Como o Cisco Web Security Appliance (WSA) lida com o tráfego do Skype?

Opções de download

PDF (236.1 KB)
Ver no Adobe Reader em vários dispositivos
ePub (73.4 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (72.0 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:29 de julho de 2014

ID do documento:118094

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Índice

Pergunta:

Como o punho Skype da ferramenta de segurança da Web de Cisco (WSA) trafica?

Ambiente: Cisco WSA, Skype

Skype é uma rede proprietária da telefonia pelo Internet (VoIP). Skype opera-se primeiramente como um programa peer-to-peer, assim não se comunica diretamente com um servidor central para operar-se. Skype pode ser particularmente difícil de obstruir, porque tentará conectar em muitas maneiras diferentes.

Skype conecta no seguinte ordem de preferência:

Pacotes de UDP diretos a outros pares que usam números de porta aleatórios
Pacotes de TCP diretos a outros pares que usam números de porta aleatórios
Pacotes de TCP diretos a outros pares que usam a porta 80 e/ou a porta 443
Os pacotes em túnel através de um proxy da Web que usa um HTTP CONECTAM à porta 443

Quando distribuídos em um ambiente de proxy explícito, os métodos 1-3 serão enviados nunca a Cisco WSA. A fim obstruir Skype, deve primeiramente ser obstruído de um outro lugar na rede. As etapas de Skype 1-3 podem ser utilização obstruída:

Firewall: Use o NBAR para obstruir a versão 1 de Skype. Mais informação está disponível em http://ciscotips.wordpress.com/2006/06/07/how-to-block-skype/
Ips Cisco (ASA): Cisco ASA pode potencialmente detectar e obstruir Skype através das assinaturas.

Quando Skype cai de volta a usar um proxy explícito, Skype não fornece deliberadamente nenhum detalhe do cliente na requisição de conexão HTTP (nenhuma corda do agente de usuário tampouco). Isto faz difícil diferenciar-se entre Skype e uma requisição de conexão válida. Skype conectará sempre à porta 443 e o endereço de destino é sempre um endereço IP de Um ou Mais Servidores Cisco ICM NT.

Exemplo:

CONECTE 10.129.88.111:443 HTTP/1.0
Conexão de proxy: manutenção de atividade

A seguinte política de acesso obstruirá todas as requisições de conexão com o WSA que combina os endereços IP de Um ou Mais Servidores Cisco ICM NT e a porta 443. Isto combinará todo o tráfego de Skype. Contudo, os programas de NON-Skype que tentam escavar um túnel a um endereço IP de Um ou Mais Servidores Cisco ICM NT na porta 443 serão obstruídos também.

Obstruindo Skype - Ambiente explícito com proxy HTTPS desabilitado

Crie uma categoria do costume URL para combinar o tráfego IP e de porta 443:

Navegue ao “gerenciador de segurança” - > “categorias feitas sob encomenda URL” - > “adicionam a categoria feita sob encomenda”.
Complete da “o nome categoria” e expanda-o “avançou”.
Use "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" no indicador da expressão regular.

Ajuste esta categoria para negar nas políticas de acesso:

Navegue da “ao gerenciador de segurança Web” - > “políticas de acesso”.
Clique o link sob “a coluna das categorias URL” para o grupo de política apropriado.
“Na seção de filtração da categoria feita sob encomenda URL”, escolha o “bloco” para a categoria nova de Skype.
Submeta e comprometa as mudanças

Nota: As requisições de conexão explícitas podem somente ser obstruídas se o serviço de proxy HTTPS é desabilitado!

Quando a descriptografia WSA HTTPS é permitida, o tráfego de Skype pode muito provavelmente quebrar porque não é puramente tráfego HTTPS (apesar da utilização CONECTE e a porta 443). Isto conduzirá a um erro 502 gerado pelo WSA e a conexão será deixada cair. Todo o tráfego de web real HTTPS a um endereço IP de Um ou Mais Servidores Cisco ICM NT continuará a trabalhar (embora será decifrado no WSA).

Obstruindo Skype - Ambiente explícito/transparente com o proxy HTTPS permitido

Crie uma categoria feita sob encomenda para combinar o tráfego IP e de porta 443:

Navegue ao “gerenciador de segurança” - > “categorias feitas sob encomenda URL” - > “adicionam a categoria feita sob encomenda”.
Complete da “o nome categoria” e expanda-o “avançou”.
Use "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" no indicador da expressão regular.

Ajuste esta categoria para decifrar nas políticas de descriptografia:

Navegue da “ao gerenciador de segurança Web” - > “políticas de descriptografia”.
Clique o link sob “a coluna das categorias URL” para o grupo de política apropriado.
“Na seção de filtração da categoria feita sob encomenda URL”, escolha o “Decrypt” para a categoria nova de Skype.
Submeta e comprometa as mudanças.

Nota: Desde que o tráfego de Skype é enviado a um IP, considerar-se-á como parte “das URL Uncategorized”. O mesmo efeito que acima ocorrerá segundo se a ação deve decifrar ou transmissão.

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	29-Jul-2014	Versão inicial

Colaborado por engenheiros da Cisco

Vladimir Sousa and Siddharth Rajpathak
Cisco TAC Engineers.