Sobre trafico mailicioso y como identificarlo

"Jose Ramirez" escribió en el mensaje
news:

-Actualmente el MSN Messenger esta corriendo por el puerto 80, por lo cual
tendrías que analizar ese puerto.

Se conecta a diferentes IPs, pero todas esas IPs pertenecen al subdominio
"msgr.hotmail.com", por lo tanto, con denegar el destino *.msgr.hotmail.com,
asunto arreglado No es necesario aplicar filtrado HTTP, aunque como te
decia anteriormente, es perfectamentre valido y funcional para denegar su
uso.

-En cuanto al IPS, esa es una de las funciones que especificamente tiene
SonicWALL con esa licencia. Y de esa manera puedes bloquearlo. Mas no es
necesario para realizarlo como se lo comento con CheckPoint.

Dudo mucho que puedas conpararlo con Snort, ISS, McAfee, etc quien mucho
abarca, poco aprieta Todoslos fabricantes de firewall venden la moto
diciendo que tienen capacidades de IDS/IPS (puro Marketing y del malo).
Si por detectar un port scan y un par de ataques mas, dicen que es un
sistema IDS, vamos no se lo creen ni ellos ;-)

-Si solo bloqueas esa direccion, tienes por lo menos 50 mas, segun lo que
yo he logrado detectar en algunos meses tratando de bloquear el trafico de
tipo mensajeria instantanea.

Nope. Lo que te decia al principio Cuando utiliza HTTP (que no 1863
TCP), utiliza varios servidores cuyas IPs pertenecen todas al subdominio
msgr.hotmail.com. Analizado y mira esas IPs, luego realiza unas simples
querys inversas y lo veras

Ya que existen e-messenger, y demas formas de conectarte a tal servicio.

Hablamos de MSN Messenger, no de AOL, Yahoo, etc, etc... cada sistema tiene
sus peculiaridades y logicamente es absolutamente imposible pretender
bloquear todos de la misma forma Respecto MSN Messenger, por defecto lo
intenta sobre 1863 TCP, y si no es posible, lo intenta sobre HTTP. HTTPS se
utiliza siempre para autentificacion, no hay mas cera que la que arde
esas son sus formas de comunicacion, que no son pocas ;-) no hemos hablado
de la version web, que tambien es sumamente sencillo de impedir su uso

My 1,5 cents.

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

-Actualmente el MSN Messenger esta corriendo por el puerto 80, por lo cual
tendrías que analizar ese puerto.

Se conecta a diferentes IPs, pero todas esas IPs pertenecen al subdominio
"msgr.hotmail.com", por lo tanto, con denegar el destino *.msgr.hotmail.com,
asunto arreglado No es necesario aplicar filtrado HTTP, aunque como te
decia anteriormente, es perfectamentre valido y funcional para denegar su
uso.

-En cuanto al IPS, esa es una de las funciones que especificamente tiene
SonicWALL con esa licencia. Y de esa manera puedes bloquearlo. Mas no es
necesario para realizarlo como se lo comento con CheckPoint.

Dudo mucho que puedas conpararlo con Snort, ISS, McAfee, etc quien mucho
abarca, poco aprieta Todoslos fabricantes de firewall venden la moto
diciendo que tienen capacidades de IDS/IPS (puro Marketing y del malo).
Si por detectar un port scan y un par de ataques mas, dicen que es un
sistema IDS, vamos no se lo creen ni ellos ;-)

-Si solo bloqueas esa direccion, tienes por lo menos 50 mas, segun lo que
yo he logrado detectar en algunos meses tratando de bloquear el trafico de
tipo mensajeria instantanea.

Nope. Lo que te decia al principio Cuando utiliza HTTP (que no 1863
TCP), utiliza varios servidores cuyas IPs pertenecen todas al subdominio
msgr.hotmail.com. Analizado y mira esas IPs, luego realiza unas simples
querys inversas y lo veras

Ya que existen e-messenger, y demas formas de conectarte a tal servicio.

Hablamos de MSN Messenger, no de AOL, Yahoo, etc, etc... cada sistema tiene
sus peculiaridades y logicamente es absolutamente imposible pretender
bloquear todos de la misma forma Respecto MSN Messenger, por defecto lo
intenta sobre 1863 TCP, y si no es posible, lo intenta sobre HTTP. HTTPS se
utiliza siempre para autentificacion, no hay mas cera que la que arde
esas son sus formas de comunicacion, que no son pocas ;-) no hemos hablado
de la version web, que tambien es sumamente sencillo de impedir su uso

My 1,5 cents.

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

-Actualmente el MSN Messenger esta corriendo por el puerto 80, por lo cual
tendrías que analizar ese puerto.

Se conecta a diferentes IPs, pero todas esas IPs pertenecen al subdominio
"msgr.hotmail.com", por lo tanto, con denegar el destino *.msgr.hotmail.com,
asunto arreglado No es necesario aplicar filtrado HTTP, aunque como te
decia anteriormente, es perfectamentre valido y funcional para denegar su
uso.

-En cuanto al IPS, esa es una de las funciones que especificamente tiene
SonicWALL con esa licencia. Y de esa manera puedes bloquearlo. Mas no es
necesario para realizarlo como se lo comento con CheckPoint.

Dudo mucho que puedas conpararlo con Snort, ISS, McAfee, etc quien mucho
abarca, poco aprieta Todoslos fabricantes de firewall venden la moto
diciendo que tienen capacidades de IDS/IPS (puro Marketing y del malo).
Si por detectar un port scan y un par de ataques mas, dicen que es un
sistema IDS, vamos no se lo creen ni ellos ;-)

-Si solo bloqueas esa direccion, tienes por lo menos 50 mas, segun lo que
yo he logrado detectar en algunos meses tratando de bloquear el trafico de
tipo mensajeria instantanea.

Nope. Lo que te decia al principio Cuando utiliza HTTP (que no 1863
TCP), utiliza varios servidores cuyas IPs pertenecen todas al subdominio
msgr.hotmail.com. Analizado y mira esas IPs, luego realiza unas simples
querys inversas y lo veras

Ya que existen e-messenger, y demas formas de conectarte a tal servicio.

Hablamos de MSN Messenger, no de AOL, Yahoo, etc, etc... cada sistema tiene
sus peculiaridades y logicamente es absolutamente imposible pretender
bloquear todos de la misma forma Respecto MSN Messenger, por defecto lo
intenta sobre 1863 TCP, y si no es posible, lo intenta sobre HTTP. HTTPS se
utiliza siempre para autentificacion, no hay mas cera que la que arde
esas son sus formas de comunicacion, que no son pocas ;-) no hemos hablado
de la version web, que tambien es sumamente sencillo de impedir su uso

My 1,5 cents.

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

-Actualmente el MSN Messenger esta corriendo por el puerto 80, por lo cual
tendrías que analizar ese puerto.

Se conecta a diferentes IPs, pero todas esas IPs pertenecen al subdominio
"msgr.hotmail.com", por lo tanto, con denegar el destino *.msgr.hotmail.com,
asunto arreglado No es necesario aplicar filtrado HTTP, aunque como te
decia anteriormente, es perfectamentre valido y funcional para denegar su
uso.

-En cuanto al IPS, esa es una de las funciones que especificamente tiene
SonicWALL con esa licencia. Y de esa manera puedes bloquearlo. Mas no es
necesario para realizarlo como se lo comento con CheckPoint.

Dudo mucho que puedas conpararlo con Snort, ISS, McAfee, etc quien mucho
abarca, poco aprieta Todoslos fabricantes de firewall venden la moto
diciendo que tienen capacidades de IDS/IPS (puro Marketing y del malo).
Si por detectar un port scan y un par de ataques mas, dicen que es un
sistema IDS, vamos no se lo creen ni ellos ;-)

-Si solo bloqueas esa direccion, tienes por lo menos 50 mas, segun lo que
yo he logrado detectar en algunos meses tratando de bloquear el trafico de
tipo mensajeria instantanea.

Nope. Lo que te decia al principio Cuando utiliza HTTP (que no 1863
TCP), utiliza varios servidores cuyas IPs pertenecen todas al subdominio
msgr.hotmail.com. Analizado y mira esas IPs, luego realiza unas simples
querys inversas y lo veras

Ya que existen e-messenger, y demas formas de conectarte a tal servicio.

