Guia Bloqueo Completo UltraSurf Mikrotik

GUIA PARA EL BLOQUEO COMPLETO DE ULTRASURF EN UNA RED MIKROTIK

QUE ES ULTRASURF? Ultrasurf es un programa de tipo proxy desarrollado por Ultrareach Internet Corporation, para poder navegar por internet “anónimamente” y lograr enmascarar la dirección IP para saltar casi cualquier restricción de acceso establecidas en la red local. Cuando se ejecuta, éste se conecta a sus servidores por medio de conexiones seguras y crea una especie de “VPN” por donde pasará todo el tráfico y a sí burla las censuras impuestas en la red. El firewall solamente tendrá conexiones a una sola dirección, la de UltraSurf, al estar cifrada, no podrá ver qué tipo de tráfico está pasando por ahí, esto nos permite ingresar a páginas no autorizadas o bloqueadas en nuestra región. Es un programa muy famoso en ambientes de universidades, escuelas, empresas privadas, instituciones del gobierno, centros de llamadas y muchos otros lugares donde las personas necesitan ingresar a sitios indebidos o que no han sido autorizados por su administración.

MÁS A FONDO: Ultrasurf, utiliza muchos métodos para conectar con sus servidores y no ser detectado por los sistemas de seguridad. Casi ningún firewall logra intervenir conexiones seguras por lo que es el primer modo que utiliza. Si no logra hallar sus servidores, tratará de localizar sus servidores secundarios. Por último, su táctica es pasar por medio de otros servidores para llegar a su destino, estos serían los que casi nunca están bloqueados o denegados, los de google, amazon, cloudfront, entre otros. Cuando se conecta con el Ultrasurf, se ingresa a una “nube de internet” donde los demás usuarios están en línea y automáticamente, el usuario se vuelve un host y servirá para que otras personas logren su conexión, pasando por la nuestra. Esto compromete seriamente la seguridad de la red, ya que el usuario puede infectarse con cualquier tipo de malware. Como anteriormente mencioné, inicialmente inicialmente se crean conexiones por el puerto TCP 443 para comunicarse con sus servidores primarios y secundarios, luego para encontrar los dominios de uso más común, realiza peticiones DNS, por el puerto UDP 53, incluso intenta obtener las direcciones haciendo solicitudes NBNS, por el puerto UPD 137. Steven Vega Ramírez  –  MTCTCE  stevenvegar   stevenvegar @ gmail.com

San José, Costa Rica Marzo, 2016 2016

1

- SERVIDORES ULTRASURF: Primarios: Están alojados en la compañía CloudFlare, un datacenter que se especializa en dar servicios de proxy similar a UltraSurf. Los bloques de estos servidores son:

104.20.61.0/24

104.20.62.0/24

Secundarios: Provienen de un DataCenter norteamericano llamado CoreSpace, en el que utilizan cientos y cientos de IPs, se han resumido lo más posible, serían los:

63.249.128.0/17 66.34.0.0/16 69.13.0.0/16 216.97.0.0/17

64.182.0.0/16 66.221.0.0/16 209.164.64.0/18 216.221.160.0/19

Terciarios: Se han identificado varios dominios a los que UltraSurf intenta conectarse, pero no poseen la dirección IP, por lo que consultan a nuestro DNS los siguientes nombres:

Google.com Amazonaws.com tfn.net.tw Hinet.net

Steven Vega Ramírez  –  MTCTCE  stevenvegar @ gmail.com

Mail.google.com Cloudfront.net He.net DigitalUnited.nl

San José, Costa Rica Marzo, 2016

2

Gráficamente podemos entender un poco mejor su funcionamiento:

Qué acciones vamos a tomar:

Steven Vega Ramírez  –  MTCTCE  stevenvegar @ gmail.com

San José, Costa Rica Marzo, 2016

3

PROCEDIMIENTO DE BLOQUEO Existen varias formas para impedir que un usuario de la red local no pueda acceder los servidores de UltraSurf, explicaré detalladamente la más efectiva y confiable. Crearemos una “lista de direcciones” estática donde pondremos las direcciones de los servidores primarios llamada “UltraSurf CloudFlare”. Luego haremos otra “lista de direcciones” dinámica, la cual nombraremos “UltraSurf Users Drop” donde recogerá las direcciones de origen cuando se intenten conectar hacia los servidores de “UltraSurf CloudFlare” y se mantendrán en esa lista durante 30 segundos. Seguidamente, establecemos

una regla para que el firewall descarte o “dropee” todas las conexiones que tengan como origen “UltraSurf Users Drop” y con destino “UltraSurf CloudFlare”. Luego, haremos varias reglas para marcar los paquetes que tengan como destino los servidores secundarios, provenientes desde cualquier IP de nuestra LAN, ya que no representan ningún servicio importante o relevante, a estos paquetes les pondremos la marca “UltraSurf”. Después de esto, haremos una regla para descartar todos los paquetes que contengan la marca “UltraSurf”. Finalmente, descartaremos todo el tráfico DNS, puerto UDP 53, en ambos sentidos de la “lista de direcciones” “UltraSurf Users Drop” y así denegamos sólo por 30 segundos la navegación del usuario. Adicionalmente podemos establecer una “lista de direcciones” donde ingrese n todas las

direcciones IP que hayan intentado conectarse a “UltraSurf CloudFlare”, pero  no especificar tiempo de descarte, así quedará marcada y el administrador de red sabrá quienes son los usuarios que intentan burlar y sobrepasar la seguridad de la red. Con esta configuración, los usuarios que intenten usar UltraSurf, se quedarán sin navegación solamente 30 segundos, porque estaríamos denegando su acceso al puerto DNS y no podrán resolver el nombre de ningún dominio. Los demás servicios o aplicaciones que se comuniquen por otros puertos, no se verán afectados durante esos 30 segundos, siempre y cuando no les afecte el cambio de proxy local que hace el UltraSurf. Ha sido probado más de 100 veces consecutivas con el mismo resultado, con varias versiones del programa, a la fecha de Marzo 2016. Cualquier consulta adicional, puede contactarme por medio de correo. Espero que esta guía le sirva a alguien que necesite hacer este procedimiento en una red, también para demostrar que los dispositivos Mikrotik son los mejores. Saludos desde San José, Costa Rica.

Steven Vega Ramírez  –  MTCTCE  stevenvegar @ gmail.com

San José, Costa Rica Marzo, 2016

4

SCRIPT PARA EL BLOQUEO DE ULTRASURF /ip firewall address-list add address=104.20.61.0/24 list="UltraSurf CloudFlare" add address=104.20.62.0/24 list="UltraSurf CloudFlare" /ip firewall filter add action=add-src-to-address-list address-list="UltraSurf Users Drop" address-listtimeout=30s chain=forward comment="UltraSurf Users Drop" dst-address-list="UltraSurf CloudFlare" add action=add-src-to-address-list address-list="UltraSurf Users" chain=forward comment="UltraSurf Users" src-address-list="UltraSurf Users Drop" add action=drop chain=forward comment="Drop UltraSurf CloudFlare" dst-addresslist="UltraSurf CloudFlare" add action=drop chain=forward comment="Drop UltraSurf CoreSpace" packetmark=UltraSurf add action=drop chain=forward comment="Drop UltraSurf Users" port=53 protocol=udp src-address-list="UltraSurf Users Drop" /ip firewall mangle add action=mark-packet chain=prerouting comment="CoreSpace UltraSurf" dstaddress=63.249.128.0/17 new-packet-mark=UltraSurf add action=mark-packet chain=prerouting dst-address=64.182.0.0/16 new-packetmark=UltraSurf add action=mark-packet chain=prerouting dst-address=66.34.0.0/16 new-packetmark=UltraSurf add action=mark-packet chain=prerouting dst-address=66.221.0.0/16 new-packetmark=UltraSurf add action=mark-packet chain=prerouting dst-address=69.13.0.0/16 new-packetmark=UltraSurf add action=mark-packet chain=prerouting dst-address=209.164.64.0/18 new-packetmark=UltraSurf add action=mark-packet chain=prerouting dst-address=216.97.0.0/17 new-packetmark=UltraSurf add action=mark-packet chain=prerouting dst-address=216.221.160.0/19 new-packetmark=UltraSurf

Steven Vega Ramírez  –  MTCTCE  stevenvegar @ gmail.com

San José, Costa Rica Marzo, 2016

5

Listas de direcciones, IPs CloudFlare, IPs Usuarios UltraSurf:

Filtro de Firewall denegando las conexiones a los servidores de UltraSurf

Firewall Mangle, marcando los paquetes hacia los servidores UltraSurf CoreSpace

Resultado

Steven Vega Ramírez  –  MTCTCE  stevenvegar @ gmail.com

San José, Costa Rica Marzo, 2016

6