Tutorial - Bloqueando "Finalmente" O Bendito Ultrasurf no Windows
-
Hoje veio aqui publicar esse método que uso em empresas para bloquear o ultrasurf.
Pré-requisitos:
Windows server 2003/2008 ou 2012
Configurado DNS DHCP AD e GPO corretamente para segurança
Noções de GPO
Usuário com permissão administrativa via GPOEm anexo segue os "bat's" para criar a GPO para windows XP e 7.
OSB:O USUÁRIO COM PERMISSÃO ADMINISTRATIVA SÓ TERÁ DIREITO A INSTALAR PROGRAMAS.O ADMNISTRADOR DO DOMÍNIO TERÁ QUE FECHAR O CERCO PARA O USUÁRIO NÃO TENTAR FAZER OUTRAS COISAS.ISSO VARIA DE ADM PARA ADM.
O programa eu editei para rodar em rede via RPC, ou seja, "\" para cada usuário e também o mesmo pode acessar as configurações remotas sem intervenção do mesmo.
Aqui não ensinarei como configurar AD, DNS DHCP e deixar usuário como admin local, procurem no google como fazê-los.Então mãos a obra:
No AD, crie uma "OU" para teste chamada de "VM" ou alguma que desejar.
Dentro dessa "OU", crie mais duas uma "COMPUTADORES" e outra "USUÁRIOS"
Crie um usuário qualquer e coloque esse usuário como adm local("OU" computadores) via GPO(Vide Google), para que o mesmo logue com permissão administrativa se não o programa não funcionará.
Na GPO crie um nome para o que vai ser o sistema operacional no caso usarei o xp então o nome BlockerXP.
Na mesma, link a diretiva na "OU" VM em "usuários" e nas opões da diretiva escolha "opção de computador desabilitada", depois clica em editar na diretiva que acabou de criar para adicionar um bat no logon em configurações de usuário.Antes de aplicar edite a bat para colocar em outro caminho e o nome do servidor desejado.Configurações do bloqueio
Esse é um programa comercial para bloquear máquina por máquina, que faz juízo ao bloqueios de navegação, filtro de janela, conversas MSN e SKYPE entre outras.Aí você me pergunta: "ONDE DIABOS VEM O ULTRASURF???"…Filtro de janela meu amigo! ;D.
Como bloquear o mesmo por hash na gpo a cada 10 dias sai uma versão, esse filtro de janela vê o nome que esta na lista de bloqueio e fecha automaticamente.Legal né?!
O programa já vem editado para o bloqueio do mesmo, mas pode ser modificado e sem contar que pode ser acessado remotamente para edição de configurações ou escolher de quanto em quanto tempo ele atualiza as configurações se for deixado como "servidor de aplicação"
Senha inicial: admin10 para ambos XP e 7;
Bloqueio incluso por janela: ultrasurf;
Teclas de atalho XP: Crtl+ALT+F12 (Mantenha pressionado até aparecer uma janela);
Teclas de atalho Win 7: Crtl+SHIFT+F12 (Mantenha pressionado até aparecer uma janela);
Se o usuário for fechar a aplicação pelo gerenciador de processos, automaticamente ela inicia outra;
Servidor de configurações via rede esta apontado para: 10.0.0.2, altere conforme sua rede.
Modo CARP para acessar remotamente as configurações do PC que o usuário esta usando
MODO MARB para acessar remotamente a máquina do usuário e monitorar com telas de captura entre outras maneiras.Os scripts estão em anexo como txt depois só renomear para bat, mas os programas para quem quiser envie email para: diego.pinheiro@outlook.com, pois os programas são de 10 megas e aqui não dá para anexar.
Dicas
Para quem usa Pfsense transparente ou não, caso use este método de bloqueio, só bloquear redes sociais entre outras coisas que não são pertinente a trabalho nas regras e quem também usa squidguard crie uma regra com as seguintes palavras: anonymous|surfing|surf|proxy|https (O "https" para os proxy anônimos que usam o ssl)
Para mim ajudou bastante nos termos do ultrasurf em questão de regras,recentemente implantei esse método em um call center com 315 máquinas. Espero que ajude alguém também.
Abraços!
-
Parabéns pela colaboração atsuma…
Se puder, por favor, não deixe de publicar este tutorial no blog da comunidade brasileira: http://www.pfsense-br.org/blog/
É só se registrar (caso ainda não seja) e começar a postar! ;)
Abraços!
Jack -
Sem desmerecer seu esforço e Tutorial (muito pelo contrário):
E se o ambiente não usa AD, como é que fica? Conheço vários ambientes com pfSense, apesar de ter Win server. Porém, sem AD.
Já testei várias formas de bloquear o Ultrasurf (bendito para alguns, maldito por outros) no pfSense e nunca obtive sucesso.
Também desconheço quem tenha tido 100% de sucesso. -
Infelizmente senhor Johnny tem que ter um AD, simplesmente por que precisa ter um controle sobre usuários de acesso a arquivos e por isso foi assim que eu consegui fazer com que bloqueasse ultrasurf.No meu caso nos meus contratos uso o dns e dhcp do windows server e uso p pfsense como borda porém uso o dhcp relay no pfsense para pegar os das máquinas.
-
Já coloquei na lista de tutoriais de pacote, parabens pela iniciativa.
Quem já monitorou o trafego da ferramenta, consegue identificar se o tráfego é somente na 443? ???
-
Parabéns pela colaboração.
Mas ainda existe um outro problema: OS desenvolvedores mudam não só o Hash como também as nomeações e outras caracteristicas.
Para complementar:
1 - Por padrão bloqueie todas as portas de saida, inclusive 443(HTTPS) e 53(DNS).
Isso evita que o UltraSurf passe por fora do Proxy para se conectar fora da Internet.2 - Use Proxy Não Transparente, de preferencia com autenticação.
Assim mesmo as conexões HTTPS passam pelo Squid, e a autenticação facilita a futura identificação de quem está acessando. No Dansguardian já é possivel fazer a autenticação automatica do Usuário junto ao Kerberos do Active Directory.3 - Force o uso apenas de Servidores DNS dentro da sua rede, como controladores de Dominio e etc.
Torna mais facil rastrear e você pode personalizar melhor a resolução de nomes, marcando destinos inválidos para as redes do UltraSurf. -
lembrando que no tuto que eu coloquei é usado um programa via rpc ao usuário logar e pode ser controlado via rede também.É uma forma a menos de se preocupar com o ultrasurf assim que o programa bloqueia pelo nome da janela ou também pode fazer com um console xp virtual até, só que precisa deixar o asuário com admin local, por isso aí entra o AD.
Graças a deus não me preocupo mais com o ultrasurf, ssl e DNS depois disso. -
Já coloquei na lista de tutoriais de pacote, parabens pela iniciativa.
Quem já monitorou o trafego da ferramenta, consegue identificar se o tráfego é somente na 443? ???
Ele usa qualquer porta aberta. Se estiverem bloqueadas ele mascara o trafego pela porta 443 criptografando os dados, assim o Squid transparente não captura o trafego. Mesmo o Squid Não Transparente não consegue bloquear as vezes, porque ele aponta para FQDNs da rede UltraSurf, que a cada dia aumentam mais.
Acho que a melhor solução é monitorar a rede e punir quem usa esse tipo de ferramenta.
Complicado como nós enquanto humanos distorcemos as coisas, o UltraSurf foi criado para ajudar a população de paises como a China e o Irã que fazem censura pesada à Internet, nisso os espertos usuários se aproveitam para abusar do ambiente de rede corporativo.
-
é fazer o que…mas...quem quiser os programas mande e mail mencionado.
-
Calma rapaz ;D
Não estamos desmerecendo sua contribuição, apenas acrescentando nossas contribuições.
O Marcelloc deve ter perguntado pois como ele está trabalhando no Squid, deve ter pensado em algo que talvez possa implementar no Squid.
Me lembrei de uma coisa: SNORT.
Ele já me ajudou bastante a rastrear esse tipo de aplicação, pois existem outras igualmente complexas, como o Thor.
O Snort anda instavel nas ultimas Releases do pacote, mas tem melhorado.
-
Acho que a melhor solução é monitorar a rede e punir quem usa esse tipo de ferramenta.
Complicado como nós enquanto humanos distorcemos as coisas, o UltraSurf foi criado para ajudar a população de paises como a China e o Irã que fazem censura pesada à Internet, nisso os espertos usuários se aproveitam para abusar do ambiente de rede corporativo.
Isso aí, LFCavalcanti. Sou daqueles que preferem liberar tudo para todos desde que exista um contrato ou regras de utilização da internet explícita ao usuário. Quebrou as regras? Advertido será. :)
-
o problema de liberar tudo e a todos tem seus problemas como virus e afins e não só advertencia.
-
ele aponta para FQDNs da rede UltraSurf, que a cada dia aumentam mais.
Então o filtro de ssl será a solução! abrir o conteúdo e filtrar, ou via url com o squid ou vai conteúdo com o dansguardian.
-
o problema de liberar tudo e a todos tem seus problemas como virus e afins e não só advertencia.
