Bloqueando MSN, orkut, trojans e mais

rommelhc

Neste tutorial você verá como bloquear esses serviços com apenas o iptables, facilitando a vida de quem não usa proxy no ambiente de rede local, vale à pena ler e usar.

[ Hits: 20.838 ]

Por: Rommel Campos de Araújo em 21/03/2008

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Bloqueando ORKUT

Começaremos pelo bloqueio do ORKUT, inimigo número 1 (juntamente com o MSN) dos administradores de rede. Usando as regras do iptables, ficará assim:

#Bloqueio de orkut.com
iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
iptables -A FORWARD -d www.orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP

Será preciso adicionar os dois, pois às vezes o orkut conecta-se como orkut.com ou www.orkut.com, por medida de precaução, bloqueie os 2.

Passo a passo:

iptables -A FORWARD (Adiciona a regra na tabela FORWARD);
-d www.orkut.com -s 192.168.0.0/24 (Bloqueia o acesso de www.orkut.com a rede inteira);
-p tcp --dport 80 (Protocolo usado TCP para a porta 80);
-j DROP (Anular o pedido);
192.168.0.0/24 (será substituído pela sua faixa de IP, caso seja a mesma não precisa alterar).

Bloqueio de MSN

O bloqueio do MSN será feito da seguinte forma, usando as regras do iptables, ficará assim:

Particularmente fiz bloqueio de toda e qualquer possibilidade de conexão do MSN, mas consegui apenas bloqueando o gateway e a porta de conexão.

#O Messenger pode usar esse gateway sobre HTTP, caso você já tenha bloqueado
# a porta de conexão
iptables -A FORWARD -d gateway.messenger.hotmail.com -p tcp --dport 80 -j REJECT

#Autenticação HTTP para o Windows Live ID
iptables -A FORWARD -d login.live.com -p tcp --dport 80 -j REJECT

#Obtenção da lista de contatos
iptables -A FORWARD -d contacts.msn.com -p tcp --dport 80 -j REJECT

#Armazenamento do quadro do usuário (HTTP DAV) e aquisição de imagens do
#Windows Live Space de um usuário
iptables -A FORWARD -d storage.msn.com -p tcp --dport 80 -j REJECT

#Para definir um ID exclusivo e anônimo para um usuário personalizar a
#experiência do Windows Live
iptables -A FORWARD -d c.msn.com -p tcp --dport 80 -j REJECT

#Várias operações principais do messenger
iptables -A FORWARD -d messenger.msn.com -p tcp --dport 80 -j REJECT

#URLs de redirecionamento usadas no rastreamento do início do URL de
#uma página específica para sites da Microsoft
iptables -A FORWARD -d g.msn.com -p tcp --dport 80 -j REJECT

#Várias operações principais do messenger, bloqueio para a porta 1863
iptables -A FORWARD -d messenger.hotmail.com -p tcp --dport 1863 -j REJECT

#Várias operações principais do Messenger. Por exemplo, servidores de eco
#usados para estabelecer conectividade direta entre dois clientes do messenger
#para comunicação ponto-a-ponto quando os clientes estiverem protegidos
#por um firewall
iptables -A FORWARD -d edge.messenger.live.com -p TCP --dport 80 -j REJECT

#Bloqueio da porta 443 Entrada no serviço Messenger
iptables -A FORWARD -p TCP --dport 443 -j REJECT

#Bloqueio de porta 1863 entrada no serviço Messenger
iptables -A FORWARD -p TCP --dport 1863 -j REJECT

#Endereço de conexão MSN
iptables -A FORWARD -d 64.4.13.0./24 -j REJECT

Fazendo isso você terá total bloqueio do MSN, apenas usando o IPTABLES.

Bloqueio de acesso a TROJAN

As regras abaixo bloqueiam acesso as portas que os TROJANS usam para conexão em rede.

As tabelas serão adicionadas às regras nas tabelas INPUT e FORWARD.

iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 666 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 666 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 4000 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 4000 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 6000 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 6000 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 6006 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 1660 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 6006 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 1660 -j REJECT

Bloqueio a acessos P2P

Evite também o excesso de tráfego desnecessário na sua rede, com programas p2p.

#iMesh
iptables -A FORWARD -d 216.35.208.0/24 -j DROP

#BearShare
iptables -A FORWARD -p TCP --dport 6346 -j DROP

#WinMX
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 64.49.201.0/24-j DROP

#KaZaa
iptables -A FORWARD -d 213.248.112.0/24 -j DROP
iptables -A FORWARD -p TCP --dport 1214 -j DROP

Páginas do artigo

1. Introdução

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Análise da distribuição Mandrake Security

Gerenciando regras de Iptables com Firewall Builder (parte 2)

Zentyal 2.0 - Solução completa de segurança open source

Firewall e NAT em FreeBSD com controle de banda e redirecionamento de portas e IPs

GUI para Iptables via web, linha de comando e outros

Comentários

[1] Comentário enviado por denirow em 21/03/2008 - 12:16h

Muito bom ... vou testar :)

0 0

[2] Comentário enviado por Lotus666 em 21/03/2008 - 12:21h

melhor nao bloquear a porta 443 pq ae vc tb vai estar bloqueando o protocolo https, e sites que o usem nao irão abrir.

0 0

[3] Comentário enviado por powerd0wn em 21/03/2008 - 14:47h

Falae rommelhc, blz?

Cara, não querendo te desanimar, mas...
... essas dicas suas ae não funcionam não, viu? =P

Pesquise sobre: proxies públicos, http-tunneling, icmp-tunneling, dns-tunneling etc... Tem muita coisa pra se burlar esses controles simples.

E outra... os "p2p" fazem coisas que você não imagina pra burlar esses controles.

Pesquise mais sobre iptables, e tente desenvolver políticas restritivas, como negar tudo e autorizar somente o necessário, procurando especificar portas, origens e destino explicitamente.

Atenciosamente,

Rodrigo Martins

0 0

[4] Comentário enviado por elgio em 21/03/2008 - 16:06h

Concordo com Rodrigo.

São medidas, como diria, infantis.
Facilmente burláveis.

Tu só consegue controlar MELHOR com o uso de proxy e iptables.

E ainda tem que ficar brincando de caçar novos proxies todo o dia que os caras descobrem. Minha lista já tá CHEINHA de proxies e mais proxies...

Meu sistema completo inclui:
a) squid para bloquear por ACL

b) analise de logs para contabilizar os sites TOP+ visitados, descartando os conhecidos (pq um proxy NOVO recem descoberto tem muita chance de figurar nos TOP+ do dia :-D)

c) Uma acl PROIBINDO acesso por http://NUMERO-IP (90% dos proxies nao tem DNS)

d) iptables para bloquear HTTPS proxies

e) cruzamento de logs de resolucao de nomes com acesso porta 443. Exemplo: ontem mesmo peguei um IP estranho no HTTPS, que nao conhecia. Consultando mues logs de DNS vi que este IP fora uma resposta para a consulta do proxy MEEBO. Bingo. Mais um IP que eu nao conhecia e que passou a ser bloqueado.

Isto tem funcionado, mas requer ficar SEMPRE ALERTA.

Ah, e quanto a p2p, ai é complicado mesmo. Tem o layer7 do iptables que dá uma BELA ajuda (descrito em um artigo mais abaixo deste)

0 0

[5] Comentário enviado por fabiobarby em 22/03/2008 - 13:41h

Também acho que não resolve nem 10% do problema...

Aproveite as dicas da galera ae acima, e pesquisa também sobre blacklists, de como usar elas, como desenvolver, etc...

Ae você verá que somente bloquear "www.orkut.com" não resolve...

Mas sua intenção é bem vinda!

Parabéns...

0 0

[6] Comentário enviado por Thiago Madella em 22/03/2008 - 16:19h

Valeu pela dica,,,sua intenção é valida.
Parabéns.

0 0

[7] Comentário enviado por sdrconsulting em 22/03/2008 - 16:20h

Amigão,

Sem querer ser chato, mais o seu "Artigo" não tem o formato de um Artigo, está mais para uma DICA. As regras que você colocou ai não funcionam corretamente. Aproveite as dicas da galera e reescreva seu artigo com as melhorias propostas.

