Pular para o conteúdo

Bloqueando MSN messenger com iptables

Dica publicada em Linux / Segurança
Abel abelardo

Por Abel em 13/04/2007

Hits: 15.953 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Bloqueando MSN messenger com iptables

Bom, hoje em dia nas empresas é bastante comum administradores de redes quererem bloquear o MSN, pois além de ocupar banda, os usuários às vezes deixam de trabalhar para ficarem conversando, sem falar na questão de segurança, em que muitos ficam transferindo arquivos e podendo comprometer sua rede.

Tentei fazer bloqueio com Squid, mas não obtive sucesso, então depois de muito estudar e tentar encontrei uma forma de bloquear o MSN com iptables, diga-se de passagem que não é uma coisa muito fácil, pois o MSN usa diversas portas para conectar, como 80, 8080, etc. Imagina se você bloqueia a porta 80, ninguém entra mais no MSN, mas também, ninguém mais navega! :(

Vamos lá então:

Bloqueando MSN:

# /sbin/iptables -I FORWARD -s 10.0.0.0/24 -p tcp --dport 1863 -j DROP

Liberando MSN:

# /sbin/iptables -I FORWARD -s 10.0.0.203/255.255.255.255 -p tcp --dport 1863 -j ACCEPT

Substitua a faixa de ip, reinicie o iptables e adicione essa nova regra, foi testado aqui na empresa e ele conseguiu bloquear, não entra mais de jeito nenhum, só quem eu liberar, mas não foi testado com o MSN live, somente com até 7.5 e ele realmente bloqueia.

Espero ter ajudado alguém.

Abraços.

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Outras dicas deste autor

Configurando um proxy trasparente com liberação para o site da caixa (Conectividade Social)

Leitura recomendada

PortDog - Detectando anomalias na sua rede

Securing Apache2/PHP7 on Linux/Unix (Basic)

Backtrack 4 - Atualizando pasta de exploits através do site milw0rm

[Tutorial] Configurando Multimaster no Samba 4 AD (DC02) + Explicação de FSMO Roles

Segurança no Apache

Comentários

#1 Comentário enviado por y2h4ck em 16/04/2007 - 16:00h
Mas isto não funciona, uma vez que se você bloquear a porta 1863 o msn encapsula o trafego através da porta 80 e 443.

:)

Para fazer a filtragem de MSN de forma convincente deve-se utilizar um proxy para filtrar a camada 7 (aplicação).

- Squid + Dansguardian
- ISA server 2006
- OOps

Qualquer um deles seria suficiente.

Obrigado
Abraços.
#2 Comentário enviado por abelardo em 16/04/2007 - 16:21h
Cara, o seguinte, eu to usando dessa maneira aqui na empresa, com ip tables e com proxy trasparente, eu sei do que voce esta falando, ele realmente procura outras portas, mas aqui funcionou, neninguem consegue acessas pelo 7.5 (nao testei o live ainda), :)
#3 Comentário enviado por nil_anderson em 16/12/2007 - 23:40h
Abelardo,

Está funcionando, pois como você já mencionou o Proxy é transparente. Quando o Proxy é autenticado ou quando há configuração de Proxy nos navegadores IE ocorre o problema de conexão pelo squid/ISA Server.

A conexão do cliente MSN é somente na porta TCP/1863, mas quando há alguma configuração de Proxy nas "opções de internet" o cliente MSN consulta tais configurações e se no Proxy estiver liberado o acesso, ele consegue conectar, compreende?

A solução é bloquear o MSN no Proxy nestes casos... logo sairá uma dica com os procedimentos mais práticos/completos para este assunto.

Outra alternativa é a seguinte, atualmente a política de muitas empresas é de bloquear o acesso ao MSN, há alguns softwares SOCKS que controlam a utilização deste recurso e ainda podem determinar com quais contatos são permitidos conversar, envio/recebimento de arquivos...
Particularmente conheço dois softwares que fazem isso, que é o IMControl e o Trevio/SOCKSArmor. Após testar as duas soluções, verifiquei que o Trevio/SOCKSArmor possui grandes diferenciais relação a esta situação, o software faz controle de conversas em tempo real, pode-se adicionar regras relacionando objetos.... realmente o funcionamento é bastante interessante.

Talvez fosse interessante fazer alguns testes com a versão 'demo' existente atualmente. Procure no Google pela palavra: Trevio que você encontrará... Penso que sua empresa irá gostar desta solução ;)
#4 Comentário enviado por legista em 23/10/2008 - 12:54h
e ai pessoal?

que tal fazer diferente?

ao invez de bloquear a porta pq ele sempre fica escorregando para as outras bloqueia o ip destino?

iptables -A FORWARD -d 207.46.0.0/16 -j DROP ---> para proibir a rede toda.

tentem ai para ver se funfa

Abs a todos

Contribuir com comentário

Entre na sua conta para comentar.