Bloqueando o UltraSurf e o WebMessenger do Hotmail com Proxy Transparente

itn

O UltraSurf é um pequeno utilitário capaz de burlar um proxy e permitir acesso a sites bloqueados, e que tem sido cada vez mais utilizado em bibliotecas, faculdades e escolas. O UltraSurf utiliza-se de diversos servidores para conexão feitas pela porta SSL 443.

[ Hits: 40.414 ]

Por: Irineu Teza Nunes em 10/09/2011

0 0

Denuncie Favoritos Indicar Impressora

Descobrindo IP, Bloqueio Messenger e Conclusão

Como descobrir o ip a ser liberado para adicionar a lista?

Você pode utilizar a analise de logs do squid, iptables e programas monitor de rede, no exemplo utilizei o networx (programa para analise do tráfico de rede para windows).

Link do networx: http://www.softperfect.com/download

Acesse o site que você pretende liberar, e verifique o IP que está sendo acessado pela porta 443.

Por exemplo temos o IP 170.66.1.60 que corresponde ao IP do Banco do Brasil. Ao adicionar no arquivo adicione da seguinte maneira 170.66.1.0/24, isso irá liberar toda a faixa de ip de 170.66.1.1 a 170.66.1.254, o que se torna interessante uma vez que geralmente os domínios utilizam mais de um IP de terminada faixa para acessos a serviços.

Observe que esses ips podem mudar com o tempo precisando ser atualizada a lista posteriormente.

Bloqueio do WebMessenger do Hotmail

Veja que no arquivo de exemplo "liberados_443" temos a seguinte faixa de IPs:

...
#MSN EMBUTIDO NO HOTMAIL
184.50.168.0/24
..

Essa é justamente a faixa de IP utilizada pelo WebMessenger do Hotmail para acesso. No meu exemplo estou liberando o acesso a esse serviço, caso queria bloqueá-lo basta comentar essa linha.

Conclusão

Seguindo o exemplo desse tutorial não iremos nos preocupar mais com o UltraSurf ou qualquer outro software semelhante (pelo menos enquanto utilizarem a porta 443). O grande dificuldade realmente está no fato de ter que adicionar os ips de todas as URLs a serem liberadas que dependendo da quantidade de sites exigirá um trabalho bastante dispendioso.

Por outro lado depois disso você só irá precisar fazer pequenas atualizações de IPs que venham a mudar ou adicionar novos IPs a serem liberados no arquivo liberados_443.

Como nem tudo é maravilha dependendo a quantidade de IPs adicionados a lista o firewall irá demorar um pouco mais para aplicar todas as regras e a acesso a os sites liberados irá ficar ligeiramente mais lento."É uma questão de preço benefício" :D.

Espero que tenham gostado, qualquer coisa comentem.

Abraços.

Irineu Teza Nunes.

Esse documento está disponível também em: http://itnproducoes.blogspot.com/2010/09/bloqueando-o-ultrasurf-e-o-webmessenger.html

Página anterior

Páginas do artigo

1. Introdução e Tutorial
2. Descobrindo IP, Bloqueio Messenger e Conclusão

Outros artigos deste autor

Criando túneis com o VTUN

Port Scan Attack Detector (PSAD) com iptables

Reforçando a segurança das conexões HTTPS no Apache

Leitura recomendada

Port Forward mais completo: caçando o fantasma da rede interna

Firewall com Iptables: direto ao assunto (RHEL5 e Fedora)

Firewall iptables em cinco minutos e compartilhamento de conexão

IPTABLES - Conceitos e aplicação

Abrindo "passagem" para clientes de correio

Comentários

[1] Comentário enviado por Tacioandrade em 11/09/2011 - 18:35h

Amigo, fiz o teste aqui em minha VM do bloqueio do chat do msn no hotmail, porem não funcionou. =/

O teste foi feito em uma maquina virtual rodando o BrazilFW e antes disto em minha maquina pessoal, porem nada. =/

0 0

[2] Comentário enviado por itn em 11/09/2011 - 21:17h

Olá Tacio muito obrigado pela sua contribuição.
Então como comentado no artigo a equipe do MSN estão constantemente mudando os endereços do Hotmail e do MSN.

Fiz uma atualização da lista do arquivo "liberados_443" que conseguiu bloquear o Web Messenger do MSN e disponibilizo abaixo:

Apague as linhas do
#MSN
#HOTMAIL
#MSN EMBUTIDO NO HOTMAIL

Pelas linhas abaixo:

#MSN
69.192.24.0/24

#Novo Hotmail 11-09-2011
65.54.186.0/24
65.54.204.0/24
65.54.165.0/24
216.246.75.0/24

#MSN Embutido no Hotmail 11-09-2011
173.222.141.0/24

O exemplo completo do arquivo já está disponível no meu blog em:
http://itnproducoes.blogspot.com

0 0

[3] Comentário enviado por diegopontes em 12/09/2011 - 11:30h

caso não queira fazer bloqueio do msn por ip é só fazer o bloqueio por url mesmo, bem mais prático..
só bloquear esse endereço abaixo.

gateway/gateway.dll

0 0

[4] Comentário enviado por rangelozi em 12/09/2011 - 16:38h

Na boa, é muito mais simples você bloquear a porta 443 e criar uma acl no squid para barrar navegação por IP e então...."NOSURF"

Abs

Ps: Todos os outros sites que utilizam HTTPS continuam funcionando normalmente.

0 0

[5] Comentário enviado por diegopontes em 12/09/2011 - 16:41h

Alguém conseguiu bloquear o proxcap? Caso sim, me informa como, pf.. :D

0 0

[6] Comentário enviado por itn em 12/09/2011 - 17:11h

"[4] Comentário enviado por rangelozi em 12/09/2011 - 16:38h:

Na boa, é muito mais simples você bloquear a porta 443 e criar uma acl no squid para barrar navegação por IP e então...."NOSURF"

Abs

Ps: Todos os outros sites que utilizam HTTPS continuam funcionando normalmente. "

Ola rangelozi, obrigado pela sua contribuição.
Também é uma solução, no entanto pelo que você falou teriamos que saber o IP de todas máquinas a serem bloqueadas certo? Além disso com essa solução seria obrigatório a utilização de um proxy.
Na solução proposta por mim você pode utilizar ou não um proxy que o efeito será o mesmo. Afinal o bloqueio já está partindo do próprio Iptables(Firewall).

Abraços.

0 0

[7] Comentário enviado por chcdc em 14/09/2011 - 10:51h

Otimo Artigo

0 0

[8] Comentário enviado por steniobeats em 25/11/2011 - 01:13h

iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -d gateway.messenger.hotmail.com -p tcp --dport 443-j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -d contacts.msn.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT

conseguir bloqueio do MSN em proxy transparente assim, deixando sites de banco livre.

0 0

[9] Comentário enviado por itn em 25/11/2011 - 08:31h

Olá steniobeats, recentemente a forma de autenticação de Web Messenger do hotmail sofreu alterações e sua regra é 100 % válida, ficando o tutorial limitado realmente ao bloqueio do Ultra Surf que como utiliza uma gama gigante de sites para tunelamento pela porta 443 (que vivem mudando) fica praticamente impossível impedir o acesso com bloqueio apenas dos endereços utilizados por ele.

Obrigado pelo comentário.

Abraços!

0 0