jueves, 8 de noviembre de 2007

Bloqueo msn messenger

Chan chan chan chaaaan... llego el momento que todos esperaban, ahora dare a conocer el filtro que bloquea el msn messenger. La ultima version tambien sucumbe a este bloqueo (windows live messenger 8.1)

Lo primero es crear un filtro especifico para el bloqueo, osea no recomiendo agregarse a alguno existente porque es probable pierdas el hilo entre tanta pagina bloqueada, ya una vez levantado es mas facil ir agregando los demas sitios. Despues ya veremos algunas recomendaciones de bloqueos.



En la parte superior hay que destacar que debe estar activado el filtro de contenidos prohibidos y esta debe tener la palabra gateway.

En la parte superior, obviamente activada la opcion de filtro de sitios y sitios prohibidos y agregaremos las siguientes lineas:

messenger.hotmail.com:1863;

207.46.*.*/gateway/gateway.dll?Action=open&Server=SB&IP=*.*.*.*;

http://*.*.*.*/gateway/gateway.dll?Action=poll&SessionID=*.*;

Al final de las 3 lineas va un punto y coma ; no se porque no siempre sale en el blog

Veamos que hace cada linea:
La primera apunta hacia el portal del messenger. Como saben, messenger basicamente es un mini-navegador (y quien tenga squid podra notar que se identifica asi) entonces, bloqueamos el acceso, los dos puntos y el numero indica que estamos cerrando el acceso a ese puerto
La segunda linea hace referencia a la ip del servidor que aloja los servicios de messenger. gateway.dll es un archivo que ocupa messenger para gestionar las conexiones, como podemos ver en el resto de la linea, al ultimo bloqueamos conexiones secundarias
Tercer linea, mandamos basicamente el mismo bloqueo, pero esta vez sobre el ID que queramos ocupar.
Con esto es suficiente para bloquear el inicio de sesion en messenger sin bloquear el acceso a hotmail. Lo tengo mas que comprobvado y actualmente esa configuracion es la que ocupo en la empresa donde trabajo

¡No funciona!
Antes que comiences a maldecir mi nombre, ten en cuenta los siguientes puntos:

1.- Windows live messenger tiene la "gracias" de intentar por todos los medios de conectarse a internet, probara gateways, rutas, proxys, configuraciones de iexplorer, todo, absolutamente todo
2.- Teniendo en cuenta el primero punto, lo primero es: los clientes por ningun motivo deberan tener como puerta de enlace el router (por obvias razones) ni siquiera como dns secundarios, ya que entonces al detectar respuesta se configurara para tomar esa salida. Lo pongo como requerimiento ya que asumo todo el trafico va a ser desviado al proxy, si alguno de esos puntos se cumple entonces no garantizo que el bloqueo sea exitoso.
3.- Puesto que messenger toma los valores de iexplorer para funcionar lo mejor seria bloquear el acceso a la parte de configuracion de iexplore. Esto sera muy sencillo de hacer si trabajas con politicas de dominio, o en el ultimo de los casos, ocupa el editor de politicas local para modificar e impedir el acceso al mismo.
4.- Restricciones. Impide que puedan cambiar los datos de las conexiones de red. Es muy facil detectar que uno tiene ip fija y cambiarla si no hay un alto
5.- Una vez activado el filtro, este no actua de inmediato de manera tajante. Hay que saber esperar a que surja efecto ya que loas conexiones ya estan hechas. Por lo tanto se requeriria un reinicio del cliente para anularlas y cuando quisiera iniciar sesion ya no podria. O si es un bloqueo programado hazlo en cuanto el cliente se haya retirado y apagado su equipo, asi al dia siguiente el bloqueo ya estara funcionando.

Sobre como hacer restricciones para mas sitios y programas el asunto es tan simple como hecharle un ojo a tu log de eventos. Si quieres bloquear no se, trillian por ejemplo, agarra una maquina cliente, conectala y ve todo lo que pasa por ahi, entonces ya es mas facil saber que hacer en lugar de poner restricciones idiotas y que no funcione.


10 comentarios:

Anónimo dijo...

Hola, tengo un problema raro y espero me puedas ayudar. Tengo una red pequeña en casa, de tres máquinas. La máquina principal tiene conexión a internet por proxy. Yo uso CCProxy para hacer cascada de proxy y proveer internet al resto de las máquinas. Todo funcionaba bien hasta que actualicé de la versión 6.3.8 a la 6.4.1, sin desinstalar primero la antigua. Ahora tengo algunos problemas. El principal es que en las dos máquinas de mi red interna puedo iniciar sesión con Windows Live Messenger, pero a penas escribo un mensaje pierdo la conexión. Tengo también problemas con algunas páginas al azar que tardan exageradamente en cargar. Nada de esto pasaba antes.

Este problema me había pasado antes y traté reinstalando tanto CCProxy como el Messenger y probando distintas versiones. Intenté eliminando todas las claves del registro referentes a CCProxy en mi servidor....y nada. Antes lo solucioné formateando los tres eqiupos, pero es algo que no quiero hacer, desde luego.

Mi máquina principal usa el puerto 8080 para HTTP y el 1080 para Socks. Las satélites están usando el puerto 808 y el 143. Solía conectarme al messenger mediante el puerto 808 HTTP desde las satélites porque no me funciona el proxy Socks de CCProxy.

¿Hay alguna solución? mi mail es dbx2r@hotmail.com. Gracias de antemano, Daniel.

Anónimo dijo...

Que tal, oye muy comleta tu ayuda sobre ccproxy, pero tengo una duda, dices que no debo tener tener configurado el router como puerta de enlace, entonces que direccion ip pongo en puerta de enlace o dejo que el dhcp otorge una direccion ip, ya que las tengo fijas

Anónimo dijo...

te comento que esto se da a que en el msn. en las herramientas debes de agregar el proxy con los protocolos http y el sock con la contraseña. ya que ha esto se debe que no te conecta..

saludos

Cryptonio dijo...

Buenas, buenas, como dijo jack el destripador, vamos por partes
Comentario 1.- Lo primero que veo es que tienes un buen relajo con tus puertos, organizalos bien. Eso de que se desconecta a los tantos segundos tiene que ver con que la comunicacion al ccproxy no es buena, tal vez hay otro programa ocupando el puerto de los socks.
Comentario 2.- como puerta de enlace? pon lo que sea, excepto el router, esto es para evitar que el messenger haga el chistesin de conectarse brincando las configuraciones de la ficha proxy. Si las vas a otorgar via dhcp es lo mismo, tiene que apuntar a otra que no sea el router, depende mucho de como va a funcionar tu red. Es muy raro que por dhcp no se de la puerta de enlace, ya que normalmente se ocupa para equipos temporales que requieren conexion a internet, recuerden que por eso les puse que se organicen bien antes de levantar nada.
Comentario 3.- Es un poco inexacto, ya que el proxy http del messenger se determina desde el navegador y no desde el messenger, de hecho si quieres poner ese valor en el messenger no te permite ponerlo.

Anónimo dijo...

UNa pregunta con respecto al bloqueo del messenger si funciona las tres lineas que pusiste sin embargo al final de tu articulo dice que no bloquea al hotmail pero si me lo bloquea y lo que necesito es bloquear el messenger sin pasar a traer al hotmail

Saludos!!!!!

Anónimo dijo...

Para bloquear las Redes Ociales:
http://www.taringa.net/posts/ebooks-tutoriales/3716751/bloquear-messengers-IMs-y-Redes-Ociales.html

Cryptonio dijo...

excelente link "anonimo" sera de utilidad para aquellos con routers especialmente (se me ocurre pfsense, endian, smoothwall, ipcop) y para ccproxy solo nos servirian las direcciones ya que al no ser un router no se pueden poner las modificaciones a las tablas como se indica, pero de que sirve, sirve, saludos y gracias nuevamente

Anónimo dijo...

No solo por routers, si en las estaciones de trabajo modificas la tabla de routeo y lo pones como usuario restringido, tampo sale

route add direccion mask y la IP del net rage

Unknown dijo...

Hola que tal a todos, tengo CCproxy instalado y configurado me bloquea las páginas que no quiero que visiten los usuarios y todo va bien, el problema es que no puedo enviar ni recibir correos por medio de Microsoft Outlook 2003, en el servidor proxy ya entre a la habilitación de los puertos para POP3 y SMTP en el CCProxy y en el Outlook puse la ip donde esta configurado el servidor proxy, pero no me deja, de ante mano gracias por su ayuda!!! :-)

Cryptonio dijo...

te recomiendo que busques el post en donde puse como configurar el correo. Recuerda que muchas veces el problema no es del proxy, si no de como tu proveedor de correo hace la autentificacion del cliente