[eside-ghost] Bloquear proxys anónimos

Fernando de Urien y Muñiz zefe en rigel.deusto.es
Mie Feb 3 18:47:34 CET 2010 

Holas, 

Esto… al final esto no es lo mismo que tener un proxy de red?

Vamos, que si el ultrasurf luego va a inyectar el tráfico vía el proxy local
que has instalado en el pc, tampoco es que ganes nada ¿no?

 

Yo creo que con un dansguardian+squid y una lista de ip’s malditas  podrías
hacer mucho mucho dolor a estos jóvenes navegantes. Del mantenimiento de
esas listas, hay grupos en internet que se dedican a mantenerlas al día y
bien actualizadas.

 

Zefe

 

 

De: eside-ghost-bounces en listas.deusto.es
[mailto:eside-ghost-bounces en listas.deusto.es] En nombre de Iñigo Garcia
Enviado el: miércoles, 03 de febrero de 2010 18:28
Para: Lista de eside-ghost
Asunto: Re: [eside-ghost] Bloquear proxys anónimos

 

Yo creo que la mejor solución es meterles un proxy local en todos los
equipos. Si limitas la conexión a un proxy específico, no van a tardar nada
en conectarse a otro proxy de otra URL. Es pan para hoy y hambre para
mañana.

La solución es instalar un proxy local como servicio de Windows que sólo el
administrador es capaz de tirar. 
Yo la solución que conozco es Blue Coat (De pago, pero seguro que hay
libres). Esta solución instala un proceso en windows denominado Blue Coat
Service Proxy en cada pc cliente, el  cual limita las páginas visitadas
(incluyendo otros proxys). Las políticas de acceso se asignarán me imagino
que vía red para todos los pcs. 
Aquí o tiras el proceso como root o no te ajustas a las limitaciones
implementadas por el proxy local.

El 3 de febrero de 2010 18:25, Fernando de Urien y Muñiz
<zefe en rigel.deusto.es> escribió:

Iepa Bardok!
Qué guapo! :-D pelearte con macarras juveniles!
Esto es honor y un "por mis güevos os va a funcionar, los del gobierno chino
son unos angelitos al lado de Bardok... "

Viendo que tienes un DC de Windows me gusta la solución que propone un
fulano por internet:

>>The port un UltraSurf is 9666 on localhost, and the software is using this

>>as a proxy it is injecting into the IE on the fly. This equates to a
>>website called http://Ultra1

>>One way of controlling the program, I have found so far, is to place
ultra1
>>in the Restricted Zone in Internet Options / Security / Restricted Sites
of
>>IE. Go to Custom Level and set all items to Disable or High Safety except
>> Popup Blocker.


Ajustas esto desde el DC y luego quitas a los usuarios los permisos para
modificar las opciones de IE. (si necesitas guía espiritual para hacer esto,
me silbas)

Creo que con esto sería suficiente y podrás hacer un "Muuuuuajajajajaja!" (y
con suerte alguno se plantea que esto mola y que el ordenador sirve para
algo más que para facebokear al personal)

Nos vemos!! (qué thread tan animado! :)  )

Zefe



> -----Mensaje original-----
> De: eside-ghost-bounces en listas.deusto.es [mailto:eside-ghost-
> bounces en listas.deusto.es] En nombre de Iñaki Moreno Fernández
> Enviado el: miércoles, 03 de febrero de 2010 17:57
> Para: Lista de eside-ghost
> Asunto: Re: [eside-ghost] Bloquear proxys anónimos

>
> que fw tienes instalado también?
>
>
> El 03/02/2010, a las 17:33, Bardok escribió:
>
> > Gracias por las soluciones... como dicen por ahí, salen por el puerto
> > 443, así que poca historia... lo de capar la instalación de soft, el
> > tema es que no hace falta instalar nada, lo ejecutan desde un
> > pendrive, se lo mandan por email y lo ejecutan en el propio
> > escritorio, o cualquier cosa...
> >
> > A ver si con el proxy, cuando lo tenga puesto en breve (un squid), se
> > puede hacer algo... el tema es que me da que para capar los connect,
> > voy a tener que dejar una máquina todo el rato accediendo a través
> del
> > ultrasurf, y luego hacer un análisis de a ver a qué sitios se ha
> > conectado. El tema es que, como dicen por ahí, está diseñado para
> > saltarse la censura China, y eso no va a ser tan sencillo caparlo...
> > al final tendré que decir al director del centro que ponga una
> > normativa por la cual, utilizar en los ordenadores del cole soft no
> > autorizado sea falta grave y motivo de apertura de expediente... ¡a
> > ver quién es el guapo que acaba con mi censura entonces!  :D
> >
> > He visto por ahí que otra opción puede ser tener un antivirus que
> > reconozca el programa, e impida su ejecución... hemos comprado unas
> > licencias nuevas para el cole, a ver si se puede hacer eso, lo veré
> > cuando lo instale...
> >
> > Un abrazo y gracias por las aportaciones!
> >
> > Bdk
> >
> > 2010/2/3 Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
> >> y caparles la intalacion de soft? XD muerto el chucho se acabo la
> rabia
> >>
> >> Julian Ladron de Guevara Agudo.
> >> julian.ldguevara en gmail.com
> >>
> >> El 03/02/2010, a las 16:45, Jon Ander Ortiz <jonbaine en gmail.com>
> >> escribió:
> >>
> >>> Iepas!!
> >>>
> >>> Lo que pasa con el ultrasurf y otro tipo de ponzoña similar, es que
> >>> salen por el squid de turno, por lo que lo que comentais de
> bloquear
> >>> los puertos de salida menos el 80 y el 443 no vale, porque salen
> por
> >>> el 443.
> >>>
> >>> Si salen por tu squid, puedes bloquear el connect a donde manden
> estos
> >>> bichos sus peticiones. (Ántes de establecer la conexión SSL se
> manda
> >>> un CONNEC <ip o url:puerto> ), lo que pasa es que si son un poco
> >>> avanzados o jodidos, seguro que van rotando de día en día, pero
> buen
> >>> o,
> >>> como primera medida no está mal:
> >>>
> >>> http_access deny CONNECT [ACL con URL-IP donde van las conexiones
> ssl
> >>> o puerto del ultrasurf]
> >>>
> >>> Otra cosa sería hacer SslBump (soportado por el squid:
> >>> http://wiki.squid-cache.org/Features/SslBump) , pero no se si vale
> >>> para hacer webfilter, ni si hace falta meter un servidor ICAP por
> el
> >>> medio, aquí ya tendrías que montar un jaleo importante, e igual con
> >>> lo
> >>> de arriba ya te vale.
> >>>
> >>> Un saludete!
> >>> Jonan
> >>>
> >>>
> >>> 2010/2/3, Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
> >>>> yo estoy con la opción de capar los puertos y dejar solo los que
> >>>> realmente utilices, por lo menos hasta que puedas proximizar las
> >>>> conexiones.
> >>>>
> >>>> otra cosa, si utilizas un sniffer, como el netshark, aunque esté
> la
> >>>> conexión cifrada no te aparece el puerto de escucha?
> >>>>
> >>>> Julian Ladron de Guevara Agudo.
> >>>> julian.ldguevara en gmail.com
> >>>>
> >>>> El 03/02/2010, a las 12:55, Bardok <bardok en gmail.com> escribió:
> >>>>
> >>>>> Buenas,
> >>>>>
> >>>>> tengo un problema en el cole en el que trabajo... he quitado el
> >>>>> acceso
> >>>>> de los alumnos a páginas que no tienen que ver en el colegio
> >>>>> (facebook, tuenti, etc.) en horario lectivo (las aulas de
> >>>>> ordenadores
> >>>>> se descontrolan si los alumnos pueden entrar en las páginas).
> >>>>>
> >>>>> Pero, he conseguido darme cuenta de que están usando un Proxy a
> >>>>> nóni
> >>>>> mo
> >>>>> (Ultrasurf) que utiliza túneles cifrados para realizar conexione
> >>>>> s qu
> >>>>> e,
> >>>>> en principio, no pueden detectarse "a simple vista".
> >>>>>
> >>>>> Hasta que metamos un proxy de verdad en el cole (el anterior
> >>>>> responsable de sistemas no tenía ninguno puesto), no puedo
> realizar
> >>>>> el
> >>>>> filtrado en condiciones, pero no sé si alguien conoce cómo parar
> >>>>>  los
> >>>>> píes a esa aplicacioncilla (por lo que he estado investigando, e
> >>>>> s to
> >>>>> da
> >>>>> una obra de arte...), tanto antes, como después de tener un prox
> >>>>> y de
> >>>>> verdad...
> >>>>>
> >>>>> Un abrazo!
> >>>>>
> >>>>> Bdk
> >>>>> _______________________________________________
> >>>>> eside-ghost mailing list
> >>>>> eside-ghost en listas.deusto.es
> >>>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> >>>> _______________________________________________
> >>>> eside-ghost mailing list
> >>>> eside-ghost en listas.deusto.es
> >>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> >>>>
> >>> _______________________________________________
> >>> eside-ghost mailing list
> >>> eside-ghost en listas.deusto.es
> >>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> >> _______________________________________________
> >> eside-ghost mailing list
> >> eside-ghost en listas.deusto.es
> >> https://listas.deusto.es/mailman/listinfo/eside-ghost
> >>
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en listas.deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
>
> Iñaki Moreno Fernández
> inmoren en euskalnet.net
>
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost

_______________________________________________
eside-ghost mailing list
eside-ghost en listas.deusto.es
https://listas.deusto.es/mailman/listinfo/eside-ghost

 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20100203/a4fc5a98/attachment-0001.htm

Más información sobre la lista de distribución eside-ghost