Salve... mi sono appena iscritto al forum spero di non fare qualche gaff.
Non sono un esperto cisco e non ho le basi per configurare da console ho ereditato questo lavoro e lo devo proseguire.
Ho un Cisco Asa 5510 configurato e funzionante creo le regole utilizzando il software ASDM che comprendo maggiormente.
Il mio problema è bloccare Microsoft MSN Messenger su tutta la rete.
ho bloccato la porta 1863 e gli ip che puntano ai servizi msn.
nulla di fatto msn utilizza la porta 80 quando non è disponibile la 1863
cosa si pù fare?
Grazie a tutti
Bloccare MSN Messenger da cisco asa 5510 da ASDM
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ecco le acl che devi inserire:
deny tcp any any eq 1863
deny ip any host 65.54.239.80
deny ip any host 65.54.239.81
deny ip any 207.46.110.0 0.0.0.255
deny tcp any any eq 1863
deny ip any host 65.54.239.80
deny ip any host 65.54.239.81
deny ip any 207.46.110.0 0.0.0.255
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ricorda che c'è sempre win live messanger web...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
mmm... Non sono un esperto, ma credo che ci siano diverse opzioni...
se hai un server dns interno, puoi fare un dns poisoning (far puntare il nome dominio di msn su un ip finto).
Oppure bloccare le route verso gli ip di messanger.
Oppure se il tuo dispositivo le supparta fare una class-map tipo questa:
http://www.elian.co.uk/2007/05/05/block ... olicy-map/
Credo che si possa fare un ip inspect con appfw, tipo questa:
Poi fai l'ip inspect in uscita sulla tua interfaccia verso l'esterno
Occhio che se utilizzi quest'ultima tecnica, devi configurare (se non te l'ha gia' fatto l'sdm) anche tutte el altre regole per l'ip inspect...
Di quel poco che conosco, spero di esserti stato di aiuto...
se hai un server dns interno, puoi fare un dns poisoning (far puntare il nome dominio di msn su un ip finto).
Oppure bloccare le route verso gli ip di messanger.
Oppure se il tuo dispositivo le supparta fare una class-map tipo questa:
http://www.elian.co.uk/2007/05/05/block ... olicy-map/
Credo che si possa fare un ip inspect con appfw, tipo questa:
Codice: Seleziona tutto
ip inspect name Firewall appfw Block_MSN
appfw policy-name Block_MSN
application im msn
service default action reset
service text-chat action reset
server deny name messenger.hotmail.com
server deny name gateway.messenger.hotmail.com
server deny name webmessenger.msn.com
audit-trail off
Codice: Seleziona tutto
ip inspect Firewall out
Di quel poco che conosco, spero di esserti stato di aiuto...
-
sashwak
- n00b
- Messaggi: 7
- Iscritto il: mar 25 nov , 2008 10:00 am
Grazie per la risposta tempestiva i primi tre passaggi ok
ma il quarto intendi 207.46.110.0 e la subnet?
perchè quando la scrivo mi compare questo errore
"Address cannot contain more than one address"
Ricordando che lavoro da ASDM
in questo caso nella sessione "edit network object group"
dove è stato creato un oggetto per bloccare gli ip quali spam e siti
Grazie[/img]
ma il quarto intendi 207.46.110.0 e la subnet?
perchè quando la scrivo mi compare questo errore
"Address cannot contain more than one address"
Ricordando che lavoro da ASDM
in questo caso nella sessione "edit network object group"
dove è stato creato un oggetto per bloccare gli ip quali spam e siti
Grazie[/img]
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
ip inspect è su ios firewall nn su asa
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Ok, chiedo scusa... Ci ho provato...Wizard ha scritto:ip inspect è su ios firewall nn su asa
Sull'asa non c'e' qualcosa di simile?
Leggendo qui:
http://www.cisco.com/en/US/products/ps6 ... 38a6.shtml
https://supportwiki.cisco.com/ViewWiki/ ... M_services
http://6200networks.com/2007/10/31/bloc ... ic-on-asa/
mi erano sembrati molto simili...
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Lato ASA c'è appunto l'inspction che è un po' diversa da ip inspect.
Su ASA si riesce a bloccare msn mess anche con una policy-map di sicuro ma si fa molto prima configurando alcune semplici acl
Su ASA si riesce a bloccare msn mess anche con una policy-map di sicuro ma si fa molto prima configurando alcune semplici acl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Ok, capitoWizard ha scritto:Lato ASA c'è appunto l'inspction che è un po' diversa da ip inspect.
Su ASA si riesce a bloccare msn mess anche con una policy-map di sicuro ma si fa molto prima configurando alcune semplici acl
Presumo che un vantaggio sia che le acl sono molto piu' semplici da elaborare piuttosto che smontare i pacchetti, lasciandolo un po' piu' libero...
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Devi creare delle acl in questo modo:
deny tcp any any eq 1863
deny ip any host 65.54.239.80
deny ip any host 65.54.239.81
deny ip any 207.46.110.0 255.255.255.0
deny tcp any any eq 1863
deny ip any host 65.54.239.80
deny ip any host 65.54.239.81
deny ip any 207.46.110.0 255.255.255.0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Queste acl le avevo preparate un po' di tempo fa, forse ora sono cambiati i server...
Fai così:
- fai un capture sul asa (lo devi fare da riga di comando)
- apri msn
vedi i log del capture e da quelli crei le acl
Fai così:
- fai un capture sul asa (lo devi fare da riga di comando)
- apri msn
vedi i log del capture e da quelli crei le acl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
sashwak
- n00b
- Messaggi: 7
- Iscritto il: mar 25 nov , 2008 10:00 am
fermi tutti... ho provato a seguire questa configurazione http://6200networks.com/2007/10/31/bloc ... ic-on-asa/masterx81 ha scritto:Ok, chiedo scusa... Ci ho provato...Wizard ha scritto:ip inspect è su ios firewall nn su asa
Sull'asa non c'e' qualcosa di simile?
Leggendo qui:
http://www.cisco.com/en/US/products/ps6 ... 38a6.shtml
https://supportwiki.cisco.com/ViewWiki/ ... M_services
http://6200networks.com/2007/10/31/bloc ... ic-on-asa/
mi erano sembrati molto simili...
...funziona... Msn non si collega più da programma
Grazie masterx81
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ci fai vedere uno "sh run" x i posteri...?!
Grazie
Grazie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
