Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 1775 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

v6 IDS not detecting MSN

Guillermo Lovato
After upgrading to V6 and using dual internet connections(int http proxy goes to 2nd connection), i notice that the IDS doesn't detect ANYTHING from the internal network regarding chat(and i bet it doesn't detect anything in any rule either).

MSN of course works like a charm, there isn't any PF rule that allows http or https access directly.

All workstations have the default gateway pointed to the firewall.

the only way i managed to make the IDS detect was disabling the proxy in IE, allowing explicit http PF rules from my station to any and then i got a hit.

In one of our customers that has a very similar network(with only one inet connection), all stations pointed to ASL, proxy, no PF direct rules, all MSN traffic gets logged(it's a 5.206).

Since i want to block msn access eventually, i need this to work ASAP


This thread was automatically locked due to age.
  • 0
    [ QUOTE ]
    After upgrading to V6 and using dual internet connections(int http proxy goes to 2nd connection), i notice that the IDS doesn't detect ANYTHING from the internal network regarding chat(and i bet it doesn't detect anything in any rule either).

    MSN of course works like a charm, there isn't any PF rule that allows http or https access directly.

    All workstations have the default gateway pointed to the firewall.

    the only way i managed to make the IDS detect was disabling the proxy in IE, allowing explicit http PF rules from my station to any and then i got a hit.

    In one of our customers that has a very similar network(with only one inet connection), all stations pointed to ASL, proxy, no PF direct rules, all MSN traffic gets logged(it's a 5.206).

    Since i want to block msn access eventually, i need this to work ASAP 

    [/ QUOTE ]
    If youhave port 80 open(and i bet you do) msn and the other im's will use that.  MSN, Yahoo, AIM have all learned from p2p.  If port 80 is open they'll use it if their primary port is blocked.  STF for another post of mine.  p2p/chat blocking is no longer able to be solved via technology.  Only a strictly enforced IT/user policy can reign it in now.
  • 0 in reply to William Warren
    If i had the port 80 open(and i should need a MASQ rule on top of that) then the IDS should detect the MSN activity!.

    In my case, i don't have port 80 open, all http/80 traffic goes through the proxy or doesn't go anywhere, so what's happening to the IDS?
  • 0 in reply to Guillermo Lovato
    Hi,

    don't think IPS will find MSN, if it goes over the proxy. Think there are to much modification inside the protocoll to fit to the http protocoll.

    What do you want anyway, see the traffic or block it? 

    Chris
  • 0 in reply to NimmdirKeks
    i thought about that, but in the customer of mine i'm mentioning, the IPS detects MSN and it's configured exactly like my network!.
    (i'm not configuring each MSN in any particular way, they might take the proxy config from IE).

    to block the traffic i need to first detect it
  • 0 in reply to Guillermo Lovato
    [ QUOTE ]
    If i had the port 80 open(and i should need a MASQ rule on top of that) then the IDS should detect the MSN activity!.

    In my case, i don't have port 80 open, all http/80 traffic goes through the proxy or doesn't go anywhere, so what's happening to the IDS? 

    [/ QUOTE ]
    msn/p2p when it goes over port 80 uses http.  How are you going to detect that?  You're not.  A clearly stated and strictly enforced IT policy is your only chance for now.
  • 0 in reply to Guillermo Lovato
    Hi,

    aehm, you just could block the communication servers MSN is connecting too. You should normaly see them in the Proxy log.

    Chris

    edit
    Don't they use a http connect method? You could also block them this way.

    time=Thu Apr 14 08:31:00 2005     version=3
    server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
    protocol=    "http"
    url=         "insider.msg.yahoo.com/.../
    port=        "80"
    category=    98     (INSTANT MESSAGING)
    disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
    app type=    ""
    keyword=     ""
    user=        "WinNT://xyz/dumass"
    bytes sent=0 bytes received=0 duration=0


    time=Thu Apr 14 08:31:00 2005     version=3
    server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
    protocol=    "http"
    url=         "insider.msg.yahoo.com/.../
    port=        "80"
    category=    98     (INSTANT MESSAGING)
    disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
    app type=    ""
    keyword=     ""
    user=        "WinNT://xyz/dumass"
    bytes sent=0 bytes received=0 duration=0


    time=Thu Apr 14 08:31:00 2005     version=3
    server=192.168.3.1 source=192.168.3.13 dest=66.218.71.196
    protocol=    "http"
    url=         "mtab.games.yahoo.com/.../prefs"
    port=        "80"
    category=    14     (GAMES)
    disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
    app type=    ""
    keyword=     ""
    user=        "WinNT://xyz/dumass"
    bytes sent=0 bytes received=0 duration=0
    /edit
  • 0 in reply to NimmdirKeks
    [ QUOTE ]
    Hi,

    aehm, you just could block the communication servers MSN is connecting too. You should normaly see them in the Proxy log.

    Chris

    edit
    Don't they use a http connect method? You could also block them this way.

    time=Thu Apr 14 08:31:00 2005     version=3
    server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
    protocol=    "http"
    url=         "insider.msg.yahoo.com/.../
    port=        "80"
    category=    98     (INSTANT MESSAGING)
    disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
    app type=    ""
    keyword=     ""
    user=        "WinNT://xyz/dumass"
    bytes sent=0 bytes received=0 duration=0


    time=Thu Apr 14 08:31:00 2005     version=3
    server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
    protocol=    "http"
    url=         "insider.msg.yahoo.com/.../
    port=        "80"
    category=    98     (INSTANT MESSAGING)
    disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
    app type=    ""
    keyword=     ""
    user=        "WinNT://xyz/dumass"
    bytes sent=0 bytes received=0 duration=0


    time=Thu Apr 14 08:31:00 2005     version=3
    server=192.168.3.1 source=192.168.3.13 dest=66.218.71.196
    protocol=    "http"
    url=         "mtab.games.yahoo.com/.../prefs"
    port=        "80"
    category=    14     (GAMES)
    disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
    app type=    ""
    keyword=     ""
    user=        "WinNT://xyz/dumass"
    bytes sent=0 bytes received=0 duration=0
    /edit 

    [/ QUOTE ]
    You could.  Their servers are not always the same.  MSN/other im's/p2p also are beginning to use decentralized communications.  Pretty soon IM's will more than likely activate a p2p type connection over http so they can get past ips/ids systems and still communicate with whatever server they want/or need to.
  • 0 in reply to William Warren
    Hi,

    but they still need to authenticate on a more or less central location. But of course this location could change from version to version.

    Chris
  • 0 in reply to NimmdirKeks
    [ QUOTE ]
    Hi,

    but they still need to authenticate on a more or less central location. But of course this location could change from version to version.

    Chris 

    [/ QUOTE ]
    Not anymore.  As BT shows they now have decentralized tracking as well. It won't be long before the messegners adopt this as well.
  • 0 in reply to William Warren
    Hi,

    at least the large ones wont be so quick on that trip, because of the legal problems they will be faced with. 

    Chris