GUIA PARA EL BLOQUEO COMPLETO DE

ULTRASURF EN UNA RED MIKROTIK

QUE ES ULTRASURF?
Ultrasurf es un programa de tipo proxy desarrollado por Ultrareach Internet Corporation,
para poder navegar por internet annimamente y lograr enmascarar la direccin IP para
saltar casi cualquier restriccin de acceso establecidas en la red local.
Cuando se ejecuta, ste se conecta a sus servidores por medio de conexiones seguras y crea
una especie de VPN por donde pasar todo el trfico y as burla las censuras impuestas en
la red. El firewall solamente tendr conexiones a una sola direccin, la de UltraSurf, al estar
cifrada, no podr ver qu tipo de trfico est pasando por ah, esto nos permite ingresar a
pginas no autorizadas o bloqueadas en nuestra regin.
Es un programa muy famoso en ambientes de universidades, escuelas, empresas privadas,
instituciones del gobierno, centros de llamadas y muchos otros lugares donde las personas
necesitan ingresar a sitios indebidos o que no han sido autorizados por su administracin.

MS A FONDO:
Ultrasurf, utiliza muchos mtodos para conectar con sus servidores y no ser detectado por
los sistemas de seguridad. Casi ningn firewall logra intervenir conexiones seguras por lo que
es el primer modo que utiliza. Si no logra hallar sus servidores, tratar de localizar sus
servidores secundarios. Por ltimo, su tctica es pasar por medio de otros servidores para
llegar a su destino, estos seran los que casi nunca estn bloqueados o denegados, los de
google, amazon, cloudfront, entre otros.
Cuando se conecta con el Ultrasurf, se ingresa a una nube de internet donde los dems
usuarios estn en lnea y automticamente, el usuario se vuelve un host y servir para que
otras personas logren su conexin, pasando por la nuestra. Esto compromete seriamente la
seguridad de la red, ya que el usuario puede infectarse con cualquier tipo de malware.
Como anteriormente mencion, inicialmente se crean conexiones por el puerto TCP 443 para
comunicarse con sus servidores primarios y secundarios, luego para encontrar los dominios
de uso ms comn, realiza peticiones DNS, por el puerto UDP 53, incluso intenta obtener las
direcciones haciendo solicitudes NBNS, por el puerto UPD 137.

Steven Vega Ramrez MTCTCE San Jos, Costa Rica

stevenvegar@gmail.com Marzo, 2016 1
 - SERVIDORES ULTRASURF:
Primarios: Estn alojados en la compaa CloudFlare, un datacenter que se especializa
en dar servicios de proxy similar a UltraSurf. Los bloques de estos servidores son:
104.20.61.0/24 104.20.62.0/24

Secundarios: Provienen de un DataCenter norteamericano llamado CoreSpace, en el que

utilizan cientos y cientos de IPs, se han resumido lo ms posible, seran los:
63.249.128.0/17 64.182.0.0/16
66.34.0.0/16 66.221.0.0/16
69.13.0.0/16 209.164.64.0/18
216.97.0.0/17 216.221.160.0/19

Terciarios: Se han identificado varios dominios a los que UltraSurf intenta conectarse,
pero no poseen la direccin IP, por lo que consultan a nuestro DNS los siguientes
nombres:
Google.com Mail.google.com
Amazonaws.com Cloudfront.net
tfn.net.tw He.net
Hinet.net DigitalUnited.nl

Steven Vega Ramrez MTCTCE San Jos, Costa Rica

stevenvegar@gmail.com Marzo, 2016 2
Grficamente podemos entender un poco mejor su funcionamiento:

Qu acciones vamos a tomar:

Steven Vega Ramrez MTCTCE San Jos, Costa Rica

stevenvegar@gmail.com Marzo, 2016 3
 PROCEDIMIENTO DE BLOQUEO

Existen varias formas para impedir que un usuario de la red local no pueda acceder los
servidores de UltraSurf, explicar detalladamente la ms efectiva y confiable.
Crearemos una lista de direcciones esttica donde pondremos las direcciones de los
servidores primarios llamada UltraSurf CloudFlare. Luego haremos otra lista de
direcciones dinmica, la cual nombraremos UltraSurf Users Drop donde recoger las
direcciones de origen cuando se intenten conectar hacia los servidores de UltraSurf
CloudFlare y se mantendrn en esa lista durante 30 segundos. Seguidamente, establecemos
una regla para que el firewall descarte o dropee todas las conexiones que tengan como
origen UltraSurf Users Drop y con destino UltraSurf CloudFlare.
Luego, haremos varias reglas para marcar los paquetes que tengan como destino los
servidores secundarios, provenientes desde cualquier IP de nuestra LAN, ya que no
representan ningn servicio importante o relevante, a estos paquetes les pondremos la
marca UltraSurf. Despus de esto, haremos una regla para descartar todos los paquetes
que contengan la marca UltraSurf.
Finalmente, descartaremos todo el trfico DNS, puerto UDP 53, en ambos sentidos de la lista
de direcciones UltraSurf Users Drop y as denegamos slo por 30 segundos la navegacin
del usuario.
Adicionalmente podemos establecer una lista de direcciones donde ingresen todas las
direcciones IP que hayan intentado conectarse a UltraSurf CloudFlare, pero no especificar
tiempo de descarte, as quedar marcada y el administrador de red sabr quienes son los
usuarios que intentan burlar y sobrepasar la seguridad de la red.
Con esta configuracin, los usuarios que intenten usar UltraSurf, se quedarn sin navegacin
solamente 30 segundos, porque estaramos denegando su acceso al puerto DNS y no podrn
resolver el nombre de ningn dominio. Los dems servicios o aplicaciones que se
comuniquen por otros puertos, no se vern afectados durante esos 30 segundos, siempre y
cuando no les afecte el cambio de proxy local que hace el UltraSurf. Ha sido probado ms de
100 veces consecutivas con el mismo resultado, con varias versiones del programa, a la fecha
de Marzo 2016.
Cualquier consulta adicional, puede contactarme por medio de correo. Espero que esta gua
le sirva a alguien que necesite hacer este procedimiento en una red, tambin para demostrar
que los dispositivos Mikrotik son los mejores.

Saludos desde San Jos, Costa Rica.

Steven Vega Ramrez MTCTCE San Jos, Costa Rica

stevenvegar@gmail.com Marzo, 2016 4
 SCRIPT PARA EL BLOQUEO DE ULTRASURF
/ip firewall address-list
add address=104.20.61.0/24 list="UltraSurf CloudFlare"
add address=104.20.62.0/24 list="UltraSurf CloudFlare"

/ip firewall filter

add action=add-src-to-address-list address-list="UltraSurf Users Drop" address-list-
timeout=30s chain=forward comment="UltraSurf Users Drop" dst-address-list="UltraSurf
CloudFlare"
add action=add-src-to-address-list address-list="UltraSurf Users" chain=forward
comment="UltraSurf Users" src-address-list="UltraSurf Users Drop"
add action=drop chain=forward comment="Drop UltraSurf CloudFlare" dst-address-
list="UltraSurf CloudFlare"
add action=drop chain=forward comment="Drop UltraSurf CoreSpace" packet-
mark=UltraSurf
add action=drop chain=forward comment="Drop UltraSurf Users" port=53 protocol=udp
src-address-list="UltraSurf Users Drop"

/ip firewall mangle

add action=mark-packet chain=prerouting comment="CoreSpace UltraSurf" dst-
address=63.249.128.0/17 new-packet-mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=64.182.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=66.34.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=66.221.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=69.13.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=209.164.64.0/18 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=216.97.0.0/17 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=216.221.160.0/19 new-packet-
mark=UltraSurf

Steven Vega Ramrez MTCTCE San Jos, Costa Rica

stevenvegar@gmail.com Marzo, 2016 5
 Listas de direcciones, IPs CloudFlare, IPs Usuarios UltraSurf:

Filtro de Firewall denegando las conexiones a los servidores de UltraSurf

Firewall Mangle, marcando los paquetes hacia los servidores UltraSurf CoreSpace

Resultado

Steven Vega Ramrez MTCTCE San Jos, Costa Rica

stevenvegar@gmail.com Marzo, 2016 6