Skype blocken

Fritze · 9. November 2019 um 07:41

Hallo zusammen,

hat jemand genauerer Informationen darüber, wie man Skype komplett blocken kann? Leider schweigt sich der „System Administrator Guide“ von Skype selbst darüber komplett aus.

Dass es mit einfachem Port sperren nicht getan ist, ist klar. Ist die neuere Version wirklich in der Lage, auch über Supernodes eine Anmeldung durchzuführen, oder werden in jedem Falle die Skype-Einwahlrechner zur ersten Anmeldung benötigt? Dann wäre das ja ein Ansatzpunkt.

Vielen Dank für Hinweise

Fritze

Fred_5ad83a · 9. November 2019 um 07:44

hi Fritze,

wie wärs, wenn du die Ausführung von Skype gleich ganz blockierst?
(Wobei ich nicht ganz verstehe, wieso man als admin einem progi den Datenverkehr blockieren möchte, kann man nicht einfach dem User verbieten Progis zu installieren? Oder willst du den Datentransfer nur zu bestimmten Zeiten blockieren?)

Ausführung eines Progis kann man folgendermassen unterbinden.

Anwendung nur für einen bestimmten user sperren:
Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerseion\Policies\Explorer
(für alle Anwender: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer)

Hier wird ein neuer Eintrag angelegt der die Bezeichnung „DisallowRun“ (ohne „“). Als Datentyp wird „REG_DWORD“ verwendet. Wert „1“. Mit Wert „0“ wird der Zugriff wieder erlaubt.

Unter „Disallow Run“ wird die Liste der zu sperrenden Progis angelegt.
Neuer Eintrag als Datentyp „REG_SZ“ mit dem Namen „1“. Als Wert wird der Name der Datei eingetragen, die nicht ausgeführt werden soll (z. B. skype.exe). Für das zweite zu sperrende Programm wählt man als Namen „2“ (Wert wieder Programmname)usw.

Das hilft Dir natürlich nur, wenn du generell keinen Skype-Betrieb dulden willst.

lg,
fred

Fritze · 9. November 2019 um 07:45

Hallo,

zunächst einmal danke für den Hinweis. Das funktioniert aber nur bei Rechnern, die ich unter Kontrolle habe und auf denen die User keine Admin-Rechte haben.

Was macht man denn z.B. als Unternehmen mit einem über mehrere Standorte verteilten Netz und zig Tausend clients, von denen etliche auch z.B. von „Besuchern“ (Kunden, externe Berater, Subunternehmer, etc.) mitgebrachte Notebooks sind?

Skype bietet neben der verschlüsselten P2P Verbindung ein weiteres Risiko, da man sogar per EULA erlaubt, den Rechner für nicht näher definierte Zwecke während der Verbindungsdauer zur Verfügug zu stellen.

Mich wundert, dass die Leute das so unkommentiert hinnehmen. Wenn Microsoft sowas machen würde, wäre jedenfalls der Aufschrei groß.

Gruß

Fritze

Malte_4b1c84 · 9. November 2019 um 07:45

Tach,

hat jemand genauerer Informationen darüber, wie man Skype
komplett blocken kann? Leider schweigt sich der „System
Administrator Guide“ von Skype selbst darüber komplett aus.

Dass es mit einfachem Port sperren nicht getan ist, ist klar.
Ist die neuere Version wirklich in der Lage, auch über
Supernodes eine Anmeldung durchzuführen, oder werden in jedem
Falle die Skype-Einwahlrechner zur ersten Anmeldung benötigt?

ich empfehle Dir, mal die aktuelle Skype-Version zu installieren und den Datenverkehr zu sniffen. Dann musst Du Merkmale identifizieren, anhand derer Du Skype und nur Skype ausfiltern kannst.

Ein schneller Blick auf Skype lässt es so erscheinen, daß Skype zwar im Zweifel die Zielports 80/443 benutzt, aber dort kein http spricht (wobei das irgendwie der Tatsache widerspricht, daß Skype auch via Proxy funktionieren soll - keine Ahnung, see yourself…).

Jedenfalls wird es vermutlich auf eine Kombination aus „Protokollmerkmale wegfiltern“ und „Skype-Authentifizierungs-Server sperren“ hinauslaufen.

Gruß,

Malte

Fred_5ad83a · 9. November 2019 um 07:46

hi,

Was macht man denn z.B. als Unternehmen mit einem über mehrere
Standorte verteilten Netz und zig Tausend clients, von denen
etliche auch z.B. von „Besuchern“ (Kunden, externe Berater,
Subunternehmer, etc.) mitgebrachte Notebooks sind?

Tscha, einen Administrator Kurs macht man dann warscheinlich.

Skype bietet neben der verschlüsselten P2P Verbindung ein
weiteres Risiko, da man sogar per EULA erlaubt, den Rechner
für nicht näher definierte Zwecke während der Verbindungsdauer
zur Verfügug zu stellen.

aha

Mich wundert, dass die Leute das so unkommentiert hinnehmen.

Weil keiner EULA´s lest

Wenn Microsoft sowas machen würde, wäre jedenfalls der
Aufschrei groß.

Naja bei MS sucht man nach Fehlern, weil es viele Neider gibt. Das ist die Schattenseite des Erfolgs. Ein weiterer Grund ist: Wenn etwas milliarden user betrifft, dann regt sich schneller wer auf als bei ein paar 100k.

lg,
fred

Fritze · 9. November 2019 um 07:46

Hallo,

Was macht man denn z.B. als Unternehmen mit einem über mehrere
Standorte verteilten Netz und zig Tausend clients, von denen
etliche auch z.B. von „Besuchern“ (Kunden, externe Berater,
Subunternehmer, etc.) mitgebrachte Notebooks sind?

Tscha, einen Administrator Kurs macht man dann warscheinlich.

Ahh ja. Hmm hm. Du bist ja ein ganz pfiffiges Kerlchen. Um es kurz zu machen: Das Ausführen von „skype.exe“ zu verhindern ist keine taugliche Lösung. Ich hatte gehofft, es gäbe einen Experten hier, der das lästige Protokoll sniffen, Fingerprint suchen und dann in der FW blocken bereits einmal erledigt hat.

Scheinbar bin ich aber der einzige, der Skype in Firmennetzen nicht super duper findet.

Gruß

Fritze

Manfred_Weininger · 9. November 2019 um 07:47

Hallo,

Was macht man denn z.B. als Unternehmen mit einem über mehrere
Standorte verteilten Netz und zig Tausend clients, von denen
etliche auch z.B. von „Besuchern“ (Kunden, externe Berater,

a) kein Rechner der übers Firmennetz geht, hat Admin-Rechte
b) wer das doch so will, bekommt eigene Zugangsverfahren
z.B. VPN-Einwahl o.ä., eigenes Netzsegment(e) mit
eigenständigen Routern, die vom Firmennetz erstmal
getrennt sind
c) Besucher und Kunden = InternetCafe = genauso behandeln
wie in einem InternetCafe
d) FirmenPolicies aufstellen für die jeweiligen Szenarien

Tscha, einen Administrator Kurs macht man dann warscheinlich.

das hilft nur um zu verstehen, warum das so ist

Experten hier, der das lästige Protokoll sniffen, Fingerprint

tja, den such ich auch…
Aber wer opfert schon 2-3 h, nur um in einem Forum
die super Lösung präsentieren zu können ?
Ich gehöre leider auch nicht dazu.

Ich hab nur vor ein paar Tagen, mir Skype auch mal kurz
angeschaut … und mich gewundert, dass es durch meinen
garantiert dichten Firewall durchkam.
Offen hab ich natürlich 80+443 - und da kann ich nur sagen:
clever gemacht von den Skype-Leuten, den diese beiden
Ports kann man/ich ja schlecht zumachen. Und das steht
ja in den Einstellungen von Skype drin, dass irgendein
Port verwendet wird und als Alternative eben 80+443. Da
irgendein Port bei mir dicht ist - bleibt nur diese
Möglichkeit - auch ohne Sniffer.
Alternativ bleibt somit nur die Sperre auf URL/Paketbasis - tja
da muss man/Frau vielleicht doch mal sniffen gehen…

Scheinbar bin ich aber der einzige, der Skype in Firmennetzen
nicht super duper findet.

nein, du bist sicher nicht der einzige, der solche Tools
nicht so toll findet. Wobei ICQ/MIRC noch deutlich
schlimmer sind.
Aber zum Glück hab ich kein 10.000er Netz zu
administrieren.

Fröhlicher Gruß
Manfred

Markus_Werner_8c8ec2 · 9. November 2019 um 07:49

Ein schneller Blick auf Skype lässt es so erscheinen, daß
Skype zwar im Zweifel die Zielports 80/443 benutzt, aber dort
kein http spricht (wobei das irgendwie der Tatsache
widerspricht, daß Skype auch via Proxy funktionieren soll -
keine Ahnung, see yourself…).

See CONNECT Method

Malte_4b1c84 · 9. November 2019 um 07:49

Kleiner Dank von Malte
Stimmt, hat Malte wieder nicht nachgedacht, bevor er schrub!
Tja. Letztlich hat man technisch sowieso verloren, sobald man https zulässt.

Einen möglichen Ansatz hab ich aber gefunden, und zwar hier:

http://www1.cs.columbia.edu/~salman/skype/

und hier:

http://www1.cs.columbia.edu/~salman/skype/BlockingSk…

Leider ist auch das nicht auf Dauer eine sichere Methode - schon eine kleine Änderung in Skype, und das Spiel geht von vorne los.

Gruß,

Malte

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Sebastian · 9. November 2019 um 07:59

Re: Kleiner Dank von Malte
hallo,

Tja. Letztlich hat man technisch sowieso verloren, sobald man
https zulässt.

Und Skype: http://www.heise.de/newsticker/meldung/71094

Gruß,

Sebastian

Sebastian · 9. November 2019 um 07:59

Hallo,

hat jemand genauerer Informationen darüber, wie man Skype
komplett blocken kann? Leider schweigt sich der „System
Administrator Guide“ von Skype selbst darüber komplett aus.

Klar, das ist ja absicht …

Dass es mit einfachem Port sperren nicht getan ist, ist klar.

Hm. Ob man da mal 1.5 Sekunden Latenz einbauen kann? Das stört beim Surfen nur mäßig, beim Telefonieren möglicherweise mehr.

Nur so eine unausgegorene Idee aus der Hüpfte geschossen.

Gruß,

Sebastian

Fritze · 9. November 2019 um 07:59

Hallo,

hat jemand genauerer Informationen darüber, wie man Skype
komplett blocken kann? Leider schweigt sich der „System
Administrator Guide“ von Skype selbst darüber komplett aus.

Klar, das ist ja absicht …

Man hätte schon einen „Haken“ für Administratoren einbauen können, die diesen Dienst nicht zulassen wollen. Das ein Protokoll einfach über jede Firewall/NAT kommen soll ist das eine. Es so zu verschleiern, dass es auch mit ausgefeilteren Methoden nicht möglich ist, den Dienst zu unterbinden, erfüllt fast schon den Tatbestand der Sabotage.

Den entsprechenden Link zum Blackhat-Vortrag der EADS-Leute hast Du ja schon unten angegeben.

Gruß

Fritze