saltar squid y firewalls - Análisis update: 2010-04-06

Imagen de falcom

Forums: 

Bueno espero les sirva a alguien, recientemente me di cuenta q un user en particular disponia de servicio de internet sin autorizacion, como?? se preguntaran uds (en especial con todas las restricciones q les pongo }:) ), bueno primero le coloque un tcpdump para ver lo que hacia y bingo encontre algunas cosillas interesantes.

tcpdump -i eth0 host dir_ip and port 8080

luego con la ayuda de jnettop, iptraf y whirelesshark con los filtros respectivos me di cuenta de que en verdad navegaba asi no tenga los permisos respectivos (dir ip+mac+autentificacion) para mi caso.

Luego me dedique a probar x 2 dias varias herramientas que encontre en inet (y que les listo a continuacion) casi la mayoria son para mocosoft, solo encotre una para GNU/linux.

Análisis
Os Server: Centos 5.3
Squid version: 2.6 stable21
firewall: iptables 1.3.5

Aca les dejo un listado de programas que se saltan el squid + sus restricciones o encapsulan el trafico haciendo tunneling.
- Ultrasurf: (este fue el prg con el que se conectaba el usuario en cuestion) bastante elaborado utiliza el pto 9666 que son ptos locales, pero igual da la opcion de colocar cualquier otro pto. No requiere instalacion (ejecutable)
- Gpass: oculta nuestra ip mientras navegamos, fluye video/audio, etc, interfaz grafica
- Freegate, prg cliente contra censuras, no requiere instalacion (ejecutable)
- Gtunnel:Trabaja como http local o simula un proxy server, el trafico pasa a traves de gtnunnel y lo dirige a los servers de gtunnel luego hacia el inter (como hacen varios proxys publicos).
- JAP: navegacion anonima, en vez de navegar directamente se conecta en forma cifrada utiulizando servers intermedios y mezclas supuestas.
- PingFu Iris: permite hacer tunneled con minima letencia desde los firewalls o hacer un bypass a los proxy servers. permite 128 bit de encrypcion.
- PingFu UDP: Transmite UDP packets encapsulados en el protocolo de comunicacion TCP, estes es el unico protocolo disponible para los users detras de los firewalls y proxy servers.
- AutoTunnel GG usa algo llamado 'proxification' los drivers interceptan todas las comunicaciones TCP y UDP desde las aplicaciones lanzadas desde el AutoTunnel GG client. Estas comunicaciones son tunneled ('proxified') usando los tunneling servers para acceder a los servers seleccionados.
- Freedom: Es un web proxy abierto y sin censura, se conecta usando anonymous SOCKS, es el mayor programa usado en paices o lugares donde hay restricciones.
- ip spoofing: Aca hay una muy buena descripcion del programa
- cgiproxy: Es el unico soft para gnu/linux mas info ACA
- Hide IP platinum: Evita que las webs que visitas te monitoricen a través de tu IP fija, evita que tu información personal sea usada para que te envíen Spam, proteger tu PC del ataque de hackers, etc...
- Torpark: Es una herramienta de navegación anónima en Internet, que ofrece un cliente por la red anónima tor (distribuye el trafico por diferentes sistemas o nodos Tor) que dificulta el rastreo del origen de la conexión, el Torpark lo puedes llevar en una memoria USB ya que es ejecutable y free.
- Proxyway: Esconde la ip real, buscador de Proxy, chequeo de proxy, intercambiador de proxys, filtrado de proxys, trabaja con CGI proxies, soporta todos los tipos de proxys. Mas info aca
- Secure Tunnel: Provee conexion con encrypcion para todas las formas de navegacion, incluyendo http, news, mail, y el especialmente vulnerable IRC e ICQ. El programa no sólo muestra una IP diferente, sino que esta se modifica (automática o manualmente) mientras navegamos para evitar un seguimiento.

Conclusiones:
- De cada una de las aplicaciones indicadas podriamos hablar dias enteros o hilos enteros, ya que algunas inclusive nos permiten escoger las aplicaciones a ejecutar hablese de browsers, mensajeria instantanea, streaming, etc
- 0j0 no todos los programas fueron o son creados con el animo de jodernos (o hacking) la vida a los administradores algunos o la mayoria son usados en paises o ambientes hostiles hablese de CHINA, Korea del Norte o CUBA donde la navegacion es muy restringida.
- Solo liste los mas importantes o los mas usados, segurante hay muchos mas pero estos son los mas usados.
- Cabe indicar que me di la molestosa tarea de probar todos estos en mi red y gracias a dios no funcionan ni siquiera se conectan lo que me da la seguridad que mis reglas en mi firewall estan correctas.
- Pues nada siempre hay que estar actualizandose en los diversos tipos de prgs que salen para saltarse los bloqueos tanto del proxy como de los firewalls, espero le haya servido a mas de uno.
UPDATE: 06-04-2010
Pues nada que han lanzado la nueva version del ultrasurf la version 9.95 pero igual las reglas en el firewall lo bloquean, testeado!

