Je kan skype blokkeren door de login-servers te blokkeren.

Meer info:

http://www.net-security.org/dl/articles/Blocking_Skype.pdf
http://www.tml.tkk.fi/Publications/C/23/papers/Santolalla_final.pdf
http://www1.cs.columbia.edu/%7Elibrary/TR-repository/reports/reports-2004/cucs-039-04.pdf
http://www.scribd.com/doc/28067970/Blocking-Skype-Using-IOS

Je zou (mett een goede virusscanner) het process kunnen blokkeren... ze kunnen hernoemen zoveel ze willen, maar de processnaam is lastiger aan te passen.

Palo Alto kan Skype verkeer ook blokkeren. Dit doen ze meende ik door de verbinding half op te laten zetten. Aangezien skype vele manieren (waaronder SSL) gebruikt om verbinding te maken. Deze doos kan normaal gesproken ook "normaal" SSL verkeer inkijken door een sessie op te zetten tussen de site en de doos en vervolgens tussen de doos en de user. Waar door er onversleutelde data op de doos staat.

Succes, Skype is hardnekkig. Er is een tijd geleden ook een zwaar lek geweest door Skype, moet je even zoeken in het Zwartboek van BoF.

Mvg,

Het makkelijkste is Skype blokkeren op de endpoint, zoals met Application Control in Sophos ESC.

Ik snap even niet waarom je dit probleem op Applicatie niveau wil aanpakken en niet lager in het OSI model ?

De meeste application aware firewalls kunnen Skype detecteren en blokkeren. Wij gebruiken hier zelf een Fortinet FortiGate voor. Voordeel hiervan is dat deze ook de verschillende modules binnen Skype kan detecteren (bellen, IM, etc) en hier verschillende policies op kan zetten

Op Applicatie niveau kan je het protocol herkennen op alle lagere layers kan je niet echt specifiek skype gaan blokkeren aangezien skype zelf zijn communicatie transformeert om toch door de Firewall te geraken.

Indien je een andere oplossing hebt lager in het OSI model feel free to make a suggestion !

Skype blokkeren op de endpoint ? --> wat dan met skype portable, eentje dat geen installatie vereist ?

Thanks al voor de reacties !

Ik snap zowiezo niet waarom je dit wilt blokkeren. Redelijk nutteloos aangezien de meeste rotzooi binnenkomt door poortje 80. We willen geen Big Brother maar de meeste IT afdelingen zijn goed op weg. Laat mensen nou eens gewoon zelf bepalen wat ze wel en niet kunnen/mogen doen met die computer.


Robert

Dit moet je niet in een firewall aanpassen, als je niet wilt dat mensen Skypen, waarom laat je ze dan Skype installeren om mee te beginnen? Zijn je users administrator op de PC? Dan heb je veel grotere problemen. Het feit dat je dat hier komt vragen als beheerder is er ook nog een.

Ik zou PF gebruiken.
Kan je gelijk ook ipad's/ipods ed. er uit filteren in je netwerk.

http://www.openbsd.org/faq/pf/

Op de translink manier , je weet wel, die van de ovchip kaart. het mag niet dus gebeurd het niet

Dat is natuurlijk een prima oplossing wanneer je alle computers die op het netwerk komen zelf in beheer hebt. In ons geval is er voor gasten, eigen laptops en smartphone achtige zaken een draadloos netwerk. Ik kan me voorstellen dat de TS niet alleen doelt op zijn machines, maar op alles wat zich op het netwerk begeeft.

Eigen machines zijn vrij eenvoudig. Zolang je de applicatie buiten de deur houdt heb je geen last van Skype. Maar hoe blokkeer je Skype op alle machines die op je netwerken komen? Volgens mij moet je dan echt de firewall in. Poorten dichtzetten is lastig, omdat Skype poort 80 en 443 gebruikt. Maar als je op applicatie kan filteren zou het wel moeten kunnen.

