Аз BG's, като говорим за Topper, се ограничих само до израза „диспропорции“ в неговото поведение, когато коментира Skype и когато коментира конкурентни програми. Знам и мога да кажа повече, но в името на добрия тон ще ги спестя. Да не забравяме, че му дължа още един отговор „ред по ред“. В текста той пак се занимава с мен, но ще се разочарова. Добре е обаче, че ти отново сумираш и извеждаш за читателите „изкривяванията“ в боравенето с факти и аргументи от Topper, които всеки непредубеден вижда. Да се надяваме също, че Димитър ще отчете това и тази тема ще разглежда методите за блокиране на Skype в корпорации от йерархичен тип, където е нужно това. Искрено се надявам да чета неща като стил от предпоследния му коментар. Пак призовавам всеки, който ползва други решения ЗС, хардуер да сподели (може и с екрани) това, което ти направи. Аз от своя страна искам от тази тема да почерпя сведения (да аргументирам) доклад за грешка, който да забрани инсталирането на Skype от потребители без администраторски права в ОС. Това мога да направя по темата. Ще следя, ще пиша първо тук, ще събера съмишленици сред бетатестерите и ще поведа вътрешна дискусия, за вкарване на нужните промени в клиента. Но първо нека утре си довърша отговорите.

ЦИТАТ(BG)

Общо взето има два вида потребители: администратори и редови. Първите имат пълен контрол и могат да правят всичко на машината, тях няма какво да ги коментирам(е).

Обикновените потребители по подразбиране нямат права да пускат изпълними файлове „ехе“. Обаче могат да ползват такива, ако програмата не изисква инсталация. С правилото за което говорех, не се ограничават правата на потребителите по НИКАКЪВ начин. Ако пък в някакъв конкретен случай се наложи подобно нещо, файлът ще се сложи в C:\Program Files с препратка от работния плот. Тука МАМИШ, че съм казал, че трябва да се спре достъпа до всички програми на компютъра с разширение „ехе“. В действителност става въпрос САМО за ЛИЧНИТЕ папки на РЕДОВИТЕ потребители: Desktop, My Documents и др. Всичко инсталирано в C:\Program Files или на друго място, ще си работи по нормалния начин.

Пак повтарям, че редовите юзери нямат права да пускат инсталиращи се програми, затова с упоменатото правило няма да бъдат ограничени по никакъв начин.

Не знам дали се усещаш какви ги пишеш? Или не правиш разлика между инсталационен файл и нормално exe или трябва да се върнеш да си прочетеш книжките. Обяснението е толкова объркано и неясно че няма на къде повече!

Има едно правило - всяка защита, създадена от човек може да бъде разбита от човек. Щом компании с по няколко десетки и стотици хиляди служители не могат ефективно да се справят със скайп (даже и с инсталиран ZoneAlarm) на всеки десктоп, какво остава за другите.

Разберете че единствения начин е да се прави мониторинг на стартираните програми и убийствени глоби в случай на нарушение

capnemo, прав си. Не е съвсем изяснена разликата, но смятам, че BG's не я допуска умишлено. Вероятно текстът може да бъде прецизиран. Skype и нещата към него за Windows, които са инсталационни пакети идват в три разновидности: 1) .exe 2) .msi 3) .sparc Съгласен съм с теб също, че в корпорации от йерархичен тип трябва да има контрол: 1) над стартираните приложения 2) документ за съгласие на потребителя, че може да инсталира само одобрени програми (изключващ или определящ поименно разрешените безплатни такива, в т.ч. зареждани от преносима памет, зареждани от интернет и пр.) 3) санкции за нарушителите (вероятно степенувани а) забележка б) предупреждение в) последно предупреждение г) уволнение) Аз обаче искам да се съсредоточим в/у въпроса как Skype нарушава/заобикаля правилата за инсталиране в случай, когато потребителят е с ограничени права.

За аргументацията, аргументите и правото на признание

Сега ли ги чуваш тези аргументи???

Ок, има два въпроса и не мисля повече да работя за никакви каузи, най-малкото тук:

1.Как да разбирам Н.Филипов това:

Никъде не съм казал: „сега чувам“. Писах: Такава аргументация уважавам. Уважавам начина ти на изложение. Дали чувам за първи път подобни аргументи? Не.

По отношение на правната бележка, която придружава всяко публикуване на ПИБ за Skype в българската секция и/или в друг публичен форум искам лично на теб да споделя следните факти:

1. Аз, Николай Филипов, в качеството на един от официалните преводачи на български език на Skype за Windows, за Mac OS X и за Linux, физическо лице, съм подписал споразумение със Skype Technologies S.A. В качеството ми на бетатестер имам отделно такова.

2. Притежавам и двата документа в електронен и печатен вид, но нямам право да разкривам подробности.

Ще ползвам перифрази, за да ти обясня.

а) всеки преводач, освен на заплащане на труда си има авторски права в/у варианта на произведението; б) тези права са морални (нещо като признание); в) в известна степен компенсират „доброволността“ и отказа от получаване на парично възнаграждение с/у правото да поддържат и развиват превода на съответния език; г) затова тук, където Skype Technologies S.A. официално публикуват списък с изменения за всеки вариант и версия и там пише черно на бяло: „10.10.2007 Skype for Windows 3.6.0.127 Beta... Bulgarian (Nikolina Filipova & Nikolay Filipov)...“.

Локализацията за Linux е твърде „млада“ и се очаква благодарностите към преводачите доброволци да се добави на един по-късен етап от разработката. ;-)

3. Не ме питай как, но аз съм договорил и получил съгласие точно за този текст, който цитираш точно в този вид.

4. ArsLet typographers е мой проект. Досега по този проект има няколко създадени неща. Представляват само мен и сестра ми Николина Филипова. Не се финансират от Skype.

5. ЛСКП на Skype изрично посочва, че от момента на публикуване на превода в защитен сайт на компанията правата (материални и морални) над „електронния материал“ преминават в Skype Technologies S.A.

6. Аз съм постигнал за себе си и сестра ми нашето морално признание от страна на Skype точно по цитирания от теб начин.

За наивността и „облагите“

Аз, колкото и наивно да изглежда гледам да спазвам правилата и законите, отнасящи се особено за софтуер. Не съм на общия принцип "щом е в нета, значи е общо". Обясни ми какви права държиш и как ги ползва Скайп Инк? Нямам илюзията обаче да споменеш, че фирмата ти плаща... ...Казваш не получаваш лични облаги - бих те цитирал, където сам казваш за такива облаги.

Мисля, че от горното става ясно какви права имам при публикуване в отделен форум, и когато преводът не е част от клиента. Авторски и морални (на признание, че аз и сестра ми сме работили по варианта на този текст).

Наивно не изглеждаш и се радвам, че постъпваш така. Преводът не се заплаща. Както и осъвременяването не се заплаща. Ако си представиш ПИБ само за Windows без инсталатор, без други подкомпоненти трябва да мислиш за около 100 с/текст. Не споменавам Линукс въобще. Не споменавам страниците, които сега не са част от www.skype.com, не споменавам новият MSI инсталатор, който е толкова голям, че засега повечето езици сме успели да преведем само една нищожна част, за което аз се извинявам на българските потребители. Сега си представи тези 100 страници в непрекъснати редакции и ще разбереш за какви „облаги“ става дума. Ако не са други пък доброволци, потребители, които ни помагат не знам как бихме се справили. Не достига време, не достигат хора, а отделно всеки от нас трябва да си вади хляба с други неща, които работи.

Другото, за което намекваш, че си щял да ме цитираш са годишните срещи. Ето в какво е тая „облага“ по-известна като „набутвация“, ама щом съм ти казал... За срещата всеки, който реши да присъства плаща от джоба си предварително пътни, хотел, храна, местен транспорт и чак месец-два по-късно ти възстановяват (за които имаш документ) част от разходите (не е 100%, а всеки път различно, понякога под 80%). Забележи далеч не всичките. Сега си представи среща в Сан Франциско и ще ме разбереш. Дори да приемем, че ти покрият разходите на 90% пък ти си излъгал някак с документи и си докарал нещо отгоре (което не съм правил, защото и аз имам наивност като твоята)!? Какво правим!? Къде е изгодата!? Лесно ли е да се твърди, че за някакви десетки лева приход, дори обърнати в евро някой ще се хване да чака да му ги възстановят, за да се похвали, че е спечелил нещо от Skype!? Не, не, Димитре, причините, поради, които аз, сестра ми и останалите доброволци, поддържаме Skype са други и не са свързани с пари. За мен лично са свързани с езика с обичта ми към България.

За броя на българските потребители на Skype

Това е като да обяснясниш защо толкова точно знаеш колко потребителя ползват Скайп с българския езиков пакет. Лично мнение.

Откъде знам колко са потребителите, ползващи Skype на български? Знам го от самите Skype Technologies S.A. Те от къде го знаят? Не съм ги питал, но има един човек, който подозирам, че е замесен – Jean Mercier, нумеролог на Skype от създаването му. Има блог. Пиши и го питай, ако той реши ще сподели. За мен обаче новината е повод за национална гордост. Не мога да разкривам числа, съотношения, нито да ви цитирам източник, нито да ви дам точната класация по страни и проценти, но онзи абзац, който внимателно публикувах е повод за гордост от това, че съм българин. Или го приемете „както е“, или го отхвърлете като неистинно. Тук цитирам дословно, това, което написах (коментар №267):

Над 200 000 души са уникалните активни потребители на Skype от цял свят, които за месеците от май до септември т.г. са използвали всеки ден клиента за Windows на Skype с потребителски интерфейс НА БЪЛГАРСКИ ЕЗИК!

Как работи Skype?

Заглавието е статия на Делян Делчев.

Запознах се със статията на Делян подробно - описва 90% от алгоритъма. Не го цитирам, защото той го разглежда от гледната точка на "Skype е доста иновативен и използва не малко техники да се пази от злите оператори". А също така и казва "Понеже винаги клиента прави опит да се свърже към Node, трафика минава през всякакви Firewall-и, филтри и NAT". Е за мен това не е чиста проба "технологично предимство" а чиста пробра заобикаляне на правила и регулации. Като проститутките в Холандия - имат закон, регулирани са, ерго са разрешени под законова форма. Така ли е или не е. Искаш да ме накараш да повярвам, че нито MS, нито Yahoo!, нито Google имат възможност да направят "неуловим" алгортиъм с 300 вариации и 1024 битово криптиране? Не съм съгласен, май поради същата причина бяха осъдени е ЕС и Майкрософт - скрити механизми в кода и нелоялна конкуренция със затворени продукти? Искам да ми отоговориш - къде е разликата?

Щом са 90%, значи са 90%. На български език аз не съм чел по-сериозен анализ, което не значи, че няма, а че поне засега не съм открил в мрежата. Дано някой ден намерим и такъв.

По въпроса с проституцията. И неудачното сравнение м/у проституцията в Холандия и заобикалянето на правилата от страна на Skype, което правиш. Неудачно. И зле разбиране на това, което е искал да обясни авторът според мен. Ето ЗАЩО според мен, защо той се е заел да анализира Skype:

Човек би казал – интересни механизми за защита, но това ще увеличава закъснението и jitter-а между двама комуникиращи си, как Skype решава този ключов проблем за класическата IP телефония?

Него го интересува как се запазва качеството.

Другият му интерес е ясно изразен в неговата статия от 23.VI.2007 г., която вече посочих на вашето внимание, – Net Neutrality?

Като цяло, ако се опитваш да ми кажеш, че Skype е като проституцията в Холандия пак съзирам поредния опит за каламбурене. Но не си логичен. Щом в Холандия тази професия се подчинява на регулация, значи Skype спазва също някакви регулации? И може би ще ми поясниш какви са те? А в интернет няма регулация какво трябва да съдържа кода на една програма за пренос на глас и съдържание. В интернет има Net neutrality. Всичко над това е „технологично предимство“.

Не, не искам да те карам да вярваш в каквото и да е, но ако досега са можели да го направят (Microsoft, Yahoo!, Google), както пишеш, и ако Skype ползва технологии, които ти определяш като „заобикаляне на правила и регулации“ и даже като "холандска проституция“ аз те питам ЗАЩО не са го направили? Не е ли по-скоро, защото не могат да го направят? Или го правят, но не така, че да работи по-добре от Skype? Тоест липсва им инженерно вещество. Вещина както се казва на български. А именно вещината, когато я защитиш добре може да ти даде „технологично предимство“ пред останалите на пазара.

ЕС осъди Microsoft по дело за монопол с нейната ОС. Интернет не е ОС. Все още. И Skype не притежава интернет.

Като се аргументираш, моля, ползвай релевантни примери. Как да отговарям на несвързани спекулации, макар и твои?

За Kaaza и Skype и папагалските повтаряния за мнима връзка м/у тях

ПП.Не платили ли репарации Казаа (същите хора и същите механизми) на музикалните индустрии в размер на 100-150 мил. $, въпреки че уж не нарушаваха ничии права и не отговаряха за данните през програмата, а просто изграждали мрежа. В последствие точно метода за изграждане на "технологична мрежа" се оказа препъни камъка и 2004 година почти престана да съществува... когато взе да набира скорост Скайп със същия алгоритъм, даже и по-сложен за контрол?

Първо посети сайта на Joltid, за да прочетеш някои документи. Връзките м/у Кааza и Skype са две:

а) подобни П2П технологии (но не еднакви!!!); б) Никлас Зьоненстрьом – основател и изп. директор на компаниите (За Skype до ноември 2007 г.). В момента Никлас и Янус Фриис (другият съосновател на Skype) имат друг „взривоопасен“ продукт – Joost. А кой е изпълнителен директор на Joost? Я, ама това не е ли Майк Волпи, човекът белязан от много да бъде наследникът на мястото на Джон Чембърс като CEO на Cisco? А Cisco не беше ли от добрите, а?

Второ Skype не е ничий правоприемник. По-скоро Никлас е потърсил друг начин да продължи бизнеса си като използва медийната популярност в момента на лансиране на новата и неизвестна технология за безплатен пренос на глас – Skype.

В ранните месеци от съществуването на Skype Technologies S.A. е било важно да се изтъква тази приемственост (2003-2004). Между Kaaza и новата Skype. Но един задълбочен прочит на материалите в Joltid подсказва, че П2П е друга, или поне е видоизменена, за да отговори на новото съдържание. Това какво Никлас плаща на САЩ, за да се споразумеят си е негова работа. И това са парите на eBay. Ни повече, ни по-малко. Ясно е, че е сбъркал съдържанието, т.е. обменна мрежа за споделяне на файлове, което попада след Napster под ударите на щатските закони. После след това се поде кампания за раздухване на „мнимата връзка“, която съществува м/у двете различни П2П мрежи. И така до ден днешен. Уви и нашите уж журналисти не четат, а само препечатват. Вземи поне ти почети малко повече. За съжаление аз знам повече по простата причина, че познавам лично някои хора (определени знания за ситуацията съм придобил и от лични контакти). Истината е, че тази технология не е американска. Само това ще кажа. И няма връзка, освен П2П характера. Преносът на глас си е доста, доста по-сериозно нещо. И изисква вещина. Друг тип вещина, каквато американците, уви нямат.

