Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 8334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

hamachi Issues! How to Block?

Corey3443
Guys, im having issues at home, with the kids finding out how to use hamachi. This is causes all kinds of issues so is there any easy way to block it on astaro?

I had a look via Application Control and couldn't see it. 

In terms of PF rules enforced on them they have the following 2 rules.
 -> Email Services -> Internetv4
 -> Steam Services -> Internetv4


They are also going through Transparent Proxy with Agent Authentication.

any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    Tell the kids you're going to disable their steam games if they don't cooperate.

    If disabling steam doesn't work, you could disable the mail PF rule and use the POP/SMTP proxies.

    If that still doesn't help, hamachi might be using http/s or you might have other PF rules allowing traffic out.

    You could run tcpdump to check what ports it's using.

    Barry
  • 0 in reply to BarryG
    I would make it easy on yourself. If you don't want the kids using it period I found that Hamahachi uses ports TCP 12975, and 32976. Then if and when it fails to use those ports which I think it should go to UDP 17771 and then finally if it still can't establish a connection TCP 443 (Non-SSL) . See FAQ: Which ports and protocols does LogMeIn Hamachi use? - LogMeIn Help This makes for an interesting situation that I'm not exactly sure how to go about.
  • 0 in reply to weather15

    I don't understand your PF rules - are those Drop or Allow?  What do you mean by a User Group object?  What are Steam services?
    In App Control, does blocking LogMein work?

    Thanks for the reply Bob,

    Those Are allow Rules
    User Group Obj is the Obj Assigned to User Authenticated Group of IP's (an example would be super admins)
    Steam Services is a group of ports used for online gaming.

    Ill try the logmein block and get back to you.

    you could disable the mail PF rule and use the POP/SMTP proxies.


    they use IMAP for gmail.... Yes yes you can use POP3, but than you dont get sync mailed features across the entire system like 'mark as read', 'moved to folder' etc etc.
    As we all have our mail sync to our laptops/tablets and phones, it was just easier to let it go through. dam astaro for no IMAP Proxy (even voted for the feature)



    If that still doesn't help, hamachi might be using http/s or you might have other PF rules allowing traffic out.
    Barry

    Hi Barry,

    I actually think this is whats happening. i did abit of reading and it seems to resort to SSL trickery as a last resort, so thats why i was hoping for Application block.

    im 100% sure it isnt another PF rule, as my rules are very strict. All rules on that network are done by usergroup, so if there user isnt logged in, they dont have any access whats so ever. There is 1 exception at this is the following rule:

    Private Network Obj -> Any -> HostObj('filesrv') 

    this one rules allows any traffic from there network to our fileserver, this was simply done as we have media players and other devices that need to be able to connect to it, but dont need the internet.

    This makes for an interesting situation that I'm not exactly sure how to go about.


    Hey Weather,

    exactly my issue. if its using ssl to get out than it means i need a app rule, or ill have to come up with a way to use a PF rule to block the ip addresses.
Reply
  • 0 in reply to weather15

    I don't understand your PF rules - are those Drop or Allow?  What do you mean by a User Group object?  What are Steam services?
    In App Control, does blocking LogMein work?

    Thanks for the reply Bob,

    Those Are allow Rules
    User Group Obj is the Obj Assigned to User Authenticated Group of IP's (an example would be super admins)
    Steam Services is a group of ports used for online gaming.

    Ill try the logmein block and get back to you.

    you could disable the mail PF rule and use the POP/SMTP proxies.


    they use IMAP for gmail.... Yes yes you can use POP3, but than you dont get sync mailed features across the entire system like 'mark as read', 'moved to folder' etc etc.
    As we all have our mail sync to our laptops/tablets and phones, it was just easier to let it go through. dam astaro for no IMAP Proxy (even voted for the feature)



    If that still doesn't help, hamachi might be using http/s or you might have other PF rules allowing traffic out.
    Barry

    Hi Barry,

    I actually think this is whats happening. i did abit of reading and it seems to resort to SSL trickery as a last resort, so thats why i was hoping for Application block.

    im 100% sure it isnt another PF rule, as my rules are very strict. All rules on that network are done by usergroup, so if there user isnt logged in, they dont have any access whats so ever. There is 1 exception at this is the following rule:

    Private Network Obj -> Any -> HostObj('filesrv') 

    this one rules allows any traffic from there network to our fileserver, this was simply done as we have media players and other devices that need to be able to connect to it, but dont need the internet.

    This makes for an interesting situation that I'm not exactly sure how to go about.


    Hey Weather,

    exactly my issue. if its using ssl to get out than it means i need a app rule, or ill have to come up with a way to use a PF rule to block the ip addresses.
Children
  • 0 in reply to Corey3443
    exactly my issue. if its using ssl to get out than it means i need a app rule, or ill have to come up with a way to use a PF rule to block the ip addresses.


    There might be some URL patterns or IPs you could block in the http content filter.

    Barry
  • 0 in reply to BarryG
    I've done some digging around. It seems that Hamachi connects to a variety of different servers so simply blocking out one address is not the answer. It seems they don't just use one IP range so blocking it that way also won't work. There is a SNORT rule to block Log Me In services but I can't seem to find anything about how it works just that it exists. I'm curious to see if blocking the application Log Me In will fix the problem.
  • 0 in reply to weather15
    I'm curious to see if blocking the application Log Me In will fix the problem.


    3hrs into my flight back home, so ill give it a shot when my terror of flying fades away once im safe in my house [:P]
    i did a reinstall on the weekend because the hhd had decided to to BANG! So my stupidity for realizing once i left the state that vpn wasn't configured made my life very difficult >.>
  • 0 in reply to Corey3443
    The only real way to block this (when I say real -- I mean something that stays effective for a long period of time) is for Sophos to update the Application Awareness defs to detect this protocol -- they also need to add detection rules for other Proxy programs, most of them are difficult to block with packet filters or content filtering rules, as they are "moving targets."

    I'd suggest adding a feature request at feature.astaro.com asking for them to add detection capability for this protocol you're having trouble blocking.

    And, LOL at the kids going around this... I'd give them kudos for being resourceful, then block Steam for a few days until they get the message [:)]

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    There already seems to a SNORT rule for detecting the application. However I can't seem to find any documentation on how it works. But if there was someway to find out this might make it very easy to set this up with an Astaro box.
Unfiltered HTML