Bloquear UltraSurf y TOR

Quienes administramos redes sabemos de lo complicado que es que los usuarios de la misma respeten el area laboral e utilicen el internet para lo que realmente es, trabajar, en lugar de eso nos obligan a crear restricciones en el area de trabajo para bloquearles accesos a aplicaciones de descargas de musica, paginas de porno o otros programas que utilizan para saltarse esos bloqueos, vaya en pocas palabras: lo que sea necesario para no trabajar…
Ejemplos:
Ultrasurf y TOR
Ok, en en realidad apoyo el uso de esas aplicaciones, ya que no fueron creadas con el fin de que los huevones no trabajaran sino para que gente de países donde hay accesos a internet mas controlados consigan acceder a contenido que pueda cuestionar la autoridad del gobierno.
Como funcionan esas 2 aplicaciones? muy sencillo, utilizando el puerto 443 que es el del https crean un túnel y un proxy local en su maquina que redirecciona todo mediante el puerto 9666 (si, tiene el numero de la bestia) y permite al usuario pasarse por el arco del triunfo todo el bloqueo. NO BLOQUEEN EL 9666 EN EL PROXY, ese puerto se crea localmente en la maquina donde esta el ultrasurf.
Ahora bien en mi trabajo estoy comenzando a implementar DANSGUARDIAN y SQUID y uno de mis problemas fueron las 2 aplicaciones que he comentado, buscando en el internet encontré respuestas tan chifladas sobre como bloquear estas dos aplicaciones: impide el uso de https a todas las direcciones excepto a las que tu digas…. en pocas palabras si hacen eso tendrían que dar permisos manuales a cada dirección https que sus usuarios visiten… no gracias tengo mas de 800 usuarios y no me convence…. otros era conseguir la lista completa de servidores tor y de Ultrasurf…. Saben cuantos servidores hay en en la red TOR???? ahora multiplicándolo por la cantidad de aplicaciones de ese tipo es absolutamente… irreal al menos para el trabajo de solo una persona.
Respuesta mas sencilla:
TOR y ULTRASURF  funcionan de la siguiente manera: mediante el puerto 443 o https crean un túnel PERO no utilizan nombres de dominio es decir, google.com.mx o youtube.com sino 74.125.227.17 o 74.125.95.93 en pocas palabras usan una ip… dansguardian tiene la opción para no permitir el acceso de enlaces mediante la ip. donde?? en las listas de dansguardian entren a el archivo bannedsitelist y descomenten:
#*ips
es decir:
*ips
Reinicien dansguardian y listo.

Existen otras opciones, para mi en mi trabajo no hay acceso a paginas únicamente con la ip así que me funciona y obtengo el resultado deseado:

Se, TOR no pasa de ahi… (-)

Saludos!!!

Entradas relacionadas

23 comentarios en "Bloquear UltraSurf y TOR"

    1. la verdad es que habia detectado muchos usuarios con ese tipo de programas pero de plano ya se la bañaron con el uso de ancho de banda so… se cierra el chorro.

  1. Sin embargo, yo encontré una respuesta que no requiere dansguardian, con squid es más que suficiente:
    #1) Se crea una acl en squid para que reconozca cualquier IP
    acl ip url_regex [[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}
    fuente:
    https://robertobecerra.com/?p=366 acá lei que squid utiliza el motor de expresiones regulares GNU regex
    y
    https://www.cyberciti.biz/faq/grep-regular-expressions/ tomé la expresión regular de la IP
    Despues de creada esta acl, se la deniego:
    http_access deny ip
    Obviamente, esto se debe reforzar con las politicas de IPtables (denegar todo excepto 22,80,8080,3128,10000 en INPUT) para que el resultado sea el esperado.

    1. Es correcto, pero en aquel entonces dansguardian lo utilizaba como un filtro de paginas web y resultaba mas sencillo realizarlo mediante sus listas,

        1. No, Squid guarda en cache (en el disco duro y la memoria) las paginas que mas visitan tus usuarios de acuerdo a lo que tu configures, en mi caso guardaba todas las imágenes para que la petición la cubriera el proxy, es decir la petición no sale a Internet si visitan un sitio mas de 2 veces, bastante útil para sitios como Yahoo que atiborran de imágenes toda su web, Obviamente también mediante ese método puedes bloquear puertos de salida pero no filtrado de contenido a detalle. Ahora si quisieras agregar un filtrado de contenido gratuito tendrías que agregar dansguardian que te permite bloquear con listas predefinidas, es decir hay listas como por ejemplo las de https://urlblacklist.com/ que te permiten fácilmente bloquear sitios de publicidad o de porquerías que únicamente consumen ancho de banda.

    1. Son soluciones muy diferentes, en algo no estoy de acuerdo únicamente, el filtrado mediante IP’s regularmente los ISP grandes hacen movimientos en sus direcciones publicas constantemente (cuando hay ataques, para balancear cargas, etc, etc,,,) por lo que podría ser un poco tedioso.
      Por eso yo proponía en aquel entonces (2010) mediante dansguardian prohibir la salida que no sea a nombres de dominio. Aunque actualmente no administro una red y seria difícil dar mi opinión al día, creo que lo ideal seria contar con una solución (no necesariamente de paga) que actualice automáticamente su lista negra/blanca para evitar todo el proceso de estar validando IP’s constantemente.

      1. Es correcto. Y el articulo remite a este portal para los que quieran consultar tu método, que es muy bueno también
        Felicitaciones. La idea es tener muchas armas para combatir el mismo mal

  2. Mientras haya acceso a la red siempre puedes tener internet gratis sin problemas, solo depende de que tantos conocimientos informáticos tengas sobre eso. Los administradores deben entender que sus acciones son inútiles y que solo hacen enojar más a sus trabajadores, por tal motivo deben prepararse para sus consecuencias.
    Por ejemplo en mi caso robo información de mi empresa y la vendo al mejor postor (siempre hay idiotas de otras empresas dispuestos a pagar grandes de cantidades de dinero por esa basura). Mis compañeros me piden a cada rato que tumbe el sistema para no trabajar Entro a la pc de administrador remotamente y le cambio su password de administrador a cada rato. Sin mencionar que puedo hackear directamente el router de la empresa, cambiarle el password de administrador y quitarle todos sus bloqueos que hagan y navegar perfectamente. Es divertido ver como los empresarios gastan tanta cantidad de dinero en programas de bloqueo, en torpes administradores de redes, un montón de tiempo y todo eso, Cuando los empleados pueden pasarse todo eso gratuitamente y en menos tiempo si saben como hacerlo. Yo si fuese empresaria les diría, pueden ver todo lo que quieran, pero eso si, entreguen el trabajo a tiempo. Con eso todos seria felices. No entiendo la mentalidad castrante de algunos empresarios de no permitir nada. En el trabajo solo trabajas un 30% del tiempo, el resto es platicar con los compañeros de trabajo. y sinceramente escuchar las platicas de los compañeros cuando no tienes nada que hacer es aburridisimo, prefiero estar jugando un juego, revisando mi facebook, chateando con amigas o ver películas o algo más en lo que llega algo que tenga que hacer.
    Una cosa que deberían hacer todos los que están tratando de bloquear a sus trabajadores, es darse un tiro en la cabeza, el mundo seria un mejor lugar sin ustedes.
    Lo siento mucho señor empresario, a mi me gusta irme a dormir en el trabajo, jugar juegos online, ver vídeos, chatear con mis amigas mientras ando allá y me gusta disfrutar del internet gratis al que tengo derecho solo por ser trabajadora del lugar. Una nueva era se aproxima y las personas obreras no serán más esclavas, lo siento señor empresario pero ahora usted es mi esclavo y le guste o no le guste, este de acuerdo o no, me va a tener que mantener quiera o no. Así que más le vale ofrecerme un buen servicio de internet, o si no prepararse para que su empresa quede en la bancarota. Amo estos nuevos tiempos.

    1. uy si uy si!! un parasito(a) hacker! pobre haz de ser la excepcion, el 90% de las mujeres y mas las de oficina apenas y saben encender la computadora. Y si se les bloquea es por que les pagan por desquitar un sueldo no para ir a rascarse su ediondo queso. Asi que Natalie seas hombre o mujer tus argumentos solo demuestran tu pobre integridad, en la vida nada es gratis y tus pobres conocimientos de hackers son los que un niño de secundaria ha leido en taringa. suerte parasito.

  3. jajajajaja cada gente loca en este mundo… ardido.. como los chhuahuas.. entre mas ladran es por que no hacen nada… y el que tanto presume es por que todo lo carece…

  4. Hola estimado.
    Agradezco el que haya publicado esta alternativa dr.modding
    Una pregunta. Para hacer esto el proxy tendría que dejarse como NO transparente y tendría que configurarse en cada browser?
    Lo pregunto ya que en mi caso hay gran cantidad de portátiles que frecuentemente salen y complicaría a ellos esa configuración
    Saludos

Responder a Dr.ModdingCancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.