Pagina 1 di 2
Bloccare MSN Messenger da cisco asa 5510 da ASDM
Inviato: mar 25 nov , 2008 10:17 am
da sashwak
Salve... mi sono appena iscritto al forum spero di non fare qualche gaff.
Non sono un esperto cisco e non ho le basi per configurare da console ho ereditato questo lavoro e lo devo proseguire.
Ho un Cisco Asa 5510 configurato e funzionante creo le regole utilizzando il software ASDM che comprendo maggiormente.
Il mio problema è bloccare Microsoft MSN Messenger su tutta la rete.
ho bloccato la porta 1863 e gli ip che puntano ai servizi msn.
nulla di fatto msn utilizza la porta 80 quando non è disponibile la 1863
cosa si pù fare?
Grazie a tutti
Inviato: mar 25 nov , 2008 12:35 pm
da Wizard
Ecco le acl che devi inserire:
deny tcp any any eq 1863
deny ip any host 65.54.239.80
deny ip any host 65.54.239.81
deny ip any 207.46.110.0 0.0.0.255
Inviato: mar 25 nov , 2008 12:36 pm
da Wizard
Ricorda che c'è sempre win live messanger web...
Inviato: mar 25 nov , 2008 12:55 pm
da masterx81
mmm... Non sono un esperto, ma credo che ci siano diverse opzioni...
se hai un server dns interno, puoi fare un dns poisoning (far puntare il nome dominio di msn su un ip finto).
Oppure bloccare le route verso gli ip di messanger.
Oppure se il tuo dispositivo le supparta fare una class-map tipo questa:
http://www.elian.co.uk/2007/05/05/block ... olicy-map/
Credo che si possa fare un ip inspect con appfw, tipo questa:
Codice: Seleziona tutto
ip inspect name Firewall appfw Block_MSN
appfw policy-name Block_MSN
application im msn
service default action reset
service text-chat action reset
server deny name messenger.hotmail.com
server deny name gateway.messenger.hotmail.com
server deny name webmessenger.msn.com
audit-trail off
Poi fai l'ip inspect in uscita sulla tua interfaccia verso l'esterno
Occhio che se utilizzi quest'ultima tecnica, devi configurare (se non te l'ha gia' fatto l'sdm) anche tutte el altre regole per l'ip inspect...
Di quel poco che conosco, spero di esserti stato di aiuto...
Inviato: mar 25 nov , 2008 1:32 pm
da sashwak
Grazie per la risposta tempestiva i primi tre passaggi ok
ma il quarto intendi 207.46.110.0 e la subnet?
perchè quando la scrivo mi compare questo errore
"Address cannot contain more than one address"
Ricordando che lavoro da ASDM
in questo caso nella sessione "edit network object group"
dove è stato creato un oggetto per bloccare gli ip quali spam e siti
Grazie[/img]
Inviato: mar 25 nov , 2008 2:24 pm
da Wizard
ip inspect è su ios firewall nn su asa
Inviato: mar 25 nov , 2008 5:00 pm
da masterx81
Wizard ha scritto:ip inspect è su ios firewall nn su asa
Ok, chiedo scusa... Ci ho provato...
Sull'asa non c'e' qualcosa di simile?
Leggendo qui:
http://www.cisco.com/en/US/products/ps6 ... 38a6.shtml
https://supportwiki.cisco.com/ViewWiki/ ... M_services
http://6200networks.com/2007/10/31/bloc ... ic-on-asa/
mi erano sembrati molto simili...
Inviato: mer 26 nov , 2008 11:14 am
da Wizard
Lato ASA c'è appunto l'inspction che è un po' diversa da ip inspect.
Su ASA si riesce a bloccare msn mess anche con una policy-map di sicuro ma si fa molto prima configurando alcune semplici acl
Inviato: mer 26 nov , 2008 11:27 am
da masterx81
Wizard ha scritto:Lato ASA c'è appunto l'inspction che è un po' diversa da ip inspect.
Su ASA si riesce a bloccare msn mess anche con una policy-map di sicuro ma si fa molto prima configurando alcune semplici acl
Ok, capito
Presumo che un vantaggio sia che le acl sono molto piu' semplici da elaborare piuttosto che smontare i pacchetti, lasciandolo un po' piu' libero...
Inviato: mer 26 nov , 2008 11:47 am
da sashwak
Grazie Wizard...
Non ho capito questo passaggio
deny ip any 207.46.110.0 0.0.0.255
dal software ASDM
Devo creare un range di ip?
0.0.0.255 è la subnet?
Grazie Ancora
Inviato: mer 26 nov , 2008 2:32 pm
da Wizard
Devi creare delle acl in questo modo:
deny tcp any any eq 1863
deny ip any host 65.54.239.80
deny ip any host 65.54.239.81
deny ip any 207.46.110.0 255.255.255.0
Inviato: mer 26 nov , 2008 4:10 pm
da sashwak
Nulla di fatto msn si apre... cmq ci abbiamo provato
Grazie
Inviato: mer 26 nov , 2008 4:18 pm
da Wizard
Queste acl le avevo preparate un po' di tempo fa, forse ora sono cambiati i server...
Fai così:
- fai un capture sul asa (lo devi fare da riga di comando)
- apri msn
vedi i log del capture e da quelli crei le acl
Inviato: mer 26 nov , 2008 4:28 pm
da sashwak
fermi tutti... ho provato a seguire questa configurazione
http://6200networks.com/2007/10/31/bloc ... ic-on-asa/
...funziona... Msn non si collega più da programma
Grazie masterx81
Inviato: mer 26 nov , 2008 10:12 pm
da Wizard
Ci fai vedere uno "sh run" x i posteri...?!
Grazie