El juego del gato y el raton con Ultrasurf



  • Buen día a todos,

    Este juego del gato y el ratón nunca va a terminar, siempre habrá alguien con gran capacidad de buscar la manera de brincar la seguridad de los sistemas informáticos y la verdad ese es un buen reto para nosotros que nos dedicamos a salvaguardar y proteger la integridad de la información.

    Resulta que de la versión 41.05 y anteriores de Utrasurf podías bloquearlo eliminando todos los puertos (80, 443, 53, 21… etc) y dejando únicamente los mínimos necesarios y utilizando el proxy squid3 y squidguard para filtrar toda petición de navegación http y https por puertos enmascarados y no permitiendo salida por IP.
    Adicionalmente y para reforzar un poco agregue bloqueo por tramas de listas que e encontrado dentro de este mismo foro pero resulta que hace un par de semanas salió una nueva versión "15.01" la cual me ha dejado sorprendido.

    Resulta que esta semana me di cuenta que un usuario de mi red estaba en páginas no permitidas y me di a la tarea de revisar cómo le estaba haciendo y al hacerle una auditoria me di cuenta de estaba usando la nueva versión. He estado haciendo pruebas y definitivamente se brinca el PFSense aún en su última versión 2.2.3

    Esta mañana de sábado me he preparado una jarra muy grande de café para trabajar en como detener esta programa del demonio que ha sido mi coco durante mucho tiempo.

    Si alguien puede aportar ideas e incluso testear su propio pfsense con esta versión de ultrasurf y en equipo podamos ganar nuevamente la partida de "El juego del gato y el ratón"

    Saludos,



  • Buenos dias.

    1ro entregas el reporte a RH y que lo corran por abusar.

    2o como se lo esta brincando?

    Saludos.



  • Buen día Perico,

    En ocasiones no hay que ser tan visceral, a veces es bueno tener este tipo de personas para aprender de ellos.    ;)

    Cuando me refiero a que se lo brinca es que este programa logra conectarse mediante servidores proxy externos y con esto evita cualquier regla o página que tengas bloqueada llámese facebook, youtube, twitter, etc… etc....

    Saludos.



  • Hola que tal amigo, cuales son tu avances al respecto para no reinventar la rueda y avanzar desde tu te has quedado.

    Atentamente



  • que tipo de perfil es este usuario ?

    muy restringido, restringido , algun director o dueño ? jejje

    para saber que tanto se le puede bloquear



  • Mas datos???



  • No todo en un sistema de seguridad es tecnologia , debe de haber tambien politicas de uso y aprovechamiento de los recursos de la empresa, violar las politicas de seguridad de un sistema informatico debe de ser tan grave como violar cualquier otra politica dentro de la empresa.

    Eso definitivamente no quita que hay que reforzar la seguridad causado por el usuario :)

    Y como es que este usuario puede instalar cualquier cosa en una computadora de oficina ?

    saludos



  • Estuve revisando este asunto y es verdad, se brinca el proxy cuando el usuario no tiene limites.
      ultrasurf a cambiado mucho, ahora parece que tienen un pool grandisimo de IP disponibles por que conforme iban apareciendo
      las iba bloqueando pero no paraba, registre cerca de 20 IP's que se conecta y seguian apareciendo.
      Esta complicado.

    Aunque un usuario asi lo corro y por ello importante las politicas de acceso, seguimos investigando como atacarlo de raiz, saludos.



  • He visto que en algunas ocasiones lo han hecho con un Ids.
    DNS filtering ?



  • has quitado el nat y obligado a que pasen siempre por el proxy?… WPAD



  • Ultrasurf no requiere NATEO, no importa que forces al cliente que pase por el proxy, ya con que tenga salida libre por el proxy es suficiente para que el funcione.



  • Bloquear las direcciones IP tampoco funciona pues, además de que el pool es muy grande y aparecen nuevas con cada versión, desde un tiempo para acá hay gente que levanta servers de ultrasurf en computadoras domesticas, que tienen internet con una dirección IP dinámica, eso hace que, cada que la máquina o el modem se reinicien, una nueva IP les es asignada, por lo que bloquearlos se vuelve un trabajo arduo e infructifero (eso sin contar que también tiene una lista de ips dinamicas que se actualiza CADA HORA y varios servidores DNS de donde sacar las direcciones de tales ips).
    Lo que he visto es que se necesita funcionando en conjunto más de una solución, no se le puede cargar todo al pfsense. Un método que se há sugerido, mas no he probado, es filtrar HTTPS y SSL con pfsense y, a la vez, hacer un dominio con WinServer 2008R2 o superior y aplicar politicas de grupo para la prevención de ejecución de aplicaciones, después añadir una politica interna en la empresa que se haga cumplir para que los usuarios hagan el menor uso posible de este software



  • Asi es por IP imposible en cada conexion como menciona sale y salen nuevas.
    Ahora aun no he tenido oportunida de poner un usuario con ciertos dominios solamente, que pasa con ultrasurf?
    Manana lo hago a si con limitaciones en ACL lo detenemos.

    Lo de las politicas es de ley aca ya lo hubieran tronado.



  • y si evitas que ejecuten el software, alguna política de seguridad (gpedit) o configurar el antivirus para que lo detecte tipo avg y aplicarle alguna regla en el firewall en la estación de trabajo, igual no es la solución mas "elegante", pero teóricamente funcionaria…



  • Google esta dando soporte a Ultrasurf



  • Ultrasurf y Tor Bloqueados



  • Saludos mi estimado nuevamente activo en el forum luego de unas largas vacaciones. En cuanto a tema de este hilo mi estimado amigo yo le recomendaría lo que en parte nuestro amigo periko le quiso decir, si bien es cierto en organizaciones la seguridad informática es vital y por ello usted debería ser pionero en elevar a los encargados de decisiones dentro de la organización donde labora de las medidas necesarias para atacar inconvenientes como este.

    He analizado el tema de ultrasurf en especifico y via protocolo TCP/IP ni sus capas usted hasta ahora podra establecer la forma definitiva de dejar sin efecto dicho software y su forma de trabajar lo que tocaria en este caso es revisar y establecer normativas claras en la organizacion sobre bloqueo de las estaciones de trabajo en la facultades del usuario. Si un usuario no necesita tener privilegios de administrador en una sesion se le haria mas facil para usted el trabajo de eliminar dicho software de las mismas e impedir que nuevamente esten instaladas.

    En todo caso es mi humilde opinion en su caso y al igual que otros compañeros del forum que he visto animado en este tema seguiremos analizando como se podria evitar las funciones de dicho software por otra via.

    Estamos a su orden