Bloquear ultrasurf 14.05



  • Olá

    Alguém sabe se há uma maneira de bloquear, ou pelo menos identificar a utilização do ultrasurf versao 14.05 com o snort ou entao outra ferramenta?

    Agradeço desde já.



  • Observei (via wireshark) que o ip 65.49.14.0/24 sempre é acessado pelo ultrasurf. Se criasse uma regra no snort para bloquear o host que esta acessando este ip (bloqueasse por 15 minutos) será que funcionaria? alguem ja tentou algo parecido com isso?

    abraço



  • Eu tenho proxy ativo com regras para força a passagem pelo o proxy e liberação somente das portas que preciso, fora isso mais nada. Claro que as portas 80 e 443 estão fechadas e já testei aqui e nada passa.



  • Se quiserem se livrar dessa praga na sua rede, as alternativas que realmente nao deixam furos no firewall são:

    Proxy ativo, bloqueando todas as portas e obrigando as estações a navegar pelo proxy (geralmente na porta 3128).
    ou
    Usar interceptação de SSL com certificado instalado nos navegadores.



  • @henriquejensen:

    Se quiserem se livrar dessa praga na sua rede, as alternativas que realmente nao deixam furos no firewall são:

    Proxy ativo, bloqueando todas as portas e obrigando as estações a navegar pelo proxy (geralmente na porta 3128).
    ou
    Usar interceptação de SSL com certificado instalado nos navegadores.

    Tem implementado Henrique?
    É necessário alguma regra? Ou só com a Interceptação já bloqueia?



  • utilizo proxy transparente com interceptação ssl e com certificados nas maquinas e o danado do ultrasurf  passa brincando…
    não posso trancar todas as portas, pois em minha rede existem alguns softwares que trabalham em portas especificas ou então nem possuem a possibilidade de setar uma configuração de proxy neles...



  • venho pesquisando a possibilidade de usar o snort para banir o usuário que utilizar o ultrasurf… mas antes tenho que aprender a mexer no snort é um software bem complexo



  • @mateusguilherme:

    utilizo proxy transparente com interceptação ssl e com certificados nas maquinas e o danado do ultrasurf  passa brincando…
    não posso trancar todas as portas, pois em minha rede existem alguns softwares que trabalham em portas especificas ou então nem possuem a possibilidade de setar uma configuração de proxy neles...

    Opa Mateus,

    Tenho um cenário semelhante ao seu, proxy transparente e interceptação, já deixei somente as portas 3128-3129-53, e o mesmo acaba conectando….Não sei se é algum erro MEU nas configurações, não consegui bloquear.... :(

    Já testei bloquear por range de ips, mas as versões mais novas dele, acabam passando.



  • Se pesquisarem no fórum tem várias soluções.

    A que mais me agrada é o bloqueio do acesso a qualquer URL por IP (Número ao invés de domínio).

    Pode ser implantada no squid com regra de regexp.



  • @santeLLo:

    Se pesquisarem no fórum tem várias soluções.
    A que mais me agrada é o bloqueio do acesso a qualquer URL por IP (Número ao invés de domínio).
    Pode ser implantada no squid com regra de regexp.

    Essa crio que seja a melhor mesmo, mas ela tem um problema no caso de usar Skype, ele não vai conectar ou funcionar bem. Ainda não achei uma solução para as duas coisas, mas assim que eu conseguir eu posto aqui.



  • Acho muito mais fácil liberar as ranges Skype do que bloquear as ranges do Ultrasurf.



  • Já eu estou aqui de boa.. já testei ultrasurf, freenet e nada se conectou…  :-)



  • Pessoal, ainda estou testando mas a principio funcionou com o software suricata é um IDS muito parecido com o snort (o snort estava dando uns erros no meu pfsense que nao consegui resolver por isso acabei usando outro software mas acredito que a solução se aplica da mesma forma).
    Instalei o suricata pelo menu packages desabilitei todas as regras que vem ativadas por padrão e criei a minha própria regra em custom.rules:

    alert tcp $HOME_NET any -> 65.49.14.0/24 any (msg:"ultrasurf"; gid:120; sid:1500; rev:1;)

    marquei  a opção: Checking this option will automatically block hosts that generate a Suricata alert.
    e na aba global settings marquei para remover o host bloqueado depois de 15 minutos.

    estou testando com a ultima versão do ultrasurf e até o momento esta funcionando, o host que tenta utilizar o ultrasurf e banido por 15 minutos. Vou testar com versões mais velhas do ultrasurf para ver o que acontece e posto o resultado…



  • Pessoal, volto a este tópico trazendo mais algumas contribuições ao bloqueio desta ameça chamada ultrasurf. Testei com as versões 14.05, 13.01, 12.07, 12.01, 10.17, 10.08 e todas foram detectadas…

    Bloquear os endereços de destino do ultrasurf é praticamente impossivel, mas podemos bloquear a origem ( quem está tentando se conectar a rede do ultrasurf).

    Acrescentei mais estas regras no meu software IDS (estou usando o suricata, muito semelhante ao snort):

    
    alert tcp any any -> 192.168.1.254 any (content:"|48 6f 73 74 3a 20 73 75 70 70 6f 72 74 2e 6d 69 63 72 6f 73 6f 66 74 2e 63 6f 6d 3a 34 34 33 0d 0a|"; msg:"ultrasurf14 pacote suportmicrosoft"; dsize:266<>270; gid:120; sid:1509; rev:1;)
    
    

    através de analises com wireshark constatei que o ultrasurf versão 14.05 dispara assim que é executado uma requisição http a um site chamado support.microsoft.com (se realmente é o site de microsoft eu nao sei), com pacote de tamanho entre 266 e 270.

    
    alert tcp any any -> 192.168.1.254 any (content:"|47 45 54 20 68 74 74 70 3a 2f 2f 77 77 77 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 2f 20 48 54 54 50 2f 31 2e 31 0d 0a|"; dsize:137<>139; msg:"ultrasurf13_12 pacote google"; gid:120; sid:1510; rev:1;)
    
    

    As versões 13 e 12 do ultrasurf disparam uma requisição semelhante ao site www.google.com com tamanho de pacote entre 137 e 139

    
    alert tcp any any -> 192.168.1.254 any (content:"|36 35 2e 34 39 2e 31 34 2e|"; content:"|34 34 33|"; msg:"ultrasurf10 pacote 65.49.14.0/24:443"; gid:120; sid:1511; rev:1;)
    
    

    na versão 10 a requisição  logo apos a inicialização do aplicativo é feita a um IP da rede ultrasurf (65.49.14.0/24) pela porta 443.

    OBs.: o que esta dentro do "content" corresponde em hexadecimal os endereços acessados pelo ultrasurf;
    o endereço 192.168.1.254 corresponde ao meu servidor proxy interno, para que caso um pacote direcionado a ele e que contenha estas especificações gere um alerta.

    Fiz diversas tentativas em maquinas diferentes e em 90 % das vezes houve o bloqueio instantâneo do host e a maquina não conseguiu se conectar ao ultrasurf. Os outros 10% se referem a tentativas utilizando as versões 10 do ultrasurf  que conseguiram se conectar porem o alerta foi gerado, a maquina foi bloqueada, mas já havia conseguido se conectar no ultra e navegar normalmente, porém ao fechar o aplicativo o host não consegue mais acessar a rede interna da empresa.

    Se alguém quiser implementar em um ambiente de testes fica a dica, aceito qualquer tipo de sugestão, contribuição, critica…

    abraço



  • mateusguilherme,

    Obrigado pela contribuição, fixei seu post na lista de tutoriais, logo abaixo do primeiro tutorial de bloqueio ao ultrasurf utilizando um a técnica parecida mas nativa do pfSense.



  • reabrindo seu tópico!! rs

    antes de tudo grato pela solução. você tem um tutorial ou algo parecido que pudesse me indicar para eu configura o suricata para bloquear o ultrasurf? por favor.

    abraços,



  • Reabrindo aqui ,

    galera, estou com o mesmo problema, mesmo depois de travar todos os IP's do Ultrasurf  ele consegue conectar normalmente , como se nada tivesse acontecendo.

    Referente ao uso do suricata, é simples de usar? da algum conflito com o Squid?



  • Não esquecem de mim também. Estou muito curioso e desafiado nessa aplicação.


Log in to reply