Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 968 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Questions

simulant
I'm trying to test the Web Security functionality of the Astaro as a possible replacement for our 3rd party device but it's a bit tricky since the Astaro is already our production firewall.

I can't pull the switch completely and do serious testing until the weekend but I was wondering if I could get few things clarified:

1.) In standard proxy mode, does the Astaro still pass unfiltered web traffic if a browser is not configured to use it as a proxy?   Or must all external web traffic go through the proxy?  If the latter, is there a way to configure exceptions? 

2.) I briefly tested AD SSO w/standard mode proxy last night (forgetting to answer my first question)  and noticed that if I specify groups as able to bypass blocking, they are prompted for a password to do so.  Is there a way to make this automatic?  They've already been identified and authenticated vi NTLM (I think).


TIA


This thread was automatically locked due to age.
Parents
  • 0
    I can attest to the first question being that if they're not set to go through the proxy (I have certain groups configured through GPO to use the proxy and others now) they just use the transparent/default web filtering.  The groups I need to track/offer tighter security on or special exemptions all get the GPO enabling the 

    As to the second question... Are you wanting it to not prompt them for their password?  They would click the bypass button and it would just let them through?  I don't think it works like this now but someone smarter than I may be able to tell you otherwise.  

    An operating consideration came to mind on your second question if the scenario I presented is what you are indeed looking for.  I think I would want the password and here is why: Bob hates Sally.  You block **** and tell everyone it is a terminable offense for going to it.  Every day when Sally gets up from her desk to go to the bathroom or take a break, Bob goes to Sally's desk and goes to some random smut sites using the bypass under her account.  Sally ultimately gets fires because she seemingly does this every day.  If there was a password, Bob couldn't set up Sally like this.  Does that make sense?  Could save you from some employment liability down the road.
Reply
  • 0
    I can attest to the first question being that if they're not set to go through the proxy (I have certain groups configured through GPO to use the proxy and others now) they just use the transparent/default web filtering.  The groups I need to track/offer tighter security on or special exemptions all get the GPO enabling the 

    As to the second question... Are you wanting it to not prompt them for their password?  They would click the bypass button and it would just let them through?  I don't think it works like this now but someone smarter than I may be able to tell you otherwise.  

    An operating consideration came to mind on your second question if the scenario I presented is what you are indeed looking for.  I think I would want the password and here is why: Bob hates Sally.  You block **** and tell everyone it is a terminable offense for going to it.  Every day when Sally gets up from her desk to go to the bathroom or take a break, Bob goes to Sally's desk and goes to some random smut sites using the bypass under her account.  Sally ultimately gets fires because she seemingly does this every day.  If there was a password, Bob couldn't set up Sally like this.  Does that make sense?  Could save you from some employment liability down the road.
Children
  • 0 in reply to mrwebguy
    I can attest to the first question being that if they're not set to go through the proxy (I have certain groups configured through GPO to use the proxy and others now) they just use the transparent/default web filtering.  The groups I need to track/offer tighter security on or special exemptions all get the GPO enabling the 


    Thanks for the reply.
    So, transparent filtering is still functional when in Standard mode?  Does the transparent mode skiplist still work?


    An operating consideration came to mind on your second question if the scenario I presented is what you are indeed looking for.  I think I would want the password and here is why: Bob hates Sally.  You block **** and tell everyone it is a terminable offense for going to it.  Every day when Sally gets up from her desk to go to the bathroom or take a break, Bob goes to Sally's desk and goes to some random smut sites using the bypass under her account.  Sally ultimately gets fires because she seemingly does this every day.  If there was a password, Bob couldn't set up Sally like this.  Does that make sense?  Could save you from some employment liability down the road.


    You have a point however none of the people who are allowed to bypass are likely to be fired for that anyway.    As it is now, they have full web access and I need to keep it that way without requiring them to login every time they
    Need to surf outside the lines.   How often do they need to re-login?  I think I read somewhere that it was cached for 15 mins?  Adjustable?
  • 0 in reply to simulant
    So, transparent filtering is still functional when in Standard mode?  Does the transparent mode skiplist still work?



    From what I have seen, that's correct.


    You have a point however none of the people who are allowed to bypass are likely to be fired for that anyway.    As it is now, they have full web access and I need to keep it that way without requiring them to login every time they
    Need to surf outside the lines.   How often do they need to re-login?  I think I read somewhere that it was cached for 15 mins?  Adjustable?


    Understood.  I can think of some instances where this would be necessary.  
    I thought it was for as long the browser window they logged in with was open, it was valid.  That may have changed in a later version since we implemented that.  I would defer to someone who more current experience with that to answer it definitively.  We removed bypass capability to all but a top tier of our user base about a year ago and have employees launch support tickets with the site they're trying to go to for evaluation.  We can usually turn around an unblock in a few minutes if we're not loaded with tickets for the day.

    Sorry I can't be more help on that.
  • 0 in reply to mrwebguy
    I don't think that when proxy is in standard mode the transparent mode is still active (the other way round it's working - 'if in transparent mode port 8080 still can be used').

    Maybe you bypass the proxy by firewall rules in standard mode if a browser or an other program has not set the proxy.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Disclaimer: I am still learning this so keep that in-mind! [:)]

    I have been playing around with a UTM 220 w/ Full Guard for over a month now, and have a software installation w/ the Free F/W as my DG right now. I wanted to make sure I have everything (or at least a good portion) figured out and working before using the UTM 220 as my DG. 

    Short answer to question 1: Web Traffic will still pass if the browser is not configured to use the Proxy.

    Long answer: I have setup several profiles and one of them is set as transparent (I also have PF rules to let web traffic out). I have been running tests that show if I do NOT match the rules in #1 (Which is using Standard w/ None) I follow rule #2 (which is using Transparent w/ None) I have (for testing only) enabled Nudity on the global filter rule and disallowed it in rule #2. The results are I am able to access a questionable site with the computer with the proxy set, but I am blocked to said questionable site using a computer that does not have the proxy set.

    I am still playing around these settings to gain a better understanding of how the Web Security works, but I wanted to let you know that it is possible to have web traffic if a proxy is not set.

    If I am in error in any of this please let me know. Good Luck!

    Have a 'Better Than Good Day!'
    Chris