(+84) 463.28.7979

Chặn Skype và các giao thức IM trong Forefront TMG


Có lẽ là nó chưa bao giờ dễ dàng hơn để ngăn chặn instant messaging (IM) với Forefront Threat Management Gateway (TMG). Nếu bạn đã đọc bài viết của tôi mà tôi đã viết một vài năm trước đây về việc làm thế nào để ngăn chặn các giao thức IM trên ISA Server, bạn chắc chắn sẽ đánh giá cao sự dễ dàng mà bạn có thể làm cùng một công cụ hiệu quả hơn với TMG.

Trong bài này, tôi sẽ cho bạn thấy làm thế nào bạn có thể chặn Skype, Google Talk, Yahoo Messenger, Live Messenger… bằng cách sử dụng Forefront TMG 2010.

Trước khi tôi đi vào từng bước một, tôi muốn  làm nổi bật những gì đang xảy ra trong background.

  • Microsoft Forefront TMG 2010 đi kèm với URL Filtering. URL Filtering cho phép bạn chặn nội dung web thuộc một thể loại đặc biệt như chat, mạng xã hội hoặc trang web khiêu dâm.
  • Một tính năng mới trong TMG 2010 là kiểm tra Outbound HTTPS .

Điều này cho phép tất cả lưu lượng người sử dụng HTTPS để được kiểm tra bởi TMG

Đây là hai tính năng mới mà chúng tôi sẽ tận dụng để chặn Chat. Dưới đây là một bản tóm tắt của những gì chúng ta sẽ làm gì:

  • Chỉ Traffic trên máy chủ TMG của bạn được cho phép là lưu lượng truy cập web thông thường (HTTP và HTTPS). Tôi chống lại việc tạo ra quy tắc “chung chung” ” allow all” từ internal đến external khi bạn có client SecureNAT trong mạng của bạn vì điều này đánh bại mục đích của filtering.
  • Bật kiểm inspection HTTPS .
  • Trong Rule Deny trên Web Access Policy, bạn thêm kiểu URL Chat.

Tại sao cần HTTPS inspection?

Nhiều IM Client và phần mềm như Skype, thường kết nối bằng cách sử dụng cổng UDP Dynamic và sẽ trở lại bằng cách sử dụng HTTPS. Với HTTPS inspection được bật, TMG sẽ có thể kiểm tra bên trong HTTPS để xem nếu các phần mềm đang cố gắng để yêu cầu truy cập từ một địa chỉ URL bị chặn.

1. Trong Forefont TMG console, chọn Web Access Policy Deny. Nếu bạn chưa có thì bạn có thể tạo ra 1 Rule bằng cách Click chuột phải vào Web Access Policy ở Panel bên trái và chọn Configure Web Access Policy.

Block-Skype-Yahoo-TMG-2010

2. Click vào thẻ To và click nút Add.

Block-Skype-Yahoo-TMG-2010

3. Mở rộng URL Categories và thêm kiểu URL Chat vào trong danh sách.

Block-Skype-Yahoo-TMG-2010

4. Click Ok để áp dụng thay đổi.

Bây giờ bạn thử kiểm tra cấu hình của bạn bằng cách sử dụng Skype hoặc bất cứ phần mềm chat client ưa thích nào của bạn như Yahoo, MSN…

Block-Skype-Yahoo-TMG-2010

 

Block-Skype-Yahoo-TMG-2010

Block-Skype-Yahoo-TMG-2010

Block-Skype-Yahoo-TMG-2010

Block-Skype-Yahoo-TMG-2010

Chú ý: Ngoài ra phiên bản chat Web  cũng bị Block.

Block-Skype-Yahoo-TMG-2010

Lưu ý: bạn có thể sử dụng kỹ thuật tương tự của TMG để ngăn chặn P2P(peer-to-peer) và các ứng dụng chia sẻ tập tin giống như eMule, Kazaa, eDonkey, BitTorrent . Trong bước 3, chọn thể loại URL là P2P/File sharing.

Theo Windowsclb.com

2 comments
  1. suthuc

    April 18, 2012 at 9:24 am

    Bạn đã thử TMG SP1 chặn skype version mới nhất chưa?

    Reply
  2. admin

    April 18, 2012 at 2:55 pm

    Đã thử trên các phiển bản trước, còn skype mới nhất thì chư.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>