Как заблокировать SKYPE, когда он использует порты 80 и 443?

A) Используйте программное обеспечение для внесения в черный список или настройте политики в AD, чтобы заблокировать исполняемый файл Skype.

Б) Используйте брандмауэр, который может выполнять глубокую проверку пакетов и блокировать трафик.

C) Используйте свой DNS-сервер, чтобы намеренно отравить запросы к skype.com и связанным с ними серверам, чтобы предотвратить подключение Skype.

D) Используйте программы аудита программного обеспечения и периодически получайте отчет, в котором сообщается, кто установил Skype, и, в соответствии с политикой компании, напоминайте им, что если они повторно устанавливают программное обеспечение на компьютеры компании, это является уголовным преступлением.

E) Удалите пользователям права, разрешающие установку программного обеспечения без административного доступа.

Краткий обзор того, что сработало и, вероятно, будет работать сейчас. Все это потребует наличия прокси-сервера в той или иной форме, но, вероятно, будет работать с прозрачным прокси-сервером Squid. Они могут работать с ISA 2006, но я никогда не использовал его, поэтому не обещаю.

• В более старых версиях использовалась строка User-Agent, включающая "skype", поэтому блокировка могла работать. Более новые версии не включают User-Agent, потому что он использовался для блокировки.
• Старые версии подключались с использованием IP-адресов, а не имен. В более новых версиях вместо этого используются имена, потому что люди блокировали https для IP-адресов.

Подходы, которые, вероятно, будут работать сейчас, но которые могут вызвать проблемы различной степени серьезности и для других приложений:

• Узнайте, какой шаблон используется для доменных имен Skype и Добавить заблокировать их (или, если возможно, ввести задержку 2-5 секунд только для них). Я не видел документации по используемым шаблонам доменных имен. Задержки предназначены для частично общедоступных сетей, в которых вы хотите воспрепятствовать использованию, сделав качество голоса / видео совершенно неприемлемым, не исключая доступа для обмена сообщениями и веб-сайта.
• Продолжать блокировать соединения, идущие напрямую на IP-адреса - в наши дни HTTP / 1.1 для этого мало законных причин. В этом отношении можно было бы заблокировать HTTP / 1.0, но я не уверен в последствиях.
• Продолжать блокировать соединения по "скайпу" в User-Agent
• Добавить блокировка соединений без указанного User-Agent (это может нарушить работу некоторых приложений в зависимости от вашей среды)
• Если возможно, сделайте политика блокировки Skype со штрафами за его использование известны вашим пользователям и доведены до конца.
  • Если это корпоративная среда, сделайте это корпоративной политикой и опубликуйте несколько рецензий на людей за нарушение корпоративных правил использования компьютеров (без имен). Это поможет обратиться к тем, кто устанавливает пиратское программное обеспечение или оборудование.
  • Если это некорпоративная среда, сделайте политику, согласно которой компьютеры, нарушающие политику (с некоторой свободой для предупреждений), будут терять доступ к сети, затем будьте готовы выполнить блокировку или фильтрацию на уровне MAC.

Видеть http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

Поскольку вы используете MS ISA Server, я бы рекомендовал установить клиент брандмауэра на каждой машине (если возможно, разверните через AD). Затем вы можете заблокировать для каждого процесса.

Конечно, это заблокирует только клиентов Windows, хотя

Вам либо нужно что-то, что может выполнять глубокую проверку пакетов и определять трафик Skype в пакете для использования в качестве критерия «блокировки», либо вам нужно знать, к какому внешнему хосту (-ам) просто заблокировать доступ. Я не так хорошо знаком с архитектурой Skype, я не уверен, что она должна проходить через центральный сервер для каких-либо целей. Если нет, то вторым способом сделать это не получится.