В общем так:
1. Обрубаем все так, что бы пользователи никуда не ходили кроме как через проксю.
2. Запрещает на проксе Content-type: AIM/HTTP. Это можно сдлеать и на сквиде и на isa. Что-то подобное реализованно в последней рульке, но боюсь будет много фэлсов, так что её лучше обрубить.
Это даст нам счастие в виде запрета хождения аси по http.
3. Юзаем рульки снорта приведенные ниже. Рульки сильно не тестировались, по идее можно было прикрутить http препроцессор, но не делал ибо лень. За пиво могу напрячься
.
Первая и вторая меня радуют тем что отслеживают трафик клиента, а представить себе браузер, который всякую фигню бает типа <key></key> шлёт тяжко....
Юзался софт
icq lite (свежий софсем)
ms netmon 2.5
1.9 какой-то сонорт.
+ мануал "Как писать правила для снорта и остаться в здавом уме" aka "how 2 write snort rules & keep your sanity"
# icq.rules
# snort rules for ICQ http/https tunnels
# ©ded by asu4ka 2003.
# v 0.0.0.1
var PR_IP 192.168.200.12
var PR_TCP 8080
alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS/HTTP _basic_, mf!";\
flow: to_server, established; content: "ICQBasic";)
alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS _key_, mf!";\
flow: to_server, established; content: "<key>"; content: "</key>"; nocase;)
alert tcp $PR_IP $PR_TCP -> any any (msg: "ICQ HTTP _aim/http_, mf!";\
flow: from_server,established; content: "AIM/HTTP"; nocase;)
