Tutorial - Bloqueando "Finalmente" O Bendito Ultrasurf no Windows



  • É, liberar acesso irrestrito à internet (URLs) não significa todo o resto sobre protocolos e portas. Nem quero entrar no básico, afinal não estou falando com qualquer um. Há vários exemplos sobre intrusão por causa de informações vazadas por usuários. Que eu seja o ultimo no seu conceito, mas vou continuar dizendo que o usuário é quem faz a diferença, independente dos equipamentos e softwares de segurança de sua rede ou de qualquer corporação.
    Engenharia social derruba qualquer segurança se não houver treinamento a esse respeito.

    Pra mim, chega. Já falei um monte de coisa que não são besteiras e não vou mais entrar no mérito dessa questão.



  • Ah nesse caso concordo com você.

    É o que eu comentei a respeito de trazer a administração da empresa a seu favor e desenvolver a politica de segurança, pois não basta apenas defini-la, é preciso difundi-la.

    A questão é que em algumas empresas não é possivel esse tipo de comportamento por parte do usuário, isso é um problema cultural da sociedade, que não enxerga e entende o ambiente de trabalho como deve.

    Em todo o caso, o gestor da rede deve ter ferramentas preventivas, afinal um Cracker não é um usuário da sua rede e ele pode causar muito estrago se coinseguir invadir uma estação.  :'(



  • @LFCavalcanti:

    Ah nesse caso concordo com você.

    É o que eu comentei a respeito de trazer a administração da empresa a seu favor e desenvolver a politica de segurança, pois não basta apenas defini-la, é preciso difundi-la.

    A questão é que em algumas empresas não é possivel esse tipo de comportamento por parte do usuário, isso é um problema cultural da sociedade, que não enxerga e entende o ambiente de trabalho como deve.

    Perfeitamente, mas não é assim tão difícil. Por sinal, é mais fácil do que imaginam. Conforme eu disse antes: Experiência própria.  :)



  • A dificuldade depende de cada caso.

    Há empresas em que a administração é dura e antiquada, nesses casos é complicado e demorado conseguir colaboração mesmo o gestor de TI sendo bom em "Politica", especialmente se estamos falando de industrias de médio porte.

    Sem colaboração da Administração, o TI é visto como gasto, ai os investimentos são poucos e o respeito dos usuários só é válido quando a situação é benéfica a eles, quando precisam de suporte.

    Penso naquele conceito: "Só se administra o que se controla".

    Sem as ferramentas de controle não há administração de TI eficiente, consequentemente a empresa perde oportunidade de obter diferencial estratégico ou ainda perde eficiência operacional.



  • Concordo de A~Z com você, mas reafirmo: Não é tão difícil como parece ser.



  • Nos testes que fiz, o squid 3.2.7 com ssl interception com ou sem modo transparente, bloqueia legal o ultrasurf   :)

    1360209368.277    713 172.16.1.11 NONE/000 0 CONNECT 114.26.59.83:443 - HIER_NONE/- -
    1360209374.815      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209375.117      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209376.192    369 172.16.1.11 NONE/000 0 CONNECT 114.47.67.59:443 - HIER_NONE/- -
    1360209378.820      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360209379.055      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360209382.267      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209382.470      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209382.483      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209382.488      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209384.148    686 172.16.1.11 NONE/000 0 CONNECT 114.42.125.82:443 - HIER_NONE/- -
    1360209386.484      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209386.496      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209386.505      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209386.512      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209390.510      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209390.521      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209392.512    688 172.16.1.11 NONE/000 0 CONNECT 1.175.41.145:443 - HIER_NONE/- -
    1360209400.457    673 172.16.1.11 NONE/000 0 CONNECT 175.182.18.56:443 - HIER_NONE/- -
    1360209409.276    358 172.16.1.11 NONE/000 0 CONNECT 111.243.240.29:443 - HIER_NONE/- -
    1360209417.196    689 172.16.1.11 NONE/000 0 CONNECT 114.24.116.98:443 - HIER_NONE/- -
    1360209423.861    345 172.16.1.11 NONE/000 0 CONNECT 185.8.2.50:443 - HIER_NONE/- -
    1360209429.113      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209430.823    697 172.16.1.11 NONE/000 0 CONNECT 114.36.240.187:443 - HIER_NONE/- -
    1360209437.489    454 172.16.1.11 NONE/000 0 CONNECT 82.207.68.142:443 - HIER_NONE/- -
    1360209443.909     64 172.16.1.11 NONE/000 0 CONNECT 201.75.69.19:443 - HIER_NONE/- -
    1360209445.524      0 172.16.1.11 NONE/000 0 CONNECT www.serpro.gov.br:443 - HIER_NONE/- -
    1360209447.864      0 172.16.1.11 NONE/000 0 CONNECT www.serpro.gov.br:443 - HIER_NONE/- -
    1360209466.826      0 172.16.1.11 NONE/000 0 CONNECT 96.9.174.170:443 - HIER_NONE/- -
    1360209466.845      1 172.16.1.11 NONE/000 0 CONNECT 208.117.31.247:443 - HIER_NONE/- -
    1360209466.864      0 172.16.1.11 NONE/000 0 CONNECT 184.82.212.22:443 - HIER_NONE/- -
    1360209470.160    198 172.16.1.11 NONE/000 0 CONNECT 65.49.14.73:443 - HIER_NONE/- -
    1360209470.428    159 172.16.1.11 NONE/000 0 CONNECT 65.49.14.76:443 - HIER_NONE/- -
    1360209470.703    224 172.16.1.11 NONE/000 0 CONNECT 65.49.14.59:443 - HIER_NONE/- -
    1360209470.799      0 172.16.1.11 NONE/000 0 CONNECT 96.9.174.170:443 - HIER_NONE/- -
    1360209470.814      0 172.16.1.11 NONE/000 0 CONNECT 208.117.31.247:443 - HIER_NONE/- -
    1360209470.830      0 172.16.1.11 NONE/000 0 CONNECT 184.82.212.22:443 - HIER_NONE/- -
    1360209472.822      0 172.16.1.11 NONE/000 0 CONNECT 220.210.165.237:443 - HIER_NONE/- -
    1360209480.012      0 172.16.1.11 NONE/000 0 CONNECT 114.26.59.83:443 - HIER_NONE/- -
    1360209489.542    720 172.16.1.11 NONE/000 0 CONNECT 36.237.231.7:443 - HIER_NONE/- -
    1360209496.636    823 172.16.1.11 NONE/000 0 CONNECT 175.180.76.75:443 - HIER_NONE/- -
    1360209502.833      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209502.839      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209503.804      0 172.16.1.11 NONE/000 0 CONNECT 1.175.41.145:443 - HIER_NONE/- -
    1360209506.836      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360209506.848      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360209510.279      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209510.294      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209510.303      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209510.315      4 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209510.935      1 172.16.1.11 NONE/000 0 CONNECT 175.182.18.56:443 - HIER_NONE/- -
    1360209514.300      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209514.305      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209514.314      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209514.319      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360209514.511      0 172.16.1.11 NONE/000 0 CONNECT login.live.com:443 - HIER_NONE/- -
    1360209516.203      0 172.16.1.11 NONE/000 0 CONNECT login.live.com:443 - HIER_NONE/- -
    1360209518.465      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360209518.471      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360209521.915      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209521.928      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360209525.804      0 172.16.1.11 NONE/000 0 CONNECT 114.36.240.187:443 - HIER_NONE/- -
    1360209532.962      0 172.16.1.11 NONE/000 0 CONNECT 111.243.240.29:443 - HIER_NONE/- -
    1360209540.675    503 172.16.1.11 NONE/000 0 CONNECT 93.90.235.178:443 - HIER_NONE/- -
    1360209546.983      0 172.16.1.11 NONE/000 0 CONNECT 114.24.116.98:443 - HIER_NONE/- -
    1360209554.364    173 172.16.1.11 NONE/000 0 CONNECT 176.121.201.250:443 - HIER_NONE/- -
    1360209561.890    289 172.16.1.11 NONE/000 0 CONNECT 186.3.6.113:443 - HIER_NONE/- -
