Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 20619 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need to block some https:// websites, but not all!!!

MathTeacherJill
Looking for help - 

We are using astaro as our firewall and web security at a grades 10-12 High School.  Of course, the students always find a way around.  When we block [/url]www.facebook.com[/url] students type in https://www.facebook.com.  When I checked the settings to block https:// we started getting errors with websites that we need to run the school - our online webmail server, our online gradebook and lesson planners, etc....

Please help me figure out how to block facebook permanently, without impacting other sites we need!

Thanks!!!


This thread was automatically locked due to age.
  • 0
    Do you have Scan HTTPS (SSL) Traffic checked for the HTTP/S proxy?  If all you want to block is this one site, then you can use the Additional URLs/sites to block box.
  • 0 in reply to Scott_Klassen
    Ok this isn't too hard as I understand it... 
    You don't need the SSL Proxy if you just want to block the access to an SSL site; the content filter can do that for you.

    .......REGEX to the rescue.

    In the additional URL's to block (either in your default or profile filter actions)

    add:

    To block all facebook traffic
    =================
    ^https?://[A-Za-z0-9.-]+\.facebook\.com/  
    ^https?://[A-Za-z0-9.-]+\.fbcdn\.net/    
    ^https?://facebook\.com/ 

    Even though you aren't proxy-ing traffic for https the URL filter can filter HTTPS strings because the browser is passing those strings VIA http to initiate the connection and the content filter gets first crack at the data; before the proxy does.




    Now if you would like to allow facebook traffic over http where you can track it but block https where it would be hidden from you and you can't cache it to minimize load etc; AND you don't want to run the https proxy because of all of the hassle it causes with certificates then:

    Add these to the additional URL's to block (not the lack of the "?" and the extra "*)
    ==================================================
    ^https://[A-Za-z0-9.-]+\.facebook\.com/*
    ^https://[A-Za-z0-9.-]+\.fbcdn\.net/*
    ^https://facebook\.com/      

    Then Create a normal HTTP Exception that allow for the login ssl page of facebook to actually work:

    https://www.facebook.com        
  • 0 in reply to ratz



    In general I'm worried that we don't have a good solution yet for SSL as more and more sites go to SSL to protect data; (aka why isn't all web browsing SSL yet) then the harder it's going to be to manage the traffic with Astaro like devices. Swapping in the SSL proxy really doesn't work all that well yet as it breaks so many things that need to work....


    Always weird to quote myself.... but as an aside.

    What would be a nice future enhancement would be if the Exceptions tab changed to an intelligent site profiling tab that would allow both exceptions and additional blocking logic to be had. They we could define things to profile what can and can't be done on a site. You could setup rules for the content filter that were much more like the packet filter rules.

    Aka: 
    1) Allow http access to facebook but not ssl.
    2) Allow people to browse amazon; but not checkout (yes there are legal reasons for that)
    3) Define targeted services port for a site that wants say port 100088

    etc.

    All of that can be done today via packet filters and other things but when focusing on "surf control" it muddies the thought process.
  • 0 in reply to ratz
    As Jill posted first in March I have been asked to block https access to Facebook, http access blocking was easy, and I don't understand where I am supposed to enter the information listed below:

    ^https?://[A-Za-z0-9.-]+\.facebook\.com/ 
    ^https?://[A-Za-z0-9.-]+\.fbcdn\.net/ 
    ^https?://facebook\.com/ 

    I am really new to this firewall so explicit instruction would be welcome.
    Thanks in advance.
  • 0
    Colin:  What version of Astaro are you on?  Over time menu items are added or renamed, so I can't give you explicit instructions without knowing.
  • 0 in reply to Scott_Klassen
    Firmware version: 7.510
    Current pattern version: 22802
    Version 7

    I plan to do the upgrade to the current version as I get used to the system.
  • 0
    WebAdmin>>WebSecurity>>HTTP/S>>Overview Tab.  Make certain that you have "Scan HTTPS (SSL) Traffic" Checked.

    WebAdmin>>WebSecurity>>HTTP/S>>URL Filtering Tab.  "Enter each of the entries into the Additional URLs/sites to block box".  You can do this by clicking the plus sign to enter them one by one, or click on the down arrow to copy and paste multiple entries.
  • 0
    That is where I run into issues. If I select the Scan HTTPS (SSL) Traffic check box other websites that we use daily become inaccessible. Do I have to add them to the allow box?
  • 0
     inaccessible
    Is there a block message, a certificate error, or what?  Keep in mind that I can't see your system or the settings, you have to be my eyes.  [:)]
  • 0
    Sorry about that.

    Even if I add the URL the browser, IE8, gives a warning about the site cert. If I don't add the URL then the users cannot access the site at all. 

    I checked the cert on the sites in question and I think that I see the problem. The certs all say that they were issued by this firewall proxy CA so IE hates them. How do I sort this? The guy who built this before me may have done something incorrectly.