Skype verhindern?

Computer: Hardware Netzwerk
#1

Hallo,

kann mir jemand sagen, wie ich Datenverkehr für Skype und ggf. andere VoIP Dienste unterbinden kann?

Es geht um einen Internetzugang, der mit 2000kBit/s symmetrisch recht knapp für ein Pressezentrum während einer Sportveranstaltung ist.
Nun scheint es so, dass einige Journalisten trotz unserer Bitte, doch bitte eins der zahlreich vorhandenen Telefone (kostenlos!) zu nutzen, auf Skype und Co. nicht verzichten möchten.

Aber Skype scheint ja den 80er Port zu nutzen - den kann ich ja schlecht blockieren.

Bleibt da wohl nur die eindringliche Bitte an die Nutzer, sich nicht sozialschädlich zu verhalten?

#2

Hallo,

leicht wird das nicht:

-> http://www.heise.de/security/artikel/Wie-Skype-Co-Fi…
-> http://www.elektronik-kompendium.de/sites/kom/130609…
-> http://www.ehow.com/how_5827920_block-skype-router.html

Wie gut sind deine Kenntnisse in der Konfiguration von Routern?

Grüße Roman

#3

Hi,

Bleibt da wohl nur die eindringliche Bitte an die Nutzer, sich
nicht sozialschädlich zu verhalten?

Richtig.

oder doch etwas mehr zu investieren und entweder einen zweiten Anschluss zu holen oder die Leitung etwas „grösser“ zu wählen. Je nach Anzahl der user ist für ein Pressezentrum eine 2000er DSL Leitung echt etwas mager.

Gruß
h.

#4

Bleibt da wohl nur die eindringliche Bitte an die Nutzer, sich
nicht sozialschädlich zu verhalten?

Richtig.

oder doch etwas mehr zu investieren und entweder einen zweiten
Anschluss zu holen oder die Leitung etwas „grösser“ zu wählen.

Du weißt, was ein Company Connect für 1 Monat in etwa kostet?
DSL ist am Standort nicht verfügbar, bzw. wenn dann ein wackeliger DSL-light. Die Journalisten laden zudem meist Dinge herauf - schneller Uplink ist alles.
Noch ist das Skypen kein Problem, ich schaue mir gerade die Belastung der Leitung an, die ist im grünen Bereich. Ich denke auch, dass die eindringliche Bitte, bandbreiten-fressende Anwendungen auf das notwendige Maß zu reduzieren gefruchtet hat.

Je nach Anzahl der user ist für ein Pressezentrum eine 2000er
DSL Leitung echt etwas mager.

Ich weiß, ich weiß…
Das letzte mal, als ich dessen Rechnung sah, stand da was von 600€ für den Anschluss plus noch mal was dreistelliges für die Bereitstellung. Die schüttelt man dem Veranstalter nicht mal eben so aus dem Ärmel.

#5

Hallo,

leicht wird das nicht:

->
http://www.heise.de/security/artikel/Wie-Skype-Co-Fi…

Das hatte ich im Hinterkopf. Bäh.

-> http://www.elektronik-kompendium.de/sites/kom/130609…

Das macht mir noch weniger Hoffnung.

-> http://www.ehow.com/how_5827920_block-skype-router.html

NBAR ist ein Cisco Tool - vor Ort steht aber ein Lancom Router.
Gut - die Leitung ist noch im grünen Bereich, die Journalisten haben meine Bitte wohl beachtet.
Für das nächste Jahr werde ich mal bei Lancom anfragen, ob die Chance für eine Skype-Blockade besteht.

Wie gut sind deine Kenntnisse in der Konfiguration von
Routern?

Rudimentär.
Will sagen: Nach Anleitung die richtigen Tasten drücken schaffe ich weitgehend unfallfrei :wink:

#6

Hallo xstrom,

dies ist nicht ganz einfach.

http://www.net-security.org/dl/articles/Blocking_Sky…

http://www.heise.de/security/artikel/Klinken-putzen-…

sind zwar zwar ein etwas ältere Artikel, aber vielleicht ja auch hilfreich.

Mit einem Linux-Server und Squi hatte ich vor rund einem Jahr mit diesem Ansatz Erfolg:

http://linuxstories.blogspot.com/2010/04/how-to-bloc…

oder ähnlich:

http://www.riccardoriva.com/archives/275

Grüße

godam

#7

Neues von der Front :wink:

Also:

Ich habe mir zunächst mal die bislang erzeugten Datenvolumen angeschaut (wird mir nach Rechnername bzw. lok. IP angezeigt).
Von den Geräten, die duch massive Nutzung auffallen, habe ich mir dann in der DHCP Überischt die MAC Adressen herausgeschrieben.
Eigentlich nur eine - die anderen Leute sind „friedlich“.

Dann habe ich Firewall/QoS Regeln für einen suspekten Nutzer (dessen MAC) erstellt:

Pakete, bei denen die Übertragungsrate zum WAN über 100kBit/s geht, werden verworfen und der Router loggt diesen Vorfall.

Das Logfile der Firewall zeigt mir nun, was der Nutzer so macht (natürlich NICHT im Detail!).
Ich sehe die Quell- und Zieladresse (eine davon ist natürlich der besagte Nutzer), zudem das Protokoll und den Port.
Dabei konnte ich feststellen, dass der Nutzer eigentlich nur auf zwei Seiten massiv zugreift:
Twitter und eine andere Webseite, die zur Veranstaltung passt.

Die recht massive Drosselung mache ich jetzt etwas lockerer, aber bei 500kBit/s ist Schluss.

Das schöne dabei:
Meine „Spielerei“ sorgt für ne gerechtere Nutzung des Anschlusses, gleichzeitig lerne ich was.

#8

Hallo nochmal - ich habe gerade noch mal ein bisschen herum gespielt und mir will das Grinsen einfach nicht aus dem Gesicht fallen.

Da sitze ich also hier am heimischen PC und kontrolliere den Datenverkehr eines 50km Luftlinie entfernten Routers, sehe die Datenraten auf dem WAN, sehe, wieviel die Nutzer so laden, drossele diese bei Bedarf,…

EINFACH genial, was man mit dieser Hardware in Verbindung mit der vernünftigen Administrationssoftware und den Diagnosetools so machen kann.

Und meine Skype-Video-Telefonie Befürchtung?
Die hat sich erledigt.

Zudem weiß ich nun, wie ich bei Bedarf auch aus der Ferne heraus Datenraten drosseln kann.

Ach - ich muss gar nicht unbedingt drosseln.
Ich kann als Aktion bei zu hohem Datenverkehr auch einfach nur einen Syslogeintrag schreiben lassen.
Dann kann ich auch im Nachhinein sehen, wer oder was den Kanal verstopft hat.

Also - ich finds einfach nur geil :wink:

#9

OT^3: Skype verhindern?

Da sitze ich also hier am heimischen PC und kontrolliere den
Datenverkehr eines 50km Luftlinie entfernten Routers, sehe die
Datenraten auf dem WAN, sehe, wieviel die Nutzer so laden,
drossele diese bei Bedarf,…

Naja, glaubst du das man wirklich noch durch die Serverhallen geht um die einzelnen Server via Tastatur zu impregnieren :smile:

Ich bin mit Telnet überall auf der Welt drinne , 50kilmoter sind also ein witz . zumal ja schon eine Domainanfrage erstmal zum root server in Amiland geht und das sind weit aus mehr als 50kilometer und passiert auch ondemand :smile:

-)

#10

Da sitze ich also hier am heimischen PC und kontrolliere den
Datenverkehr eines 50km Luftlinie entfernten Routers, sehe die
Datenraten auf dem WAN, sehe, wieviel die Nutzer so laden,
drossele diese bei Bedarf,…

Naja, glaubst du das man wirklich noch durch die Serverhallen
geht um die einzelnen Server via Tastatur zu impregnieren :smile:

Das glaubte ich eher nicht.
Nur war ich bislang eher in der Welt der Speedports, Speedtouches und Fritzes unterwegs.
Du siehst meine Vika.

Ich war nur - nein ich bin noch - recht begeistert darüber, wie einfach das am Ende doch ging. Die Konfigruationssoftware ist auf den ersten Blick unübersichtlich, aber wenn man beim Hersteller die Anleitung findet (Google half mit „Herstellername + Bandbreite begrenzen“), dann war es sehr einfach.

Der 2000er Anschluss hat übrigens gut mitgemacht, er war zu Stoßzeiten zwar dich bis Oberkante Unterlippe, aber alle waren zufrieden, es gab keine Beschwerden.

Was der Hersteller des Routers noch verbessern sollte:

  1. Man kann keine Grafik der Datenrate eines Nutzers anzeigen lassen, nur die auf dem gesamten WAN Anschluss. Zumindest sah ich diese Möglichkeit nicht.

  2. Das Logfile der Firewallereignisse zeigt Quell- und Ziel-IP der Pakete, die wegen Datenratenüberschreitung geschreddert wurden. Aber man kann nicht per copy+paste die IPs aus der Logfile-Zeile auf eine Whois-Abfrageseite holen, da nur die ganze Zeile markiert wird und „kopieren“ gar nicht geht.

  3. Das File kann nicht als Textdatei exportiert werden.

Aber das geht in Kürze als Vorschlag an den Hersteller raus. Mal schauen, ob die reagieren.

#11

Hallo,

Ich bin mit Telnet überall auf der Welt drinne

Prahlst Du gerade mit billigen Einbrüchen oder nutzt ihr tatsächlich noch unverschlüsselte Zugänge?

Sebastian