|
| MSN sikkerhed Fra : Karsten |
Dato : 22-05-07 07:34 |
|
Hey
Hvordan kan jeg lukke for fil overførelse og evt visning af link i msn?
mvh
Karsten
| |
Asbjorn Hojmark (22-05-2007)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 22-05-07 20:51 |
|
On Tue, 22 May 2007 08:33:55 +0200, "Karsten" <kaa@poly-tech.dk>
wrote:
> Hvordan kan jeg lukke for fil overførelse og evt visning af link i msn?
Det er et rimelig bredt formuleret spørgsmål.
Hvis du mener for alle brugere ind/ud af dit netværk, bør du se på
BlueCoats appliances. Der kan man lave L5/L7-sikkerhed som i 'Folk må
gerne køre MSN, men ikke lave en filoverførsel', eller 'Folk må gerne
køre HTTP (web) på port 80/tcp, men ikke Skype' og mere i samme stil.
Hvis du mener på den enkelte Windows-pc, er det tænkeligt, det kan
styres med GPO'er, hvis folk i øvrigt ikke har alt for liberal adgang
til at rode med dem. I så skal du dog nok prøve at forhøre dig i en
Windows-gruppe.
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Karsten (23-05-2007)
| Kommentar Fra : Karsten |
Dato : 23-05-07 07:47 |
|
Hej
For at være lidt mere konkert.
Det jeg ønsker at lukke for filoverførelse fra WAN til LAN netværket måske
også LAN til WAN.
Men første priotet er WAN til LAN. Kan man ikke lukke nogle porte i ens
firewall så msn ikke længere kan overfører filer?
Jeg har brugt en GPO til mine skype brugere så folk ikke kan modtage filer,
jeg synes jeg har været rundt på nettet for at finde en GPO til MSN
messenger uden dog at kunne finde noget.
At bruge Squid ville være en mulighed og jeg har også tænkt mig at sætte en
op på et tidspunkt, men mine nørd evner rækker ikke lige pt. så langt.
/Karsten
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:c4i653l80jc796njeqjitqffthcvvi9679@hojmark.net...
> On Tue, 22 May 2007 08:33:55 +0200, "Karsten" <kaa@poly-tech.dk>
> wrote:
>
>> Hvordan kan jeg lukke for fil overførelse og evt visning af link i msn?
>
> Det er et rimelig bredt formuleret spørgsmål.
>
> Hvis du mener for alle brugere ind/ud af dit netværk, bør du se på
> BlueCoats appliances. Der kan man lave L5/L7-sikkerhed som i 'Folk må
> gerne køre MSN, men ikke lave en filoverførsel', eller 'Folk må gerne
> køre HTTP (web) på port 80/tcp, men ikke Skype' og mere i samme stil.
>
> Hvis du mener på den enkelte Windows-pc, er det tænkeligt, det kan
> styres med GPO'er, hvis folk i øvrigt ikke har alt for liberal adgang
> til at rode med dem. I så skal du dog nok prøve at forhøre dig i en
> Windows-gruppe.
>
> -A
> --
> Hvis du bruger et anti-spam program, der spammer os andre i hvert
> eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Asbjorn Hojmark (23-05-2007)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 23-05-07 08:17 |
|
On Wed, 23 May 2007 08:46:48 +0200, "Karsten" <kaa@poly-tech.dk>
wrote:
> Det jeg ønsker at lukke for filoverførelse fra WAN til LAN netværket måske
> også LAN til WAN.
> Men første priotet er WAN til LAN. Kan man ikke lukke nogle porte i ens
> firewall så msn ikke længere kan overfører filer?
Nej.
Nej, filoverførslerne kører ikke på separate porte. Hvis man lukkede
for det, ville man lukke helt for MSN Messenger. Men i øvrigt kører
mange programmer på porte, der også bruges til andet (som fx port
80/tcp til web), og det kan man jo ikke bare lukke for.
Derfor er der som sagt brug for L5/L7-intelligens, altså noget der kan
se længere ind i pakkerne og finde ud af, hvad det er for en slags
trafik. Det er netop den slags BlueCoat er gode til og det kræver ikke
nørd-evner.
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Lars Kim Lund (23-05-2007)
| Kommentar Fra : Lars Kim Lund |
Dato : 23-05-07 16:56 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>Derfor er der som sagt brug for L5/L7-intelligens, altså noget der kan
>se længere ind i pakkerne og finde ud af, hvad det er for en slags
>trafik. Det er netop den slags BlueCoat er gode til og det kræver ikke
>nørd-evner.
Man skal være en lille nørd for at få den op at køre, selvom det er en
appliance. Der er nogle ting som ikke er helt intuitive og man drukner
let i mulighederne vil jeg tro.
Men bortset fra det kan man lave MSN reglen om filer med een regel. Og
der er flere måder at gøre det på. En af de rigtige smarte ting ved BC
er at den kan dekode protokollen og så blokere på handlinger. F.eks.
at man ikke må lave voice eller kun tillader filtransfer ud af nettet
men ikke ind.
P.S.
Det skal måske også lige nævnes at BlueCoat så langt fra ikke er
gratis. Hvis nogen skulle være i tvivl.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Bjarke Andersen (23-05-2007)
| Kommentar Fra : Bjarke Andersen |
Dato : 23-05-07 10:16 |
|
"Karsten" <kaa@poly-tech.dk> crashed Echelon writing
news:4653e330$0$916$edfadb0f@dread12.news.tele.dk:
> For at være lidt mere konkert.
> Det jeg ønsker at lukke for filoverførelse fra WAN til LAN netværket
> måske også LAN til WAN.
> Men første priotet er WAN til LAN. Kan man ikke lukke nogle porte i
> ens firewall så msn ikke længere kan overfører filer?
> Jeg har brugt en GPO til mine skype brugere så folk ikke kan modtage
> filer, jeg synes jeg har været rundt på nettet for at finde en GPO til
> MSN messenger uden dog at kunne finde noget.
> At bruge Squid ville være en mulighed og jeg har også tænkt mig at
> sætte en op på et tidspunkt, men mine nørd evner rækker ikke lige pt.
> så langt.
Barracuda Networks har en IM Firewall, hvor i du kan filtrere om der må ske
file transfers og indholdet samt logning af IMs.
Men problem er at det vist kræver Barracudas egen klient, altså Firewall
kører som proxy til de forskellige netværk, og du skal så blokere de andre
klienter fra at gå udenom.
Men kig på den evt bestil en testmaskine.
http://www.barracudanetworks.com/ns/products/im_overview.php
--
Bjarke Andersen
| |
Christian E. Lysel (22-05-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 22-05-07 21:52 |
|
On Tue, 2007-05-22 at 21:50 +0200, Asbjorn Hojmark wrote:
> Der kan man lave L5/L7-sikkerhed som i 'Folk må
> gerne køre MSN, men ikke lave en filoverførsel', eller 'Folk må gerne
> køre HTTP (web) på port 80/tcp, men ikke Skype' og mere i samme stil.
En anden måde kan være med squid.
For MSN kan følgende bruges for at forhindre messenger klienter adgang:
acl msnmime req_mime_type -i ^application/x-msn-messenger$
For skype kan følgende bruges:
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
Dog vil den sidste også fange https:// eller anden IP adresse>/...
Hvordan fanger BlueCoat den skype's forsøg på at køre HTTPS?
Tager de den i opløbet?
| |
Lars Kim Lund (22-05-2007)
| Kommentar Fra : Lars Kim Lund |
Dato : 22-05-07 22:15 |
|
"Christian E. Lysel" <christian@examples.net> wrote:
>Hvordan fanger BlueCoat den skype's forsøg på at køre HTTPS?
>Tager de den i opløbet?
SSL intercept. BlueCoats egen beskrivelse for deres "man in the
middle" princip. Den terminerer SSL'en på boksen og laver en session
mod klienten med sit eget certifikat.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Bo Simonsen (28-05-2007)
| Kommentar Fra : Bo Simonsen |
Dato : 28-05-07 00:05 |
|
Christian E. Lysel <christian@examples.net> wrote:
> On Tue, 2007-05-22 at 21:50 +0200, Asbjorn Hojmark wrote:
>> Der kan man lave L5/L7-sikkerhed som i 'Folk må
>> gerne køre MSN, men ikke lave en filoverførsel', eller 'Folk må gerne
>> køre HTTP (web) på port 80/tcp, men ikke Skype' og mere i samme stil.
>
> En anden måde kan være med squid.
>
> For MSN kan følgende bruges for at forhindre messenger klienter adgang:
>
> acl msnmime req_mime_type -i ^application/x-msn-messenger$
Hvis jeg ikke husker helt forkert sendes filoverførsler med MIME type
application/x-msnmsgrp2p derfor burde der skulle kunne blokeres
vh.a. denne mime type.
--
Bo Simonsen | http://bo.geekworld.dk
Datamatiker, B.Sc. | bo@geekworld.dk
| |
Christian E. Lysel (22-05-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 22-05-07 22:33 |
|
On Tue, 2007-05-22 at 23:15 +0200, Lars Kim Lund wrote:
> SSL intercept. BlueCoats egen beskrivelse for deres "man in the
> middle" princip. Den terminerer SSL'en på boksen og laver en session
> mod klienten med sit eget certifikat.
Er det på alle SSL sessioner eller kun de omtalte i squid filteret?
Hvordan acceptere klienterne det?
| |
Lars Kim Lund (22-05-2007)
| Kommentar Fra : Lars Kim Lund |
Dato : 22-05-07 22:36 |
|
"Christian E. Lysel" <christian@examples.net> wrote:
>> SSL intercept. BlueCoats egen beskrivelse for deres "man in the
>> middle" princip. Den terminerer SSL'en på boksen og laver en session
>> mod klienten med sit eget certifikat.
>
>Er det på alle SSL sessioner eller kun de omtalte i squid filteret?
Nu talte jeg som en BlueCoat ikke Squid. Men det kan man så
konfigurere i et SSL intercept layer. Konfigurationen foregår i layers
og hvor man identificerer traffik baseret på alt muligt op til L5-7
som Asbjørn nævner.
>Hvordan acceptere klienterne det?
Man truster et BlueCoat CA cert, så accepterer klienten det. Det
virker dog kun ved passiv SSL. Dvs. interaktiv challenge med f.eks.
digitale signaturer fungerer af gode grunde ikke.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (24-05-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 24-05-07 17:46 |
|
On Wed, 2007-05-23 at 08:46 +0200, Karsten wrote:
> Jeg har brugt en GPO til mine skype brugere så folk ikke kan modtage filer,
> jeg synes jeg har været rundt på nettet for at finde en GPO til MSN
> messenger uden dog at kunne finde noget.
Den er også svært at finde hvis de bruger en tilfældig browser.
> At bruge Squid ville være en mulighed og jeg har også tænkt mig at sætte en
> op på et tidspunkt, men mine nørd evner rækker ikke lige pt. så langt.
Viden kan købes på flere måder, bla. som kursus eller konsulenter.
Jeg gætter på du kommer langt med konsulenter og kurser, for de samme
penge der skal bruges på den anden løsning.
Kik evt. også på et andet projekt,
http://l7-filter.sourceforge.net/protocols
| |
|
|