Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Skuteczna metoda blokowania Skype

Skuteczna metoda blokowania Skype

Blokowanie Skype to zmora dla administratorów - program ten łączy się z siecią w sposób bardzo trudny do jednoznacznego zdefiniowania. W środowisku związanym z OpenBSD udało się w końcu wypracować skuteczną receptę.

Jak pisaliśmy wcześniej blokowanie Skype jest sporym wyzwaniem w sieciach, których polityka tego wymaga. Program może wejść do swojej sieci P2P przez dowolny inny, podłączony do tej sieci host (co uniemożliwia filtrowanie po adresach IP) i nie korzysta z żadnych stałych portów. Również sama struktura pakietów protokołu Skype jest zbyt mało jednoznaczna, by można było je skutecznie blokować na warstwie siódmej.

Jeden z administratorów związanych ze środowiskiem OpenBSD przedstawił ciekawą receptę, która nie wykorzystuje żadnego z wyżej wymienionych parametrów, a mimo to według jego oceny pozwala na skuteczne blokowanie Skype.

Metoda wymaga, by cały ruch wychodzący z sieci był wyblokowany na firewallu brzegowym, a wypuszczane były tylko połączenia na określone porty - na przykład WWW przez transparentny serwer proxy. Można sobie zadać pytanie, po co w takim razie dodatkowo blokować Skype?

Otóż Skype nie mogąc połączyć się tradycyjnie, potrafi korzystać z serwera proxy, co więcej robi to automatycznie pobierając konfigurację proxy z ustawień Internet Explorera. Innymi słowy, każdy komputer który będzie miał zainstalowanego MSIE i będzie mógł się łączyć z Internetem, będzie również mógł korzystać ze Skype.

Zawsze po IP

Jednak to zachowanie można już wyblokować na poziomie proxy. W trybie proxy program zawsze korzysta z metody CONNECT, służącej zwykle do otwierania połączeń SSL przez proxy. Kluczowa jest obserwacja, że Skype zawsze otwiera połączenia CONNECT na adresy IP swoich kontaktów w sieci P2P - nigdy na nazwy domenowe.

Pozwala to na skuteczne wyfiltrowanie połączeń Skype ponieważ taki sposób połączenia praktycznie nigdy nie wystąpi w legalnych zastosowaniach czyli połączeniach do serwerów SSL, które prawie zawsze identyfikowane są przez nazwę.

Metoda nadaje się do zastosowania praktycznie w każdym firewallu lub serwerze proxy, który pozwala na ograniczenie dostępu do metody CONNECT na adresy IP. Z łatwością można to zrobić w Squidzie korzystając z wyrażeń regularnych.

Szczegóły:http://www.net-security.org/dl/articles/Blocking_Skype.pdf

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas