MSN6 Blokkeren

Blaat

[ Voor 92% gewijzigd door Koffie op 10-07-2003 10:03 ]

Uit de help van MSN6:
"De meeste computersystemen bij bedrijven en een aantal computers van particulieren hebben een firewall om te voorkomen dat buitenstaanders toegang krijgen tot het systeem. Om veiligheidsredenen is een firewall ten zeerste aan te raden bij computers die breedbandtechnologie gebruiken om een internetverbinding te maken (bijvoorbeeld kabel of DSL).

In MSN Messenger wordt eerst geprobeerd om een rechtstreekse verbinding te maken, zodat je alle functies van Messenger kunt gebruiken. Als MSN Messenger geen rechtstreekse verbinding kan maken, wordt dezelfde HTTP-verbinding gebruikt als waarmee je standaardbrowser verbinding maakt met het Internet.

Opmerkingen

* Als in MSN Messenger de browserverbinding wordt gebruikt, kun je expresberichten verzenden, maar zijn sommige functies van MSN Messenger (zoals bellen en het verzenden van bestanden) mogelijk niet beschikbaar.
* Als je wilt controleren wat voor soort verbinding je hebt, ga je naar het tabblad Opties in het menu Extra en klik je op het tabblad Verbinding. In het onderste gedeelte van het dialoogvenster zie je welk soort verbinding je hebt. Bijvoorbeeld: 'Je hebt momenteel verbinding met MSN Messenger met je standaardbrowserinstellingen'. "

catchingfire schreef op 10 juli 2003 @ 09:12:
Ga je bezig houden met zinnige dingen ipv het pesten van mensen. Ik word echt zo schijtziek van die systeembeheerders die zich helemaal "the man" voelen als het ze weer is gelukt om de systeemgebruikers wat lol af te nemen.

Dat wordt smullen

/edit:
Mijn gebruikers mogen geen IM gebruiken, *tenzij* ze er een goeie reden voor opgeven..

--

Je kan toch een policy gebruiken om gebruik van MSN te voorkomen? Ik heb hier een netwerk met allemaal XP Pro-clients met als policy dat MSN helemaal niet kan worden gestart. Ben je daar ook weer vanaf.

[ Voor 18% gewijzigd door CmdrKeen op 10-07-2003 09:21 ]

Blaat

[ Voor 94% gewijzigd door Koffie op 10-07-2003 10:04 ]

Verwijderd schreef op 10 July 2003 @ 09:20:
Blaat

Bij ons in het bedrijf is MSN ook verboden. Het is alleen zo'n groot bedrijf dat je daar moeilijk op kunt controleren. Dus dan ga je het blokkeren, omdat het dus van de baas moet. Ga dus hier ajb niet de systeembeheerder af lopen zeiken. Die doen gewoon hun werk.

[ Voor 13% gewijzigd door Koffie op 10-07-2003 10:04 ]

Arnold, om welke OS'sen gaat het?

Trouwens.. Het is gewoon link om niet alles te blokkeren waarvan het niet noodzakelijk is dat het niet geblokkeerd is. Das gewoon algemene policy. Dat *niet* doen is een teken van slecht beheer, omdat je het hele WAN/LAN blootstelt aan bv. virii, en dan ben je verder van huis.

/Edit:
Ik zag je laatste reply te laat... Misschien overwegen te upgraden, of is dat out of the question?

[ Voor 16% gewijzigd door CmdrKeen op 10-07-2003 09:28 ]

msn 6 is hier geblokkeerd, het is alleen jammer dat wel zelf niets kunnen instellen in de firewall , (we gebruiken dit: http://www.netpilot.com) , maar ook msn 6 werkt niet..

Ben het wel met Vilenin eens. Alle porten blokken die openstaan en eigenlijk niet open HOEVEN te staan. En als MSN6 dan nog steeds kan connecten (port 80 or so...), dan zal je toch echt rigoreuzere maatregelen moeten treffen denk ik

Tsja.. Dan houdt mijn kennis een beetje op vrees ik. Een maatregel waar ik zelf niet achtersta is: laat al het verkeer door een proxy gaan en monitor dat. Laat de users weten dat alles gelogd wordt, en dat mochten ze een virusje binnenkrijgen via MSN (onwaarschijnlijk want geen file transfer mogelijk als de instellingen van de browser worden gebruikt, maar dat weet de doorsnee gebruiker niet) je zal proberen de schuldige te achterhalen. Dit is echter een bijzonder rigoreuze maatregel, nogmaals: waar ik *niet* achter sta. Het lost wel een groot deel van je probleem op denk ik.

