Re: [squid-br] ### Bloquear Skype ###

Thu, 18 May 2006 12:04:56 -0700

Ola Luciano, esse Skype é uma praga mesmo hen!! aqui no trabalho já estou quase fazendo o seguinte, bloqueio HTTPS por padrão e so libero para alguns sites, como bancos Emails etc...

Em 18/05/06, Luciano Teixeira <[EMAIL PROTECTED]> escreveu:
Fala Rogerio,

como taí na Sefaz ? :-))

Aqui eu já uso e ainda assim não funciona !

Até

Rogério Moura < [EMAIL PROTECTED]> escreveu:
Galera, não seria interessante usar um Dansguardian como proxy??? pois ele faz proxy 80 e 443 alguem na lista deve usar o Dans+squid como proxy na rede dai acho, não tenho certeza que com essa dupla pode-se barrar o Skype.

Em 18/05/06, Luciano Teixeira <[EMAIL PROTECTED] > escreveu:
Fala Henrique,

o que exatamente não funciona é que quando o Skype pega as configurações de proxy do IE ele consegue se conectar, mesmo esse "errinho de grafia" estando corrigido :-)

Se ele não pegar as configurações do IE ele não conecta, pq o resto das máquinas não tem acesso a portas altas e nem a 80 e 443. Agora do proxy é complicado barrar essas portas :-))

Na verdade acredito que tenho que arrumar uma maneira de barrar essa conexão pelo proxy, mas do jeito que tá nesse artigo não deu certo por aqui.

Mas de qualquer forma obrigado pela atenção ! Sigo na batalha :-p

Até


Henrique <[EMAIL PROTECTED]> escreveu:
Luciano,o que exatamente não funciona ?
você percebeu que as regras tem um errinho de grafia, né?

acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
http access deny connect numerics_IPs all

numeric_IPs na primeira linha e numerics_IPs na segunda. No mais, é uma boa
idéia, a maioria dos meus problemas vêm de máquinas que são acessadas por
ip's ao invés de nomes. A única coisa realmente chata é ter que adicionar
regras liberando a meia duzia de sites legitimos que por uma incompetência ou
outra da parte de lá não possuem dns. É a vida... não se pode ter tudo.

Pra quem usa squidguard, um jeito facil de bloquear acessos a ip's de maquinas
pra forçar o uso de dominios é usando a regra embutida in-addr. Ou seja,
somente colocar !in-addr na parte de acls. Mas não esquecer de acrescentar
uma acl com sites reconhecidamente "probrematicos" a serem liberados... (a lá
msn, por ex, pra quem precisa.)

[ ]s, Henry.



