Funcionamento e bloqueio do MSN - Squid + Iptables

Publicado por Nil Anderson Martins da Silva em 10/01/2008

[ Hits: 10.957 ]

0 0

Denuncie Favoritos Indicar Impressora

Funcionamento e bloqueio do MSN - Squid + Iptables

Pessoal,

Mesmo sabendo que já existe uma documentação que apresenta algumas soluções de bloqueio para o cliente MSN neste site, vou acrescentar outras explicações e apresentar outra forma (simples) de bloquear este aplicativo.

O cliente MSN estabelece a conexão na porta TCP/1863 (porta default), acontece que em alguns casos, quando na estrutura de rede há Squid/proxy autenticado e são realizadas as configurações no IE (opções internet) o MSN possui uma integração (Microsoft) que consulta tais configurações e estabelece a conexão via HTTP, ou seja, mesmo que o MSN esteja bloqueado no Firewall, a conexão irá se estabelecer via HTTP.

Para resolver esta situação, sugiro realizar os seguintes procedimentos:

Iptables

Adicione a seguinte regra de FORWARD (pois a origem e o destino não é o Firewall) para bloquear a conexão pela porta 'default':

iptables -I FORWARD -p tcp -s 10.0.0.0/8 --dport 1863 -j DROP

Obs.: substitua a rede 10.0.0.0/8 por sua rede.

SQUID

Para bloquear o cliente MSN no SQUID é bastante simples, adicione as seguintes ACLs:

http_access allow CONNECT LoginMSN
http_access deny GatewayMSN

acl LoginMSN dst login.live.com by4.omega.contacts.msn.com
nexus.passport.com loginnet.passport.com
acl GatewayMSN url_regex http.messenger.*.com messenger gateway.dll

LoginMSN => Dentro desta ACL há os servidores (cada servidor referente ao tipo/versão de cliente utilizado) que são consultados para autenticação do usuário no MSN. Por este motivo, estes servidores devem estar liberados.

GatewayMSN => Nesta ACL contém o link para bloquear a conexão em si do MSN nos servidores Microsoft. Como podem notar, há no final da linha/link o "gateway.dll" que pode ser visto nos logs do Squid quando o MSN estabelece a conexão.

Efetuei vários testes quando estava documentando um software que controla conexões MSN e esta foi a forma mais completa e ao mesmo tempo simples para bloqueio deste aplicativo.

Espero ter contribuído/auxiliado ao pessoal...

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

CV-2014-3566 SSL V3 Poodle vulnerability

Gravando sessão de terminal com o ttyrec

Sniffing com Wireshark como um usuário comum

Evitando fingerprint no Apache

Como verificar o hash de um arquivo baixado da Internet e como criar um hash

Comentários

[1] Comentário enviado por matheus.silva em 11/01/2008 - 14:05h

Isso bloqueia o live messenger tbm?

To com um pepino aqui e não consigo bloquear nem por reza.

0 0

[2] Comentário enviado por nil_anderson em 13/01/2008 - 23:40h

Sim, este procedimento bloqueia os clientes MSN.
Tenta efetuar os procedimentos listados acima e em caso de dúvida, pode enviar via comentário que tentarei auxiliá-lo.

0 0

[3] Comentário enviado por jeff.jno em 12/02/2009 - 20:42h

Preciso bloquear o msn para um grupo de usuários e deixar o restante sem msn.
Como eu faria?

0 0

[4] Comentário enviado por gi em 08/05/2009 - 09:47h

olá eu gostaria de saber se a seguinte regra esta correta, eu quero que tudo que venha da internet externa vai para internet interna para uma determinada máquina pela porta tal.

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 --dport 8090 -j DNAT --to 180.16.1.2:8090

e essa tudo q vier com destino 180.16.1.2 na porta 80 direciona para uma máquina da rede interna com o endereço de ip 170.16.1.21 pela porta 80 olha a seguinte regra se esta correta.

iptables -t nat -A PREROUTING -p tcp -d 180.16.1.2 --dport 80 -j DNAT --to 170.16.1.21:80

e a terceira regra é a seguinte:
quando eu estiver na maquina 170.16.1.21/24 solicitar o endereço 200.101.122.43 na porta 8090 e encaminhar para 180.16.1.2 na porta 8090

iptables -t nat -A PREROUTING -p tcp -d 200.101.122.43 -p tcp --dport 8090 -j DNAT --to 180.16.1.2:8090

Agradeço pela atenção !!
E se alguém puder me ajudar!!
obrigada!!

0 0