Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Dicas e Tutoriais › Bloqueando Liberando Messenger autenticação via proxy integrado ao AD
Marcado: active directory, AD, Bloqueando, endian, Liberando, Proxy, SQUID, windows 2003
- Este tópico contém 3 respostas, 4 vozes e foi atualizado pela última vez 11 anos, 4 meses atrás por gledsonssantos.
-
AutorPosts
-
-
junho 9, 2011 às 1:20 pm #1101ronaldodaviParticipante
De fato o comunicador msn messenger da microsoft dominou o mercado e hoje e a principal ferramenta de comunicação, varias empresas devido aos seus Gestores optam por bloquear o uso do mensageiro dentro de suas empresas contudo existem momentos que existe a necessidade de um determinado usuário ter acesso liberado a este programa.
Hoje tive a necessidade de rastrear os pacotes de um determinado programa em uma das empresas que atuo aproveitando que já estava na tarefa resolvi procurar uma forma de descobrir como liberar ou bloquear o uso do msn messenger ou outro que use a rede microsoft autenticando pelo proxy squid, usando o programa wireshark monitorei os pacotes msnms ate conseguir as informações necessárias para realizar o bloqueio ou liberação com as ferramentas que a empresa tem disponíveis então vamos lá ao que interessa.
Usamos o Endian Community como sistema firewall/proxy por ser robusto e passível de modificações e correções de bugs, o mesmo recurso e possível ser usado com pfsense e outros.
O procedimento nao e tão complicado na verdade para quem sabe usar as ferramentas e bem simples ele e um conjunto de liberações ou bloqueio no firewall e no proxy.
Liberação ou bloqueio no Firewall
Porta: 1863
Para que o programa possa se conectar a rede microsoft e necessária criar uma regra no firewall liberando a porta caso contrario e bloqueio.
No endian, deve ser na aba Firewall > Outgoing Trafic > Agregar nova regra do firewall
Origem: Verde
Destino: Vermelha
Protocolo TCP: 1863
No braço
Libera: iptables -A INPUT -p tcp –destination-port 1863 -j ACCEPT
Bloqueia: iptables -A INPUT -p tcp –destination-port 1863 -j DROP
Agora e necessario adcionar uma regra no proxy a permitir ou bloquear a rede do MSN MEssenger
No endian, deve ser na aba Proxy > Acess Policy
Adcionar numa regra as seguintes informações:
.live.com
.hotmail.com
.hotmail.com.br
.msn.com
.phx.gbl
65.55.64.254
65.54.48.176
65.54.50.183
65.55.71.98
65.54.52.254
Supondo que o firewall esta ligado ao Active Directory mais conhecido AD se cria um grupo chamado MSN no Endian liga-se a regra no AcessPolice ao Grupo na opção de autenticação baseado em grupo procurase pelo Grupo MSN criado anteriormente no AD, feito esse procedimento qualquer usuario do AD que esteja no grupo MSN ira logar utilizando as regras que foram adcionadas no proxy e seu funcionamento acontecerá mesmo usando o proxy no browser ou deixando o proxy transparente.
se você nao tem um AD pode criar a regra por mac ou IP que ira funcionar normalmente.
esta dica nao monitora conversas nem permitir envio de mensagens de aviso au usuario se conectar no programa apenas a dica e apenas com o intuito de liberar quem pode ou não usar o MSN messenger dentro da empresa autenticando pelo proxy
eu ja avia criado este post em meu blog pessoal mas como vi que aqui seria util fiz uma copia aqui.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
junho 15, 2011 às 4:46 pm #8275JhowslackParticipante
Boa tarde Ronaldo,
Muito bom seu post, mas estou enfrentando um problema semelhante.. tenho 3 grupos de acesso a internet configurados no meu AD. Crei um filtro de conteúdo para cada grupo e depois criei uma regra para cada grupo vinculando o filtro de acordo com que os grupos podem acessar. Os grupos são Liberado – Moderado e Restrito. Meu problema é com o Restrito. No filtro de conteúdo do Restrito é tudo bloqueado e só pode acessar os site que estão na lista branca, portanto, não podem acessar hotmail, msn e etc. Só que existe as exceções dentro desse grupo que podem usar o Messenger. Ai eu liberei a porta 1863 no firewall, as postas 80 e 443 também estão liberadas pra Green. Criei um filtro de conteúdo liberando todos os sites da Microsoft que o messenger usa e depois criei um grupo MSN no AD vinculando os usuários do grupo restrito que podem acessar a internet e em seguida crei uma regra e deixando-a na primeira posição, vinculando o grupo do AD MSN ao filtro de conteúdo msn. Mas mesmo assim não consigo fazer com que o usuário acesse o messenger. Até o teste de problemas de conexão do próprio messenger ele informa que há problemas com as portas principais e não conecta. Loguei na máquina com outro usuário do grupo moderado ou liberado e ai conecta no messenger normalmente. A impressão que dá que o messenger não olha a regra que criei liberando o messenger e sim a regra do grupo restrito onde não contem os site do messenger liberado.
Tem alguma outra forma de fazer esse processo funcionar? Você pode me ajudar?
-
maio 29, 2012 às 3:36 pm #8276CarlitoParticipante
Gostei.
-
dezembro 17, 2012 às 3:45 pm #8277gledsonssantosParticipante
Ola, comigo estas regras não estão funcionando, Preciso muito de ajuda.
Log:
Web prox.. 2012-12-17 12:43:49 1567 192.168.0.20 TCP_MISS/000 26612 CONNECT login.live.com:443 zuza FIRST_UP_PARENT/content2
-
-
AutorPosts
- O tópico ‘Bloqueando Liberando Messenger autenticação via proxy integrado ao AD’ está fechado para novas respostas.