Bloqueando MSN messenger com iptables

Publicado por Abel em 13/04/2007

[ Hits: 14.933 ]

 


Bloqueando MSN messenger com iptables



Bom, hoje em dia nas empresas é bastante comum administradores de redes quererem bloquear o MSN, pois além de ocupar banda, os usuários às vezes deixam de trabalhar para ficarem conversando, sem falar na questão de segurança, em que muitos ficam transferindo arquivos e podendo comprometer sua rede.

Tentei fazer bloqueio com Squid, mas não obtive sucesso, então depois de muito estudar e tentar encontrei uma forma de bloquear o MSN com iptables, diga-se de passagem que não é uma coisa muito fácil, pois o MSN usa diversas portas para conectar, como 80, 8080, etc. Imagina se você bloqueia a porta 80, ninguém entra mais no MSN, mas também, ninguém mais navega! :(

Vamos lá então:

Bloqueando MSN:

# /sbin/iptables -I FORWARD -s 10.0.0.0/24 -p tcp --dport 1863 -j DROP

Liberando MSN:

# /sbin/iptables -I FORWARD -s 10.0.0.203/255.255.255.255 -p tcp --dport 1863 -j ACCEPT

Substitua a faixa de ip, reinicie o iptables e adicione essa nova regra, foi testado aqui na empresa e ele conseguiu bloquear, não entra mais de jeito nenhum, só quem eu liberar, mas não foi testado com o MSN live, somente com até 7.5 e ele realmente bloqueia.

Espero ter ajudado alguém.

Abraços.

Outras dicas deste autor

Configurando um proxy trasparente com liberação para o site da caixa (Conectividade Social)

Leitura recomendada

Mantendo seu Ubuntu seguro com ClamAV

Inserir comentários em regras do iptables

Possíveis problemas após atualização do IPTables

F1 = Fórmula 1? NÃO! Mais uma vulnerabilidade do IE

Quebrando senha de root

  

Comentários
[1] Comentário enviado por y2h4ck em 16/04/2007 - 16:00h

Mas isto não funciona, uma vez que se você bloquear a porta 1863 o msn encapsula o trafego através da porta 80 e 443.

:)

Para fazer a filtragem de MSN de forma convincente deve-se utilizar um proxy para filtrar a camada 7 (aplicação).

- Squid + Dansguardian
- ISA server 2006
- OOps

Qualquer um deles seria suficiente.

Obrigado
Abraços.

[2] Comentário enviado por abelardo em 16/04/2007 - 16:21h

Cara, o seguinte, eu to usando dessa maneira aqui na empresa, com ip tables e com proxy trasparente, eu sei do que voce esta falando, ele realmente procura outras portas, mas aqui funcionou, neninguem consegue acessas pelo 7.5 (nao testei o live ainda), :)

[3] Comentário enviado por nil_anderson em 16/12/2007 - 23:40h

Abelardo,

Está funcionando, pois como você já mencionou o Proxy é transparente. Quando o Proxy é autenticado ou quando há configuração de Proxy nos navegadores IE ocorre o problema de conexão pelo squid/ISA Server.

A conexão do cliente MSN é somente na porta TCP/1863, mas quando há alguma configuração de Proxy nas "opções de internet" o cliente MSN consulta tais configurações e se no Proxy estiver liberado o acesso, ele consegue conectar, compreende?

A solução é bloquear o MSN no Proxy nestes casos... logo sairá uma dica com os procedimentos mais práticos/completos para este assunto.

Outra alternativa é a seguinte, atualmente a política de muitas empresas é de bloquear o acesso ao MSN, há alguns softwares SOCKS que controlam a utilização deste recurso e ainda podem determinar com quais contatos são permitidos conversar, envio/recebimento de arquivos...
Particularmente conheço dois softwares que fazem isso, que é o IMControl e o Trevio/SOCKSArmor. Após testar as duas soluções, verifiquei que o Trevio/SOCKSArmor possui grandes diferenciais relação a esta situação, o software faz controle de conversas em tempo real, pode-se adicionar regras relacionando objetos.... realmente o funcionamento é bastante interessante.

Talvez fosse interessante fazer alguns testes com a versão 'demo' existente atualmente. Procure no Google pela palavra: Trevio que você encontrará... Penso que sua empresa irá gostar desta solução ;)

[4] Comentário enviado por legista em 23/10/2008 - 12:54h

e ai pessoal?

que tal fazer diferente?

ao invez de bloquear a porta pq ele sempre fica escorregando para as outras bloqueia o ip destino?

iptables -A FORWARD -d 207.46.0.0/16 -j DROP ---> para proibir a rede toda.

tentem ai para ver se funfa

Abs a todos



Contribuir com comentário