Skype sperren aus dem Netzwerk
- Ersteller and99
- Erstellt am
christian83
Well-Known Member
Ich kenne das Problem von uns an der Arbeit mit Skype. Mit firewall regeln wird es schwer weil die Entwickler von Skype nicht blöd sind. Im prinzip müsstest du sämtlichen UDP Verkehr blockieren, was aber auch nicht komplett hilft und meist mehr Probleme macht. Schau dir auch mal diese Seite an, da wird etwas darauf eingegangen wie Skype arbeitet http://www.elektronik-kompendium.de/sites/kom/1306091.htm.
Ich selbst habe mich dazu entschlossen eine andere Strategie zu nutzen. Skype blockieren ist zu aufwendig, die verwendung von Skype zu verhindern ist schon etwas einfacher. Ich kenne jetzt die Systemumgebungen nicht, aber ich würde dazu raten die nutzung der Software durch entsprechende Benutzerrechte zu verhindern. Das erscheint mir am besten zu sein. Außerdem würde ich mir allgemein gedanken machen ob das Sicherheitskonzept wirklich so gut ist wenn jeder 0 8 15 User seine eigene Software nutzen kann.
Grüße
Ich selbst habe mich dazu entschlossen eine andere Strategie zu nutzen. Skype blockieren ist zu aufwendig, die verwendung von Skype zu verhindern ist schon etwas einfacher. Ich kenne jetzt die Systemumgebungen nicht, aber ich würde dazu raten die nutzung der Software durch entsprechende Benutzerrechte zu verhindern. Das erscheint mir am besten zu sein. Außerdem würde ich mir allgemein gedanken machen ob das Sicherheitskonzept wirklich so gut ist wenn jeder 0 8 15 User seine eigene Software nutzen kann.
Grüße
Ich habe noch keinen eingesetzt, aber wie wäre es mit einem transparenten Proxy? Dort kann man verschiedene Protokolle freigeben (http, ftp). Ich schätze Skype gehört nicht zu den unterstützen Protokollen.
Alternativ kein transparenter Proxy sondern einen normalen. Dann brauchst du zusätzlich einen DHCP-Server, der kein Standardgateway ausliefert. Nur wer den Proxy kennt, kommt ins Netz.
Alternativ kein transparenter Proxy sondern einen normalen. Dann brauchst du zusätzlich einen DHCP-Server, der kein Standardgateway ausliefert. Nur wer den Proxy kennt, kommt ins Netz.
Tante Google offenbart, daß es wohl mehrere kommerzielle Produkte gibt, die Anspruch auf effektive Skype-Abwehr erheben. Cisco zum Beispiel (würg). Oder Lynanda. Eine weitere Alternative wäre es, zu versuchen, die Anmeldung beim Skype-Server zu unterbinden und dessen IP/Hostname zu sperren. Funktioniert möglicherweise nicht (mehr), ist aber einen Versuch wert.
zuglufttier
Well-Known Member
Selbst wenn man lokal die Ausführung bestimmter Programme sperrt und auch einen Proxy einsetzt (der verschlüsselte Übertragungen auch durchlässt), bleiben noch Seiten wie imo.im z.B.
Gut, die kann man alle speziell blocken, allerdings muss man da auch immer am Ball bleiben, da solche Seiten dann auch mal über ne neue IP-Adresse erreichbar sind.
Gut, die kann man alle speziell blocken, allerdings muss man da auch immer am Ball bleiben, da solche Seiten dann auch mal über ne neue IP-Adresse erreichbar sind.
Wenn du die GL dazu bringst, das durchzusetzen ... ("Skype ist ja so toll, da kann man kostenlos telefonieren ...").
Ob sich Skype mit einem Paketfilter wie IPFW oder PF so einfach aussperren lässt, bezweifle ich - das sieht für die wie HTTP aus.
Es gibt da eine Schmiede aus Österreich, die ihr Security Gateway ausdrücklich mit der Fähigkeit, Skype zu blocken, bewerben: www.underground8.com
Inwieweit das aber dann in der Realität funktioniert, bzw. welche Nebenwirkungen das hat, kann ich dir nicht sagen.
Ob sich Skype mit einem Paketfilter wie IPFW oder PF so einfach aussperren lässt, bezweifle ich - das sieht für die wie HTTP aus.
Es gibt da eine Schmiede aus Österreich, die ihr Security Gateway ausdrücklich mit der Fähigkeit, Skype zu blocken, bewerben: www.underground8.com
Inwieweit das aber dann in der Realität funktioniert, bzw. welche Nebenwirkungen das hat, kann ich dir nicht sagen.
bananenBrot
Well-Known Member
Es gibt irgendwo eine Seite, wo jemand mal ein paar Skype Sessions mit nem wireshark auseinander genommen hat.
Da kam raus, dass Skype irgendwann einfach Ports "brute-forct" um irgendwie durch zu kommen.
Ich habe Skype noch nirgends "in the wild" geblockt gesehen.
Wenn ich's drauf anlegen würde, würd ich mit ner intrusion detection arbeiten - selbst wenn verschlüsselt, einen chat kann man schon noch irgendwie an den vorbeifliegenden Paketen erkennen...
Da kam raus, dass Skype irgendwann einfach Ports "brute-forct" um irgendwie durch zu kommen.
Ich habe Skype noch nirgends "in the wild" geblockt gesehen.
Wenn ich's drauf anlegen würde, würd ich mit ner intrusion detection arbeiten - selbst wenn verschlüsselt, einen chat kann man schon noch irgendwie an den vorbeifliegenden Paketen erkennen...
Aldo
Well-Known Member
Man kann Skype-Portable auch vom USB-Stick nutzen. Das muss man nichtmal intsallieren.
Und wenn wie bei uns auf Arbeit die USB-Ports deaktiviert sind schicken sich die Leute das per Mail selbst und lassen es aus ihrem Nutzerverzeichnis laufen.
Audiohardware und Webcam haben die Arbeitsplatzrechner keine, aber zum chatten reicht es.
Und da wüsste ich nicht wie man das verhindern/kontrollieren kann.
Verboten ist es bei uns, keine Frage, aber die Nutzer sind erfinderischer als man glaubt.
christian83
Well-Known Member
Also geht es wahrscheinlich um Windows Desktops? Da ist es natürlich etwas komplizierter. Wir haben bei uns einen extra Administrator der sich nur um die Windows Systeme kümmert. Ich weiß das bei den Systemen nur bestimmte Anwendungen die eine Freigabe haben starten können. Bedeutet das Software die nicht in einer Liste steht nicht gestartet wird. So kann keine unbekannte Software genutzt werden.
Ich weiß jetzt nicht genau wie diese Software heißt, ist aber glaube ich auch OpenSource. Wenn du möchtest frage ich ihn mal bei Gelegenheit. Vielleicht wäre es eine Alternative.
Grüße
zuglufttier
Well-Known Member
Ich weiß nur: Je mehr Restriktionen gestellt werden, desto geneigter sind die Restriktierten auch mal etwas aus der Reihe auszuprobieren.
Dann lieber ein paar Kleinigkeiten dulden, die man kennt und unter Kontrolle hat. Ist zumindest meine Meinung!
Dann lieber ein paar Kleinigkeiten dulden, die man kennt und unter Kontrolle hat. Ist zumindest meine Meinung!
christian83
Well-Known Member
Da stimme ich dir grundsätzlich ja zu, aber Skype gehört zu den Anwendungen die man eben nicht unter Kontrolle hat. Ich finde es bedenklich Software in einem Netzwerk zu haben die darauf ausgelegt ist Firewalls und Sicherheitsvorkehrungen zu umgehen. Das keiner weiß was Skype eigentlich macht, macht das ganze ja so unberechenbar. Dazu kommt noch das die Entwickler der Software nun nicht aus einem der betsen Umfelder kommen...
Alleine schon solche Geschichten http://www.heise.de/newsticker/meldung/Skype-liest-BIOS-Daten-aus-143633.html lassen mein ungutes Gefühl nur noch größer werden!
Grüße
pit234a
Well-Known Member
sed 's/Skype/Windows/g' ???
Meiner Meinung nach liegt bei euch der Fokus daneben.
Was für ein Spruch! Aber, ist es nicht so, dass dann, wenn jemandem wichtig ist in seinem Zuständigkeitsbereich die Macht darüber auszuüben, welche Programme ein User nutzen darf und welche nicht, dass dann unbedingt und zwingend notwendig auch ein System benutzt werden muss, das solche Features bereit stellt? Microsoft ihre diversen Windowse sind dafür nicht ausgelegt! Das sind eben doch eher Spielsysteme und sie erlauben nahezu jedem alles, hauptsächlich jeden denkbaren Unsinn.
Die Welt wimmelt heutzutage von gefährlichen Hackern, die alles wissen und alles können, weil sie auf ihrem Windows alles mögliche einfach installieren können.
Also meiner Meinung nach geht euer Anspruch an Sicherheit und Kontrolle nicht mit der Praxis einher, Windows Systeme überhaupt einzusetzen.
Das ist aber ein eher genereller Einwurf und nicht auf die lästige Erfahrung mit skype begrenzt, die du da schilderst.
zuglufttier
Well-Known Member
Ein Windows-Rechner in einer Domäne kann schon recht gut abgeschottet werden, von daher kann ich diesen Kommentar nicht so stehen lassen. Wüsste ehrlich gesagt nicht, wo da FreeBSD oder sonstwas mehr Kontrollen bieten sollte.
christian83
Well-Known Member
Ich habe hier ein schönes Buch über FreeBSD. Dort steht im Thema Sicherheit ein ganz einfaches Beispiel, hier Inhaltlich mal:
... Früher gab es in den Firmen einen Rechner in einer Ecke der eine Internetanbindung hatte und die Mitarbeiter konnten dort Mail und Informationen abrufen. So war das Internet vom Firmennetz getrennt. Heute gibt es jedoch eine Vollvernetzung die zu vielen Problemen führen kann....
Mir gefällt die Aussage, den sie ist wahr und schildert das ganze Problem.
Grüße
... Früher gab es in den Firmen einen Rechner in einer Ecke der eine Internetanbindung hatte und die Mitarbeiter konnten dort Mail und Informationen abrufen. So war das Internet vom Firmennetz getrennt. Heute gibt es jedoch eine Vollvernetzung die zu vielen Problemen führen kann....
Mir gefällt die Aussage, den sie ist wahr und schildert das ganze Problem.
Grüße
rudy
aint no stoppin us now
Moin and99,
schwierige Kiste zu Deiner Info >
http://www.securitymanager.de/magazin/artikel_1307_skype_grenzenlose_kommunikation_mit.html
dann noch ein etwas älterer Beitrag aus dem Jahre 2006 von einer unserer Konferenzen >
http://www.blackhat.com/html/bh-europe-06/bh-eu-06-speakers.html#Biondi
Nun weis ich natürlich net wie eure Struktur aussieht und ob Ihr schon Windows 7 einsetzt denn da besteht folgende Möglichkeit >
http://blogs.technet.com/b/frankoch...indows-7-mehr-sicherheit-durch-applocker.aspx
Ein Video zur Einführung > Anmerkung Silverlight Video
http://technet.microsoft.com/de-de/windows/dd320283(en-us).aspx
Flashvideo >
http://www.veoh.com/browse/videos/category/technology_and_gaming/watch/v19611429yCtwmB8t
MFG
pit234a
Well-Known Member
die Datei-Rechte? Das User-Management? Um nur mal zwei zu nennen.
Es geht ja nicht darum, einen PC gegen Zugriffe von Außen zu schützen, sondern die Kontrolle darüber zu bewahren, wer ein Programm ausführen/installieren darf.
Zugegeben, Portable-Apps kenne ich nicht. Wenn aber jemand in der Lage ist, sowas einfach gegen den Willen des Sysadmin auf seinem PC laufen zu lassen, ist das doch jedenfalls ein deutlicher Mangel an Sicherheit und der ist systembedingt bei Unixen einfach regelbar. Es kann nicht einfach jemand ein Programm ausführen/installieren, indem er eine .exe klickt.
Das meinte ich damit, dass dann, wenn jemand sich diese Kontrolle und Sicherheit wünscht, ein Windows meiner Meinung nach eine schlechte Wahl darstellt und deshalb hier der Ansatzpunkt liegen müsste.
Doch, ich denke, das führt zu weit weg vom Thema.
zuglufttier
Well-Known Member
Richtig, unser Thema passt hier nicht rein. Aber: Guck dir mal an was man mit Gruppenrichtlinien in einer Domäne machen kann.