С уважение към теб и към всички участници в дискусията,

По смешно нещо не бях чел. ...и още нещо кой луд ще бъде назначен в компния в, която ще спира MSI Installer? С това той спира подръжката на самата системата от Microsoft! Ако при мен се случи на другия ден ще е уволнен.

Какво правиш в ТВОЯТА компания си е ТВОЙ проблем. Стига да е законно (уволнението).

И за да довърша оффтопика за самолетите:

Многие авиакомпании планируют ввести фильтрацию трафика и запретить пользоваться IP-телефонией во время полета, сообщает Associated Press. В чем же причина? Ведь возможность выходить в Интернет прямо на борту самолета появилась совсем недавно (а где-то не появилась до сих пор) и преподносилась как важное и полезное новшество? Виной всему оказались отнюдь не технические факторы, а невоспитанность самих пассажиров и чрезмерная забота об их спокойствии со стороны перевозчика.

VoIP-сервисы вызвали наибольшее негодование неспроста. Пока пассажирам были доступны лишь дорогие звонки через специальный шлюз, проблем не было из-за малого количества пользователей. Но с появлением на борту широкополосного Интернета любители болтовни по Skype получили возможность целыми часами донимать остальных пассажиров. Как и в случае с мобильниками в театрах, проще оказалось запретить технологию, чем надеяться на воспитанность публики. По крайней мере, так поступили авиаперевозчики American Airlines, Alaska Airlines и Virgin America.

Източник: http://www.securitylab.ru/news/310493.php

Филипов не взимам страна, но изобщо за какво отговаряш на човек, който и без това няма смисъл да му обясняваш каквото и да е било за програмата и какво си направил за страната. Отделно всеки и всяка компания сама си избира как да постъпи и какво да ползва има конкуренция, но и сам виждам, че в повечето се ползва Skype... Лично аз съм фен на Live Меssеnger, както и продуктите на Microsoft!

Не знам дали се усещаш какви ги пишеш? Или не правиш разлика между инсталационен файл и нормално exe или трябва да се върнеш да си прочетеш книжките. Обяснението е толкова объркано и неясно че няма на къде повече!

Има едно правило - всяка защита, създадена от човек може да бъде разбита от човек. Щом компании с по няколко десетки и стотици хиляди служители не могат ефективно да се справят със скайп (даже и с инсталиран ZoneAlarm) на всеки десктоп, какво остава за другите.

Разберете че единствения начин е да се прави мониторинг на стартираните програми и убийствени глоби в случай на нарушение

Немо, аз не съм виновен, че някой (може да) не знае за какво говоря! Нещата съм ги пробвал, преди да съм писал. Разбира се, всички тия сложни маневри са за блокиране на Скайп в случай, че на служителите им е нужен достъп до интернет! Аз се намирам в обстановка, в която никой потребител не е в състояние да инсталира каквото и да било: компютри със спрени USB и CD-ROM, без връзка с интернет; а само с един файлов сървър, на който администратор слага нужните програми или файлове за всичи потребители, а те търсят и намират всичко нужно им в съответната поделена папка. Ако искаш да копираш някакви файлове на твоя твърд диск (защото никой няма личен компютър, а само твърд диск на релси, който можеш да го мушнеш в коя да е машина и да работиш на нея) отиваш при админ, за да ти качи всичко нужно, и да види съдържанието му, на сървъра и чак след това си го копираш на машината. При нас дори администратор актуализира ОС. Всичко това далеч не е заради Скайп, а политика на фирмата. Чета тука децата си инсталирвали прог. за чат, игри и какво ли не още по училищата и нямало начин това да се предотврати. Ъ? Има разлика между „не зная как“ и „не може“.

Не отричам, че има ситуации, в които наистина не е възможно да се наложат нужните ограничения, защото ще се спре по някакъв начин работата на служителите. Но както казваш, Немо, вариантът е да се правят наблюдения и когато някой кривне от правия път да му се направи забележка; при второ провинение, може и глоба или както преценят от фирмата.

Истината е една: щом като имаш физически достъп до машината, има възможност да овладееш и пълен контрол над нея, ако ще да си съдерат гъзовете тия дето се грижат за сигурността.

Немо, аз не съм виновен, че някой (може да) не знае за какво говоря! Нещата съм ги пробвал, преди да съм писал.

Аз много добре знам за какво говориш, но не съм сигурен ти дали го знаеш. Поне описанието ти говори за това

Разбира се, всички тия сложни маневри са за блокиране на Скайп в случай, че на служителите им е нужен достъп до интернет! Аз се намирам в обстановка, в която никой потребител не е в състояние да инсталира каквото и да било: компютри със спрени USB и CD-ROM, без връзка с интернет; а само с един файлов сървър, на който администратор слага нужните програми или файлове за всичи потребители, а те търсят и намират всичко нужно им в съответната поделена папка. Ако искаш да копираш някакви файлове на твоя твърд диск (защото никой няма личен компютър, а само твърд диск на релси, който можеш да го мушнеш в коя да е машина и да работиш на нея) отиваш при админ, за да ти качи всичко нужно, и да види съдържанието му, на сървъра и чак след това си го копираш на машината. При нас дори администратор актуализира ОС. Всичко това далеч не е заради Скайп, а политика на фирмата. Чета тука децата си инсталирвали прог. за чат, игри и какво ли не още по училищата и нямало начин това да се предотврати. Ъ? Има разлика между „не зная как“ и „не може“.

Съгласен съм че при така поставени условия е доспа по-трудно да се инсталира/стартира нещо различно от това, което е установено предварително, но ми стана много интересно и малко страшно от (по мое мнение) фашистките условия в тази фирма. Бекет ряпа да яде

Не отричам, че има ситуации, в които наистина не е възможно да се наложат нужните ограничения, защото ще се спре по някакъв начин работата на служителите. Но както казваш, Немо, вариантът е да се правят наблюдения и когато някой кривне от правия път да му се направи забележка; при второ провинение, може и глоба или както преценят от фирмата.

Истината е една: щом като имаш физически достъп до машината, има възможност да овладееш и пълен контрол над нея, ако ще да си съдерат гъзовете тия дето се грижат за сигурността.

Аз си мисля че така поставените ограничения по-скоро спират работата на служителите, но явно хората, които са измислили тази щуротия знаят (или си мислят така) За подобни ситуации е много по-елегантно да се използват тънки клиенти

Бих искал тук да обсъдим методите, правилата, политиките и възможностите (колкото са останали) да контролираме работата на Skype било на персоналния ни компютър, било в корпоратвината мрежа, било в кварталната мрежа.

Също така да разясним на обикновения потребител възможните "екстри" които би получил от постояната работа на Skype на компютъра му.

Всички мнения са добре дошли.

Blocking SKYPE

The hole trick

Редактирано 4 януари 200818 г. от Castigado Pantockrator (преглед на промените)

Blocking SKYPE

Метода е доста половинчат и с тази разрешителна листа за SSL достъпа е малко смешно. Да не говорим че има известно количество връзки, които се осъществяват по IP и които ще бъдат отрязани също.

Драги ми потребители.

Въздържах се известно време от коментари и само слушах. Броих до десет. По едно време ми стана смешно дори. После ми стана жал - толкова компетентни мнения (аз съм се бил изказвал като специалист - ми май сме малко тези, дето това им е професията) с толкова глупости. Изглежда само Немо май е в час.

Чудя се от къде да започна. Да обясня на BG's, който разказва по спомени на очевидци как трябвало да бъде ли, с методи а-ла "да скрием софта си от НСБОП през 2002 година". Ако това ви е политиката и организацията във фирмата - моите съболезнования, а вашите админи или са извратени, или мазохисти. Та за политиката, за която явно BG's не е чувал, мога да преведа 10-на примера от мрежата. Понеже ни мързи да четем (съмнявам се Капитане, че има и книжка дори). Всъщност преди това да отгворя на водопада от приказки на Филипов - няколко пъти ми цитираш едно и също, няколко пъти ти обяснявам, няма да е зле да се вслушаш - Administration Guide от Скайп върши малко работа и то в посока "да направим мрежата ни приветлива за Скайп", което меко казано се разминава с функцията на защитата и задълженията на администратора. Колкото до политиките на Скайп, за сетен път отговарям - това, че мога да контролирам дали да импортват контакти, дали могат да ползват екстри, да редактират езика (???), да им забраня уеб статуса... май не ми дава никакъв инструмент за контрол на приложението? Моля, ако някой разбира, че един администратор си умира да си избива комплекси, като забрани на някого да си смени тапета в Скайп - жестоко се лъже. Единственото полезно е може би това, че може да се забрани файл трансфера

POLICY !!DisableFileTransferPolicy
				EXPLAIN !!DisableFileTransferPolicyExplain
				VALUENAME "DisableFileTransfer"
				VALUEON NUMERIC 1
				VALUEOFF DELETE
			END POLICY

и тази част от политиките (BG's специално погледни тук що е то правила на политиката GPO):

CATEGORY !!NetworkCat
			POLICY !!ListenPortPolicy
				EXPLAIN !!ListenPortPolicyExplain
				
				PART !!ListenPort NUMERIC
					VALUENAME "ListenPort"
					MIN 1
					MAX 65535
				END PART
				
			END POLICY

			POLICY !!ListenHTTPPortsPolicy
				EXPLAIN !!ListenHTTPPortsPolicyExplain
				VALUENAME "ListenHTTPPorts"
				VALUEON NUMERIC 1
				VALUEOFF NUMERIC 0
			END POLICY

			POLICY !!DisableTCPListenPolicy
				EXPLAIN !!DisableTCPListenPolicyExplain
				VALUENAME "DisableTCPListen"
				VALUEON NUMERIC 1
				VALUEOFF DELETE
			END POLICY
			
			POLICY !!DisableUDPPolicy
				EXPLAIN !!DisableUDPExplain
				VALUENAME "DisableUDP"
				VALUEON NUMERIC 1
				VALUEOFF DELETE
			END POLICY
			
			POLICY !!DisableSupernodePolicy
				EXPLAIN !!DisableSupernodePolicyExplain
				VALUENAME "DisableSupernode"
				VALUEON NUMERIC 1
				VALUEOFF DELETE
			END POLICY

Само дето коментарите (включително и във форума на Скайп) са, че тези политики малко или много вече не работят с новите версии на Скайп. Дано този индекс 1.5 в политиките не отговаря на версия 1.5 на Скайп!

Всъщност и самите разработчици на Скайп си признават, че са далеч от "разпространение в контролирана мрежа". До сега варианта е - използване на малко безполезни, малко неработещи политики и то в MSAD! За това ти казах Филипов, че "технологичното предимство" аз го разбирам като уязвимост - когато нещо прониква/излиза от/в където си пожелае в хетерогенна мрежа и трябва да се похарчат много пари, средстава, време и квалифициран персонал, аз това го оприличавам на грипен вирус. За който трябва антибиотик. Само дето за вируса има ваксини, малко или много. Та по същество, не искам да ти коментирам многословните фрази.

Сигурно е интересно за някои тук, че има специална политика, с която се забранява компютъра ви да стане Супер възел

POLICY !!DisableSupernodePolicy
				EXPLAIN !!DisableSupernodePolicyExplain
				VALUENAME "DisableSupernode"
				VALUEON NUMERIC 1
				VALUEOFF DELETE
			END POLICY

Ерго - по подразбиране вие винаги можете да станете такъв възел, стига да изпълните условията (най-важните са да имате добра връзка и да сте достатъчно дълго време на линия, после пак си оставете включен Скайпа). Та поради такива причини, но не само, както казват от Скайп понеже аз не видях никъде политика която да забранява пък да става компютъра обикновен възел или relay node, специално отбелязвам за уважаемия BG's как невинно трафика ти може да стане не 10к/с, ами 100к/с че и 200к/с. Специално пък за кварталните ЛАН-ки, когато в един момент вашия компютър може да се окаже препредаваш възел (relay) на целия квартал. Доказано и наблюдавано и в корпоративна мрежа, и в мрежа на локален доставчик, не говоря по спомени на очевидци в тъмна доба.

Всъщност добре е да цитирам един гури в управлението на мрежите Кен Камп с 25 години стаж, въпреки че обичайно стажа тук не е нищо, който коментира същите изявления на функционери на Скайп, които цитирах:

Deploying Skype in a Windows domain

I won't quote any more than that. You go read for yourself. What Sauer says is that Skype wants to make it easier for your employees to implement peer-to-peer technologies on your networks. Doh! Are we surprised? I hope not. They want to make it easier than ever for Skype to penetrate your network with port hopping, firewall evasion and undocumented, proprietary encryption.

Sorry Kurt, three strikes. You're out. Out of any network I manage. Count on it!

Обаче следващият пасаж изразява всичко:

Before any of those matter, Skype has to become network trustworthy in the business enterprise. Period.

Port hopping evasion techniques to get around corporate firewalls are not trustworthy. Undocumented encryption protocols that don't adhere to standards are not trustworthy. And in the enterprise network, peer-to-peer technology is not trustworthy.
Listen up Kurt - Skype has made numerous efforts to shortcut enterprise controls and penetrate the corporate environment. If you really want to win in the business market, you need to address the enterprise concerns. I don't think you really do. I think Skype's making minimal efforts to ingratiate itself in the smaller business segment. I think Skype's dangerous. It will be forbidden by policy and by technology in any network I manage until Skype starts addressing real and tangible concerns...the ones they don't even acknowledge.
Yes, I know many of you will want to comment and tell me how awesome Skype is and why it works great. Don't bother, please. I'm a fan and I use Skype almost daily. If you want to tell me how great it is, please, go spend a year as the security officer in an enterprise network first. Then if you still think Skype is a panacea for telephony and VoIP you want to implement, we can talk. I'll still convince you it's a danger unless Skype makes some major changes during that year.

Точка, какво повече да се каже. Скайп е далеч много от това да се каже, че е сигурен в корпоративна мрежа и солидно приложение за компаниите.

Съжалявам, че предимно ще цитирам, но предпочитам така, защото моето мнение нито се разбира (пука ми за скайп, аз искам да знам, че не може да влиза/излиза от рмежата ми без аз да знам) нито пък се зачита. Та да продължа с твърденията и фактите, да кажем от друг специалист Майк Чапъл. Кратка справка за автора, за да избегнем коментарите "то'я пък кой е"

Mike Chapple, CISSP is an IT Security Professional with the University of Notre Dame. He previously served as an information security researcher with the National Security Agency and the U.S. Air Force. Mike is a frequent contributor to SearchSecurity, a technical editor for Information Security magazine and the author of several information security titles including the CISSP Prep Guide and Information Security Illuminated

Аз лично смятам мнението за меродавно, иначе не знам как ще да е работил за NSA, редактор на Security magazine и т.н. и т.н.

Източник на цитата

However, while Skype might be a fun toy for home use, it may represent a definite threat to your enterprise security. Users attempting to make personal calls on company time or save a few bucks on their personal telephone bill might unwittingly jeopardize your data

# Skype is a closed-source VoIP solution. Skype does not disclose the cryptographic protocols used by its software. This could lead to "security through obscurity" concerns. Indeed, a white paper by Simson Garfinkel pointed this out in March 2005. Skype reacted quickly by commissioning Anagram Laboratories to conduct an evaluation of the VoIP system. The evaluation, published a month later, granted Skype a clean bill of health. That said, I'd be much happier if Skype either opened to public scrutiny the source code for their security features or relied upon an accepted cryptographic package.