    1360210210.714      0 172.16.1.10 NONE/000 0 CONNECT www.gstatic.com:443 - HIER_NONE/- -
    1360210211.182      0 172.16.1.10 NONE/000 0 CONNECT ssl.gstatic.com:443 - HIER_NONE/- -
    1360210277.053    416 172.16.1.11 NONE/000 0 CONNECT 199.217.102.59:443 - HIER_NONE/- -
    1360210277.535    394 172.16.1.11 NONE/000 0 CONNECT 178.32.81.225:443 - HIER_NONE/- -
    1360210277.816    185 172.16.1.11 NONE/000 0 CONNECT 184.82.61.39:443 - HIER_NONE/- -
    1360210278.202    331 172.16.1.11 NONE/000 0 CONNECT 64.37.71.126:443 - HIER_NONE/- -
    1360210278.787    514 172.16.1.11 NONE/000 0 CONNECT 212.69.191.250:443 - HIER_NONE/- -
    1360210279.759    827 172.16.1.11 NONE/000 0 CONNECT 74.80.181.108:443 - HIER_NONE/- -
    1360210280.654    217 172.16.1.11 NONE/000 0 CONNECT 65.49.14.84:443 - HIER_NONE/- -
    1360210280.891    165 172.16.1.11 NONE/000 0 CONNECT 65.49.14.11:443 - HIER_NONE/- -
    1360210281.119    143 172.16.1.11 NONE/000 0 CONNECT 65.49.14.55:443 - HIER_NONE/- -
    1360210281.190     12 172.16.1.11 NONE/000 0 CONNECT 96.9.174.170:443 - HIER_NONE/- -
    1360210281.238     31 172.16.1.11 NONE/000 0 CONNECT 208.117.31.247:443 - HIER_NONE/- -
    1360210281.259     12 172.16.1.11 NONE/000 0 CONNECT 184.82.212.22:443 - HIER_NONE/- -
    1360210283.988     15 172.16.1.11 NONE/000 0 CONNECT 220.210.165.237:443 - HIER_NONE/- -
    1360210293.217     16 172.16.1.11 NONE/000 0 CONNECT 114.26.59.83:443 - HIER_NONE/- -
    1360210304.949     18 172.16.1.11 NONE/000 0 CONNECT 36.237.231.7:443 - HIER_NONE/- -
    1360210315.152     16 172.16.1.11 NONE/000 0 CONNECT 175.180.76.75:443 - HIER_NONE/- -
    1360210325.793      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210326.829      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210327.497    685 172.16.1.11 NONE/000 0 CONNECT 114.38.82.65:443 - HIER_NONE/- -
    1360210329.777      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360210329.964      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360210329.968      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210329.973      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210333.977      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360210334.158      0 172.16.1.11 NONE/000 0 CONNECT www.networkforgood.org:443 - HIER_NONE/- -
    1360210335.146    384 172.16.1.11 NONE/000 0 CONNECT 220.136.62.66:443 - HIER_NONE/- -
    1360210337.419      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360210337.427      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360210337.435      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210337.439      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210341.456      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360210341.461      0 172.16.1.11 NONE/000 0 CONNECT s3.amazonaws.com:443 - HIER_NONE/- -
    1360210349.175     12 172.16.1.11 NONE/000 0 CONNECT 111.243.240.29:443 - HIER_NONE/- -
    1360210356.419     21 172.16.1.11 NONE/000 0 CONNECT 114.24.116.98:443 - HIER_NONE/- -
    1360210362.621     20 172.16.1.11 NONE/000 0 CONNECT 114.36.240.187:443 - HIER_NONE/- -
    1360210368.846     38 172.16.1.11 NONE/000 0 CONNECT 177.99.236.217:443 - HIER_NONE/- -
    1360210369.051      0 172.16.1.11 NONE/000 0 CONNECT torproject.org:443 - HIER_NONE/- -
    1360210370.768      0 172.16.1.11 NONE/000 0 CONNECT torproject.org:443 - HIER_NONE/- -
    1360210374.474      1 172.16.1.11 NONE/000 0 CONNECT torproject.org:443 - HIER_NONE/- -
    1360210375.611    394 172.16.1.11 NONE/000 0 CONNECT 94.200.177.114:443 - HIER_NONE/- -
    1360210381.501    663 172.16.1.11 NONE/000 0 CONNECT 176.101.177.98:443 - HIER_NONE/- -
    1360210383.340      0 172.16.1.11 NONE/000 0 CONNECT torproject.org:443 - HIER_NONE/- -
    1360210397.237      0 172.16.1.11 NONE/000 0 CONNECT 65.49.14.55:443 - HIER_NONE/- -
    1360210397.326      0 172.16.1.11 NONE/000 0 CONNECT 96.9.174.170:443 - HIER_NONE/- -
    1360210397.347      1 172.16.1.11 NONE/000 0 CONNECT 208.117.31.247:443 - HIER_NONE/- -
    1360210397.387      0 172.16.1.11 NONE/000 0 CONNECT 184.82.212.22:443 - HIER_NONE/- -
    1360210399.229    141 172.16.1.11 NONE/000 0 CONNECT 65.49.14.13:443 - HIER_NONE/- -
    1360210399.323     14 172.16.1.11 NONE/000 0 CONNECT 65.49.14.145:443 - HIER_NONE/- -
    1360210399.485    145 172.16.1.11 NONE/000 0 CONNECT 65.49.14.54:443 - HIER_NONE/- -
    1360210399.539      0 172.16.1.11 NONE/000 0 CONNECT 96.9.174.170:443 - HIER_NONE/- -
    1360210399.549      0 172.16.1.11 NONE/000 0 CONNECT 208.117.31.247:443 - HIER_NONE/- -
    1360210399.559      0 172.16.1.11 NONE/000 0 CONNECT 184.82.212.22:443 - HIER_NONE/- -
    1360210400.841      0 172.16.1.11 NONE/000 0 CONNECT 220.210.165.237:443 - HIER_NONE/- -
    1360210406.058      0 172.16.1.11 NONE/000 0 CONNECT 114.26.59.83:443 - HIER_NONE/- -
    1360210413.407      0 172.16.1.11 NONE/000 0 CONNECT 36.237.231.7:443 - HIER_NONE/- -
    1360210419.576      0 172.16.1.11 NONE/000 0 CONNECT 175.180.76.75:443 - HIER_NONE/- -
    1360210429.292   1393 172.16.1.11 NONE/000 0 CONNECT 124.12.57.132:443 - HIER_NONE/- -
    1360210436.055    679 172.16.1.11 NONE/000 0 CONNECT 114.47.20.82:443 - HIER_NONE/- -
    1360210443.242      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    1360210443.250      0 172.16.1.11 NONE/000 0 CONNECT fortress.wa.gov:443 - HIER_NONE/- -
    
    




  • O tor também dá erro de conexão, tanto no modo transparente quanto com proxy marcado

    Só um detalhe com relação aos testes.
    Ainda estou rodando o squid sem instalar o certificado no cliente, o que gera altera de ssl a cada site.




  • Esse ssl interception é um novo método do squid e squid3? ou estou fazendo uma pergunta imbecil ou só bloqueou a 443 nas regras?



  • É método novo, interceptação de SSL. O squid se "enfia" no meio da comunicação SSL, forjando o certificado do site.



  • e o mesmo já esta funcional ou ainda em testes?

    @marcelloc:

    É método novo, interceptação de SSL. O squid se "enfia" no meio da comunicação SSL, forjando o certificado do site.



  • @atsuma:

    e o mesmo já esta funcional ou ainda em testes?

    Até onde testei, funcional  :D



  • Desculpe por não terminar a pergunta mas…já esta disponível em packages? squid ou squid3?
    Esqueci de colocar essa parte na pergunta anterior.

    @marcelloc:

    @atsuma:

    e o mesmo já esta funcional ou ainda em testes?

    Até onde testei, funcional  :D



  • @atsuma:

    Desculpe por não terminar a pergunta mas…já esta disponível em packages? squid ou squid3?

    Já terminei o pacote mas ainda não publiquei.



  • Alguma novidade sobre esta interceptação por SSL para bloquear o Ultrasurf?

    Já tem pacote disponível ou algum tutorial?



  • @edge540:

    Alguma novidade sobre esta interceptação por SSL para bloquear o Ultrasurf?

    Já tem pacote disponível ou algum tutorial?

    Veja este tópico.(Não deixe de ler a parte das doações  ;), afinal, desenvolvedores de software livre também precisam comer)

    http://forum.pfsense.org/index.php/topic,62263.0.html



  • @marcelloc:

    @edge540:

    Alguma novidade sobre esta interceptação por SSL para bloquear o Ultrasurf?

    Já tem pacote disponível ou algum tutorial?

    Veja este tópico.(Não deixe de ler a parte das doações  ;), afinal, desenvolvedores de software livre também precisam comer)

    http://forum.pfsense.org/index.php/topic,62263.0.html

    pode deixar…vou ler esta parte das doações! rsrs



  • [quote]
    Nos testes que fiz, o squid 3.2.7 com ssl interception com ou sem modo transparente, bloqueia legal o ultrasurf   :)
    
    [/quote]
    
    O que eu faço pra bloqueá-lo usando proxy ativo?? Só bloquear a porta 443, 53?? Uso proxy ativo com WPAD. :)
    


  • Boa noite amigos. estou tentando bloquear o ultrasurf também porém sem sucesso.

    Cenário
    Firewall esta liberando apenas as portas 443,80 e 53
    estou usando squid + squidguard em modo transparente com certificado SSL

    e mesmo assim o ultrasuf funciona.

    Alguém saberia me dizer oque pode ser feito? estou iniciando no PFsense. o cenário em questão esta em um lab no virtual box.

    consegui criar uma regra no gpedit.msc para bloquear o executável mas gostaria de bloquear as conexões também.

    Obrigado.



  • na rede de um cliente meu eu bloquiei apenas com essa regra no firewall …. Alguem usa dessa forma?

    proxy setado no navegador....

    abs




  • @rvl:

    na rede de um cliente meu eu bloquiei apenas com essa regra no firewall …. Alguem usa dessa forma?

    proxy setado no navegador....

    abs

    Justamente.. a boa pratica já diz.. se quiser algo eficiente.. não use proxy transparente.


Log in to reply