web-dev-qa-db-ja.com

snortとiptablesを使用してSkypeをブロックする

snortiptablesを使用してSkypeをブロックしようとしています。私はたくさんの論文を読み、Skypeが使用するポート、キーワード、パターンをブロックしました。しかし、それはまだブロックされていません。

私の質問は、SkypeがHTTPポート80またはhttpsポート443を使用している場合、コンピューターはこのパケットをWebパケットではなくSkypeパケットとしてどのように認識するのでしょうか。これは、Skypeをブロックするのに役立つ可能性があります。

5
Vin

「コンピュータはこのパケットをWebパケットではなくSkypeパケットとしてどのように認識しますか?」について:パケットは、ポートでリッスンしているプログラムに送信されます。 SkypeがTCP/80の使用を決定し、誤ってWebサーバーとの通信を開始した場合、Webサーバーは混乱し、エラーをスローし(または応答を拒否し)、Skypeはあきらめます。 WebクライアントがSkypeに接続することを決定した場合、Skypeは要求を確認し、Skypeではないことを認識します。

つまり、IP /ポート情報だけを使用してSkypeをブロックすることはできません。静的ルールを使用したコンテンツに基づくブロックは、常に固定の署名があることを前提としています。 Skypeは独自仕様であるため、プロトコルはいつでも変更される可能性があり、古いルールは役に立たなくなります。 Skypeはフィルターの回避に優れていることで有名です。彼らが最初にランダムなキーを追加し、現在または将来のいずれかで、Skype独自のバージョンのRC4を使用して残りのトラフィックを暗号化するようなことをしても驚かないでしょう。これにより、トラフィックとランダムノイズを区別できなくなります。

ポート443トラフィックを使用すると、実際のSSL接続を実行することもできます。これにより、トラフィック分析を実行したくない場合(「トラフィックの量とタイミング」など)を区別するのが非常に困難になります(正しく実行された場合)。彼らがそれをしているのかどうかはわかりませんが、繰り返しになりますが、独自のプロトコルは変更される可能性があります。

ユーザーがSkypeを使用しないようにするための最も信頼できる方法は、マシン上の実行可能ファイルをスキャンするか、Skypeを使用してポリシーに違反するユーザーをLARTすることです。

他のポートのトラフィックも確認してください。 80と(おそらく「または」)443は、Skypeが必要とする最小限のものです。 80/443が完全にブロックされている場合でも、見逃した一部のポートに満足している可能性があります。 UDPトラフィックを確認してください!

1
Jan Schejbal

SkypeをブロックするSnortルールを提示する記事へのリンクは次のとおりです。 http://www.md3v.com/block-skype-with-snort

ここで探している署名は、ログインしているクライアントに返される「17 03 0100」です。
興味がある場合は、必ずこのページをご覧ください: http://www1.cs.columbia.edu/~salman/skype/

1
Shadok