Discordo e não vou entrar em maiores discussões a respeito de virus e afins, muito menos da política de acesso. Cada um tem sua maneira de agir e administrar.
… só que precisa deixar o asuário com admin local... .
E também sobre isso que, na minha opinião e experiência, é brecha.
Não se ofenda ou leve para o lado negro da força. São apenas minhas opiniões e minhas experiências.
-
adm de máquina é brecha?…engraçado uso o assoc e nunca tive problemas...permissão administrativa é igual instalação de aplicativos se na gpo você coloca para bloquear regedit painel de controle e afins então não sei ainda para que ser o gpo...MS deve ter errado...mas enfin não vale a pena postar mais nada.
-
Só um teste acessando o site do ultrasurf com o squid 3.2 na nova versão do pacote
1360185912.544 808 172.16.63.74 TCP_MISS/200 782 GET https://ultrasurf.us/images/checkmark.png - HIER_DIRECT/65.49.2.9 image/png 1360185912.562 827 172.16.63.74 TCP_MISS/200 940 GET https://ultrasurf.us/images/long-line.png - HIER_DIRECT/65.49.2.9 image/png 1360185912.566 830 172.16.63.74 TCP_MISS/200 761 GET https://ultrasurf.us/images/short-line.png - HIER_DIRECT/65.49.2.9 image/png 1360185912.734 1001 172.16.63.74 TCP_MISS/200 4853 GET https://ultrasurf.us/images/logo.png - HIER_DIRECT/65.49.2.9 image/png 1360185912.763 600 172.16.63.74 TCP_MISS/200 26037 GET https://ultrasurf.us/images/topper-background-1.jpg - HIER_DIRECT/65.49.2.9 image/jpeg 1360185912.863 126 172.16.63.74 TCP_MISS/200 283073 GET http://s.ytimg.com/yts/swfbin/watch_as3-vflbRE_EL.swf - HIER_DIRECT/74.125.234.231 application/x-shockwave-flash 1360185912.952 1216 172.16.63.74 TCP_MISS/200 22138 GET https://ultrasurf.us/images/closed-button-300.gif - HIER_DIRECT/65.49.2.9 image/gif 1360185913.159 200 172.16.63.74 TCP_MISS/200 1233 GET https://ultrasurf.us/favicon.ico - HIER_DIRECT/65.49.2.9 image/x-icon
vou capturar o log o aplicativo rodando em ambiente de teste com o proxy transparente.
Atualmente o Ultrasurf passa com o proxy marcado no navegador ou tem que colocar o proxy nele?
-
adm de máquina é brecha?…engraçado uso o assoc e nunca tive problemas...permissão administrativa é igual instalação de aplicativos se na gpo você coloca para bloquear regedit painel de controle e afins então não sei ainda para que ser o gpo...MS deve ter errado...mas enfin não vale a pena postar mais nada.
Atsuma,
Não preisa ser agressivo. ;)
E vou reiterar, trabalho a anos com gestão de redes e principalmente com Active Directory. Essa recomendação de não deixar usuários como administradores é da própria Microsoft, além de todas as outras empresas de segurança corporativa que conheço, leia-se desenvolvedores de Softwares antivírus.
A GPO irá impedir o usuário de executar certas tarefas, mas como administrador ele ainda, se souber como, pode sobrepor as politicas impostas, agora imagine: Se um usuário consegue fazer isso, um rootkit munido de Malwares e Worms pode fazer o que quiser em um computador com privilégios administrativos, inclusive em uma rede toda.
Foi assim que malwares com o Conficker e o Sality conseguiram se espalhar de forma espantosa na Internet. Se estiver duvidando fique a vontade para pesquisar sobre o que eu estou falando.
Em meus clientes eu excluo inclusive os usuários locais e coloco senha no Administrador local das estações de trabalho.
Para se ter uma idéia, um de meus clientes têm 96 computadores e cerca de 180 usuários, agora imagine como seria controlar a segurança desse numero de usuários, e a cada mês cerca de 10 desses saem e entram novos.
Mudamos todos estes usuários para "Usuários de Dominio" e demais grupos de acesso ao Storage, já haviam GPOs e a plataforma completa da F-Secure(4º melhor solução de segurança do mundo em 2012). Nós conseguimos reduzir em 48% a incidência de vírus. Por mês cerca de 14 maquinas eram formatadas, agora o numero não passa de 2, ainda por motivos adversos como falhas de Hardware ou quedas subsequentes de energia.
Não sei de onde você obteve essa informação, mas está inadequada. Usuários devem ser usuários, o administrador da rede inclusive deve ter seu usuário com privilégios comuns. Usuários com privilégios Administrativos devem ser usados apenas para tarefas administrativas, como alterar GPOs, inserir/retirar computadores do dominio, instalar aplicativos e etc.
Infelizmente existem ambientes em que não é possivel o uso de usuários limitados: Escritórios de Contabilidade.
Os programas governamentais exigem muitos privilégios nas estações e manter os usuários limitados é um Inferno. Isso melhorou muito com o Windows 7, mas alguns ainda não funcionam, então algumas estações ficam apenas para acessar essas aplicações. Não sana a brecha de segurança, mas reduz o fator de risco.Não sei se você possui familiaridade com o ITIL, mas se você trabalha com gestão de redes, é uma biblioteca de boas práticas de gestão de infraestrutura de TI, reconhecida internacionalmente e utilizada como base para a avaliação algumas certificações ISO da área de TI.
Estou respondendo sinceramente preocupado com a questão. Entenda que aqui somos todos profissionais da área.
Acho fantástico poder trocar experiência com colegas de sofrimento(Leia-se TI). ;D
Sinta-se livre para argumentar, posso estar errado, sou humano, mas se o for fazer, não precisa ser agressivo. :D
-
o problema de liberar tudo e a todos tem seus problemas como virus e afins e não só advertencia.
Discordo e não vou entrar em maiores discussões a respeito de virus e afins, muito menos da política de acesso. Cada um tem sua maneira de agir e administrar.
@atsuma:… só que precisa deixar o asuário com admin local... .
E também sobre isso que, na minha opinião e experiência, é brecha.
Não se ofenda ou leve para o lado negro da força. São apenas minhas opiniões e minhas experiências.Desculpe mas não entendi, primeiro você discordou que liberar o acesso seja inadequado, depois criticou a questão dos usuários com privilégios administrativos.
Acabo entendo porque o Atsuma respondeu de forma mais agressiva. ::)
A questão da politica de segurança realmente está ligada intimamente com a realidade de cada empresa, assim criar uma politica bem definida é um requisito para a gestão de TI hoje, porém, se não houverem ferramentas de proteção como Firewalls, IDS, Softwares Antivírus, proteção de arquivos, rotinas de Backup, de nada adianta politica de segurança bem definida, pois será ineficaz.
Em minha humilde opinião, para ter o minimo de segurança, qualquer empresa deve:
-
Antes de qualquer coisa, ter rotinas de Backup Primário e Secundário, se possivel Terciário, de seus arquivos
-
Instalar um Sistema de Firewall, seja Embarcado ou em Servidor/PC, que funcione como barreira entre a Internet e a Intranet
-
Adquirir uma solução de Antivírus paga e reconhecida pelos institutos de certificação.
-
Implantar um controlador de Dominio, seja Windows seja Linux, para controlar os usuários e restringir suas ações apenas às necessárias para que ele exerça sua função.
-
Manter sua infraestrutura sob controle, tanto inventário de Hardware, quanto de Software.
-
Obter a colaboração da administração da empresa para desenvolver, implementar e executar uma boa politica de segurança, alinhada ao negócio e as boas práticas
Tudo isso parece muito burocrático, mas depois de implantado os resultados farão a diferença não só nas contas da empresa, como também no Stress dos usuários e finalmente na equipe de TI.
-
-
Só um teste acessando o site do ultrasurf com o squid 3.2 na nova versão do pacote
vou capturar o log o aplicativo rodando em ambiente de teste com o proxy transparente.
Atualmente o Ultrasurf passa com o proxy marcado no navegador ou tem que colocar o proxy nele?Então Marcelloc, esse site é apenas um dos que você pode baixar o UltraSurf, existem milhares e milhares de dominios diferentes.
Separei 3 links com informações relevantes para você dar uma olhada:
http://gutocarvalho.net/wordpress/2008/08/29/bloqueando-ultrasurf-em-sua-rede/
http://www.vivaolinux.com.br/artigo/UltraSurf-Bloqueio-definitivo?pagina=2
http://pplware.sapo.pt/windows/software/ultrasurf-torne-se-invisivel-na-internet/Existe ainda outro software com a mesma finalidade ainda mais dificil de bloquear, mas graças ao bom Deus ainda não é tão popular aqui no Brasil. O meliante se chama TOR.
Link do Projeto: https://www.torproject.org/
Espero que essas informações tenham ajudado. ;D
-
O que eu disse e continuo afirmando é que eu discordo que liberar tudo seja problema. Não é, desde que tudo esteja bem claro e os usuários possuam algum treinamento básico e bem orientados. Experiência própria. Funciona muito bem, mas são coisas que poucos sabem como implementar sem grandes dore$ de cabeça. :)