메신저 프로그램들에 대한 업무시간에만 Blocking 시키는 예입니다.
웜이 메신저를 타고 급속히 번질 때도 사용하시면 됩니다.
방화벽이 있는 곳은 방화벽에서 차단시킬 테지만, 그렇지 않은 중소규모의 기업이나 학교등에서 사용하시면 편합니다.
감사합니다.
## 본 내용은 회사와 무관한 개인적인 자격으로 올리는 글입니다.##
—–Original Message—–
From: Woo Hyung Choi (whchoi)
안녕하십니까?
최우형 입니다.
답변이 늦었습니다.
MSN은 기본적으로 접속시 인증 포트를 TCP 1863을 사용하도록 되어 있습니다.
따라서 간단하게 1863을 Blocking 시키면 간단히 해결될 일이지만, 문제는 1863을 차단하게 되면 자동으로 TCP 80 Port를 통해 인증 접속하도록 구성되어 있습니다.
아래 Router 에서 Netflow를 Enable 시켜 놓고 보시면 MSN의 동작방식을 금방 보실 수 있습니다.
최초 인증 접속시 동작과정입니다.
목적지 포트가 16진수로 0747 입니다.
10진수로 보면 TCP 1863입니다.
Router#show ip cache flow
중략
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0 10.0.0.2 Di1 207.46.104.20 06 051B 0747 4
MSN을 통한 유해트래픽이 급속도로 번질 경우나, 기업에서 정책적으로 MSN메신저를 금지 시키실 경우에는 다음과 같이 구성하시면 됩니다.
Cisco Router or Catalyst Switch에서 구성 방법
ACL 구성법
access-list 101 deny ip any 207.46.104.0 0.0.0.255 –> MSN 인증서버 IP address
access-list 101 deny tcp any any eq 1863 –> MSN 인증 port
access-list 101 deny tcp any any range 6891 6900 –> 파일전송
access-list 101 deny udp any any eq 6901–>음성채팅
access-list 101 permit ip any any
ACL 적용 예제
interface fastethernet 0 –> 내부 이더넷
ip access-group 101 in
유연성있게 구성하는 방법–> 추천!!!
A 회사의 MSN 사용 지침
MSN은 월요일~금요일 아침 08:00 부터 18:00 까지 근무시간에는 사용하지 못하도록 구성한다.
하지만, 주말과 근무 외 시간 18:00 이후 부터는 사용 할 수 있도록 한다.
시스코 라우터 또는 Catalyst Switch 에서 구성 방법
Router#sh clock
16:58:53.719 KST Sat Nov 1 2003
현재 라우터 또는 스위치의 시간 설정 확인
Time-Based ACL 구성 방법
access-list 101 deny ip any 207.46.104.0 0.0.0.255 time-range msn
access-list 101 deny tcp any any eq 1863 time-range msn
access-list 101 deny tcp any any range 6891 6900 time-range msn
access-list 101 deny udp any any eq 6901 time-range msn
access-list 101 permit ip any any
ACL 적용
interface fastethernet 0 –> 내부 이더넷
ip access-group 101 in
Time Rule 설정
Router(config)#time-range msn
Router(config-time-range)#periodic weekdays 08:00 to 18:00 –> 월요일 부터 금요일 까지 매일 아침 8시 부터 저녁 6시 까지만 적용
정상 작동 확인
Router#sh access-lists
Extended IP access list 101
deny ip any 207.46.104.0 0.0.0.255 time-range msn (inactive) –> 현재 시각이 토요일 이므로 자동 비활성
deny tcp any any eq 1863 time-range msn (inactive)
deny tcp any any range 6891 6900 time-range msn (inactive)
deny udp any any eq 6901 time-range msn (inactive)
permit ip any any
한번 구성해 보시고, 제대로 Blocking 되는지 Test 해 보시기 바랍니다.
감사합니다.
P.S
혹시 제대로 Blocking 되지 않을 경우 아래 ACL 에 아래 IP 영역을 추가해 보시면 됩니다.
제가 Test 한 바로는 207.46.104.x만 Blocking 시키면, 차단되는 것을 확인 했습니다.
64.4.130.0/24
207.46.104.0/24
207.46.106.0/24
207.46.107.0/24
207.46.108.0/24
207.46.110.0/24
[출처] 메신저 프로그램 업무시간 Blocking 예|작성자 펫러브
Comments