[轉貼] 如何能有效的檔MSN

阿輝

從別處看到的，參考看看。

要來抓MSN 的位子，當然我們要登入MSN 在用netstat 查果然多出了一
個位子和Port，使用ping 查出得知該網址的ip 位子是207.46.107.200 這時我
們就將設定這個IP 與1863 這個Port 擋掉，在來試試MSN 有沒有半
法連線。

怪了明明就把位子擋掉了怎麼還可以連線？此時再使用netstat 來查，原來是連線的位子改變了，
看起來MSN Server 不止一個的樣子，就這樣子來來回回設定了好幾次後發現MSN 的server 不
只一個，不過還好都是有規則可循的，都是baym-cs***.msgr.hotmail.com:1863，其中***表示
是數字經過反覆的嚐試過後發現Server 一共有425 個(也是是1~425)，IP 位從
207.46.106.1~207.46.107.225 好多，總不能一個一個設定吧設完就天亮了，這時我們就可以
透過子網路遮罩把這麼多的IP 位子一次給他擋光IP 設定207.46.106.0 遮罩就用255.255.255.0
就可以一次把255 個IP 通通擋掉(207.46.106.1~207.46.106.255)，207.46.107.*的當然也是一樣
的設法，簡單吧！

只要設定兩個就可以把那麼一大串的IP 通通擋光，終於透過兩個設定把這
樣多的IP 擋光了開個 MSN 順到去倒一杯咖啡回來喝，【約5 分鐘後】，"東咚
東"不會吧不是把MSN 的Server 都擋光了嗎 怎麼還會，此時再用netstat，MSN 又換Server 這次連Port
都不一樣真頭痛這次換baym-gw14.msgr.hotmail.com 這個server Port 是http(http 的標準Port 是80)，
由於有先前的經驗MSN 都是Server 群就打1 號開始查最後發現一共有51 個，207.46.110.1~207.46.110.51，
ㄣ 這次少了點，不過為了安全起見我還是把207.46.110.*這整個通通鎖起來以防以後有多Server，IP 設定
207.46.110.0 遮罩255.255.255.0 Port 80，在開起MSN(過了一分鐘)ㄣ 真的登不上去


MSN IP 設定207.46.106.0 遮罩255.255.255.0 Port 就是1863
MSN2 207.46.107.0 255.255.255.0 Port 1863
MSN3 207.46.110.0 255.255.255.0 Port 80
就這三個把MSN 擋起來的^^

jiahorng

明天到公司玩玩看，看有多少人會跳腳！
哈哈哈！

poky

但是如果用hopster就沒辨法擋了吧？
有沒有辨法可以擋hopster的呢？

parrot

Originally posted by poky at 2005-2-16 03:47 AM:
但是如果用hopster就沒辨法擋了吧？
有沒有辨法可以擋hopster的呢？

以本篇文章的方式 3 應該可以擋 (MSN3 207.46.110.0 255.255.255.0 Port 80)

其實如果不介意 hotmail 不能連, 在內部 DNS 把 *.hotmail.com 指向 Blackhole (比方說 1.1.1.1) 或是 Block 所有往 *.hotmail 的連線 (適用於有用 Proxy 的公司),
如果公司得登入 Domain Server, 在 PDC 上把 MSN Block 掉就好了 B)

但是如果你的 Client 用 SoftEther 你就沒輒了, 又如果 Client 是登入 3rd party 的 IM server 在轉入 MSN 也是沒輒

[ Last edited by parrot on 2005-2-16 at 06:57 ]

Checko

這樣的方法web msn也可以檔掉嗎？

geng

這篇不能給網管看到呀！不然，上班還有什麼樂趣？不不！是上班就少了個為老闆打拼的工具了！

parrot

Originally posted by Checko at 2005-2-16 07:51 AM:
這樣的方法web msn也可以檔掉嗎？

以 hopster 而言，只是把 MSN 所需要的封包在本機轉換成 HTTP協定，所以如果在 Firewall or Proxy 把 Destination *.hotmail.com 擋住，當然就可以解決

如果是 webmsn or hopster 可能會有一個漏洞：假設公司沒有阻擋透過外部的 proxy 連線，這樣在 Client 端的 Browser 設定比方說 proxy.hinet.net，因為 webmsn 連線封包被包在 proxy 的封包裡面，所以可能就沒效了

擋不住的的方法很簡單就可以解決，把公司內部的 default route 拿掉，切兩個以上的 subnet，在靠近 Firewall 的 LAN subnet 加裝 proxy 即可，Firewall 甚至可以加上 Allow Proxy, Deny All 的指令

我就是網管 B)

sharkwu

我們這邊有個滿奇怪的現象
之前用Linux架Firewall的時候，有如上述的情況，很難擋住
現在改用Fortinet的Firewall...
一定要把port全開，MSN才能上
只要隨便擋下一個port，MSN就掛了...

這...真是怪異呀~~~

Katsuya

"據說" 把 messenger.msn.com:1863 和 gateway.messenger.hotmail.com:80 給擋起來的話，MSN 就上不去囉!

阿達

其實我比較想知道公司的MSN如何能對外連
比較好奇的是公司內部都可以開放使用MSN了
為何不開放對外呢
怕人聊天嗎?
如果是為何公司會開放對內而不對外呢

BY

因為要強化員工團結
凝聚向心力阿

spd

Originally posted by 阿達 at 2005-2-17 03:03 AM:

比較好奇的是公司內部都可以開放使用MSN了

請問如何只讓公司內部用MSN?  是微軟的MSN? 還是其他的軟體?

阿達

Originally posted by spd at 2005-2-18 00:23:


請問如何只讓公司內部用MSN?  是微軟的MSN? 還是其他的軟體?

就跟大家用的MSN一樣囉...微軟的MSN
只不過公司是用Exchange帳號
而一般家用的則是.NET Passport帳號
如果公司防火牆沒擋的話，兩者是可同時使用的
有擋的話只能用Exchange帳號
相信每家公司都一樣吧
如有錯誤請不吝指正，謝謝!

[ Last edited by 阿達 on 2005-2-18 at 02:42 ]

spd

謝啦! 不過我的公司不是用Exchange

achen

... 上面這麼麻煩的設定, 是把所有 user 直接連到 gateway 時的做法, 不夠 secure 而且太累了!!

買台 firewall 吧, 不用一萬元就有了吧？ 我的方法:

1. 在  Firewall 上設定只 allow 那些需要直接連上 internet 的  server (Exchange, DNS, ePO server, proxy server) 還有我自己的電腦  

2. 其他  server 和  workstation 全部用  Group Policy 指定使用  proxy

3. proxy 裡面只有  HTTP 和  FTP, 其他協定一律  disable

4. HTTP 設定裡已經擋掉所有不允許的網站 (MSN, Hotmail, Yahoo Mail, AOL, eBay, ESPN...), 若有新的  IM 或 email WEB INTERFACE 的網址, 更新只需 10 秒鐘！！

5. 所有 user 經過  proxy 只能瀏覽沒有被禁止的網站, 不該通的東西都不會通

6. 雖然  proxy 的設定只是一個勾勾, user 可以很容易把它取消掉, 但是一但取消掉, packet 送到  default gateway 一律被拒絕, 就和完全失去 internet 連線一樣


7. 以邏輯性的說法就是用兩層防護去阻擋, 第一層是 proxy, 第二層是 firewall, 以上的設定雖不敢說無懈可擊, 但是無洞可鑽.. :p

[ Last edited by achen on 2005-2-18 at 09:47 ]

mfhsieh

Originally posted by achen at 2005-2-19 01:18:
7. 以邏輯性的說法就是用兩層防護去阻擋, 第一層是 proxy, 第二層是 firewall, 以上的設定雖不敢說無懈可擊, 但是無洞可鑽.. :p
[ Last edited by achen on 2005-2-18 at 09:47 ]

softether ?

這還是擋不住吧！

achen

Originally posted by mfhsieh at 2005-2-18 11:36 AM:
softether ?

