The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Блокирование Skype по IP-адресам во..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Блокирование Skype по IP-адресам во..."  –1 +/
Сообщение от auto_tips (ok) on 11-Июл-11, 14:13 
Раздумывая на досуге о наболевшем вопросе как заблокировать Skype, пришла идея, может она здесь уже описывалась, но всё таки решил поделиться личным опытом, может кому и пригодится.

Первый раз заблокировать Skype удалось путём перекрытия всех не нужных портов и кое каких правил в прокси squid, которые не давали соединятся по ip-адресам методом CONNECT. Но это не самый лучший вариант, так как блокируется и всё остальное, icq, маил агенты и т.п.
Новая идея основана на отслеживании и блокировке IP, на которые пытается соединиться Skype. И так, как я это делал (шлюз работает под управлением FreeBSD 8.1):


1. Нужен какой ни будь компьютер с Windows и установленным скайпом, желательно последней версии.

2. Отключаем на ПК все программы, которые могли бы обратиться в интернет, windows update и всё остальное (что бы эти адреса не попали в дальнейшем в список блокируемых).

3. Нужно включить скайп и залогиниться, что бы он взял с сервера базу ip-адресов, на которые можно соединяться. После этого выключаем его.

4. На шлюзе настраиваем фаервол, что бы он блокировал весь сетевой трафик ПК с протоколированием:

   ipfw add 50 deny log logamount 10000000 all from ip_машины to any

пояснение: все обращение с нашей машины будут сыпаться с запретом в лог, у меня /var/log/all.log.

5. Включаем сбор логов и отсеиваем в отдельный файл:

   tail --f /var/log/all.log | grep ipfw: 50 > /usr/skype.ip

6. Включаем Skype на нашем компьютере и пытаемся залогиниться.
получаем в файле skype.ip примерно следующее:

   Jul  9 14:34:10 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 217.114.226.118:37950 in via rl0
   Jul  9 14:34:11 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 87.228.19.207:15134 in via rl0
   Jul  9 14:34:12 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 95.52.139.143:52195 in via rl0
   Jul  9 14:34:12 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 95.236.12.233:15842 in via rl0

Это малая часть моего примера из файла. Там больше записей.

7. После того, как скайп сказал, что не может соединиться, выключаем его, выключаем сбор логов и удаляем наше блокирующее правило под номером 50.

8. Теперь нам нужно из всей этой каши отобрать IP, на которые обращался скайп и заблокировать в фаерволе. Я написал не большой скрипт, создаём файлик и пишем туда следующее:

   # Очищаем таблицу 1, если таковая существует.
   ipfw table 1 flush

   # Запускаем считывание ip адресов(сортируем и отбираем только уникальные записи,
   # потому что могут быть повторяющиеся), куда стучался скайп.
   awk '{print ($11)}' /usr/skype.ip | sed 's#:.*##' | sort | uniq |  while read ip;

      # Добавляем поочерёдно извлечённые адреса в таблицу 1.
      do ipfw table 1 add $ip
   done

9. Запускаем наш скрипт, если всё сделано верно, то таблица под номером 1 должна была заполниться адресами. Это можно проверить командой

   ipfw table 1 list

10. Всё, у нас есть таблица ip-адресов, куда соединялся скайп, теперь остаётся только написать правило:

   ipfw add 50 deny all from ip_машины to table\(1\)

11. Включаем скайп на нашей машине и проверяем, что скайп не может залогиниться.

Вот в принципе и всё. Проделав это, удалось заблокировать скайп, без вреда для  других программ. Да и ещё, нужно настроить сквид, что бы тот блокировал попытку соединения вида CONNECT по ip-адресам. Если ваши пользователи знают адрес прокси сервера и порт, то они могу указать это в скайпе и тот спокойно будет работать через прокси. Как это сделать есть масса статей в интернете.

И ещё нужно не забывать, что скайп может соединиться с сервером через другой компьютер, на котором запущен скайп и есть доступ в интернет. Они называются супернодами. Но у меня это не вышло, я запустил скайп на своём компьютере, залогинился и закрыл доступ другому, тот второй не смог соединиться.

Есть много способов вычислить адреса на которые стучится скайп. Мой пример - это один из вариантов и он проверен. Как часто обновляется база ip адресов я не знаю, но если эту операцию проделывать несколько раз в неделю, мне кажется можно поддерживать базу ip адресов в актуальном состоянии.


URL:
Обсуждается: http://www.opennet.me/tips/info/2599.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокирование Skype по IP-адресам во FreeBSD"  –1 +/
Сообщение от samm email(ok) on 11-Июл-11, 14:13 
Ужасное решение. Откройте для себя снорт, наконец.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 11-Июл-11, 14:24 
И, кстати, я соверешнно не понимаю кто (или что) мешает вашим пользователям использовать прокси не по адресу, а по хостнейму, гг.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Sw00p aka Jerom on 11-Июл-11, 16:06 
а что мешает делать прокси-сервер прозрачным ?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 11-Июл-11, 16:15 
> а что мешает делать прокси-сервер прозрачным ?

Это ничего не изменит. Кстати, я вообще вижу не очень много смысла в прокисровании ссл траффика - фильтрацию все равно не добавить (как и кеширование), ну разьве что статистику считать чуток удобнее.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Sw00p aka Jerom on 11-Июл-11, 16:25 
>> а что мешает делать прокси-сервер прозрачным ?
> Это ничего не изменит. Кстати, я вообще вижу не очень много смысла
> в прокисровании ссл траффика - фильтрацию все равно не добавить (как
> и кеширование), ну разьве что статистику считать чуток удобнее.

да плохая идейка проксировать ссл - я предпочитаю натировать

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Aquarius (ok) on 13-Июл-11, 20:04 
> а что мешает делать прокси-сервер прозрачным ?

а с каких пор skype работает по http?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Nik (??) on 28-Июл-11, 18:35 
Вообще-то с рождения. :-)
Он пробует разные протоколы, и если ничего не получается, врубает http.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

7. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от max88 email(ok) on 11-Июл-11, 16:18 
Имеется ввиду не само обращение пользователя к прокси серверу, а уже скайпа к своим серверам. Скайп всегда обращается к серверам по ip-адресам, а не по хостнеймам.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 11-Июл-11, 16:21 
А, понятно. Ну да, это логично запретить, не думаю что кто-то использует ссл с айпи только.

> Имеется ввиду не само обращение пользователя к прокси серверу, а уже скайпа
> к своим серверам. Скайп всегда обращается к серверам по ip-адресам, а
> не по хостнеймам.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

4. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Sw00p aka Jerom on 11-Июл-11, 16:08 
> Ужасное решение. Откройте для себя снорт, наконец.

по ваше анализировать в реалтайме трафик - это круто ? нежели один раз проснифать и статически всё блочить

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 11-Июл-11, 16:13 
>> Ужасное решение. Откройте для себя снорт, наконец.
> по ваше анализировать в реалтайме трафик - это круто ?

Это не "круто", это то, как работают все современные IDS.

> нежели один раз проснифать и статически всё блочить

1 раз в неделю вы хотели сказать. При этом решение требует еженедельного ручного обновления. И обходится элементарно. А так - все круто, да, нет сомнений.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Sw00p aka Jerom on 11-Июл-11, 16:23 
>>1 раз в неделю вы хотели сказать.

то есть вы хотите сказать что скайп обращается к нодам авторизации не на прямую а через посредников ?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от max88 email(ok) on 11-Июл-11, 16:27 
>>>1 раз в неделю вы хотели сказать.
> то есть вы хотите сказать что скайп обращается к нодам авторизации не
> на прямую а через посредников ?

Да, у скайпа есть такая возможномсть, соединиться через другой компьютер, где запущен скайп. В реальной сети я пробовал это, компьютер на котором запрещён скайп, не смог соедениться через другой компьютер, на котором был запущен скайп и был в сети. Возможно это будет работать, только при наличии каких то определённых параметров, таких как мощность компьютера, скорость соединения с интернетом и т.д.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Sw00p aka Jerom on 11-Июл-11, 16:33 
>>>>1 раз в неделю вы хотели сказать.
>> то есть вы хотите сказать что скайп обращается к нодам авторизации не
>> на прямую а через посредников ?
> Да, у скайпа есть такая возможномсть, соединиться через другой компьютер, где запущен
> скайп. В реальной сети я пробовал это, компьютер на котором запрещён
> скайп, не смог соедениться через другой компьютер, на котором был запущен
> скайп и был в сети. Возможно это будет работать, только при
> наличии каких то определённых параметров, таких как мощность компьютера, скорость соединения
> с интернетом и т.д.

___h_t_t_p://www.villoing.net/dossiers/skype.pdf

всё равно можно статически (статическими правилами файервола) блочить скайп
выявлять сигнатуры пакетов на авторизацию

тоже самое и делают IDS
так же и блочиться p2p (который как три года успешно режу по сигнатуре)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Аноним (??) on 11-Июл-11, 17:45 
> __h_t_t_p://www.villoing.net/dossiers/skype.pdf
> всё равно можно статически (статическими правилами файервола) блочить скайп
> выявлять сигнатуры пакетов на авторизацию

А можно реальные примеры правил блокировки или хотя бы сигнатур ? А то в том документе только расплывчатые теоретические выкладки.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 11-Июл-11, 17:48 
>> __h_t_t_p://www.villoing.net/dossiers/skype.pdf
>> всё равно можно статически (статическими правилами файервола) блочить скайп
>> выявлять сигнатуры пакетов на авторизацию
> А можно реальные примеры правил блокировки или хотя бы сигнатур ? А
> то в том документе только расплывчатые теоретические выкладки.

Вас точно забанили в гугле. Посмотрите правила снорта.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Sw00p aka Jerom on 13-Июл-11, 14:13 
http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsense...

http://www1.cs.columbia.edu/~salman/publications/skype1_4.pdf

http://www.md3v.com/block-skype-with-snort

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

11. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Bestman on 11-Июл-11, 16:26 
Зачем всё это? Не проще перекрыть порты skype?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от max88 email(ok) on 11-Июл-11, 16:30 
> Зачем всё это? Не проще перекрыть порты skype?

Да, можно, и проще всего. Видите ли, запретив все порты, мы запретим и 443(https), а его используют давольно часто, придётся жёстко прописывать в браузере адрес прокси сервера, т.к. прозрачного https проксирования не существует, на сколько я знаю. И к тому же мы перекроем доступ к аське и маил агенту, а может их не надо закрывать. Опять же, их можно пустить через проксю, но это геморно. ИМХО.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Mikula on 22-Июл-11, 16:05 
>к тому же мы перекроем доступ к аське и маил агенту

IMHO нет. Т.к. "стандратный" аськин порт 80-ый. К тому же ася-зло

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 11-Июл-11, 17:37 
> Зачем всё это? Не проще перекрыть порты skype?

ГГ ) Нет никаких "портов скайп".

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Блокирование Skype по IP-адресам во FreeBSD"  –1 +/
Сообщение от Mikula on 22-Июл-11, 16:06 
>> Зачем всё это? Не проще перекрыть порты skype?
> ГГ ) Нет никаких "портов скайп".

ГГ ) Т.е. связь через астрал, так и запишем :-D

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от samm email(ok) on 22-Июл-11, 16:09 
> ГГ ) Т.е. связь через астрал, так и запишем :-D

хорошо, 1-65535, вам так легче? Добавим в фаер блокировку по портам, ась?

Удивительно, что только не делают вместо того, чтобы немного почитать об обсуждаемой теме.


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Mikula on 28-Июл-11, 10:42 
>хорошо, 1-65535, вам так легче?

Что, узнали диапазон портов? Возьми с полки пряник

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Bestman on 28-Июл-11, 10:47 
>> ГГ ) Т.е. связь через астрал, так и запишем :-D
> хорошо, 1-65535, вам так легче? Добавим в фаер блокировку по портам, ась?
> Удивительно, что только не делают вместо того, чтобы немного почитать об обсуждаемой
> теме.

Т.е. всё же порты используются? Молодец! Растёшь на глазах.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

18. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Гость email on 12-Июл-11, 10:30 
Автор русский язык в интернете учил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от mastertron email on 12-Июл-11, 18:37 
Не, не получится по IP. Я с успехом заблокировал и скайп и тимвьювер с помощью squid acl ... browser ... Запихнул в список строки приветствия используемых в сети браузеров, остальные - отдыхают.
Подробней тут http://forum.lissyara.su/viewtopic.php?f=4&t=30321&hilit=squ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Аноним (??) on 13-Июл-11, 09:01 
Какое-то кривое пионерское решение. Что такой недо-совет делает на опеннете? Столь мощные советы школьного уровня позорят ресурс: такие горе-советы более уместны в журнале "ксакеп", там их поймут и даже поверят что все эти извращения - типа круто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "а"  +/
Сообщение от dima (??) on 13-Июл-11, 15:57 
а зачем нужно блочить скайп ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "да"  +/
Сообщение от Andrey Mitrofanov on 13-Июл-11, 17:22 
Чтобы ФСБ не слушало, очевидно же.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Блокирование Skype по IP-адресам во FreeBSD"  +1 +/
Сообщение от Кос (??) on 17-Июл-11, 21:17 
А почему Скайп вообще установлен у этих пользователей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Maresias (ok) on 24-Июл-11, 15:38 
> А почему Скайп вообще установлен у этих пользователей?

Чтобы можно было блокировать ему доступ в инет. Просто выпилить - это скучно :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от Аноним (??) on 27-Июл-11, 12:11 
> А почему Скайп вообще установлен у этих пользователей?

У них личные ноутбуки :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Блокирование Skype по IP-адресам во FreeBSD"  +/
Сообщение от count0 (ok) on 18-Авг-11, 08:27 
>> А почему Скайп вообще установлен у этих пользователей?
> У них личные ноутбуки :)

Подобные вопросы (о разрешении/запрещении использования определенного ПО) определяются корпоративной политикой. Директор выпускает распоряжение о списке разрешенного ПО (на "личных" ПК можно запретить его запускать во время подключения к ресурсам компании). Всё остальное - разрешается по служебке, которые хранятся в сейфе. При 1м фиксировании нездоровой активности с ПК - пользователю отправляется предупреждение о нарушении корп. политики (со скриншотом лога во вложении), копия - на его непоср. руководителя. При повторном нарушении - последнее китайское, с копией на директора предприятия, поднимается вопрос о необходимости использования интернета данным сотрудником, его соответствии занимаемой должности. При 3м нарушении - интернет отключается без предупреждений, подключение - по письменному указанию директора.

Работает на 100% эффективно, снорт не нужен (хотя и стоит, но для других целей, прикрывает внешку). Юзеры поначалу качают права, после пары увольнений начинают относиться очень вежливо и доброжелательно.  

Дружите с директорами - работы становится намного меньше ;-)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру