[eside-ghost] Bloquear proxys anónimos
Jon Ander Ortiz
jonbaine en gmail.com
Mie Feb 3 16:45:27 CET 2010
Iepas!!
Lo que pasa con el ultrasurf y otro tipo de ponzoña similar, es que
salen por el squid de turno, por lo que lo que comentais de bloquear
los puertos de salida menos el 80 y el 443 no vale, porque salen por
el 443.
Si salen por tu squid, puedes bloquear el connect a donde manden estos
bichos sus peticiones. (Ántes de establecer la conexión SSL se manda
un CONNEC <ip o url:puerto> ), lo que pasa es que si son un poco
avanzados o jodidos, seguro que van rotando de día en día, pero bueno,
como primera medida no está mal:
http_access deny CONNECT [ACL con URL-IP donde van las conexiones ssl
o puerto del ultrasurf]
Otra cosa sería hacer SslBump (soportado por el squid:
http://wiki.squid-cache.org/Features/SslBump) , pero no se si vale
para hacer webfilter, ni si hace falta meter un servidor ICAP por el
medio, aquí ya tendrías que montar un jaleo importante, e igual con lo
de arriba ya te vale.
Un saludete!
Jonan
2010/2/3, Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
> yo estoy con la opción de capar los puertos y dejar solo los que
> realmente utilices, por lo menos hasta que puedas proximizar las
> conexiones.
>
> otra cosa, si utilizas un sniffer, como el netshark, aunque esté la
> conexión cifrada no te aparece el puerto de escucha?
>
> Julian Ladron de Guevara Agudo.
> julian.ldguevara en gmail.com
>
> El 03/02/2010, a las 12:55, Bardok <bardok en gmail.com> escribió:
>
>> Buenas,
>>
>> tengo un problema en el cole en el que trabajo... he quitado el acceso
>> de los alumnos a páginas que no tienen que ver en el colegio
>> (facebook, tuenti, etc.) en horario lectivo (las aulas de ordenadores
>> se descontrolan si los alumnos pueden entrar en las páginas).
>>
>> Pero, he conseguido darme cuenta de que están usando un Proxy anóni
>> mo
>> (Ultrasurf) que utiliza túneles cifrados para realizar conexiones qu
>> e,
>> en principio, no pueden detectarse "a simple vista".
>>
>> Hasta que metamos un proxy de verdad en el cole (el anterior
>> responsable de sistemas no tenía ninguno puesto), no puedo realizar
>> el
>> filtrado en condiciones, pero no sé si alguien conoce cómo parar los
>> píes a esa aplicacioncilla (por lo que he estado investigando, es to
>> da
>> una obra de arte...), tanto antes, como después de tener un proxy de
>> verdad...
>>
>> Un abrazo!
>>
>> Bdk
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
Más información sobre la lista de distribución eside-ghost