Como puedo bloquear MSN

Gamaliel_cl · #1 (**permalink**) 28/05/2004, 23:24

hola, administro una red de una empresa con aproximadamente 50 computadores, tengo dos servidores con win2000, y uno con win NT, y un firewall sonicwall soho, el problema es que me pidieron bloquear MSN para los computadores de la red, el drama es que no tengo que bloquerlos a todos..
porfa que alguien me ayude, de verdad es urgentisisismo...

gracias

@tzi! · #2 (**permalink**) 29/05/2004, 07:18

hola, lo que tenes que implementar son listas de acceso por cada host, y los que no queres que tengan msn les tenes que bloquear los puertos que utiliza msn:

msnp 1863/tcp
msnp 1863/udp

hay muchos mas pero creo que con estos basta. ahora viene mi pregunta:
usas algun router para conectarte a internet? tiene el firewall alguna interface de configuracion? la cosa es asi: si tenes un router, por ahi el router soporta listas de acceso y directamente desde ahi podes configurar esto. sino en el firewall directamente podes agregar reglas que permitan el acceso a estos puertos a hosts especificos, y lo demás los negas todos.

..no se si me explique bien
espero q sirva de algo.

salu2.

carangel · #3 (**permalink**) 29/05/2004, 09:22

Hola Gamaliel, yo también administro una pequeña red de computadores en la que se necesita restringir el uso del msn.
En el mensaje de @tzi veo que te recomienda listas de acceso a determinados puertos y computadores especìficos, el problema es saber qué puertos específicamente usa el msn, hasta donde tengo entendido el msn anda en constante búsqueda de los puertos que se puedan utilizar; De todas maneras estas listas de acceso también las puedes implementar en un servidor proxy como el squid si es que cuentas con uno de ellos.
En mi caso, yo no cuento con firewall, proxy ni router que maneje listas de acceso, por lo que he tenido que hacerlo "manualmente", esto debido a que mi red es pequeña (20 pcs) y no tenemos muchos recursos para adquirir un firewall, proxy, etc etc y trabajamos con las herramientas que tenemos.
Cuento con un servidor de dominio Windows 2000 server y es desde el servidor donde puedo implementar restricciones, por supuesto la manera de hacerlo es diferente si se trata de un winxp o un win98 (usuario), sé que de esta manera es un poco rudimentario, pero la idea es trabajar con las herramientas que se tienen.

Cómo trabajarlo ?, bueno.....

1- WINDOWS XP O 2000 PROFESSIONAL: Esta restricción se puede hacer desde el servidor de dominio haciendo uso de las directivas de grupo en la que se puede especificar qué aplicaciones deben ser restringidas. Para ello se pueden crear unidades organizacionales diferentes en las que incluyas usuarios sin msn y usuarios con msm. De esta manera tendrías que decirle a las directivas de grupo que no permitan ejecutar las aplicaciones msmsgs.exe(windows messenger) y msnmsgr.exe (msn messenger).
Con esta restricción pareciera estar solucionado el problema para xp y 2000 pero hay algunas posibilidades, por ejemplo:
-Que un usuario "hábil" cambie el nombre al msn messenger: En este caso la opción es desintalar el msn messenger del pc, como se supone que los usuarios que se loguean en el dominio no tienen perfil de administrador ni tienen acceso al equipo localmente como administrador (administrador del pc no del dominio) entonces el usuario no podrá volver a instalar el msn messenger.
-Que un usuario "hábil" cambie el nombre al windows messenger: En este caso el windows messenger simplemente no se ejecuta, así que no hay problema.
-Que un usuario ingrese a la página de HOTMAIL e inicie sesión: Cuando esto sucede el ícono del msn messenger (no el del windows messenger) aparece en la barra de tareas (abajo a la derecha) y la restriccion de la directiva de grupo no funciona. La solución también es desintalar el msn messenger....... (no hay de otra)--claro te recuerdo que toda esta carreta es en el caso que no se cuenten con las herramientas necesarias como lo mencionaba anteriormente, porque ahora que recuerdo lo otro que puedes hacer es recomendar la adquisición de un software como el Websense, el cual no sólo te restringe la navegación a internet, sino además protocolos como el p2p (edonkey kazaa) y por supuesto la navegación a sitios web clasificada por categorías (sexo, entretenimiento, email, música, etc, etc) que es una base de datos que incluye una gran cantidad de millones de sitios que se actualiza diariamente. Claro, este software tiene licenciamiento y debe renovarse cada año; el costo depende del número de clientes que quieras administrar......... bueno, toda esta información está en la página de websense; es mas el websense tiene una herramienta adicional que controla la instalación y ejecución de software (si pagas unos cuantos dólares mas).

En resumen como puedes ver con directivas de grupo puedes manejar fácilmente el uso del messenger si desintalas el msn messenger y dejas sólo el windows messenger, esto teniendo en cuenta que de pronto tengas pcs que compartan algunos usuarios y que por ejemplo uno de ellos tenga derecho a utilizar messenger y otro no. Por qué ? bueno, pues porque como hemos visto si no desintalas el msn messenger es difícil hacer la restricción, en cambio el windows messenger es ma fácil de manejar.

2--Windows 95-98-Me: Para estos so también se puede hacer la administración desde el servidor haciendo uso del poledit en el cual le puedes decir qué software pueden ejecutar determinados usuarios (claro hay que ponerse en la tarea de crear la lista del software que se puede ejecutar......). Pero es muy últil porque además de paso puedes restringir fácilmente la ejecución de cualquier tipo de software y la también la instalación. Claro, para los XP y 2000 también se puede crear la lista de programas que se pueden ejecutar (no me refiero a la lista que no se pueden ejecutar), pero a esta tarea si no me le he medido con los xp y 2000, habría que probar.

Bueno, espero que sirva de algo toda esta carreta, sé que es rudimentaria, pero recuerda que me tomé todo el trabajo de escribir por si acaso tienes el mismo caso mío en el que no se cuentan con muchas herramientas de sw o hw.

Salu2

Gamaliel_cl · #4 (**permalink**) 31/05/2004, 09:39

Cita:

Iniciado por carangel

Hola Gamaliel, yo también administro una pequeña red de computadores en la que se necesita restringir el uso del msn.
En el mensaje de @tzi veo que te recomienda listas de acceso a determinados puertos y computadores especìficos, el problema es saber qué puertos específicamente usa el msn, hasta donde tengo entendido el msn anda en constante búsqueda de los puertos que se puedan utilizar; De todas maneras estas listas de acceso también las puedes implementar en un servidor proxy como el squid si es que cuentas con uno de ellos.
En mi caso, yo no cuento con firewall, proxy ni router que maneje listas de acceso, por lo que he tenido que hacerlo "manualmente", esto debido a que mi red es pequeña (20 pcs) y no tenemos muchos recursos para adquirir un firewall, proxy, etc etc y trabajamos con las herramientas que tenemos.
Cuento con un servidor de dominio Windows 2000 server y es desde el servidor donde puedo implementar restricciones, por supuesto la manera de hacerlo es diferente si se trata de un winxp o un win98 (usuario), sé que de esta manera es un poco rudimentario, pero la idea es trabajar con las herramientas que se tienen.

Cómo trabajarlo ?, bueno.....

1- WINDOWS XP O 2000 PROFESSIONAL: Esta restricción se puede hacer desde el servidor de dominio haciendo uso de las directivas de grupo en la que se puede especificar qué aplicaciones deben ser restringidas. Para ello se pueden crear unidades organizacionales diferentes en las que incluyas usuarios sin msn y usuarios con msm. De esta manera tendrías que decirle a las directivas de grupo que no permitan ejecutar las aplicaciones msmsgs.exe(windows messenger) y msnmsgr.exe (msn messenger).
Con esta restricción pareciera estar solucionado el problema para xp y 2000 pero hay algunas posibilidades, por ejemplo:
-Que un usuario "hábil" cambie el nombre al msn messenger: En este caso la opción es desintalar el msn messenger del pc, como se supone que los usuarios que se loguean en el dominio no tienen perfil de administrador ni tienen acceso al equipo localmente como administrador (administrador del pc no del dominio) entonces el usuario no podrá volver a instalar el msn messenger.
-Que un usuario "hábil" cambie el nombre al windows messenger: En este caso el windows messenger simplemente no se ejecuta, así que no hay problema.
-Que un usuario ingrese a la página de HOTMAIL e inicie sesión: Cuando esto sucede el ícono del msn messenger (no el del windows messenger) aparece en la barra de tareas (abajo a la derecha) y la restriccion de la directiva de grupo no funciona. La solución también es desintalar el msn messenger....... (no hay de otra)--claro te recuerdo que toda esta carreta es en el caso que no se cuenten con las herramientas necesarias como lo mencionaba anteriormente, porque ahora que recuerdo lo otro que puedes hacer es recomendar la adquisición de un software como el Websense, el cual no sólo te restringe la navegación a internet, sino además protocolos como el p2p (edonkey kazaa) y por supuesto la navegación a sitios web clasificada por categorías (sexo, entretenimiento, email, música, etc, etc) que es una base de datos que incluye una gran cantidad de millones de sitios que se actualiza diariamente. Claro, este software tiene licenciamiento y debe renovarse cada año; el costo depende del número de clientes que quieras administrar......... bueno, toda esta información está en la página de websense; es mas el websense tiene una herramienta adicional que controla la instalación y ejecución de software (si pagas unos cuantos dólares mas).

En resumen como puedes ver con directivas de grupo puedes manejar fácilmente el uso del messenger si desintalas el msn messenger y dejas sólo el windows messenger, esto teniendo en cuenta que de pronto tengas pcs que compartan algunos usuarios y que por ejemplo uno de ellos tenga derecho a utilizar messenger y otro no. Por qué ? bueno, pues porque como hemos visto si no desintalas el msn messenger es difícil hacer la restricción, en cambio el windows messenger es ma fácil de manejar.

2--Windows 95-98-Me: Para estos so también se puede hacer la administración desde el servidor haciendo uso del poledit en el cual le puedes decir qué software pueden ejecutar determinados usuarios (claro hay que ponerse en la tarea de crear la lista del software que se puede ejecutar......). Pero es muy últil porque además de paso puedes restringir fácilmente la ejecución de cualquier tipo de software y la también la instalación. Claro, para los XP y 2000 también se puede crear la lista de programas que se pueden ejecutar (no me refiero a la lista que no se pueden ejecutar), pero a esta tarea si no me le he medido con los xp y 2000, habría que probar.

Bueno, espero que sirva de algo toda esta carreta, sé que es rudimentaria, pero recuerda que me tomé todo el trabajo de escribir por si acaso tienes el mismo caso mío en el que no se cuentan con muchas herramientas de sw o hw.

Salu2

Pero, el asunto del poliedit, es demasiado largo, estaria un año escribiendo los programas que puede ejecutar, no habrà otra forma por medio del firewall o algo asi...

que sea mas rapida, gracias

Gamaliel_cl · #5 (**permalink**) 31/05/2004, 09:39

Pero, el asunto del poliedit, es demasiado largo, estaria un año escribiendo los programas que puede ejecutar, no habrà otra forma por medio del firewall o algo asi...

que sea mas rapida, gracias

Gamaliel_cl · #6 (**permalink**) 31/05/2004, 09:57

el firewall que tengo es un sonicwall soho 3.

@tzi! · #7 (**permalink**) 31/05/2004, 10:09

vuelvo a preguntar:

Cita:

tiene el firewall alguna interface de configuracion?

si es asi tenes que restringir los puertos que te dije a todo el trafico saliente de la red. creo que eso funcionaría.

Gamaliel_cl · #8 (**permalink**) 01/06/2004, 10:16

Si tiene, el firewall es un sonicwall soho 3, y si tiene interface de configuracion pero no se donde bloquear puertos ni I de dentro de la empresa

EL_JEJE · #9 (**permalink**) 01/06/2004, 16:37

estimado gamaliel: estoy muy lejos de ser un experto en redes, pero quizás esto te funcione; lo que te voy a escribir es para que elimines el msn de los hardwares que requieras.

1) abre el comando "ejecutar" en inicio.

2) copia y pega el siguiente texto:

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

3) reinicia el equipo y listo. te librarás del msn hasta que desees reinstalarlo.

saludos

carangel · #10 (**permalink**) 01/06/2004, 19:29

Hola,
Te recuerdo que la solución que te doy es para quienes no contamos con herramientas como proxy, firewall, etc, etc.
Habrá que mirar la interface de administración de tu cortafuegos para crear listas de acceso, o cerrar los puertos que usa el msn.
salu2

Gamaliel_cl · #11 (**permalink**) 02/06/2004, 14:57

ya vi y revise super bien la interface de administracion del firewall y no hay ninguna opcion para bloquear puertos ni por IP.