Re: Bloqueo Ultrasurf

2011-10-31 Por tema Go Go 
La opcion q han comentado sobre el parseo de ips de ultrasurf me parece la
forma correcta de hacerlo.otra posibilidad es q como los proxys usan el
protocolo http tendria q utilizar algun tipo de "user agent" especifico q
podrias bloquear con squid o iptables sin necesidad de ir ip por ip.
El 26/10/2011 12:03, "Esteban Torres Rodríguez" 
escribió:

> Buenas a todos.
>
> Me he encontrado que algún usuario que está utilizando ultrasurf en su
> windows para saltar los bloqueos del proxy.
>
> Yo tengo una directiva de dominio que configura automaticamente el
> proxy en los clientes, pero los usuarios pueden instalarse el
> ultrasurf que mediante script modifica la configuración del proxy
> local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
> puerto 443 hacia servidores externos y salta toda restricción del
> proxy y firewall.
>
> He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
> el puerto 9666 se abre localmente en las máquinas. He intentado
> hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
> acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
> (osea, múltiples y no muy operativo).
>
> He intentado bajarme el fichero que utiliza dansguardian para bloquear
> este tipo de proxys, pero este fichero no se actualiza y tampoco creo
> que sería válida la opción.
>
> Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?
>
> Quiero dejar como última opción el hacerlo sobre las máquinas de los
> clientes (GPO, regedit, etc).
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/ca+fbnvhcf-dy1mnnirb7+mbajn5ypwoh8_mq9gq8jqcoqv...@mail.gmail.com
>
>

Re: Bloqueo Ultrasurf

2011-10-26 Por tema jose perez 
Usa el nod32 en tus clientes y listo, el nod lo detectara como una
aplicacion indeseable y quedara inutilizable.

Saludos,
jose



2011/10/26 Esteban Torres Rodríguez 

> Buenas a todos.
>
> Me he encontrado que algún usuario que está utilizando ultrasurf en su
> windows para saltar los bloqueos del proxy.
>
> Yo tengo una directiva de dominio que configura automaticamente el
> proxy en los clientes, pero los usuarios pueden instalarse el
> ultrasurf que mediante script modifica la configuración del proxy
> local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
> puerto 443 hacia servidores externos y salta toda restricción del
> proxy y firewall.
>
> He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
> el puerto 9666 se abre localmente en las máquinas. He intentado
> hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
> acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
> (osea, múltiples y no muy operativo).
>
> He intentado bajarme el fichero que utiliza dansguardian para bloquear
> este tipo de proxys, pero este fichero no se actualiza y tampoco creo
> que sería válida la opción.
>
> Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?
>
> Quiero dejar como última opción el hacerlo sobre las máquinas de los
> clientes (GPO, regedit, etc).
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/ca+fbnvhcf-dy1mnnirb7+mbajn5ypwoh8_mq9gq8jqcoqv...@mail.gmail.com
>
>


-- 
Jose Perez O.

Re: Bloqueo Ultrasurf

2011-10-26 Por tema carlopmart 

On 10/26/2011 02:50 PM, Esteban Torres Rodríguez wrote:

El día 26 de octubre de 2011 14:09, carlopmart  escribió:

On 10/26/2011 02:02 PM, fr33Co wrote:



El 26 de octubre de 2011 07:02, Antoniomailto:n27deb...@gmail.com>>  escribió:

El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:

Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf
en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666
, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666,
pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el
puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para
bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco
creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones
por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de
los
clientes (GPO, regedit, etc).


Si tus usuarios en la máquina local tienen permisos de instalación,
o un usuario que puede instalar software, lo tienes difícil.
Te están pidiendo que controles algo que de esta manera no puedes
controlar.
Los usuarios tienen que trabajar con un usuario con los mínimos
privilegios posibles, se supone que es para trabajar, para
administrar, instalar y configurar ya están otras personas.
Suerte y un saludo.


Esta opción la he probado y funciona, pero es mas ruidosa ( ya que hay
que actuar sobre todos los clientes) y ahora mismo mis jefes quieren
hacer el menor ruido posible. Además que los clientes tienen pocas GPO
aplicadas, por no decir que solo tienen la que configura
automáticamente el proxy.







Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
aplicaciones o servicios no utilizan dominios especificos, prueba a ver
como te va.

acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
http_access deny numeric_IPs



No me ha funcionado esto. De hecho ya lo habia probado para bloquear
el skype y no me habia funcionado.

El rollo creo que está en que este tipo de aplicaciones utiliza el
puerto 443 y tendría que filtrar lo que pasa por ese puerto.




Esta es una buena opción ... Las otras dos que te quedan es utilizar un
filtrador de contenidos (ahora mismo solo se me ocurren productos
comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En el
caso del IPS debe estar antes del proxy.

Saludos.

--


Para filtrar SSL vas a tener que recurrir a un IPS comercial ... Otra 
opción que se me ocurre es, ¿las IPs de conexión ultrasurf aparecen en 
esta lista:


http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RussianBusinessNetworkIPs.txt
http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RBN_IP_List_Update_10-6-2011.txt 
??


Si es así puedes parsear esas IP's y cargarlas en el firewall de forma 
diaria ... Yo llevo utilizando esa lista durante 3 años y solo he tenido 
un problema, y fue banal


Otra opción sería momtar un blackhole DNS, pero también tienes que 
conocer las IPs y los dominios a los que conecta Ultrasurf ...


A ver que dice san google ... Hombre, otra idea interesante:

http://osvaldohp.blogspot.com/2011/01/barrando-o-ultrasurf-politica-de.html

Puedes monitorizar unos días y montar la blacklist a partir de ahí ... E 
incluso podrías dejar un daemonlogger en background y recargar la lista 
cada hora o tiempo que estimes ...


Indudablemente la solución más limpia es un IPS con capacidad de 
filtrado SSL ... Pero estas otras opciones te puden valer dependiendo de 
la carga de tráfico web que tengas, peticiones simultaneas que recibe el 
proxy, etc ... Eso es algo que solo tu sabes.


Saludos.






--
CL Martinez
carlopmart {at} gmail {d0t} com


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4ea80c4e.5050...@gmail.com

Re: Bloqueo Ultrasurf

2011-10-26 Por tema Esteban Torres Rodríguez 
El día 26 de octubre de 2011 14:09, carlopmart  escribió:
> On 10/26/2011 02:02 PM, fr33Co wrote:
>>
>>
>> El 26 de octubre de 2011 07:02, Antonio > > escribió:
>>
>>    El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:
>>
>>        Buenas a todos.
>>
>>        Me he encontrado que algún usuario que está utilizando ultrasurf
>>        en su
>>        windows para saltar los bloqueos del proxy.
>>
>>        Yo tengo una directiva de dominio que configura automaticamente el
>>        proxy en los clientes, pero los usuarios pueden instalarse el
>>        ultrasurf que mediante script modifica la configuración del proxy
>>        local de los windows y pone la 127.0.0.1:9666
>>        , hace un tunel por el
>>        puerto 443 hacia servidores externos y salta toda restricción del
>>        proxy y firewall.
>>
>>        He intentado bloquearlo por firewall, bloqueando el puerto 9666,
>>        pero
>>        el puerto 9666 se abre localmente en las máquinas. He intentado
>>        hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
>>        acceso a aquellas paginas que sean conocidas y utilizen el
>>        puerto 443
>>        (osea, múltiples y no muy operativo).
>>
>>        He intentado bajarme el fichero que utiliza dansguardian para
>>        bloquear
>>        este tipo de proxys, pero este fichero no se actualiza y tampoco
>>        creo
>>        que sería válida la opción.
>>
>>        Se os ocurre alguna manera de bloquear este tipo de aplicaciones
>>        por squid?
>>
>>        Quiero dejar como última opción el hacerlo sobre las máquinas de
>> los
>>        clientes (GPO, regedit, etc).
>>
>>
>>    Si tus usuarios en la máquina local tienen permisos de instalación,
>>    o un usuario que puede instalar software, lo tienes difícil.
>>    Te están pidiendo que controles algo que de esta manera no puedes
>>    controlar.
>>    Los usuarios tienen que trabajar con un usuario con los mínimos
>>    privilegios posibles, se supone que es para trabajar, para
>>    administrar, instalar y configurar ya están otras personas.
>>    Suerte y un saludo.

