Bloqueando o UltraSurf

Suporte de redes, switches, roteadores, IOS, operadoras de telecom, troubleshooting etc.
alexandre
Administrador
Administrador
Mensagens:224
Registrado em:15 Ago 2003, 10:39
Localização:Volta Redonda RJ
Contato:
Bloqueando o UltraSurf

Mensagem por alexandre » 27 Mar 2008, 11:42

Olá Amigos,

Recebemos muitas mensagens com dúvidas para bloquear o UltraSurf.
Estávamos evitando falar desse assunto no site para não divulgá-lo ainda mais, pois as formas encontradas de bloqueio podem não ser aplicáveis em algumas empresas e escolas.

Aguardo a opinião de vocês a respeito, enquanto isso vou divulgar a forma mais eficiente até agora de bloqueio:


Através de GPO aplicada nas estações

Para este método, siga os passos a seguir:

Crie uma GPO para configurar apenas este recurso. O nome pode ser, por exemplo, COMPUTADORES: Bloqueio executável Ultrasurf.

Edite a GPO.
Na janela de edição da GPO, expanda Configurações do computador -> Configurações do Windows -> Configurações de segurança.

Clique com o botão esquerdo do mouse para selecionar Diretivas de restrição de software.

Clique com o botão direito em Diretivas de restrição de software e clique em Novas diretivas de restrição de software.

Na pasta "Regras adicionais", clique com o botão direito do mouse e selecione "Nova regra de hash...".
Na janela "Nova regra de hash", clique no botão procurar e localize o executável do Ultrasurf. Confirme que a opção "Nível de segurança" esteja definida como "Não permitido" e clique no botão Ok para criar a nova regra de hash.

Repita os passos 6 e 7 para cada versão do executável do Ultrasurf.

Aplique a GPO apenas na Unidade Organizacional que contém os computadores dos usuários.

Infelizmente temos que criar uma nova regra de hash para cada versão do Ultrasurf, pois o hash do executável dele é diferente para cada versão.

Não esqueça as recomendações padrão no trato de GPOs:

Não altere as GPOs "Default domain policy" ou "Default domain controllers policy".
Trabalhe com GPOs sempre no nível das Unidades Organizacionais para evitar erros de configuração em outros níveis do domínio.
Editado pela última vez por alexandre em 18 Jun 2008, 08:56, em um total de 1 vez.

drapz
Membro Júnior
Membro Júnior
Mensagens:3
Registrado em:08 Abr 2008, 11:22

Mensagem por drapz » 08 Abr 2008, 11:27

pra desbloquear isso é só pegar algum heditor hexadecimal, ou disassembler, editar o executavel, e alterar pelomenos UMA letra que mude o hash do arquivo...

só alegria :) ;)

drapz
Membro Júnior
Membro Júnior
Mensagens:3
Registrado em:08 Abr 2008, 11:22

Mensagem por drapz » 08 Abr 2008, 11:40

você é o adm. de redes da unifoa?

:oops:

alexandre
Administrador
Administrador
Mensagens:224
Registrado em:15 Ago 2003, 10:39
Localização:Volta Redonda RJ
Contato:

Mensagem por alexandre » 08 Abr 2008, 20:06

Isso vai muito da cultura de cada pessoa, o fato de encontrar um carro aberto na rua não lhe dá o direito de roubá-lo, não é verdade?

Sou o criador e administrador do site Projeto de Redes juntamente com o Maurício.

Como eu havia dito, ainda não é uma forma definitiva e sim a forma mais eficiente encontrada até agora. Existem muitas outras formas de usá-lo e isso depende muito de cada ambiente.

jasgcba
Membro Júnior
Membro Júnior
Mensagens:1
Registrado em:10 Jun 2008, 22:52

TEM KOMO BARRAR O USO DO ULTRASURF NO WINDOWS XP SIM SENHOR

Mensagem por jasgcba » 10 Jun 2008, 22:56

Usando o sistema operaciolnal WINXP eu conseguir barrar o uso do ultrasurf 8.9 com um firewall chamado COMODO FIREWALL, a vantagem eh ke ele tem a versao free kra resolveuu o problema no XP agora posso barrar kauker programa ke eu kiser basta configurar o COMODO FIREWALL. resolveu o problema pq eu cuido de uma rede local de uma faculdade ahi o povo aqui apareceu com esse ultrasurf tentei barrar no servidor ke eh um debian, ai achei uma solucao nada viavel entao mudei minha ideia pq nao bloquear nos pc da rede ke usam windows xp ahi foi facil, de cara achei um firewall free basta instalar nos pcs da rede eh configurar pra barrar oke pode ser usado na conexao.


PS.:(DE KREBA O COMODO PODE SER CONFIGURADO PRA BARRAR AKELESSS MSN PORTABLES DA VIDAAAAAAA.......)

Gasper
Membro Master
Membro Master
Mensagens:63
Registrado em:29 Out 2008, 01:37
Localização:Teresina- PI

Agora veio a dúvida...

Mensagem por Gasper » 10 Nov 2008, 12:49

Bem , ja que vcs falaram de editor hexadecimal, cite exemplos deles: A função dele é editar o .exe sem altarar o conteudo dele ???

Bem, depois de feito o que o Alexandre falou seria bom tb bloquear o registro, isso so seria ruim porque teria que bloquear de maquina em máquina, ou seja, no pc de cada usuário..

Abração

:roll: Adão Rangelli

alexandre
Administrador
Administrador
Mensagens:224
Registrado em:15 Ago 2003, 10:39
Localização:Volta Redonda RJ
Contato:

Re: Agora veio a dúvida...

Mensagem por alexandre » 10 Nov 2008, 18:24

Gasper escreveu: Bem, depois de feito o que o Alexandre falou seria bom tb bloquear o registro, isso so seria ruim porque teria que bloquear de maquina em máquina, ou seja, no pc de cada usuário..

Abração

:roll: Adão Rangelli
O bloqueio por GPO é feito no Active Directory. Dependendo de como for feito, em qual unidade organizacional for configurada etc, qualquer máquina que se logar naquele domínio será afetada por essas regras.

Gasper
Membro Master
Membro Master
Mensagens:63
Registrado em:29 Out 2008, 01:37
Localização:Teresina- PI

Obrigado pela a informação

Mensagem por Gasper » 13 Nov 2008, 13:35

Caro alexandre,

Gostei do tópico que abriu, confesso que não estava entendendo sobre o GPO que você estava relatando, mais eu participo do forum para poder adquirir e repassar conhecimentos. E com isso na minha cabeça andei estudando um pko mais e achei outras formas de poder bloquear o ultrasurf. Eu trabalho mais com servidores linux mais ainda sou um pko iniciante nesse tipo de servidor, apesar de ter aprendido muito. Mais achei essa forma de bloqueio pelo squid, testei e tudo ocorreu com sucesso.

Bloqueando pelo Squid

Caso você opte por bloquear pela primeira opção crie uma ACl no squid da seguinte forma:

1. Use a política DROP no Iptables, bloqueando todas as portas e liberando o que era necessário.
2. Fechei o acesso no Squid para todas as conexões SSL que eu não queria liberar, assim:

acl sitesssl url_regex -i "/etc/squid/sitesssl"
http_access deny SSL_ports !sitesssl

No arquivo /etc/squid/sitesssl estão os sites liberados, entre eles, bancos, gmail, hotmail, messenger.
Detalhe: NÃO funciona com proxy transparente.

Para saber se os usuários estão usando o Ultrasurf basta visualizar os relatórios de acesso. Caso apareçam muitas conexões pela porta 443 com um número significativo de IPs (não vai resolver nomes), o usuário está usando o programa.

Espero ter ajudado...

:roll: Adão Rangelli

alexandre
Administrador
Administrador
Mensagens:224
Registrado em:15 Ago 2003, 10:39
Localização:Volta Redonda RJ
Contato:

Mensagem por alexandre » 14 Nov 2008, 08:47

Olá Gasper,

Acredito que bloquear todas as portas 443 no firewall e liberar somente de determinados sites seria muito trabalhoso e inviável, visto o grande número de sites e sistemas que utilizam essa porta.

Realmente o Ultrasurf utiliza a porta tcp 443 e se rastrearmos a conexão, veremos que ela sempre se inicia em algum lugar na China e depois aponta para outro lugar, que pode ser qualquer lugar do mundo.

