Luca Lomi                                                                ICT Senior Consultant  Motivazioni e metodi per b...
Luca Lomi                                                                        ICT Senior ConsultantRiferimenti document...
Luca Lomi                                                                                   ICT Senior ConsultantIndice1. ...
Luca Lomi                                                                ICT Senior Consultant1. Cos’è Skype Skype permett...
Luca Lomi                                                                ICT Senior Consultant fatto diventare         Sky...
Luca Lomi                                                                ICT Senior Consultant    • in Windows si installa...
Luca Lomi                                                                ICT Senior Consultant3. Perché skype è così elusi...
Luca Lomi                                                                ICT Senior Consultant Esclusa la fase di avvio, l...
Luca Lomi                                                                                  ICT Senior Consultant5. Soluzio...
Luca Lomi                                                                               ICT Senior Consultant 5.4. Verso T...
Luca Lomi                                                                ICT Senior Consultant6. Alternative a Skype6.1. O...
Luca Lomi                                                                ICT Senior Consultant                            ...
Upcoming SlideShare
Loading in...5
×

Skype manage on far 2007

391

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
391
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Skype manage on far 2007

  1. 1. Luca Lomi ICT Senior Consultant Motivazioni e metodi per bloccare il traffico Skype pag. 1 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  2. 2. Luca Lomi ICT Senior ConsultantRiferimenti documentoDescription: Motivazioni e metodi per bloccare il traffico SkypeFile name: No skype.20070223.NC.docPhase: [_] Bozza [_] Revisione [_] Definitiva [X] EmessaDocument Version No: 1.0Prepared By: Luca LomiStartUp Date: 08/02/2007Review Date: 14/03/2007 pag. 2 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  3. 3. Luca Lomi ICT Senior ConsultantIndice1. Cos’è Skype .............................................................................................42. Perché bloccare Skype ...............................................................................53. Perché skype è così elusivo? .......................................................................74. Problema e soluzione .................................................................................85. Soluzioni..................................................................................................9 5.1. SonicWALL’s UTM (Unified Thread Management) appliance .........................9 5.2. Lynanda .............................................................................................9 5.3. Cisco ..................................................................................................9 5.4. Verso Technologies............................................................................. 10 5.5. Skypekiller ........................................................................................ 10 5.6. Checkpoint InterSpect ........................................................................ 10 5.7. Packeteer PacketShaper ...................................................................... 10 5.8. Fortinet Fortigate ............................................................................... 106. Alternative a Skype ................................................................................. 11 6.1. Open source ...................................................................................... 11 6.2. Colsed source .................................................................................... 117. Fonti ..................................................................................................... 11 pag. 3 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  4. 4. Luca Lomi ICT Senior Consultant1. Cos’è Skype Skype permette ai suoi utenti di utilizzare il pc con una connessione ad Internet per mettersi in comunicazione tra di loro in maniera gratuita. Sebbene questa condizione può costituire da sola un valido motivo per il suo utilizzo all’interno di reti aziendali, analizzando in maniera più approfondita la situazione che viene a costituirsi emergono implicazioni di rilevante importanza aziendale. SkypeTM è un’applicazione client multipiattaforma utilizzata per il Voice over IP (VoIP), chat, video ed altre forme di comunicazione, che si appoggia ad un network peer-to-peer (P2P) criptato veicolato sulla rete pubblica di Internet. Il codice dell’applicazione non è disponibile e non vi sono previsioni che lo diventi in futuro; fa pesante uso di tecniche di offuscamento del codice; il protocollo utilizzato è proprietario, criptato e non conforme agli standard come SIP, IAX ed H.323. Fondata dagli intraprendenti Niklas Zennstrom e Janus Friis, già fondatori dell’applicazione Kazaa, è stata acquistata da eBay il 14 Ottobre 2005 e compete con gli esistenti protocollo aperti per il Voip. La sua larga diffusione è dovuta alla sua semplicità d’utilizzo, benvenuta dagli utenti finali in quanto in netto contrasto con la tradizionale complessità del VoIP, al suo elevato livello di sicurezza, che tramite la crittografia RSA ed AES garantisce la riservatezza delle comunicazioni, ed alla sua versatilità, che gli permette di poter funzionare in ogni network anche in presenza di NAT, proxy, firewalls o IDS. Questo set di caratteristiche (semplicità di utilizzo, sicurezza e versatilità) e la sua conseguente diffusione tra gli utenti hanno pag. 4 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  5. 5. Luca Lomi ICT Senior Consultant fatto diventare Skype l’incubo di molte reti aziendali ed universitarie. Nello schema a fianco è rappresentata la topologia del network; si identificano: - gli ordinary host - i super node - server di login Skype - le interconnessioni.2. Perché bloccare Skype Ci sono posti e situazioni dove Skype e così tante altre applicazioni P2P non sono ammissibili a causa dell’assenza di metodi di controllo e della tendenza ad occupare banda, a volte trascurabile per la singola connessione ma rilevante per connessioni multiple; queste due caratteristiche sono molto comuni alle applicazioni P2P. Uno dei problemi consiste nel fatto che Skype non possiede una unità di controllo centralizzata per i managers IT; l’utente ha quindi il pieno controllo dell’applicazione, piena e totale libertà, e tutto il mondo può connettersi ad esso. Inoltre non ci sono ragioni per le quali le conversazioni tra due client debbano essere inoltrate attraverso clients che non riguardano quella comunicazione: il sistema di connettività Peer- To-Peer utilizzato da Skype fa si che le comunicazioni tra due peer siano veicolate almeno attraverso un terzo; si ha così che le comunicazioni tra client installati nei pc dello stesso ufficio saranno instradate attraverso altri clients su Internet. Identifichiamo ora le principali caratteristiche di Skype che potrebbero motivare la scelta di bloccarne il traffico e quindi bloccare l’applicazione stessa: • il suo traffico non può essere facilmente tracciato pag. 5 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  6. 6. Luca Lomi ICT Senior Consultant • in Windows si installa senza diritti amministrativi • con una maggior dose di scaltrezza nessuno saprà mai della presenza di Skype nel pc, permettendo così di utilizzare risorse e tempo aziendali per qualsiasi altro scopo personale • permette di ricevere ed eseguire chiamate telefoniche e partecipare a chat e quindi di comunicare virtualmente con chiunque • si possono ricevere ed inviare files, nessuno lo saprà mai • numerosi IP esterni si connettono alla LAN/WAN aprendo così un mondo di opportunità Inoltre esistono alcune ragioni molto più legittime per le quali spesso si incontra la necessità di bloccare Skype: • Skype è disegnato per evadere i tentativi di tracing & auditing: molte entità sono soggette a regolamentazioni legali che richiedono la storicizzazione delle connessioni, norme che Skype è in grado di eludere. • Alcuni stati, es. Cina, hanno proibito l’uso di Skype: i sistemi per limitare le comunicazioni da e verso l’esterno dei propri territori decadono con l’utilizzo di Skype. • La licenza d’uso di Skype (http://www.skype.com/company/legal/eula/index.html) richiede che l’utente acconsenta di considerare il computer nel quale fa funzionare Skype come una risorsa della rete di Skype (Articolo 4 Permesso di utilizzo): questo normalmente viola le politiche di aziende e università. Possiamo infine concludere con l’osservazione che il client Skype viene presentato come un’applicazione priva di vulnerabilità sfruttabili per l’exploit e la compromissione dei sistemi all’interno di strutture informatiche considerate fino a quel momento sicure. E’ evidente che fino ad ora non c’è stata una rilevante casistica a riguardo ma ciò non garantisce che non si possa fare o che non accadrà in futuro. In una eventualità simile bisognerà ricordarsi che Skype è difficile da monitorare, filtrare e bloccare e che costituisce una difficoltà per gli amministratori di sistema in quanto opera proprio come una blackbox. pag. 6 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  7. 7. Luca Lomi ICT Senior Consultant3. Perché skype è così elusivo? Skype costituisce l’archetipo di una nuova generazione di applicazione di rete molto aggressive ed in grado di adattarsi in funzione delle caratteristiche del network in cui si trovano al fine di raggiungere Internet sotto ogni condizione. Le sessioni Skype utilizzano un sistema di chiavi asimmetriche (RSA o varianti) per distribuire la chiave simmetrica a 256 bit impiegata dall’AES per criptare la sessione. La comunicazione utilizza una combinazione dinamica di porte TCP e UDP, incluse quelle generalmente aperte 80 e 443, rendendo così inefficaci i tradizionali sistemi di port filering. Skype utilizza sistemi proprietari di “NAT traversal” simili a STUN (Simple Traversal of UDP the NAT) e TRUN (Traversal Using Relay NAT), per assicurarsi che la comunicazione attraversi il network per giungere fino ad Internet e per determinare se il client può essere eletto per operare come “supernode” (unità hub). Si capisce quindi perché molti dei sistemi convenzionali (layer 3 e 4) non riescano a bloccare Skype: perché Skype è stato disegnato specificatamente per raggiungere Internet anche in condizioni particolarmente avverse; si può dire che è stato pensato con l’evasione in mente! Misure repressive molto severe normalmente non sono accettabili perché andrebbero a ledere anche le normali operazioni del network; per esempio permettere solo connessioni uscenti verso destinazioni conosciute, bloccare le porte incluse la 80 e 443, disabilitare destinazioni IP utilizzando il metodo CONNECT attraverso servers proxy. Anche bloccare le connessioni al login server di Skype risulterebbe inutile in quanto gli sviluppatori hanno inserito nel codice dell’eseguibile numerosi “supernode” in grado di essere utilizzati come tunnel garantendo così la connessione al login server. pag. 7 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  8. 8. Luca Lomi ICT Senior Consultant Esclusa la fase di avvio, l’applicazione lavora in modalità totalmente decentralizzata rendendo inutile qualsiasi soluzione basata sul blocco degli indirizzi IP. Molti servizi di intrusion-detection falliscono nell’identificare Skype o nel crearne una “firma”, senza considerare l’eccesso di falsi positivi, a causa dell’utilizzo della comunicazione intricata anche grazie alla crittografia. Quello appena delineato è uno scenario che normalmente non è accettabile da un’azienda o da un’ente; si è così sviluppato un mercato di prodotti e soluzioni con l’obiettivo di bloccare questo tipo di applicazioni.4. Problema e soluzione Problema Cosa deve fare una compagnia quando le sue policy richiedono di bloccare Skype, un’applicazione virtualmente non rintracciabile e non facilmente bloccabile? Skype ed altri prodotti P2P sono una preoccupazione crescente per ISP e grandi organizzazioni. Soluzione Implementare un sistema rilevazione e blocco del protocollo utilizzato dall’applicazione in modo da renderla così inutilizzabile. Tale sistema dovrà possedere un efficiente sistema di riconoscimento delle comunicazioni Skype limitando al massimo i falsi positivi che potrebbero interrompere flussi dati non sospetti. pag. 8 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  9. 9. Luca Lomi ICT Senior Consultant5. Soluzioni 5.1. SonicWALL’s UTM (Unified Thread Management) appliance E’ necessario un sistema che sorpassi le convenzionali limitazioni dei sistemi IDS basati su firme e che impieghi un motore di ricerca che distingua non solo singole firme ma sequenze delle stesse, anche apparentemente disgiunte, mescolate dentro al normale flusso di traffico. L’abilità di scoprire il traffico Skype è stata introdotta a partire dal SonicOS 3.1.0.5. http://www.sonicwall.com/it/ 5.2. Lynanda Lynanda Asynchronous Network Filter - Skype & P2P Lynanda fornisce software per gestire efficacemente il traffico di rete e permettere l’identificazione dei protocolli nei flussi di rete. Questo software è dedicato principalmente agli ISP per verificare e controllare il loro traffico sui link ad alta capacità. La soluzione non si basa sulle comuni pratiche di firewalling ma su tecniche di data-mining statistico; il processo si divide in due steps: un primo nel quale la soluzione impara quale traffico circola nella rete, un secondo nel quale il traffico interessato viene effettivamente trattato. Questa tecnologia necessita di una buona potenza di calcolo. Essendo una soluzione asincrona uno degli aspetti da tenere in considerazione è la latenza: può verificarsi è che l’utente potrebbe riuscire a fare una chiamata per pochi secondi prima che questa venga scoperta e bloccata. http://www.lynanda.com/products/software-for-corporations/traffic-filtering http://www.lynanda.com/various-news/lynanda-finds-a-way-to-block-skype/view http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer 5.3. Cisco Il riconoscimento del traffico Skype è possibile negli apparti Cisco a partire da IOS v. 12.4(4)T utilizzando policy di gestione del traffico. http://www.cisco.com pag. 9 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  10. 10. Luca Lomi ICT Senior Consultant 5.4. Verso Technologies NetSpective Internet Content Filter Solution NetPtective è una soluzione per filtrare Internet ed i suoi contenuti (content and web filtering). E’ una soluzione che include: • NetSpective WebFilter – Controlla l’accesso alle URL • NetSpective P2PFilter – Restringe accesso al P2P • Verso NetAuditor – Produce reports sull’attività Internet Soluzione piuttosto articolata, si basa su box proprietari. http://www.verso.com/products/netspective/index.asp 5.5. Skypekiller Applicazione windows non adatta ad ambiti aziendali estesi ma a piccoli uffici. http://www.skypekiller.com/ 5.6. Checkpoint InterSpect Utilizzanto InterSpect con il sistema SmartDefense si possono identificare e bloccare le applicazioni P2P icluso Skype. http://www.checkpoint.com/ http://www.checkpoint.com/defense/advisories/public/sdnews/2004/0204.html#2 5.7. Packeteer PacketShaper Permette di identificare il traffico P2P incluso Skype e di applicare politiche di Quality of Service o di bloccarlo completamente. http://www.packeteer.com/ 5.8. Fortinet Fortigate Soluzioni di sicurezza integrate, capace di identificare e bloccare traffico P2P e Skype. http://www.fortinet.com/ pag. 10 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  11. 11. Luca Lomi ICT Senior Consultant6. Alternative a Skype6.1. Open source • Coccinella • Ekiga • Kiax • PSI • Switchboard • Tapioca • WengoPhone6.2. Colsed source • Gogole Talk • Gizmo Project • iCall • Jajah • Secure Shuttle Transport • SightSpeed • Parlino • Vbuzzer • VoipBuster • VoipStunt • Zfone • TipicIM • [ClosedTalk] • BT Communicator • Windows Live Messenger • ZoomCall Pro • Damaka - www.damaka.com7. Fonti www.cisco.com www.lynanda.com www.verso.com www.sonicwall.com www.skypekiller.com www.wikipedia.org Siti dei produttori. pag. 11 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
  12. 12. Luca Lomi ICT Senior Consultant pag. 12 di 12L u c a L o m i - I C T S e n i o r C o n s u l t a n tvia Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com

×