Ayuda, Como bloquear UltraSurf 13.04 y 14.05 con pfBlokerNG
-
Hola amigos, espero que me puedan ayudar ya que soy nuevo en pfsense.
me gustaria saber si hay forma de bloquear ultrasurf mediante pfblokerNG en la verasion de pfsense 2.2.1
o hay alguna manera de bloquearlo en esta version
-
Yo diría que pfblocker no es una herramienta pensada para esto… Son listas de IPs a cortar.
Siempre lo he hecho mediante squid + squidguard, con la cláusula in_addr de squidguard, http://www.squidguard.org/Doc/extended.html
Google ultrasurf site:forum.pfsense.org
-
Una de las claves vs ultra surf es que tu firewall no permita salir a todos los puertos, solo los necesarios, solo analiza como trabaja y te daras cuenta, bellera te da otra opcion mas.
Saludos.
-
gracias bellera agradezco tu tiempo y respuesta, lo estoy poniendo en marcha @bellera:
Yo diría que pfblocker no es una herramienta pensada para esto… Son listas de IPs a cortar.
Siempre lo he hecho mediante squid + squidguard, con la cláusula in_addr de squidguard, http://www.squidguard.org/Doc/extended.html
Google ultrasurf site:forum.pfsense.org
-
periko gracias @periko:
Una de las claves vs ultra surf es que tu firewall no permita salir a todos los puertos, solo los necesarios, solo analiza como trabaja y te daras cuenta, bellera te da otra opcion mas.
Saludos.
-
Efectivamente, periko tiene toda la razón. Permite sólo lo estrictamente necesario. UltraSurf prueba con destinos como TCP 22 para "camuflar" el acceso a sus proxies.
Olvidé este detalle porque "por defecto" sólo conviene autorizar lo mínimo que precisen los usuarios… Y es lo que hago siempre...
-
Hola Bellera, desde ya hace varios años he seguido tus consejos con gran exito sin embargo en esta ocasion he tratado de bloquear el acceso a fecebook con el ultrasurf sin tener exito.
Tengo una Lista de 180 tramas de Ultrasurf
he dejado unicamente los puertos que necesito (80, 53, 443, 143, 993, 25 y 465)
Tambien estoy usando squid + squidguard como recomiendas negando con !in_addr y no he tenido exito
Alguna otra sugerencia ??
-
Repaso/actualizo el tema…
1. Las reglas de bloqueo con los alias va bien tenerlas si tienes detectados los juegos de IPs de cada servicio. Pero NO son imprescindibles.
2. Tus reglas están permitiendo salir directamente hacia internet sin pasar por proxy, a menos que tengas proxy transparente. Y si tienes proxy transparente debería ser squid 3.x con intercepción SSL a fin de poder filtrar los destinos TCP 443 (https).
3. Para los servicios de correo externos crea alias con los nombres de los servidores de correo empleados y autoriza sólo esos destinos. Dejar ir a todo el mundo hacia cualquier SMTP, POP3, IMAP es un importante agujero de seguridad. No recuerdo si UltraSurf explota eso, pero lo puede hacer cualquier virus que convierta un equipo en spammer.
4. Innecesario y no recomendable que tus clientes vayan fuera a resolver. UDP 53 no debería estar autorizado. pfSense hace de DNS. A partir de pfSense 2.2.x, con DNS Resolver (unbound) por defecto. Antes, con DNS Forwarder (dnsmasq). Si tu red es grande. monta un segundo DNS local. Más seguridad y más eficiencia resolviendo localmente, pues tendrás tu propia caché DNS.
5. Modos de trabajo del proxy squid
5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100).
5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional.
5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x.
6. Reglas squidGuard (filtro avanzado para squid)
6.1. Denegar por nombre todos los dominios afectados: facebook.com facebook.net ultrasurf.us ultrasurf.es ultrasurf.com ultrasurf.org ultrasurf.net
Veo que son muchos. Esto te lo puedes saltar y denegar por palabra (6.2.)6.2. Denegar por palabra: facebook ultrasurf proxy
6.3. Activar !in_addr. Esto tiene algunos efectos colaterales. Por ejemplo, los adjuntos de hotmail.com. Desgraciadamente Microsoft no usa nombres DNS para eso, si no ha cambiado.
Creo que no me he dejado nada. Eso es lo que tengo en una instalación donde UltraSurf no pasa. En ella tengo proxy NO transparente con squidGuard.