Skype: Restringindo acesso não autorizado usando firewall Linux

Olá pessoal, nesse artigo pretendo mostrar uma forma simples e prática de bloquear o acesso ao Skype de todos os micros na rede e liberar somente computadores com acesso autorizado, evitando assim a utilização de todos para fins que não sejam de trabalho. Mãos a massa!

[ Hits: 27.340 ]

Por: Thiago Fernandes de Melo em 18/09/2008 | Blog: http://www.hospedarfacil.com.br


Introdução



Olá pessoal, estou aqui com mais um artigo, espero que seja útil para todos ou quem sabe a uma grande parte dos administradores que lerem.

Existe a necessidade na empresa em se utilizar meios de comunicação onde visamos a redução de custos e usar Skype hoje em dia é fundamental pelas inúmeras vantagens que todos conhecem, só que muitos funcionários não tem a consciência de que em horário de serviço é necessário trabalhar, então cabe a nós lembrarmos-lhes disso.

Nesse artigo vou falar um pouco do SOCKS, que é um protocolo que permite que aplicações que utilizam o modelo cliente-servidor conectem-se a servidores externos através de requisições feitas ao servidor local.

Com essa configuração que eu estou postando aqui só vai funcionar se a política de firewall de vocês for bloquear tudo e ir liberando conforme a necessidade.

Exemplo do socks

Normalmente:

Micro-01 > Firewall > Rede Externa

Com o socks:

Micro-01 > Firewall > Proxy > Rede Externa

Vamos as configurações, como sempre os meus testes são feitos a partir de servidores com o Linux Fedora instalado, o que não impossibilita em nada o funcionamento em outras distribuições. Generalizando, esse artigo serve para qualquer distribuição pelo fato de estarmos compilando o source baixado do site do projeto, eu vi lá no site que no link de download ele faz referência a essas distribuições (Fedora Core 5/6, Red Hat AS.x, Solaris 8), quem for testar em outras distribuições, por favor postem o resultado aqui.

A aplicação que vou usar é o SS5. Site do projeto:
Link direto para download:

http://ufpr.dl.sourceforge.net/sourceforge/ss5/ss5-3.6.4-3.tar.gz

    Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação e configuração do SS5 (socks server)
   3. Testando o SS5 (socks server)
Outros artigos deste autor

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Configurando Apache + MySQL + Manipulação de dados com PHP

Configurando Squid para liberação de messenger em horário específico, dentre outros

Leitura recomendada

Metro, um breve tutorial

Distribuições Linux

Esgotando os recursos

Instalando o Debian Lenny Linux

Funcionamento de um cluster Linux: Parte II - A revanche

  
Comentários
[1] Comentário enviado por agk em 19/09/2008 - 09:04h

Muitíssimo interessante, parabéns pelo artigo.

É uma solução bastante consistente, apesar dos usuários poderem utilizar o proxy socks para algo mais além de se conectar ao skype.

[2] Comentário enviado por y2h4ck em 19/09/2008 - 10:03h

Não sei se vc sabe mas o skype comunica-se tambem via 443/TCP :)

Então não acho que isso ai iria ajudar em mta coisa não.

[]s

Anderson

[3] Comentário enviado por maran em 19/09/2008 - 10:04h

Grande Thiago, show de bola meu velho, aki usamos muito o Skype também :)

Abraços, irei fazer os teste e depois posto resultado aki :)

[4] Comentário enviado por m4tri_x em 19/09/2008 - 10:09h

Anderson, não sei se você chegou a ler o artigo inteiro, mais se você observar vai notar que eu enfatizei a importancia da politica do firewall ser de negação geral e liberação conforme necessidade.
:)

Sendo assim a porta 443 estará Bloqueada também.

Fabio, valeu mano, :D

[]´s

[5] Comentário enviado por y2h4ck em 19/09/2008 - 10:18h

Mas bloquear 443/tcp é osso né ?? Ao inves de vc ajudar os usuarios a utilizarem recursos seguros :P vc vai estar impelindo eles a usarem sempre o recurso vulneravel rs rs rs

:)

Dai é complexo ehehe

[6] Comentário enviado por m4tri_x em 19/09/2008 - 10:23h

Não amigão, tipo, qual é a utilidade de usar a 443 diretamente da estação se podemos utilizar um proxy squid para controlar a navegação? A politica do firewall vai aplicar-se apenas as estações não ao servidor. ^^
Poderão usar a 443 normalmente através do squid.

Maior segurança ainda ^^


[7] Comentário enviado por kalib em 19/09/2008 - 11:19h

Show de bola cara..qnt tempo eim parceiro!?
O skype é uma ótima ferramenta...
Bom trabalho..

[]

[8] Comentário enviado por agk em 19/09/2008 - 11:53h

Que eu saiba se bloquear as portas UDP de entrada e saída o skype não vai funcionar, mesmo que a porta tcp/443 esteja liberada, sem udp nada feito.

[9] Comentário enviado por m4tri_x em 19/09/2008 - 13:21h

:D

Iae Marcelo, verdade hein, eu estou meio sumido por causa da faculdade, heheh ta me matando, ultimo semestre eh fogo...


Agk, acho que a informação era referente as portas alternativas do skype para conexões de entrada, 80 e 443.


[]´s

[10] Comentário enviado por carlosdias98 em 19/09/2008 - 18:16h

Ferramenta interessante parabéns

[11] Comentário enviado por grandmaster em 20/09/2008 - 16:02h

Vou testar para ver como rola

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[12] Comentário enviado por Thiago Madella em 20/09/2008 - 19:23h

Bom mesmo o artigo, mas o lance do 443 vale analisar.
Mas muito bom o artigo.

[13] Comentário enviado por fasseabra em 23/09/2008 - 22:50h

Bom Tuto Amigo - Mas prefiro bloquear pelo Layer7 - ai Vai ;))
iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP

[14] Comentário enviado por m4tri_x em 24/09/2008 - 11:12h

Olá Fábio, não conheço esse Layer7, mais vou dar uma olhada depois :D

[]´s

[15] Comentário enviado por ivancsantos em 11/05/2012 - 16:45h

Sei que o tópico é antigo, mas achei interessante e vendo os comentários gostaria de complementar com um exemplo, ressaltando sua utilidade:

Cenário:

- Em uma empresa/escritório pequeno (com poucos usuários) há um servidor rodando iptables + squid para filtro de acessos;
- Devido à necessidade de uma estrutura simples (pois não há um IT Admin) a simplicidade de um proxy transparente foi melhor opção;
- Apenas alguns usuários deverão ter acesso à internet. Os outros terão acesso apenas aos sites liberados para acesso.

Sendo assim:
- As portas altas (1024:65535) assim como as portas http e https (80 e 443) estão com DROP por segurança. As requisições http passam pelo proxy, e as https estão liberadas somente para alguns usuários, para que ninguem desautorizado consiga se logar em serviços como Facebook, por exemplo.


Surge a necessidade de utilizar o skype em todos os micros, porém nestas circunstânceas o Skype não irá funcionar, pois precisa das portas altas (1024:65535) liberadas, ou como alternativa, não tão boa diga-se de passagem pois é preferível que tenha acesso à portas udp, as portas 80 e 443. Confesso que com minha urgência em resolver o problema, eu optei por liberar as portas altas, pois desconhecia dessa solução e reconfigurar o squid para proxy autenticado não seria uma solução viável (a essa altura já estava valendo tudo! rsrs porém eu realmente precisei de uma solução rápida). Mas na próxima oportunidade irei fazer isso!

Valeu a dica m4tri_x !


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts