Ich versuche, Skype mit snortund zu blockieren iptables. Ich habe viele Papiere gelesen und den Port, die Schlüsselwörter und Muster, die Skype verwendet, blockiert. Es ist aber immer noch nicht blockiert.
Meine Frage lautet: Wenn Skype HTTP-Port 80 oder https-Port 443 verwendet, wie erkennt der Computer dieses Paket als Skype-Paket und nicht als Webpaket? Dies könnte mir beim Blockieren von Skype helfen.
Here is a link to article presenting a Snort rule to block Skype: http://www.md3v.com/block-skype-with-snort
The signature we are looking here is "17 03 01 00" which is the reply given to a client logging in.
If you are curious make sure to have a look at this page: http://www1.cs.columbia.edu/~salman/skype/
In Bezug auf "Wie erkennt der Computer dieses Paket als Skype-Paket und nicht als Webpaket?": Das Paket geht an das Programm, das an dem Port abgehört wird. Wenn sich Skype für die Verwendung von TCP / 80 entscheidet und aus Versehen mit einem Webserver zu sprechen beginnt, wird der Webserver verwirrt, es wird ein Fehler ausgegeben (oder die Antwort wird abgelehnt), und Skype gibt auf. Wenn sich ein Web-Client für eine Verbindung zu Skype entscheidet, wird Skype die Anforderung sehen und erkennen, dass es sich nicht um Skype handelt.
Das bedeutet, dass Sie Skype nicht allein mit den IP- / Port-Informationen blockieren können. Für das Blockieren basierend auf dem Inhalt mit statischen Regeln wird immer eine feste Signatur verwendet. Da Skype proprietär ist, kann sich das Protokoll jederzeit ändern, wodurch alte Regeln unbrauchbar werden. Skype ist bekannt dafür, Filter zu umgehen. Es würde mich nicht wundern, wenn sie am Anfang einen zufälligen Schlüssel hinzufügen und den Rest des Datenverkehrs mit Skypes proprietärer RC4-Version entweder jetzt oder in Zukunft verschlüsseln. Dies würde es unmöglich machen, den Verkehr von zufälligem Rauschen zu unterscheiden.
Mit Port 443-Verkehr könnten sie auch einfach eine echte SSL-Verbindung herstellen. Dies würde es sehr schwierig machen, zu unterscheiden (wenn dies richtig gemacht wird), wenn Sie keine Verkehrsanalyse durchführen möchten (wie in "Menge und Zeitpunkt des Verkehrs"). Ich weiß nicht, ob sie es tun, aber das proprietäre Protokoll kann sich ändern.
Die zuverlässigste Methode, Benutzer von der Verwendung von Skype abzuhalten, ist möglicherweise das Durchsuchen der ausführbaren Dateien auf den Computern und / oder LARTing-Benutzern, die durch die Verwendung von Richtlinien gegen die Richtlinien verstoßen.
Überprüfen Sie auch den Verkehr an anderen Ports. 80 und (wahrscheinlicher "oder") 443 sind wahrscheinlich nur das Minimum, das Skype benötigt. Es kann sein, dass Sie mit einigen fehlenden Ports zufrieden sind, auch wenn 80/443 vollständig gesperrt sind. Prüfen Sie den UDP-Verkehr!