Skype рулить, я їх фан. Я вірю, що засновникам проекту вдасться викупити його назад у eBay. Skype здорово шифрує трафік, надаючи користувачам конфіденційність спілкування. Його мережева розподілена архітектура проста, надійна і не залежить від доступності якогось певного списку серверів.
Ці якості роблять Skype більмом в оці "злих адмінів". Теоретично, Skype не вписується ні в одну традиційну політику безпеки. Про відповідності всіляким стандартам і "кращим" практикам не може бути й мови - DLP-рішень його трафік не прослухати, опціонально передавати файли і / або голос не заборонити і т.д. Ця штука може просочитися через будь-які обмеження використання IM. Класичний метод - робота через HTTP-проксі (який він здатний виявити автоматично) по порту tcp / 443. Серверів для додавання в чорний список, як я вже сказав, теж немає - все майстер-ноди не перелічити.
Під час відвідування різноманітних тематичних конференцій, я маю звичку ставити інженерам на демо-стендах одне питання: чи вміє ваше рішення (UTM, DLP, IDS / IPS etc) блокувати Skype-трафік. Відповідь у бізнесу завжди один: звичайно ж вміє. Але, як правило, після прохання продемонструвати цей функціонал виявляється, що блокування здійснюється за допомогою, наприклад, розпізнання в рядку HTTP-агента регулярного виразу [s | S] kype. або ще який-небудь мега-аналітичної фігні.
acl Numeric_IPs dstdom_regex ^ [0-9] +. [0-9] +. [0-9] +. [0-9] +
http_access deny CONNECT Numeric_IPs
acl Numeric_IPs_whitelist dst
acl Numeric_IPs_whitelist dst
.
acl Numeric_IPs_whitelist dst
http_access allow CONNECT Numeric_IPs_whitelist