Quantcast

Bloqueo Ultrasurf

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Bloqueo Ultrasurf

Esteban Torres Rodríguez
Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc....).


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/CA+FbNVhcf-dY1MNNirb7+MbaJn5YPWOH8=_mq9Gq8JqcOqvDRQ@...

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

Camaleón
El Wed, 26 Oct 2011 12:02:57 +0200, Esteban Torres Rodríguez escribió:

> Buenas a todos.
>
> Me he encontrado que algún usuario que está utilizando ultrasurf en su
> windows para saltar los bloqueos del proxy.

Las políticas en los clientes también deben ser efectivas. Por ejemplo,
no deberían poder instalar ninguna aplicación de este tipo si es política
de la empresa que no las puedan usar.

(..)

> Se os ocurre alguna manera de bloquear este tipo de aplicaciones por
> squid?

Pues ni idea, pero me da a mí que esta debe ser una de esas preguntas que
ya se han hecho varios (otra de las "conocidas" es cómo bloquear el
tráfico de Skype :-P):

http://www.google.com/webhp?complete=0&hl=en#sclient=psy-ab&hl=en&complete=0&site=webhp&source=hp&q=ultrasurf+squid+block&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=373125196eda466d&biw=1280&bih=888

> Quiero dejar como última opción el hacerlo sobre las máquinas de los
> clientes (GPO, regedit, etc....).

Es que a veces no hay otra opción y la solución pasa por restringir en el
cliente... otra cosa que no falla es llamar al despacho del director a
los usuarios que lo usan e indicarles que no está permitido hacerlo, por
contrato, que los equipos se monitorizan y que las sanciones por
incumplimiento de contrato van desde XXXX€ hasta el despido >:-)

Saludos,

--
Camaleón


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/pan.2011.10.26.11.11.06@...

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

Antonio-90
In reply to this post by Esteban Torres Rodríguez
El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:

> Buenas a todos.
>
> Me he encontrado que algún usuario que está utilizando ultrasurf en su
> windows para saltar los bloqueos del proxy.
>
> Yo tengo una directiva de dominio que configura automaticamente el
> proxy en los clientes, pero los usuarios pueden instalarse el
> ultrasurf que mediante script modifica la configuración del proxy
> local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
> puerto 443 hacia servidores externos y salta toda restricción del
> proxy y firewall.
>
> He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
> el puerto 9666 se abre localmente en las máquinas. He intentado
> hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
> acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
> (osea, múltiples y no muy operativo).
>
> He intentado bajarme el fichero que utiliza dansguardian para bloquear
> este tipo de proxys, pero este fichero no se actualiza y tampoco creo
> que sería válida la opción.
>
> Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?
>
> Quiero dejar como última opción el hacerlo sobre las máquinas de los
> clientes (GPO, regedit, etc....).
>
>
Si tus usuarios en la máquina local tienen permisos de instalación, o un
usuario que puede instalar software, lo tienes difícil.
Te están pidiendo que controles algo que de esta manera no puedes
controlar.
Los usuarios tienen que trabajar con un usuario con los mínimos
privilegios posibles, se supone que es para trabajar, para administrar,
instalar y configurar ya están otras personas.
Suerte y un saludo.


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/4EA7EFD6.5010403@...

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

Angel A. Guadarrama B.-2


El 26 de octubre de 2011 07:02, Antonio <[hidden email]> escribió:
El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:
Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc....).


Si tus usuarios en la máquina local tienen permisos de instalación, o un usuario que puede instalar software, lo tienes difícil.
Te están pidiendo que controles algo que de esta manera no puedes controlar.
Los usuarios tienen que trabajar con un usuario con los mínimos privilegios posibles, se supone que es para trabajar, para administrar, instalar y configurar ya están otras personas.
Suerte y un saludo.


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/4EA7EFD6.5010403@...


Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas aplicaciones o servicios no utilizan dominios especificos, prueba a ver como te va.

acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
http_access deny numeric_IPs
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

C. L. Martinez
On 10/26/2011 02:02 PM, fr33Co wrote:

>
>
> El 26 de octubre de 2011 07:02, Antonio <[hidden email]
> <mailto:[hidden email]>> escribió:
>
>     El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:
>
>         Buenas a todos.
>
>         Me he encontrado que algún usuario que está utilizando ultrasurf
>         en su
>         windows para saltar los bloqueos del proxy.
>
>         Yo tengo una directiva de dominio que configura automaticamente el
>         proxy en los clientes, pero los usuarios pueden instalarse el
>         ultrasurf que mediante script modifica la configuración del proxy
>         local de los windows y pone la 127.0.0.1:9666
>         <http://127.0.0.1:9666>, hace un tunel por el
>         puerto 443 hacia servidores externos y salta toda restricción del
>         proxy y firewall.
>
>         He intentado bloquearlo por firewall, bloqueando el puerto 9666,
>         pero
>         el puerto 9666 se abre localmente en las máquinas. He intentado
>         hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
>         acceso a aquellas paginas que sean conocidas y utilizen el
>         puerto 443
>         (osea, múltiples y no muy operativo).
>
>         He intentado bajarme el fichero que utiliza dansguardian para
>         bloquear
>         este tipo de proxys, pero este fichero no se actualiza y tampoco
>         creo
>         que sería válida la opción.
>
>         Se os ocurre alguna manera de bloquear este tipo de aplicaciones
>         por squid?
>
>         Quiero dejar como última opción el hacerlo sobre las máquinas de los
>         clientes (GPO, regedit, etc....).
>
>
>     Si tus usuarios en la máquina local tienen permisos de instalación,
>     o un usuario que puede instalar software, lo tienes difícil.
>     Te están pidiendo que controles algo que de esta manera no puedes
>     controlar.
>     Los usuarios tienen que trabajar con un usuario con los mínimos
>     privilegios posibles, se supone que es para trabajar, para
>     administrar, instalar y configurar ya están otras personas.
>     Suerte y un saludo.
>

>
> Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
> aplicaciones o servicios no utilizan dominios especificos, prueba a ver
> como te va.
>
> acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
> http_access deny numeric_IPs

Esta es una buena opción ... Las otras dos que te quedan es utilizar un
filtrador de contenidos (ahora mismo solo se me ocurren productos
comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En
el caso del IPS debe estar antes del proxy.

Saludos.

--
CL Martinez
carlopmart {at} gmail {d0t} com


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/4EA7F869.2070509@...

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

Esteban Torres Rodríguez
El día 26 de octubre de 2011 14:09, carlopmart <[hidden email]> escribió:

> On 10/26/2011 02:02 PM, fr33Co wrote:
>>
>>
>> El 26 de octubre de 2011 07:02, Antonio <[hidden email]
>> <mailto:[hidden email]>> escribió:
>>
>>    El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:
>>
>>        Buenas a todos.
>>
>>        Me he encontrado que algún usuario que está utilizando ultrasurf
>>        en su
>>        windows para saltar los bloqueos del proxy.
>>
>>        Yo tengo una directiva de dominio que configura automaticamente el
>>        proxy en los clientes, pero los usuarios pueden instalarse el
>>        ultrasurf que mediante script modifica la configuración del proxy
>>        local de los windows y pone la 127.0.0.1:9666
>>        <http://127.0.0.1:9666>, hace un tunel por el
>>        puerto 443 hacia servidores externos y salta toda restricción del
>>        proxy y firewall.
>>
>>        He intentado bloquearlo por firewall, bloqueando el puerto 9666,
>>        pero
>>        el puerto 9666 se abre localmente en las máquinas. He intentado
>>        hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
>>        acceso a aquellas paginas que sean conocidas y utilizen el
>>        puerto 443
>>        (osea, múltiples y no muy operativo).
>>
>>        He intentado bajarme el fichero que utiliza dansguardian para
>>        bloquear
>>        este tipo de proxys, pero este fichero no se actualiza y tampoco
>>        creo
>>        que sería válida la opción.
>>
>>        Se os ocurre alguna manera de bloquear este tipo de aplicaciones
>>        por squid?
>>
>>        Quiero dejar como última opción el hacerlo sobre las máquinas de
>> los
>>        clientes (GPO, regedit, etc....).
>>
>>
>>    Si tus usuarios en la máquina local tienen permisos de instalación,
>>    o un usuario que puede instalar software, lo tienes difícil.
>>    Te están pidiendo que controles algo que de esta manera no puedes
>>    controlar.
>>    Los usuarios tienen que trabajar con un usuario con los mínimos
>>    privilegios posibles, se supone que es para trabajar, para
>>    administrar, instalar y configurar ya están otras personas.
>>    Suerte y un saludo.

