SSL-scanning-exception for the MSN servers?
  • 0
    Sami, if you want to control tightly like Mikeweymer does, you will want to use one of the non-transparent modes instead of "Transparent" as it appears you now are doing.  If you have Active Directory, then try: https://support.astaro.com/support/index.php/User_Contributed:HTTP/S_Proxy_Access_with_AD-SSO

    When in a non-transparent mode, the users' browsers are pointed at the Astaro proxy, and the proxy takes care of the services listed in 'Allowed target services' on the 'Advanced' tab.

    In "Transparent" mode, the other services go via a packet filter rule, and only HTTP is "captured" by the Proxy (and HTTPS if you select 'Scan HTTPS (SSL) Traffic' on the 'Global' tab).

    If you want to leave SSL-scanning in place and just continue to use the Transparent mode, then you'll want to load the Astaro SSL cert into each client PC.  Go to the Astaro KnowledgeBase and search on: https scanning

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Please I still need your help

    I activated HTTPs scanning but niether Gmail or hotmail could open without a certificate , i installed it but still the same ! [:(]

    beside my employees are still using some proxies on specified ports like 3128 / 443 / 8080 / 9090 and they can be able to open facebook , ...
    So please
    Any one have a solution to block facebook , URL List for ever even if they use proxy or ultrasurf ???


    Thanking you in advance
  • 0
    Create a zone on your internal dns sever called facebook.com and set all records to 127.0.0.1 [:)]
  • 0 in reply to Sami Alio
    Please I still need your help

    I activated HTTPs scanning but niether Gmail or hotmail could open without a certificate , i installed it but still the same ! [:(]

    beside my employees are still using some proxies on specified ports like 3128 / 443 / 8080 / 9090 and they can be able to open facebook , ...
    So please
    Any one have a solution to block facebook , URL List for ever even if they use proxy or ultrasurf ???


    Thanking you in advance


    Block the Anonymizers and Anonymizing Utilities. install the certificate via mmc (instructiojns on the forum).block the site and the ip subnet for facebook (under the  Additional URLs/sites to block)