Zentyal Forum, Linux Small Business Server
International => Spanish => Topic started by: blady83 on September 22, 2011, 04:24:58 am
-
Me he encontrado con ultrasurf, un software que permite navegar en cualquier sitio web bloqueado con zentyal, en este foro he visto soluciones como el proxy transparente, reglas de firewall e incluso el dns, pero al saber de este software desconozco si hay algún método de poder bloquearlo. ¿Alguien se ha encontrado con este software en sus redes?
Quizá los clientes no sepan de la existencia de este software, y hasta entonces el bloqueo ha de ejecutarse de maravilla, pero el inconveniente es que si solo uno lo llega a conocer la noticia se propaga por todos lados, es lo que me ha pasado.. ¿Alguna idea de bloquearlo?
Los que no han escuchado de este programa aqui un link:
http://ultrasurf.es/articulos/acceder-a-sitios-bloqueados-con-ultrasurf
-
En el proxy puede subir una blacklist y bloquear la categoria proxy.
Saludos
-
aqui en este mismo foro encontre un comando de iptables que me funciono a la perfeccion pero no funciona para proxy transparente ya que bloquea el https, pero en modo normal el https lo dara el proxy hacia las maquinas asi que no te dara problemas
IPTABLES -t mangle -I POSTROUTING -p tcp -s 10.110.6.10/24 -o eth0 --dport 443 -j DROP
cambia 10.110.10.0/24 por tu red local y eth0 por la tarjeta que tengas como externa
prueba y me comentas lo aplique en 2 servidores zentyal y lo bloquean a la perfeccion
-
Esa misma regla la puedes hacer a través del interfaz de Zentyal en tráfico para redes internas.
-
aqui en este mismo foro encontre un comando de iptables que me funciono a la perfeccion pero no funciona para proxy transparente ya que bloquea el https, pero en modo normal el https lo dara el proxy hacia las maquinas asi que no te dara problemas
IPTABLES -t mangle -I POSTROUTING -p tcp -s 10.110.6.10/24 -o eth0 --dport 443 -j DROP
cambia 10.110.10.0/24 por tu red local y eth0 por la tarjeta que tengas como externa
prueba y me comentas lo aplique en 2 servidores zentyal y lo bloquean a la perfeccion
Yo también he intentado bloquearlo pero agregando IPs de los proxies a los que se conecta, algo que resulta casi imposible debido a la cantidad de nuevas IPs que salen con el cambio de versiñon de ultraSurf.
¿Con el DROP al puerto 443 no te quedás sin conexiones seguras?
-
no porque lo estas haciendo de forma local, las conexiones seguras las recibe el proxy por la interfaz externa y enviadolas a las estaciones de trabajo pero bloquea localmente la salida del ultrasurf, por eso motivo no funciona de forma transparente
-
Todo el tráfico de ultrasurf se va "entunelado" por HTTPS.
En mi caso, dentro de la red que administro, se trataba de sólo un usuario a quien descubrí haciendo uso de ese programa.
Como por lo general el tráfico HTTPS es de autenticación para acceder a algunos sitios, la solución que me funcionó fue usando Traffic Shaping, asignándole sólo a ese usuario una tasa de 60 Kb/s (la mínima que permite Zentyal) al servicio HTTPS. Para esto debes agregar HTTPS como un servicio en el puerto TCP 443.
Con esa velocidad la navegación usando ultrasurf se hace prácticamente inutilizable y con esto disuades al usuario.
Espero te sirva...
Edit: En mi red uso el Proxy Transparente.
¿Alguien sugiere una mejor solución?
-
¿Te funciona el traffic shaping? estuve leyendo por ahí y según el traffic shaping no funciona con proxy transparente
http://forum.zentyal.org/index.php/topic,1980.msg8331.html#msg8331
-
no porque lo estas haciendo de forma local, las conexiones seguras las recibe el proxy por la interfaz externa y enviadolas a las estaciones de trabajo pero bloquea localmente la salida del ultrasurf, por eso motivo no funciona de forma transparente
Muchas gracias por la aclaración.
