Como bl
HOW TO O Como bloquear o your‐freedom?? Produto: produto: Versão do p Versão do d documento: Data de revisão: Data da pub blicação: Página: Aker Firewall apartir da 6.0 0 odução Intro O you ur-freedom é um u aplicativo que conecta PC’s P a proxies s na internet através a de tun nneis criptografados, libe erando acesso a qualquer siite (ex.: ORKU UT) ou progra ama (ex.: MSN N) que esteja bloqueado no firew wall. Este a aplicativo utiliz za os protocolos HTTP porta 80 (com criptografia), HT TTPS porta 44 43, FTP porta 21, 2 UDP portas p 53, 69,, 123, 162, 50 00, 520,10000 0 e 33440, difficultando seu bloqueio. Este FAQ F demonstrra como bloqu uear a utilizaçã ão do your-fre eedom. Tanto utilizando Prroxy trans sparente, com mo Proxy ativ vo no firewall. Soluç ção Para bloquear b o your-freedom, deve-se d prime eiro habilitar o Proxy transp parente na red de local, após esse passo o é criado duas s regras dentrro dos perfis que q deverão ter t esse aplica ativo bloquead do no menu HTTP. Confo orme mostra a figura abaixo o: Bloqueando esses dois d GET’s e HTTP H (freedom m-servers-192 283746.cgi e info.txt), evita a-se que o clie ente do your-freedom fa aça o downloa ad de informaç ções sobre os servidores prroxies com rellação ao proto ocolo HTTP,, deixando ass sim indisponív veis as conexõ ões com esses s servidores, utilizando u a po orta 80 conforrme mostrra a figura aba aixo, os dema ais protocolos continuam dis sponíveis. Esta figura f é uma tela t de configu uração do clie ente, nessa tela é escolhido qual servidorr o cliente irá se conec ctar e o tipo de e protocolo/po orta que este servidor supo orta, note que e na coluna HT TTP em todos os servid dores tem um “não” informa ando que conexões na portta 80 estão indisponíveis. Porém m, para o protocolo UDP, FT TP e HTTPS as s conexões esttão liberadas. Para bloquea ar esses proto ocolos é nece essária a criaç ção de regras: • • • Liberando o protocolo FTP F porta 21 apenas a para siites/endereços conhecidos, bloqueando todo t o restante; Liberando o protocolo HTTPS H porta 443 4 apenas pa ara sites/endereços conhecidos, bloquean ndo todo o res stante; Bloqueand do as portas UDP U 53, 69, 12 23, 162, 500, 520,10000 e 33440. Perm mitindo apenas so servidor de DNS acessa ar a internet na n porta 53 ou u em caso de utilização u de D DNS externo, Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br 1.0 0 31/08/11 17/01/2008 8 1 de 5 HOW TO O Como bloquear o your‐freedom?? Produto: produto: Versão do p Versão do d documento: Data de revisão: Data da pub blicação: Página: Aker Firewall apartir da 6.0 0 liberar a re ede interna a acessar a porrta 53 apenas s para os ende ereços dos serrvidores de DN NS conhecidos. Impo ortante: para o protocolo UDP U porta 53 (DNS) ( existe uma peculiaridade, liberar apenas o serv vidor DNS a acessar a internet, ou cas so a rede interna consulte um u servidor DNS D externo, liberar esta po orta apena as para os end dereços dos se ervidores de DNS. D As con nfigurações es stão na figura a a seguir: Na re egra no1: Esttá sendo libera ado acesso ao o serviço DNS (UDP 53) ape enas para os e endereços dos s servid dores de DNS que estão na internet, essa a medida evita que o clientte do your-freedom se cone ecte utiliza ando essa portta/protocolo. Na re egra no2: Es stá habilitando o o Proxy transparente para a acesso a inte ernet. Na re egra no3: Es stá sendo liberrado acesso HTTPS H e FTP apenas para os s sites do Ban ndo do Brasil e Gmaill, nessa regra devem ser ad dicionados tod dos os endere eços IP’s dos sites s que nece essitem ser acessados utilizand do o protocolo HTTPS ou qu ue necessitem do serviço FT TP. Na re egra no4: estão sendo blo oqueadas toda as as portas UDP’s que o cliente your-freedom tenta conex xão com os servidores proxies da interne et, e bloqueadas às portas dos d protocolos s HTTPS e FTP P. Com essas e configurrações o cliente your-freedo om não conse egue se conec ctar com nenhum servidor na n intern net, sendo ass sim bloqueado o pelo firewall,, Segue a tela a de configuração do cliente e mostrando que q os protoc colos e portas s foram bloque eados. Note que q nas colun nas HTTP, FTP e UDP existem um “não” e na coluna HT TTPS tem o sinal “?”, signiffica que ele não reconh heceu o protoc colo nos servid dores. Essa janela acima aparece quan ndo é utilizado o o assistente de configuraç ção do cliente your-freedom m, outra maneira de configurar c este e aplicativo é de forma man nual onde é in nformado o no ome/endereço o do servid dor e qual protocolo/porta irá utilizar parra se conectarr a ele. Com as configurações mostradas, indiferente do modo como foi configurado o your-freedom, este não irá funcionar. f Se egue figura ab baixo: Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br 1.0 0 31/08/11 17/01/2008 8 2 de 5 HOW TO O Como bloquear o your‐freedom?? Produto: produto: Versão do p Versão do d documento: Data de revisão: Data da pub blicação: Página: Aker Firewall apartir da 6.0 0 Como o bloquear o Your-Freedo om utilizand do Proxy Ativ vo? Devem m-se criar as mesmas regra as no HTTP, no n perfil que se deseja que o aplicativo se eja bloqueado o. Confo orme a figura abaixo: a Também se devem criar as regra as bloqueando o o FTP e as portas p UDP’s para p evitar con nexão utilizan ndo esses protocolos, conforme a figura abaixo: Na re egra no1: É liiberado o aces sso UDP porta a 53 (DNS) ap penas para os endereços do os servidores de DNS externos. e Na re egra no2: É habilitado h o Prroxy ativo no o firewall Na re egra no3: São o bloqueadas as portas UDP’s e o FTP pa ara evitar cone exão utilizand do este protoc colo/porta, lem mbre-se que deve d ser criad da uma regra acima dessa liberando l os s sites para utilizar estes protocolos/po ortas. Note que q agora não o é mais nece essário bloquear o HTTP, po ois com a conffiguração de P Proxy ativo os o acessos HTTP e HTT TPS chegam primeiramente p e no firewall na n porta 80, em e seguida o p próprio firewa all abre conexões c HTT TPS caso seja solicitado. O you ur-freedom qu uando existe um u Proxy ativ vo configurado, ele se cone ecta no Proxy utilizando a porta p 80 com tráfego crip ptografado, fa azendo com qu ue o firewall não n consiga an nalisar o conte eúdo e por conse eqüência libera a o tráfego, pe ermitindo assim conexão co om os servido ores do proxie es do your-free edom. Para este e problema a ser resolvido o é necessário o o uso do AW WCA (Aker We eb Content Analyzer). Com essa Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br 1.0 0 31/08/11 17/01/2008 8 3 de 5 HOW TO O Como bloquear o your‐freedom?? Produto: produto: Versão do p Versão do d documento: Data de revisão: Data da pub blicação: Página: Aker Firewall apartir da 6.0 0 ferram menta pode-se e bloquear o tráfego t na porrta 80 que esttiver criptogra afado. Para iss so, basta conffigurar no perfil dentro do menu “Anális se de contex xto Web” a opção de “Aceitar as categ gorias selec cionadas abaixo” conforme a figura aba aixo: A ação padrão dess sa opção “Ace eitar as categ gorias seleciionadas abaiixo” é bloquea ar o que não estive er categorizado, ou seja, ind definido, com isso todo tráffego na porta 80 que estive er criptografad do não será possível p categorizar, pois o firewall não vai v entender o que está pas ssando, sendo o assim o firew wall irá blo oquear esta co onexão. Imporrtante, deve ser s configurado no menu HT TTP a opção “categorizar””, conforme a figura abaixo: Outra a Forma de Bloquear B o Your-Freedom Y m Este FAQ F foi confec ccionado durante os meses de Dezembro o de 2007 e Ja aneiro de 2008. Neste perío odo, conforme o próprio o site do your--freedom (ww ww.your-freedo om.net) a qua antidade de se ervidores dispon níveis era de 18 proxies servers. Duran nte esse mês de d testes e pe esquisas foram m encontrados s 19 endereço os IP’s que res spondiam pelo os servid dores. Apenas o servidor “e ems03.your-frreedom.net.de e” apresentou dois endereço os IP’s diferen ntes. O resttante dos serv vidores (ems0 01, 02, 03 ... 18) só respon ndiam por um único endereço IP. Todos s esses 19 end dereços mape eados se manttiveram consta antes durante e esse mês de teste, sendo assim, a outra form ma de bloquea ar esseaplicativoseria criand do uma regra que bloqueie esses endere eços IP’s. Segueabaixo: S • • • • • • • • • • • ems01.you ur-freedom.ne et.de ems02.you ur-freedom.ne et.de ems03.you ur-freedom.ne et.de ems04.you ur-freedom.ne et.de ems05.you ur-freedom.ne et.de ems06.you ur-freedom.ne et.de ems07.you ur-freedom.ne et.de ems08.you ur-freedom.ne et.de ems09.you ur-freedom.ne et.de ems10.you ur-freedom.ne et.de ems11.you ur-freedom.ne et.de - 67.159 9.5.116 193.16 64.133.61 87.98..241.26 e 91.121.10.81 91.121 1.13.62 91.121 1.13.63 81.169 9.143.195 81.169 9.187.111 91.121 1.2.175 85.214 4.73.35 85.214 4.45.170 87.98..217.227 Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br 1.0 0 31/08/11 17/01/2008 8 4 de 5 HOW TO O Como bloquear o your‐freedom?? Produto: produto: Versão do p Versão do d documento: Data de revisão: Data da pub blicação: Página: • • • • • • • ems12.you ur-freedom.ne et.de ems13.you ur-freedom.ne et.de ems14.you ur-freedom.ne et.de ems15.you ur-freedom.ne et.de ems16.you ur-freedom.ne et.de ems17.you ur-freedom.ne et.de ems18.you ur-freedom.ne et.de - 91.121 1.10.82 66.90..104.142 91.121 1.9.81 193.37 7.152.232 67.159 9.5.52 91.121 1.1.185 85.25..147.217 Para a criação da re egra que bloq queia esses en ndereços IP’s é necessário criar c uma entiidade do tipo Máquiina para cada um desses IP P’s, em seguid da cria-se a re egra e adiciona esses enderreços IP’s, ou então, cria-se uma entidade do tipo t Conjunto e relaciona to odos esses en ndereços. Segu ue abaixo a re egra criada a: Impo ortante: Esse modo de bloq queio não é o mais eficaz, pois p os endere eços IP’s são constantemen nte altera ados. Caso seja adicionado um novo serv vidor your-free edom terá que e ter seu IP bloqueado tam mbém, dessa maneira o ad dministrador de d redes deve e ficar constan ntemente obse ervando se ho ouve ou não adição ou o endereço o IP de algum deles. de novos servidores, ou se mudo Portan nto, utilizando o Proxy transp parente ou ativo o your-free edom estará bloqueado. b Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Aker Firewall apartir da 6.0 0 1.0 0 31/08/11 17/01/2008 8 5 de 5
© Copyright 2024