Em Qui 18 Mai 2006 09:11, Luciano Teixeira escreveu:
> Bom dia Max,
>
> desculpe a demora em responder. Quando qualquer usuário aqui na rede que
> administro tenta abrir o Skype ele não consegue roda-lo, isso é fato,
> justamente pela política DROP que eu uso. Agora o que acontece é que o
> Skype puxa as configurações de proxy do IE e consegue se conectar
> justamente através do proxy pelas portas 443 e 80 que estão obviamente
> liberadas. Somente bloqueando expressões regulares não funciona.
>
> Dando uma pesquisada no Google aqui encontrei esse artigo. Gostaria que os
> amigos dessem uma olhada e testassem. Aqui eu fiz da maneira que o Tio Sam
> escreveu mas não funcionou :-(
>
> Dêem uma olhadinha e no mais muito obrigado !
>
>
> Blocking Skype Using Squid and OpenBSD
> ---------------------------------------
>
>
> Abstract :
>
> After much digging online for an effective way to stop this pesky app
> that is highly de-centralised and a big pain to blocked, I finally found
> a way
> to do quite nicely. It has been working perfectly fine on our corporate
> network, and we have had no complaints of users being denied access to
> legitimate web destinations (that are in compliance with our security
> policy of course). I used Squid-proxy running on an OpenBSD server to
> carry out the below. The choice of OS to run the proxy on is subjective
> (I chose OpenBSD as my network OS of choice for its proven security
> record and excellent reliability) and has no effect over the actual
> blocking mechanism. The same can be accomplished on any other BSD or Linux
> flavour.
>
>
> Background :
>
> This basic write-up will not delve deeply into the operation of Skype,
> but will quickly highlight the main challenges of blocking this
> application. As
> mentioned, the below is not an accurate study of how Skype operates, and
> is not be a comprehensive analysis of its behaviour :
>
> 1) Skype will initially attempt to contact supernodes, the IPs of which
> are in a file stored along with the other files that Skype installs. The
> first method of contact is direct. The source ports that Skype attempts
> to connect from are non-default ports. From my observations I could see
> that the UDP source port 1247 is the initial control channel. Once the
> connection is established, the rest of the communications is done in TCP
> over non-default source ports with ranges sweeping from 2940-3000.
> In general, any company that is serious about its security policy would
> have strict egress filtering rules, which makes identifying the
> non-default source/destination ports that Skype uses irrelevant since
> they would be blocked anyway.
>
> 2) If the above fails, Skype will use the proxy server specified in
> Internet Explorer, and attempt to tunnel the traffic over port 443 using
> the SSL protocol. The destination IPs are of course random as above, which
> makes destination blocking out of the question. The only option left is to
> block SSL,
> which is not really a solution, unless you want to end up excluding all
> legal SSL destinations.
> Deleting the user's proxy settings would also disallow Skype from
> connecting. That would however leave the user without internet access.
> Even if the user had no proxy settings, and the proxying was done
> transparently (which would definitely include proxying http and https
> traffic), the Skype traffic (SSL) would again be transparently proxied,
> which puts us back at square one.
>
>
>
> The Alternative That Works :
>
> Internet access services in our corporate workplace are provided by our
> proxy servers. The setup is basically Squid-proxy running over OpenBSD.
> PF (packet filter, OpenBSD's built-in firewall) takes care of all the
> egress/ingress filtering, and the rest of the content filtering is done
> in Squid using custom-written accesslists.
>
> Blocking Skype's default operation was a no-brainer, as our strict
> egress filtering rules block all outgoing traffic. The problem was with
> Skype detecting the user's proxy server, and tunneling its traffic over
> Squid. Upon checking Squid's access logs, all we could see was requests
> made by the user's machines using the 'Connect' method to random
> destination IPs.
>
> As mentioned above, blocking SSL or the 'Connect' method, means blocking
> access to all legitimate websites that use SSL (Hotmail, Yahoo,
> E-banking, E-commerce websites, e.g any website that is secured by SSL).
> Should you go down that road, you would have to explicitly allow all
> permitted destinations (an ongoing technical nightmare).
>
> The catch in successfully blocking Skype given all of the above, would be
> to block access to requests made by clients, to destination specified by
> their numeric IP address, AND using the 'Connect' method to tunnel the
> Skype data. I
> have done that simply by writing an access list in Squid that achieves
> just that.
> The access-list is in regex (regular _expression_) format that identifies
> numeric IP addresses. The access-list further specifies the connection
> method that the client is using. In Squid the 'Connect' method is
> conveniently called 'Connect' as well.
>
>
> The access list then is of the following form :
>
>
> # Your acl definitions
> acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
> acl connect method CONNECT
>
> # Apply your acls
> http access deny connect numerics_IPs all
>
>
> I have had no problems at all with the above setup, and as a result,
> only Skype is blocked, as most(if not all) companies serious about
> having a web presence
> have registered domains and hence are referenced by their FQDN URLs.
>
> The blocking was so effective, that one user told me days later, he had
> not bothered calling me the first 2 days to complain about lost Skype
> connectivity
> because he thought there was an actual problem with Skype. Apparently,
> Skype is so good at getting around firewalls. On the third day however,
> the user called
> to inquire whether Skype had effectively been blocked. The answer was a
> efinitive yes :)
>
>
> Maxwillian Miorim escreveu: Se usa tunelamento faça-o

> passar pelo proxy e no proxy bloqueie tudo que tiver a expressão skype. No
> mais use um firewall com política DROP que não dará alternativas aos
> usuários.


Enviar mensagem: [email protected]
Assinar: [EMAIL PROTECTED]
Cancelar assinatura: [EMAIL PROTECTED]
Proprietário da lista: [EMAIL PROTECTED]



Links do Yahoo! Grupos

<*> Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/squid-br/

<*> Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]

<*> O uso que você faz do Yahoo! Grupos está sujeito aos:



==========================================================
(o- Luciano Leite Teixeira
//\ Administrador de Rede
V_/ [EMAIL PROTECTED]
Palmas - Tocantins - BRASIL
msn: [EMAIL PROTECTED]

==========================================================
Abra sua conta no Yahoo! Mail - 1GB de espaço, alertas de e-mail no celular e anti-spam realmente eficaz.

Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos




==========================================================
(o- Luciano Leite Teixeira
//\ Administrador de Rede
V_/ [EMAIL PROTECTED]
Palmas - Tocantins - BRASIL
msn: [EMAIL PROTECTED]

==========================================================

Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos




Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos

Responder a