Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 18-07-2007, 10:51
hagiangth42 hagiangth42 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Nov 2006
Bài gởi: 155
Thanks: 4
Thanked 3 Times in 2 Posts
How to Block Dangerous Instant Messengers Using ISA Server

I get a lot of questions about how can ISA Server be used to block dangerous applications. What is a dangerous application?


Author: Thomas Shinder

I get a lot of questions about how can ISA Server be used to block dangerous applications. What is a dangerous application? I suppose that depends on whom you ask, but the following list includes some of the most frequently mentioned:

* MSN Instant Messenger
* AOL Instant Messenger
* ICQ
* Yahoo Instant Messenger

I consider all of these applications dangerous. These applications allow file transfer and communications to bypass the ISA Server's normal filtering and content management systems. If you're looking for a secure networking environment, it's a good idea to block all of these.

Instant Messengers have more than just negative security effects. You should consider lost productivity due non-business related "chatting" and interruptions to the normal work flow. While Instant Messaging is useful for pre-teen girls checking up on the status of their Hello Kitty, they don't have much use in a business environment.

The exception to this is when Instant Messengers are used to allow employees to communicate with each other on the corporate network. Instant Messengers can be put to good use on the internal corporate network as a supplement to phone calls and email messages.

We need some way to prevent these applications from interacting with Internet users. The best way to handle this is to devise a network usage policy that forbids the use of these applications and have the management back up this policy. Management support is a must if you want the usage policy to have some teeth in it.

After the network usage policy is in place, you can use the ISA Server Firewall service log and application inventory reports to determine who has been using forbidden programs. You can create a report based on these resources and present the information to the user's supervisor. This is usually quite effective in getting the offender to stop forbidden behavior.

However, not all businesses are able or desire to prevent dangerous application usage in this sort of "up front" manner. Companies have different corporate cultures. You may find yourself with no support for a network usage policy. If this is your situation, you'll need to implement "stealth" measures to prevent users from compromising network security.

A great way to do this is by taking advantage of the Firewall client. The Firewall client software can be installed on all Microsoft network capable operating systems except for Windows 3.x. You can still take advantage of the Firewall Service for Win 3.x clients by installing the Proxy Server 2.0 Winsock Proxy client on them. In fact, I recommend installing the Firewall client on all operating systems that the Firewall client can be installed on.

Blocking Network Applications Using Firewall Client Configuration

You can make changes to the mspclnt.ini file on the ISA Server. This file contains configuration information for Firewall client machines. It is downloaded from the ISA Server to the ISA clients every six hours by default. This file is stored in different locations on the client machines depending on the operating system.

Your first step is to figure out what the name of the executable file is for the offensive application. The following list includes the common dangerous applications and their .exe files:

* AOL Instant Messenger - AIM.EXE
* MSN Instant Messenger - MSMSGS.EXE
* Yahoo Instant Messenger - YPAGER.EXE and YUPDATER.EXE
* ICQ - ICQ.EXE

After you figure out the executable file name you can configure the mspclnt.ini file to block network communications from the application.

Perform the following steps to configure the mspclnt.ini file:

1. Open the ISA Management console, expand Servers and Arrays and expand your server. Click on the Client Configuration node, and then double click on the Firewall Client entry in the right pane.
2. You will see the Firewall Client Properties dialog box as seen in the figure below. Click the New button.



3. After clicking the New button you will see the Application Entry Settings dialog box as seen below. Type in the name of the application without the file extension in the Application text box. Type the letter D in the Key list so that Disable appears. In the Value list, type the number 1. Click OK after making these changes.



4. After making the changes to block the application, you need to wait until all clients have downloaded the new mspclnt.ini file. You either have to wait for 6 hours, or you can force the clients to download the file by going to each client and clicking on the Update Now button in the Firewall client configuration dialog box.
5. After each Firewall client machine has downloaded the updated mspclnt.ini file, you must disconnect all Firewall Client sessions from the ISA Server. You can do this by going to the ISA Management console and manually disconnecting the sessions (as seen in the figure below), or you can restart the Firewall Service. Restarting the Firewall Service will cause all Firewall client connections to drop.



If any of the clients are configured as SecureNAT clients, change their configuration by removing the default gateway address. The SecureNAT client will be able to get around the limitations you set in the wspclnt.ini file. You can configure the Windows 2000 Group Policy to block user access to the Network Connections Control Panel applet.

This is the first step in your access control configuration. Because some clients must be configured as SecureNAT clients, and because all of these applications can get around the mspclnt.ini configuration, there are some more steps you'll have to perform.

Application Specifics

It would be nice if we could configure all computers as Firewall clients and leave it at that. However, like all good malware, these dangerous applications can allow outbound connections through alternative means. Many of these applications allow the user to configure them as Web Proxy or SOCKS 4 clients (ISA Server does not support SOCKS 5 out of the box).

In addition to having to deal with users who reconfigure their applications, you also have to deal with applications that can scan the network and find a hole. Some of the applications can use stealth techniques and grab the browser's Web Proxy client configuration without your knowledge. Therefore, you'll have to do more than just configure the mspclnt.ini file

Yahoo Instant Messenger

Perform the following steps to block the Yahoo Instant Messenger:

1. Block the YPAGER.EXE and the YUPDATER.EXE executables in the mspclnt.ini file
2. Create a Site and Content rule that blocks http.pager.yahoo.com. Remember to create a Destination Set that includes this site so that you can create the Rule.
3. The SOCKS4 Application Filter must be disabled. Users can reconfigure the Yahoo IMer as SOCKS 4 or SOCKS 5 clients. ISA Server does not support SOCKS 5, but they can get out using SOCKS 4. Since few legitimate applications require SOCKS, you can safely disable the filter.



AOL Instant Messenger

Perform the following steps to block the AOL Instant Messenger:

1. Block the AIM.EXE executable in the mspclnt.ini file.
2. From my testing, the AOL IMer doesn't seem to be able to get around the mspclnt.ini file configuration, even if you set it up as a Web Proxy client in the AIM configuration dialog box. Therefore, you do not need to create a Site and Content Rule to block the aol.com domain.
3. Like the Yahoo IMer, AOLer can get around the mspclnt.ini file configuration by setting up the application to use SOCKS 4. Therefore, you will need to disable the SOCKS4 application filter to keep this application locked out.



MSN Instant Messenger

Perform the following steps to block the MSN Instant Messenger:

1. Block the MSMSGS.EXE executable in the wspclnt.ini file.
2. It appears that "sometimes" the MSN Instant Messenger is able to detect the proxy settings in the web browser. From my testing, it appears that it does not find the browser settings when IE 5.0 is the browser, but will find the browser settings on an IE 5.5 machine. It could also be an issue with "point" releases of the MSN IMer. This stealth discovery of the browser settings is not a configuration option. It is done in the background and without your knowledge.
3. Create a Destination Set that includes the IP address range 64.4.13.0 - 64.4.13.255. Then create a Site and Content rule that denies access to this Destination Set. Keep in mind that this network ID might change in the future. If you find users are able to connect using the MSN IMer in the future, review Firewall Service logs to determine the new network ID.
4. Note that creating a Site and Content rule that blocks services.msn.com will not prevent access.



ICQ 2000b

We only tested the latest version of ICQ, which appears to be ICQ 2000b. Perform the following steps to block this version of ICQ:

1. Block the ICQ.EXE file in the mspclnt.ini file.
2. Create a Destination Set that includes the following sites:
web.icq.com
ads.icq.com
login.icq.com
cb.icq.com

3. Create a Protocol Rule that denies access to the Destination Set you created above.
4. Setting the ICQ client to use SOCKS 4 does not appear to allow the client outbound access when the above steps are taken. However, it is still a good idea to disable the SOCKS 4 application filter in order to block the other IMers.

(Source: isaserver.org)

thay đổi nội dung bởi: hagiangth42, 18-07-2007 lúc 10:57
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn hagiangth42 vì bài viết hữu ích này:
  #2  
Old 23-07-2007, 11:44
LDP's Avatar
LDP LDP vẫn chưa có mặt trong diễn đàn
Non-Stop
 
Tham gia ngày: Oct 2006
Bài gởi: 1,603
Thanks: 0
Thanked 359 Times in 84 Posts
Stick ! Thank hagiangth42, vấn đề này nhiều người cũng rất quan tâm
Trả Lời Với Trích Dẫn
  #3  
Old 26-07-2007, 14:04
dixedap dixedap vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Apr 2007
Bài gởi: 4
Thanks: 0
Thanked 0 Times in 0 Posts
alo,anh em có gặp lỗi này giúp mình với nhé,lúc trước cài isa 2004 và 2006 (dĩ nhiên mỗi lần cài chỉ cài một cái thôi) nhưng mà chả hiểu sao,trong quá trình cài không có báo lỗi gì hết và mình cũng đã nghiên cứu rất kĩ tài liệu cài đặt và làm đúng như thế,nhưng mà khi cài xong chạy chương trình thì màn hình làm việc không giống như bình thường,nó không có các chức năng điều khiển đồ họa,nên không thể nào điều khiển và cấu hình đựoc,giống như là nó bị thiếu vài vùng trên giao diện điều khiển vậy đó.Và điều này mình đã cài lại windows (cùng đĩa win) nhung không được.Cũng cùng đĩa đó nhưng lúc trước cùng cài thì lại OK.Anh em nào gặp lỗi này thì help me nhé.Có phải do thiếu hotfix không.Cảm ơn anh em nhiều nha.!!
Trả Lời Với Trích Dẫn
  #4  
Old 11-08-2007, 01:11
regedit regedit vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Jul 2007
Bài gởi: 26
Thanks: 0
Thanked 0 Times in 0 Posts
Trích:
Nguyên văn bởi dixedap View Post
alo,anh em có gặp lỗi này giúp mình với nhé,lúc trước cài isa 2004 và 2006 (dĩ nhiên mỗi lần cài chỉ cài một cái thôi) nhưng mà chả hiểu sao,trong quá trình cài không có báo lỗi gì hết và mình cũng đã nghiên cứu rất kĩ tài liệu cài đặt và làm đúng như thế,nhưng mà khi cài xong chạy chương trình thì màn hình làm việc không giống như bình thường,nó không có các chức năng điều khiển đồ họa,nên không thể nào điều khiển và cấu hình đựoc,giống như là nó bị thiếu vài vùng trên giao diện điều khiển vậy đó.Và điều này mình đã cài lại windows (cùng đĩa win) nhung không được.Cũng cùng đĩa đó nhưng lúc trước cùng cài thì lại OK.Anh em nào gặp lỗi này thì help me nhé.Có phải do thiếu hotfix không.Cảm ơn anh em nhiều nha.!!
cái này chỉ có effect trên server , có lẽ bạn cài trên xp hoặc 2000 hay NT HoẶC vISta .
Trả Lời Với Trích Dẫn
  #5  
Old 17-12-2007, 09:41
spiderman spiderman vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Aug 2006
Bài gởi: 488
Thanks: 12
Thanked 15 Times in 15 Posts
Theo mình cách trên nếu áp dụng được sẽ không chạy luôn được YM (mình quan tâm YM nhất mà). Cái mà mọi người thường mong muốn là block YM theo giờ, người dùng.
Trả Lời Với Trích Dẫn
  #6  
Old 22-06-2008, 22:21
trentungcayso trentungcayso vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Mar 2008
Bài gởi: 601
Thanks: 4
Thanked 10 Times in 9 Posts
Ðề: How to Block Dangerous Instant Messengers Using ISA Server

giả sử tôi rename của dịch dụ ấy thì sao? aim chẳng hạn? vẫn bị cấm nhưng có thể bị qua không?
Chưa test thử được
Trả Lời Với Trích Dẫn
  #7  
Old 29-07-2008, 11:06
hoangvpb hoangvpb vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Jul 2007
Bài gởi: 10
Thanks: 0
Thanked 3 Times in 2 Posts
Ðề: How to Block Dangerous Instant Messengers Using ISA Server

Bạn phải đọc tương thích của ISA 2k4 và 2k6 là với window Server 2003 nhé...Thân.
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn hoangvpb vì bài viết hữu ích này:
  #8  
Old 08-10-2011, 11:09
nguyenvanty nguyenvanty vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Sep 2008
Bài gởi: 57
Thanks: 3
Thanked 3 Times in 3 Posts
không thể cấm yahoo mesenger

Đã làm theo nhưng cũng không thể ngăn chặn yahoo phien bản mới
Và user tự ý chính cấu hình trong yahoo messenger lại thí sao?
bó tay
Trả Lời Với Trích Dẫn
  #9  
Old 01-11-2013, 08:41
tuonghn tuonghn vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Oct 2013
Tuổi: 27
Bài gởi: 48
Thanks: 10
Thanked 3 Times in 3 Posts
Trích:
1.Lựa chọn sai từ khóa mục tiêu
có ae nào giải thích hộ phương pháp này không?

cảm ơn các bạn rất nhiều!
________________________
cuộc sống số FPT- Telecome
hãy cùng đón chào tân sinh viên
chương trình khuyến mãi lắp mạng fpt miễn phí 100%
Trả Lời Với Trích Dẫn
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến



Múi giờ GMT +7. Hiện tại là 00:29
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger