Skype рулит, я их фан. Я верю, что основателям проекта удасться выкупить его назад у eBay. Skype здорово шифрует трафик, предоставляя пользователям конфиденциальность общения. Его сетевая распределенная архитектура проста, надежна и не зависит от доступности какого-то определенного списка серверов.
Эти качества делают Skype бельмом в глазу "злых админов". Теоретически, Skype не вписывается ни в одну традиционную политику безопасности. О соотвествии всяческим стандартам и "лучшим" практикам не может быть и речи - DLP-решениям его трафик не прослушать, опционально передавать файлы и/или голос не запретить и т.д. Эта штука может просочиться через любые ограничения использования IM. Классический метод - работа через HTTP-прокси (который он способен обнаружить автоматически) по порту tcp/443. Серверов для добавления в черный список, как я уже сказал, тоже нет - все мастер-ноды не перечислить.
Во время посещения разнообразных тематических конференций, я имею обыкновение задавать инженерам на демо-стендах один вопрос: умеет ли ваше решение (UTM, DLP, IDS/IPS etc) блокировать Skype-трафик. Ответ у бизнеса всегда один: конечно же умеет. Но, как правило, после просьбы продемонстрировать этот функционал оказывается, что блокировка осуществляется при помощи, например, распознания в строке HTTP-агента регулярного выражения [s|S]kype, или еще какой-нибудь мега-аналитической фигни.
А на самом деле блокировку Skype можно организовать штатными средствами Squid. Для этого нужно объявить ACL при помощи регулярного выражения, описывающего IP-адрес, и запретить соотвествующий ей трафик.
acl Numeric_IPs dstdom_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
http_access deny CONNECT Numeric_IPs
Под условия ACL попадают любые соединения, осуществляемые клиентами на IP-адреса, а не доменные имена. Согласитесь, если вашим коллегам понадобится доступ к нумерическому URL, то вы об этом должны знать. Можете разрешить их правилами типа
acl Numeric_IPs_whitelist dst
acl Numeric_IPs_whitelist dst
...
acl Numeric_IPs_whitelist dst
acl Numeric_IPs_whitelist dst
...
acl Numeric_IPs_whitelist dst
http_access allow CONNECT Numeric_IPs_whitelist
Все остальные соединения типа CONNECT на нумерические адреса - это либо SSL-туннели, либо сессии Skype, либо еще какая ересь. Нерегламентированные соединения такого рода из нашей сети нам не нужны.