Página 1 de 1

Bloqueando o UltraSurf

Enviado: 27 Mar 2008, 11:42
por alexandre
Olá Amigos,

Recebemos muitas mensagens com dúvidas para bloquear o UltraSurf.
Estávamos evitando falar desse assunto no site para não divulgá-lo ainda mais, pois as formas encontradas de bloqueio podem não ser aplicáveis em algumas empresas e escolas.

Aguardo a opinião de vocês a respeito, enquanto isso vou divulgar a forma mais eficiente até agora de bloqueio:


Através de GPO aplicada nas estações

Para este método, siga os passos a seguir:

Crie uma GPO para configurar apenas este recurso. O nome pode ser, por exemplo, COMPUTADORES: Bloqueio executável Ultrasurf.

Edite a GPO.
Na janela de edição da GPO, expanda Configurações do computador -> Configurações do Windows -> Configurações de segurança.

Clique com o botão esquerdo do mouse para selecionar Diretivas de restrição de software.

Clique com o botão direito em Diretivas de restrição de software e clique em Novas diretivas de restrição de software.

Na pasta "Regras adicionais", clique com o botão direito do mouse e selecione "Nova regra de hash...".
Na janela "Nova regra de hash", clique no botão procurar e localize o executável do Ultrasurf. Confirme que a opção "Nível de segurança" esteja definida como "Não permitido" e clique no botão Ok para criar a nova regra de hash.

Repita os passos 6 e 7 para cada versão do executável do Ultrasurf.

Aplique a GPO apenas na Unidade Organizacional que contém os computadores dos usuários.

Infelizmente temos que criar uma nova regra de hash para cada versão do Ultrasurf, pois o hash do executável dele é diferente para cada versão.

Não esqueça as recomendações padrão no trato de GPOs:

Não altere as GPOs "Default domain policy" ou "Default domain controllers policy".
Trabalhe com GPOs sempre no nível das Unidades Organizacionais para evitar erros de configuração em outros níveis do domínio.

Enviado: 08 Abr 2008, 11:27
por drapz
pra desbloquear isso é só pegar algum heditor hexadecimal, ou disassembler, editar o executavel, e alterar pelomenos UMA letra que mude o hash do arquivo...

só alegria :) ;)

Enviado: 08 Abr 2008, 11:40
por drapz
você é o adm. de redes da unifoa?

:oops:

Enviado: 08 Abr 2008, 20:06
por alexandre
Isso vai muito da cultura de cada pessoa, o fato de encontrar um carro aberto na rua não lhe dá o direito de roubá-lo, não é verdade?

Sou o criador e administrador do site Projeto de Redes juntamente com o Maurício.

Como eu havia dito, ainda não é uma forma definitiva e sim a forma mais eficiente encontrada até agora. Existem muitas outras formas de usá-lo e isso depende muito de cada ambiente.

TEM KOMO BARRAR O USO DO ULTRASURF NO WINDOWS XP SIM SENHOR

Enviado: 10 Jun 2008, 22:56
por jasgcba
Usando o sistema operaciolnal WINXP eu conseguir barrar o uso do ultrasurf 8.9 com um firewall chamado COMODO FIREWALL, a vantagem eh ke ele tem a versao free kra resolveuu o problema no XP agora posso barrar kauker programa ke eu kiser basta configurar o COMODO FIREWALL. resolveu o problema pq eu cuido de uma rede local de uma faculdade ahi o povo aqui apareceu com esse ultrasurf tentei barrar no servidor ke eh um debian, ai achei uma solucao nada viavel entao mudei minha ideia pq nao bloquear nos pc da rede ke usam windows xp ahi foi facil, de cara achei um firewall free basta instalar nos pcs da rede eh configurar pra barrar oke pode ser usado na conexao.


PS.:(DE KREBA O COMODO PODE SER CONFIGURADO PRA BARRAR AKELESSS MSN PORTABLES DA VIDAAAAAAA.......)

Agora veio a dúvida...

Enviado: 10 Nov 2008, 12:49
por Gasper
Bem , ja que vcs falaram de editor hexadecimal, cite exemplos deles: A função dele é editar o .exe sem altarar o conteudo dele ???

Bem, depois de feito o que o Alexandre falou seria bom tb bloquear o registro, isso so seria ruim porque teria que bloquear de maquina em máquina, ou seja, no pc de cada usuário..

Abração

:roll: Adão Rangelli

Re: Agora veio a dúvida...

Enviado: 10 Nov 2008, 18:24
por alexandre
Gasper escreveu: Bem, depois de feito o que o Alexandre falou seria bom tb bloquear o registro, isso so seria ruim porque teria que bloquear de maquina em máquina, ou seja, no pc de cada usuário..

Abração

:roll: Adão Rangelli
O bloqueio por GPO é feito no Active Directory. Dependendo de como for feito, em qual unidade organizacional for configurada etc, qualquer máquina que se logar naquele domínio será afetada por essas regras.

Obrigado pela a informação

Enviado: 13 Nov 2008, 13:35
por Gasper
Caro alexandre,

Gostei do tópico que abriu, confesso que não estava entendendo sobre o GPO que você estava relatando, mais eu participo do forum para poder adquirir e repassar conhecimentos. E com isso na minha cabeça andei estudando um pko mais e achei outras formas de poder bloquear o ultrasurf. Eu trabalho mais com servidores linux mais ainda sou um pko iniciante nesse tipo de servidor, apesar de ter aprendido muito. Mais achei essa forma de bloqueio pelo squid, testei e tudo ocorreu com sucesso.

