I: Domanda su Skype
-
Ciao,
purtroppo o per forttuna skype utilizza un protocollo che riesce ad adattarsi alla rete per attraversare indenne la maggior parte dei firewall.Vi do qualche dettaglio, magari vi viene un'idea brillante
-
La connessione iniziale uscente di Skype può utilizzare una qualsiasi combinazione dinamica di porte TCP e UDP tra cui alcune porte che normalmente vengono lasciate aperte come la numero 80 (traffico web) e la numero 443 (traffico web SSL codificato). Questo rende i filtri tradizionali a livello di porta totalmente inefficaci.
-
Le sessioni Skype utilizzano una crittografia asimmetrica con chiave AES di 256bit. Risulta quindi impossibile intercettarne il protocollo e decodificarlo.
-
Skype utilizza metodi proprietari di attraversamento NAT simile per raggiungere internet.
-
E'quasi impossibile bloccare gli IP a cui si connette.
L'unico modo che conosco è utilizzare un IDS che sia ingrado di riconoscere tramite un'impronta del pacchetto le connessioni skype. Sfortunatamente pfsense non dispone di un IDS e quindi per ora bloccare skype è molto arduo.
Per farlo occorrono firewall di fascia alta oppure si potrebbe ipotizzare l'installazione di un IDS in accoppiata con PFsense. Si potrebbe anche ipotizzare a qualche accrocchio che sfrutti squid ed altri pacchetti aggiuntivi per pfsense che tenti di riconoscere il traffico skype facendo un ispezione dei pacchetti.Ciao
-
-
Questi sono i pacchetti che passano al momento d'instaurare la connessione per Skype Versione 0.97
Magari possono essere utili per il filtro.GET /ui/0/97/en/installed HTTP/1.1
User-Agent: Skype Beta 0.97
Host: ui.skype.com
Cache-Control: no-cacheGET /ui/0/97/en/getlatestversion?ver=0.97.0.6 HTTP/1.1
User-Agent: Skype Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache -
…ancora su skype, leggi quest'articolo, anche l'autore cerca di fare quello che ti ho suggerito sfruttando squid
http://stefano.dscnet.org/a/bloccare_skype_con_squid
-
…ancora su skype, leggi quest'articolo, anche l'autore cerca di fare quello che ti ho suggerito sfruttando squid
http://stefano.dscnet.org/a/bloccare_skype_con_squid
proverò domani questo metodo…ma quello che non c'è scritto è che credo bisogna bloccare anche il traffico udp altrimenti skype passa lo stesso..
-
non ho provato, ma una soluzione (primo link cercando con google "pfsense block skype") sembra essere usare snort:
http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsenseandSnort/BlockingSkypewithPfsenseandSnort.htmps: non ricordo nemmeno se snort è compatibile con 1.2
ciao
-
non ho provato, ma una soluzione (primo link cercando con google "pfsense block skype") sembra essere usare snort:
http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsenseandSnort/BlockingSkypewithPfsenseandSnort.htmps: non ricordo nemmeno se snort è compatibile con 1.2
ciao
6 UN GENIO.
Apprate gli scherzi .. ho seguito passo passo il link che hai fornito e funziona per davvero .. almeno con skype 3.6 … non l'ho ancora provato con il 3.8
In oltre con snort sono riuscito a fare altre cose simpatiche per msn e altro.
Peccato non funzioni proprio bene con il torrent.Da provare.
Matteo
Ciaoz.- -
io ho installato snort ma non vedo nessun menu di "snort".
Bisogna forse configurarlo con la shell ? -
Snort lo trovi sotto il menù Services.
Io ho configurato tutto da web.
Ovviamente devi registrarti sul sito di snort per il code oink.Poi per il resto non ho trovato particolari difficoltà.
Matteo
Ciaoz.-
-
si infatti vedo tutti gli altri package invece snort non c'è…
boh.
proverò di nuovo -
Ciao Matteo , anche io riuscivo a bloccarlo con snort . Il problema che ho riscontrato è questo :
Quando snort intercetta la richiesta di login del client Skype genera l'alert e automatiamente blocca l'offender , peccato che nel mio caso quando bloccava il client non gli permetteva di andare su internet solo di vedere la rete locale.
Con quale versione di snort hai risolto il problema ?
Hai usato qualche configurazione particolare ?Saluti
-
Ciao Matteo , anche io riuscivo a bloccarlo con snort . Il problema che ho riscontrato è questo :
Quando snort intercetta la richiesta di login del client Skype genera l'alert e automatiamente blocca l'offender , peccato che nel mio caso quando bloccava il client non gli permetteva di andare su internet solo di vedere la rete locale.
Con quale versione di snort hai risolto il problema ?
Hai usato qualche configurazione particolare ?Saluti
A dire il vero non ho rilevato alcun problema particolare … ho usato il pacco che viene giù direttamente dalla GUI di pf. Mi sono registrato su snort, ho seguito le "mitiche" istruzioni raccatta nella rete e fine. Problemi particolari non ne ho riscontrati (e tutt'ora non ne riscontro).
Ciaoz.-
Matteo