# Some Skype traffic may take place in the clear. Garfinkel's analysis identified unencrypted communications related to call setup that may make it possible for an eavesdropper to perform traffic analysis (i.e. determine who calls whom and for how long). Anagram's evaluation doesn't refute this finding.

Отбелязвам важно место - част от трафика не е криптиран, което позволява някакъв трафик анализ, все пак!

# Skype traffic bypasses audit controls. By their nature, VoIP calls placed on the Skype network evade local call auditing systems. If you operate in a regulated environment, this may pose an unacceptable risk or require the use of specialized controls designed specifically to audit Skype traffic.

# Skype's EULA grants Skype the use of the system on which it is installed. Article 4 of the Skype end user license agreement states, "You hereby acknowledge that the Skype Software may utilize the processor and bandwidth of the computer (or other applicable device) You are utilizing, for the limited purpose of facilitating the communication between Skype Software users." Enough said.

Казахме достатъчно Я пак, тази глава 4-та от EULA-а, който така упорито не иска да се преведе на всеослушание! Вашия компютър или друго подходящо устройство ще бъде използвано за комуникациите между други потребители на софтуера. Съгласихте ли се? Добре, продължавайте да използвате скайпа си.

However, that's not an easy task with modern security technology. You're probably thinking that you can just block the Skype destination port or, if that fails, simply block all access to the Skype server IP addresses. Unfortunately, these techniques are completely ineffective. Skype is capable of tunneling over a standard HTTPS connection, preventing port filters from distinguishing it from other port 443 traffic. Additionally, Skype servers (a.k.a. supernodes) are moving targets – there simply isn't a master list that you can block outright

Автора по-нататък разглежда начините за блокиране - хадуерни стени (отбелязвам за BG's, има и такива стени, това се ползва за корпорации, не персонален софтуер за 100 компютъра). Недостатъци - прекалено висока цена. А аз бих добавил - след следващият ъпдейт на Скайп има голяма вероятност алгоритъма за засичане на трафика от програмата въобще да не е актуален (при мен - CISCO рутър, който вече странно не отчита чрез NBAR пакетите на Skype). Примери много. Така, че ще си останете с безполезна инвестиция. Другия вариант - агресивно (egress) трасиране на трафика в мрежата ви (Пример) В предвид разклонения алгоритъм на връзка на Скайп - повече ще затрудните работата на другите приложения в мрежата ви, отколкото да ограничите Скайп. Да не говорим пък за криптираните пакети, който не се знае какви данни носят. И другия вариант, предлаган от автора - intrusion prevention systems (IPS). Отбелязвам - друго важно место в контрола на Скайп Обаче дефинициите за активност на Скайп (отново) се променят доста често - уникалните транскрипции в хедърите на пакетите вече не са уникални, а са по-скоро плаващи (с всяка нова версия на програмата).

Сигурно вече пак ви се е зародил въпроса - тогава за какво толкова някой си умник си дава труда, за да контролира любимата програма, след като "технологичното предимство" и позволява да си работи неконтролируемо? Ами защото умника не го интересува толкова какво става с личния му компютър, защото има основното задължение да се грижи за компютрите на потребителите. В корпоративната мрежа. А там филма е доста по-различен, който ще олицетворя пак с цитат:

Източник

* Inbound threats

IM creates new vectors for the distribution of malware (viruses, worms, spyware, rootkits, and more) and SpIM (Spam over IM) which can cause a major drain on productivity and resources. Read about malware and spyware prevention.

* Outbound threats

IM opens new 'holes' through which information can leak or be leaked, leading to user privacy concerns and the potential loss of intellectual property

* Non-compliance with corporate and regulatory requirements

IM creates invisible communications channels that operate below the radar of conventional information security measures, exposing the organization to regulatory compliance breaches.

И блокирането на IM като Скайп в корпоративна среда вече не е опция или пожелание, защото:

# IM clients use port crawling – the ability to exploit any open port on the firewall – so blocking the 'usual' port for the particular application doesn't work.

# Every IM network provider has its own unique set of IP addresses to which clients can connect. These IP addresses change frequently or at random without notice, so firewalls and proxies cannot apply blocking policies using the typical black list of IP addresses.

# IM protocols are proprietary and constantly evolving to deliver new and more advanced features to users; firewalls and proxies do not evolve at this pace, nor do IT organizations want to be constantly updating protocol signatures on the firewall.

# The synchronous nature of real-time connections is much different from the asynchronous web browsing and email traffic; firewalls and proxies were not designed to inspect and analyze real-time communication traffic, so network performance suffers

Тук можете да разгледате продължението - защо се счита за опасно използването на напредничавата P2P технология на Скайп.

Because P2P networks are installed on local client machines and link directly to the Internet, those client machines are wide open to abuse that's uncontrolled by standard information security measures. The protocols used by these applications are stealthy, often encrypting themselves or tunneling undetected through open ports

....

Given the seriousness of the risks and the potential damage to the organization that accompanies the uncontrolled use of P2P networks, IT departments need a powerful tool that will enable the productive use of P2P while protecting against their intentional or unintentional abuse. Point products such as desktop anti-virus or anti-spyware solutions don't have the range of controls needed;

Налага се естествено извода, че с наличните инструменти (включително и персонални Firewall-и както любезно ме посъветва BG's) няма да свършат работа. А и как иначе - нали Скайп като програам, както и ръководствата за мрежова админстрация целят да бъдат "user friendly" => "skype friendly". Между другото уважаеми BG's, блокиране на програма за достъп до мрежовите ресурси се извършва и с MS Firewall, но какъв е резултата, след като едно преименуване на файла и правилото вече не важи! Ако не знаеш как става това от редови потребител, не означава, че не е възможно.

Решение от фирамата, направила анализ - купете си нашият хардуерен IMAdutor за ХХХХХ $. Рекламно съобщение? Може би, но на това се казва "косвени загуби за бизнеса". Същото мисли колегата, написал следното мнение в NetworkSecurity

I've used Websense with PIX integration and it effectively blocked Skype

traffic. I've also used MS Group Policy to deny access to skype.exe on

all systems, but this is easily circumvented should the user rename the

executable. However, my users do not have rights to install software or

to modify anything below the %PROGRAMFILES% dir. Again this is

circumvented should they bring it in on a USB key, but if you lock down

USB access as well, they wont be able to initialize the drive.

Дори и с хардуерна стена с централизирано управление на политиките през интернет, дори и с GPO (и той споменава колко е лесно да се прескочат ограниченията с преименуване на файлове), отново се намесват портативните инсталации от USB. Бих могъл нищо да не обяснявам, просто да кажа "политика на компанията" което е достатъчно за форума на Скайп, но тук критичността на потребителите е доста на високо ниво, та бих обяснил - ами ако ползваме USB мишки?; ако ползваме USB токени?; ако ползваме USB електрони ключове за банки и пощи; ако ползваме USB донгъли като хардуерни ключове за програмите ни; ако ползваме USB флашки за пренасяне на данни от бизнес партньори? ако ползваме USB периферия (принтери, скенери, таблети)? Поради такива причини не можем да забраним употребата на USB на персоналните компютри.

