Skype im LAN sperren

O

Orniflyer

0
Hi,

wie der Titel schon verrät möchte ich Skype in meinem Heimnetzwerk sperren. Allerdings scheint es gegen Portregelungen ziemlich resistent zu sein da es neben dem Port 80 (welchen ich lieber nicht sperren will) auch noch einen zufälligen Port bei der Peer2Peer Verbindung nutzt.

Welche Möglichkeiten habe ich sonst noch?
 
Keine. Außer vielleicht DPI, das ist aber vermutlich zu aufwändig/teuer.
 
keine ahnung wie sich skype verhält, wenn man die loginserver ip basiert sperrt, aber evtl wäre das noch ein ansatz ...


ansonsten:

ports 80 und 443 sperren

proxy aufsetzen ...

http CONNECT für ssl verbindungen zu zielen sperren, die als numerische ip angegeben werden
 
Hm ja stimmt, wenn du skype.com, alle Subdomains und zugehörige IPs sperrst, sollte Skype keine Session mehr starten können. Wenn man aber eine Session starten kann, ist es praktisch unmöglich Verbindungen zu verhindern. Dafür ist das Protokoll einfach zu robust; es können arbiträre Ports und sowohl TCP als auch UDP genutzt werden. Zudem werden NATs (sogar mehrere hintereinander!) effektiv durch den mehrstufigen "Ping/Pang/Pong" (ich nenne es mal so) Verbindungsaufbau umgangen.
Alles nicht so einfach ;)

Folgende Server sollten ausreichen: dir1.sd.skype.net:9010 dir2.sd.skype.net:9010 dir3.sd.skype.net:9010 dir4.sd.skype.net:9010 dir5.sd.skype.net:9010 dir6.sd.skype.net:9010 dir7.sd.skype.net:9010 dir8.sd.skype.net:9010 http1.sd.skype.net:80 http2.sd.skype.net:80 http3.sd.skype.net:80 http4.sd.skype.net:80 http5.sd.skype.net:80 http6.sd.skype.net:80 http7.sd.skype.net:80 http8.sd.skype.net:80
Quelle

Aber wie gesagt, sobald eine Sitzung geöffnet wurde, bist du im Grunde schon verloren. Skype ist P2P und braucht den zentralen Server nur zur Authentifizierung und zum Anbohren von Firewalls/NATs; das Protokoll an sich kann man eben auch nicht erkennen, da es komplett via Verschlüsselung obfuskiert wird (+die eigentliche RSA/AES-Hybridverschlüsselung der Nutzdaten).
 
enkore hat gesagt.:
Wenn man aber eine Session starten kann, ist es praktisch unmöglich Verbindungen zu verhindern. Dafür ist das Protokoll einfach zu robust; es können arbiträre Ports und sowohl TCP als auch UDP genutzt werden. (...) Skype ist P2P und braucht den zentralen Server nur zur Authentifizierung und zum Anbohren von Firewalls/NATs; das Protokoll an sich kann man eben auch nicht erkennen, da es komplett via Verschlüsselung obfuskiert wird (+die eigentliche RSA/AES-Hybridverschlüsselung der Nutzdaten).
Zum Vergrößern anklicken....

lässt man eben nur noch nen proxy zu ...

skype verbindungen werden in dem fall als SSL verbindungen über den proxy versucht ...

erkennbar sind sie an den numerischen IPs im CONNECT header ...

und wenn ich SSL verbiete falls das Ziel als numerische IP angegeben wird, dürfte das nichtmal wesentlich legitime SSL verbindungen stören ... wer hat schon zertifikate die als CN eine ip und keinen hostnamen haben ...
 
enkore hat gesagt.:
Folgende Server sollten ausreichen: dir1.sd.skype.net:9010 dir2.sd.skype.net:9010 dir3.sd.skype.net:9010 dir4.sd.skype.net:9010 dir5.sd.skype.net:9010 dir6.sd.skype.net:9010 dir7.sd.skype.net:9010 dir8.sd.skype.net:9010 http1.sd.skype.net:80 http2.sd.skype.net:80 http3.sd.skype.net:80 http4.sd.skype.net:80 http5.sd.skype.net:80 http6.sd.skype.net:80 http7.sd.skype.net:80 http8.sd.skype.net:80
Quelle
Zum Vergrößern anklicken....

Das dürfte leider nicht reichen. Wenn der Loginserver vom aktuellen Client nicht erreichbar ist, dann wird die Verbindung über Supernodes versucht, die in der Lage sind die Anmeldeinformationen zu replizieren. Erschwerend kommt hinzu, jeder Skype-Client ist in der Lage zu einem Supernode zu werden.

Im aktuellen Admin-Magazin gibt es auf Seite 24ff. einen Artikel über Skype, da wird einiges erklärt. Leider ist der Kernaussage im Artikel, Skype lässt sich kaum blockieren.
 
enkore hat gesagt.:
An die SNs kommt der Client doch nur dran, wenn er die Addressen im Cache hat, oder... ?
Zum Vergrößern anklicken....

Davon muss man ausgehen, wenn man logisch an die Sache rangeht. Es käme auf einen Versuch an, ob man einen frischen Rechner mit einer frischen Installation von Skype mit den o.g. Verfahren vom Skype-Netzwerk ausschließen kann.

Der Artikel schweigt sich zu diesem Thema leider aus.
 
Hallo,

ich bin der Frank aus Uelzen und Member seit heute in Eurer Community.


Meine Erfahrungen mit Skype sind, dass beim Etablieren eines Tunnels für die Telefonie ein sehr intelligentes Verfahren angewendet wird und dazwischen liegende Proxy meist keine Blockade dafür darstellen. Einzig ein Blockieren auf Application-Ebene funzt.
Hierfür setze ich bei mir privat die Astaro-FW ein. Diese ist für den privaten Gebrauch frei und sorgt auch mit diversen anderen Sicherheitsfunktionen für ein sehr gut geschütztes Heimnetzwerk.

sonnigen Gruß
F
 
Da muss ich mal kurz Nachhaken. Die Astaro FW sind doch Hardwarefirewalls und die sollen für den Heimgebrauch kostenlos sein? Oder gibt es noch eine Softwarevariante.

Wenn es Softwaretechnisch zur sperren geht, wird das doch garantiert über den Dateiname gemacht und umbennen sollte ja das kleinste Problem sein einer exe (alternativ wäre eine Checksumme, aber wenn ich ein paar leer Bytes anhänge dürfte die sich ja ändern oder mit den Resshacker rumspiele)
 
naja, beide Annahmen von Dir bedürfen einer kurzen Ergänzung:
- Astaro bietet seine SW kostenlos für den privaten Gebrauch an, am besten, auf deren Seite im Web einfach sich informieren
- das Blocken von zBsp Skype auf der Firewall (kann nicht nur die Astaro) geschieht über einen Application-Layer-Filter. Damit sind auch dediziert social-networks zu blocken. Das funzt nicht über irgendwelche Stichworte sondern über Datenpaket-Muster. Einfach sich über das Iso-Schichten-Modell informieren.
 
IM/P2P Filtering

Das alte Hase und Igel Spiel. Diesem Schutz würde ich nicht blind vertrauen. Skype muss nur ein paar Kleinigkeiten in seinem Protokoll ändern, im Zweifel nur ein paar Nullbytes mehr hinzufügen, dann funktioniert dieser Schutz nicht mehr.

Astaro muss die Signaturen hier immer wieder aktualisieren um die Pakete erfolgreich filtern zu können.
 
Dein link ist nicht das aktuelle Release.

In zwei Dingen hast Du recht. Verlassen, auf welche Sicherheits-SW auch immer, sollte man sich nicht. Gesundes Misstrauen und kritisches Betrachten gehört zu einem guten Sicherheits-Mgmnt. Ja, die Signaturen müssen natürlich auch immer uptodate sein. Dieses geschieht auch bei der Astaro (und auch den anderen FW-Systemen) und zwar mehrfach je Tag.

Und jetzt zur Funktionalität. Es funktioniert. Ich setze diese privat wie auch im kommerziellen Umfeld ein. Und bislang sind alle Sicherheitsprüfungen in diesem Bereich immer erfolgreich gewesen und haben keine Lücke entdecken können.
Hier sollte aber auch das Thema Astaro enden, wir kommen doch mittlerweile sehr weit vom Abfangsthema ab.

Mein Vorschlag kann nur einer von vielen sein. Orniflyer muss dann selbst für sich die beste Lösung für seine Frage finden.
 
An die SNs kommt der Client doch nur dran, wenn er die Addressen im Cache hat, oder... ?
Zum Vergrößern anklicken....
Dann musst du aber auch einschätzen, ob es möglich ist, dass Leute ihre Updates über andere Netze beziehen (z.b. UMTS oder Laptop von daheim in die Arbeit nehmen).

An der Uni haben wir übrigens ein ähnliches Problem. Unsere Firewall vergibt bei bestimmten Aktionen Punkte (z.b. eine Verbindung aufbauen), die mit der Zeit abgebaut werden. Erreicht man einen zu hohen Score, wird man von der Firewall ausgesperrt.
Skype lässt jetzt den eigenen Score explodieren und sperrt dann letztendlich den User, und die Admins suchen verzweifelt einen Weg, Skype durch die Firewall zu lassen :). Anscheinend hat das auch ein recht aggressives Kommunikationsverhalten, wenn die Skype-Server erreichbar sind.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben