On 10/26/2011 02:50 PM, Esteban Torres Rodríguez wrote:
El día 26 de octubre de 2011 14:09, carlopmart<carlopmart@gmail.com> escribió:On 10/26/2011 02:02 PM, fr33Co wrote:El 26 de octubre de 2011 07:02, Antonio<n27debian@gmail.com <mailto:n27debian@gmail.com>> escribió: El 26/10/2011 12:02, Esteban Torres Rodríguez escribió: Buenas a todos. Me he encontrado que algún usuario que está utilizando ultrasurf en su windows para saltar los bloqueos del proxy. Yo tengo una directiva de dominio que configura automaticamente el proxy en los clientes, pero los usuarios pueden instalarse el ultrasurf que mediante script modifica la configuración del proxy local de los windows y pone la 127.0.0.1:9666 <http://127.0.0.1:9666>, hace un tunel por el puerto 443 hacia servidores externos y salta toda restricción del proxy y firewall. He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero el puerto 9666 se abre localmente en las máquinas. He intentado hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar acceso a aquellas paginas que sean conocidas y utilizen el puerto 443 (osea, múltiples y no muy operativo). He intentado bajarme el fichero que utiliza dansguardian para bloquear este tipo de proxys, pero este fichero no se actualiza y tampoco creo que sería válida la opción. Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid? Quiero dejar como última opción el hacerlo sobre las máquinas de los clientes (GPO, regedit, etc....). Si tus usuarios en la máquina local tienen permisos de instalación, o un usuario que puede instalar software, lo tienes difícil. Te están pidiendo que controles algo que de esta manera no puedes controlar. Los usuarios tienen que trabajar con un usuario con los mínimos privilegios posibles, se supone que es para trabajar, para administrar, instalar y configurar ya están otras personas. Suerte y un saludo.Esta opción la he probado y funciona, pero es mas ruidosa ( ya que hay que actuar sobre todos los clientes) y ahora mismo mis jefes quieren hacer el menor ruido posible. Además que los clientes tienen pocas GPO aplicadas, por no decir que solo tienen la que configura automáticamente el proxy.Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas aplicaciones o servicios no utilizan dominios especificos, prueba a ver como te va. acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$ http_access deny numeric_IPsNo me ha funcionado esto. De hecho ya lo habia probado para bloquear el skype y no me habia funcionado. El rollo creo que está en que este tipo de aplicaciones utiliza el puerto 443 y tendría que filtrar lo que pasa por ese puerto.Esta es una buena opción ... Las otras dos que te quedan es utilizar un filtrador de contenidos (ahora mismo solo se me ocurren productos comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En el caso del IPS debe estar antes del proxy. Saludos. --
Para filtrar SSL vas a tener que recurrir a un IPS comercial ... Otra opción que se me ocurre es, ¿las IPs de conexión ultrasurf aparecen en esta lista:
http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RussianBusinessNetworkIPs.txthttp://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RBN_IP_List_Update_10-6-2011.txt ??
Si es así puedes parsear esas IP's y cargarlas en el firewall de forma diaria ... Yo llevo utilizando esa lista durante 3 años y solo he tenido un problema, y fue banal....
Otra opción sería momtar un blackhole DNS, pero también tienes que conocer las IPs y los dominios a los que conecta Ultrasurf ...
A ver que dice san google ... Hombre, otra idea interesante: http://osvaldohp.blogspot.com/2011/01/barrando-o-ultrasurf-politica-de.htmlPuedes monitorizar unos días y montar la blacklist a partir de ahí ... E incluso podrías dejar un daemonlogger en background y recargar la lista cada hora o tiempo que estimes ...
Indudablemente la solución más limpia es un IPS con capacidad de filtrado SSL ... Pero estas otras opciones te puden valer dependiendo de la carga de tráfico web que tengas, peticiones simultaneas que recibe el proxy, etc ... Eso es algo que solo tu sabes.
Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com