Sophos UTM 9 Astaro Socks 5 Proxy für Skype

by

Freigeben von Skype für User oder Usergruppen

Skype nutzt im Standard den erkannten Proxy (durch WPAD) des Netzwerkes und verbindet sich
gesichert über HTTPS mit einem Server. Das SSL Zertifikat dieser

Server ist aber nicht valid, weil kein FQDN genutzt wird, sondern nur https:// und die IP Adresse. Das Wildcard Zertifikat ist auf *.gateway.messanger.live.com ausgestellt und könnte mit passender DNS Auflösung und Nutzung  durchaus gültig sein. Da viele IP Adressen aus verschiedenen Netzwerken genutzt werden, fällt eine Expection im Webproxy des Sophos UTM aus.

Als Lösung des Problem bietet sich ein SOCKS 5 Proxy an, der allerdings auch risikobehaftet ist, weil viele Anwendungen diesen nutzen und automatisch erkennen. Über Skype zB ist auch File Transfer möglich, der Zugriff sollte also explizit für ausgewählte User erteilt werden können.

Hier einige IP Adressen, die Skype nutzt:
https://111.221.77.140
https://157.55.130.168
https://157.56.52.39
https://111.221.74.43
https://111.221.74.34
https://65.55.223.43
https://64.4.23.160
https://157.55.133.139
https://157.55.56.159
https://157.56.123.82
https://157.55.133.142
https://64.4.23.160
https://111.221.77.166
https://111.221.77.140
https://64.4.23.142
https://111.221.77.173
https://213.199.179.140
https://157.55.130.161
https://157.55.130.161
https://157.55.235.173
https://157.56.123.82
https://157.55.133.137

Die Meldung im Webproxy Livelog ist immer die Gleiche: error="Failed to verify server certificate"

Es gibt 3 Lösungen:
- SOCKS 5 Proxy mit User Authentifizierung
- SSL Certificate Trust Check und Certificate Date Check für IP Adressen ausstellen
- SSL Scanning ganz abstellen (nicht empfohlen)

.
.

SOCKS 5 Proxy

balken-oben
Folgende Konfiguration vorher durchführen:
DNS Sophos UTM 9 mit S2S VPN
Authentication Servers Active Directory SSO
balken-unten

.
.

Im AD eine Gruppe anlegen (UTM-Socks5) und diese in der Sophos UTM verknüpft hinterlegen
-> siehe Authentication Servers

.
.
Unter Network Protection > Advanced |SOCKS Proxy| den Proxy aktivieren und die User Authentication aktivieren

Socks5 Proxy Sophos UTM 9

 

.
.
Jetzt ist allen Usern die in der Gruppe 'UTM-Socks5' sind die Nutzung des Socks 5 Proxys möglich, der Proxy musst in Skype eingetragen werden:

 

Skype Optionen Socks5 Proxy Sophos UTM 9

Der Port ist 1080, eine Anmeldung ist notwendig.

Die Freigabe erfolgt also nicht explizit für Skype, sondern für den SOCKS 5 Proxy.

 

 

SSL Certificate Trust Check und Certificate Date Check für IP Adressen ausstellen

Unter Webprotection -> Web Filtering | Exceptions| eine "New exception list" anlegen und unter "HTTPS Scanning" folgende Ausnahmen wählen:
Authentication
SSL scanning
Certificate Trust Check
Certificate Date Check

unter 'Matching These URLs' diesen String eintragen:

^https://\d+\.\d+\.\d+\.\d+

 

Sie können mich im Skype-Chat kontaktieren, mein Username ist UTMFAQ.de .

 

Münster AD 2013

Leave a Reply