RE: [ml] ICQ e Skype

> Ho la necessità di bloccare l'uso dei programmi in oggetto.

> Putroppo non riesco a bloccare sul firewall (Watchguard) le porte
> utilizzate (viene impegnata anche la porta 80) 

esistono diversi firewall in commercio (ma anche se dico open source credo di
non sbagliare) che sono in grado di fare blocking di IM e RFC protocol
compliance, quindi ti permettono di NON bloccare la porta 80, ma assicurarti
che il traffico in transito sia effettivamente HTTP, e non altro.
 
> Quello che mi propone il fornitore del firewall e' l'acquisto di un
> modulo (IDS) per permettere il blocco del traffico 

solo una questione tassonomica: IDS = Intrusion Detection System. E va bene
che l'IDS si sta imbastardendo (nel senso positivo) anche a fare rilevamento
di traffico anomalo, ma se si parla di IDS, si parla di detection e poche
azioni correttive. A meno che non si parli di IPS = Intrusion
Prevention/Protection System, che, se correttamente imbastardito [ sempre nel
senso positivo :-) ] puó anche espletare azioni di blocco in tempo reale del
traffico. 

> tipo P2P.

per inciso, un'altra questione di terminologia. ho l'impressione che siamo piu
sull' IM che sul P2P. Questi due acronimi stanno guadagnando gli onori della
cronaca grazie alla loro diffusione ed alla conseguente diffusione dei
firewall in grado di trattarli (= bloccarli, riconoscerli, eccetera...)

> Vorrei sapere se qualcuno in lista ha adottato delle politiche
> particolari per evitare il "proliferare" in rete dei suddetti
> programmi.

approccio firewall: ti serve un firewall in grado di fare RFC protocol
compliance, evitando l'http tunneling

approccio DNS: puoi fare 'DNS poisoning' ammesso che tu gestisca il tuo DNS in
modo che gli indirizzi dei server che risolvono le autenticazioni ai servizi
siano rediretti a localhost

approccio DNS 'povero': se non gestisci il DNS puoi sondare la possibilitá di
distribuire dei file hosts che facciano il poisoning locale. 

approccio client: utilizzare soluzioni host based che (1) impediscano
all'applicazione skype.exe o icq.exe il colegamento verso l'esterno della
macchina. Ogni personal firewall gestito centralmente puo fare questo. 

approccio brutale: utilizzare un qualsiasi accrocchio che cancelli i files
indesiderati al login. il livello di brutalitá puo variare di livello: da un
semplice login script che cancella gli eseguibili dal disco, ad una soluzione
di desktop management che cancelli o inibisca questi eseguibili sull'hard
disk.

approccio windows: credo che con il policy manager di windows (o cmq si
chiami) si possa agire sul livello d'interazione che questi eseguibili possano
avere. Se gli utenti se li sono installati immagino questa strada non sia
percorribile. 

alcuni di questi approcci sono piu o meno bypassabili da un utente smaliziato,
ma forse c'e' qualche idea applicabile, e sicuramente ce ne sono altri.

Ciao
mm