SlideShare una empresa de Scribd logo

Skype manage on far 2007

Luca Lomi
Luca Lomi
Tecnología
1 de 12
Luca Lomi ICT Senior Consultant Motivazioni e metodi per bloccare il traffico Skype pag. 1 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant Riferimenti documento Description: Motivazioni e metodi per bloccare il traffico Skype File name: No skype.20070223.NC.doc Phase: [_] Bozza [_] Revisione [_] Definitiva [X] Emessa Document Version No: 1.0 Prepared By: Luca Lomi StartUp Date: 08/02/2007 Review Date: 14/03/2007 pag. 2 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant Indice 1. Cos’è Skype .............................................................................................4 2. Perché bloccare Skype ...............................................................................5 3. Perché skype è così elusivo? .......................................................................7 4. Problema e soluzione .................................................................................8 5. Soluzioni..................................................................................................9 5.1. SonicWALL’s UTM (Unified Thread Management) appliance .........................9 5.2. Lynanda .............................................................................................9 5.3. Cisco ..................................................................................................9 5.4. Verso Technologies............................................................................. 10 5.5. Skypekiller ........................................................................................ 10 5.6. Checkpoint InterSpect ........................................................................ 10 5.7. Packeteer PacketShaper ...................................................................... 10 5.8. Fortinet Fortigate ............................................................................... 10 6. Alternative a Skype ................................................................................. 11 6.1. Open source ...................................................................................... 11 6.2. Colsed source .................................................................................... 11 7. Fonti ..................................................................................................... 11 pag. 3 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant 1. Cos’è Skype Skype permette ai suoi utenti di utilizzare il pc con una connessione ad Internet per mettersi in comunicazione tra di loro in maniera gratuita. Sebbene questa condizione può costituire da sola un valido motivo per il suo utilizzo all’interno di reti aziendali, analizzando in maniera più approfondita la situazione che viene a costituirsi emergono implicazioni di rilevante importanza aziendale. SkypeTM è un’applicazione client multipiattaforma utilizzata per il Voice over IP (VoIP), chat, video ed altre forme di comunicazione, che si appoggia ad un network peer-to-peer (P2P) criptato veicolato sulla rete pubblica di Internet. Il codice dell’applicazione non è disponibile e non vi sono previsioni che lo diventi in futuro; fa pesante uso di tecniche di offuscamento del codice; il protocollo utilizzato è proprietario, criptato e non conforme agli standard come SIP, IAX ed H.323. Fondata dagli intraprendenti Niklas Zennstrom e Janus Friis, già fondatori dell’applicazione Kazaa, è stata acquistata da eBay il 14 Ottobre 2005 e compete con gli esistenti protocollo aperti per il Voip. La sua larga diffusione è dovuta alla sua semplicità d’utilizzo, benvenuta dagli utenti finali in quanto in netto contrasto con la tradizionale complessità del VoIP, al suo elevato livello di sicurezza, che tramite la crittografia RSA ed AES garantisce la riservatezza delle comunicazioni, ed alla sua versatilità, che gli permette di poter funzionare in ogni network anche in presenza di NAT, proxy, firewalls o IDS. Questo set di caratteristiche (semplicità di utilizzo, sicurezza e versatilità) e la sua conseguente diffusione tra gli utenti hanno pag. 4 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant fatto diventare Skype l’incubo di molte reti aziendali ed universitarie. Nello schema a fianco è rappresentata la topologia del network; si identificano: - gli ordinary host - i super node - server di login Skype - le interconnessioni. 