Blocking Ultrasurf under Cisco

I hate this title :( …sometimes…

logo Cisco adalah milik Cisco System Liburan panjang kemarin membuat kang Dadang agak terlambat untuk berbagi kepada saya langkah apa yang sudah dilakuin buat ngatasin ‘masalah Ultrasurf’. Ya… ya… memang hebat! ada yang benci, ada juga yang cinta. Kalo saya sih terus terang termasuk yang cinta :-p

Btw, dicerita sebelumnya kang Dadang sedang dilemma buat mengatasi masalah filterisasi Ultrasurf tadi. Ada empat opsi sempat membayangi isi kepalanya:

  • Pertamax: block seluruh port 443 (SSL)
  • Keduax: block IP server-server Ultrasurf.
  • Ketigax: block via Antivirus Client yang terinstall pada masing-masing komputer.
  • Keempat: Konfigurasi ulang Squid n Firewall. Semua akses klien diblok kecuali lewat Server.

*perhatian* Kalo uraian dibawah ini terlalu panjang, skip aja disini!

Pilihan nomer dua jelas nggak bisa dieksekusi. Sudah dicoba memblok IP server-server yang digunakan Ultrasurf hasilnya tetep saja melempem. Ultrasurf masih tetep saja bisa membuat koneksi ke server yang lain. List IP yang sudah coba diblok dilampirin dibagian bawah tulisan ini.

Pilihan ketiga dulu sudah sempat dilirik, tapi agak males implementasinya. Apalagi nanti nggak bisa berkuasa penuh ke komputer klien. Walaupun nantinya klien tetep saja nggak bisa mengotak-atik komputernya sendiri, rule yang dijalankan nggak terpusat di satu titik. Kurang ideal ah.

Pilihan keempat sebenarnya konfigurasi paling ideal. Karena konfigurasi Squid transparent yang sekarang ini hanya berkuasa penuh pada protokol http, buat protokol yang lain Squid tetep tutup mata donk. Selain itu semua aturan bisa ditanamkan di Squid Proxy. Tapi kang Dadang ternyata masih belum mau menerapkan pilihan ini. Karena menurutnya konfigurasi transparent sekarang lebih cool. Kenapa? Karena eh karena… si klien tetep dingin-dingin aja nggak perlu setting proxy. Alasan lain, jika perlu mengubah route koneksi internet pun lebih mudah dikerjakan.

So, pilihannya adalahhh… *akhirnya balik lagi deh ke pilihan awal*

Blocking port 443 memang bukanlah pilihan yang bijaksana, karena itu protokol standar dan sangat umum digunakan. Tapi memang bagi kang Dadang lebih mudah membuka situs-situs yang menggunakan port SSL daripada menutup server-server Ultrasurf.

Akhirnya sampai juga ke point utamanya.

Sebenernya ini bukan tips yang cukup cerdas. Karena cuman membahas biasa di router . Idenya sederhana: buat list website SSL yang diperbolehkan untuk diakses, kemudian blok seluruh port 443. Kejam tapi bodoh! :(

Biasanya yang menggunakan port SSL adalah layanan webmail, messenger, Bank, situs-situs yang ada hubungannya sama duit. Salah satu alasan dipilih rule block port 443 buat mengkebiri Ultrasurf adalah statistik akses ke situs ber-SSL masih mudah dibaca. Tidak banyak situs-situs aneh yang diakses, dengan konsekwensi beberapa situs yang ‘nggak umum’ akan terblokir, misalnya money changer.

Oke, kita mulai saja daftar service SSL yang umum digunakan

Yahoo (YM)

List server yahoo yang umumnya digunakan untuk login YM:

68.142.233.176
68.142.233.118
66.163.169.186
98.137.53.34
68.180.195.216
69.147.112.160
209.191.92.114
216.252.124.207

Sedangkan range network lengkapnya:

NetRange:   69.147.64.0 – 69.147.127.255
CIDR:       69.147.64.0/18
NetName:    A-YAHOO-US5
NetRange:   68.142.192.0 – 68.142.255.255
CIDR:       68.142.192.0/18
NetName:    INKTOMI-BLK-4
NetRange:   66.163.160.0 – 66.163.191.255
CIDR:       66.163.160.0/19
NetName:    A-YAHOO-US2
NetRange:   98.136.0.0 – 98.139.255.255
CIDR:       98.136.0.0/14
NetName:    A-YAHOO-US9
NetRange:   68.180.128.0 – 68.180.255.255
CIDR:       68.180.128.0/17
NetName:    A-YAHOO-US6
NetRange:   69.147.64.0 – 69.147.127.255
CIDR:       69.147.64.0/18
NetName:    A-YAHOO-US5
NetRange: 209.191.64.0 – 209.191.127.255
CIDR: 209.191.64.0/18
NetName: A-YAHOO-US3
NetRange: 216.252.96.0 – 216.252.127.255
CIDR: 216.252.96.0/19
NetName: A-YAHOO-US4

Google (Webmail)

List server Google yang umumnya digunakan untuk login GMail:

74.125.153.18
209.85.171.115
64.233.189.99
64.233.189.100
64.233.189.104
64.233.189.101

Sedangkan range network lengkapnya:

NetRange:   64.233.160.0 – 64.233.191.255
CIDR:       64.233.160.0/19
NetName:    GOOGLE
NetRange:   74.125.0.0 – 74.125.255.255
CIDR:       74.125.0.0/16
NetName:    GOOGLE
NetRange:   209.85.128.0 – 209.85.255.255
CIDR:       209.85.128.0/17
NetName:    GOOGLE

Facebook

List server Facebook yang umumnya digunakan untuk login:

69.63.180.174
69.63.176.138

Range network Facebook:

NetRange:   69.63.176.0 – 69.63.191.255
CIDR:       69.63.176.0/20
NetName:    TFBNET2

Canonical (shipt.ubuntu.com — ini termasuk umum diakses juga yah :p)

91.189.90.19

inetnum:        91.189.88.0 – 91.189.95.255
netname:        CANONICAL-CORE
descr:          Canonical Ltd

Mozilla/ Firefox (addons)

63.245.209.91
NetRange:   63.245.208.0 – 63.245.223.255
CIDR:       63.245.208.0/20
NetName:    MOZNET-1

Lainnya adalah website Bank, dan aplikasi-aplikasi internal lain yang akan terkena dampak dari rule ini. Tapi kayaknya nggak perlu disebutin kan…!

Ngomong soal access-list nggak akan nyambung kalo nggak lihat konfigurasi jaringannya. Nah! katakan aja konfigurasinya seperti berikut:

Konfigurasi Jaringan Cisco

Dari konfigurasi diatas:

  • IP LAN 10.128.10.0/24
  • Subinterface router yang terhubung ke LAN 10.128.10.0/24 sebut saja F0/1.10 dengan IP 10.128.10.1
  • IP Squid Proxy 172.18.10.3 transparent.
  • Access-list akan dipasang diinterface router F0/1.10 IP ADDRESS 10.128.10.1, yaitu interface yang langsung terhubung ke LAN. Tujuannya server yang ada diluar network lokal tidak terpengaruh access-list. Contohnya Proxy Squid yang memiliki IP 172.18.10.3.
  • Setiap PC klien mengakses website, trafik dibelokkan oleh router dan diarahkan ke Squid Proxy transparent 172.18.10.3.
  • Route koneksi klien ke internet adalah sebagai berikut: PC klien (10.128.10/24) — (10.128.10.1) ROUTER (172.18.10.2) — (172.18.10.3) SQUID PROXY (172.18.10.3) — (172.18.10.1) FIREWALL — INTERNET
  • Gambar konfigurasi diatas bukanlah kondisi sebenarnya, dan cuman contoh kasus aja. Sebenarnya IP Address digambar tersebut kurang diperlukan untuk penjelasan access-list dibawah ini, karena saya malas bikin gambar lagi.

Rule Access-list sederhana yang perlu dibuat seperti berikut:

access-list 117 remark ultrasurf
access-list 117 permit tcp any any neq 443
access-list 117 permit udp any any
access-list 117 permit ip any host 68.142.233.176
access-list 117 permit ip any host 69.147.112.160
access-list 117 permit ip any host 66.163.169.186
access-list 117 permit ip any host 98.137.53.34
access-list 117 permit ip any host 68.180.195.216
access-list 117 permit ip any host 74.125.153.18
access-list 117 permit ip any host 209.85.171.115
access-list 117 permit ip any host 64.233.189.99
access-list 117 permit ip any host 69.63.180.174
access-list 117 permit ip any host 69.63.176.138
access-list 117 permit ip any host 91.189.90.19
access-list 117 permit ip any host 65.66.185.61
access-list 117 permit ip any host 219.83.126.9
access-list 117 permit ip any host 63.245.209.91
access-list 117 deny tcp any any eq 443 log
access-list 117 permit ip any any

Untuk jaga-jaga kang Dadang juga sudah nyiapin access-list dengan wildcard mask. Karena dari pengalamannya, saat login YM sering terhubung ke server dengan IP berbeda-beda.

access-list 117 remark ultrasurf
access-list 117 permit tcp any any neq 443
access-list 117 permit udp any any
access-list 117 permit ip any 69.147.64.0 0.0.63.255
access-list 117 permit ip any 68.142.192.0 0.0.63.255
access-list 117 permit ip any 66.163.160.0 0.0.31.255
access-list 117 permit ip any 98.136.0.0 0.3.255.255
access-list 117 permit ip any 68.180.128.0 0.0.127.255
access-list 117 permit ip any 69.147.64.0 0.0.63.255
access-list 117 permit ip any 64.233.160.0 0.0.31.255
access-list 117 permit ip any 74.125.0.0 0.0.255.255
access-list 117 permit ip any 209.85.128.0 0.0.127.255
access-list 117 permit ip any 69.63.176.0 0.0.15.255
access-list 117 permit ip any 91.189.88.0 0.0.7.255
access-list 117 permit ip any 65.64.0.0 0.7.255.255
access-list 117 permit ip any 219.83.126.0 0.0.0.255
access-list 117 permit ip any 63.245.208.0 0.0.15.255
access-list 117 deny tcp any any eq 443 log
access-list 117 permit ip any any

Jangan lupa, konfigurasikan access-list di interface F0/1.10 inbound

int f0/1.10
ip access-group 117 in

Selesai kan… Uraian yang panjang, tapi akhir yang ‘singkat’ mirip film-film indonesia :D

Oya, ditambahkan parameter “log” pada access-list deny port 443, untuk memudahkan monitor koneksi SSL yang terblok lewat perintah “show log“. Jika ditemukan IP yang seharusnya boleh diakses tinggal tambahin saja rule access-list-nya :( Tentunya akan cukup banyak service yang ikut terganggu.

Berikut list IP server yang sempat tertangkap kamera saat ultrasurf dijalankan pertama kali

Order IP Address Country Network Name
1 195.39.222.145 Germany ASKNET-AS
2 165.12.241.35 Australia DEEWR
3 210.242.23.5 Taiwan FU-BANG-SYNTHESI-TP-TW
4 114.47.116.156 Taiwan HINET-NET
5 118.168.1.188 Taiwan HINET-NET
6 122.120.37.86 Taiwan HINET-NET
7 218.166.99.221 Taiwan HINET-NET
8 118.161.210.63 Taiwan HINET-NET
9 59.115.198.99 Taiwan HINET-NET
10 125.230.35.18 Taiwan HINET-NET
11 218.169.180.75 Taiwan HINET-NET
12 220.141.118.201 Taiwan HINET-NET
13 114.47.120.116 Taiwan HINET-NET
14 118.160.233.90 Taiwan HINET-NET
15 114.42.11.146 Taiwan HINET-NET
16 65.49.2.122 USA – North Carolina HURRICANE-CE1805-926
17 65.49.2.123 USA – North Carolina HURRICANE-CE1805-926
18 65.49.2.118 USA – North Carolina HURRICANE-CE1805-926
19 128.231.210.98 USA – Maryland NIHNET-1
20 195.33.153.5 Netherlands NL-ATTIDCAMSTERDAM-NET
21 64.235.47.65 USA – Washington OCEANREEFS-APLUSHOSTING-CUSTOMER
22 207.105.75.196 USA – Texas PBI-CUSTNET-2760
23 38.144.194.3 USA – District Of

Columbia

PSINETA
24 61.144.235.3 China SHENZHEN-M-GT-STOCK-LTD
25 65.49.2.117 USA – North Carolina HURRICANE-CE1805-926
26 122.124.162.126 Taiwan HINET-NET
27 114.41.234.49 Taiwan HINET-NET
28 123.204.75.141 Taiwan SEEDNET-NET
29 218.160.188.87 Taiwan HINET-NET
30 218.169.0.236 Taiwan HINET-NET
31 118.170.66.213 Taiwan HINET-NET

12 Responses to “Blocking Ultrasurf under Cisco”


Leave a Reply