[转载]通过ISA2004禁止使用POPO

金州

智囊团成员

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T智囊团成员

帖子: 1243
精华: 8
积分: 6153
阅读权限: 150
性别: 男
在线时间: 593 小时
注册时间: 2005-3-18
最后登录: 2008-6-6

原创技术奖

发短消息
加为好友
当前离线

楼主大中小发表于 2006-2-4 09:24 只看该作者

[转载]通过ISA2004禁止使用POPO

信息来源：windows 中文站

POPO登陆服务器时所使用的协议
通过测试分析，可知POPO使用HTTP、HTTPS两种方式登陆服务器

考虑禁止方法
1．禁止访问POPO服务器
2．使用HTTP筛选，禁止通过HTTP代理使用POPO

测试步骤：
1．查找POPO 服务器的IP地址
建立一条访问策略“Allow Internal”允许All Users访问外部，仅允许协议DNS外出访问，此时，将测试机MyComputer设为SecureNAT客户端，在ISA管理控制台中启用Logging筛选来自Mycomputer的信息，在MyComputer上登陆POPO，失败；
在Logging中查看POPO 服务器的IP地址并记录

通过实验得到的POPO IP集合如下：
POPO服务器地址

引用:

220.181.28.217
220.181.28.219
220.181.28.224
220.181.28.228
220.181.28.230
220.181.28.231
220.181.28.232
220.181.28.238

2．禁止Popo Server Set的情况下，测试登陆情况；

(1)修改策略“Allow Interal”，在其中添加HTTP、HTTPS协议；

(2)新建计算机集”POPO Server”，将帖子POPO Server的IP地址添加进去；新建一条访问策略“Deny Popo Server”，禁止All Users访问POPO Server，协议All Outbound Traffic，并放在上一条策略“Allow Internal”之前

在测试机MyComputer上登陆POPO，如果登陆仍能登录成功，在Logging中查看POPO 服务器的IP并添加到POPO Server中，直至完全无法登录。

3．测试使用Http代理服务器登陆

在公网上查找一台可用的匿名HTTP的代理服务器(80端口)，在MyComputer上设置POPO通过此HTTP代理服务器登陆，成功登录

此时，用Sniffer分析数据包，发现POPO登陆使用了CONNECT方法，以及签名中包含202.181.28.*的URL Request

4．在HTTP筛选中禁止CONNECT方法，或在签名中禁止URL Request 202.181.28，再次登陆，失败

至此，在相对严格的条件限制下(只开放常用的HTTP、HTTPS以及DNS)，POPO 已经无法登陆

人情如冰六月寒，花做一份艳，为谁笑人间？如果任何人发现我转载的有图像的文章中图像失效或者文章有问题，请及时短消息通知我。先谢谢。：：）） coup de foudre

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 专题安全方向{ Security Research Papers } » 防火墙[ Firewall ] » [转载]通过ISA2004禁止使用POPO