Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как заблокировать Skype?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

mstsc



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго всем дня! Руководство компании потребовала закрытие доступа на сайты и на сервисы общении. Как заблокировать доступ в Skype? Закрыл чаты mail агент и ICQ а skype что то не получается. Вроде создал фильтр на порт но нифига, пользователи все удовольствуются общением через этот сервис.

Всего записей: 140 | Зарегистр. 22-07-2007 | Отправлено: 22:15 21-02-2008
Vorx



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А какой порт закрыл?
Вообще Skype может работать и по 80, и по 443 порту
И опять же вопрос - "создал фильтр" где?

Всего записей: 87 | Зарегистр. 14-03-2006 | Отправлено: 22:41 21-02-2008
mstsc



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Закрыл порт 443....Но все равно пашет. Что делать?

Всего записей: 140 | Зарегистр. 22-07-2007 | Отправлено: 17:42 23-02-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mstsc
Скайп насколько я понял пиринг использует.
Посмотри обращение скайпа к основному серверу регистрации и запрети направление.
Принудительно удалить скайп с машин и запретить устанавливать проги на уровне домена.
443 порт это не только скайп но и обычный https так что тут ты поторопился.
Я не знаю может ли ТИ фильтровать по приложению/user-agent, но если может то фильтруй по нему к примеру:

Цитата:
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12
Opera/9.26 (Windows NT 5.1; U; ru)


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:55 23-02-2008 | Исправлено: Ruza, 17:55 23-02-2008
SPV_Ed



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mstsc
ИМХО средствами TrafInsp практически нереально. Там используется хитрый пиринговый механизм. Разве что заблокировать файрволлом диапазоны сеток, к которым обращается skype, но это тоже не гарантированное решение. Уж лучше смотрите в сторону политик ограниченного использования программ на рабочих станциях.
 
Skype: скрытая угроза

Всего записей: 474 | Зарегистр. 20-06-2006 | Отправлено: 19:08 23-02-2008 | Исправлено: SPV_Ed, 19:14 23-02-2008
evggve



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mstsc ИМХО еще можно на пользовательских компах разрешить доступ к сети только тем программам, котрым это можно...
 

Всего записей: 42 | Зарегистр. 21-01-2008 | Отправлено: 13:39 24-02-2008
mikupa

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дык а если скайповский домен заблокировать?

Всего записей: 64 | Зарегистр. 26-04-2008 | Отправлено: 21:58 09-05-2008
Mr_Hat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Зы, так все же есть надежный и простой способ блокировки ?

Всего записей: 984 | Зарегистр. 04-10-2005 | Отправлено: 02:18 01-11-2008
SM8Yozhig



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А если попробывать закрыть доступ к серверам авторизации.

Всего записей: 89 | Зарегистр. 15-09-2008 | Отправлено: 14:05 01-11-2008
mstsc



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
это как?

Всего записей: 140 | Зарегистр. 22-07-2007 | Отправлено: 20:07 01-11-2008
Mr_Hat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
закрыть доступ к серверам авторизации

 
Не представляется возможным -  
 

Цитата:
Архитектура распределенной сети
На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
 
Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).
 -http://www.xakep.ru/post/38543/default.asp
 
Нужно искать другой путь..

Всего записей: 984 | Зарегистр. 04-10-2005 | Отправлено: 00:49 02-11-2008 | Исправлено: Mr_Hat, 00:51 02-11-2008
TitanMK



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
незнаю как в трафик инспектре но керио можно по приложению закрыть.
самый надежный способ - удалить скайп с машин и запретить установку через груповые политики в АД.
закрыть доступ к серверам авторизации толком не выдет как и закрыть доступ по портам.... скайп все пролазная зараза)

Всего записей: 192 | Зарегистр. 27-04-2006 | Отправлено: 09:30 03-11-2008
SM8Yozhig



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так написано же что:
 
Цитата:
...единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.

 
Вот ему и надо закрыть доступ. Если клиент не сможет авторизироваться, то и skype-клиент не получит уникальность позывных. Или я что то не допонимаю....

Всего записей: 89 | Зарегистр. 15-09-2008 | Отправлено: 07:51 05-11-2008
Mr_Hat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вот ему и надо закрыть доступ.

Невозможно - не имеет смысла отрубить доступ к Skype-login-сервер
Вероятно ты SM8Yozhig не вник в суть написанного

Цитата:
Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами.

 
Другими словами, клиент не ходит на прямую на сервер авторизации, все идет по цепочке публичных IP-адресов - т.е. таких же клиентов skype.
 
Еднственным возможным вариантом, я вижу использование firewall для этих целей, но к сожалению проверить не представляется возможным, так как раздающий прокси (у меня очень слабый комп)

Всего записей: 984 | Зарегистр. 04-10-2005 | Отправлено: 22:49 05-11-2008 | Исправлено: Mr_Hat, 22:56 05-11-2008
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В статье Криса Касперски написано, что заблочить Skype можно только по содержимому пакета в UDP и TCP(причем именно в  обоих!)  и приведен пример для iptables (линукс). Нужно блочить трафик с сигнатурой 170301h. Если ваш фаер этого не умеет, то обломайтесь. Не зря Крис назвал Skype Скрытой угрозой (типа  Скайнет в Терминатор-3 ), сносите его нахрен мужики везде, и бейте юзерам по рукам, чтобы не ставили.  

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:04 06-11-2008
SM8Yozhig



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Другими словами, клиент не ходит на прямую на сервер авторизации, все идет по цепочке публичных IP-адресов - т.е. таких же клиентов skype.

Да, действительно не учел такую фишку скайпа.

Всего записей: 89 | Зарегистр. 15-09-2008 | Отправлено: 08:32 06-11-2008
Refugee

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата с ксакепа:

Цитата:
Мня, скайп, если не удалось соединиться напрямую через UDP, делает CONNECT (через прокси) на 443 порт некоторого IP-шника. То есть, если залочить CONNECT на IP-шники регэкспом, а разрешать CONNECT только на FQDN(заодно убрав всякие DynDNS), ущерба функциональности сети не будет, а скайп обломится.

Всего записей: 513 | Зарегистр. 31-03-2004 | Отправлено: 20:17 06-11-2008
Mr_Hat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
приведен пример для iptables (линукс).  

не всем он доступен для комфортной работы, к сожалению..

Всего записей: 984 | Зарегистр. 04-10-2005 | Отправлено: 20:22 06-11-2008
kuzmahare



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть в принципе еще один вариант, по крайней мере у нас он доступен, не знаю как у остальных. если в сетке установлен корпоративный каспер, то можно просто -напросто загнать приложение само в фильтр анти-хакера и запретить любые соединения для него... вот собственно и все...

Всего записей: 23 | Зарегистр. 26-05-2008 | Отправлено: 13:58 22-09-2009
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kuzmahare Что помешает юзеру переименовать приложение ?  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:44 23-09-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как заблокировать Skype?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru