CISCO : 메신저(MSN) 프로그램 업무시간 Blocking 예

메신저 프로그램들에 대한 업무시간에만 Blocking 시키는 예입니다.
웜이 메신저를 타고 급속히 번질 때도 사용하시면 됩니다.
방화벽이 있는 곳은 방화벽에서 차단시킬 테지만, 그렇지 않은 중소규모의 기업이나 학교등에서 사용하시면 편합니다.
 
감사합니다.
 
## 본 내용은 회사와 무관한 개인적인 자격으로 올리는 글입니다.##
 
—–Original Message—–
From: Woo Hyung Choi (whchoi)


안녕하십니까?
최우형 입니다.
답변이 늦었습니다.
 
MSN은 기본적으로 접속시 인증 포트를 TCP 1863을 사용하도록 되어 있습니다.
따라서 간단하게 1863을 Blocking 시키면 간단히 해결될 일이지만, 문제는 1863을 차단하게 되면 자동으로 TCP 80 Port를 통해 인증 접속하도록 구성되어 있습니다.
아래 Router 에서 Netflow를 Enable 시켜 놓고 보시면 MSN의 동작방식을 금방 보실 수 있습니다.
최초 인증 접속시 동작과정입니다.
목적지 포트가 16진수로 0747 입니다.
10진수로 보면 TCP 1863입니다.
 
Router#show ip cache flow
중략
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr  SrcP  DstP  Pkts
 
 
Fa0           10.0.0.2              Di1          207.46.104.20    06   051B  0747     4
 
 
MSN을 통한 유해트래픽이 급속도로 번질 경우나, 기업에서 정책적으로 MSN메신저를 금지 시키실 경우에는 다음과 같이 구성하시면 됩니다.
 
Cisco Router or Catalyst Switch에서 구성 방법
 
ACL 구성법
access-list 101 deny   ip any 207.46.104.0 0.0.0.255  –> MSN 인증서버 IP address
access-list 101 deny   tcp any any eq 1863 –> MSN 인증 port
access-list 101 deny   tcp any any range 6891 6900 –> 파일전송
access-list 101 deny   udp any any eq 6901–>음성채팅
access-list 101 permit ip any any
 
ACL 적용 예제
interface fastethernet 0 –> 내부 이더넷
ip access-group 101 in
 
유연성있게 구성하는 방법–> 추천!!!
 
A 회사의 MSN 사용 지침
 
MSN은 월요일~금요일 아침 08:00 부터 18:00 까지 근무시간에는 사용하지 못하도록 구성한다.
하지만, 주말과 근무 외 시간 18:00 이후 부터는 사용 할 수 있도록 한다.
 
시스코 라우터 또는 Catalyst Switch 에서 구성 방법
 
Router#sh clock
16:58:53.719 KST Sat Nov 1 2003
현재 라우터 또는 스위치의 시간 설정 확인
 
Time-Based ACL 구성 방법
 
access-list 101 deny   ip any 207.46.104.0 0.0.0.255  time-range msn
access-list 101 deny   tcp any any eq 1863 time-range msn
access-list 101 deny   tcp any any range 6891 6900 time-range msn
access-list 101 deny   udp any any eq 6901 time-range msn
access-list 101 permit ip any any
 
ACL 적용
 
interface fastethernet 0 –> 내부 이더넷
ip access-group 101 in
 
Time Rule 설정
 
Router(config)#time-range msn
Router(config-time-range)#periodic weekdays 08:00 to 18:00  –> 월요일 부터 금요일 까지 매일 아침 8시 부터 저녁 6시 까지만 적용
 
정상 작동 확인
 
Router#sh access-lists
Extended IP access list 101
    deny ip any 207.46.104.0 0.0.0.255 time-range msn (inactive) –> 현재 시각이 토요일 이므로 자동 비활성
    deny tcp any any eq 1863 time-range msn (inactive)
    deny tcp any any range 6891 6900 time-range msn (inactive)
    deny udp any any eq 6901 time-range msn (inactive)
    permit ip any any
 
한번 구성해 보시고, 제대로 Blocking 되는지 Test 해 보시기 바랍니다.
감사합니다.
 
P.S
혹시 제대로 Blocking 되지 않을 경우 아래 ACL 에 아래 IP 영역을 추가해 보시면 됩니다.
제가 Test 한 바로는 207.46.104.x만 Blocking 시키면, 차단되는 것을 확인 했습니다.
 
64.4.130.0/24
207.46.104.0/24
207.46.106.0/24
207.46.107.0/24
207.46.108.0/24
207.46.110.0/24


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *