Securepoint Support Forum

Verfasst: **Do 09.07.2009, 12:40**

Hallo Leute

Ich hätte ne Frage mal zu den Instant Messenger!
Gibt es irgendwie die Möglichkeit die Securepoint so einzustellen das ein Aufbau der Verbindung unterbunden wird?
Wir setzen derzeit ne RC 200 bei einem Kunden im Schulungsnetz ein.
Dieser wünscht halt das Instant Messenger (ICQ,MSN, Yahoo usw) geblockt werden, da die meisten Teilnehmer sich eher mit solchen Dingen wie " Die Party letzte nacht.... " usw. beschäftigen als dem Dozenten / den Unterricht zu folgen!

Mit freundlichen Grüßen

Matthias

Verfasst: **Fr 10.07.2009, 14:42**

Moin,

haben die "Schüler" dort Admin-Rechte. Wenn nicht, so vermute ich, werden die IM nur über Browser benutzt. Ich würde versuchen die Seiten der Anbieter über den URL-Filter im Proxy zu sperren.

Also in der Art:

icq.com
prosieben.de/club_community/community/icqspecial/icqweb/
yahoo.de
yahoo.com
msn.com

Verfasst: **Mo 13.07.2009, 10:14**

Hallo Carsten!
Danke für die Antwort!
Also die "Schüler" haben keine Admin rechte, jedoch habe ich die vermutung das sie die Normalen Programme für ICQ usw nutzen, bzw diese Multiprotokoll Instant Messenger nutzen, und das dann als Portable App! Für sehr viele von denen braucht man ja leider keine Adminrechte!

Ne lösung die mir spontan einfallen würde, wäre den DNS-Namen des loginservers also "login.icq.com" zu Sperren!
Weil über diesen DNS-Namen das ganze vonstatten geht!
Jedoch kann ich mit der Securepoint, zumindestens über den Manager, so etwas nicht bewerkstelligen!

Deswegen wäre ein anderer Lösungsansatz nicht schlecht! Weil immer wieder den DNS-Namen abfragen um an die IP zukommen und diese dann zu Sperren wäre auch nicht sinn der sache!

Verfasst: **Mo 13.07.2009, 11:26**

Hallo,

verstehe ich nicht so ganz, wird denn noch was anderes als die online Recherche benötigt? Wenn nicht, alle Ports sperren und den gesamten Traffic nur über den Http-Proxy schicken.

Alternativ im lokalen DNS-Server den Domains ein interne IP-Adresse verpassen!

Verfasst: **Di 14.07.2009, 11:39**

http://www.securepoint.de/support/topic.php?id=351
hier am Bsp. von ICQ.

Btw. wer glaubt damit sicher die Messengerdienste aus bspw. einem Schulnetz zu verbannen....hat sich
sicher noch nicht mit ihnen beschäftigt ! ^^

Mit dem Versuch die Hauptserver zu blocken hat man max. 3-4 Tage Ruhe ...danach connecten die "Kleenen" über
andere Server wie bspw. "Oscar" oder die "AOL-Icq-Server" zu ICQ ..oder bedienen sich gleich dem Webinterface das auf Port 80 telefoniert ^^

Verfasst: **Mi 15.07.2009, 08:11**

naja die ganze sache ist dann ja nenn bisschen sehr deprimierend =/
weil mir fällt so solangsam dann keine lösung mehr ein!
Habe erstma alle ports auf der FW bis http_proxy dicht gemacht und im DNS-Server login.icq.com ins leere Zeigen lassen!
Hoffe mal das wird erstmal helfen^^

Verfasst: **So 19.07.2009, 19:30**

Guten Abend,
in der squid-mailing-list (*klick*)habe ich eine etwas umfangreichere Sammlung für (besser: gegen) Instant-Messenger gefunden:

Code: Alles auswählen

##### Block web-based messengers
acl webmsg url_regex -i iloveim.com
acl webmsg url_regex -i meebo.com
acl webmsg url_regex -i imunitive.com
acl webmsg url_regex -i imhaha.com
acl webmsg url_regex -i e-buddy.com
acl webmsg url_regex -i koolim.com
acl webmsg url_regex -i goowy.com
acl webmsg url_regex -i goowy.info
acl webmsg url_regex -i goowy.us
acl webmsg url_regex -i goowy.biz
acl webmsg url_regex -i mabber.com
acl webmsg url_regex -i mabber.us
acl webmsg url_regex -i wablet.com
acl webmsg url_regex -i wablet.us
acl webmsg url_regex -i easymessenger.net
acl webmsg url_regex -i pinkprank.com 
acl webmsg url_regex -i ebuddy.com
http_access deny webmsg

##### Block messenger logins
acl msnlogin dstdomain nexus.passport.com
http_access deny msnlogin
deny_info TCP_RESET msnlogin 

##### Block MSN Messenger
acl msnmessenger url_regex -i gateway.dll
http_access deny msnmessenger 

##### Block MSN online chat
#acl msnchathttp url_regex -i ^http://chat\\.
#acl msnchathttp url_regex -i ^http://.*chat.*
#http_access deny msnchathttp 

