Bloqueando Ultrasurf (possivelmente)

[robman]

Olá Pessoal!

Esse post é do usuário "rrinfor", que sou eu, mas por algum motivo que eu desconheço estou sem permissão para postar, então criei outro usuario para isso, enfim...

Recebi algumas reclamações de clientes, alegando que os sites bloqueados pelo squid estavam sendo acessados sem nenhuma restrição, tomei conhecimento de um software chamado Ultrasurf (coisa do diabo) rodando na rede, ao testa-lo fiquei pasmo com a maneira como ele funciona, criando um proxy localhost na porta 9666 e fazendo tentativas de conexão em uma infinidade de endereços e portas incluindo uma porta de uso comum para conexões criptografadas, porta tcp 443 (https) tirando dessa forma o squid da jogada e permitindo o uso indiscriminado da internet nos ambientes corporativos, pesquisei e li sobre várias soluções, testei algumas, inclusive bloqueios com layer7 no iptables, mas não deu certo, outras soluções como proxy autenticado ainda não testei, entre outros como listar ips (em uma tarde listou mais de 1500 ips) para bloquea-los em adddress-list. Então no mikrotik usando um metodo bastante comum para proteção contra ataques de força bruta no iptables usei as seguintes regras;

/ip firewall filter
add action=drop chain=forward comment=\
"UltraSurf Policy - Dropar UltraSurf Blacklist" disabled=yes \
src-address-list=ultrasurf_blacklist

add action=add-src-to-address-list address-list=ultrasurf_blacklist \
address-list-timeout=10m chain=forward comment=\
"UltraSurf Policy - Listar Tentativa de Conexao 3 -> Blacklist" \
connection-state=new disabled=yes dst-port=25101,33500 protocol=tcp \
src-address-list=ultrasurf_tentativa2

add action=add-src-to-address-list address-list=ultrasurf_tentativa2 \
address-list-timeout=20m chain=forward comment=\
"UltraSurf Policy - Listar Tentativa de Conexao 2" connection-state=new \
disabled=yes dst-port=25101,33500 protocol=tcp src-address-list=\
ultrasurf_tentativa1

add action=add-src-to-address-list address-list=ultrasurf_tentativa1 \
address-list-timeout=30m chain=forward comment=\
"UltraSurf Policy - Listar Tentativa de Conexao 1" connection-state=new \
disabled=yes dst-port=25101,33500 protocol=tcp

add action=drop chain=forward comment="UltraSurf Policy - Drop TCP 25101 e 33500" \
connection-state=established disabled=yes dst-port=25101,33500 protocol=tcp

add action=drop chain=forward comment="UltraSurf Policy - Drop TCP 3128" \
disabled=yes dst-port=3128 out-interface=ppp-out1 protocol=tcp

add action=drop chain=forward comment=\
"UltraSurf Policy - Dropar Enderecos Comuns" disabled=yes \
dst-address-list=ultrasurf_address protocol=tcp

/ip firewall address-list
add address=65.49.2.0/24 comment="" disabled=yes list=ultrasurf_address
add address=65.49.14.0/24 comment="" disabled=yes list=ultrasurf_address
add address=72.21.0.0/24 comment="" disabled=yes list=ultrasurf_address


O Ultrasurf tenta conexões em uma infinidade de endereços e portas, o que torna impossivel criar uma lista de ips para bloquear, da mesma maneira é totalmente inconveniente bloquear a porta 443 e criar white-list, mas ao analizar o trafego do ultrasurf, verifiquei que ele faz suas primeiras tentativas de conexão na porta tcp 25101 e 33500, mesmo bloqueando a porta 443 assim como uma lista com 3Kg de IPs, ele constantemente bate nessa porta, então usei ela como padrão, pois para criar um blacklist com o ip de origen na rede local após 3 tentativas e bloquear a travessia (forwad) desse host completamente, as outras regras são complementares e recomendo utiliza-las se você não ultiliza um firewall com politicas padrão "drop" para travessia.

De qualquer forma não apresento isso como uma solução definitiva, pois cada caso é um caso, deu certo nos meus clientes, mas pode não funcionar na estrutura de vocês, então peço que testem e reportem o que pode estar errado ok.

Abraços!

[julierme]

UP, vou testar!

[alexrock]

Vou testar também e sem falta te falo o que verifiquei.
Esse informação é muito importante para que administra redes empresariais e acadêmicas.

[robman]

Não esqueçam de mudar a interface WAN (internet) ppp-out1 para a interface wan da rede em questão

[maxibelo]

Só acompanhando porque esse tal de Ultrasurf realmente é uma praga..

[robman]

Todas as regras estão por padrão desabilitadas (disabled=yes), tanto no /ip firewall filter como em address-list, não esqueçam de abilitar as que estão em /ip firewall address-list

[julierme]

Aqui esta tendo uma contagem de pacotes nas regras.. pelos testes incial esta indo e valeu robman pela dica muito boa mesmo.

[robman]

Aqui esta tendo uma contagem de pacotes nas regras.. pelos testes incial esta indo e valeu robman pela dica muito boa mesmo.

Blz julierme, estamos ai, espero que funcione pra todos!

att.

[alexrock]

Infelizmente pra mim não funcionou. O danado continua se conectando, via porta 30550 em um host de Taiwan.
Inclusive a lista nem é criada, assim sendo na minha rede, ele nem está usando a porta 25101 para conexão inicial.
Testei a versão 9.5, 9.6 e 10.06, todas passaram.

[robman]

Infelizmente pra mim não funcionou. O danado continua se conectando, via porta 30550 em um host de Taiwan.
Inclusive a lista nem é criada, assim sendo na minha rede, ele nem está usando a porta 25101 para conexão inicial.
Testei a versão 9.5, 9.6 e 10.06, todas passaram.

Olá alexrock!

Vou testar novamente e te dou um retorno ok!

Att.

[robman]

Infelizmente pra mim não funcionou. O danado continua se conectando, via porta 30550 em um host de Taiwan.
Inclusive a lista nem é criada, assim sendo na minha rede, ele nem está usando a porta 25101 para conexão inicial.
Testei a versão 9.5, 9.6 e 10.06, todas passaram.

Olá alexrock

Verifica se as regras em /ip firewall address-list estão ativas, talves vc não esteja usando um firewall com politicas drop por padrão em Forward (travessia) nesse caso adicione a porta 33500, pois foi a segunda porta mais alta em que encontrei um alto numero de requisições, basta copiar as regras novamente no primeiro post, pois elas ja foram editadas.

Att.

[mauriciojmjr]

Vou testar tb. Queria matar o cara que fez esse ultrasurf rsrs

[robman]

Vou testar tb. Queria matar o cara que fez esse ultrasurf rsrs

Blz, qualquer coisa posta ai se deu certo ok.

Att.

[DoubleFaster]

Caros colegas,

Essas regras ainda são válidas ou tem alguma coisa mais recente para isso? Tenho uma RB750GL com RouterOS 5.17 só com HotSpot(sem webproxy).

Obrigado.

[coelholuciano]

Consegui bloquear o UltraSurf e similares através do Firewall e Proxy.

Mas a solução é bem simples:
Firewall configurado dentro dos padrões de Default Deny;
Liberar somente as portas necessárias para funcionamento da rede;
Portas ssh, 80, 53 e 3128 liberadas exclusivamente para acesso ao IP da Lan do servidor;
Proxy Não Transparente, atuando como saída exclusiva de HTTP, HTTPS e FTP;
WPAD para configurar o proxy nos clientes.

Escrevi um pequeno artigo sobre como procedi e este esta disponível no meu blog (http://coelholuciano.blogspot.com.br...efinitivo.html).

A solução implementada já esta em uso, com sucesso, a mais de um ano.
Um forte abraço
Luciano Coelho

[DoubleFaster]

coelholuciano,

Muito interessante esse artigo mas na minha situação onde tenho 32 usuários muito heterogênios e hadrware também que fazem uso de internet como Relógio ponto, DVR e somente o hardware do mikrotik para trabalhar fica difícil implementear essa sua idéia além do que a internet do local provem de outra a 2Km de distância.

Nesse meu caso ainda não existe pessoal disponível nem com conhecimento que possa tomar conta disso depois de feito o que tornaria o retorno para re-configurar as "excessões" necessário.

Se alguém conseguiu implementar isso através das regras somente o Mikrotik que puder contribuir agradeço. A solução que estou tentando implementar seria algo mais simples somente com Hotspot com autenticação de usuário+senha+mac, wallet garden para as coisas comuns como Bancos, páginas dos Webservices da nFe e email´s da empresa assim alguns usuários que não dispõe de usuário e senha podem ainda sim mandar email e emitir notas.

Obrigado.

Consegui bloquear o UltraSurf e similares através do Firewall e Proxy.

Mas a solução é bem simples:
Firewall configurado dentro dos padrões de Default Deny;
Liberar somente as portas necessárias para funcionamento da rede;
Portas ssh, 80, 53 e 3128 liberadas exclusivamente para acesso ao IP da Lan do servidor;
Proxy Não Transparente, atuando como saída exclusiva de HTTP, HTTPS e FTP;
WPAD para configurar o proxy nos clientes.

Escrevi um pequeno artigo sobre como procedi e este esta disponível no meu blog (http://coelholuciano.blogspot.com.br...efinitivo.html).

A solução implementada já esta em uso, com sucesso, a mais de um ano.
Um forte abraço
Luciano Coelho