[eside-ghost] Bloquear proxys anónimos
STenyaK
stenyak en gmail.com
Mie Feb 3 18:59:13 CET 2010
Quitando defenesas tipo man in the middle (porque nunca he investigao
programas pa hacerlo), tb podrias tirar por otra via:
Dado que son todos equipos que deberias poder tener bajo tu mando,
cronéate un script que cada X tiempo:
-Intente hacer login admin a cada cliente
-Si lo consigue:
-Busque en memoria alguna firma binaria identificable del
programa en cuestion, o el .exe directamente, o buscas procesos por
nombres, o lo que sea menos hackeable (en el cole nos pusieron un
capao por nombre de fichero ejecutable y era facilisimo saltarselo,
por ej). Como dicen, podrias tirar de alguna clase de antivirus para
ello, si el sistema operativo (imagino que windowses) no provee formas
mas faciles de hacerlo. Y si lo encuentra, mate el proceso, el .exe
que lo origina y lo que haga falta.
-Si no consigue hacer login:
-Baneas esa ip directamente (previo aviso verbal de que un
cambio de clave de admin implicara un capao), o visitas el host en
cuestion y le restauras la clave).
Con eso yo creo q deberías poder arreglar el tema, si no se me escapa
algun detalle.
Dado que se tratan de equipos bajo tu mando
2010/2/3 Bardok <bardok en gmail.com>:
> Gracias por las soluciones... como dicen por ahí, salen por el puerto
> 443, así que poca historia... lo de capar la instalación de soft, el
> tema es que no hace falta instalar nada, lo ejecutan desde un
> pendrive, se lo mandan por email y lo ejecutan en el propio
> escritorio, o cualquier cosa...
>
> A ver si con el proxy, cuando lo tenga puesto en breve (un squid), se
> puede hacer algo... el tema es que me da que para capar los connect,
> voy a tener que dejar una máquina todo el rato accediendo a través del
> ultrasurf, y luego hacer un análisis de a ver a qué sitios se ha
> conectado. El tema es que, como dicen por ahí, está diseñado para
> saltarse la censura China, y eso no va a ser tan sencillo caparlo...
> al final tendré que decir al director del centro que ponga una
> normativa por la cual, utilizar en los ordenadores del cole soft no
> autorizado sea falta grave y motivo de apertura de expediente... ¡a
> ver quién es el guapo que acaba con mi censura entonces! :D
>
> He visto por ahí que otra opción puede ser tener un antivirus que
> reconozca el programa, e impida su ejecución... hemos comprado unas
> licencias nuevas para el cole, a ver si se puede hacer eso, lo veré
> cuando lo instale...
>
> Un abrazo y gracias por las aportaciones!
>
> Bdk
>
> 2010/2/3 Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
>> y caparles la intalacion de soft? XD muerto el chucho se acabo la rabia
>>
>> Julian Ladron de Guevara Agudo.
>> julian.ldguevara en gmail.com
>>
>> El 03/02/2010, a las 16:45, Jon Ander Ortiz <jonbaine en gmail.com>
>> escribió:
>>
>>> Iepas!!
>>>
>>> Lo que pasa con el ultrasurf y otro tipo de ponzoña similar, es que
>>> salen por el squid de turno, por lo que lo que comentais de bloquear
>>> los puertos de salida menos el 80 y el 443 no vale, porque salen por
>>> el 443.
>>>
>>> Si salen por tu squid, puedes bloquear el connect a donde manden estos
>>> bichos sus peticiones. (Ántes de establecer la conexión SSL se manda
>>> un CONNEC <ip o url:puerto> ), lo que pasa es que si son un poco
>>> avanzados o jodidos, seguro que van rotando de día en día, pero buen
>>> o,
>>> como primera medida no está mal:
>>>
>>> http_access deny CONNECT [ACL con URL-IP donde van las conexiones ssl
>>> o puerto del ultrasurf]
>>>
>>> Otra cosa sería hacer SslBump (soportado por el squid:
>>> http://wiki.squid-cache.org/Features/SslBump) , pero no se si vale
>>> para hacer webfilter, ni si hace falta meter un servidor ICAP por el
>>> medio, aquí ya tendrías que montar un jaleo importante, e igual con
>>> lo
>>> de arriba ya te vale.
>>>
>>> Un saludete!
>>> Jonan
>>>
>>>
>>> 2010/2/3, Julian Ladron D Guevara <julian.ldguevara en gmail.com>:
>>>> yo estoy con la opción de capar los puertos y dejar solo los que
>>>> realmente utilices, por lo menos hasta que puedas proximizar las
>>>> conexiones.
>>>>
>>>> otra cosa, si utilizas un sniffer, como el netshark, aunque esté la
>>>> conexión cifrada no te aparece el puerto de escucha?
>>>>
>>>> Julian Ladron de Guevara Agudo.
>>>> julian.ldguevara en gmail.com
>>>>
>>>> El 03/02/2010, a las 12:55, Bardok <bardok en gmail.com> escribió:
>>>>
>>>>> Buenas,
>>>>>
>>>>> tengo un problema en el cole en el que trabajo... he quitado el
>>>>> acceso
>>>>> de los alumnos a páginas que no tienen que ver en el colegio
>>>>> (facebook, tuenti, etc.) en horario lectivo (las aulas de
>>>>> ordenadores
>>>>> se descontrolan si los alumnos pueden entrar en las páginas).
>>>>>
>>>>> Pero, he conseguido darme cuenta de que están usando un Proxy a
>>>>> nóni
>>>>> mo
>>>>> (Ultrasurf) que utiliza túneles cifrados para realizar conexione
>>>>> s qu
>>>>> e,
>>>>> en principio, no pueden detectarse "a simple vista".
>>>>>
>>>>> Hasta que metamos un proxy de verdad en el cole (el anterior
>>>>> responsable de sistemas no tenía ninguno puesto), no puedo realizar
>>>>> el
>>>>> filtrado en condiciones, pero no sé si alguien conoce cómo parar
>>>>> los
>>>>> píes a esa aplicacioncilla (por lo que he estado investigando, e
>>>>> s to
>>>>> da
>>>>> una obra de arte...), tanto antes, como después de tener un prox
>>>>> y de
>>>>> verdad...
>>>>>
>>>>> Un abrazo!
>>>>>
>>>>> Bdk
>>>>> _______________________________________________
>>>>> eside-ghost mailing list
>>>>> eside-ghost en listas.deusto.es
>>>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>>> _______________________________________________
>>>> eside-ghost mailing list
>>>> eside-ghost en listas.deusto.es
>>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>>>
>>> _______________________________________________
>>> eside-ghost mailing list
>>> eside-ghost en listas.deusto.es
>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
--
Saludos,
Bruno González
_______________________________________________
Msn/Jabber: stenyak AT gmail.com
ICQ: 153709484
http://www.stenyak.com
Más información sobre la lista de distribución eside-ghost