Adicionando o IMSpector em seu pfSense

Publicado por Leonardo Damasceno em 14/10/2010

[ Hits: 29.059 ]

Blog: https://techcraic.wordpress.com

 


Adicionando o IMSpector em seu pfSense



É importante saber o que passa pela sua rede. Assim como é importante monitorar o uso de softwares, que podem dispersar os funcionários.

Quando se fala de MSN Messenger em empresas, o que vem logo a mente é que será utilizado para bater papo, independente da solicitação. Passei por uma situação semelhante, onde várias pessoas precisavam de acesso, para falar com "fornecedores", então decidi que seria necessário salvar as conversas, sem previamente ler uma por uma, mas caso alguma reclamação surgisse, eu teria algo em mãos, para mostrar que determinado funcionário utilizava o software para uso que não era de interesse da empresa.

Existem vários artigos e dicas no VOL falando sobre msn-proxy, scanhill e outros, mas achei interessante a forma com que o pfSense trabalha integrando o IMSpector nele. Nesta dica, irei abordar a forma de adicionar o pacote IMSpector no pfSense 1.2.3, que diga-se de passagem não tem nenhum segredo.

Acesse o menu System > Packages, então você verá uma enorme lista de pacotes disponíveis para a integração com o pfSense, tais como: snort, freeradius, zabbix, squid, cron e vários outros.

Localize o pacote IMSpector, e clique no nome do pacote para acessar o site do desenvolvedor, ou para instalar clique no botão com um sinal de mais "+", ao lado da coluna de descrição:
Linux: Adicionando o IMSpector em seu pfSense
Será feita a seguinte pergunta: "Do you really want to install this package?"

Basta clicar em OK, e será iniciado o download do imspector e suas dependências, e logo a instalação:
Linux: Adicionando o IMSpector em seu pfSense
Após a instalação ser finalizada, você verá a seguinte mensagem:

"Installation completed. Please check to make sure that the package is configured from the respective menu then start the package."

Pronto! Clique na aba "Installed packages" para verificar os pacotes já instalados, e se o imspector se encontra entre eles. Se ele estiver listado como instalado, acesse o menu Services > IMSpector, você verá a tela de configuração, que fica na aba principal "IMSpector Settings":
Linux: Adicionando o IMSpector em seu pfSense
A configuração básica não exige um banco de dados para armazenar os logs, se bem que seria o ideal. Porém, para iniciar o monitoramento basta selecionar a interface (Sua rede local, geralmente a interface LAN), e os protocolos, em meu caso apenas o MSN.

Não esqueça de liberar o acesso ao MSN nas regras da sua interface. Antes, vamos criar um Alias, contendo as portas que o messenger utiliza, que são: 1863, 901, e 6891 até 6900.

Clique em Firewall > Aliases, e preencha/selecione as opções:
  • Name: Defina um nome para o Alias
  • Description: Defina uma descrição para o Alias
  • Type: Defina Port(s), pois esse Alias será utilizado apenas para adicionar as portas utilizadas pelo messenger
  • Port(s): Adicione as portas. Clique no mais ("+") localizado abaixo para adicionar mais campos, pois por padrão, apenas um é mostrado, então adicione mais dois, pois serão utilizadas três portas.

Obs.: Utilize ":" para definir um range de portas, como por exemplo, se tu quer da porta 5, até a porta 10, faça: 5:10.

Agora, clique em SAVE. Veja na imagem abaixo:
Linux: Adicionando o IMSpector em seu pfSense
Adicione a regra, acessando o menu Firewall > Rules, clique na aba LAN, e defina a seguinte regra:

Protocolo: TCP
Source: LAN subnet
Port (Origem): *
Destino: *
Port (Destino): NOME-DO-SEU-ALIAS
Gateway: *

No meu caso, defini o nome do Alias como PORTASMSN, veja como minha regra ficou:
Linux: Adicionando o IMSpector em seu pfSense
Explicação: O Messenger utiliza o protocolo TCP na porta 1863, 901, e 6891 até 6900, nessa regra você está liberando toda a sua LAN com destino a qualquer lugar na porta de destino 1863, 901, 6891 até 6900 com o gateway default. Como criamos um Alias, precisamos apenas de uma regra, caso contrário, teríamos que criar três regras, uma para cada porta.

Depois disso, salve e aplique a regra.

Outras dicas deste autor

Criando um pacote .deb

Visualizando mensagem da fila do Postfix

Visualizando o tráfego de rede de forma organizada com Weathermap + MRTG

Quatro áreas de trabalho no Debian com Compiz

Testando servidor de e-mail via telnet

Leitura recomendada

Snoopy Logger

Alterando a senha do usuário root com o comando sudo

Lista de portas TCP, UDP e ICMP

BlackArch Linux - Usando um repositório para Pentest

Backtrack 4 - Arpalert

  

Comentários
[1] Comentário enviado por rhoberyo em 20/10/2010 - 10:23h

Ola Leonardo bom dia

Uso PFsense e estava usando o IMSpector ate que tive q reinstalar o PFsense foi quando desabilitou System > Packages. creio que o PFsense faz uma comunicação com algum server lotando assim a lista de Packages.

Pergunta:

Teria como reverter isso, pois nao aparece mais os pacotes no meu PFsense.

Grato amigo.

[2] Comentário enviado por karlopires em 16/12/2010 - 17:26h

Boa tarde Leonardo.
Teria como enviar uma mensagem de advertencia para os usuarios que estabelecem uma conversa no msn.
Tipo assim: "Esta conversa esta sendo monitorada pelo administrador, fale somente o indispensável!"
Gostaria que ambos os lados recebessem essa mensagem.
Desde já obrigado.

[3] Comentário enviado por leodamasceno em 23/12/2010 - 20:30h

Olá rhoberyo, desculpe pela demora, estou meio atarefado.

Bom, nunca vi isso acontecer antes, mas pelo que tu descreveu, o problema parece ser que tua WAN
O pfSense tenta acessar a lista de pacotes utilizando a interface da internet, que seria a sua WAN.

Verifique se a mesma está funcionando. Tente utilizar o ping com a interface WAN no menu: Diagnostics > Ping.

Host: www.google.com.br
Interface: WAN
Count: 3

Detalhe: Sua rede tem proxy? o pfsense não detecta os pacotes se o proxy não liberar o mesmo.

Um abraço.

[4] Comentário enviado por Maykonsoft em 11/02/2011 - 11:52h

Amigo, parabéns pela postagem!
Tentei fazer o Imspector funcionar no pfSense 2.0_Beta_5 seguindo a sua postagem, mas não tive sucesso. Teria algo diferente para fazer nessa versão? E mais, como liberar os log do Imspector no proxy (como você citou no último comentário)?

Detalhe: Utilizo o proxy transparente.

Fique com Deus! Tudo de bom! Poste mais sobre o pfSense!

Grato,
MS.

[5] Comentário enviado por felipeortega em 15/02/2011 - 09:27h

Muito boa essa dica amigo, mas estou com um problema abaixei o IMSpector segui fielmente suas configurações e não houve nenhuma captura de pacote o que então poderia ser?
Utilizo o pfsense 2.0-BETA4 , fiz testes com o MSN 8.5 , 2009 e 2011 todos sem sucesso .
Não tem a necessidade de definir uma regra para que passe pela porta 16667 para ocorrer à captura?
Fico no aguardo desde já obrigado

[6] Comentário enviado por fabianorosa2011 em 11/04/2011 - 11:37h

Leonardo,

Primeiramente, meus parabéns pela postagem! Excelente materia para consulta!
Gostaria de saber se o ImSpector funciona em proxy transparente. Se sim, tem alguma configuração extra que se tenha que fazer? Estou utilizado o pfsense 1.2.3.
Agradeço a atenção!



Contribuir com comentário