UltraSurf - Bloqueio definitivo

Uma visão geral sobre a técnica utilizada para bloqueio definitivo dessa e outras pragas.

[ Hits: 64.950 ]

Por: luciano coelho em 19/06/2012 | Blog: http://coelholuciano.blogspot.com.br/


Toda ação, gera uma reação



Claro que toda ação gera um reação, e com o Mutley rodando a todo vapor e os bloqueios funcionando perfeitamente, acabaram surgindo alguns pontos, já devidamente resolvidos, que mereceram um pouco mais de estudo.

Seguem abaixo os problemas detectados e as soluções já implementadas para resolvê-los.

Problemas detectados com a aplicação do Mutley na rede:

Como está sendo utilizado proxy NÃO transparente, há a necessidade de configurar o endereço do proxy nos navegadores para poder navegar, o que pode ser considerado um problema para alguns usuários.

Solução: Para resolver isso, foi implementado no Mutley, a solução de configuração automática de proxy, WPAD.

O WPAD permite que os navegadores, rodando em máquinas Windows, consigam obter, de forma 100% automática, a configuração de proxy da rede via DHCP ou DNS.

Como a base de funcionamento da nossa rede é Windows, com a implantação do WPAD, já ficou resolvido o problema da configuração de proxy nos navegadores.

Nos clientes não-Windows, como por exemplo GNU/Linux, se faz necessária a configuração manual do proxy no navegador.

* A configuração de proxy foi automatizada via WPAD para os navegadores, mas temos uma serie de aplicações que usam as portas 80, HTTPS ou FTP, e que não permitem configuração de proxy automática ou manual em suas interfaces. O Windows Update é um desses casos.

Solução: Para resolver este problema, foram utilizados aplicativos do próprio Windows (proxycfg, netsh winhttp set proxy) para realizar a configuração do proxy a nível de sistema operacional.

Criada uma ACL para liberar a navegação por IP para casos específicos, por exemplo, a realização de FTP.

Exemplo:

# acl para permitir navegacao por ip para ftp
acl ftpporip url_regex ftp://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
http_access allow ftpporip

Considerações finais

É isso pessoal, espero que as dicas aqui passadas possam ser úteis.

Reforço que a solução aqui proposta já se encontra em uso a mais de um ano!

Artigo previamente publicado em:
Um forte abraço.

Luciano Coelho

Página anterior    

Páginas do artigo
   1. Introdução
   2. UltraSurf - Problemas comuns
   3. A solução
   4. Toda ação, gera uma reação
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Instalando um novo tema no Acer Aspire One

Traduzindo mensagens no Linux

Personalizando o Blackbox

Exibindo um splash durante o boot com Splashy

LaTeX, um poderoso diagramador de textos (parte 2)

  
Comentários
[1] Comentário enviado por fabio em 19/06/2012 - 08:15h

Excelente trabalho, meus parabéns!

[2] Comentário enviado por antonioclj em 19/06/2012 - 09:23h

Muito bom mesmo. Esse ultrasurf é um porre. Já tive que bloqueá-lo e aparentemente está tudo OK por enquanto. Agora você já testou essa solução com o TOR ? Mais outra dor de cabeça para os administradores. Obrigado pela contribuição.

[3] Comentário enviado por removido em 19/06/2012 - 09:31h

e parabéns pelo topico, mas eu não gostei ! uasuahs. Sempre tento entrar na net aki no meu trampo + nunca consigo sempre sou barrado não abre nem o google aqui eu to ficando loco não vejo a hr de sair daki me ajuda a burla o sistema aki ??! outra coisa usb n pega ¬¬ q lixo !

[4] Comentário enviado por rahremix em 19/06/2012 - 15:00h

Muito bom o artigo, parabéns!
Vou testar essas configurações no novo servidor que estamos implantando, posto os resultados aqui depois!
Abraços!

[5] Comentário enviado por dalveson em 19/06/2012 - 17:07h

Otimo artigo, parabens pela contribuição.
uma duvida:
saindo do ambiente freebsd e indo para o linux, bastaria ei instalar o ISC DHCP, SQUID, configurar o IPTABLES e por fim configurar o WPAD que tudo funcionario do mesmo jeito?

[6] Comentário enviado por lucianocoelho em 19/06/2012 - 17:12h

Sim Dalveson, a solução não esta diretamente ligada ao FreeBSD... sem duvida vai funcionar sim em qualquer distribuição Linux que você venha a utilizar.

[7] Comentário enviado por lucianocoelho em 20/06/2012 - 22:44h

Não conhecia o TOR, mas fazendo alguns testes ele não chega nem a conseguir efetuar a conexão. Dei uma mexida nas configurações dele, alterando proxy, configurações de firewall que ele tem e mesmo assim não conectou!


[2] Comentário enviado por antonioclj em 19/06/2012 - 09:23h:

Muito bom mesmo. Esse ultrasurf é um porre. Já tive que bloqueá-lo e aparentemente está tudo OK por enquanto. Agora você já testou essa solução com o TOR ? Mais outra dor de cabeça para os administradores. Obrigado pela contribuição.



[8] Comentário enviado por wagnux em 25/06/2012 - 20:42h

Luciano Coelho, parabéns pelo artigo! Não querendo ser xiita GNU/Linux, não gostei do fato de você ter criado o seu artigo usando o sistema operacional FreeBSD que apesar de ser open source não tem nada a ver com o VOL. :P Seria interessante que o mesmo se baseasse no GNU/Linux ao invés do FreeBSD mas mesmo assim valeu pela iniciativa.

[9] Comentário enviado por lucianocoelho em 25/06/2012 - 23:15h

Boa noite wagnux,
sempre li artigos muito bem escrito de FreeBSD aqui no VOL e foi isso me que motivo a fazer o post do artigo por aqui também! Particularmente entendo que o VOL é muito maior que sistema A ou B, mas de qualquer forma obrigado pela dica ai.


[8] Comentário enviado por wagnux em 25/06/2012 - 20:42h:

Luciano Coelho, parabéns pelo artigo! Não querendo ser xiita GNU/Linux, não gostei do fato de você ter criado o seu artigo usando o sistema operacional FreeBSD que apesar de ser open source não tem nada a ver com o VOL. :P Seria interessante que o mesmo se baseasse no GNU/Linux ao invés do FreeBSD mas mesmo assim valeu pela iniciativa.



[10] Comentário enviado por wagnux em 26/06/2012 - 20:20h

Luciano Coelho, todos esses anos que tenho acompanhado o VOL até agora não li nada específico para FreeBSD mas sim uma menção a esse sistema operacional. Acredite! É a primeira vez que leio algo fora do GNU/Linux nesse fórum. Não entendo que o VOL seja muito maior que sistema A ou B, Luciano. Entendo que o VOL é um excelente fórum específico para o sistema operacional GNU/Linux. E diga-se de passagem o melhor ou um dos melhores fóruns de GNU/Linux que já vi ao longo de 8 anos de uso dessa plataforma. Mas muito embora o teu artigo tenha se baseado no FreeBSD, foi bastante útil para a comunidade SL/CA em relação ao assunto em tela e por isso você merece rasgados elogios e meus parabéns pela postagem desse artigo no VOL. ;)

[11] Comentário enviado por jwolff em 19/12/2012 - 15:46h

Tunelamento pode utilizar qualquer porta,qualquer host. Dependendo da forma que foi feito,já vi aqui no VOL apenas 1 bloqueio que realmente é eficiente. A unica falha deste artigo é neste aspecto. No mais,muito bom!

[12] Comentário enviado por Carlos_Cunha em 13/02/2013 - 23:18h

Parabéns pela criação do artigo, concerteza ira ajuadar muitos...
Porém ao meu ver vc so falou ou que a "maioria" ja sabe(pelo menos quem trabalho com rede e ja pegou um caso de Ultra Surf) que a maneira correta e unica e ter uma politica default DROP no Firewall e com proxy MARCADO a coisa muda, no transparente infelizmente continua a mesma coisa(ao meu ver proxy transparente é ruim).
O tipo de acl que vc usou para bloquear o ultra surf e do mesmo tipo que é usada para liberar os acesso ao skype que usa o method CONNECT(443), então achei que vc falou a mesma coisa somente com outras palavras(em partes esta igual), mas parabéns pela iniciativa...
Abraço

[13] Comentário enviado por lnredivo em 27/03/2013 - 14:45h

Alguma alternativa para fazer o mesmo procedimento num servidor Ubuntu 12.04 com Iptables e Squid 3.1?

[14] Comentário enviado por lucianocoelho em 28/03/2013 - 10:44h

A solução é independente de distribuição e não esta vinculada somente ao FreeBSD, a diferença principal vai estar no firewall que no seu caso seria o Iptables ao invés do PF, mas tudo que foi implementado ele da suporte sem problema.

[13] Comentário enviado por lnredivo em 27/03/2013 - 14:45h:

Alguma alternativa para fazer o mesmo procedimento num servidor Ubuntu 12.04 com Iptables e Squid 3.1?



[15] Comentário enviado por jaysponsored em 27/10/2013 - 11:04h

Luciano Coelho, preciso rever o proxy em uma das empresas das quais presto suporte e uma das partes que admirei do artigo foi quando você parabenizou os desenvolvedores do UltraSurf por ter desenvolvido uma ferramenta tão eficaz para burlar os bloqueios.
Parabéns pela humildade e maturidade. Muitas pessoas sairiam metendo "pau" no UltraSurf dizendo que é um lixo, que só ferra a vida dos Administradores, etc. mas, assim como você, acredito que é apenas mais uma barreira para ser vencida.
Lerei o artigo com mais atenção no futuro para que possa implementá-lo. Como o pessoal já comentou, seria bom se tivesse exemplos usando o iptables. Mas nada que nos impeça de correr atrás e nós mesmos aprendermos como as regras do iptables funcionam para adaptarmos o código para o mesmo. Apenas muda o código, a teoria continua a mesma, hehe.
Parabéns pelo artigo! Muito direto mas ao mesmo tempo com toda a informação que precisamos.
Um abraço!

[16] Comentário enviado por Gabriell em 18/12/2013 - 18:54h

Alguém me ajuda como conectar a rede wpa2 via terminal no Debian?

[17] Comentário enviado por wagnux em 18/12/2013 - 20:38h


[16] Comentário enviado por Gabriell em 18/12/2013 - 18:54h:

Alguém me ajuda como conectar a rede wpa2 via terminal no Debian?


Gabriel, procure fazer essa pergunta em http://vivaolinux.com.br/contribuir/perguntas/index.php. Este artigo não tem nada a ver com a tua dúvida, entende? Faça a tua pergunta no local correto que a comunidade com certeza vai te ajudar.

[18] Comentário enviado por nickdahigh em 11/03/2014 - 08:19h

Ola. Parabens pelo artigo. Só algumas perguntas.

1. Tentei bloquear a porta 443, mas vi que o Ultrasurf conecta em qualquer porta, de forma criptografada. É possível detectar uma conexão criptografada se a mesma não estiver na porta 443 ?
2. Esse comando para impedir navegação por IP, você sabe se existe equivalente no Mikrotik ou no Windows Server ?

Obrigado !!!


Contribuir com comentário