main

GNU/Linux

Bloquear UltraSurf y TOR

5 octubre, 2010 — by drmodding23

Quienes administramos redes sabemos de lo complicado que es que los usuarios de la misma respeten el area laboral e utilicen el internet para lo que realmente es, trabajar, en lugar de eso nos obligan a crear restricciones en el area de trabajo para bloquearles accesos a aplicaciones de descargas de musica, paginas de porno o otros programas que utilizan para saltarse esos bloqueos, vaya en pocas palabras: lo que sea necesario para no trabajar…

Ejemplos:

Ultrasurf y TOR

Ok, en en realidad apoyo el uso de esas aplicaciones, ya que no fueron creadas con el fin de que los huevones no trabajaran sino para que gente de países donde hay accesos a internet mas controlados consigan acceder a contenido que pueda cuestionar la autoridad del gobierno.

Como funcionan esas 2 aplicaciones? muy sencillo, utilizando el puerto 443 que es el del https crean un túnel y un proxy local en su maquina que redirecciona todo mediante el puerto 9666 (si, tiene el numero de la bestia) y permite al usuario pasarse por el arco del triunfo todo el bloqueo. NO BLOQUEEN EL 9666 EN EL PROXY, ese puerto se crea localmente en la maquina donde esta el ultrasurf.

Ahora bien en mi trabajo estoy comenzando a implementar DANSGUARDIAN y SQUID y uno de mis problemas fueron las 2 aplicaciones que he comentado, buscando en el internet encontré respuestas tan chifladas sobre como bloquear estas dos aplicaciones: impide el uso de https a todas las direcciones excepto a las que tu digas…. en pocas palabras si hacen eso tendrían que dar permisos manuales a cada dirección https que sus usuarios visiten… no gracias tengo mas de 800 usuarios y no me convence…. otros era conseguir la lista completa de servidores tor y de Ultrasurf…. Saben cuantos servidores hay en en la red TOR???? ahora multiplicándolo por la cantidad de aplicaciones de ese tipo es absolutamente… irreal al menos para el trabajo de solo una persona.

Respuesta mas sencilla:

TOR y ULTRASURF  funcionan de la siguiente manera: mediante el puerto 443 o https crean un túnel PERO no utilizan nombres de dominio es decir, google.com.mx o youtube.com sino 74.125.227.17 o 74.125.95.93 en pocas palabras usan una ip… dansguardian tiene la opción para no permitir el acceso de enlaces mediante la ip. donde?? en las listas de dansguardian entren a el archivo bannedsitelist y descomenten:

#*ips

es decir:

*ips

Reinicien dansguardian y listo.

Existen otras opciones, para mi en mi trabajo no hay acceso a paginas únicamente con la ip así que me funciona y obtengo el resultado deseado:

Se, TOR no pasa de ahi… (-)

Saludos!!!

23 comments

    • Dr.Modding

      5 octubre, 2010 at 12:12 pm

      la verdad es que habia detectado muchos usuarios con ese tipo de programas pero de plano ya se la bañaron con el uso de ancho de banda so… se cierra el chorro.

      Reply

  • Maguila

    18 marzo, 2011 at 2:55 pm

    Muchas gracias por el dato, no estoy seguro si alguien en mi LAN use alguna de esas mañas, pero es bueno saber cómo evitarlo.

    Reply

  • Lordzero

    3 febrero, 2012 at 6:25 pm

    Sin embargo, yo encontré una respuesta que no requiere dansguardian, con squid es más que suficiente:

    #1) Se crea una acl en squid para que reconozca cualquier IP
    acl ip url_regex [[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}
    fuente:
    https://robertobecerra.com/?p=366 acá lei que squid utiliza el motor de expresiones regulares GNU regex
    y
    https://www.cyberciti.biz/faq/grep-regular-expressions/ tomé la expresión regular de la IP

    Despues de creada esta acl, se la deniego:

    http_access deny ip

    Obviamente, esto se debe reforzar con las politicas de IPtables (denegar todo excepto 22,80,8080,3128,10000 en INPUT) para que el resultado sea el esperado.

    Reply

    • Dr.Modding

      3 febrero, 2012 at 11:39 pm

      Es correcto, pero en aquel entonces dansguardian lo utilizaba como un filtro de paginas web y resultaba mas sencillo realizarlo mediante sus listas,

      Reply

      • Lordzero

        6 febrero, 2012 at 8:56 am

        ¿Pero squid no es un filtro de paginas web (proxy caché)?

        Reply

        • Dr.Modding

          8 febrero, 2012 at 6:12 pm

          No, Squid guarda en cache (en el disco duro y la memoria) las paginas que mas visitan tus usuarios de acuerdo a lo que tu configures, en mi caso guardaba todas las imágenes para que la petición la cubriera el proxy, es decir la petición no sale a Internet si visitan un sitio mas de 2 veces, bastante útil para sitios como Yahoo que atiborran de imágenes toda su web, Obviamente también mediante ese método puedes bloquear puertos de salida pero no filtrado de contenido a detalle. Ahora si quisieras agregar un filtrado de contenido gratuito tendrías que agregar dansguardian que te permite bloquear con listas predefinidas, es decir hay listas como por ejemplo las de https://urlblacklist.com/ que te permiten fácilmente bloquear sitios de publicidad o de porquerías que únicamente consumen ancho de banda.

          Reply

      • Dr.Modding

        24 junio, 2013 at 11:29 am

        Gracias por la info.

        Reply

  • daiyoukai

    10 abril, 2012 at 8:14 am

    respetar el area laboral mis bolas te pasas de riata por pendejos como tu existen hacekrs que te hacen el trabajo imposible

    salu2 gemelo de mi culo

    Reply

    • Dr.Modding

      10 abril, 2012 at 3:14 pm

      Alguien tiene problemas con bloqueos a paginas no es así? =) Hackers usando ultrasurf? pfff jajaajaja buen día.

      Reply

      • Javido Navido

        19 octubre, 2012 at 11:40 am

        Jajajaja ni a crackers llegan Doctor, buen aporte y saludos de Zacatecas 🙂

        Reply

    • Dr.Modding

      1 marzo, 2013 at 9:45 pm

      Son soluciones muy diferentes, en algo no estoy de acuerdo únicamente, el filtrado mediante IP’s regularmente los ISP grandes hacen movimientos en sus direcciones publicas constantemente (cuando hay ataques, para balancear cargas, etc, etc,,,) por lo que podría ser un poco tedioso.

      Por eso yo proponía en aquel entonces (2010) mediante dansguardian prohibir la salida que no sea a nombres de dominio. Aunque actualmente no administro una red y seria difícil dar mi opinión al día, creo que lo ideal seria contar con una solución (no necesariamente de paga) que actualice automáticamente su lista negra/blanca para evitar todo el proceso de estar validando IP’s constantemente.

      Reply

      • alej

        24 junio, 2013 at 11:38 am

        Es correcto. Y el articulo remite a este portal para los que quieran consultar tu método, que es muy bueno también
        Felicitaciones. La idea es tener muchas armas para combatir el mismo mal

        Reply

  • ceroos

    17 junio, 2013 at 10:22 am

    Disculpa, sabes si tu solución sigue vigente?

    Reply

    • Dr.Modding

      24 junio, 2013 at 11:29 am

      Probablemente no, tiene demasiado tiempo, te recomendaría crear un laboratorio para que lo validaras, pero de que ayuda ayuda.

      Reply

  • Natalie

    3 octubre, 2013 at 6:26 pm

    Mientras haya acceso a la red siempre puedes tener internet gratis sin problemas, solo depende de que tantos conocimientos informáticos tengas sobre eso. Los administradores deben entender que sus acciones son inútiles y que solo hacen enojar más a sus trabajadores, por tal motivo deben prepararse para sus consecuencias.

    Por ejemplo en mi caso robo información de mi empresa y la vendo al mejor postor (siempre hay idiotas de otras empresas dispuestos a pagar grandes de cantidades de dinero por esa basura). Mis compañeros me piden a cada rato que tumbe el sistema para no trabajar Entro a la pc de administrador remotamente y le cambio su password de administrador a cada rato. Sin mencionar que puedo hackear directamente el router de la empresa, cambiarle el password de administrador y quitarle todos sus bloqueos que hagan y navegar perfectamente. Es divertido ver como los empresarios gastan tanta cantidad de dinero en programas de bloqueo, en torpes administradores de redes, un montón de tiempo y todo eso, Cuando los empleados pueden pasarse todo eso gratuitamente y en menos tiempo si saben como hacerlo. Yo si fuese empresaria les diría, pueden ver todo lo que quieran, pero eso si, entreguen el trabajo a tiempo. Con eso todos seria felices. No entiendo la mentalidad castrante de algunos empresarios de no permitir nada. En el trabajo solo trabajas un 30% del tiempo, el resto es platicar con los compañeros de trabajo. y sinceramente escuchar las platicas de los compañeros cuando no tienes nada que hacer es aburridisimo, prefiero estar jugando un juego, revisando mi facebook, chateando con amigas o ver películas o algo más en lo que llega algo que tenga que hacer.

    Una cosa que deberían hacer todos los que están tratando de bloquear a sus trabajadores, es darse un tiro en la cabeza, el mundo seria un mejor lugar sin ustedes.

    Lo siento mucho señor empresario, a mi me gusta irme a dormir en el trabajo, jugar juegos online, ver vídeos, chatear con mis amigas mientras ando allá y me gusta disfrutar del internet gratis al que tengo derecho solo por ser trabajadora del lugar. Una nueva era se aproxima y las personas obreras no serán más esclavas, lo siento señor empresario pero ahora usted es mi esclavo y le guste o no le guste, este de acuerdo o no, me va a tener que mantener quiera o no. Así que más le vale ofrecerme un buen servicio de internet, o si no prepararse para que su empresa quede en la bancarota. Amo estos nuevos tiempos.

    Reply

    • Claudio

      25 marzo, 2014 at 6:48 pm

      uy si uy si!! un parasito(a) hacker! pobre haz de ser la excepcion, el 90% de las mujeres y mas las de oficina apenas y saben encender la computadora. Y si se les bloquea es por que les pagan por desquitar un sueldo no para ir a rascarse su ediondo queso. Asi que Natalie seas hombre o mujer tus argumentos solo demuestran tu pobre integridad, en la vida nada es gratis y tus pobres conocimientos de hackers son los que un niño de secundaria ha leido en taringa. suerte parasito.

      Reply

    • 1337 h4xx0r

      25 abril, 2014 at 3:27 pm

      g8 b8 m8

      Reply

  • axel

    6 marzo, 2014 at 4:08 pm

    jajajajaja cada gente loca en este mundo… ardido.. como los chhuahuas.. entre mas ladran es por que no hacen nada… y el que tanto presume es por que todo lo carece…

    Reply

  • Cla

    18 agosto, 2014 at 5:11 am

    Hola estimado.
    Agradezco el que haya publicado esta alternativa dr.modding
    Una pregunta. Para hacer esto el proxy tendría que dejarse como NO transparente y tendría que configurarse en cada browser?

    Lo pregunto ya que en mi caso hay gran cantidad de portátiles que frecuentemente salen y complicaría a ellos esa configuración

    Saludos

    Reply

    • drmodding

      18 agosto, 2014 at 5:32 am

      Yo no veo ningún problema en que lo hicieras, pero has pruebas porque el manual ya es muy antiguo.

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *