Доброго всем дня! Руководство компании потребовала закрытие доступа на сайты и на сервисы общении. Как заблокировать доступ в Skype? Закрыл чаты mail агент и ICQ а skype что то не получается. Вроде создал фильтр на порт но нифига, пользователи все удовольствуются общением через этот сервис.
» Как заблокировать Skype?
А какой порт закрыл?
Вообще Skype может работать и по 80, и по 443 порту
И опять же вопрос - "создал фильтр" где?
Вообще Skype может работать и по 80, и по 443 порту
И опять же вопрос - "создал фильтр" где?
Закрыл порт 443....Но все равно пашет. Что делать?
mstsc
Скайп насколько я понял пиринг использует.
Посмотри обращение скайпа к основному серверу регистрации и запрети направление.
Принудительно удалить скайп с машин и запретить устанавливать проги на уровне домена.
443 порт это не только скайп но и обычный https так что тут ты поторопился.
Я не знаю может ли ТИ фильтровать по приложению/user-agent, но если может то фильтруй по нему к примеру:
Цитата:
Скайп насколько я понял пиринг использует.
Посмотри обращение скайпа к основному серверу регистрации и запрети направление.
Принудительно удалить скайп с машин и запретить устанавливать проги на уровне домена.
443 порт это не только скайп но и обычный https так что тут ты поторопился.
Я не знаю может ли ТИ фильтровать по приложению/user-agent, но если может то фильтруй по нему к примеру:
Цитата:
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12
Opera/9.26 (Windows NT 5.1; U; ru)
mstsc
ИМХО средствами TrafInsp практически нереально. Там используется хитрый пиринговый механизм. Разве что заблокировать файрволлом диапазоны сеток, к которым обращается skype, но это тоже не гарантированное решение. Уж лучше смотрите в сторону политик ограниченного использования программ на рабочих станциях.
Skype: скрытая угроза
ИМХО средствами TrafInsp практически нереально. Там используется хитрый пиринговый механизм. Разве что заблокировать файрволлом диапазоны сеток, к которым обращается skype, но это тоже не гарантированное решение. Уж лучше смотрите в сторону политик ограниченного использования программ на рабочих станциях.
Skype: скрытая угроза
mstsc ИМХО еще можно на пользовательских компах разрешить доступ к сети только тем программам, котрым это можно...
Дык а если скайповский домен заблокировать?
Зы, так все же есть надежный и простой способ блокировки ?
А если попробывать закрыть доступ к серверам авторизации.
это как?
Цитата:
закрыть доступ к серверам авторизации
Не представляется возможным -
Цитата:
Архитектура распределенной сети-http://www.xakep.ru/post/38543/default.asp
На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).
Нужно искать другой путь..
незнаю как в трафик инспектре но керио можно по приложению закрыть.
самый надежный способ - удалить скайп с машин и запретить установку через груповые политики в АД.
закрыть доступ к серверам авторизации толком не выдет как и закрыть доступ по портам.... скайп все пролазная зараза)
самый надежный способ - удалить скайп с машин и запретить установку через груповые политики в АД.
закрыть доступ к серверам авторизации толком не выдет как и закрыть доступ по портам.... скайп все пролазная зараза)
Так написано же что:
Цитата:
Вот ему и надо закрыть доступ. Если клиент не сможет авторизироваться, то и skype-клиент не получит уникальность позывных. Или я что то не допонимаю....
Цитата:
...единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
Вот ему и надо закрыть доступ. Если клиент не сможет авторизироваться, то и skype-клиент не получит уникальность позывных. Или я что то не допонимаю....
Цитата:
Вот ему и надо закрыть доступ.
Невозможно - не имеет смысла отрубить доступ к Skype-login-сервер
Вероятно ты SM8Yozhig не вник в суть написанного
Цитата:
Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами.
Другими словами, клиент не ходит на прямую на сервер авторизации, все идет по цепочке публичных IP-адресов - т.е. таких же клиентов skype.
Еднственным возможным вариантом, я вижу использование firewall для этих целей, но к сожалению проверить не представляется возможным, так как раздающий прокси (у меня очень слабый комп)
В статье Криса Касперски написано, что заблочить Skype можно только по содержимому пакета в UDP и TCP(причем именно в обоих!) и приведен пример для iptables (линукс). Нужно блочить трафик с сигнатурой 170301h. Если ваш фаер этого не умеет, то обломайтесь. Не зря Крис назвал Skype Скрытой угрозой (типа Скайнет в Терминатор-3 
), сносите его нахрен мужики везде, и бейте юзерам по рукам, чтобы не ставили.
), сносите его нахрен мужики везде, и бейте юзерам по рукам, чтобы не ставили. Цитата:
Другими словами, клиент не ходит на прямую на сервер авторизации, все идет по цепочке публичных IP-адресов - т.е. таких же клиентов skype.
Да, действительно не учел такую фишку скайпа.
Цитата с ксакепа:
Цитата:
Цитата:
Мня, скайп, если не удалось соединиться напрямую через UDP, делает CONNECT (через прокси) на 443 порт некоторого IP-шника. То есть, если залочить CONNECT на IP-шники регэкспом, а разрешать CONNECT только на FQDN(заодно убрав всякие DynDNS), ущерба функциональности сети не будет, а скайп обломится.
Цитата:
приведен пример для iptables (линукс).
не всем он доступен для комфортной работы, к сожалению..
есть в принципе еще один вариант, по крайней мере у нас он доступен, не знаю как у остальных. если в сетке установлен корпоративный каспер, то можно просто -напросто загнать приложение само в фильтр анти-хакера и запретить любые соединения для него... вот собственно и все...
kuzmahare Что помешает юзеру переименовать приложение ?
Вот мои ответы:
1. Скайп прожорлив и требует МИНИМУМ 60-90 одновременных конекшенов - здесь можно выставить значение меньше 50 - и скайп умрет.
2. Если в фаерволе (TI, KWF, ISA, UG, UH, RR и тд (а может железный) - не увидел что у автора) есть возможность блокировки P2P сетей - то это именно то, что нужно.
3. Административные меры + запрет на установку программ на локальной машине.
Инфа: диапазоны блокировать нет смысла - не получится.
1. Скайп прожорлив и требует МИНИМУМ 60-90 одновременных конекшенов - здесь можно выставить значение меньше 50 - и скайп умрет.
2. Если в фаерволе (TI, KWF, ISA, UG, UH, RR и тд (а может железный) - не увидел что у автора) есть возможность блокировки P2P сетей - то это именно то, что нужно.
3. Административные меры + запрет на установку программ на локальной машине.
Инфа: диапазоны блокировать нет смысла - не получится.
из личного опыта: Skype не требует установки.
запрет установки приложений на уровне AD не спасет: никто не помешает более-менее грамотному юзеру инсталлировать эту заразу у себя дома, скопировать c:\Program Files\Skype\Phone\Skype.exe на рабочий комп и переименовать его в winword.exe
сдается мне, единственный вариант убить в своей организации этого зверя - установка линукса со всеми вытекающими. этот вариант может провалиться если юзерам необходима 1С - для неё ставят WINE. и опять - Skype запустить не сложно.
как вариант: административный запрет. начальству разъясняется суть вышеуказанной статьи и в свет является приказ о запрете. админ изредка может просматривать текущие коннекты пользователей - несколько взысканий или лишений надбавки к зарплате сделают свое дело... ИМХО...
15 минут спустя, после небольшой медитации с коллегой.
возникла следующая идея: на клиентском компьютере запускается Брандмауэр Windows (C:\WINDOWS\system32\svchost.exe -k netsvcs) и разрешаются необходимые сетевые соединения (браузер, почтовый клиент, доступ к файлам и принтерам и прочее). все это делается с правами администратора. после этого пользователь выполняет вход под своей учетной записью. по идее Брандмауэр Windows не выведет окно с сообщением о том, что программа Skype желает получить доступ в интернет и соответственно ей не будет выдано разрешение на работу. результат - Skype не может работать. у кого есть возможность - проверьте идею и отпишитесь.
запрет установки приложений на уровне AD не спасет: никто не помешает более-менее грамотному юзеру инсталлировать эту заразу у себя дома, скопировать c:\Program Files\Skype\Phone\Skype.exe на рабочий комп и переименовать его в winword.exe
сдается мне, единственный вариант убить в своей организации этого зверя - установка линукса со всеми вытекающими. этот вариант может провалиться если юзерам необходима 1С - для неё ставят WINE. и опять - Skype запустить не сложно.
как вариант: административный запрет. начальству разъясняется суть вышеуказанной статьи и в свет является приказ о запрете. админ изредка может просматривать текущие коннекты пользователей - несколько взысканий или лишений надбавки к зарплате сделают свое дело... ИМХО...
15 минут спустя, после небольшой медитации с коллегой.
возникла следующая идея: на клиентском компьютере запускается Брандмауэр Windows (C:\WINDOWS\system32\svchost.exe -k netsvcs) и разрешаются необходимые сетевые соединения (браузер, почтовый клиент, доступ к файлам и принтерам и прочее). все это делается с правами администратора. после этого пользователь выполняет вход под своей учетной записью. по идее Брандмауэр Windows не выведет окно с сообщением о том, что программа Skype желает получить доступ в интернет и соответственно ей не будет выдано разрешение на работу. результат - Skype не может работать. у кого есть возможность - проверьте идею и отпишитесь.
Ruza
Периодический отказ Skype на разных машинах сети
Просьба разъяснить возможные причины следующей ситуации.
В локальной сети порядка сотни компьютеров, периодически на некоторых из них перестаёт работать Skype, в то время как на других он может работать. Потом, скажем, наоборот и т.п.
Иногда может сбоить и интернет, но в основном интересует, почему на одних машинах сети Skype работает, а на других нет.
Каковы возможные причины этого явления?
С чего и в какой последовательности начинать разбираться в этом вопросе?
Как его решать, чтобы исключить проблемы в принципе?
Добавлено:
Mr_Hat
Периодический отказ Skype на разных машинах сети
Просьба разъяснить возможные причины следующей ситуации.
В локальной сети порядка сотни компьютеров, периодически на некоторых из них перестаёт работать Skype, в то время как на других он может работать. Потом, скажем, наоборот и т.п.
Иногда может сбоить и интернет, но в основном интересует, почему на одних машинах сети Skype работает, а на других нет.
Каковы возможные причины этого явления?
С чего и в какой последовательности начинать разбираться в этом вопросе?
Как его решать, чтобы исключить проблемы в принципе?
Периодический отказ Skype на разных машинах сети
Просьба разъяснить возможные причины следующей ситуации.
В локальной сети порядка сотни компьютеров, периодически на некоторых из них перестаёт работать Skype, в то время как на других он может работать. Потом, скажем, наоборот и т.п.
Иногда может сбоить и интернет, но в основном интересует, почему на одних машинах сети Skype работает, а на других нет.
Каковы возможные причины этого явления?
С чего и в какой последовательности начинать разбираться в этом вопросе?
Как его решать, чтобы исключить проблемы в принципе?
Добавлено:
Mr_Hat
Периодический отказ Skype на разных машинах сети
Просьба разъяснить возможные причины следующей ситуации.
В локальной сети порядка сотни компьютеров, периодически на некоторых из них перестаёт работать Skype, в то время как на других он может работать. Потом, скажем, наоборот и т.п.
Иногда может сбоить и интернет, но в основном интересует, почему на одних машинах сети Skype работает, а на других нет.
Каковы возможные причины этого явления?
С чего и в какой последовательности начинать разбираться в этом вопросе?
Как его решать, чтобы исключить проблемы в принципе?
Цитата:
Вообще Skype может работать и по 80, и по 443 порту
Через trafinsp, если отключен порт 443, то skype уже не работает однозначно.
Я немного не пойму, как он может работать только по 80-му порту?
Согласен с тем, что заблокировать работу skype сложно и самый верный вариант - это ...
Цитата:
как вариант: административный запрет. начальству разъясняется суть вышеуказанной статьи и в свет является приказ о запрете. админ изредка может просматривать текущие коннекты пользователей - несколько взысканий или лишений надбавки к зарплате сделают свое дело...
Други кто-нибудь научился с помощью ISA Server 2006 блокировать Skype?
Разрешить использование только прокси и прописать сигнатуры, тогда через прокси они не пройдут, а мимо прокси - все запрещено.
Если в сети есть машина где скайп подключен, то на всех остальных машинах, на которых видна эта - тоже будут в сети, потому что скайп умеет использовать видимых подключенных клиентов как ноды.
Не окончательно но хоть что то:
Ставим RouteOS, делаем импорт http://www.mikrotik.com/download/l7-protos.rsc правил фильтрации 7-го уровня, в фильтре трафика делаем пару правил для двух сигнатур skypeout и skupytoskype с политикой дроп.
Ну и групповыми политиками запрещаем запуск экзешника по хешу, никакое переименование не спасёт.
Более подробно ветка рядом и личка =)
(и никакого прокси)
Ставим RouteOS, делаем импорт http://www.mikrotik.com/download/l7-protos.rsc правил фильтрации 7-го уровня, в фильтре трафика делаем пару правил для двух сигнатур skypeout и skupytoskype с политикой дроп.
Ну и групповыми политиками запрещаем запуск экзешника по хешу, никакое переименование не спасёт.
Более подробно ветка рядом и личка =)
(и никакого прокси)
Скайп закрыть можно так:
Поднять шлюз желательно на никс системе, закрыть все порты кроме основных.
Сделать прозрачное проксирование, а 443 порт принудительно PREROUTING'ом направить на squid.
вот так:
Код: -A PREROUTING -i eth1 -s 192.168.1.0/255.255.255.0 -p tcp --dport 443 -j DNAT --to 192.168.1.1:3128
Поднять шлюз желательно на никс системе, закрыть все порты кроме основных.
Сделать прозрачное проксирование, а 443 порт принудительно PREROUTING'ом направить на squid.
вот так:
Код: -A PREROUTING -i eth1 -s 192.168.1.0/255.255.255.0 -p tcp --dport 443 -j DNAT --to 192.168.1.1:3128
Предыдущая тема: Проблема с почтой: "501 Domain must resolve"
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.