Re: Bloqueo Ultrasurf

To: debian-user-spanish@lists.debian.org
Subject: Re: Bloqueo Ultrasurf
From: carlopmart <carlopmart@gmail.com>
Date: Wed, 26 Oct 2011 15:34:06 +0200
Message-id: <[🔎] 4EA80C4E.5050701@gmail.com>
In-reply-to: <[🔎] CA+FbNVjz5Sf6PN8SHqL+i7NPmSbYZGRzFQNnNqX=XWXmOqL67g@mail.gmail.com>
References: <[🔎] CA+FbNVhcf-dY1MNNirb7+MbaJn5YPWOH8=_mq9Gq8JqcOqvDRQ@mail.gmail.com> <[🔎] 4EA7EFD6.5010403@gmail.com> <[🔎] CAMz-MW4Huktx0t5AFYkE0keF1+zcmXCwNOxArAHaPgMPhshGxg@mail.gmail.com> <[🔎] 4EA7F869.2070509@gmail.com> <[🔎] CA+FbNVjz5Sf6PN8SHqL+i7NPmSbYZGRzFQNnNqX=XWXmOqL67g@mail.gmail.com>

On 10/26/2011 02:50 PM, Esteban Torres Rodríguez wrote:

El día 26 de octubre de 2011 14:09, carlopmart<carlopmart@gmail.com>  escribió:

On 10/26/2011 02:02 PM, fr33Co wrote:



El 26 de octubre de 2011 07:02, Antonio<n27debian@gmail.com
<mailto:n27debian@gmail.com>>  escribió:

    El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:

        Buenas a todos.

        Me he encontrado que algún usuario que está utilizando ultrasurf
        en su
        windows para saltar los bloqueos del proxy.

        Yo tengo una directiva de dominio que configura automaticamente el
        proxy en los clientes, pero los usuarios pueden instalarse el
        ultrasurf que mediante script modifica la configuración del proxy
        local de los windows y pone la 127.0.0.1:9666
        <http://127.0.0.1:9666>, hace un tunel por el
        puerto 443 hacia servidores externos y salta toda restricción del
        proxy y firewall.

        He intentado bloquearlo por firewall, bloqueando el puerto 9666,
        pero
        el puerto 9666 se abre localmente en las máquinas. He intentado
        hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
        acceso a aquellas paginas que sean conocidas y utilizen el
        puerto 443
        (osea, múltiples y no muy operativo).

        He intentado bajarme el fichero que utiliza dansguardian para
        bloquear
        este tipo de proxys, pero este fichero no se actualiza y tampoco
        creo
        que sería válida la opción.

        Se os ocurre alguna manera de bloquear este tipo de aplicaciones
        por squid?

        Quiero dejar como última opción el hacerlo sobre las máquinas de
los
        clientes (GPO, regedit, etc....).


    Si tus usuarios en la máquina local tienen permisos de instalación,
    o un usuario que puede instalar software, lo tienes difícil.
    Te están pidiendo que controles algo que de esta manera no puedes
    controlar.
    Los usuarios tienen que trabajar con un usuario con los mínimos
    privilegios posibles, se supone que es para trabajar, para
    administrar, instalar y configurar ya están otras personas.
    Suerte y un saludo.


Esta opción la he probado y funciona, pero es mas ruidosa ( ya que hay
que actuar sobre todos los clientes) y ahora mismo mis jefes quieren
hacer el menor ruido posible. Además que los clientes tienen pocas GPO
aplicadas, por no decir que solo tienen la que configura
automáticamente el proxy.


Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
aplicaciones o servicios no utilizan dominios especificos, prueba a ver
como te va.

acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
http_access deny numeric_IPs



No me ha funcionado esto. De hecho ya lo habia probado para bloquear
el skype y no me habia funcionado.

El rollo creo que está en que este tipo de aplicaciones utiliza el
puerto 443 y tendría que filtrar lo que pasa por ese puerto.


Esta es una buena opción ... Las otras dos que te quedan es utilizar un
filtrador de contenidos (ahora mismo solo se me ocurren productos
comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En el
caso del IPS debe estar antes del proxy.

Saludos.

--

Para filtrar SSL vas a tener que recurrir a un IPS comercial ... Otraopción que se me ocurre es, ¿las IPs de conexión ultrasurf aparecen enesta lista:


http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RussianBusinessNetworkIPs.txt

http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RBN_IP_List_Update_10-6-2011.txt??

Si es así puedes parsear esas IP's y cargarlas en el firewall de formadiaria ... Yo llevo utilizando esa lista durante 3 años y solo he tenidoun problema, y fue banal....

Otra opción sería momtar un blackhole DNS, pero también tienes queconocer las IPs y los dominios a los que conecta Ultrasurf ...


A ver que dice san google ... Hombre, otra idea interesante:

http://osvaldohp.blogspot.com/2011/01/barrando-o-ultrasurf-politica-de.html

Puedes monitorizar unos días y montar la blacklist a partir de ahí ... Eincluso podrías dejar un daemonlogger en background y recargar la listacada hora o tiempo que estimes ...

Indudablemente la solución más limpia es un IPS con capacidad defiltrado SSL ... Pero estas otras opciones te puden valer dependiendo dela carga de tráfico web que tengas, peticiones simultaneas que recibe elproxy, etc ... Eso es algo que solo tu sabes.


Saludos.






--
CL Martinez
carlopmart {at} gmail {d0t} com

Reply to:

References:
- Bloqueo Ultrasurf
  - From: Esteban Torres Rodríguez <mortenol.torres@gmail.com>
- Re: Bloqueo Ultrasurf
  - From: Antonio <n27debian@gmail.com>
- Re: Bloqueo Ultrasurf
  - From: fr33Co <chaosklica@esdebian.org>
- Re: Bloqueo Ultrasurf
  - From: carlopmart <carlopmart@gmail.com>
- Re: Bloqueo Ultrasurf
  - From: Esteban Torres Rodríguez <mortenol.torres@gmail.com>

Prev by Date: Re: Virtualizar Debian Lenny en VMware
Next by Date: Re: OT: Debian y Postfix (message_size_limit)
Previous by thread: Re: Bloqueo Ultrasurf
Next by thread: Re: Bloqueo Ultrasurf
Index(es):
- Date
- Thread