Upload
nguyenthien
View
222
Download
0
Embed Size (px)
Citation preview
1
Herzlich Willkommen
Skype – Die Bedrohung aus dem Internet
Skype – Die Bedrohung aus dem InternetDipl.-Ing.(FH) Daniel Ruby | FH-Dozent IT Security | FH St. Pölten
Netzwerk Security 2007Was sollen wir tun?
P2P Problematik
Skype – Ein P2P Derivat
Detecting Skype
Firewall GatewaySecure Web Proxy
Endpoint Security
Skype - Die Bedrohung aus dem Internet
Skype
2
Netzwerk Security 2007
Die Gegner Ihrer Unternehmenskommunikation
Angriffe von AussenHacker-AngriffeViren, Würmer, Spyware & CoSpam
Bedrohungen von InnenNetzwerkzugriff nicht autorisierter PersonenUnzufriedene Mitarbeiter
Connectivity Probleme / DesasterMenschliches Versagen, z.B. bei Ihrem ProviderUnvorhersehbare Pannen, z.B. bei Bauarbeiten
Traffic ManagementP2P Traffic
Skype - Die Bedrohung aus dem Internet
P2P − Die Probleme
Boom von P2P-Tauschbörsen
Kostenfaktor P2P Riesiege Datenmengen“File Sharing” belegt mehr Bandbreite im Internet als das WWWBeeinträchtigter Datendurchsatz anderer Dienste & ApplikationenAnteil am Gesamt Traffic: 30% (tagsüber) und 70% (nachts)
“unsoziales” NetzwerkverhaltenWas ist mit dem “fair-use” Prinzip?
Fragwürdiger Inhaltcopyright VerletzungenIllegealer Inhalt
Skype - Die Bedrohung aus dem Internet
3
Was P2P Nutzer “teilen” (1)
Source: ipoque P2P Survey 2006
Skype - Die Bedrohung aus dem Internet
Was P2P Nutzer “teilen” (2)
Source: ipoque P2P Survey 2006
Skype - Die Bedrohung aus dem Internet
4
Evolution der P2P Technologie
fixed portsmost early P2P networks, incl. Napster, Fasttrack, eDonkey
port hopping and probingbasically all current P2P protocols
protocol obfuscationBitTorrent, eDonkey
full encryptionBitTorrent, (Freenet)
�1999 �2007
Skype - Die Bedrohung aus dem Internet
DPI - Funktionsweise
Deep Packet Inspection (DPI)Gütesiegel für NetzwerksicherheitLayer 2 – 7 information kann ausgewertet werden
Skype - Die Bedrohung aus dem Internet
5
DPI – Datenstrom Klassifizierung
Klassifizierung des DatenstromsAnalyse per Port - Das Port 80 Syndrom
Limewire 6346/6347 TCP/UDP Morpheus 6346/6347 TCP/UDP BearShare default 6346 TCP/UDPEdonkey 4662/TCP EMule 4662/TCP 4672/UDPBittorrent 6881-6889 TCP/UDPWinMx 6699/TCP 6257/UDP
Software erlaubt den Port zu ändern bzw. wechselt selbständig dynamisch die verwendeten Ports.
Skype - Die Bedrohung aus dem Internet
DPI – Datenstrom Klassifizierung
Klassifizierung des DatenstromsAnalyse per String Match (textual characters, numeric values)
False positives ?!?!
Skype - Die Bedrohung aus dem Internet
6
DPI – Datenstrom Klassifizierung
Klassifizierung des DatenstromsAnalyse per “numerical properties” des IP-flowsPayload length, number of packets sent, session establishment
Skype prior to 2.0 numerical analysis
Skype - Die Bedrohung aus dem Internet
Umgang mit P2P Traffic
Need to support all major protocolsoften only 2-3 protocols dominate, but...users switch to new networks as old ones cease to work
Regular signature updatespermanent monitoring of P2P community
Throttling vs. blockingblock -> users will try to circumvent filtering (Überlisten!)throttling -> could be a network/peer problem (Traffic Shaping!!!)
Skype - Die Bedrohung aus dem Internet
7
Skype − Popularität
Skype hat sich zu einer der am meist genutzten Internetapplikationen entwickelt
171 Millionen registrierte Benutzer (Stand: Ende 2006)129% Zuwachs im Jahr 2006
7-9 Millionen User gleichzeitig online
Große Unterschiede im Nutzungsverhalten40-50% mehr User unter der Arbeitszeit25% mehr User an Wochentagen
Längere Gesprächsdauer im vergleich zu POTS∅ PSTN: 3 Minuten∅ Skype: 13 MinutenSkype Gespräche sind gratis!
Skype - Die Bedrohung aus dem Internet
Technische Grundlagen
Peer-to-peer (P2P) Netzwerk ArchitekturSupernode Architekur vergleichbar mit KaZaa FastTrack Protokoll
Sehr einfach zu verwenden
Funktioniert in nahezu jedem Netzwerk(umgeht Firewalls und NATs)
advanced obfuscation techniquesBoth in the code and the network traffic
Generiert Netzwerk-Traffic im “Idle State”
Skype - Die Bedrohung aus dem Internet
8
Skype am Netzwerk
verwendet UDP und TCP, beides für Signalisierung und Kommunikation
Keine fixen Portsa UDP port is randomly selected at installation time and used for all UDP dataHTTP and HTTPS ports (80 & 443) can be used
Funktioniert auch hinter FirewallsThere is nothing firewalls can evaluate (such as port numbers, payload patterns)
Funktioniert hinter NAT gatewaysuses NAT hole punching techniques similar to STUN and TURNOnly requires a single connection to a supernode initiated by the client to be fully operational
Skype - Die Bedrohung aus dem Internet
NAT Traversal
Das Firewall/NAT Problem
Eingehende Calls können nicht aufgebaut werden
Default Firewall Policy – Sessions nur von innen nach aussen!
NAT (PAT Tables) – keine Möglichkeit incoming packets auf public-IP der entprechenden private-IP weiter zu leiten.
Lösung: NAT Traversal mit UDP Hole Punching!
STUN (Simple Traversal of UDP over NAT)
TURN (Traversal using Relay NAT)
Skype - Die Bedrohung aus dem Internet
9
UDP Hole Punching
Funktionsweise (1)
Skype - Die Bedrohung aus dem Internet
UDP Hole Punching
Funktionsweise (2)
Skype - Die Bedrohung aus dem Internet
10
UDP Hole Punching
Funktionsweise (3)
Skype - Die Bedrohung aus dem Internet
Voraussetzungen für Hole Punching
consistent identity-preserving Endpoint Translation Cone NAT -> STUN
Skype - Die Bedrohung aus dem Internet
11
Cone NAT vs. symmetric NAT
symmetric NAT -> TURN
Skype - Die Bedrohung aus dem Internet
Supernodes
Supernodes (SN)implement the Global Index, the Skype user directoryessential for the proper operation
Relay nodes (RN)call forwarding for clients behind NAT gateways
Differentiation between SN and RN not clearEvery client with a public IP and sufficient resources can become a SN or RN
This can only be disabled for the latest Windows client by tweaking the RegistryEasier to become a RN
Estimate: >250,000 supernodes worldwide
Skype - Die Bedrohung aus dem Internet
12
Bandbreiten Auslastung
Idle State – keine aktiven Gespräche0-0.5 kBytes/s mainly for contact presence updates0.5*3600*24*30=1.2GBytes/month (!)
Traffic pro Call3-16kBytes/s
Relay nodes (Gesprächsvermittler)X*3-16kBytes/s, but how big is X?Relayed file transfers capped at 1kByte/s
Supernodes<5kBytes/s (?)Connections to many other clientsPotential problems for firewalls, routers and other network devices
Skype - Die Bedrohung aus dem Internet
Skype Detektion
Skype Detection – die Herausforderung
Skype verwendet keine „well-known Ports“ und keine fixen Server IP Adressen
Bit Patterns nicht ausreichend für ErkennungBeinahe der gesamte Traffic ist verschlüsseltBekannte Patterns decken nur einen Teil des Skype Traffics abPatterns ändern sich mit jeder Skype VersionEin Beispiel: Falls Skype Port 443 verwendet, wird ein HTTPS Verbindungsaufbau simuliert
Wird eine Skype Verbindung geblockt, so versucht das Programm sofort einen anderen Weg zu finden (z.B. anderer Port, anderes Transportprotokoll)
Skype - Die Bedrohung aus dem Internet
13
Skype Abwehr am Gateway
Skype Abwehr am GatewayPeer2Peer Detection
Firewall erkennt Charakteristika der Skype Verbindungen
Firewall kann Verbindungen entweder blockieren oder Übertragungsrate einschränken
Skype - Die Bedrohung aus dem Internet
Skype Abwehr am Gateway
Skype Abwehr am Gateway (1)
Skype kann HTTP Proxies für Verbindungsaufbau benutzen
SSL Handshake wird simuliert um HTTP Proxies zu überlistenHTTPS Verbindungen werden von Skype zu IP Adressen aufgebautBlockieren aller HTTPS Sessions zu IP Adressen möglich, aber häufig nicht praktikabel
Aufbrechen der HTTPS Verbindung notwendig um Skype Verkehr (SkypeProtokolle) erkennbar zu machen
Skype - Die Bedrohung aus dem Internet
14
Skype Abwehr am Gateway
Skype Abwehr am Gateway (2)
SSL-Proxy
Aufbrechen von Skype HTTPS Verbindungen möglich mit SSL-Proxies
In weiterer Folge Erkennung/Reaktion nun möglich – Proxy wird die Verbindung droppen, da es sich nicht um HTTP/HTTPS handelt
Skype - Die Bedrohung aus dem Internet
Skype Abwehr – SSL Proxy
Skype Abwehr am Gateway (3)
SSL-Proxy
virus scannerURL filter
SSL-Proxyoutbound
LAN Client
verschlüsselt
entschlüsselt
Internet
HTTPS Server
SSL-Proxyinbound
Skype - Die Bedrohung aus dem Internet
15
Skype Abwehr – SSL Proxy
Skype Abwehr am Gateway (4)
SSL-Proxy
Um die Verschlüsselung einer HTTPS Verbindung aufzubrechen, ist es notwendig 2 verschiedene SSL/TLS Tunnel aufzubauen
Der Client baut eine Verbindung zum SSL-Proxy auf, nicht zum Ziel Server
Der Client erhält nicht das Server Zertifikat, sondern ein neues vom Proxy generiertes, das als Common Name den Namen des Zielservers beeinhält
Der SSL-Proxy überprüft Server Zertifikate und verweigert Verbindungen, falls zB das Zertifikat abgelaufen ist
Das Zertifikat des SSL-Proxy sollte in den „Trusted CA“ des Browsers importiert werden
Skype - Die Bedrohung aus dem Internet
Skype Abwehr – am Client
Skype Abwehr am ClientEndpoint Security
Mittels Verwendung von „Endpoint Security“ Produkten die Skype Abwehr bereits am Client durchführen
Mittels verteilbaren Personal Firewall Regeln explizit dem Programm skype.exe Berechtigungen entziehen, Traffic mit Ursprung „Skype“ also explizit blockieren
Mittels Registry Checks überprüfen ob Skype auf einem Windows Client installiert ist. Als Folge, je nach Funktionalität des Endpoint Security Clients, Änderung des Gesundheitszustandes des Windows Clients
Skype - Die Bedrohung aus dem Internet
16
Skype Abwehr – am Client
Skype Abwehr am ClientEndpoint Security
Nicht vertraute Zone
Grenz-Zone
Geschützte ZoneVPN server
NAP client
DHCP server
Router, etc
Remediationservers
Active Directory
Firewall + NetworkPolicyservers
Server
Skype - Die Bedrohung aus dem Internet
Danke!
Skype - Die Bedrohung aus dem Internet