Skuteczna metoda blokowania Skype
- Paweł Krawczyk,
- 30.11.2005, godz. 09:55
Blokowanie Skype to zmora dla administratorów - program ten łączy się z siecią w sposób bardzo trudny do jednoznacznego zdefiniowania. W środowisku związanym z OpenBSD udało się w końcu wypracować skuteczną receptę.
Jak pisaliśmy wcześniej blokowanie Skype jest sporym wyzwaniem w sieciach, których polityka tego wymaga. Program może wejść do swojej sieci P2P przez dowolny inny, podłączony do tej sieci host (co uniemożliwia filtrowanie po adresach IP) i nie korzysta z żadnych stałych portów. Również sama struktura pakietów protokołu Skype jest zbyt mało jednoznaczna, by można było je skutecznie blokować na warstwie siódmej.
Jeden z administratorów związanych ze środowiskiem OpenBSD przedstawił ciekawą receptę, która nie wykorzystuje żadnego z wyżej wymienionych parametrów, a mimo to według jego oceny pozwala na skuteczne blokowanie Skype.
Metoda wymaga, by cały ruch wychodzący z sieci był wyblokowany na firewallu brzegowym, a wypuszczane były tylko połączenia na określone porty - na przykład WWW przez transparentny serwer proxy. Można sobie zadać pytanie, po co w takim razie dodatkowo blokować Skype?
Otóż Skype nie mogąc połączyć się tradycyjnie, potrafi korzystać z serwera proxy, co więcej robi to automatycznie pobierając konfigurację proxy z ustawień Internet Explorera. Innymi słowy, każdy komputer który będzie miał zainstalowanego MSIE i będzie mógł się łączyć z Internetem, będzie również mógł korzystać ze Skype.
Zawsze po IP
Jednak to zachowanie można już wyblokować na poziomie proxy. W trybie proxy program zawsze korzysta z metody CONNECT, służącej zwykle do otwierania połączeń SSL przez proxy. Kluczowa jest obserwacja, że Skype zawsze otwiera połączenia CONNECT na adresy IP swoich kontaktów w sieci P2P - nigdy na nazwy domenowe.
Pozwala to na skuteczne wyfiltrowanie połączeń Skype ponieważ taki sposób połączenia praktycznie nigdy nie wystąpi w legalnych zastosowaniach czyli połączeniach do serwerów SSL, które prawie zawsze identyfikowane są przez nazwę.
Metoda nadaje się do zastosowania praktycznie w każdym firewallu lub serwerze proxy, który pozwala na ograniczenie dostępu do metody CONNECT na adresy IP. Z łatwością można to zrobić w Squidzie korzystając z wyrażeń regularnych.
Szczegóły:http://www.net-security.org/dl/articles/Blocking_Skype.pdf