Cara Blok UltraSurf di Squid atau IPTables?
Indra Gunawan
Rekan-rekan, mohon maaf jika sebelumnya sudah pernah dibahas. Ada yang
pernah menemukan solusi gak bagaimana caranya melakukan blok terhadap
aplikasi UltraSurf (http://www.ultrareach.com/) melalui IPTables atau
Squid? Apakah memungkinkan?
Solusi yang saya temukan salah satunya dengan menginstall aplikasi
Anti-UltraSurf
(http://blog.zemana.com/2009/01/zemana-anti-ultrasurf.html), namun
kekurangannya aplikasi ini harus diinstall di masing-masing client.
Melakukan block port 9666 (yang digunakan UltraSurf) tidak berpengaruh
karena ini hanya port local yang digunakan sistem operasi untuk
berkomunikasi dengan UltraSurf. Sedangkan UltraSurf sendiri menggunakan
port 443 (HTTPS) untuk berkomunikasi keluar yang tujuannya selalu
berubah-rubah. Kebanyakan sih ke free proxy server yang berada di Asia.
Mohon Bantuannya
Indra Gunawan
i
sharing pengalaman...
saya share speedy di proxy pasangi squid.
saya pasangi juga lightsquid untuk memantau kalau2 ada website2 yg perlu saya tambahin ke acl yg di blok.
di record lightsquid keliatan ada client yg sering masuk ke banyak IP aneh dengan port 443.
apa dia pakai ultrasurf? atau semacamnya? atau aktifitas virus?
saya ga tau. tapi daftar IP nya saya masukin ke acl yg di blok juga
besoknya, daftar IP dgn port 443 itu menghilang...
kalau keliatan di lightsquid lagi, blok lagi saja.
Indra Gunawan
> sharing pengalaman...
> saya share speedy di proxy pasangi squid.
> saya pasangi juga lightsquid untuk memantau kalau2 ada website2 yg
> perlu saya tambahin ke acl yg di blok.
> di record lightsquid keliatan ada client yg sering masuk ke banyak IP
> aneh dengan port 443.
> apa dia pakai ultrasurf? atau semacamnya? atau aktifitas virus?
> saya ga tau. tapi daftar IP nya saya masukin ke acl yg di blok juga
> besoknya, daftar IP dgn port 443 itu menghilang...
> kalau keliatan di lightsquid lagi, blok lagi saja.
prosesnya manual ya? Dengan terus melihat log IP mana yang (kemungkinan)
dijadikan jalur oleh UltraSurf.
Nah, ada satu info lagi di situs ini:
http://jonsnetwork.com/2009/01/blocking-ultrasurf-with-a-sonicwall-application-firewall/
Kutipannya:
"Ultrasurf uses "140300000101" for SSL ehlo messages. If you can block
this signature with the your firewall you can block ultrasurf."
hal ini bisa diimplementasikan menggunakan IPTables gak? Dan satu lagi
di bagian komentar artikel tersebut:
ada tulisan ini:
"this method is wrong. Every SSL/TLS connection has this number. This
will block every legal SSL&TLS connections."
apakah memang benar demikian?
Indra Gunawan
i
>
> Lightsquid itu report generatornya ya? Apa bedanya dengan SARG? Berarti
> prosesnya manual ya? Dengan terus melihat log IP mana yang (kemungkinan)
> dijadikan jalur oleh UltraSurf.
>
> Lightsquid itu report generatornya ya?
--- Ya
>Apa bedanya dengan SARG?
--- Sama cuman lightsquid lebih baik reportingnya...
lightsquid dijalankan periodik pakai cron. kalau sewaktu2 mau liat
bisa juga, jalan kan saja cron nya saat itu. dapat report lightsquid
terakhir.
dikutip dari: http://masrifqi.web.id/wp/?p=46
"Bagi yang belum tau apa itu lightsquid, lightsquid adalah proxy squid
analizer yang berbasis web, atau lebih tepatnya tools yang digunakan
untuk menganalisa log dari user yang menggunakan squid kita yang
datanya diambil oleh lightsquid dari squid (access.log), instalasi
dari lightsquid ini juga relatif mudah dengan fitur2 yang lumayan,
untuk informasi fitur2 yang ada di lightsquid silahkan berkunjung ..."
contoh hasil monitoring http://tinyurl.com/nsf2u8
OedhA
kan ada settingan P2P
CMIIW
~E~
Indra Gunawan
> jika pake opendns bisa nggak om ?
