Skype: Restringindo acesso não autorizado usando firewall Linux
Olá pessoal, nesse artigo pretendo mostrar uma forma simples e prática de bloquear o acesso ao Skype de todos os micros na rede e liberar somente computadores com acesso autorizado, evitando assim a utilização de todos para fins que não sejam de trabalho. Mãos a massa!
[ Hits: 27.338 ]
Por: Thiago Fernandes de Melo em 18/09/2008 | Blog: http://www.hospedarfacil.com.br
Introdução
Existe a necessidade na empresa em se utilizar meios de comunicação onde visamos a redução de custos e usar Skype hoje em dia é fundamental pelas inúmeras vantagens que todos conhecem, só que muitos funcionários não tem a consciência de que em horário de serviço é necessário trabalhar, então cabe a nós lembrarmos-lhes disso.
Nesse artigo vou falar um pouco do SOCKS, que é um protocolo que permite que aplicações que utilizam o modelo cliente-servidor conectem-se a servidores externos através de requisições feitas ao servidor local.
Com essa configuração que eu estou postando aqui só vai funcionar se a política de firewall de vocês for bloquear tudo e ir liberando conforme a necessidade.
Exemplo do socks
Normalmente:Micro-01 > Firewall > Rede Externa
Com o socks:
Micro-01 > Firewall > Proxy > Rede Externa
Vamos as configurações, como sempre os meus testes são feitos a partir de servidores com o Linux Fedora instalado, o que não impossibilita em nada o funcionamento em outras distribuições. Generalizando, esse artigo serve para qualquer distribuição pelo fato de estarmos compilando o source baixado do site do projeto, eu vi lá no site que no link de download ele faz referência a essas distribuições (Fedora Core 5/6, Red Hat AS.x, Solaris 8), quem for testar em outras distribuições, por favor postem o resultado aqui.
A aplicação que vou usar é o SS5. Site do projeto:
Link direto para download:
http://ufpr.dl.sourceforge.net/sourceforge/ss5/ss5-3.6.4-3.tar.gz
2. Instalação e configuração do SS5 (socks server)
3. Testando o SS5 (socks server)
Configurando Squid para liberação de messenger em horário específico, dentre outros
SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA
Configurando Apache + MySQL + Manipulação de dados com PHP
Tumbleweed, o openSUSE Rolling Release
Uma análise do software livre e de sua história
Instalando o Debian Etch com o instalador gráfico
Funcionamento de um cluster Linux: Parte II - A revanche
OpenLDAP: Instalando um servidor de diretórios com replicação (SyncRepl)
Muitíssimo interessante, parabéns pelo artigo.
É uma solução bastante consistente, apesar dos usuários poderem utilizar o proxy socks para algo mais além de se conectar ao skype.
Não sei se vc sabe mas o skype comunica-se tambem via 443/TCP :)
Então não acho que isso ai iria ajudar em mta coisa não.
[]s
Anderson
Grande Thiago, show de bola meu velho, aki usamos muito o Skype também :)
Abraços, irei fazer os teste e depois posto resultado aki :)
Anderson, não sei se você chegou a ler o artigo inteiro, mais se você observar vai notar que eu enfatizei a importancia da politica do firewall ser de negação geral e liberação conforme necessidade.
:)
Sendo assim a porta 443 estará Bloqueada também.
Fabio, valeu mano, :D
[]´s
Mas bloquear 443/tcp é osso né ?? Ao inves de vc ajudar os usuarios a utilizarem recursos seguros :P vc vai estar impelindo eles a usarem sempre o recurso vulneravel rs rs rs
:)
Dai é complexo ehehe
Não amigão, tipo, qual é a utilidade de usar a 443 diretamente da estação se podemos utilizar um proxy squid para controlar a navegação? A politica do firewall vai aplicar-se apenas as estações não ao servidor. ^^
Poderão usar a 443 normalmente através do squid.
Maior segurança ainda ^^
Show de bola cara..qnt tempo eim parceiro!?
O skype é uma ótima ferramenta...
Bom trabalho..
[]
Que eu saiba se bloquear as portas UDP de entrada e saída o skype não vai funcionar, mesmo que a porta tcp/443 esteja liberada, sem udp nada feito.
:D
Iae Marcelo, verdade hein, eu estou meio sumido por causa da faculdade, heheh ta me matando, ultimo semestre eh fogo...
Agk, acho que a informação era referente as portas alternativas do skype para conexões de entrada, 80 e 443.
[]´s
Vou testar para ver como rola
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
Bom mesmo o artigo, mas o lance do 443 vale analisar.
Mas muito bom o artigo.
Bom Tuto Amigo - Mas prefiro bloquear pelo Layer7 - ai Vai ;))
iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP
Olá Fábio, não conheço esse Layer7, mais vou dar uma olhada depois :D
[]´s
Sei que o tópico é antigo, mas achei interessante e vendo os comentários gostaria de complementar com um exemplo, ressaltando sua utilidade:
Cenário:
- Em uma empresa/escritório pequeno (com poucos usuários) há um servidor rodando iptables + squid para filtro de acessos;
- Devido à necessidade de uma estrutura simples (pois não há um IT Admin) a simplicidade de um proxy transparente foi melhor opção;
- Apenas alguns usuários deverão ter acesso à internet. Os outros terão acesso apenas aos sites liberados para acesso.
Sendo assim:
- As portas altas (1024:65535) assim como as portas http e https (80 e 443) estão com DROP por segurança. As requisições http passam pelo proxy, e as https estão liberadas somente para alguns usuários, para que ninguem desautorizado consiga se logar em serviços como Facebook, por exemplo.
Surge a necessidade de utilizar o skype em todos os micros, porém nestas circunstânceas o Skype não irá funcionar, pois precisa das portas altas (1024:65535) liberadas, ou como alternativa, não tão boa diga-se de passagem pois é preferível que tenha acesso à portas udp, as portas 80 e 443. Confesso que com minha urgência em resolver o problema, eu optei por liberar as portas altas, pois desconhecia dessa solução e reconfigurar o squid para proxy autenticado não seria uma solução viável (a essa altura já estava valendo tudo! rsrs porém eu realmente precisei de uma solução rápida). Mas na próxima oportunidade irei fazer isso!
Valeu a dica m4tri_x !
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.806 pts -
Fábio Berbert de Paula
2° lugar - 51.182 pts -
Buckminster
3° lugar - 17.638 pts -
Mauricio Ferrari
4° lugar - 15.394 pts -
Alberto Federman Neto.
5° lugar - 14.058 pts -
Diego Mendes Rodrigues
6° lugar - 13.670 pts -
Daniel Lara Souza
7° lugar - 13.065 pts -
Andre (pinduvoz)
8° lugar - 10.432 pts -
edps
9° lugar - 10.621 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.520 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
