Blocage Chat Programs - 15 mars 2006
Mise à jour le 15 mars 2006, avec de nouvelles règles d'accès pour bloquer sur AOL Instant Messenger sur le port 443. (Merci à Pierre Boehlke!)
Mis à jour le 20 mai 2004, de nouveaux renseignements sur AOL Instant Messenger.
Actualisées le Feb 20 avec une correction à l'AIM login le nom du serveur et quelques autres informations.
Actualisées le Nov 29 2001 avec un peu plus d'informations sur MSN Messenger sous-réseau en cours d'utilisation et Yahoo! Messenger adresses.
Mis à jour le 12 nov. 2001 avec des modifications pour ICQ, grâce à Adrei Fisenko.
Actualisées le Nov 9 avec quelques informations sur le blocage de MSN Messenger.
Mise à jour le 29 août 2001, avec les modifications apportées au sous-réseaux AOL et ICQ. Merci à Kevin Sinclair).
Beaucoup de gens semblent avoir des problèmes de blocage Chat programmes, spécifiquement AOL Instant Messenger, MSN Messenger, Yahoo! Messenger et ICQ. Voici quelques informations qui peuvent vous aider à réduire ces programmes descendre à l'BorderManager serveur. Merci à Kevin Sinclair pour son apport sur les sous-réseaux IP et Yahoo Messenger sur ce point.
Rappel des faits:
Programmes de chat sont très populaires, et beaucoup sont conçus pour être «facile à utiliser». Afin d'être faciles à utiliser, ils sont conçus pour fonctionner avec une large variété de connectivité conditions, et se configure automatiquement à la connexion par quelque moyen que ce sera disponible. Cette configuration automatique rend la fois facile à utiliser, et plus difficiles à bloquer, parce que les programmes eux-mêmes vont passer par un processus d'essais et d'erreurs de séquence de la recherche de ports ouverts pour se connecter à travers, et de l'utilisation des procurations si possible. Souvent, les paramètres proxy seront récupérés à partir d'Internet Explorer, mais les programmes habituellement voulez faire une connexion TCP directe à un serveur central pour commencer.
La manière dont ces programmes fonctionnent, c'est que la connexion doit être faite à un serveur central, par lequel les communications à d'autres utilisateurs sont établis. C'est là la clé de blocage de ces programmes - leur en interdire l'accès aux serveurs centraux, et ils ne peuvent pas travailler.
A 3-Pronged Approach
Il ya trois domaines à examiner lors de la tentative de bloquer l'accès à leurs programmes à partir de 'login' serveurs.
1. Filtrer le trafic sortant
Cette méthode est la plus simple, et utilisé pour le travail bien avant que les programmes est devenue plus sophistiquée.
Il est INDISPENSABLE d'avoir au moins la BorderManager filtres par défaut installé et activé! Les filtres par défaut TOUS LES BLOCS de ces programmes lorsqu'ils tentent d'accéder à Internet, mais ils ne PAS bloquer les programmes, si ces programmes utilisent votre serveur de proxy. Vous avez un problème seulement si vous n'avez pas installé les filtres (utilisez la commande LOAD BRDCFG de le faire), ne sont pas diffusées, les filtres ou vous avez mis en place des exceptions qui permettent la circulation. Je vois le problème, c'est que ces derniers temps la plupart des firewalls ne permettent à certains trafic sortant à travers le filtre d'exceptions, et les nouveaux programmes de chat (comme AOL Instant Messenger) fera port scans sur de nombreux ports et souvent trouver des ouvertures.
Si vous ne vous sentez pas à l'aise de travailler avec filtre exceptions près, faire appel à un consultant qui fait, ou en savoir plus sur le filtrage yourself - voici un lien vers mon livre sur la configuration des filtres et des exceptions pour BorderManager.
AOL Instant Messenger, à partir de Février 2002, va essayer une grande variété de numéros de ports TCP, et il est très probable de se connecter sur certains numéro de port qui est conçu pour permettre à certains autres trafics (comme FTP) si vous configurez filtre personnalisé exceptions . AOL Instant Messenger presque certainement vous demandera d'utiliser la méthode 3 ci-dessous. MSN Messenger essaie d'utiliser le port de destination TCP 1863. Yahoo! Messenger utilise le port 80. ICQ utilise une gamme de numéros de port, défaillant à destination des ports UDP 2000-4000, mais il a tellement de possibilités qu'il est presque vain de tenter de les appliquer. Les versions récentes de ICQ (2000b) peut par défaut le port AOL 5190, AOL a acheté depuis ICQ.
Tous ces programmes sont revus assez souvent que vous avez besoin à la recherche chaque nouvelle version qui sort pour voir si quelque chose a changé. Cette documentation a été écrite pour AOL Instant Messenger version 5,2, MSN Messenger 3.5.0077, et les versions ICQ 99a et 2000b.
Une fois que vous avez bloqué une connexion directe, les programmes doivent essayer de se connecter via un proxy. Les filtres par défaut devrait bloquer l'ensemble des programmes énumérés ci-dessus Chat de se connecter sans passer par un proxy. Mais si vous avez ouvert un port avec un filtre exception et NAT dynamique, certains de ces programmes peut faire autrement, par le biais de connexions sans danger des numéros de port, comme DNS! (Voir l'approche numéro 3 dans le cas présent)
2. Bloquer l'accès à la connexion via les serveurs proxy
Les programmes ont généralement des options pour connecter derrière un firewall proxy en entrant l'information, tels que HTTP, SOCKS, ou autres. Certains vont chercher des informations de configuration du proxy pour tenter de paramètres d'Internet Explorer. Blocage d'une connexion via un proxy est généralement assez facile que tout ce que vous avez à faire est d'entrer le bon URL Deny règle. Généralement, le seul serveur proxy qui sera utilisé ici est le proxy HTTP, éventuellement les Transparent Proxy HTTP.
La clé ici est de nier tout ce serveur de connexion est appelé dans les options de configuration pour le programme de chat. Certains pourront vous montrer une entrée configurable, tandis que d'autres (comme MSN Messenger) masquer.
Connexion serveur de noms - mettre en place une règle Refuser l'accès Web pour ces sites
* AOL Instant Messenger: login.oscar.aol.com: 443
* AOL Instant Messenger: login.oscar.aol.com, éventuellement toc.oscar.aol.com et login.icq.com
* MSN Messenger: gateway.messenger.hotmail.com (login.gateway.hotmail.com a)
* ICQ: login.icq.com et http.proxy.icq.com (Ws icq.mirabilis.com et login.icq.com précédemment)
* Yahoo! Messenger: msg.edit.yahoo.com / *
* (Yahoo! Messenger: Might également besoin de bloquer messenger.yahoo.com / andhttp.pager.yahoo.com * / * Assurez-vous de bien taper le http sur cette dernière URL).
3. Rediriger le trafic vers les serveurs de connexion via des itinéraires statiques mannequin
La première méthode devrait arrêter la connexion habituel routines, et le second devrait arrêter l'accès à travers un proxy (HTTP ou SOCKS), mais que faire si le programme de "chat" se greffe sur un proxy DNS (qui ne tient pas compte des règles d'accès) ou le filtre que vous avez configuré pour permettre des exceptions Le trafic sortant sur quelque port que le programme de chat découvre?
C'est là que nous, le tout-puissant pare-feu admins, obtenez le mal et délicate. Nous devons déterminer le sous-réseau IP de la connexion des serveurs, et d'utiliser une série d'itinéraires statiques à rediriger le trafic vers ces sous-réseaux pour le bit bucket. Tant que tout le trafic vers Internet doit passer par le serveur BorderManager, cette méthode sera TOUJOURS travail. Toutefois, elle est soumise à ceux des serveurs de connexion restant sur ces mêmes sous-réseaux! Si les informations de connexion des serveurs sont transférés à un autre sous-réseau, cette méthode devra être mise à jour avec de nouvelles informations traitant. Cette méthode est également une véritable approche martinet - vous ne serez pas en mesure de faire une exception pour l'administrateur (vous) pour passer et bloquer tout le monde.
Une autre méthode serait ici d'entrer mannequin entrées DNS pour les hôtes de connexion (comme dans le fichier HOSTS BorderManager interne et tout les serveurs DNS), mais qui est relativement facilement contrée par quelqu'un sachant ce que les véritables adresses IP des serveurs de connexion.
J'ai deux méthodes pour découvrir ce que les adresses sont utilisées. La première est de faire un DNS en utilisant une sorte de programme nslookup pour trouver des adresses pour les hôtes de connexion (comme login.oscar.aol.com). La seconde est d'utiliser un renifleur de paquets comme Ethereal (
www.ethereal.com) pour capturer des paquets de mon PC quand je dis le logiciel de chat pour se configurer. Puis-je analyser les demandes formulées à partir de mon PC pour voir ce que le programme de discussion essaie de faire.
Saisie d'un itinéraire statique avec NetWare:
LOAD INETCFG, allez à la protocoles TCP / IP, LAN et allez dans le tableau de routage statique. Faites du réseautage avec des entrées pour le réseau des numéros indiqués ci-dessous, en utilisant un bond suivant d'une adresse IP, c'est à l'intérieur d'un réseau directement à l'BorderManager serveur. (Ne pas utiliser une adresse IP attribuée actuellement au serveur, ou 127.0.0.1). Par exemple, si vous disposez d'une adresse IP privée 192.168.1.1 de la tenue de la BorderManager serveur, vous pouvez utiliser un bond suivant l'adresse de 192.168.1.254 via 192.168.1.2, et cela devrait fonctionner. Si vous aviez à mettre dans un discours tel que 10.0.0.1 (sans 10.xxx adresse réseau lié au serveur), il sera ignoré, et le trafic seront toujours envoyés par la route par défaut.
Pour rediriger AOL Instant Messenger:
AOL connexion des serveurs (login.oscar.aol.com, et aussi login.icq.com) sont sur ces sous-réseaux ou adresses, as of May 20, 2004:
* Hôte 64.12.161.153
* Hôte 64.12.161.185
* Hôte 64.12.200.89
* Hôte 205.188.153.121
* Hôte 205.188.179.233
AOL basé sur le Web utilise toc.oscar.aol.com serveur de chat, sur une variété d'adresses dans le 64.12.163.0 (255.255.255.0) réseau.
Je vous propose ci-après la réorientation des sous-réseaux, mais ce sera aussi vraisemblablement bloc AOL entièrement, et non seulement la messagerie instantanée
64.12.161.0 (255.255.255.0), 64.12.200.0 (255.255.255.0), 205.188.153.0 (255.255.255.0) et 205.188.179.0 (255.255.255.0)
Pour rediriger ICQ:
Rediriger les réseaux (au 20 mai 2004)
* Même que AOL Instant Messenger
Pour rediriger MSN Messenger:
, Le 3 décembre 2002 - Un sysop rapports MSN Messenger utilise maintenant l'adresse réseau 207.46.96.0, le masque de sous-réseau 255.255.224.0.
J'ai testé le 9 novembre 2001, et il y avait de multiples serveurs de connexion, le cas dans le passé, il n'y avait qu'un seul. Vers novembre 29, il est apparu qu'il y avait des adresses de connexion à des serveurs 64.4.13.170 travers 64.4.13.190.
Microsoft peut ajouter encore à l'avenir. J'étais encore en mesure de bloquer MSN Messenger avec juste filtre par défaut les exceptions et les règles d'accès énumérés ci-dessus, mais une nouvelle version de MSN Messenger sort qui est capable de glisser par la procuration de règles, essayez de réorienter l'ensemble d'un sous-réseau.
Redirection subnet 64.4.13.160 (255.255.255.224) permettra d'éviter le trafic d'atteindre toutes les adresses de 64.4.13.161 travers 64.4.13.191. (Changement de sous-réseau que de 64.4.13.128 et le masque de sous-réseau de 255.255.255.128 élargirait le blocage de 64.4.13.129 travers 64.4.13.255).
Pour rediriger Yahoo! Messenger:
Jusqu'à présent je n'ai pas eu à réorienter Yahoo! Messenger, mais simplement utilisé une règle d'accès comme indiqué ci-dessus (comme MSN Messenger). Toutefois, un lecteur de rapports aux adresses suivantes en service sur le 29 novembre 2001, si vous voulez essayer la technique de redirection.
CsXX.msg.yahoo.com Series
216.136.175.143-145
216.136.225.83-48
216.136.225.12
CsXX.msg.sc5.yahoo.com Series
216.136.226.209-210
216.136.227.166-167
En savoir comment un programme à passer au travers du proxy HTTP
Voici une technique que j'utilise pour découvrir ce qui doit être bloquée. J'ai utilisé ce pour traquer ce que Yahoo Messenger a été la connexion à, afin que je puisse mettre en place des règles d'accès pour le bloquer.
1. Utilisation d'un compte utilisateur qui n'a pas beaucoup de trafic, ou est mis en place uniquement pour ce test. Il en est ainsi, vous pouvez facilement voir ce qui est accessible dans votre essai.
2. Activer l'authentification par proxy. Il en est ainsi que le compte utilisateur vous testez avec des spectacles dans les logs.
3. Mettre en place un accès Web Autoriser tout état au sommet de la liste des règles, avec les NDS Source = compte utilisateur vous testez. Activer règle l'exploitation forestière.
4. Connecter au site ou du service. (Pour Yahoo Messenger, essayez de vous connecter.)
5. Vérifiez les règles d'accès pour les journaux des 30 dernières minutes pour voir ce qui a été autorisé, retrouvez le test compte utilisateur, double-cliquez dessus, et regardez l'URL's.
6. Mettre en place une règle de droit Deny URL Permettez-dessus de l'URL du test utilisateur, permettre à l'exploitation forestière sur lui, et entrer une URL à nier. Les jokers sont autorisés.
7. Test à nouveau. Si la règle Deny travaillé, vous verrez que, dans le Règlement d'accès à grumes. Si le login travaillé, le logiciel peut avoir tenté une deuxième option, vous avez aussi de nier ou de votre Deny règle peut avoir la mauvaise syntaxe. Aussi, lorsque les règles de refuser l'accès d'un site, vous devriez voir, dans la sollicitation de procurations de la console sur l'écran BorderManager serveur, une augmentation immédiate du "Echec" statistique.
S’il vous plaît dans le poste de rétroaction Forums publics Novell, BorderManager sections, si vous trouvez que ces méthodes ne fonctionnent plus.
Retour à la page principale