> kan ada settingan P2P
>
Kita sudah pake OpenDNS dan sekarang saya mau test pake setingan OpenDNS
Proxy/Anonymizer di centang!
nanti saya kabari hasilnya ...
Indra Gunawan
Indra Gunawan
Content Filtering nya!
Thank's
Indra Gunawan
OedhA
> Pake OpenDNS sukses bro! Tinggal centang aja setting Proxy/Anonymizer di
> Content Filtering nya!
>
> Thank's
kalo saya disini routernya clarkconnect.....ditambah opendns juga
hehehe....maklum om...sekolahan
regards;
~E~
artanto, bayu
kalo saja isa di di blok dengan DNS sendiri :D
misal :
http://wiki.flexion.org/SettingUpDNSMasq.html
dengan contoh :
http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext
http://www.debian-administration.org/articles/535
:D
--
---------------------------------------------
bayu - mandriva - other Linux at http://bayuart.wordpress.com
(linux bukan *buntu aja)
personal - http://bayu.blitar.org
Lutfi
>
> kalo saja isa di di blok dengan DNS sendiri :D
> misal :
>
>
> http://wiki.flexion.org/SettingUpDNSMasq.html
> dengan contoh :
> http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext
>
> http://www.debian-administration.org/articles/535
>
Ultrasurf bs di blok dr squid + iptables
Taon lalu pernah gue tulis
Coba cari di blog gue deh
--
Get "Ubuntu Server Guide" inside your Ubuntu desktop:
Help and Support -> Advanced Topics -> Installing Server Applications
[http://rippingthepenguin.blogspot.com]
Indra Gunawan
> Ultrasurf bs di blok dr squid + iptables
> Taon lalu pernah gue tulis
> Coba cari di blog gue deh
>
Tapi saya jadi ada pertanyaan lain, apa memang pada dasarnya (secara
global) alamat tujuan yang tidak bisa diresolve hostnamenya itu dapat
diasumsikan sebagai "ancaman"? Apa konfigurasi ini bermasalah dengan
layanan e-banking yang ada di Indonesia?
Indra Gunawan
i
Indra Gunawan
>
> ada comment dengan link ini?
> worth try?
>
> http://aio.alloperator.com/2008/07/block-ultrasurf/
>
Loh, ini kan sama persis dengan cara mas Lutfi:
http://rippingthepenguin.blogspot.com/2008/04/blocking-ultrasurf.html
Indra Gunawan
i
ooops. ternyata sama ya.
saya tadi malam ngobrol dengan rekan (chat via hamachi) ngomongin ini.
setingan buat ultrasurf ternyata efektif. setingan http://www.your-freedom.net/ juga bisa di blok.
nah, ada satu yg susah, yaitu jondo. https://www.jondos.de/en/jondonym
bagaimana ngatasinya?
Lutfi
>
> Ya, kalo mengacu pada thread, solusi mas Lutfi ini yang paling tepat :D.
> Tapi saya jadi ada pertanyaan lain, apa memang pada dasarnya (secara
> global) alamat tujuan yang tidak bisa diresolve hostnamenya itu dapat
> diasumsikan sebagai "ancaman"? Apa konfigurasi ini bermasalah dengan
> layanan e-banking yang ada di Indonesia?
>
> Indra Gunawan
>
Kuncinya: ip yg nggak bs diresolv dan pake https
Efeknya, skype akan ke blok juga :-D
Indra Gunawan
>
> ooops. ternyata sama ya.
> saya tadi malam ngobrol dengan rekan (chat via hamachi) ngomongin ini.
> setingan buat ultrasurf ternyata efektif. setingan
> http://www.your-freedom.net/ juga bisa di blok.
> <http://s.de/en/>*jondo*nym
>
> bagaimana ngatasinya?
>
Laporan dari lapangan :D, yang jondos ini kalo lewat OpenDNS udah ke
block kok. Screenshot di attachment.