2. Perché bloccare Skype Ci sono posti e situazioni dove Skype e così tante altre applicazioni P2P non sono ammissibili a causa dell’assenza di metodi di controllo e della tendenza ad occupare banda, a volte trascurabile per la singola connessione ma rilevante per connessioni multiple; queste due caratteristiche sono molto comuni alle applicazioni P2P. Uno dei problemi consiste nel fatto che Skype non possiede una unità di controllo centralizzata per i managers IT; l’utente ha quindi il pieno controllo dell’applicazione, piena e totale libertà, e tutto il mondo può connettersi ad esso. Inoltre non ci sono ragioni per le quali le conversazioni tra due client debbano essere inoltrate attraverso clients che non riguardano quella comunicazione: il sistema di connettività Peer- To-Peer utilizzato da Skype fa si che le comunicazioni tra due peer siano veicolate almeno attraverso un terzo; si ha così che le comunicazioni tra client installati nei pc dello stesso ufficio saranno instradate attraverso altri clients su Internet. Identifichiamo ora le principali caratteristiche di Skype che potrebbero motivare la scelta di bloccarne il traffico e quindi bloccare l’applicazione stessa: • il suo traffico non può essere facilmente tracciato pag. 5 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant • in Windows si installa senza diritti amministrativi • con una maggior dose di scaltrezza nessuno saprà mai della presenza di Skype nel pc, permettendo così di utilizzare risorse e tempo aziendali per qualsiasi altro scopo personale • permette di ricevere ed eseguire chiamate telefoniche e partecipare a chat e quindi di comunicare virtualmente con chiunque • si possono ricevere ed inviare files, nessuno lo saprà mai • numerosi IP esterni si connettono alla LAN/WAN aprendo così un mondo di opportunità Inoltre esistono alcune ragioni molto più legittime per le quali spesso si incontra la necessità di bloccare Skype: • Skype è disegnato per evadere i tentativi di tracing & auditing: molte entità sono soggette a regolamentazioni legali che richiedono la storicizzazione delle connessioni, norme che Skype è in grado di eludere. • Alcuni stati, es. Cina, hanno proibito l’uso di Skype: i sistemi per limitare le comunicazioni da e verso l’esterno dei propri territori decadono con l’utilizzo di Skype. • La licenza d’uso di Skype (http://www.skype.com/company/legal/eula/index.html) richiede che l’utente acconsenta di considerare il computer nel quale fa funzionare Skype come una risorsa della rete di Skype (Articolo 4 Permesso di utilizzo): questo normalmente viola le politiche di aziende e università. Possiamo infine concludere con l’osservazione che il client Skype viene presentato come un’applicazione priva di vulnerabilità sfruttabili per l’exploit e la compromissione dei sistemi all’interno di strutture informatiche considerate fino a quel momento sicure. E’ evidente che fino ad ora non c’è stata una rilevante casistica a riguardo ma ciò non garantisce che non si possa fare o che non accadrà in futuro. In una eventualità simile bisognerà ricordarsi che Skype è difficile da monitorare, filtrare e bloccare e che costituisce una difficoltà per gli amministratori di sistema in quanto opera proprio come una blackbox. pag. 6 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant 3. Perché skype è così elusivo? Skype costituisce l’archetipo di una nuova generazione di applicazione di rete molto aggressive ed in grado di adattarsi in funzione delle caratteristiche del network in cui si trovano al fine di raggiungere Internet sotto ogni condizione. Le sessioni Skype utilizzano un sistema di chiavi asimmetriche (RSA o varianti) per distribuire la chiave simmetrica a 256 bit impiegata dall’AES per criptare la sessione. La comunicazione utilizza una combinazione dinamica di porte TCP e UDP, incluse quelle generalmente aperte 80 e 443, rendendo così inefficaci i tradizionali sistemi di port filering. Skype utilizza sistemi proprietari di “NAT traversal” simili a STUN (Simple Traversal of UDP the NAT) e TRUN (Traversal Using Relay NAT), per assicurarsi che la comunicazione attraversi il network per giungere fino ad Internet e per determinare se il client può essere eletto per operare come “supernode” (unità hub). Si capisce quindi perché molti dei sistemi convenzionali (layer 3 e 4) non riescano a bloccare Skype: perché Skype è stato disegnato specificatamente per raggiungere Internet anche in condizioni particolarmente avverse; si può dire che è stato pensato con l’evasione in mente! Misure repressive molto severe normalmente non sono accettabili perché andrebbero a ledere anche le normali operazioni del network; per esempio permettere solo connessioni uscenti verso destinazioni conosciute, bloccare le porte incluse la 80 e 443, disabilitare destinazioni IP utilizzando il metodo CONNECT attraverso servers proxy. Anche bloccare le connessioni al login server di Skype risulterebbe inutile in quanto gli sviluppatori hanno inserito nel codice dell’eseguibile numerosi “supernode” in grado di essere utilizzati come tunnel garantendo così la connessione al login server. pag. 7 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant Esclusa la fase di avvio, l’applicazione lavora in modalità totalmente decentralizzata rendendo inutile qualsiasi soluzione basata sul blocco degli indirizzi IP. Molti servizi di intrusion-detection falliscono nell’identificare Skype o nel crearne una “firma”, senza considerare l’eccesso di falsi positivi, a causa dell’utilizzo della comunicazione intricata anche grazie alla crittografia. Quello appena delineato è uno scenario che normalmente non è accettabile da un’azienda o da un’ente; si è così sviluppato un mercato di prodotti e soluzioni con l’obiettivo di bloccare questo tipo di applicazioni. 4. Problema e soluzione Problema Cosa deve fare una compagnia quando le sue policy richiedono di bloccare Skype, un’applicazione virtualmente non rintracciabile e non facilmente bloccabile? Skype ed altri prodotti P2P sono una preoccupazione crescente per ISP e grandi organizzazioni. Soluzione Implementare un sistema rilevazione e blocco del protocollo utilizzato dall’applicazione in modo da renderla così inutilizzabile. Tale sistema dovrà possedere un efficiente sistema di riconoscimento delle comunicazioni Skype limitando al massimo i falsi positivi che potrebbero interrompere flussi dati non sospetti. pag. 8 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant 5. Soluzioni 5.1. SonicWALL’s UTM (Unified Thread Management) appliance E’ necessario un sistema che sorpassi le convenzionali limitazioni dei sistemi IDS basati su firme e che impieghi un motore di ricerca che distingua non solo singole firme ma sequenze delle stesse, anche apparentemente disgiunte, mescolate dentro al normale flusso di traffico. L’abilità di scoprire il traffico Skype è stata introdotta a partire dal SonicOS 3.1.0.5. http://www.sonicwall.com/it/ 5.2. Lynanda Lynanda Asynchronous Network Filter - Skype & P2P Lynanda fornisce software per gestire efficacemente il traffico di rete e permettere l’identificazione dei protocolli nei flussi di rete. Questo software è dedicato principalmente agli ISP per verificare e controllare il loro traffico sui link ad alta capacità. La soluzione non si basa sulle comuni pratiche di firewalling ma su tecniche di data-mining statistico; il processo si divide in due steps: un primo nel quale la soluzione impara quale traffico circola nella rete, un secondo nel quale il traffico interessato viene effettivamente trattato. Questa tecnologia necessita di una buona potenza di calcolo. Essendo una soluzione asincrona uno degli aspetti da tenere in considerazione è la latenza: può verificarsi è che l’utente potrebbe riuscire a fare una chiamata per pochi secondi prima che questa venga scoperta e bloccata. http://www.lynanda.com/products/software-for-corporations/traffic-filtering http://www.lynanda.com/various-news/lynanda-finds-a-way-to-block-skype/view http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer 5.3. Cisco Il riconoscimento del traffico Skype è possibile negli apparti Cisco a partire da IOS v. 12.4(4)T utilizzando policy di gestione del traffico. http://www.cisco.com pag. 9 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant 5.4. Verso Technologies NetSpective Internet Content Filter Solution NetPtective è una soluzione per filtrare Internet ed i suoi contenuti (content and web filtering). E’ una soluzione che include: • NetSpective WebFilter – Controlla l’accesso alle URL • NetSpective P2PFilter – Restringe accesso al P2P • Verso NetAuditor – Produce reports sull’attività Internet Soluzione piuttosto articolata, si basa su box proprietari. http://www.verso.com/products/netspective/index.asp 5.5. Skypekiller Applicazione windows non adatta ad ambiti aziendali estesi ma a piccoli uffici. http://www.skypekiller.com/ 5.6. Checkpoint InterSpect Utilizzanto InterSpect con il sistema SmartDefense si possono identificare e bloccare le applicazioni P2P icluso Skype. http://www.checkpoint.com/ http://www.checkpoint.com/defense/advisories/public/sdnews/2004/0204.html#2 5.7. Packeteer PacketShaper Permette di identificare il traffico P2P incluso Skype e di applicare politiche di Quality of Service o di bloccarlo completamente. http://www.packeteer.com/ 5.8. Fortinet Fortigate Soluzioni di sicurezza integrate, capace di identificare e bloccare traffico P2P e Skype. http://www.fortinet.com/ pag. 10 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant 6. Alternative a Skype 6.1. Open source • Coccinella • Ekiga • Kiax • PSI • Switchboard • Tapioca • WengoPhone 6.2. Colsed source • Gogole Talk • Gizmo Project • iCall • Jajah • Secure Shuttle Transport • SightSpeed • Parlino • Vbuzzer • VoipBuster • VoipStunt • Zfone • TipicIM • [ClosedTalk] • BT Communicator • Windows Live Messenger • ZoomCall Pro • Damaka - www.damaka.com 7. Fonti www.cisco.com www.lynanda.com www.verso.com www.sonicwall.com www.skypekiller.com www.wikipedia.org Siti dei produttori. pag. 11 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
Luca Lomi ICT Senior Consultant pag. 12 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com

Recomendados

OLUSEGUN LUKMAN OSO
OLUSEGUN LUKMAN OSOOLUSEGUN LUKMAN OSO
OLUSEGUN LUKMAN OSOOlusegun Oso
 
"Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir...
"Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir..."Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir...
"Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir...Associação Nacional de Jovens Empresários
 
OVER network monitor guida utente
OVER network monitor guida utenteOVER network monitor guida utente
OVER network monitor guida utenteLuca Lomi
 
мова
мовамова
моваMaryna Zaharova
 
joining process- unit 2 welding
joining process- unit 2 weldingjoining process- unit 2 welding
joining process- unit 2 weldingPravinkumar
 
Attain a state of perfect selflessness heart brokenly
Attain a state of perfect selflessness heart brokenlyAttain a state of perfect selflessness heart brokenly
Attain a state of perfect selflessness heart brokenlyTetsuro Susumu MANGA Office
 
recommendation_letter
recommendation_letterrecommendation_letter
recommendation_letterBethany Fleming
 
Mapa mental-2
Mapa mental-2Mapa mental-2
Mapa mental-2cchnaucalpanquimica163
 

Recomendados

OLUSEGUN LUKMAN OSO
OLUSEGUN LUKMAN OSOOLUSEGUN LUKMAN OSO
OLUSEGUN LUKMAN OSOOlusegun Oso
 
"Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir...
"Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir..."Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir...
"Como melhorar a performance da minha equipa, em plena crise" - Pedro Pinheir...Associação Nacional de Jovens Empresários
 
OVER network monitor guida utente
OVER network monitor guida utenteOVER network monitor guida utente
OVER network monitor guida utenteLuca Lomi
 
мова
мовамова
моваMaryna Zaharova
 
joining process- unit 2 welding
joining process- unit 2 weldingjoining process- unit 2 welding
joining process- unit 2 weldingPravinkumar
 
Attain a state of perfect selflessness heart brokenly
Attain a state of perfect selflessness heart brokenlyAttain a state of perfect selflessness heart brokenly
Attain a state of perfect selflessness heart brokenlyTetsuro Susumu MANGA Office
 
recommendation_letter
recommendation_letterrecommendation_letter
recommendation_letterBethany Fleming
 
Mapa mental-2
Mapa mental-2Mapa mental-2
Mapa mental-2cchnaucalpanquimica163
 
Piccola guida alle reti per le aziende
Piccola guida alle reti per le aziendePiccola guida alle reti per le aziende
Piccola guida alle reti per le aziendeAurora Network Srl
 
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...Barbieri & Associati Dottori Commercialisti - Bologna
 
Cloud Computing PA
Cloud Computing PACloud Computing PA
Cloud Computing PAGianni Dominici
 
Corso geometri completo 2 ottobre
Corso geometri completo 2 ottobreCorso geometri completo 2 ottobre
Corso geometri completo 2 ottobreCloudea s.r.l.
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 
Presentazione2010
Presentazione2010Presentazione2010
Presentazione2010MCT Europe
 
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Pierluigi Conti
 
Sicurezza - VoIP
Sicurezza - VoIPSicurezza - VoIP
Sicurezza - VoIPAntonioTringali
 
CV_GiacomoCapizzi_08_2016
CV_GiacomoCapizzi_08_2016CV_GiacomoCapizzi_08_2016
CV_GiacomoCapizzi_08_2016Giacomo Capizzi
 
Flash Platform and VOIP
Flash Platform and VOIPFlash Platform and VOIP
Flash Platform and VOIPIWA
 
Brochure qsa
Brochure qsaBrochure qsa
Brochure qsaPellegrino Albanese
 
Evento 5 dicembre v1
Evento 5 dicembre v1Evento 5 dicembre v1
Evento 5 dicembre v1Cloudea s.r.l.
 
CCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITCCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITwalk2talk srl
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)SMAU
 
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenzaRAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenzaBTO Educational
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Training Office
Training OfficeTraining Office
Training OfficeWICE
 
Social Network: come rispettare la legge
Social Network: come rispettare la leggeSocial Network: come rispettare la legge
Social Network: come rispettare la leggeGiovanni Maria Riccio
 
Filippi convegno 23 settembre
Filippi convegno 23 settembreFilippi convegno 23 settembre
Filippi convegno 23 settembreCloudea s.r.l.
 
Casi d'uso Apache Syncope
Casi d'uso Apache SyncopeCasi d'uso Apache Syncope
Casi d'uso Apache SyncopeFabio De Luca
 
DPI Note varie
DPI Note varieDPI Note varie
DPI Note varieLuca Lomi
 
NNM 7 to NNM 8
NNM 7 to NNM 8 NNM 7 to NNM 8
NNM 7 to NNM 8 Luca Lomi
 

Más contenido relacionado

Similar a Skype manage on far 2007

Piccola guida alle reti per le aziende
Piccola guida alle reti per le aziendePiccola guida alle reti per le aziende
Piccola guida alle reti per le aziendeAurora Network Srl
 
Corso geometri completo 2 ottobre
Corso geometri completo 2 ottobreCorso geometri completo 2 ottobre
Corso geometri completo 2 ottobreCloudea s.r.l.
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 
Presentazione2010
Presentazione2010Presentazione2010
Presentazione2010MCT Europe
 
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Pierluigi Conti
 
CV_GiacomoCapizzi_08_2016
CV_GiacomoCapizzi_08_2016CV_GiacomoCapizzi_08_2016
CV_GiacomoCapizzi_08_2016Giacomo Capizzi
 
Flash Platform and VOIP
Flash Platform and VOIPFlash Platform and VOIP
Flash Platform and VOIPIWA
 
CCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITCCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITwalk2talk srl
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)SMAU
 
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenzaRAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenzaBTO Educational
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Training Office
Training OfficeTraining Office
Training OfficeWICE
 
Social Network: come rispettare la legge
Social Network: come rispettare la leggeSocial Network: come rispettare la legge
Social Network: come rispettare la leggeGiovanni Maria Riccio
 
Filippi convegno 23 settembre
Filippi convegno 23 settembreFilippi convegno 23 settembre
Filippi convegno 23 settembreCloudea s.r.l.
 
Casi d'uso Apache Syncope
Casi d'uso Apache SyncopeCasi d'uso Apache Syncope
Casi d'uso Apache SyncopeFabio De Luca
 

Similar a Skype manage on far 2007 (20)

Piccola guida alle reti per le aziende
Piccola guida alle reti per le aziendePiccola guida alle reti per le aziende
Piccola guida alle reti per le aziende
 
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
 
Cloud Computing PA
Cloud Computing PACloud Computing PA
Cloud Computing PA
 
Corso geometri completo 2 ottobre
Corso geometri completo 2 ottobreCorso geometri completo 2 ottobre
Corso geometri completo 2 ottobre
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
 
Presentazione2010
Presentazione2010Presentazione2010
Presentazione2010
 
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
 
Sicurezza - VoIP
Sicurezza - VoIPSicurezza - VoIP
Sicurezza - VoIP
 
CV_GiacomoCapizzi_08_2016
CV_GiacomoCapizzi_08_2016CV_GiacomoCapizzi_08_2016
CV_GiacomoCapizzi_08_2016
 
Flash Platform and VOIP
Flash Platform and VOIPFlash Platform and VOIP
Flash Platform and VOIP
 
Brochure qsa
Brochure qsaBrochure qsa
Brochure qsa
 
Evento 5 dicembre v1
Evento 5 dicembre v1Evento 5 dicembre v1
Evento 5 dicembre v1
 
CCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow ITCCI2019 - Teams e lo Shadow IT
CCI2019 - Teams e lo Shadow IT
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)
 
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenzaRAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
RAPPORTO 2009 - Toscana, la società dell’informazione e della conoscenza
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Training Office
Training OfficeTraining Office
Training Office
 
Social Network: come rispettare la legge
Social Network: come rispettare la leggeSocial Network: come rispettare la legge
Social Network: come rispettare la legge
 
Filippi convegno 23 settembre
Filippi convegno 23 settembreFilippi convegno 23 settembre
Filippi convegno 23 settembre
 
Casi d'uso Apache Syncope
Casi d'uso Apache SyncopeCasi d'uso Apache Syncope
Casi d'uso Apache Syncope
 

Más de Luca Lomi

DPI Note varie
DPI Note varieDPI Note varie
DPI Note varieLuca Lomi
 
NNM 7 to NNM 8
NNM 7 to NNM 8 NNM 7 to NNM 8
NNM 7 to NNM 8 Luca Lomi
 
HP NNMi & SM - Accesso alla soluzione
HP NNMi & SM - Accesso alla soluzioneHP NNMi & SM - Accesso alla soluzione
HP NNMi & SM - Accesso alla soluzioneLuca Lomi
 
NNM to NNMi Migration
NNM to NNMi MigrationNNM to NNMi Migration
NNM to NNMi MigrationLuca Lomi
 
DPI overview
DPI overviewDPI overview
DPI overviewLuca Lomi
 
Hel desk overview
Hel desk overviewHel desk overview
Hel desk overviewLuca Lomi
 
HP NNMi Accesso ed iSPI
HP NNMi Accesso ed iSPIHP NNMi Accesso ed iSPI
HP NNMi Accesso ed iSPILuca Lomi
 
HP NNMi iSPI Metrics Vs CACTI
HP NNMi iSPI Metrics Vs CACTIHP NNMi iSPI Metrics Vs CACTI
HP NNMi iSPI Metrics Vs CACTILuca Lomi
 
Overview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosOverview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosLuca Lomi
 
Monitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkMonitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkLuca Lomi
 
Deep Packet Inspection - Regione del Veneto
Deep Packet Inspection - Regione del VenetoDeep Packet Inspection - Regione del Veneto
Deep Packet Inspection - Regione del VenetoLuca Lomi
 
Formazione operatore CSC RVE public
Formazione operatore CSC RVE publicFormazione operatore CSC RVE public
Formazione operatore CSC RVE publicLuca Lomi
 

Más de Luca Lomi (12)

DPI Note varie
DPI Note varieDPI Note varie
DPI Note varie
 
NNM 7 to NNM 8
NNM 7 to NNM 8 NNM 7 to NNM 8
NNM 7 to NNM 8
 
HP NNMi & SM - Accesso alla soluzione
HP NNMi & SM - Accesso alla soluzioneHP NNMi & SM - Accesso alla soluzione
HP NNMi & SM - Accesso alla soluzione
 
NNM to NNMi Migration
NNM to NNMi MigrationNNM to NNMi Migration
NNM to NNMi Migration
 
DPI overview
DPI overviewDPI overview
DPI overview
 
Hel desk overview
Hel desk overviewHel desk overview
Hel desk overview
 
HP NNMi Accesso ed iSPI
HP NNMi Accesso ed iSPIHP NNMi Accesso ed iSPI
HP NNMi Accesso ed iSPI
 
HP NNMi iSPI Metrics Vs CACTI
HP NNMi iSPI Metrics Vs CACTIHP NNMi iSPI Metrics Vs CACTI
HP NNMi iSPI Metrics Vs CACTI
 
Overview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosOverview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite Nagios
 
Monitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkMonitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetwork
 
Deep Packet Inspection - Regione del Veneto
Deep Packet Inspection - Regione del VenetoDeep Packet Inspection - Regione del Veneto
Deep Packet Inspection - Regione del Veneto
 
Formazione operatore CSC RVE public
Formazione operatore CSC RVE publicFormazione operatore CSC RVE public
Formazione operatore CSC RVE public
 

Último

Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoQuotidiano Piemontese
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 

Último (9)

Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 Torino
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 

Skype manage on far 2007

  • 1. Luca Lomi ICT Senior Consultant Motivazioni e metodi per bloccare il traffico Skype pag. 1 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 2. Luca Lomi ICT Senior Consultant Riferimenti documento Description: Motivazioni e metodi per bloccare il traffico Skype File name: No skype.20070223.NC.doc Phase: [_] Bozza [_] Revisione [_] Definitiva [X] Emessa Document Version No: 1.0 Prepared By: Luca Lomi StartUp Date: 08/02/2007 Review Date: 14/03/2007 pag. 2 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 3. Luca Lomi ICT Senior Consultant Indice 1. Cos’è Skype .............................................................................................4 2. Perché bloccare Skype ...............................................................................5 3. Perché skype è così elusivo? .......................................................................7 4. Problema e soluzione .................................................................................8 5. Soluzioni..................................................................................................9 5.1. SonicWALL’s UTM (Unified Thread Management) appliance .........................9 5.2. Lynanda .............................................................................................9 5.3. Cisco ..................................................................................................9 5.4. Verso Technologies............................................................................. 10 5.5. Skypekiller ........................................................................................ 10 5.6. Checkpoint InterSpect ........................................................................ 10 5.7. Packeteer PacketShaper ...................................................................... 10 5.8. Fortinet Fortigate ............................................................................... 10 6. Alternative a Skype ................................................................................. 11 6.1. Open source ...................................................................................... 11 6.2. Colsed source .................................................................................... 11 7. Fonti ..................................................................................................... 11 pag. 3 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 4. Luca Lomi ICT Senior Consultant 1. Cos’è Skype Skype permette ai suoi utenti di utilizzare il pc con una connessione ad Internet per mettersi in comunicazione tra di loro in maniera gratuita. Sebbene questa condizione può costituire da sola un valido motivo per il suo utilizzo all’interno di reti aziendali, analizzando in maniera più approfondita la situazione che viene a costituirsi emergono implicazioni di rilevante importanza aziendale. SkypeTM è un’applicazione client multipiattaforma utilizzata per il Voice over IP (VoIP), chat, video ed altre forme di comunicazione, che si appoggia ad un network peer-to-peer (P2P) criptato veicolato sulla rete pubblica di Internet. Il codice dell’applicazione non è disponibile e non vi sono previsioni che lo diventi in futuro; fa pesante uso di tecniche di offuscamento del codice; il protocollo utilizzato è proprietario, criptato e non conforme agli standard come SIP, IAX ed H.323. Fondata dagli intraprendenti Niklas Zennstrom e Janus Friis, già fondatori dell’applicazione Kazaa, è stata acquistata da eBay il 14 Ottobre 2005 e compete con gli esistenti protocollo aperti per il Voip. La sua larga diffusione è dovuta alla sua semplicità d’utilizzo, benvenuta dagli utenti finali in quanto in netto contrasto con la tradizionale complessità del VoIP, al suo elevato livello di sicurezza, che tramite la crittografia RSA ed AES garantisce la riservatezza delle comunicazioni, ed alla sua versatilità, che gli permette di poter funzionare in ogni network anche in presenza di NAT, proxy, firewalls o IDS. Questo set di caratteristiche (semplicità di utilizzo, sicurezza e versatilità) e la sua conseguente diffusione tra gli utenti hanno pag. 4 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 5. Luca Lomi ICT Senior Consultant fatto diventare Skype l’incubo di molte reti aziendali ed universitarie. Nello schema a fianco è rappresentata la topologia del network; si identificano: - gli ordinary host - i super node - server di login Skype - le interconnessioni. 2. Perché bloccare Skype Ci sono posti e situazioni dove Skype e così tante altre applicazioni P2P non sono ammissibili a causa dell’assenza di metodi di controllo e della tendenza ad occupare banda, a volte trascurabile per la singola connessione ma rilevante per connessioni multiple; queste due caratteristiche sono molto comuni alle applicazioni P2P. Uno dei problemi consiste nel fatto che Skype non possiede una unità di controllo centralizzata per i managers IT; l’utente ha quindi il pieno controllo dell’applicazione, piena e totale libertà, e tutto il mondo può connettersi ad esso. Inoltre non ci sono ragioni per le quali le conversazioni tra due client debbano essere inoltrate attraverso clients che non riguardano quella comunicazione: il sistema di connettività Peer- To-Peer utilizzato da Skype fa si che le comunicazioni tra due peer siano veicolate almeno attraverso un terzo; si ha così che le comunicazioni tra client installati nei pc dello stesso ufficio saranno instradate attraverso altri clients su Internet. Identifichiamo ora le principali caratteristiche di Skype che potrebbero motivare la scelta di bloccarne il traffico e quindi bloccare l’applicazione stessa: • il suo traffico non può essere facilmente tracciato pag. 5 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 6. Luca Lomi ICT Senior Consultant • in Windows si installa senza diritti amministrativi • con una maggior dose di scaltrezza nessuno saprà mai della presenza di Skype nel pc, permettendo così di utilizzare risorse e tempo aziendali per qualsiasi altro scopo personale • permette di ricevere ed eseguire chiamate telefoniche e partecipare a chat e quindi di comunicare virtualmente con chiunque • si possono ricevere ed inviare files, nessuno lo saprà mai • numerosi IP esterni si connettono alla LAN/WAN aprendo così un mondo di opportunità Inoltre esistono alcune ragioni molto più legittime per le quali spesso si incontra la necessità di bloccare Skype: • Skype è disegnato per evadere i tentativi di tracing & auditing: molte entità sono soggette a regolamentazioni legali che richiedono la storicizzazione delle connessioni, norme che Skype è in grado di eludere. • Alcuni stati, es. Cina, hanno proibito l’uso di Skype: i sistemi per limitare le comunicazioni da e verso l’esterno dei propri territori decadono con l’utilizzo di Skype. • La licenza d’uso di Skype (http://www.skype.com/company/legal/eula/index.html) richiede che l’utente acconsenta di considerare il computer nel quale fa funzionare Skype come una risorsa della rete di Skype (Articolo 4 Permesso di utilizzo): questo normalmente viola le politiche di aziende e università. Possiamo infine concludere con l’osservazione che il client Skype viene presentato come un’applicazione priva di vulnerabilità sfruttabili per l’exploit e la compromissione dei sistemi all’interno di strutture informatiche considerate fino a quel momento sicure. E’ evidente che fino ad ora non c’è stata una rilevante casistica a riguardo ma ciò non garantisce che non si possa fare o che non accadrà in futuro. In una eventualità simile bisognerà ricordarsi che Skype è difficile da monitorare, filtrare e bloccare e che costituisce una difficoltà per gli amministratori di sistema in quanto opera proprio come una blackbox. pag. 6 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 7. Luca Lomi ICT Senior Consultant 3. Perché skype è così elusivo? Skype costituisce l’archetipo di una nuova generazione di applicazione di rete molto aggressive ed in grado di adattarsi in funzione delle caratteristiche del network in cui si trovano al fine di raggiungere Internet sotto ogni condizione. Le sessioni Skype utilizzano un sistema di chiavi asimmetriche (RSA o varianti) per distribuire la chiave simmetrica a 256 bit impiegata dall’AES per criptare la sessione. La comunicazione utilizza una combinazione dinamica di porte TCP e UDP, incluse quelle generalmente aperte 80 e 443, rendendo così inefficaci i tradizionali sistemi di port filering. Skype utilizza sistemi proprietari di “NAT traversal” simili a STUN (Simple Traversal of UDP the NAT) e TRUN (Traversal Using Relay NAT), per assicurarsi che la comunicazione attraversi il network per giungere fino ad Internet e per determinare se il client può essere eletto per operare come “supernode” (unità hub). Si capisce quindi perché molti dei sistemi convenzionali (layer 3 e 4) non riescano a bloccare Skype: perché Skype è stato disegnato specificatamente per raggiungere Internet anche in condizioni particolarmente avverse; si può dire che è stato pensato con l’evasione in mente! Misure repressive molto severe normalmente non sono accettabili perché andrebbero a ledere anche le normali operazioni del network; per esempio permettere solo connessioni uscenti verso destinazioni conosciute, bloccare le porte incluse la 80 e 443, disabilitare destinazioni IP utilizzando il metodo CONNECT attraverso servers proxy. Anche bloccare le connessioni al login server di Skype risulterebbe inutile in quanto gli sviluppatori hanno inserito nel codice dell’eseguibile numerosi “supernode” in grado di essere utilizzati come tunnel garantendo così la connessione al login server. pag. 7 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 8. Luca Lomi ICT Senior Consultant Esclusa la fase di avvio, l’applicazione lavora in modalità totalmente decentralizzata rendendo inutile qualsiasi soluzione basata sul blocco degli indirizzi IP. Molti servizi di intrusion-detection falliscono nell’identificare Skype o nel crearne una “firma”, senza considerare l’eccesso di falsi positivi, a causa dell’utilizzo della comunicazione intricata anche grazie alla crittografia. Quello appena delineato è uno scenario che normalmente non è accettabile da un’azienda o da un’ente; si è così sviluppato un mercato di prodotti e soluzioni con l’obiettivo di bloccare questo tipo di applicazioni. 