Bonjour,

j'utilise ISA serveur 2006 sur Windows 2003 serveur et je voudrai bloquer l'application Skype,

quelqu'un peut il m'aider sur la règle à appliquer ?

Merci. 

Bonjour,

Skype n'est pas très simple à bloquer.

On peut déjà bloquer la signature de l'agent mais cela est insuffisant.

Skype va tenter d'accéder à un Login Server en HTTP et si cela ne fonctionne pas, il tentera en HTTPS.

Tu peux donc essayer de blacklister tous ces serveurs mais la liste s'enrichie de jour en jour.

Je te conseille de commencer par lire ceci pour bien comprendre Skype : http://arxiv.org/ftp/cs/papers/0412/0412017.pdf

Ue autre possibilité est de bloquer l'exécutable skype sur les postes via le client firewall et/ou les stratégies de restriction logiciel.

Cordialement,

---

Yann Gainche
[MVP MOM]

ygainche:

Tu peux donc essayer de blacklister tous ces serveurs mais la liste s'enrichie de jour en jour.

Bonjour,

+1
l'application la plus dure a bloquer c'est SKYPE.
Tu peux créer une Whitelist pour les sites que tu veux les autorisé en HTTPS, pour remedier au problemmes d'enrichisement des serveurs Skype

---

@+
Oussema
Systems and Networks Engineer

Voici un lien interessant sur l'ensemble de la sécurité lié à Skype :

http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/Environnementreseau/102005_skype/

Je testes certaines de ces règles pour voir ce que cela donne et je vous tiens au courant.

Alors pour le moment le bloquage des ports hauts (déjà établi vu que ISA bloque tout par défaut) donne un petit délai au client pour qu'il se connecte.

Mais ce dernier passe ensuite par du HTTP et HTTPS.

J'ai bloquer également les domaines *.skype.com et *.skype.net.

A priori cela ne l'empeche pas de se lancer par contre les users doivent du coup aller le chercher ailleurs que sur le site officiel.

J'ai fait une analyse des trames qui transite à la connexion de skype et voilà ce que celui-ci me donne:

User-Agent: Skype™ 3.1
Host: ui.skype.com
Cache-Control: no-cache

 †sz    ê  ê   GºY ^Õ  E Ü Ý@ €¶`« «G£*9µñÃ»ÿ‘PÿP€^  HTTP/1.1 403 Forbidden ( L'ordinateur ISA Server a refusé l'URL (Uniform Resource Locator) spécifiée.  )
Via: 1.1 ISASERVER
Connection: close
Proxy-Connection: close
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 2111 

Si ça peut vous aidez.

Bon courage a toutes et à tous.

Je viens aux nouvelles!

J'ai fait un nouvel essai en tentant de bloquer directement le logiciel grace au client pare-feu.

J'ai intégré egalement Emule, Kazaa, etc...

Pour les softs de P2P ca fonctionne bien mais pour Skype je pige plus.

Il parvient à se connecter tout de même sauf que la sur le ISA je ne vois plus rien du tout transiter. Je pense qu'il encapsule les trames pour quelles ne soient plus filtrable.

Donc pour le moment je bloque les domaines *.skype.com et *.skype.net. Je bloque les services SkypePM.exe et Skype.exe à accédé au réseau via le client ISA. Je bloque (avec la stratégie de base) les ports hauts et pour le moment il se connecte encore.

Je continus mes investigations et je vous tiens au courant.

C'est bizarre.

 

Tu as bien mis le nom de l'exécutable avec le paramètre disable=1 ?

Sinon, essaie les stratégies de restriction logicielle.

---

Yann Gainche
[MVP MOM]

Oui je pense avoir bien déclaré les services mais je regarderais à nouveau demain.

Sinon, oui je passerais par ce moyen la si c'est mon dernier recours.

 

Bonjour
si tu as de l'active directory bloques le directement à travers la stratégie de l'unité d'organisation , ça fonctionne très bien pour l'avoir essayer .
cordialment Amed.