Alguns firewalls e antiírus já conseguiram algum sucesso nesse bloqueio, mas a cada versão do ultrasurf é necessário atualizar as assinaturas.

raizd3
Membro Júnior
Membro Júnior
Mensagens:1
Registrado em:18 Ago 2011, 20:12

Bloqueio do ultrasurf com sucesso

Mensagem por raizd3 » 18 Ago 2011, 20:21

bom, uso squid + proxy transparente e não posso bloquear a porta 443 por conta de usarem sites de transações bancárias.

Depois de muitas noites perdendo o sono, consegui (não sei se permanentemente) bloquear o ultrasurf usando iptables.

Estou mechendo com linux há menos de 1 mês e fico fascinado com tamanha versatilidade e liberdade que nos dá.
Enfim, segue a minha solução

no arquivo de firewall que fica em /etc/init.d adiciona-se a seguinte regra:
for end in `cat /etc/squid/hostbloqueado`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

haja visto que o ultrasurf usa a porta 443 para buscar a lista de seus DNS'

eu percebi que o ip que era associado ao ultrasurf seguia um padrao: 65.49.14.*

portanto eu coloquei dentro do arquivo /etc/squid/hostbloqueado essa faixa de ip:

65.49.14.0 a 65.49.14.255

dessa forma, ele não consegue se conectar.

ok.. monitorei um computador de teste acessando via ultrasurf, e nessa versão em tese (10.17) quando bloqueei a faixa de IP TCP, ele buscava aleatóriamente vários IP's e portas...

mas observei que 2 ips se repetiam..

239.255.255.250
224.0.0.252

tentei bloqueá-los mas sem sucesso...

então, pelo log, ele me fornecia o MAC desses endereços:
00:16:e3:95:84:d2
00:22:57:1f:44:8f

então criei as seguintes regras no firewall:
iptables -A FORWARD -m mac --mac-source 00:16:e3:95:84:d2 -j DROP
iptables -A INPUT -m mac --mac-source 00:16:e3:95:84:d2 -j DROP
iptables -A OUTPUT -m mac --mac-source 00:16:e3:95:84:d2 -j DROP

iptables -A INPUT -m mac --mac-source 00:16:e3:95:84:d2 -j REJECT
iptables -A OUTPUT -m mac --mac-source 00:16:e3:95:84:d2 -j REJECT
iptables -A FORWARD -m mac --mac-source 00:16:e3:95:84:d2 -j REJECT


iptables -A FORWARD -m mac --mac-source 00:22:57:1f:44:8f -j DROP
iptables -A INPUT -m mac --mac-source 00:22:57:1f:44:8f -j DROP
iptables -A OUTPUT -m mac --mac-source 00:22:57:1f:44:8f -j DROP

iptables -A INPUT -m mac --mac-source 00:22:57:1f:44:8f -j REJECT
iptables -A OUTPUT -m mac --mac-source 00:22:57:1f:44:8f -j REJECT
iptables -A FORWARD -m mac --mac-source 00:22:57:1f:44:8f -j REJECT

então dessa forma, bloqueei esses 2 macs e para minha surpresa e alegria o ultrasurf não conseguiu + se conectar.

Obs: tentei de várias outras formas, mas sempre ele em ultimo caso acessa 8.8.8.8:53 pra buscar outras fontes.. mas dessa vez sem sucesso!!

ronaldobf
Moderador
Moderador
Mensagens:328
Registrado em:28 Jan 2006, 03:34
Localização:Araras/Campinas - SP

Mensagem por ronaldobf » 25 Ago 2011, 05:40

Eu sou mais focado em networking mesmo (routing e switching), mas baseado em alguns ambientes que suporto, segue:

- Obrigatoriamente, todos os computadores utilizam um proxy.
- Quando usar SSL, o computador fechará um túnel com o proxy e o proxy é que fechará com o site, permitindo assim que o proxy inspecione o site/content.

Websense e bluecoat, eu sei que faz isso sem qualquer problemas. Na verdade, existem poucos sites como de banco e outros que temos que jogar na white list por problemas de incompatibilidade.

Abraços,
Ronaldo A. Bueno Filho

Responder