In che modo posso bloccare i miei client IM (messaggistica istantanea) prima del mio gateway?

Sfortunatamente, tentare di bloccare l'IM utilizzando un comune firewall per gateway richiede molto tempo e rischiate di ottenere scarsi risultati: molte applicazioni IM vengono infatti progettate in modo tale da aggirare l'ostacolo rappresentato dal firewall.

Sebbene le applicazioni IM e P2P utilizzino tipicamente una porta ben pubblicizzata, molte di esse hanno la capacità di sfruttare qualsiasi porta aperta su un firewall (crawling delle porte). Questo permetterà loro, per esempio, di aprire un passaggio attraverso la porta 80 che deve rimanere aperta per il traffico HTTP. Una volta inseritosi nel traffico HTTP, il traffico IM è virtualmente indistinguibile dal normale traffico Web. L'Instant Messenger di AOL (AIM) può, per esempio, comunicare su molte porte comunemente utilizzate, come l'80 e la 21 (FTP). Questo significa che bloccare una porta di default dell'applicazione IM non serve a nulla.

La continua evoluzione dei protocolli IM permette nuove e più avanzate funzionalità. Le autenticazioni del protocollo firewall non vengono aggiornate nello stesso momento, quindi la natura sincrona delle connessioni in tempo reale implica che molti firewall non possano provvedere all'ispezione e all'analisi del traffico di comunicazione senza avere un impatto sulle performance di rete.

Un altro problema è che i network provider possiedono i loro set d'indirizzi IP ai quali si possono connettere i loro clienti e questi indirizzi IP cambiano molto di frequente o vengono assegnati casualmente; di conseguenza, non si può sapere quale indirizzo IP definire sul firewall per il blocco.

Se si ha bisogno di monitorare e controllare il traffico IM attraverso un'intera rete, bisogna considerare l'uso di un firewall sul layer delle applicazioni, come il Firewall IOS di Cisco che controlla il traffico da e verso una lista di nomi di host del server di messaggistica istantanea definita dall'utente. Si può anche provare ad utilizzare uno specifico gateway mirato all'individuazione degli usi IM e P2P, come l'IM Guardian RTG500 di FaceTime Communications o l'L7 Enterprise di Akonix Systems, un software gateway proxy che permette di controllare e rendere sicuri gli accessi all'IM pubblico.

Questi prodotti permettono di definire delle policy di controllo degli accessi, di rafforzare la cifratura, di porre dei limiti su chi deve poter comunicare e con chi e di richiedere una versione minima del client e dei nomi di videata standardizzati. Se si vuole ridurre il numero di coloro che tentano d'introdursi sotto falsa identità e lo spam IM, si può utilizzare una convenzione standard per l'assegnazione di nomi IM che contenga il nome della vostra organizzazione. Bisognerebbe anche assicurarsi che gli utenti della rete scelgano una diversa password per l'account IM e per l'accesso alla loro rete e fargli sapere che per nessun motivo potranno essergli richieste via IM informazioni su quella password e quella userID dall'ufficio che si occupa dei sistemi informativi.

Se si vogliono semplicemente porre dei limiti a chi ci può contattare via IM, la maggior parte dei programmi IM permettono di creare una lista di contatti, simile alla rubrica di un programma per la gestione della posta elettronica. Si possono bloccare i messaggi in entrata che arrivano da mittenti non appartenenti alla vostra lista dei contatti e porre delle restrizioni a chi può inserirvi alla loro lista.

Stampa Invia un commento Invia questo articolo