Duda sobre como bloquear "VPN's" Hamachi en mi red



  • Hola, buenos días.

    Tengo un pfSense 2.3.1 Update 5, instalado en un equipo dell T3400, con 3 tarjetas de red, la wan, la lan, y la opt1.
    Dicho esquipo está configurado como: proxy transparente con squid +squidguard + man in the middle
    La interfaces opt1 es la que tiene activo el proxy con sus filtros, la lan pasa normal.

    Mi duda es sobre como puedo efectuar un bloqueo (o ralentizar hasta el punto de lo inutilizable) conexiones "VPN" con el Software Hamachi.

    Un par de usuarios usan dicho software en conjunto con otro para generar su propio proxy y poder para navegar a través del filtro del squid. Dichas conexiones son intermitentes, según he podido observar.

    Instalé Hamachi en mi equipo para efectuar pruebas, y pude obtener los puertos (local, remoto :49351,12975) y una ip del servidor (69.25.247.108) que efectúa la retransmisión cuando la conexión directa no es posible.

    Con estos datos, generé una regla para la segmento de red completa de esa ip (con el whois de arin.net 69.25.247.0/24) , así como direccioné los puertos a una ip no usada en la red. (anexo captura de pantalla por si no las efectué correctamente)

    En este caso, no se si existe otro método mas fiable a largo plazo para bloquear el uso de "vpn's" Hamachi, ya que los puertos se pueden cambiar y deben de tener varios segmentos con servidores de retransmisión.

    gracias y saludos
    ![Captura de pantalla 2016-07-27 19.48.50.png](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.48.50.png)
    ![Captura de pantalla 2016-07-27 19.48.50.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.48.50.png_thumb)
    ![Captura de pantalla 2016-07-27 19.58.06.png](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.58.06.png)
    ![Captura de pantalla 2016-07-27 19.58.06.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.58.06.png_thumb)



  • Muy facil, recopila evidencia, haz un reporte y levanta un acta administrativa para tus amigos que hacen uso de los recursos de la empresa de una manera no permitida. Si no hay respuesta de la gerencia, no vale la pena preocuparse.

    Esto es igual si se llevaran de juerga el carro de la empresa que tiene el logo de la empresa a un antro de mala muerte.

    No todo en esta vida es tecnologia , las politicas de uso deben de reforzarse o de otra forma esto acaba siendo un caricatura del correcaminos y el coyote.



  • Se puede bloquear hamachi con traffic shaping en layer 7???

    Habria que ver eso, quizas, se consiga de una manera sencilla aplicando politicas de filtrado en capa 7

    Saludos!



  • Hola amigo

    Lo que yo hago para bloquear todo tipo de acceso es a través de una regla pero en vez de ponerla en WAN la coloco en LAN. Esto hace que cuando un equipo conectado a la LAN intenta ingresar a Hamachi este le niegue el acceso. Esto lo utilizo muy seguido para bloquear páginas indecentes y no me ha causado problemas.

    OJO: desde otra regla con privilegio se deben de colocar aquellas IPs que si tienen acceso, ya que de otra manera te lo bloquearía a todos.

    Espero que te ayude  :)



  • Hola, las buenas practicas indican que hay que bloquear todo el trafico de salida e ir abriendo poco a poco el acceso a los recursos requeridos. Aunque esto hace mas complicada la administración del firewall a la larga evita que los usuarios accedan a aplicaciones como las que menciona el compañero.

    Si el usuario solo requiere navegacion y correo ,  hay que cerrar lo demás.  Se oye sencillo pero en la practica es complicado con una red de muchos usuarios, pero creo yo que es la mejor opcion.

    saludos



  • Buenos dias.

    Gracias por los comentarios y la atencion.

    acriollo, Si, definitivamente si. Mi superior ya vio las bondades de tener en la red la caja pfsense, desde su instalación mensualmente me solicita un reporte (muy básico) sobre el estado de la red. Voy a agregar ese comentario con respecto al Hamachi y mi inquieto par de usuarios.

    rocaembole No tengo idea XD , pero seria cuestión de ponerme a hacer pruebas con una red temporal para verificar si existe manera de implementar algo de esa índole. Sobretodo, por que el Hardware donde tengo actualmente Pfsense, es una Workstation ya con sus años en la espalda.

    villi Abusando de tu amabilidad, no se si podrías indicarme con un ejemplo, porque coloqué una regla antes de la que adjunto en la lan, pero no vi modificaciones en el comportamiento (no hay que descartar la posibilidad de que las esté generando mal).

    En cuanto a implementar el filtro al revés, tendría que analizarlo con calma. Definitivamente concuerdo con ustedes, es la manera correcta de administrar la red, pero por el giro de la empresa (automatización) mis usuarios tienden a "divagar" por la red buscando respuestas para las dudas que surgen en el día a día con el trabajo.

    Voy a ir paulatinamente recopilando los datos de los servicios y sitios que ocupamos normalmente, para hacer la prueba de invertir el sentido del bloqueo como prueba en cuanto tenga la oportunidad.

    Gracias por sus comentarios :)


  • Rebel Alliance

    "Usualmente/Generalmente" las Reglas de Firewall (Pass/Block) las creas en la interface a la que "ingresa" el Tráfico que quieres Bloquear/Pasar.

    Si quieres Bloquear el acceso de un Host (usuario) de la LAN a un "recurso/servicio" que está en Internet, creas la Regla "Block" en la LAN.

    Revisa la Documentación oficial:

    https://doc.pfsense.org/index.php/Firewall_Rule_Basics

    https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

    https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting


Log in to reply