Skype: Restringindo acesso não autorizado usando firewall Linux

Olá pessoal, nesse artigo pretendo mostrar uma forma simples e prática de bloquear o acesso ao Skype de todos os micros na rede e liberar somente computadores com acesso autorizado, evitando assim a utilização de todos para fins que não sejam de trabalho. Mãos a massa!

[ Hits: 27.345 ]

Por: Thiago Fernandes de Melo em 18/09/2008 | Blog: http://www.hospedarfacil.com.br


Testando o SS5 (socks server)



Agora que instalamos, vamos fazer os testes, bem básico porém funcional.

Primeiramente vamos executar o ss5:

# service ss5 start

Checar sua execução:

# lsof -i TCP:1080

COMMAND   PID   USER   FD   TYPE  DEVICE SIZE NODE NAME
ss5     14990 nobody    4u  IPv4 2757241       TCP *:socks (LISTEN)

Ok, se você recebeu essa saída então estamos indo bem.

Agora vamos fazer um teste de conexão, instale o Skype em um dos micros da sua rede e tente conectar, obviamente não vai conectar pois seu firewall tem a política de negação geral e libera somente o que for de necessário acesso.

Agora configure o proxy no Skype indo em:

Ferramentas > Opções > Avançado > Conexão > Selecione proxy SOCKS

Preencha o ip do servidor no campo hosts e no campo porta preencha 1080, clique em salvar, feche o Skype e abra novamente, em seguida tente conectar, observe que a conexão vai estabilizar e será possível utilizar o Skype através do proxy.

Bom, então quer dizer que mesmo com a rede bloqueada para acesso externo, quem configurar o proxy simplesmente vai conseguir conectar? Não, nós vamos através de algumas regras de IPTABLES negar o acesso a porta do proxy tanto da rede externa como da rede interna, em seguida vamos liberar apenas os IPS que deverão conectar-se no Skype.

Regras:

# iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1080 -j REJECT

Essa regra bloqueará o acesso a porta do socks tanto da rede interna como da rede externa.

# iptables -A INPUT -p TCP -s 192.168.0.34/32 --dport 1080 -j ACCEPT

Essa regra será responsável por liberar os ips que quisermos que acessem o Skype.

Ficaria assim:

# Liberando Skype do joão
iptables -A INPUT -p TCP -s 192.168.0.34/32 --dport 1080 -j ACCEPT

# Liberando Skype do mario
iptables -A INPUT -p TCP -s 192.168.0.35/32 --dport 1080 -j ACCEPT

# Bloqueando Skype dos demais computadores da rede
iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1080 -j REJECT

Alguns links


Bom pessoal, então é isso, espero que esse artigo seja útil a alguém. Gostaria de agradecer pela oportunidade e pelas críticas e elogios dos outros artigos que certamente influenciam no meu crescimento pessoal e profissional.

Até a próxima. :)

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalação e configuração do SS5 (socks server)
   3. Testando o SS5 (socks server)
Outros artigos deste autor

Configurando Apache + MySQL + Manipulação de dados com PHP

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Configurando Squid para liberação de messenger em horário específico, dentre outros

Leitura recomendada

Guia de Instalação do Arch Linux

Analisando processos em seu GNU/Linux

Fazendo backup e recuperando a MBR e tabela de partições do HD

Instalando o Fedora Core 5 via NFS

openSUSE Argon

  
Comentários
[1] Comentário enviado por agk em 19/09/2008 - 09:04h

Muitíssimo interessante, parabéns pelo artigo.

É uma solução bastante consistente, apesar dos usuários poderem utilizar o proxy socks para algo mais além de se conectar ao skype.

[2] Comentário enviado por y2h4ck em 19/09/2008 - 10:03h

Não sei se vc sabe mas o skype comunica-se tambem via 443/TCP :)

Então não acho que isso ai iria ajudar em mta coisa não.

[]s

Anderson

[3] Comentário enviado por maran em 19/09/2008 - 10:04h

Grande Thiago, show de bola meu velho, aki usamos muito o Skype também :)

Abraços, irei fazer os teste e depois posto resultado aki :)

[4] Comentário enviado por m4tri_x em 19/09/2008 - 10:09h

Anderson, não sei se você chegou a ler o artigo inteiro, mais se você observar vai notar que eu enfatizei a importancia da politica do firewall ser de negação geral e liberação conforme necessidade.
:)

Sendo assim a porta 443 estará Bloqueada também.

