1

Herzlich Willkommen

Skype – Die Bedrohung aus dem Internet

Skype – Die Bedrohung aus dem InternetDipl.-Ing.(FH) Daniel Ruby | FH-Dozent IT Security | FH St. Pölten

Netzwerk Security 2007Was sollen wir tun?

P2P Problematik

Skype – Ein P2P Derivat

Detecting Skype

Firewall GatewaySecure Web Proxy

Endpoint Security

Skype - Die Bedrohung aus dem Internet

Skype

2

Netzwerk Security 2007

Die Gegner Ihrer Unternehmenskommunikation

Angriffe von AussenHacker-AngriffeViren, Würmer, Spyware & CoSpam

Bedrohungen von InnenNetzwerkzugriff nicht autorisierter PersonenUnzufriedene Mitarbeiter

Connectivity Probleme / DesasterMenschliches Versagen, z.B. bei Ihrem ProviderUnvorhersehbare Pannen, z.B. bei Bauarbeiten

Traffic ManagementP2P Traffic

Skype - Die Bedrohung aus dem Internet

P2P − Die Probleme

Boom von P2P-Tauschbörsen

Kostenfaktor P2P Riesiege Datenmengen“File Sharing” belegt mehr Bandbreite im Internet als das WWWBeeinträchtigter Datendurchsatz anderer Dienste & ApplikationenAnteil am Gesamt Traffic: 30% (tagsüber) und 70% (nachts)

“unsoziales” NetzwerkverhaltenWas ist mit dem “fair-use” Prinzip?

Fragwürdiger Inhaltcopyright VerletzungenIllegealer Inhalt

Skype - Die Bedrohung aus dem Internet

3

Was P2P Nutzer “teilen” (1)

Source: ipoque P2P Survey 2006

Skype - Die Bedrohung aus dem Internet

Was P2P Nutzer “teilen” (2)

Source: ipoque P2P Survey 2006

Skype - Die Bedrohung aus dem Internet

4

Evolution der P2P Technologie

fixed portsmost early P2P networks, incl. Napster, Fasttrack, eDonkey

port hopping and probingbasically all current P2P protocols

protocol obfuscationBitTorrent, eDonkey

full encryptionBitTorrent, (Freenet)

�1999 �2007

Skype - Die Bedrohung aus dem Internet

DPI - Funktionsweise

Deep Packet Inspection (DPI)Gütesiegel für NetzwerksicherheitLayer 2 – 7 information kann ausgewertet werden

Skype - Die Bedrohung aus dem Internet

5

DPI – Datenstrom Klassifizierung

Klassifizierung des DatenstromsAnalyse per Port - Das Port 80 Syndrom

Limewire 6346/6347 TCP/UDP Morpheus 6346/6347 TCP/UDP BearShare default 6346 TCP/UDPEdonkey 4662/TCP EMule 4662/TCP 4672/UDPBittorrent 6881-6889 TCP/UDPWinMx 6699/TCP 6257/UDP

Software erlaubt den Port zu ändern bzw. wechselt selbständig dynamisch die verwendeten Ports.

Skype - Die Bedrohung aus dem Internet

DPI – Datenstrom Klassifizierung

Klassifizierung des DatenstromsAnalyse per String Match (textual characters, numeric values)

False positives ?!?!

Skype - Die Bedrohung aus dem Internet

6

DPI – Datenstrom Klassifizierung

Klassifizierung des DatenstromsAnalyse per “numerical properties” des IP-flowsPayload length, number of packets sent, session establishment

Skype prior to 2.0 numerical analysis

Skype - Die Bedrohung aus dem Internet

Umgang mit P2P Traffic

Need to support all major protocolsoften only 2-3 protocols dominate, but...users switch to new networks as old ones cease to work

Regular signature updatespermanent monitoring of P2P community

Throttling vs. blockingblock -> users will try to circumvent filtering (Überlisten!)throttling -> could be a network/peer problem (Traffic Shaping!!!)

