How to Block Ultrasurf

Ni aku masukkan artikel as requested and mention by most of JT. Aku rasa kalau carian internet ni memang mat-mat saleh sure akan terpergi ke blog aku ni sebab topik ni memang hot kat internet. Sure bengkek je tgk org melayu punye blog...ekekeke...nk tau kena belajo melayu la...wakakaka..

Ok serius to the point. So aku dah google pasal mende ni lama dah sejak diketahui ada digunakan ultrafurf ni dalam tahun 2009. Software ni aku rasa lama dah digunakan kat negara lain. Ianya biasa digunakan oleh student dan staff ofis yang rasa terkongkong oleh polisi network di dalam rangkaian mereka gunakan. So far ISP kat malaysia ni belum filter tu semua. Jadi orang Malaysia as user current broadband tak perlu risau pasal web filtering. Tapi di China web filtering memang ketat dan dipantau oleh kerajaan sana. Sampaikan youtube pun tak lepas tengok di sana. Sekarang ni tak tahulah kot dh buka semula. Ultrasurf ni berasal dari sana atas rasa keperluan kebebasan dalam berINTERNET.

So far yang aku surf setakat ni ada la solution dari IPS dan Firewall Provider yang kata boleh blok Ultrasurf ni gunakan hash yang leh kenalpasti dari ultrasurf...tapi aku tk tau keberkesannya..
Hex ID ultrasurf : 0x1403000000101 
FW yang boleh blok : SonicWall, Watchguard, Cyberfoam, SmoothWall
Solution with WatchGuard

Bagi aku, kemungkinan berjaya blok melalui Firewall ni mungkin ada. Tapi aku akan terangkan cara nak blok ultrasurf ni melalui penggunaan software dan kaedah tanpa kos...ehehhee

Info rangkaian :

Firewall : ada
Proxy : ada
Antivirus : SEP11

1) Configure di firewall anda allow akses https from subnet tertentu sahaja. Jika network guna proxy, maka allow dari ip proxy sahaja untuk akses thru https port 443

2) Ok, kenapa agaknya aku suh trim trafik ke port 443 ni. Sebabnya UltraSurf ni sebenarnya pergi ke internet menggunakan free proxy di internet yang menggunakan https. Ultrasurf create port 9666 localhost untuk buat tunnel ke port 443 tu tadi. So takde maknanya kalau kita duk block port 9666 dalam kebanyakan forum dok bagitau sebab ianya hanya digunakan di localhost sahaja utk port tu.

3) Ok tadi bila kita dah trim port https kat FW tu tadi maka kita dah sekurangnya allow akses dari ip proxy sahaja ke internet. Sekiranya PC yang guna UltraSurf ni buat default config sahaja (Proxy setting - Directly connect to Ultrasurf), so memang tak lepas dah nak connect ke https proxy tu...Tapi bagi pengguna bijak, ia akan tukar kepada auto detect proxy atau manual proxy settings. Sebab by default memang dah guna proxy di rangkaian tu sebab user takleh pergi ke internet direct. So bila user bila auto detect, ia akan cari defined proxy setting kat memana browser dalam PC tu. Jika user tau nama proxy, maka ia terus tulis je nama proxy tu dengan portnya.


4) So skang ni user masih boleh guna Ultrasurf tu kan..jangan risau, ada lagi satu cara lain lak. So memang agak susah nak blok thru Network layer ni. Cara lain boleh digunakan adalah menggunakan function dalam SEP11 yang boleh block software menggunakan hash file setiap file yang ultrasurf tersebut. Caranya adalah create hash file ultrasurf bagi version terkini dan terbelakang sikit. Masukkan dalam polisi SEP11 untuk block sebarang cubaan running software yang match dengan hash file tersebut. Walaupun nama file tu ditukar pun masih boleh detect juga menggunakan hash file tersebut. Cuma kaedah ini memerlukan pihak admin SEP11 untuk sentiasa aware bagi setiap versi baru dikeluarkan bagi perisian ultrasurf tersebut.

5) Solution ke-4 tu baik sekiranya dalam rangkaian tu memang semua pakai SEP11. Tapi kalau dalam rangkaian belum pasti semua PC bersambung tu ada SEP11 maka ianya masih belum fully controlled. Tapi bagi situasi aku tu cuma cara ni sahaja yang sesuai untuk implement dan memudahkan kawalan keseluruhan rangkaian tersebut secara berpusat. Boleh tengok artikel ni memang detail penerangan : How to block Ultrasurf with SEP

6) Bagi yang rasa nak guna SEP11 ni tak semua rangkaian guna anvitirus tersebut dan tak semua AV ada fungsi tersebut. Jadi kawalan kepada PC user tersebut sahaja yang paling sesuai dilaksanakan dan paling terbaik bagi semua jenis masalah. Sebab kebanyakan masalah berpunca dari PC pengguna tu sendiri. Prevent is better dan cure...So software anti-ultrasurf dicipta untuk counter attack bagi halang penggunaan ultrasurf di PC tersebut. Ianya boleh dimuat turun disini : Anti-UltraSurf
Terima kasih pada Zemana yang cipta software ni. Ianya masih dalam beta mode tapi boleh digunakan dan telah diuji. Buat masa ini ianya support untuk versi Windows : 
Windows Server/Workstation 2000
Windows XP/2003/Vista
Blog software tersebut : Blog Anti-Ultrasurf

Anti-UltraSurf menggunakan kaedah heuristic analisis untuk kenalpasti dan halang trafik UltraSurf’s tberbanding kaedah hash signatures mcm SEP11 tadi. Anti-UltraSurf boleh blok trafik dari pelbagai versi UltraSurf dengan jaminan tiada kesilapan.

Selain itu, installer software tersebut adalah format .msi yang boleh digunakan bagi rangkaian yang menggunakan domain controller. Yang mana admin leh push install aje software tu kepada semua PC dalam domainnya. (Impian aku nak setup mende ni la kat ofis aku...tapi kekangan ilmu)

7) Ok, kita dah install software tu tadi..kat start menu ada kuor nama software tu..so kalau user PC ada admin mode maka dia boleh uninstall semula la software tu..penat je kita install...so cara terbaik nak kawal semua ni bagi yang tak gunakan domain controller adalah kita perlu setup 2 user berbeza di PC tersebut. user pertama : administrator adalah user dengan mode 'administrator'. User kedua adalah user pengguna PC dengan mode 'user' yang mana beliau terhad :
a) tidak boleh menukar ip PC
b) tidak boleh install software
c) tidak boleh uninstall software

So jika dah setup begitu, masalah ni dah selesai...software OCS yang install sebelum ni pun takdela user pi uninstall semula bila kita dah penat install...ehehehe...

Dengan step tadi maka selesailah solution bagi cara nak block ultrasurf tu. Jika ada cadangan lain leh komen kat artikel aku ni dan bagi cadangan. amat dialukan...

Semoga berjaya!


~ Be a Creator Not a User ~
http://muzzotechspot.blogspot.com
http://muzzoshah.blogspot.com

Ulasan

Tanpa Nama berkata…
http://protocolunique.com/artikel8.html disini juga ade simple teknik dgn ip ultrasurf yg berulang
muzzo berkata…
TQ, aku pernah cuba dah kaedah tu awal2 tapi penat dan tak berbaloi. Sebab proxy server on the net ni sering bertambah dan berubah. Tak boleh bergantung pada senarai tu shj. Kena rajin menambah list baru kat firewall..erghh..penat..ehhee.
Tanpa Nama berkata…
tak y kena tgk betul2 tutorial tu
ade 2 teknik
1.list ip
2.rule base pd apks portknocking tu
yg ke 2 tu bukan base on ip tapi behavoir pertukaran http-https khas utk https://vtunnel.com
Tanpa Nama berkata…
Assalammualaikum bro-bro semua...aku try nak masuk Zemana...tapi software tu dah tak da dah...aku try IPCop...pfSense...semua firewall ni pun dah tak bleh...ip yang aku masuk kan untuk blok pun dah tak bleh lagi dah...tolong ...
Muzamir Mokhtar berkata…
aiseh aku pun baru tau...software lama dulu pon tk simpan..agaknya mereka nk commercialkan software tu..tu tarik semula tu.
Tanpa Nama berkata…
blok pd dns request payload pun dah boleh ...whitelist kan whitelist or sslsniff 443 filter di content filtering