docHerzlich Willkommen
download 
Report Transcription
Herzlich Willkommen
Skype – Die Bedrohung aus dem Internet Herzlich Willkommen Skype - Die Bedrohung aus dem Internet Skype Skype – Die Bedrohung aus dem Internet Dipl.-Ing.(FH) Daniel Ruby | FH-Dozent IT Security | FH St. Pölten ¾ Netzwerk Security 2007 ¾Was sollen wir tun? ¾ P2P Problematik ¾ Skype – Ein P2P Derivat ¾ Detecting Skype ¾ Firewall Gateway ¾ Secure Web Proxy ¾ Endpoint Security 1 Skype - Die Bedrohung aus dem Internet Netzwerk Security 2007 Die Gegner Ihrer Unternehmenskommunikation Angriffe von Aussen Hacker-Angriffe Viren, Würmer, Spyware & Co Spam Bedrohungen von Innen Connectivity Probleme / Desaster Netzwerkzugriff nicht autorisierter Personen Unzufriedene Mitarbeiter Menschliches Versagen, z.B. bei Ihrem Provider Unvorhersehbare Pannen, z.B. bei Bauarbeiten Traffic Management P2P Traffic Skype - Die Bedrohung aus dem Internet P2P − Die Probleme Boom von P2P-Tauschbörsen Kostenfaktor P2P Riesiege Datenmengen “File Sharing” belegt mehr Bandbreite im Internet als das WWW Beeinträchtigter Datendurchsatz anderer Dienste & Applikationen Anteil am Gesamt Traffic: 30% (tagsüber) und 70% (nachts) “unsoziales” Netzwerkverhalten Was ist mit dem “fair-use” Prinzip? Fragwürdiger Inhalt copyright Verletzungen Illegealer Inhalt 2 Skype - Die Bedrohung aus dem Internet Was P2P Nutzer “teilen” (1) Source: ipoque P2P Survey 2006 Skype - Die Bedrohung aus dem Internet Was P2P Nutzer “teilen” (2) Source: ipoque P2P Survey 2006 3 Skype - Die Bedrohung aus dem Internet Evolution der P2P Technologie fixed ports most early P2P networks, incl. Napster, Fasttrack, eDonkey port hopping and probing protocol obfuscation full encryption basically all current P2P protocols BitTorrent, eDonkey BitTorrent, (Freenet) 1999 2007 Skype - Die Bedrohung aus dem Internet DPI - Funktionsweise Deep Packet Inspection (DPI) Gütesiegel für Netzwerksicherheit Layer 2 – 7 information kann ausgewertet werden 4 Skype - Die Bedrohung aus dem Internet DPI – Datenstrom Klassifizierung Klassifizierung des Datenstroms Analyse per Port - Das Port 80 Syndrom Limewire 6346/6347 TCP/UDP Morpheus 6346/6347 TCP/UDP BearShare default 6346 TCP/UDP Edonkey 4662/TCP EMule 4662/TCP 4672/UDP Bittorrent 6881-6889 TCP/UDP WinMx 6699/TCP 6257/UDP Software erlaubt den Port zu ändern bzw. wechselt selbständig dynamisch die verwendeten Ports. Skype - Die Bedrohung aus dem Internet DPI – Datenstrom Klassifizierung Klassifizierung des Datenstroms Analyse per String Match (textual characters, numeric values) False positives ?!?! 5 Skype - Die Bedrohung aus dem Internet DPI – Datenstrom Klassifizierung Klassifizierung des Datenstroms Analyse per “numerical properties” des IP-flows Payload length, number of packets sent, session establishment Skype prior to 2.0 numerical analysis Skype - Die Bedrohung aus dem Internet Umgang mit P2P Traffic Need to support all major protocols Regular signature updates often only 2-3 protocols dominate, but... users switch to new networks as old ones cease to work permanent monitoring of P2P community Throttling vs. blocking block -> users will try to circumvent filtering (Überlisten!) throttling -> could be a network/peer problem (Traffic Shaping!!!) 6 Skype - Die Bedrohung aus dem Internet Skype − Popularität Skype hat sich zu einer der am meist genutzten Internetapplikationen entwickelt 171 Millionen registrierte Benutzer (Stand: Ende 2006) 129% Zuwachs im Jahr 2006 7-9 Millionen User gleichzeitig online Große Unterschiede im Nutzungsverhalten 40-50% mehr User unter der Arbeitszeit 25% mehr User an Wochentagen Längere Gesprächsdauer im vergleich zu POTS ∅ PSTN: 3 Minuten ∅ Skype: 13 Minuten Skype Gespräche sind gratis! Skype - Die Bedrohung aus dem Internet Technische Grundlagen Peer-to-peer (P2P) Netzwerk Architektur Supernode Architekur vergleichbar mit KaZaa FastTrack Protokoll Sehr einfach zu verwenden Funktioniert in nahezu jedem Netzwerk (umgeht Firewalls und NATs) advanced obfuscation techniques Both in the code and the network traffic Generiert Netzwerk-Traffic im “Idle State” 7 Skype - Die Bedrohung aus dem Internet Skype am Netzwerk verwendet UDP und TCP, beides für Signalisierung und Kommunikation Keine fixen Ports a UDP port is randomly selected at installation time and used for all UDP data HTTP and HTTPS ports (80 & 443) can be used Funktioniert auch hinter Firewalls There is nothing firewalls can evaluate (such as port numbers, payload patterns) Funktioniert hinter NAT gateways uses NAT hole punching techniques similar to STUN and TURN Only requires a single connection to a supernode initiated by the client to be fully operational Skype - Die Bedrohung aus dem Internet NAT Traversal Das Firewall/NAT Problem Eingehende Calls können nicht aufgebaut werden Default Firewall Policy – Sessions nur von innen nach aussen! NAT (PAT Tables) – keine Möglichkeit incoming packets auf public-IP der entprechenden private-IP weiter zu leiten. Lösung: NAT Traversal mit UDP Hole Punching! STUN (Simple Traversal of UDP over NAT) TURN (Traversal using Relay NAT) 8 Skype - Die Bedrohung aus dem Internet UDP Hole Punching Funktionsweise (1) Skype - Die Bedrohung aus dem Internet UDP Hole Punching Funktionsweise (2) 9 Skype - Die Bedrohung aus dem Internet UDP Hole Punching Funktionsweise (3) Skype - Die Bedrohung aus dem Internet Voraussetzungen für Hole Punching consistent identity-preserving Endpoint Translation Cone NAT -> STUN 10 Skype - Die Bedrohung aus dem Internet Cone NAT vs. symmetric NAT symmetric NAT -> TURN Skype - Die Bedrohung aus dem Internet Supernodes Supernodes (SN) implement the Global Index, the Skype user directory essential for the proper operation Relay nodes (RN) Differentiation between SN and RN not clear Every client with a public IP and sufficient resources can become a SN or RN call forwarding for clients behind NAT gateways This can only be disabled for the latest Windows client by tweaking the Registry Easier to become a RN Estimate: >250,000 supernodes worldwide 11 Skype - Die Bedrohung aus dem Internet Bandbreiten Auslastung Idle State – keine aktiven Gespräche 0-0.5 kBytes/s mainly for contact presence updates 0.5*3600*24*30=1.2GBytes/month (!) Traffic pro Call Relay nodes (Gesprächsvermittler) 3-16kBytes/s X*3-16kBytes/s, but how big is X? Relayed file transfers capped at 1kByte/s Supernodes <5kBytes/s (?) Connections to many other clients Potential problems for firewalls, routers and other network devices Skype - Die Bedrohung aus dem Internet Skype Detektion Skype Detection – die Herausforderung ¾ Skype verwendet keine „well-known Ports“ und keine fixen Server IP Adressen ¾ Bit Patterns nicht ausreichend für Erkennung ¾ ¾ ¾ ¾ Beinahe der gesamte Traffic ist verschlüsselt Bekannte Patterns decken nur einen Teil des Skype Traffics ab Patterns ändern sich mit jeder Skype Version Ein Beispiel: Falls Skype Port 443 verwendet, wird ein HTTPS Verbindungsaufbau simuliert ¾Wird eine Skype Verbindung geblockt, so versucht das Programm sofort einen anderen Weg zu finden (z.B. anderer Port, anderes Transportprotokoll) 12 Skype - Die Bedrohung aus dem Internet Skype Abwehr am Gateway Skype Abwehr am Gateway Peer2Peer Detection ¾ Firewall erkennt Charakteristika der Skype Verbindungen ¾ Firewall kann Verbindungen entweder blockieren oder Übertragungsrate einschränken Skype - Die Bedrohung aus dem Internet Skype Abwehr am Gateway Skype Abwehr am Gateway (1) ¾ Skype kann HTTP Proxies für Verbindungsaufbau benutzen ¾ SSL Handshake wird simuliert um HTTP Proxies zu überlisten ¾ HTTPS Verbindungen werden von Skype zu IP Adressen aufgebaut ¾ Blockieren aller HTTPS Sessions zu IP Adressen möglich, aber häufig nicht praktikabel ¾ Aufbrechen der HTTPS Verbindung notwendig um Skype Verkehr (Skype Protokolle) erkennbar zu machen 13 Skype - Die Bedrohung aus dem Internet Skype Abwehr am Gateway Skype Abwehr am Gateway (2) SSL-Proxy ¾ Aufbrechen von Skype HTTPS Verbindungen möglich mit SSLProxies ¾In weiterer Folge Erkennung/Reaktion nun möglich – Proxy wird die Verbindung droppen, da es sich nicht um HTTP/HTTPS handelt Skype - Die Bedrohung aus dem Internet Skype Abwehr – SSL Proxy Skype Abwehr am Gateway (3) SSL-Proxy HTTPS Server Internet SSL-Proxy outbound virus scanner URL filter SSL-Proxy inbound verschlüsselt entschlüsselt LAN Client 14 Skype - Die Bedrohung aus dem Internet Skype Abwehr – SSL Proxy Skype Abwehr am Gateway (4) SSL-Proxy ¾Um die Verschlüsselung einer HTTPS Verbindung aufzubrechen, ist es notwendig 2 verschiedene SSL/TLS Tunnel aufzubauen ¾Der Client baut eine Verbindung zum SSL-Proxy auf, nicht zum Ziel Server ¾Der Client erhält nicht das Server Zertifikat, sondern ein neues vom Proxy generiertes, das als Common Name den Namen des Zielservers beeinhält ¾Der SSL-Proxy überprüft Server Zertifikate und verweigert Verbindungen, falls zB das Zertifikat abgelaufen ist ¾Das Zertifikat des SSL-Proxy sollte in den „Trusted CA“ des Browsers importiert werden Skype - Die Bedrohung aus dem Internet Skype Abwehr – am Client Skype Abwehr am Client Endpoint Security ¾Mittels Verwendung von „Endpoint Security“ Produkten die Skype Abwehr bereits am Client durchführen ¾Mittels verteilbaren Personal Firewall Regeln explizit dem Programm skype.exe Berechtigungen entziehen, Traffic mit Ursprung „Skype“ also explizit blockieren ¾Mittels Registry Checks überprüfen ob Skype auf einem Windows Client installiert ist. Als Folge, je nach Funktionalität des Endpoint Security Clients, Änderung des Gesundheitszustandes des Windows Clients 15 Skype - Die Bedrohung aus dem Internet Skype Abwehr – am Client Skype Abwehr am Client Endpoint Security Geschützte Zone VPN server Nicht vertraute Zone DHCP server Active Directory Grenz-Zone Firewall + Network Policyservers NAP client Router, etc Server Remediation servers Skype - Die Bedrohung aus dem Internet Danke! 16