Skype - Die Bedrohung aus dem Internet

7

Skype − Popularität

Skype hat sich zu einer der am meist genutzten Internetapplikationen entwickelt

171 Millionen registrierte Benutzer (Stand: Ende 2006)129% Zuwachs im Jahr 2006

7-9 Millionen User gleichzeitig online

Große Unterschiede im Nutzungsverhalten40-50% mehr User unter der Arbeitszeit25% mehr User an Wochentagen

Längere Gesprächsdauer im vergleich zu POTS∅ PSTN: 3 Minuten∅ Skype: 13 MinutenSkype Gespräche sind gratis!

Skype - Die Bedrohung aus dem Internet

Technische Grundlagen

Peer-to-peer (P2P) Netzwerk ArchitekturSupernode Architekur vergleichbar mit KaZaa FastTrack Protokoll

Sehr einfach zu verwenden

Funktioniert in nahezu jedem Netzwerk(umgeht Firewalls und NATs)

advanced obfuscation techniquesBoth in the code and the network traffic

Generiert Netzwerk-Traffic im “Idle State”

Skype - Die Bedrohung aus dem Internet

8

Skype am Netzwerk

verwendet UDP und TCP, beides für Signalisierung und Kommunikation

Keine fixen Portsa UDP port is randomly selected at installation time and used for all UDP dataHTTP and HTTPS ports (80 & 443) can be used

Funktioniert auch hinter FirewallsThere is nothing firewalls can evaluate (such as port numbers, payload patterns)

Funktioniert hinter NAT gatewaysuses NAT hole punching techniques similar to STUN and TURNOnly requires a single connection to a supernode initiated by the client to be fully operational

Skype - Die Bedrohung aus dem Internet

NAT Traversal

Das Firewall/NAT Problem

Eingehende Calls können nicht aufgebaut werden

Default Firewall Policy – Sessions nur von innen nach aussen!

NAT (PAT Tables) – keine Möglichkeit incoming packets auf public-IP der entprechenden private-IP weiter zu leiten.

Lösung: NAT Traversal mit UDP Hole Punching!

STUN (Simple Traversal of UDP over NAT)

TURN (Traversal using Relay NAT)

Skype - Die Bedrohung aus dem Internet

9

UDP Hole Punching

Funktionsweise (1)

Skype - Die Bedrohung aus dem Internet

UDP Hole Punching

Funktionsweise (2)

Skype - Die Bedrohung aus dem Internet

10

UDP Hole Punching

Funktionsweise (3)

Skype - Die Bedrohung aus dem Internet

Voraussetzungen für Hole Punching

consistent identity-preserving Endpoint Translation Cone NAT -> STUN

Skype - Die Bedrohung aus dem Internet

11

Cone NAT vs. symmetric NAT

symmetric NAT -> TURN

Skype - Die Bedrohung aus dem Internet

Supernodes

Supernodes (SN)implement the Global Index, the Skype user directoryessential for the proper operation

Relay nodes (RN)call forwarding for clients behind NAT gateways

Differentiation between SN and RN not clearEvery client with a public IP and sufficient resources can become a SN or RN

This can only be disabled for the latest Windows client by tweaking the RegistryEasier to become a RN

Estimate: >250,000 supernodes worldwide

Skype - Die Bedrohung aus dem Internet

12

Bandbreiten Auslastung

Idle State – keine aktiven Gespräche0-0.5 kBytes/s mainly for contact presence updates0.5*3600*24*30=1.2GBytes/month (!)

Traffic pro Call3-16kBytes/s

Relay nodes (Gesprächsvermittler)X*3-16kBytes/s, but how big is X?Relayed file transfers capped at 1kByte/s

Supernodes<5kBytes/s (?)Connections to many other clientsPotential problems for firewalls, routers and other network devices

Skype - Die Bedrohung aus dem Internet

Skype Detektion

Skype Detection – die Herausforderung

Skype verwendet keine „well-known Ports“ und keine fixen Server IP Adressen

Bit Patterns nicht ausreichend für ErkennungBeinahe der gesamte Traffic ist verschlüsseltBekannte Patterns decken nur einen Teil des Skype Traffics abPatterns ändern sich mit jeder Skype VersionEin Beispiel: Falls Skype Port 443 verwendet, wird ein HTTPS Verbindungsaufbau simuliert

Wird eine Skype Verbindung geblockt, so versucht das Programm sofort einen anderen Weg zu finden (z.B. anderer Port, anderes Transportprotokoll)

Skype - Die Bedrohung aus dem Internet

13

Skype Abwehr am Gateway

Skype Abwehr am GatewayPeer2Peer Detection

Firewall erkennt Charakteristika der Skype Verbindungen

Firewall kann Verbindungen entweder blockieren oder Übertragungsrate einschränken

Skype - Die Bedrohung aus dem Internet

Skype Abwehr am Gateway

Skype Abwehr am Gateway (1)

Skype kann HTTP Proxies für Verbindungsaufbau benutzen

SSL Handshake wird simuliert um HTTP Proxies zu überlistenHTTPS Verbindungen werden von Skype zu IP Adressen aufgebautBlockieren aller HTTPS Sessions zu IP Adressen möglich, aber häufig nicht praktikabel

Aufbrechen der HTTPS Verbindung notwendig um Skype Verkehr (SkypeProtokolle) erkennbar zu machen

Skype - Die Bedrohung aus dem Internet

14

Skype Abwehr am Gateway

Skype Abwehr am Gateway (2)

SSL-Proxy

Aufbrechen von Skype HTTPS Verbindungen möglich mit SSL-Proxies

In weiterer Folge Erkennung/Reaktion nun möglich – Proxy wird die Verbindung droppen, da es sich nicht um HTTP/HTTPS handelt

Skype - Die Bedrohung aus dem Internet

Skype Abwehr – SSL Proxy

Skype Abwehr am Gateway (3)

SSL-Proxy

virus scannerURL filter

SSL-Proxyoutbound

LAN Client

verschlüsselt

entschlüsselt

Internet

HTTPS Server

SSL-Proxyinbound

Skype - Die Bedrohung aus dem Internet

15

Skype Abwehr – SSL Proxy

Skype Abwehr am Gateway (4)

SSL-Proxy

Um die Verschlüsselung einer HTTPS Verbindung aufzubrechen, ist es notwendig 2 verschiedene SSL/TLS Tunnel aufzubauen

Der Client baut eine Verbindung zum SSL-Proxy auf, nicht zum Ziel Server

Der Client erhält nicht das Server Zertifikat, sondern ein neues vom Proxy generiertes, das als Common Name den Namen des Zielservers beeinhält

Der SSL-Proxy überprüft Server Zertifikate und verweigert Verbindungen, falls zB das Zertifikat abgelaufen ist

Das Zertifikat des SSL-Proxy sollte in den „Trusted CA“ des Browsers importiert werden

Skype - Die Bedrohung aus dem Internet

Skype Abwehr – am Client

Skype Abwehr am ClientEndpoint Security

Mittels Verwendung von „Endpoint Security“ Produkten die Skype Abwehr bereits am Client durchführen

Mittels verteilbaren Personal Firewall Regeln explizit dem Programm skype.exe Berechtigungen entziehen, Traffic mit Ursprung „Skype“ also explizit blockieren

Mittels Registry Checks überprüfen ob Skype auf einem Windows Client installiert ist. Als Folge, je nach Funktionalität des Endpoint Security Clients, Änderung des Gesundheitszustandes des Windows Clients

Skype - Die Bedrohung aus dem Internet

16

Skype Abwehr – am Client

Skype Abwehr am ClientEndpoint Security

Nicht vertraute Zone

Grenz-Zone

Geschützte ZoneVPN server

NAP client

DHCP server

Router, etc

Remediationservers

Active Directory

Firewall + NetworkPolicyservers

Server

Skype - Die Bedrohung aus dem Internet

Danke!

Skype - Die Bedrohung aus dem Internet