Zentyal Forum, Linux Small Business Server

International => Spanish => Topic started by: blady83 on September 22, 2011, 04:24:58 am

Title: Bloquear Ultrasurf - SOLUCIONADO
Post by: blady83 on September 22, 2011, 04:24:58 am
Me he encontrado con ultrasurf, un software que permite navegar en cualquier sitio web bloqueado con zentyal, en este foro he visto soluciones como el proxy transparente, reglas de firewall e incluso el dns, pero al saber de este software desconozco si hay algún método de poder bloquearlo. ¿Alguien se ha encontrado con este software en sus redes?

Quizá los clientes no sepan de la existencia de este software, y hasta entonces el bloqueo ha de ejecutarse de maravilla, pero el inconveniente es que si solo uno lo llega a conocer la noticia se propaga por todos lados, es lo que me ha pasado.. ¿Alguna idea de bloquearlo?

Los que no han escuchado de este programa aqui un link:
http://ultrasurf.es/articulos/acceder-a-sitios-bloqueados-con-ultrasurf
Title: Re: Bloquear Ultrasurf
Post by: cabildocl on September 22, 2011, 06:10:07 pm
En el proxy puede subir una blacklist y bloquear la categoria proxy.

Saludos
Title: Re: Bloquear Ultrasurf
Post by: ubuntu2008 on October 03, 2011, 04:49:09 pm
aqui en este mismo foro encontre un comando de iptables que me funciono a la perfeccion pero no funciona para proxy transparente ya que bloquea el https, pero en modo normal el https lo dara el proxy hacia las maquinas asi que no te dara problemas

IPTABLES -t mangle -I POSTROUTING -p tcp -s 10.110.6.10/24 -o eth0 --dport 443 -j DROP

cambia 10.110.10.0/24 por tu red local y eth0 por la tarjeta que tengas como externa

prueba y me comentas lo aplique en 2 servidores zentyal y lo bloquean a la perfeccion
Title: Re: Bloquear Ultrasurf
Post by: jsalamero on October 04, 2011, 05:23:18 am
Esa misma regla la puedes hacer a través del interfaz de Zentyal en tráfico para redes internas.
Title: Re: Bloquear Ultrasurf
Post by: jvallecillo on October 04, 2011, 10:35:40 pm
aqui en este mismo foro encontre un comando de iptables que me funciono a la perfeccion pero no funciona para proxy transparente ya que bloquea el https, pero en modo normal el https lo dara el proxy hacia las maquinas asi que no te dara problemas

IPTABLES -t mangle -I POSTROUTING -p tcp -s 10.110.6.10/24 -o eth0 --dport 443 -j DROP

cambia 10.110.10.0/24 por tu red local y eth0 por la tarjeta que tengas como externa

prueba y me comentas lo aplique en 2 servidores zentyal y lo bloquean a la perfeccion
Yo también he intentado bloquearlo pero agregando IPs de los proxies a los que se conecta, algo que resulta casi imposible debido a la cantidad de nuevas IPs que salen con el cambio de versiñon de ultraSurf.
¿Con el DROP al puerto 443 no te quedás sin conexiones seguras?
Title: Re: Bloquear Ultrasurf
Post by: ubuntu2008 on October 11, 2011, 04:21:21 pm
no porque lo estas haciendo de forma local, las conexiones seguras las recibe el proxy por la interfaz externa y enviadolas a las estaciones de trabajo pero bloquea localmente la salida del ultrasurf, por eso motivo no funciona de forma transparente
Title: Re: Bloquear Ultrasurf
Post by: memoxxxx on October 18, 2011, 01:58:05 am
Todo el tráfico de ultrasurf se va "entunelado" por HTTPS.

En mi caso, dentro de la red que administro, se trataba de sólo un usuario a quien descubrí haciendo uso de ese programa.

Como por lo general el tráfico HTTPS es de autenticación para acceder a algunos sitios, la solución que me funcionó fue usando Traffic Shaping, asignándole sólo a ese usuario una tasa de 60 Kb/s (la mínima que permite Zentyal) al servicio HTTPS. Para esto debes agregar HTTPS como un servicio en el puerto TCP 443.

Con esa velocidad la navegación usando ultrasurf se hace prácticamente inutilizable y con esto disuades al usuario.

Espero te sirva...

Edit: En mi red uso el Proxy Transparente.