Hablamos de MSN Messenger, no de AOL, Yahoo, etc, etc... cada sistema tiene
sus peculiaridades y logicamente es absolutamente imposible pretender
bloquear todos de la misma forma Respecto MSN Messenger, por defecto lo
intenta sobre 1863 TCP, y si no es posible, lo intenta sobre HTTP. HTTPS se
utiliza siempre para autentificacion, no hay mas cera que la que arde
esas son sus formas de comunicacion, que no son pocas ;-) no hemos hablado
de la version web, que tambien es sumamente sencillo de impedir su uso

My 1,5 cents.

Un saludo.
Ivan
MS MVP ISA Server

Ivan muchas gracias por todos tus comentarios esperamos que a Jaisol le
hayan servido.
Por mi parte, creo que esta de mas hablar. Nunca podre comparar un IDS
contra un todo en uno, y nunca sera mi intencion, lo reitero. Pero existen
equipos a bajo costo que con un servicio como lo es de SonicWALL he podido
efectivamente parar todos los tipos de messenger, independientemente de su
version o proveedor, y es con estos servicios en particular, lo cual es la
respuesta a la pregunta inicial de Jaisol a la cual intente responder segun
mi experiencia personal, porque a lo mejor como yo, el se ha topado con
cientos de "usuarios" que intentan por cualquier forma salir a internet y no
importa por donde sea, y con bloquear "msgr.hotmail.com" nunca me servira de
nada. Definitivamente te puedes ir bloqueando por dominios, y no hay
problema... pero cuando son 50 o 60 destinos (entre dominios e IPs) el
tiempo que inviertes es demasiado, por lo tanto he preferido dejarlo a un
grupo de gente que trabaja buscando eso... como distintos productos y
servicios que lo pueden realizar.

No solamente hablo de MSN Messenger por la pagina principal, sino por todos
los lugares desde los cuales te puedes conectar a dicho servicio.
En fin son los comentarios de una persona non MS MVP, con algunos otros
atributos y titulos... pero no de tal experiencia.

Espero que Jaisol haya aprovechado tanto como yo de este intercambio de
mensajes.

Saludos Ivan MS MVP y a todos!
JR


"Ivan [MS MVP]" escribió en el mensaje
news:%

"Jose Ramirez" escribió en el mensaje
news:

-Actualmente el MSN Messenger esta corriendo por el puerto 80, por lo
cual tendrías que analizar ese puerto.

Se conecta a diferentes IPs, pero todas esas IPs pertenecen al subdominio
"msgr.hotmail.com", por lo tanto, con denegar el destino
*.msgr.hotmail.com, asunto arreglado No es necesario aplicar filtrado
HTTP, aunque como te decia anteriormente, es perfectamentre valido y
funcional para denegar su uso.

-En cuanto al IPS, esa es una de las funciones que especificamente tiene
SonicWALL con esa licencia. Y de esa manera puedes bloquearlo. Mas no es
necesario para realizarlo como se lo comento con CheckPoint.

Dudo mucho que puedas conpararlo con Snort, ISS, McAfee, etc quien
mucho abarca, poco aprieta Todoslos fabricantes de firewall venden la
moto diciendo que tienen capacidades de IDS/IPS (puro Marketing y del
malo). Si por detectar un port scan y un par de ataques mas, dicen que
es un sistema IDS, vamos no se lo creen ni ellos ;-)

-Si solo bloqueas esa direccion, tienes por lo menos 50 mas, segun lo que
yo he logrado detectar en algunos meses tratando de bloquear el trafico
de tipo mensajeria instantanea.

Nope. Lo que te decia al principio Cuando utiliza HTTP (que no 1863
TCP), utiliza varios servidores cuyas IPs pertenecen todas al subdominio
msgr.hotmail.com. Analizado y mira esas IPs, luego realiza unas simples
querys inversas y lo veras

Ya que existen e-messenger, y demas formas de conectarte a tal servicio.

Hablamos de MSN Messenger, no de AOL, Yahoo, etc, etc... cada sistema
tiene sus peculiaridades y logicamente es absolutamente imposible
pretender bloquear todos de la misma forma Respecto MSN Messenger, por
defecto lo intenta sobre 1863 TCP, y si no es posible, lo intenta sobre
HTTP. HTTPS se utiliza siempre para autentificacion, no hay mas cera que
la que arde esas son sus formas de comunicacion, que no son pocas ;-)
no hemos hablado de la version web, que tambien es sumamente sencillo de
impedir su uso

My 1,5 cents.

Un saludo.
Ivan
MS MVP ISA Server