Проблемы при несанкционированном использовании Skype:
Пиринговый протокол Skype целенаправленно обходит сетевые политики безопасности и увеличивает информационные риски организации. Трафик приложения практически невозможно контролировать такими традиционными средствами сетевой безопасности, как пакетные фильтры и межсетевые экраны.
Зачем блокировать Skype?
Определение Skype трафика является сложной задачей, так как приложение случайным образом выбирает IP адреса и порты для соединения с сетью Skype и использует стандартные открытые порты на межсетевом экране.
Если оба пользователя находятся в сетях, контролируемых межсетевыми экранами с NAT и ограничением UDP, то оба Skype клиента обмениваются сигналами вызова по TCP с любым другим online Skype узлом, который также пересылает данные между участниками связи.
Посылка вызова всегда происходит по протоколу TCP. Для вызова пользователя, не отображенного в списке контактов, предварительно происходит его поиск. Если инициатор соединения находится за NAT, а адресат имеет внешний IP адрес, то процесс вызова и передачи данных происходит через online доступный узел-посредник Skype с внешним IP адресом, который перенаправляет получателю сигнал вызова по TCP, а данные по UDP.
Установление и окончание вызова
Skype использует технологию Global Index для поиска других пользователей. Разработчик Skype заявляет, что технология поиска является распределенной и гарантирует нахождение пользователя, если он существует и входил в систему в течение 72-х часов. Результаты поиска кешируются на узлах-посредниках.
Поиск пользователей (User search)
Если передача UDP пакетов ограничена на межсетевом экране, то клиент Skype пытается установить соединение, используя номера TCP портов, указанных в списке суперузлов. Если TCP соединение по этим портам не устанавливается, то клиент использует TCP порты 80 и 443. Во многих случаях межсетевой экран интерпретирует Skype трафик как HTTP/HTTPS и пропускает его.
Как только клиент «решает проблему» с NAT, он пытается войти в сеть Skype при помощи посылки UDP пакетов к суперузлу (Skype Supernode) используя данные из локального списка таких узлов. Этот список содержит информацию о IP адресах и портах суперузлов, которые могут принимать запросы. Если этот список пуст, то клиент пытается соединиться напрямую со Skype Login сервером, где получает актуальный список суперузлов. Любой компьютер с запущенным Skype, непосредственно подключенный к Интернет, может стать суперузлом.
Когда пользователь устанавливает и запускает Skype, приложение пытается определить, за каким типом NAT устройства оно расположено. Стандартные UDP пакеты имеют проблемы с прохождением через устройства с сетевой трансляцией адреса, поэтому UDP протокол использует механизм STUN (Simple Traversal of UDP through NAT) для определения того, какой тип NAT используется. Если NAT соответствует типу Full Cone, Restricted Cone или Port Restricted, то Skype получает информацию о внешнем порте и IP адресе, которые удаленные приложения могут использовать для передачи UDP пакетов этому клиенту. Если применяется Symmetrical NAT (обычно в больших корпоративных сетях), то Skype клиент не может получить такую информацию, так как NAT сопоставляет каждую уникальную пару порт/IP с разными, внешне видимыми парами. В этом случае Skype использует технологию TURN (Traversal Using Relay NAT), которая вызывает значительные задержки при коммуникации, но приложение остается работоспособным.
Вход в систему (Log in)
Принцип работы Skype
Руководство компании должно принять решение, будут ли преимущества использования Skype перекрывать указанные недостатки и установить соответствующие политики в рамках организации. В некоторых случаях необходимо разрешить пользоваться приложением только определенным сотрудникам или подразделениям при общем запрете использования Skype.
Для организаций существуют и отрицательные стороны применения Skype. Во-первых, невозможность управления содержимым и отсутствие центрального журнала звонков означает, что вирусы и шпионские программы могут незаметно проникнуть в корпоративную сеть, а конфиденциальная информация ее покинуть. Во-вторых, голосовые и видео звонки не могут быть записаны, так как шифрование является закрытым, это делает использование Skype невозможным в организациях, которые должны соответствовать требованиям регулирующих органов о регистрации связи.
Для работы Skype использует проприетарный закрытый протокол на основе механизма Peer-To-Peer (P2P). В Skype применяются современные технологии – разговор потребляет небольшой объем трафика, данные передаются в зашифрованном виде, а попытки блокирования приложения на пакетных фильтрах, как правило, неудачны. Кроме того, Skype показывает «присутствие» пользователя в сети и может использовать другие компьютеры с запущенным приложением, как передающее звено для своих сообщений.
Skype – это публичное бесплатное приложение, которое позволяет пользователям звонить друг другу с компьютера на компьютер и создавать конференцию между несколькими участниками на основе протокола передачи голоса по IP (Voice over IP). При помощи Skype можно делать исходящие звонки на стационарные телефоны (технология Skype-out), принимать входящие звонки (Skype-in), проверять и оставлять сообщения голосовой почты, совершать обмен мгновенными сообщениями, передавать файлы и делать видео звонки. На сайте производителя сообщается, что клиент Skype был загружен более 250 миллионов раз по всему миру.
Как блокировать Skype?
СОВИТ - Как блокировать Skype?
Комментариев нет:
Отправить комментарий