Como bloquear HotSpotShield ?

[danistation]

Galera,

Recentemente notei uma conexao IPV6 em minha Lan. Trabalho em uma rede com uns 60 computadores, e um dia desses rodando um iptstate, notei que havia uma única conexao feita sobre IPV6!!

Detalhes, toda minha rede é feita com IPV4. Uso um Fedora core 8 como proxy/firewall.

Investiguei o caso, e o bendito animal que possuia essa conexão estava usando um desses programas tipo UltraSurf.

O maldito programa chama-se HotSpotShield ou HotSpot Shield. Ele está rodando a partir de uma estação Windows 7.

Aparentemente ele cria uma VPN com a empresa que o fornece, e, a partir daí, NAVEGAÇÃO COMPLETA, ignorando as até mesmo regras de firewall e squid.

Preciso muito da ajuda dos colegas para travar essa maldição e evitar que outro softwares semelhantes sejam descobertos e utilizados.

Eu não sei lidar muito bem com IPV6. Esse programa rodando em Windows XP usa IPV4, então foi relativamente facil de bloquear, mas no Windows 7, o maldito cria conexoes usando IPV6 e não faço idéia por onde começar..

Por favor, quem puder ajudar, agradeço!!!

[naldo864]

vou acompanhar se isto acontece isto e para tecnicos resolverem .

[AndrioPJ]

estranho...
já vi algumas conexão ipv6, mas que morriam ao bater no servidor, pois o servidor é somente ipv4 e não sabe trata-lo.

[Danusio]

O seu servidor aceita conexões vpns?

[demattos]

Mas o gateway esta aceitando conexoes ipv6, ou este programas esta fazendo um tunel com ipv4 e rodando nele o ipv6. Tem como vc passar o resultado do iptstate para dar uma olhada

[danistation]

estranho...
já vi algumas conexão ipv6, mas que morriam ao bater no servidor, pois o servidor é somente ipv4 e não sabe trata-lo.

O iptables do Fedora 8 traz junto o ip6tables. Achei que tivesse alguma coisa a ver com isso, mas pelo que entendi não... Ele roda na inicialização junto com o iptables. Mas, verifiquei as confiugrações dele:

1- defini todas as regras padrão para DROP;
2- não há nenhuma regra que permitisse o uso do ip6tables, nem para localhost;
3- desativei o serviço.

Mesmo desativando o serviço, ainda aparecia a bendita conão ipv6 no iptstate. Se faço um TCPDUMP na conexão não capturo nada: o IPv4 da máquina em questão é 192.168.1.30... mas nada é capturado neste IP.. mas quando uso o tcpdump para capturar todos os pacotes ipv6 (tcpdump -i eht0 -nn ip6, aí tenho pacotes trafegando e é possível ver com o -v que são destinados para o 192.168.1.30... TERRIFIC!!

[Danusio]

vc desativou os serviços de ipv6 pelo ntsysv, para que não seja inicializado novamente?

[danistation]

O seu servidor aceita conexões vpns?

Sim.. não tenho servidores VPN, mas tenho permissão para deixar passar VPN pois alguns clientes nossos que nos visitam tem a necessidade de se conectar aos VPN de suas empresas.... por isso a conexao VPN é liberada...

[danistation]

Mas o gateway esta aceitando conexoes ipv6, ou este programas esta fazendo um tunel com ipv4 e rodando nele o ipv6. Tem como vc passar o resultado do iptstate para dar uma olhada

Então.. desliguei o ip6tables do fedora, não sei nem porque, pois não havia nenhuma regra que pudesse compartilhar a conexão por ipv6 com ninguém. para garantir, mudei as regras para DROP e sequer o localhost poderia fazer qualquer coisa usando ipv6.

Baixei o programa para usar no vbox (com windows 7) e simular o treco. Realmente, a conexão é feita por IPV4 por VPN. O kit de programas do hotspot shield instala na máquina do usuário 3 programas do pacote openvpn como serviço, além o executável do próprio programa.

Aparentemente ele cria uma conexão "virtual" que fica oculta no painel de controle do W7 (no XP tb), algumas rotas com métricas menores que as do gateway padrão.. Nas maquinas XP não tive problemas, pq peguei os nomes de dominios e o squid dá conta do recado, mas nas maquinas W7, aparentemente ele consegue fazer IPv6 sobre IPv4 após um tunel VPN. então o squid não funfa mais...

Não consegui entender muito bem as rotas criadas. Vou ligar a máquina e assim que possível coloco o route print dela com o programa funcionando.

O único teste que fiz e resolveu foi bloquear o FORWARD de pacotes udp no iptables apenas do MAC do animal. Mas não testei VPN e acredito que se aplicar essa regra na rede toda vou ter probelmas com clientes que nos visitam e precisam utilizar suas VPNs....

Algo que notei também, é que a conexão para ser feita é aberta uma janela do navegador e o sistema fica fazendo várias tentativas com IPs de servidores diferentes. depois disso desiste, pq, claro, deve ser uma base de IPs limitada. Vou executar algumas vezes logo mais, capturar os endereços de IPs que se conectam e fazer uma lista deles... PIOR se tiver IP da AKAMAI no meio.. aí ferrou....

Seria legal se os colegas testassem o malditinho em um gateway que também tenha VPN liberado como o meu...

Enfim, vou fazer mais alguns testes e vou colocando o resultado... Eita sentimento de impotência.. rsss.... como assim um mero usuário bobão vai passar a perna na gente??? kkkkk..

[Danusio]

é a coisa tá feia mesmo, já tentou verificar as postar que estão em uso para um possível bloqueio?

[alexandrecorrea]

- se nao use, desligue !! se for centos/redhat/suse .. no /etc/sysconfig/network muda IPV6 para no

firewall nem squid vão "tocar" nestes pacotes, porque ele esta sendo transportando dentro do tunel VPN, ou seja, voce precisa bloquear VPN !!

minha recomendação é filtrar TUDO e liberar o que for necessário, nas empresas que trabalhei sempre montava a politica dessa maneira (default - DROP).

[demattos]

Meu Firewall trabalha assim, faco DROP de tudo e depois libero so o que eu quero

[andrelch]

Na empresa existem regras para o uso de internet?
Se sim, dá logo uma trava no cara, oficialmente.

Ele vai saber que foi descoberto e o resto fica com medo de usar.
Desinstala da máquina e bota bloqueio para instalar programas.

Na última empresa que trabalhei, deixei tudo bloqueado e só podia instalar algum programa solicitando antes para que instalássemos na máquina.

[danistation]

- se nao use, desligue !! se for centos/redhat/suse .. no /etc/sysconfig/network muda IPV6 para no

firewall nem squid vão "tocar" nestes pacotes, porque ele esta sendo transportando dentro do tunel VPN, ou seja, voce precisa bloquear VPN !!

minha recomendação é filtrar TUDO e liberar o que for necessário, nas empresas que trabalhei sempre montava a politica dessa maneira (default - DROP).

Imaginei.. mas ainda não domino muito bemo TCPDUMP.. gostaria de entender melhor (saber ler corretamente) a saída da captura dos dados... para ter maior domínio e certeza do que acontece na rede.

Bem, pelo visto o negócio será tornar o VPN dependente de solicitações. Obrigado!

[danistation]

Na empresa existem regras para o uso de internet?
Se sim, dá logo uma trava no cara, oficialmente.

Ele vai saber que foi descoberto e o resto fica com medo de usar.
Desinstala da máquina e bota bloqueio para instalar programas.

Na última empresa que trabalhei, deixei tudo bloqueado e só podia instalar algum programa solicitando antes para que instalássemos na máquina.

Acredite.. Não oficialmente. Onde trabalho as pessoas tem muita necessidade de utilizar o conteúdo da internet, porém, são um bando de mocó, com um osso amarrado na cabeça, gritando uga-buga... O supervisores/gerentes então, nem se fala. Reclama quando nada funciona e quando provamos que o funcionário é um inútil, fazem de conta que nada acontece...

Enfim, o meu objetivo é adquirir conhecimento sobre o que é necessário para essa galera trabalhar. Não posso simplesmente bloquear tudo.. Por exemplo, temos clientes que publicam conteúdo no youtube, por exemplo.. (casos raros). Alguns sites de sertanejos são 100% flash e em alta resolução, pesadíssimos. Não posso bloquear flash 100% porque temos clientes de verdade que também possuem site com conteúdo em flash e precisam constantemente ser acessados. Até voip temos aqui...

No geral: Tenho que ter conhecimento de tudo que é necessário e bloquear apenas o inútil.

Até o aparecimento desta porcaria de hotspot shield estava 100%, campeão... agora estou com essa dor de cabeça para resolver... madito programa... Logo mais posto algumas coisas que capturei...

[danistation]

Galera... seguem alguns prints:

C:\Windows\system32>ipconfig

Configuração de IP do Windows


Adaptador Ethernet Conexão Local* 18:

Sufixo DNS específico de conexão. . . . . . : hshld.com
Endereço IPv6 de link local . . . . . . . . : fe80::f915:c962:75d6:f537%38
Endereço IPv4. . . . . . . . . . . . . . . : 10.33.0.33
Máscara de Sub-rede . . . . . . . . . . . . : 255.255.248.0
Gateway Padrão. . . . . . . . . . . . . . . :

Adaptador Ethernet Conexão local:

Sufixo DNS específico de conexão. . . . . . :
Endereço IPv6 de link local . . . . . . . . : fe80::e193:de31:474d:ba12%11
Endereço IPv4. . . . . . . . . . . . . . . : 192.168.1.36
Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0
Gateway Padrão. . . . . . . . . . . . . . . : 192.168.1.1

Adaptador Ethernet VirtualBox Host-Only Network:

Sufixo DNS específico de conexão. . . . . . :
Endereço IPv6 de link local . . . . . . . . : fe80::816d:d5b9:a80c:79be%20
Endereço IPv4. . . . . . . . . . . . . . . : 192.168.56.1
Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0
Gateway Padrão. . . . . . . . . . . . . . . :

Adaptador de túnel isatap.{0BB338A9-E1AB-407F-96F7-18479902BD45}:

Estado da mídia. . . . . . . . . . . . . . : mídia desconectada
Sufixo DNS específico de conexão. . . . . . :

Adaptador de túnel Conexão Local*:

Estado da mídia. . . . . . . . . . . . . . : mídia desconectada
Sufixo DNS específico de conexão. . . . . . :

Adaptador de túnel isatap.{9404F7D9-D778-4AEF-A30B-5DE037A9F8F2}:

Sufixo DNS específico de conexão. . . . . . :
Endereço IPv6 de link local . . . . . . . . : fe80::5efe:192.168.1.36%16
Gateway Padrão. . . . . . . . . . . . . . . :

Adaptador de túnel isatap.hshld.com:

Sufixo DNS específico de conexão. . . . . . : hshld.com
Endereço IPv6 de link local . . . . . . . . : fe80::5efe:10.33.0.33%21
Gateway Padrão. . . . . . . . . . . . . . . :

C:\Windows\system32>





C:\Windows\system32>route print
===========================================================================
Lista de interfaces
38...00 ff 76 84 5e 58 ......Anchorfree HSS Adapter
11...00 23 54 fb 7a ac ......NIC Gigabit Ethernet PCI-E Realtek Família RTL8168C(P)/8111C(P) (NDIS 6.20)
20...08 00 27 00 14 75 ......VirtualBox Host-Only Ethernet Adapter
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP #2
21...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP #3
===========================================================================

Tabela de rotas IPv4
===========================================================================
Rotas ativas:
Endereço de rede Máscara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.36 276
0.0.0.0 128.0.0.0 10.33.0.1 10.33.0.33 30
10.33.0.0 255.255.248.0 No vínculo 10.33.0.33 286
10.33.0.33 255.255.255.255 No vínculo 10.33.0.33 286
10.33.7.255 255.255.255.255 No vínculo 10.33.0.33 286
68.68.107.182 255.255.255.255 192.168.1.1 192.168.1.36 20
127.0.0.0 255.0.0.0 No vínculo 127.0.0.1 306
127.0.0.1 255.255.255.255 No vínculo 127.0.0.1 306
127.255.255.255 255.255.255.255 No vínculo 127.0.0.1 306
128.0.0.0 128.0.0.0 10.33.0.1 10.33.0.33 30
192.168.1.0 255.255.255.0 No vínculo 192.168.1.36 276
192.168.1.36 255.255.255.255 No vínculo 192.168.1.36 276
192.168.1.255 255.255.255.255 No vínculo 192.168.1.36 276
192.168.56.0 255.255.255.0 No vínculo 192.168.56.1 276
192.168.56.1 255.255.255.255 No vínculo 192.168.56.1 276
192.168.56.255 255.255.255.255 No vínculo 192.168.56.1 276
224.0.0.0 240.0.0.0 No vínculo 127.0.0.1 306
224.0.0.0 240.0.0.0 No vínculo 192.168.56.1 276
224.0.0.0 240.0.0.0 No vínculo 192.168.1.36 276
224.0.0.0 240.0.0.0 No vínculo 10.33.0.33 286
255.255.255.255 255.255.255.255 No vínculo 127.0.0.1 306
255.255.255.255 255.255.255.255 No vínculo 192.168.56.1 276
255.255.255.255 255.255.255.255 No vínculo 192.168.1.36 276
255.255.255.255 255.255.255.255 No vínculo 10.33.0.33 286
===========================================================================
Rotas persistentes:
Endereço de rede Máscara Ender. gateway Custo
0.0.0.0 0.0.0.0 192.168.1.1 Padrão
===========================================================================

Tabela de rotas IPv6
===========================================================================
Rotas ativas:
Se destino de rede de métrica Gateway
1 306 ::1/128 No vínculo
20 276 fe80::/64 No vínculo
11 276 fe80::/64 No vínculo
38 286 fe80::/64 No vínculo
21 296 fe80::5efe:10.33.0.33/128
No vínculo
16 281 fe80::5efe:192.168.1.36/128
No vínculo
20 276 fe80::816d:d5b9:a80c:79be/128
No vínculo
11 276 fe80::e193:de31:474d:ba12/128
No vínculo
38 286 fe80::f915:c962:75d6:f537/128
No vínculo
1 306 ff00::/8 No vínculo
20 276 ff00::/8 No vínculo
11 276 ff00::/8 No vínculo
38 286 ff00::/8 No vínculo
===========================================================================
Rotas persistentes:
Nenhuma

Agora, algumas linhas do tcpdump no momento do trafego, com o hotspost shield já conectado...

13:22:56.413017 IP (tos 0x2,ECT(0), ttl 52, id 38226, offset 0, flags [DF], proto TCP (6), length 1500) 68.68.107.182.cslistener > 192.168.1.36.62827: P 2850580:2852040(1460) ack 277671 win 1161
13:22:56.413423 IP (tos 0x0, ttl 128, id 10182, offset 0, flags [DF], proto TCP (6), length 119) 192.168.1.36.62827 > 68.68.107.182.cslistener: P 278461:278540(79) ack 2852040 win 25000

miseras 2 linhas, sei...

agora, o estado do iptstate no momento do trafego, conexao já estabelecida....

Version: 2.2.1 Sort: SrcIP b: change sorting h: help
Filters: src: 192.168.1.36
Source Destination Proto State TTL
192.168.1.36:62827 68.68.107.182:9000 tcp ESTABLISHED 119:59:5


192.168.1.36:63385 91.203.99.52:80 tcp ESTABLISHED 119:59:11
192.168.1.36 68.68.107.69 ipv6 0:09:56
192.168.1.36:63372 74.125.234.114:80 tcp ESTABLISHED 119:59:11

Isso foi capturado da maquina do individuo...

Agora, montei um windows 7 num vbox para testes.... usei o ip 192.168.1.38..

alterações no firewall apenas para o ip 192.168.1.38 (testes):

01 - bloqueio de todo o UDP; O hotspot shield parou de funcionar.. durante alguns instantes apenas.. o programa fela sia pesquisando varias portas udp, e depois, parte para a ignorancia... para as portas TCP (9000, 10000 ... 1755, 15000 ... 50000....). Em especial para as portas 10000>, fica alternado por portas proximas.

Para cada porta tcp que bloqueio, o programa demora mais para conectar.. fica tentando outras portas, e, por fim, acaba se conectando...

Não sei até onde poderia bloquear tudo.... mas a princípio, qual é a recomendação dos colegas sobre bloqueio de portas, onde as políticas padrão necessariamente devem ser ACCEPT? ou, quais portas realmente deveriam ter uma atenção especial e serem definitivamente bloqueadas?

Mais uma pergunta importante:

Tenho uma lista grande de regras no iptables. Quando um pacote coincide com alguma das regras, o IP tables continua lendo a tabela toda ou, ao coincidir com a regra acaba por despachar o pacote e ignorando as outras?