След малко, като асимилирате причините и поводите, поради които се счита Скайп като критичен за корпоратвни или квартални мрежи, ще ви предоставя и няколко (все още) актуални методи за противодействие

ПП: Би било интересно на уважаемият BG's да потърси в направените цитати и линкове - колко пъти се среща думата firewall в смисъл на прескачане (bypass, hole in, any firewall). Само подчертавам дружелюбно

Редактирано 9 януари 200818 г. от Topper (преглед на промените)

Само да допълня, че моят „водопад“ от отговори бе предизивикан от пороите на твои аргументи. Не виждам как BG's е твърдял нещо различно. Според мен човекът показа как с една примерна стена се спира Skype. Писа, че може да се направи и с други стени. Както capnemo правилно посочи преди това всичко зависи от служителите. Защо трябва да се изпада в такава детайлност? Нима фирмата, за която ти говориш/работиш няма управление, което да може да разреши човешки проблеми и да спре това нелегално използване на Skype. Съмнявам се, че не е в състояние. Що се отнася пак до ЛСКП... Държа да направиш разлика м/у „ресурси“ и „лични данни“. Вторите не са част от първите.

Мда, нещо много плахи реакции, очаквах нещо друго. Аз се опитвам да ви наведа на мисълта (признавам - много лош навик, да карам хората сами да стигат до изводи, но на мен никой не ми ги е давал наготово и сигурно зради това...) че 99% от даващите мнение тук, специално в тази тема - не осъзнават за какво става дума. Ако трябва да го обясня метафорично, това което ми идва на ум е: 1.Аз питам - как да направим така, че ефективно да събираме таксите и/или да ограничим ползването и/или да забраним ползването на магистрала Хемус? Мисля че примера с магистралата е хубав 2.Очаквам някой умен младеж да се замисли и от гледната си точка (не заровен до шия в проблемите на администрирането) да каже в един красив момент - ами пич, направи една-такава-бутка, сложи вътре един-такъв-чичко и му дай тези-правила-за-таксуване-и-ограничение и почва да работи тази магистрала както трябва да бъде. 3.Появява се младежа, обаче нещата не са очакваните - казва ми: о, ама то можело да се качи кола без такса на магистралата ли, я да видя....дааа, вярно, значи действай така: вземи купи ей този-платен-касов-апарат, сложи го на всяка-кола-която-се-качи-на-магистралата, като преди това не забравиш на го настроиш и очаквай всеки шофьор да е добросъвестен да се таксува сам и/или да не се качи на магситралата, ако не отговаря на изискванията-дето-не-са-програмирани-в-касовия-апарат. Като дори няма начин да разбера колко добър е бил шофьора и дали си е платил таксата или дали въобще имал право да се качва на магистралата? Ама ако си бил пуснал касовия апарат, би трябвало да стане така.... Малко детски пример, но явно трябва да е такъв!И аз как да реагирам? Показвам примери с други държави, дето са си направили труда да изследват нещата. Говорим за големи мрежи, корпоратвини или квартални или градски МАН, както щете го погледнете. Защото проблема е контрола в мрежа, не е проблем контрола на един компютър. Хората са казали май няколко пъти, че програмата преминава през всякакви стени. Period. И то са хора специалисти. Не знам защо им вярвам, сигурно защото и аз съм видял същия ефект (защо не отговори BG's какво ще стане, ако се преименува файла, забранен да се стартира от ZA?) Относно управленските методи, които са наложени в нашата фирма - аз не ги коментирам тук, ако не забелязваш, аз коментирам това, което ме засяга - IT решението на въпроса. А репликата ти за личните данни (макар че в този криптиран поток можеш ли да ми кажеш какво се изпраща към нодовете?? ще се учудя, ако можеш, а съм малко голям да вярвам на приказките по пощата на някой от другата страна на жицата, че всичко е кристално чисто) не виждам защо си я направил - аз никъде не съм говорил за лични данни, а за ресусрите, стремя се да съм точен в превода, макар че как да се разбера какво имат предвид под "не само" не знам. Интересното е, че в момента като синоним на тези ресурси ми идва на език...частна собственост? Имам вече систематизирани няколко ефективни начина за контрол на Скайп на КОРПОРАТИВНО/ЛАН/МАН ниво, но ще изчакам още за коментарите ви, а и да ги тествам, за да не говоря празни приказки. Успех за сега

Ако трябва да го обясня метафорично, това което ми идва на ум...

Твоят проблем без да се обиждаш е, че все опитваш с каламбури „метафорично“ да се изразяваш. От там може би идва и неразбирането. Недей да мислиш, че хората, които четат тука са некомпетентни, или „не осъзнават за какво става дума“. Може и да има такива, но вероятно трябва да приема, че познаваш лично 99% от всички пишещи тук и някак си ги оценил, което не е вярно. Просто да оставим настрана метафорите, личните напрадки и прочее.

Мисля че примера с магистралата е хубав.

А аз не смятам, че примерът ти е подходящ. Когато се говори за администриране на мрежи, контрол и управление на ресурси. Много хора ти казаха и документарно онагледиха някои случаи от контролирането на Skype. Други писаха за нуждата и от управленски решения спрямо тези хора, които в рамките на организацията нарушават възприети корпоративни правила. Аз лично споделих, че първо трябва да сме наясно за какъв тип организация става въпрос... Ако погледнем на Skype и подобните програми като „магистрала“ веднага трябва да допуснем, че са част от нещо по-голямо, което в този случай се явява интернет. Да разбирам ли, че изместваш контрола и администрирането на Skype към интернет? Като човек ценящ изящната словестност, аз виждам и зрънце истина в каламбура: да – Skype е магистрала, част от мрежата. Да се надяваме, че ще става все по-широка. И твоят проблем са всъщност „детелините“ – местата, от които все повече хора опитват да се качат. Да разбирам ли, че искаш да следиш, пропускаш и събираш такси? Метафората (каламбурът) нещо не се получава. Защото за всяка „магистрала“ в интернет все още важат принципите на неутралността на мрежата, разгледана от Делян Делчев в Net Neutrality?. Предлагам да се ограничим до корпоративната мрежа и контрола на Skype там.

Пропускам точки 2 и 3. Като поредни „метафори“.

Ако ОАЕ е една от тези държави, които ни даваш за пример аз преди време ти предложих да емигрираш там, ако това ще те направи щастлив и доволен от начина, по който им функционират мановете. Предполагам, че BG's сам ще ти отговори за преименуването на изпълнимия файл. Но доколкото помня той засегна въпроса. Това, което аз искам да знам е какво ще попречи на даден потребител на корпоративна мрежа, където е забранено да се ползва Skype наред с други програми да преименува тези други програми и пак да ги използва? Аз мисля, че ще попречат: доброто заплащане, чувството, че работи в екип, създава и допринася за развитието на фирмата, уважението, на което се радва там и желанието му да продължи да работи в тази среда като спазва установените принципи. В крайна сметка всеки контрол се обезсмисля, ако не се посреща позитивно от заетите хора. Мисля, че ще се съгласиш, защото другото означава да се гледа на всеки като на потенциален нарушител.

Относно управленските методи, които са наложени в нашата фирма - аз не ги коментирам тук, ако не забелязваш, аз коментирам това, което ме засяга - IT решението на въпроса.

Напълно те разбирам. И споделям същия стремеж.

Когато говоря за теб:

Нима фирмата, за която ти говориш/работиш няма управление, което да може да разреши човешки проблеми и да спре това нелегално използване на Skype. Съмнявам се, че не е в състояние.

нямам предвид да коментирам тук твоята фирма. Изказах съмнение, че и в твоята фирма наред с останалите, е невъзможно да се намерят форми и начини да се разясни на персонала, какво се очаква и какво да се ползва и какво не. Силно се съмнявам, че не може. А иначе е очевадно, че в тази тема пишещите търсят технически решения за препятстване на евентуални опити за ползване на Skype в частни корпоративни мрежи, където Skype и др. подобен софтуер не е част от бизнесмодела на компанията.

Тук пак си припомням предложението:

да се посочи (тук и по-долу) проблемът.

„Инсталирането на Skype от потребител с недостатъчни права в ОС е недопустимо“

Предложението ми накратко е:

1. Да подам официален доклад за грешка и/или искане за поддръжка до Skype Technologies S.A.

2. Да обсъдя този проблем с хора на моето ниво (доброволци) и с хора над мен (служители на компанията).

3. Ако успея да събера съмишленици – добре. Ще подемем вътрешна инициатива и ще се опитаме да въздействаме.

4. Ако не успея – ще се пробвам сам. Калински знае за какво говоря.

Бележки:

а) преди „да е избухнала бомбата“ да кажа, че дефиницията подлежи на обсъждане. Нека това е в тази тема.

б) трябва ясно да разграничим случаите, в които проблемът стои и е в конфликт с нормалните политики за управление на правата в ОС.

в) отсега трябва да е ясно, че тези неща като „пълен контрол“ и др., за които говори Topper, и които аз ще разгледам отделно в следващ коментар са част от „технологичното предимство“ на компанията и са на практика „недосегаеми“, т.е. CONDITIO SINE QVA NON.

г) начините за контрол, които бихме ползвали, за да аргументирам искането за поддръжка, трябва да ползват СТАНДАРТНИ средства на конкретната ОС. Не начинът на работа на конкретното приложение, неговата топология и др. хватки.

д) ако има общи белези, по които множество др. съвместими с тази ОС приложения могат и са контролирани успешно – какво трябва да промени/съобрази Skype, за да не може без съгласие на администратор потребител с ограничени права в ОС да го изпълнява?

е) случаите на зареждане от USB преносими памети е частен случай, решим по описания от BG's начин. Не го изключвам, но ние не трябва да се борим против технологиите, а да ги съвместяваме.

Аз това мога да направя. Очаквам доказателства/признаци, по които Skype нарушава рутинни администраторски групови политики, когато потребителят е с ограничени права. Тях мога да разследвам и да препоръчам да бъдат следвани в един такъв доклад за грешка.

...репликата...

Аз говоря само за ЛСКП. В Лицензионното споразумение с краен потребител на Skype изразът „ressorce“, „ressorces“ се срещат точно 2 пъти. Изразите „privacy“ – 9; „confidentiality“ – 3; „confidential information“ – 6... да не продължавам. Ресурсите не се разглеждат като част от останалите. След като в един толкова прецизен по характер документ се прави разлика, желателно е и ти да я правиш. Другото е от лукаваго. А за разликите си прочети сам – освен ЛСКП има и политика на поверителност. Дали служебното предаване (обменът) в хашнат вид на име и парола в една затворена мрежа, каквато е Skype е „лични данни“? Не мисля. И въобще дали в Google, Yahoo, ICQ е възможно вписване без удостоверяване? Па макар и в нешифрован вид? А иначе идването или неидването на синоними си е проблем на твоя мироглед.

Имам вече систематизирани няколко ефективни начина за контрол на Скайп...

Мисля, че това е обещаващо. Аз, както и другите, ще се радвам да се запознаем.

Филипов, ако изхвърлим от речника ти "каламбур, манипулация, спекулация, подценяваш, лъжеш, мамиш".... какво остана от речника ти.

Аз не видях тук много хора да са ми казали как се контролира в мрежа. Защото аз дадох много цитати на световни специлисти за това как "прескача" Скайп мрежовите ограничения. НЕ на персоналния компютър -никой не говори за това. Иначе ще ти отговоря с твоите думи - "И въобще дали в Google, Yahoo, ICQ е възможно вписване без удостоверяване" - ето точно там ви идва неразбирането. Съжалявам, но и ти си в тези 99%. Постнах тук по какви параметри се ограничават тези IM от Администратора на мрежата ( не на персоналния компютър, на МРЕЖАТА) и след това фирмата си работи по така установения "бизнес модел". Темата тук е - възможно ли е да се направи същото със Скайп. Ама той пък ползва технологични предимства... не се подчинява на правила, забравих. Иначе ако ставаше - моля, Сисадмина налага правилата, никой не е преследван, никой не е заплашван от заповеди и глоби, Управителя разрешава на Иванчо да ползва - моля, разрешаваме му на него. Само дето идва втората серия - през Иванчо ще се включат и други, дето не са отиризирани, но понеже случая с контролираната употреба от Иванчо не може да стане до момента, това е най-малкия проблем.

Защо не коментираш предоставените от Скайп GPO? И функционалността им? BG's не чакам да помогне в случая - ще му трябва време да пита някой или случайно да прочете някоя книжка (препоръчвам му добронамерено) А какво ще кажеш за ръководството на Сисадмина-а от Скайп? Нищо не се казва "как да управляваме" а само "как да пропуснем най-лесно". Не че е проблем за Скайп да го направи. Нали това и казах - всякакви рутъри, проксита, стени. От което BG's взе да си прави изводи, как ще хване в крачка този тъп админ и как ще му покаже на стената си колко е в час. Драги мой, да съм казал някъде "личната ми стена, личния ми рутър на компютъра (това пък какво е), личното прокси на компютъра ми". Май и примери от други автори няма да ти помогнат да схванеш смисъла.

Не се грижи ти за моят мироглед, това че не ми харесва програма, която се измъква като вирус през ограничения и търся начин да я контролирам говори за твоя болшевизъм, не за нечии друг.

Принципи на неутрализъм - дрън дрън, как само пък Скайп съзира този принцип, а други корпорации от 10-ки години в този бизнес се съобразяват с правила! Егаси и "технологичното предимство". Като на трафикант на наркотици.

Но смятам или да не падам на нивото ти и да игнорирам бръщолевенията ти, или да говоря само професионално тук с разбиращи материята. И в двата случая май те игнорирам, за което се извинявам искрено предварително. Нищо лично.

Очаквах словоизлиянията ти, нищо ново, дори се самоцитираш, защото не можеш да кажеш нищо ново. Можеше да започнеш с това:

Before any of those matter, Skype has to become network trustworthy in the business enterprise. Period.

Или с мнението за GPO в самия форум на Скайп, дето са конструктивни в критиките. Тогава вземи пример от там - видях пост, в който ясно, крато и точно беше казано "Company politics" и точка. Никой повече не коментира автора, защо, как сме, какъв е манипулатор и лъжец, как иска да загроби революционната технология... да, нямаше да ти влизам в тона, съжалявам.

Та така се оценяват GPO и Админгайда на Скайп:

They want to make it easier than ever for Skype to penetrate your network with port hopping, firewall evasion and undocumented, proprietary encryption Факт, точка. Ако искаш да оспориш - обърни се към Кен Камп. Искаш ли да го преведеш за широката публика?

Продължи с анализа на секюрити специалистите и моля, дай ми някакво мнение, не го подминавай и почвай пак с "каламбури, манипулации" че вече ми се повръща:

# IM clients use port crawling – the ability to exploit any open port on the firewall – so blocking the 'usual' port for the particular application doesn't work.

# Every IM network provider has its own unique set of IP addresses to which clients can connect. These IP addresses change frequently or at random without notice, so firewalls and proxies cannot apply blocking policies using the typical black list of IP addresses.

# IM protocols are proprietary and constantly evolving to deliver new and more advanced features to users; firewalls and proxies do not evolve at this pace, nor do IT organizations want to be constantly updating protocol signatures on the firewall.

# The synchronous nature of real-time connections is much different from the asynchronous web browsing and email traffic; firewalls and proxies were not designed to inspect and analyze real-time communication traffic, so network performance suffers

Всичките ми отговори към BG's и теб за т.нар. методи (а и че лъжа !!!) са казани доста отдавна от

However, while Skype might be a fun toy for home use, it may represent a definite threat to your enterprise security. Users attempting to make personal calls on company time or save a few bucks on their personal telephone bill might unwittingly jeopardize your data

Не, не съм го казал аз, ами Mike Chapple преди година и половина. Сигурно и той е манипулатор и болшевик, но между другото е

Mike Chapple, CISSP is an IT Security Professional with the University of Notre Dame. He previously served as an information security researcher with the National Security Agency and the U.S. Air Force. Mike is a frequent contributor to SearchSecurity, a technical editor for Information Security magazine and the author of several information security titles including the CISSP Prep Guide

Друг път обаче си спестявай коментарите за мрежите и какво са те, защото наистина не са ти ясни - ако цялата "магистрала" беше широко отворена, без никакви ограничения и правила, нямаше да има магистрала, ами разорана нива. NetNeutrality ме караш да го разбера като "network without gatekeeper". Ок, като преносна среда нямам против, но обичайно ограниченията се налагат от съвсем други ценности, като морал, човешки и фирмени интереси и т.н. Иначе детската порнография или обезглавяавнето на хора на живо биха били на първите страници, нали? А какво ще кажеш за мрежовите протоколи тогава, адресното пространство, рутирането...ама какво говоря, всичко тук са правила.

Всъщност, писва ми безкрайно да се обяснявам на някой си, влюбен ...сори, ангажиран документално с любимата си програма. Щеше да обясниш какво означава "Copy Right" на доброволния ти превод? Няма лошо, всеки се пазари за труда си, имаш право да си възнаграден - просто внеси светлина колко доброволно и колко безкористно е начинанието. Пък ще обясни и пламенните ти речи.

Чудя се вече защо ли си давам труда да ти отговарям - изключително безполезно е. Ти си добър болшевик.

Възможно ли е в такъв случай да чуя комента ти какво са направили за една година в управлението на програмата в мрежова среда (тези пък, какви термини използват manage Skype for Windows in a managed environment - не знаят ли, че не бива) след декларациите им тук от самият CSO Курт, който отговаря за сигурността на Скайп? Ако не противоречи на мирогледа и интересите ти, разбира се. Аз вече имам един коментар , но повярвай ми - хич не е ласкав:

Sorry Kurt, three strikes. You're out. Out of any network I manage. Count on it!

Listen up Kurt - Skype has made numerous efforts to shortcut enterprise controls and penetrate the corporate environment. If you really want to win in the business market, you need to address the enterprise concerns. I don't think you really do. I think Skype's making minimal efforts to ingratiate itself in the smaller business segment. I think Skype's dangerous. It will be forbidden by policy and by technology in any network I manage until Skype starts addressing real and tangible concerns...the ones they don't even acknowledge.

За методите за контрол ще пиша, но снощи си направих няколко теста - извода беше, че дори официалните методи за връзка са просто...официални, иначе ползваме още по-тайни и неизвести, та дори и ривърс инженеринга не помага! Ама това си е то Net Neutrality-то

Конструктивни мнения моля, не обсъждайте мирогледа ми - изкривен от години работа с компютри. Различавам само строги правила (черно/бяло) и алгоритми

Топере, тоя път си надминал дори себе си(!) с боламачите, които си писал. То бива, бива, ама твоето на нищо не прилича! Ще ти отговоря на всичко във вторник, че сега съм зает. Оказа се, че Скайп се спира едиинствено с прекъсване правата на потребителите за папката, в която се намира. Ще сложа екрани и всичко, ама към вторник. Дотогава ти прави редовно бродкаст със зоб на стоката, да не те изхвърлят от мястото на главен админ в корпорацията в кооперацията.

Редактирано 19 януари 200818 г. от BG's (преглед на промените)

Аз да попитам при какви условия става използването на собствените ти ресурси? Нагоре беше написано че трябва да стоиш 3 дни вписан и може да станеш нод и да прехвърляш трафика на другите. Или примерно да имаш интернет повече от . . . ?

Топере, тоя път си надминал дори себе си(!) с боламачите, които си писал. То бива, бива, ама твоето на нищо не прилича! Ще ти отговоря на всичко във вторник, че сега съм зает. Оказа се, че Скайп се спира едиинствено с прекъсване правата на потребителите за папката, в която се намира. Ще сложа екрани и всико, ама към вторник. Дотогава ти прави редовно бродкаст със зоб на стоката, да не те изхвърлят от мястото на главен админ в корпорацията в кооперацията.

"бУламачи"

Прекъсване на правата?? Това ще е интересно да се види. А на коя папка, ако не е тайна на младия хакер?

Другите ти бъртвежи не ги разбрах, сигурно си напушен.

Апропо - интересува ме админско решение, централно, за цялата мрежа, не за твоя комп.

Аз като не разбирам - направи си справка нагоре световни специалсти какво пишат.

Или млъкни, по-добре ще е - по спомени на очевдици не ми разказвай.

За тези, които ги интересува - намерил съм 4 признака, по които може да се идентифицира, че един компютър ползва Скайп. За съжаление дори дропване/реджект на оторизационния порт (33033) не води до никакъв резултат. Което само по себе си е много, много странен факт. Ще опитам да използвам IDS като Snort например, за да се предприемат действия, ако се открие активност от Скайп в мрежата.

М/у другото, някой да знае начин/метод/плъгин за IDS Snort, който да задейства iptables правило ? Ще съм благодарен, ако ми се спести малко търсене.

Редактирано 13 януари 200818 г. от Topper (преглед на промените)

Аз да попитам при какви условия става използването на собствените ти ресурси? Нагоре беше написано че трябва да стоиш 3 дни вписан и може да станеш нод и да прехвърляш трафика на другите. Или примерно да имаш интернет повече от . . . ?

От форума на Скайп:

*be a supernode. This requires that you have a fast internet connection (256kbit upstream or more), your firewall allows incoming TCP&UDP to the port you see (and could change) in Skype options, AND that you run Skype like that for days or weeks continuously without restarting. So if your firewall blocks incoming TCP or UDP part of the day, then your computer does not qualify. In any case, supernodes are elected on demand, and only those with fastest internet connections are elected -- so even if your computer does qualify, becoming a supernode is not guaranteed. A friend of mine tried a while ago, and didn't succeed smile.png This actually shows there is no shortage of supernodes in Skype. There is no option to voluntarily become a supernode, as it is best to leave the decision up to automatic network management algorithms.

* be a relay node. Calls and Instant Messages are sometimes relayed over random Skype nodes (in encrypted form, of course, so relay nodes can not eavesdrop). Again you need a fast internet connection, and your firewall must not block incoming TCP&UDP. As opposed to supernodes, there is no special "relay node" status, it's just that your services will be used by those in need when necessary

За времето, през което трябва да си на линия нищо не се казва. Но пък се споменава, че не доброволно се става супернод. А ако станеш рилей, няма как и да разбереш

М/у другото, някой да знае начин/метод/плъгин за IDS Snort, който да задейства iptables правило ? Ще съм благодарен, ако ми се спести малко търсене.

Търси IPS, не IDS в подобен случай

Да, по същество Snort с класифицира като NIPS и NIDS

Да, по същество Snort с класифицира като NIPS и NIDS

Добре, щом такава е класификацията

http://www.snort.org/archive-1-1191.html

http://www.chaotic.org/guardian/

П.П. малко ползване на търсещи машини не вреди

Благодаря за информацията, малко и е минала давността (през 2005 Скайп се блокираше дори само с proxy)

Сега ще пробвам SnortSAM

Благодаря за информацията, малко и е минала давността (през 2005 Скайп се блокираше дори само с proxy)

Сега ще пробвам SnortSAM

Помисли си и за тези:

http://www.tippingpoint.com/products_ips.html

http://www.cisco.com/en/US/products/ps6120...cd80404916.html

http://www.juniper.net/products_and_servic...eries_with_idp/