No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server / Forefront TMG

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 

<< Torna all'elenco degli Articoli
 
ISA Server 2006 / 2004 : Come bloccare Skype
Autore: Giulio Martino
Data:
04.12.2006
Informazioni sull'Autore:
opera su sistemi Microsoft fin dai tempi del DOS senza trascurare sistemi Unix, Linux. Le sue competenze spaziano anche nella installazione e configurazione di apparati di rete, firewall e sistemi di posta. Svolge la propria attività a Matera.

Domande sull'articolo? Scrivi sul forum di ISAServer.it >>


- ISA Server 2006/2004-
Skype: Come bloccare il traffico

Introduzione
Dopo una richiesta fatta sul forum di www.isaserver.it, mi sono incuriosito è ho cercato un modo semplice e sicuro per bloccare gli utenti LAN che usano Skype.


Prima di entrare nel dettaglio delle impostazioni, è necessario fare alcune considerazioni:
1 -
Il traffico Skype è crittografato
2 -
Il Voip è realizzato con un protocollo proprietario e quindi non è possbile usare regole e/o filtri che riguardano h323 e/o SIP
3 -
Per bypassare alcuni firewall i programmatori di skype danno come opzione la possibilità di utilizzare le porte 80 (HTTP) e 443 (HTTPS) per la comunicazione, ingannando di fatto i firewall.

Scenario
1 -
ISA Server 2004/2006 installato su Windows Server 2003 in modalità Edge Firewall
2 -
Per il traffico HTTP/HTTPS deve esistere una apposita regola

Regola attiva su ISA Server

Soluzione
All'avvio di Skype, prima che la connessione venga criptata, ci sono un paio di passaggi interessanti e utili per la realizzazione del nostro filtro:


Skype Versione 0.97
GET /ui/0/97/en/installed HTTP/1.1
User-Agent: Skype™ Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache
GET /ui/0/97/en/getlatestversion?ver=0.97.0.6 HTTP/1.1
User-Agent: Skype™ Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache

Dump traffico di rete Skype Versione 3.0

Il client invia delle richieste HTTP e HTTPS con il metodo GET al server di skype, la cosa interessante non è tanto il GET che, se filtrato, bloccherebbe la navigazione, ma User-Agent che ha una chiave comune per tutte le versioni (io ho testato la 3 ancora in versione beta) che è Skype.

Bene a questo punto grazie alla potenza dei filtri applicazione, ed in modo particolare del filtro applicazione HTTP (Web Proxy Filter) possiamo dire a ISA Server di bloccare tutto quello che, nella signature, contiene la chiave Skype.

Configurazione HTTP Filter per Skype


Riferimenti
Post sul forum di ISAServer.it
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=412
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=292

Protocollo Skype
http://www1.cs.columbia.edu/~library/TR-repository/reports/reports-2004/cucs-039-04.pdf
http://www.skype.com/help/faq/technical.html

HTTP Filtering in ISA Server 2004
http://www.microsoft.com/technet/isa/2004/plan/httpfiltering.mspx

Buon Lavoro con ISAServer.it

Giulio Martino

ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.

 
 
 
 
No banner in farm


ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server / Forefront TMG

Pubblicità su ISAserver.it - Note d'uso - Privacy
Copyright© 2004-2008 Luca Conte Tutti i diritti riservati.