Author Topic: Bloquear Ultrasurf - SOLUCIONADO  (Read 65323 times)

blady83

  • Zen Apprentice
  • *
  • Posts: 31
  • Karma: +1/-0
    • View Profile
Bloquear Ultrasurf - SOLUCIONADO
« on: September 22, 2011, 04:24:58 am »
Me he encontrado con ultrasurf, un software que permite navegar en cualquier sitio web bloqueado con zentyal, en este foro he visto soluciones como el proxy transparente, reglas de firewall e incluso el dns, pero al saber de este software desconozco si hay algún método de poder bloquearlo. ¿Alguien se ha encontrado con este software en sus redes?

Quizá los clientes no sepan de la existencia de este software, y hasta entonces el bloqueo ha de ejecutarse de maravilla, pero el inconveniente es que si solo uno lo llega a conocer la noticia se propaga por todos lados, es lo que me ha pasado.. ¿Alguna idea de bloquearlo?

Los que no han escuchado de este programa aqui un link:
http://ultrasurf.es/articulos/acceder-a-sitios-bloqueados-con-ultrasurf
« Last Edit: November 16, 2011, 03:21:50 am by blady83 »

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #1 on: September 22, 2011, 06:10:07 pm »
En el proxy puede subir una blacklist y bloquear la categoria proxy.

Saludos
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

ubuntu2008

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #2 on: October 03, 2011, 04:49:09 pm »
aqui en este mismo foro encontre un comando de iptables que me funciono a la perfeccion pero no funciona para proxy transparente ya que bloquea el https, pero en modo normal el https lo dara el proxy hacia las maquinas asi que no te dara problemas

IPTABLES -t mangle -I POSTROUTING -p tcp -s 10.110.6.10/24 -o eth0 --dport 443 -j DROP

cambia 10.110.10.0/24 por tu red local y eth0 por la tarjeta que tengas como externa

prueba y me comentas lo aplique en 2 servidores zentyal y lo bloquean a la perfeccion

jsalamero

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1419
  • Karma: +45/-1
    • View Profile
Re: Bloquear Ultrasurf
« Reply #3 on: October 04, 2011, 05:23:18 am »
Esa misma regla la puedes hacer a través del interfaz de Zentyal en tráfico para redes internas.

jvallecillo

  • Zen Apprentice
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #4 on: October 04, 2011, 10:35:40 pm »
aqui en este mismo foro encontre un comando de iptables que me funciono a la perfeccion pero no funciona para proxy transparente ya que bloquea el https, pero en modo normal el https lo dara el proxy hacia las maquinas asi que no te dara problemas

IPTABLES -t mangle -I POSTROUTING -p tcp -s 10.110.6.10/24 -o eth0 --dport 443 -j DROP

cambia 10.110.10.0/24 por tu red local y eth0 por la tarjeta que tengas como externa

prueba y me comentas lo aplique en 2 servidores zentyal y lo bloquean a la perfeccion
Yo también he intentado bloquearlo pero agregando IPs de los proxies a los que se conecta, algo que resulta casi imposible debido a la cantidad de nuevas IPs que salen con el cambio de versiñon de ultraSurf.
¿Con el DROP al puerto 443 no te quedás sin conexiones seguras?

ubuntu2008

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #5 on: October 11, 2011, 04:21:21 pm »
no porque lo estas haciendo de forma local, las conexiones seguras las recibe el proxy por la interfaz externa y enviadolas a las estaciones de trabajo pero bloquea localmente la salida del ultrasurf, por eso motivo no funciona de forma transparente

memoxxxx

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #6 on: October 18, 2011, 01:58:05 am »
Todo el tráfico de ultrasurf se va "entunelado" por HTTPS.

En mi caso, dentro de la red que administro, se trataba de sólo un usuario a quien descubrí haciendo uso de ese programa.

Como por lo general el tráfico HTTPS es de autenticación para acceder a algunos sitios, la solución que me funcionó fue usando Traffic Shaping, asignándole sólo a ese usuario una tasa de 60 Kb/s (la mínima que permite Zentyal) al servicio HTTPS. Para esto debes agregar HTTPS como un servicio en el puerto TCP 443.

Con esa velocidad la navegación usando ultrasurf se hace prácticamente inutilizable y con esto disuades al usuario.

Espero te sirva...

Edit: En mi red uso el Proxy Transparente.

¿Alguien sugiere una mejor solución?
« Last Edit: October 18, 2011, 02:00:59 am by memoxxxx »

blady83

  • Zen Apprentice
  • *
  • Posts: 31
  • Karma: +1/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #7 on: October 18, 2011, 05:00:10 am »
¿Te  funciona el traffic shaping? estuve leyendo por ahí y según el traffic shaping no funciona con proxy transparente

http://forum.zentyal.org/index.php/topic,1980.msg8331.html#msg8331

jvallecillo

  • Zen Apprentice
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #8 on: October 18, 2011, 06:15:42 pm »
no porque lo estas haciendo de forma local, las conexiones seguras las recibe el proxy por la interfaz externa y enviadolas a las estaciones de trabajo pero bloquea localmente la salida del ultrasurf, por eso motivo no funciona de forma transparente
Muchas gracias por la aclaración.
Procedo a probarlo

Todo el tráfico de ultrasurf se va "entunelado" por HTTPS.

En mi caso, dentro de la red que administro, se trataba de sólo un usuario a quien descubrí haciendo uso de ese programa.

Como por lo general el tráfico HTTPS es de autenticación para acceder a algunos sitios, la solución que me funcionó fue usando Traffic Shaping, asignándole sólo a ese usuario una tasa de 60 Kb/s (la mínima que permite Zentyal) al servicio HTTPS. Para esto debes agregar HTTPS como un servicio en el puerto TCP 443.

Con esa velocidad la navegación usando ultrasurf se hace prácticamente inutilizable y con esto disuades al usuario.

Espero te sirva...

Edit: En mi red uso el Proxy Transparente.

¿Alguien sugiere una mejor solución?
gracias también

blady83

  • Zen Apprentice
  • *
  • Posts: 31
  • Karma: +1/-0
    • View Profile
Re: Bloquear Ultrasurf
« Reply #9 on: October 21, 2011, 03:48:14 am »
He aplicado la alternativa que sugiere memoxxxx, pero el traffic shaping no funciona junto con el proxy, sería muy bueno aplicar las 2 opciones pero no me ha sido posible, sin embargo por ahora solo estoy aplicando el traffic shaping ya que me resulta mejor que el proxy, cuando tenía activado el proxy en las horas pico la navegación era muy lenta, lo que he hecho es limitar con traffic shaping el puerto https (el que utiliza ultrasurf), el streaming_video, p2p, game. Con eso por ahora navegamos mejor.

blady83

  • Zen Apprentice
  • *
  • Posts: 31
  • Karma: +1/-0
    • View Profile
Bloquear Ultrasurf - Solucionado
« Reply #10 on: November 14, 2011, 06:19:16 pm »
Como es de conocimiento ultrasurf utiliza el puerto 443 para poder navegar a cualquier sitio denegado por el proxy transparente, la solucion que he implementado es crear el servicio https con numero de puerto 443 y bloquear este servicio con el firewall en Reglas de filtrado para las redes internas. (algo similar cuando cerramos el acceso a https://www.facebook.com)

Decisión:    Denegar
Origen:    Objeto a bloquear
Destino:    Cualquiera
Servicio:    https

Ahora bien, haciendo esto se cierra el acceso a todas aquellas paginas seguras como bancos, hotmail, gmail y las muchas que existen, para resolver esto he creado un objeto "Permitidoshttps" con el rango de direcciones IP de hotmail, gmail, yahoo y otras paginas a las que deseamos dar acceso. (Para este procedimiento utilice http://whois.arin.net/ui) Finalmente he creado otra regla en el firewall permitiendo el acceso a estos sitios:

Decisión:    Aceptar
Origen:    Objeto o direccion ip
Destino:    permitidoshttps
Servicio:    https

De esta forma se esta dando acceso a las paginas seguras en el objeto Permitidoshttps y el ultrasurf esta bloqueado.
Finalmente tengo que agregar que lo bueno de Zentyal es que puede cerrar el servicio https solo a cietos objetos o direcciones ip y no a toda la subred interna, dejando asi a los otros objetos acceso al servicio https. En lo personal lo utilizo en un centro de educacion y el servicio https lo he bloqueado solo para pcs que utilizan los estudiantes, docentes y administrativos no utilizan ultrasurf.

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Bloquear Ultrasurf - Solucionado
« Reply #11 on: November 15, 2011, 10:25:06 am »
De acuerdo con la solución de blady83, tal vez es un poco radical pero a veces no hay otra opción. Es mejor manejar una lista "blanca" con https permitido y no sufrir por el mal uso de los recursos.
Gracias por explicarlo blady83.
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

systemmichael

  • Zen Apprentice
  • *
  • Posts: 39
  • Karma: +1/-1
    • View Profile
Re: Bloquear Ultrasurf - SOLUCIONADO
« Reply #12 on: February 02, 2012, 07:19:37 pm »
Creo que todos aqui estamos en lo mismo de bloquear el ultrasurf y mi pregunta es zentyal estara analizando este tema,,

porque la verdad nesecito con urgencia los pasos para bloquear ultrasurf


vix

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf - SOLUCIONADO
« Reply #13 on: February 02, 2012, 07:35:57 pm »
Las estaciones tienen permisos para instalar el software que quieran sus usuarios? empieza a caparlas  8)

Dromito

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Bloquear Ultrasurf - SOLUCIONADO
« Reply #14 on: March 23, 2012, 05:54:52 pm »
Señores Buen dia... Soy nuevo en la administracion de estos Firewall y aunque he seguido todos sus pasos casi al pie de la letra no he logrado bloquear esta aplicacion. No entiendo mucho el tema de Iptables y por la interfax grafica de Zentyal ya cerre el puerto 443. Que me hara falta?? :-\