防火牆 V.S. 即時通訊
Q:
對於msn & icq & yahoo等線上系統 如何阻絕 及如何自己於企業內部自己建立相關系統 供內部 user使用.
1.可有方法自建 線上系統?
2.如何阻絕外部線上交談系統 (irc)
A:
1.企業內的線上交談系統:
Microsoft 有一個 Conference Server 可以附掛在 Exchange
Server 上,就可以在內部提供 Conference 線上交談的功能
2.阻擋 IRC, ICQ 及 Yahoo Messenger, MSN 等協定:
在一般狀況下每一種線上交談系統都有其各自使用的協定, 如果
有網路防火牆, 且 Firewall 的 Rule 是採取正向表列(僅開放想
要讓其通過的服務), 則Firewall 應可以阻擋這些使用預設設定
的線上交談行為, 如果是負向表列的運作方式(僅限制不允許的服
務), 就必須限制這些服務的 Port 連到外界, 這些服務個自有其
預設 port, 並且各自的不同服務可能也會用到不同的 Port, 可
以參考以下的 URL 取得 Port 資訊:
http://www.chebucto.ns.ca/~rakerman/port-table.html
在負面表列的狀況下要將所有的 port 都擋住會有些困難, 並且
可能會影響到其他的服務的運作
此外, 即使在 Firewall 上擋住了這些 port 都還不能保證可以杜絕使用者使用.在 MSN, Yahoo Messanger 等軟體上都有透過 HTTP Proxy 運作的設定, 還有一些其他的 Tunnel 軟體可以將這些應用包裝透過 HTTP 協定通訊, 除非限制所有這些Proxy的通訊, 不然企業真正能夠阻擋的還是有些限度
一般常見的處理方式有兩種:
1. 透過管理面的安全政策和對應罰則處理: 制定安全政策說明公司
禁止使用這類軟體, 一旦發現這類軟體將會受到處罰等手段限
制, 此一方式能否成功主要要依賴高階主管的支持以及有效的稽
核和處罰方能完成
2. 透過可以對用戶端的軟體使用網路的行為進行控管: 例如,賽門
鐵克的 SCS 可以透過集中的政策控管, 限制用戶端有哪一些應用
程式允許使用網路, 此種方式需要較多的前期運作, 包含安裝用
戶端軟體, 以及集中的安全政策設定, 初期的運作可能會引發部
分的用戶的反彈, 但是完全導入之後, 包含防毒, 蠕蟲, 用戶端
的入侵及木馬程式, 以及非法軟體等可能都可以一次解決. 其中
關鍵除了軟體之外,高階主管的支持和用戶端的溝通都是必要的
通常 MSN ,Yahoo Messager ....等 Insatnt Messanger 會使用特定 TCP Port(如 Yahoo messager TCP 5101埠) 傾聽 peer-to-peer requests,使用者可對此設定防火牆來限制 TCP 埠對內對外的通訊。然而,因為 Yahoo Messager URI 可以內嵌在網頁或電子郵件訊息內,因此對 TCP 5101 埠的限制並不能完全解決問題,還必須過濾網頁及電子郵件內的 "ymsgr:" URI handler 才可以有效過濾。
Q:
如何阻擋MSN 的檔案傳輸功能
如何阻擋MSN 的檔案傳輸功能,以下是在網路上所找到的資料,但實作之後,MSN依然可以傳檔案....透過別的Port....
Name : MSN Msgr (Real)
: Initial Connection Port Number : 1863 Initial Protocol Type : TCP Initial Direction
: Outbound Secondary Connections: Port Range : 5004 - 65535 Protocol Type : UDP Direction
: Send and then Receive
Port Range : 6891 - 6900 Protocol Type : TCP Direction : Inbound
Port Range : 6891 - 6900 Protocol Type : TCP Direction : Outbound
Port Range : 6901 - 6901 Protocol Type : TCP Direction : Outbound
A:
新版的 MSN 並不需要通過 MSN 傳輸協定或任何與 MSN 相關的協定
也因此利用 Firewall 來做 Port 的關閉是沒有效果的。現在 MSN 可以利用 HTTP 的通道,如果 IE 上有 Proxy 設定則會利用此Proxy 的通道來傳輸。
唯一可以攔截 MSN 檔案傳輸的方式是在 Proxy Leve 層級上來過濾。因此必須利用能夠過濾 Proxy Layer 的設備來做攔截,若企業內部尚未建制 Proxy Layer 以上攔截設備可先利用 Personal Firewall 在個人設備端將 MSN 的通訊攔截。
Q:
我是公司的MIS,公司目前想要杜絕員工在辦公室使用IM軟體,於是對於ICQ MSN AIM Yahoo等即時通訊軟體的Port進行封鎖,但最近發現員工還是有辦法透過Proxy和Socks等方式突破,不知這是什麼原理呢?
如果要防堵則要採取什麼策略還是可以購置什麼品牌的硬體防火牆可以做到,目前公司只是用Linux的iptables來做port的管理,無法有效達到這個目的,而且有人的proxy的port是80,我總不能把80的port封住,那老闆會開除我的,請專家救救我,謝謝!
一個可憐的MIS
A:
IM軟體是目前各公司MIS的痛。
如果要滿足資訊安全規範,勢必就要能控管這個程式的使用,不然至少也要留下足以作為稽核或是法庭證據的記錄。
但是IM軟體目前並無法留下這類的記錄,因此除了找到控管IM軟體的產品之外,就只能捨棄IM軟體了。
一旦決定禁止使用IM軟體,首先想到的是在防火牆設定封鎖IM軟體所使用的埠號。剛開始這個方法還行得通,但是道高一尺,魔高一丈,IM軟體的使用者開始採用Proxy的方式來進行連線,或是將Proxy伺服器的埠號改成80埠,也就是一般Web伺服器預設的埠號。
這種方式的目的就是要規避防火牆的阻礙,一般而言,防火牆是不會阻擋公司內部人員瀏覽網際網路上的網站,所以用這種方式的確可以穿過防火牆。
對於這類型手法,我們可以分成兩個方向思考。一種是在閘道端防堵,另一種是在主機端防禦,以下我們就這兩個方向來討論。
閘道端又可以分成兩種裝置來處理,一種是在防火牆,另一種是在Proxy。
咦?防火牆的方式不是已經證明無效了嗎?
那還有什麼好討論呢?其實防火牆一直不斷的演進,現在市面上也已經有販售”應用程式層防火牆” (Application Layer Firewall),或是第七層防火牆(Layer 7 Firewall)。
這類的防火牆可以重組網路封包,檢視應用程式的內容。
由這段敘述我們可以輕易聯想到,這種防火牆是否也能看到IM軟體的內容呢?沒錯!這類的防火牆確實能夠檢視網路連線的內容,因此可以有效遏止IM軟體的(當然前提是要經過調整和設定囉!)。
某些廠商的防火牆更具有檢查通訊協定RFC規範的功能,這種功能可以省卻MIS人員在設定防火牆時的負荷。通常IM軟體以80埠連線時,其內容大多不能符合HTTP的RFC規範,所以這類的防火牆可以達到有效阻擋IM軟體的通訊。
至於Proxy的方式又如何呢?做法就是在公司架設一台Proxy,將全公司的HTTP連線全部由Proxy伺服器處理,然後在Proxy伺服器上做控管。這樣的方式需要大量的時間和人力,而且防堵的成效端視MIS人員付出的時間和心力。
主機端的防範也有兩種做法可以考慮。
一種是使用個人防火牆(Personal Firewall)或是用戶端防火牆(Client Firewall),另一種方式是使用資產管理軟體來集中控管。並非所有的個人防火牆都能做到防堵IM軟體,有一類的個人防火牆是可以控管主機上所有要進行網路連線的程式。
當某個程式要求進行網路連線時,這類個人防火牆會跳出詢問視窗徵詢使用者的意見,允許或是拒絕這個程式的網路連線。這類的個人防火牆有企業版本,架設中控主機能夠集中設定及控管。
因此MIS部門可以考慮購買這類產品來防堵IM軟體,也能以設定政策(Policy)的方式開放部份人員使用。
而資產管理軟體的方式則是限制個人電腦的使用者安裝IM軟體,甚至有些產品可以在中控主機遠端移除個人電腦上已經安裝的IM軟體。
”本來無一物,何處惹塵埃”,如果連IM軟體都不能安裝,自然就沒有問題了。
不論是在閘道端阻擋,還是在主機端部署,都有其優缺點。
閘道端的優點是只要針對少數設備進行設定,缺點是設定和維護需要大量的時間和人力。
主機端的優點是需要設定和維護的時間和人力較少,缺點則是部署用戶端軟體時的人力需求較大,同時也要考慮安裝用戶端程式是否會與系統既有安裝的程式發生衝突。
各公司可以根據本身的需求和環境擇一或多種方式同時進行,希望以上的方式能減輕大家心中的痛。