هل من الممكن اغلاق الskype على pix 515 [الأرشيف]

مشاهدة النسخة كاملة : هل من الممكن اغلاق الskype على pix 515

laithqaisy

05-03-2009, 08:32

السلام عليكم
اساتذتي الاعزاء
هل من الممكن اغلاق skype على firewall cisco 515

جزاكم الله الف خير على مجهودكم ورحم الله والديكم

minimax

21-03-2009, 09:39

نعم أخي الكريم بإستخدام IOS Flexible Packet Matching

PIX ما بيدعم هذه الخاصية ولكن ممكن تستخدمها على Internet router

معلومات أكثر في هذا الرابط وفي مثال على كيفية وقف عمل skype في أخر الصفحة

https://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6723/prod_white_paper0900aecd80633b0a.html

م/ أحمد بخيت

21-03-2009, 23:46

على فكرة
متهيألي انت ممكن تشوف البرنامج دا بيشتغل على بورت رقم كام
وتقدر تعمل ACL
وتوقف عمل البرنامج دا
وأي برنامج انت مش عاوزه يشتغل معاك
ودا بعض النظر انت معاك بيكس ولا اي راوتر او كمان اي سيرفر مش مهم
دا اساسيات
ربنا يوفقك

minimax

22-03-2009, 05:55

للأسف يا أخي الكريم skype مصمم بطريقة تجعله يتفادى ACL ويقدر يستخدم المنافذ العادية ك 80 , 443

How does It Work?

Skype uses an aggressive adaptive networking application that is designed to reach the Internet at all costs. Skype sessions use an asymmetric key exchange to distribute the 256 bit symmetric key employed by the AES cipher for session encryption. Skype's initial outbound connection can use any dynamic combination of TCP and UDP ports, including outbound ports 80 and 443, which are generally open for HTTP and HTTPS access. This renders traditional port blocking filters completely ineffective. In addition, Skype uses proprietary methods of NAT traversal similar to STUN (Simple Traversal of UDP through NAT), ICE (Interactive Connectivity Establishment) and TURN (Traversal Using Relay NAT) to ensure that you can reach the Internet and to determine the client's eligibility to be a super node

الطريقة المشروحة في موقع سيسكو تقوم بفحص كل packet وإذا كانت packet هي tcp packet وتحتوي على 0x17030100 في أول 4 bytes من بداية TCP payload فيقوم الراوتر بعمل drop

طبعا الطريقة هذه هم إستخدموا فيها packet capturing عشان يعرفوا كيفية عمل skype

بس ما أعرف إذا الطريقة هذه فعالة ولا لأ

الرابط التالي فيه معلومات أكثر عن طرق أخرى

https://voiptelephonyservice.blogspot.com/2006/10/block-skype-hype.html

minimax

22-03-2009, 06:01

في مقالة أخرى بتشرح طريقة ثانية بإستخدام NBAR في هذا الرابط

https://ciscotips.wordpress.com/2006/06/07/how-to-block-skype/

class−map match−any p2p
match protocol skype
policy−map block−p2p
class p2p
drop

int FastEthernet0
description PIX−facing interface
service−policy input block−p2p

من ملاحظات الأشخاص في آخر المقالة, الطريقة دي مش شغالة معاهم