Bloquear Ultrasurf [RESOLVIDO]

mleno
(usa Debian)

Enviado em 15/02/2011 - 08:46h

Olá Companheiros,
Sou administrador de rede e gostaria de saber como faço para bloquear o Ultrasurf de uma forma bem prática. Lembrando que uso Proxy Transparente (Squid) e meus usuários precisam usar https. Esses posts que li por aqui nenhum funcionou de forma eficiente. Obrigado e espero a colaboração de vcs pois este é o meu primeiro post.

magnolinux
(usa Debian)

Enviado em 15/02/2011 - 10:52h

Amigo, esse programa é muito complicado de se bloquear... A unica forma que conseguir foi fechar todas as portas de saida no firewall e bloquear todo acesso a http e https.. No caso vc irá liberando a medida que forem solicitados. è muito trabalhoso, mais a unica solução que encontrei.

abraço

removido
(usa Nenhuma)

Enviado em 15/02/2011 - 16:26h

Segue alguns links para te auxiliar.


http://www.vivaolinux.com.br/dica/Bloqueando-o-Ultrasurf-10.04
http://under-linux.org/f96/bloqueio-do-ultrasurf-137040/


Qualquer coisa posta aí.

Abraço.

/bin/laden
(usa Void Linux)

Enviado em 15/02/2011 - 17:30h

Outra forma que também já vi, foi essa, atráves de ACL e método CONNECT do Squid:

acl ULTRASURF dstdom_regex -i ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}($|:.+|/))
http_access deny CONNECT ULTRASURF

Não sei se funfa! Mas tenta aí.

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 17:39h

Não seria mais fácil simplesmente impedir a instalação do Ultrasurf?

Tem gente que gosta de arrancar o mato sem a raiz, sabe-se-lá o porque...

/bin/laden
(usa Void Linux)

Enviado em 15/02/2011 - 17:51h

O problema é que o tal do ultrasurf não necessita de instalação para ser executado! Ele roda até mesmo via pendrive.

predator
(usa Debian)

Enviado em 15/02/2011 - 17:56h

Para não comprometer o funcionamento dos trabalhos, acho que o mais correto é bloquear a 443 no ip que esta usando o ultrasurf, ai cara vai tentar acessar os site que realmente são do trabalho dele, ele vai ter que ligar para o admin da rede certo? da vc solta o verbo em cima dele, assim que eu fiz aqui, e não tive mais problemas com o ultrasurf.

ps

aqui uso o snort para detectar o uso do ultrasurf

abraço

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 18:00h

/bin/laden, você pode bloquear a execução de .exe em pendrives através do OpenLDAP e do AD da Microsoft via Security Policies.
=)

Ah, mas copiou para o PC?
Bloqueia cópia de .exe de dispositivos removíveis para o HD. Assim, você já se livra até de vírus de pendrive.

Quando um aplicativo se torna muito difícil de bloquear, como no caso do Ultrasurf, que usa centenas de portas, possivelmente alguma implementação de tunnel e coisas do gênero, é mais fácil inibir o uso.

mleno
(usa Debian)

Enviado em 15/02/2011 - 19:49h

Caro amigo Magnolinux esse primeiro link que vc me enviou será que funfa?

mleno
(usa Debian)

Enviado em 16/02/2011 - 07:30h

Tallyson obrigado pelo diga.

removido
(usa Nenhuma)

Enviado em 16/02/2011 - 12:02h

Tranquilo cara. Legal, resolvido !

Qualquer coisa estamos por aqui.


Abraço.

raizd3
(usa Fedora)

Enviado em 19/08/2011 - 16:18h

1) Coloque a seguinte regra no seu firewall:

for end in `cat /etc/squid/ultrasurf`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j DROP
iptables -A FORWARD -d $end -p tcp --dport 443 -j DROP
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

2) crie um arquivo (no meu caso na pasta etc/squid) chamado ultrasurf;

3) copie os ip's listados a seguir para o seu arquivo ultrasurf: (estes são os servidores que o ultrasurf tenta se conectar)

1.174.0.0/16
1.172.0.0/16
1.168.0.0/16
27.105.12.0/24
59.0.0.0/8
61.0.0.0/8
65.49.14.0/24
66.245.0.0/16
69.175.115.0/24
65.98.0.0/16
71.35.0.0/16
72.21.0.0/16
111.0.0.0/8
112.104.0.0/16
112.105.0.0/16
114.0.0.0/8
118.0.0.0/8
122.122.0.0/16
122.123.0.0/16
122.124.0.0/16
122.125.0.0/16
122.121.0.0/16
123.204.153.0/24
124.8.0.0/16
124.9.0.0/16
124.10.0.0/16
124.11.0.0/16
124.12.0.0/16
124.13.0.0/16
124.14.0.0/16
125.230.0.0/16
125.231.0.0/16
125.232.0.0/16
139.18.1.0/24
158.229.251.0/24
174.24.248.0/24
175.180.0.0/16
175.96.77.0/24
175.182.0.0/16
184.154.95.0/24
195.134.100.0/24
203.67.0.0/16
210.64.118.0/24
211.74.0.0/16
213.215.157.0/24
218.0.0.0/8
219.85.0.0/16
219.81.0.0/16
219.82.0.0/16
219.83.0.0/16
219.84.0.0/16
219.86.0.0/16
219.80.0.0/16
220.0.0.0/8


4) Adicione ao seu arquivo de palavras bloqueadas do squid o termo /gwt/n

5) dê o comando squid -k reconfigure na pasta do squid e ./firewall na pasta etc/init.d e seja feliz.