v6 IDS not detecting MSN

[ QUOTE ]
After upgrading to V6 and using dual internet connections(int http proxy goes to 2nd connection), i notice that the IDS doesn't detect ANYTHING from the internal network regarding chat(and i bet it doesn't detect anything in any rule either).

MSN of course works like a charm, there isn't any PF rule that allows http or https access directly.

All workstations have the default gateway pointed to the firewall.

the only way i managed to make the IDS detect was disabling the proxy in IE, allowing explicit http PF rules from my station to any and then i got a hit.

In one of our customers that has a very similar network(with only one inet connection), all stations pointed to ASL, proxy, no PF direct rules, all MSN traffic gets logged(it's a 5.206).

Since i want to block msn access eventually, i need this to work ASAP 

[/ QUOTE ]
If youhave port 80 open(and i bet you do) msn and the other im's will use that.  MSN, Yahoo, AIM have all learned from p2p.  If port 80 is open they'll use it if their primary port is blocked.  STF for another post of mine.  p2p/chat blocking is no longer able to be solved via technology.  Only a strictly enforced IT/user policy can reign it in now.

If i had the port 80 open(and i should need a MASQ rule on top of that) then the IDS should detect the MSN activity!.

In my case, i don't have port 80 open, all http/80 traffic goes through the proxy or doesn't go anywhere, so what's happening to the IDS?

Hi,

don't think IPS will find MSN, if it goes over the proxy. Think there are to much modification inside the protocoll to fit to the http protocoll.

What do you want anyway, see the traffic or block it? 

Chris

i thought about that, but in the customer of mine i'm mentioning, the IPS detects MSN and it's configured exactly like my network!.
(i'm not configuring each MSN in any particular way, they might take the proxy config from IE).

to block the traffic i need to first detect it

[ QUOTE ]
If i had the port 80 open(and i should need a MASQ rule on top of that) then the IDS should detect the MSN activity!.

In my case, i don't have port 80 open, all http/80 traffic goes through the proxy or doesn't go anywhere, so what's happening to the IDS? 

[/ QUOTE ]
msn/p2p when it goes over port 80 uses http.  How are you going to detect that?  You're not.  A clearly stated and strictly enforced IT policy is your only chance for now.

Hi,

aehm, you just could block the communication servers MSN is connecting too. You should normaly see them in the Proxy log.

Chris

edit
Don't they use a http connect method? You could also block them this way.

time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
protocol=    "http"
url=         "insider.msg.yahoo.com/.../
port=        "80"
category=    98     (INSTANT MESSAGING)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0


time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
protocol=    "http"
url=         "insider.msg.yahoo.com/.../
port=        "80"
category=    98     (INSTANT MESSAGING)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0


time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=66.218.71.196
protocol=    "http"
url=         "mtab.games.yahoo.com/.../prefs"
port=        "80"
category=    14     (GAMES)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0
/edit

Hi,

aehm, you just could block the communication servers MSN is connecting too. You should normaly see them in the Proxy log.

Chris

edit
Don't they use a http connect method? You could also block them this way.

time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
protocol=    "http"
url=         "insider.msg.yahoo.com/.../
port=        "80"
category=    98     (INSTANT MESSAGING)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0


time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
protocol=    "http"
url=         "insider.msg.yahoo.com/.../
port=        "80"
category=    98     (INSTANT MESSAGING)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0


time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=66.218.71.196
protocol=    "http"
url=         "mtab.games.yahoo.com/.../prefs"
port=        "80"
category=    14     (GAMES)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0
/edit

[ QUOTE ]
Hi,

aehm, you just could block the communication servers MSN is connecting too. You should normaly see them in the Proxy log.

Chris

edit
Don't they use a http connect method? You could also block them this way.

time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
protocol=    "http"
url=         "insider.msg.yahoo.com/.../
port=        "80"
category=    98     (INSTANT MESSAGING)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0


time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=68.142.231.252
protocol=    "http"
url=         "insider.msg.yahoo.com/.../
port=        "80"
category=    98     (INSTANT MESSAGING)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0


time=Thu Apr 14 08:31:00 2005     version=3
server=192.168.3.1 source=192.168.3.13 dest=66.218.71.196
protocol=    "http"
url=         "mtab.games.yahoo.com/.../prefs"
port=        "80"
category=    14     (GAMES)
disposition= 1035   (BLOCKED WITH PASSWORD OPTION)
app type=    ""
keyword=     ""
user=        "WinNT://xyz/dumass"
bytes sent=0 bytes received=0 duration=0
/edit 

[/ QUOTE ]
You could.  Their servers are not always the same.  MSN/other im's/p2p also are beginning to use decentralized communications.  Pretty soon IM's will more than likely activate a p2p type connection over http so they can get past ips/ids systems and still communicate with whatever server they want/or need to.

Hi,

but they still need to authenticate on a more or less central location. But of course this location could change from version to version.

Chris

[ QUOTE ]
Hi,

but they still need to authenticate on a more or less central location. But of course this location could change from version to version.

Chris 

[/ QUOTE ]
Not anymore.  As BT shows they now have decentralized tracking as well. It won't be long before the messegners adopt this as well.

Hi,

at least the large ones wont be so quick on that trip, because of the legal problems they will be faced with. 

Chris

[ QUOTE ]
Hi,

at least the large ones wont be so quick on that trip, because of the legal problems they will be faced with. 

Chris 

[/ QUOTE ]
what legal problems?

Now what do you think the music industrie would do, when MSN, yahoo or AOL Clients are massivly used for sharing "contraband" mp3s?

Chris

[ QUOTE ]
Now what do you think the music industrie would do, when MSN, yahoo or AOL Clients are massivly used for sharing "contraband" mp3s?

Chris 

[/ QUOTE ]
heh..that would be interesting but i don't think it is going to sotp IM from going the decentralized route.  MS alone could crush the *iaa's financially.

  Would be something for "Celebrity Deathmatch"  

Chris