Fabio, valeu mano, :D

[]´s

[5] Comentário enviado por y2h4ck em 19/09/2008 - 10:18h

Mas bloquear 443/tcp é osso né ?? Ao inves de vc ajudar os usuarios a utilizarem recursos seguros :P vc vai estar impelindo eles a usarem sempre o recurso vulneravel rs rs rs

:)

Dai é complexo ehehe

[6] Comentário enviado por m4tri_x em 19/09/2008 - 10:23h

Não amigão, tipo, qual é a utilidade de usar a 443 diretamente da estação se podemos utilizar um proxy squid para controlar a navegação? A politica do firewall vai aplicar-se apenas as estações não ao servidor. ^^
Poderão usar a 443 normalmente através do squid.

Maior segurança ainda ^^


[7] Comentário enviado por kalib em 19/09/2008 - 11:19h

Show de bola cara..qnt tempo eim parceiro!?
O skype é uma ótima ferramenta...
Bom trabalho..

[]

[8] Comentário enviado por agk em 19/09/2008 - 11:53h

Que eu saiba se bloquear as portas UDP de entrada e saída o skype não vai funcionar, mesmo que a porta tcp/443 esteja liberada, sem udp nada feito.

[9] Comentário enviado por m4tri_x em 19/09/2008 - 13:21h

:D

Iae Marcelo, verdade hein, eu estou meio sumido por causa da faculdade, heheh ta me matando, ultimo semestre eh fogo...


Agk, acho que a informação era referente as portas alternativas do skype para conexões de entrada, 80 e 443.


[]´s

[10] Comentário enviado por carlosdias98 em 19/09/2008 - 18:16h

Ferramenta interessante parabéns

[11] Comentário enviado por grandmaster em 20/09/2008 - 16:02h

Vou testar para ver como rola

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[12] Comentário enviado por Thiago Madella em 20/09/2008 - 19:23h

Bom mesmo o artigo, mas o lance do 443 vale analisar.
Mas muito bom o artigo.

[13] Comentário enviado por fasseabra em 23/09/2008 - 22:50h

Bom Tuto Amigo - Mas prefiro bloquear pelo Layer7 - ai Vai ;))
iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP

[14] Comentário enviado por m4tri_x em 24/09/2008 - 11:12h

Olá Fábio, não conheço esse Layer7, mais vou dar uma olhada depois :D

[]´s

[15] Comentário enviado por ivancsantos em 11/05/2012 - 16:45h

Sei que o tópico é antigo, mas achei interessante e vendo os comentários gostaria de complementar com um exemplo, ressaltando sua utilidade:

Cenário:

- Em uma empresa/escritório pequeno (com poucos usuários) há um servidor rodando iptables + squid para filtro de acessos;
- Devido à necessidade de uma estrutura simples (pois não há um IT Admin) a simplicidade de um proxy transparente foi melhor opção;
- Apenas alguns usuários deverão ter acesso à internet. Os outros terão acesso apenas aos sites liberados para acesso.

Sendo assim:
- As portas altas (1024:65535) assim como as portas http e https (80 e 443) estão com DROP por segurança. As requisições http passam pelo proxy, e as https estão liberadas somente para alguns usuários, para que ninguem desautorizado consiga se logar em serviços como Facebook, por exemplo.


Surge a necessidade de utilizar o skype em todos os micros, porém nestas circunstânceas o Skype não irá funcionar, pois precisa das portas altas (1024:65535) liberadas, ou como alternativa, não tão boa diga-se de passagem pois é preferível que tenha acesso à portas udp, as portas 80 e 443. Confesso que com minha urgência em resolver o problema, eu optei por liberar as portas altas, pois desconhecia dessa solução e reconfigurar o squid para proxy autenticado não seria uma solução viável (a essa altura já estava valendo tudo! rsrs porém eu realmente precisei de uma solução rápida). Mas na próxima oportunidade irei fazer isso!

Valeu a dica m4tri_x !


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts