Hallo Leuts,
Skype ist ja aus Firewall Sicht eine Katastrophe! Hat sich schon mal jemand die Mühe gemacht eine möglichst restriktive Firewall Konfiguration mit zugrunde liegender Deny_All zu erstellen, ohne das einem das Log zugemüllt wird bzw. die Kiste wegen CPU Überlast durch SNMP Events abwinkt?
Gruß
COMCARGRU
Skype und Firewall
Moderator: Lancom-Systems Moderatoren
Skype und Firewall
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Das ist auch meiner Beobachtung nach ein großes Problem. Ich bin auch daran gescheitert, ein QoS für Skype zu erstellen. Solange sich dieses Ding nicht an fixe Ports oder dergleichen hält, wird dies wohl nicht möglich sein.
Mit "echtem" (ich nenns mal so) VOIP (SIP) ist das alles kein Problem.
Mit "echtem" (ich nenns mal so) VOIP (SIP) ist das alles kein Problem.
Liebe Grüße,
michael
michael
Das habe ich befürchtet - Wie kann man nur so eine Software programmieren. Naja, was will man von P2P Software Programmieren, die genau auf die Umgehung jeglicher Schutzmaßnahmen Wert legen auch erwarten...
Gruß
COMCARGRU
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
EarlOfPerl
- Beiträge: 37
- Registriert: 04 Mär 2005, 13:29
Ich habe hier eine (nicht gerade gute) Lösung, aber es geht.
Einen bestimmten Rechner für die Benutzung von Skype abstellen.
In Skype: Datei->Optionen->Verbindung „Verwende Port“ 39667 eingeben
Neben der üblichen Deny-All-Regel folgende Regeln hinzufügen. Ich habe hier die MAC-Adresse genommen, falls DHCP verwendet wird und damit sich nicht jemand anders auf die IP-Adresse hängt.
ALLOW_SKYPE_UDP39667
Übertragen
Verbindung von folgenden Stationen (MAC-Adresse angeben)
Dienste/Protokolle: UDP Quell-Port 39667
ALLOW_SKYPE_CALL
Verbindung an folgende Stationen (MAC-Adresse angeben)
Dienste/Protokolle: UDP Ziel-Port 39667
ALLOW_SKYPE_TCP
Übertragen
Verbindung von folgenden Stationen (MAC-Adresse angeben)
Dienste/Protokolle: TCP Ziel-Port 1024-65535
ALLOW_SKYPE_TCP tut wirklich weh, aber im Gegensatz zu Netmeeting ist Skype wesentlich einfacher zu handhaben.
Einen bestimmten Rechner für die Benutzung von Skype abstellen.
In Skype: Datei->Optionen->Verbindung „Verwende Port“ 39667 eingeben
Neben der üblichen Deny-All-Regel folgende Regeln hinzufügen. Ich habe hier die MAC-Adresse genommen, falls DHCP verwendet wird und damit sich nicht jemand anders auf die IP-Adresse hängt.
ALLOW_SKYPE_UDP39667
Übertragen
Verbindung von folgenden Stationen (MAC-Adresse angeben)
Dienste/Protokolle: UDP Quell-Port 39667
ALLOW_SKYPE_CALL
Verbindung an folgende Stationen (MAC-Adresse angeben)
Dienste/Protokolle: UDP Ziel-Port 39667
ALLOW_SKYPE_TCP
Übertragen
Verbindung von folgenden Stationen (MAC-Adresse angeben)
Dienste/Protokolle: TCP Ziel-Port 1024-65535
ALLOW_SKYPE_TCP tut wirklich weh, aber im Gegensatz zu Netmeeting ist Skype wesentlich einfacher zu handhaben.
There is much Obi-Wan did not tell you.
Hi,
das ganze läßt sich doch mit einer Regel erschlagen! Siehe:
http://www.lancom-forum.de/topic,383,-B ... Ports.html
Da Quell- und Zielports UND Verknüpft sind, kann eben nur eine Applikation mit dem "richtigen" Quellport ALLES machen. - Das ist zwar immernoch sehr unschön, aber so muß ein Trojaner erstmal den Quellport erraten. Das wird kaum einer tun, weil er im Zweifel vermutlich immer über die Ports 20, 21 , 22, 25, 53, 80, 110, 443 nach draußen kommt...
Gruß
COMCARGRU
das ganze läßt sich doch mit einer Regel erschlagen! Siehe:
http://www.lancom-forum.de/topic,383,-B ... Ports.html
Da Quell- und Zielports UND Verknüpft sind, kann eben nur eine Applikation mit dem "richtigen" Quellport ALLES machen. - Das ist zwar immernoch sehr unschön, aber so muß ein Trojaner erstmal den Quellport erraten. Das wird kaum einer tun, weil er im Zweifel vermutlich immer über die Ports 20, 21 , 22, 25, 53, 80, 110, 443 nach draußen kommt...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
EarlOfPerl
- Beiträge: 37
- Registriert: 04 Mär 2005, 13:29
Hi COMCARGRU,
ich kann die Regeln nicht zusammenfassen, da die Verbindung von bestimmten Stationen bzw. zu bestimmten Station angegeben ist. Wenn das nicht notwendig wäre, dann könnte ich die Regel ALLOW_SKYPE_UDP39667 und ALLOW_SKYPE_CALL zusammenfassen.
Nachtrag: Es sind noch zwei weitere Regeln notwendig,
ALLOW_SKYPE_ICMP_OUT
Verbindung von folgenden Stationen (MAC-Adresse angeben)
Dienste/Protokolle: ICMP, Quellport 0, Zielport 0
ALLOW_SKYPE_ICMP_IN
Verbindung an folgende Stationen (MAC-Adresse angeben)
Dienste/Protokolle: ICMP, Quellport 0, Zielport 0
Ich habe zusätzlich noch auf allen Rechnern eine eigene Firewall drauf, dann kann ich noch zusätzliche Regeln auf Applikationsebene einbauen. Woher soll der LANCOM-Router denn wissen, welche Applikation hier ICMP-Pakete versendet.
Beste Grüße von EarlOfPerl!
ich kann die Regeln nicht zusammenfassen, da die Verbindung von bestimmten Stationen bzw. zu bestimmten Station angegeben ist. Wenn das nicht notwendig wäre, dann könnte ich die Regel ALLOW_SKYPE_UDP39667 und ALLOW_SKYPE_CALL zusammenfassen.
Nachtrag: Es sind noch zwei weitere Regeln notwendig,
ALLOW_SKYPE_ICMP_OUT
Verbindung von folgenden Stationen (MAC-Adresse angeben)
Dienste/Protokolle: ICMP, Quellport 0, Zielport 0
ALLOW_SKYPE_ICMP_IN
Verbindung an folgende Stationen (MAC-Adresse angeben)
Dienste/Protokolle: ICMP, Quellport 0, Zielport 0
Ich habe zusätzlich noch auf allen Rechnern eine eigene Firewall drauf, dann kann ich noch zusätzliche Regeln auf Applikationsebene einbauen. Woher soll der LANCOM-Router denn wissen, welche Applikation hier ICMP-Pakete versendet.
Beste Grüße von EarlOfPerl!
There is much Obi-Wan did not tell you.
Ähm also du brauchst keine eingehenden Verbindungen zu zulassen! Skype funktioniert auch, wenn es nur ausgehende Verbindungen in der FW gibt! - Zumindest tut es das bei mir...
Und deine Personal Desktop Firwall kannst du löschen! Die kann alles, nur nicht ausgehende Verbindungen überwachen - schädliche schon gar nicht...
Gruß
COMCARGRU
Und deine Personal Desktop Firwall kannst du löschen! Die kann alles, nur nicht ausgehende Verbindungen überwachen - schädliche schon gar nicht...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
EarlOfPerl
- Beiträge: 37
- Registriert: 04 Mär 2005, 13:29
Ich verstehe die Desktop-Firewall auch nur als Ergänzung. Alle möglichen Programme (Excel, Word, Acrobat Reader, etc.) unter Windows kommunizieren (ungefragt) mit Servern im Internet. Das möchte mit der Desktop-Firewall unterbinden und das funktioniert auch.
Das mit IN/OUT bei der Benennung der Firewallregeln ist etwas irreführend. Ich gebe damit nur die Flussrichtung der Daten an. Die hier vorgestellten Regeln habe ich mit Hilfe der Firewall erarbeitet. Einfach alles dichtmachen und dann sehen, was für Regelverletzungen gemeldet werden.
Beste Grüße von EarlOfPerl!
Das mit IN/OUT bei der Benennung der Firewallregeln ist etwas irreführend. Ich gebe damit nur die Flussrichtung der Daten an. Die hier vorgestellten Regeln habe ich mit Hilfe der Firewall erarbeitet. Einfach alles dichtmachen und dann sehen, was für Regelverletzungen gemeldet werden.
Beste Grüße von EarlOfPerl!
There is much Obi-Wan did not tell you.
Man muß nicht allen Firewall Meldungen nachgeben und Skype läuft trotzdem. Wo kommen wir denn hin, wegen so einem Tool auf Sicherheit zu verzichten. Wenn man es nicht auf einen Ausgangsport beschränken könnte, hätte ich es schon von der Platte geputzt.
Trotzdem werde ich mir wohl demnächst etwas SIP basiertes zulegen. Skype kann noch so gut sein, wenn es Corporate Ansprüchen nicht genügt, taugt es nix...
Gruß
COMCARGRU
Trotzdem werde ich mir wohl demnächst etwas SIP basiertes zulegen. Skype kann noch so gut sein, wenn es Corporate Ansprüchen nicht genügt, taugt es nix...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Ich glaube das Skype dafür auch nicht gemacht wurde.COMCARGRU hat geschrieben:Trotzdem werde ich mir wohl demnächst etwas SIP basiertes zulegen. Skype kann noch so gut sein, wenn es Corporate Ansprüchen nicht genügt, taugt es nix...
Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
(Dan Rather, CBS-Fernsehreporter.)
Das es dafür nicht gedacht ist, ist mir klar... - und trotzdem bewerte ich Software genau nach solchen Kritieren. Jedes Tool und sei es noch so simpel sollte prinzipel nach dem "Think Big" Gedanken entwickelt werden. Tut man dies nicht, bekommt man erheblich Probleme, wenn man wächst. Oder ganz grundsätzliche Probleme wie hier mit der Nicht Eignung von Skype bei Einsatz einer "echten" Firewall! - Der andere Ansatz "klein" anzufangen ist schlicht falsch - ich denke die Zeit hat das bereits auf vielen Gebieten bewiesen...
Gruß
COMCARGRU
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???