Записи с меткой ISA Server

1

Блокировка служб быстрого обмена сообщениями на примере ICQ и mail.ru agent

Службы обмена сообщениями в настоящее время очень популярны, но, к сожалению, часто они используются сотрудниками в рабочее время не по назначению. За редким исключением (общение с партнером в другом городе или работа менеджера по продажам на ICQ) сотрудники тратят рабочее время компании на беседы с друзьями «за жизнь», причем очень часто тратят на это существенную долю рабочего времени в ущерб работе. Разумным решением в данной ситуации является блокировка доступа к интернет ресурсам, кроме необходимых по работе.

К сожалению, такой подход не всегда возможен – часто сотрудники занимаются поиском в интернете, и невозможно ограничить круг доступных им сайтов определенными рамками. В этом случае требуется «точечная» блокировка определенных популярных ресурсов, наиболее отвлекающих сотрудников от работы.

В данной статье описана блокировка двух таких ресурсов, а в конце статьи приводятся готовые модули для их блокировки в среде брандмауэра Microsoft ISA Server 2006. Для других брандмауэров настройки выполняются аналогичным способом.

Блокировка ICQ и QIP

Мы не пытаемся анализировать имя исполняемого файла или его контрольную сумму – клиентов протокола ICQ существует множество, и всех проконтролировать все равно невозможно. В силу ряда причин блокировка запуска исполняемых файлов, кроме заранее определенных, тоже не рассматривается – это создает много неудобств в работе и это приводит к появлению проблем в самых немыслимых ситуациях. Данное решение предусматривает только блокировку непосредственно протокола ICQ.

Итак, список правил:

1. Создайте запрет обращения по всем протоколам к IP адресам:

64.12.30.60

205.188.251.1

64.12.161.153

205.188.4.192-205.188.4.194

205.188.153.97-205.188.153.98

Создайте запрет обращения к следующим доменам:

*.aol.com

*.icq.com

*.qip.ru

Дополнительно можно создать правило фильтрации web для сайтов из 2 пункта с переадресацией на страницу сервера интрасети. На данной странице можно выводить предупредительную надпись о недопустимости использования служб быстрого обмена сообщениями.

Блокировка Mail.ru Agent

Блокировка данной службы значительно более сложна, чем протокола ICQ. Создатели сделали все возможное, чтоб их сервис работал в любых условиях. Но все же, потратив некоторое время на анализ обращений клиента, удалось сделать набор правил блокировки:

1. Заблокируйте доступ к ip-адресам:

194.186.55.19

194.67.57.121

194.67.57.142

194.186.55.30

194.67.57.150

194.186.55.26

194.167.23.0/24

2. Заблокируйте доступ к доменам mrim.mail.ru, а также mrim1.mail.ru-mrim50.mail.ru (точное значение номера последнего сервера нам неизвестно, но в настоящий момент блокирование первых 50 из них достаточно).

3. Заблокируйте доступ к веб-сайту agent.mail.ru для предотвращения скачивания новых клиентов сотрудниками.

На момент написания статьи этих мер было достаточно для блокировки доступа обоих IM-клиентов. Возможно, со временем разработчиками данных служб будут предприняты меры для преодоления данных фильтров, но следуя приведенной методике возможно заблокировать большинство из них. Для Вашего удобства предлагаем воспользоваться готовыми правилами MS ISA Server 2006:

Block ICQ.xml – блокирование ICQ и QIP

Block Mail.ru Agent.xml – блокирование mail.ru agent.

Экспортируйте данные файлы в ISA Server на закладке “Firewall Policy” – будут созданы одноименные правила, выполняющие функции блокировки. Поправьте адреса перенаправления (или отключите перенаправление полностью) и разместите эти правила перед разрешающими.

Если у Вас есть замечания или вопросы – можете оставить их в комментариях нашего блога.

www.prosperity-systems.ru