Forum
Selamlar,
Cozumpark siteminde ve IT sektorunde yeniyim - sirketimizde calisan IT'ci arkadasin Turkiye'ye kesin donusu nedeniyle onun isleri bana kalacak, dolayisiyla buradayim..
Sormak istedigim soru su sistemimizde isa 2004 kurulu, ofiste insanlarin yaptigi ise gore neredeyse her gruba ozel rule olusturulmus durumda. Dosyalari FTP'ye yukleyen ve FTP'den download eden arkadaslarin icinde buludugu bir rule grubuda mevcut, bu grup icin .rar-.pdf-.zip uzantili dosyalari download we upload etmek bu grubun kullanicilarina serbest, onun disindaki dosya uzantilari icin sistem kendilerine kapali..msn-skype-gtalk gibi chat programlarinin da kullanimi bu grup icin yasak durumda..Ayni zamanda kullanicilar domain ortaminda user grubunda bulunmakta chat programlarinin calistirilmasi burda da gp sayesinde kapatilmis durumda.
Normal desktop kullanan kullanicilardan hicbir sorun yasamiyoruz ancak, dizustu kullanan kullanicilarin kaldiklari kampta bu chat programlarini calistirabilmeleri icin kendilerine domain ortamindaki kullanicilarinin yani sira, kendi bilgisayarlarinin administrator (this computer) bolumlerinide tahsis ettik.. Bazi akilli kullanicilar ofis icinde de bu this computer bolumunu acarak gp ozelliklerinden yalin bir sekilde skype ve googletalk acabildiklerini gorduk.. Msn Live signature ile kapatildigi icin acilmiyor ancak windows msn acilabiliyor.. normal yasakli siteler isa tarafindan engellenmeye devam ediyor yalniz dedigim gibi skype filan gp olmadan bilgisayarda calistirildiginda aciliyor.
Benden onceki It'cinin bana soyledigi skype-gtalku isa server ortamindan kapatamadigi, cunku portu kapattigi zaman kullanicilar internete cikamiyormus. Kullanicilarin skype actigini goren seftende azari biz yiyiyoruz ondan sonra..
Bu soru ile ilgili yardim edebilir misiniz? Ilgili makaleleri incelemeye calistim ancak soruna cozum olacak bir yazi ile karsilasamadim, belkide gozumden kacti onun icinde simdiden ozur dilerim, forum kurallarini biliyorum..
Yardimlariniz icin simdiden cok tesekkurler.. 🙂
Merhaba, Bu durumda port kapatmak degil imza bloklamak lazim
msn messenger icin "msn messenger" gibi
imzaları ezbere bilmeye gerek yok, kullanıcılar istemediginiz trafigi kullanırken monitoring - logging tabından isteklerin icindeki imzayı gorebilirsiniz
mesela internet explorer da ie 7.0 gibi.
ona gore kuraldaki http filtering tabindan imzalar kismina gerekli imzayi ekleyip bloklama yapabilirsiniz
Ben bir cevap vermeden önce
Sana sormak istediğm bazı seyler var.
1-bir senden önceki it ci sadece kullandığı portumu kapattı herkes için yoksa imzamı kullandı
2-isa server ın service packleri yüklümü bazı Hotfixler mevcut.
3-Bazı programlar surumden sürüme farklı imzaları kullanmaktadır onun için ethereal tarzı program kullanılablir
Bu http://technet.microsoft.com/tr-tr/library/cc302627(en-us).aspx bu linkteki bilgileri inceleyebilirsen (HTTP Policy Walk-through Procedure 3: Determine a Signature)
Bunlarla ilgili aydınlatırsan elimden geldiğince yardım etmeye çalışırım.
Umarım sorunu çözebilirsin.
Oncelikle cevap yazan arkadaslara tesekkurler yardimlari icin,
Simdi senin bana sordugun sorulara cevap vermeye calisayim.. benden onceki it'ci sadece portlarini kapatmisti bir tek msn live imza ile kapatilmisti.. isa server'in updatelerine gelince inan onlar hakkinda bir bilgim yok su anda, ancak ogrenince geri donup cevap verebilirim..
vermis oldugun linki inceliyorum su anda, tesekkurler..
Ben bir cevap vermeden önce
Sana sormak istediğm bazı seyler var.
1-bir senden önceki it ci sadece kullandığı portumu kapattı herkes için yoksa imzamı kullandı
2-isa server ın service packleri yüklümü bazı Hotfixler mevcut.
3-Bazı programlar surumden sürüme farklı imzaları kullanmaktadır onun için ethereal tarzı program kullanılablir
Bu http://technet.microsoft.com/tr-tr/library/cc302627(en-us).aspx bu linkteki bilgileri inceleyebilirsen (HTTP Policy Walk-through Procedure 3: Determine a Signature)
Bunlarla ilgili aydınlatırsan elimden geldiğince yardım etmeye çalışırım.
Umarım sorunu çözebilirsin.
1-Öncelikle İsa Sercer 2004 ün Arayüzünde İsa servernın ismi üzerinde özellikler deyip sistemin full yedeğini al.
2-Sonra bu linkten İsa server 2004 sp 3 indirip yükle. http://support.microsoft.com/kb/891024
3-Bu yüklemeden sonra Bilgisayarı yeniden başlatman gerekecek bakalım şimdi Skype ı kapamak için neler yapabileceğiz.Bazı yöntemler anlatıcam.
Öncelikle
Birinci yöntem
1-Firewall Policy nin toolbox Kısmını Kullanarak Skype Adında Protokol ekleyelim
Basamaklar ise
1-New Protocol deyip Skype ismi verelim
2-New protocol altında
1101/1102/1103/443/444 portları tek tek ekle
3-Sonra İse Deny kural oluştur bu protocolu İnternaldan external a olucak sekilde yasakla
4-Sonrada çalışıp çalışmadığını dene
Bu portlar kapalı olduğundan dolayı 80 üzerinden çıkabilir.
İkinci Yöntem
Firewall client üzerinden Engelemeyi deniyelim.
İsa server üzerinde General sekmesinde
Define FirewallClient Setting üzerinden
Yeni application ekliyerek yasaklıyabilirisn.Sonucen clientlar local admin bile olarak acılsa dahi firewall client yüklü olduğu için hale firewall client olarak harket edecektir.
sonra bu nu onaylayıp skype i dene
Üçüncü Yöntem
Skype Otantikasyon yapabilemek için Otantikasyon server ına bağlanması gerekmetedirki O da 80.160.91.11 İp sine sahiptir
Bir Domain name set Oluştur Skype adında ve add diyerek bu ip yi ekle ve ve tüm internaldan externala ulaşımı engelleyen bir kural oluşturup dene
Yada internal yerine spesifik isa kullanan bilsiayraı ekle yada (user eklemek a domain ortamı için olabilir )
80.160.91.11 ns14.inet.tele.dk
Server: ns14.inet.tele.dk
Address: 193.163.158.230
0-27.91.160.80.in-addr.arpa nameserver = ns1.pil.dk
0-27.91.160.80.in-addr.arpa nameserver = ns2.pil.dk
0-27.91.160.80.in-addr.arpa nameserver = ns3.pil.dk
No address (A) records available for 80.160.91.11
Dördüncü Yöntem
İsa serverda internal network üzerinde özelliklerinde windows integrates authentication ı aktif edersek skype ı durdurabilme olasılığımız var
Beşinci Yöntem
Configure http dieyerek izin verilen kural uzerinde skype için gerekli imzayı kullanmalıyız.Bu imzaların sürümden sürüme değiştiğini unutmayalım
Skype 2.0.0.69 its signature is : User-Agent = SkypeÖ 2.0
Bunu kulanılıclar hangi sürümü kullanıyorsa bu imzanın o sürüm için olanını kullanman gerkir
Altıncı yöntem
Ve AD ortanımda GPO kullanarl bunu engelliyebilirsin Skype.exe nin calışmasını engellicek kuralıu oluşturup bunu kullanıcılara force update kullanarak almasını sağlarsın .Yada local admin olralk giriş yapıp bunu engelle ve kullanıcıların hesaplarını policy ve rgistryde oynamıyacak şekilde yapılandır.
Not:Verdiğim portları bloaklarken kullanıcılara internete cıkması için izin veren kuralda bu imzayı kullan ve firewall client ta skype exe yi engelle
Not:Firewall clientta Skype yasaklasak dahi Kullanıcı skype222.exe gibi bir sey yaparsa skype ı genede çalıştırabilir.
Ha birde Bu sana imza oluşturmanda yardımcı olabilecğini düşünüom:)
Ohhhh.Bi kalemde çıktı Umarım sana yardımcı olur ve bi çözüm elde edersinVe sonucu burya hangi yöntemle hallettiğini anlatırsam geri dönüş herkese yararlı olur.
Riza abi,
cok guzel anlatmissin ancak su anda iki isi ayni anda yapmaktayim buna ayiracak cok zamanim yok bu kadar..bos waktim olursa hemen deneyecegim, bir an once sadece it islerine baksam dediklerini uygulayacagim, daha sonrada geri donecegim foruma merak etme..
yardimlarin icin cok tesekkurler, istersen mail adresimi yada msni verebilirim oradan da haberlesebiliriz,daha hizli ve ayrintili sekilde..
foruma tekrar giremezsem hepinizin yeni yili kutlu olsun..
tesekkurler, hepinize iyi calismalar..