分类: 网络与安全
2010-08-28 07:53:50
阻止MSN传文件
公司要导入ISO27001,应顾问公司的要求,公司内部使用的IM公司如skype,MSN等必须要将文件传输功能阻止掉,以下就是阻止MSN传文件功能的过程记录。
因之前听别人说过深信服,网康的上网行为管理设备可以作类似的事情。大概询得价格后,征求公司领导的同意,如果功能满足可以采购一台设备来作。于是与相关厂商进行联系,最终于一个多星期后借得一个深信服M5100-AC的设备。
根据公司目前的网络结构M5100采用了网桥形式接入网络。上线后,先将所有流量允许通过。然后将自己所在的VLAN119作为了测试网段,加入了MSN文件传输的策略。然后作测试,发现只能阻止MSN8.0以前的版本。具体结果如下:
我的MSN是最新的15.0,也就是2010版的,
两个作测试的同事都是2009版的,
我用MSN给外面作测试的朋友传文件,只有一个是8.0版的可以成功,现象是他哪边看不到所传的文件内容。与外部装2009,2010版MSN的朋友作测试,均不能阻止与其传文件,完全不受策略的影响。
于是与深信服厂商联系,最后利用他们内部的客服号打电话给深信服原厂工程师(打完后才被告之这是违法的,作为测试用户不能得到这种原厂支持,真是超奇怪的规定,这明显是在拒绝潜在用户吗!),最后得出的结论是目前只支持8.0及其之前版本的MSN文件传输。其中2009版(14.0)的是今年2月份有人提出然后加入研发项目,但至今已经半年多过去了,竟然还没有解决。而我提出的最新版2010 (15.0)的也在我打电话后才会加入研发队列,照这个速度我不知道是两年还是五年还是要再久些我才能得到我想要的东西,所以最终只能选择放弃。
在与深信服原厂工程师沟通过程中,他的一句话提醒了我,他说他们要抓包分析之后才能加入这个流量的特征库,最终才能实现阻止功能。于是我就在想我能不能也通过抓包的方式来解决这个问题呢。想法一出来,行动马上跟上。打开路由器抓包工具设置了抓取自己IP所有的外发流量,于是向外面的朋友发送了一个50几M的文件(主要是想这样能容易区分出哪个是MSN文件传输流量)。
通过几次反复的抓包后,发现MSN传文件都是利用202.89.224.0/20,64.4.0.0/18,207.46.0.0/16这三个微软的IP段里的IP ,目标端口是443,或1863在传输文件。第一次发现了包的大小都是1500,于是写几个策略:阻止通往这三个IP段的,目标端口是443,包的大小是1500的包通过。应用后再作测试,竟然发现包的大小变成1152了,还是能传文件,于是再改策略,将包的大小大于1000的全部阻止,测试下来竟然还是不行,MSN的包又变成384了。最后我阻止了所有这三个IP段的,包大小是大于384的包,结果MSN也断线了,完全登录不上去了。看来MSN传文件应该是根据带宽自我调节包大小的,设置的太小又会完全禁止MSN的登录,这个方法宣布失败。
于是分别与几个朋友进行了文件传输,并抓取了包,并将所有前几个包的内容复制出来进行查看,然后在网上利用”MSN
file transfe”为关键字进行搜索,最终发现了这个网站内容,呵呵,里面讲得很清楚了,所有文件传输前都会将EUF-GUID
设置为 {5D3E02AB-6190-11D3-BBBB-00C04F795683},于是查看了之前抓的包内容,发现确实如此,每次传文件之前都会有这个关键字。于是更改策略:将所有发往这三个IP段的,目标端口是443,1863的,且包含” {5D3E02AB-6190-11D3-BBBB-00C04F795683}”这个内容的包全部阻止。
耶!!居然成功了,目前测试下来,只要进行MSN文件发送,MSN会自动断线,文件传输自动取消。后来再抓包发现,MSN在进行文件传送时,会重复发送三次包含EUF-GUID 为 {5D3E02AB-6190-11D3-BBBB-00C04F795683}的包,可能是接不到回复的包吧,MSN会认为线路有问题,于是会自动让MSN离线了。不管怎么说,方法是管用的,现在不管是MSN8.0,还是14.0,还是最新的15.0都可以阻止了。后来测试还发现,公司外部的人利用MSN还是可以传文件进来的,呵呵,这应该与我策略限止包的流向有关系了。这就不用去管它了,顾问公司只让限制外发文件,并不关心接收文件,所以也不用管它了。其实要作也只是再加几个反向的限制策略罢了。
至此耗时近半个月的测试结束了,最终结果也让老板非常满意,毕竟原来预算要花3—5万的,现在不用让他花一分钱就能达到效果,他当然很满意了。同样对个人来说也是一个分析能力的提高。看来有时即使依靠专业的厂商也不能解决你的问题,还是要靠自己去想法才行。在这里不得不再提一下深信服一下,售前的工作到是很积极,研发工作太滞后了,一个特征码解了半年多,还没有解出来,这不是自己在断自己的财路吗。我相信如果他有这个功能,我可能不会去自己作这方面的研究肯定会买他们这个设备了。另外对他们不支持潜在用户的技术请求的作法也超奇怪,国内厂商实在是还有很多路要走。