Esta opción la he probado y funciona, pero es mas ruidosa ( ya que hay
que actuar sobre todos los clientes) y ahora mismo mis jefes quieren
hacer el menor ruido posible. Además que los clientes tienen pocas GPO
aplicadas, por no decir que solo tienen la que configura
automáticamente el proxy.

>>
>
>>
>> Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
>> aplicaciones o servicios no utilizan dominios especificos, prueba a ver
>> como te va.
>>
>> acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
>> http_access deny numeric_IPs


No me ha funcionado esto. De hecho ya lo habia probado para bloquear
el skype y no me habia funcionado.

El rollo creo que está en que este tipo de aplicaciones utiliza el
puerto 443 y tendría que filtrar lo que pasa por ese puerto.


>
> Esta es una buena opción ... Las otras dos que te quedan es utilizar un
> filtrador de contenidos (ahora mismo solo se me ocurren productos
> comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En el
> caso del IPS debe estar antes del proxy.
>
> Saludos.
>
> --
> CL Martinez
> carlopmart {at} gmail {d0t} com
>
>
> --
> To UNSUBSCRIBE, email to [hidden email]
> with a subject of "unsubscribe". Trouble? Contact
> [hidden email]
> Archive: http://lists.debian.org/4EA7F869.2070509@...
>
>


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/CA+FbNVjz5Sf6PN8SHqL+i7NPmSbYZGRzFQNnNqX=XWXmOqL67g@...

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

C. L. Martinez
On 10/26/2011 02:50 PM, Esteban Torres Rodríguez wrote:

> El día 26 de octubre de 2011 14:09, carlopmart<[hidden email]>  escribió:
>> On 10/26/2011 02:02 PM, fr33Co wrote:
>>>
>>>
>>> El 26 de octubre de 2011 07:02, Antonio<[hidden email]
>>> <mailto:[hidden email]>>  escribió:
>>>
>>>     El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:
>>>
>>>         Buenas a todos.
>>>
>>>         Me he encontrado que algún usuario que está utilizando ultrasurf
>>>         en su
>>>         windows para saltar los bloqueos del proxy.
>>>
>>>         Yo tengo una directiva de dominio que configura automaticamente el
>>>         proxy en los clientes, pero los usuarios pueden instalarse el
>>>         ultrasurf que mediante script modifica la configuración del proxy
>>>         local de los windows y pone la 127.0.0.1:9666
>>>         <http://127.0.0.1:9666>, hace un tunel por el
>>>         puerto 443 hacia servidores externos y salta toda restricción del
>>>         proxy y firewall.
>>>
>>>         He intentado bloquearlo por firewall, bloqueando el puerto 9666,
>>>         pero
>>>         el puerto 9666 se abre localmente en las máquinas. He intentado
>>>         hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
>>>         acceso a aquellas paginas que sean conocidas y utilizen el
>>>         puerto 443
>>>         (osea, múltiples y no muy operativo).
>>>
>>>         He intentado bajarme el fichero que utiliza dansguardian para
>>>         bloquear
>>>         este tipo de proxys, pero este fichero no se actualiza y tampoco
>>>         creo
>>>         que sería válida la opción.
>>>
>>>         Se os ocurre alguna manera de bloquear este tipo de aplicaciones
>>>         por squid?
>>>
>>>         Quiero dejar como última opción el hacerlo sobre las máquinas de
>>> los
>>>         clientes (GPO, regedit, etc....).
>>>
>>>
>>>     Si tus usuarios en la máquina local tienen permisos de instalación,
>>>     o un usuario que puede instalar software, lo tienes difícil.
>>>     Te están pidiendo que controles algo que de esta manera no puedes
>>>     controlar.
>>>     Los usuarios tienen que trabajar con un usuario con los mínimos
>>>     privilegios posibles, se supone que es para trabajar, para
>>>     administrar, instalar y configurar ya están otras personas.
>>>     Suerte y un saludo.
>
> Esta opción la he probado y funciona, pero es mas ruidosa ( ya que hay
> que actuar sobre todos los clientes) y ahora mismo mis jefes quieren
> hacer el menor ruido posible. Además que los clientes tienen pocas GPO
> aplicadas, por no decir que solo tienen la que configura
> automáticamente el proxy.
>
>>>
>>
>>>
>>> Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
>>> aplicaciones o servicios no utilizan dominios especificos, prueba a ver
>>> como te va.
>>>
>>> acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
>>> http_access deny numeric_IPs
>
>
> No me ha funcionado esto. De hecho ya lo habia probado para bloquear
> el skype y no me habia funcionado.
>
> El rollo creo que está en que este tipo de aplicaciones utiliza el
> puerto 443 y tendría que filtrar lo que pasa por ese puerto.
>
>
>>
>> Esta es una buena opción ... Las otras dos que te quedan es utilizar un
>> filtrador de contenidos (ahora mismo solo se me ocurren productos
>> comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En el
>> caso del IPS debe estar antes del proxy.
>>
>> Saludos.
>>
>> --

