[GTER] skype x layer7

casfre at gmail.com casfre at gmail.com
Sun Aug 5 13:07:46 -03 2007


Olá,

     Eu também tenho que lidar com Skype na rede.

     O que eu tenho feito ( e vou revisar para ver se não há problemas
relatados aqui ) é fechar toda e qualquer conexão, para a Internet,
que não passe pelo proxy. Aquilo que precisa de acesso que o Squid não
consegue resolver ( ex: outros protocolos ), eu trato como exceção e
crio regras no Iptables para passar sem proxy ( exemplos:
conectividade social, pop3, smtp, ftp que não funcionar via squid etc
).

     No Squid ( autenticado ), uso aquele método de só permitir
conexões, na porta 443, para IPs numéricos, para as máquinas o Skype
deve funcionar ( aparentemente, pelo que li na discussão, há como
mudar a porta HTTPS que o Skype usa, logo, dificulta o controle). Além
disso, tenho tentado limitar que portas podem usar o método CONNECT.

     A minha idéia ( em revisão, como já disse ) é forçar tudo a
passar pelo Squid, incluindo gtalk, msn e skype e, ali, com as ACLs
disponíveis, combinadas, tentar controlar os acessos. Tenho visto
também alguns relatos sobre uso de softwares de IDS/IPS ( como Snort )
para tentar controlar tais acessos, mas não me aprofundei nem testei.

     Além das iniciativas técnicas, busquei apoio para fazer uma
política de uso dos recursos, informando o que é permitido e o que não
é. Em minhas leituras, sobre abusos na utilização dos recursos de
Internet, por parte de usuários, sempre há uma parte que fala sobre a
necessidade de tais políticas, pois sempre haverá alguém achando uma
forma de burlar esse ou aquele controle. Não resolve ( pois ainda é
preciso 'descobrir' usos indevidos ), mas ajuda.

     Muito interessante essa discussão, pois trata de um problema
"chato". Se eu conseguir algum progresso, diferente do que tenho visto
aqui, eu reporto.

     Agradeço pela atenção.

Cássio



More information about the gter mailing list