ポート80と443を使用しているときにSKYPEをブロックするにはどうすればよいですか?
ネットワークでポート80と443を使用しているときにSKYPEをブロックする方法。 (ISA 2006を使用し、Webを無効にせずに)を使用して実行できる場合はより良い)ユーザーがSkypeをインストールできない場合、Skypeを使用できないことはわかっています。
A)ブラックリストソフトウェアを使用するか、ADでポリシーを構成して、Skype実行可能ファイルをブロックします。
B)ディープパケットインスペクションを実行してトラフィックをブロックできるファイアウォールを使用します。
C)DNSサーバーを使用して、skype.comおよび関連するサーバーへの要求を意図的にポイズニングし、Skypeが接続できないようにします。
D)ソフトウェア監査プログラムを使用して、誰がskypeをインストールしたかを示すレポートを定期的に取得し、会社のポリシーを通じて、会社のコンピューターにソフトウェアを繰り返しインストールする場合は発砲犯罪であることを通知します。
E)管理アクセスなしでソフトウェアのインストールを有効にするユーザーへの特権を削除します。
うまくいったこと、そしておそらく今はうまくいくことの簡単な要約。これらはすべて、何らかの形式のプロキシサーバーが必要ですが、おそらく透過的なSquidプロキシで機能します。それらはISA 2006で動作する可能性がありますが、私はそれを使用したことがないので、約束はしません。
- 古いバージョンでは、「skype」を含むUser-Agent文字列が使用されていたため、それをブロックすると機能する可能性があります。新しいバージョンには、ブロックに使用されていたため、User-Agentは含まれていません。
- 名前ではなくIPアドレスを使用して接続された古いバージョン。人々がhttpsからIPアドレスをブロックしていたため、新しいバージョンでは代わりに名前が使用されているようです。
現在は機能する可能性が高いが、他のアプリケーションでもさまざまな重大度の問題を引き起こす可能性のあるアプローチ:
- Skypeドメイン名に使用されているパターンとaddそれらのブロックを調べます(または、可能であれば、それらにのみ2〜5秒の遅延を導入します)。使用されているドメイン名パターンのドキュメントは見当たりませんでした。遅延は、メッセージングおよびWebサイトへのアクセスを排除せずに、音声/ビデオ品質を完全に許容できないものにすることによって使用を阻止したい半公共ネットワーク用です。
- 続行 IPアドレスに直接接続する接続をブロックする-HTTP/1.1の最近では、これを行う正当な理由はほとんどありません。さらに言えば、HTTP/1.0をブロックすることは可能かもしれませんが、その影響についてはよくわかりません。
- 続行ユーザーエージェントで「skype」との接続をブロックします
- Add User-Agentが指定されていない接続のブロック(これにより、環境によっては一部のアプリケーションが破損する可能性があります)
- 可能であれば、ポリシー Skypeをブロックする使用に対するペナルティ付きユーザーに知らせ、フォロースルーしてください。
- それが企業環境である場合は、それを企業ポリシーにし、企業のコンピューター使用ガイドライン(名前なし)に違反した人々のいくつかの記事を公表します。これは、海賊版ソフトウェアまたはハードウェアをインストールする人々に対処するのに役立ちます。
- 企業以外の環境の場合は、ポリシーに違反していると見なされたコンピューター(警告の余地がある)がネットワークにアクセスできなくなることをポリシーにして、MACレベルのブロックまたはフィルタリングを実行できるようにします。
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype を参照してください
ディープパケットインスペクションを実行し、パケット内のSkypeトラフィックを識別して「ブロック」基準として使用できるものが必要か、または単にアクセスをブロックする外部ホストを知る必要があります。私はSkypeアーキテクチャにあまり詳しくないので、何らかの目的で中央サーバーを経由する必要があるかどうかはわかりません。そうでない場合は、2番目の方法でそれを行うことはできません。
MS ISAサーバーを使用しているため、各マシンにファイアウォールクライアントをインストールすることをお勧めします(可能であればAD経由で展開します)。その後、プロセスごとにブロックできます。
もちろん、これはWindowsクライアントのみをブロックします