##### Block messenger web sites
acl msnoverhttp url_regex -i e-messenger
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.com
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.ca
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.us
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.info
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.cn
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.org
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.net
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.biz
acl msnoverhttp url_regex -i ^http://.*messenger.*\\.fi
acl msnoverhttp url_regex ^http://.*msg.*\\.com
acl msnoverhttp url_regex ^http://.*msg.*\\.ca
acl msnoverhttp url_regex ^http://.*msg.*\\.us
acl msnoverhttp url_regex ^http://.*msg.*\\.info
acl msnoverhttp url_regex ^http://.*msg.*\\.cn
acl msnoverhttp url_regex ^http://.*msg.*\\.org
acl msnoverhttp url_regex ^http://.*msg.*\\.net
acl msnoverhttp url_regex ^http://.*msg.*\\.biz
acl msnoverhttp url_regex ^http://.*msg.*\\.fr
acl msnoverhttp url_regex -i ^http://.*\\.AIM.*
acl msnoverhttp url_regex -i ^http://.*AIM\\..*
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.com
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.ca
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.us
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.info
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.cn
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.org
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.net
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.biz
acl msnoverhttp url_regex -i ^http://.*wbmsn.*\\.fr
acl msnoverhttp url_regex ^http://64\\.12\\.163\\.136
http_access deny msnoverhttp 

##### AIM / MSN domains
acl baddomains dstdom_regex -i .*\\.blue\\.aol\\.com
acl baddomains dstdom_regex -i .*\\.icq\\.com
http_access deny baddomains 

##### Block AOL and YAHOO
acl aolyahoo dstdomain login.oscar.aol.com
acl aolyahoo dstdomain pager.yahoo.com
acl aolyahoo dstdomain shttp.msg.yahoo.com
acl aolyahoo dstdomain update.messenger.yahoo.com
acl aolyahoo dstdomain update.pager.yahoo.com
http_access deny aolyahoo 

##### Mime blocking
##### Blocking reqested mine types
acl mimeblockq req_mime_type ^application/x-msn-messenger$
acl mimeblockq req_mime_type ^app/x-hotbar-xip20$
acl mimeblockq req_mime_type ^application/x-icq$
acl mimeblockq req_mime_type ^.*AIM.*
acl mimeblockq req_mime_type ^application/x-comet-log$
acl mimeblockq req_mime_type ^application/x-pncmd$

##### Blocking sent mime types
acl mimeblockp rep_mime_type ^application/x-msn-messenger$
acl mimeblockp rep_mime_type ^app/x-hotbar-xip20$
acl mimeblockp rep_mime_type ^application/x-icq$
acl mimeblockp rep_mime_type ^.*AIM.*
acl mimeblockp rep_mime_type ^.*AIM/HTTP
acl mimeblockp rep_mime_type ^application/x-comet-log$
acl mimeblockp rep_mime_type ^application/x-pncmd$
acl mimeblockp rep_mime_type ^application/x-chaincast$

##### Setting Access controls
http_access deny mimeblockq
http_reply_access deny mimeblockp

Eingefügt wird alles in folgendes Template:

Code: Alles auswählen

show extc_template /etc/squid/squid.conf

am besten nach

Code: Alles auswählen

http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Hinweis:
Die Zeilen mit einem generellen Regex auf "chat" habe ich auskommentiert, da diese auch Seiten wie "http://meinedomain.bla/kundenchat" blocken würden.

€dith meint, dass Sie die Clients jetzt natürlich zwingen müssen, über den Proxy zu gehen. Will meinen:
Internal_Network -> Internet -> any -> DROP

Das hält "liebe" Clients schonmal von vornherein ab. "Böse" Clients werden dann Port 80 (den Proxy) bemühen, welcher sich den Rest krallt.

UND: Edith ist ne ganz Gewitzte und hat gleich Browser-basierte Messenger ausprobiert, um sich durch den Proxy zu mogeln. Hab dem aber oben einen Riegel vorgeschoben.

Verfasst: **Mi 28.10.2009, 17:06**

meint €dith damit auch, dass die neuen Anwendungsblockierungen in der R10, die ja zum großen Teil Instant Messenger beinhalten nur funktionieren, wenn man Ihren Tipp:

"€dith meint, dass Sie die Clients jetzt natürlich zwingen müssen, über den Proxy zu gehen. Will meinen:
Internal_Network -> Internet -> any -> DROP"

umsetzt?

Oder funktioniert das auch, wenn man weniger restriktiv ist (transparente proxy... )?

Werden die Anwendungsblockierungen eigentlich über den Squid durchgesetzt, oder per IDS, oder über???

Verfasst: **Mi 28.10.2009, 17:51**

Da die Blockierung in der Config-Datei des Proxys vorgenommen wird, ist auch nur der Proxy dafür verantwortlich. Und ja, Sie müssen dafür sorgen, dass die Messenger nur noch port 80 zur Kommunikation benutzen können.