skype 막기
글쓴이: ezman / 작성시간: 수, 2008/05/07 - 1:14오후
skype는 메신져로써 채팅과 파일전송 기능이 있습니다.
이 프로그램을 사용하면 저희 회사 방화벽을 무시하고 파일 주고받기가 가능하네요.
네트워크 구조:
공유기 <- 방화벽(eth0과 eth1이 bridge, iptables, squid 설치됨) <- 허브 <- PC들..
나름, 알아본 바로는 skype는 80, 443 포트만 열려있다면 모든 기능을 사용할 수 있다고 합니다.
그런데 이 포트는 안 열어놓을수는 없는 상황이라 통제할 방법이 없네요.
단순 채팅과 음성은 허용하고 파일전송만 막는 좋은 방법이 없을까요?
Forums:
..
찾아보다가 skype는 hostname을 사용하지 않고 ip를 사용, 터널링하는 방법을 쓴다고 하는데
이런 점을 캐치해서 squid에 정규표현식을 사용하여 ip로 connect 할 경우 블로킹시키는 방법을 봤습니다.
그런데 좀 더 디테일한 설정이나 다른 방법은 없는지 도움을 부탁드립니다.
내용이 이렇습니다.
I have deleted:
deny_info ERR_CLIENT_HTTPS2IP_DENIED skype
and SKYPE is blocked now.
Then, to block skype (at least in my case) should be work:
acl CONNECT method CONNECT
acl skype url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
.
http_access deny CONNECT skype
Thks!
----- Original Message -----
From: "Jaime Solorzano B"
To:
Sent: Friday, November 24, 2006 9:55 AM
Subject: [squid-users] How to block skype?
>I found Allowing/Unblocking Skype with Squid post at
> http://www.squid-cache.org/mail-archive/squid-users/200606/0099.html.
>
> Next steps are mentioned to block skype:
>
> acl CONNECT method CONNECT
> acl skype url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
>
> deny_info ERR_CLIENT_HTTPS2IP_DENIED skype
> http_access deny CONNECT skype
>
>
> BUT this don't work for us.
>
> When changes are applied (squid -k reconfigure) we get:
> squid: ERROR: Could not send signal to x to process wxyz: (3) No such
> process
>
> If we rollback changes squid works fine.
>
>
> Any response will be appreciated,
>
> Jaime
>
>
이러면 ip로 접속을 하게되면 모두 액세스 거부가 일어나는게 아닌지요?
도메인명이 아닌 ip로도 웹사이트를 이용하는 경우가 많은데 그런 경우까지 블럭되는게 아닌가 싶은데
결과를 예상할 만큼 알지를 못하니.. ;;
구글링 해보니
구글링 해보니 이런게 나오긴 합니다만 테스트 해보진 않았습니다.
iptables -I FORWARD −p udp −m length −−length 39 −m u32 −−u32 ’27&0x8f=7’ −−u32 ’31=0x527c4833’ −j DROP
이거 말고는 skype ip 주소들을 아예 블럭해버리는 약간 무식(?)한 방법도 있습니다.
--
/~eunjea
http://eunjaeim.com
해석은 못하지만
해석은 못하지만 써주신 그대로 적용해보기로 했는데..
우선 제 작업환경이 putty로 접속해서 서버에서 emacs를 실행합니다.
그리고 iptables 정책파일을 열어서 그대로 붙여넣기를 하고 저장을 하려니
인코딩을 묻네요. (디폴트로 utf-8)
그냥 저장을 하고 방화벽 스크립트를 restart 했는데 아래와 같이 오류가 발생합니다.
/etc/rc.d/rc.firewall: line 220: 0x8f=7’: command not found
iptables v1.2.11: Invalid rule number `−p'
Try `iptables -h' or 'iptables --help' for more information.
무엇이 잘못되었는지 모르겠습니다.
인코딩 문제인지.. ;;
skype는 80포트가
skype는 80포트가 막혀있을지라도 사용가능한 포트를 찾아서 동작이 가능하다는 애기가 있습니다.
포트넘버의 차이는 단지 voice의 품질과 관련될뿐 동작은 된다는 것 같습니다.
그러니 squid 설정만으론 애초에 안되는 일이었던것 같네요.
결국 iptables에 목적지가 skype서버라면 모두 drop 시키는 방법이 있겠지만
원하는 것은 음성과 채팅은 가능하면서 파일전송만 막는것이라서 해결책을 찾기가 어려운것 같습니다.
혹시 squid나 iptables 정책을 보다 더 쉽고 강화시켜줄수있는 서드파티 제품이 있는지요?
dansguardian과 같은 컨텐츠 필터링 제품처럼 squid 환경에서 사용되는 서드파티 제품이 그 예인데요.
정 안된다면 이런 서드파티 제품을 찾아보고 싶은데 막연하게 검색만으로 어려워 도움을 부탁드립니다.
상용 방화벽은 이런 문제를 해결해줄수 있을까요?
ps. skype에 물어보면 해결책을 알려줄까요? ;;
Skype를 완전히 막는게
Skype를 완전히 막는게 그리 간단하지만은 않은듯 합니다.
그래도 구글링해보니 OnePointWall이라는 FW상용제품이 스카이프나 여러P2P소프트웨어의 트래픽을 차단한다고 광고하는 것이 눈에 뜨이더군요.(일본제품이긴 합니다만)
OnePointWall영문홈페이지
===== ===== ===== ===== =====
그럼 이만 총총...[竹]
http://elflord.egloos.com
===== ===== ===== ===== =====
그럼 이만 총총...[竹]
http://elflord.egloos.com
최종
최종 결론인데..
스카이프는 비지니스 버전이 따로 있다는걸 알게되었습니다. 이 버전에 파일전송 기능이 없는 것은 아니지만..
그리고 윈도우의 레지스트리를 변경하여 파일전송기능을 disable시키는 방법이 제 상황에선 가장 알맞은듯 합니다.
http://www.skype.com/security/
댓글 달기