Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Skype manage on far 2007
1. Luca Lomi
ICT Senior Consultant
Motivazioni e metodi per bloccare il traffico Skype
pag. 1 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
2. Luca Lomi
ICT Senior Consultant
Riferimenti documento
Description: Motivazioni e metodi per bloccare il traffico Skype
File name: No skype.20070223.NC.doc
Phase: [_] Bozza [_] Revisione [_] Definitiva [X] Emessa
Document Version No: 1.0
Prepared By: Luca Lomi
StartUp Date: 08/02/2007
Review Date: 14/03/2007
pag. 2 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
3. Luca Lomi
ICT Senior Consultant
Indice
1. Cos’è Skype .............................................................................................4
2. Perché bloccare Skype ...............................................................................5
3. Perché skype è così elusivo? .......................................................................7
4. Problema e soluzione .................................................................................8
5. Soluzioni..................................................................................................9
5.1. SonicWALL’s UTM (Unified Thread Management) appliance .........................9
5.2. Lynanda .............................................................................................9
5.3. Cisco ..................................................................................................9
5.4. Verso Technologies............................................................................. 10
5.5. Skypekiller ........................................................................................ 10
5.6. Checkpoint InterSpect ........................................................................ 10
5.7. Packeteer PacketShaper ...................................................................... 10
5.8. Fortinet Fortigate ............................................................................... 10
6. Alternative a Skype ................................................................................. 11
6.1. Open source ...................................................................................... 11
6.2. Colsed source .................................................................................... 11
7. Fonti ..................................................................................................... 11
pag. 3 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
4. Luca Lomi
ICT Senior Consultant
1. Cos’è Skype
Skype permette ai suoi utenti di utilizzare
il pc con una connessione ad Internet per
mettersi in comunicazione tra di loro in
maniera gratuita.
Sebbene questa condizione può costituire
da sola un valido motivo per il suo utilizzo
all’interno di reti aziendali, analizzando in
maniera più approfondita la situazione
che viene a costituirsi emergono
implicazioni di rilevante importanza
aziendale.
SkypeTM è un’applicazione client
multipiattaforma utilizzata per il Voice
over IP (VoIP), chat, video ed altre forme
di comunicazione, che si appoggia ad un
network peer-to-peer (P2P) criptato veicolato sulla rete pubblica
di Internet.
Il codice dell’applicazione non è disponibile e non vi sono
previsioni che lo diventi in futuro; fa pesante uso di tecniche di
offuscamento del codice; il protocollo utilizzato è proprietario,
criptato e non conforme agli standard come SIP, IAX ed H.323.
Fondata dagli intraprendenti Niklas Zennstrom e Janus Friis, già
fondatori dell’applicazione Kazaa, è stata acquistata da eBay il 14
Ottobre 2005 e compete con gli esistenti protocollo aperti per il
Voip.
La sua larga diffusione è dovuta alla sua semplicità d’utilizzo,
benvenuta dagli utenti finali in quanto in netto contrasto con la
tradizionale complessità del VoIP, al suo elevato livello di
sicurezza, che tramite la crittografia RSA ed AES garantisce la
riservatezza delle comunicazioni, ed alla sua versatilità, che gli
permette di poter funzionare in ogni network anche in presenza di
NAT, proxy, firewalls o IDS.
Questo set di caratteristiche (semplicità di utilizzo, sicurezza e
versatilità) e la sua conseguente diffusione tra gli utenti hanno
pag. 4 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
5. Luca Lomi
ICT Senior Consultant
fatto diventare Skype l’incubo di molte reti aziendali ed
universitarie.
Nello schema a fianco è
rappresentata la topologia
del network; si
identificano:
- gli ordinary host
- i super node
- server di login Skype
- le interconnessioni.
2. Perché bloccare Skype
Ci sono posti e situazioni dove Skype e così tante altre
applicazioni P2P non sono ammissibili a causa dell’assenza di
metodi di controllo e della tendenza ad occupare banda, a volte
trascurabile per la singola connessione ma rilevante per
connessioni multiple; queste due caratteristiche sono molto
comuni alle applicazioni P2P.
Uno dei problemi consiste nel fatto che Skype non possiede una
unità di controllo centralizzata per i managers IT; l’utente ha
quindi il pieno controllo dell’applicazione, piena e totale libertà, e
tutto il mondo può connettersi ad esso.
Inoltre non ci sono ragioni per le quali le conversazioni tra due
client debbano essere inoltrate attraverso clients che non
riguardano quella comunicazione: il sistema di connettività Peer-
To-Peer utilizzato da Skype fa si che le comunicazioni tra due
peer siano veicolate almeno attraverso un terzo; si ha così che le
comunicazioni tra client installati nei pc dello stesso ufficio
saranno instradate attraverso altri clients su Internet.
Identifichiamo ora le principali caratteristiche di Skype che
potrebbero motivare la scelta di bloccarne il traffico e quindi
bloccare l’applicazione stessa:
• il suo traffico non può essere facilmente tracciato
pag. 5 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
6. Luca Lomi
ICT Senior Consultant
• in Windows si installa senza diritti amministrativi
• con una maggior dose di scaltrezza nessuno saprà mai della
presenza di Skype nel pc, permettendo così di utilizzare
risorse e tempo aziendali per qualsiasi altro scopo personale
• permette di ricevere ed eseguire chiamate telefoniche e
partecipare a chat e quindi di comunicare virtualmente con
chiunque
• si possono ricevere ed inviare files, nessuno lo saprà mai
• numerosi IP esterni si connettono alla LAN/WAN aprendo
così un mondo di opportunità
Inoltre esistono alcune ragioni molto più legittime per le quali
spesso si incontra la necessità di bloccare Skype:
• Skype è disegnato per evadere i tentativi di tracing &
auditing: molte entità sono soggette a regolamentazioni
legali che richiedono la storicizzazione delle connessioni,
norme che Skype è in grado di eludere.
• Alcuni stati, es. Cina, hanno proibito l’uso di Skype: i sistemi
per limitare le comunicazioni da e verso l’esterno dei propri
territori decadono con l’utilizzo di Skype.
• La licenza d’uso di Skype
(http://www.skype.com/company/legal/eula/index.html)
richiede che l’utente acconsenta di considerare il computer
nel quale fa funzionare Skype come una risorsa della rete di
Skype (Articolo 4 Permesso di utilizzo): questo normalmente
viola le politiche di aziende e università.
Possiamo infine concludere con l’osservazione che il client
Skype viene presentato come un’applicazione priva di
vulnerabilità sfruttabili per l’exploit e la compromissione dei
sistemi all’interno di strutture informatiche considerate fino a
quel momento sicure. E’ evidente che fino ad ora non c’è stata
una rilevante casistica a riguardo ma ciò non garantisce che non
si possa fare o che non accadrà in futuro.
In una eventualità simile bisognerà ricordarsi che Skype è
difficile da monitorare, filtrare e bloccare e che costituisce una
difficoltà per gli amministratori di sistema in quanto opera
proprio come una blackbox.
pag. 6 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
7. Luca Lomi
ICT Senior Consultant
3. Perché skype è così elusivo?
Skype costituisce l’archetipo di una nuova generazione di
applicazione di rete molto aggressive ed in grado di adattarsi in
funzione delle caratteristiche del network in cui si trovano al fine
di raggiungere Internet sotto ogni condizione.
Le sessioni Skype utilizzano un sistema di chiavi asimmetriche
(RSA o varianti) per distribuire la chiave simmetrica a 256 bit
impiegata dall’AES per criptare la sessione.
La comunicazione utilizza una combinazione dinamica di porte
TCP e UDP, incluse quelle generalmente aperte 80 e 443,
rendendo così inefficaci i tradizionali sistemi di port filering.
Skype utilizza sistemi proprietari di “NAT traversal” simili a STUN
(Simple Traversal of UDP the NAT) e TRUN (Traversal Using Relay
NAT), per assicurarsi che la comunicazione attraversi il network
per giungere fino ad Internet e per determinare se il client può
essere eletto per operare come “supernode” (unità hub).
Si capisce quindi perché molti dei sistemi convenzionali (layer 3 e
4) non riescano a bloccare Skype: perché Skype è stato disegnato
specificatamente per raggiungere Internet anche in condizioni
particolarmente avverse; si può dire che è stato pensato con
l’evasione in mente!
Misure repressive molto severe normalmente non sono accettabili
perché andrebbero a ledere anche le normali operazioni del
network; per esempio permettere solo connessioni uscenti verso
destinazioni conosciute, bloccare le porte incluse la 80 e 443,
disabilitare destinazioni IP utilizzando il metodo CONNECT
attraverso servers proxy.
Anche bloccare le connessioni al login server di Skype
risulterebbe inutile in quanto gli sviluppatori hanno inserito nel
codice dell’eseguibile numerosi “supernode” in grado di essere
utilizzati come tunnel garantendo così la connessione al login
server.
pag. 7 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
8. Luca Lomi
ICT Senior Consultant
Esclusa la fase di avvio, l’applicazione lavora in modalità
totalmente decentralizzata rendendo inutile qualsiasi soluzione
basata sul blocco degli indirizzi IP.
Molti servizi di intrusion-detection falliscono nell’identificare Skype
o nel crearne una “firma”, senza considerare l’eccesso di falsi
positivi, a causa dell’utilizzo della comunicazione intricata anche
grazie alla crittografia.
Quello appena delineato è uno scenario che normalmente non è
accettabile da un’azienda o da un’ente; si è così sviluppato un
mercato di prodotti e soluzioni con l’obiettivo di bloccare questo
tipo di applicazioni.
4. Problema e soluzione
Problema
Cosa deve fare una compagnia quando le sue policy richiedono di
bloccare Skype, un’applicazione virtualmente non rintracciabile e
non facilmente bloccabile?
Skype ed altri prodotti P2P sono una preoccupazione crescente
per ISP e grandi organizzazioni.
Soluzione
Implementare un sistema rilevazione e blocco del protocollo
utilizzato dall’applicazione in modo da renderla così inutilizzabile.
Tale sistema dovrà possedere un efficiente sistema di
riconoscimento delle comunicazioni Skype limitando al massimo i
falsi positivi che potrebbero interrompere flussi dati non sospetti.
pag. 8 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
9. Luca Lomi
ICT Senior Consultant
5. Soluzioni
5.1. SonicWALL’s UTM (Unified Thread Management)
appliance
E’ necessario un sistema che sorpassi le convenzionali limitazioni
dei sistemi IDS basati su firme e che impieghi un motore di
ricerca che distingua non solo singole firme ma sequenze delle
stesse, anche apparentemente disgiunte, mescolate dentro al
normale flusso di traffico.
L’abilità di scoprire il traffico Skype è stata introdotta a partire dal
SonicOS 3.1.0.5.
http://www.sonicwall.com/it/
5.2. Lynanda
Lynanda Asynchronous Network Filter - Skype & P2P
Lynanda fornisce software per gestire efficacemente il traffico di
rete e permettere l’identificazione dei protocolli nei flussi di rete.
Questo software è dedicato principalmente agli ISP per verificare
e controllare il loro traffico sui link ad alta capacità.
La soluzione non si basa sulle comuni pratiche di firewalling ma
su tecniche di data-mining statistico; il processo si divide in due
steps: un primo nel quale la soluzione impara quale traffico
circola nella rete, un secondo nel quale il traffico interessato viene
effettivamente trattato. Questa tecnologia necessita di una buona
potenza di calcolo.
Essendo una soluzione asincrona uno degli aspetti da tenere in
considerazione è la latenza: può verificarsi è che l’utente
potrebbe riuscire a fare una chiamata per pochi secondi prima che
questa venga scoperta e bloccata.
http://www.lynanda.com/products/software-for-corporations/traffic-filtering
http://www.lynanda.com/various-news/lynanda-finds-a-way-to-block-skype/view
http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer
5.3. Cisco
Il riconoscimento del traffico Skype è possibile negli apparti Cisco
a partire da IOS v. 12.4(4)T utilizzando policy di gestione del
traffico.
http://www.cisco.com
pag. 9 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
10. Luca Lomi
ICT Senior Consultant
5.4. Verso Technologies
NetSpective Internet Content Filter Solution
NetPtective è una soluzione per filtrare Internet ed i suoi
contenuti (content and web filtering).
E’ una soluzione che include:
• NetSpective WebFilter – Controlla l’accesso alle URL
• NetSpective P2PFilter – Restringe accesso al P2P
• Verso NetAuditor – Produce reports sull’attività Internet
Soluzione piuttosto articolata, si basa su box proprietari.
http://www.verso.com/products/netspective/index.asp
5.5. Skypekiller
Applicazione windows non adatta ad ambiti aziendali estesi ma a
piccoli uffici.
http://www.skypekiller.com/
5.6. Checkpoint InterSpect
Utilizzanto InterSpect con il sistema SmartDefense si possono
identificare e bloccare le applicazioni P2P icluso Skype.
http://www.checkpoint.com/
http://www.checkpoint.com/defense/advisories/public/sdnews/2004/0204.html#2
5.7. Packeteer PacketShaper
Permette di identificare il traffico P2P incluso Skype e di applicare
politiche di Quality of Service o di bloccarlo completamente.
http://www.packeteer.com/
5.8. Fortinet Fortigate
Soluzioni di sicurezza integrate, capace di identificare e bloccare
traffico P2P e Skype.
http://www.fortinet.com/
pag. 10 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
11. Luca Lomi
ICT Senior Consultant
6. Alternative a Skype
6.1. Open source
• Coccinella
• Ekiga
• Kiax
• PSI
• Switchboard
• Tapioca
• WengoPhone
6.2. Colsed source
• Gogole Talk
• Gizmo Project
• iCall
• Jajah
• Secure Shuttle Transport
• SightSpeed
• Parlino
• Vbuzzer
• VoipBuster
• VoipStunt
• Zfone
• TipicIM
• [ClosedTalk]
• BT Communicator
• Windows Live Messenger
• ZoomCall Pro
• Damaka - www.damaka.com
7. Fonti
www.cisco.com
www.lynanda.com
www.verso.com
www.sonicwall.com
www.skypekiller.com
www.wikipedia.org
Siti dei produttori.
pag. 11 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
12. Luca Lomi
ICT Senior Consultant
pag. 12 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com