1 de 5 Introdução O your-freedom é um aplicativo que conecta PC s a proxies na internet através de tunneis criptografados, liberando acesso a qualquer site (ex.: ORKUT) ou programa (ex.: MSN) que esteja bloqueado no firewall. Este aplicativo utiliza os protocolos HTTP porta 80 (com criptografia), HTTPS porta 443, FTP porta 21, UDP portas 53, 69, 123, 162, 500, 520,100000 e 33440, dificultando seu bloqueio. Este FAQ demonstra como bloquear a utilização do your-freedom. Tanto utilizando Proxy transparente, como Proxy ativo no firewall. Solução Para bloquear o your-freedom, deve-se primeiro habilitar o Proxy transparente na rede local, após esse passo é criado duas regras dentro dos perfis que deverão ter esse aplicativo bloqueado no menu HTTP. Conforme mostra a figura abaixo: Bloqueando esses dois GET s e HTTP (freedom-servers-19283746.cgi e info.txt), evita-se que o cliente do your-freedom faça o download de informações sobre os servidores proxies com relação ao protocolo HTTP, deixando assim indisponíveis as conexões com essess servidores, utilizando a porta 80 conforme mostra a figura abaixo, os demais protocolos continuam disponíveis. Esta figura é uma tela de configuração do cliente, nessa tela é escolhido qual servidorr o cliente irá se conectar e o tipo de protocolo/porta que este servidor suporta, note que na coluna HTTP em todos os servidores tem um não informando que conexões na porta 80 estão indisponíveis. Porém, para o protocolo UDP, FTP e HTTPS as conexões estão liberadas. Para bloquear esses protocolos é necessária a criação de regras: Liberando restante; Liberando todo o res Bloqueand o protocolo FTP porta 21 apenas para sites/endereços conhecidos, bloqueando todo o o protocolo HTTPS porta 443 apenas para sites/endereços conhecidos, bloqueando stante; do as portas UDP 53, 69, 123, 162, 500, 520,10000 e 33440. Permitindo apenas o servidor de DNS acessar a internet na porta 53 ou em caso de utilização de DNS externo,
liberar a rede interna a acessar a porta 53 apenas para os endereços dos servidores de DNS conhecidos. 2 de 5 Importante: para o protocolo UDP porta 53 (DNS) existe uma peculiaridade, liberar apenas o servidor DNS a acessar a internet, ou caso a rede interna consulte um servidor DNS externo, liberar esta porta apenas para os endereços dos servidores de DNS. As configurações estão na figura a seguir: Na regra no1: Está sendo liberado acesso ao serviço DNS (UDP 53) apenas para os endereços dos servidores de DNS que estão na internet, essa medida evita que o cliente do your-freedom se conecte utilizando essa porta/protocolo. Na regra no2: Está habilitando o Proxy transparente paraa acesso a internet. Na regra no3: Está sendo liberado acesso HTTPS e FTP apenas para os sites do Bando do Brasil e Gmail, nessa regra devem ser adicionados todos os endereços IP s dos sites que necessitem ser acessados utilizando o protocolo HTTPS ou que necessitem do serviço FTP. Na regra no4: estão sendo bloqueadas todas as portas UDP s que o cliente your-freedom tenta conexão com os servidores proxies da internet, e bloqueadas às portas dos protocolos HTTPS e FTP. Com essas configurações o cliente your-freedom não consegue se conectar com nenhum servidor na internet, sendo assim bloqueadoo pelo firewall, Segue a tela de configuração do clientee mostrando que os protocolos e portas foram bloqueados. Note que nas colunas HTTP, FTP e UDP existem um não e na coluna HTTPS tem o sinal?, significa que ele não reconheceu o protocolo nos servidores. Essa janela acima aparece quando é utilizado o assistente de configuração do cliente your-freedom, outra maneira de configurar estee aplicativo é de forma manual onde é informado o nome/endereçoo do servidor e qual protocolo/porta irá utilizar para se conectar a ele. Com as configurações mostradas, indiferente do modo como foi configurado o your-freedom, este não irá funcionar. Segue figura abaixo:
3 de 5 Comoo bloquear o Your-Freedom utilizando Proxy Ativo? Devem-se criar as mesmas regras no HTTP, no perfil que se deseja que o aplicativo seja bloqueado. Conforme a figura abaixo: Também se devem criar as regras bloqueandoo o FTP e as portas UDP s para evitar conexão utilizando esses protocolos, conforme a figura abaixo: Na regra no1: É liberado o acesso UDP porta 53 (DNS) apenas para os endereços dos servidores de DNS externos. Na regra no2: É habilitado o Proxy ativo no firewall Na regra no3: São bloqueadas as portas UDP s e o FTP para evitar conexão utilizando este protocolo/porta, lembre-se que deve ser criada uma regra acima dessa liberando os sites para utilizar estes protocolos/portas. Note que agora não é mais necessário bloquear o HTTP, pois com a configuração de Proxy ativo os acessos HTTP e HTTPS chegam primeiramentee no firewall na porta 80, em seguida o próprio firewall abre conexões HTTPS caso seja solicitado. O your-freedom quando existe um Proxy ativo configurado, ele se conecta no Proxy utilizando a porta 80 com tráfego criptografado, fazendo com que o firewall não consiga analisar o conteúdo e por conseqüência libera o tráfego, permitindo assim conexão com os servidores do proxies do your-freedom. Para este problema ser resolvidoo é necessário o uso do AWCA (Aker Web Content Analyzer). Com essa
ferramenta pode-see bloquear o tráfego na porta 80 que estiver criptografado. Para isso, basta configurar no perfil dentro do menu Análise de contexto Web a opção de Aceitar as categorias selecionadas abaixo conforme a figura abaixo: 4 de 5 A ação padrão dessa opção Aceitar as categorias selecionadas abaixo é bloquear o que não estiver categorizado, ou seja, indefinido, com isso todo tráfego na porta 80 que estiver criptografado não será possível categorizar, pois o firewall não vai entender o que está passando, sendo assim o firewall irá bloquear esta conexão. Importante, deve ser configurado no menu HTTP a opção categorizar, conforme a figura abaixo: Outra Forma de Bloquear o Your-Freedom Este FAQ foi confeccionado durante os meses de Dezembro de 2007 e Janeiro de 2008. Neste período, conforme o próprio site do your-freedom (www.your-freedom.net) a quantidade de servidores disponíveis era de 18 proxies servers. Durante esse mês de testes e pesquisas foram encontrados 19 endereços IP s que respondiam pelos servidores. Apenas o servidor ems03.your-freedom.net.de apresentou dois endereços IP s diferentes. O restante dos servidores (ems01, 02, 03... 18) só respondiam por um único endereço IP. Todos esses 19 endereços mapeados se mantiveram constantes durante esse mês de teste, sendo assim, a outra forma de bloquear esseaplicativoseria criando uma regra que bloqueie esses endereços IP s. Segueabaixo: ems01.your-freedom.net.de - 67.159.5.116 ems02.your-freedom.net.de - 193.164.133.61 ems03.your-freedom.net.de - 87.98..241.26 e 91. 121.10.81 ems04.your-freedom.net.de - 91.121.13.62 ems05.your-freedom.net.de - 91.121.13.63 ems06.your-freedom.net.de - 81.169.143.195 ems07.your-freedom.net.de - 81.169.187.111 ems08.your-freedom.net.de - 91.121.2.175 ems09.your-freedom.net.de - 85.214.73.35 ems10.your-freedom.net.de - 85.214.45.170 ems11.your-freedom.net.de - 87.98..217.227
ems12.your-freedom.net.de - 91.121.10.82 ems13.your-freedom.net.de - 66.90..104.142 ems14.your-freedom.net.de - 91.121.9.81 ems15.your-freedom.net.de - 193.37.152.232 ems16.your-freedom.net.de - 67.159.5.52 ems17.your-freedom.net.de - 91.121.1.185 ems18.your-freedom.net.de - 85.25..147.217 5 de 5 Para a criação da regra que bloqueia esses endereços IP s é necessário criar uma entidade do tipo Máquina para cada um desses IP s, em seguida cria-se a regra e adiciona esses endereços IP s, ou então, cria-se uma entidade do tipo Conjunto e relaciona todos esses endereços. Segue abaixo a regra criada: Importante: Esse modo de bloqueio não é o mais eficaz, pois os endereços IP s são constantemente alterados. Caso seja adicionado um novo servidor your-freedom terá que ter seu IP bloqueado também, dessa maneira o administrador de redes devee ficar constantemente observando se houve ou não adição de novos servidores, ou se mudou o endereço IP de algum deles. Portanto, utilizando Proxy transparente ou ativo o your-freedom estará bloqueado.