Bende Deniz ile ayni fikirdeyim, bunlari PC uzerinde kontrol etmek daha kolay, belki NAC cozumu ile integre olarak.


        Serhat

---- This email is intended for the named recipient only. It may contain information which is confidential, commercially sensitive, or copyright. If you are not the intended recipient you must not reproduce or distribute any part of the email, disclose its contents, or take any action in reliance. If you have received this email in error, please contact the sender and delete the message. It is your responsibility to scan this email and any attachments for viruses and other defects. To the extent permitted by law, Zurich and its associates will not be liable for any loss or damage arising in any way from this communication including any file attachments. We may monitor email you send to us, either as a reply to this email or any email you send to us, to confirm our systems are protected and for compliance with company policies. Although we take reasonable precautions to protect the confidentiality of our email systems, we do not warrant the confidentiality or security of email or attachments we receive.

Daha önce farklı yapılarda bu tür kısıtlamalara gitmiştim yada bu tür kısıtlamaları defans dışı bırakmakla uğraşmıştım.Bu yazdıklarım kısmen engellediğim yada defans dışı bıraktığım bir kaç adımı kapsamakda.

- Küçük ve orta çaplı firmalar için tüm client lere bu tür (ultrasurf , tor  vb) yazılımları system admini yetkileri ile kurup , kurulu olduğu dosyanın owner lığını alıp diğer tüm izinleri kaldırmak o programın bir başka kullanıcı tarafından çalıştırmasını engelleyecektir.Program farklı bir dizine kurularak bu yöntem devre dışı bırakılır ...

- Peki firmada client çoksa ve bilgisayarlar sürekli formatlanıyor yada yeni kurulumlar yapılıyorsa her seferinde tespit edip kurmak zor olmaz mı nereye kadar diye düşünüşebilir ,
Ozaman GPO (Group Policy) den ultrasurf , tor vb programın exe'sinin çalışmasını engellersiniz yine çalışmaz.Fakat uyanığın biri exe nin adını değişir yaptığınız uygulama defans dışı kalır.

- Firmam kucuk , orta çaplı yada buyuk ama Domain Controllerım yok , neredeee group policy diye bir sorun ortaya çıkabilir ozaman local policyden engellenebilir.yukarıdaki yöntemle buda aşılabilir.

- Ultrasuft un bir imzasını oluşturup (Registry kaydı , exenin boyutu , yolu vs) öyle çalışması engellenebilir diyecem ama huzeyfe hocanın dediği gibi upx ile sıkıştırarak , bir başka programla birleştirerek boş bir byte eklenerek dahi atlatılır.

Ben en iyisi kullanıcısının kafasına vurmak diyorum en sağlam çözüm bu , şirket politikasına göre bu tarz yazılımlar yasak derseniz birilerinin cesaret edip kullanacağını pek sanmıyorum.Böylelikle ultrasurf , tor vb yazılımların kurulumunu engelleyerek kullanıcının websense den izin verdiğiniz içerik dışındaki bağlantılara erişmesini engellemiş olursunuz.
Akıllı biri bunu yine aşar , uzakdaki bir sunucuya şifreli trafik oluşturarak (tünel kazarak) tüm trafiği uzakdaki sunucu üzerinden geçirerek istediği adrese erişebilir websense şifreli trafiği dinlesede birşey anlayamayacaktır.Bunları tespit ederek bağlantı kurulan ip leri engelleyebilirsiniz ama uzakdaki sunucunun ip si dinamik ise pek bi can sıkıcı hal alıcaktır.Port 22 ve 443 ü kapayarak bunada çözüm bulabilirsiniz.Fakat 443 ü kapayınca https trafiğinide engellediğinizi göz önüne almayı unutmayın.

Sonuç olarak alacağınız defans elinizdeki imkanlara , kullanıcının sistem bilgisine ve kullanıcı haklarına göre değişir fakat hiç biri %100 güvenlik sağlamaz basit yöntemlerle (yukarıdaki gibi) atlatılabilir diye düşünüyorum.

Deniz Cevik yazmış:

Gateway üzerinde bu tip ürünleri engellemek giderek zorlaşıyor. Sanırım bunları engellemenin en kolay yolu anti business software (antibizware) olarak tanıyıp istemci tarafında engelleyen sistemler kullanmak. Bu arada bluecoat sisteminde yaptığımız tanımlara baktık, eğer hostname mismatch ise blokla şeklinde kural koymuşuz. Bu da senin yazdığın yazıdaki yönteme denk geliyor. -----Original Message----- From: Huzeyfe ONAL [mailto:huzeyfe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org] Sent: Thursday, August 21, 2008 3:10 PM To: netsec-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org Subject: Re: [netsec] internet kısıtlamaları & ultrasurf ve benzerleri Selamlar, IP bazli bloklama yapmak Ultrasurf'in calisma mantigina aykiri. Ben 200 e yakin ip adresi bulup(real ip adreslerini cikartilmis durumda) bloklama yaptim ama bu ip adreslerini baska bir arkadasta calismadi. Ayni ip adreslerini is yerinden denedim yine olmadi ki bu ip adreslerinin cogu dinamik ip adresleri , bugun var yarin yoklar.(Mesela senin gonderdigin o ip adreslerinde 443. portlar suan bakinca kapali gozukuyor) Belki farkedemedimiz baska bir imza birakiyor olabilir ama henuz cozemedim. Ben Squid uzerinde blokladim ama onda da Proxy kullanma zorunlulugu var. Deniz Cevik wrote:

Programı çalıştırdığın zaman değişik IP adreslerine SSL bağlantısı kurmaya çalışıyor. Bunlardan bir bölümünde gerçekten dedğin gibi SSL handshake sorunsuz tamamlanıyor. Ama bu sistemlere bakınca bunların gerçektende ssl servisi veren web siteleri olduğu görülüyor. Ancak programın bağlantı açmaya çalıştığı IP adreslerin bir bölümünden ise ssl handshake hatası geliyor. SSL handshake veren sunucuların tüm listesini toplayıp sadece bunlara blok koyan bir kural koyunca ultrasurf’un bağlanmadığını gördüm. Yanlız yeni sürümünde IP sayısı inanılmaz artmış. Bundan dolayı bypass amaçlı kullanılan asıl sunucularının ssl handshake hatası veren sistemler olduğunu ve bunları tespit edip bloklayan bir sistemin ultrasurf’u engelleyeceğini tahmin ediyorum. nssl -v 216.33.115.50 443 - orca.bpn.gov connected to 216.33.115.50:443 using SSL cipher [RC4-MD5] nssl -v 64.62.138.33 443 TLS/SSL handshake failed. nssl -v 64.62.138.13 443 TLS/SSL handshake failed. nssl -v 70.55.87.229 443 TLS/SSL handshake failed. nssl -v 61.59.235.129 443 TLS/SSL handshake failed. nssl -v 128.241.232.84 443 - www.expertclick.com connected to 128.241.232.84:443 using SSL cipher [RC4-MD5] nssl -v 64.56.194.151 443 - custhelp.com connected to 64.56.194.151:443 using SSL cipher [AES256-SHA] nssl -v 59.121.8.146 443 TLS/SSL handshake failed. nssl -v 206.16.212.88 443 - secure.vermont.gov connected to 206.16.212.88:443 using SSL cipher [RC4-MD5] nssl -v 219.143.245.186 443 - etrade.icbccs.com.cn connected to 219.143.245.186:443 using SSL cipher [RC4-MD5] nssl -v 12.106.89.84 443 - proxy.westernu.edu connected to 12.106.89.84:443 using SSL cipher [DHE-RSA-AES256-SHA] nssl -v 210.89.1.210 443 - www.honya-town.co.jp connected to 210.89.1.210:443 using SSL cipher [AES256-SHA] nssl -v 216.218.158.34 443 - www.riverpast.com connected to 216.218.158.34:443 using SSL cipher [RC4-MD5] nssl -v 12.129.128.234 443 - www.mycardaccount.com connected to 12.129.128.234:443 using SSL cipher [RC4-MD5] nssl -v 122.120.196.125 443 TLS/SSL handshake failed. -----Original Message----- From: Huzeyfe ONAL [mailto:huzeyfe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org] Sent: Thursday, August 21, 2008 11:53 AM To: netsec-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org Subject: Re: [netsec] internet kısıtlamaları & ultrasurf ve benzerleri Selamlar, kendisinin otomatik sectigi ilk sunucununkine baktim. Ekte gonderiyorum. Deniz Cevik wrote:

Hangi sunucusunda denedin.

-----Original Message-----

From: Huzeyfe ONAL [mailto:huzeyfe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org]

Sent: Thursday, August 21, 2008 11:43 AM

To: netsec-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

Subject: Re: [netsec] internet kısıtlamaları & ultrasurf ve benzerleri

Selamlar,

Ultrasurf'in ssl handshake'inde anormal bir durum goremedim ben. Klasik

SSL v3 baglantisi yapiyor(Cipher Suit kisminda TLS_RSA_WITH_RC4_128_MD5

vs vs gorebilirsiniz).

Diger IPS urunleri nasil blokluyor bilmiyorum , incelemek lazim.

Deniz Cevik wrote:

Normalde handshake sonrası ssl sunucunun kullanılacak SSL şifreleme

algoritmasını bildirmesi gerekir. "Using SSL cipher [RC4-MD5]" gibi. Ancak ultrasurf'un bağlandığı ssl sunuculara normal ssl bağlantısı yapılmaya çalışıldığı zaman bu bilginin sunuculardan gelmediğini görmüştük.

-----Original Message-----

From: Huzeyfe ONAL [mailto:huzeyfe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org]

Sent: Thursday, August 21, 2008 11:08 AM

To: netsec-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

Subject: Re: [netsec] internet kısıtlamaları & ultrasurf ve benzerleri

Deniz selamlar,

>>Ultrasurf standart bir ssl handshake yapmadığı için

Ultrasurf'in SSL handshake'inde nasil bir farklilik var ?

Deniz Cevik wrote:

Ultrasurf standart bir ssl handshake yapmadığı için IPS'ler ve diğer

sistemler tarafından bloklanabiliyor. Bluecoat, IIS Proventia, MCafee veya CP üzerinde bloklanabildiğini test ettik. CP üzerinde smartdefense ayarlarındaki Application Intelligence > Tunelling detection> SSL Tunelling üzerinden bunu yapabilirsiniz. Malesef Websense üzerinde bu programı engelleyemiyorsunuz.

Bu tip programları engellemenin diğer bir yolu DLP çözümleri ile

client tarafında istenmeyen programların çalışmasını engellemek olabilir. Çünkü gateway sistemleri şifreli protokolleri engellemekte yetersiz kalabiliyor. Özellikle kurumsal yerlerde bu tip programlar kullanmak kullanılan güvenlik filtrelerinin devre dışı bırakılmsını zorlaştıracaktır.

-----Original Message-----

From: Huzeyfe ONAL [mailto:huzeyfe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org]

Sent: Thursday, August 21, 2008 8:03 AM

To: netsec-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

Subject: Re: [netsec] internet kısıtlamaları & ultrasurf ve benzerleri

Selamlar,

yeni guncellemeleri ile bloklayabiliyor mu bilmiyorum ama cok kisa

zaman

oncesine kadar Websense Ultrasurf'i bloklayamiyordu. Checkpoint

uzerinden yazabileceginiz signatureler string bazli(hatirladigim kadari

ile) Ultrasurf gibi programlar native ssl kullandigi icin bu tip

yasaklamalar pek ise yaramaz.

Istemci tarafinda bunu yasaklamak en akillica cozum goxukuyor fakat bu

istemci guvenlik programlarini aldatmak da mumkun, upx gibi

programlarla

exe vs dosyalari sıkıstırdıgımızda cogu antivirus programi orjinal

dosyayi taniyamiyor.

Bazi NIPS urunleri imzalarinda Ultrasurf'i engellemek icin guncelleme

yapmis durumda.

Elinizde bu tip bir teknoloji yoksa yapilacak en iyi is ya opensource

bir cozumle bunu yapmak ya da kullanicilarin https trafigini domain

bazinda loglattirip supheli gorduklerinizi uyarmak ve

bloklamak(Ultrafurs vs gibi uygulamalar https icin domain adi degil ip

adresi kullaniyor, bunu anahtar olarak kullanabilirsiniz)

Oykun SATIŞ wrote:

Aslında bu iş için elinizde iki mükemmel çözüm bulunuyor,Websense ile

zaten birçok şeyi kısıtlamanız mümkün,https trafiğine gelince Websense

üzerinden tamamen izin Checkpoint üzerinden HTTPS trafiğinden

geçecek olan

bazı signature'ları yasaklamanız ile birlikte bu sorununuzada çözüm

bulacaksanız. Ayrıca Güvenlik tarafına bir ekleme yapıp Aladdin Esafe

kullanıp doğru bir konfigurasyon ve topoloji ile önerilen güvenlik

seviyelerinin üstüne cıkabilirsiniz.

Merhaba,

Hastanemizde internet eri�imi için bazı kısıtlamalar koymak

zorunda

oldu�umuz

için websence ve checkpoint kullanıyoruz. Ancak heryerde oldu�u

gibi

bizde de

bu kuralları a�mak isteyenler ve ba�aranlar var.

Temel problemimiz proxy kullanarak sistemi a�anlar. Standart proxy

servislerine gitmeye çalı�anları bir �ekilde

engelleyebiliyoruz ama

ultrasurf

ve benzeri programları kullananları kesemiyorduk.

Bu altyapıda çözüm olarak https isteklerini kesip sadece bizim

izin

verdiklerimizi geçirerek çözüm uygulamaya ba�ladık.

Bu çözüm konusunda yorumlarınız ve bu alt yapıda

uygulayabilece�imiz ek

çözümler konusunda yorumlarınız nedir?

İyi çalı�malar.

--

Zeki �atav

http://zekicatav.tyih.gov.tr

---------------------------------------------------------------------

To unsubscribe, e-mail: netsec-unsubscribe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

For additional commands, e-mail: netsec-help-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

---------------------------------------------------------------------

To unsubscribe, e-mail: netsec-unsubscribe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

For additional commands, e-mail: netsec-help-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

---------------------------------------------------------------------

To unsubscribe, e-mail: netsec-unsubscribe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

For additional commands, e-mail: netsec-help-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org

--------------------------------------------------------------------- To unsubscribe, e-mail: netsec-unsubscribe-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org For additional commands, e-mail: netsec-help-OH8epulGT1/q0s6DQE6FoQ@public.gmane.org