Pessoal,
Como todos já sabem, existe hoje na internet inúmeros programas e sites que burlam os bloqueios que nós administradores fazemos com o intuito de melhorar a utilização do nosso link de internet.
A mais nova dor de cabeça dos administradores é o filho do capeta UltraSurf.
Um colega meu estava possuído por esse filho do cão e me pediu uma ajuda.
Como um bom baiano que sou e bom conhecedor das mandingas do terreiro de Pai Pupuca lá em Salvador. Rsrsrsrsrsrsrs! Pedi ajuda aos orixás e a resolução pra mim foi mais simples do que pensava.
Após uma análise do tráfego que o ultrasurf fazia, verifiquei que o mesmo tenta fazer a primeira conexão na porta 443, depois na 554 e caso não consiga nessas duas portas, ele parte pra uma porta alta aleatória (de 1024 a 65535). Além de manter um tráfego UDP todo o tempo para vários endereços para controle.
Bom, com essa análise, apenas fiz o bloqueio da porta TCP/443 (Libero apenas para os sites de banco e alguns poucos sites que utilizamos). Será necessário ajuste fino para liberação de vários sites que utilizam o HTTPS. (Paciência, é a vida)
Fiz o bloqueio da porta TCP/554, não conheço nenhum serviço que utilize esta porta por padrão.
Finalmente fiz o bloqueio de todo o tráfego UDP saindo da minha rede, com exceção do meu servidor DNS interno, pois é o único que tem necessidade desse tipo de tráfego.
Pra mim funfou legal galera! Qualquer coisa testem ai e me falem.
OBS: Todas as modificações foram feitas no IPTABLES.
sexta-feira, 27 de janeiro de 2012
Assinar:
Postagens (Atom)