Indra Gunawan
artanto, bayu
cuman mo komen aja... (menurut pengalaman)
opendns kalo saya pake, agak lemot...
karena opendns server ada di luar...
dengan demikian, pake dns bawaan ISP, jika tidak bermasalah masih jadi andalan
bisa juga nantinya kalo buat jaga2 gk mau di salahin dari pihak isp
dan dengan dns dari isp, pasti responnya lebih cepet daripada ke
opendns, coz masih 1 network
ada pilihan lagi, pake dns awari. tapi kita belom isa manage kaya opendns.
jadine pilihan tetep bikin pake dnsmasq. untuk dns server/cache dan di
gabungin dengan yang sudah ada.
level manage lebih ok. klien cuman dikasih alamat dns kita sendiri.
jadi menurut saya lebih powerfull lah :D (setingan sama persis replay
email saya diatas)
iptables sama squid juga gitu, lebih baik isa di manage sendiri.
sekalian biar tambah pinter, coz belajar dan belajar lagi :D
Indra Gunawan
Hash: SHA1
OedhA wrote:
>
> syukur deh .....
> kalo saya disini routernya clarkconnect.....ditambah opendns juga
> hehehe....maklum om...sekolaha
Waduh, Ralat!!!
Ternyata masih tembus walau pake OpenDNS. Yang keblock itu situsnya,
tapi aplikasinya sendiri gak bisa keblock. Solusi sementara yang saya
pake dikantor akhirnya ngeblock semua koneksi SSL keluar kecuali yang
dibutuhkan saja.
- --
*Indra Gunawan | Feedsbrain*
http://www.indragunawan.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
iEYEARECAAYFAko8bJgACgkQZyqnpGpjGNRsGACfYlZNLpzMEl8dJgI/Lw8wQMAZ
EAYAn2/ruvUT0LAYd7dmNBgzQf5UzBPN
=ChEi
-----END PGP SIGNATURE-----
i
>
> Waduh, Ralat!!!
>
> Ternyata masih tembus walau pake OpenDNS. Yang keblock itu situsnya,
> tapi aplikasinya sendiri gak bisa keblock. Solusi sementara yang saya
> pake dikantor akhirnya ngeblock semua koneksi SSL keluar kecuali yang
> dibutuhkan saja.
>
apa nih? janda eh jondo apa ultrasurf? tolong di perjelas. trims.
Willy Permana
> Salam,
>
> Rekan-rekan, mohon maaf jika sebelumnya sudah pernah dibahas. Ada yang
> pernah menemukan solusi gak bagaimana caranya melakukan blok terhadap
> aplikasi UltraSurf (http://www.ultrareach.com/) melalui IPTables atau
> Squid? Apakah memungkinkan?
>
Mas Lutfi pernah menulis tentang ultrasurf ini
http://rippingthepenguin.blogspot.com/2008/04/blocking-ultrasurf.html
http://rippingthepenguin.blogspot.com/2009/03/blocking-ultrasurf-2.html
Atau tanya langsung sama orangnya? :D
Indra Gunawan
apa nih? janda eh jondo apa ultrasurf? tolong di perjelas. trims.
Indra Gunawan
Hash: SHA1
Indra Gunawan wrote:
> UltraSurf :( masih tembus pake OpenDNS. Akhirnya saya ambil langkah
> primitif, masukin satu-satu ip yang diakses sama UltraSurf untuk di
> DROP di iptables.
Kesimpulannya begini:
Ternyata langkah memblok dengan OpenDNS tidak ampuh. Saya sendiri
heran, karena waktu hari pertama nyoba konfigurasi ini berhasil, tapi
besoknya lagi dicoba kok masih bisa tembus? Ada beberapa kemungkinan:
1. Belum seluruh alamat Anonymous Proxy yang digunakan UltraSurf
terdaftar di OpenDNS.
2. OpenDNS bukan solusi tepat untuk tujuan ini karena UltraSuft
tidak meresolve hostname dari Anonymous Proxy server yang dituju.
Tapi sebenarnya masih banyak langkah "radikal" untuk melakukan blok
terhadap aplikasi UltraSurf, berikut diantaranya yang sudah saya coba:
Menggunakan aplikasi Anti-UltraSurf
<http://blog.zemana.com/2009/01/zemana-anti-ultrasurf.html>
Kelebihan:
* Efektif melakukan blok terhadap koneksi UltraSurf. Berfungsi
seperti firewall lokal, tetapi hanya untuk memblok satu aplikasi
(UltraSurf) saja.
Kekurangan:
* Harus diinstall di setiap client, artinya akun client juga harus
diproteksi tidak boleh uninstall aplikasi tersebut. Beri akses
Limited Account untuk seluruh client dan install aplikasi ini
melalui account Computer/Domain Admins.
Menggunakan Cara Mas Lutfi
<http://rippingthepenguin.blogspot.com/2008/04/blocking-ultrasurf.html>
Kelebihan:
* Cuma perlu IPTables dan Squid yang dikonfigurasi untuk memblok
seluruh koneksi HTTPS ke IP Address yang hostnamenya tidak bisa
diresolve.
Kekurangan:
* Tidak dapat diimplementasikan dengan Transparent Proxy, setiap
client harus dikonfigurasi untuk menuju Squid.
* Menurut keterangan Mas Lutfi, Skype juga jadi ikutan ke blok.
Hasil Racikan Sendiri
Aplikasi UltraSuft menggunakan port 443 (HTTPS) untuk tunneling dan
kita tidak bisa memblock (secara total) port ini karena banyak sekali
layanan di internet yang menggunakan port ini termasuk webmail dan
e-banking.
Karena saya ingin tetap menggunakan Transparent Proxy, akhirnya
langkah yang saya ambil untuk menangani hal ini adalah:
* Melakukan konfigurasi seperti pada cara Mas Lutfi, namun tetap
membiarkan client menggunakan Transparent Proxy.
* Melakukan Masquarade port 443 hanya ke situs-situs yang
digunakan untuk operasional perusahaan seperti layanan webmail,
e-banking, dsb.
* Sisa port yang lain di IPTables tetap di block.
Untuk langkah pertama, aplikasi UltraSurf tetap bisa terhubung ke
servernya, namun jika anda coba mengakses situs apapun, maka usaha
tersebut akan gagal.
Dua langkah terakhir menyebabkan UltraSurf tidak dapat menghubungi
servernya. Tapi dengan mengambil langkah ini, kita akhirnya menjadi
mengambil cara yang repot :D bukan cara sederhana lagi :D
CMIIW
- --
*Indra Gunawan | Feedsbrain*
http://www.indragunawan.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
iEYEARECAAYFAko9CkwACgkQZyqnpGpjGNRJfgCcCjLdKbtqzyXAXWGdqigwljKm
KQcAoJi0akxFOt6JMypYnQ5gz5jBElDT
=xTBZ
-----END PGP SIGNATURE-----
i
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Indra Gunawan wrote:
>> UltraSurf :( masih tembus pake OpenDNS. Akhirnya saya ambil langkah
>> primitif, masukin satu-satu ip yang diakses sama UltraSurf untuk di
>> DROP di iptables.
> Kesimpulannya begini:
mas indra..
saya punya list IP yang kayaknya positif hasil generate ultrasurf...
dimasukin saja ke acl yg di blok.
hasilnya? sukses (sementara ini).
(modal copy paste dari report generator IP yg ber port 443)
kayaknya ada sih pattern nya. mungkin bisa di subnet mask.
kalau hari2 kedepan muncul lagi, ya blok lagi... cape deh.
Indra Gunawan
Hash: SHA1
i wrote:
> mas indra..
> saya punya list IP yang kayaknya positif hasil generate ultrasurf...
> dimasukin saja ke acl yg di blok.
> hasilnya? sukses (sementara ini).
> (modal copy paste dari report generator IP yg ber port 443)
> kayaknya ada sih pattern nya. mungkin bisa di subnet mask.
> kalau hari2 kedepan muncul lagi, ya blok lagi... cape deh.
Ok, terima kasih. Saya masukan ke list ... :D
- --
*Indra Gunawan | Feedsbrain*
http://www.indragunawan.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
iEYEARECAAYFAko+0EIACgkQZyqnpGpjGNSL6ACeM5PscvSPJbNSvm4N/57gkxmi
TD0An1PJUv2tuFo0AWeW4DzJID0qveXM
=N4H1
-----END PGP SIGNATURE-----
