[Résolu][MSN Messenger][Windows Messenger] Comment les bloquer

gnocchi · Octobre 4, 2006, 9:43

Salut à tous,

A mon taf on m’a demandé de regarder si il était possible de bloquer MSN/Windows Messenger.
La 1ere chose que j’ai donc faite est de créer une règle sur le routeur (zywall 70) interdisant certains ports que devrait utiliser MSN/Windows Messenger

Voici un screen de la règle en question : http://img204.imageshack.us/my.php?image=msnfirewallts0.png

Mais ce soft arrive toujours à se connecter …

Après quelques recherches, après avoir lu tout et son contraire, il semblerait que ce logiciel cherche tout seul les ports autorisés en sortie afin de passer par là (et je me vois mal bloquer le port 80 par exemple)

Ensuite j’ai lu qu’il “suffisait” de bloquer 2 url : gateway.messenger.hotmail.com et une autre que je n’ai plus en tete. Probleme : le super routeur ne permet pas de bloquer de urls, seulement des IP.

Questions :

Comment lister de façon exhaustive les IP correspondant à une URL (je suppose qu’il y a moults serveurs derrière ces URL avec surement un systeme de round robin histoire de répartir les charges) ?

ou plus globalement

Comment bloquer MSN Messenger et Windows Messenger ?

Merci pour vos éventuelles pistes B)

AcidBen · Octobre 4, 2006, 9:56

Déja tu peut en savoir un peut plus en sniffant depuis la passerelle du reseau.

Ethereal heuu Wireshark est ton ami B)

Bussiere · Octobre 4, 2006, 9:56

hum une batterie de ping sur ces urls
ou un petit script qui recupere les ips d’apres ping et les interdits ?

parce que dans tout les cas t’es couillé y’a pas mal de clients web alternatif qui utilise le port web
Bussiere

Coldorak · Octobre 4, 2006, 9:56

Et si tu passais par une police active directory pour empécher d’exécuter le .exe lui-même?

Boupjof · Octobre 4, 2006, 10:00

Ca c’est sur en fait, MSN test si ses ports son ouvert, sinon il fait tout passé par le port 80.
Après tu peux tenté un filtrage applicatif.

Sinon pour avoir les IP qui corresponde à une url ya nslookup et host (depuis linux pour la dernière) (et je dit ça de tête hein je suis pas sur ^^)

Bonne chance

PS : Je peux demander au responssable sécu de ma boite, MSN est bloqué (mais c’est sur du matos Cisco)

gnocchi · Octobre 4, 2006, 10:02

pas d’active directory ici (si si ca existe encore [mais ca devrait "bientot changer])

bon, je vais faire un coup de virtualpc + wireshark puis bloquer IP par IP en esperant qu’il n’y en ait pas 200

je tente ça après bouffer et je vous tiens au jus

unrealdtc · Octobre 4, 2006, 11:40

La methode que j’utiliserais :

Tu laisses ton filtrage vers TCP/1863
Tu installes un proxy squid et tu obliges les gens à passer dedans pour sortir (soit en bloquant l’accès autrement que via le proxy, soit en le configurant en proxy transparent)
Tu regardes un peu les logs squid pour voir ou MSN va se connecter
Tu appliques les acl qui vont bien >:]

gnocchi · Octobre 4, 2006, 11:44

Je dois faire avec l’existant

(le virtual pc s’installe là, puis pourrissage du pc et sniffage à suivre)

Coldorak · Octobre 4, 2006, 12:04

[quote=“gnocchi, post:8, topic: 31175”]Je dois faire avec l’existant

(le virtual pc s’installe là, puis pourrissage du pc et sniffage à suivre)[/quote]

Sinon netstat -ab et tu regardes ce qui concerne msnmsgr.exe

v_a_n_e_s · Octobre 4, 2006, 12:28

good luck, fellow.

à part bloquer l’accès à la moitié du net (entre les miroirs chez akamai, les serveurs sans hostname et les hostnames chelous du genre by1msg2245414.phx.gbl , j’ai arrêté de me prendre le chou, et je fais avec.

unrealdtc · Octobre 4, 2006, 12:36

J’allais lui dire la même chose B) A moins de rayer toutes les IP hotmail et MS de la carte, ça va être dur dur avec un simple routeur/firewall B)

Coldorak · Octobre 4, 2006, 1:05

Autre possibilité: tu te connectes sur leur PC et tu désinstalles MSN. Plus mail à tout le monde en disant que ce n’est pas autorisé et que celui pris à l’utiliser quand même sera pendu à poil par ses tripes sur la place publique, et fouetté avec des orties

gnocchi · Octobre 4, 2006, 1:46

Bon, je progresse.

J’ai réussi a bloquer sur mon PC MSN Messenger en ajoutant au fichier host les lignes suivantes (données par wireshark) :
127.0.0.1 messenger.hotmail.com
127.0.0.1 gateway.messenger.hotmail.com

En revanche, Windows Messenger (le truc integré à XP) passe toujours.

Je retourne à mon sniffage

edit :

Ok, je tiens le bon bout

Pour bloquer MSN Messenger et Windows Messenger il faut ajouter les 3 lignes suivantes dans le fichier host (ou le dns local ou …) :

127.0.0.1 messenger.hotmail.com
127.0.0.1 gateway.messenger.hotmail.com
127.0.0.1 loginnet.passport.com

Pour MSN Messenger le message d’erreur et du type "joker j’ai pas trouvé le serveur d’auth"
Pour Windows Messenger ca fait un message d’erreur genre “user/password invalide”

Reste pour moi à trouver comment (sans trop bouger le cul de mon siège) appliquer cette modif aux … 250-300 PC de la boite B)

Coldorak · Octobre 4, 2006, 2:07

[quote=“gnocchi, post:13, topic: 31175”]Bon, je progresse.

J’ai réussi a bloquer sur mon PC MSN Messenger en ajoutant au fichier host les lignes suivantes (données par wireshark) :
127.0.0.1 messenger.hotmail.com
127.0.0.1 gateway.messenger.hotmail.com

En revanche, Windows Messenger (le truc integré à XP) passe toujours.

Je retourne à mon sniffage

edit :

Ok, je tiens le bon bout

Pour bloquer MSN Messenger et Windows Messenger il faut ajouter les 3 lignes suivantes dans le fichier host (ou le dns local ou …) :

127.0.0.1 messenger.hotmail.com
127.0.0.1 gateway.messenger.hotmail.com
127.0.0.1 loginnet.passport.com

Pour MSN Messenger le message d’erreur et du type "joker j’ai pas trouvé le serveur d’auth"
Pour Windows Messenger ca fait un message d’erreur genre “user/password invalide”

Reste pour moi à trouver comment (sans trop bouger le cul de mon siège) appliquer cette modif aux … 250-300 PC de la boite B)[/quote]

Pour le windows messenger, désinstalle le composant windows B)
Pour tes DNS, au pire, force ça sur le serveur DNS de ta boîte

pixelk · Octobre 4, 2006, 2:09

[quote=“gnocchi, post:13, topic: 31175”]Bon, je progresse.

J’ai réussi a bloquer sur mon PC MSN Messenger en ajoutant au fichier host les lignes suivantes (données par wireshark) :
127.0.0.1 messenger.hotmail.com
127.0.0.1 gateway.messenger.hotmail.com

En revanche, Windows Messenger (le truc integré à XP) passe toujours.

Je retourne à mon sniffage

edit :

Ok, je tiens le bon bout

Pour bloquer MSN Messenger et Windows Messenger il faut ajouter les 3 lignes suivantes dans le fichier host (ou le dns local ou …) :

127.0.0.1 messenger.hotmail.com
127.0.0.1 gateway.messenger.hotmail.com
127.0.0.1 loginnet.passport.com

Pour MSN Messenger le message d’erreur et du type "joker j’ai pas trouvé le serveur d’auth"
Pour Windows Messenger ca fait un message d’erreur genre “user/password invalide”

Reste pour moi à trouver comment (sans trop bouger le cul de mon siège) appliquer cette modif aux … 250-300 PC de la boite B)[/quote]

Merci qui ? B)

gnocchi · Octobre 4, 2006, 2:11

merci phyllis B)

[quote=« Coldorak, post:14, topic: 31175 »]Pour le windows messenger, désinstalle le composant windows
Pour tes DNS, au pire, force ça sur le serveur DNS de ta boîte[/quote]
Je ne vais pas passer sur les 250 pc de la boite pour desinstaller un composant windows. Je rappelle qu’ici il n’y a pas de domaine, juste un workgroup
Pour le DNS … on utilise les DNS de nos FAI

(oui, j’ai peu de moyens)

edit :
Je me demandais si via le dhcpd.conf de notre serveur linux il n’y avait pas moyen de faire un truc genre :
« Tu utilises ces DNS sauf pour tels hosts que tu renvoies vers 127.0.0.1 »
C’est peut-être ridicule comme idée, mais c’est le seul point commun à tous les pc de la boite

Coldorak · Octobre 4, 2006, 2:21

[quote=« gnocchi, post:16, topic: 31175 »]merci phyllis B)

Je ne vais pas passer sur les 250 pc de la boite pour desinstaller un composant windows. Je rappelle qu’ici il n’y a pas de domaine, juste un workgroup
Pour le DNS … on utilise les DNS de nos FAI

(oui, j’ai peu de moyens)

edit :
Je me demandais si via le dhcpd.conf de notre serveur linux il n’y avait pas moyen de faire un truc genre :
« Tu utilises ces DNS sauf pour tels hosts que tu renvoies vers 127.0.0.1 »
C’est peut-être ridicule comme idée, mais c’est le seul point commun à tous les pc de la boite[/quote]

Ou tu mets sur le serveur dhcp un mini DNS qui renvoit ces adresses vers 127.0.0.1, et tu colles ce DNS en primaire, puis les DNS de ton FAI B)
D’autre part, vous n’avez rien pour le déploiement? Bah alors grimpe sur tes jambes, échauffe des doigts, et passe sur toutes les bécannes. Ou essaie de prendre un stagiaire pour quelques jours

ocibi · Octobre 4, 2006, 2:36

[quote=“ColdFire, post:17, topic: 31175”]Ou essaie de prendre un stagiaire pour quelques jours B)[/quote] on lui a déjà collé un gars sur les bras … il est pas futé !!! donc en avoir un 2ème, c’est pas pour tout de suite !!!

gnocchi · Octobre 4, 2006, 2:50

Deja que j’essaye d’en faire virer un …

edit : TROUVÉ !

1/ Dans le dhcpd.conf ajouter l’ip du routeur en tant que DNS principal (avant les dns de nos FAI)
2/ Dans le routeur il y a une section DNS dans laquelle je peux mettre une correspondance FQDN<->IP : j’ajoute les 3 noms d’hote que je fais pointer vers une IP locale qui n’existe pas
3/ \o/

→ Victoire totale, je n’ai pas bougé le cul de mon siège B)

AcidBen · Octobre 5, 2006, 5:33

[quote=“gnocchi, post:19, topic: 31175”]-> Victoire totale, je n’ai pas bougé le cul de mon siège B)[/quote]est ce que webmessenger et emessenger sont bloqué aussi en interdisant d’aller se loguer sur son compte passport, tout depend de ou se fait l’auth, sur la machine ou sur le server… a verifier