O ile zablokowanie aplikacji Skype w Stormshield UTM jest zadaniem bardzo prostym o tyle przepuszczenie tej aplikacji w szczególności gdy  stosujemy restrykcyjną politykę bezpieczeństwa w tym wykorzystujemy mechanizm SSL PROXY sprawia problemy.

W artykule opisuję przykładowy sposób poradzenia sobie z zagadnieniem obsługi aplikacji Skype z wykorzystaniem DCSP. Wymagana jest modyfikacja ustawień na komputerach mających korzystać z aplikacji Skype.

Opisane rozwiązanie wymaga dokonania zmian na wszystkich komputerach które mają zainstalowaną aplikację Skype.

DCSP to w skrócie pole w nagłówku IP tzw. pole Differentiated Services (pole DS). DS składa się z sześciu bitów nagłówka IP formalnie znanego jako oktet TOS (ang. Type Of Service). DiffServ wykorzystuje bity ToS w celu przenoszenia informacji o aplikacji. W naszym przykładzie wykorzystamy to pole do przeniesienia do firewall-a informacje, że pakiety pochodzą z aplikacji Skype. W systemach Windows za obsługę tego pola odpowiada składnik Harmonogram pakietów QoS.:

Należy upewnić się, że składnik jest prawidłowo skonfigurowany lub dokonać korekty. Testowałem ustawienia w Windows 10 i Windows 7, w Windows 10 wpis w rejestrze był prawidłowy a w Windows 7 musiałem dokonać indywidualnego wpisu (dopisanie klucza QoS z nazwą Do not use NLA z wartością 1 w HCL\SYSTEM\CurretControlSet\services\Tcpip). Microsoft opisuje problem:

https://support.microsoft.com/en-au/help/2733528/policy-based-qos-not-working-in-windows-7-clients

Kolejnym krokiem jest ustawienie QoS dla aplikacji Skype.

Wywołujemy aplikację gpedit.msc i wybieramy:

Zasady Komputer lokalny \ Ustawienia systemu Windows \ Ustawienia QoS oparte na zasadach

Tworzymy dwie nowe zasady, jedną dla programu skype.exe i drugą dla programu SkypeBorowserHost.exe i ustawiamy dla nich wartość DSCP = 46:

Konfiguracja UTM

Przykładowa konfiguracja zapory:

żadne inne porty poza wykazanymi w powyższej konfiguracji nie są przepuszczane przez zaporę. Sygnatury IPS dla Skype są ustawione na pass. Certyfikat PROXY_SSL jest zainstalowany na komputerze.

Aplikacja Skype nie może zalogować użytkownika :

nie działa połączenie testowe:

Należy uzupełnić reguły o przepuszczenie ruchu oznakowanego z aplikacji Skype:

Grupa Uzytkownicy_Skype zawiera hosty które mają mieć możliwość korzystania z aplikacji Skype. Po aktywacji reguł Skype loguje użytkownika i można dokonywać połączeń: