+ Responder ao Tópico



  1. #1

    Padrão Bloqueio Freegate e Ultrasurf

    Olá pessoal, estou em uma saga pra bloquear o Ultrasurf e o Freegate. O Ultrasurf até tá funcionando o bloqueio, porém o Freegate tá complicado, estou criando uma lista com todos os IPs que o Freegate utiliza para se conectar, porém não estou tendo muito sucesso nisso, a lista de IPs é interminável! Acredito que ele use redirecionamentos para proxies anônimos de alguma lista na web, são os mais variados IPs. Quanto a portas, ele também usa as mais variadas possíveis, até segue um padrão, mas não é também uma coisa fácil de se fazer. Alguém já conseguiu bloquear esses burladores??

    Abração!

  2. #2

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Galera, obtive êxito!

    Para quem interessar as regras são as seguintes (para iptables)

    -I FORWARD -p tcp -m multiport --dports 553,2479,3848,5492,8580,16242 -j DROP
    -I FORWARD -p udp -m multiport --dports 553,2479,3848,5492,8580,16242 -j DROP
    -I FORWARD -m string --string "dongtaiwang" --algo bm -j DROP

    Se no seu firewall houver forwarding de conexões relacionadas às estabelecidas remova, a não ser que seja extremamente necessário.

    Não sei se acarretará problemas futuramente, sei que até agora está funcionando todas as outras conexões e o Freegate não funciona mais, o Ultrasurf bloqueei dessa forma:

    -I FORWARD -p tcp --sport 443 -s <IP DA LAN> -j DROP
    -I FORWARD -p udp --sport 443 -s <IP DA LAN> -j DROP
    -I FORWARD -p tcp --sport 9666 --dport 443 -j DROP
    -I FORWARD -p tcp --dport 9666 --sport 443 -j DROP
    -I FORWARD -p udp --sport 9666 --dport 443 -j DROP
    -I FORWARD -p udp --dport 9666 --sport 443 -j DROP
    -I FORWARD -m string --string "ultrasurf" --algo bm -j DROP
    -I FORWARD -m string --string "ultrareach" --algo bm -j DROP
    -I FORWARD -m string --string "ultra1" --algo bm -j DROP

    Consegui parar todas as conexões com isso. Repito, não sei se acarretará algum problema futuramente, sei que dessa forma está 10 até agora!

    Abraços!



  3. #3

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Amigo, como que ficou as conexões ssl, tipo, bancos, e-mails que usam ssl? Não estão sendo bloqueadas essas conexões também?

  4. #4

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Não porque ainda assim a porta 443 está liberada.

    Tentei fazer o bloqueio por ip rastreando as conexões e também deu certo, porém são mais de 200 ips e cada pouco aumenta isso, ele faz pesquisas DNS pra localizar esses proxies. Vi algo sobre o Ultrasurf que os pacotes de consulta DNS dele são facilmente detectados pelo Snort e a partir daí pode ser feito o bloqueio dinâmico, estou trabalhando nisso agora pra ver o comportamento do Freegate, se existe essa particularidade também. Assim que tiver respostas eu posto.



  5. #5

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Consegui bloquear o UltraSurf e similares através do Firewall e Proxy. Não testei, mas acredito que funcione para o Freegate também.

    Mas a solução é bem simples:
    Firewall configurado dentro dos padrões de Default Deny;
    Liberar somente as portas necessárias para funcionamento da rede;
    Portas ssh, 80, 53 e 3128 liberadas exclusivamente para acesso ao IP da Lan do servidor;
    Proxy Não Transparente, atuando como saída exclusiva de HTTP, HTTPS e FTP;
    WPAD para configurar o proxy nos clientes.

    Escrevi um pequeno artigo sobre como procedi e este esta disponível no meu blog (http://coelholuciano.blogspot.com.br...efinitivo.html).

    A solução implementada já esta em uso, com sucesso, a mais de um ano.
    Um forte abraço
    Luciano Coelho

  6. #6

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Então Luciano, acabei não postando mais aqui porque até havia esquecido desse assunto, mas também tomei as mesmas medidas com política drop em forwarding, liberando algumas portas essenciais mesmo e utilizando wpad, mesmo procedimento. Também não tenho mais problemas com esses tunnelings e também tem caído muito o nível de vírus nos clientes.

    Mas de qualquer forma Luciano, muito obrigado por ter postado sua experiência mesmo depois de tanto tempo!

    Abraços!



  7. #7

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Interessante a solução, realmente fazer MASQUERADE da porta 443 é complicado, se deixar para o proxy e bloquear por essa acl que bloqueia acesso por IP é uma ótima solução, raros serviços implementam soluções sem nomes, nesses casos, que serão as exceções, só criar uma acl pra liberar.

    Hoje em dia não estou atuando com isso, mas se voltar a precisar vou implementar essa sua solução.

  8. #8

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Pois é Cristian, essa solução funciona!

    Estou fazendo configuração automática de proxy com DHCP + DNS e no proxy estou usando Squid + Dansguardian + Clamav, nada de proxy transparente nem liberação de portas desnecessárias, tem barrado tudo que é tipo de coisa.

    Depois de implantada a solução dessa forma vários funcionários de clientes reclamaram e muito de um filtro que antes já estava presente, porém, pelo que se pode entender, não barrava os tunnelings.

    Luciano, vi que vc escreveu o artigo tendo por base o FreeBSD. Há tempos venho mexendo com ele porém ainda não cheguei a aprofundar no ipfw e nat. Não tive muito tempo para ver isso mas gostaria muito de aprender pois quero desenvolver algo em cima do FreeBSD por questões de performance. Você tem algum material a indicar? Para não fugir ao propósito do tópico, manda pra mim no gklipel {at} gmail ponto com se possível!

    Grande abraço!



  9. #9

    Padrão Re: Bloqueio Freegate e Ultrasurf

    Para esses casos de reclamações de bloqueios e reclamações de usuários, semana passada implantei na mensagem de erro do proxy no arquivo ERR_ACCESS_DENIED inserindo um formulário de envio com justificativa para liberação do link, a própria url e o nome do usuário, também o formulário pega o ip para se precaver de engraçadinhos, claro que dá pra implementar o uso de senha pra liberar o envio das requisições etc.

    Clique na imagem para uma versão maior

Nome:	         error.png
Visualizações:	152
Tamanho: 	44,5 KB
ID:      	36661
    assim você pode cadastrar o e-mail do administrador ou do responsável pra receber as requisições, analisá-las e fazer ou não a liberação. Se não tiver um MTA ativo, da pra usar o postfix autenticando no gmail pra fazer esse envio. Fica bem prático e funcional, na empresa eu só libero a internet na hora do almoço e fora do horário de expediente, ficou muito bom.

    Abraços