• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Chặn YIM bằng ASA nhưng vẫn lọt

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Chặn YIM bằng ASA nhưng vẫn lọt

    Chuyện là thế này:

    Công ty Voi dùng ASA, Voi đã cấu hình để chặn IM và P2P theo hướng dẫn của Cisco. Từ đó tới giờ chặn rất tốt. Bỗng nhiên hôm nay Voi nghịch YIM thì phát hiện ra vẫn vào được mà chỉ cần 1 mẹo rất nhỏ.

    Mong các thầy và các bạn giúp Voi giải quyết vấn đề này!

    Yahoo! Messenger phiên bản mới nhất (phiên bản 9 cũng vậy)


    Lựa chọn kết nối HTTP proxy ăn theo IE, nghĩa là IE kết nối thế nào thì YIM kết nối như vậy


    Nhưng IE để mặc định, không dùng proxy hay socks nào!


    Thế là YIM vào bình thường... Trời ơi, bó tay!!! :-O


    Đây là cấu hình ASA của Voi, mong nhận được trợ giúp!!!
    asa1# show run
    : Saved
    :
    ASA Version 8.2(1)
    !
    hostname asa1
    domain-name ngoisaovn.com
    enable password ********** encrypted
    passwd ********** encrypted
    names
    !
    interface Ethernet0/0
    nameif outside
    security-level 0
    ip address 192.168.200.2 255.255.255.252
    !
    interface Ethernet0/1
    nameif inside
    security-level 100
    ip address 192.168.1.254 255.255.255.0
    !
    interface Ethernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    shutdown
    no nameif
    no security-level
    no ip address
    !
    !
    time-range deny-im
    periodic weekdays 7:00 to 19:00
    !
    banner exec # Connected successfully! #
    banner login # Access for Authorized users only. Please enter your username and password. #
    banner motd # You have entered a secured system Authorized access only! #
    boot system disk0:/asa821-k8.bin
    ftp mode passive
    clock timezone ICT 7
    dns server-group DefaultDNS
    domain-name ngoisaovn.com
    access-list blockim extended permit ip any any time-range deny-im
    pager lines 24
    mtu outside 1500
    mtu inside 1500
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-621.bin
    no asdm history enable
    arp timeout 14400
    global (outside) 1 interface
    nat (inside) 1 0.0.0.0 0.0.0.0
    route outside 0.0.0.0 0.0.0.0 192.168.200.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    timeout tcp-proxy-reassembly 0:01:00
    dynamic-access-policy-record DfltAccessPolicy
    aaa authentication ssh console LOCAL
    filter activex 80 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0
    filter java 80 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0
    http server enable
    http 192.168.1.0 255.255.255.0 inside
    http authentication-certificate inside
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    telnet 192.168.1.0 255.255.255.0 inside
    telnet timeout 5
    ssh 192.168.1.0 255.255.255.0 inside
    ssh timeout 5
    ssh version 2
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics access-list
    threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
    ntp server 207.46.130.100 source outside prefer
    ntp server 209.81.9.7 source outside prefer
    webvpn
    username convoi password ********** encrypted privilege 15
    !
    class-map inspection_default
    match default-inspection-traffic
    class-map imblock
    match access-list blockim
    class-map P2P
    match port tcp eq www
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map type inspect im impolicy
    parameters
    match protocol msn-im yahoo-im
    drop-connection
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect netbios
    inspect rsh
    inspect rtsp
    inspect skinny
    inspect esmtp
    inspect sqlnet
    inspect sunrpc
    inspect tftp
    inspect sip
    inspect xdmcp
    policy-map type inspect http P2P_HTTP
    parameters
    match request uri regex _default_gator
    drop-connection log
    match request uri regex _default_x-kazaa-network
    drop-connection log
    policy-map IM_P2P
    class imblock
    inspect im impolicy
    class P2P
    inspect http P2P_HTTP
    !
    service-policy global_policy global
    service-policy IM_P2P interface inside
    prompt hostname context
    Cryptochecksum:9168ca28c1dc7c824ccc66ed3c165885
    : end
    Trong cấu hình này Voi chặn MSN-YIM từ 7:00 đến 19:00.
    Last edited by convoi; 10-01-2010, 06:26 PM.
    CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
    64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
    www.ennolite.com.vn
    Tags: None
  • #2
    Lấy con ASA ra khỏi mạng, dùng modem Draytek chặn YIM thì được. Để nguyên modem chặn YIM, gắn ASA vào thì YIM lại vào bình thường :78:. Bó tay!
    CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
    64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
    www.ennolite.com.vn

    Comment

    • #3
      Bây giờ thì YIM trong Windows vào bình thường, MSN bị chặn tốt.

      Tuy nhiên các chương trình chat hỗ trợ YIM như trillian, pidgin, gaim,... vẫn bị chặn.

      Bác Yahoo! giỏi quá. Không lẽ đành bó tay?
      CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
      64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
      www.ennolite.com.vn

      Comment

      • #4
        Mạng của VnPro cũng bị tình trạng y chang mình mà không ai giúp mình xử lý được nhỉ.
        CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
        64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
        www.ennolite.com.vn

        Comment

        • #5
          bạn convoi đang ngồi trong các phòng lab ở VnPro và vẫn vào YIM à?
          Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

          Email : dangquangminh@vnpro.org
          https://www.facebook.com/groups/vietprofessional/

          Comment

          • #6
            Vâng em đang học ở phòng 25 đây ạ!
            Phương pháp login YIM như bài post đầu tiên em đã nêu.
            CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
            64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
            www.ennolite.com.vn

            Comment

            • #7
              Hì nhân tiện thảo vấn đề này mình cũng muốn hỏi 1 chút:
              Công ty mình cũng dùng ASA để chặn load các file nhạc MP3 và file film FLV. Gần đây trong công ty xuất hiện 1 vài trường hợp sử dụng phần mềm Hotspot Shield( phần mềm này giúp người dùng tạo 1 phiên vpn kết nối đến vpn server của Hotspot(tạm gọi như thế vì cái vpn server này của ai tạo ra mình cũng không rõ). Sau khi kết nối vpn thành công thì người dùng có thể load các file nhạc va film bình thường. Mong mọi người xem xét giúp mình giải quyết trường hợp này với. Cám ơn mọi người nhiều :D!

              Comment

              • #8
                Originally posted by convoi View Post
                Vâng em đang học ở phòng 25 đây ạ!
                Phương pháp login YIM như bài post đầu tiên em đã nêu.
                Đúng như convoi nói, Y!M vẫn đi được bình thường nếu ta check vào dấu proxy đó. Mặc dù Proxy trong IE vẫn trống .
                Trịnh Anh Luân
                - Email : trinhanhluan@vnpro.org
                - Search my site
                - Search VNPRO.ORG

              Trung Tâm Tin Học VnPro
              Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel: (08) 35124257 (5 lines)
              Fax: (08) 35124314

              Home page: http://www.vnpro.vn
              Support Forum: http://www.vnpro.org
              Network channel: http://www.dancisco.com
              • Chuyên đào tạo quản trị mạng và hạ tầng Internet
              • Phát hành sách chuyên môn
              • Tư vấn và tuyển dụng nhân sự IT
              • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

              Blog: http://www.vnpro.org/blog
              Wifi forum: http://www.wifipro.org

              Comment

              • #9
                Originally posted by Gunz View Post
                Hì nhân tiện thảo vấn đề này mình cũng muốn hỏi 1 chút:
                Công ty mình cũng dùng ASA để chặn load các file nhạc MP3 và file film FLV. Gần đây trong công ty xuất hiện 1 vài trường hợp sử dụng phần mềm Hotspot Shield( phần mềm này giúp người dùng tạo 1 phiên vpn kết nối đến vpn server của Hotspot(tạm gọi như thế vì cái vpn server này của ai tạo ra mình cũng không rõ). Sau khi kết nối vpn thành công thì người dùng có thể load các file nhạc va film bình thường. Mong mọi người xem xét giúp mình giải quyết trường hợp này với. Cám ơn mọi người nhiều :D!
                Chào bạn,

                Đối với Hotspot Shield bạn có thể cấu hình access-list chặn port UDP từ 8040 đến 8050.

                Đối với Yahoo trường hợp này bạn cũng có thể chặn tất cả dịch vụ của YAHOO từ cấu hình của cisco ASA mặc dù có thể đăng nhập thành công.
                Nguyễn Quốc Lễ, CCNP CCSP
                Email: nguyenquocle@wimaxpro.org

                Viet Professionals Co. Ltd. VnPro ®
                ---------------------------------------
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel: (08) 35124257
                Fax: (08) 5124314
                Support Forum : http://www. vnpro.org
                Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                Blog VnPro : http://www.vnpro.org/blog
                Cộng Đồng Mạng Không Dây Việt Nam

                Comment

                • #10
                  Bữa nay mạng VnPro vào YIM ào ào mà chả cần chỉnh lại YIM gì cả. Giống y hệt mạng cty Voi.
                  CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
                  64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
                  www.ennolite.com.vn

                  Comment

                  • #11
                    Originally posted by nguyenquocle View Post
                    Chào bạn,

                    Đối với Hotspot Shield bạn có thể cấu hình access-list chặn port UDP từ 8040 đến 8050.

                    Đối với Yahoo trường hợp này bạn cũng có thể chặn tất cả dịch vụ của YAHOO từ cấu hình của cisco ASA mặc dù có thể đăng nhập thành công.
                    Cám ơn bạn! Mình sẽ thử xem sao :D, cho mình hỏi bạn xem thông tin port của Hotspot Shield ở đâu vậy? Trước mình có tìm thử trên google nhưng không thấy :(!

                    Comment

                      • Previous template Next
                      Working...
                      X