HOW TO Como lidar com problemas no MSN em grandes redes Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Firewall Aker 5.1 1.0 14/09/11 02/08/06 1 de 3 Página: Introdução Mostraremos como bloquear o MSN utilizando o Firewall Aker e dos problemas que podem surgir caso o Firewall esteja mal configurado. Solução Tivemos problemas com relação a performance no proxy HTTP em um cliente e o motivo da lentidão era devido ao MSN da Microsoft. O cliente permite a utilização do MSN em sua rede com mais de 1000 máquinas. Logo quase todos utilizam o MSN. Este cliente não possuía nenhuma regra que liberasse a porta TCP 1863 que é a padrão de conexão de mensagens instantâneas do MSN (vide documento da Microsoft abaixo), quando o MSN não consegue se conectar através desta porta ele vai fazer a conexão via HTTP. Como este cliente não fazia o bloqueio, o que ocorria: Cada usuário do MSN consumia um processo do Proxy WWW, como a rede é mais de 1000 máquinas teríamos que ter muito mais que isso nos processos HTTP (lembrem-se que o padrão é 20 processos) se aumentarmos muito esse número de processo o consumo de memória do Firewall vai se ELEVAR. Em casos de cliente que permitem o uso do MSN que é o caso da Aker é totalmente recomendado que libere a porta TCP 1863, as faixas de porta de TCP 6891 e 6900 (para a transferência de arquivos), caso contrário ele utilizará do Proxy HTTP levando ao consumo excessivo de processos gerando assim muita lentidão. Manual extraído da ajuda do próprio MSN Configurar sua rede para mensagens instantâneas 1. Definir as conexões TCP de saída para a porta 1863 nos servidores proxy. 2. Na janela principal do MSN Messenger, clique no menu Ferramentas e em Opções. 3. Clique na guia Conexão. Observe as informações exigidas nessa guia. 1. Forneça a todos os usuários da rede as informações e instruções de que eles precisam para configurar corretamente a guia Conexão de seus programas MSN Messenger. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br Como lidar com problemas no MSN em grandes redes Firewall Aker 5.1 1.0 14/09/11 02/08/06 Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: HOW TO 2 de 3 Página: 2. Certifique-se de que a rede local interna tem acesso aos servidores DNS (Sistema de Nome de Domínio) para resolver os nomes de hosts externos, como messenger.msn.com. Sobre como se conectar por trás de um firewall A maioria dos sistemas de computadores corporativos e alguns computadores residenciais possuem um firewall para impedir que intrusos acessem o sistema. Por segurança, os computadores conectados à Internet por tecnologia de banda larga (por exemplo, cabo ou DSL) devem ter um firewall. Primeiramente, o MSN Messenger tentará estabelecer uma conexão direta para que você possa usar todos os recursos do MSN Messenger. Se o MSN Messenger não conseguir se conectar diretamente, ele usará a mesma conexão HTTP que o navegador padrão usa para se conectar à Internet. Para descobrir qual tipo de conexão você possui, na janela principal do MSN Messenger, clique no menu Ferramentas e em Opções. Clique na guia Conexão. **Observação** Se o MSN Messenger usar a conexão do seu navegador, você poderá enviar mensagens instantâneas, mas alguns recursos do MSN Messenger (como fazer chamadas e enviar arquivos) poderão estar indisponíveis. Como bloquear o MSN 1. Bloquear a categoria “Conversação” nos perfis de acesso. 2. Bloquear a porta 1863 3. Bloquear as conexões (loginnet.passport.com e HTTP e HTTPS destinadas aos hosts Webmessenger.msn.com) ou as redes: • 207.68/16 • 65.54/16 • 207.46/16 1. Uma maneira mais simples de bloquear o msn via proxy HTTP transparente é bloquear os seguintes tipos mime: • application/x-msn-messenger • text/x-msmsgsprofile Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Como lidar com problemas no MSN em grandes redes Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: 3 de 3 Página: • text/x-msmsgsinitialemailnotification • text/x-msmsgsactivemailnotification • text/x-msmsgscontrol • text/x-msmsgsinvite Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Firewall Aker 5.1 1.0 14/09/11 02/08/06 Aker Security Solutions www.aker.com.br