A voir également:
- Comment blocker skype
- Telecharger skype - Télécharger - Téléphonie & Visio
- Skype - Guide
- Website blocker - Télécharger - Contrôle parental
- Poper blocker - Télécharger - Outils pour navigateurs
- Blocker x - Télécharger - Sécurité
3 réponses
Ne perds pas de temps. Skype a ete concu par des gens extremement competents pour traverser a peu pres n'importe quel blocage. La seule solution (et encore) : bloquer *toute* connexion directe (y compris le port 443), donc aucune connectivite IP directe avec l'exterieur sur ton LAN, traffic HTTP via le proxy uniquement, interdiction de la methode 'CONNECT' dans Squid (ce qui effectivement devrait rendre l'acces aux URLs https://... impossible !). La tu as une chance que Skype ne marche plus.
La seule 'vraie' solution est d'avoir un firewall qui sait detecter la signature du protocole de Skype. Ce protocole est encrypte et non documente et tres peu connu, meme si des gens de la Steria ont recemment publie un papier dans lequels ils presentent leurs resultats de reverse-engineering de celui-ci. La derniere fois que j'ai regarde (ca fait qq mois deja) aucun firewall open-source n'avait de module de reconnaissance du protocole Skype qui marche tant soit peu. Certains firewalls commerciaux se ventent d'en avoir un qui marche, mais je n'ai pas essaye.
Bonne chance, bloquer Skype c'est un casse-tete (il a ete concu pour ca)
Alain
La seule 'vraie' solution est d'avoir un firewall qui sait detecter la signature du protocole de Skype. Ce protocole est encrypte et non documente et tres peu connu, meme si des gens de la Steria ont recemment publie un papier dans lequels ils presentent leurs resultats de reverse-engineering de celui-ci. La derniere fois que j'ai regarde (ca fait qq mois deja) aucun firewall open-source n'avait de module de reconnaissance du protocole Skype qui marche tant soit peu. Certains firewalls commerciaux se ventent d'en avoir un qui marche, mais je n'ai pas essaye.
Bonne chance, bloquer Skype c'est un casse-tete (il a ete concu pour ca)
Alain
Bonjour,
SKYPE utilise des connections https en utilisant directement l'adresse IP des serveurs distants (et non le nom DNS).
C'est hyper dangereux, car rien ne permet de savoir dans les logs du proxy-cache ce qui a initié la connection vers l'exterieur ni pourquoi (skype, ou un cheval de troie ?)
Par ailleurs, un site sécurisé sur Internet devrait toujours etre accessible à partir de son nom DNS, car le navigateur Internet doit pouvoir valider le certificat du serveur (qui contient le nom DNS du serveur pour lequel il a été délivré, jamais l'adresse IP).
Pour répondre à ta question, le filtrage dans squid :
# # pour bloquer SKYPE (== tunnel SSL vers @IP)
acl numeric_IPs url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
# # pour bloquer MSN
acl msnp req_mime_type -i ^application/x-msn-messenger$
acl msnq rep_mime_type ^application/x-msn-messenger$
acl bad_domain dstdomain -i "/etc/squid/interdit.txt"
http_access deny CONNECT numeric_IPs
http_reply_access deny msnp
http_reply_access deny msnq
http_access deny SSL_ports bad_domain
# cat /etc/squid/interdit.txt
.logmein.com
SKYPE utilise des connections https en utilisant directement l'adresse IP des serveurs distants (et non le nom DNS).
C'est hyper dangereux, car rien ne permet de savoir dans les logs du proxy-cache ce qui a initié la connection vers l'exterieur ni pourquoi (skype, ou un cheval de troie ?)
Par ailleurs, un site sécurisé sur Internet devrait toujours etre accessible à partir de son nom DNS, car le navigateur Internet doit pouvoir valider le certificat du serveur (qui contient le nom DNS du serveur pour lequel il a été délivré, jamais l'adresse IP).
Pour répondre à ta question, le filtrage dans squid :
# # pour bloquer SKYPE (== tunnel SSL vers @IP)
acl numeric_IPs url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
# # pour bloquer MSN
acl msnp req_mime_type -i ^application/x-msn-messenger$
acl msnq rep_mime_type ^application/x-msn-messenger$
acl bad_domain dstdomain -i "/etc/squid/interdit.txt"
http_access deny CONNECT numeric_IPs
http_reply_access deny msnp
http_reply_access deny msnq
http_access deny SSL_ports bad_domain
# cat /etc/squid/interdit.txt
.logmein.com
Bonjour,
Le seul moyen, je pense est de contrôler les ports correspondants à Skype.
https://fr.wikipedia.org/wiki/Skype
http://www.skype.com/intl/fr/help/guides/firewall.html
Le seul moyen, je pense est de contrôler les ports correspondants à Skype.
https://fr.wikipedia.org/wiki/Skype
http://www.skype.com/intl/fr/help/guides/firewall.html
