Como acabar com o Ultrasurf em minha rede!

Iniciado por righteous, 15 de Abril de 2011, 16:31

tópico anterior - próximo tópico

righteous

Salve, salve galera!

Tentei de tudo já! Mas, nada! Vejam:

Meu Firewall/rc.local:

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# iptables -A OUTPUT -p tcp -o eth0 --dport 443 -j DROP
# iptables -A FORWARD -d ultrareach.com -j REJECT
# iptables -A FORWARD -d ultrasearch.com -j REJECT
# iptables -A OUTPUT -p tcp --dport 443 -j REJECT
# iptables -A FORWARD -p tcp -i eth1 --dport 443 -j DROP
# iptables -A FORWARD -p tcp -i eth1 --dport 9666 -j DROP
# iptables -A OUTPUT -p tcp --dport 9666 -j REJECT
# iptables -A OUTPUT -d www.ultrareach.com -j REJECT
# iptables -A FORWARD -d www.ultrareach.com -j REJECT
# iptables -A INPUT -p tcp --dport 443 -j REJECT

# Redirecionamento do trafego para a porta do squid

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

# REGRA PARA BLOQUEAR O ULTRASURF
# iptables -I FORWARD -s 192.168.0.1/255.255.255.0 -p tcp --dport 443 -j DROP
# for i in $(cat /usr/local/sbin/https | grep -e ^[0-9] | cut -d: -f1)
# do
# iptables -A FORWARD -p tcp --dport 443 -s 0/0 -d ${i} -j DROP
# iptables -A FORWARD -p tcp --dport 443 -s ${i} -d 0/0 -j DROP
# done
#
# exit 0

Tentei de todas as formas, bloqueando eth1, eth0.

Lembrando que claro, eu não tentei tudo ao mesmo tempo. Foi um de cada vez! (Risos).

Agora tem um que parou o Ultrasurf, foi no caso:

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset


Mas, ele parou foi tudo, tcp, pop, smtp e etc. Então, alguém sabe como criar uma regra para parar tudo e liberar só as portas de e-mails e internet? Eu até tentei com esses comandos, mas, não deu certo. Vejam:

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

Eu tentei parar com REJECT e depois abrir só as portas 80,25,110, mas não deu certo! Mudei as sequencias, tipo, primeiro, rejeita depois libera, primeiro libera depois rejeita. Mas, não deu.

A versão em questão do programa do capeta,  é: Ultra Surf é a 10.08. :(

Help me pleaseee!  :o

righteous

Complementando, acabei de usar esse:

http://www.vivaolinux.com.br/dica/Bloqueando-o-Ultrasurf-10.04

$IPTABLES -A FORWARD -p tcp -d 65.49.2.0/24 -j DROP
$IPTABLES -A FORWARD -p tcp -d 65.49.14.0/24 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 19769 -j DROP


Eu adicionei no caso:

$IPTABLES -A FORWARD -p tcp --dport 9666 -j DROP

Entretando, o desgraçado passou normal pelo meu proxy. :(

zekkerj

A única forma de bloquear o Ultrasurf é por firewall restritivo: bloqueia tudo, depois vai liberando aos poucos. Nessa hora você tem que ter o cuidado de fazer as liberações de forma pontual, ou seja, se for liberar um acesso POP3, libere apenas pro endereço do site e na porta 110, nunca libere todos os acessos da porta 110 senão ela pode ser usada pelo Ultrasurf pra escapar.

Outro ponto importante: não use proxy transparente. Use o proxy configurado, e avise seus usuários que quem alterar o endereço do servidor proxy vai ficar sem acesso. Isso porque só pode haver um endereço de proxy configurado; se você deixa o proxy não-configurado, fica livre pra que o usuário configure um, que pode ser outro ultrasurf.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

righteous

Citação de: zekkerj online 16 de Abril de 2011, 11:06
A única forma de bloquear o Ultrasurf é por firewall restritivo: bloqueia tudo, depois vai liberando aos poucos. Nessa hora você tem que ter o cuidado de fazer as liberações de forma pontual, ou seja, se for liberar um acesso POP3, libere apenas pro endereço do site e na porta 110, nunca libere todos os acessos da porta 110 senão ela pode ser usada pelo Ultrasurf pra escapar.

Outro ponto importante: não use proxy transparente. Use o proxy configurado, e avise seus usuários que quem alterar o endereço do servidor proxy vai ficar sem acesso. Isso porque só pode haver um endereço de proxy configurado; se você deixa o proxy não-configurado, fica livre pra que o usuário configure um, que pode ser outro ultrasurf.

Vou tentar dropar tudo com iptables e depois sair liberando pra ver no que da.  :-\

fagundes

Amigos estou nesta luta também!

Lendo sobre o "tal", encontrei algumas opções tais como:
tcpdump o iptstate para monitorar em tempo real o acesso a porta 443.
No link a seguir encontrei um script para gerar o bloqueio. http://biapsia.blogspot.com/
Porem ele é através de conecoes pela porta 443 e nao mostrou eficiente nos teste, pois a minha rede possui alguns programas que utilizam a porta 443, dai quando era os progrmas mais sites juntos era bloqueado. mas não era o ultrasurf.
Devemos fazer o seguinte, apenas detectar a presenca do mesmo e de onde ele esta vindo.
como ele sempre conecta no seguinte range de ip 65.49.14.x , entao devemos detectar esta conecao de destino e de qual ip esta vindo.

Ai que estou parado.

tcpdump -qlNnn dst net 65.49.14.0/24 and dst port 443 >> /ultrasurf/log
com este comando consigo detectar a conexão para o ip dele, porém não consigo ver de qual ip interno esta vindo, mostra apenas o ip do Proxy
iptstate -D
consigo ver a quantidade de conexões para a porta 443 e de qual ip interno esta vindo, mas não consigo mapear para o destino 65.49.14.x

Então se alguém tiver o conhecimento para gerar um log de onde esta vindo e para onde esta indo, colocamos no script citado acima e pronto, ta feito.
Com o bloqueio do PC e não do ultrasurf. Quando PC não tiver acesso a internet o usuário vira até vc dizendo que parou, você checa o log e mando ele para ADMINISTRAÇÃO, com isso fica registrado no log e a noticia corre solta e todos deixaram de usar o ultra surf.
Ou seja não bloqueamos o ultrasurf, apenas geramos um log do usuário que esta usando ele, o script bloquea o PC todo e ficamos sabendo quem é o usuários sacanas.

zekkerj

Citarcom este comando consigo detectar a conexão para o ip dele, porém não consigo ver de qual ip interno esta vindo, mostra apenas o ip do Proxy
Vc tem proxy interno??? Pq está perdendo tempo brigando com o tcpdump, pra levantar o padrão de tráfego??? Pega direto no log do proxy, ué...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

righteous

Amigos, a questão nem é descobrir que foi! Já sei quem foi! A questão é que não quero vulnerabilidade em minha rede! Essa é a questão! Quero é fechar essa brecha!


Se meu proxy não precisasse ser transparent já tinha resolvido, mas a questão é que preciso!  :-\

zekkerj

Não, não precisa!!! Vocês é que escolheram usar assim, por comodidade. Lá no serviço são 600 computadores no prédio. Quantos usam proxy transparente? Nenhum. Usamos proxy configurado via política de grupo, pro IE, e via WPAD, no FF.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

righteous

Citação de: zekkerj online 17 de Abril de 2011, 14:39
Não, não precisa!!! Vocês é que escolheram usar assim, por comodidade. Lá no serviço são 600 computadores no prédio. Quantos usam proxy transparente? Nenhum. Usamos proxy configurado via política de grupo, pro IE, e via WPAD, no FF.

Concordo contigo! Mas, em alguns locais temos que seguir ordens superiores! eheheheh! Tipo o cara fala, olha quero comodidade, não quero que vá pc por pc configurando o proxy, tem que ser transparent, e se vira pra matar o ultrasurf! eehehhehe. O complicado é só por isso!  ;D

Mas, eu estou testando a solução do http://biapsia.blogspot.com/2010/08/bloqueio-de-ultrasurf-usando-apenas.html - pareci que funciona, vou testar e posto o resultado aqui. Valew!

zekkerj

E quem precisar ir computador a computador configurando o proxy? Só ali em cima eu dei duas soluções pra isso (política de grupo e WPAD). Sem contar que o próprio usuário pode configurar o proxy, com a orientação correta.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

righteous

Citação de: zekkerj online 18 de Abril de 2011, 09:55
E quem precisar ir computador a computador configurando o proxy? Só ali em cima eu dei duas soluções pra isso (política de grupo e WPAD). Sem contar que o próprio usuário pode configurar o proxy, com a orientação correta.
Não vou mentir, não conhecia a política de auto detecção de proxy (WPAD). Estou estudando aqui para ver como colocar. Valeu a dica!

Agora me veio uma coisa, porque usamos o proxy transparente mesmo eim? É só pelo fato de não precisar ir máquina por máquina pra configurar o proxy? Porque o proxy transparent é legal? :D

zekkerj

Não é... é uma solução fácil, mas cheia de falhas. No fim há uns poucos casos em que o proxy transparente se torna "necessário", normalmente com programas antigos que não têm suporte a proxy, numa rede que exige seu uso. E só...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

righteous

Citação de: zekkerj online 19 de Abril de 2011, 11:18
Não é... é uma solução fácil, mas cheia de falhas. No fim há uns poucos casos em que o proxy transparente se torna "necessário", normalmente com programas antigos que não têm suporte a proxy, numa rede que exige seu uso. E só...

Ehehehe! Legal! Informação é benção! Mas, é isso mesmo, vivendo, aprendendo e compartilhando. Esse é o lema!  ;D

righteous

Citação de: zekkerj online 19 de Abril de 2011, 11:18
Não é... é uma solução fácil, mas cheia de falhas. No fim há uns poucos casos em que o proxy transparente se torna "necessário", normalmente com programas antigos que não têm suporte a proxy, numa rede que exige seu uso. E só...

Tem algumas dicas bem legais de configuração de um proxy não transparente e WPAD?

zekkerj

Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D