Como acabar com o Ultrasurf em minha rede!

[righteous]

Salve, salve galera!

Tentei de tudo já! Mas, nada! Vejam:

Meu Firewall/rc.local:

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# iptables -A OUTPUT -p tcp -o eth0 --dport 443 -j DROP
# iptables -A FORWARD -d ultrareach.com -j REJECT
# iptables -A FORWARD -d ultrasearch.com -j REJECT
# iptables -A OUTPUT -p tcp --dport 443 -j REJECT
# iptables -A FORWARD -p tcp -i eth1 --dport 443 -j DROP
# iptables -A FORWARD -p tcp -i eth1 --dport 9666 -j DROP
# iptables -A OUTPUT -p tcp --dport 9666 -j REJECT
# iptables -A OUTPUT -d www.ultrareach.com -j REJECT
# iptables -A FORWARD -d www.ultrareach.com -j REJECT
# iptables -A INPUT -p tcp --dport 443 -j REJECT

# Redirecionamento do trafego para a porta do squid

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

# REGRA PARA BLOQUEAR O ULTRASURF
# iptables -I FORWARD -s 192.168.0.1/255.255.255.0 -p tcp --dport 443 -j DROP
# for i in $(cat /usr/local/sbin/https | grep -e ^[0-9] | cut -d: -f1)
# do
# iptables -A FORWARD -p tcp --dport 443 -s 0/0 -d ${i} -j DROP
# iptables -A FORWARD -p tcp --dport 443 -s ${i} -d 0/0 -j DROP
# done
#
# exit 0

Tentei de todas as formas, bloqueando eth1, eth0.

Lembrando que claro, eu não tentei tudo ao mesmo tempo. Foi um de cada vez! (Risos).

Agora tem um que parou o Ultrasurf, foi no caso:

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Mas, ele parou foi tudo, tcp, pop, smtp e etc. Então, alguém sabe como criar uma regra para parar tudo e liberar só as portas de e-mails e internet? Eu até tentei com esses comandos, mas, não deu certo. Vejam:

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

Eu tentei parar com REJECT e depois abrir só as portas 80,25,110, mas não deu certo! Mudei as sequencias, tipo, primeiro, rejeita depois libera, primeiro libera depois rejeita. Mas, não deu.

A versão em questão do programa do capeta,  é: Ultra Surf é a 10.08.

Help me pleaseee!  

[righteous]

Complementando, acabei de usar esse:

http://www.vivaolinux.com.br/dica/Bloqueando-o-Ultrasurf-10.04

$IPTABLES -A FORWARD -p tcp -d 65.49.2.0/24 -j DROP
$IPTABLES -A FORWARD -p tcp -d 65.49.14.0/24 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 19769 -j DROP

Eu adicionei no caso:

$IPTABLES -A FORWARD -p tcp --dport 9666 -j DROP

Entretando, o desgraçado passou normal pelo meu proxy.

[zekkerj]

A única forma de bloquear o Ultrasurf é por firewall restritivo: bloqueia tudo, depois vai liberando aos poucos. Nessa hora você tem que ter o cuidado de fazer as liberações de forma pontual, ou seja, se for liberar um acesso POP3, libere apenas pro endereço do site e na porta 110, nunca libere todos os acessos da porta 110 senão ela pode ser usada pelo Ultrasurf pra escapar.

Outro ponto importante: não use proxy transparente. Use o proxy configurado, e avise seus usuários que quem alterar o endereço do servidor proxy vai ficar sem acesso. Isso porque só pode haver um endereço de proxy configurado; se você deixa o proxy não-configurado, fica livre pra que o usuário configure um, que pode ser outro ultrasurf.

[righteous]

A única forma de bloquear o Ultrasurf é por firewall restritivo: bloqueia tudo, depois vai liberando aos poucos. Nessa hora você tem que ter o cuidado de fazer as liberações de forma pontual, ou seja, se for liberar um acesso POP3, libere apenas pro endereço do site e na porta 110, nunca libere todos os acessos da porta 110 senão ela pode ser usada pelo Ultrasurf pra escapar.

Outro ponto importante: não use proxy transparente. Use o proxy configurado, e avise seus usuários que quem alterar o endereço do servidor proxy vai ficar sem acesso. Isso porque só pode haver um endereço de proxy configurado; se você deixa o proxy não-configurado, fica livre pra que o usuário configure um, que pode ser outro ultrasurf.

Vou tentar dropar tudo com iptables e depois sair liberando pra ver no que da. 

[fagundes]

Amigos estou nesta luta também!

Lendo sobre o "tal", encontrei algumas opções tais como:
tcpdump o iptstate para monitorar em tempo real o acesso a porta 443.
No link a seguir encontrei um script para gerar o bloqueio. http://biapsia.blogspot.com/
Porem ele é através de conecoes pela porta 443 e nao mostrou eficiente nos teste, pois a minha rede possui alguns programas que utilizam a porta 443, dai quando era os progrmas mais sites juntos era bloqueado. mas não era o ultrasurf.
Devemos fazer o seguinte, apenas detectar a presenca do mesmo e de onde ele esta vindo.
como ele sempre conecta no seguinte range de ip 65.49.14.x , entao devemos detectar esta conecao de destino e de qual ip esta vindo.

Ai que estou parado.

tcpdump -qlNnn dst net 65.49.14.0/24 and dst port 443 >> /ultrasurf/log
com este comando consigo detectar a conexão para o ip dele, porém não consigo ver de qual ip interno esta vindo, mostra apenas o ip do Proxy
iptstate -D
consigo ver a quantidade de conexões para a porta 443 e de qual ip interno esta vindo, mas não consigo mapear para o destino 65.49.14.x

Então se alguém tiver o conhecimento para gerar um log de onde esta vindo e para onde esta indo, colocamos no script citado acima e pronto, ta feito.
Com o bloqueio do PC e não do ultrasurf. Quando PC não tiver acesso a internet o usuário vira até vc dizendo que parou, você checa o log e mando ele para ADMINISTRAÇÃO, com isso fica registrado no log e a noticia corre solta e todos deixaram de usar o ultra surf.
Ou seja não bloqueamos o ultrasurf, apenas geramos um log do usuário que esta usando ele, o script bloquea o PC todo e ficamos sabendo quem é o usuários sacanas.

[zekkerj]

com este comando consigo detectar a conexão para o ip dele, porém não consigo ver de qual ip interno esta vindo, mostra apenas o ip do Proxy

Vc tem proxy interno??? Pq está perdendo tempo brigando com o tcpdump, pra levantar o padrão de tráfego??? Pega direto no log do proxy, ué...

[righteous]

Amigos, a questão nem é descobrir que foi! Já sei quem foi! A questão é que não quero vulnerabilidade em minha rede! Essa é a questão! Quero é fechar essa brecha!


Se meu proxy não precisasse ser transparent já tinha resolvido, mas a questão é que preciso! 

[zekkerj]

Não, não precisa!!! Vocês é que escolheram usar assim, por comodidade. Lá no serviço são 600 computadores no prédio. Quantos usam proxy transparente? Nenhum. Usamos proxy configurado via política de grupo, pro IE, e via WPAD, no FF.

[righteous]

Não, não precisa!!! Vocês é que escolheram usar assim, por comodidade. Lá no serviço são 600 computadores no prédio. Quantos usam proxy transparente? Nenhum. Usamos proxy configurado via política de grupo, pro IE, e via WPAD, no FF.

Concordo contigo! Mas, em alguns locais temos que seguir ordens superiores! eheheheh! Tipo o cara fala, olha quero comodidade, não quero que vá pc por pc configurando o proxy, tem que ser transparent, e se vira pra matar o ultrasurf! eehehhehe. O complicado é só por isso! 

Mas, eu estou testando a solução do http://biapsia.blogspot.com/2010/08/bloqueio-de-ultrasurf-usando-apenas.html - pareci que funciona, vou testar e posto o resultado aqui. Valew!

[zekkerj]

E quem precisar ir computador a computador configurando o proxy? Só ali em cima eu dei duas soluções pra isso (política de grupo e WPAD). Sem contar que o próprio usuário pode configurar o proxy, com a orientação correta.

[righteous]

E quem precisar ir computador a computador configurando o proxy? Só ali em cima eu dei duas soluções pra isso (política de grupo e WPAD). Sem contar que o próprio usuário pode configurar o proxy, com a orientação correta.

Não vou mentir, não conhecia a política de auto detecção de proxy (WPAD). Estou estudando aqui para ver como colocar. Valeu a dica!

Agora me veio uma coisa, porque usamos o proxy transparente mesmo eim? É só pelo fato de não precisar ir máquina por máquina pra configurar o proxy? Porque o proxy transparent é legal?

[zekkerj]

Não é... é uma solução fácil, mas cheia de falhas. No fim há uns poucos casos em que o proxy transparente se torna "necessário", normalmente com programas antigos que não têm suporte a proxy, numa rede que exige seu uso. E só...

[righteous]

Não é... é uma solução fácil, mas cheia de falhas. No fim há uns poucos casos em que o proxy transparente se torna "necessário", normalmente com programas antigos que não têm suporte a proxy, numa rede que exige seu uso. E só...

Ehehehe! Legal! Informação é benção! Mas, é isso mesmo, vivendo, aprendendo e compartilhando. Esse é o lema! 

[righteous]

Não é... é uma solução fácil, mas cheia de falhas. No fim há uns poucos casos em que o proxy transparente se torna "necessário", normalmente com programas antigos que não têm suporte a proxy, numa rede que exige seu uso. E só...

Tem algumas dicas bem legais de configuração de um proxy não transparente e WPAD?

[zekkerj]

http://www.vivaolinux.com.br/dica/Configurando-WPAD

http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD/

http://findproxyforurl.com/