Bueno les comento que las

Imagen de falcom

Bueno les comento que las reglas hechas bloquean el ultrasurf cuando un usuario cualquiera no dispone de privilegios de navegacion, cosa que no resulta cuando si disponen de internet, el programilla se conecta y se salta todas las restricciones del firewall y de squid, a pesar de haber colocado algunas reglas mas... gracias al aporte de damage pero igual no funcionan haber si alguien nos da una mano..
en el squid

acl bloquearultra url_regex "/home/ruta/u95"
...
http_access deny bloquearultra

en el archivo u95 debe tener lo siguiente

ultrareach.com
67.15.183.30
74.52.22.91
ultra1
wujie.net
.ultra*

en mi firewall aumente estas reglas

iptables -A FORWARD -p tcp --dport 9666 -j DROP
iptables -A FORWARD -d 67.15.183.30/32 -j DROP
iptables -A FORWARD -d 74.52.22.91/32 -j DROP
iptables -t nat -A PREROUTING -d 67.15.183.30/32 -p tcp --dport 9666 -j DROP

pero naranjas no se me ocurre que otra cosa mas bloquear, haber si alguien da una mano!

Salu2, luego de prueba y

Imagen de falcom

Salu2, luego de prueba y error he logrado bloquear el famoso ultrasurf para los users q si disponen de privilegios de navegacion x internet, agregen las siguientes lineas a su script de firewall

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to dir_ip_proxy:pto
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

algo les explico, estoy haciendo q todo el trafico q pasa x la interfaz eth1 (mi nic externa para mi caso) lo redirecciono usando Dnat a la ip de mi proxy mas mi puerto... ojo cambiar con las respectivas dir suyas...
la segunda linea es la pepa con esa se bloque al puto programa!!!
Gracias a todos x sus aportes y ayuda...

estimado me funciono me

estimado me funciono me Bloqueo el Ultra Surf Pero me quito el Acceso a Ips que Pasan sin Restricciones te Detallo los Datos Talvez me Puedas Echar una Mano Gracias de Antemano.
#Acceso 01
iptables -t nat -A POSTROUTING -s 10.10.10.88/32 -d any/0 -j SNAT --to-source 190.41.204.144
iptables -t nat -A PREROUTING -s 10.10.10.88/32 -d any/0 -j ACCEPT
#acceso 02
iptables -t nat -A POSTROUTING -s 10.10.10.169/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.169/32 -d any/0 -j ACCEPT
#Acceso 03
iptables -t nat -A POSTROUTING -s 10.10.10.193/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.193/32 -d any/0 -j ACCEPT
#Acceso 04
#iptables -t nat -A POSTROUTING -s 10.10.10.29/32 -d any/0 -j SNAT --to-source 200.48.52.65
#iptables -t nat -A PREROUTING -s 10.10.10.29/32 -d any/0 -j ACCEPT

reviviendo este post

Imagen de sistemas7

disculpe que reviva un post antiguo y como indica el amigo falcom ,


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to dir_ip_proxy:pto
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Mi escenario es el siguiente .

MI WAN = eth0
RED LAN = eth1

Yo aplique la regla de la siguiente manera

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.10.1:3128
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Pero mi red se cayo ? que pudo estar mal teniendo en cuenta que uso proxy transparente y la ip local es la menciononada eth1=192.168.10.1

Gracias por su ayuda

Necesito Aprender !!

bueno son varios parametros q

Imagen de falcom

bueno son varios parametros q a lo mejor se te pasaron como activar el ip_forward o algo mas deberias colocar tu script completo para ver q le falta
la regla magica q te cierra el u95 es

iptables -A FORWARD -p tcp --dport 443 -j DROP

cerrar el pto 443 (https) 0j0 tendras q agregar las reglas necesarias para q no se queden sin accesar a sitios legitimos como gmail/hotmail... etc.

wow

Imagen de sistemas7

ok me la voy a jugar a ver que tal me va por que ya se ha masificado el uso del bendito ultrasurf

Necesito Aprender !!

sip ten cuidado q al cerrar

Imagen de falcom

sip ten cuidado q al cerrar el pto 443 las pags buenas de como x eje gmail, hotmail, bancos etc se te bloquean para eso haces un white list de las paginas permitidas... en tus reglas de squid

whitelist proxy ?

Imagen de sistemas7

amigo falcom es un whitelist en el proxy oh vastaria con validar las publicas de las paginas que necesito acceder para las https.

Please ayudame porq ue he probado con la regla que has puesto y no deja conectar el ultrasurf. (bien esta parte)
el detalle esta en validar todas las paginas https que sean posible.

Saludos

Necesito Aprender !!

crea un acl llamado

Imagen de falcom

crea un acl llamado "whitelist" le puedes poner las ips o dominios de tus pag q empiecen con https
dependiendo de tus necesidades si no son muchas (servicios de mail, bancos, nic.ec etc, etc)

falcom

Imagen de sistemas7

hola falcom , molestando nuevamente como indicaste tu, la regla magina en el firewall

iptables -A FORWARD -p tcp --dport 443 -j DROP

Funciona y bloquea al puto Ultrasurf impidiendo que no se conecte y no puente al proxy. Ahora bien mi detalle es que no logro acceder a las paginas https a pesar que he creado un acl en el squid , te pongo mi script


acl sitios-https url_regex "/etc/squid/https.txt"
##Acl HTTPS
http_access allow CONNECT sitios-https

En mi archivo txt tengo las siguientes direcciones , ando probando como validar el sitio www.logmein.com para que la gente de soporte pueda ingresar pero no he logrado hacerlo :( please dame una manita para saber si es problema de mi acl oh algo me esta quedando pendiente


hotmail.com
www.logmein.com
secure.logmein.com
74.201.74.193
69.25.21.200
secure.logmein.akadns.net

Gracias por el apoyo brindado.

Necesito Aprender !!

Páginas