locked
BLOQUEAR BURLADOR ULTRASURF

    Pergunta

  •  

    Boa tarde a todos!

     

    Pessoal preciso da ajuda de vocês, aqui na empresa eu utilizo o Isa 2000 para acesso de internet e bloqueio de sites indevidos, bem, tem um pessoal que está burlando meu Proxy com o uso do programa ultrasurf, tenho vários sites bloqueados, esse programa burla meu Proxy, pior, ele não registra no log do Isa o acesso daquela maquina os sites que está sendo acessados.

     

    Se alguém tiver uma solução para esse problema, ficarei grato.

     

    Obrigado.
    quarta-feira, 3 de outubro de 2007 17:52

Todas as Respostas

  • Oi Peter. Boa tarde.

     

    Inicialmente para poder bloquear uma aplicação com o ISA Server, bem como com qualquer outro firewall, você deve entender como esta aplicação funciona. E para entender como ela funciona, você precisa pesquisar a respeito dela: portas que utiliza, se há algum ID passado pela aplicação durante a conexão, etc.

     

    Não há outra forma de bloquear senão você estudando como ela funciona.

     

    Assim que tiveres mais detalhes e mesmo com eles, não conseguir bloquear esta aplicação, envia um post aqui no fórum com os detalhes para podermos ajudar.

     

    Sim. Quase ia esquecendo. Se seus usuários conseguem instalar esta aplicação, então há uma falha grave na política de segurança adotada. Nenhum usuário deve ter privilégio administrativo em sua estação, senão acontece este problema que você nos está reportando.

     

    Um grande abraço!

     

    domingo, 14 de outubro de 2007 16:15
  • Bom Dia peter....

    conseguiu algo sobre esse ultra surf  ? 

    pelo que percebi ,  ele usa a porta 9666, o estranho é que quando ele é executado na estação para burlar o proxy, ele habilita o proxy 127.0.0.1 na porta 9666 ...

    acho que se bloquearmos essa porta e esse ip, ele não funcionará.... ( vou tentar )

     

    até mais.

    quarta-feira, 5 de dezembro de 2007 11:48
  • Novamente peter...

    no meu caso tenho o Routing and Remote Access instalado em meu servidor WS2003, e fiz alguns testes quando o serviço do Routing and Remote Access está desabilitado, esse ultrasurf não funciona...  ( pelo menos aqui ).

    Agora preciso dar uma olhada no firewall do Routing and Remote Access para bloquear este end ip que o ultra surf atribui, 127.0.0.1 :  9666, e vê se dá resultado...

     

    tenho um freeproxy aqui instalado, para bloqueio de alguns sites e para os usuários navegarem na net nas estações , tenho 50 estações, na verdade não bloqueia nada.. rs... ( porcaria comparando-se  ao isa.. rs.. ) ,

    estou com probleminha também, ref ao msn messenger, não estou conseguindo fazer o bloqueio dessa desgraça, mas logo arrumo uma solução.

     

     

    até mais.

    marcusvini_br@hotmail.com

     

     

     

     

    quarta-feira, 5 de dezembro de 2007 12:31
  • Então esse ultrasurf esta sendo meu problema tbm, porem nao da pra bloquear  127.0.0.1, pois é o ip localhost ...
    Não adianta bloquear a porta 9666, pois esta é a porta que está rodando no micro local e à partir dele, ele utiliza a porta 443 que pode ser tanto via o seu atual proxy..

    O que estou fazendo é Super cansativo porem esta dando resultados, no meu dominio como eu rodo 2003, estou bloqueando esses programas indevidos por Hash através da GPO o meu Dominio.
    O unico problema que o Hash é individual, cada atualização do programa (ultrasurf) vc tem que colocar as diferentes versoes para serem bloqueadas.. e ja coloquei mais de 50 tipos desse ultrasurf. U.exe, Ultra.exe, U86, U87, e por ai vaii..
    porem da certo.
    =)))

    abraços
    • Sugerido como Resposta Zebinhas terça-feira, 1 de dezembro de 2009 18:53
    domingo, 9 de dezembro de 2007 16:52
  •  

    boa... Pr0feta

    vou fazer isso

    vlw

     

    domingo, 9 de dezembro de 2007 19:21
  • Ué Rogério...

     

    Não entendi o porquê do seu post, pois a pessoa fez uma pergunta e você a mandou estudar...

    Se for assim, pra que serve o Fórum? Ora, ele perguntou justamente pra pesquisar a respeito.

     

    O UltraSurf não precisa de instalação, roda em qualquer CD ou PenDrive mesmo não tendo privilégios na estação.

    Ele utiliza a porta tcp443, portanto, não pode ser bloqueada.

     

     

     

    quarta-feira, 12 de dezembro de 2007 11:17
  • Oi Alex. Bom dia.

     

    Infelizmente nosso mundo é enorme, cheio de pessoas mal intencionadas.

     

    Há um número enorme de aplicações que surgem todos os dias e, nem sempre, é possível que saibamos como elas funcionam. Se soubéssemos, não haveria a necessidade de ninguém no mundo de TI. Todos os computadores seriam auto-suficientes.

     

    Quando surge uma aplicação como o Ultrasurf, não há outra alternativa senão pegar um Wireshark ou Network Monitor, capturar o tráfego gerado por ela e encontrar uma forma de configurarmos o firewall para bloqueá-la.

     

    A intenção de todos aqui no fórum é ajudar. Tenho a consciência de que fiz minha parte.

     

    Um grande abraço!

    quarta-feira, 12 de dezembro de 2007 13:25
  • Olá.

     

    Agora sim você deu uma dica melhor que pode ajudar o nosso amigo e a todos que visitam o Fórum, diferente da anterior.

     

    Certamente ninguém sabe de tudo, mas pode ser que alguém que tenha passado pelo mesmo problema e encontrado uma solução possa compartilhar esse conhecimento conosco. Portanto, responde o tópico quem pode ajudar com alguma dica.

     

    O Fórum também é uma forma de pesquisa, então, continuo discordando da sua atitude de dizer que o membro deve pesquisar. Ora, é justamente isso que ele está fazendo.

     

     

     

     

     

     

     

     

     

     

     

     

    quarta-feira, 12 de dezembro de 2007 14:01
  • Oi Peter! Boa tarde.

     

    Estudando esta aplicação, encontrei duas prováveis formas de bloquear este software. Relacionarei abaixo.

     

    1. Através de Bloqueio no firewall

    Para este método, você cria uma regra no ISA bloqueando o tráfego HTTPS para o host sch.nikkei.co.jp .

     

    2. Através de GPO aplicada nas estações

    Para este método, siga os passos a seguir:

    1. Crie uma GPO para configurar apenas este recurso. O nome pode ser, por exemplo, COMPUTADORES: Bloqueio executável Ultrasurf.
    2. Edite a GPO.
    3. Na janela de edição da GPO, expanda Configurações do computador -> Configurações do Windows -> Configurações de segurança.
    4. Clique com o botão esquerdo do mouse para selecionar Diretivas de restrição de software.
    5. Clique com o botão direito em Diretivas de restrição de software e clique em Novas diretivas de restrição de software.
    6. Na pasta "Regras adicionais", clique com o botão direito do mouse e selecione "Nova regra de hash...".
    7. Na janela "Nova regra de hash", clique no botão procurar e localize o executável do Ultrasurf. Confirme que a opção "Nível de segurança" esteja definida como "Não permitido" e clique no botão Ok para criar a nova regra de hash.
    8. Repita os passos 6 e 7 para cada versão do executável do Ultrasurf.
    9. Aplique a GPO apenas na Unidade Organizacional que contém os computadores dos usuários.

    Infelizmente temos que criar uma nova regra de hash para cada versão do Ultrasurf, pois o hash do executável dele é diferente para cada versão.

     

    Não esqueça as recomendações padrão no trato de GPOs:

    • Não altere as GPOs "Default domain policy" ou "Default domain controllers policy".
    • Trabalhe com GPOs sempre no nível das Unidades Organizacionais para evitar erros de configuração em outros níveis do domínio.

    Espero ter ajudado.

     

    Um grande abraço!

    quarta-feira, 12 de dezembro de 2007 15:54
  • boa...

    agora ficou chique... vou fazer...

    abraço a todos e no stress.... pois estamos no mesmo barco.

     

     

    quinta-feira, 13 de dezembro de 2007 00:18
  •  

    Rogégio,

    fiz a regrinha hash que o profeta e vc explicou em seguida, ficou legal sim, a aplicação não executa nem a pau.

     

    vou tentar ver esse carinha no isa server

    vlw

    abraço.

     

    quinta-feira, 13 de dezembro de 2007 00:22
  • Não esquece de marcar o post como útil.

    Um abraço!!!

    quinta-feira, 13 de dezembro de 2007 03:43
  • As opções aqui informadas foram de grande valia. A GPO funciona muito bem, para as maquinas que estão no domínio,

    Agora gostaria de abusar um pouco mais, usei o 138.101.216.79 sch.nikkei.co.jp funciona bem para o bloqueio da versão 81, por acaso teria os outros endereços das outras versões?

    Obrigado

    quinta-feira, 27 de dezembro de 2007 16:40
  • Rapaz do céu, tem cerca de uns 100 ultrasurf um diferente do outro, é complicado eu pegar end. por end. e te passar em meu caro.

    Ai fica por você fazer um esforcinho, já que voce é Adm. de Rede tem que sofrer um pouco. Stick out tonguepp

    segunda-feira, 7 de janeiro de 2008 16:09
  • Estou procedendo, assim que terminar informo os outros endereços aqui.

    De qualquer forma obrigado.


    André Sousa

    segunda-feira, 7 de janeiro de 2008 16:26
  • Cara é só você analisar os logs do seu firewall pra HTTPS (443)

     

    Se você souber programar um pouco você pode até fazer um scripts para analisar as linhas com essa porta para facilitar o trabalho.

     

    Infelizmente como o amigo disse o tempo todo são criados programas para burlar as coisas, então analisar o log de firewall de tempo em tempos é algo inevitavel.

    segunda-feira, 7 de janeiro de 2008 18:42
  • Muito boa a alternativa de vcs!!!!!

    Na escola que eu estudo isso atrasou em dez minutos o uso da internet!!!!

     

    Até a hora que resolvi renomear o aplicativo que tava no meu pendrive e pronto!!!!!

     

    Assumam que não tem jeito de bloquear pq não se pode bloquear a porta 443 muito menos bloquear 127.0.0.1 que eh endereço de loopback!!!!!

     

     

    Mas se quiserem continuar tentando vão lah quem sabe quando vcs encerrarem a carreira não tenha saído uma forma de bloquear o ultrasurf!!!

     

     

    Onde eu trabalho eu nem esquento!!! Vô fazer o que?????

     

     

    hauahuahauahu

     

    quinta-feira, 14 de fevereiro de 2008 21:45
  • Caro amigo Thiago,

     

    Acredito que no colégio que voce estuda não deve haver nenhuma pessoa qualificada o suficiente para resolver esse tipo de problema.

     

    Até porque como vocês usam a inernet na sala de aula, com certeza não há um segredo de negocio no seu colegio, alem de ter o professor na sala de aula, para monitora-los.

     

    E voce tambem nao deve saber muito sobre o que voce esta falando...

     

    Voce sabe o que é uma regra de hash ? não né ?

     

    Se vc soubesse o que é, voce saberia que nem renomeando para MAMAEQUERQUEEUENTRENAINTERNET.EXE voce conseguiria iniciar o aplicativo, pois o hash é tipo um cabeçalho do arquivo.

     

    E além do mais é simples, bloquear isso e outras porcarias da internet.

     

    1 - Bloquear todo o tipo de dispositivo USB MASS STORAGE (ou seja seu lindo pendrive nao funciona)

    2 - Bloquear o download de todas extensoes que possam conter executaveis (.exe, arj, zip e etc)

    3 - Bloquear tambem o download dos arquivos pelo cabeçalho (MZ, PK e etc)

     

    Pronto, voce e seu ultrasurf vao surfar na pororoca.

     

    Amigo, isso aqui é um forum de colaboraçao entre profissionais de informatica, se voce nao tem nada a acrescentar, detenha-se apenas ao direito de ler e aprender.

     

    Abraço 

    sexta-feira, 15 de fevereiro de 2008 01:08
  • Esquentem não... Depois o amigo Roger aqui virá com mais dicas pra bloquear o Ultrasurf.

    É tão simples...

    Abração a todos!!!

     

    sexta-feira, 15 de fevereiro de 2008 03:50
  • Carissimo Ricardo,

    Não precisa ficar nervoso não cara!!!!

    Baixe aí alguma versão do ultrasurf e tente bloqueá-lo sendo que vc não pode bloquear USB MASS STORAGE.

    E se vc pesquisar verá qta gente tenta bloquear e não consegue. Agora se vc conseguir poste aqui que eu tb tenho problema com ele!!!

     

    Creio que vc não tem noção do que é esse programa. Se vc desligar a máquina com ele executando vc não acessa a internet senão mudar as configurações de LAN. ou utilizá-lo novamente!!!!!

     

    Será de grande ajuda!!! Boa sorte.

     

    Mas eu acho dificil hein, lembro que na China o governo ainda não conseguiu!!!!!

     

    sexta-feira, 15 de fevereiro de 2008 16:22
  • Fala Thiago,

     

    Como assim não da pra bloquear USB MASS STORAGE ???

     

    Eu implementei essa politica na minha empresa, é só voce alterar 1 parametro do registro que ele nao instala mais nenhum dispositivo desse tipo.

     

    "Chave local_machine/system/current_control_set/services/USBSTOR"

     

    O ultrasurf é igual a AIDS ou você previne pra não deixar entrar no seu ambiente ou vive tomando rémedio (bloqueando os executaveis e etc) até morrer.

     

    A China não conseguiu bloquear até hoje obviamente pq ela nao tem o controle dos PCs, mas se vc está num dominio você pode deixar seu ambiente tão fechado que a pessoa nao vai conseguir instalar/executar o ultrasurf.

     

    Ainda não vi ninguem usar na minha empresa e tambem como é tudo bloqueado para os usuários ( Eles só tem acesso ao e-mail da empresa que é monitorado, só tem acesso a certas paginas, nao podem baixar nenhum tipo de arquivo, e não podem usar usb)

     

    E também é uma questão de cultura da mesma, foi pega tentando burlar as regras da empresa ta na rua, simples e facil, funciona melhor que bloqueador...

     

    Deixei um dia sem querer uma máquina que estava usando toda liberada, sentaram 3 pessoas ao longo do dia e elas tão acustumadas com os bloqueios, nem tentaram acessar nada novo.

     

    sábado, 16 de fevereiro de 2008 03:41
  • Fala Ricardo

     

    Não quis dizer que não dá para bloquear USB MASS STORAGE

     

    O que quis dizer é que não pode bloquear pq tem que ser utilizado, principalmente na faculdade onde estudo, pois temos que fazer cópia dos arquivos.

     

    Conversando com um professor meu que é responsável pela infra-estrutura de informática da escola e, conseqüentemente tb responsável por este tipo de bloqueio, ele me disse que por não ser necessário nenhum tipo de instalação para utilizar este programa, e por não poder bloquear USB, pelo motivo de os alunos precisarem transferir arquivos, e ainda por não poder bloquear a porta 443(https), não está sendo possível bloquear este programa.

     

    Seria mto simples bloquear td isso, não deixando que se consiga colocá-lo na máquina. Mas se ele já estiver lá o bloqueio torna-se mto complicado, principalmente quando algumas pessoas têm que tem alguns direitos sobre a máquina.

     

    A questão não é limitar os direitos de uma pessoa sobre a máquina e sim, como não deixar este programa, que já está na máquina, ser executado e burlar o firewall. Alguma forma de não deixá-lo ativar as configurações de LAN  para 127.0.0.1 e trafegar livremente principalmente pela porta 443.

     

    A porta que ele sinaliza como conectada é a 9666, mas como explicado neste fórum anteriormente, esta é a porta do micro local, sendo que no gateway ele sai pela porta 443.

     

    Sem mais.

    sábado, 16 de fevereiro de 2008 14:16
  •  

    Thiago,

     

    Eu vou instalar o UltraSurf no meu ambiente, e fazer alguns testes.

     

    Mas se o usuário não for administrador ou power user da máquina ele não consegue alterar as configurações de lan...

     

    Todo o ambiente requer no minimo um pouco de controle, se realmente não existe possibilidade de bloquear pendrivers, deixar todos serem admins da máquina e por ae vai, será realmente muito dificil bloquear alguma coisa.

     

    É a mesma coisa que você entregar uma metralhadora carregada pra alguem e depois disso tentar criar um mecanismo pra evitar que ela puxe o gatilho.

     

    Mas eu volto ae com os meus testes.

    sábado, 16 de fevereiro de 2008 17:46
  • Fala Ricardo,

    Como estão seus testes cara????

     

    Te falei que não seria tão simples bloquear no firewall, nunca vi coisa igual...

     

    Se vc conseguir algo passa pra gente aê!!!!

     

     

     

    sexta-feira, 7 de março de 2008 02:16
  •  

    Fala Thiago tudo bem ??

     

    Cara eu tinha até esquecido disso aqui Wink a vida ta corrida que eu to sem tempo de testa-lô, vou ver se instalo na máquina de alguma pessoa pra eu ter o pretexto para analisar ;P

     

     

    Vou dar uma olhada assim que tiver um tempo Wink 

    sexta-feira, 7 de março de 2008 02:23
  • Galera, como eu prometi, aí vai mais uma receitinha de bolo mágica! kkkkkkkkkkkkkkk

    Isto vale para qualquer firewall.

    Crie uma regra no firewall com as seguintes características:

    • Origem do tráfego: Rede Interna
    • Destino do tráfego (se for ISA 2004/2006, use o objeto Domain Name Set):
      • *.apic.net
      • *.ca.charter.com
      • *.comcast.net
      • *.dslextreme.com
      • *.hinet.net
      • *.ippages.com
      • *.so-net.net.tw
      • *.utexas.edu
      • boh.com
      • *.taleo.net
      • *.seed.net.tw
      • *.fisherci.com
      • *.dsl.bell.ca
      • *.dsl.alicedsl.de
      • *.clinicalresearchnetworks.org
      • *.centurytel.net
      • *.res.rr.com
    • Ação da regra: Deny
    • Protocolo aplicável: HTTPS

    Pronto! Você já tem um firewall pronto para começar a lutar contra o Ultrasurf!

     

    Claro que eles sempre vão alimentar a lista de domínios para que o Ultrasurf possa conectar, mas este já é um grande passo.

     

    Para quem tem ISA 2004/2006, pode usar também outros tipos de objeto de destino, como Networks, Address Ranges ou Subnets.

     

    A única desvantagem é para quem publica servidores web com HTTPS através de conexões DSL. Ficaremos sujeitos a não mais acessar o OWA que temos na empresa...

     

    Porém, espero ter ajudado!

     

    Um abraço a todos!!!

     

    sexta-feira, 7 de março de 2008 03:00
  • Pensa no TRABALHOOOOoooooooo...
    Infelizmente a cada dia que passa o pessoal anda criando mais meios de burlar...
    Grande Rogério, de grande avalia oq postou.

    Como outros falaram, não da para eu bloquear Pen Drive.
    Já que trabalho em faculdade, e alunos, professores utilizam os laboratórios de informatica, infelizmente todos utilizam o meldito pen drive, falando nisso há diversos Virus que estao atingindo pen drives.
    O negocio ainda eh utilizar o Hash, UM POR UM e irei testar tbm bloquear fazendo uma regra no firewall como o rogerio falou, vamos ver oq dá..

    Froid mesmo não eh o pessoal burla o nosso firewall .. o problema que quando o pessoal utiliza esses meios Não sei com que Cargas d'agua o ultrasurf quando "desligado" de forma sem apagar cookies e historicos do programinha, quando vc deixa de usar ele a maquina fica sem internet. 

    Esse programa eh uma maldição na minha rede, pq vai professor ou aluno enche o saco, vamos la ver eh essa merda que acontece.. dae temos que apagar o usuário que estava logado para voltar a funcionar.

    Há outro meio de fazer sem apagar o usuario no "documents and settings" ?
    No XP ainda nao consegui, só no W98, sim ainda temos uns dinossauros em nossa universidade.

    agradeço a todos que participam com algo util no forum


    segunda-feira, 17 de março de 2008 13:49
  • Olá Pessoal.

     

    Realmente o bloqueio através de hash funciona perfeitamente no domínio.

     

    Antes disso, alguns usuário "ociosos" da minha rede utilizavam o maldito ultrasurf e desligavam a máquina com ele em funcionamento. Quando religavam a máquina, não acessavam mais nada. Os "ociosos" ligavam para o suporte fazendo aquele escândalo, dizendo que precisavam trabalhar, estavam com serviços atrasados etc. Aquela conversa de funcionário inútil que conhecemos.

     

    Ao chegar na máquina deles, os nossos técnicos verificavam que o endereço de proxy e a porta eram do ultrasurf e não os da nossa empresa. Isso porque o ultrasurf modifica o registro para usar ele mesmo como proxy, quando você fecha o executável, ele desfaz essa regra e volta ao normal.  Quando ele é simplesmente encerrado quando o micro é desligado, ele não desfaz a regra,  o registro continua apontando para ele, mas se ele não estiver sendo executado, não funciona a internet.

     

      

     

     

     

    quinta-feira, 27 de março de 2008 14:26
  • Senhores,

     

    Alguma novidade referente ao bloqueio desse software?

    Nem os desenvolvedores do nosso firewall estão conseguindo.

    Uso o Firewall Fortgate.

     

    Alguem achou??

     

    Abraços.

     

    Felipe Flórido

     

    quinta-feira, 10 de abril de 2008 17:50
  •  

    Amigo,

     

    O dia que o cara do firewall conseguir verificar dentro dos pacotes criptografados, resolveremos o problema do ultrasurf mas criaremos o maior problema hoje na internet Wink nada estaria seguro....

     

    Continuo batendo na mesma tecla, não deixar o infeliz usar/instalar/colocar/malocar o ultrasurf na máquina é o melhor jeito...

     

    Depois que o cara executo ele se conecta com criptografia, ae ou vc bloqueia a porta 443 ou chora pq nao tem jeito.

    sexta-feira, 11 de abril de 2008 04:22
  • Felipe, bom dia.

    Amigo, dá uma olhada nos posts que coloquei. Eles estão nas seguintes páginas:

    http://forums.microsoft.com/technet-br/showpost.aspx?postid=3157846&siteid=29

    http://forums.microsoft.com/technet-br/showpost.aspx?postid=3157846&siteid=29&sb=0&d=1&at=7&ft=11&tf=0&pageid=1

     

    Siga as dicas que eu coloquei nestes posts e você vai conseguir, se não bloquear completamente o Ultrasurf, mas pelo menos grande parte dele ou do tráfego gerado por ele.

     

    Um abraço!!!

    sexta-feira, 11 de abril de 2008 14:56
  • O Cara do CPD daqui fez uma regra de hash e realmente funcionou e bloqueou o Ultra-Surf de todo mundo ... porém infelismente eu sou programador e peguei o arquivo u.exe compilado e abri ele em hexa decimal ... foi meio pank o trabalho que eu fiz , mas funcionou ... Agora quando abri o meu ultra-surf ao executar ele imediatamente se transforma no Avast , ou seja se bloquearem o Avast eu fico sem o ultra-surf ... Só que aí a rede inteira fica sem o Avast tbm ... mas se realmente fizerem isto eu transformo ele no AVG , no Excell ... e assim por diante ...

     

    quem quiser uma cópia do meu ultra-surf multante basta postar seu e-mail aqui.

     

    t+

    segunda-feira, 5 de maio de 2008 22:03
  • Caro Ricardo Sanchez o meu urtra surf ultrapassa as regras de hash ( aliás eu sou programador e abri o ultra surf em hexa e alterei todas as informações dele para as informações internas do avast ). Já testei em vários lugares e ninguém bloqueia ele ... e se bloquearem o avast eu transformo ele no excell , avg etc...

     

    t+ amigos

     

     

    segunda-feira, 5 de maio de 2008 22:12
  •  

    Caro Xará Stick out tongue

     

    Esse tópico esta fadado a nunca ter fim mas vamos lá...

     

    Vamos partir de um principio que estamos falando de segurança e essa aqui é uma das partes mais perigosas quando se trata de segurança da informação, o acesso aos recursos da web sem nenhuma restrição/controle num ambiente corporativo.

     

    Agora vamos lá o pessoal do CPD da sua empresa teve um trabalho pra criar várias regras de hash contra o ultrasurf, mas esqueceram do maior problema deixaram você como administrador, ou seja se você é ADM da máquina você pode fazer qualquer coisa nela, você sendo programador arrumou seu jeito, eu como trabalho com infra iria arrumar outro e no final o ambiente ficaria inseguro.

     

    Eu estou aqui mais uma vez batendo na mesma tecla não da pra pessoa bloquear qualquer acesso dos micros da sua empresa se ela não tiver o minimo de conhecimento e infra-estrutura de segurança e isso é fato...

     

    Como eu falei antes, se você não tiver como colocar esse ultrasurf na sua máquina vc não vai conseguir usar, ou melhor vamos fazer uma politica menos restritiva, o ultrasurf altera configurações da interface de rede não é ?

     

    Se você não for administrador da máquina esse software já não irá conseguir executar corretamente e logo não irá funcionar.

     

    E também existem as regras da empresa, aquilo não foi bloqueado atoa... Se você passar por um administrador de redes experiente, você vai conseguir fazer 1,2,3,4 vezes isso mais uma hora chegará uma notificação pra você sobre as politicas da empresa....

    Eu já vi isso acontecer sorte que não foi comigo Stick out tongue

     

    Mas enfim muito show o que vc fez no hash do arquivo. Wink

     

    Abraços Wink

    terça-feira, 6 de maio de 2008 02:58
  • manda esse mutante pra mim....

    fikei interessado pra ver como ele se comporta.

    não sou programador + intendo 1 pouco, se não for pedir d+ me manda quais caracters tenho q alterar pra modificalo....

    abraços.

     

    quinta-feira, 8 de maio de 2008 17:36
  • Bem, li praticamente todo o post.... Tbm já implementei algumas das alternativas aqui relatadas.

    Acho q no momento o mais eficaz, seria bloquear todo o acesso a porta 443 e liberando-se somente as necessárias (é sim muito trabalho, mas é mais simples). Existe outra coisa q não tentei ainda, que seria usando uma GPO impedir a alteração das configurações na LAN do Browser (IE), no caso de outro navegador, talvez seria a GPO não deixando os mesmos serem executados, excessão do IE. Mas aí tem alguém q vai dizer..... Eu não tenho um AD, o q faço? Então seria a primeira solução. Observação falo de (Windows + Linux = melhor remédio para o Ultrasurf).

    quarta-feira, 14 de maio de 2008 01:17
  • Ricardo, na verdade ele não altera a interface de rede, e sim altera as configurações de proxy no Browser, independente do tipo de usuário. Como respondi em outro post, talvez uma solução seria uma GPO para bloquear a alteração das Configurações da Lan do Browser (IE) e outra impedindo a execução de outros browsers.

     

    abraços

     

    João.

    quarta-feira, 14 de maio de 2008 01:22
  • Oi João. Boa tarde.

    Infelizmente os bloqueios impostos às alterações no IE através de GPO não funcionam. Como a diretiva apenas bloqueia o acesso à tela de configuração do proxy do IE, mas não bloqueia o acesso à chave de registro, o UltraSurf consegue alterá-la sem problema.

    Estou estudando um esquema de permissões nas chaves de registro do IE que possibilitem uma aplicação consistente das configurações de proxy, bem como impeçam a alteração dela pelo usuário.

    Um grande abraço!!!

    quinta-feira, 15 de maio de 2008 18:50
  • Opa Ricardo!

     

    Eu gostaria de uma cópia !!!

    Eu não atuo na área de segurança, mas gostaria de utilizá-lo para fazer alguns testes na rede da empresa que trabalho.

     

    BjoO

    quinta-feira, 15 de maio de 2008 18:55
  • Usando o sistema operaciolnal WINXP eu conseguir barrar o uso do ultrasurf 8.9 com um firewall chamado COMODO FIREWALL, a vantagem eh ke ele tem a versao free kra resolveuu o problema no XP agora posso barrar kauker programa ke eu kiser basta configurar o COMODO FIREWALL. resolveu o problema pq eu cuido de uma rede local de uma faculdade ahi o povo aki apareceu com esse ultrasurf tentei barrar no servidor ke eh um debian ai achei uma solucao nada viavel entao mudei minha ideia pq nao bloquear nos pc da rede ke usam windows xp ahi foi facil, de cara achei um firewall free basta instalar nos pcs da rede eh configurar pra barrar oke pode ser usado na conexao.

    quarta-feira, 11 de junho de 2008 01:37
  • Cara,

     

    Primeiro regra de hash não funciona porque eh soh abrir o ultrasurf com um programa que modifica executavel que o hash é trocado facilmente.

     

    Bloquear a porta 443 não podemos porque é a porta do https

     

    Mas chega de ladainha, aí vai a solução pro caso de todo mundo que aqui postaram inclusive eu!!!

     

    Crie uma regra no ISA Server 2004 que bloqueie a o trafego para qualquer usuario do AD, não permitindo que o mesmo acesse a internet!!!

     

    Pronto, como o ultrasurf passa como anonimo, e essa regra não permitirá mais isso, ele abrirá mas não conectará mais.

     

    Sugestão: crie um usuário qualquer e bloqueie o trafego dele que já eras!!!!

     

    Essa simples dica concerteza vai funcionar!!!!!

     

    Até que enfim descobriu-se a forma mais adequada de bloquear o ultrasurf, só não poderia imaginar que fosse tão simples!!!!

     

    Este foi o fim da jornada no ISA Server 2004!!!!

     

    Me respondam se deu certo!!!!!

     

     

    domingo, 15 de junho de 2008 21:50
  • Só um lembrete,
    Acho que é impossível bloquear o maledito Ultrasurf usando apena regras no GPO, por um simples fato:

     

    Se o usuário esperto renomear o executável para qualquer nome, um abraço! Eis que a aplicação é executada.

    Ou eu estou errado?

     

    quinta-feira, 7 de agosto de 2008 23:11
  • Atenção

     

    O negócio é um seguinte, eu não disse pra bloquear por nome o ultrasurf.

     

    Eu disse que pra bloqueá-lo deve-se criar uma regra que não deixe qualquer usuário que seja do ACTIVE DIRECTORY navegar.

     

    Porque o ultrasurf passa pelo firewall como anonymous, então com esta regra você não só limita um usuário qualquer que pode até mesmo ser criado pra isso especificamente, como bloqueia o trafego anonimo que é o que o ultrasurf faz.

     

    Este usuário deve ter bloqueio total.

     

    Nada de bloqueá-lo por nome, assim seria fácil, sendo que até um bloqueio por hash também é simples de se quebrar .

     

    Espero que tenha sido claro,

    A disposição.

     

    sábado, 9 de agosto de 2008 20:08
  • Credu.

    No meu cenário com o ISA 2004 firewall client instalado em todas as maquinas e autenticação integrada com o windows. A regra que libera http e https é valida somente para domain users, o ultra faz acesso anonimo com isso nao conseguirá trafegar ja que no software nao tem como configurar usuario e senha (pelo menos até a versao 8.9). Soma-se com o bloqueio das urls de acesso o problema esta resolvido.

    terça-feira, 19 de agosto de 2008 12:43
  • Thiago,

     

    Realmente o programa é fantástico, mas sempre tem uma solução.

    No caso da sua escola, você deve ter uma internet que é só abrir o navegador e pronto. Em muito lugares não é assim, além da senha do sistema operacional tem uma senha para internet, independente. Quando a autenticação do proxy esta desativada o ultrasurf libera tudo e a navegação torna-se anonima no proxy, nos testes que fiz, anonima até para a pagina que está sendo aberta, com um IP de um outro local.

     

    Porém com a autenticação do proxy, tudo muda, sem colocar a senha nada passa, é como se você não estivesse conectado, como o ultrasurf não tem opção de autenticação na configuração do proxy, ele tenta conectar e não consegue. Se você conectar manualmente e depois abrir o ultrasurf ele não conecta e sua conexão com a internet fica sem resposta.

     

    Você pode até pensar que na sua escola isso seria impraticavel, mas não é, se cala aluno tivesse uma senha para acessar a internet, o que em muitas escolas já existem, essa senha poderia ser a mesma que você usa para ver suas notas pela web, assim com certeza o ultrasurf não funcionaria, os teste foram feitas com a versão 9.1. E mesmo se passasse você estaria navegando de modo autenticado, e todas as paginas abertas seriam registradas no seu usuario, garanto.

     

    segunda-feira, 15 de setembro de 2008 12:57
  • A Ola Alex,

    me diga uma coisa , como é feita a configuração de proxy nas suas estações?

    fazem a configuração local do proxy em cada estação?Caso esteja fazendo isso, sugiro que crie um Gpo para fazer esse serviço pra vcs e coloquem um script para os clientes de sua rede, assim cada vez que fizerem logon/logoff o proxy será setado automaticamente!

    espero ter ajudado!

     

    abraços 

     

    terça-feira, 23 de setembro de 2008 15:26
  • Tente bloquear a saída da porta 53 em tcp e udp. Deixei só liberada para o DNS interno. Aparentemente bloqueou o UltraSurf e o Freegate. Gostaria que mais pessoas testassem e verificassem se dará o mesmo resultado que estou tendo.

     

    quinta-feira, 25 de setembro de 2008 02:23
  • Instalem o IIS nestes micros e alterem a porta do serviço http para responder pela mesma porta do proxy do ultrasurf (9666). Sendo um serviço, o IIS captura esta porta primeiro, impossibilitando o Ultrasurf de funcionar.

     

    Antônio Carlos C. de Araújo

    Analista de suporte.

    segunda-feira, 6 de outubro de 2008 16:33
  • Ricardo, manda pra mim esse mutante... hein... mas lá no trampo o ativirus é macafe, será que roda mesmo assim? Tem mais, quando eu descompacto o Ultra Surf ele simplismente desaparece (não fica nem mesmo oculto, desaparece mesmo). Isso acontece em qualquer computador de lá, mas só de lá. Sabe me dizer o porque?

    Ah!, teria como voce fazer um tutorial ensinado a fazer essa modificação? Afinal, posso querer mexer depois....

    Abraços...
    sexta-feira, 10 de outubro de 2008 03:39
  • Utilize GPO e bloqueia a aplicação no Windows, assim nem executar o programa será possível e nada precisa ser feito no MS ISA.

    Abraços
    terça-feira, 14 de outubro de 2008 20:14
  • Ricardo, voce poderia enviar pra mim seu mutante?

     vendas912@gmail.com

     

     

    Grato

    att,

    BRUNO..

    segunda-feira, 20 de outubro de 2008 14:47
  • Aqui tá bloqueado

    1 - no firewall do gateway liberar somente portas TCP necessarias: 25, 110, 53, 5900, etc ...
    2 - não liberar  portas 443 e 80 que são de navegação na web
    3 - a navegação na web será através da porta do proxy no gateway
    4 .este proxy estará bloqueando ultrasurf através de regras baseadas em url e usando o opendns configurado para bloquear
    5 - bloquear o forward de TODAS as portas TCP que não foram liberadas anteriormente

    pronto, sem porta 80 e 443 e com todas as outras bloqueadas nem ultrasurf , nem nenhum outro aplicativo conecta , a não ser que seja liberada conexão via proxy pra ele.





    quinta-feira, 30 de outubro de 2008 17:14
  • Ricardo, tem como tu me manda esse teu ultrasurf mutante?

    o email é duda.lovatel@gmail.com

     

    Eduardo Lovatel

    abraço
    segunda-feira, 24 de novembro de 2008 11:47
  • Olá Peter, sou novo por aqui, gostaria de deixar minha opnião, tbém uso o isa server2000 criei uma regra para que  um grupo de usuários (acces roule) (IPs) tenha acesso somente as páginas cadastradas, por vc (acces policy) no firewall, e negar todo o resto?

    Uso nos clientes, o winpolicy habilitando somente os softwares mais usados ajudou muito.

     

     

     

     

    quarta-feira, 26 de novembro de 2008 02:43
  •  

    Pessoal,

     

    A princípio barrava essa porcaria de programa por rash e dava muito trabalho ficar toda olhando se saia novas versões desse programa. O caminho foi criar políticas de restrição de software, aí já era UltraSurf.

     

    Abs,

    Michael Wilson Carrasco

    MCSA Security/MCP/MCDST/ITIL

    quinta-feira, 4 de dezembro de 2008 14:46
  • pessoal,

     

    Gostaria de saber como bloquear o https

    Por que trabalho em uma Faculdade de TI

    e conseguem altera a porta para baixar o ultra surf

    tem como bloquear o arquivo para nao baixar o acesso

     

     

    abs,

    sexta-feira, 5 de dezembro de 2008 16:25
  • Administro uma pequena rede (35 pcs) em uma escola, sendo 25 maquinas no laboratorio, as regras de bloqueio de lá eram feitas diretamente num pequeno roteador, mas c o ultrasurf fui obrigado a instalar um server (brazilfw) baseado no linux coiote, eu bloqueei o ultrasurf la foi criando um usuario p o laboratorio no squid e colocando o proxi como autenticado, ou seja, toda janela q a pessoa abre ele deve digitar a senha, é meio chato, mas é funcional, pelomenos aqui eu testei c a versão 9.2 do ultra e ele não conseguiu logar mais. Outro incoveniente é q tive q especificar nas maquinas o ip do BFW e a porta do proxi, depois dessas ferias neguin vai desmamar!!!!! rsrsrsrssrs

     

    Abrasss!!!

    sexta-feira, 26 de dezembro de 2008 20:27
  • Oi Vinicius. Boa noite.

     

    Explica com mais detalhes quais são as condições desta configuração, como por exemplo:

    • O que faz a regra que trata o referido usuário no Proxy do Squid?
    • Há alguma restrição de conectividade por IP?
    • Qual é o esquema de autenticação escolhido para ser solicitado pelo Squid?

    Ficamos no aguardo.

     

    Abraços!

    sexta-feira, 26 de dezembro de 2008 21:53
  • Olá pessoal,

    Ressussitando este post... vocês têm certeza que bloqueando a porta 443 bloqueia o ultra surf? Aqui eu tb estou bloqueando atraves de gpo que funciona, 
    mas um cidadão sempre aparece com uam nova versão. A cada compilação ele gera um novo cabeçalho e aí, entra na maquina do infeliz, pega o programa e cria uma nova regra para bloq atraves do hash. Não posso bloquear todo o acesso https e mesmo incluindo o host sch.nikkei.co.jp na regra de deny no ISA n funciona

    Pr0feta,

    Explique-nos pelo menos como faz para identificar qual endereço cada versão utiliza. Como posso monitorar no ISA para saber como bloqueá-lo?

    Como faço a restrição por software? Assim tb eliminaria de vez o Ultra Surf. Pesquisei na net e achei uma regra em linux para barrá-lo, n sei se ainda funciona.

    <rule>
    ip src(200.xxx.yyy.0/24, 200.xxx.yyy.0/32,xxx.0.0.0/8)
    udp src(any)
    udp content(|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00|)
    message(UltraSurf) Barrando o UltraSurf
    action=action1
    </rule>
    ip src(200.xxx.yyy.0/24, 200.xxx.yyy.0/32,xxx.0.0.0/8) rede de origem
    das requisições aqui eu coloquei os ips da rede interna e externa.
    udp src(any) verifica a origem de qualquer porta udp
    udp content(|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00|) Verifica se na requisição UDP existe a cadei de caracteres

    Ter alguem capaz de "traduzir" para o ISA???


    Obrigado
    quarta-feira, 21 de janeiro de 2009 19:13
  • Ei pessoal, saudações.

    Tb estou tendo problemas com este ultrasurf e lendo todas as mensagens postadas por aqui e por muitos outros sites da internet. Estive pensando na possibilidade da porta local utilizada pelo ultrasurf ser bloqueada ou fazer com que ela esteja de alguma maneira ocupada, desta maneira o software não a utilizaria e consequentemente não funcionaria.
    É possível que o software esteja programado para abrir alguma outra porta, mas seria uma idéia. O que vocês acham?

    Abraços,
    Elder
    terça-feira, 27 de janeiro de 2009 22:10
  • Tente estes: (HTTPS)

    216.13.113.51
    209.234.66.215
    216.13.113.51
    206.195.5.99
    198.93.34.158
    91.189.90.19
    74.125.45.101
    125.142.117.96
    118.91.26.181
    98.203.151.53
    211.109.128.21
    65.54.132.253
    210.171.0.140
    121.158.235.119
    192.86.252.227
    24.23.165.1
    129.59.210.101
    218.75.4.130
    207.97.249.212
    74.125.45.102
    64.62.138.11
    66.0.115.164
    64.62.138.12
    64.62.138.26
    65.161.114.23
    192.175.191.35
    74.125.45.113
    194.35.219.182
    207.35.11.17

     

     

    DNS:

    161.150.197.252
    128.42.5.4
    134.48.1.32
    138.238.156.22
    138.9.1.22
    152.1.1.22
    152.17.239.1
    199.249.18.1
    207.126.96.162
    207.217.126.41
    210.144.5.163

     

     

    Fazendo um breve levantamento no Tracker do CP aqui identifiquei que o Ultra Surf realiza uma conexão DNS (TCP/UDP 53) com alguns servidores e posteriormente acessa estes servidores via HTTPS (TCP 443)

     

    Não levantei todos, mas inicialmente dá para filtrar e ter uma base das redes. Vou levantar outros no decorrer da semana e posto aqui.

    quinta-feira, 29 de janeiro de 2009 18:21
  • Olá Carlos,

     

    Eu não observei se são os mesmos ips, mas vi que são muitos endereços e hosts diferentes, sendo que alguns dominios se repetem com muita frequencia e mesmo bloqueando esses dominios só há como bloquear se vc negar acesso https para internet.

    Mas é sempre bom postar nossas observações e acharmos uma maneira para bloquear esses programas.

    sexta-feira, 30 de janeiro de 2009 11:42
  • Ola povo,

    Seguinte, andei lendo tudo e resolvi dar minha contribuicao.

    Sou supervisor de TI da faculdade onde estudo e consegui algum progresso na batalha contra o UltraSurf.

    Para bloquear o UltraSurf usei as GPOs do Active Directory. Ao inves de usar regras de hash, que ja vimos que da muito trabalho, utilizei duas formas.

    Primeiro, criamos uma lista branca de aplicativos permitidos. Exemplos: Excel.exe; Winword.exe; AcroRd.exe; Calc.exe; mmc.exe; e por ai vai... A lista e grandinha, quem quiser, posso enviar depois.

    Segunda regra e a mais importante, criar uma regra de caminho proibindo o usuario de rodar aplicativos na sua pasta pessoal.
    A regra deve ficar assim:

    %USERPROFILE%\*\*.exe
    %USERPROFILE%\Desktop

    Assim, proibe o usuario espertinho de rodar qualquer executavel a partir da area de trabalho ou do perfil do usuario. Sendo um usuario limitado, se ele tentar criar uma pasta em outro local, recebera aviso de acesso negado.

    Se ele tentar renomear o UltraSurf para Calc.exe (exemplo) nao conseguira rodar. Mesmo que ele coloque o verdadeiro Calc.exe (liberado por whitelist), nao rodara fora da pasta correta do calc.exe, que e a ...\Windows\...

    Espero que consigamos vencer a batalha.

    ps.: Desculpem a falta de acento, que estou no meu outro emprego onde usamos linux (blergh) e tive que acessar meu pc via conexao remota pra poder postar, mas com isso, perdi os acentos. Linux e Limitado.

    sexta-feira, 6 de fevereiro de 2009 06:51
  • Boas Fabiano.

    Você exatamente meu perfil de ambiente, será que pode me enviar a lista Branca para que eu posso acertar meu AD.

    Desde ja agradeço e me parece mesmo esta a melhor forma de bloquear este programa.

    Valeu.
    Manoel Faria da Silva Jr. Analista de Tecnologia da Informação
    quarta-feira, 11 de março de 2009 14:35
  • Olá Manoel, 

    Quanto à lista, seria interessante você criar uma própria em seu ambiente, já que os softwares não são os mesmos, exceto Calc, excel, winword, mmc...

    Andei pensando e cheguei a conclusão que não adianta compartilhar a lista branca de aplicativos, já que pode acontecer de você usar uma versão diferente do mesmo programa e, sendo assim, o hash será diferente também.

    Não esqueça da regra de caminho, ela que ajudou bastante.

    Sem contar que não permiti o usuário de rodar o prompt e outros atalhos do Windows.

    Qualquer dúvida, mandae!
    sexta-feira, 13 de março de 2009 12:24
  • Pessoal,

    na boa, o objetivo do forum é de ajuda-los a resolver algum problema relacionado ao produto. se continuar assim sem moderação, daqui a pouco voces estao postando serial pirata pra instalção dos produtos.

    se voces sabem bular algum mecanismo de bloqueio, mérito de voces. Nao utilizem do Forum Technet para divulgar esse tipo de informação.

    É possivel fazer varios de bloqueios, porem nenhum é definitivo, justamente pelo fato de pessoas que nao tem o que fazer e ficam burlando com essas porcarias de software, gerando mais trabalhao para gente. Paciencia......
    Bruno Cesar Silva - ITCentral.com.br - AndersonPatricio.org
    quarta-feira, 18 de março de 2009 14:35
  • Aqui tá bloqueado

    1 - no firewall do gateway liberar somente portas TCP necessarias: 25, 110, 53, 5900, etc ...
    2 - não liberar  portas 443 e 80 que são de navegação na web
    3 - a navegação na web será através da porta do proxy no gateway
    4 .este proxy estará bloqueando ultrasurf através de regras baseadas em url e usando o opendns configurado para bloquear
    5 - bloquear o forward de TODAS as portas TCP que não foram liberadas anteriormente

    pronto, sem porta 80 e 443 e com todas as outras bloqueadas nem ultrasurf , nem nenhum outro aplicativo conecta , a não ser que seja liberada conexão via proxy pra ele.





    Prezado, dá pra explicar melhor isso. Não entendi muito bem.
    sexta-feira, 17 de abril de 2009 00:35
  • Consegui bloquear... infelizmente se eu postar aqui vão os "burladores" vão ler e desbloquear...

    Então, fico disponível para ajudar por e-mail

    valeu!
    terça-feira, 12 de maio de 2009 19:43
  • Oi Renato,
    Tem como você me mandar a resolução desse problema por email
    suporte@colegiodamas.com.br

    Desde já obrigado!
    quarta-feira, 27 de maio de 2009 18:40
  •  

    Boa tarde a todos!

     

    Pessoal preciso da ajuda de vocês, aqui na empresa eu utilizo o Isa 2000 para acesso de internet e bloqueio de sites indevidos, bem, tem um pessoal que está burlando meu Proxy com o uso do programa ultrasurf, tenho vários sites bloqueados, esse programa burla meu Proxy, pior, ele não registra no log do Isa o acesso daquela maquina os sites que está sendo acessados.

     

    Se alguém tiver uma solução para esse problema, ficarei grato.

     

    Obrigado.
    Vejam so tenho uma faculdade com mais de 80 computadores e meu pesadelo esse ultra suf
    Pois todas as regras foram furada.
    o tunel com a porta 443 arrembentou tudo
    mais tenho uma solução
    e cansativo pois tenho que analizar todos os link  na porta 443 que quero libera
     o logica é bem simples
    bloquear a porta 443 e libera alguma na medida que for precisando.
    eu uso squid
    #echo  laboratorio 3
    #iptables -I FORWARD -s 192.10.5.0/255.255.255.240 -p tcp --dport 443 -j DROP
    #for URL in `grep -v "^#" /etc/https.w4`; do
    # iptables -I FORWARD -s 192.10.5.0/255.255.255.240 -p tcp --dport 443 -d $URL -j ACCEPT
    #done
    espero ter ajudado
    quinta-feira, 4 de junho de 2009 23:14
  • galera problema resolvido
    muito simples, basta instalar o BLOKFREE
    E colocar o nome dele na lista de bloqueio,
    mas tem que ser em todos os PC´S que voçê quer.
    facil de instalar e de usar tambem, e dificio de desbloquear
    espero ter ajudado
    valeullllllllll
    sábado, 13 de junho de 2009 03:24
  • Brother eu gostaria de testar o seu ultra surf, uma vez que a empresa trouxe profissionais de fora para bloquear o uso do mesmo.

    Vamos ver se o seu pode ser uilizado por aqui fico aguardando a cópia.

    t.b.silva@hotmail.com

    Atenciosamente.
    sexta-feira, 24 de julho de 2009 13:11
  •  

     

    Assumi uma rede faz duas semanas; entre as surpresinhas que encontrei está esse tal de Ultrasurf;  inutilitário este que simplesmente inutilizou o firewall e suas regras.

     

    Infelizmente o Firewall não está sob meu controle, senão já teria bloqueado a porta 443.

     

    Felizmente temos na nossa rede um antivírus que me permite filtrar os pacotes criptografados nas estações com o gerenciador do antivírus no servidor. Aparentemente está resolvido.

     

    Quanto aos sites HTTPS a única coisa que aconteceu é que o usuário é forçado a instalar o certificado, e só;

     

    Outra coisa interessante é que devido ao antivírus “explodir” com alertas de segurança o log de segurança enche e ai o protozoario ops... perdão, o prezado usuário é obrigado a me chamar para limpar o log senão ele simplesmente não consegue fazer logon no computador; ai eu boto a maior pressão, claro.  

     

    Estava relutante a dizer o nome do antivírus, mas ai vai: Kaspersky 6.0.

     

    • Editado GRojas. _ segunda-feira, 17 de agosto de 2009 18:18
    domingo, 16 de agosto de 2009 02:11
  • Eae Peter78 blz??
    Cara achei um programinha q barra esse ultrasurf, o nome dele é interapp....é facil de usar....
    espero ter ajudado...

    Abraço
    sexta-feira, 9 de outubro de 2009 23:53
  • Pessoal;

    A solução que eu usei para bloquear esta praga foi a seguinte:

    Bloqueei o tráfego na porta 443 para algumas redes de Taiwan, que é onde os "servidores" de ultrasurf se conectam:

    66.245.0.0/16

    118.0.0.0/8

    122.0.0.0/8

    123.0.0.0/8

    125.0.0.0/8

    218.0.0.0/8

    59.104.0.0/15

    219.0.0.0/8

    59.0.0.0/8

    114.0.0.0/8

    65.49.0.0/17

    187.9.92.0/24

    69.29.0.0/16

    122.125.0.0/16

    66.51.0.0/16

    60.28.0.0/16

    Até que saia uma nova versão (a atual é a versão 9.5) que conecte-se em outras redes, este bloqueio está funcionando normalmente.

    Abs.

    quinta-feira, 15 de outubro de 2009 16:53
  • Caros Srs. bom dia.

    Lí todos os comentários, e faço algumas considerações:

    - como já foi dito há muitos anos atrás, "para tornar um computador seguro, desligue da rede!"
    - administrar uma rede não é simplesmente proibir o acesso dos usuários a tudo, pois nossa função é propiciar o acesso de forma segura, e não impedir;
    - creio ser direito do usuário a utilização de ferramentas como pendrive, pois se não caímos na frase anterior;

    Minha contribuição:
    Após pesquisar o tráfego na rede, detectamos que o ultrasurf ao ser inicializado abre em média mais de 20 conexões HTTPs.
    Limitamos o número de conexões HTTPs por IP de origem em 10.
    Proibimos conexão HTTPs para IPs sem DNS reverso.
    Alguns sites foram bloqueados indevidamente, Ex: suporte da oracle, página de compra da TAM, etc.

    Até o momento, aparentemente, está funcionando.

    Espero ter ajudado.
    sexta-feira, 16 de outubro de 2009 12:53
  • Fiz um breve artigo sobre como bloquear o ultra surf usando o GPO no AD.

    Caso não use AD pode usar a police local e fazer a mesma configuração.

    Comigo funcionou e acabou o pesadelo do ultrasurf

    http://hernaneac.spaces.live.com/blog/cns!C978AD9F4FABB67A!304.entry
    quarta-feira, 21 de outubro de 2009 12:16
  • Caros,

    Para quem usa proxy é bem simples bloquear o Ultrasurf. Basta bloquear a porta 443 para toda a rede e liberá-la apenas para o IP do Proxy. Pronto, está bloqueado... Agora, se não usa proxy aí complica bastante...
    quinta-feira, 22 de outubro de 2009 13:01
  • A solução apresentada pelo camarada Hermane parece bem legal, ainda não testei, mas é um caso a se pensar.

    Já a do camarada Emiliano complica um pouco, pois a porta 443 é usada demais. As máquinas ficam sem email, sem banco, sem uma vastidão imensa de serviços que usam HTTPS:443; Não funciona, já testamos na faculdade...
    quinta-feira, 22 de outubro de 2009 18:04
  • Fabiano,

    A solução que eu propus funciona perfeitamente, e tenho ela funcionando em alguns clientes. Email não usa a porta 443, acesso a bancos e outros serviços são feitos através do proxy, cujo IP está liberado para a navegação na porta 443. A solução é simples e completamente funcional.
    sexta-feira, 23 de outubro de 2009 15:54
  • Fabiano,

    A solução que eu propus funciona perfeitamente, e tenho ela funcionando em alguns clientes. Email não usa a porta 443 (usa a 25, 110, 465, 993, 995 se não me falha a memória, dependendo o nível de segurança implementado), acesso a bancos e outros serviços são feitos através do proxy, cujo IP está liberado para a navegação na porta 443. A solução é simples e completamente funcional.
    sexta-feira, 23 de outubro de 2009 17:09
  • Fabiano,

    A solução que eu propus funciona perfeitamente, e tenho ela funcionando em alguns clientes. Email não usa a porta 443 (usa a 25, 110, 465, 993, 995 se não me falha a memória, dependendo o nível de segurança implementado), acesso a bancos e outros serviços são feitos através do proxy, cujo IP está liberado para a navegação na porta 443. A solução é simples e completamente funcional.
    sexta-feira, 23 de outubro de 2009 17:10
  • Sim, sabemos que emails usam estas portas, exceto a 993 que eu desconheço e faltou a 587, porém estas portas só funcionam se utilizar gerenciador de emails, totalmente inviável numa faculdade.

    Web (https) é 443. Se bloquear esta porta numa faculdade, ninguém mais acessa Gmail, Hotmail, Yahoo, Ig, Bol, Globo... Ou seja, o mundo acaba.

    Já quanto a lberar o IP pelo proxy também não funcionaria numa faculdade, devido à quantidade de IPs dos vários servidores de emails que existem no mundo.
    sexta-feira, 23 de outubro de 2009 17:40
  • Fabiano,

    Creio que você não está entendendo a solução proposta. Não estou falando de liberar IP's no proxy. Uma coisa é o proxy, outra coisa é o firewall. É no firewall que faremos os bloqueios. Bloquearemos todos os IPs da rede interna de navegar pela porta 443 e liberaremos apenas o IP do Proxy para navegar pela porta 443. Com o proxy navegando pela porta 443, todos os serviços web que usem a 443 e estiverem liberados no proxy serão acessados normalmente pelos usuários.
    sábado, 24 de outubro de 2009 12:45
  • Olá Peter!
    Olá todos!

    Fiz um procedimento bem simples. Pode ser aplicado tanto localmente ou remotamente por intermédio scripts e até mesmo com as ferramentas dos gloriosos  Mark Russinovich e Bryce Cogswell, o PsTools...
    Localmente, o processo é feito da seguinte forma:
    Lembrando que também é possível manipular permissões em chaves do regedit...executei o ultrasurf, abri o regedit e pesquisei por 9666. Entre outros path que não me interessavam encontrei: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] com o parâmetro da seqüência "ProxyServer" alterado para "172.0.0.1:9666" como de esperado.
    Depois de fechado o ultrasurf e ainda com o regedit aberto, tecle em F5 para atualizar os dados do path [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] - notem que as configurações no parâmetro alterado voltaram como de antes - agora de um clique com o botão direito do mouse diretamente na chave "Internet Settings" e, em seguida com o botão esquerdo em permissões no menu pop-up que se abriu. Personalize-as conforme sua necessidade - sal/açúcar a gosto.
    Uma dica, pessoal: tenho vários usuários que por questões de aplicação, necessitam estar no grupo de administradores. Isso em nada interfere, já que tenho um usuário administrador. Acrescentando meu usuário como full control (não altere a conta SYSTEM), e apenas leitura para os grupos administradores, usuários e afins, tudo funciona perfeitamente. Não esquecendo é claro de deixar apenas os direitos do usuário administrador (novamente não mexa na conta SYSTEM) em ferramentas de administração de sistema (como por exemplo "mmc.exe", "msconfig.exe", "cacls.exe", "SubInACL.exe" entre muitas outras), e dar uma geral com o "gpedit.msc"...

    OBS.: o ultrasurf ainda assim lançará a falsa mensagem no rodapé "Successfully connected to server!", muito embora não será possível a alteração na chave de registro (levando em consideração as permissões adotadas na chave, é claro) e veja que o IE não mais é executado logo em seguida como acontece de acordo com as configurações padrão do ultrasurf, já que o mesmo não tem permissão para isso. Surpresa e doce ilusão quando o ousário abrir manualmente o IE, pois no instante em que tentar acessar a página proibida, receberá a mensagem de bloqueio do firewall...

    OBS2: observe que o path da chave de registro inicia com [HKEY_CURRENT_USER...], o que significa que o processo feito foi apenas no usuário atual!!! Caso haja muitos usuários no mesmo equipamento, se torna interessante a criação de um script.

    OBS3: não esqueça de adotar medidas de segurança para Firefox através do arquivo "userChrome.css", caso contrário, o usuário pode pode acrescentar/alterar as configurações de enredeço de proxy e porta facilmente!!!

    Ok pessoal!
    Até mais...
    • Sugerido como Resposta Brow sábado, 13 de novembro de 2010 21:59
    sexta-feira, 6 de novembro de 2009 15:03
  • Computadores que por algum motivo não recebem as GPOs; computadores que não fazem parte do domínio mas estão conectados à rede; usuários que por alguma razão precisam de acesso administrativo, etc.

    são inumeras as possibilidades que permitem ações indevidas e a burla das regras.

    por isso optamos simplesmente por fechar a porta 443; forçar o acesso pela porta 3128 e criar um grupo de endereços HTTPS permitidos.

    Temos projetos para tocar entre outras missões então não da pra ficar correndo literalmente atrás de gente que não tem o que fazer e lhe sobra tempo para encontrar mil e uma formas de burlar as regras.

    Filtramos pacotes encriptados nas estações com o KAV.

    O resto foi com o Aker Firewall.

    Foi fim de papo(pelo menos por enquanto).

    quarta-feira, 18 de novembro de 2009 23:46
  • Eu acredito que por hash não da certo, já vi gente alterando o codigo do programa para tentar acessá-lo, e o programa funcionou perfeitamente bem. =/
    Esse UltraSurf da um trabalhão....
    terça-feira, 1 de dezembro de 2009 18:54
  • Amigo,

    Acho que a sua proposta é a mais simples e funcional de ser aplicada......

    Vou descrever aqui e você me informa se é isso mesmo que estou pensando.....
    Você bloqueou o acesso de todos os usuários na porta 443 e só liberou no proxy essa porta...portanto...quando utilizado o programa para acessar um site ele pega a porta 443 o qual é bloqueada antes de chegar no proxy.....
    Assim ele teria que utilizar a configuração do proxy para acessar o site...( não podendo burlar utilizando o Ultra Surf )....
    É mais ou menos isso??????

    pode me responder no meu e-mail???

    mengaodabs@gmail.com
    domingo, 10 de janeiro de 2010 18:46
  • No post anterior estou descrevendo o que o Enio Antonio realizou como procedimento no dia sexta-feira, 6 de novembro de 2009 15:03.

    Poderia entrar em contato????

    mengaodabs@gmail.com
    domingo, 10 de janeiro de 2010 18:49
  • O Cara do CPD daqui fez uma regra de hash e realmente funcionou e bloqueou o Ultra-Surf de todo mundo ... porém infelismente eu sou programador e peguei o arquivo u.exe compilado e abri ele em hexa decimal ... foi meio pank o trabalho que eu fiz , mas funcionou ... Agora quando abri o meu ultra-surf ao executar ele imediatamente se transforma no Avast , ou seja se bloquearem o Avast eu fico sem o ultra-surf ... Só que aí a rede inteira fica sem o Avast tbm ... mas se realmente fizerem isto eu transformo ele no AVG , no Excell ... e assim por diante ...

     

    quem quiser uma cópia do meu ultra-surf multante basta postar seu e-mail aqui.

     

    t+

    Deixe-me entender,

    O ultraSurf o acesso é criptografado para a net?
    É desta segurança que estou precisando contra bisbilhoteiros.

    Artur de Souza Aragão - Consultor de TI e Segurança
    segunda-feira, 22 de fevereiro de 2010 14:03
  • Ainda essa briga com UltraSurf?

    Vez ou outra baixo umas versões ou alterações do ultra surf e faço testes, simplesmente não funciona.

    Aqui nem se comenta mais o assunto.

     

    sexta-feira, 16 de abril de 2010 21:03
  • Bloqueia a porta 443(HTTPS) pelo menos para  grupo de usuários padrão. para os usuários privilegiados não precisa mesmo.

    Cria uma exceção para os sites HTTPS permitidos.

    Direciona o tráfego da tua rede em direção à Internet pela porta 3128.

    Basicamente isto acaba com a possibilidade de trafego encriptado pelo firewall. a menos que você permita. todo o trafego é forçado pela porta 3128 e ninguem consegue disfarçar um acesso https se passando por http, por exemplo.

    Com esta regra o ultra surf não é único que deixa de dar trabalho.

    Já descobri uma maneira de abir uma brecha, mas é obvio que não conto e a rapazeada ta batalhando para conseguir, e pelo que vejo está difícil, até porque é mesmo difícil.

     

    sexta-feira, 16 de abril de 2010 21:38
  • As soluções aplicadas nas estações de trabalho só se aplicam às que estão sob controle absoluto, em ambientes como o meu, isso é limitado. tem computadores que não fazem parte do domínio e precisam acessar a internet. ex. tercerizadas; notebooks pessoais, fornecedores, etc.

    enfim, a solução definitiva seja qual for tem que estar no firewall.

    sexta-feira, 16 de abril de 2010 21:50
  • Meu caro,

     

    O grande problema é que programas como ultra surf e outros burladores é que sempre estão alterando seus ips, então não da pra ter uma lista fixa.

    O que vc pdoe tentar é verificar em qual porta o ultra surf se comunidade do cliente para o ISA.

    quinta-feira, 22 de abril de 2010 13:34
  • Bloqueia direto no hash no AD!
    sexta-feira, 30 de abril de 2010 21:47
  • Revivendo esse tópico, administro uma rede em uma empresa com mais de 60 computadores, todos Windows XP, sendo o nosso gateway de Internet baseado no Windows Server 2008.

    Encontrei diversos problemas ao tentar bloquear o Ultra Surf. Bloquear por Harsh é inútil para o usuário mais experiente visto que ele pode ser facilmente alterado. Além do mais, há outras versões mais novas e alternativas e ficar atrás disso tudo é muito dispendioso. O Ultrasurf funciona da seguinte forma:

    Ele cria um proxy local 127.0.0.1 e redireciona o tráfego do IE para ele... Depois disso ele baixa uma lista de proxies de várias fontes diferentes, e uma lista de IP gigantesca que está em constante atualização... Não tem jeito, essa lista é atualizada a cada minuto, inclusive, se por algum motivo ele não conseguir conectar a essa lista... Ele baixa um arquivo do Google Docs com outras listas... São centenas de IP. O programa é utilizado para burlar o grande Firewall Chinês... Ou seja.. é muito eficiente.

    Dentre as soluções mais eficazes aqui na empresa foram 2 justas causas, após diversas advertências, os usuários aqui são fanáticos por Orkut e jogos online, porém é proibido pelas regras da empresa, inclusive, 1 desses funcionários, abriu o computador, conseguiu reinstalar o Windows e rompeu os lacres de garantia da Dell para instalar o próprio Windows resetando a BIOS e tendo acesso ao boot via CD. Absurdo? Sim! Justa causa? Também!

    No início, eu fazia uso do OpenDNS para filtrar um pouco do conteúdo, mas OpenDNS é inútil por inúmeros motivos, depois criei política de restrição para DNS de sites que queria bloquear como Orkut, Facebook, ImperiaOnline etc. Tudo isso pode ser facilmente inutilizado com o Ultrasurf.

    Agora, com o ISA Server 2006, está TUDO bloqueado, somente os sites que eu permitir são acessados em todas as estações, se alguém precisa acessar um site específico no qual não tenha acesso, essa pessoa me envia um e-mail dentro da empresa me informando o site e eu decido se deixo ou não(Site mais requisitado é o do Globo Esporte, também bloqueado). Há uma whitelist segura de todos os sites permitidos, dá muito menos trabalho do que ficar correndo atrás do "errado, ilegal" pois desses há muitos. Ultrasurf não funciona dessa forma, nem nenhum outro programa proxy, muito menos máquinas fora do AD, problema resolvido, rede segura. Nosso link de Internet funciona bem melhor agora com as bobagens de fora, inclusive, temos menos problemas com vírus e todos podem acessar a Internet para fins profissionais sem problemas.

    Engraçado que parte dos funcionários me odeiam agora... Fazer o que ?

    sexta-feira, 28 de maio de 2010 04:41
  • NITZERO

     

    então você conseguiu bloquear o ULTRASURF com o ISA Server 2006?

    e como você conseguiu? posta ae pra mim cara.

     

    abraços


    quarta-feira, 2 de junho de 2010 18:44
  • Oi Renato,
    Tem como você me mandar a resolução desse problema por email
    camposhj@gmail.com
    Desde já obrigado!
    quarta-feira, 25 de agosto de 2010 23:08
  • Caros

     

    Revivendo o Tópico..

     

    Este bloqueio, eu diria que, baseado em "firewall", em um local, onde vc não tem controle sobre os micros que utilizam a internet, é praticamente impossível..

    Lhes digo... na faculdade.. "tudo bloqueado".. ligamos o notebook... abrimos o ultrasurf.. e voalá.. tudo liberado..

    abrimos programas de torrent..e voalá.. matamos a internet ^^

     

    Sou gerente de TI, administro diversas empresas.. e temos parceria com uma empresa que vende um produto completo de firewall.

    Já passei por mais de 5 empresas de firewall's, e até hoje, NENHUMA delas tem controle sobre a navegação pelo ultrasurf.

    nitzero.. se vc conseguiu esta façanha... pense na possibilidade de comercializar essa solução.. pois aqui pelo RS, nenhuma empresa de Firewall's tem essa solulção ..!

    Só digo que o ultrasurf é ninja demais... e até hoje, não encontrei nenhuma solução para este problema. Em empresas, sempre sugerimos para avisarem os usuários que mau uso da internet, causará justa causa.. fazendo todos os funcionarios assinarem um termo.. e pronto.

    Porém.. administradores de TI de Faculdades, ou similares.. é pouco provável que consigam uma solução..

    Abraços

    quarta-feira, 15 de setembro de 2010 17:40
  • Infelizmente nao conheco o profundamente ISA 2000

    Apenas do 2004 para cima

    mas por q vc nao implementa a politica de lista branca.

    libera apenas sites especificos.

    vou baixar esse ultrasurf e posto depois se ele consegue passar pelas minhas politicas de seguranca do ISA 2006.

    Abracos

    quinta-feira, 16 de setembro de 2010 12:04
  • Graças isso não funciona em todos, mas, pelo menos, deixá-los facilmente conectar a computadores que usam esse arquivo, se alguém sabe de outro método para completar este método seria muito aprecio poderia publicar a colocar em prática, saudações e obrigado pela vossa ajuda
    terça-feira, 19 de outubro de 2010 00:21

  • Pra quem usar servidor proxy no controle de acessos essa é a melhor e eficaz opção. Deu certinho pra mim, pois utilizo o squid na minha rede.

    Valeu GRAAAAAAAAAAAAADE Enio!

    sábado, 13 de novembro de 2010 22:05