none
Блокировка skype в Isa2006 для отдельных пользователей. RRS feed

  • Вопрос

  • Можно ли хоть как-то блокировать skype, более или менее надёжно? Пока нарыл только два варианта:

    1) Блокировать групповой политикой(по хэшу Software restriction policy), минус в том что я не смогу следить за выходом каждой новой версии ещё и старые все хэши забить.

    2)Слышал про некие сигнатуры через которые можно опознать скайп http://blogs.technet.com/isablog/archive/2006/07/03/439980.aspx, тут уже интересней, думаю просто так эта сигнатура не изменится. И если изменится это будет заметней. Но не знаю как узнать эти сигнатуры.

    3) На сквиде вроде как смогли победить эту проблему правда не совсем понятно как http://www.riccardoriva.com/archives/275

     Может быть в Forefront это как-то реализовано.

    24 марта 2010 г. 9:04

Ответы

  • Я бы Вам рекомендовал прислушаться к Денису - административные меры это самая реальная блокировка :)

    По поводу сигнатур. В ISA есть фильтр HTTP, который работает на уровне приложения. При помощи этого фильтра можно "заглядывать" в HTTP протокол, выполнять анализ его отдельных частей таких как, используемые методы  (post, get и т.д.), заголовки, сигнатуры и на основе этого разрешать или блокировать трафик. Если приложение работает через HTTP и каким то образом оставляет там свои следы (в заголовках или в теле самого HTTP пакета) то Вам повезло.

    Я ради интереса пробовал перекрыть передачу файлов по ICQ. В результате анали трафика выяснил, что когда начинается передача файла, аська в теле HTTP пишет что то типа FileTransfer вот по этой штуке у меня получилось запретить передавать файлы. Неудобство в том, что если какое-то "хорошее" приложение будет писать в НТТР FileTransfer трафик этого приложения тоже будет отброшен.

    Для того чтобы заблокировать приложение, Вам нужно будет разыскать эти "следы" в НТТР  при помощи какого-либо сетевого снифера (Network Monitor например) м настроить фильтр HTTP  должным образом. Вот статься как настроить фильтр. http://www.oszone.net/4879/ISA_Server_2006.

    Как смог - так объяснил :)

    P.S. ISA на уровне приложения может анализировать не только HTTP.

    • Помечено в качестве ответа Le0n 1 апреля 2010 г. 7:33
    24 марта 2010 г. 10:34

Все ответы

  • А вообще блокировать Skype важная задача? поставьте просто  шейпер , ну и счетчик трафика.Ограничить всем трафик. А когда закончится у кого-то, то уже с разрешения руководителя, предоставляя ему статистику, добавлять еще трафик. 

    А вы не подумали, что  skype это тот же IM ? у меня например там есть поставщики, с которыми я по чату общаюсь. Если заблокировать, я был бы очень недоволен.


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    24 марта 2010 г. 9:56
  • Я бы Вам рекомендовал прислушаться к Денису - административные меры это самая реальная блокировка :)

    По поводу сигнатур. В ISA есть фильтр HTTP, который работает на уровне приложения. При помощи этого фильтра можно "заглядывать" в HTTP протокол, выполнять анализ его отдельных частей таких как, используемые методы  (post, get и т.д.), заголовки, сигнатуры и на основе этого разрешать или блокировать трафик. Если приложение работает через HTTP и каким то образом оставляет там свои следы (в заголовках или в теле самого HTTP пакета) то Вам повезло.

    Я ради интереса пробовал перекрыть передачу файлов по ICQ. В результате анали трафика выяснил, что когда начинается передача файла, аська в теле HTTP пишет что то типа FileTransfer вот по этой штуке у меня получилось запретить передавать файлы. Неудобство в том, что если какое-то "хорошее" приложение будет писать в НТТР FileTransfer трафик этого приложения тоже будет отброшен.

    Для того чтобы заблокировать приложение, Вам нужно будет разыскать эти "следы" в НТТР  при помощи какого-либо сетевого снифера (Network Monitor например) м настроить фильтр HTTP  должным образом. Вот статься как настроить фильтр. http://www.oszone.net/4879/ISA_Server_2006.

    Как смог - так объяснил :)

    P.S. ISA на уровне приложения может анализировать не только HTTP.

    • Помечено в качестве ответа Le0n 1 апреля 2010 г. 7:33
    24 марта 2010 г. 10:34
  • Уважаемый Le0n , вы решили проблему? Вам помогли советы, отметьте, пожалуйста, правильный. 
    30 марта 2010 г. 9:38
    Модератор