Esta vez, me ha tocado bloquear el skype en una empresa… con el cisco asa, a diferencia del iptables, la inspección a nivel 7, es un poco limitada.
He iniciado el skype y veo que las conexiones son a varias ip’s y, no puedo bloquear todas, ya que iba haciendo y aparecían nuevas.
Lo más sencillo… he mirado los AS que tiene skype:
https://www.tcpiputils.com/search?q=skype
198015 Skype Communications Sarl LU 1 17 0
198097 Skype Communications Sarl LU 2 27 0
Con estos datos, miramos los rangos de ip’s de cada uno:
https://www.tcpiputils.com/browse/as/198015
https://www.tcpiputils.com/browse/as/198097
resumiendo…. hacemos una regla para aplicar en el interface inside del asa
object-group network redesSkype
network-object 91.190.216.0 255.255.255.0
network-object 91.190.217.0 255.255.255.0
network-object 91.190.218.0 255.255.255.0
network-object 91.190.219.0 255.255.255.0
network-object 91.190.220.0 255.255.255.0
access-list aplicarInside extended deny ip any object-group redesSkype
access-group aplicarInside in interface inside
Y con ésto, ya tenemos bloqueado el skype 😉