> Tech > Interdire complètement l’accès à  MSN Messenger

Interdire complètement l’accès à  MSN Messenger

Tech - Par iTPro - Publié le 24 juin 2010
email

A l'instar de Windows Messenger, MSN Messenger est une application de messagerie instantanée permettant d'accroître grandement la productivité des utilisateurs (chat, vidéoconférence, échange de fichiers aisé,...). Cependant l'utilisation de ce logiciel en entreprise peut entraîner quelques dérives...

Si vous souhaitez empêcher certains utilisateurs de l'utiliser, plusieurs solutions sont

Interdire complètement l’accès à  MSN Messenger

envisageables :
• Créer deux règles d’accès interdisant la communication avec le serveur messenger.hotmail.com
• Configurer les clients pare-feu pour empêcher MSN Messenger d’accéder au réseau
• Configurer le filtre HTTP pour bloquer l’application MSN Messenger en analysant le paramètre adéquat Nous allons étudier les avantages et les inconvénients de chacune de ces méthodes.

1ère méthode : Étant donné que MSN Messenger utilise plusieurs ports ou plage de ports pour mettre en oeuvre ses différents services (texte, échange de fichier, son…), la solution la plus simple reste d’interdire le port TCP 1863 qui est utilisé l’échange de messages textuels mais surtout pour la connexion initiale. Pour cela, il n’est pas nécessaire de créer un élément de stratégie, puisque le protocole MSN Messenger est prédéfini dans ISA 2004. Il suffit donc de créer une règle d’accès bloquant le protocole MSN Messenger entre le réseau Interne et le réseau Externe et s’appliquant au bon groupe d’utilisateurs.

Cependant, une fois la règle d’accès correctement crée, tous les utilisateurs peuvent encore utiliser MSN Messenger !!! La connexion est un peu plus lente (environ 10 secondes d’écart), mais s’effectue tout de même, ce qui permet à des utilisateurs non autorisé de "chatter". Une bonne méthode dans un cas comme celui-ci, est d’utiliser un programme pour analyser les trames envoyées par le logiciel MSN Messenger afin de mieux comprendre son fonctionnement. Il existe pour cela des outils gratuits tel que le Moniteur réseau Microsoft ou bien encore Ethereal. Voici les résultats d’une analyse de trames lancée au moment où l’utilisateur clique sur le bouton Ouvrir une session… Voir Figure 10.

On remarque que le logiciel (exécuté sur une machine dont l’adresse IP est 10.1.0.2) essaye de se connecter au serveur 207.46.104.20 (cette adresse correspond au FQDN « messenger.hotmail.com ») en utilisant le port 1863 du protocole TCP. L’opération est répétée trois fois consécutives si le serveur ne répond pas immédiatement. Ce port étant bloqué au niveau du pare-feu, la demande n’aboutie jamais. L’application essaye ensuite dans un second temps de se connecter à ce même serveur mais à l’aide du port 80 qui est normalement réservé au protocole HTTP. Ce port étant ouvert au niveau du pare-feu afin de permettre la navigation web, l’application réussit à se connecter et la session de l’utilisateur peut ensuite s’ouvrir. Ce problème peut se résoudre à l’aide d’une règle d’accès interdisant la communication entre les machines du réseau Interne et le serveur « messenger.hotmail.com ». Pour cela il faut créer au préalable un élément de stratégie pointant vers l’adresse IP du serveur messenger.hotmail. com ou bien directement vers le nom de domaine pleinement qualifié messenger.hotmail.com.

Il est plus judicieux d’interdire le FQDN car même en cas de modification de l’adresse IP du serveur la règle restera valide. La fenêtre ci à gauche montre les propriétés d’un élément de stratégie. Il se nomme serveur MSN Messenger et pointe vers l’adresse IP 207.46.104.20. Une fois l’élément de stratégie correctement configuré, il suffit de créer une règle refusant les connexions au domaine messenger.hotmail.com et s’appliquant aux groupes appropriés.

Bien entendu, on peut altérer la règle précédemment crée pour bloquer le port 1863 en ajoutant le protocole HTTP au protocole MSN Messenger et en précisant que la destination est serveur MSN Messenger. Cette règle va donc empêcher les paquets IP expédiés par le réseau Interne et à destination du serveur messenger.hotmail.com d’atteindre leur objectif quel que soit le port utilisé (1863 ou 80). Dans l’exemple (figure 11), les utilisateurs appartenant aux groupes Comptabilité, Production ou Recherche ne peuvent plus se connecter à l’aide du logiciel MSN Messenger. Voir Figure 11.

Cette première méthode est celle qui répond le mieux à la problématique car elle demande peu de ressources et reste simple à mettre en oeuvre.

2ème méthode Les clients pare-feu récupèrent à chaque démarrage une liste des logiciels autorisés ou non à accéder au réseau (lorsqu’un logiciel n’est pas mentionné dans cette liste il peut tout de même accéder au réseau). Il est possible de bloquer MSN Messenger par ce biais. Il suffit d’ouvrir la fenêtre « Paramètre du client de parefeu » située en utilisant le conteneur Général de l’arborescence de la console de gestion ISA. Cette fenêtre montre toutes les applications pour lesquelles l’accès au réseau a été configuré.

Pour bloquer une application, il suffit d’ajouter une entrée correspondante au nom du processus lancé par cette application (sans son extension), puis de donner la valeur 1 au paramètre Disable. Dans notre exemple le processus utilisé par MSN Messenger est msnmsgr.exe. Il faut donc créer une entrée nommée « msnmsgr ». Voir Figure 12. Une fois la modification appliquée au niveau du serveur, il faut penser à redémarrer le service « Agent du client de pare-feu » à l’aide des commandes « net stop fcwagent » et « net start fcwagent » (ou bien en utilisant la console Services). Dès que cette opération est effectuée, le programme ne peut plus accéder au réseau et la fenêtre ci-dessous apparaît : Cette méthode est très rapide à mettre en oeuvre et est très efficace.

Cependant elle possède deux inconvénients majeurs :
1. Elle ne s’applique qu’aux clients de pare-feu (et pas aux clients SecureNAT et clients du proxy web)
2. Elle ne permet pas d’interdire l’utilisation du logiciel à des utilisateurs donnés (tous les utilisateurs seront affectés par l’interdiction d’utilisation)

3ème méthode Une dernière méthode consiste à utiliser un filtre web (le filtre HTTP en l’occurrence). C’est le procédé le plus optimisé et le plus sure, cependant, il a le gros inconvénient de demander énormément de ressources système au serveur ISA. En effet, lorsque le filtrage web est activé, le serveur ISA analyse l’en-tête et/ou le contenu de chaque paquet IP provenant du réseau Interne et à destination du réseau Externe.

C’est pourquoi il faut tenir compte des capacités matérielles du serveur avant d’activer cette option. Le thème du filtrage applicatif et du filtrage web étant trop vaste, nous ne détaillerons pas ici la configuration du filtre HTTP. Elle sera abordée dans un prochain article. Voir tableau 2.

Téléchargez gratuitement cette ressource

Guide de Services Cloud Managés

Guide de Services Cloud Managés

Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.

Tech - Par iTPro - Publié le 24 juin 2010