Bonjour,
 
Je souhaite empêcher l'utilisation du logiciel Skype aux machines réseau d'une entreprise. J'ai à ma disposition 2 firewalls matériels de niveau 7.
 
J'ai réussi à le bloquer en interdisant tout trafic HTTPS (port 443), ce n'est évidemment pas la solution puisqu'il est alors impossible d'utiliser le protocole HTTPS pour se connecter à un compte personnel sur internet...
 
J'ai effectué plusieurs recherches sur internet et apparemment je suis loin d'être le seul à me poser cette question...cependant personne n'a l'air d'avoir trouvé de solution
 
Si quelqu'un parmi vous a une idée, qu'il la partage merci !

Si tu utilise windows 2000 ou XP tu peux bloqué le lancement du logiciel avec les stratégie de groupe.
 
Par filtrage d'ip, il me semble difficile de le faire, car il me semble les ports soient attribués dynamiquement à chaque communication (en dehors du port d'ecoute) donc tu auras du mal a bloquer les appels sortant

C'est malheureusement le second cas qu'il me faut réaliser... je ne peux pas reconfigurer plus d'un millier de machines pour bloquer Skype :\
 
Il m'est impossible d'utiliser des stratégies de groupes...la totalité des machines ne se trouvent pas ni sous XP ni sous 2000, sans parler de linux et de mac
 
 
Bref, je dois absoulument bloquer ça par les firewall !

Si ton firewall fait du filtrage applicatif plutot que de jouer sur les ports tu peux lui dire de ne vraiment laisser passer que le http et le https, apres même si skype essaie de passer par le port 443 il sera bloqué.
 
Avant on pouvait filtrer l'adresse du serveur d'authentification, mais ça n'est même plus possible

Je ne laisse pas passer grand chose sur les firewalls, et lorsque je fais des netstat sous dos, je vois que skype s'est connecté soit sur le HTTP soit sur le HTTPS.
 
En gros, les 2 firewalls (de marques différentes, Netasq et Arkoon) se font avoir comme des bleus !
 
Au passage, c'est impressionnant le nombre de tentatives de connexions de Skype quand on observe sous netstat O

Netstat c'est pas fiable, il se base juste sur le port utilisé pour définir le protocole, alors que normalement ton firewall (le netasq je suis pas sur mais l'arkoon oui) ne s'arrete pas la et regarde ce qui passe dans le tuyau pour définir s'il s'agit bien de http et pas juste d'un truc qui passe par le TCP/80.

Doit bien avoir une ip de destination pour se connecter au reseau skype? et si tu bloque l'ip de destination ?

 
Sur l'arkoon j'arrive à bloquer Skype (au détriment de tout autre service HTTPS) alors que le Netasq le laisse passer même lorsque je bloque le port 443... donc j'ai qq doutes quant à l'efficacité de ce dernier en effet !
 

 
Nan, ce "super" logiciel tente des dizaines de connexions différentes sur des ports différents. C'est un truc de folie, il met parfois 3 minutes à se connecter, mais il y parvient dans 90% des cas, il trouve presque à tous les coups une faille dans la sécurité du réseau !

 
Avant c'etait possible car un moment ou un autre skype se connectait toujours au même serveur d'authentification, mais maintenant c'est fini, tout se passe en P2P via des supernodes dont la liste varie en permanence
 
Un doc tres complet sur la façon dont skype se connecte : http://www1.cs.columbia.edu/~libra [...] 039-04.pdf

 
normalement si tu ne bosses pas sur les ports mais bien sur les protocoles tu devrais pouvoir autoriser le https tout en bloquant tout autre traffic sur le port 443.
 
T'as pas essayer de contacter leur service technique pour voir ?

 
Je pensais comme toi, mais si Skype "transforme" ses trames afin qu'elles soient considérées en tant que HTTPS alors c'est une autre galère...
 
Pour le service technique j'ai pas de n°, en fait je suis un étudiant qui finit son sujet de stage Je vais en parler à l'ingénieur réseau quand je le verrai
 
 
Au fait, je viens de bloquer Skype avec le Netasq aussi ! Il a fallu que j'interdise le HTTP et le HTTPS...donc l'utilisateur peut pas faire grand chose, c'est triste pour lui

 
C'est sur, mais ça me parait quand même peu probable.
 

 
http://www.arkoon.net/FR/index.php [...] ontact.php
 
 
Sinon je crois que Fortinet sont pour le moment les seuls a avoir un vrai filtre applicatif pour skype qui marche vraiment dans leurs firewalls.

D'après un commercial Arkoon, leurs firewalls bloqueraient Skype également...mais comment ? Surpriiiiiiiiiiiiiiiiiise !
 
Merci pour le lien, mais j'évite de prendre contact sans autorisation

Bah si le commercial te vend son produit comme ça et vu le temps que tu as déjà passé la dessus, moi l'autorisation je l'aurais eu (ou je m'en serais passé...) y'a longtemps  
 
Je vois pas qui va bien pouvoir te reprocher te contacter le support d'un produit pour le faire marcher comme on te l'a vendu  

héhé, il a encore rien vendu le commercial, c'est ça l'astuce, c'est un firewall de prêt, et le môssieur il crève d'envie de vendre à l'université car le réseau à protéger est assez balèse ! Enfin c'est une université quoi...
 
Donc pour éviter de foutre la merde au niveau du marchandage (gros sous derrière), vaut mieux que j'évite de la ramener

Ben justement, si y'a des gros sous en jeux leur ST a tout intérêt a montrer qu'ils sont dispos et compétents, ton université a tout intéret a pouvoir vérifier les fonctionalités qu'on leur a promises, et toi t'as tout intérêt a montrer que t'es sur le coup et près a te bouger pour faire marcher tout ça.

Il doit etre possible d'interdire des flag propre à Skype dans le module FAST du protocole HTTPS.
 
je vais regarder.

Boudiou, il est possible de personnaliser le module FAST d'arkoon ???

 
Ben biensur
 
Ca devient un peu plus hard mais bon.
 
C'est comme ca par exemple qu'on peut interdir MSN.

ben...y a un port dédié pour msn...

non

port 1863

C'est peut etre le webmessenger alors, je ne me souviens plus bien.

MSN utilise le port 1863 pour se connecter, j'en suis sûr puisque j'ai fait des tests
 
Par contre webmessenger je n'en ai aucune idée... ça n'utilise pas le port 80 puisque ça s'ouvre à partir d'une page web ? Y a icq2go qui est dans le même goût.
 
Bref on s'égare un peu
 
PS : je viens de voir ce que c'était que le module FAST, en fait je l'ai déjà utilisé, notamment pour créer le service MSN Mais je vois pas comment on peut créer un service dédié uniquement à Skype...?!?

Dans le module FAST du protocole HTTPS il faut rajouter ce qui est propre à Skype comme étant refusé !

 
Moui...et qu'est-ce qui est propre à Skype ?

 
Très bonne question petit

 
Voui c'est bien c'que j'me disais en la posant
 
Au fait, comenkonfé pour modifier le titre d'un sujet ?

un article fort sympathique:
http://www.derkeiler.com/Mailing-L [...] /0827.html

 
Didon mais faut tout t'expliquer toi?
 
-> Tu édite le premier post et tu changes le titre.

 
Vi j'l'ai lu la semaine dernière, c'est un des seuls articles qu'on trouve sur google lorsqu'on recherche "bloquer skype" Au passage, maintenant y a des réponses françaises qui ramène ici, alors on a intérêt à trouver qq chose les enfants !
 
 

 
Vi faut tout m'expliquer...j'suis encore un jeune padawan en informatique !

Bon je viens d'envoyer un mail au support technique d'arkoon, j'aurai une réponse dans qq semaines

Il faudrait pourvoir identifier les trames spécifique à skype et inserer ces entètes dans le moteur applicatif du FW.
Par exemple bloquer la trame d'authetification qu'utilise Skype.

Je suis en train de faire une maj logicielle du Netasq avec un technicien (de Netasq) on va en parler j'vous tiens au courant
 
PS : tjs pas de réponse du mail d'arkoon

Tu est dans quelle version ? 6.0.6 ??
La maj est assez simple...

Y a un pb de licence à l'heure actuelle...donc la maj n'est pas encore effectuée :\ Manque de bol, la licence a pris fin le 17 juin

Ca en est ou ce blocage de skype?

ça en est que j'ai réussi à le bloquer sur l'arkoon avec l'IDPS.
Il y avait une signature prévue pour skype, donc il suffisait de la bloquer.
Pour vérifier ma manip je l'ai autorisé à nouveau et là malheur.....skype voulait plus se connecter...
Après qq reboot du firewall j'ai fini par réussir à lancer à nouveau Skype !
Ensuite j'ai suivi la même démarche que précédemment pour le bloquer et ça n'a plus jamais fonctionné...Skype arrivait tout le temps à se connecter...
 
Bref ! J'ai failli trouver comment faire, mais maintenant je n'ai plus le firewall entre mes mains :\
 
 
Faudrait quand même apporter un élément de réponse qui tienne la route pour les futurs personnes qui liront ces qq lignes...........

J'utilise un produit de la société Allot www.allot.com - le NetEnforcer
 
il bloque parfaitement Skype (il recherche les signatures applicative y compris pour la grande majorité des P2P!!) même si c'est avant tout un gestionnaire de flux (priorité / garantie / limitation de Bande passante)!!!
 
Patrick
 

Tu peux aussi faire en sorte de faire passer la boite par un proxy, le filtrage sera plus simple alors