Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6144 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent Proxy, HTTPS, and Exceptions

drobloc
I’m running into some issues with the transparent proxy and HTTPS scanning and have some general questions that I have not been able to find answers to yet. I’m running version 8.203.

From what I understand, because I’m running the transparent proxy, the Exceptions tab under Web Filtering won’t help me and I need to use the Advanced tab to enter in destinations to be skipped. Can I use wildcards in a “DNS host” network definition that will be added to the transparent mode skip box? I’ve tried entering *.dropbox.com, *.logmein.com, and psi.secunia.com, but it hasn’t helped. I also found the network IP destinations for LogMeIn, placed them in a network group, and added them to the list. That didn’t help either. I’m not sure what I’m missing. I just want to exclude some websites and addresses from the proxy all together.

Here is some information from my logs.

2012:01:05-11:12:33 Firewall httpproxy[6092]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.10" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x938ab80" url="91.198.117.248" exceptions="" error="Failed to verify server certificate" 
2012:01:05-11:16:37 Firewall httpproxy[6092]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.1.10" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x9372cf0" url="91.198.117.248" exceptions="" error="Failed to verify server certificate"
2012:01:05-11:03:19 Firewall httpproxy[6092]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.1.10" dstip="" user="" statuscode="000" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x933f190" url="199.47.217.173" exceptions="" error="" 
2012:01:05-11:03:19 Firewall httpproxy[6092]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x933fa00" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.1.10: 3004250992:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1087:SSL alert number 48 
2012:01:05-11:03:19 Firewall httpproxy[6092]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x933fa00" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.1.10: 3004250992:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:838:

Since the public IP is listed and not the URL, am I required to add the IP to the skip list? I’m not sure why it wouldn’t show the URL.

Thanks for any help in advance.

--------------------

Through more troubleshooting, I found that the service definition I selected was DNS host instead of DNS group. When I created a DNS group for psi.secunia.com, multiple IPs were detected for the hostname. I've added that to the skip list, but will have to check the status when I get home. There are no more log entries for blocked psi.secunia.com though.

I'm still having trouble with *.dropbox.com yet (logs still show block messages). I don't think I can use the wildcard for the DNS group definition. Maybe this can be done somewhere else?


This thread was automatically locked due to age.
  • 0
    I'm home and have been able to test the results. Adding the DNS group with hostname psi.secunia.com (2 IPs total) to the skip list worked.

    I had to add even more hostnames for dropbox to work. These are the hostnames I had to add to the HTTPS transparent proxy skip list. There may be more, but adding all of these got it to work.
    v-client-1a.sjc.dropbox.com
    v-client-1b.sjc.dropbox.com
    v-client-2a.sjc.dropbox.com
    v-client-2b.sjc.dropbox.com
    v-client-3a.sjc.dropbox.com
    v-client-3b.sjc.dropbox.com
    I've sent in a support request to see if they can supply all the ranges.

    I'm still trying to get LogMeIn working. I've sent in a support request for a list of their public ranges. Hopefully, I'll get a hold of someone who can help.

    I did find that wildcards in the transparent proxy skip list do not work. I could never use *.dropbox.com unfortunately.

    Google Market on my Android phone still won't connect. I'm not sure if it's a content filtering or if a port(s) needs to be allowed yet. One thing at a time...
    After that... Mozy.com.
    I'll add IPs and hostnames that need to be exempt as I find them. I hope others will be able to benefit from this post.
  • 0
    I think my best bet would be to configure profiles for my wireless network, then I wouldn't have to worry about the HTTPS proxy for my TV, Droid, Apple products, and other Internet ready devices. I'm having to enter in a ton of exceptions, since I can't trust the CA on those devices. I'm not as worried about scanning HTTPS traffic on those devices either (Netflix, Vudu, Amazon, streaming services, etc).

    I do have a question about the profiles though. I'm trying to find out what takes precedence. My wireless network is on a different subnet from wired machines. I want to apply Web Security profiles based on subnet. Do I still need to place all subnets in the Global Web Filtering Settings under the allowed networks or do I remove all networks from that box and create separate profiles for each? I wasn't sure if specifying networks in both locations would cause issues.
  • 0
    as long as you are using https scanning you are going to have issues.  https scanning effectively creates a man in the middle attack on ssl.  More and more https sites properly detect this and barf.  Eventually you'll have to open up so many ranges for https exceptions you figure it's better to not use https scanning unless you lock https down to only allowing a few sites..then the ranges will be manageable..maybe...since the exceptions mean you are not intercepting the https traffic in the first place.
  • 0 in reply to William Warren
    No one said security is easy, even if Astaro makes it as easy as possible [;)]

    For Dropbox use with transparent https proxy it's easiest to exclude some amazon ip ranges from https scanning - more exact to bypass these ranges through the proxy. I use following amazon IP ranges in the transparent destination skiplist of the proxy with success:

    107.20.0.0/14
    174.129.0.0/16
    174.36.30.0/24
    204.236.220.0/24
    50.16.0.0/16

    These are some of the Amazon IP ranges. At least 2 of them are definately used by dropbox according to my notes. Maybe the others are used by other Cloudservices, or I forgot to add in my notes, that the're also used by dropbox. However - with my transparent HTTPS proxy Dropbox runs fine ;o)

    Hope it helps...
  • 0
    Thank you for the replies. I'll add the additional ranges for my dropbox exclusion.

    My main concern for the use of HTTPS filtering is for blocking websites categories. I want to make sure users can't tag on an (s) to get to https://www.proxify.com. Is there another way to achieve this without enabling the HTTPS proxy? I’ve thought about using it in conjunction with the OpenDNS content filtering, but I’d rather stick to just using Astaro. Sonicwall has very limited HTTPS content filtering by doing a reverse lookup of the IP to see if the hostname falls within a blocked category. There is a high amount of error, allowed content, and false positives with this, but it is better than nothing. Any suggestions?
  • 0
    keep in mind if you use opendns on your asg you severely reduce the effectiveness of anti-spam as the anti-spam vendors do NOT accept dns queries from public dns providers.
  • 0
    Thanks William. I didn't know that about the anti-spam. So the only way for me to prevent users from changing to HTTPS to bypass content filtering is to keep the HTTPS proxy enabled? I'll need to keep adding to my ever growing exclusion list then. (I wish the exclusion box was larger and that I could use regular expressions with URLs.)
  • 0
    yeppers the list will always grow as more and more websites/applications break using https scanning.
  • 0 in reply to drobloc
    Thanks William. I didn't know that about the anti-spam. So the only way for me to prevent users from changing to HTTPS to bypass content filtering is to keep the HTTPS proxy enabled? I'll need to keep adding to my ever growing exclusion list then. (I wish the exclusion box was larger and that I could use regular expressions with URLs.)


    Hello William

    The skiplist is for transparent proxy only, because it's host based.

    If you switch to standard mode, the ecxclusions are done via exceptions, where you also can use regex in URLs. This makes exclusions often easier, especially for applications as payment tools or similar....

    Sascha

    Sent from my iPad using Astaro.org (finally got One)
  • 0
    I just got this list from dropbox support. I am amazingly happy that my first support request granted so much information! That doesn't happy very often!
    --------------------
    Here are the list of IPs and /24 IP blocks used by Dropbox as of 07/22/11 (please notice the /22 block at the beginning):
    199.47.216.0/22
    184.73.211.0/24
    174.129.27.0/24
    50.19.85.0/24
    50.19.109.0/24
    174.129.223.0/24
    50.17.185.0/24
    174.129.219.0/24
    50.16.206.0/24
    174.129.209.0/24
    174.129.208.0/24
    50.16.202.0/24
    174.129.207.0/24
    174.129.203.0/24
    174.129.224.0/24
    174.129.226.0/24
    174.129.221.0/24
    174.129.206.0/24
    50.16.209.0/24
    174.129.222.0/24
    50.17.246.0/24
    184.72.255.0/24
    50.17.245.0/24
    50.17.243.0/24
    50.17.241.0/24
    50.17.248.0/24
    174.129.225.0/24
    50.19.96.0/24
    50.19.116.0/24
    50.19.117.0/24
    50.19.98.0/24
    75.101.147.0/24
    204.236.220.0/24
    50.16.211.0/24
    50.16.212.0/24
    50.16.213.0/24
    174.129.220.0/24
    174.129.218.0/24
    50.16.210.0/24
    174.129.205.0/24
    174.129.210.0/24
    174.129.211.0/24
    50.16.208.0/24
    50.17.244.0/24
    174.129.196.0/24
    174.129.195.0/24
    174.129.217.0/24
    Of course, the Dropbox IPs are subject to change as servers are added and removed, or as maintenance occurs. We recommend you simply whitelist *.dropbox.com if at all possible.
    --------------------