Comment bloquer Skype dans un réseau d'entreprise ? - Sécurité - Windows & Software
Marsh Posté le 04-07-2005 à 09:31:40
Si tu utilise windows 2000 ou XP tu peux bloqué le lancement du logiciel avec les stratégie de groupe.
Par filtrage d'ip, il me semble difficile de le faire, car il me semble les ports soient attribués dynamiquement à chaque communication (en dehors du port d'ecoute) donc tu auras du mal a bloquer les appels sortant
Marsh Posté le 04-07-2005 à 09:34:54
C'est malheureusement le second cas qu'il me faut réaliser... je ne peux pas reconfigurer plus d'un millier de machines pour bloquer Skype :\
Il m'est impossible d'utiliser des stratégies de groupes...la totalité des machines ne se trouvent pas ni sous XP ni sous 2000, sans parler de linux et de mac
Bref, je dois absoulument bloquer ça par les firewall !
Marsh Posté le 04-07-2005 à 09:48:05
Si ton firewall fait du filtrage applicatif plutot que de jouer sur les ports tu peux lui dire de ne vraiment laisser passer que le http et le https, apres même si skype essaie de passer par le port 443 il sera bloqué.
Avant on pouvait filtrer l'adresse du serveur d'authentification, mais ça n'est même plus possible
Marsh Posté le 04-07-2005 à 09:53:54
Je ne laisse pas passer grand chose sur les firewalls, et lorsque je fais des netstat sous dos, je vois que skype s'est connecté soit sur le HTTP soit sur le HTTPS.
En gros, les 2 firewalls (de marques différentes, Netasq et Arkoon) se font avoir comme des bleus !
Au passage, c'est impressionnant le nombre de tentatives de connexions de Skype quand on observe sous netstat O
Marsh Posté le 04-07-2005 à 10:00:13
Netstat c'est pas fiable, il se base juste sur le port utilisé pour définir le protocole, alors que normalement ton firewall (le netasq je suis pas sur mais l'arkoon oui) ne s'arrete pas la et regarde ce qui passe dans le tuyau pour définir s'il s'agit bien de http et pas juste d'un truc qui passe par le TCP/80.
Marsh Posté le 04-07-2005 à 10:26:56
Doit bien avoir une ip de destination pour se connecter au reseau skype? et si tu bloque l'ip de destination ?
Marsh Posté le 04-07-2005 à 10:32:36
El Pollo Diablo a écrit : Netstat c'est pas fiable, il se base juste sur le port utilisé pour définir le protocole, alors que normalement ton firewall (le netasq je suis pas sur mais l'arkoon oui) ne s'arrete pas la et regarde ce qui passe dans le tuyau pour définir s'il s'agit bien de http et pas juste d'un truc qui passe par le TCP/80. |
Sur l'arkoon j'arrive à bloquer Skype (au détriment de tout autre service HTTPS) alors que le Netasq le laisse passer même lorsque je bloque le port 443... donc j'ai qq doutes quant à l'efficacité de ce dernier en effet !
wonee a écrit : Doit bien avoir une ip de destination pour se connecter au reseau skype? et si tu bloque l'ip de destination ? |
Nan, ce "super" logiciel tente des dizaines de connexions différentes sur des ports différents. C'est un truc de folie, il met parfois 3 minutes à se connecter, mais il y parvient dans 90% des cas, il trouve presque à tous les coups une faille dans la sécurité du réseau !
Marsh Posté le 04-07-2005 à 10:34:44
wonee a écrit : Doit bien avoir une ip de destination pour se connecter au reseau skype? et si tu bloque l'ip de destination ? |
Avant c'etait possible car un moment ou un autre skype se connectait toujours au même serveur d'authentification, mais maintenant c'est fini, tout se passe en P2P via des supernodes dont la liste varie en permanence
Un doc tres complet sur la façon dont skype se connecte : http://www1.cs.columbia.edu/~libra [...] 039-04.pdf
Marsh Posté le 04-07-2005 à 10:44:39
thefaboss a écrit : Sur l'arkoon j'arrive à bloquer Skype (au détriment de tout autre service HTTPS) |
normalement si tu ne bosses pas sur les ports mais bien sur les protocoles tu devrais pouvoir autoriser le https tout en bloquant tout autre traffic sur le port 443.
T'as pas essayer de contacter leur service technique pour voir ?
Marsh Posté le 04-07-2005 à 10:47:43
El Pollo Diablo a écrit : normalement si tu ne bosses pas sur les ports mais bien sur les protocoles tu devrais pouvoir autoriser le https tout en bloquant tout autre traffic sur le port 443. |
Je pensais comme toi, mais si Skype "transforme" ses trames afin qu'elles soient considérées en tant que HTTPS alors c'est une autre galère...
Pour le service technique j'ai pas de n°, en fait je suis un étudiant qui finit son sujet de stage Je vais en parler à l'ingénieur réseau quand je le verrai
Au fait, je viens de bloquer Skype avec le Netasq aussi ! Il a fallu que j'interdise le HTTP et le HTTPS...donc l'utilisateur peut pas faire grand chose, c'est triste pour lui
Marsh Posté le 04-07-2005 à 10:57:41
thefaboss a écrit : Je pensais comme toi, mais si Skype "transforme" ses trames afin qu'elles soient considérées en tant que HTTPS alors c'est une autre galère... |
C'est sur, mais ça me parait quand même peu probable.
Citation : Pour le service technique j'ai pas de n°, en fait je suis un étudiant qui finit son sujet de stage Je vais en parler à l'ingénieur réseau quand je le verrai |
http://www.arkoon.net/FR/index.php [...] ontact.php
Sinon je crois que Fortinet sont pour le moment les seuls a avoir un vrai filtre applicatif pour skype qui marche vraiment dans leurs firewalls.
Marsh Posté le 04-07-2005 à 11:10:19
D'après un commercial Arkoon, leurs firewalls bloqueraient Skype également...mais comment ? Surpriiiiiiiiiiiiiiiiiise !
Merci pour le lien, mais j'évite de prendre contact sans autorisation
Marsh Posté le 04-07-2005 à 11:15:31
Bah si le commercial te vend son produit comme ça et vu le temps que tu as déjà passé la dessus, moi l'autorisation je l'aurais eu (ou je m'en serais passé...) y'a longtemps
Je vois pas qui va bien pouvoir te reprocher te contacter le support d'un produit pour le faire marcher comme on te l'a vendu
Marsh Posté le 04-07-2005 à 11:32:06
héhé, il a encore rien vendu le commercial, c'est ça l'astuce, c'est un firewall de prêt, et le môssieur il crève d'envie de vendre à l'université car le réseau à protéger est assez balèse ! Enfin c'est une université quoi...
Donc pour éviter de foutre la merde au niveau du marchandage (gros sous derrière), vaut mieux que j'évite de la ramener
Marsh Posté le 04-07-2005 à 11:39:43
Ben justement, si y'a des gros sous en jeux leur ST a tout intérêt a montrer qu'ils sont dispos et compétents, ton université a tout intéret a pouvoir vérifier les fonctionalités qu'on leur a promises, et toi t'as tout intérêt a montrer que t'es sur le coup et près a te bouger pour faire marcher tout ça.
Marsh Posté le 04-07-2005 à 11:43:31
Il doit etre possible d'interdire des flag propre à Skype dans le module FAST du protocole HTTPS.
je vais regarder.
Marsh Posté le 04-07-2005 à 11:51:01
Boudiou, il est possible de personnaliser le module FAST d'arkoon ???
Marsh Posté le 04-07-2005 à 12:22:11
thefaboss a écrit : Boudiou, il est possible de personnaliser le module FAST d'arkoon ??? |
Ben biensur
Ca devient un peu plus hard mais bon.
C'est comme ca par exemple qu'on peut interdir MSN.
Marsh Posté le 04-07-2005 à 13:36:51
C'est peut etre le webmessenger alors, je ne me souviens plus bien.
Marsh Posté le 04-07-2005 à 13:45:12
MSN utilise le port 1863 pour se connecter, j'en suis sûr puisque j'ai fait des tests
Par contre webmessenger je n'en ai aucune idée... ça n'utilise pas le port 80 puisque ça s'ouvre à partir d'une page web ? Y a icq2go qui est dans le même goût.
Bref on s'égare un peu
PS : je viens de voir ce que c'était que le module FAST, en fait je l'ai déjà utilisé, notamment pour créer le service MSN Mais je vois pas comment on peut créer un service dédié uniquement à Skype...?!?
Marsh Posté le 04-07-2005 à 14:11:30
Dans le module FAST du protocole HTTPS il faut rajouter ce qui est propre à Skype comme étant refusé !
Marsh Posté le 04-07-2005 à 14:37:48
Pims a écrit : Dans le module FAST du protocole HTTPS il faut rajouter ce qui est propre à Skype comme étant refusé ! |
Moui...et qu'est-ce qui est propre à Skype ?
Marsh Posté le 04-07-2005 à 14:40:17
thefaboss a écrit : Moui...et qu'est-ce qui est propre à Skype ? |
Très bonne question petit
Marsh Posté le 04-07-2005 à 14:42:09
Pims a écrit : Très bonne question petit |
Voui c'est bien c'que j'me disais en la posant
Au fait, comenkonfé pour modifier le titre d'un sujet ?
Marsh Posté le 04-07-2005 à 14:42:59
un article fort sympathique:
http://www.derkeiler.com/Mailing-L [...] /0827.html
Marsh Posté le 04-07-2005 à 15:32:45
thefaboss a écrit : |
Didon mais faut tout t'expliquer toi?
-> Tu édite le premier post et tu changes le titre.
Marsh Posté le 04-07-2005 à 15:36:50
wonee a écrit : un article fort sympathique: |
Vi j'l'ai lu la semaine dernière, c'est un des seuls articles qu'on trouve sur google lorsqu'on recherche "bloquer skype" Au passage, maintenant y a des réponses françaises qui ramène ici, alors on a intérêt à trouver qq chose les enfants !
Pims a écrit : Didon mais faut tout t'expliquer toi? |
Vi faut tout m'expliquer...j'suis encore un jeune padawan en informatique !
Marsh Posté le 04-07-2005 à 15:50:07
Bon je viens d'envoyer un mail au support technique d'arkoon, j'aurai une réponse dans qq semaines
Marsh Posté le 05-07-2005 à 10:49:39
Il faudrait pourvoir identifier les trames spécifique à skype et inserer ces entètes dans le moteur applicatif du FW.
Par exemple bloquer la trame d'authetification qu'utilise Skype.
Marsh Posté le 05-07-2005 à 10:51:40
Je suis en train de faire une maj logicielle du Netasq avec un technicien (de Netasq) on va en parler j'vous tiens au courant
PS : tjs pas de réponse du mail d'arkoon
Marsh Posté le 05-07-2005 à 10:57:07
Tu est dans quelle version ? 6.0.6 ??
La maj est assez simple...
Marsh Posté le 05-07-2005 à 11:24:46
Y a un pb de licence à l'heure actuelle...donc la maj n'est pas encore effectuée :\ Manque de bol, la licence a pris fin le 17 juin
Marsh Posté le 12-07-2005 à 13:14:52
ça en est que j'ai réussi à le bloquer sur l'arkoon avec l'IDPS.
Il y avait une signature prévue pour skype, donc il suffisait de la bloquer.
Pour vérifier ma manip je l'ai autorisé à nouveau et là malheur.....skype voulait plus se connecter...
Après qq reboot du firewall j'ai fini par réussir à lancer à nouveau Skype !
Ensuite j'ai suivi la même démarche que précédemment pour le bloquer et ça n'a plus jamais fonctionné...Skype arrivait tout le temps à se connecter...
Bref ! J'ai failli trouver comment faire, mais maintenant je n'ai plus le firewall entre mes mains :\
Faudrait quand même apporter un élément de réponse qui tienne la route pour les futurs personnes qui liront ces qq lignes...........
Marsh Posté le 03-10-2005 à 10:47:35
J'utilise un produit de la société Allot www.allot.com - le NetEnforcer
il bloque parfaitement Skype (il recherche les signatures applicative y compris pour la grande majorité des P2P!!) même si c'est avant tout un gestionnaire de flux (priorité / garantie / limitation de Bande passante)!!!
Patrick
Marsh Posté le 03-10-2005 à 11:40:53
Tu peux aussi faire en sorte de faire passer la boite par un proxy, le filtrage sera plus simple alors
Marsh Posté le 04-07-2005 à 09:15:14
Bonjour,
Je souhaite empêcher l'utilisation du logiciel Skype aux machines réseau d'une entreprise. J'ai à ma disposition 2 firewalls matériels de niveau 7.
J'ai réussi à le bloquer en interdisant tout trafic HTTPS (port 443), ce n'est évidemment pas la solution puisqu'il est alors impossible d'utiliser le protocole HTTPS pour se connecter à un compte personnel sur internet...
J'ai effectué plusieurs recherches sur internet et apparemment je suis loin d'être le seul à me poser cette question...cependant personne n'a l'air d'avoir trouvé de solution
Si quelqu'un parmi vous a une idée, qu'il la partage merci !