Falamos em artigo anterior, “Controlando o Skype nas empresas”, das vantagens de usar mensagens instantâneas de forma controlada nas empresas. Mas além do Skype e do MSN, existem outros sistemas populares, usados principalmente para fins pessoais, que podem ser foco de dispersão. Dentre eles, os principais são o Google Talk e o chat do Facebook.
Hoje vamos falar como bloquear o Google Talk e o chat do Facebook sem bloquear o acesso ao Gmail e às páginas do Facebook.
Bloqueando o Chat do Facebook
Para impedir totalmente o uso do Facebook, basta em um servidor proxy, como o Winconnection, bloquear os endereços do Facebook: *.facebook.com*
Nem todo servidor proxy tem essa facilidade de usar “*” para indicar qualquer conjunto de caracteres. Nesse caso, é necessário indicar as várias possibilidades, como:
- .facebook.com
- .facebook.com.br
Mas se você quiser bloquear o chat do Facebook, mantendo o acesso às páginas, é preciso bloquear apenas o endereço do chat:
- *channel.facebook.com*
Bloqueando o Google Talk
O Google Talk utiliza o protocolo XMPP (Extensible Messaging and Presence Protocol) adotado também pelo Jabber e outros sistemas de mensagem instantânea.
Este protocolo usa as portas TCP 5222 e 5223 para se conectar ao servidor. Caso não consiga acesso a essas portas, utiliza os protocolos HTTP e HTTPS nas portas padrão 80 e 443.
Então, para bloquear o Google Talk é necessário:
- Bloquear no firewall os pacotes enviados para as portas 5222 e 5223.
- Bloquear no proxy HTTP/HTTPS os endereços usados pelo Google Talk:
-
- *.talk.l.google.com
-
- *.chatenabled.mail.google.com
-
- *.talk.google.com
-
- *.talkx.l.google.com
-
- *.mail.google.com
O protocolo HTTPS é criptografado e, portanto, pela requisição não é possível descobrir a URL que está sendo acessada. O Winconnection verifica o endereço pelas informações contidas no certificado, mas ele nem sempre contém a informação completa. O Google, por exemplo, usa certificado na forma “*.google.com”. Sendo assim, para bloquear ou liberar endereços específicos, o Winconnection ou outro proxy não pode ser usado no modo proxy transparente. Traduzindo, as estações precisam apontar o proxy para o servidor Winconnection.
Não custa lembrar que não podemos simplesmente bloquear os acessos às portas 80 e 443, como fizemos com as portas 5222 e 5223. Se assim fizéssemos, bloquearíamos o acesso à todas as páginas web.
Para entendermos melhor, é necessário saber a diferença entre um firewall e um proxy HTTP. O firewall age na camada IP e bloqueia ou libera os pacotes IP baseado nos endereços IP de origem e destino, pelo protocolo (TCP ou UDP) e pelas portas de origem e destino. Já o proxy HTTP/HTTPS trabalha com as URLs, ou seja, o endereço das páginas acessadas como, por exemplo, http://winconnection.winco.com.br .
Quer melhorar a segurança digital da sua empresa?
- Winco Firewall – Solução completa UTM com Filtro de Conteúdo.
- Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
- Connectas Cloud – Disponibilize acesso seguro e controlado para os colaboradores externos.
- Winco DDNS – Acesse facilmente na internet suas câmeras, computadores e outros dispositivos.