4. Problema e soluzione Problema Cosa deve fare una compagnia quando le sue policy richiedono di bloccare Skype, un’applicazione virtualmente non rintracciabile e non facilmente bloccabile? Skype ed altri prodotti P2P sono una preoccupazione crescente per ISP e grandi organizzazioni. Soluzione Implementare un sistema rilevazione e blocco del protocollo utilizzato dall’applicazione in modo da renderla così inutilizzabile. Tale sistema dovrà possedere un efficiente sistema di riconoscimento delle comunicazioni Skype limitando al massimo i falsi positivi che potrebbero interrompere flussi dati non sospetti. pag. 8 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 9. Luca Lomi ICT Senior Consultant 5. Soluzioni 5.1. SonicWALL’s UTM (Unified Thread Management) appliance E’ necessario un sistema che sorpassi le convenzionali limitazioni dei sistemi IDS basati su firme e che impieghi un motore di ricerca che distingua non solo singole firme ma sequenze delle stesse, anche apparentemente disgiunte, mescolate dentro al normale flusso di traffico. L’abilità di scoprire il traffico Skype è stata introdotta a partire dal SonicOS 3.1.0.5. http://www.sonicwall.com/it/ 5.2. Lynanda Lynanda Asynchronous Network Filter - Skype & P2P Lynanda fornisce software per gestire efficacemente il traffico di rete e permettere l’identificazione dei protocolli nei flussi di rete. Questo software è dedicato principalmente agli ISP per verificare e controllare il loro traffico sui link ad alta capacità. La soluzione non si basa sulle comuni pratiche di firewalling ma su tecniche di data-mining statistico; il processo si divide in due steps: un primo nel quale la soluzione impara quale traffico circola nella rete, un secondo nel quale il traffico interessato viene effettivamente trattato. Questa tecnologia necessita di una buona potenza di calcolo. Essendo una soluzione asincrona uno degli aspetti da tenere in considerazione è la latenza: può verificarsi è che l’utente potrebbe riuscire a fare una chiamata per pochi secondi prima che questa venga scoperta e bloccata. http://www.lynanda.com/products/software-for-corporations/traffic-filtering http://www.lynanda.com/various-news/lynanda-finds-a-way-to-block-skype/view http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer 5.3. Cisco Il riconoscimento del traffico Skype è possibile negli apparti Cisco a partire da IOS v. 12.4(4)T utilizzando policy di gestione del traffico. http://www.cisco.com pag. 9 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 10. Luca Lomi ICT Senior Consultant 5.4. Verso Technologies NetSpective Internet Content Filter Solution NetPtective è una soluzione per filtrare Internet ed i suoi contenuti (content and web filtering). E’ una soluzione che include: • NetSpective WebFilter – Controlla l’accesso alle URL • NetSpective P2PFilter – Restringe accesso al P2P • Verso NetAuditor – Produce reports sull’attività Internet Soluzione piuttosto articolata, si basa su box proprietari. http://www.verso.com/products/netspective/index.asp 5.5. Skypekiller Applicazione windows non adatta ad ambiti aziendali estesi ma a piccoli uffici. http://www.skypekiller.com/ 5.6. Checkpoint InterSpect Utilizzanto InterSpect con il sistema SmartDefense si possono identificare e bloccare le applicazioni P2P icluso Skype. http://www.checkpoint.com/ http://www.checkpoint.com/defense/advisories/public/sdnews/2004/0204.html#2 5.7. Packeteer PacketShaper Permette di identificare il traffico P2P incluso Skype e di applicare politiche di Quality of Service o di bloccarlo completamente. http://www.packeteer.com/ 5.8. Fortinet Fortigate Soluzioni di sicurezza integrate, capace di identificare e bloccare traffico P2P e Skype. http://www.fortinet.com/ pag. 10 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 11. Luca Lomi ICT Senior Consultant 6. Alternative a Skype 6.1. Open source • Coccinella • Ekiga • Kiax • PSI • Switchboard • Tapioca • WengoPhone 6.2. Colsed source • Gogole Talk • Gizmo Project • iCall • Jajah • Secure Shuttle Transport • SightSpeed • Parlino • Vbuzzer • VoipBuster • VoipStunt • Zfone • TipicIM • [ClosedTalk] • BT Communicator • Windows Live Messenger • ZoomCall Pro • Damaka - www.damaka.com 7. Fonti www.cisco.com www.lynanda.com www.verso.com www.sonicwall.com www.skypekiller.com www.wikipedia.org Siti dei produttori. pag. 11 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  • 12. Luca Lomi ICT Senior Consultant pag. 12 di 12 L u c a L o m i - I C T S e n i o r C o n s u l t a n t via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275 phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com