Skype в офисе: регламент вместо блокировки
Директор принёс Skype, через неделю им пользовалась половина офиса. Разобрались с P2P-трафиком, портами и шифрованием - и написали регламент вместо того, чтобы тупо закрыть.
Skype массово появляется в офисах - неконтролируемый P2P-трафик и вопросы безопасности
Всё началось с директора. Пришёл на работу, показал на ноутбуке: «Смотрите, только что говорил с партнёром из Германии. Бесплатно. Хочу так же с офисного компьютера». Skype он скачал дома, впечатлился, принёс идею в компанию.
К концу той же недели программу поставили ещё на восемь машин. Никто ни у кого не спрашивал разрешения - директор же одобрил, значит всё нормально.
Что нас насторожило
Мы узнали об этом не от директора, а от маршрутизатора. На firewall полезло что-то странное: исходящие соединения на нестандартные порты, трафик, который не вписывался в обычную картину - браузер, почта, 1С. Skype на тот момент работал по своей схеме: если стандартные порты (80 и 443) не пролезали, он пробовал любой доступный, вплоть до 1024+. А ещё умел работать как суперузел - то есть чужой трафик мог идти через машину в офисе, если Skype решал, что у неё хорошее соединение.
Это последнее нам не понравилось особенно. Офисный компьютер бухгалтера как транзитный узел для звонков неизвестно кого - звучит неприятно, даже если трафик и шифруется.
Второй момент - шифрование. Skype его использует, и это одновременно плюс и минус. Плюс - переговоры не перехватишь по дороге. Минус - наш прокси и контентные фильтры его не видят. Что именно передаётся, куда, какие файлы - непонятно. Для компании, у которой есть коммерческая тайна и рабочие документы, это вопрос не параноидальный, а вполне прикладной.
Почему мы не стали просто блокировать
Первый инстинкт был - закрыть и объяснить почему. Технически несложно: заблокировать процесс через GPO или через firewall. Но мы остановились и подумали.
Директор хочет звонить бесплатно в Германию. Это реальная потребность, а не каприз. Восемь человек уже пользуются - значит, им это тоже зачем-то нужно. Если просто заблокировать, получим конфликт: IT против людей, которые хотят работать удобнее. И через месяц кто-нибудь принесёт другую программу, или начнёт звонить с личного телефона, и мы вообще потеряем контроль над ситуацией.
Запрет без объяснений и альтернативы - это не управление, это капитуляция с видом победителя. Люди найдут обходной путь, а IT будет делать вид, что всё под контролем.
Мы выбрали другое.
Что разобрали технически
Несколько дней потратили на то, чтобы понять, как Skype работает на самом деле. Документации от самого Skype было мало - протокол закрытый. Но по поведению трафика и публичным обсуждениям картина сложилась.
Суперузел - это проблема. По умолчанию Skype может использовать машину как ретрансляцию для других пользователей. Это жрёт канал и создаёт ненужную нагрузку. Отключается через настройки - Connection -> Use port 80 and 443 as alternatives и ограничение режима суперузла через реестр.
Порты. Skype нормально работает через 80 и 443, если зафиксировать это в настройках. Значит, можно разрешить только эти порты для процесса и не открывать всё подряд. Через GPO это не сделать напрямую, но через firewall на уровне периметра - вполне рабочий вариант.
Передача файлов. Её решили запретить не потому что Skype плохой, а потому что есть свои процессы для передачи документов. Для внешних контрагентов - почта. Для внутренних - файловый сервер. Skype как канал передачи файлов никто не контролирует, и нас это устраивало меньше, чем звонки.
Шифрование. Оно есть, и это хорошо для переговоров. Минус принят как данность - мы не слушаем разговоры в офисе и в принципе не собираемся. Доверять сотрудникам по умолчанию - наша позиция, пока нет конкретного повода для обратного.
Регламент
Написали короткий документ - одна страница. Без лишних слов, только конкретика.
Что разрешено: звонки и видеозвонки через Skype с рабочего компьютера для общения с клиентами, партнёрами и коллегами на удалёнке. Программа устанавливается IT-отделом в стандартной конфигурации.
Что запрещено: передача рабочих документов, коммерческой информации и любых файлов через Skype. Для этого есть почта и файловый сервер.
Что сделал IT: зафиксировал порты (только 80 и 443), отключил режим суперузла через реестр - это применяется при установке. Брандмауэр на XP SP2 настроен так, чтобы Skype не лез на случайные порты.
Установка: только через IT, самостоятельная установка не приветствуется - чтобы конфигурация была одинаковая на всех машинах.
Версии: обновления только после проверки. Новая версия может изменить поведение, хочется это контролировать.
Регламент согласовали с директором за пятнадцать минут. Он был доволен - люди могут звонить, а не просто «нельзя». Мы тоже были довольны - понимаем что происходит в сети.
Что в итоге
Прошёл месяц. Skype работает, люди звонят, канал не перегружен. Суперузловое поведение в логах firewall больше не видно - конфигурация применилась нормально.
Главный вывод для нас: когда пользователи приносят что-то новое - это сигнал, что есть потребность. Задача IT не заблокировать потребность, а найти способ её удовлетворить без потери контроля. Иначе они сделают это без IT, и тогда контроля точно не будет.
Это не означает разрешать всё подряд. Но прежде чем сказать «нет» - стоит потратить время на «как сделать это нормально».
- SLA-договор на сопровождение: как мы его написали · 14 декабря 2004
- Windows XP SP2 и встроенный брандмауэр: что он закрыл и как открыть нужное · 25 января 2005