這還是擋不住吧！

其實企業網路的安全性應該都要比大家想像的還要高, 根據parroot所說的:

但是如果你的 Client 用 SoftEther 你就沒輒了, 又如果 Client 是登入 3rd party 的 IM server 在轉入 MSN 也是沒輒

所謂"沒輒"都應該是一層保護下面的說法, 有兩層的時候就很簡單 (第一層 proxy過濾不該通過的 traffic, 第二層 firewall 只給該通的少數電腦通出去以防漏網之魚)

第一個, 我對 SoftEther 的運作方式沒有概念, 如果多收集一點資料要擋掉它應該不會太困難, 請問有中文或英文的資訊嗎?

第二個, 很簡單, 只要有 server 就有網址或  IP, 加進去 proxy 的 block list 就可以了

kingf

說說我的作法吧
我之前的作法也是類似阿輝前輩的作法
但是，我沒研究出來，到底MSN server座落範圍，所以檔到不該檔的
(我連MSDN當檔到了，自己無法查資料 )

所以，我後來改用Proxy處理
我是利用free BSD當Firewall，先檔1863
聰明的MSN會改走http
於是，我修改IPFW(FreeBSD內建的Firewall)，讓所有http封包改走我的Proxy(我採用Squid)
(也就是我採用Transparent proxy的作法，對user來說，他們毫無感覺)

接者，需要設定檔MSN的ACL
我在msn 6之前，是利用msn特殊的MIME來辨識
可是，神奇的是，到了MSN7 beta，那招居然無效（我查過，他的MIME沒變）
所以我改用url（我不是用前面的IP，而是用特定的路徑）當作判斷
MSN7就一樣出不去了

我知道市面上有一些軟體，讓MSN被檔的人利用他們的軟體，依舊可以連上線
我的作法是...檔那些軟體的IP
（他們沒有M＄那麼有錢，他們的IP很少，為何我這樣說?有興趣的人，可以查一下M＄拿了多少IP）

當然，也有人會用SoftEther
這點我想過，但是我沒去實際實驗過
最簡單的方式，就是檔https吧，但是，這鐵定會讓某些人在做某些事情時，不方邊!!
（如Gmail應該會受到影響吧，我猜）

WEB MSN怎麼檔?
我沒檔過，我覺得檔url應該就可以了吧~

kai8home

離題一下，
所以美國人才會有"blackberry" 這種可以隨時AOL的東西出現囉!?
那是擋都擋不住的啦

tzchang

現在企業擋IM或是像Softether這類東西大部分都是用IDP(IDS/IPS)來擋了......

設定通常都很簡單, 把相關的Signature enable就行啦, IDP通常是會檢視所有通過的traffic封包的內容(payload), 如果有根定義signature中的IM, softether的行為模式相同的payload就直接把封包丟棄就好了...... 這種看payload的作法, 除非Microsoft或Softether更改所使用的protocol的規範, 否則不管你server IP或port在怎麼換都可以擋掉的...... 像現在比較高檔的IDP還能分辨MSN當中你正在幹嘛, 或是對話中的某個關鍵字, 可以做到讓你能聊天, 但是不能傳檔案或玩遊戲, 甚至聊天中有提到特別關鍵字的那句話就一定傳不過去.......

tzchang

據我所知, 目前已經有Blackberry Jammer問世了......
可以干擾特定範圍內Blackberry的運作但卻不會干擾到一般GSM/TDMA/CDMA通信...
不過目前應該還僅限於國土安全用途吧......

Originally posted by kai8home at 2/19/2005 08:43 AM:
離題一下，
所以美國人才會有"blackberry" 這種可以隨時AOL的東西出現囉!?
那是擋都擋不住的啦

mfhsieh

Originally posted by kingf at 2005-2-19 07:47:
當然，也有人會用SoftEther
這點我想過，但是我沒去實際實驗過
最簡單的方式，就是檔https吧，但是，這鐵定會讓某些人在做某些事情時，不方邊!!
（如Gmail應該會受到影響吧，我猜）

softether 可以自行選擇 port，所以挑 port 擋應該沒用。

我覺得還是花錢買 idp 類的方案會比較快。