Skype <-> Stormshield

Opublikowany przez pawel w NETWORK, SECURITY IT, SSL PROXY

O ile zablokowanie aplikacji Skype w Stormshield UTM jest zadaniem bardzo prostym o tyle przepuszczenie tej aplikacji w szczególności gdy  stosujemy restrykcyjną politykę bezpieczeństwa w tym wykorzystujemy mechanizm SSL PROXY sprawia problemy.

W artykule opisuję przykładowy sposób poradzenia sobie z zagadnieniem obsługi aplikacji Skype z wykorzystaniem DCSP. Wymagana jest modyfikacja ustawień na komputerach mających korzystać z aplikacji Skype.

Opisane rozwiązanie wymaga dokonania zmian na wszystkich komputerach które mają zainstalowaną aplikację Skype.

DCSP to w skrócie pole w nagłówku IP tzw. pole Differentiated Services (pole DS). DS składa się z sześciu bitów nagłówka IP formalnie znanego jako oktet TOS (ang. Type Of Service). DiffServ wykorzystuje bity ToS w celu przenoszenia informacji o aplikacji. W naszym przykładzie wykorzystamy to pole do przeniesienia do firewall-a informacje, że pakiety pochodzą z aplikacji Skype. W systemach Windows za obsługę tego pola odpowiada składnik Harmonogram pakietów QoS.:

Zrzut ekranu 2017-07-10 o 10.09.34

Należy upewnić się, że składnik jest prawidłowo skonfigurowany lub dokonać korekty. Testowałem ustawienia w Windows 10 i Windows 7, w Windows 10 wpis w rejestrze był prawidłowy a w Windows 7 musiałem dokonać indywidualnego wpisu (dopisanie klucza QoS z nazwą Do not use NLA z wartością 1 w HCL\SYSTEM\CurretControlSet\services\Tcpip). Microsoft opisuje problem:

https://support.microsoft.com/en-au/help/2733528/policy-based-qos-not-working-in-windows-7-clients

Zrzut ekranu 2017-07-10 o 10.45.34

Kolejnym krokiem jest ustawienie QoS dla aplikacji Skype.

Wywołujemy aplikację gpedit.msc i wybieramy:

Zasady Komputer lokalny \ Ustawienia systemu Windows \ Ustawienia QoS oparte na zasadach

Tworzymy dwie nowe zasady, jedną dla programu skype.exe i drugą dla programu SkypeBorowserHost.exe i ustawiamy dla nich wartość DSCP = 46:

Zrzut ekranu 2017-07-10 o 15.52.05

Konfiguracja UTM

Przykładowa konfiguracja zapory:

Zrzut ekranu 2017-07-10 o 16.36.23

żadne inne porty poza wykazanymi w powyższej konfiguracji nie są przepuszczane przez zaporę. Sygnatury IPS dla Skype są ustawione na pass. Certyfikat PROXY_SSL jest zainstalowany na komputerze.

Zrzut ekranu 2017-07-10 o 20.32.03

Aplikacja Skype nie może zalogować użytkownika :

Zrzut ekranu 2017-07-10 o 09.03.09

nie działa połączenie testowe:

Zrzut ekranu 2017-07-10 o 09.02.52

Należy uzupełnić reguły o przepuszczenie ruchu oznakowanego z aplikacji Skype:

Zrzut ekranu 2017-07-10 o 16.47.50

Grupa Uzytkownicy_Skype zawiera hosty które mają mieć możliwość korzystania z aplikacji Skype. Po aktywacji reguł Skype loguje użytkownika i można dokonywać połączeń:

Zrzut ekranu 2017-07-10 o 16.47.31

Nie będę się upierał, że przedstawiony sposób to jedyne rozwiązanie, rozwiązanie optymalne, etc. Rozwiązanie jest skuteczne i jednocześnie stosunkowo proste do zaimplementowania co dla mnie jako wdrożeniowca jest istotne. Uważam również, że przy odpowiednim podejściu do tematu jest też rozwiązaniem stosunkowo bezpiecznym, ważne aby zadbać aby gpedit.msc nie mógł być użyty dla modyfikacji z poziomu użytkownika.

- Paweł Grzelewski

10 Lip 2017


Najnowszy firmware SNS: 3.2.1 (Release Note)
Najnowszy firmware SNSv2: 2.7.2 (Release Note)