Se quiser bater um papo, estou a disposição: msn: sylvio@sdrconsulting.com.br

Abs.

0 0

[8] Comentário enviado por leoberbert em 22/03/2008 - 20:04h

O Ruim de bloquear a porta 443 é apenas a rede não conseguir abrir paginas de banco heheheh.

0 0

[9] Comentário enviado por joseslei em 22/03/2008 - 21:18h

?comentario=
Otimo tutorial. valew

0 0

[10] Comentário enviado por exercitobr em 24/03/2008 - 10:51h

Parabéns, excelente pesquisa e estudo. Os detalhes levantados pelos companheiros são válidos. Parabéns pelo estudo.

0 0

[11] Comentário enviado por fideljunior em 25/03/2008 - 15:08h

Ola! Sou usuario iniciante do Linux, estou aprendendo na distribuição Red Hat 9 server. Testei esses scripts postados aqui e funcionaram perfeitamente. (Usei o bloqueio de paginas, que nesse artigo esta como exemplo o orkut)
Tudo funcionou muito bem... Nao sei se é recomendavel que eu diga mas quando for usar esses comandos tem que digita antes /sbin
ex: /sebin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
Somente dessa maneira eles vao funcionar!
Valeu!

0 0

[12] Comentário enviado por fideljunior em 25/03/2008 - 15:10h

ops! escrevi errado...
/sbin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP

0 0

[13] Comentário enviado por macvitor em 25/03/2008 - 17:21h

elgio,
posta ai sua lista de open proxies pra ajudar a galera.
flw!!!

0 0

[14] Comentário enviado por elgio em 25/03/2008 - 17:43h

hehehehe.

Eu uso por RegEx porque algumas palavras pegam N urls só elas.
E por RegEx pego até pesquisa do google!

O cara pesquisa no google "Como burlar orkut" e cai no bloqueio! hehehehehe

0 0

[15] Comentário enviado por glaucio_klipel em 26/03/2008 - 12:39h

hehehe pra mim funcionou bloqueando por strings e também bloqueando TODO O TRÁFEGO e liberando soh o necessario, como foi dito antes.

realmente, bloquear p2p e msn eh um caso meio serio, nao eh tao simples, mas as suas regras claramente podem ajudar sim!

abraçao!

0 0

[16] Comentário enviado por renatogrosz em 11/12/2008 - 12:50h

Eu configurei minha rede da seguinte forma (squid + iptables):

Em primeiro lugar:
Bloquei todo forward (ninguem transpassa o firewal)

Depois, liberei forward ao computador do dono da empresa.

Liberei o forward (a todas as máquinas da rede) aos "enderecos confiaveis" (itau, safra, certificados digitais, atualizações gerais)

o AVG tava dando trabalho, então verifiquei que o mesmo permite cadastrar proxy nas configurações dele.
Criei uma conta no squid, (é bom não usuar a sua).

O sistema office Bank do safra usa as configurações do internet explorer, então fiz um atalho na area de trabalho do usuario para ele utilizar quando quer navegar e quando quer usar o banco, o que ele faz é acionar um arquivo com extensão .reg que muda as configurações do internet explorer, depois chama ou o IE ou o sistema do banco dependendo do caso. Se usuario é menos cri-cri, dá para utilizar o Mozzila com o proxy configurado e deichar o IE quieto e escondido. Para o acesso ao e-mail eu permito o forward na porta.

Assim que eu tenho resolvido algumas situações.

O Skype está passando, eu ainda nao descobri porque.

A proposito: sobre colocar ou não o caminho completo para acionar o iptables (ou qualquer outro) dentro do script
É interessante porque se alguem tiver acesso ao seu unix (que provavelmente tem ssh aberto) ele pode chamar um iptables qualquer, inclusive no diretorio corrente, que talvez o atacante ja tenha acesso.

0 0

[17] Comentário enviado por rbn24 em 28/01/2009 - 20:58h

Bom kara gostei muito mas stou com um problema como faço para bloquear o Skype pois eu uso o IPCOP, pois para o MSN é so bloquear a porta mas o skype sai de qualquer forma, e gostaria de saber como faço para bloquea-lo, alguer ajuda serve.

0 0