Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6133 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent Proxy, HTTPS, and Exceptions

drobloc
I’m running into some issues with the transparent proxy and HTTPS scanning and have some general questions that I have not been able to find answers to yet. I’m running version 8.203.

From what I understand, because I’m running the transparent proxy, the Exceptions tab under Web Filtering won’t help me and I need to use the Advanced tab to enter in destinations to be skipped. Can I use wildcards in a “DNS host” network definition that will be added to the transparent mode skip box? I’ve tried entering *.dropbox.com, *.logmein.com, and psi.secunia.com, but it hasn’t helped. I also found the network IP destinations for LogMeIn, placed them in a network group, and added them to the list. That didn’t help either. I’m not sure what I’m missing. I just want to exclude some websites and addresses from the proxy all together.

Here is some information from my logs.

2012:01:05-11:12:33 Firewall httpproxy[6092]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.10" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x938ab80" url="91.198.117.248" exceptions="" error="Failed to verify server certificate" 
2012:01:05-11:16:37 Firewall httpproxy[6092]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.10" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x9372cf0" url="91.198.117.248" exceptions="" error="Failed to verify server certificate"
2012:01:05-11:03:19 Firewall httpproxy[6092]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.1.10" dstip="" user="" statuscode="000" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x933f190" url="199.47.217.173" exceptions="" error="" 
2012:01:05-11:03:19 Firewall httpproxy[6092]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x933fa00" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.1.10: 3004250992:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1087:SSL alert number 48 
2012:01:05-11:03:19 Firewall httpproxy[6092]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x933fa00" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.1.10: 3004250992:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:838:

Since the public IP is listed and not the URL, am I required to add the IP to the skip list? I’m not sure why it wouldn’t show the URL.

Thanks for any help in advance.

--------------------

Through more troubleshooting, I found that the service definition I selected was DNS host instead of DNS group. When I created a DNS group for psi.secunia.com, multiple IPs were detected for the hostname. I've added that to the skip list, but will have to check the status when I get home. There are no more log entries for blocked psi.secunia.com though.

I'm still having trouble with *.dropbox.com yet (logs still show block messages). I don't think I can use the wildcard for the DNS group definition. Maybe this can be done somewhere else?


This thread was automatically locked due to age.
Parents
  • 0
    as long as you are using https scanning you are going to have issues.  https scanning effectively creates a man in the middle attack on ssl.  More and more https sites properly detect this and barf.  Eventually you'll have to open up so many ranges for https exceptions you figure it's better to not use https scanning unless you lock https down to only allowing a few sites..then the ranges will be manageable..maybe...since the exceptions mean you are not intercepting the https traffic in the first place.
  • 0 in reply to William Warren
    No one said security is easy, even if Astaro makes it as easy as possible [;)]

    For Dropbox use with transparent https proxy it's easiest to exclude some amazon ip ranges from https scanning - more exact to bypass these ranges through the proxy. I use following amazon IP ranges in the transparent destination skiplist of the proxy with success:

    107.20.0.0/14
    174.129.0.0/16
    174.36.30.0/24
    204.236.220.0/24
    50.16.0.0/16

    These are some of the Amazon IP ranges. At least 2 of them are definately used by dropbox according to my notes. Maybe the others are used by other Cloudservices, or I forgot to add in my notes, that the're also used by dropbox. However - with my transparent HTTPS proxy Dropbox runs fine ;o)

    Hope it helps...
Reply
  • 0 in reply to William Warren
    No one said security is easy, even if Astaro makes it as easy as possible [;)]

    For Dropbox use with transparent https proxy it's easiest to exclude some amazon ip ranges from https scanning - more exact to bypass these ranges through the proxy. I use following amazon IP ranges in the transparent destination skiplist of the proxy with success:

    107.20.0.0/14
    174.129.0.0/16
    174.36.30.0/24
    204.236.220.0/24
    50.16.0.0/16

    These are some of the Amazon IP ranges. At least 2 of them are definately used by dropbox according to my notes. Maybe the others are used by other Cloudservices, or I forgot to add in my notes, that the're also used by dropbox. However - with my transparent HTTPS proxy Dropbox runs fine ;o)

    Hope it helps...
Children
No Data