Bloqueando o UltraSurf e o WebMessenger do Hotmail com Proxy Transparente

itn

O UltraSurf é um pequeno utilitário capaz de burlar um proxy e permitir acesso a sites bloqueados, e que tem sido cada vez mais utilizado em bibliotecas, faculdades e escolas. O UltraSurf utiliza-se de diversos servidores para conexão feitas pela porta SSL 443.

[ Hits: 39.841 ]

Por: Irineu Teza Nunes em 10/09/2011


Descobrindo IP, Bloqueio Messenger e Conclusão



Como descobrir o ip a ser liberado para adicionar a lista?

Você pode utilizar a analise de logs do squid, iptables e programas monitor de rede, no exemplo utilizei o networx (programa para analise do tráfico de rede para windows).

Link do networx: http://www.softperfect.com/download

Acesse o site que você pretende liberar, e verifique o IP que está sendo acessado pela porta 443.

Por exemplo temos o IP 170.66.1.60 que corresponde ao IP do Banco do Brasil. Ao adicionar no arquivo adicione da seguinte maneira 170.66.1.0/24, isso irá liberar toda a faixa de ip de 170.66.1.1 a 170.66.1.254, o que se torna interessante uma vez que geralmente os domínios utilizam mais de um IP de terminada faixa para acessos a serviços.

Observe que esses ips podem mudar com o tempo precisando ser atualizada a lista posteriormente.

Bloqueio do WebMessenger do Hotmail

Veja que no arquivo de exemplo "liberados_443" temos a seguinte faixa de IPs:

...
#MSN EMBUTIDO NO HOTMAIL
184.50.168.0/24
..

Essa é justamente a faixa de IP utilizada pelo WebMessenger do Hotmail para acesso. No meu exemplo estou liberando o acesso a esse serviço, caso queria bloqueá-lo basta comentar essa linha.

Conclusão

Seguindo o exemplo desse tutorial não iremos nos preocupar mais com o UltraSurf ou qualquer outro software semelhante (pelo menos enquanto utilizarem a porta 443). O grande dificuldade realmente está no fato de ter que adicionar os ips de todas as URLs a serem liberadas que dependendo da quantidade de sites exigirá um trabalho bastante dispendioso.

Por outro lado depois disso você só irá precisar fazer pequenas atualizações de IPs que venham a mudar ou adicionar novos IPs a serem liberados no arquivo liberados_443.

Como nem tudo é maravilha dependendo a quantidade de IPs adicionados a lista o firewall irá demorar um pouco mais para aplicar todas as regras e a acesso a os sites liberados irá ficar ligeiramente mais lento."É uma questão de preço benefício" :D.

Espero que tenham gostado, qualquer coisa comentem.

Abraços.

Irineu Teza Nunes.

Esse documento está disponível também em: http://itnproducoes.blogspot.com/2010/09/bloqueando-o-ultrasurf-e-o-webmessenger.html
Página anterior    

Páginas do artigo
   1. Introdução e Tutorial
   2. Descobrindo IP, Bloqueio Messenger e Conclusão
Outros artigos deste autor

Port Scan Attack Detector (PSAD) com iptables

Reforçando a segurança das conexões HTTPS no Apache

Criando túneis com o VTUN

Leitura recomendada

Balanceamento de carga entre 2 placas de rede

NAT com firewall - simples, rápido e funcional

Análise da distribuição Mandrake Security

A teoria por trás do firewall

GUI para Iptables via web, linha de comando e outros

  
Comentários
[1] Comentário enviado por Tacioandrade em 11/09/2011 - 18:35h

Amigo, fiz o teste aqui em minha VM do bloqueio do chat do msn no hotmail, porem não funcionou. =/

O teste foi feito em uma maquina virtual rodando o BrazilFW e antes disto em minha maquina pessoal, porem nada. =/

[2] Comentário enviado por itn em 11/09/2011 - 21:17h

Olá Tacio muito obrigado pela sua contribuição.
Então como comentado no artigo a equipe do MSN estão constantemente mudando os endereços do Hotmail e do MSN.

Fiz uma atualização da lista do arquivo "liberados_443" que conseguiu bloquear o Web Messenger do MSN e disponibilizo abaixo:


Apague as linhas do
#MSN
#HOTMAIL
#MSN EMBUTIDO NO HOTMAIL

Pelas linhas abaixo:


#MSN
69.192.24.0/24

#Novo Hotmail 11-09-2011
65.54.186.0/24
65.54.204.0/24
65.54.165.0/24
216.246.75.0/24

#MSN Embutido no Hotmail 11-09-2011
173.222.141.0/24



O exemplo completo do arquivo já está disponível no meu blog em:
http://itnproducoes.blogspot.com




[3] Comentário enviado por diegopontes em 12/09/2011 - 11:30h

caso não queira fazer bloqueio do msn por ip é só fazer o bloqueio por url mesmo, bem mais prático..
só bloquear esse endereço abaixo.

gateway/gateway.dll

[4] Comentário enviado por rangelozi em 12/09/2011 - 16:38h

Na boa, é muito mais simples você bloquear a porta 443 e criar uma acl no squid para barrar navegação por IP e então...."NOSURF"

Abs

Ps: Todos os outros sites que utilizam HTTPS continuam funcionando normalmente.

[5] Comentário enviado por diegopontes em 12/09/2011 - 16:41h

Alguém conseguiu bloquear o proxcap? Caso sim, me informa como, pf.. :D

[6] Comentário enviado por itn em 12/09/2011 - 17:11h

"[4] Comentário enviado por rangelozi em 12/09/2011 - 16:38h:

Na boa, é muito mais simples você bloquear a porta 443 e criar uma acl no squid para barrar navegação por IP e então...."NOSURF"

Abs

Ps: Todos os outros sites que utilizam HTTPS continuam funcionando normalmente. "

Ola rangelozi, obrigado pela sua contribuição.
Também é uma solução, no entanto pelo que você falou teriamos que saber o IP de todas máquinas a serem bloqueadas certo? Além disso com essa solução seria obrigatório a utilização de um proxy.
Na solução proposta por mim você pode utilizar ou não um proxy que o efeito será o mesmo. Afinal o bloqueio já está partindo do próprio Iptables(Firewall).

Abraços.

[7] Comentário enviado por chcdc em 14/09/2011 - 10:51h

Otimo Artigo

[8] Comentário enviado por steniobeats em 25/11/2011 - 01:13h

iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -d gateway.messenger.hotmail.com -p tcp --dport 443-j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -d contacts.msn.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT

conseguir bloqueio do MSN em proxy transparente assim, deixando sites de banco livre.

[9] Comentário enviado por itn em 25/11/2011 - 08:31h

Olá steniobeats, recentemente a forma de autenticação de Web Messenger do hotmail sofreu alterações e sua regra é 100 % válida, ficando o tutorial limitado realmente ao bloqueio do Ultra Surf que como utiliza uma gama gigante de sites para tunelamento pela porta 443 (que vivem mudando) fica praticamente impossível impedir o acesso com bloqueio apenas dos endereços utilizados por ele.

Obrigado pelo comentário.

Abraços!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts