O funcionamento do HTTP-Tunnel é basicamente instalar um servidor proxy local no cliente que direciona os pedidos via https para um server fora da rede do client. Como é criptografado, o proxy não tem como "ver" as urls e portas que estão sendo solicitadas por dentro do tunel.A grande sacada desse cara é que ele autentica no proxy para efetuar o tunelamento, isso não deixa suspeitas nos logs, pois é autenticado.
Mas podemos evitar que se estabelece a conexão e bloquear as urls que fazem esse tunelamento.
Vamos criar o arquivo que terá as urls solicitadas pelo HTTP-Tunnel:
# vi /etc/squid/http-tunnel
Conteúdo do arquivo http-tunnel:
^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/Update.htm$
.\/login\/FetchProtocolVersion2\.htm$
^cachenetwork\.net.
^akamatech\.net.
^googlesyndicati0n\.com.
No Squid, vamos criar a ACL:
acl http-tunnel url_regex "/etc/squid/http-tunnel"
http_access deny http-tunnel
Reinicie e serviço:
# squid -k reconfigure
Importante lembrar que você deve estar com suas regras de firewall em dia, não permitindo qualquer saída das portas 80, 443 portas utilizadas por proxy. Lembre-se que deve permitir que os computadores da rede interna somente acessem a porta de um proxy se o destino for o ip do seu próprio proxy.
O UltraSurf já é mais fácil, pois se seu firewall não permite acesso 80,443 sem consultar seu proxy, já está resolvido. O UltraSurf também tem configuração de proxy, mas não tem de autenticação ainda. Caso seu proxy peça login/senha, já está resolvido, se não, é importante pensar em habilitar autenticação.
Nenhum comentário:
Postar um comentário