GUIA PARA EL BLOQUEO COMPLETO DE

ULTRASURF EN UNA RED MIKROTIK

QUE ES ULTRASURF?
Ultrasurf es un programa de tipo proxy desarrollado por Ultrareach Internet Corporation,
para poder navegar por internet “anónimamente” y lograr enmascarar la dirección IP para
saltar casi cualquier restricción de acceso establecidas en la red local.
Cuando se ejecuta, éste se conecta a sus servidores por medio de conexiones seguras y crea
una especie de “VPN” por donde pasará todo el tráfico y así burla las censuras impuestas en
la red. El firewall solamente tendrá conexiones a una sola dirección, la de UltraSurf, al estar
cifrada, no podrá ver qué tipo de tráfico está pasando por ahí, esto nos permite ingresar a
páginas no autorizadas o bloqueadas en nuestra región.
Es un programa muy famoso en ambientes de universidades, escuelas, empresas privadas,
instituciones del gobierno, centros de llamadas y muchos otros lugares donde las personas
necesitan ingresar a sitios indebidos o que no han sido autorizados por su administración.

MÁS A FONDO:
Ultrasurf, utiliza muchos métodos para conectar con sus servidores y no ser detectado por
los sistemas de seguridad. Casi ningún firewall logra intervenir conexiones seguras por lo que
es el primer modo que utiliza. Si no logra hallar sus servidores, tratará de localizar sus
servidores secundarios. Por último, su táctica es pasar por medio de otros servidores para
llegar a su destino, estos serían los que casi nunca están bloqueados o denegados, los de
google, amazon, cloudfront, entre otros.
Cuando se conecta con el Ultrasurf, se ingresa a una “nube de internet” donde los demás
usuarios están en línea y automáticamente, el usuario se vuelve un host y servirá para que
otras personas logren su conexión, pasando por la nuestra. Esto compromete seriamente la
seguridad de la red, ya que el usuario puede infectarse con cualquier tipo de malware.
Como anteriormente mencioné, inicialmente se crean conexiones por el puerto TCP 443 para
comunicarse con sus servidores primarios y secundarios, luego para encontrar los dominios
de uso más común, realiza peticiones DNS, por el puerto UDP 53, incluso intenta obtener las
direcciones haciendo solicitudes NBNS, por el puerto UPD 137.

Steven Vega Ramírez – MTCTCE San José, Costa Rica

stevenvegar@gmail.com Marzo, 2016 1
 - SERVIDORES ULTRASURF:
Primarios: Están alojados en la compañía CloudFlare, un datacenter que se especializa
en dar servicios de proxy similar a UltraSurf. Los bloques de estos servidores son:
104.20.61.0/24 104.20.62.0/24

Secundarios: Provienen de un DataCenter norteamericano llamado CoreSpace, en el que

utilizan cientos y cientos de IPs, se han resumido lo más posible, serían los:
63.249.128.0/17 64.182.0.0/16
66.34.0.0/16 66.221.0.0/16
69.13.0.0/16 209.164.64.0/18
216.97.0.0/17 216.221.160.0/19

Terciarios: Se han identificado varios dominios a los que UltraSurf intenta conectarse,
pero no poseen la dirección IP, por lo que consultan a nuestro DNS los siguientes
nombres:
Google.com Mail.google.com
Amazonaws.com Cloudfront.net
tfn.net.tw He.net
Hinet.net DigitalUnited.nl

Steven Vega Ramírez – MTCTCE San José, Costa Rica

stevenvegar@gmail.com Marzo, 2016 2
Gráficamente podemos entender un poco mejor su funcionamiento:

Qué acciones vamos a tomar:

Steven Vega Ramírez – MTCTCE San José, Costa Rica

stevenvegar@gmail.com Marzo, 2016 3
 PROCEDIMIENTO DE BLOQUEO

Existen varias formas para impedir que un usuario de la red local no pueda acceder los
servidores de UltraSurf, explicaré detalladamente la más efectiva y confiable.
Crearemos una “lista de direcciones” estática donde pondremos las direcciones de los
servidores primarios llamada “UltraSurf CloudFlare”. Luego haremos otra “lista de
direcciones” dinámica, la cual nombraremos “UltraSurf Users Drop” donde recogerá las
direcciones de origen cuando se intenten conectar hacia los servidores de “UltraSurf
CloudFlare” y se mantendrán en esa lista durante 30 segundos. Seguidamente, establecemos
una regla para que el firewall descarte o “dropee” todas las conexiones que tengan como
origen “UltraSurf Users Drop” y con destino “UltraSurf CloudFlare”.
Luego, haremos varias reglas para marcar los paquetes que tengan como destino los
servidores secundarios, provenientes desde cualquier IP de nuestra LAN, ya que no
representan ningún servicio importante o relevante, a estos paquetes les pondremos la
marca “UltraSurf”. Después de esto, haremos una regla para descartar todos los paquetes
que contengan la marca “UltraSurf”.
Finalmente, descartaremos todo el tráfico DNS, puerto UDP 53, en ambos sentidos de la “lista
de direcciones” “UltraSurf Users Drop” y así denegamos sólo por 30 segundos la navegación
del usuario.
Adicionalmente podemos establecer una “lista de direcciones” donde ingresen todas las
direcciones IP que hayan intentado conectarse a “UltraSurf CloudFlare”, pero no especificar
tiempo de descarte, así quedará marcada y el administrador de red sabrá quienes son los
usuarios que intentan burlar y sobrepasar la seguridad de la red.
Con esta configuración, los usuarios que intenten usar UltraSurf, se quedarán sin navegación
solamente 30 segundos, porque estaríamos denegando su acceso al puerto DNS y no podrán
resolver el nombre de ningún dominio. Los demás servicios o aplicaciones que se
comuniquen por otros puertos, no se verán afectados durante esos 30 segundos, siempre y
cuando no les afecte el cambio de proxy local que hace el UltraSurf. Ha sido probado más de
100 veces consecutivas con el mismo resultado, con varias versiones del programa, a la fecha
de Marzo 2016.
Cualquier consulta adicional, puede contactarme por medio de correo. Espero que esta guía
le sirva a alguien que necesite hacer este procedimiento en una red, también para demostrar
que los dispositivos Mikrotik son los mejores.

Saludos desde San José, Costa Rica.

Steven Vega Ramírez – MTCTCE San José, Costa Rica

stevenvegar@gmail.com Marzo, 2016 4
 SCRIPT PARA EL BLOQUEO DE ULTRASURF
/ip firewall address-list
add address=104.20.61.0/24 list="UltraSurf CloudFlare"
add address=104.20.62.0/24 list="UltraSurf CloudFlare"

/ip firewall filter

add action=add-src-to-address-list address-list="UltraSurf Users Drop" address-list-
timeout=30s chain=forward comment="UltraSurf Users Drop" dst-address-list="UltraSurf
CloudFlare"
add action=add-src-to-address-list address-list="UltraSurf Users" chain=forward
comment="UltraSurf Users" src-address-list="UltraSurf Users Drop"
add action=drop chain=forward comment="Drop UltraSurf CloudFlare" dst-address-
list="UltraSurf CloudFlare"
add action=drop chain=forward comment="Drop UltraSurf CoreSpace" packet-
mark=UltraSurf
add action=drop chain=forward comment="Drop UltraSurf Users" port=53 protocol=udp
src-address-list="UltraSurf Users Drop"

/ip firewall mangle

add action=mark-packet chain=prerouting comment="CoreSpace UltraSurf" dst-
address=63.249.128.0/17 new-packet-mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=64.182.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=66.34.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=66.221.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=69.13.0.0/16 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=209.164.64.0/18 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=216.97.0.0/17 new-packet-
mark=UltraSurf
add action=mark-packet chain=prerouting dst-address=216.221.160.0/19 new-packet-
mark=UltraSurf

Steven Vega Ramírez – MTCTCE San José, Costa Rica

stevenvegar@gmail.com Marzo, 2016 5
 Listas de direcciones, IPs CloudFlare, IPs Usuarios UltraSurf:

Filtro de Firewall denegando las conexiones a los servidores de UltraSurf

Firewall Mangle, marcando los paquetes hacia los servidores UltraSurf CoreSpace

Resultado

Steven Vega Ramírez – MTCTCE San José, Costa Rica

stevenvegar@gmail.com Marzo, 2016 6