Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 9591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Face book blocking, through Application Control..

vivekrajput
Hi...

I want to know, if i am blocking facebook or any encrypted traffic via app control, Is it must to scan https traffic in web proxy...?? if yes, then what is the benefit of app control..?? i can do this via web proxy also..!!


This thread was automatically locked due to age.
Parents
  • 0
    It is the same thing.  Imagine that there was an IPsec VPN between your PC and a remote computer.  When the traffic passes through the Astaro, it only sees that the traffic between your PC and the remote computer is IPsec - it can't see what is in the IPsec "tunnel".  This is the same thing that happens when your browser uses HTTPS instead of HTTP - unless you choose 'Scan SSL', the Astaro only sees SSL traffic, and everything inside the SSL "tunnel" is scrambled and unidentifiable.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob and Scott, I understand the layer 7 implementation in astaro and believe me its awesome compared to complicated http proxy rules we had to setup. Just the way app control works in QoS has made me into a believer. 

    However I understand the point vivek is trying to make. A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work. I believe that when you setup a block for facebook via application control, facebook should be blocked no matter what protocol otherwise the app control is useless. I know its not simple to set this up where the firewall is scanning https traffic even when not asked explicitly but I see his logic behind this.

    Regards
    Bill
    Edit: Too bad a lot of layer7 stuff was stuffed right at the end of the beta, more testing would have been great.
  • 0 in reply to Billybob
    @Vivek, some of this behavior was documented in the beta. I am sure as astaro matures further with L7 classification, all this will be finessed.

    Here are a couple of threads mentioning L7 not working with ipv6 and https

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71114

    and 
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70797 although utm-kid thinks it has to do with his HA system, its https protocol thats the culprit.
  • 0 in reply to Billybob
    A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work.


    Full ACK. From an casual admin's point it would be very usefull if asg can inspect even SSL encrypted traffic for applications signatures. Such a feature would make admin's life much easier.
Reply
  • 0 in reply to Billybob
    A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work.


    Full ACK. From an casual admin's point it would be very usefull if asg can inspect even SSL encrypted traffic for applications signatures. Such a feature would make admin's life much easier.
Children
No Data