NerdSpace

Bloquear UltraSurf y TOR

Quienes administramos redes sabemos de lo complicado que es que los usuarios de la misma respeten el area laboral e utilicen el internet para lo que realmente es, trabajar, en lugar de eso nos obligan a crear restricciones en el area de trabajo para bloquearles accesos a aplicaciones de descargas de musica, paginas de porno o otros programas que utilizan para saltarse esos bloqueos, vaya en pocas palabras: lo que sea necesario para no trabajar…

Ejemplos:

Ultrasurf y TOR

Ok, en en realidad apoyo el uso de esas aplicaciones, ya que no fueron creadas con el fin de que los huevones no trabajaran sino para que gente de países donde hay accesos a internet mas controlados consigan acceder a contenido que pueda cuestionar la autoridad del gobierno.

Como funcionan esas 2 aplicaciones? muy sencillo, utilizando el puerto 443 que es el del https crean un túnel y un proxy local en su maquina que redirecciona todo mediante el puerto 9666 (si, tiene el numero de la bestia) y permite al usuario pasarse por el arco del triunfo todo el bloqueo. NO BLOQUEEN EL 9666 EN EL PROXY, ese puerto se crea localmente en la maquina donde esta el ultrasurf.

Ahora bien en mi trabajo estoy comenzando a implementar DANSGUARDIAN y SQUID y uno de mis problemas fueron las 2 aplicaciones que he comentado, buscando en el internet encontré respuestas tan chifladas sobre como bloquear estas dos aplicaciones: impide el uso de https a todas las direcciones excepto a las que tu digas…. en pocas palabras si hacen eso tendrían que dar permisos manuales a cada dirección https que sus usuarios visiten… no gracias tengo mas de 800 usuarios y no me convence…. otros era conseguir la lista completa de servidores tor y de Ultrasurf…. Saben cuantos servidores hay en en la red TOR???? ahora multiplicándolo por la cantidad de aplicaciones de ese tipo es absolutamente… irreal al menos para el trabajo de solo una persona.

Respuesta mas sencilla:

TOR y ULTRASURF  funcionan de la siguiente manera: mediante el puerto 443 o https crean un túnel PERO no utilizan nombres de dominio es decir, google.com.mx o youtube.com sino 74.125.227.17 o 74.125.95.93 en pocas palabras usan una ip… dansguardian tiene la opción para no permitir el acceso de enlaces mediante la ip. donde?? en las listas de dansguardian entren a el archivo bannedsitelist y descomenten:

#*ips

es decir:

*ips

Reinicien dansguardian y listo.

Existen otras opciones, para mi en mi trabajo no hay acceso a paginas únicamente con la ip así que me funciona y obtengo el resultado deseado:

Se, TOR no pasa de ahi… (-)

Saludos!!!

Publicado

en

por

drmodding

Etiquetas:

, ,

Comentarios

23 respuestas a «Bloquear UltraSurf y TOR»

  1. Avatar de Carnage Himura
    Carnage Himura

    Es malvado doctor… malvaaaaaaaaaaado….

    Responder
    1. Avatar de Dr.Modding
      Dr.Modding

      la verdad es que habia detectado muchos usuarios con ese tipo de programas pero de plano ya se la bañaron con el uso de ancho de banda so… se cierra el chorro.

      Responder
  2. Avatar de Maguila
    Maguila

    Muchas gracias por el dato, no estoy seguro si alguien en mi LAN use alguna de esas mañas, pero es bueno saber cómo evitarlo.

    Responder
  3. Avatar de Lordzero
    Lordzero

    Sin embargo, yo encontré una respuesta que no requiere dansguardian, con squid es más que suficiente:

    #1) Se crea una acl en squid para que reconozca cualquier IP
    acl ip url_regex [[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}
    fuente:
    http://robertobecerra.com/?p=366 acá lei que squid utiliza el motor de expresiones regulares GNU regex
    y
    http://www.cyberciti.biz/faq/grep-regular-expressions/ tomé la expresión regular de la IP

    Despues de creada esta acl, se la deniego:

    http_access deny ip

    Obviamente, esto se debe reforzar con las politicas de IPtables (denegar todo excepto 22,80,8080,3128,10000 en INPUT) para que el resultado sea el esperado.

