Многие пользователи воспринимают Skype как атрибут частной жизни — полезное и недорогое решение для Internet-телефонии и мгновенного обмена сообщениями. Однако насколько применима эта нестандартная технология в корпоративной области? Справедливы ли постоянно высказываемые сомнения в снижении уровня безопасности?

В системе Skype используется собственный разработанный производителем протокол для Internet-телефонии, который базируется на технологии Kazaa. Клиентская программа инсталлируется очень просто и работает в самых разных условиях, в том числе при наличии межсетевого экрана и системы преобразования адресов (Network Address Translation, NAT). Skype можно сравнить с приложениями Microsoft Windows Live Messenger или Yahoo Instant Messenger для обмена мгновенными сообщениями. Она адресована главным образом индивидуальным пользователям, но ее одноименный производитель, дочернее предприятие компании eBay, пытается войти с новыми предложениями и в корпоративный сектор. В этой связи имеет смысл присмотреться к технологии Skype повнимательнее и описать последствия ее использования в профессиональных средах. Заметим, что Skype и так уже незаметно проникла на предприятия, причем администраторы ИТ не всегда об этом знают.

Skype предлагает все услуги, свойственные современной структуре мгновенного обмена сообщениями (Instant Messaging, IM):

  • SkypeIn — звонок клиенту из сети общего пользования. По умолчанию эта опция не предоставляется, телефонный номер предоставляется за отдельную плату;
  • SkypeOut — звонок абоненту сети общего пользования;
  • конференции, голосовая почта, SMS и переадресация звонков;
  • Skype Zones (зоны Skype) — звонки из точек общего беспроводного доступа, поддерживающих эту услугу.

ОДНОРАНГОВАЯ АРХИТЕКТУРА

Skype формирует одноранговую сеть (Peer-to-Peer, P2P) «третьего поколения» (Originalton Skype): каждый участник коммуникации может связаться с любым другим и организует свои контакты сам. Кроме того, каждый равноправный пользователь (партнер) этой сети может выступать для другого в роли ретранслятора или компьютера для обработки. Skype упоминает об этих возможностях в «Лицензионном соглашении с конечным пользователем» (статья 4.1).

Фактически любой участник одноранговой сети может выполнять следующие действия:

  • связываться с другим участником и обмениваться с ним информацией;
  • использовать участника для дальнейшей передачи (ретрансляции) информации;
  • брать на себя выполнение задач участника и предоставлять для этого свои ресурсы.

При наложении одноранговой сети Р2Р на корпоративную сеть возникает серьезный риск для безопасности и пропускной способности последней. В этой связи компания Skype напоминает, что она «...в производственных целях предпринимает соответствующие усилия для обеспечения конфиденциальности и невредимости компьютерных ресурсов (или других используемых устройств) и защиты коммуникаций» («Лицензионное соглашение с конечным пользователем», статья 4.2).

К преимуществам одноранговой структуры относятся:

  • высокая масштабируемость — при увеличении числа компьютеров (участников) растут и ее ресурсы;
  • отказоустойчивость и надежность — отказ одного участника может быть компенсирован другими;
  • самоорганизация — нет необходимости в централизованном управлении системой, поскольку партнеры ищут и находят друг друга самостоятельно.

Кроме сервера регистрации никакие другие серверы не нужны. Одноранговая сеть состоит из следующих компонентов (см. Рисунок 1):

  • обычный хост (Ordinary Host, OH) — настольный компьютер, на котором работает клиент Skype. Он способен инициализировать звонки и отправлять текстовые сообщения;
  • суперузел (Super Node, SN) — конечный пункт для обычного хоста. Он передает информацию от обычного хоста в наложенную сеть, а также другому суперузлу или обычному хосту. В этом качестве может использоваться любой компьютер, обладающий открытым IP-адресом (даже если он расположен за NAT) и имеющий достаточное количество свободных ресурсов;
  • сервер регистрации позволяет получать доступ к системе и сохраняет регистрационные данные;
  • обход NAT/межсетевого экрана. Решение Skype создано по принципу шапки-невидимки и приспосабливается к обстоятельствам: если соединение UDP построить невозможно, Skype может воспользоваться имеющимся соединением ТСР, чтобы «пробить себе дыру» в межсетевом экране. Последний вряд ли распознает Skype, поскольку стандартные порты не используются. Однако системы обнаружения и предотвращения вторжений (Intrusion Detection System/Intrusion Prevention System, IDS/IPS) реагируют на Skype излишне чутко.

Рисунок 1. Одноранговая архитектура: компоненты сети Skype.
НЕЗАВИСИМЫЙ АНАЛИЗ SKYPE

Чтобы протестировать весь трафик данных Skype, автор провел собственное исследование. Тестовая среда состояла из компьютера под управлением Windows XP Professional, подключенного к Internet через NAT и межсетевой экран. Клиент был оснащен системой обнаружения вторжений (ZoneАlarm Pro) и антивирусным сканером. Параллельно с помощью свободно распространяемого инструмента Wireshark осуществлялся перехват данных в целях протокольного анализа. Эксперимент включал в себя регистрацию Skype и тестовый звонок.

Результаты превзошли все ожидания. Весь мир лежал «перед ногами» клиента (10.0.0.5): он построил соединения с 65 различными партнерами из разных стран. По большей части, правда, это были лишь попытки, однако реальный обмен данными удалось осуществить примерно с 12 партнерами (см. Рисунок 2). Из этого списка автор взял в качестве примера лишь один IP-адрес — 74.57.59.196, по которому с помощью инструмента Nslookup получил доменное имя modemcable196.59-57-74.mc.videotron.ca. Из структуры имени можно понять, что речь идет о пользователе, обслуживаемом провайдером Internet (Videotron) в Квебеке. Большей информации выяснить не удалось.

Рисунок 2. Одноранговый диалог (данные собраны с помощью Wireshark): в процессе тестирования клиент Skype построил соединения с 65 различными партнерами со всего мира.
Интерпретация отдельных пакетов бессмысленна, поскольку для Skype декодирование не предусмотрено. Можно узнать, что некоторые соединения были построены с сервером регистрации Skype (213.244.170.76 и 213.244.170.77). После тестового звонка аудиопоток идет и к серверу Skype. Определить, какая информация куда передается, нельзя. Поиск ошибок при подобном сценарии также невозможен: используемые порты разбросаны по всем областям, но в основном они имеют номер свыше 18000. Протоколы HTTP и HTTPS также применяются.

ВЫВОДЫ ДЛЯ КОРПОРАТИВНЫХ СЕТЕЙ

Курт Зауэр, директор по безопасности компании Skype в интервью, данном им в октябре 2006 г., объявил о ее ближайших планах, согласно которым в корпоративной области целевая группа ограничивается сектором малых и средних предприятий. При этом не ставится задача вынудить заказчика отказаться от имеющихся АТС и IP-АТС. Skype рассматривает свою систему как протокол для (видео-) телефонии и инструмент для «общественно-деловой коммуникации». Текущая маркетинговая стратегия Skype не преследует далеко идущих целей.

В качестве проблемных мест технологии Skype назовем следующие:

  • IDS/IPS — эти системы бурно реагируют на непривычные потоки данных Skype (так утверждала, к примеру, администрация государственного университета в Сан-Хосе, США), обработка же многочисленных сообщений об ошибках требует массу времени, а значит, и денег;
  • в рамках одноранговой технологии генерируются неконтролируемые потоки данных, поступающие на компьютеры, которые, во-первых, неизвестны, а во-вторых, не безопасны. В результате через компьютеры и сеть проходят значительные объемы данных. Поскольку все информационные потоки зашифрованы, а исходные коды Skype недоступны, остается лишь доверять компании-разработчику;
  • безопасность потоков данных — в Skype утверждают, что все информационные потоки шифруются, однако не говорит, какой метод при этом используется. В области безопасности информационных технологий надежными считаются только опубликованные методы шифрования. При отсутствии открытой информации невозможно проверить, насколько они защищены в действительности.

Skype придерживается следующих подходов к решению перечисленных проблем:

  • применение proxy-сервера — использование сервера SOCKS 5 должно предотвратить проникновение неконтролируемых потоков данных в доверительную сеть (trusted network). Тем самым можно решить проблему с системами IPS/IDS;
  • упрощение инсталляции — при помощи инсталляторов MSI систему Skype можно устанавливать централизованно. Кроме того, у администратора должна быть возможность запрета определенных служб.

Однако вытекающие из предпочтений производителя фундаментальные проблемы (одноранговая инфраструктура и шифрование) не удается устранить указанными способами.

Сегодня Skype находится на взлете, однако на корпоративном уровне технология может быть использована лишь в качестве островного решения, имеющего ограниченные возможности. Вряд ли она сможет стать полноценной заменой имеющимся телекоммуникационным решениям. Skype представляет интерес, скорее, для применения внутри предприятия, чтобы компенсировать, к примеру, отсутствие Microsoft NetMeeting. Причем сервер регистрации должен располагаться в пределах доверительной сети. Разумеется, существуют альтернативы, в частности, продукт Windows Live Messenger от Microsoft, заменивший своего предшественника.

Даже открытому стандарту для передачи голоса по IP — SIP — не удалось остаться в стороне от общего увлечения построением одноранговых сетей в стиле Skype, и комитеты по стандартизации активно обсуждают соответствующее определение стандарта P2P-SIP. Рабочая группа по этому вопросу должна быть сформирована на заседании IETF в Праге.

ЗАКЛЮЧЕНИЕ

Skype представляет собой специально разработанное производителем приложение и поэтому может решить поставленную задачу лучше, чем универсальные протоколы — SIP или H.323. Сомнения по поводу того, что же на самом деле Skype делает с информацией и где ее расшифровывает, приводят к заключению, что в средах, нуждающихся в высоком уровне обеспечения безопасности, этой технологии делать нечего. Однако в силу обстоятельств лицам, ответственным за ИТ, придется учиться находить с ней общий язык, поскольку пользователи, наделенные необходимыми правами, зачастую инсталлируют Skype на свой ноутбук.
В любом случае администраторам следует задуматься о способах взаимодействия со Skype. «Вторжение» уже началось.

Клаус Беккер — дипломированный инженер, глава компании Becker Training & Consulting (г. Меринг, Германия).


© AWi Verlag