即时通讯安全建议
许多组织或机构认为他们可以通过简单地阻止本地IM端口来阻止其防火墙上的IM流量。 但是,如果他们的本地端口关闭,最流行的即时通讯应用程序是“端口敏捷”,能够找到其他开放端口并通过不同的端口隧道化流量。 除非组织准备关闭所有用户对Internet的访问,否则很难阻止IM使用。
考虑到国内QQ,微信的漏洞分析可能会起到误导作用,所以对他们的的漏洞这里不做具体分析,但不是说他们的漏洞是不存在的。这里分析三种最国外的IM客户端:
MSN Messenger - 用户必须登录到集中服务才能找到其他用户。 建立连接后,用户将以对等方式直接互相发送消息。 MSN Messenger的默认IP端口为1863,但客户端为'port-agile',并且如果端口被阻止,它将查找其他开放端口 - 接下来将锁定HTTP端口80. MSN Messenger支持HTTP代理,但不支持HTTP代理 支持HTTP代理认证。 请注意,文件传输通过TCP端口6891进行,通过UDP端口13324和13325进行音频会议和视频会议,应用程序共享通常是TCP端口1503。
Yahoo Instant Messenger - 用户登录到集中式Yahoo即时通讯服务以查找其他用户。 一旦通过身份验证和在线,用户可以选择直接或通过共享聊天室互相发送消息。 Yahoo Instant Messenger的默认端口为5050,但客户端为'port-agile',如果端口被阻止,它将查找其他开放端口 - 接下来定位HTTP端口80.就像MSN Messenger一样,客户端支持HTTP 代理,但不是HTTP代理身份验证。 请注意,文件传输和文件共享通常通过TCP端口4443完成。
AOL Instant Messenger(AIM) - 用户登录AOL实时通信开放系统(OSCAR),然后开始与基本OSCAR服务(BOS)进行通信,以查找并向其他用户发送消息。 这些消息在转发给收件人之前先通过服务器。 文件传输,语音流量和其他大型数字有效载荷以点对点模式进行 - 即发起IM客户端通过该服务发送其IP地址和开放端口,以便远程客户端可以连接到该端口。 AIM客户端的默认端口为5190,如果端口被阻止,'port-agile'软件将尝试通过端口23(telnet),20&21(FTP)和80(HTTP)进行通信。 另外,用户可以选择通过SOCKS v4 / v5,一个HTTP代理或HTTPS代理。 但是,在通过HTTPS代理连接进行隧道传输时,AIM不会使用SSL来加密通信。
一些第三方解决方案提供了以下功能:
定义特定的服务 - 允许组织将用户和活动限制为特定的IM协议。
阻止特定功能 - 允许组织选择可用的IM功能(例如,点对点文件传输,允许/拒绝访问聊天室访问等)
记录访问和通信 - 使组织能够记录所有消息流量并链接回特定用户。
按类别屏蔽 - 提供按特定用户,群组,地点和时段管理使用情况的功能。
根据即时通讯在组织中的作用,确保组织免受未经授权的IM客户端和流量激增的过程并不容易完成,并且必须通过多层安全,教育和策略来解决。 如上所述,阻止IM客户端的本地端口是不够的。 企业必须评估他们是否需要在其组织内部使用IM功能,并采取适当的安全对策。