|
|
|
|
| |
|
ISA Server 2006 /
2004 : Come bloccare Skype
|
Autore:
Giulio Martino
Data: 04.12.2006
Informazioni sull'Autore:
opera su sistemi Microsoft
fin dai tempi del DOS
senza trascurare sistemi
Unix, Linux. Le sue competenze
spaziano anche nella installazione
e configurazione di apparati
di rete, firewall e sistemi
di posta. Svolge la propria
attività a Matera.
Domande
sull'articolo? Scrivi
sul forum di ISAServer.it
>>
|
-
ISA Server 2006/2004-
Skype: Come bloccare
il traffico
|
Introduzione
Dopo una richiesta fatta
sul forum di www.isaserver.it,
mi sono incuriosito è
ho cercato un modo semplice
e sicuro per bloccare
gli utenti LAN che usano
Skype.
Prima di entrare nel dettaglio
delle impostazioni, è
necessario fare alcune
considerazioni:
|
1
-
|
Il traffico Skype
è crittografato
|
|
2
-
|
Il
Voip è realizzato
con un protocollo
proprietario e quindi
non è possbile
usare regole e/o
filtri che riguardano
h323 e/o SIP |
|
3
-
|
Per
bypassare alcuni
firewall i programmatori
di skype danno come
opzione la possibilità
di utilizzare le
porte 80 (HTTP)
e 443 (HTTPS) per
la comunicazione,
ingannando di fatto
i firewall. |
Scenario
|
1
-
|
ISA
Server 2004/2006
installato su Windows
Server 2003 in modalità
Edge Firewall |
|
2
-
|
Per
il traffico HTTP/HTTPS
deve esistere una
apposita regola
|
|
Regola
attiva su
ISA Server
|
|
|
|
Soluzione
All'avvio di Skype, prima
che la connessione venga
criptata, ci sono un paio
di passaggi interessanti
e utili per la realizzazione
del nostro filtro:
|
|
GET
/ui/0/97/en/installed
HTTP/1.1
User-Agent:
Skype™ Beta
0.97
Host: ui.skype.com
Cache-Control:
no-cache |
GET
/ui/0/97/en/getlatestversion?ver=0.97.0.6
HTTP/1.1
User-Agent:
Skype™ Beta
0.97
Host: ui.skype.com
Cache-Control:
no-cache |
|
Dump
traffico
di rete
Skype Versione
3.0
|
|
|
|
Il client invia delle
richieste HTTP e HTTPS
con il metodo GET al server
di skype, la cosa interessante
non è tanto il
GET che, se filtrato,
bloccherebbe la navigazione,
ma User-Agent che ha una
chiave comune per tutte
le versioni (io ho testato
la 3 ancora in versione
beta) che è Skype.
Bene a questo punto grazie
alla potenza dei filtri
applicazione, ed in
modo particolare del filtro
applicazione HTTP (Web
Proxy Filter) possiamo
dire a ISA Server di bloccare
tutto quello che, nella
signature, contiene la
chiave Skype.
|
Configurazione
HTTP Filter
per Skype
|
|
|
|
Riferimenti
Post sul forum di
ISAServer.it
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=412
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=292
Protocollo Skype
http://www1.cs.columbia.edu/~library/TR-repository/reports/reports-2004/cucs-039-04.pdf
http://www.skype.com/help/faq/technical.html
HTTP Filtering in
ISA Server 2004
http://www.microsoft.com/technet/isa/2004/plan/httpfiltering.mspx
Buon
Lavoro con ISAServer.it
Giulio Martino
ISAServer.it
ed i suoi Autori non sono
responsabili per danni
di qualsiasi tipo - inclusi
danni per perdita o mancato
guadagno, interruzione
dell'attivita', perdita
di informazioni commerciali
o altre perdite pecuniarie
- derivanti o correlati
all'utilizzo o all'incapacita'
di utilizzo delle informazioni
e degli esempi riportati
- per quanto testati e
funzionanti -. Le informazioni
e gli script sono "cosi'
come sono", senza
garanzia di nessun tipo.
L'intero rischio derivante
dall'uso delle informazioni
e degli script di esempio
e' interamente a proprio
carico. L'utilizzo è
consentito solo accettando
le presenti condizioni.
|
|
| |
|
|
| |
|
|
|
|
