segunda-feira, 31 de maio de 2010

UltraSurf no MikroTik, Regras de Bloqueio


Olá pessoal! Este é o post de número 100 do meu blog. Hoje estou trazendo para vocês uma materia legal para quem usa o Mikrotik em redes Corporativas, e que tem aqueles programinhas que conseguem burlar a nossa segurança que criamos com tanto carinho no Firewall do nosso MikroTik. Vou postar o texto. Acessem o site de referência para acompanhar os comentários que nos ajudam a entender melhor o UltraSurf. Lembrando que pessoalmente não testei as regras.
Boa Aula....

Procurei vários tutoriais para quem utiliza os recursos do Mikrotik em empresas corporativas, mas sem sucesso só encontrava soluções para Linux então arregacei as mangas e deu nisso aqui.
olá Unders de plantão demorei mais voltei com o tema:
"Para empresas e corporações que utilizam os recursos do mikrotik na sua rede
atrapalhando a vida do usuário burlador de conexão com Ultrasurf em rede mikrotik"

É o seguinte, estava na faculdade e me deparei com um grande cadeado no canto inferior direito do monitor de um colega
no laboratório de informática e lembrei que já tinha visto o mesmo na empresa onde sou Adm. de redes, então perguntei:
o que significa esse cadeado ai? ele respondeu é um "programinha" que deixa eu navegar em qualquer site mesmo esteja bloqueado
então eu me vi com a cara toda pintada e uma bola vermelha na ponta do nariz e o dono da máquina onde vi o mesmo cadeado
na empresa rindo de mim, então eu fiquei muito bravo comigo mesmo e decidi correr atrás do prejuízo, fiz meus testes
e terminei com estas regras abaixo.
os testes foram foram feitos em cima de 5 navegadores sendo eles, o Internet Explorer 8, o Goolge Chrome e o Safari da Apple,
estes dois últimos é tudo farinha do mesmo saco do Internet Explorer pois utilizam as mesmas ferramentas de configuração da
propriedades da internet do IE* nas configurações de rede local (LAN) servidor proxy.
os outros dois utilizados nos testes é o Mozilla Firefox 3.6 e seu irmão mais velho o Netscape Navigator 9 que utilizam os
mesmos recursos para configurar o servidor proxy, mas o mais interessante é que o efeito causado na navegação com Ultrasurf.

Só se aplica aos 3 primeiros navegadores citados no início, os dois últimos não passa pelo crivo do Ultrasurf.
Então vou explicar o que fiz e como fiz para atrapalhar a vida do usuário metido a esperto utilizando até mesmo o
próprio Ultasurf contra eles mesmos.

Como podem ver a 1ª regra eu digo para o firewall que feche todas as conexões nas portas 443 isso parece loucura em uma corporação mas foi o que fiz.

Na 2ª regra eu digo ao firewall que toda conexão direcionada a porta 443 e que ultrapasse 10 conexões simultâneas da máquina, fechando aqui com um /32 para não generalizar a rede, somente aquela maquina que esta bombardeando a saída pra internet pela porta 443 que é isso que ela faz, pois se abrir-mos varias janelas de navegação cada uma abrirá uma nova conexão na porta 443 é como se fosse um novo nat dentro do nat da sua rede (quem trabalha com nat sabe do que estou falando) e digo também para o firewall definir uma prioridade 8, quer dizer que não tenha pressa de realizar a verificação que é feita em 15 segundos após a primeira conexão na porta 443 e se essa mesma maquina não parar de abrir conexão ele é bloqueado em uma blacklist por 10 minutos definidos na aba actions, a questão da prioridade 8 é que se colocar-mos 1 por exemplo o firewall não analiza e já bloqueia a máquina e isso inclui as maquinas que so dispararam 1 ou 2 vezes e nem utilizam o Ultrasurf isso ajuda aqueles que estão abrindo um site de banco, orkut ou qualquer
programa que use a porta 443 para que não sejam bloqueados injustamente é o mesmo sentido de uma regra para conter
maquinas contaminadas por spammers.

a 3ª e a 4ª regra são copias das duas primeiras só alterando as portas para 9666 que é utilizada pelo Ultrasurf para driblar o loopback da maquina se notar que a porta 443 esta tendo problemas para saída na internet (algum tipo de bloqueio) então ele mesmo configura a opção de configuração de proxy do navegador para continuar navegando, ai que vem o efeito contrário, quando existe sites bloqueados no /ip web-proxy access o normal é mostrar a página do controle de restrição do proxy do Mikrotik, quando se abre o programa e tenta navegar na pagina bloqueada o Ultrasurf começa a busca da porta443 e sai para Internet utilizando ela burlando a porta 3128, quando ela sente que a porta 443 foi bloqueada ele utiliza da configuração feita no navegador que usa o I.P. de loopback 127.0.0.1 e a porta 9666 e começa dar erro na navegação e só
para se for retirada a configuração manualmente, depois volta a navegar se ainda não tiver caido na blacklist até ser pego por ela.

A 5ª regra eu bloqueio o acesso total a porta 9666 que na ida e na vinda da internet da máquina configurada com I.P. 127.0.0.1.
E a 6ª e última regra eu bloqueio somente a porta 9666 para toda rede se por ventura a 5ª não funcione.

Ha! Lembrando que por conta da alteração do ip ocasionado pelo uso do Ultrasurf a máquina que tem como pagina inicial o Google, eles mesmos tem políticas de segurança contra robôs que fazem pesquisas automáticas na Internet evitando
sobrecargas em seus serviços e bloqueiam as maquinas fora com I.P. de fora da região do país de origem.

Façam seus testes e postem alguma modificação benéfica, pois a idéia está ai só falta mais cabeça para pensar juntas.


/ ip firewall filter

add chain=forward action=drop dst-port=443 protocol=tcp src-address-list=ULTRASURF comment="BLOQUEANDO ACESSO AO ULTRASURF" disabled=no



add chain=forward action=add-src-to-address-list dst-port=443 protocol=tcp connection-limit=10,32 limit=15,8 src-address-list=!ULTRASURF address-list=ULTRASURF address-list-timeout=1m comment="BLOQUEANDO ACESSO AO ULTRASURF2" disabled=no



add chain=forward action=drop dst-port=9666 protocol=udp src-address-list=ULTRASURF comment="BLOQUEANDO ACESSO AO ULTRASURF porta 9666 udp" disabled=no



add chain=forward action=add-src-to-address-list dst-port=9666 protocol=tcp connection-limit=10,32 src-address-list=!ULTRASURF address-list=ULTRASURF address-list-timeout=10m comment="BLOQUEANDO ACESSO AO ULTRASURF2 porta 9666" disabled=no



add chain=forward action=drop dst-port=9666 protocol=tcp src-address-list=ULTRASURF comment="BLOQUEANDO ACESSO AO ULTRASURF porta 9666" disabled=no



/ip web-proxy access

add src-address=127.0.0.1/32 dst-address=127.0.0.1/32 dst-port=9666 action=deny comment="block ultrasurf 9666" disabled=no add dst-port=9666 action=deny comment="bloqueando porta para ultrasurf" disabled=no



Até mais...
Fonte: http://under-linux.org/blogs/underwanderson/guerra-contra-o-ultrasurf-no-meio-corporativo-quem-sofre-os-adm-de-redes-2095/

Nenhum comentário: