Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Beim Surfen Astaro umgehen

Hallo zusammen,

ich habe heute etwas Schlimmes festgestellt. 
Normalerweise verwendet man ja zum Surfen einen Proxy. Diese Einstellungen werden auch per Gruppenrichtlinie an den Client übertragen. Das Standardgateway ist auch die Astaro.
Jetzt ist mir aufgefallen, dass wenn man den Hacken aus den Proxy-Einstellungen raus nimmt kann man trotzdem surfen. Und man surft an den Sicherheitseinstellungen der Astaro vorbei. URL Block usw. funktioniert nicht.
Wie kann das sein?
Rein physikalisch hängt das Internet an der Astaro. Und die Astaro macht auch PPoE. Also heisst wenn jemand surfen will muss er an der Astaro vorbei. Warum lässt aber die Astaro das zu?
Liegt es an meinen Einstellungen.

Für Hinweise bin ich wie immer dankbar.
Danke vielmals.


This thread was automatically locked due to age.
  • wenn du den Proxy abstellst, können die clients immernoch surfen?
    wenn nein-->überprüf mal ob du die clients nicht in der transparent list hast, und ob deine proxy filter in na falschen reihenfolge stehen(oder dort die clients falsch eingetragen?)



    oder trägst du nur den Proxy bei den clients raus und bemerkst das sie trotzdem noch surfen können?
    -->versuch mal ob es nachdem du ne filterregel auf port 80 (http) geblockt hast, immernoch ist(auch die priorität beachten!!! ich weiß ja nicht wieviele regeln du drin hast, obs übersichtlich ist oder nicht.. ).

    source: your lan
    service: http
    destination:any
    action: block
  • Hallo Tigershark,
    ich habe als Modus "Standard" eingestellt.
    Bei den Benutzerregeln ist auch kein Fehler drin.
    Ich werde deinen Tip mit der Block-Regel versuchen.
    Mir ist aber noch aufgefallen, dass unter

    Web Security / HTTP / Advanced
    unter MISC Settings noch der Dienst "HTTP" drin steht. Ich werde diesen auch noch löschen vielleicht lag es ja daran.

    Und ja es ist so, dass wenn die Clients den Proxyeinstellungen im IE rausmachen können sie trotzdem surfen.

  • Web Security / HTTP / Advanced
    unter MISC Settings noch der Dienst "HTTP" drin steht. Ich werde diesen auch noch löschen vielleicht lag es ja daran.

    nein daran wird dies nicht liegen.
    Siehe Dokumentation:
    Allowed Target Services: In the Allowed Target Services box you can select the target services the HTTP proxy should be allowed to access. The default setting consists of target services (ports) that are usually safe to connect to and which are typically used by browsers, namely HTTP (port 80), HTTPS (port 443), FTP (port 21), LDAP (port 389), LDAP-SSL (port 636), HTTP Proxy (port 8080), Astaro Spam Release (ports 3840–4840), and Astaro WebAdmin (port 4444).



    Network:192.168.0.0/24
    Gateway(Astaro):192.168.0.1
    DNS:192.168.0.2


    Client Einstellungen:
    Proxy:192.168.0.1:8080 (bei Standardeinstellungen)
    Client IP:192.168.0.x
    DNS/Gateway siehe oben.

    Jede verbindung die nicht über den Proxy geht, wird per Filterregel in der ASG gesteuert.

    Wenn du nun den Proxy abstellst, die leute aber trotzdem noch surfen können, dann liegt dies an der Filterregel, in denen du IRGENDWO any services oder HTTP(80) für das Netz/Client freigegeben hast.

    Ich hatte heute beim einrichten eins OPEN VPN SSL Clients ein änliches Problem:
    User machte eine DSL Einwahl, verbindet sich mit dem Firmennetz und konnte an dem Proxy Server vorbeisurfen obwohl der Proxy im IE eingetragen war. Wenn dies bei dir auch zutrifft, teile ich dir gerne die Lösung mit. Andernfalls(Der Client befindet sich bereits in dem Netzwerk) überprüf bitte deine Filterregeln.
  • Hi Tigershark,

    ja genau. So ähnlich sind meine Clienteinstellungen.

    Filterregel? Ähm da stehe ich etwas auf dem Schlauch. Du meinst nicht die Paketfilter oder? Wo stehen diese Regeln dann die du meinst?
    Im Paketfilter steht aber die Regel drin 
    Source: Internal
    Service: Web Surfing
    Destination: Any

    Und in dem Service "Web surfing" ist auch HTTP drin enthalten. Liegt es daran?

    Ja es ist wirklich so, macht jemand den Proxyhacken raus kann er immer noch surfen.
    Ist leider böses Sicherheitsriskio.
  • SebaT,

    Du sagt es doch selber. Mit der Regel:

    Source: Internal
    Service: Web Surfing
    Destination: Any

    ist Websurfen (http) von Intern nach Überall hin erlaubt.

    Deaktiviere diese Regel.
  • ok, dann werde ich heute Abend mal aus dem Service "Web Surfing" HTTP raus machen und testen. Bin gespannt. 
    Danke für die Tipps. Darauf wäre ich jetzt nicht gekommen.

    Grüße
  • Warum willst Du http aus websurfing herausnehmen?

    Deaktiviere die Packet Filter Rule und die Leute sind gezwungen über den Proxy zu gehen (mit all den gewünschten Protokollen http, https, usw.).

    Du hast Standard Mode, so geht auch https.
  • OT: Du kannst in den GPO auch das Ändern der Einstellungen (jedenfalls des IE) verbieten. Ein Benutzer kann dann da nichts mehr ändern. Ist aber trotzdem sicherheitstechnologisch suboptimal.
  • Ich will vermeiden, dass sich die User am Proxy vorbeimogeln. Aber sie sollen surfen können. 
    Klar kann ich auch eine "Drop" oder "Reject" Regl für HTTP machen. Aber ich denke so funktioniert es ganz gut. Klar funktioniert noch HTTPS. Aber es gibt weniger "schlimme" Seiten mit HTTPS als HTTP.
  • Hi, die Idee ist auch nicht schlecht. Aber was passiert, dann mit Laptop User die per UMTS oder Home-Office machen? Da ist es dann wieder zu aufwenig eine eigene OU zu machen. Dann lieber so. Trotzdem recht schnell gemacht.
    Grüße