Hallo Leute
Ich hätte ne Frage mal zu den Instant Messenger!
Gibt es irgendwie die Möglichkeit die Securepoint so einzustellen das ein Aufbau der Verbindung unterbunden wird?
Wir setzen derzeit ne RC 200 bei einem Kunden im Schulungsnetz ein.
Dieser wünscht halt das Instant Messenger (ICQ,MSN, Yahoo usw) geblockt werden, da die meisten Teilnehmer sich eher mit solchen Dingen wie " Die Party letzte nacht.... " usw. beschäftigen als dem Dozenten / den Unterricht zu folgen!
Mit freundlichen Grüßen
Matthias
Instant Messenger
Moderator: Securepoint
Instant Messenger
Mit freundlichen Grüßen
Holger Coenen
---
tki solutions
---
Es sind die Begegnungen mit Menschen, die das Leben lebenswert machen.
>
Holger Coenen
---
tki solutions
---
Es sind die Begegnungen mit Menschen, die das Leben lebenswert machen.
>
Moin,
haben die "Schüler" dort Admin-Rechte. Wenn nicht, so vermute ich, werden die IM nur über Browser benutzt. Ich würde versuchen die Seiten der Anbieter über den URL-Filter im Proxy zu sperren.
Also in der Art:
icq.com
prosieben.de/club_community/community/icqspecial/icqweb/
yahoo.de
yahoo.com
msn.com
haben die "Schüler" dort Admin-Rechte. Wenn nicht, so vermute ich, werden die IM nur über Browser benutzt. Ich würde versuchen die Seiten der Anbieter über den URL-Filter im Proxy zu sperren.
Also in der Art:
icq.com
prosieben.de/club_community/community/icqspecial/icqweb/
yahoo.de
yahoo.com
msn.com
There are 10 types of people in the world... those who understand binary and those who don\'t.
Hallo Carsten!
Danke für die Antwort!
Also die "Schüler" haben keine Admin rechte, jedoch habe ich die vermutung das sie die Normalen Programme für ICQ usw nutzen, bzw diese Multiprotokoll Instant Messenger nutzen, und das dann als Portable App! Für sehr viele von denen braucht man ja leider keine Adminrechte!
Ne lösung die mir spontan einfallen würde, wäre den DNS-Namen des loginservers also "login.icq.com" zu Sperren!
Weil über diesen DNS-Namen das ganze vonstatten geht!
Jedoch kann ich mit der Securepoint, zumindestens über den Manager, so etwas nicht bewerkstelligen!
Deswegen wäre ein anderer Lösungsansatz nicht schlecht! Weil immer wieder den DNS-Namen abfragen um an die IP zukommen und diese dann zu Sperren wäre auch nicht sinn der sache!
Danke für die Antwort!
Also die "Schüler" haben keine Admin rechte, jedoch habe ich die vermutung das sie die Normalen Programme für ICQ usw nutzen, bzw diese Multiprotokoll Instant Messenger nutzen, und das dann als Portable App! Für sehr viele von denen braucht man ja leider keine Adminrechte!
Ne lösung die mir spontan einfallen würde, wäre den DNS-Namen des loginservers also "login.icq.com" zu Sperren!
Weil über diesen DNS-Namen das ganze vonstatten geht!
Jedoch kann ich mit der Securepoint, zumindestens über den Manager, so etwas nicht bewerkstelligen!
Deswegen wäre ein anderer Lösungsansatz nicht schlecht! Weil immer wieder den DNS-Namen abfragen um an die IP zukommen und diese dann zu Sperren wäre auch nicht sinn der sache!
Mit freundlichen Grüßen
Holger Coenen
---
tki solutions
---
Es sind die Begegnungen mit Menschen, die das Leben lebenswert machen.
>
Holger Coenen
---
tki solutions
---
Es sind die Begegnungen mit Menschen, die das Leben lebenswert machen.
>
Hallo,
verstehe ich nicht so ganz, wird denn noch was anderes als die online Recherche benötigt? Wenn nicht, alle Ports sperren und den gesamten Traffic nur über den Http-Proxy schicken.
Alternativ im lokalen DNS-Server den Domains ein interne IP-Adresse verpassen!
verstehe ich nicht so ganz, wird denn noch was anderes als die online Recherche benötigt? Wenn nicht, alle Ports sperren und den gesamten Traffic nur über den Http-Proxy schicken.
Alternativ im lokalen DNS-Server den Domains ein interne IP-Adresse verpassen!
There are 10 types of people in the world... those who understand binary and those who don\'t.
http://www.securepoint.de/support/topic.php?id=351
hier am Bsp. von ICQ.
Btw. wer glaubt damit sicher die Messengerdienste aus bspw. einem Schulnetz zu verbannen....hat sich
sicher noch nicht mit ihnen beschäftigt ! ^^
Mit dem Versuch die Hauptserver zu blocken hat man max. 3-4 Tage Ruhe ...danach connecten die "Kleenen" über
andere Server wie bspw. "Oscar" oder die "AOL-Icq-Server" zu ICQ ..oder bedienen sich gleich dem Webinterface das auf Port 80 telefoniert ^^
hier am Bsp. von ICQ.
Btw. wer glaubt damit sicher die Messengerdienste aus bspw. einem Schulnetz zu verbannen....hat sich
sicher noch nicht mit ihnen beschäftigt ! ^^
Mit dem Versuch die Hauptserver zu blocken hat man max. 3-4 Tage Ruhe ...danach connecten die "Kleenen" über
andere Server wie bspw. "Oscar" oder die "AOL-Icq-Server" zu ICQ ..oder bedienen sich gleich dem Webinterface das auf Port 80 telefoniert ^^
Wenn die Menschen nur über Dinge reden würden, von denen Sie etwas verstehen -
das Schweigen wäre bedrückend.
das Schweigen wäre bedrückend.
naja die ganze sache ist dann ja nenn bisschen sehr deprimierend =/
weil mir fällt so solangsam dann keine lösung mehr ein!
Habe erstma alle ports auf der FW bis http_proxy dicht gemacht und im DNS-Server login.icq.com ins leere Zeigen lassen!
Hoffe mal das wird erstmal helfen^^
weil mir fällt so solangsam dann keine lösung mehr ein!
Habe erstma alle ports auf der FW bis http_proxy dicht gemacht und im DNS-Server login.icq.com ins leere Zeigen lassen!
Hoffe mal das wird erstmal helfen^^
Mit freundlichen Grüßen
Holger Coenen
---
tki solutions
---
Es sind die Begegnungen mit Menschen, die das Leben lebenswert machen.
>
Holger Coenen
---
tki solutions
---
Es sind die Begegnungen mit Menschen, die das Leben lebenswert machen.
>
Guten Abend,
in der squid-mailing-list (*klick*)habe ich eine etwas umfangreichere Sammlung für (besser: gegen) Instant-Messenger gefunden:
Eingefügt wird alles in folgendes Template:
am besten nach
Hinweis:
Die Zeilen mit einem generellen Regex auf "chat" habe ich auskommentiert, da diese auch Seiten wie "http://meinedomain.bla/kundenchat" blocken würden.
€dith meint, dass Sie die Clients jetzt natürlich zwingen müssen, über den Proxy zu gehen. Will meinen:
Internal_Network -> Internet -> any -> DROP
Das hält "liebe" Clients schonmal von vornherein ab. "Böse" Clients werden dann Port 80 (den Proxy) bemühen, welcher sich den Rest krallt.
UND: Edith ist ne ganz Gewitzte und hat gleich Browser-basierte Messenger ausprobiert, um sich durch den Proxy zu mogeln. Hab dem aber oben einen Riegel vorgeschoben.
in der squid-mailing-list (*klick*)habe ich eine etwas umfangreichere Sammlung für (besser: gegen) Instant-Messenger gefunden:
Code: Alles auswählen
##### Block web-based messengers
acl webmsg url_regex -i iloveim.com
acl webmsg url_regex -i meebo.com
acl webmsg url_regex -i imunitive.com
acl webmsg url_regex -i imhaha.com
acl webmsg url_regex -i e-buddy.com
acl webmsg url_regex -i koolim.com
acl webmsg url_regex -i goowy.com
acl webmsg url_regex -i goowy.info
acl webmsg url_regex -i goowy.us
acl webmsg url_regex -i goowy.biz
acl webmsg url_regex -i mabber.com
acl webmsg url_regex -i mabber.us
acl webmsg url_regex -i wablet.com
acl webmsg url_regex -i wablet.us
acl webmsg url_regex -i easymessenger.net
acl webmsg url_regex -i pinkprank.com
acl webmsg url_regex -i ebuddy.com
http_access deny webmsg
##### Block messenger logins
acl msnlogin dstdomain nexus.passport.com
http_access deny msnlogin
deny_info TCP_RESET msnlogin
##### Block MSN Messenger
acl msnmessenger url_regex -i gateway.dll
http_access deny msnmessenger
##### Block MSN online chat
#acl msnchathttp url_regex -i ^http://chat\\.
#acl msnchathttp url_regex -i ^http://.*chat.*
#http_access deny msnchathttp
##### Block messenger web sites
acl msnoverhttp url_regex -i e-messenger
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.com
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.ca
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.us
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.info
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.cn
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.org
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.net
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.biz
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.fi
acl msnoverhttp url_regex ^http://.*msg.*\\.com
acl msnoverhttp url_regex ^http://.*msg.*\\.ca
acl msnoverhttp url_regex ^http://.*msg.*\\.us
acl msnoverhttp url_regex ^http://.*msg.*\\.info
acl msnoverhttp url_regex ^http://.*msg.*\\.cn
acl msnoverhttp url_regex ^http://.*msg.*\\.org
acl msnoverhttp url_regex ^http://.*msg.*\\.net
acl msnoverhttp url_regex ^http://.*msg.*\\.biz
acl msnoverhttp url_regex ^http://.*msg.*\\.fr
acl msnoverhttp url_regex -i ^http://.*\\.AIM.*
acl msnoverhttp url_regex -i ^http://.*AIM\\..*
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.com
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.ca
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.us
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.info
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.cn
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.org
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.net
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.biz
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.fr
acl msnoverhttp url_regex ^http://64\\.12\\.163\\.136
http_access deny msnoverhttp
##### AIM / MSN domains
acl baddomains dstdom_regex -i .*\\.blue\\.aol\\.com
acl baddomains dstdom_regex -i .*\\.icq\\.com
http_access deny baddomains
##### Block AOL and YAHOO
acl aolyahoo dstdomain login.oscar.aol.com
acl aolyahoo dstdomain pager.yahoo.com
acl aolyahoo dstdomain shttp.msg.yahoo.com
acl aolyahoo dstdomain update.messenger.yahoo.com
acl aolyahoo dstdomain update.pager.yahoo.com
http_access deny aolyahoo
##### Mime blocking
##### Blocking reqested mine types
acl mimeblockq req_mime_type ^application/x-msn-messenger$
acl mimeblockq req_mime_type ^app/x-hotbar-xip20$
acl mimeblockq req_mime_type ^application/x-icq$
acl mimeblockq req_mime_type ^.*AIM.*
acl mimeblockq req_mime_type ^application/x-comet-log$
acl mimeblockq req_mime_type ^application/x-pncmd$
##### Blocking sent mime types
acl mimeblockp rep_mime_type ^application/x-msn-messenger$
acl mimeblockp rep_mime_type ^app/x-hotbar-xip20$
acl mimeblockp rep_mime_type ^application/x-icq$
acl mimeblockp rep_mime_type ^.*AIM.*
acl mimeblockp rep_mime_type ^.*AIM/HTTP
acl mimeblockp rep_mime_type ^application/x-comet-log$
acl mimeblockp rep_mime_type ^application/x-pncmd$
acl mimeblockp rep_mime_type ^application/x-chaincast$
##### Setting Access controls
http_access deny mimeblockq
http_reply_access deny mimeblockp
Code: Alles auswählen
show extc_template /etc/squid/squid.conf
Code: Alles auswählen
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
Die Zeilen mit einem generellen Regex auf "chat" habe ich auskommentiert, da diese auch Seiten wie "http://meinedomain.bla/kundenchat" blocken würden.
€dith meint, dass Sie die Clients jetzt natürlich zwingen müssen, über den Proxy zu gehen. Will meinen:
Internal_Network -> Internet -> any -> DROP
Das hält "liebe" Clients schonmal von vornherein ab. "Böse" Clients werden dann Port 80 (den Proxy) bemühen, welcher sich den Rest krallt.
UND: Edith ist ne ganz Gewitzte und hat gleich Browser-basierte Messenger ausprobiert, um sich durch den Proxy zu mogeln. Hab dem aber oben einen Riegel vorgeschoben.
Zuletzt geändert von Erik am So 19.07.2009, 19:45, insgesamt 1-mal geändert.
meint €dith damit auch, dass die neuen Anwendungsblockierungen in der R10, die ja zum großen Teil Instant Messenger beinhalten nur funktionieren, wenn man Ihren Tipp:
"€dith meint, dass Sie die Clients jetzt natürlich zwingen müssen, über den Proxy zu gehen. Will meinen:
Internal_Network -> Internet -> any -> DROP"
umsetzt?
Oder funktioniert das auch, wenn man weniger restriktiv ist (transparente proxy... )?
Werden die Anwendungsblockierungen eigentlich über den Squid durchgesetzt, oder per IDS, oder über???
"€dith meint, dass Sie die Clients jetzt natürlich zwingen müssen, über den Proxy zu gehen. Will meinen:
Internal_Network -> Internet -> any -> DROP"
umsetzt?
Oder funktioniert das auch, wenn man weniger restriktiv ist (transparente proxy... )?
Werden die Anwendungsblockierungen eigentlich über den Squid durchgesetzt, oder per IDS, oder über???