[eside-ghost] Bloquear proxys anónimos
Iñigo Garcia
igarmer en gmail.com
Mie Feb 3 18:49:41 CET 2010
El tema del proxy local se utiliza mucho en empresas para portatiles de
consultores, a los cuales quieres limitar el acceso a ciertas páginas pero
que se conectan cada vez a una red y no puedes limitarles a salir siempre
por el mismo proxy de tu red.
Si en las políticas del proxy local limitas las conexiones permitidas y
tienes una black list en condiciones con los distintos proxys, no pueden
hacer uso de otro proxy externo como son aquellos a los que se conecta
ultrasurf.
El 3 de febrero de 2010 18:47, Fernando de Urien y Muñiz <
zefe en rigel.deusto.es> escribió:
> Holas,
>
> Esto… al final esto no es lo mismo que tener un proxy de red?
>
> Vamos, que si el ultrasurf luego va a inyectar el tráfico vía el proxy
> local que has instalado en el pc, tampoco es que ganes nada ¿no?
>
>
>
> Yo creo que con un dansguardian+squid y una lista de ip’s malditas podrías
> hacer mucho mucho dolor a estos jóvenes navegantes. Del mantenimiento de
> esas listas, hay grupos en internet que se dedican a mantenerlas al día y
> bien actualizadas.
>
>
>
> Zefe
>
>
>
>
>
> *De:* eside-ghost-bounces en listas.deusto.es [mailto:
> eside-ghost-bounces en listas.deusto.es] *En nombre de *Iñigo Garcia
> *Enviado el:* miércoles, 03 de febrero de 2010 18:28
>
> *Para:* Lista de eside-ghost
> *Asunto:* Re: [eside-ghost] Bloquear proxys anónimos
>
>
>
> Yo creo que la mejor solución es meterles un proxy local en todos los
> equipos. Si limitas la conexión a un proxy específico, no van a tardar nada
> en conectarse a otro proxy de otra URL. Es pan para hoy y hambre para
> mañana.
>
> La solución es instalar un proxy local como servicio de Windows que sólo el
> administrador es capaz de tirar.
> Yo la solución que conozco es Blue Coat (De pago, pero seguro que hay
> libres). Esta solución instala un proceso en windows denominado Blue Coat
> Service Proxy en cada pc cliente, el cual limita las páginas visitadas
> (incluyendo otros proxys). Las políticas de acceso se asignarán me imagino
> que vía red para todos los pcs.
> Aquí o tiras el proceso como root o no te ajustas a las limitaciones
> implementadas por el proxy local.
>
> El 3 de febrero de 2010 18:25, Fernando de Urien y Muñiz <
> zefe en rigel.deusto.es> escribió:
>
> Iepa Bardok!
> Qué guapo! :-D pelearte con macarras juveniles!
> Esto es honor y un "por mis güevos os va a funcionar, los del gobierno
> chino
> son unos angelitos al lado de Bardok... "
>
> Viendo que tienes un DC de Windows me gusta la solución que propone un
> fulano por internet:
>
> >>The port un UltraSurf is 9666 on localhost, and the software is using
> this
>
> >>as a proxy it is injecting into the IE on the fly. This equates to a
> >>website called http://Ultra1
>
> >>One way of controlling the program, I have found so far, is to place
> ultra1
> >>in the Restricted Zone in Internet Options / Security / Restricted Sites
> of
> >>IE. Go to Custom Level and set all items to Disable or High Safety except
> >> Popup Blocker.
>
>
> Ajustas esto desde el DC y luego quitas a los usuarios los permisos para
> modificar las opciones de IE. (si necesitas guía espiritual para hacer
> esto,
> me silbas)
>
> Creo que con esto sería suficiente y podrás hacer un "Muuuuuajajajajaja!"
> (y
> con suerte alguno se plantea que esto mola y que el ordenador sirve para
> algo más que para facebokear al personal)
>
> Nos vemos!! (qué thread tan animado! :) )
>
> Zefe
>
>
>
> > -----Mensaje original-----
> > De: eside-ghost-bounces en listas.deusto.es [mailto:eside-ghost-
> > bounces en listas.deusto.es] En nombre de Iñaki Moreno Fernández
> > Enviado el: miércoles, 03 de febrero de 2010 17:57
> > Para: Lista de eside-ghost
> > Asunto: Re: [eside-ghost] Bloquear proxys anónimos
>
> >
> > que fw tienes instalado también?
> >
> >
> > El 03/02/2010, a las 17:33, Bardok escribió:
> >
> > > Gracias por las soluciones... como dicen por ahí, salen por el puerto
> > > 443, así que poca historia... lo de capar la instalación de soft, el
> > > tema es que no hace falta instalar nada, lo ejecutan desde un
> > > pendrive, se lo mandan por email y lo ejecutan en el propio
> > > escritorio, o cualquier cosa...
> > >
> > > A ver si con el proxy, cuando lo tenga puesto en breve (un squid), se
> > > puede hacer algo... el tema es que me da que para capar los connect,
> > > voy a tener que dejar una máquina todo el rato accediendo a través
> > del
> > > ultrasurf, y luego hacer un análisis de a ver a qué sitios se ha
> > > conectado. El tema es que, como dicen por ahí, está diseñado para
> > > saltarse la censura China, y eso no va a ser tan sencillo caparlo...
> > > al final tendré que decir al director del centro que ponga una
> > > normativa por la cual, utilizar en los ordenadores del cole soft no
> > > autorizado sea falta grave y motivo de apertura de expediente... ¡a
> > > ver quién es el guapo que acaba con mi censura entonces! :D
> > >
> > > He visto por ahí que otra opción puede ser tener un antivirus que
> > > reconozca el programa, e impida su ejecución... hemos comprado unas
> > > licencias nuevas para el cole, a ver si se puede hacer eso, lo veré
> > > cuando lo instale...
> > >
> > > Un abrazo y gracias por las aportaciones!
> > >
> > > Bdk
> > >
> > > 2010/2/3 Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
> > >> y caparles la intalacion de soft? XD muerto el chucho se acabo la
> > rabia
> > >>
> > >> Julian Ladron de Guevara Agudo.
> > >> julian.ldguevara en gmail.com
> > >>
> > >> El 03/02/2010, a las 16:45, Jon Ander Ortiz <jonbaine en gmail.com>
> > >> escribió:
> > >>
> > >>> Iepas!!
> > >>>
> > >>> Lo que pasa con el ultrasurf y otro tipo de ponzoña similar, es que
> > >>> salen por el squid de turno, por lo que lo que comentais de
> > bloquear
> > >>> los puertos de salida menos el 80 y el 443 no vale, porque salen
> > por
> > >>> el 443.
> > >>>
> > >>> Si salen por tu squid, puedes bloquear el connect a donde manden
> > estos
> > >>> bichos sus peticiones. (Ántes de establecer la conexión SSL se
> > manda
> > >>> un CONNEC <ip o url:puerto> ), lo que pasa es que si son un poco
> > >>> avanzados o jodidos, seguro que van rotando de día en día, pero
> > buen
> > >>> o,
> > >>> como primera medida no está mal:
> > >>>
> > >>> http_access deny CONNECT [ACL con URL-IP donde van las conexiones
> > ssl
> > >>> o puerto del ultrasurf]
> > >>>
> > >>> Otra cosa sería hacer SslBump (soportado por el squid:
> > >>> http://wiki.squid-cache.org/Features/SslBump) , pero no se si vale
> > >>> para hacer webfilter, ni si hace falta meter un servidor ICAP por
> > el
> > >>> medio, aquí ya tendrías que montar un jaleo importante, e igual con
> > >>> lo
> > >>> de arriba ya te vale.
> > >>>
> > >>> Un saludete!
> > >>> Jonan
> > >>>
> > >>>
> > >>> 2010/2/3, Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
> > >>>> yo estoy con la opción de capar los puertos y dejar solo los que
> > >>>> realmente utilices, por lo menos hasta que puedas proximizar las
> > >>>> conexiones.
> > >>>>
> > >>>> otra cosa, si utilizas un sniffer, como el netshark, aunque esté
> > la
> > >>>> conexión cifrada no te aparece el puerto de escucha?
> > >>>>
> > >>>> Julian Ladron de Guevara Agudo.
> > >>>> julian.ldguevara en gmail.com
> > >>>>
> > >>>> El 03/02/2010, a las 12:55, Bardok <bardok en gmail.com> escribió:
> > >>>>
> > >>>>> Buenas,
> > >>>>>
> > >>>>> tengo un problema en el cole en el que trabajo... he quitado el
> > >>>>> acceso
> > >>>>> de los alumnos a páginas que no tienen que ver en el colegio
> > >>>>> (facebook, tuenti, etc.) en horario lectivo (las aulas de
> > >>>>> ordenadores
> > >>>>> se descontrolan si los alumnos pueden entrar en las páginas).
> > >>>>>
> > >>>>> Pero, he conseguido darme cuenta de que están usando un Proxy a
> > >>>>> nóni
> > >>>>> mo
> > >>>>> (Ultrasurf) que utiliza túneles cifrados para realizar conexione
> > >>>>> s qu
> > >>>>> e,
> > >>>>> en principio, no pueden detectarse "a simple vista".
> > >>>>>
> > >>>>> Hasta que metamos un proxy de verdad en el cole (el anterior
> > >>>>> responsable de sistemas no tenía ninguno puesto), no puedo
> > realizar
> > >>>>> el
> > >>>>> filtrado en condiciones, pero no sé si alguien conoce cómo parar
> > >>>>> los
> > >>>>> píes a esa aplicacioncilla (por lo que he estado investigando, e
> > >>>>> s to
> > >>>>> da
> > >>>>> una obra de arte...), tanto antes, como después de tener un prox
> > >>>>> y de
> > >>>>> verdad...
> > >>>>>
> > >>>>> Un abrazo!
> > >>>>>
> > >>>>> Bdk
> > >>>>> _______________________________________________
> > >>>>> eside-ghost mailing list
> > >>>>> eside-ghost en listas.deusto.es
> > >>>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >>>> _______________________________________________
> > >>>> eside-ghost mailing list
> > >>>> eside-ghost en listas.deusto.es
> > >>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >>>>
> > >>> _______________________________________________
> > >>> eside-ghost mailing list
> > >>> eside-ghost en listas.deusto.es
> > >>> https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >> _______________________________________________
> > >> eside-ghost mailing list
> > >> eside-ghost en listas.deusto.es
> > >> https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >>
> > > _______________________________________________
> > > eside-ghost mailing list
> > > eside-ghost en listas.deusto.es
> > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> > Iñaki Moreno Fernández
> > inmoren en euskalnet.net
> >
> >
> >
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en listas.deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20100203/743602ae/attachment-0001.htm
Más información sobre la lista de distribución eside-ghost