Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 8127 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bug Found with Web Filtering

dhyanesh.mehta
Hello Guys,

 I recently found a workaround to bypass webfiltering rule i created and would like your help if its a bug or can be resolved.

I wanted to block gmail.com i already have blocked gmail chat and that rule is working fine. now for blocking gmail i blocked the Webmail category and also put all the gmail url possible i got from opening gmail into blocked urls category. Now if i access gmail.com diretly its blocked and fine. But there are workarounds for bypassing that rule. I am posting the steps.

 go to Google on the home page right top corner you will see Sign In. Click so you will be taken to sign in page. Give your crdentials then again you will be taken to googl.com page but on left top categories you wil see Gmail. When you click it your gmail inbox opens fine. So eventhough webmail is blocked and all possible gmail urls blocked people can still access gmail fine. I tried to enter those workaround urls also in filter but no success. This does not happen with any other mail like yahoo mail or hotmail.

When i checked the logs i determined 2 things. 1st is Google when signed in converts the url to https from http so Astaro thinking this is a secured traffic allowes it somehow. And 2nd is When i tried that workaround myself and checked the logs, after signing in google puts the url in "Search Engine" Category which is obviuosly not blocked otherwise goolge itself will be blocked which i belive no company will want to do. 

So I would appreciate if yoy guys can also check the steps and if the samething happens with you also and if anyone knows how to takcle this situation so no matter what gmail gets blocked.

Thanks,
Dhyanesh


This thread was automatically locked due to age.
  • 0
    Do you have HTTPS scanning enabled?

    Google changed from using gmail.com for the web site to mail.google.com.  Add that to the Additional URLs/sites to block list.
  • 0
    Hello Scott,
     Thanks for responding. Yes i do have https scanning enabled. Also in additional sites to block i have https://mail.google.comhttps://accounts.google.comhttps://accounts.google.co.in. But still from the steps i told you the site is opening. Not by directly typing the url but from the other way around from going to google.com and doing steps.

    Please let me know any other solution you have.
  • 0
    I just went through your full workaround.  Nothing entered into additional urls to block.  Only blocking the webmail filter sub-category.  Access was blocked.  Tried this on two separate Astaro installs.

    When you log into gmail, is the site address mail.google.com or is it something country specific, like mail.google.co.in?

    Can you post the lines from the log when you are able to log into gmail, but shouldn't be able to?
  • 0
    Hello Scott,

     Yes i have Webmail sub-category selected in the filter and also in additional sites to block i have given few urls i provided earlier.. Now i will give you the exact url doing each steps:
    Going to google: http://www.google.co.in/

    Clicking on Sign in: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https%3A%2F%2Fmail.google.com%2Fmail%2F%3Fhl%3Den%26tab%3Dwm%26ui%3Dhtml%26zy%3Dl&bsv=llya694le36z&scc=1&ltmpl=default&ltmplcache=2&hl=en&from=login

    After giving my credentials i am redirected back to google homepage with my name appears in place of "sign-in" option on right top corner: http://www.google.co.in/

    On that google page clicking on "Gmail" from left corner sub-categories i am taken to my gmail inbox: https://mail.google.com/mail/?hl=en&shva=1#inbox

    These are the urls.
  • 0
    These are the urls
    From each of these, mine blocks perfectly.  Can you please post the lines from the web proxy log from when you are able to log into gmail, but shouldn't be able to?
  • 0 in reply to Scott_Klassen
    Hello Scott,

    I am pasting the text file of Web Filtering Access live log right from the 1st step that is going to google.com. Please go thorugh it and let me know if you need more information from my side.

     I am sorry for pasting here as i tried to attach text file few times but was unable to do so for some reasons.


    2011:09:12-11:14:52 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.50" user="" statuscode="302" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="221" request="0xa25b518" url="www.google.com/.../html" application="google"
     
    2011:09:12-11:14:52 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="200" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="17064" request="0xacfbc10" url="www.google.co.in/.../html" application="google"
     
    2011:09:12-11:14:52 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="204" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="0" request="0xacfbc10" url="www.google.co.in/gen_204
     
    2011:09:12-11:14:52 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="200" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="9517" request="0xacfbc10" url="www.google.co.in/.../javascript" application="google"
     
    2011:09:12-11:14:53 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="204" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="0" request="0xacf7940" url="www.google.co.in/csi
     
    2011:09:12-11:15:14 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="204" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="0" request="0xacfbc10" url="www.google.co.in/gen_204
     
    2011:09:12-11:18:34 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="200" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="18010" request="0xca25e3b8" url="www.google.co.in/.../html" application="google"
     
    2011:09:12-11:18:34 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="204" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="0" request="0xb2b62450" url="www.google.co.in/gen_204
     
    2011:09:12-11:18:34 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="200" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="926" request="0xca25e3b8" url="www.google.co.in/.../get
     
    2011:09:12-11:18:34 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="204" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="0" request="0xb2b62450" url="www.google.co.in/csi
     
    2011:09:12-11:19:11 astaro-india httpproxy[23730]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.x.x.x" dstip="74.125.236.51" user="" statuscode="204" cached="0" profile="REF_puWdwVmvGg (Internet Usage Policy)" filteraction="REF_uSqIlmhcOe (Work Hours)" size="0" request="0xca25e3b8" url="www.google.co.in/gen_204
  • 0
    I would have expected to see an entry for mail.google.com, or did it get cut off during the copy/paste to your last post?
  • 0
    Hello Scott,

     Yes i was also expecting to see that but this is all i could see in the log. In every entry it just says google.co.in and then i belive after / whatever contents comes it does all the processes of opening sign in page and then login and finally inbox.
  • 0
    I don't see any https-urls in your http log. Are you sure you use the proxy for your HTTPS traffic?
    Did you configure the proxy in your browser, or do you use transparent mode?
  • 0
    Hello Scott,

     We are using Transparent mode. We do not have proxy configured for https traffic. Just a question: If you see in the log id="0001" severity="info" sys="SecureWeb" sub="http"...   So evenif the url in the end says Google but in the beginning Secure Web means https traffic. Isnt it? Well when i acess those urls in browsers it the address changes to https://  i do not know why in the log it shows http://. If you want i can send you the screenshot of each steps in the browser.