Ga met de reactie van hierboven akkoord. Ik kom het niet vragen als beheerder maar gewoon wil ik graag weten op security niveau waarom skyp eigenlijk zo'n black box is en hoe we zulke programma's kunnen tegenhouden. Zijn je gebruikers administrators op de PC = neen maar zoals hierboven al vermeld is "Skype portable" heeft geen administrator rechten nodig !

Het goede oude OSI model zegt inderdaad dat de enige oplossing is om skype te blokkeren op een lager niveau dan de application layer het blokkeren van uitgaande TLS connecties. Maar dit is niet echt werkbaar.

Is er hieromtrent ooit al informatie gepubliceerd door skype zelf aangezien zij een programma hebben gecreerd om de huidige FW's te omzeilen.

Uit sommige bovenstaande reacties zie ik weer de discussie van waarom wil je in godsnaam skype blokkeren laat de user dit toch bepalen. Wel een algemene regel in het algemaan beveiligingsbeleid is je security is zo sterk als de zwakste schakel binnen uw proces. Voor skype klopt dit ook een gebruiker kan uiteindelijk zelf beslissen of hij malware / virussen binnentrekt zonder dat een IDS/IDP of Application FW dit blokkeert.

Skype blokken is lastig, het programma is dusdanig gecodeerd dat het vrije poorten opzoekt om op te kunnen communiceren. Beste is idd om een verbinding tot stand te laten komen en dan een minimale bandbreedte toe te kennen zodat gespreken nagenoeg onmogelijk zijn. Paketshaper van BlueCoat kan dit/

Met ISA server of Forefront Threat Management Gateway

"We willen geen Big Brother maar de meeste IT afdelingen zijn goed op weg. Laat mensen nou eens gewoon zelf bepalen wat ze wel en niet kunnen/mogen doen met die computer. "

IT afdelingen moeten uitvoeren wat het management opdraagt. Wat dat betreft is je reactie een beetje misplaatst. Verder zijn er goede redenen om controle uit te oefenen op de vraag wat gebruikers wel/niet kunnen met de computer, om tal van redenen (licenties, beveiliging, compliancy en ga zo maar door).

Oke even (populaire en kort voor de leesbaarheid) uitleg over het OSI model met betrekking tot dit topic:
Beter dat je het OSI-model er even bij pakt .


(hopelijk gaat dit onderwerp verder niet over het OSI model want dat zou zonde zijn, ik denk dat meer mensen met het probleem van de vraagsteller kampen)



Voor de uitleg gaan even uit van normaal dataverkeer, geen VPN of encrypted dataverkeer.


Gegeven: Als twee computers met elkaar communiceren (lees data overdragen) dan gaat dat vanaf de applicatie(laag) waarmee dit gebeurt (op laag 7) via de onderliggende lagen , via een kabel of ander medium, naar de andere Computer en daar weer van onder naar boven (laag 7) .
Dus 7,6,5,4,3,2,1 -------------------1,2,3,4,5,6,7
Elke laag heeft zijn eigen verantwoordelijkheid en zeg maar even, voegt haar informatie (gerekend van laag 7 naar laag 1) toe aan het uiteindelijke datapakketje. Aan de andere kant (computer) wordt die informatie er weer afgehaald tot dat de uiteindelijke data bij laag 7 aan komt en verwerkt kan worden).

Waar het in dit geval met betrekking tot de Firewall even om gaat is de kennis van LAAG 7, LAAG 4, LAAG 3 en LAAG 2

LAAG 7 is de Applicatielaag (zeg maar het programma Skype (de exe)
Je kan tegen je Firewall dus zeggen Skype.exe mag GEEN doorgang hebben.
Dan kunnen dus alle Skype(.exe) gebruikers op je netwerk geen doorgang hebben tot het Internet (dan kunnen ze dus wel browsen, FTP-en, Mailen etc.),

LAAG 4 is de Transportlaag ( zie dit maar als de laag waar het Port nummer "geregeld/gefilterd" wordt)
Hier kun je dus tegen je Firewall zeggen, je mag Port 21 (FTP) niet doorlaten, dan kunnen de computers in je netwerk dus niet FTP-en met het Internet .(dan kunnen ze dus ALLEEN niet FTP-en, wel Browsen, Mailen, Skypen etc.)

LAAG 3 is de Netwerklaag ( zie dat maar als de laag waar het IP adres "geregeld/gefilterd" )
Hier kun je dus tegen je Firewall zeggen, je mag 192.168.1.12 niet met Internet laten communiceren (dan kan ie dus niet Browsen, Skypen, FTP-en, Emailen etc.)

LAAG 2 is de Data Link laag ( zie dat maar als de laag waar het MAC adres "geregeld/gefilterd" )
Net als bij laag 3 kun je dus op basis van het MAC Adres computers uitsluiten van bepaalde communicatie mogelijkheden.

Zoals je ziet kun je dus (ge/misbruik) op verschillende lagen aanpakken.
Vaak zijn combinaties van meerdere beter om illegaal gebruik tegen te gaan.
Om je een voorbeeld te geven:

Laag 2. Je MAC adres kan je softwarematig in een mum van tijd omzetten (spoofen) .
Als je daarop filtert is je verdediging in je FW binnen 15 seconden om zeep geholpen

Laag 3. Je IP adres is afhankelijk van de DHCP server en wellicht kun je die zelf ook nog wel vast instellen dus die beveiliging is ook te omzeilen.

Laag 4. Veelal kun je gebruikmaken van meerdere poorten dus dan moet je een reeks afdekken. Maaaaaar als de ander kant bepaalt om een ander port nummer te gebruiken dan kun je deze zelf kiezen.
(voorbeeld: Als ik thuis een FTP server instel op poort 2000 en mijn FTP applicatie/client ook op port 2000 op bijvoorbeeld een werkplek) dan kunnen ze in die Firewall poort 21 dichtzetten maar daar heb ik dan geen last van , alleen dan wel met de FTP communicatie met huis, maar zo kan ik wel altijd bij mijn software thuis ;-)

Laag 7. Skype als exe kun je "hernoemen cq camoufleren" dus je moet genoeg intellect in je FW hebben om Skype als zodanig te herkennen.

Hier heb je nog een leuk stukje ter info en aanvulling: http://iloapp.thoughtsonsociety.com/blog/infosec?Home&post=1


Resumé:
Je kunt een computer/gebuiker dus op verschillende (OSI model) lagen toegang tot de communicatie ontnemen.
Vaak zijn combinaties een extra versterking (documenteer dat wel goed want als je hem later toch toegang wil verlenen dan moet je alle restricties wel uit zetten !!!)

Nog een kleine aanvulling met betrekking tot telefonie afhankelijk van het protocol:

Populair gezegd:
Bij telefonie is het zo dat je als je iemand wil bellen je eerst contact maakt met een server op basis van signalering.
Deze server maakt dan connectie met de persoon die je wilt bellen (signalering - aansturen bel signaal)
Vervolgens wordt er een connectie tussen de personen gemaakt en de server stapt er tussen uit.
Het gesprek gaat dan van persoon tot persoon (datastroom).
Op het moment van ophangen wordt er weer informatie op basis van signalering overgestuurd (hang up) met de server.
Op de server worden de bellers weer vrijgegeven en de call detail records bijgewerkt (hoe lang het gesprek heeft geduurd)

Met deze kennis kun je dus filteren op basis van signalering of datastroom.
Als je iemand niet kan bellen (signaleren) kan je dus ook niet met hem spreken.
Of als je iemand wel kan bellen (signalering) maar niet mag spreken (spraak) dan heb je er ook niks aan.
Maar dit gaat wellicht we erg diep maar wel zinvol om te weten.

Algemeen: http://www.skype.com/intl/en-us/support/user-guides/firewalls/


LAAG 3 en 4 http://www.skype.com/intl/en-us/support/user-guides/firewalls/technical/

LAAG 7 http://www.skype.com/intl/en-us/support/user-guides/firewalls/windowsxp/


Hier lees je o.a.welke poorten en wat voor soort verkeer Skype nodig heeft.
Als je dat omdraait kan het een hulpmiddel zijn om de boel voor Skype dicht te zetten ;-)
Hieronder nog wat !

http://forum.skype.com/index.php?showtopic=6243

Skype probeert eerst op den hogere poorten connectie te maken en als dat niet lukt dan gebruikt het port 80 of 443

Hieronder de Skype servers die kan je ook gebruiken om verkeer te blokken:

"dir1.sd.skype.net:9010", "dir2.sd.skype.net:9010", "dir3.sd.skype.net:9010", "dir4.sd.skype.net:9010", "dir5.sd.skype.net:9010", "dir6.sd.skype.net:9010", "dir7.sd.skype.net:9010", "dir8.sd.skype.net:9010"

"http1.sd.skype.net:80", "http2.sd.skype.net:80", "http3.sd.skype.net:80", "http4.sd.skype.net:80", "http5.sd.skype.net:80", "http6.sd.skype.net:80", "http7.sd.skype.net:80", "http8.sd.skype.net:80"

Skype-SW connect ad random met Server 1-8.

De gemene deler is dan natuurlijk het domein "skype.net" of het subdomein "sd.skype.net"

Ik denk dat je met deze info wel een end komt ;-)

De beste methode is om de lokale nameservers authoritive te maken voor alle skype domeinen. Die geven dan niet meer de IP adressen uit van Skype zelf, maar eentje die je zelf hebt bepaald. Zo kun je zelfs voorkomen dat ze skype downloaden. Je stuurt ze naar een pagina waarop het beleid t.a.v. Skype binnen het bedrijf staat uitgelegd.

Peter

Het is een lijstje van de Skype Servers.
Zoals ik al in mijn eerdere verhaal heb geschreven: Iemand moet eerst contact met een Skypeserver maken om vervolgens contact met een andere persoon te kunnen maken.
Als je connectie met die Servers verbiedt dan kunnen de gebruikers geen Skypesessie opzetten.

Dus "al het dataverkeer" (ongeacht van welk ip adres of over welke poort) naar die servers blokkeren.

"dir1.sd.skype.net" en bijvoorbeeld "dir7.sd.skype.net" zijn Servers in het Subdomeinen "sd.skype.net" van het Hoofd domein "skype.net".
Dus als je al het verkeer naar "skype.net" of het "subdomein "sd.skype.net" verbiedt ben je er al.

Snap je dat ??

Wat je dus doet is het volgende:

Als je mensen de toegang wil ontnemen tot Het Leidscheplein en het Rembrandsplein in het Centrum van Amsterdam dan kun je zeggen:

Verkeer naar Leidscheplein BLOCK (vergelijk-dir1.sd.skype.net)
Verkeer naar Rembrandsplein BLOCK (vergelijk-dir7.sd.skype.net)

Je kunt ze ook samenvoegen en zeggen:

Verkeer naar Amsterdam Centrum BLOCK (vergelijk -sd.skype.net)
Dan kun je dus ook niet meer op de Dam komen.
(nu kunnen ze nog wel bijvoorbeeld de Skype software downloaden op de Skype site)

Helemaal kort door de bocht is:
Verkeer naar Amsterdam BLOCK (vergelijk - skype.net)
(nu kunnen ze helemaal niet meer op Skype site komen )

maar dan kan je dus nergens in Amsterdam terecht maar het is wel lekker makkelijk !

Het blijft natuurlijk moeilijk om een beginner meteen met de techniek binnen Firewalls te confronteren als hij de onderliggende materie niet beheerst. Daarom hamer ik altijd op kennis van het OSI model.

Bedankt voor de vele commentaren /reacties / olossingen !
Cvrler en Syzygy ik ga de voorgestele oplossingen testen en bekijken hoe we dit het beste kunnen implementeren in de huidige setup.

Again thanks voor de zeer goede en uitgebreide uitleg !

Mvg

Jv

Als je OpenDNS gebruikt kun je alle Skype verkeer ook stoppen door bovenstaande domeinen te blokkeren. Skype is hier trouwens druk in gebruik om met de andere kant van de wereld te communiceren. Het heeft ook zijn voordelen.


Christiaan

Bij pfSense en m0n0wall heb je rules in xml formaat dat je dit kan filteren.