Freigeben von Skype für User oder Usergruppen
Skype nutzt im Standard den erkannten Proxy (durch WPAD) des Netzwerkes und verbindet sich
gesichert über HTTPS mit einem Server. Das SSL Zertifikat dieser
Server ist aber nicht valid, weil kein FQDN genutzt wird, sondern nur https:// und die IP Adresse. Das Wildcard Zertifikat ist auf *.gateway.messanger.live.com ausgestellt und könnte mit passender DNS Auflösung und Nutzung durchaus gültig sein. Da viele IP Adressen aus verschiedenen Netzwerken genutzt werden, fällt eine Expection im Webproxy des Sophos UTM aus.
Als Lösung des Problem bietet sich ein SOCKS 5 Proxy an, der allerdings auch risikobehaftet ist, weil viele Anwendungen diesen nutzen und automatisch erkennen. Über Skype zB ist auch File Transfer möglich, der Zugriff sollte also explizit für ausgewählte User erteilt werden können.
Hier einige IP Adressen, die Skype nutzt:
https://111.221.77.140
https://157.55.130.168
https://157.56.52.39
https://111.221.74.43
https://111.221.74.34
https://65.55.223.43
https://64.4.23.160
https://157.55.133.139
https://157.55.56.159
https://157.56.123.82
https://157.55.133.142
https://64.4.23.160
https://111.221.77.166
https://111.221.77.140
https://64.4.23.142
https://111.221.77.173
https://213.199.179.140
https://157.55.130.161
https://157.55.130.161
https://157.55.235.173
https://157.56.123.82
https://157.55.133.137
Die Meldung im Webproxy Livelog ist immer die Gleiche: error="Failed to verify server certificate"
Es gibt 3 Lösungen:
- SOCKS 5 Proxy mit User Authentifizierung
- SSL Certificate Trust Check und Certificate Date Check für IP Adressen ausstellen
- SSL Scanning ganz abstellen (nicht empfohlen)
.
.
SOCKS 5 Proxy
Folgende Konfiguration vorher durchführen:
DNS Sophos UTM 9 mit S2S VPN
Authentication Servers Active Directory SSO
.
.
Im AD eine Gruppe anlegen (UTM-Socks5) und diese in der Sophos UTM verknüpft hinterlegen
-> siehe Authentication Servers
.
.
Unter Network Protection > Advanced |SOCKS Proxy| den Proxy aktivieren und die User Authentication aktivieren
.
.
Jetzt ist allen Usern die in der Gruppe 'UTM-Socks5' sind die Nutzung des Socks 5 Proxys möglich, der Proxy musst in Skype eingetragen werden:
Der Port ist 1080, eine Anmeldung ist notwendig.
Die Freigabe erfolgt also nicht explizit für Skype, sondern für den SOCKS 5 Proxy.
SSL Certificate Trust Check und Certificate Date Check für IP Adressen ausstellen
Unter Webprotection -> Web Filtering | Exceptions| eine "New exception list" anlegen und unter "HTTPS Scanning" folgende Ausnahmen wählen:
Authentication
SSL scanning
Certificate Trust Check
Certificate Date Check
unter 'Matching These URLs' diesen String eintragen:
^https://\d+\.\d+\.\d+\.\d+
Sie können mich im Skype-Chat kontaktieren, mein Username ist UTMFAQ.de .
Münster AD 2013