Falamos em artigo anterior, “Controlando o Skype nas empresas”, das vantagens de usar mensagens instantâneas de forma controlada nas empresas. Mas além do Skype e do MSN, existem outros sistemas populares, usados principalmente para fins pessoais, que podem ser foco de dispersão. Dentre eles, os principais são o Google Talk e o chat do Facebook.

 

Hoje vamos falar como bloquear o Google Talk e o chat do Facebook sem bloquear o acesso ao Gmail e às páginas do Facebook.

 

 

Bloqueando o Chat do Facebook

 

Para impedir totalmente o uso do Facebook, basta em um servidor proxy, como o Winconnection, bloquear os endereços do Facebook: *.facebook.com*

 

Nem todo servidor proxy tem essa facilidade de usar “*” para indicar qualquer conjunto de caracteres. Nesse caso, é necessário indicar as várias possibilidades, como:

 

• .facebook.com

 

• .facebook.com.br

 

Mas se você quiser bloquear o chat do Facebook, mantendo o acesso às páginas, é preciso bloquear apenas o endereço do chat:

 

• *channel.facebook.com*

 

 

Bloqueando o Google Talk

 

O Google Talk utiliza o protocolo XMPP (Extensible Messaging and Presence Protocol) adotado também pelo Jabber e outros sistemas de mensagem instantânea.

 

Este protocolo usa as portas TCP 5222 e 5223 para se conectar ao servidor. Caso não consiga acesso a essas portas, utiliza os protocolos HTTP e HTTPS nas portas padrão 80 e 443.

 

Então, para bloquear o Google Talk é necessário:

 

• Bloquear no firewall os pacotes enviados para as portas 5222 e 5223.

 

• Bloquear no proxy HTTP/HTTPS os endereços usados pelo Google Talk:

 

• • *.talk.l.google.com

• • *.chatenabled.mail.google.com

• • *.talk.google.com

• • *.talkx.l.google.com

• • *.mail.google.com

 

 

O protocolo HTTPS é criptografado e, portanto, pela requisição não é possível descobrir a URL que está sendo acessada. O Winconnection verifica o endereço pelas informações contidas no certificado, mas ele nem sempre contém a informação completa. O Google, por exemplo, usa certificado na forma “*.google.com”. Sendo assim, para bloquear ou liberar endereços específicos, o Winconnection ou outro proxy não pode ser usado no modo proxy transparente. Traduzindo, as estações precisam apontar o proxy para o servidor Winconnection.

 

Não custa lembrar que não podemos simplesmente bloquear os acessos às portas 80 e 443, como fizemos com as portas 5222 e 5223.  Se assim fizéssemos, bloquearíamos o acesso à todas as páginas web.

 

Para entendermos melhor, é necessário saber a diferença entre um firewall e um proxy HTTP. O firewall age na camada IP e bloqueia ou libera os pacotes IP baseado nos endereços IP de origem e destino, pelo protocolo (TCP ou UDP) e pelas portas de origem e destino. Já o proxy HTTP/HTTPS trabalha com as URLs, ou seja, o endereço das páginas acessadas como, por exemplo, http://winconnection.winco.com.br .