Как блокировать трафик

Как блокировать Skype?

Skype – это публичное бесплатное приложение, которое позволяет пользователям звонить друг другу с компьютера на компьютер и создавать конференцию между несколькими участниками на основе протокола передачи голоса по IP (Voice over IP). При помощи Skype можно делать исходящие звонки на стационарные телефоны (технология Skype-out), принимать входящие звонки (Skype-in), проверять и оставлять сообщения голосовой почты, совершать обмен мгновенными сообщениями, передавать файлы и делать видео звонки. На сайте производителя сообщается, что клиент Skype был загружен более 250 миллионов раз по всему миру.

Для работы Skype использует проприетарный закрытый протокол на основе механизма Peer-To-Peer (P2P). В Skype применяются современные технологии – разговор потребляет небольшой объем трафика, данные передаются в зашифрованном виде, а попытки блокирования приложения на пакетных фильтрах, как правило, неудачны. Кроме того, Skype показывает «присутствие» пользователя в сети и может использовать другие компьютеры с запущенным приложением, как передающее звено для своих сообщений.

Для организаций существуют и отрицательные стороны применения Skype. Во-первых, невозможность управления содержимым и отсутствие центрального журнала звонков означает, что вирусы и шпионские программы могут незаметно проникнуть в корпоративную сеть, а конфиденциальная информация ее покинуть. Во-вторых, голосовые и видео звонки не могут быть записаны, так как шифрование является закрытым, это делает использование Skype невозможным в организациях, которые должны соответствовать требованиям регулирующих органов о регистрации связи.

Руководство компании должно принять решение, будут ли преимущества использования Skype перекрывать указанные недостатки и установить соответствующие политики в рамках организации. В некоторых случаях необходимо разрешить пользоваться приложением только определенным сотрудникам или подразделениям при общем запрете использования Skype.

Принцип работы Skype

Вход в систему (Log in)

Когда пользователь устанавливает и запускает Skype, приложение пытается определить, за каким типом NAT устройства оно расположено. Стандартные UDP пакеты имеют проблемы с прохождением через устройства с сетевой трансляцией адреса, поэтому UDP протокол использует механизм STUN (Simple Traversal of UDP through NAT) для определения того, какой тип NAT используется. Если NAT соответствует типу Full Cone, Restricted Cone или Port Restricted, то Skype получает информацию о внешнем порте и IP адресе, которые удаленные приложения могут использовать для передачи UDP пакетов этому клиенту. Если применяется Symmetrical NAT (обычно в больших корпоративных сетях), то Skype клиент не может получить такую информацию, так как NAT сопоставляет каждую уникальную пару порт/IP с разными, внешне видимыми парами. В этом случае Skype использует технологию TURN (Traversal Using Relay NAT), которая вызывает значительные задержки при коммуникации, но приложение остается работоспособным.

Как только клиент «решает проблему» с NAT, он пытается войти в сеть Skype при помощи посылки UDP пакетов к суперузлу (Skype Supernode) используя данные из локального списка таких узлов. Этот список содержит информацию о IP адресах и портах суперузлов, которые могут принимать запросы. Если этот список пуст, то клиент пытается соединиться напрямую со Skype Login сервером, где получает актуальный список суперузлов. Любой компьютер с запущенным Skype, непосредственно подключенный к Интернет, может стать суперузлом.

Если передача UDP пакетов ограничена на межсетевом экране, то клиент Skype пытается установить соединение, используя номера TCP портов, указанных в списке суперузлов. Если TCP соединение по этим портам не устанавливается, то клиент использует TCP порты 80 и 443. Во многих случаях межсетевой экран интерпретирует Skype трафик как HTTP/HTTPS и пропускает его.

Поиск пользователей (User search)

Skype использует технологию Global Index для поиска других пользователей. Разработчик Skype заявляет, что технология поиска является распределенной и гарантирует нахождение пользователя, если он существует и входил в систему в течение 72-х часов. Результаты поиска кешируются на узлах-посредниках.

Установление и окончание вызова

Посылка вызова всегда происходит по протоколу TCP. Для вызова пользователя, не отображенного в списке контактов, предварительно происходит его поиск. Если инициатор соединения находится за NAT, а адресат имеет внешний IP адрес, то процесс вызова и передачи данных происходит через online доступный узел-посредник Skype с внешним IP адресом, который перенаправляет получателю сигнал вызова по TCP, а данные по UDP.

Если оба пользователя находятся в сетях, контролируемых межсетевыми экранами с NAT и ограничением UDP, то оба Skype клиента обмениваются сигналами вызова по TCP с любым другим online Skype узлом, который также пересылает данные между участниками связи.

Определение Skype трафика является сложной задачей, так как приложение случайным образом выбирает IP адреса и порты для

соединения с сетью Skype и использует стандартные открытые порты на межсетевом экране.

Зачем блокировать Skype?

