1. Luca Lomi
ICT Senior Consultant
Motivazioni e metodi per bloccare il traffico Skype
pag. 1 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
2. Luca Lomi
ICT Senior Consultant
Riferimenti documento
Description: Motivazioni e metodi per bloccare il traffico Skype
File name: No skype.20070223.NC.doc
Phase: [_] Bozza [_] Revisione [_] Definitiva [X] Emessa
Document Version No: 1.0
Prepared By: Luca Lomi
StartUp Date: 08/02/2007
Review Date: 14/03/2007
pag. 2 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
3. Luca Lomi
ICT Senior Consultant
Indice
1. Cos竪 Skype .............................................................................................4
2. Perch辿 bloccare Skype ...............................................................................5
3. Perch辿 skype 竪 cos狸 elusivo? .......................................................................7
4. Problema e soluzione .................................................................................8
5. Soluzioni..................................................................................................9
5.1. SonicWALLs UTM (Unified Thread Management) appliance .........................9
5.2. Lynanda .............................................................................................9
5.3. Cisco ..................................................................................................9
5.4. Verso Technologies............................................................................. 10
5.5. Skypekiller ........................................................................................ 10
5.6. Checkpoint InterSpect ........................................................................ 10
5.7. Packeteer PacketShaper ...................................................................... 10
5.8. Fortinet Fortigate ............................................................................... 10
6. Alternative a Skype ................................................................................. 11
6.1. Open source ...................................................................................... 11
6.2. Colsed source .................................................................................... 11
7. Fonti ..................................................................................................... 11
pag. 3 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
4. Luca Lomi
ICT Senior Consultant
1. Cos竪 Skype
Skype permette ai suoi utenti di utilizzare
il pc con una connessione ad Internet per
mettersi in comunicazione tra di loro in
maniera gratuita.
Sebbene questa condizione pu嘆 costituire
da sola un valido motivo per il suo utilizzo
allinterno di reti aziendali, analizzando in
maniera pi湛 approfondita la situazione
che viene a costituirsi emergono
implicazioni di rilevante importanza
aziendale.
SkypeTM 竪 unapplicazione client
multipiattaforma utilizzata per il Voice
over IP (VoIP), chat, video ed altre forme
di comunicazione, che si appoggia ad un
network peer-to-peer (P2P) criptato veicolato sulla rete pubblica
di Internet.
Il codice dellapplicazione non 竪 disponibile e non vi sono
previsioni che lo diventi in futuro; fa pesante uso di tecniche di
offuscamento del codice; il protocollo utilizzato 竪 proprietario,
criptato e non conforme agli standard come SIP, IAX ed H.323.
Fondata dagli intraprendenti Niklas Zennstrom e Janus Friis, gi
fondatori dellapplicazione Kazaa, 竪 stata acquistata da eBay il 14
Ottobre 2005 e compete con gli esistenti protocollo aperti per il
Voip.
La sua larga diffusione 竪 dovuta alla sua semplicit dutilizzo,
benvenuta dagli utenti finali in quanto in netto contrasto con la
tradizionale complessit del VoIP, al suo elevato livello di
sicurezza, che tramite la crittografia RSA ed AES garantisce la
riservatezza delle comunicazioni, ed alla sua versatilit, che gli
permette di poter funzionare in ogni network anche in presenza di
NAT, proxy, firewalls o IDS.
Questo set di caratteristiche (semplicit di utilizzo, sicurezza e
versatilit) e la sua conseguente diffusione tra gli utenti hanno
pag. 4 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
5. Luca Lomi
ICT Senior Consultant
fatto diventare Skype lincubo di molte reti aziendali ed
universitarie.
Nello schema a fianco 竪
rappresentata la topologia
del network; si
identificano:
- gli ordinary host
- i super node
- server di login Skype
- le interconnessioni.
2. Perch辿 bloccare Skype
Ci sono posti e situazioni dove Skype e cos狸 tante altre
applicazioni P2P non sono ammissibili a causa dellassenza di
metodi di controllo e della tendenza ad occupare banda, a volte
trascurabile per la singola connessione ma rilevante per
connessioni multiple; queste due caratteristiche sono molto
comuni alle applicazioni P2P.
Uno dei problemi consiste nel fatto che Skype non possiede una
unit di controllo centralizzata per i managers IT; lutente ha
quindi il pieno controllo dellapplicazione, piena e totale libert, e
tutto il mondo pu嘆 connettersi ad esso.
Inoltre non ci sono ragioni per le quali le conversazioni tra due
client debbano essere inoltrate attraverso clients che non
riguardano quella comunicazione: il sistema di connettivit Peer-
To-Peer utilizzato da Skype fa si che le comunicazioni tra due
peer siano veicolate almeno attraverso un terzo; si ha cos狸 che le
comunicazioni tra client installati nei pc dello stesso ufficio
saranno instradate attraverso altri clients su Internet.
Identifichiamo ora le principali caratteristiche di Skype che
potrebbero motivare la scelta di bloccarne il traffico e quindi
bloccare lapplicazione stessa:
il suo traffico non pu嘆 essere facilmente tracciato
pag. 5 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
6. Luca Lomi
ICT Senior Consultant
in Windows si installa senza diritti amministrativi
con una maggior dose di scaltrezza nessuno sapr mai della
presenza di Skype nel pc, permettendo cos狸 di utilizzare
risorse e tempo aziendali per qualsiasi altro scopo personale
permette di ricevere ed eseguire chiamate telefoniche e
partecipare a chat e quindi di comunicare virtualmente con
chiunque
si possono ricevere ed inviare files, nessuno lo sapr mai
numerosi IP esterni si connettono alla LAN/WAN aprendo
cos狸 un mondo di opportunit
Inoltre esistono alcune ragioni molto pi湛 legittime per le quali
spesso si incontra la necessit di bloccare Skype:
Skype 竪 disegnato per evadere i tentativi di tracing &
auditing: molte entit sono soggette a regolamentazioni
legali che richiedono la storicizzazione delle connessioni,
norme che Skype 竪 in grado di eludere.
Alcuni stati, es. Cina, hanno proibito luso di Skype: i sistemi
per limitare le comunicazioni da e verso lesterno dei propri
territori decadono con lutilizzo di Skype.
La licenza duso di Skype
(http://www.skype.com/company/legal/eula/index.html)
richiede che lutente acconsenta di considerare il computer
nel quale fa funzionare Skype come una risorsa della rete di
Skype (Articolo 4 Permesso di utilizzo): questo normalmente
viola le politiche di aziende e universit.
Possiamo infine concludere con losservazione che il client
Skype viene presentato come unapplicazione priva di
vulnerabilit sfruttabili per lexploit e la compromissione dei
sistemi allinterno di strutture informatiche considerate fino a
quel momento sicure. E evidente che fino ad ora non c竪 stata
una rilevante casistica a riguardo ma ci嘆 non garantisce che non
si possa fare o che non accadr in futuro.
In una eventualit simile bisogner ricordarsi che Skype 竪
difficile da monitorare, filtrare e bloccare e che costituisce una
difficolt per gli amministratori di sistema in quanto opera
proprio come una blackbox.
pag. 6 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
7. Luca Lomi
ICT Senior Consultant
3. Perch辿 skype 竪 cos狸 elusivo?
Skype costituisce larchetipo di una nuova generazione di
applicazione di rete molto aggressive ed in grado di adattarsi in
funzione delle caratteristiche del network in cui si trovano al fine
di raggiungere Internet sotto ogni condizione.
Le sessioni Skype utilizzano un sistema di chiavi asimmetriche
(RSA o varianti) per distribuire la chiave simmetrica a 256 bit
impiegata dallAES per criptare la sessione.
La comunicazione utilizza una combinazione dinamica di porte
TCP e UDP, incluse quelle generalmente aperte 80 e 443,
rendendo cos狸 inefficaci i tradizionali sistemi di port filering.
Skype utilizza sistemi proprietari di NAT traversal simili a STUN
(Simple Traversal of UDP the NAT) e TRUN (Traversal Using Relay
NAT), per assicurarsi che la comunicazione attraversi il network
per giungere fino ad Internet e per determinare se il client pu嘆
essere eletto per operare come supernode (unit hub).
Si capisce quindi perch辿 molti dei sistemi convenzionali (layer 3 e
4) non riescano a bloccare Skype: perch辿 Skype 竪 stato disegnato
specificatamente per raggiungere Internet anche in condizioni
particolarmente avverse; si pu嘆 dire che 竪 stato pensato con
levasione in mente!
Misure repressive molto severe normalmente non sono accettabili
perch辿 andrebbero a ledere anche le normali operazioni del
network; per esempio permettere solo connessioni uscenti verso
destinazioni conosciute, bloccare le porte incluse la 80 e 443,
disabilitare destinazioni IP utilizzando il metodo CONNECT
attraverso servers proxy.
Anche bloccare le connessioni al login server di Skype
risulterebbe inutile in quanto gli sviluppatori hanno inserito nel
codice delleseguibile numerosi supernode in grado di essere
utilizzati come tunnel garantendo cos狸 la connessione al login
server.
pag. 7 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
8. Luca Lomi
ICT Senior Consultant
Esclusa la fase di avvio, lapplicazione lavora in modalit
totalmente decentralizzata rendendo inutile qualsiasi soluzione
basata sul blocco degli indirizzi IP.
Molti servizi di intrusion-detection falliscono nellidentificare Skype
o nel crearne una firma, senza considerare leccesso di falsi
positivi, a causa dellutilizzo della comunicazione intricata anche
grazie alla crittografia.
Quello appena delineato 竪 uno scenario che normalmente non 竪
accettabile da unazienda o da unente; si 竪 cos狸 sviluppato un
mercato di prodotti e soluzioni con lobiettivo di bloccare questo
tipo di applicazioni.
4. Problema e soluzione
Problema
Cosa deve fare una compagnia quando le sue policy richiedono di
bloccare Skype, unapplicazione virtualmente non rintracciabile e
non facilmente bloccabile?
Skype ed altri prodotti P2P sono una preoccupazione crescente
per ISP e grandi organizzazioni.
Soluzione
Implementare un sistema rilevazione e blocco del protocollo
utilizzato dallapplicazione in modo da renderla cos狸 inutilizzabile.
Tale sistema dovr possedere un efficiente sistema di
riconoscimento delle comunicazioni Skype limitando al massimo i
falsi positivi che potrebbero interrompere flussi dati non sospetti.
pag. 8 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
9. Luca Lomi
ICT Senior Consultant
5. Soluzioni
5.1. SonicWALLs UTM (Unified Thread Management)
appliance
E necessario un sistema che sorpassi le convenzionali limitazioni
dei sistemi IDS basati su firme e che impieghi un motore di
ricerca che distingua non solo singole firme ma sequenze delle
stesse, anche apparentemente disgiunte, mescolate dentro al
normale flusso di traffico.
Labilit di scoprire il traffico Skype 竪 stata introdotta a partire dal
SonicOS 3.1.0.5.
http://www.sonicwall.com/it/
5.2. Lynanda
Lynanda Asynchronous Network Filter - Skype & P2P
Lynanda fornisce software per gestire efficacemente il traffico di
rete e permettere lidentificazione dei protocolli nei flussi di rete.
Questo software 竪 dedicato principalmente agli ISP per verificare
e controllare il loro traffico sui link ad alta capacit.
La soluzione non si basa sulle comuni pratiche di firewalling ma
su tecniche di data-mining statistico; il processo si divide in due
steps: un primo nel quale la soluzione impara quale traffico
circola nella rete, un secondo nel quale il traffico interessato viene
effettivamente trattato. Questa tecnologia necessita di una buona
potenza di calcolo.
Essendo una soluzione asincrona uno degli aspetti da tenere in
considerazione 竪 la latenza: pu嘆 verificarsi 竪 che lutente
potrebbe riuscire a fare una chiamata per pochi secondi prima che
questa venga scoperta e bloccata.
http://www.lynanda.com/products/software-for-corporations/traffic-filtering
http://www.lynanda.com/various-news/lynanda-finds-a-way-to-block-skype/view
http://www.lynanda.com/products/software-for-corporations/traffic-filtering/how-to-use-our-traffic-analyzer
5.3. Cisco
Il riconoscimento del traffico Skype 竪 possibile negli apparti Cisco
a partire da IOS v. 12.4(4)T utilizzando policy di gestione del
traffico.
http://www.cisco.com
pag. 9 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
10. Luca Lomi
ICT Senior Consultant
5.4. Verso Technologies
NetSpective Internet Content Filter Solution
NetPtective 竪 una soluzione per filtrare Internet ed i suoi
contenuti (content and web filtering).
E una soluzione che include:
NetSpective WebFilter Controlla laccesso alle URL
NetSpective P2PFilter Restringe accesso al P2P
Verso NetAuditor Produce reports sullattivit Internet
Soluzione piuttosto articolata, si basa su box proprietari.
http://www.verso.com/products/netspective/index.asp
5.5. Skypekiller
Applicazione windows non adatta ad ambiti aziendali estesi ma a
piccoli uffici.
http://www.skypekiller.com/
5.6. Checkpoint InterSpect
Utilizzanto InterSpect con il sistema SmartDefense si possono
identificare e bloccare le applicazioni P2P icluso Skype.
http://www.checkpoint.com/
http://www.checkpoint.com/defense/advisories/public/sdnews/2004/0204.html#2
5.7. Packeteer PacketShaper
Permette di identificare il traffico P2P incluso Skype e di applicare
politiche di Quality of Service o di bloccarlo completamente.
http://www.packeteer.com/
5.8. Fortinet Fortigate
Soluzioni di sicurezza integrate, capace di identificare e bloccare
traffico P2P e Skype.
http://www.fortinet.com/
pag. 10 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
11. Luca Lomi
ICT Senior Consultant
6. Alternative a Skype
6.1. Open source
Coccinella
Ekiga
Kiax
PSI
Switchboard
Tapioca
WengoPhone
6.2. Colsed source
Gogole Talk
Gizmo Project
iCall
Jajah
Secure Shuttle Transport
SightSpeed
Parlino
Vbuzzer
VoipBuster
VoipStunt
Zfone
TipicIM
[ClosedTalk]
BT Communicator
Windows Live Messenger
ZoomCall Pro
Damaka - www.damaka.com
7. Fonti
www.cisco.com
www.lynanda.com
www.verso.com
www.sonicwall.com
www.skypekiller.com
www.wikipedia.org
Siti dei produttori.
pag. 11 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
12. Luca Lomi
ICT Senior Consultant
pag. 12 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com
![Luca Lomi
ICT Senior Consultant
Riferimenti documento
Description: Motivazioni e metodi per bloccare il traffico Skype
File name: No skype.20070223.NC.doc
Phase: [_] Bozza [_] Revisione [_] Definitiva [X] Emessa
Document Version No: 1.0
Prepared By: Luca Lomi
StartUp Date: 08/02/2007
Review Date: 14/03/2007
pag. 2 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com](https://image.slidesharecdn.com/skypemanage-20070223-nc-130304105415-phpapp02/85/Skype-manage-on-far-2007-2-320.jpg)
![Luca Lomi
ICT Senior Consultant
6. Alternative a Skype
6.1. Open source
Coccinella
Ekiga
Kiax
PSI
Switchboard
Tapioca
WengoPhone
6.2. Colsed source
Gogole Talk
Gizmo Project
iCall
Jajah
Secure Shuttle Transport
SightSpeed
Parlino
Vbuzzer
VoipBuster
VoipStunt
Zfone
TipicIM
[ClosedTalk]
BT Communicator
Windows Live Messenger
ZoomCall Pro
Damaka - www.damaka.com
7. Fonti
www.cisco.com
www.lynanda.com
www.verso.com
www.sonicwall.com
www.skypekiller.com
www.wikipedia.org
Siti dei produttori.
pag. 11 di 12
L u c a L o m i - I C T S e n i o r C o n s u l t a n t
via Bellini 2, 30036 Santa Maria di Sala (VE) Partita IVA 03675890275
phone: +39.346.0929846 e-mail: luca.lomi@2l-consulting.com web: www.2l-consulting.com](https://image.slidesharecdn.com/skypemanage-20070223-nc-130304105415-phpapp02/85/Skype-manage-on-far-2007-11-320.jpg)
