IP:18.222.98.29

Máy tính
Kiến thức cơ bản
Mạng & Internet
Tin học văn phòng
Bảo mật & AntiVirus
Tiện ích - Hệ thống
Lập trình - Cơ sở dữ liệu
Đồ họa & Multimedia
Thử nghiệm - Đánh giá
Kỹ thuật phần cứng




Chặn IM bằng ISA server 2006
21/08/2009 08:32 AM

Thông thường, những công nghệ mới mà người dùng nhanh chóng chấp nhận rồi thì các doanh nghiệp bắt đầu cũng miễn cưỡng làm theo. Cuối cùng, dùng trong môi trường kinh doanh phát hiện ra và nhận thấy rằng, các công cụ này lại cung cấp vô số các giá trị cho việc kinh doanh - khi được sử dụng một cách đúng đắn. Instant messege cũng là một công cụ như vậy.

Không lâu trước, người dùng máy tính tại nhà bắt đầu dùng chức năng instant message như ICQ và AOL Instant Messenger (AIM). Họ đưa intanst messenge đến công ty bằng cách cài đặt trên hệ thống desktop của mình và laptop. Tất nhiên, vì công cụ này vẫn chưa được các công ty chấp nhận, nên phần lớn những sesion instant messaging "công ty" này chỉ là những cuộc trò chuyện giữa bạn bè và gia đình.

Cuối cùng, instant message và khả năng nhìn tình trạng hiện tại của môt người dùng hay tính sự có mặt (các chức năng bây giờ đã làm bên một phần của tổ chức Unified Communications)được nhận thấy là một công cụ có giá trị do việc giao tiếp kinh doanh và các công ty bắt đầu triển khai nền tảng instant message.

ISA Server 2006 HTTP Filter

Đó là lý do tại sao việc các tổ chức triển khai các dịch vụ instant messaging mà họ có thể quản lý lại quan trọng đến vậy, và tại sao họ lại hạn chế hay bỏ hẳn các công cụ instant messaging cá nhân trong doanh nghiệp. Microsoft ISA Server 2006 có thể là một công cụ hữu ích để lọc và khoá các công cụ instant messaging trong doanh nghiệp.

Làm sao có thể dùng ISA Server 2006 để hạn chế truy cập đến instant messaging? Tường lửa trong ISA Server 2006 có khả năng lọc HTHP và nó có thể dùng cho mục đích này. Bộ lọc HTTP có thể kiểm duyệt các yêu cầu HTTP và đáp lại headers và thay đổi chúng.
Mặc định, bộ lọc của ISA Server 2006 HTTP chỉ co phép các gói valid, và phù hợp RFC được đi qua. Tuy nhiên, bộ lọc HTTP cũng có thể tuỳ chỉnh, cho phép bạn cấu hình nó để khoá hay hạn chế traffic dựa trên những mặt khác nhau của gói như là:

HTTP methods allowed

Request headers allowed

Response headers allowed

Specific content signatures

File extensions

Restricting Instant Messaging

Ngăn người dùng truy cập vào các dịch vụ instant messaging khó hơn tưởng tượng. Khoá các cổng mà dịch vụ dùng là không hiệu quả vì phần lớn các client instant messaging được thiết kết để tự động cấu hình chính chúng để tìm những cổng mở khác nếu cổng mặc định không avalable. Thực tế, các ứng dụng client instant messaging thường dùng các cổng thông thường như cổng 80 (HTTP) hay cổng 21(FTP) thường được mở ảo hoá cho bất kì tường lửa nào.

Block các traffic instant messaging bằng cách lọc các cổng sẽ không có hiệu quả. Bước phòng vệ tiếp theo là tăng cường tường lửa để có thể thực hiện phân tích gói. Traffic Instant messaging khác so với traffic HTTP chuẩn và một tường lửa kiểm tra các gói sẽ có thể cho phép các traffic HTTP trong khi lại từ chối các gói instant messaging...hay đó là theo lý thuyết. Các client instant messaging sẽ tiến hoá để có thể tránh bị phát hiện bằng cách gán vào một traffic tin nhắn trong một yêu cầu HTTP.

Với một số các client instant messaging gắn trafic trong các yêu cầu HTTP chỉ được thực hiện khhi dữ liệu đi qua một server proxy. Các ứng dụng client nhìn chúng có thể tự động cấu hình lại để route qua các proxy nếu truy cập trực tiếp với các dịch vụ instant messaging unvalable. Khoá địa chỉ của proxy là một giải pháp khả thi vì có quá nhiều server proxy quản trị có sẵn. Quá trình add các server proxy liên tục sẽ gây phiền phức cho các quản trị viên và danh sách các địa chỉ bị khoá sẽ nhanh chóng đầy ứ.

Thay đổi header HTTP mặc định

Sau đó một quản trị viên có thể làm gì? Với ISA Server 2006 bộ lọc HTTP có thể dùng để kiểm soát nội dung của header HTTP Via. Header Via được dùng để tránh loop yêu cầu, xác định dung lượng giao thức của các thiết bị trong route giao tiếp, và theo dấu tin nhắn forward. Các server proxy yêu cầu header HTTP Via có thể gởi các traffic inbound và outbound giữa client và proxy.

Header mặc định cho ISA Server 2006 là gởi hostname của tường lửa ISA đang xử lý yêu cầu. Bất kể có nỗ lực nào để lọc hay hạn chế traffic instant messaging, tên host của ISA Server nên xem là thông tin nhạy cảm. Cách tốt nhất là nên thay đổi tên mặc định thành một tên tối nghĩa hơn để không bị một kẻ tấn công sử dụng để lấy thông tin cho phép chúng thoả hiệp server. Làm theo những bước sau để thay đổi header HTTP mặc định cho mỗi nguyên tắc truy cập có HTTP là giao thức xác định:

1. Chuột phải vào mỗi nguyên tắc truy cập

2. Chọn Configure HTTP

3. Click vào tên Headers

4. Chọn Modify header in request and response

5. Đến Change to: field

6. Điền vào cái gì đó khó hiểu

Chọn một tên nào đó không nói về tên host của server, hệ điều hành nền tảng của server. Nói cách khác, bạn không muốn các thông tin header để mặc định là ‘ISA Server'. Cũng có những thứ khác một kẻ tấn công bậc thầy có thể phá hoại tường lửa sẽ tấn công là ISA Server, nhưng bạn không muốn tình nguyện để thông tin cho những kẻ tấn công gà mờ cũng có thể sử dụng đúng không.

Nếu bạn có nhiều server ISA Server 2006 quản lý các traffic network outbound mà bạn muốn gán một tên duy nhất khi vẫn còn mơ hồ. Ví dụ, bạn có thể set header HTTP mặc định là Proxy1, Proxy2. Hãy sáng tạo.

Filtering Instant Messaging Traffic với ISA Server 2006

Thay đổi thông tin mặc định cho header HTTP Via có thể cản trở cố gắng bởi những client instant messaging dùng các server proxy để đi qua các địa chỉ bị block, nhưng nó sẽ không dừng toàn bộ traffic instant messaging. Người dùng và các client instant messaging vẫn tiếp tục tiến hoá các phương pháp mới để qua mặt kiểm tra an ninh.

Để lọc hay khoá một cách thông minh các phương pháp giao tiếp instant messaging bạn nên triển khai một nhận diện giao thức như Wireshark để quản lý traffic network. Nhận diện giao thức sẽ cung cấp các thông tin chi tiết về một gói bằng gói cơ bản sẽ cho phép bạn loại bỏ các yêu cầu, các phương pháp, và những mặt khác của traffic instant messaging để bạn có thể cấu hình bộ lọc HTTP của ISA Server 2006.

Bạn có thể cấu hình ISA Server 2006 để lọc các phương pháp, các mở rộng file, nội dung chữ kí hay các mặt khác của traffic network mà bạn muốn block trên một gói bằng gói cơ bản. Một tiếp cận khác có thể chọn các phương pháp và những tiêu chuẩn mà bạn muốn cho phép và cấu hình bộ lọc HTTP để chỉ chấp nhận các gói thoả mãn nhu cầu của tổ chức. Bất kể bạn có block những gì bạn muốn, hay chọn những gì bạn muốn và khoá mọi thứ lại, bộ lọc HTTP ISA Server 2006 cũng là một công cụ mạnh mẽ cho phép bạn thiết lập kiểm tra từng chi tiết các traffic đưcọ vào hay ra network.

 

Dùng các công cụ của bên thứ ba để quản lý và lọc các traffic

Bạn có thể thực hiện mục tiêu khoá hay hạn chế các truy cập instant messaging dùng các danh sách liệt kê ở trên. Toàn quá trình chỉ là trò chơi mèo vờn chuột khi cố gắng đi trước một bước. Quản lý traffic network và kiểm tra các gói là một gánh nặng cho phần lớn các quản trị viên không có thời gian để thường xuyên thực hiện.

Một cách tiếp cận khác sẽ là một ứng dụng của công ty thứ ba cho ISA Server như WebMonitor của GFI, một công cụ thứ ba sẽ tự động nhiều bước sẽ chỉ yêu cầu một quản trị viên chú ý để thực hiện bằng tay. Điều đó có nghĩa là thay vì dành hẳn thời gian để quản lý traffic và phát triển các ngueyen tắc để lọc các traffic xác định bạn chỉ phụ thuộc vào nhà cung cấp ứng dụng để làm những việc khác cầ thiết hơn.

GFI WebMonitor không chỉ quản lý các traffic web hay khoá instant messaging mà còng cung cấp những công cụ để hạn chế dùng web cho một người bằng cách hạn chế cho phép bandwitdth hay thiết lập các hạn chế dựa trên thời gian. Nó cũng cung cấp các bảo mật gai tăng trong dạng các công cụ anti-phishing và anti-malware

Dẫu là bạn chọn phụ thuộc vào khả năng lọc HTTP mạnh mẽ của ISA Server 2006 để block truy cập đến các dịch vụ instant messaging, hay thực hiện một ứng dụng của bên thứ ba như GFI WebMonitor, thì cũng cần biết rằng cũng quan trọng để thiết lập và bắt buộc các nguyên tắc an ninh cho network của mình và có thể hạn chế hay khoá traffic làm hại hay xâm phạm đến các yêu cầu bắt phải tuân theo của máy tính.

Theo ITNews/ Isaserver




CÁC TIN KHÁC

• Khôi phục password bị mất trên Cisco Switch (20/08/2009)
• Thiết lập một mạng không dây Open-Mesh cho Linux (18/08/2009)
• Quản lý tài khoản người dùng với Disk Quotas (18/08/2009)
• Cập nhật phần mềm để máy tính luôn an toàn (13/08/2009)
• Bảo mật hệ thống firewall từ xa bằng SSH (08/08/2009)
• “Viết mật thư” với Microsoft Word (06/08/2009)
• Cách giấu ổ đĩa trong Win XP (06/08/2009)
• Khóa chức năng Autorun đề phòng Virus (05/08/2009)
• Giấu tệp tin vào trong ảnh (05/08/2009)
• Nguy cơ từ việc để Router mặc định (23/07/2009)




BLUE IDEA Trading and Computer Technology Company Limited
Copyright © 2009 BLUE IDEA Co., Ltd