    Responder
    1. Avatar de Dr.Modding
      Dr.Modding

      Es correcto, pero en aquel entonces dansguardian lo utilizaba como un filtro de paginas web y resultaba mas sencillo realizarlo mediante sus listas,

      Responder
      1. Avatar de Lordzero
        Lordzero

        ¿Pero squid no es un filtro de paginas web (proxy caché)?

        Responder
        1. Avatar de Dr.Modding
          Dr.Modding

          No, Squid guarda en cache (en el disco duro y la memoria) las paginas que mas visitan tus usuarios de acuerdo a lo que tu configures, en mi caso guardaba todas las imágenes para que la petición la cubriera el proxy, es decir la petición no sale a Internet si visitan un sitio mas de 2 veces, bastante útil para sitios como Yahoo que atiborran de imágenes toda su web, Obviamente también mediante ese método puedes bloquear puertos de salida pero no filtrado de contenido a detalle. Ahora si quisieras agregar un filtrado de contenido gratuito tendrías que agregar dansguardian que te permite bloquear con listas predefinidas, es decir hay listas como por ejemplo las de http://urlblacklist.com/ que te permiten fácilmente bloquear sitios de publicidad o de porquerías que únicamente consumen ancho de banda.

          Responder
    2. Avatar de alej
      alej

      He leido esta serie de post y es bastante completa.
      http://www.maravento.com/2013/03/firewall.html
      http://www.maravento.com/2013/03/firewall-ii.html
      http://www.maravento.com/2013/06/firewall-iii.html

      Responder
      1. Avatar de Dr.Modding
        Dr.Modding

        Gracias por la info.

        Responder
  4. Avatar de daiyoukai
    daiyoukai

    respetar el area laboral mis bolas te pasas de riata por pendejos como tu existen hacekrs que te hacen el trabajo imposible

    salu2 gemelo de mi culo

    Responder
    1. Avatar de Dr.Modding
      Dr.Modding

      Alguien tiene problemas con bloqueos a paginas no es así? =) Hackers usando ultrasurf? pfff jajaajaja buen día.

      Responder
      1. Avatar de Javido Navido
        Javido Navido

        Jajajaja ni a crackers llegan Doctor, buen aporte y saludos de Zacatecas 🙂

        Responder
  5. Avatar de alej
    alej

    esta esta mejor
    http://www.maravento.com/2013/03/firewall.html

    Responder
    1. Avatar de Dr.Modding
      Dr.Modding

      Son soluciones muy diferentes, en algo no estoy de acuerdo únicamente, el filtrado mediante IP’s regularmente los ISP grandes hacen movimientos en sus direcciones publicas constantemente (cuando hay ataques, para balancear cargas, etc, etc,,,) por lo que podría ser un poco tedioso.

      Por eso yo proponía en aquel entonces (2010) mediante dansguardian prohibir la salida que no sea a nombres de dominio. Aunque actualmente no administro una red y seria difícil dar mi opinión al día, creo que lo ideal seria contar con una solución (no necesariamente de paga) que actualice automáticamente su lista negra/blanca para evitar todo el proceso de estar validando IP’s constantemente.

      Responder
      1. Avatar de alej
        alej

        Es correcto. Y el articulo remite a este portal para los que quieran consultar tu método, que es muy bueno también
        Felicitaciones. La idea es tener muchas armas para combatir el mismo mal

        Responder
  6. Avatar de ceroos
    ceroos

    Disculpa, sabes si tu solución sigue vigente?

    Responder
    1. Avatar de Dr.Modding
      Dr.Modding

      Probablemente no, tiene demasiado tiempo, te recomendaría crear un laboratorio para que lo validaras, pero de que ayuda ayuda.

      Responder
  7. Avatar de Natalie
    Natalie

    Mientras haya acceso a la red siempre puedes tener internet gratis sin problemas, solo depende de que tantos conocimientos informáticos tengas sobre eso. Los administradores deben entender que sus acciones son inútiles y que solo hacen enojar más a sus trabajadores, por tal motivo deben prepararse para sus consecuencias.

    Por ejemplo en mi caso robo información de mi empresa y la vendo al mejor postor (siempre hay idiotas de otras empresas dispuestos a pagar grandes de cantidades de dinero por esa basura). Mis compañeros me piden a cada rato que tumbe el sistema para no trabajar Entro a la pc de administrador remotamente y le cambio su password de administrador a cada rato. Sin mencionar que puedo hackear directamente el router de la empresa, cambiarle el password de administrador y quitarle todos sus bloqueos que hagan y navegar perfectamente. Es divertido ver como los empresarios gastan tanta cantidad de dinero en programas de bloqueo, en torpes administradores de redes, un montón de tiempo y todo eso, Cuando los empleados pueden pasarse todo eso gratuitamente y en menos tiempo si saben como hacerlo. Yo si fuese empresaria les diría, pueden ver todo lo que quieran, pero eso si, entreguen el trabajo a tiempo. Con eso todos seria felices. No entiendo la mentalidad castrante de algunos empresarios de no permitir nada. En el trabajo solo trabajas un 30% del tiempo, el resto es platicar con los compañeros de trabajo. y sinceramente escuchar las platicas de los compañeros cuando no tienes nada que hacer es aburridisimo, prefiero estar jugando un juego, revisando mi facebook, chateando con amigas o ver películas o algo más en lo que llega algo que tenga que hacer.

    Una cosa que deberían hacer todos los que están tratando de bloquear a sus trabajadores, es darse un tiro en la cabeza, el mundo seria un mejor lugar sin ustedes.

    Lo siento mucho señor empresario, a mi me gusta irme a dormir en el trabajo, jugar juegos online, ver vídeos, chatear con mis amigas mientras ando allá y me gusta disfrutar del internet gratis al que tengo derecho solo por ser trabajadora del lugar. Una nueva era se aproxima y las personas obreras no serán más esclavas, lo siento señor empresario pero ahora usted es mi esclavo y le guste o no le guste, este de acuerdo o no, me va a tener que mantener quiera o no. Así que más le vale ofrecerme un buen servicio de internet, o si no prepararse para que su empresa quede en la bancarota. Amo estos nuevos tiempos.

    Responder
    1. Avatar de Claudio
      Claudio

      uy si uy si!! un parasito(a) hacker! pobre haz de ser la excepcion, el 90% de las mujeres y mas las de oficina apenas y saben encender la computadora. Y si se les bloquea es por que les pagan por desquitar un sueldo no para ir a rascarse su ediondo queso. Asi que Natalie seas hombre o mujer tus argumentos solo demuestran tu pobre integridad, en la vida nada es gratis y tus pobres conocimientos de hackers son los que un niño de secundaria ha leido en taringa. suerte parasito.

      Responder
    2. Avatar de 1337 h4xx0r
      1337 h4xx0r

      g8 b8 m8

      Responder
  8. Avatar de axel
    axel

    jajajajaja cada gente loca en este mundo… ardido.. como los chhuahuas.. entre mas ladran es por que no hacen nada… y el que tanto presume es por que todo lo carece…

    Responder
  9. Avatar de Cla
    Cla

    Hola estimado.
    Agradezco el que haya publicado esta alternativa dr.modding
    Una pregunta. Para hacer esto el proxy tendría que dejarse como NO transparente y tendría que configurarse en cada browser?

    Lo pregunto ya que en mi caso hay gran cantidad de portátiles que frecuentemente salen y complicaría a ellos esa configuración

    Saludos

    Responder
    1. Avatar de drmodding
      drmodding

      Yo no veo ningún problema en que lo hicieras, pero has pruebas porque el manual ya es muy antiguo.

      Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *