Bloquer les messageries instantanées (HTTP/HTTPS) en entreprise

Bloquer les messageries instantanées (HTTP/HTTPS) en entreprise - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 02-03-2006 à 15:00:27    

:hello:  
 
Je cherche à bloquer les protocoles d'Instant Messenger au niveau de mon firewall et antivirus.
Je peux faire du filtrage d'URL et bloquer des plages d'adresses au niveau du firewall.
 
Je veux dégager les flux MSN, AIM, ICQ et Skype dans un premier temps.
Evidemment, ils peuvent passer avec ces appli uniquement sur le port 80 ou 443 (HTTP / HTTPS). Le reste est bloqué.
 
Pour MSN, il me semble avoir trouver la solution ; je bloc :
- config.messenger.msn.com
- gateway.messenger.hotmail.com
- msn.fr
- rad.msn.com
- storage.msn.com  
- webmessenger.msn.co
 
 
Savez vous pour les autres ? J'aimerais avoir votre aide sur le sujet.

Reply

Marsh Posté le 02-03-2006 à 15:00:27   

Reply

Marsh Posté le 03-03-2006 à 09:06:51    

[:macfly_fr]

Reply

Marsh Posté le 04-03-2006 à 12:20:11    

[:macfly_fr]

Reply

Marsh Posté le 05-03-2006 à 09:46:13    

[:macfly_fr]

Reply

Marsh Posté le 05-03-2006 à 09:49:53    

Y'a pas moyen de filtrer avec un proxy http (même transparent) ?
(je suis pas un pro dans le domaine, donc je ne suis pas certain du tout)


---------------
Counting all the assh*les in the room, well I'm definitely not alone...
Reply

Marsh Posté le 05-03-2006 à 10:10:38    

Salut,
 
Si tu as les moyens achete ISA 2004 de chez Microsoft (c'est un tres bon produit!)

Reply

Marsh Posté le 05-03-2006 à 10:22:08    

avant de dépenser des milliers d'euros, autant commencer par ce qui ne coute rien :
 
1/ enlever les droits d'admin sur les postes
2/ jouer avec les GPOs pour ce qui est fourni d'origine avec windows (messenger)
 

Reply

Marsh Posté le 06-03-2006 à 17:58:16    

:hello:  
 
Merci pour ces infos. Je ne peux pas me payer ISA et puis on a déjà pas mal investi dans nos appliances checkpoint et antivirus.
 
Pour enlever les droits admin, ce n'est pas évident car nous avons 95% des utilisateurs qui sont de développeurs et ils ont besoin de faire joujou avec les services.
On pourrait effectivement créer une GPO, le probleme est qu'il existe pleins de logiciel capable de faire de l'AIM, MSN et co, qu'on ne pourra jamais tous les  bloquer.
 
N'est il pas possible d'identifier les noms de domaine et/ou les plages d'adresse IP utilisées ? Au moins c'est simple et cela ne coute pas un sou !  :p  :D  
 

Reply

Marsh Posté le 26-04-2007 à 17:17:39    

empêcher les gens d'utiliser les webmessenger revient a jouer au jeu du chat et de la souris.
les webmessengers ne peuvent être bloqué (de manière fiable) qu'a partir de leurs domaines et ip.
une autre solution serait de faire de l'analyse heuristique sur le contenu des pages qui transitent mais c'est une solution moins fiable et plus couteuse (en ressources).
 
Bref, il faudrait que tu trouve une liste de tous les sites qui font du webmessenger....
je connais webmessenger.msn.com et meeboo.com
mais tu peux aussi bloquer gmail (googletalk) mais tu risque de te faire taper sur les doigts par ceux qui ont des comptes gmail...
 
 
Bref, bon courage :D

Reply

Marsh Posté le 27-04-2007 à 08:51:59    

ebuddy.com...
 
Après tu peux peut etre te tourner vers Olfeo qui met à jour des listes de filtrage. Ca bloque pas mal de choses... Ou alors, il doit exister des outils de qualité de service niveau applicatif (moi je connais l7-filter) sous linux... Des choses similaires doivent exister sous windows aussi.

Reply

Marsh Posté le 27-04-2007 à 08:51:59   

Reply

Marsh Posté le 27-04-2007 à 09:35:17    

Moi je pars du principe qu'il ne faut rien bloquer, car dans tous les cas, (surtout si les droits d'admins sont dispo sur le poste) les utilisateurs trouveront un moyen ou un autre pour arriver a leurs fins.
 
ils faut juste bloquer les trucs flagrants, mais chercher trop loin, c'est te prendre la tete sachant que les utilisateurs auront a un moment ou un autre, une longueur d'avance sur toi.
 
C'est mon point de vue ...

Reply

Marsh Posté le 27-04-2007 à 09:38:08    

si tu as un checkpoint, tu peux ajouter la brique SmartDefense, tu pourras squizzer par mal de saloperies avec ça.
 
Par contre dès qu'il s'agit d'entrer dans les détails de la L7, tu devras recourir à un proxy, transparent ou non. Tu peux très facilement monter une solution squid/squidguard par exemple à moindre frais, sinon tu as un connecteur ICAP te permettant d'interfacer Checkpoint avec un système de filtrage d'URL comme Olfeo, Surfcontrol...
 

Reply

Marsh Posté le 27-04-2007 à 09:39:23    

shreckbull a écrit :

Moi je pars du principe qu'il ne faut rien bloquer, car dans tous les cas, (surtout si les droits d'admins sont dispo sur le poste) les utilisateurs trouveront un moyen ou un autre pour arriver a leurs fins.
 
ils faut juste bloquer les trucs flagrants, mais chercher trop loin, c'est te prendre la tete sachant que les utilisateurs auront a un moment ou un autre, une longueur d'avance sur toi.
 
C'est mon point de vue ...


et ce n'est pas sa question.
Tu ne connais ni ses problématiques de BP, de QoS, de règlementation interne...
 
Sa question est : "comment bloquer?" , pas "bloquer, c'est bien ou mal?".

Reply

Marsh Posté le 27-04-2007 à 12:34:16    

Effectivement, ben a part bloquer sur un critere, je vois pas ...

 

ce que j'entends par criteres c'est "Website Blocking by Keyword" j'ai cette option sur un firewall ...

 

on rentre des mots (1 par champs) et ca bloque tout avec une page "ACCESS DENIED" dès qu'on fait une recherche google, etc, etc ...

 

Le seul soucis, commence a venir du moment ou on met YAHOO ... par exemple.

 

Un mec qui a sa boite mail yahoo, ne pourra pas y accéder, un mec qui cherche des infos sur un groupe, idem ...

  

Ensuite vient le blocage d'url, mais là c'est tres fastidieux, car comme marqué plus haut ... il suffit que yahoo change le nom de domaine, ou l'ip ... et le filtrage est mort ...

  

Donc bloquer les IM, ce n'est pas si simples ... si on ne veut pas perdre les autres services offerts par les fournisseurs IM.
Par contre s'il est marqué dans la convention interne que l'accès aux sites IM et l'ensemble des services associés, est bannis, là, ben tu te prends pas la tete et hop, blocage par url ... point barre.


Message édité par shreckbull le 27-04-2007 à 12:37:10
Reply

Marsh Posté le 27-04-2007 à 14:00:24    

le filtrage de contenu est complètement dépassé quand il s'agit de ne filtrer que l'occurrence de certains mots-clés.
 
Aujourd'hui une majorité d'éditeurs utilisent un système de base d'urls catégorisées. ex. olféo, surfcontrol.
Olfeo a la particularité d'intégrer les listes de Toulouse, d'où son excellent positionnement dans le domaine public, notamment les collectivités territoriales et ministère de l'éducation nationale.

Reply

Marsh Posté le 27-04-2007 à 14:18:44    

Krapaud a écrit :

lOlfeo a la particularité d'intégrer les listes de Toulouse, d'où son excellent positionnement dans le domaine public, notamment les collectivités territoriales et ministère de l'éducation nationale.


 
sauf qu'Olféo répertorie google dans la catégorie services aux entreprises plutot que dans la catégorie moteur de recherche  :D  (enfin au moment où on l'a utilisé à mon boulot).
 
Maintenant, c'est vrai que ca filtre beaucoup de choses mais on arrivait quand même à passer au travers pour pas mal de choses...

Reply

Marsh Posté le 27-04-2007 à 14:58:42    

J'aime pas Olfeo car ils ont blackliste mon IP alors qu'il n'y a aucune raison.  :fou:

Reply

Marsh Posté le 27-04-2007 à 18:00:24    

Pour MSN & co, le filtrage des entetes HTTP marche plutot bien.

Reply

Marsh Posté le 28-04-2007 à 12:28:19    

_p1c0_ a écrit :

sauf qu'Olféo répertorie google dans la catégorie services aux entreprises plutot que dans la catégorie moteur de recherche  :D  (enfin au moment où on l'a utilisé à mon boulot).
 
Maintenant, c'est vrai que ca filtre beaucoup de choses mais on arrivait quand même à passer au travers pour pas mal de choses...


à toi d'adapter le logiciel : de toute façon aucun n'est parfait.

Reply

Marsh Posté le 07-05-2007 à 15:06:28    

En solution payante y'a le parefeu matériel fireboxX qui avec watchguard te permet d'automatiquement bloquer tout type de messagerie instantanée, et c'est tres reguliement mis à jour.

Reply

Marsh Posté le 07-05-2007 à 15:08:45    

Prudence avec les solutions Watchguard, d'une part c'est couteux et d'autre part ce n'est pas d'une fiabilité exceptionnelle.
 
Sans compter l'interface playmobile.

Reply

Marsh Posté le 07-05-2007 à 15:14:53    

Pour ma part je n'ai jamais eu aucun soucis avec ce type de solution, et jamais aucun plantage.

Reply

Marsh Posté le 07-05-2007 à 16:12:01    

Je ne connais Watchguard que pour les routeurs Soho et les Firebox 1000 et je n'ai jamais été très satisfait.

Reply

Marsh Posté le 07-05-2007 à 20:19:20    

Krapaud a écrit :

le filtrage de contenu est complètement dépassé quand il s'agit de ne filtrer que l'occurrence de certains mots-clés.
 


 
:??:
 
J'ai pô compris :D

Reply

Marsh Posté le 08-05-2007 à 15:11:50    

ShonGail a écrit :

:??:
 
J'ai pô compris :D


filtrer une page parce qu'elle contient le mot 'bite' n'est pas une façon cohérente de faire du filtrage de contenu.
Aujourd'hui il y a une vraie indexation du web.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed