Messenger tiltasa
Tamas GAL
gtamas at tjszki.hu
2005. Nov. 27., V, 00:38:50 CET
figyelem, hosszu lesz :)
Tamas GAL wrote:
> az isa2004-ben van http header szures. barmilyen sztringre
> szurhetsz, ennek megfeleloen a sima 80-as porton halado forgalom is
> korlatozhato (mert ugye az 1863-as MSN protokoll az csak az extra MSN
> szolgaltatasokhoz, file/hang/video atvitel, stb. valo).
kicsit kibovitem, mert lehet h masokat is erdekel.
arrol van szo, hogy normal esetben az alkalmazasok egy-egy (esetleg
tobb) protokollt hasznalnak, ha ezt nem engedelyezzuk a tuzfalban, akkor
nem lehet ilyen forgalom.
ellenben van egy zsak alkalmazas, amely a 80-as porton keresztul
mukodik, ergo, ha ezt tiltjuk (nem engedjuk), akkor a sima webezest is
tiltjuk. erre (is) megoldas windows kornyezetben az isa 2004 (az isa
2000 nem), mert ennek az un. http filtereben megadhatunk olyan speci
kifejezeseket, amelyek egyertelmuen jellemzoek az adott alkalmazasra
pontosabban az alkalmazas altal generalt http csomagok fejleceiben
mindig megtalalhatoak. ha beallitjuk, az isa belenez a fejlecbe, majd
negligalja az ilyen tipusu forgalmat.
ez a modszer megfelelo lehet az msn kiszuresere, de pl. a webes
messenger, vagy a webes icq, kazaa, bittorent, es sok mas trukkos
alkalmazas (akar fergek, spyware-k is) is kiszurhetoek vele.
a http filter egyebkent tobb mas dologra is jo, pl. fejlec/url meret
trukkok kivedese, speci http metodusok tiltasa, speci kiterjesztesek
szurese, de vannak hatulutoi is. pl. az Elvira (a MAV menetrend)
lekerdezeseit (nem a nyitooldalt) vmilyen okbol nalam mindig megfogja,
gondolom vmi nem szabalyos az oldalban, de meg nem sikerult kideriteni
hogy mi :)
a http filter reszletes leirasa es az beallitasok utmutatoja sok keppel,
angolul itt talalhato:
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/httpfiltering.mspx
ez pedig egy felsorolas izelitonek par ismert 80-as porton mukodo
alkalmazasrol, valamint a hozzajuk tartozo speci karaktersorozatokrol
(un. signature):
Name : Ibiza
Decription : Blocks malicious body links that Search in : Response body
attempt to exploit MS04-013
Signature : C:\
Name : Download.Ject
Description : Blocks malicious Location headers that attempt to exploit
MS04-013
Search in : Response headers
HTTP Header : Location
Signature : C:\
Name : Windows Messenger
Search in : Request headers
HTTP Header : User-Agent:
Signature : MSMSGS
Name : MSN Messenger
Search in : Request headers
HTTP Header : User-Agent:
Signature : MSN Messenger
Name : Yahoo Messenger
Search in : Request headers
HTTP Header : Host
Signature : msg.yahoo.com
Name : Kazaa
Search in : Request headers
HTTP Header : P2P-Agent
Signature : Kazaa
Name : Kazaa 1
Search in : Request headers
HTTP Header : User-Agent:
Signature : KazaaClient
Name : Kazaa 2
Search in : Request headers
HTTP Header : P2P-Agent
Signature : Kazaaclient:
Name : Kazaa 3
Search in : Request headers
HTTP Header : X-Kazaa-Network:
Signature : KaZaA
Name : Gnutella
Search in : Request headers
HTTP Header : User-Agent:
Signature : Gnutella
Name : Gnutella 1
Search in : Request headers
HTTP Header : User-Agent:
Signature : Gnucleus
Name : Bearshare
Search in : Response headers
HTTP Header : Server
Signature : Bearshare
Name : Morpheus
Search in : Response headers
HTTP Header : Server
Signature : Morpheus
Name : BitTorrent
Search in : Request headers
HTTP Header : User-Agent:
Signature : BitTorrent
--
Tamas GAL
Systems Engineer
TJSZKI/Hungary
További információk a(z) Techinfo levelezőlistáról