Esta opción la he probado y funciona, pero es mas ruidosa ( ya que hay
que actuar sobre todos los clientes) y ahora mismo mis jefes quieren
hacer el menor ruido posible. Además que los clientes tienen pocas GPO
aplicadas, por no decir que solo tienen la que configura
automáticamente el proxy.

>>
>
>>
>> Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
>> aplicaciones o servicios no utilizan dominios especificos, prueba a ver
>> como te va.
>>
>> acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
>> http_access deny numeric_IPs


No me ha funcionado esto. De hecho ya lo habia probado para bloquear
el skype y no me habia funcionado.

El rollo creo que está en que este tipo de aplicaciones utiliza el
puerto 443 y tendría que filtrar lo que pasa por ese puerto.


>
> Esta es una buena opción ... Las otras dos que te quedan es utilizar un
> filtrador de contenidos (ahora mismo solo se me ocurren productos
> comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En el
> caso del IPS debe estar antes del proxy.
>
> Saludos.
>
> --
> CL Martinez
> carlopmart {at} gmail {d0t} com
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/4ea7f869.2070...@gmail.com
>
>


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CA+FbNVjz5Sf6PN8SHqL+i7NPmSbYZGRzFQNnNqX=xwxmoql...@mail.gmail.com

Re: Bloqueo Ultrasurf

2011-10-26 Por tema carlopmart 

On 10/26/2011 02:02 PM, fr33Co wrote:



El 26 de octubre de 2011 07:02, Antonio mailto:n27deb...@gmail.com>> escribió:

El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:

Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf
en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666
, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666,
pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el
puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para
bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco
creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones
por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc).


Si tus usuarios en la máquina local tienen permisos de instalación,
o un usuario que puede instalar software, lo tienes difícil.
Te están pidiendo que controles algo que de esta manera no puedes
controlar.
Los usuarios tienen que trabajar con un usuario con los mínimos
privilegios posibles, se supone que es para trabajar, para
administrar, instalar y configurar ya están otras personas.
Suerte y un saludo.





Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
aplicaciones o servicios no utilizan dominios especificos, prueba a ver
como te va.

acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
http_access deny numeric_IPs


Esta es una buena opción ... Las otras dos que te quedan es utilizar un 
filtrador de contenidos (ahora mismo solo se me ocurren productos 
comerciales) y la otra es instalar un IPS (snort, suricata o bro) ... En 
el caso del IPS debe estar antes del proxy.


Saludos.

--
CL Martinez
carlopmart {at} gmail {d0t} com


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4ea7f869.2070...@gmail.com

Re: Bloqueo Ultrasurf

2011-10-26 Por tema fr33Co 
El 26 de octubre de 2011 07:02, Antonio  escribió:

> El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:
>
>> Buenas a todos.
>>
>> Me he encontrado que algún usuario que está utilizando ultrasurf en su
>> windows para saltar los bloqueos del proxy.
>>
>> Yo tengo una directiva de dominio que configura automaticamente el
>> proxy en los clientes, pero los usuarios pueden instalarse el
>> ultrasurf que mediante script modifica la configuración del proxy
>> local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
>> puerto 443 hacia servidores externos y salta toda restricción del
>> proxy y firewall.
>>
>> He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
>> el puerto 9666 se abre localmente en las máquinas. He intentado
>> hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
>> acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
>> (osea, múltiples y no muy operativo).
>>
>> He intentado bajarme el fichero que utiliza dansguardian para bloquear
>> este tipo de proxys, pero este fichero no se actualiza y tampoco creo
>> que sería válida la opción.
>>
>> Se os ocurre alguna manera de bloquear este tipo de aplicaciones por
>> squid?
>>
>> Quiero dejar como última opción el hacerlo sobre las máquinas de los
>> clientes (GPO, regedit, etc).
>>
>>
>>  Si tus usuarios en la máquina local tienen permisos de instalación, o un
> usuario que puede instalar software, lo tienes difícil.
> Te están pidiendo que controles algo que de esta manera no puedes
> controlar.
> Los usuarios tienen que trabajar con un usuario con los mínimos privilegios
> posibles, se supone que es para trabajar, para administrar, instalar y
> configurar ya están otras personas.
> Suerte y un saludo.
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-spanish-REQUEST@**lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**4ea7efd6.5010...@gmail.com
>
>
Yo pude bloquear, añadiendo en el proxy, bloqueos por ip ya que esas
aplicaciones o servicios no utilizan dominios especificos, prueba a ver como
te va.

acl numeric_IPs url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
http_access deny numeric_IPs

Re: Bloqueo Ultrasurf

2011-10-26 Por tema Antonio 

El 26/10/2011 12:02, Esteban Torres Rodríguez escribió:

Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc).


Si tus usuarios en la máquina local tienen permisos de instalación, o un 
usuario que puede instalar software, lo tienes difícil.
Te están pidiendo que controles algo que de esta manera no puedes 
controlar.
Los usuarios tienen que trabajar con un usuario con los mínimos 
privilegios posibles, se supone que es para trabajar, para administrar, 
instalar y configurar ya están otras personas.

Suerte y un saludo.


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4ea7efd6.5010...@gmail.com

Re: Bloqueo Ultrasurf

2011-10-26 Por tema Camaleón 
El Wed, 26 Oct 2011 12:02:57 +0200, Esteban Torres Rodríguez escribió:

> Buenas a todos.
> 
> Me he encontrado que algún usuario que está utilizando ultrasurf en su
> windows para saltar los bloqueos del proxy.

Las políticas en los clientes también deben ser efectivas. Por ejemplo, 
no deberían poder instalar ninguna aplicación de este tipo si es política 
de la empresa que no las puedan usar.

(..)

> Se os ocurre alguna manera de bloquear este tipo de aplicaciones por
> squid?

Pues ni idea, pero me da a mí que esta debe ser una de esas preguntas que 
ya se han hecho varios (otra de las "conocidas" es cómo bloquear el 
tráfico de Skype :-P):

http://www.google.com/webhp?complete=0&hl=en#sclient=psy-ab&hl=en&complete=0&site=webhp&source=hp&q=ultrasurf+squid+block&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=373125196eda466d&biw=1280&bih=888

> Quiero dejar como última opción el hacerlo sobre las máquinas de los
> clientes (GPO, regedit, etc).

Es que a veces no hay otra opción y la solución pasa por restringir en el 
cliente... otra cosa que no falla es llamar al despacho del director a 
los usuarios que lo usan e indicarles que no está permitido hacerlo, por 
contrato, que los equipos se monitorizan y que las sanciones por 
incumplimiento de contrato van desde € hasta el despido >:-)

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/pan.2011.10.26.11.11...@gmail.com

Bloqueo Ultrasurf

2011-10-26 Por tema Esteban Torres Rodríguez 
Buenas a todos.

Me he encontrado que algún usuario que está utilizando ultrasurf en su
windows para saltar los bloqueos del proxy.

Yo tengo una directiva de dominio que configura automaticamente el
proxy en los clientes, pero los usuarios pueden instalarse el
ultrasurf que mediante script modifica la configuración del proxy
local de los windows y pone la 127.0.0.1:9666, hace un tunel por el
puerto 443 hacia servidores externos y salta toda restricción del
proxy y firewall.

He intentado bloquearlo por firewall, bloqueando el puerto 9666, pero
el puerto 9666 se abre localmente en las máquinas. He intentado
hacerlo por squid pero tendría que filtrar el puerto 443 y solo dar
acceso a aquellas paginas que sean conocidas y utilizen el puerto 443
(osea, múltiples y no muy operativo).

He intentado bajarme el fichero que utiliza dansguardian para bloquear
este tipo de proxys, pero este fichero no se actualiza y tampoco creo
que sería válida la opción.

Se os ocurre alguna manera de bloquear este tipo de aplicaciones por squid?

Quiero dejar como última opción el hacerlo sobre las máquinas de los
clientes (GPO, regedit, etc).


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CA+FbNVhcf-dY1MNNirb7+MbaJn5YPWOH8=_mq9gq8jqcoqv...@mail.gmail.com