В настоящее время мы не разрешаем использование Skype в локальной сети. Причины, в конечном счете, сводятся к тому великому прикрытию «безопасности», хотя я должен признать, что в наши дни я не уверен, превратился ли Skype в лучший продукт, когда речь идет о бизнес-среде или нет?
Я знаю, что раньше это считалось полностью уклончивым от брандмауэров. Я знаю, что раньше это считалось риском из-за характера P2P и возможности эксплойтов / передачи файлов и так далее.
Как дела обстоят сейчас?
Если бы я мог получить «что-то», находящееся в нашей DMZ, к которому могли бы подключаться внутренние клиенты Skype, и ящик DMZ имел дело с фактическим входящим / исходящим подключением к Интернету, я был бы очень заинтересован, но такого продукта, похоже, не существует?
Мы не разрешаем это в сети моего работодателя
Это действительно очень просто:
Поскольку для этого нет экономического обоснования, мы не собираемся тратить время, необходимое для его дальнейшего исследования, и наша политика сетевой безопасности заключается в том, чтобы закрывать все по умолчанию и открываться, когда мы видим в этом необходимость.
Меня так или иначе не убеждают никакие аргументы в том, что это по своей сути угроза безопасности, и теперь они кажутся более профессиональными в своем подходе к этой проблеме, чем были изначально.
Я уверен, что у Skype есть свои проблемы, как и у любого другого программного обеспечения, и я уверен, что многие люди используют его достаточно безопасно, несмотря на эти проблемы. Опять же, как и почти любое другое программное обеспечение. Я знаю, что это скучный ответ, но все связано с риском, и вопрос в том, перевешивает ли выгода этот риск.
Каждый бизнес индивидуален, поэтому я сомневаюсь, что здесь есть единственный «правильный ответ». Вот несколько вещей, которые следует учитывать:
Если ваш бизнес подчиняется строгим нормативным требованиям (например, HIPAA или SOX), решение для связи и конференц-связи, которое можно регистрировать и проверять (например, MS Communications Server, который, я думаю, теперь называется Lync), может быть более подходящим.
Если ваш бизнес имеет дело с очень конфиденциальной информацией, очевидно, что возможные уязвимости безопасности становятся более заметными. Если вы зайдете на веб-сайт Skype и посмотрите их страницу о брандмауэрах, вы увидите, что вам не нужно «открывать все», как предлагали некоторые, - но вам нужно открыть пару портов, и Skype предпочтет чтобы все исходящие TCP-порты были открыты (хотя это и не требуется). Только вы и ваши коллеги можете сказать, что представляет собой «приемлемый риск» для вашего бизнеса.
Если у вас есть большое количество пользователей, которым требуется чат или видеоконференцсвязь (или если у вас ограниченная пропускная способность), Skype может легко вызвать проблемы с сетью. И наоборот, если такая возможность нужна горстке людей, Skype предоставляет бесплатную альтернативу дорогостоящему корпоративному программному обеспечению на базе серверов.
Наконец, важно помнить, что никакое бизнес-программное обеспечение не является «бесплатным» - и программное обеспечение, ориентированное на потребителя, которое не может быть легко исправлено, обновлено, настроено и иным образом управляемо с помощью таких инструментов, как SSCM или Group Policy, может быть довольно «дорогостоящим» с точки зрения поддержки.
Что касается вашего вопроса о «что-то в DMZ» - это будет прокси-сервер, нет? Насколько я понимаю, Skype можно настроить для использования прокси. В текущей версии эти настройки можно найти в Инструменты → Параметры → Дополнительные настройки → Подключения.
Надеюсь, это поможет!
На моем рабочем месте мы время от времени используем Skype для конференц-связи, и он работает нормально, но я работаю в небольшом бизнесе, поэтому:
Короче говоря: если у вас нет бюджета, стоит попробовать Skype.
Skype - отличное решение для малого бизнеса, особенно если у вас много международных или глобальных дополнительных офисов.
При правильной настройке вы можете заблокировать Skype по мере необходимости. @Robert Moir не совсем точен. Вы можете избежать суперузлов в среде AD (DisableSupernodePolicy). Прочтите сеть руководство администратора.
Если у вас несколько линий передачи данных, вы можете направлять трафик Skype через выделенную линию, избегая задержки в сети для других приложений. Вы даже можете пропускать трафик через Skype, если заставите его использовать UPD, а не http или https.
При принятии решений по технологиям такого типа не обращайте внимания только на функциональность, учитывайте прирост производительности, в некоторых случаях команды могут лучше общаться на расстоянии с помощью видео ... это важно для производительности.
В конце концов, это не идеально, но какое приложение? Это просто еще один, который может работать, если вы его правильно реализуете.
Я бы не рекомендовал Skype в безопасной локальной сети. Это требует в основном открытой конфигурации брандмауэра. Все временные порты и некоторые другие должны быть открыты. Входящий трафик должен быть разрешен для ПК, на котором запущен Skype.
При необходимости я бы установил отдельный сегмент LAN с включенным uPNP (PMP). Я действительно прошел через упражнение по выяснению того, что мне нужно делать, когда моя жена путешествовала. Смотрите мою запись в блоге на брандмауэр Google-Chat и Skype.
Я не думаю, что Skype - хорошее решение в корпоративной среде с числом пользователей более 20.
Крупные корпорации будут использовать преобразование адресов портов на своем интернет-шлюзе, который Skype ненавидит, потому что не может легко установить P2P UDP-соединения.
Вместо этого он направляет трафик через другие компьютеры Skype (за пределами корпоративной среды), называемые узлами ретрансляции, которые могут устанавливать соединения P2P UDP.
Однако, чтобы ограничить влияние на эти узлы, Skype ограничивает использование полосы пропускания, поэтому качество вашего звонка будет страдать независимо от пропускной способности, доступной для вашей сети.
Решением этой проблемы было бы принудительное использование всего вашего Skype-трафика через прокси-сервер SOCKS или HTTPS, который имеет выделенный собственный NAT-перевод (т. Е. Не использует PAT), но вот в чем дело: Skype будет использовать прокси только в том случае, если нет другой путь в Интернет, поэтому даже если вы настроите свой Skype-клиент для использования прокси, он проигнорирует его! (WAT?)
Есть способы и средства обойти это путем редактирования файлов реестра и распространения файлов XML в Mac OS и т. Д., Но в большой организации это непрактично.
Подробнее здесь:
http://www.nightbluefruit.com/blog/2014/05/is-skype-an-appistent-tool-in-corporate-environments/