vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Об идентификации трафика Skype в локальных сетях

Дата публикации: 30.07.2006
Количество просмотров: 1695

Skype может иметь огромное влияние на объемы доходов поставщиков услуг, но, что гораздо важнее, сама природа трафика Skype поднимает серьезные вопросы безопасности для сетей больших предприятий. Skype использует уникальную технологию соединения равноправных узлов, делая почти невозможным идентификацию потоков данных, пишет в своей статье для дайджеста Converge руководитель компании Narus, Antonio Nucci.

Создатели Skype уверяют, что весь передаваемый программой трафик неплохо шифруется. Согласно доступной информации, Skype использует RSA и 256-битный алгоритм AES. Но на этом все подробности и заканчиваются, что не позволяет достоверно оценить надежность криптографической защиты Skype.

Для того, чтобы избежать обнаружения, многие пиринговые приложения, включая Skype, меняют используемые порты. Т.е. нет никакого стандартного "порта Skype", как есть стандартные порты SIP или SMTP. Благодаря этому Skype довольно легко обходит обычные брандмауэры.

Как и файлообменная сеть Kazaa, Skype использует оверлейную сеть равноправных узлов. Некоторые из этих узлов имеют более высокий статус (так называемые, super node) и служат для связи с серверами авторизации и маршрутизации Skype. Узлом "super node" может стать любой компьютер с установленным Skype, если у него достаточная производительность и полоса пропускания.

Начиная разговор через Skype, пользователь не может быть на 100% уверен в том, что программа соединила его с тем абонентом, которому он пытается позвонить. Поскольку авторизация ведется через узлы super node и сервера Skype, а механизм передачи секретных данных доподлинно неизвестен, напрашиваются несколько вариантов атаки на систему связи со стороны злоумышленников:

  • Получение каким-либо способом комбинации логин/пароль аккаунтов зарегистрированных пользователей.
  • В случае присутствия злоумышленника в службе поддержки интернет-провайдера, запрос клиента Skype может быть перенаправлен на ложный узел super node, где из него будут извлекать все необходимые данные.
  • Ложный super node может фальсифицировать факт установления подлиности клиента и разрешить злоумышленнику действия от лица другого человека даже без кражи пароля.

Используя Skype для голосовой связи, клиенты полагаются на собственную идентификацию голоса абонента. Однако, это невозможно в случае передачи файлов или текстовых сообщений.

Для преодоления этой проблемы разработана методика подписи полезной информации пакетов (payload-signature). Подпись однозначно идентифицирует любой протокол, что позволяет его легко распознавать в сети. Однако, это требует большой мощности брандмауэра, особенно на шифрованном трафике.

"Traffic classification in the dark" представляет собой эффективную методику обнаружения любого протокола при помощи двух способов одновременно: на базе подписи полезной информации пакетов (payload-signature) и на базе поведенческой подписи (behavioral-signature). Первый способ сопоставляет подпись пакета с базой типовых подписей и позволяет очень быстро классифицировать большинство протоколов и приложений. Если на этой стадии эффекта добиться не удалось, неизвестные пакеты обрабатываются по второй методике. При этом составляется профиль поведения хоста с анализом нескольких различных уровней: социальный (изучаются связи с другими хостами), функциональный (сервер? клиент? узел пиринговой сети?), приложений (взаимодействие между определенными портами конкретных хостов) и специфической динамики для определения происхождения приложения.

Поскольку компании, предлагающие пиринговые услуги типа Skype, продолжают создавать новые способы избегать обнаружения своего трафика, новые энтропийные методы классификации типа "classification in the dark" станут надежным подспорьем сетевым администраторам, желающим полностью контролировать трафик в своих сетях.

Дмитрий

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/7720/ob-identifikatsii-trafika-skype-v-lokalnyih-setyah.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться