Em mới được giao nhiệm vụ nghiên cứu và triển khai việc ngăn chặn tệ nạn chát IM trong giờ làm việc tại cơ quan.
Cơ quan em có ISA 2004 rồi em cũng đã cấu hình chặn các port 5000-5050 nhưng không được
anh nào thực hiện thành công rồi chia sẽ cho em ít kinh nghiệm
cám ơn rất nhiều

bạn search các server chat của yahoo xong rồi chặn theo kiểu destination xem
vì theo mình biết YM dùng rất nhiều cổng để chat nên ngăn chặn theo port sẽ rất khó khăn.
nếu thành công thì chia sẽ kinh nghiệm nhé

Theo mình thấy có nhiều cách chặn: Mình chỉ biết có hai cáh thôi.
Thứ nhất là chặn qua Port, cách này chắc các bạn cũng đã biết rồi
Thứ hai chặn qua Fillter HTTP, giới hạn Protocol truy cập chỉ qua 3 Protocol là DNS, HTTP, HTTPS, vậy là chặn được IM rồi.
Hình như cổng IM bạn đưc ra còn thiếu hai cổng nữa.
Thân

mình không nhớ chính xác ,nhưng có thề là :
firewall policy\new.......>>protocol là instant mesege hoặc IM thì phải.
một số tài liệu config ISA có chỉ cụ thể đó,bạn tìm thử xem.

Hiện tại các IM đã cải tiến rất nhiều tuy nhiên vẫn có những đặc điểm chung sau:
-IM không sử dụng port cố định trên TCP/IP nữa.
-IM có thể sử dụng Web Proxies
-IM sử dụng tất cả các phương thức có thể để kết nối đến server.
Ví dụ: Yahoo Messenger có thể ra kết nối đến server của mình bằng nhiều cách như: No Proxies, Use Proxies, Firewall with no proxies…

Các cách ngăn chặn IM
Căn cứ trên một số đặt điểm chung, Chúng ta có thể đưa ra một số cách ngăn chặn như sau:
-Chặn những kết nối thông qua proxies đến các website của IM
vd: Yahoo Messenger: *.msg.yahoo.com
-Sử dụng chương trình cài trực tiếp trên máy người dùng để chặn như: IMLock, TerminatorX
-Chặn không cho máy trạm kết nối đến máy IM server bằng Ip address
-Chặn Port cụ thể trên Tcp/Udp như: yahoo messenger 5050,5100…( cách xử lý này không hiệu quả lắm).

Trong ISA bạn có để rule là allow all ko? Tại vì mặc định ISA đã deny all rồi nên ta ko cần phải chặn. Còn nếu bạn để rule allow all, thì bạn vào trong monitor xem lúc mà đăng nhập vào yahoo thì nó sẽ hỏi những service nào thì bạn disable nó!

Em mới được giao nhiệm vụ nghiên cứu và triển khai việc ngăn chặn tệ nạn chát IM trong giờ làm việc tại cơ quan.
Cơ quan em có ISA 2004 rồi em cũng đã cấu hình chặn các port 5000-5050 nhưng không được
anh nào thực hiện thành công rồi chia sẽ cho em ít kinh nghiệm
cám ơn rất nhiều

Trong cơ quan của bạn để chặn IM rất đơn giản. Bạn hãy chặn tất cả các cổng lại chỉ mở cổng 80(web) cổng 25(pop3) cổng 110(smtp) sau đó là chặn tất cả các web có yahoo lại. Thế là ok thôi, vì yahoo sử dụng rất nhiều cổng để kết nối nếu chăn vài cổng hì ko đủ đâu. Mình vẫn làm theo cách này tại cơ quan rất hiệu quả bạn thử xem nhé

Trong cơ quan của bạn để chặn IM rất đơn giản. Bạn hãy chặn tất cả các cổng lại chỉ mở cổng 80(web) cổng 25(pop3) cổng 110(smtp) sau đó là chặn tất cả các web có yahoo lại.
Nếu chặn kiểu giết nhầm còn hơn bỏ sót thế này thì không ổn vì còn nhiều dịch vụ khác chứ đâu phải mình email đâu mà mở cổng 25 và 110 ví dụ như google pop mail 995, 445 rồi VOIP, DNS.......
Mọi người load cái Xml này về xong import vào cái Address Range sau đó block những người cần block đến các các destionation có trong range vừa import thế là xong ( từ YM1--->hết )
chúc thành công

Mình có tài liệu này bạn tham khảo thử nha

Mình có tài liệu này bạn tham khảo thử nha
tài liệu của tamnt rất hay. Tuy nhiên các giải pháp 1 triển khai hơi phức tạp 1 chút vì phải cài firewall client.

Nếu chặn kiểu giết nhầm còn hơn bỏ sót thế này thì không ổn vì còn nhiều dịch vụ khác chứ đâu phải mình email đâu mà mở cổng 25 và 110 ví dụ như google pop mail 995, 445 rồi VOIP, DNS.......
Mọi người load cái Xml này về xong import vào cái Address Range sau đó block những người cần block đến các các destionation có trong range vừa import thế là xong ( từ YM1--->hết )
chúc thành công

Pass là j bác ơi:mad:

pass mặc định cho tất cả các file nén trên diễn đàn là địa chỉ của diễn đàn luôn http://www.adminviet.net

Thanks, mình sẽ thử làm xem sao!
Ai có cách nào thì hãy post lên nữa đi!

Nếu chặn kiểu giết nhầm còn hơn bỏ sót thế này thì không ổn vì còn nhiều dịch vụ khác chứ đâu phải mình email đâu mà mở cổng 25 và 110 ví dụ như google pop mail 995, 445 rồi VOIP, DNS.......
Mọi người load cái Xml này về xong import vào cái Address Range sau đó block những người cần block đến các các destionation có trong range vừa import thế là xong ( từ YM1--->hết )
chúc thành công

Hi,

Mình đã dùng pass: http://www.adminviet.net
nhưng vẫn ko giải nén được, nó báo sai pass.
Giúp mình với
Cám ơn nhiều :)

pass mặc định cho tất cả các file nén trên diễn đàn là địa chỉ của diễn đàn luôn http://www.adminviet.net
Nhưng riêng cái này password chỉ là : adminviet.net thôi :D

thank for sharing

Chặn YM rất đơn giản không cần phải vất vả theo mấy cách ở trên đâu các bác:

Vao Tool box, vao Address Ranges: add 1 dải địa chỉ từ: 216.155.192.0 --> 216.155.255.255 đặt tên là Yahoo.
Sau đó add 1 deny rule: block all Protocol, from all network to Yahoo (vừa tạo)

Chặn YM rất đơn giản không cần phải vất vả theo mấy cách ở trên đâu các bác:

Vao Tool box, vao Address Ranges: add 1 dải địa chỉ từ: 216.155.192.0 --> 216.155.255.255 đặt tên là Yahoo.
Sau đó add 1 deny rule: block all Protocol, from all network to Yahoo (vừa tạo)
sợ có dính vào các dịch vụ khác của yahoo không như blog hoặc email chẳng hạn?

Không, minh đang chạy. Mail và blog vẫn chạy ngon lành. Đây chỉ là dải server mà bọn Yahoo dùng để chạy YM thôi.

Thực tế cho thấy bạn không dùng ISA ngăn được thằng Y!M đâu. Mình cũng đã từng cố chặn nhưng không được.
Bản chất Y!M bây giờ được cải tiến rất thông minh, nó tự tìm đến các cổng ta không chặn để truyền dữ liện. Còn nếu có bạn nào bảo chặn http, https thì có lẽ ta rút mạng Internet luôn là OK nhất. Hihi


Tuy nhiên nếu các Client được join vào Domain thì khả thi hơn bởi trong Policy có chính sách chặn software được chạy từ một nơi nhất định nên bạn có thể tìm yahoo.exe và không cho nó hoạt động. Kết hợp với chặn truy cập Y!M qua Web là OK

theo mình bạn nên chặn các trang login của yahoo là đủ. Login vào yahoo chat IM rồi dùng lệnh netstat là biết trang login của yahoo.Thân

Rất cảm ơn, để test xem ok ko nhé !

Muôn nẻo đường chat 'chui'
Với những ai đồng nghĩa khái niệm online với Yahoo Messenger hoặc tuyên bố "tôi online là tôi tồn tại", việc bị cấm sử dụng dịch vụ chat này trong giờ làm việc chẳng khác gì "thảm họa" và sẽ tìm mọi cách để không bị "cô lập với thế giới".
> Không cài phần mềm vẫn 'chat' được Yahoo Messenger (http://vnexpress.net/GL/Vi-tinh/2006/08/3B9EC9E3/)

Từ khi chuyển sang công ty mới, Tuấn, một cựu sinh viên Đại học Kiến trúc Hà Nội, liên tục bị bạn bè trách "dạo này mất tích đâu mà không vào mạng?" dù hằng ngày cậu vẫn lướt web và chơi game trực tuyến như xưa. Đơn giản vì cậu không thể đăng nhập được vào Yahoo Messenger (YM). "Về sau, mình phát hiện ở công ty, quản trị mạng chỉ sử dụng ISA proxy để chặn nên mình mở Tools -> Internet Option -> Advanced và thay đổi một vài lựa chọn, sau đó vào Yahoo Messenger kích hoạt HTML proxy là có thể nói chuyện với bạn bè như bình thường", Tuấn chia sẻ.
http://vnexpress.net/Files/Subject/3B/A0/24/C2/YM1.jpgThay đổi lựa chọn trong Yahoo Messenger và Internet Options.
Tuy nhiên, nếu công ty cấm vào YM bằng cách cài firewall thì người dùng sẽ phải nhờ các "cao thủ" tìm cách vượt qua tường lửa hoặc tìm đến một số giải pháp khác.
Các dịch vụ liên thông với YM
"Bao năm gắn bó với Yahoo Mail và Messenger, tôi, bạn bè và thậm chí cả đối tác đã quá quen với việc trao đổi thông tin qua những tiện ích đó. Bởi thế, khi công ty chỉ cho phép dùng chương trình Skype, chỉ một vài người bạn thân của tôi chịu cài thêm phần mềm này trên máy. Nhưng mỗi khi cần, tôi vẫn phải nhắn tin SMS để nhắc nhở thì họ mới đăng nhập", Liên, đang làm tại một công ty tư vấn du lịch trên phố Cửa Bắc (Hà Nội), cho hay. "Sau một thời gian dài chịu cảnh 'một mảnh tình riêng ta với ta', tôi chuyển sang MSN Messenger khi biết người sử dụng dịch vụ của Microsoft đã có thể chat với các nick YM".
http://vnexpress.net/Files/Subject/3B/A0/24/C2/YM2.jpgMời bạn bè bên Yahoo Messenger vào danh sách của Windows Live Messenger.
Tháng 7/2006, với tham vọng tạo ra một cộng đồng sử dụng IM lớn nhất thế giới, hai nhà cung cấp phần mềm tin nhắn nhanh Yahoo và Microsoft đã quyết định "kết nhịp cầu duyên" cho gần 350 triệu tài khoản Windows Live Messenger và Yahoo Messenger.
Ngoài ra, mọi người có thể dùng thử hai ứng dụng IM đa giao thức là Trillian và Pidgin. Trillian, xuất hiện năm 2002, có thể kết nối các dịch vụ tin nhắn nhanh nổi tiếng lại với nhau, như AIM, ICQ, Windows Live Messenger, Yahoo Messenger, Jabber và Skype. Tương tự, Pidgin, còn gọi là Gaim, cho phép đăng nhập vào nhiều tiện ích chat, trong đó có YM, trên một nền tảng duy nhất. (Tuy nhiên, khi chặn YM, một số quản trị mạng cũng chặn luôn cả hai chương trình này).
Dùng YM qua thiết bị di động
Nếu lỡ quên laptop thì dù có sắp muộn giờ làm, Hải, lập trình viên tại một công ty phần mềm Mỹ, cũng phải vội vã quay về nhà lấy. Tuy không bị cấm chat, mọi hoạt động trên máy tính ở công ty đều được ghi lại nên Hải thấy thiếu thoải mái khi vào blog hoặc nói chuyện với bạn gái, chưa kể thi thoảng anh còn bị khiển trách vì làm việc riêng trong giờ. Mang theo máy tính xách tay và truy cập Internet qua kết nối Wi-Fi "chùa" từ tòa nhà kế bên, Hải có thể tự do mở bất cứ trang web nào mà không cảm thấy bức bối.
http://vnexpress.net/Files/Subject/3B/A0/24/C2/YM3.jpgDùng IM+ trên PPC. Ảnh: ShapeServices.
Nếu không chat được trên máy tính, người ta có thể sắm thiết bị cầm tay Pocket PC, cài phần mềm IM+ (hỗ trợ AIM/iChat, MSN/Live Messenger, YM, ICQ, Jabber, Google Talk và MySpace) rồi đăng ký tài khoản GPRS với nhà cung cấp dịch vụ di động là có thể tán gẫu cả ngày. "Cước phí cũng chỉ vài chục nghìn mỗi tháng mà thôi", Hải khẳng định.
Chat qua Yahoo Mail
Suốt hai tháng tham gia khóa đào tạo ngắn hạn ở Đức, Minh, sinh viên Phân viện báo chí và tuyên truyền, bó tay trước chiếc máy tính "lạnh lẽo" bởi cô không được cấp quyền tải bất cứ một phần mềm nào. Trong một lần gửi thư than thở với bạn, cô phát hiện Yahoo Mail có tích hợp tính năng chat. Tuy còn hoạt động thô sơ, như ít biểu tượng thể hiện sắc thái tình cảm (emoticon), không thể trao đổi file... nhưng với Minh, như thế đã là hạnh phúc lắm rồi.
http://vnexpress.net/Files/Subject/3B/A0/24/C2/YM4.jpgChat trong Yahoo Mail.
Yahoo là công ty thứ hai đưa công cụ tin nhắn nhanh vào thư điện tử sau Google. Khi hãng dịch vụ tìm kiếm bổ sung Google Talk trong Gmail, giới phân tích đã nhận định việc Yahoo và Microsoft thực hiện động thái tương tự chỉ còn là vấn đề thời gian.
Sử dụng dịch vụ webchat
Với xu hướng đưa phần mềm cài trong máy lên mạng, mọi người không khó để tìm ra các trang webchat cho phép kết nối vào Yahoo Messenger, MSN Messenger, AIM... nhanh chóng và thuận tiện. Điểm tích cực của kiểu dịch vụ này là mọi cửa sổ hội thoại nhỏ đều được hiển thị chung trên cùng một cửa sổ trình duyệt lớn, nhờ đó người dùng có thể nói chuyện một cách kín đáo hơn.
http://vnexpress.net/Files/Subject/3B/A0/24/C2/YM5.jpgCác cửa sổ chat của Meebo.
"Có một loạt địa chỉ webchat trực tuyến như Meebo.com, eBuddy.com, ILoveIM.com, messenger.yahoo.com, IMhaha.com... nhưng tôi mới chỉ dùng thử Meebo và Web Messenger của Yahoo do lo ngại bị mất mật khẩu khi đăng nhập vào những site không rõ nguồn gốc", Tuấn nói.
Tuấn cho rằng cấm chat trong giờ làm việc không phải là giải pháp tối ưu bởi nhân viên sớm muộn cũng sẽ nghĩ ra cách để trò chuyện với bạn bè. "Một anh bạn của tôi đã lập tài khoản Remote Desktop trực tuyến. Bởi thế, dù công ty chỉ cho phép dùng hòm thư nội bộ, cấm cài mọi phần mềm tin nhắn nhanh, thậm chí chặn cả các website hỗ trợ chat thì anh này vẫn ung dung truy cập máy tính ở nhà từ xa và đăng nhập Yahoo Mail cũng như Yahoo Messenger như thường", Tuấn kể. "Do đó, các công ty cũng nên khuyến khích nhân viên 'chat trong khuôn khổ' thay vì cấm đoán tạo tâm lý ức chế".

anh em cập nhật thêm mấy trang nêu trên vào denied destination trong ISA cho "chúng nó" chết nhá :)

Thực ra chặn chat yahoo hay các IM cũng khá đơn giản với ISA 2k4 hay 2k6. Nếu chặn port 80 hay các dải IP của yahoo thì sẽ có trường hợp là ta giết nhầm các trang dịch vụ khác của thằng Yahoo.
Tại đơn vị của em, em sử dụng ISA 2004 chặn thằng Yahoo IM như sau:
- Tạo cái rule cho di Internet bình thường (protocol https, http,...) có tên là Internet ko chơi Yahoo IM
- Mở phải chuột cái rule Internet ko chơi Yahoo IM chọn configure HTTP, chọn tiếp tab Signature.
- Trong tab Signature, đặt tên cho phần Name tùy ý, phần Signature Search Criteria chọn Request Headers trong Search in. Phần HTTP Header gõ vào Host: (có dấu : nha)
- Phần Signature, gõ msg.yahoo.com
- OK cho đến khi văng ra, apply rule.
- Cho thử 1 máy đăng nhập yahoo IM thử, bảo đảm ko đăng nhập được.

Cách này có thể chặn các trình chat IM, Torrent,.... Có thể tham khảo application filter in ISA 2004 ở google.
Trong cái HTTP filter này ta có thể chặn tè le hột me hết, từ chặn giao thức POST, download 1 loại file nào đó,....

Quangnw có thể hướng dẫn chi tiết cách chặn torren đc không, mình đang bí vấn đề này

Thằng torrent này nó hơi ác, port nào nó cũng chơi hết (em đang chạy Bitcomet ở port 23). Nên muốn chặn nó thì hơi khó, em chỉ mới biết chặn không cho download file .torrent về máy tính thôi còn chặn không cho download file bằng giao thức dùng torrent với ISA thì bó chiếu.
Để chặn download file torrent thì anh chọn Extensions thay vì chọn Signature.
Chọn Block specified extensions (allow all others) trong Specify the action taken for file extensions
Nhấn Add, rồi gõ .torrent vào, OK tới khi văng ra, apply rule.
--> Tới đây file torrent là không down được nữa rồi.
Kết hợp thêm policy Don't run specified application (add các chương trình chạy giao thức torrent vào). --> Làm trên Domain Security Policy
Nếu không được thì chạy cái policy bằng cơm như sau: Ai mà down torrent, tui méc sếp :D bằng Remote Desktop (VNC,...)

vậy là theo hateu we pó chân trước các hiểm hoạ cho mọi nhân viên chat hả, khó nhỉ, thây các bác cứ dùng cái này dùng cái nọ, kô bít theo ai đây nữa, bác ác min đâu hèo, kết lại cho tụi e 1 cái...nên dùg thằng nào đây...cúc cu ác-min!

vậy là theo hateu we pó chân trước các hiểm hoạ cho mọi nhân viên chat hả, khó nhỉ, thây các bác cứ dùng cái này dùng cái nọ, kô bít theo ai đây nữa, bác ác min đâu hèo, kết lại cho tụi e 1 cái...nên dùg thằng nào đây...cúc cu ác-min!
Cái chuyện cấm và chui rào như là 1 cuộc chiến, vì vậy phải liên tục cập nhật và nghe ngóng trong hệ thống của bạn để có những phản ứng tích cực, các trao đổi của các bạn phía trên đều có những ưu điểm và nhược điểm riêng, tôi cũng đã thử tất cả các cách trên rồi thấy rất ổn, tùy bạn chọn cái nào để áp dụng thôi

úi giời các bác chặn chát bằng giời chặn yahoo thì nhân viên lại vào web để chát muốn chặn không cho chat trừ khi không có mạng ;))

@chungcmc: bạn chạy policy: Ai chat tui méc sếp trừ lương :D là có hiệu lực ngay. VNC hay remote máy user để biết, nhưng mà vậy thì user lại ghét mấy "thằng Admin" lắm lắm. Nói chung chặn này chặn nọ không hiệu quả bằng sự tự giác của user :D
Không có mạng Internet vậy sao cty hoạt động được hả bạn? :)

hehe, có nghĩa là tự giác thôi fải hôg bác Quang, thôi thì mình hôg chịu được thì fải chịu người, hehe, nói theo bác alika thì we fải chiến đấu đến hơi thở cuối cùng thôi... gắg lên a e!

Tôi thấy thuphục nhân tam là quan trọng.
Vế phương diện kỹ thuật rõ ràng Admin<>user là không cân sức.Và thế nào là một giải pháp hoàn hảo thì cghưa có câu trả lời.

Chỗ công ty mình ko dùng ISA, nhưng dùng SWS cũng ok lắm, đầu tiên là ko cho user quyền cài đặt, sau đó dùng SWS chặn mấy địa chỉ chat, địa chỉ download YM là xong!

Vấn đề này làm đơn giản thôi bạn à ! Mình cũng đã từng tham khảo rất nhiều nguồn , nhưng mọi người chỉ dẫn chung chung quá, không có biện pháp nào cụ thể
CHo tới khi mình làm ra đc kết quả như sau :

Hệ thống mình gồm 50 máy ( công ty www.genopen.com), Có 2 DC, 1 ISA SRV ( 2 card mạng) , các máy trạm đã join DC ròi,
- Mặc định cài ISA thì DENY tất cả. CHo đến khi bạn đã tạo RULE cho truy xuất ra net
Giả sử bạn đã tạo cái RULE đó.
Vậy thì lúc này YAHOO chat OK --> Để chặn Chat ta hãy bật chức năng PROXY cho mạng lên :VÀO CONFIGURATION ---> NETWORKS--> CHỌN INTERNAL --> PROPERTISE --> Click tab WEB PROXY --> Chọn ENABLE Web Proxy client connections for this network , Chọn ENABLE HTTP , tùy chọn PORT -- OK
Như vậy tới đây YAHOO đã không thể chat đc nữa . Nhưng Nếu CLIENT nào Biết cách chỉnh lại Proxy trong yahoo thì vãn vào đc.
vậy thì ta phải làm như thế nào để chặn tiếp nhỉ >? ĐƠN GIẢN THÔI !
Để tiếp tục chặn ta làm như sau :
- Lúc trước bạn đã tạo cái RULE để cho phép Mạng LAN truy xuất ra NET rồi đúng không ? ta hãy CLICK Phải chuột lên rule đó , chọn CONFIG HTTP ----> Chọn Thẻ SIGNATURES ---> Chọn ADD -->
--. Mục Name: Chặn chat yahoo ( hoặc tùy ý)
-- mục Search In : chọn Request Headers
--- HTTP HEADER : điền chữ HOST: ( có dấu ":" đằng sau nhé)
--- SIGNATURE : điền vào " msg.yahoo.com"
-----> OK
------> Xuống máy trạm ta login thử yahoo mà xem ! LOGIN --> LOG OUT luôn 1
Đây là cách mà mình đang áp dụng cho cty mình, rất OK luôn. CHúc các bạn thành công !
NHân đây cho mình hỏi luôn :
Khi cài ISA lên thì hệ thống LAN bị cấm truy cập ra ngoài nhưng mình đã lỡ dùng 1 máy CLient để truy xuất FTP của khách và bị chặn lại. Mình nhớ ra là chưa tạo rule truy xuất FTP nên mình lên ISA SERVER tạo RULE cho phép FTP ra ngoài. nhưng khi mình quay lại cái máy tính lúc nãy để truy cập vàp FTP khách hàng thì xảy ra lỗi : CONNECT thành công nhưng lại bị CLOSE kết nối ngay sau đó. Còn các máy khác thì đã FTP bình thường
vậy ISA căn cứ vào đâu để ko cho client kia truy xuất FTP nhỉ ??
và lỗi như trên là như thế nào. Mình đã tìm hiểu nhưng đến nay chưa có cách giải quyết . BẠN nào biết chỉ mình với.
Thanks !