Ultra Surf... como bloquear esta praga?

rubens_web
(usa Debian)

Enviado em 05/01/2012 - 14:00h

Galera do VOL, boa tarde!

Um dos funcionários instalou na minha rede o Ultra Surf esta semana e me deparei com um cenário que ainda é um tabú. Pesquisei fiz alguns testes mas não consegui bloquear ele sem afetar a minha estrutura já existente.

Como eu consigo bloquer está praga do ULTRA SURF sem prejudicar os acesso pela porta HTTPS (443) ?

Eu uso FIREWALL + SQUID TRANSPARENTE

Help!!!!

phrich
(usa Slackware)

Enviado em 05/01/2012 - 14:03h

Se o seu firewall está com todas as políticas como DROP vc não tera problemas...

rubens_web
(usa Debian)

Enviado em 05/01/2012 - 14:04h

Não está!

Se eu colocar tudo DROP, terei que reformular todo meu firewall, na verdade eu já comecei errado quando eu montei ele.

O que eu posso fazer agora?

phrich
(usa Slackware)

Enviado em 05/01/2012 - 14:06h

O mais corretor seria vc reformular mesmo o seu firewall...

Coloque tudo como DROP e vá realizando as liberações, vc pode ter um pouco de trabalho agora mas vai evitar muitos problemas futuros.

rubens_web
(usa Debian)

Enviado em 06/01/2012 - 08:15h

Entendi... será melhor mesmo!

Porém, eu cheguei modificar com a ajuda de um parceiro do VOL mas não funfou... segui certinho as informaçoes que estão bem claras conforme link abaixo:

http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-acesso-externo

Mas a internet nao abre. O que está faltando? de uma olhada no link no meu firewall que roda tudo certinho (sem o bloqueio do ULTRASURF) e o que o parceiro do VOL me passou com tudo DROP.

fred.aug
(usa Debian)

Enviado em 06/01/2012 - 08:50h

Acho que isso será um problema.

Aqui na minha rede uma negada usa ultrasurf e nao instala, é como se fosse a versão Portable dele... =P

lejoso
(usa Debian)

Enviado em 06/01/2012 - 09:03h

Bom dia!

O ultrasurf utiliza a porta 443 e diversos ips para se conectarem.
A melhor forma de anular isso é tirar o proxy transparente e utilizar o setado no browser e remover a regra de liberação da porta 443 do firewall.
Com isso, além de o Ultrasurf não conseguiur mais se conectar, você conseguirá filtrar as url's com o protocolo https.
Pelo que você disse, como você tem a regra de firewall liberando a porta 443, seus usuários conseguem se conectar a qualquér site seguro.
Sites como orkut e facebook, utilizam o protocolo htps também. Ou seja, se alguém digitar https://www.facebook.com, este conseguirá o acesso, e acredito que não seja isso que você queira.
Resumindo, setando proxy no browser, você resolverá dois problemas de uma vez.
Caso utilize AD, sete o proxy através de GPO.

Att,

Leonardo

rubens_web
(usa Debian)

Enviado em 06/01/2012 - 09:19h

"lejoso" e "acvsilva" meu firewall está SIM liberado a porta 443, porém nao sao todos os usuários que tem acesso FULL na rede, pois libero acesso FULL apenas para alguns ips no squid.conf (ex. DIRETORIA) os demais apenas acessam sites que eu libero através das regras do squid.conf.

A estrutura que eu tenho aqui não dá para usar SQUID sem ser transparente, pois muitos usam notebook e também alguns utilizam seus notebooks em outras filiais da empresa, se eu SETAR o proxy em cada notebook terei problemas em outras filiais!

Preciso mesmo e travar este ULTRASURF... pois apenas um usuário está utilizando isso no momento! logo logo a praga se espalha para os demais!

O que eu faço?

jeferson_roseira
(usa Debian)

Enviado em 06/01/2012 - 09:28h

Pesquisando um pouco na internet e aqui VOL, acho que o ideal seria bloquear com layer 7.

segue um tutorial aqui mesmo do vol. Que pode ter ajudar.

http://www.vivaolinux.com.br/artigo/Bloqueando-o-UltraSurf-e-o-WebMessenger-do-Hotmail-com-Proxy-Tra...


Att.

Jeferson Roseira

fred.aug
(usa Debian)

Enviado em 06/01/2012 - 10:48h

Com esse tópico voltei a pensar em um modo de bloquear o US, descobri um método meioo porco mas funciona.

Bloquiei todas as portas do servidor da 444 pra cima, creio que aqui ninguem usa uma porta mais alta que essa.

Por enquanto nos testes funfo lega, além disso, foi bloqueado o BitTorrent, Tor, UltraSurf, eMule, entre outros... =P

jeferson_roseira
(usa Debian)

Enviado em 17/01/2012 - 14:12h

Boa tarde

Segue procedimento que pode estar te ajudando.

http://www.dicas-l.com.br/arquivo/como_fazer_para_bloquear_o_ultrasurf_solucao_definitiva__iptables_...


Att


Jeferson Roseira

saitam
(usa Slackware)

Enviado em 18/01/2012 - 09:31h

bloquear Ultrasurf e TOR somente no proxy autenticado + um bom script iptables para firewall.
E mais pode dificultar um pouco para não pesquisarem por palavras ultrasurf, tor, vidalia, proxy externo, proxy anonymous.
Basta adicionar no arquivo palavrasproibidas na acl correspondente no squid.