Prima di entrare nel dettaglio delle impostazioni, è necessario fare alcune considerazioni:
|
1 -
|
Il traffico Skype è crittografato |
|
2 -
|
Il Voip è realizzato con un protocollo proprietario e quindi non è possbile usare regole e/o filtri che riguardano h323 e/o SIP |
|
3 -
|
Per bypassare alcuni firewall i programmatori di skype danno come opzione la possibilità di utilizzare le porte 80 (HTTP) e 443 (HTTPS) per la comunicazione, ingannando di fatto i firewall. |
Scenario
|
1 -
|
ISA Server 2004/2006 installato su Windows Server 2003 in modalità Edge Firewall |
|
2 -
|
Per il traffico HTTP/HTTPS deve esistere una apposita regola |
Soluzione
All'avvio di Skype, prima che la connessione venga criptata, ci sono un paio di passaggi interessanti e utili per la realizzazione del nostro filtro:
|
|
| GET /ui/0/97/en/installed HTTP/1.1 User-Agent: Skype™ Beta 0.97 Host: ui.skype.com Cache-Control: no-cache |
|
| GET /ui/0/97/en/getlatestversion?ver=0.97.0.6 HTTP/1.1 User-Agent: Skype™ Beta 0.97 Host: ui.skype.com Cache-Control: no-cache |
Il client invia delle richieste HTTP e HTTPS con il metodo GET al server di skype, la cosa interessante non è tanto il GET che, se filtrato, bloccherebbe la navigazione, ma User-Agent che ha una chiave comune per tutte le versioni (io ho testato la 3 ancora in versione beta) che è Skype.
Bene a questo punto grazie alla potenza dei filtri applicazione, ed in modo particolare del filtro applicazione HTTP (Web Proxy Filter) possiamo dire a ISA Server di bloccare tutto quello che, nella signature, contiene la chiave Skype.
Fonte: www.isaserver.it
Commenti
L'alternativa è bloccare l'utente windows che si connette a skype di connettersi a skype (scusa il gioco di parole) con una firewall rule su ISA. In poche parole devi inserire nel campo TO della regola, l'utente windows.
RSS feed dei commenti di questo post.