Como bloquear o SKYPE quando estiver usando as portas 80 e 443?

2

Como bloquear o SKYPE quando ele estiver usando a porta 80 & 443 em uma rede. (melhor se eu puder fazer isso usando o ISA 2006 e sem desativar a web) Eu sei que se os usuários não puderem instalar o Skype, eles não poderão usá-lo. Então sem isso?

    
por Thilina 28.09.2011 / 17:38

4 respostas

6

A) Use o software de lista negra ou configure políticas no AD para bloquear o executável do Skype.

B) Use um firewall que possa fazer a inspeção profunda de pacotes e bloquear o tráfego.

C) Use seu servidor DNS para envenenar intencionalmente as solicitações para o skype.com e seus servidores associados, para evitar que o Skype se conecte.

D) Use programas de auditoria de software e periodicamente obtenha um relatório que lhe dirá quem tem skype instalado e, por meio da política da empresa, lembre-os de que é uma ofensa se instalar repetidamente software em computadores da empresa.

E) Remova privilégios para usuários que permitem a instalação de software sem acesso administrativo.

    
por 28.09.2011 / 18:14
2

Um breve resumo das coisas que funcionaram e que provavelmente funcionarão agora. Tudo isso exigirá que você tenha alguma forma de servidor proxy, mas provavelmente funcionará com um proxy Squid transparente. Eles podem trabalhar com o ISA 2006, mas eu nunca usei, então não faço promessas.

  • As versões mais antigas usavam uma string do User-Agent, incluindo "skype", portanto, o bloqueio poderia funcionar. Versões mais recentes não incluem o User-Agent, porque ele estava sendo usado para bloquear.
  • Versões mais antigas conectadas usando endereços IP em vez de nomes. As versões mais recentes aparentemente usam nomes, porque as pessoas estavam bloqueando em https para endereços IP.

Abordagens que provavelmente funcionarão agora, mas que também podem causar vários problemas de gravidade para outros aplicativos:

  • Descubra o padrão usado para os nomes de domínio do skype e adicione o bloqueio desses (ou, se possível, introduza um atraso de 2 a 5 segundos apenas naqueles). Eu não vi nenhuma documentação dos padrões de nome de domínio usados. Os atrasos são para redes semi-públicas em que você deseja desencorajar o uso tornando a qualidade de voz / vídeo completamente inaceitável sem eliminar o acesso a mensagens e ao site.
  • Continue para bloquear as conexões diretamente aos endereços IP - há poucos motivos legítimos para fazer isso nos dias de HTTP / 1.1. Aliás, pode ser possível bloquear o HTTP / 1.0, mas não tenho certeza das repercussões.
  • Continuar para bloquear conexões com o "skype" no User-Agent
  • Adicionar bloqueio de conexões sem o User-Agent especificado (isso pode interromper alguns aplicativos dependendo do seu ambiente)
  • Se possível, crie uma política de bloqueio do Skype com as penalidades para usá-lo conhecidas pelos usuários e siga em frente.
    • Se for um ambiente corporativo, torne-o uma política corporativa e divulgue várias descrições de pessoas por violar as diretrizes de uso corporativo do computador (sem nomes). Isso ajudará a lidar com pessoas que instalam software ou hardware bootleg.
    • Se for um ambiente não corporativo, torne uma política que os computadores que violarem a política (com margem de manobra para avisos) perderão o acesso à rede e estarão prontos para bloquear ou filtrar no nível MAC.

Veja o link

    
por 28.09.2011 / 18:36
0

Você precisa de algo que possa fazer a inspeção profunda de pacotes e identificar o tráfego do Skype dentro do pacote para usar como critério de "bloqueio" ou precisa saber a que host (s) externo (s) simplesmente bloqueia o acesso. Eu não sou tão familiarizado com a arquitetura do Skype, não tenho certeza se tem que passar por um servidor central para qualquer finalidade. Se isso não acontecer, então você não pode fazer isso da segunda maneira.

    
por 28.09.2011 / 18:01
0

Como você está usando o MS ISA Server, eu recomendo instalar o cliente de firewall em cada máquina (implantar via AD, se possível). Você pode então bloquear por processo.

É claro que isso só bloqueará clientes Windows embora

    
por 28.09.2011 / 21:42