Ultra Surf 8.8 How to block?

We have had several students find this new filter work around. It's called Ultra Surf from www.wujie.net

It comes from Ultrareach and has been very hard to stop. Has anyone run into this Anonymous proxy?
We have found the the program runs on port 9666.
We blocked all outbound traffic on 9666. Still will not stop it.
Found a forum that says to block server 67.15.183.30. Still will not stop it.
It has to be some sort of bot that has servers all over the place that it changes ports and server IP's.

Anyone, Anyone?

just about every proxy software and p2p client will now do an internal portscan against your firewall if it finds itself blocked.  I bet it is falling back to port 80 and/or 443.  Other than routing them through a standard proxy(instead of transparent) and locking it down that way there's no easy way to block traffic like this.  Make a strong policy that includes removal of network access and strictly and rapidly enforce it.

Even better would be an IPS rule (one that we could either add manually, or be able to select as a "Policy" rule, like in Version 6) that could detect a pattern of traffic that indicates that particular app is being used.

After a little more investigation:

It has no install, and users can rename the file to anything and it still works.
All traffic is through Https, and it will search the internet for several sites of proxies for the fastest ones.
We tried to lock down the desktops in the district to not allow running of exe's on removable storage with the Group policy. Administration screamed that kids that purchased thumb drives with an exe program that will re-letter the thumb drive to an open letter could not use them. 
We have to keep Https open for the all sites that teachers have found with "Educational Material on them" Yeah right! [8-)]Another way for them to check their checkbook balance online, at school.

A custom IPS rule may be the only way to block this effectively... unfortunately, I haven't been able to find one prebuilt (some time with TCPDUMP and an example system would give one the info needed to build it, though)... the real problem is that current Version 7 does not allow the addition of custom IPS rules... although I hear that will be changing soon.

I have the same problem here.
I've difficulties to block this program...
So how to block this Ultra Surf ???
Need advice please

UltraSurf 8.9 doesn't have proxy authentication module.
I configured the box using basic user authentication.
And it works... UltraSurf can't do anything [:D]

it would be nice if i was possible to block all public web proxy's. extending the http filter with anonymous- web proxy's would be realy great.

it would be nice if i was possible to block all public web proxy's. extending the http filter with anonymous- web proxy's would be realy great.

can't filter what you can't read.  ultrasurf encrypts the traffic going out..this means the proxy can't see what hte3 traffic is so it's effectively blinded.

it would be nice if i was possible to block all public web proxy's. extending the http filter with anonymous- web proxy's would be realy great.

can't filter what you can't read.  ultrasurf encrypts the traffic going out..this means the proxy can't see what hte3 traffic is so it's effectively blinded.

ultra surf uses https port 443 to connect to its parent proxy. Find the IPs of the proxies that it is connecting to and create a packet filter rule to deny the connection.

There is another possibility now with the advent of the new AFC engine in 7.200 ... perhaps Astaro may use it in the future to analyze and block programs like these as well...

Ultra Surf have tons of IP addresses.
So it's impossible to add the IP.
Every time Ultra Surf making a connection, the log (Content Filter) would appears url="X.X.X.X:443" with randomize IP addresses.
After that, the client become invisible (not recorded by Astaro) and they can browse to any sites.

So I tried with Regular Expressions in Content Filter:

1. ([01]?\d\d?|2[0-4]\d|25[0-5])\.([01]?\d\d?|2[0-4]\d|25[0-5])\.([01]?\d\d?|2[0-4]\d|25[0-5])\.([01]?\d\d?|2[0-4]\d|25[0-5])\:443

2. [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\:443

The result Ultra Surf cannot connect anymore.
I'm not add packet filter rule for blocking.

Good day!  Has anyone made progress in defeating Ultrasurf?

Just give up.  IT at my school has tried and failed to beat us.  You cannot win.

7.400 will be including a new HTTPS proxy... which can scan content... this may help.

As Bruce mentioned, 7.400 includes the ability to decrypt https at the gateway for inspection.  There will certainly be a few issues to consider in implementing this function, but it will provide a substantially improved a level of control.

Just give up.  IT at my school has tried and failed to beat us.  You cannot win.

Technology alone can't fully address the issue.  At some level people in supervisory positions have to be involved- whether teachers, administrators, managers, etc.

Hi guys, 

i just tried the latest version of Ultrasurf 9.2 to be able to go through the new web security package of ASG 7.400 BETA.

and the result is ...  yes, Astaro Security Gateway can block ultrasurf without a problem.
see the attached image and logfile excerpt.

2008:11:21-23:13:22 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="61224 ms" request="0xb18ede98" url="91.109.241.179" error="Connection to server timed out"

2008:11:21-23:13:22 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="60195 ms" request="0xada5c1b0" url="91.121.65.41" error="Connection to server timed out"

2008:11:21-23:13:22 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="63229 ms" request="0xb2edada8" url="91.127.203.140" error="Connection to server timed out"

2008:11:21-23:13:22 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="60194 ms" request="0xadafd900" url="88.203.6.227" error="Connection to server timed out"

2008:11:21-23:13:24 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="400" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2079" time="1 ms" request="0xada5c1b0" url="" error="Received invalid request from client"

2008:11:21-23:13:27 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="64191 ms" request="0xad8a6170" url="91.111.95.31" error="Connection to server timed out"

2008:11:21-23:13:32 (none) httpproxy[6663]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.254.3.239" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="65138 ms" request="0xb1a5abb0" url="91.55.221.219" error="Connection to server timed out"

regards
Gert

As Bruce mentioned, 7.400 includes the ability to decrypt https at the gateway for inspection.  There will certainly be a few issues to consider in implementing this function, but it will provide a substantially improved a level of control.

yes you do a man in the middle attack on the https connection....not sure how i feel about this because you are intercepting what is supposed to be a direct secured connection between two points now.  I can see the utility on the network admin side..but this can also be used to a very detrimental affect by rogue it operators waaaay to easily.  Luckily the option to NOT use it exists..so that's the choice i'll make..