Dan staat beveiliging tegenover privacy, en helaas (want ik ben sysadmin) kies ik dan voor privacy.

[ Voor 39% gewijzigd door CmdrKeen op 10-07-2003 09:41 ]

MSN6 zal toch ook via poort 80 bij een server aan moeten melden. Gewoon even uitzoeken naar welke servers hij probeert te connecten en blokkeer die.

Blaat

[ Voor 99% gewijzigd door Koffie op 10-07-2003 10:06 ]

catchingfire schreef op 10 July 2003 @ 09:41:
[...]


Nee, ik hou mijn mond niet, waarom mag ik mijn mening niet spuien over dit topic? [

Je mag je menig inderdaad niet in DIT topic spuien. Open maar een nieuw topic in HK ofzo.

Verwijderd schreef op 10 July 2003 @ 09:50:
Zo als ik al zei is het een opdracht en als ze HTTPort gaan gebruiken is er wel moeite voor gedaan.
En niet iedere gebruiker wil zo veel moeite er voor doen, maar als ze alleen msn6 hoeven installen en als het dan direct al werkt dan gaat iedereen msnen en dat willen ze hier voor komen.

Helaas kan ik je niet verderhelpen met je opdracht.

I rest my case. Friends again?

En ze leefden nog lang en gelukkig

.

[ Voor 100% gewijzigd door JvS op 10-07-2003 09:55 ]

Ik denk dat jij eens moet gaan kijken of een Stateful Inspection firewall iets voor je is. Ok, kost het e.e.a.....maar scant op alle lagen, dus ook op applicatieniveau. Denk dat je daar MSN wel mee moet kunnen blokkeren. Aan de andere kant: als een upgrade van w98 naar w2k er voorlopig ook al niet in zit, denk ik dat er weinig geld is voor zo'n ding.

NB. Goede stateful inspection firewall: Firewall-1 van http://www.checkpoint.com/

Waarom installeer je niet op alle pc's de isa firewall client? Dan kan je namelijk ook op executable blokken. Kan je zelf rechten geven op group c.q. usernivo of ze het wel of niet mogen. Maw de beheerder mag het wel en de gebruikers lekker niet

check deze link voor hoe je dat moet configureren

http://www.isaserver.org/...ers_Using_ISA_Server.html

check deze link voor hoe je dat moet configureren.

Heb dit een tijdje geleden geprobeert hierna kan men zelf niet meer connecten dmv de browsersettings.

Dit moet werken.

Een zooi replys ge-edit.
De eerst de beste stoere bink die het nodig acht om weer de eikel uit te hangen met zulke ongefundeerde flamende replys richting mensen en bedrijven die je niet eens kent, mag een dikke OW verwachten van deze stoere bink

Ontopic again

Heeft iemand hier inmiddels een oplossing voor?

Heb je de Protocol Defenition van MSN Messenger al eens geblokkeerd in Microsoft ISA Server?

Verwijderd schreef op 11 September 2003 @ 17:59:
Heb je de Protocol Defenition van MSN Messenger al eens geblokkeerd in Microsoft ISA Server?

Dat gaat nou net weer niet op (in mijn geval) aangezien wij gaan ISA server draaien.

Als het nu niet gewoon lukt met ISA of een proxy of whatever omdat ie niet naar pakketten kijkt, maar naar destinations enzo, raad ik jullie aan om eens naar superscout te kijken.
Dat is een softwarepakket die je naast je router hangt op een hub en die monitort alle datapakketten en manipuleert/dropt ze als er in die datapakketten bijv kenmerken van MSN in voorkomen.
Echt ideaal.

Een voordeel van MSN6 is dat deze het MSNP9 protocol gebruikt.
En de grootste verandering tussen MSNP7 en MSNP9 is de Tweener authentication.
Hiervoor moet MSN6 een Https verbinding leggen met "nexus.passport.com" deze geeft een 2e logging adres terug afhankelijk van het gebruikte email adress, meestal "login.passport.com" Door het blokkeren van deze adressen, kan MSN6 niet meer inloggen. en is MSN6 verleden tijd (waarschijnlijk ook hotmail, bedenk ik me net....)

volgens mij zit er toch een optie in ISA om het msn protocol te blokkeeren. en dat werkt als het goed is perfect.

en als dat nie lukt je eens aanmelden en der een netwerk sniffer of lijnmonitor laten mee kijken. kan je zien naar welke sites/ips msn gaaat en kan je proberen die ook nog te blokkeren.. maar zal eerst het eerstgenoemde eens proberen!

Misschien een wat rotte en harde kick... Maar voor een antwoord op een vraag mag je toch altijd kicken (handig voor de search).

Hier hebben we ISA draaien, en daar moest MSN op geblokkeerd worden. het was vrij lastig om de oplossing te zoeken, maar uiteindelijk ben ik er zelf achter gekomen hoe het moet.

Als eerste moet je een nieuwe rule aanmaken, die zet je op DENY, en bij protocol kies je voor "selected protocols", en vink je de volgende protocollen aan:

./ HTTPS
./ MSN
./ MSN Messenger

Dan kies je voor het tijdschema, en tot slot "Applies to". Daarbij kun je nog bepaalde adress sets instellen om het bijvoorbeeld toe te passen op een bepaalde IP range.

Hoe lang dit goed blijft werken weet ik niet, maar het is wel een simpele oplossing om de messenger zelf plat te gooien. Ik denk dat webmessengers zo ook niet meer zullen werken, aangezien deze ook verbinding maken via een HTTPS verbinding. Deze heb ik meteen mee geblokkeerd.

Meer resultaten komen binnenkort (kijken of het echt zo lekker werkt).

Voorlopig ziet het er goed uit

[ Voor 3% gewijzigd door Nik op 28-01-2005 10:29 ]

proller schreef op vrijdag 28 januari 2005 @ 10:28:

Als eerste moet je een nieuwe rule aanmaken, die zet je op DENY, en bij protocol kies je voor "selected protocols", en vink je de volgende protocollen aan:

./ HTTPS
./ MSN
./ MSN Messenger

Ik ben niet echt thuis in ISA maar is het dan niet zo dat je al het https verkeer blocked?

zelf heb ik een redelijk simpele oplossing gevonden, in de firewall "gateway.messenger.hotmail.com" "deny all" en messenger werkt niet meer.. hotmail zelf werkt overigens nog prima

Over de reacties dat systeem beheerders zich bezig moeten houden met nuttige dingen en niet zomaar mensen moeten gaan pesten:

Das makkelijk om te draaien natuurlijk.. in veel bedrijven is het niet toegestaan om zelf software te installeren, dus msn hoort daar ook bij
Vaak is het ook het geval dat het internet niet voor prive doeleinden gebruikt mag worden.
Helaas zijn er altijd mensen in een bedrijf die daar dan toch misbruik van maken dus dan zijn er andere maatregelen nodig.

Blok ook meteen
webmessenger.msn.com
en
piglet.0900provider.nl/

Er is ook een programma hopster.com daarmee kun je msn-en over andere porten dus zoekt net zolang dat hij een open poort gevonden heeft.

[ Voor 3% gewijzigd door Verwijderd op 28-01-2005 13:37 ]

Hmm goede reacties, ik heb eens gekeken, en het HTTPS verkeer werkt hier inderdaad niet meer. Maar dat is hier geen ramp, leerlingen hoeven nergens een beveiligde verbinding voor te gebruiken. Zou dat eventueel een probleem zijn, dan zet ik het MSN gewoon weer op "Allow". Hier op deze school mag er namelijk op veel momenten wél gebruik gemaakt worden van MSN, zoals aan het eind van de les (laatste 5 of 10 minuten). Ook tijdens vrije uren mag er gebruik gemaakt worden van MSN. Vooralsnog werk de blokkade hier zeer goed.

Wat wel jammer is, is als mensen al op MSN zitten, en je zet dat de MSN toegang op "Deny", duurt het een paar minuten voordat MSN geen verbinding meer kan maken. Dat zal ook deels temaken hebben met het inlog proces. Dat probleem is eenvoudig te omzeilen door vóór dat de lessen beginnen, MSN te blokkeren.

Sorry, maar dat is gewoon standaard configuratie in ISA. Is totaal niets speciaals aan. Vind het de kick niet waard in elk geval, dit was allang een rommelig topic.