Bloccare Skype ed MSN: una faticaccia

I

InterNik

Nuovo Alfista
19 Ottobre 2004
13,737
0
36
Ho passato il pomeriggio per mettere a punto un sistema per bloccare questi due simpatici programmi.

Correntemente ci sono riuscito, ma al costo di dover enumerare esplicitamente i siti su cui consentire collegamenti sulla porta 443 (il che è abbastanza male, anche se tollerabile).

---
Qualcuno conosce metodi "furbi", soprattutto per skype?
:ciao)
 
JulianRoss":82okpcb0 ha detto:
Il diurno li conosce bene visto che ha passato qualche mese a lottare contro l'administrator del suo ufficio :rotolo) :rotolo) :rotolo)

è necessario bloccare anche il sito del webmessenger http://webmessenger.msn.com/

per risolvere totalmente dovrebbe bastare bloccare l'accesso a tutta la subnet MSFT contenente i server di messenger
Clicca per espandere...
msn è abbastanza banale, ma non basta affatto bloccare i server messenger con un firewall.

skype mi ha fatto lavorare di più ;)

PS ho bannato l'intero dominio .msn.com :lol:
 
Potresti sempre chiudere tutte le porte lan to wan e lasciare aperte solo le 21 22 23 25 53 80 110 443 (che hai già "filtrato") e aggiungere al max le strette necessarie ai sw fondamentali tipo antivirus per update ecc :asd) :asd) :asd)
E' un pò da bas... :ignore) inside ma dovrebbe essere lo sbattimento minore... :sarcastic) :sarcastic) :sarcastic)
Personalmente quando posso preferisco aprire le porte neccessarie e chiudere tutte le altre piuttosto che il contrario ovvio che dipende molto dalla situazione in cui ti trovi, se non hai troppi sw/servizi installati che hanno bisogno di cazzeggiare col web non dovresti metterci molto :p
E poi vuoi mettere che bello non sentire più il cliente chi ti chiama e ti dice "Ho fatto un aggiornamento di xxx e non funziona più una mazza, cosa devo fare?" :elio) ;)
 
Cimino80":23kgts35 ha detto:
Potresti sempre chiudere tutte le porte lan to wan e lasciare aperte solo le 21 22 23 25 53 80 110 443 (che hai già "filtrato") e aggiungere al max le strette necessarie ai sw fondamentali tipo antivirus per update ecc :asd) :asd) :asd)
E' un pò da bas... :ignore) inside ma dovrebbe essere lo sbattimento minore... :sarcastic) :sarcastic) :sarcastic)
Clicca per espandere...
Non va bene, in quanto skype, ad esempio, fa proprio chiamate sulla 443 per connettersi all'esterno se trova chiuse quelle "normali" e -se la chiudi- non funziona praticamente più nulla (siti sicuri, perfino i componenti mozilla :p )
:p
Nè puoi "bannare" delle sottoreti (sempre con skype) in quanto si connette a "suoi" server, senza nessuna risoluzione DNS nè a reti "note" (sono i supernodi root di cui non si ha traccia "ufficiale")

Infine non puoi neppure analizzare i pacchetti che spedisce, in quanto sono criptati :lol:
 
InterNik":3t712zgt ha detto:
Cimino80":3t712zgt ha detto:
Potresti sempre chiudere tutte le porte lan to wan e lasciare aperte solo le 21 22 23 25 53 80 110 443 (che hai già "filtrato") e aggiungere al max le strette necessarie ai sw fondamentali tipo antivirus per update ecc :asd) :asd) :asd)
E' un pò da bas... :ignore) inside ma dovrebbe essere lo sbattimento minore... :sarcastic) :sarcastic) :sarcastic)
Clicca per espandere...
Non va bene, in quanto skype, ad esempio, fa proprio chiamate sulla 443 per connettersi all'esterno se trova chiuse quelle "normali" e -se la chiudi- non funziona praticamente più nulla (siti sicuri, perfino i componenti mozilla :p )
:p
Nè puoi "bannare" delle sottoreti (sempre con skype) in quanto si connette a "suoi" server, senza nessuna risoluzione DNS nè a reti "note" (sono i supernodi root di cui non si ha traccia "ufficiale")

Infine non puoi neppure analizzare i pacchetti che spedisce, in quanto sono criptati :lol:
Clicca per espandere...

Propongo soluzione alternativa merdosa :asd) :asd) :asd) installare un firewall software a livello client protetto da password con blocco sull'exe? :shrug03) Ce ne sono di quelli che chiedono la pwd anche per essere disinstallati, non è il massimo ma potrebbe fungere! :shrug03)
 
Cimino80":ykb47kkc ha detto:
InterNik":ykb47kkc ha detto:
Cimino80":ykb47kkc ha detto:
Potresti sempre chiudere tutte le porte lan to wan e lasciare aperte solo le 21 22 23 25 53 80 110 443 (che hai già "filtrato") e aggiungere al max le strette necessarie ai sw fondamentali tipo antivirus per update ecc :asd) :asd) :asd)
E' un pò da bas... :ignore) inside ma dovrebbe essere lo sbattimento minore... :sarcastic) :sarcastic) :sarcastic)
Clicca per espandere...
Non va bene, in quanto skype, ad esempio, fa proprio chiamate sulla 443 per connettersi all'esterno se trova chiuse quelle "normali" e -se la chiudi- non funziona praticamente più nulla (siti sicuri, perfino i componenti mozilla :p )
:p
Nè puoi "bannare" delle sottoreti (sempre con skype) in quanto si connette a "suoi" server, senza nessuna risoluzione DNS nè a reti "note" (sono i supernodi root di cui non si ha traccia "ufficiale")

Infine non puoi neppure analizzare i pacchetti che spedisce, in quanto sono criptati :lol:
Clicca per espandere...

Propongo soluzione alternativa merdosa :asd) :asd) :asd) installare un firewall software a livello client protetto da password con blocco sull'exe? :shrug03) Ce ne sono di quelli che chiedono la pwd anche per essere disinstallati, non è il massimo ma potrebbe fungere! :shrug03)
Clicca per espandere...
Non direi proprio... basta cambiare nome al file :asd)
... o disinstallare/disabilitare ...
 
Disinstalla i sw che non vuoi che vengano usati e reimposta l'utente locale a membro del gurppo user :sedia) :sedia) :sedia)
Azzi suoi se poi il 90% dei sw non gli funziano più così impara :elio) :asd) :sarcastic) :culo)
Cmq a parte gli scherzi mi pare di ricordare un cliente con ipcop e l'intera rete bloccata per messenger, se mi capita di passarci controllo e ti dico...
 
Sw restriction policy? :elio) :elio) :elio)
Sempre che che tu abbia a che fare con un client xp però o con un dominio active directory :asd) :asd) :asd)
 
Cimino80":y1my29u3 ha detto:
Disinstalla i sw che non vuoi che vengano usati e reimposta l'utente locale a membro del gurppo user :sedia) :sedia) :sedia)
Azzi suoi se poi il 90% dei sw non gli funziano più così impara :elio) :asd) :sarcastic) :culo)
Cmq a parte gli scherzi mi pare di ricordare un cliente con ipcop e l'intera rete bloccata per messenger, se mi capita di passarci controllo e ti dico...
Clicca per espandere...
ahemm... scusa... ma forse non si è capito... ovviamente sono riuscito a bloccare sia messenger che skype :asd)

Quello che mi serve è un modo per skype senza bloccare tutte le connessioni SSL in uscita, tranne quelle che voglio io.

ho tentato con parecchi metodi che vengono "spacciati" per funzionanti, ma in realtà non lo sono affatto (con una regex sulla CONNECT numerica)
:OK)
 
Cimino80":31x6n690 ha detto:
Sw restriction policy? :elio) :elio) :elio)
Sempre che che tu abbia a che fare con un client xp però o con un dominio active directory :asd) :asd) :asd)
Clicca per espandere...
sì la prima, ma no la seconda.

lavorare a livello client è ovviamente una scelta inappropriata :p
 
InterNik":3gui4zua ha detto:
Cimino80":3gui4zua ha detto:
Disinstalla i sw che non vuoi che vengano usati e reimposta l'utente locale a membro del gurppo user :sedia) :sedia) :sedia)
Azzi suoi se poi il 90% dei sw non gli funziano più così impara :elio) :asd) :sarcastic) :culo)
Cmq a parte gli scherzi mi pare di ricordare un cliente con ipcop e l'intera rete bloccata per messenger, se mi capita di passarci controllo e ti dico...
Clicca per espandere...
ahemm... scusa... ma forse non si è capito... ovviamente sono riuscito a bloccare sia messenger che skype :asd)

Quello che mi serve è un modo per skype senza bloccare tutte le connessioni SSL in uscita, tranne quelle che voglio io.

ho tentato con parecchi metodi che vengono "spacciati" per funzionanti, ma in realtà non lo sono affatto (con una regex sulla CONNECT numerica)
:OK)
Clicca per espandere...

Scusami se ho dubitato anche solo per un attimo :worship) :worship) :worship) :asd)
 
Devi accedere o registrarti per rispondere qui.
Top