HOW TO Como lidar com problemas no MSN em grandes redes Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Firewall Aker
5.1
1.0
14/09/11
02/08/06
1 de 3 Página: Introdução
Mostraremos como bloquear o MSN utilizando o Firewall Aker e dos problemas que
podem surgir caso o Firewall esteja mal configurado.
Solução
Tivemos problemas com relação a performance no proxy HTTP em um cliente e o
motivo da lentidão era devido ao MSN da Microsoft.
O cliente permite a utilização do MSN em sua rede com mais de 1000 máquinas. Logo
quase todos utilizam o MSN.
Este cliente não possuía nenhuma regra que liberasse a porta TCP 1863 que é a padrão
de conexão de mensagens instantâneas do MSN (vide documento da Microsoft abaixo),
quando o MSN não consegue se conectar através desta porta ele vai fazer a conexão via
HTTP.
Como este cliente não fazia o bloqueio, o que ocorria:
Cada usuário do MSN consumia um processo do Proxy WWW, como a rede é mais de
1000 máquinas teríamos que ter muito mais que isso nos processos HTTP (lembrem-se
que o padrão é 20 processos) se aumentarmos muito esse número de processo o
consumo de memória do Firewall vai se ELEVAR.
Em casos de cliente que permitem o uso do MSN que é o caso da Aker é totalmente
recomendado que libere a porta TCP 1863, as faixas de porta de TCP 6891 e 6900 (para
a transferência de arquivos), caso contrário ele utilizará do Proxy HTTP levando ao
consumo excessivo de processos gerando assim muita lentidão.
Manual extraído da ajuda do próprio MSN
Configurar sua rede para mensagens instantâneas
1. Definir as conexões TCP de saída para a porta 1863 nos servidores proxy.
2. Na janela principal do MSN Messenger, clique no menu Ferramentas e em
Opções.
3. Clique na guia Conexão.
Observe as informações exigidas nessa guia.
1. Forneça a todos os usuários da rede as informações e instruções de que eles
precisam para configurar corretamente a guia Conexão de seus programas MSN
Messenger.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
Como lidar com problemas no MSN em grandes redes Firewall Aker
5.1
1.0
14/09/11
02/08/06
Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: HOW TO 2 de 3 Página: 2. Certifique-se de que a rede local interna tem acesso aos servidores DNS
(Sistema de Nome de Domínio) para resolver os nomes de hosts externos, como
messenger.msn.com.
Sobre como se conectar por trás de um firewall
A maioria dos sistemas de computadores corporativos e alguns computadores
residenciais possuem um firewall para impedir que intrusos acessem o sistema. Por
segurança, os computadores conectados à Internet por tecnologia de banda larga (por
exemplo, cabo ou DSL) devem ter um firewall.
Primeiramente, o MSN Messenger tentará estabelecer uma conexão direta para que você
possa usar todos os recursos do MSN Messenger. Se o MSN Messenger não conseguir
se conectar diretamente, ele usará a mesma conexão HTTP que o navegador padrão usa
para se conectar à Internet.
Para descobrir qual tipo de conexão você possui, na janela principal do MSN
Messenger, clique no menu Ferramentas e em Opções. Clique na guia Conexão.
**Observação**
Se o MSN Messenger usar a conexão do seu navegador, você poderá enviar mensagens
instantâneas, mas alguns recursos do MSN Messenger (como fazer chamadas e enviar
arquivos) poderão estar indisponíveis.
Como bloquear o MSN
1. Bloquear a categoria “Conversação” nos perfis de acesso.
2. Bloquear a porta 1863
3. Bloquear as conexões
(loginnet.passport.com e
HTTP
e
HTTPS
destinadas
aos
hosts
Webmessenger.msn.com) ou as redes:
•
207.68/16
•
65.54/16
•
207.46/16
1. Uma maneira mais simples de bloquear o msn via proxy HTTP transparente é
bloquear os seguintes tipos mime:
•
application/x-msn-messenger
•
text/x-msmsgsprofile
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Como lidar com problemas no MSN em grandes redes Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: 3 de 3 Página: •
text/x-msmsgsinitialemailnotification
•
text/x-msmsgsactivemailnotification
•
text/x-msmsgscontrol
•
text/x-msmsgsinvite
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Firewall Aker
5.1
1.0
14/09/11
02/08/06
Aker Security Solutions
www.aker.com.br