Пиринговый протокол Skype целенаправленно обходит сетевые политики безопасности и увеличивает информационные риски организации. Трафик приложения практически невозможно контролировать такими традиционными средствами сетевой безопасности, как пакетные фильтры и межсетевые экраны.

Проблемы при несанкционированном использовании Skype:

  • Неконтролируемый прием файлов через Skype может привести к попаданию в корпоративную сеть вирусов, программ-шпионов или других видов программного обеспечения, содержащего вредоносный код.
  • Неконтролируемая передача файлов через Skype увеличивает риск утечки конфиденциальной информации и позволяет сотрудникам обходить политики использования Instant Messaging (IM) приложений при отправке конфиденциальных данных.
  • Пользователи Skype могут потреблять значительное количество пропускной способности сети предприятия при видео звонках.
  • Компьютеры, на которых запущен Skype, могут участвовать в сети ботнетов для запуска атак типа «отказа в обслуживании» (DoS) или других видов атак.
  • Пользователи Skype могут использовать функционал IM для передачи конфиденциальных текстовых сообщений в режиме чата.
  • Весь трафик Skype шифруется с помощью собственной системы шифрования, поэтому никто из участников связи не может быть логирован или прослушан.

На сегодняшний день запрет несанкционированного использования Skype обычными средствами сетевой безопасности является неэффективным.

Контролировать трафик Skype можно только до передачи информации приложению (до шифрования). Это означает, что данные, введенные с клавиатуры или файлы, пересылаемые по Skype, должны анализироваться и регистрироваться программой-посредником до того, как они поступят на вход Skype клиента. Некоторые корпоративные решения по мониторингу действий пользователей позволяют это делать.

Способы блокирования Skype

Ограничение доступа на сетевом уровне

Чтобы предотвратить установление Skype соединений, необходимо совместно использовать межсетевой экран (МСЭ) и специализированный Web-шлюз.

1.Заблокировать все неиспользуемые открытые порты для исходящего трафика

При настройке межсетевого экрана администратор должен сначала заблокировать все порты, а затем открыть только те порты, которые необходимы для работы утвержденных корпоративных приложений.

2.Создать списки устройств и приложений, которым непосредственно разрешено передавать исходящий трафик через открытые порты

Настройки МСЭ должны разрешать использовать открытые порты только определенным устройствам, например, позволять исходящий трафик по 25 порту только почтовым серверам, а по 80 или 443 портам только прокси серверам. Таким образом, клиенты Skype будут пытаться войти в систему (соединиться с суперузлами) через Web-шлюз.

3.Заблокировать загрузку исполняемых файлов Skype

При помощи Web-шлюза блокировать как доступ к домену skype.com, так и загрузку исполняемого файла с URL-адресов, оканчивающихся на "skype.exe". Это позволит предотвратить появление нового программного обеспечения из Интернета.

4.Контролировать SSL трафик на Web-шлюзе

Специализированный Web-шлюз позволяет управлять портами служб приложений и сбрасывать клиентские подключения, если проходящие пакеты не соответствуют требуемому формату протокола. Протокол Skype не соответствует формату пакетов HTTP, поэтому исходящие подключения Skype по открытому на web-шлюзе 80 порту будут блокированы, что не повлияет на работу стандартных браузеров.

Если Web-шлюз контролирует SSL трафик, то попытка подключения по 443 порту также будет блокироваться, поскольку при обмене данных между Skype клиентами отсутствует SSL сертификат. Таким образом, любая попытка установить различные связи с суперузлом через эти порты будет неудачной, так как формат соединения Skype не соответствует формату стандартным приложениям HTTP и HTTPS.

Выборочная проверка SSL сертификатов Web-шлюзом позволяет обеспечить частичный доступ к Skype (например, отдельным пользователям или группам пользователей) при общем запрете приложения в организации.

Запрет запуска приложения на рабочих станциях

Существуют корпоративные продукты, которые позволяют контролировать запускаемые приложения на рабочих станциях и серверах. С их помощью можно частично ограничить или полностью запретить запуск исполнимого файла Skype. Особенностью таких продуктов является необходимость формирования «белого» списка приложений, разрешенных к запуску в операционной системе, все остальные приложения при этом блокируются.

Приложение Skype может принести как определенную пользу бизнес-процессам, так и оказать отрицательное влияние на уровень информационной безопасности. Поэтому каждая организация должна определить порядок применения Skype и прописать это в соответствующих политиках. Эффективно блокировать Skype возможно при помощи межсетевых экранов и специализированных Web-шлюзов. а также контролируя запуск разрешенных приложений. Анализировать трафик, передаваемый через Skype, можно только при помощи программ-посредников, которые устанавливаются на операционную систему и перехватывают данные, прежде чем они поступят на вход Skype клиента.

Источник: www.sovit.net

Категория: Безопасность

Похожие статьи: