UltraSurf - Bloqueando o Ultrasurf na sua rede

O Ultrasurf é um software da UltraReach Internet Corp. desenvolvido para os chineses burlarem a censura que existe por lá. Acho admirável a iniciativa e os desenvolvedores merecem aplausos. Porém, aqui no mundo capitalista, a ordem é produção, logo, preciso evitar que alguns funcionários gastem seu tempo acessando Orkut e derivados.

O Ultrasurf é inteligente e pequeno, cerca de 100Kb. Ele abre várias conexões pela porta 443 a diferentes sites (proxy) e permite que Orkut ou qualquer página bloqueada pelo Orkut seja acessada.

Temos duas formas de bloquear este carinha. Ou seja, ou você bloqueia todas portas e libera as necessarias ou bloqueia via hash no GPO do Windows 2000, XP, 2003.

Bloqueando pelo Squid

Caso você opte por bloquear pela primeira opção crie uma ACl no squid da seguinte forma:

1. Use a política DROP no Iptables, bloqueando todas as portas e liberando o que era necessário.
2. Fechei o acesso no Squid para todas as conexões SSL que eu não queria liberar, assim:

acl sitesssl url_regex -i "/etc/squid/sitesssl"
http_access deny SSL_ports !sitesssl

No arquivo /etc/squid/sitesssl estão os sites liberados, entre eles, bancos, gmail, hotmail, messenger.
Detalhe: NÃO funciona com proxy transparente.

Para saber se os usuários estão usando o Ultrasurf basta visualizar os relatórios de acesso. Caso apareçam muitas conexões pela porta 443 com um número significativo de IPs (não vai resolver nomes), o usuário está usando o programa.

Bloquenado no GPO do Windows 2000 e 2003

1. Crie uma GPO para configurar apenas este recurso. O nome pode ser, por exemplo, COMPUTADORES: Bloqueio executável Ultrasurf.

2. Edite a GPO atráves do comando GPEDIT.MSC no menu executar do Windows.

3. Na janela de edição da GPO, expanda Configurações do computador -> Configurações do Windows -> Configurações de segurança.

4. Clique com o botão esquerdo do mouse para selecionar Diretivas de restrição de software.

5. Clique com o botão direito em Diretivas de restrição de software e clique em Novas diretivas de restrição de software.

6. Na pasta "Regras adicionais", clique com o botão direito do mouse e selecione "Nova regra de hash...".

7. Na janela "Nova regra de hash", clique no botão procurar e localize o executável do Ultrasurf. Confirme que a opção "Nível de segurança" esteja definida como "Não permitido" e clique no botão Ok para criar a nova regra de hash.

8. Repita os passos 6 e 7 para cada versão do executável do Ultrasurf.

9. Aplique a GPO apenas na Unidade Organizacional que contém os computadores dos usuários.

Infelizmente temos que criar uma nova regra de hash para cada versão do Ultrasurf, pois o hash do executável dele é diferente para cada versão.

Não esqueça as recomendações padrão no trato de GPOs:

• Não altere as GPOs "Default domain policy" ou "Default domain controllers policy".

• Trabalhe com GPOs sempre no nível das Unidades Organizacionais para evitar erros de configuração em outros níveis do domínio.

• 
  
• Aplicada esta regra no Windows e você esteja em um dominio, a regra será aplicada para todo usuário do mesmo.

Bloquenado no GPO do Windows XP

1. Iniciar, executar, gpedit.msc.
   

2. Expanda Configuração do Computador, configurações do Windows, configurações de segurança, Diretivas de restrição de software, regras adicionais.

3. Clicar com o botão direito no lado direito do gpedit, nova regra de Hash, no hash de arquivo procurar o arquivo ou o executável que deseja bloquear, nível de segurança fica na opção não permitido.

• Não esqueça que para cada versão do software, será necessário a criação de uma nova hash.
• Procure sempre manter-se atualizado sobre novas versões deste software.