4 Ocak 2010 Pazartesi

Bildiğiniz gibi kurumsal firmalarda sistem yöneticilerinin güzide başbelası sohbet programlarıdır. Bir önceki yazımda gtalk ı nasıl engelleyebileceğimizi anlatmıştım. Şimdide sohbet programların başında gelen Msn messenger nasıl engelleyebileceğimizi anlatmaya çalışacağım. Peki neden engelliyoruz? Gerek iş verimliliğini düşürme, gerek dosya paylaşımı gerekse msn üzerinden yayılan visüsler. Her şekilde başbelası olabiliyor.

Msn Messenger Port ve servis olarak aşağıda belirttiklerimi kullanıyor. Öncelikle bunları Firewalldan engelliyoruz

tcp 1863
tcp 901
tcp-udp 6891-6900
windows messenger service

Daha sonra Messenger HTTP (80) portu yardımı ile açılacaktır bunuda Http Policy veya Url Filtering yardımı ile aşağıdaki adresleri yazarak engelliyoruz, aynı zamanda aşağıdaki filtrelemeleri yaptığınızda Web Messengerda kullanılamayacaktır.

*edge.hotmail
*messenger.services.live.com
*geo.messenger.services.live.com
*gateway.messenger*
*gateway.messenger.hotmail.com
*messenger*
*messenger.hotmail.com
*webmessenger.msn.com

Bunları yaptıysanız artık msn messenger açılmayacaktır. Fakat bukadarla bitmiyor :=) bi önceki gtalk engelleme yazımda da belirttiğim gibi bizler engelledikçe bilgisayardan anlamayan (sözde) userlarımız yeni yollar buluyorlar. Bizlerin işide o buldukları veya bulacakları yolları onlardan önce bulmak veya bulmuşlarsa tespit edip engellemek :=)
Aşağıda yazdığım sitelerde web üzerinden Msn Messenger yahoo vb sohbet programlarını açmak için kullanılan siteler. Bunlarıda engellediğiniz zaman herhangi bir sorun kalmayacaktır.

*.communicationtube.net
*.ebuddy.com
*.imhaha.com
*.imunitive.com
*.koolim.com
*.mabber.com
*.meboo.*
*.messengerfx.com
*.msn2go.com
*.mymsn.*
*.snimmer.com
*.express.instan-t.com
*.iloveim.com

ek olarak Application Control kategorisi var ise Hotmail.Web.Messenger ve MSN.Web.Messenger ı da blocklamanız gerekebilir.

Bir sonraki yazımda görüşmek üzere....

Google Talk Engelleme

Merhabalar,

Bu defa da Gmail hesabı üzerinden çalışan google un güzide servislerinden biri olan google talk ı nasıl engelleyebileceğimizi anlatmaya çalışacam. Malum şirket içinde yöneticiler tarafından iş performansını düşürdüğünden dolayı sohbet programları yasaklanıyor, tabi bizler yasakladıkça bilgisayardan anlamayan userlar engellemeye gördükçe yeni yollar buluyorlar. Msn live messenger engellersiniz siteler üzerinden çıkmaya başlarlar ultrasurf kullanmayı öğrenirler vs vs... Gmail de buldukları yollardan birisi.

Şimdi google talk engelleyecez fakat aynı zamanda gmail hesablarını da kullanabiliyor olmaları gerekiyor. Bunun için google talk yardım sayfasına göz attım
burada da belirtildiği gibi gtalk UDP 5222 ve TCP 443 portları üzerinden haberleşiyor. Şimdi direk firewall dan bu rulleri engellememiz 443 portunu kullanan sitelere erişim açısından sorun olacaktır. (Lan -> Wan : 443 drop dememiz)
O yüzden biraz daha araştırma yapıp gtalk kullanarak Wireshark programı yardımı ile bağlantılarını kontrol ettim. sonuç olarak aşağıdaki adresleri kullandığını gördüm,


Bunları engellediğim zamanda aşağıda belirttiğim IPleri kullandı.

216.239.51.125
72.14.253.125

Bunlarıda engelleyince gtalk programı üzerindende gmail web arayüzündende gtalk'ın kullanılamadığını gördüm.

2 Ocak 2010 Cumartesi

Teamviewer Blocklama (yasaklama,engelleme)

Bilişim sektöründe çalışan veya bu işe ilgi duyan birçok insanın destek amaçlı kullandığı teamviewer bazen sistem yöneticilerinin başının büyük belası olabiliyor. Düşünün şirketin muhasebe bölümünde çalışan personel dışarıda tanıdığı bilgisayardan anlayan birinden bilgisayarda takıldığı bir sorunla ilgili destek istiyor ve uzaktan bağlanıp bakıyor veya şirket dışındaki kendi bilgisayarına bağlanıp sizin engellediğiniz facebook, twitter gibi sitelerde dolaşıyor. Siz bunun farkında bile olmuyorsunuz, burada şirketin bilgileri de tehlikeye giriyor, sisteminizde. Hiçbir sistem yöneticisi çalıştığı firmanın yapısını dışarıdan başkalarının bilmesini istemez. Güvenlik zafiyeti doğurur. Program yüklemeyi engellediniz ama teamviewer kurulumsuz da çalışıyor. Server 2008 ve Windows 7yi birlikte kullananlar programın hash kodu ile GPO’ dan engelleyebiliyor. Şu an bu iki sisteme geçiş yapan bir firma olduğunu sanmıyorum varsa da çok azdır. Teamviewer’ı engellemek için en güvenli yol firewalldan yasaklamanız. Peki, bunu nasıl yapacağız.

Bazı firewallar teamviewer’ın imzasını ekleyerek block koyabiliyor(Cisco ASA, Checkpoint, Fortinet, vs). Ama her firewall bunu desteklemiyor. Bu sebepten dolayı internet trafiğini Wireshark Programı yardımı ile dinleyerek Teamviewer iletişim noktalarını bulmaya çalıştım. Takip ettikçe teamviewer’ın önce sitelere yönelerek bağlantı kurduğunu gördüm, siteleri blocklayınca da IPlere yönelerek bazı portlar kullanarak bağlantı sağladığını gördüm. Siteleri aşağıda sıraladım direk aşağıda yazdığım şekilde firewallda url filtering (http policy)’e eklemeniz engellemeniz için yeterli olacaktır.
*.1e100.net
*.crossloop.com
*.dyngate.com
*.msecn.net
*.rossmanith.com
*.verisign.net
*.dyndns.*
*.hosteurope.de
*.netpartnet.*
*.teamviewer.*
Teamviewer çalıştırdığınızda önce bu sitelere gidip bağlantı kurmayı deneyecek bu sitelere erişemediği zamanda aşağıda yazdığım iplere yönelmeye başlayacak. Fakat burada bu iplere block koymanız çok bir şey ifade etmiyor. Çünkü siz engelledikçe ipler çoğalıyor.














Durum böyle olunca bende ipler değil de bağlantı kurduğu portları takibe almaya başladım ve aşağıdaki portları kullanarak iletişim kurduğunu gördüm
Tcp 51434-5938-60438-60441-60452-60454-64723-64725
Udp 5938
Evet, bu portları kullanarak teamviewer iletişimini sağlıyor ve sizin baş belanız olabiliyor.
Sonuç olarak Firewallda yapmanız gereken http policy ile yukarıda belirttiğim sitelere block koymanız ve traffic policy ile de yasaklamak istediğiniz Pclerin internet çıkışlarında yine yukarıda belirttiğim portları eklemeniz gerekiyor. Daha sonra teamviewer açtığınız zaman aşağıda da göreceğiniz gibi teamviewer ID ve Password alamayacaktır. Arka planda da gördüğünüz gibi http portunu engellemeden direk bu ruleleri kullanarak teamviewer ı engellemiş olduk. 

Belli bir firewallda buradan bunu, buradanda şunu yapın diye yazmadım. Her Firewall'un yönetim paneli farklı, genel anlamda her firewallda bunları http Policy ve Traffic rule menulerinde uygulayarak rahatlıkla engelleme yapabilirsiniz.

Not: Yazıda bahsedilen yöntem geçerli olup Domain, IP Adresleri ve Portlar güncel değildir. Wireshark ile trafiği dinleyerek güncel bilgileri edinip aynı şekilde engelleyebilirsiniz.