skype blockieren ?

Moderator: Securepoint

Gesperrt
walterkr
Beiträge: 4
Registriert: Do 23.10.2008, 10:39
Wohnort: Vienna, Austria

skype blockieren ?

Beitrag von walterkr »

hallo

bin mir jetzt nicht ganz sicher ob es überhaupt derzeit möglich ist oder die frage eher ein feature request ist


wir haben bei uns das problem das immer mehr leute skype verwenden (ist ja am mac leider recht einfach mit user rechten herunterlad- und installierbar)
ich würde daher gerne wissen ob man auf firewall ebene das protokoll selbst blokieren kann

wie ja bekannt ist das skype protokoll leider recht hartnäckig dabei eine verbindung aufzubauen

hat das ganze schon jemand probiert bzw gibt es erfahrungswerte dazu ?

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Das kann man so pauschal nicht sagen weil dies oft von der Firmenpolitik abhängt.

Was sind die Aufgaben der Mitarbeiter usw.

Kann das Regelwerk so angepasst werden, dass nur DNS und surfen über den Proxy für diese Benutzer erlaubt ist? Dann sollte auch skype zu blocken sein.

Wäre ich Firmenadmin würde ich allen Benutzern eine Unterlassungserklärung zur privaten Nutzung des Internet unterschreiben lassen. Fertig ;)
There are 10 types of people in the world... those who understand binary and those who don\'t.

Benutzeravatar
Thomas Hofmann
Beiträge: 60
Registriert: Do 11.09.2008, 13:25
Wohnort: München
Kontaktdaten:

Beitrag von Thomas Hofmann »

Hallo zusammen,

ich habe eine ähnliche Anforderung meiner Kunden. Die Kunden wollen teilweise aber "firmenpolitisch" Skype einsetzen. Insofern braucht man als Firewall-Administrator natürlich fachliche Argumente gegen Skype.

Ich schreibe hier einfach mal meine Fragen zu diesem Thema auf. Vielleicht hat jemand hier schon Erfahrungswerte und kann einen Teil der Fragen beantworten.

- was ist technisch zu tun, um Skype zu blockieren?
- was ist technisch zu tun, um Skype zuzulassen?
- welche Sicherheitsriken gibt es in Verbindung mit Skype?
- Kann man einzelne Funktionen verhindern?


danke für mögliche Antworten.

Thomas Hofmann
Thomas Hofmann
Hofmann PC-Systeme

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Thomas Hofmann hat geschrieben: - was ist technisch zu tun, um Skype zu blockieren?
Nur den Port 80 und nur über den Http_Proxy erlauben. Dns-Anfragen nur an die FW oder aber an definierte Server zulassen. Den Traffic den Skyp dann über den Proxy leitet analysiern und über eine URL-Filter blocken.
Thomas Hofmann hat geschrieben: - was ist technisch zu tun, um Skype zuzulassen?
Nichts!
Thomas Hofmann hat geschrieben: - welche Sicherheitsriken gibt es in Verbindung mit Skype?
*Angeblich ist es Skype erlaubt auch von extern auf die Clients zuzugreifen, damit ist das lokale Netz sichtbar. *ACHTUNG: Hörensagen, hierzu sollte mal die EULA von Skype studiert werden.
Thomas Hofmann hat geschrieben: - Kann man einzelne Funktionen verhindern?
Nicht das ich wüsste!
There are 10 types of people in the world... those who understand binary and those who don\'t.

Benutzeravatar
Thomas Hofmann
Beiträge: 60
Registriert: Do 11.09.2008, 13:25
Wohnort: München
Kontaktdaten:

Beitrag von Thomas Hofmann »

Hallo Carsten,

das sind aber keine schönen Aussichten! Ich hatte heute auch noch einmal Kontakt zu Eurem Support. Dort meinte ein Kollege, dass es wohl auch vorkommen kann, dass sich Skype eigenständig freie Ports sucht, über die er raus kann. Das würde dann aber auch bedeuten, dass man Skype auf der Firewall gar nicht verhindern kann.

Übertrieben ausgedrüclkt: wenn Skype keine Verbindung auf Port 80 bekommt, benutzt er einfach Port 21! Ist das wirklich so? Gibt es dafür Beweise?

Demnach habe ich aber keine Chance Skype zu erkennen.

Wenn das alles stimmt, inkl. der Frage, ob Skype den Zugriff auf den lokalen Computer erlaubt, dann muss man Sicherheitstechnisch ja Sturm laufen!

Thomas Hofmann
Thomas Hofmann
Hofmann PC-Systeme

achim
Beiträge: 255
Registriert: Fr 09.03.2007, 11:42
Wohnort: Flensburg
Kontaktdaten:

Beitrag von achim »

ich weiß, dass skype zusätzlich die gängigen http-proxy-ports (8080, 3128...) abtastet, wenns mit port 80 nicht klappt.

in einer alten version wurden dann auch noch highports getestet/gescannt. Obs heute immernoch so ist bzw. ob die ports überhaupt nach draußen geöffnet sind weiß ich nicht bzw. bezweifel ich.

naja, carstens antwort zum blockieren bringt doch den gewünschten erfolg...
Prinzipiell kann ein "vorhandener" skype-client nur durch application-proxies bzw. N-IDS geblockt werden.
per GPO/Windows-Firewall/Virenscanner etc. kann natürlich auf dem Client die Ausführung/Ablage der skype.exe (etc.) verhindert werden...

Gesperrt