proNovell

У клиента появилось желание заблокировать в конторе Скайп. На данный момент ничего существенного между компами и роутером / прокси провайдера у них нет. Пров предоставляет возможность блокировать сайты, но сомнительно, что простой блокировкой сайтов можно добиться желаемого результата. Кроме того, не хочется убивать Скайп на компах, т.к. многие из них используются вне конторы - и там как раз желательно чтобы этот Скайп работал.

Андрей Тр. aka RH писал(а):У клиента появилось желание заблокировать в конторе Скайп. На данный момент ничего существенного между компами и роутером / прокси провайдера у них нет. Пров предоставляет возможность блокировать сайты, но сомнительно, что простой блокировкой сайтов можно добиться желаемого результата. Кроме того, не хочется убивать Скайп на компах, т.к. многие из них используются вне конторы - и там как раз желательно чтобы этот Скайп работал.

Скайп очень живучий.

Вы не сможете заблокировать скайп путем:

• Блокировки dns имен
• блокировкой ip адресов
• блокировкой портов (если заблокировать все порты, скайп начнет пользоваться 80)

вы можете:

• купить железо аля циско с поддержкой блокировки скайп трафика
• заблокировать запуск skype на рабочих станциях.

последнее самое простое и дешевое.

Здравствуйте, Андрей!
Некоторое время тому мы искали хороший инструмент для DLP-функций...
Перебрали многое, но в плане взятия к ногтю скайпа ничего лучшего, чем вот это чудоВперьях, не нашли.

_http://www.searchinform.ru/main/full-text-search-information-security-product-skype-sniffer.html

Другое дело, что, по нашим меркам, стоит это удовольствие ( в полной комплектации) просто невменяемо, да и бороться с инсайдерами оказалось проще не инструментами, а приёмами, т.е. разкумно организованными угрозами.

Успехов!

Clericos писал(а):Скайп очень живучий.

Вы не сможете заблокировать скайп путем:

• Блокировки dns имен
• блокировкой ip адресов
• блокировкой портов (если заблокировать все порты, скайп начнет пользоваться 80)

вы можете:

• купить железо аля циско с поддержкой блокировки скайп трафика
• заблокировать запуск skype на рабочих станциях.

последнее самое простое и дешевое.

Я подозревал, что он живучий - поэтому не хочется тратить на это много усилий и времени, если оно все равно впустую ( пока хочу просто оценить ситуацию ). Насчет железо аля циско с поддержкой блокировки скайп трафика можно поподробнее ? Полное отключение скайпа ( типа черех хэш ) на клиентах маловероятно - юзеры там локальные админы, плюс, как уже писал, хочется таки оставить им его для внеконторного использования.

Николай, спасибо за информацию. Пока склоняемся к борьбе с прямоходящими с использованием подручных средств.

Андрей Тр. aka RH писал(а):

Clericos писал(а):Скайп очень живучий.

Вы не сможете заблокировать скайп путем:

• Блокировки dns имен
• блокировкой ip адресов
• блокировкой портов (если заблокировать все порты, скайп начнет пользоваться 80)

вы можете:

• купить железо аля циско с поддержкой блокировки скайп трафика
• заблокировать запуск skype на рабочих станциях.

последнее самое простое и дешевое.

Насчет железо аля циско с поддержкой блокировки скайп трафика можно поподробнее ?

Почитайте
cisco skype block

Я думаю существуют "технологии" для других аппаратных и программных фаерволов за деньги. Я таких не знаю, но чувствую они есть.

Пишут, что http://www.microsoftnow.com/2010/06/blo ... t-tmg.html Почитав коменты, склоняюсь к версии что оно, скорее, возможно. Хотя нет ясности с последними версиями скайпа и ТМГ. Плюс, похоже, для этого надо ставить ТМГ клиента у клиентов.

1. запретить запросы , которые состоят из цифр (не имен)
. потом будите делать исключения
и
2. соответсвенно запретить к *skype*
и
3. по-хорошему запроетить метод CONNECT . потом будите делать исключения для разрешения куда нужен CONNECT)

У нас в качестве фаера Checkpoint R75. Там в SmartDefense все ненужные приложения отключаем (скайп, мессенжеры и иже с ними). Не просачивается

Timur Kazimirov писал(а):У нас в качестве фаера Checkpoint R75.

Сколько он стоит? и на сколько пользователей рассчитан?

Clericos писал(а):Сколько он стоит?

Тут я лучше промолчу... Дорого!

и на сколько пользователей рассчитан?

Каких именно? Сколько машин будет внутри локалки? Там это не ограничивается. Лицензируются VPN-соединения (тут тоже относительно дорого, примерно 50 баксов за лицензию).

skoltogyan писал(а):1. запретить запросы , которые состоят из цифр (не имен)
. потом будите делать исключения
и
2. соответсвенно запретить к *skype*
и
3. по-хорошему запроетить метод CONNECT . потом будите делать исключения для разрешения куда нужен CONNECT)

Так работаем достаточно давно, метод CONNECT не запрещали. исключений не так много.

На маршрутизаторе Cisco:

class-map Skype
match protocol skype

policy-map DenyScype
class Scype
police 8000 conform-action drop exceed-action drop

interface Fa0/0
description Inside Users
....
service-policy input DenySkype
....

Попробуйте так. Впринципе схема рабочая. Правда может быть одно НО. Из-за ошибок в IOS роутер может уходить в крэш. Подбирать IOS аккуратно надо.

Чекпоинт - склочная и капризная программа.
Несколько лет тому нам её впендюрили совместно со средней сложности сервером - типа, "комплексное решение по защите".

Впечатления негативные:
- сложна в настройке
- достаточно дорогая
- несколько раз случался слёт правил при аварийных выключениях хоста ( ночью в пятн. пропадает пит., машинка штатно закрывается и после появления фазы - запускается. все программы и службы на месте, фаер тоже запускается, но правил своих не подцепляет. в рез. все выходные люди ходят в Сеть по собственным коммерческим каналам. утром админ руками тыкает ему подхватить правила и он их находит и работает.)

Ну, Николай, насчет склочности и капризности я с вами не соглашусь.
То, что дорогая - несомненно.
Сложная? До что там такого сложного-то? Для ИТ-инженера средней квалификации не сложнее, чем Lotus Domino, по крайней мере
Слетают настройки при отказе железа - так это для любого продукта справедливо - хоть для NetWare, хоть для MS SQL, хоть для Cisco IOS и т.п., для элиминации этого как раз кластеры/стеки/фермы (ну и непременно бэкапы) и существуют.

Timur Kazimirov писал(а):

Clericos писал(а):Сколько он стоит?

Тут я лучше промолчу... Дорого!

и на сколько пользователей рассчитан?

Каких именно? Сколько машин будет внутри локалки? Там это не ограничивается. Лицензируются VPN-соединения (тут тоже относительно дорого, примерно 50 баксов за лицензию).

Преувеличиваете. Что-то порядка 5000$ за 50 пользователей. Лицензия бумажная, реально можно юзать любое число пользователей
Пользователь - это тот, кто ходит в инет или авторизуется на самом CP. У нас в инет ходит десятка два компов юзеров, две прокси и десятка два серверов. нам хватает