pfSense Gold Subscription

Author Topic: Bloquear MSN e SKYPE no PF 1.2.3  (Read 8359 times)

0 Members and 1 Guest are viewing this topic.

Offline duxnekron

  • Newbie
  • *
  • Posts: 17
    • View Profile
Bloquear MSN e SKYPE no PF 1.2.3
« on: June 23, 2010, 08:20:35 pm »
Pessoal,

Estou a dias procurando uma solução decente para bloqueio do MSN e SKYPE no PF 1.2.3

A "melhor" solução que encontrei para bloquear o MSN, alias, a única que funcionou 100% foi de adicionar estas regras no SQUID:


http_access deny msn_req
http_reply_access deny msn_rep

Referencia: http://forum.pfsense.org/index.php?topic=6728.msg47101


Entretanto de vez em quando esta regra trava o proxy e certos sites como gmail param de funcionar... já testei durante dias, é só remover a regra e tudo volta a funcionar perfeitamente...

Este procedimento do SQUID só funciona caso a regra padrão de LAN * * dentro do Firewall rules esteja desativada/eliminada e apenas os serviços essenciais estejam adicionados (POP3, SMTP, SMTP/S e etc)


Teria algum outro método mais efetivo para bloquear o Messenger LIVE?


O SKYPE tá bem difícil de bloquear...já fui atrás de tudo o que é informação e sempre fico na mesma, não aguento mais soluções do tipo: bloqueia o instalador, portable e etc por GPO... acontece que quem tem notebook não está em domínio e não pode ter seu equipamento alterado localmente.  >:(


Tentei fazer o PF 2.0 beta funcionar horas a fio em tres (3) máquinas diferentes... sempre alguma coisa surgia, uma hora era o WebGUI que travava, outra era a WAN configurada como PPPOE que não funcionava, mesmo importando configuração do 1.2.3... ou outras configurações que não gravavam... esta beta está bizarra de bugada...  >:(


Não tem um pacote escondido por ai de Layer7 para o 1.2.3?... até um roteador AP ROUTER que tenho aqui possui L7...


Pessoal, preciso de ajuda, preciso bloquear o MSN e SKYPE no PF 1.2.3 e não encontro solução


Offline rafael.cardoso

  • Sr. Member
  • ****
  • Posts: 317
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #1 on: June 24, 2010, 06:34:02 am »
http://doc.pfsense.org/index.php/How_do_I_block_instant_messengers
Quanto ao skype, amigo faça o mais simples, lan default deny, libera as portas necessárias, proxy autenticado, e seja feliz, soluções existem, nós que complicamos...
Respect is Everything!

Offline duxnekron

  • Newbie
  • *
  • Posts: 17
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #2 on: June 24, 2010, 10:08:21 am »
Bom dia Rafael!

Obrigado pela luz!

Os passo seriam:
Definir rule Lan default deny - OK
As portas necessárias abertas - OK
estes dois eu já tenho.

Agora não entendi por que um proxy autenticado barraria o skype? Tendo em vista aquela questão de supernode dele e a capacidade de se mascarar pela porta 80.

Certeza que só com isto é capaz de barrar este danado?


Obrigado



Offline rafael.cardoso

  • Sr. Member
  • ****
  • Posts: 317
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #3 on: June 24, 2010, 06:30:55 pm »
na realidade ele conecta tanto pela 80 quanto a 443, nas opções de conexão essa opção vem marcada padrão, o que daria pra fazer era mexer em cada máquina e desabilitar essa função, mas sabe, sempre tem um espertinho de olho no que vais fazer e pedindo, pq isso aquilo, mas como vc disse é uma ideia, sinceramente não vejo muito como bloquear sem o layer7, mas a versão 2 pelo visto logo sai...
Respect is Everything!

Offline duxnekron

  • Newbie
  • *
  • Posts: 17
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #4 on: June 24, 2010, 08:43:27 pm »
Ir de máquina em máquina fazer gambi é terrível, ainda mais quando a rede é composta basicamente por notebooks externos...