¿Alguien sugiere una mejor solución?
Title: Re: Bloquear Ultrasurf
Post by: blady83 on October 18, 2011, 05:00:10 am
¿Te  funciona el traffic shaping? estuve leyendo por ahí y según el traffic shaping no funciona con proxy transparente

http://forum.zentyal.org/index.php/topic,1980.msg8331.html#msg8331
Title: Re: Bloquear Ultrasurf
Post by: jvallecillo on October 18, 2011, 06:15:42 pm
no porque lo estas haciendo de forma local, las conexiones seguras las recibe el proxy por la interfaz externa y enviadolas a las estaciones de trabajo pero bloquea localmente la salida del ultrasurf, por eso motivo no funciona de forma transparente
Muchas gracias por la aclaración.
Procedo a probarlo

Todo el tráfico de ultrasurf se va "entunelado" por HTTPS.

En mi caso, dentro de la red que administro, se trataba de sólo un usuario a quien descubrí haciendo uso de ese programa.

Como por lo general el tráfico HTTPS es de autenticación para acceder a algunos sitios, la solución que me funcionó fue usando Traffic Shaping, asignándole sólo a ese usuario una tasa de 60 Kb/s (la mínima que permite Zentyal) al servicio HTTPS. Para esto debes agregar HTTPS como un servicio en el puerto TCP 443.

Con esa velocidad la navegación usando ultrasurf se hace prácticamente inutilizable y con esto disuades al usuario.

Espero te sirva...

Edit: En mi red uso el Proxy Transparente.

¿Alguien sugiere una mejor solución?
gracias también
Title: Re: Bloquear Ultrasurf
Post by: blady83 on October 21, 2011, 03:48:14 am
He aplicado la alternativa que sugiere memoxxxx, pero el traffic shaping no funciona junto con el proxy, sería muy bueno aplicar las 2 opciones pero no me ha sido posible, sin embargo por ahora solo estoy aplicando el traffic shaping ya que me resulta mejor que el proxy, cuando tenía activado el proxy en las horas pico la navegación era muy lenta, lo que he hecho es limitar con traffic shaping el puerto https (el que utiliza ultrasurf), el streaming_video, p2p, game. Con eso por ahora navegamos mejor.
Title: Bloquear Ultrasurf - Solucionado
Post by: blady83 on November 14, 2011, 06:19:16 pm
Como es de conocimiento ultrasurf utiliza el puerto 443 para poder navegar a cualquier sitio denegado por el proxy transparente, la solucion que he implementado es crear el servicio https con numero de puerto 443 y bloquear este servicio con el firewall en Reglas de filtrado para las redes internas. (algo similar cuando cerramos el acceso a https://www.facebook.com)

Decisión:    Denegar
Origen:    Objeto a bloquear
Destino:    Cualquiera
Servicio:    https

Ahora bien, haciendo esto se cierra el acceso a todas aquellas paginas seguras como bancos, hotmail, gmail y las muchas que existen, para resolver esto he creado un objeto "Permitidoshttps" con el rango de direcciones IP de hotmail, gmail, yahoo y otras paginas a las que deseamos dar acceso. (Para este procedimiento utilice http://whois.arin.net/ui) Finalmente he creado otra regla en el firewall permitiendo el acceso a estos sitios:

Decisión:    Aceptar
Origen:    Objeto o direccion ip
Destino:    permitidoshttps
Servicio:    https

De esta forma se esta dando acceso a las paginas seguras en el objeto Permitidoshttps y el ultrasurf esta bloqueado.
Finalmente tengo que agregar que lo bueno de Zentyal es que puede cerrar el servicio https solo a cietos objetos o direcciones ip y no a toda la subred interna, dejando asi a los otros objetos acceso al servicio https. En lo personal lo utilizo en un centro de educacion y el servicio https lo he bloqueado solo para pcs que utilizan los estudiantes, docentes y administrativos no utilizan ultrasurf.
Title: Re: Bloquear Ultrasurf - Solucionado
Post by: Escorpiom on November 15, 2011, 10:25:06 am
De acuerdo con la solución de blady83, tal vez es un poco radical pero a veces no hay otra opción. Es mejor manejar una lista "blanca" con https permitido y no sufrir por el mal uso de los recursos.
Gracias por explicarlo blady83.
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: systemmichael on February 02, 2012, 07:19:37 pm
Creo que todos aqui estamos en lo mismo de bloquear el ultrasurf y mi pregunta es zentyal estara analizando este tema,,

