Pagine

giovedì 28 settembre 2006

Redco Telematica: Come bloccare Skype...

Quando si parla di Skype si trovano generalmente due fazioni opposte: quelli che amano Skype e quelli che lo odiano. Dalla parte di chi odia Skype solitamente si schierano gli amministratori di rete e chiunque debba garantire un certo livello di sicurezza aziendale.
Non c'è dubbio che la facilità di installazione di Skype e la capacità di funzionare a prescindere dalla tipologia di accesso ad Internet e dai livelli di sicurezza implementati, ne abbiano fatto una applicazione molto diffusa. Il costo nascosto viene però pagato in termini di sicurezza: Skype, infatti, adotta un serie di tecniche in perfetto stile "worm", che gli permettono di accedere alla rete in modo diretto, anche quando ciò non è permesso o addirittura bloccato dalle policy aziendali. Se a queste peculiarità aggiungiamo le vulnerabilità del software identificate ( http://secunia.com/advisories/17305/), possiamo immaginare i problemi a cui un IT Manager potrà andare incontro.
Alcuni produttori hanno percepito il problema e sono già disponibili soluzioni in grado di bloccare Skype. E' altresì vero che una pura strategia di blocco possa risultare eccessiva, in quanto Skype è anche un utile strumento di lavoro. Prima di valutare la possibile soluzione cerchiamo di analizzare perché è così difficile limitare l'uso di questo software:
• Skype funziona con la logica del peer to peer: non ha server centrali, ma assegna ad alcuni utenti in modo dinamico, il ruolo di supernodi. Una piccola parte delle loro risorse di banda, memoria e Cpu, sarà usato dal network per effettuare telefonate. Chi installa Skype accetta praticamente la possibilità di diventare supernodo inconsapevole e, in cambio di telefonate gratis, di cedere parte delle proprie risorse a beneficio della Skype Community.
• Skype è una applicazione aggressiva che si auto-adatta all'ambiente di rete in cui viene installato, ed è progettato per raggiungere Internet, ad ogni costo.
• Le sessioni Skype utilizzano una crittografia asimmetrica con chiave AES di 256bit. Risulta quindi chiaro come possa essere molto complesso intercettare il protocollo, decodificarlo e quindi bloccarlo.
• La connessione iniziale uscente di Skype può utilizzare una qualsiasi combinazione dinamica di porte TCP e UDP tra cui alcune porte che normalmente vengono lasciate aperte come la numero 80 (traffico web) e la numero 443 (traffico web SSL codificato). Questo rende i filtri tradizionali a livello di porta totalmente inefficaci.
• Tentare di identificare quali server vengono utilizzati da Skype, è una battaglia persa in partenza, poiché gli indirizzi IP cambiano in continuazione.


• Esistono sul mercato soluzioni come SkypeKiller, nate appositamente per fronteggiare il fenomeno Skype. Il software, intrusivo e con la necessità di essere utilizzato con diritti di amministratore di rete, non fa nient'altro che rimuovere Skype dai client di rete. La soluzione è però molto drastica e non permette un reale controllo dell'utilizzo del software.

Una soluzione alternativa e funzionale è individuabile in Websense, che è in grado di identificare, monitorare e bloccare il traffico generato da Skype, in modo completamente trasparente, agendo come un IDS e analizzando il traffico da/verso Internet. La granularità di configurazione del prodotto permette, in una prima fase di monitorare l'uso che si fa di Skype in Azienda e, successivamente, di creare profili di utenza personalizzati, tali da inibire o limitare l'uso di Skype. Gli utenti potranno essere identificati trasparentemente per nome utente Windows, LDAP, indirizzo IP e le politiche potranno essere abilitate per giorni della settimana e per fasce orarie.
Controllare l'uso aziendale di una applicazione "rischiosa ma utile", risulta essere molto più produttivo che bloccarla a priori.
L'utente non abilitato all'uso di Skype, si troverà la seguente "sorpresa" :
Siamo presenti a SMAU Pad.12 Stand F48 G47
Potrete toccare con mano, quello che gli altri ancora dicono di poter fare…
(Redatto con contributo tratto da http://voipnews.it/2005/12/22/come-bloccare-skype

per maggiori informazioni: Redco Telematica Spa
marketing@redco.it www.redco.it tel.0331.397600

Nessun commento:

Posta un commento