Bloqueando pelo Squid

Caso você opte por bloquear pela primeira opção crie uma ACl no squid da seguinte forma:

1. Use a política DROP no Iptables, bloqueando todas as portas e liberando o que era necessário.
2. Fechei o acesso no Squid para todas as conexões SSL que eu não queria liberar, assim:

acl sitesssl url_regex -i "/etc/squid/sitesssl"
http_access deny SSL_ports !sitesssl

No arquivo /etc/squid/sitesssl estão os sites liberados, entre eles, bancos, gmail, hotmail, messenger.
Detalhe: NÃO funciona com proxy transparente.

Para saber se os usuários estão usando o Ultrasurf basta visualizar os relatórios de acesso. Caso apareçam muitas conexões pela porta 443 com um número significativo de IPs (não vai resolver nomes), o usuário está usando o programa.

Espero ter ajudado...

:roll: Adão Rangelli

Enviado: 14 Nov 2008, 08:47
por alexandre
Olá Gasper,

Acredito que bloquear todas as portas 443 no firewall e liberar somente de determinados sites seria muito trabalhoso e inviável, visto o grande número de sites e sistemas que utilizam essa porta.

Realmente o Ultrasurf utiliza a porta tcp 443 e se rastrearmos a conexão, veremos que ela sempre se inicia em algum lugar na China e depois aponta para outro lugar, que pode ser qualquer lugar do mundo.

Alguns firewalls e antiírus já conseguiram algum sucesso nesse bloqueio, mas a cada versão do ultrasurf é necessário atualizar as assinaturas.

Bloqueio do ultrasurf com sucesso

Enviado: 18 Ago 2011, 20:21
por raizd3
bom, uso squid + proxy transparente e não posso bloquear a porta 443 por conta de usarem sites de transações bancárias.

Depois de muitas noites perdendo o sono, consegui (não sei se permanentemente) bloquear o ultrasurf usando iptables.

Estou mechendo com linux há menos de 1 mês e fico fascinado com tamanha versatilidade e liberdade que nos dá.
Enfim, segue a minha solução

no arquivo de firewall que fica em /etc/init.d adiciona-se a seguinte regra:
for end in `cat /etc/squid/hostbloqueado`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

haja visto que o ultrasurf usa a porta 443 para buscar a lista de seus DNS'

eu percebi que o ip que era associado ao ultrasurf seguia um padrao: 65.49.14.*

portanto eu coloquei dentro do arquivo /etc/squid/hostbloqueado essa faixa de ip:

65.49.14.0 a 65.49.14.255

dessa forma, ele não consegue se conectar.

ok.. monitorei um computador de teste acessando via ultrasurf, e nessa versão em tese (10.17) quando bloqueei a faixa de IP TCP, ele buscava aleatóriamente vários IP's e portas...

mas observei que 2 ips se repetiam..

239.255.255.250
224.0.0.252

tentei bloqueá-los mas sem sucesso...

então, pelo log, ele me fornecia o MAC desses endereços:
00:16:e3:95:84:d2
00:22:57:1f:44:8f

então criei as seguintes regras no firewall:
iptables -A FORWARD -m mac --mac-source 00:16:e3:95:84:d2 -j DROP
iptables -A INPUT -m mac --mac-source 00:16:e3:95:84:d2 -j DROP
iptables -A OUTPUT -m mac --mac-source 00:16:e3:95:84:d2 -j DROP

iptables -A INPUT -m mac --mac-source 00:16:e3:95:84:d2 -j REJECT
iptables -A OUTPUT -m mac --mac-source 00:16:e3:95:84:d2 -j REJECT
iptables -A FORWARD -m mac --mac-source 00:16:e3:95:84:d2 -j REJECT


iptables -A FORWARD -m mac --mac-source 00:22:57:1f:44:8f -j DROP
iptables -A INPUT -m mac --mac-source 00:22:57:1f:44:8f -j DROP
iptables -A OUTPUT -m mac --mac-source 00:22:57:1f:44:8f -j DROP

iptables -A INPUT -m mac --mac-source 00:22:57:1f:44:8f -j REJECT
iptables -A OUTPUT -m mac --mac-source 00:22:57:1f:44:8f -j REJECT
iptables -A FORWARD -m mac --mac-source 00:22:57:1f:44:8f -j REJECT

então dessa forma, bloqueei esses 2 macs e para minha surpresa e alegria o ultrasurf não conseguiu + se conectar.

Obs: tentei de várias outras formas, mas sempre ele em ultimo caso acessa 8.8.8.8:53 pra buscar outras fontes.. mas dessa vez sem sucesso!!

Enviado: 25 Ago 2011, 05:40
por ronaldobf
Eu sou mais focado em networking mesmo (routing e switching), mas baseado em alguns ambientes que suporto, segue:

- Obrigatoriamente, todos os computadores utilizam um proxy.
- Quando usar SSL, o computador fechará um túnel com o proxy e o proxy é que fechará com o site, permitindo assim que o proxy inspecione o site/content.

Websense e bluecoat, eu sei que faz isso sem qualquer problemas. Na verdade, existem poucos sites como de banco e outros que temos que jogar na white list por problemas de incompatibilidade.

Abraços,