Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 9578 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Face book blocking, through Application Control..

vivekrajput
Hi...

I want to know, if i am blocking facebook or any encrypted traffic via app control, Is it must to scan https traffic in web proxy...?? if yes, then what is the benefit of app control..?? i can do this via web proxy also..!!


This thread was automatically locked due to age.
  • 0
    There isn't much to discuss, since we don't have access to the source code, nor will others who post here as this is, for the most part, a user-to-user forum.  

    I've not been able to find the signature database that AppControl uses.  I did find the AppAccuracy information for upload to Astaro that they can use to create new signatures and it does appear to have behavioral data in the form of full packet information.

    From what I see, it is working based on signatures.  It's a matter of what is in the signatures.  For a web-based application (web site), even if it is blocking based on a URL in the signature, this would still be layer 7 compliant, as HTTP exists at layer 7 in the OSI model.
  • 0 in reply to Scott_Klassen

    From what I see, it is working based on signatures.  It's a matter of what is in the signatures.  For a web-based application (web site), even if it is blocking based on a URL in the signature, this would still be layer 7 compliant, as HTTP exists at layer 7 in the OSI model.


    correct.

    vivekrajput, how do you expect layer 7 filtering to work for SSL/TLS encrypted connections? There is a reason that TLS is called Transport Layer Security: Everything above layer 4 is encrypted.
  • 0 in reply to ulmi
    correct.

    vivekrajput, how do you expect layer 7 filtering to work for SSL/TLS encrypted connections? There is a reason that TLS is called Transport Layer Security: Everything above layer 4 is encrypted.


    I except layer 7 filtering should work on applications signature. Does not matter we are scanning https(encrypted) or not..!!!
  • 0
    Vivek, doesn't it make sense that you cannot compare a signature to encrypted traffic?

    Cheers - Bob
  • 0 in reply to BAlfson
    Vivek, doesn't it make sense that you cannot compare a signature to encrypted traffic?

    Cheers - Bob


    Hi Bob,

    I was missing/waiting for your comment..!! Please explain me, difference between layer 7 blocking and Application signature based blocking..??
  • 0
    It is the same thing.  Imagine that there was an IPsec VPN between your PC and a remote computer.  When the traffic passes through the Astaro, it only sees that the traffic between your PC and the remote computer is IPsec - it can't see what is in the IPsec "tunnel".  This is the same thing that happens when your browser uses HTTPS instead of HTTP - unless you choose 'Scan SSL', the Astaro only sees SSL traffic, and everything inside the SSL "tunnel" is scrambled and unidentifiable.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob and Scott, I understand the layer 7 implementation in astaro and believe me its awesome compared to complicated http proxy rules we had to setup. Just the way app control works in QoS has made me into a believer. 

    However I understand the point vivek is trying to make. A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work. I believe that when you setup a block for facebook via application control, facebook should be blocked no matter what protocol otherwise the app control is useless. I know its not simple to set this up where the firewall is scanning https traffic even when not asked explicitly but I see his logic behind this.

    Regards
    Bill
    Edit: Too bad a lot of layer7 stuff was stuffed right at the end of the beta, more testing would have been great.
  • 0 in reply to Billybob
    @Vivek, some of this behavior was documented in the beta. I am sure as astaro matures further with L7 classification, all this will be finessed.

    Here are a couple of threads mentioning L7 not working with ipv6 and https

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71114

    and 
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70797 although utm-kid thinks it has to do with his HA system, its https protocol thats the culprit.
  • 0 in reply to Billybob
    A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work.


    Full ACK. From an casual admin's point it would be very usefull if asg can inspect even SSL encrypted traffic for applications signatures. Such a feature would make admin's life much easier.
  • 0
    Bill, if the Astaro is to examine encrypted traffic, doesn't it have to do a man-in-the-middle decyption/encryption in order to see the L7 content?  How is that possible without the hassle of the same configuration necessary to set this up in the HTTP/S Proxy with the 'Scan HTTPS (SSL) Traffic' box checked, Exceptions created, CAs up/downloaded, etc.?  I don't understand how it could "just work."

    That said, I'm the first to admit that there's a lot I don't know!

    Cheers - Bob