Para filtrar SSL vas a tener que recurrir a un IPS comercial ... Otra
opción que se me ocurre es, ¿las IPs de conexión ultrasurf aparecen en
esta lista:

http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RussianBusinessNetworkIPs.txt
http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RBN_IP_List_Update_10-6-2011.txt 
??

Si es así puedes parsear esas IP's y cargarlas en el firewall de forma
diaria ... Yo llevo utilizando esa lista durante 3 años y solo he tenido
un problema, y fue banal....

Otra opción sería momtar un blackhole DNS, pero también tienes que
conocer las IPs y los dominios a los que conecta Ultrasurf ...

A ver que dice san google ... Hombre, otra idea interesante:

http://osvaldohp.blogspot.com/2011/01/barrando-o-ultrasurf-politica-de.html

Puedes monitorizar unos días y montar la blacklist a partir de ahí ... E
incluso podrías dejar un daemonlogger en background y recargar la lista
cada hora o tiempo que estimes ...

Indudablemente la solución más limpia es un IPS con capacidad de
filtrado SSL ... Pero estas otras opciones te puden valer dependiendo de
la carga de tráfico web que tengas, peticiones simultaneas que recibe el
proxy, etc ... Eso es algo que solo tu sabes.

Saludos.






--
CL Martinez
carlopmart {at} gmail {d0t} com


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/4EA80C4E.5050701@...

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

jose perez-9
In reply to this post by Esteban Torres Rodríguez
Usa el nod32 en tus clientes y listo, el nod lo detectara como una aplicacion indeseable y quedara inutilizable.
 
Saludos,
jose


 
2011/10/26 Esteban Torres Rodríguez <[hidden email]>
Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc....).


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/CA+FbNVhcf-dY1MNNirb7+MbaJn5YPWOH8_mq9Gq8JqcOqvDRQ@...




--
Jose Perez O.
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Bloqueo Ultrasurf

Go Go
In reply to this post by Esteban Torres Rodríguez

La opcion q han comentado sobre el parseo de ips de ultrasurf me parece la forma correcta de hacerlo.otra posibilidad es q como los proxys usan el protocolo http tendria q utilizar algun tipo de "user agent" especifico q podrias bloquear con squid o iptables sin necesidad de ir ip por ip.

El 26/10/2011 12:03, "Esteban Torres Rodríguez" <[hidden email]> escribió:
Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc....).


--
To UNSUBSCRIBE, email to [hidden email]
with a subject of "unsubscribe". Trouble? Contact [hidden email]
Archive: http://lists.debian.org/CA+FbNVhcf-dY1MNNirb7+MbaJn5YPWOH8_mq9Gq8JqcOqvDRQ@...

Loading...