Procedo a probarlo
Todo el tráfico de ultrasurf se va "entunelado" por HTTPS.
En mi caso, dentro de la red que administro, se trataba de sólo un usuario a quien descubrí haciendo uso de ese programa.
Como por lo general el tráfico HTTPS es de autenticación para acceder a algunos sitios, la solución que me funcionó fue usando Traffic Shaping, asignándole sólo a ese usuario una tasa de 60 Kb/s (la mínima que permite Zentyal) al servicio HTTPS. Para esto debes agregar HTTPS como un servicio en el puerto TCP 443.
Con esa velocidad la navegación usando ultrasurf se hace prácticamente inutilizable y con esto disuades al usuario.
Espero te sirva...
Edit: En mi red uso el Proxy Transparente.
¿Alguien sugiere una mejor solución?
gracias también
-
He aplicado la alternativa que sugiere memoxxxx, pero el traffic shaping no funciona junto con el proxy, sería muy bueno aplicar las 2 opciones pero no me ha sido posible, sin embargo por ahora solo estoy aplicando el traffic shaping ya que me resulta mejor que el proxy, cuando tenía activado el proxy en las horas pico la navegación era muy lenta, lo que he hecho es limitar con traffic shaping el puerto https (el que utiliza ultrasurf), el streaming_video, p2p, game. Con eso por ahora navegamos mejor.
-
Como es de conocimiento ultrasurf utiliza el puerto 443 para poder navegar a cualquier sitio denegado por el proxy transparente, la solucion que he implementado es crear el servicio https con numero de puerto 443 y bloquear este servicio con el firewall en Reglas de filtrado para las redes internas. (algo similar cuando cerramos el acceso a https://www.facebook.com)
Decisión: Denegar
Origen: Objeto a bloquear
Destino: Cualquiera
Servicio: https
Ahora bien, haciendo esto se cierra el acceso a todas aquellas paginas seguras como bancos, hotmail, gmail y las muchas que existen, para resolver esto he creado un objeto "Permitidoshttps" con el rango de direcciones IP de hotmail, gmail, yahoo y otras paginas a las que deseamos dar acceso. (Para este procedimiento utilice http://whois.arin.net/ui) Finalmente he creado otra regla en el firewall permitiendo el acceso a estos sitios:
Decisión: Aceptar
Origen: Objeto o direccion ip
Destino: permitidoshttps
Servicio: https
De esta forma se esta dando acceso a las paginas seguras en el objeto Permitidoshttps y el ultrasurf esta bloqueado.
Finalmente tengo que agregar que lo bueno de Zentyal es que puede cerrar el servicio https solo a cietos objetos o direcciones ip y no a toda la subred interna, dejando asi a los otros objetos acceso al servicio https. En lo personal lo utilizo en un centro de educacion y el servicio https lo he bloqueado solo para pcs que utilizan los estudiantes, docentes y administrativos no utilizan ultrasurf.
-
De acuerdo con la solución de blady83, tal vez es un poco radical pero a veces no hay otra opción. Es mejor manejar una lista "blanca" con https permitido y no sufrir por el mal uso de los recursos.
Gracias por explicarlo blady83.
-
Creo que todos aqui estamos en lo mismo de bloquear el ultrasurf y mi pregunta es zentyal estara analizando este tema,,
porque la verdad nesecito con urgencia los pasos para bloquear ultrasurf
-
Las estaciones tienen permisos para instalar el software que quieran sus usuarios? empieza a caparlas 8)
-
Señores Buen dia... Soy nuevo en la administracion de estos Firewall y aunque he seguido todos sus pasos casi al pie de la letra no he logrado bloquear esta aplicacion. No entiendo mucho el tema de Iptables y por la interfax grafica de Zentyal ya cerre el puerto 443. Que me hara falta?? :-\
-
Estimados,
Yo solucione el problema con el ultrasurf de la siguiente:
1. Primero instalar IPTRAF
2. buscar las ip con las que se conecta el ultrasurf ejemplo 55.87.100.1:443
y bloqueo el trafico hacia 55.87.100.0/24 por el puerto 443
de esta manera solo bloquearan los rangos y el programa no se podra conectar.
-
Bloquear el puerto 443 por defecto y abrirlo bajo demanda para las paginas de correo, bancos y demas, funciona siempre y cuando no utilices skype, si en tu empresa usas este programa para la comunicacion interna y/o externa, estas frito.
-
Ultrasuft utiliza trafico https para navegar, el trafico https solo pasa por intermedio de Squid cuando es usado como un proxy no transparente, es decir, cuando se lo configura en cada uno de los navegadores de las PCs que hay en la red, entendiendo esto se puede ver que Squid no esta siendo capaz de ver la informaciòn que pasa por ese puerto.
Hay una forma de hacer que Squid en modo transparente funcione interceptando todas las peticiones al puerto 443, pero esto trae aparejado que los navegadores se quejan de que hay algo en el medio que lee todo (se llama Man in the middle [1]) y esto es bastante malo ya que los usuarios se dan cuenta de esto (no es que vamos a leerles los mails pero el navegador piensa eso). Sinceramente esto nunca lo pude lograr, solo he leido del tema.
Otros hablan de usar ufdbguard[2] que es un re-writer para squid, que trata de buscar cosas raras en el puerto 443 y le avisa a Squid, todavía no pude probarlo.
La verdad de la milanesa es que para bloquear TOR a la fecha lo más simple es bloquear el puerto 443 (para peticiones salientes de la red hacia internet) y después ir habilitando las diferentes IPs que queremos permitir la navegación, los primeros dias de este bloqueo son largos, porque todos los usuarios te llaman porque no les anda la web del banco (que usa el puerto 443 SIEMPRE), pero con ir habilitando el puerto 443 para cada IP de cada banco uno resuelve esto en pocos dias.
Ultrasurf (al igual que TOR) tienen una comunidad muy activa para evitar que se los bloquee, no se sientan desafortunados con no poder bloquearlos, estan luchando contra aplicaciones que permiten que usuarios de PAISES (si saltan bloqueos de paises) puedan usar internet sin las restricciones que los gobiernos plantean, es decir, somos una mosca en comparación con los genios que administran los grandes ISPs del mundo tratando de evitar que estas aplicaciones puedan burlarlos a ellos y tambien a nosotros.
Saludos a todos!
gamba47
[1]http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
[2]http://ufdbguard.sourceforge.net/
-
bueno me registre solo para cooperar con la solucion implementada por mi en zentyal y obtenida informacion de bloqueo con pfsense.
1.- primero en zentyal ->CORE->RED->OBJETO
creo un objeto (ej "ultrasurf") y le agrego las siguientes ips/cdr que corresponden a las que usa ultrasurf
65.49.14.0/24
63.215.202.0/24
207.171.185.0/24
207.171.189.0/24
72.21.194.31/32
101.128.162.237/32
175.180.102.77/32
122.120.64.0/24
111.255.130.151/32
1.160.238.30/32
124.12.53.63/32
220.136.246.137/32
70.32.68.127/32
207.171.163.151/32
175.180.85.181/32
129.59.210.101/32
174.24.248.14/32
114.25.182.57/32
114.39.201.136/32
72.21.194.33/32
124.11.175.111/32
61.230.180.191/32
72.21.214.0/24
124.11.174.122/32
207.171.187.117/32
111.254.118.171/32
218.169.205.131/32
112.104.197.114/32
72.21.194.0/24
111.242.22.245/32
220.141.106.42/32
111.250.193.106/32
111.249.177.164/32
114.25.11.175/32
114.39.205.22/32
205.251.242.164/32
72.21.203.148/32
61.223.97.169/32
124.12.53.63/32
65.49.14.0/24
124.11.175.28/32
122.121.19.6/32
65.49.2.13/32
24.11.192.219/32
220.136.246.137/32
63.215.202.6/32
114.40.37.203/32
72.69.176.100/32
114.47.85.88/32
112.105.119.46/32
123.204.125.161/32
184.26.194.70/32
1.169.120.246/32
1.160.0.0/16
1.162.0.0/16
1.168.0.0/16
1.169.0.0/16
1.170.0.0/16
1.171.0.0/16
1.172.0.0/16
1.173.0.0/16
1.174.0.0/16
1.175.0.0/16
114.45.170.0/24
122.124.162.0/24
65.49.14.0/24
61.223.97.0/24
124.12.53.0/24
112.104.197.0/24
124.11.53.0/24
216.13.11.51/32
72.21.211.170/32
122.126.124.13/32
61.230.180.173/32
111.255.145.159/32
101.128.162.237/32
124.11.170.214/32
1.160.120.246/32
124.11.192.176/32
124.12.54.173/32
112.105.77.240/32
220.141.154.81/32
114.47.113.94/32
67.19.60.8/32
64.25.35.201/32
124.12.32.176/32
211.74.191.69/32
64.4.44.80/32
125.230.125.163/32
64.25.35.101/32
175.181.112.39/32
207.171.163.161/32
114.46.161.107/32
2.- en CORTAFUEGOS->FILTRADO DE PAQUETES->REGLAS DE FILTRADO PARA REDES INTERNAS, deniego cualquier origen a objeto de destino (OBJETO CREADO EN PASO ANTERIOR ej "ultrasurf"), servicios todos.
3.- guardar los cambios
y ya deberia estar funcionando ultrasurf intentara conectarse a alguna de sus ips y se queda conectando por siempre y nunca funciona
probado y funcionando en chile el dia 6 de noviembre del 2013
saludos
PD. habia intentado lo de bloquear el puerto 443, pero es un pajeo despues abrir para los bancos, correos y demas.
-
De antemano te puede decir que esto no es una solución.
La lista de IP es larga, pueden usar nuevas IP en cualquier momento y de esta forma es casi imposible bloquearlo efectivamente.
Aun si logras captar todas las IP de ultrasurf, el cortafuego de de Zentyal se cuelga pues no es capaz de manejar todos los rangos.
Lo he probado con facebook y fue un desastre total.
De hecho, la única solución factible es el bloqueo del puerto 443 y luego manejar una lista de destinos autorizados.
Escorpiom.
-
De antemano te puede decir que esto no es una solución.
La lista de IP es larga, pueden usar nuevas IP en cualquier momento y de esta forma es casi imposible bloquearlo efectivamente.
Aun si logras captar todas las IP de ultrasurf, el cortafuego de de Zentyal se cuelga pues no es capaz de manejar todos los rangos.
Lo he probado con facebook y fue un desastre total.
De hecho, la única solución factible es el bloqueo del puerto 443 y luego manejar una lista de destinos autorizados.
Escorpiom.
Es la triste verdad, he llegado a contar 5000 IPs diferentes de Ultrasuft, hay que bloquear todo el mundo para que no te navegue.
Saludos. gamba47
Pd. porque el post dice "SOLUCIONADO" si no es así?? jajaja
-
el tema de si las estaciones tienen permiso instalar software creo que es irrelevante porque ultrasurf es portable y no requiere instalacion
-
el ultrasurf es portable no requiere instalacion
-
amigos en lo personal, quiero opinar
lo primero es levantar GPO en el dominio
y bloquear la instalación de programas a nivel de usuario
-
Buenas tardes, actualmente soy administrador de una red de alrededor de 100 usuarios, entre ellos 3 tipos de perfiles.
Usuarios normales, jefes y servidores.
Dicha red cuenta con 100% equipos windows salvo algunos servidores..
A su vez, esta implementado un controlador de dominio al 95% de los equipos de la institución.
Probé el método de bloquear el puerto 443 y tener una lista blanca a la que dar acceso, pero continuaban los problemas.
De momento el unico metodo que me funciono es instalando el Programa Anti-Ultrasurf ya sea equipo por equipo, o en mi caso a travez del controlador de dominio. Ultrasurf se conecta a los servidores, pero el programa evita que se inicie el trafico.
Dejo el link para que lo prueben.
http://blog.zemana.com/2009/01/zemana-anti-ultrasurf.html
Saludos.
-
Buen día amigos, me acabo de bajar el Zentyal para probar que tal es y veo que es muy amigable, también vi que hay muchas consultas. Y la verdad quiero aportar porque soy nuevo usando esta herramienta.
Use de pruebas Zentyal 3.5 Comunity Edition
- En la sección CORE > Red > Objetos
- A la derecha clic en: Añadir nuevo/a
- Añadimos el objeto: UserGeneral > Guardar Cambios
- En la sección CORE > Red > Servicios
- A la derecha clic en: Añadir nuevo/a
- Nombre del Servicio: MyHTTPS
- Clic en configuración de MyHTTPS y "Añadir Nuevo"
- Protocolo:TCP/UDP | Puerto origen: Cualquiera | Puerto destino: Puerto único 443 -> "Añadir"
- Guardar Cambios
- En la sección GATEWAY > Cortafuegos > Filtrado de paquetes
- A la derecha en "Reglas de filtrado para las redes internas" > clic en "Configurar reglas"
- A la derecha clic en: "Añadir nuevo/a"
- Decisión: Denegar | Origen: Objeto origen = UserGeneral | Destino: Cualquiera | Servicio: MyHTTPS
- Clic en "Añadir"
- Guardar Cambios
- En la sección GATEWAY > Proxy HTTP > Configuración General
- Deshabilitar "Proxy Trasparente" > "Guardar cambios"
- En la sección GATEWAY > Proxy HTTP > Perfiles de Filtrado
- A la derecha clic en: Añadir nuevo/a
- Nombre: BloquearAccesos > Añadir
- Clic en la configuración de "BloquearAccesos"
- Pestaña "Configuración" > Umbral: Medio > clic en "Cambiar"
- Pestaña "Reglas de dominios y URLs" > Clic "Añadir nuevo/a"
- Dominio o URL: facebook.com | Desición: Denegar | Clic en "Añadir"
- Guardar Cambios
Ahora sólo tiene que ir a su navegador y ponerles el proxy y navegarán a todos lados menos a facebook.com. Hice la prueba con Ultrasurf 14.03 y lo único que abrió fue una página con letras chinas. Espero que les sirva, la verdad uso un UTM que no mencionaré la marca (Gateprotect) que me aliviana todo en la empresa. Bueno si encuentro alguna novedad más les aviso. ¡Vamos Boys!
-
Bueno, les voy a contar mi solución 100% contundente a este problema del ultrasurf, tor y bloqueo HTTPS... bueno cómo ya lo explicó por ahí gamba47 sobre lo que es Man in the middle y otras cosas más, la solución más práctica que le pude encontrar a todo esto (obviamente sin comprar firewalls perimetrales costosos), fue redirigir todo el tráfico http y https hacia squid, luego obviamente squid debe estar en modo non-transparent; a la par creas una GPO en AD (o si eres linuxero en tu samba4) para cambiar la configuración de proxy de los usuarios para que apunten a tu proxy y asunto arreglado.... además si quieres más control ya que con esto de las IP dinámicas que cambian en los usuarios, puedes configurar para que tu squid se conecte al AD o a cualquier LDAP server para tener control de acceso por username.
-
Creo que todos aqui estamos en lo mismo de bloquear el ultrasurf y mi pregunta es zentyal estara analizando este tema,,
porque la verdad nesecito con urgencia los pasos para bloquear ultrasurf
No, Zentyal no está enfocando sus esfuerzos al rol UTM.