porque la verdad nesecito con urgencia los pasos para bloquear ultrasurf

Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: vix on February 02, 2012, 07:35:57 pm
Las estaciones tienen permisos para instalar el software que quieran sus usuarios? empieza a caparlas  8)
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: Dromito on March 23, 2012, 05:54:52 pm
Señores Buen dia... Soy nuevo en la administracion de estos Firewall y aunque he seguido todos sus pasos casi al pie de la letra no he logrado bloquear esta aplicacion. No entiendo mucho el tema de Iptables y por la interfax grafica de Zentyal ya cerre el puerto 443. Que me hara falta?? :-\
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: janus225 on June 26, 2013, 05:15:24 am
Estimados,
Yo solucione el problema con el ultrasurf de la siguiente:
1. Primero instalar IPTRAF
2. buscar las ip con las que se conecta el ultrasurf ejemplo 55.87.100.1:443
y bloqueo el trafico hacia 55.87.100.0/24 por el puerto 443
de esta manera solo bloquearan los rangos y el programa no se podra conectar.
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: orozcopc on August 27, 2013, 10:40:08 pm
Bloquear el puerto 443 por defecto y abrirlo bajo demanda para las paginas de correo, bancos y demas, funciona siempre y cuando no utilices skype, si en tu empresa usas este programa para la comunicacion interna y/o externa, estas frito.
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: gamba47 on September 21, 2013, 06:29:37 pm
Ultrasuft utiliza trafico https para navegar, el trafico https solo pasa por intermedio de Squid cuando es usado como un proxy no transparente, es decir, cuando se lo configura en cada uno de los navegadores de las PCs que hay en la red, entendiendo esto se puede ver que Squid no esta siendo capaz de ver la informaciòn que pasa por ese puerto.

Hay una forma de hacer que Squid en modo transparente funcione interceptando todas las peticiones al puerto 443, pero esto trae aparejado que los navegadores se quejan de que hay algo en el medio que lee todo (se llama Man in the middle [1]) y esto es bastante malo ya que los usuarios se dan cuenta de esto (no es que vamos a leerles los mails pero el navegador piensa eso). Sinceramente esto nunca lo pude lograr, solo he leido del tema.

Otros hablan de usar ufdbguard[2] que es un re-writer para squid, que trata de buscar cosas raras en el puerto 443 y le avisa a Squid, todavía no pude probarlo.

La verdad de la milanesa es que para bloquear TOR a la fecha lo más simple es bloquear el puerto 443 (para peticiones salientes de la red hacia internet) y después ir habilitando las diferentes IPs que queremos permitir la navegación, los primeros dias de este bloqueo son largos, porque todos los usuarios te llaman porque no les anda la web del banco (que usa el puerto 443 SIEMPRE), pero con ir habilitando el puerto 443 para cada IP de cada banco uno resuelve esto en pocos dias.

Ultrasurf (al igual que TOR) tienen una comunidad muy activa para evitar que se los bloquee, no se sientan desafortunados con no poder bloquearlos, estan luchando contra aplicaciones que permiten que usuarios de PAISES (si saltan bloqueos de paises) puedan usar internet sin las restricciones que los gobiernos plantean, es decir, somos una mosca en comparación con los genios que administran los grandes ISPs del mundo tratando de evitar que estas aplicaciones puedan burlarlos a ellos y tambien a nosotros.

Saludos a todos!

gamba47

[1]http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
[2]http://ufdbguard.sourceforge.net/
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: ChAzZ on November 06, 2013, 10:30:19 pm
bueno me registre solo para cooperar con la solucion implementada por mi en zentyal y obtenida informacion de bloqueo con pfsense.

1.- primero en zentyal ->CORE->RED->OBJETO
creo un objeto (ej "ultrasurf") y le agrego las siguientes ips/cdr que corresponden a las que usa ultrasurf

65.49.14.0/24
63.215.202.0/24
207.171.185.0/24
207.171.189.0/24
72.21.194.31/32
101.128.162.237/32
175.180.102.77/32
122.120.64.0/24
111.255.130.151/32
1.160.238.30/32
124.12.53.63/32
220.136.246.137/32
70.32.68.127/32
207.171.163.151/32
175.180.85.181/32
129.59.210.101/32
174.24.248.14/32
114.25.182.57/32
114.39.201.136/32
72.21.194.33/32
124.11.175.111/32
61.230.180.191/32
72.21.214.0/24
124.11.174.122/32
207.171.187.117/32
111.254.118.171/32
218.169.205.131/32
112.104.197.114/32
72.21.194.0/24
111.242.22.245/32
220.141.106.42/32
111.250.193.106/32
111.249.177.164/32
114.25.11.175/32
114.39.205.22/32
205.251.242.164/32
72.21.203.148/32
61.223.97.169/32
124.12.53.63/32
65.49.14.0/24
124.11.175.28/32
122.121.19.6/32
65.49.2.13/32
24.11.192.219/32
220.136.246.137/32
63.215.202.6/32
114.40.37.203/32
72.69.176.100/32
114.47.85.88/32
112.105.119.46/32
123.204.125.161/32
184.26.194.70/32
1.169.120.246/32
1.160.0.0/16
1.162.0.0/16
1.168.0.0/16
1.169.0.0/16
1.170.0.0/16
1.171.0.0/16
1.172.0.0/16
1.173.0.0/16
1.174.0.0/16
1.175.0.0/16
114.45.170.0/24
122.124.162.0/24
65.49.14.0/24
61.223.97.0/24
124.12.53.0/24
112.104.197.0/24
124.11.53.0/24
216.13.11.51/32
72.21.211.170/32
122.126.124.13/32
61.230.180.173/32
111.255.145.159/32
101.128.162.237/32
124.11.170.214/32
1.160.120.246/32
124.11.192.176/32
124.12.54.173/32
112.105.77.240/32
220.141.154.81/32
114.47.113.94/32
67.19.60.8/32
64.25.35.201/32
124.12.32.176/32
211.74.191.69/32
64.4.44.80/32
125.230.125.163/32
64.25.35.101/32
175.181.112.39/32
207.171.163.161/32
114.46.161.107/32

2.- en CORTAFUEGOS->FILTRADO DE PAQUETES->REGLAS DE FILTRADO PARA REDES INTERNAS, deniego cualquier origen a objeto de destino (OBJETO CREADO EN PASO ANTERIOR ej "ultrasurf"), servicios todos.

3.- guardar los cambios

y ya deberia estar funcionando ultrasurf intentara conectarse a alguna de sus ips y se queda conectando por siempre y nunca funciona
probado y funcionando en chile el dia 6 de noviembre del 2013

saludos

PD. habia intentado lo de bloquear el puerto 443, pero es un pajeo despues abrir para los bancos, correos y demas.

Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: Escorpiom on November 07, 2013, 06:23:01 pm
De antemano te puede decir que esto no es una solución.
La lista de IP es larga, pueden usar nuevas IP en cualquier momento y de esta forma es casi imposible bloquearlo efectivamente.
Aun si logras captar todas las IP de ultrasurf, el cortafuego de de Zentyal se cuelga pues no es capaz de manejar todos los rangos.
Lo he probado con facebook y fue un desastre total.

De hecho, la única solución factible es el bloqueo del puerto 443 y luego manejar una lista de destinos autorizados.

Escorpiom.
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: gamba47 on November 07, 2013, 11:35:53 pm
De antemano te puede decir que esto no es una solución.
La lista de IP es larga, pueden usar nuevas IP en cualquier momento y de esta forma es casi imposible bloquearlo efectivamente.
Aun si logras captar todas las IP de ultrasurf, el cortafuego de de Zentyal se cuelga pues no es capaz de manejar todos los rangos.
Lo he probado con facebook y fue un desastre total.

De hecho, la única solución factible es el bloqueo del puerto 443 y luego manejar una lista de destinos autorizados.

Escorpiom.

Es la triste verdad, he llegado a contar 5000 IPs diferentes de Ultrasuft, hay que bloquear todo el mundo para que no te navegue.

Saludos. gamba47

Pd. porque el post dice "SOLUCIONADO" si no es así?? jajaja
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: joseuzin on January 27, 2014, 12:50:03 pm
el tema de si las estaciones tienen permiso instalar software creo que es irrelevante porque ultrasurf es portable y no requiere instalacion
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: joseuzin on January 27, 2014, 12:52:30 pm
el ultrasurf es portable no requiere instalacion
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: eavila on March 16, 2014, 12:58:00 am
amigos en lo personal, quiero opinar

lo primero es levantar GPO en el dominio
y bloquear la instalación de programas a nivel de usuario




Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: shadow1boot on March 21, 2014, 07:58:01 pm
Buenas tardes, actualmente soy administrador de una red de alrededor de 100 usuarios, entre ellos 3 tipos de perfiles.

Usuarios normales, jefes y servidores.

Dicha red cuenta con 100% equipos windows salvo algunos servidores..
A su vez, esta implementado un controlador de dominio al 95% de los equipos de la institución.

Probé el método de bloquear el puerto 443 y tener una lista blanca a la que dar acceso, pero continuaban los problemas.

De momento el unico metodo que me funciono es instalando el Programa Anti-Ultrasurf ya sea equipo por equipo, o en mi caso a travez del controlador de dominio. Ultrasurf se conecta a los servidores, pero el programa evita que se inicie el trafico.

Dejo el link para que lo prueben.

http://blog.zemana.com/2009/01/zemana-anti-ultrasurf.html


Saludos.
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: moshe on August 22, 2014, 05:48:37 am
Buen día amigos, me acabo de bajar el Zentyal para probar que tal es y veo que es muy amigable, también vi que hay muchas consultas. Y la verdad quiero aportar porque soy nuevo usando esta herramienta.

Use de pruebas Zentyal 3.5 Comunity Edition

- En la sección CORE > Red > Objetos
- A la derecha clic en: Añadir nuevo/a
- Añadimos el objeto: UserGeneral > Guardar Cambios

- En la sección CORE > Red > Servicios
- A la derecha clic en: Añadir nuevo/a
- Nombre del Servicio: MyHTTPS
- Clic en configuración de MyHTTPS y "Añadir Nuevo"
- Protocolo:TCP/UDP | Puerto origen: Cualquiera | Puerto destino: Puerto único 443 -> "Añadir"
- Guardar Cambios

- En la sección GATEWAY > Cortafuegos > Filtrado de paquetes
- A la derecha en "Reglas de filtrado para las redes internas" > clic en "Configurar reglas"
- A la derecha clic en: "Añadir nuevo/a"
- Decisión: Denegar | Origen: Objeto origen = UserGeneral | Destino: Cualquiera | Servicio: MyHTTPS
- Clic en "Añadir"
- Guardar Cambios

- En la sección GATEWAY > Proxy HTTP > Configuración General
- Deshabilitar "Proxy Trasparente" > "Guardar cambios"

- En la sección GATEWAY > Proxy HTTP > Perfiles de Filtrado
- A la derecha clic en: Añadir nuevo/a
- Nombre: BloquearAccesos > Añadir
- Clic en la configuración de "BloquearAccesos"
- Pestaña "Configuración" > Umbral: Medio > clic en "Cambiar"
- Pestaña "Reglas de dominios y URLs" > Clic "Añadir nuevo/a"
- Dominio o URL: facebook.com | Desición: Denegar | Clic en "Añadir"
- Guardar Cambios

Ahora sólo tiene que ir a su navegador y ponerles el proxy y navegarán a todos lados menos a facebook.com. Hice la prueba con Ultrasurf 14.03 y lo único que abrió fue una página con letras chinas. Espero que les sirva, la verdad uso un UTM que no mencionaré la marca (Gateprotect) que me aliviana todo en la empresa. Bueno si encuentro alguna novedad más les aviso. ¡Vamos Boys!
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: diegofd77 on July 24, 2016, 03:37:59 pm
Bueno, les voy a contar mi solución 100% contundente a este problema del ultrasurf, tor y bloqueo HTTPS... bueno cómo ya lo explicó por ahí gamba47 sobre lo que es Man in the middle y otras cosas más, la solución más práctica que le pude encontrar a todo esto (obviamente sin comprar firewalls perimetrales costosos), fue redirigir todo el tráfico http y https hacia squid, luego obviamente squid debe estar en modo non-transparent; a la par creas una GPO en AD (o si eres linuxero en tu samba4) para cambiar la configuración de proxy de los usuarios para que apunten a tu proxy y asunto arreglado.... además si quieres más control ya que con esto de las IP dinámicas que cambian en los usuarios, puedes configurar para que tu squid se conecte al AD o a cualquier LDAP server para tener control de acceso por username.
Title: Re: Bloquear Ultrasurf - SOLUCIONADO
Post by: rrch on November 04, 2016, 08:48:52 pm
Creo que todos aqui estamos en lo mismo de bloquear el ultrasurf y mi pregunta es zentyal estara analizando este tema,,

porque la verdad nesecito con urgencia los pasos para bloquear ultrasurf

No, Zentyal no está enfocando sus esfuerzos al rol UTM.