Skype: Restringindo acesso não autorizado usando firewall Linux

Olá pessoal, nesse artigo pretendo mostrar uma forma simples e prática de bloquear o acesso ao Skype de todos os micros na rede e liberar somente computadores com acesso autorizado, evitando assim a utilização de todos para fins que não sejam de trabalho. Mãos a massa!

[ Hits: 27.388 ]

Por: Thiago Fernandes de Melo em 18/09/2008 | Blog: http://www.hospedarfacil.com.br


Instalação e configuração do SS5 (socks server)



Descompacte o arquivo baixado com o comando:

# tar -xzvf ss5-3.6.4-3.tar.gz

Acessando o diretório e compilando:

# cd ss5-3.6.4
# ./configure


Bom pessoal, quando instalei ocorreu um problema na instalação, ele retornou:

"config.status: include/config.h is unchanged"

Para continuar:

# mv include/config.h include/config.h.bk
# ./config.status --header=include/config.h

# make
# make install

# whereis ss5

ss5: /usr/sbin/ss5 /usr/lib/ss5 /usr/share/man/man1/ss5.1.bz2 /usr/share/man/man1/ss5.1.gz

Executável: /usr/sbin/ss5
Conf: /etc/opt/ss5/ss5.conf

Nesse artigo vamos apenas colocar ele para funcionar e controlar os acessos com o iptables, para um nível de detalhamento maior por favor consultem a documentação oficial, pois é possível fazer muitas coisas, como adicionar autenticação por usuário, dentre outros.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação e configuração do SS5 (socks server)
   3. Testando o SS5 (socks server)
Outros artigos deste autor

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Configurando Squid para liberação de messenger em horário específico, dentre outros

Configurando Apache + MySQL + Manipulação de dados com PHP

Leitura recomendada

Tumbleweed, o openSUSE Rolling Release

Software livre e a liberdade fundamental

Mais um telecentro feliz!

As mais frequentes pesquisas no Google sobre Linux

Básico sobre tratamento de exceções em Python 3.4

  
Comentários
[1] Comentário enviado por agk em 19/09/2008 - 09:04h

Muitíssimo interessante, parabéns pelo artigo.

É uma solução bastante consistente, apesar dos usuários poderem utilizar o proxy socks para algo mais além de se conectar ao skype.

[2] Comentário enviado por y2h4ck em 19/09/2008 - 10:03h

Não sei se vc sabe mas o skype comunica-se tambem via 443/TCP :)

Então não acho que isso ai iria ajudar em mta coisa não.

[]s

Anderson

[3] Comentário enviado por maran em 19/09/2008 - 10:04h

Grande Thiago, show de bola meu velho, aki usamos muito o Skype também :)

Abraços, irei fazer os teste e depois posto resultado aki :)

[4] Comentário enviado por m4tri_x em 19/09/2008 - 10:09h

Anderson, não sei se você chegou a ler o artigo inteiro, mais se você observar vai notar que eu enfatizei a importancia da politica do firewall ser de negação geral e liberação conforme necessidade.
:)

Sendo assim a porta 443 estará Bloqueada também.

Fabio, valeu mano, :D

[]´s

[5] Comentário enviado por y2h4ck em 19/09/2008 - 10:18h

Mas bloquear 443/tcp é osso né ?? Ao inves de vc ajudar os usuarios a utilizarem recursos seguros :P vc vai estar impelindo eles a usarem sempre o recurso vulneravel rs rs rs

:)

Dai é complexo ehehe

[6] Comentário enviado por m4tri_x em 19/09/2008 - 10:23h

Não amigão, tipo, qual é a utilidade de usar a 443 diretamente da estação se podemos utilizar um proxy squid para controlar a navegação? A politica do firewall vai aplicar-se apenas as estações não ao servidor. ^^
Poderão usar a 443 normalmente através do squid.

Maior segurança ainda ^^


[7] Comentário enviado por kalib em 19/09/2008 - 11:19h

Show de bola cara..qnt tempo eim parceiro!?
O skype é uma ótima ferramenta...
Bom trabalho..

[]

[8] Comentário enviado por agk em 19/09/2008 - 11:53h

Que eu saiba se bloquear as portas UDP de entrada e saída o skype não vai funcionar, mesmo que a porta tcp/443 esteja liberada, sem udp nada feito.

[9] Comentário enviado por m4tri_x em 19/09/2008 - 13:21h

:D

Iae Marcelo, verdade hein, eu estou meio sumido por causa da faculdade, heheh ta me matando, ultimo semestre eh fogo...


Agk, acho que a informação era referente as portas alternativas do skype para conexões de entrada, 80 e 443.


[]´s

[10] Comentário enviado por carlosdias98 em 19/09/2008 - 18:16h

Ferramenta interessante parabéns

[11] Comentário enviado por grandmaster em 20/09/2008 - 16:02h

Vou testar para ver como rola

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[12] Comentário enviado por Thiago Madella em 20/09/2008 - 19:23h

Bom mesmo o artigo, mas o lance do 443 vale analisar.
Mas muito bom o artigo.

[13] Comentário enviado por fasseabra em 23/09/2008 - 22:50h

Bom Tuto Amigo - Mas prefiro bloquear pelo Layer7 - ai Vai ;))
iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP

[14] Comentário enviado por m4tri_x em 24/09/2008 - 11:12h

Olá Fábio, não conheço esse Layer7, mais vou dar uma olhada depois :D

[]´s

[15] Comentário enviado por ivancsantos em 11/05/2012 - 16:45h

Sei que o tópico é antigo, mas achei interessante e vendo os comentários gostaria de complementar com um exemplo, ressaltando sua utilidade:

Cenário:

- Em uma empresa/escritório pequeno (com poucos usuários) há um servidor rodando iptables + squid para filtro de acessos;
- Devido à necessidade de uma estrutura simples (pois não há um IT Admin) a simplicidade de um proxy transparente foi melhor opção;
- Apenas alguns usuários deverão ter acesso à internet. Os outros terão acesso apenas aos sites liberados para acesso.

Sendo assim:
- As portas altas (1024:65535) assim como as portas http e https (80 e 443) estão com DROP por segurança. As requisições http passam pelo proxy, e as https estão liberadas somente para alguns usuários, para que ninguem desautorizado consiga se logar em serviços como Facebook, por exemplo.


Surge a necessidade de utilizar o skype em todos os micros, porém nestas circunstânceas o Skype não irá funcionar, pois precisa das portas altas (1024:65535) liberadas, ou como alternativa, não tão boa diga-se de passagem pois é preferível que tenha acesso à portas udp, as portas 80 e 443. Confesso que com minha urgência em resolver o problema, eu optei por liberar as portas altas, pois desconhecia dessa solução e reconfigurar o squid para proxy autenticado não seria uma solução viável (a essa altura já estava valendo tudo! rsrs porém eu realmente precisei de uma solução rápida). Mas na próxima oportunidade irei fazer isso!

Valeu a dica m4tri_x !


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts