Bloccare le porte di skype

[HSH]

In azienda abbiamo parecchi peronaggi che abusano di skype e piuttosto che perdere 3 giorni a disinstallarlo a tutti, vorremmo chiudere le porte.

sulle faq di skyper ho trovato
http://www.skype.com/help/guides/firewall.html

e anche

Quote:

If you aren’t familiar with firewalls or ports, it may be a good idea to ask a system administrator or tech-savvy friend to help you. The minimum requirement is that Skype needs unrestricted outgoing TCP access to all destination ports above 1024 or to ports 80 and 443 (the former is better, however). If you don’t allow either of those, Skype will not work reliably at all. Voice quality and some other aspects of Skype functionality will be greatly improved if you also open up outgoing UDP traffic to all ports above 1024, and allow UDP replies to come back in.
In the quest for even better voice quality, it is also advisable to open up incoming TCP and/or UDP to the specific port you see in Skype Options. This port is chosen randomly when you install Skype. In the case of firewalls, this should be easy to arrange. In some routers, however, you cannot configure incoming UDP at all (but you still can configure incoming TCP port forwarding, which you could/should do).
The randomness in port selection is to improve NAT traversal for cases where several users are behind the same NAT; if they all used same ports, many NATs would behave in a way that would reduce Skype voice quality.
Also make sure that you have the latest version installed. You can do it by clicking Check for Update in Help menu in Skype or just go to the download page where you can always download the latest version.

ma non capisco ancora quali siano da chiudere in effetti. Se passa dalla porta 80 siamo fritti, perchè non si può chiuderla...

[xcdegasp]

Quote:

Originariamente inviato da HSH

In azienda abbiamo parecchi peronaggi che abusano di skype e piuttosto che perdere 3 giorni a disinstallarlo a tutti, vorremmo chiudere le porte.

sulle faq di skyper ho trovato
http://www.skype.com/help/guides/firewall.html

e anche


ma non capisco ancora quali siano da chiudere in effetti. Se passa dalla porta 80 siamo fritti, perchè non si può chiuderla...

la porta di comunicazione può essere variata dall'utente tramite il pannello opzioni di skype
la porta usata di default è generata randome all'atto di installazione, l'utente però può acconsentire a skype di far uso della porta 80 e 443 in ingresso se la porta di default risultasse bloccata.
può essere forzato anche l'uso del protocollo https... e inoltre si può far usare il protocollo uPnP per aprire automaticamente le porte nel firewall e router..

[HSH]

che aprano le porte dei nostri router in automatico la vedo duretta ...

cmq insomma non c'è modo di farlo ? l'unica è proprio disinstallalro?

[xcdegasp]

Quote:

Originariamente inviato da HSH

che aprano le porte dei nostri router in automatico la vedo duretta ...

cmq insomma non c'è modo di farlo ? l'unica è proprio disinstallalro?

io non vedo dove sta il problema...
da noi stanno incentivando skype proprio per abbattere i costi ed evitare di togliere persone per intere giornate lavorative a causa di riunioni dai progetti a cui sono assegnati promuovendo proprio le videoconversazioni

[HSH]

Lo standard aziendale sarà basato su prodotti office e microsoft

e vogliamo ridurre gli abusi, c'è gente che passa mezze giornate a chattare con gli amici

[xcdegasp]

Quote:

Originariamente inviato da HSH

Lo standard aziendale sarà basato su prodotti office e microsoft

e vogliamo ridurre gli abusi, c'è gente che passa mezze giornate a chattare con gli amici

quello che successe qui un anno fa', ossia che lo standard aziendale fosse solo prodotti microsoft come office e browser...
di fatto poi si è sempre stati obbligati ad usare la concorrenza perovvi motivi

potreste fare come facciamo qui, segare la connessione al proxy dopo tot tempo che è attiva

[HSH]

Quote:

Originariamente inviato da xcdegasp

quello che successe qui un anno fa', ossia che lo standard aziendale fosse solo prodotti microsoft come office e browser...
di fatto poi si è sempre stati obbligati ad usare la concorrenza perovvi motivi

potreste fare come facciamo qui, segare la connessione al proxy dopo tot tempo che è attiva

interessante... spiega, spiega.

cmq, per risolvere il problema basta che si rilogghino su skype, no?

[Sisupoika]

Quote:

Originariamente inviato da HSH

Lo standard aziendale sarà basato su prodotti office e microsoft

e vogliamo ridurre gli abusi, c'è gente che passa mezze giornate a chattare con gli amici

Che firewall hai? Alcuni firewall come Fortinet (il nostro) hanno filtri per IM.
Scordati di bloccare Skype semplicemente chiudendo delle porte
Per farlo dovresti trovare tutti i range di indirizzi usati da Skype, e bloccarli.

Altrimenti: hai i computer in un dominio? Se si', con Group Policies puoi applicare delle restrizioni sulle workstation al volo, senza doverle applicare computer per computer (ma solo dal domain controller).

Per esempio puoi attivare le restrizioni sul software, impedendo l'esecuzione di Skype.

Cmq forse e' ora che passiata ad applicare delle restrizioni in generale

[Sisupoika]

Quote:

Originariamente inviato da HSH

interessante... spiega, spiega.

cmq, per risolvere il problema basta che si rilogghino su skype, no?

Potresti anche provare a bloccare *.skype.com dal vostro DNS server.

edit: dimenticavo, quegli utenti hanno bisogno di siti https per lavorare? se no, basta che gli blocchi la 443 con ipsec, attraverso le group policies come dicevo prima, dal domain controller (se in un dominio)

[xcdegasp]

Quote:

Originariamente inviato da HSH

interessante... spiega, spiega.

cmq, per risolvere il problema basta che si rilogghino su skype, no?

sì ma almeno poi si romperanno di loggarsi 5 volte in un ora quindi segare la connessione ogni 10 min potrebbe essere un buon mezzo per farli lavorare.
inoltre potreste diversificare le autorizzazioni al web su più livelli, esempio di default consentire lo scarico/invio di file inferiori a 9MB (sicuramente in 10min ha tutto il tempo necessario per finire il download o l'upload), a un livello superiore di autorizzazione puoi consentire il download fino a 20MB (tempo più dilazionato) e il livello superiore ancora è senza limiti quindi nemmeno di tempo.

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

sì ma almeno poi si romperanno di loggarsi 5 volte in un ora quindi segare la connessione ogni 10 min potrebbe essere un buon mezzo per farli lavorare.
inoltre potreste diversificare le autorizzazioni al web su più livelli, esempio di default consentire lo scarico/invio di file inferiori a 9MB (sicuramente in 10min ha tutto il tempo necessario per finire il download o l'upload), a un livello superiore di autorizzazione puoi consentire il download fino a 20MB (tempo più dilazionato) e il livello superiore ancora è senza limiti quindi nemmeno di tempo.

Secondo me e' una soluzione poco pratica.
Visto che loro usano sistemi Microsoft, se hanno i computers in un dominio bloccare skype e' semplice.

Basta, come dicevo, attivare restrizioni sul software a livello di dominio o OU, e creare una hash rule con l'hash dell'eseguibile di skype, e bloccarne l'esecuzione. In questo modo, basandosi la regola sull'hash e non sul path, anche se reinstallano skype o lo spostano altrove non funzionerebbe

Ovviamente, pero', bisognera' (l'admin) iscriversi alla newsletter di skype cosi' da sapere quando escono nuove versioni, e bloccare anche quelle

[HSH]

si, siamo in un dominio active "diurectory"

mi interessa molto questo punto, lo vedo il + applicabile di tutti...

Quote:

Per esempio puoi attivare le restrizioni sul software, impedendo l'esecuzione di Skype.

mi potresti dire come? l'admin sono io


ma se facciamo così

Quote:

bloccare *.skype.com dal vostro DNS server

siamo sicuri che non si logghi + o solo non possono scaricare nuove versioni ?

[HSH]

up... non vi siete + fatti vivi.
che faccio ragazzi?

[xcdegasp]

io non sono fuggito

[HSH]

ok allora quando puoi per favore dammi una risposta :-)

[xcdegasp]

Quote:

Originariamente inviato da HSH

ok allora quando puoi per favore dammi una risposta :-)

bhe, non ero io quello che consigliava "policy di dominio"...

cmq quello che diceva è di creare una regola nuova in cui vieti l'esecuzione di skype verificando l'hash dell'exe ossia il checksum..
per il checksum e come ottenerlo segui questa guida:
http://www.abaconline.com/?q=node/29

il mio per dire corrisponde a:
MD5: 8e69e5858bb7fdf95d2554cf95323e9c


secondo me il limite di questo sistema è dato dal fatto che la nuova versione di skype avrà un hash sicuamente differente...

[HSH]

ok per l'hash ma mi spieghi da dove si imposta questo parametro su AD ?

[HSH]

mettete il topic dove vi pare, ma aiutateme ve pregooo

[xcdegasp]

le policy di dominio sono sia cose inerenti alla sicurezza che prettamente di windows...

[Sisupoika]

Quote:

Originariamente inviato da HSH

si, siamo in un dominio active "diurectory"

mi interessa molto questo punto, lo vedo il + applicabile di tutti...

mi potresti dire come? l'admin sono io


ma se facciamo così siamo sicuri che non si logghi + o solo non possono scaricare nuove versioni ?

Ciao HSH,

io sono in vacanza in Finlandia, quindi scusami se non ho pensato a te
Avvia secpol.msc e dai una occhiata, capirai al volo cosa intendevo.
Devi creare una regola di tipo hash che blocca l'esecuzione dell eseguibile di skype, tutto qui. La crei sul domain controller, e te la trovi applicata su tutte le workstation ecc.

Come diceva xcdegasp, al cambio della versione di skype dovrai aggiungere una nuova regola per bloccare un nuovo eseguibile, ma non vedo dove e il problema: ti bastera iscriverti alla newsletter di skype per sapere quando c'e' la nuova versione
Oppure, semplicemente, disattivare a livello di dominio l'installazione di nuove applicazioni sulle workstation, a meno di essere l'admin, cioe' tu

Adesso mi trovo di passaggio, saro di ritorno tra qualche girono comunque se hai bisogno