O layer7 para skype também é meio que uma enganação, pelo menos não vi funcionando ainda. (testei com um AP ROUTER, entrei em contato com o suporte dos mesmos, disseram que funcionava, pedi para testar, testaram e depois realmente comprovaram que não estava funcionando e iriam verificar... e até hoje, nada...)

http://www.riccardoriva.com/archives/275
isto daqui só funciona para as versões do skype anterior a série 4, veja maiores detalhes no meu post aqui:
http://forum.pfsense.org/index.php/topic,26242.0.html

no smothwall conseguiram bloquear o capeta azul do skype:
http://www.edugeek.net/forums/internet-related-filtering-firewall/57624-blocking-skype-smoothwall.html

Como faria isto no PF?

O PF é muito mais robusto, retroceder para o smothwall é dose.


Offline Reobote

  • Jr. Member
  • **
  • Posts: 38
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #5 on: July 11, 2010, 10:23:46 am »
Bloquear o msn é muito fácil... nas regras (rules -lan) bloquei a porta 1863-1864 photo tcp souce * port * destination * port 1863-1864 Gateway * Depois no squidguard em Destinations adicione: "messenger.hotmail.com messenger.msn.com webmessenger.msn.com" e em default: selecione "deny" na regra que criada em destinations.

Offline Heitor Lessa

  • Full Member
  • ***
  • Posts: 170
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #6 on: July 11, 2010, 08:25:45 pm »
Olá,

 Há tempos estava fazendo alguns testes para bloquear o Skype (já que o MSN á cada versão muda algumas coisas, a discussão sempre vai voltar quando sair uma nova, por isso vale o mais restritivo mesmo como dito pelo Rafa), mas como havia muitoos servers, rodei o sniffer durante todas as conexões feitas em um período de 3 horas, e sempre havia novos servers =/.

 Porém pesquisando uma falha no skype, acabei encontrando um blog de um rapaz que além de ter publicado o código da criptografia utilizada nas chamadas (para uso de grampo ;) ), veio também a lista dos servidores utilizados pelo skype, creio que vai ser de grande ajuda para o post: segue o link abaixo:

http://cryptolib.com/ciphers/skype/skype_servers.txt

Offline duxnekron

  • Newbie
  • *
  • Posts: 17
    • View Profile
Re: Bloquear MSN e SKYPE no PF 1.2.3
« Reply #7 on: August 02, 2010, 01:28:33 pm »
Muito bom Heitor Lessa! Pelo visto o Sr. está também empenhado no bloqueio do SKYPE

Pergunta: que falha é esta que vc encontrou do skype?

A questão do grampo/quebra de criptografia é excelente para um IMspector, pq este povo não implementa logo isto, SKYPE já está muito mais utilizado que os ICQ da vida.

Nesta lista o update dos supernodes está equivalente na versão: (from skype.exe v4.2.0.169)

Conferi, o Skype está na versão 4.2.32.169

Será que foi erro de digitação do autor ou é isto mesmo?

Vou testar o bloqueio de todos estes endereços, quais seriam os melhores procedimentos para fazer isto? (o resultado acho será só delay de login, mas não custa tentar)


Não crente, mas tive que tirar qualquer sombra de dúvidas, fiz a tentativa de bloqueio via SNORT, sem sucesso é claro. (ele até dá os alertas e diz que bloqueia... porco mentiroso!  >:()

Post:
https://forums.snort.org/forums/rules/topics/blocking-skype-with-snort-didint-work

Eu ainda estou pasmo que não conseguimos bloquear um software, e se todos fossem iguais ou começarem a seguir a mesma linha do SKYPE?

Eu tentei até usar o tal do ASTARO, só que as versões free não tem nem 10% dos recursos...

Sou eu o doido ou no mundo os Sys Admins não ligam de bloquear SKYPE?

Obs: Também ando testando semanalmente as versões do PF 2.0, nada de sucesso no bloqueio de skype via L7.
« Last Edit: August 02, 2010, 01:32:15 pm by duxnekron »