Geschäftlich skypen

Geschäftlich skypen
Zusatz oder Alternative für herkömmliche Telefonieanwendungen?
Prof. Dr.-Ing. Evren Eren, Adrian Stock
Im privaten Bereich ist die VoIP-Anwendung Skype seit geraumer Zeit relativ weit verbreitet und findet
schnell immer weitere Freunde. Doch eignet es sich auch für den Einsatz in Unternehmen? Wie sicher ist
sie und wie sieht es mit ihrer Wirtschaftlichkeit aus? Was muß man beim „geschäftlichen“ Skypen
beachten? Diesen und anderen Fragen gehen die Autoren in ihrem Beitrag nach.
Die Internet-Telefonie-Anwendung Skype (www.skype.com) ermöglicht Telefongespräche zwischen
PCs, mobilen Endgeräten sowie zwischen PC und Fest- bzw. Mobilfunknetz. An Betriebssystemen
werden Windows, MacOS, Linux bzw. PocketPC und Windows Mobile unterstützt. Neben der
Telefonie sind Chat, Videokonferenz, File- und SMS-Transfer und über externe Anwendungen und
Plug-ins auch z.B. Desktop-Application-Sharing (z.B. festoon, www.festooninc.com/; Unyte
Application Sharing, www.webdialogs.com/) möglich. Extras sind unter
https://extras.skype.com/categories/all/good zu finden.
Dabei ist zum Telefonieren der Einsatz eines PCs nicht zwingend erforderlich. Einige Hersteller bieten
auch Skype-fähige Telefone (auch schnurlos oder über WLAN) an. Beispiele sind u. a. das DECTDualphone SPH200D von Netgear, das Internet-DECT-Telefon VOIP 841 von Philips, das WSKP100
von SMC, das WiFi Phone for Skype von Belkin, das WM4201 Wi-Fi Phone for Skype von EdgeCore sowie das DECT-Dualphone 3088 von RTX.
Basis Peer to Peer (P2P)
Skype ist eine Entwicklung von Niklas Zennström und Janus Friis, die bereits durch die Gründung von
KaZaA bekannt sind. Deshalb basiert Skype auf einer Peer-to-Peer-Architektur (P2P). In einem P2PNetz können Rechner verschiedene Aufgaben wahrnehmen und durch das Prinzip der
Gleichbehandlung Dienste zur Verfügung stellen und zugleich in Anspruch nehmen. Die
Kommunikation findet direkt zwischen den Peers statt und ist damit dezentral. Während Client/ServerSysteme ihre Dienste und Aufgaben asymmetrisch verarbeiten, ist die Aufteilung bei P2P-Systemen
symmetrisch.
P2P-Systeme bieten eine zuverlässige und souveräne Plattform für das Speichern und Übertragen von
großen Datenmengen. Die Zusammenschaltung von vielen Rechnern ist aus Gründen des Wegfalls
eines Single-Point-of-Failure günstig. P2P-Systeme und die darauf basierenden Anwendungen sind
daher bestens dafür geeignet, hohen Datentransfer ohne Ausfälle zu gewährleisten.
An P2P-Anwendungen werden spezielle oder zumeist zusätzliche Voraussetzungen gestellt als an
Anwendungen auf Basis von Client/Server-Architekturen. Sie müssen beispielsweise die aktuelle
Situation jederzeit neu bewerten und auf Änderungen unverzüglich reagieren. Das hängt damit
zusammen, daß sie ohne DNS (Domain Name System) auskommen müssen. Die IP-Adressen der
anderen Peers unterliegen einem Wechsel und die Verbindungen sind nur von temporärer Dauer.
Proportionalität ist ein weiteres Merkmal von P2P Systemen. Steigt die Anzahl der Peers, erhöhen sich
die Ressourcen und die Rechenleistung – man spricht vom Netzeffekt.
P2P-Systeme werden kategorisiert in reine P2P-Netze und hybride P2P-Netze. Ein reines P2P-Netz
besteht nur aus Peers, die jedoch Client und Server in einem sind und sich selbst verwalten. Ein
abgewandeltes Prinzip verfolgt das hybrid-koordinierte P2P-Netz. Zusätzlich zu den Peers, die
weiterhin die Client- und Serveraufgaben übernehmen, gibt es eine Hauptinstanz in Form eines oder
mehrerer Server. Die dedizierten Server übernehmen hier die Aufgabe der Indizierung. Es werden
somit beide Architekturen, d.h. reines P2P mit dem klassischen Client-Server-Prinzip, vermischt. Der
Vorteil liegt darin, daß der oder die Server nicht mit hohen Datenaufkommen überlastet werden, da sie
nicht für die Verteilung der Daten oder ähnliche Aufgaben gebraucht werden. Sie steuern die Suche
nach verfügbaren Ressourcen, wickeln Administration sowie Indizierung ab und haben dadurch einen
verwaltenden Charakter. Der reine Datenaustausch wird weiter dezentral unter den Peers ausgeführt.
Das ist die erste Variante der hybriden P2P-Netze [13]. Die zweite Variante des hybriden P2P-Netzes
heißt gemischtes P2P. Gemischt bedeutet, daß alle Peers zwar grundsätzlich dieselben Aufgaben
haben, einige leistungsfähigere jedoch mehrere Aufgaben übernehmen. Diese heißen Supernodes. Das
Skype-Netz basiert auf einer Mischung der beiden hybriden Varianten.
Supernodes
Skype ist ein „Overlay-Netz“, in dem es hauptsächlich zwei Arten von Knoten gibt – gewöhnliche
Hosts und Supernodes. Aufgabe eines gewöhnlichen Hosts ist es, Mediendaten (Sprachpakete) und
Textnachrichten zu versenden bzw. Filetransfer abzuwickeln – eigentlich typische IMFunktionalitäten. Jeder gewöhnliche Host kann theoretisch ein Supernode werden, der sich durch eine
öffentliche IP-Adresse, ausreichend CPU-Leistung, genügend Speicherkapazität sowie ausreichende
Netzbandbreite auszeichnet. Es ist jedoch nicht bekannt, wieviel Ressourcen zur Verfügung stehen
müssen.
Das Skype-Netz setzt auf vorhandene Netztechniken auf. Deshalb müssen Skype-Clients eine eigene
Tabelle (Host Cache) mit erreichbaren Knoten abbilden und aktualisieren. Der Host Cache enthält IPAdressen und Ports der Supernodes.
Im White Paper „Guide for Network Admins” [12] wird eine weitere Unterscheidung – Supernodes
und Relay Host – getroffen. Der Relay Host ähnelt dem Supernode, spielt jedoch im Skype-Netz eine
andere Rolle. Er agiert als „Data-Transfer Relay Station“. Seine Aufgabe besteht darin, Daten für die
Clients zu übertragen, die sich nicht direkt mit anderen Peers verbinden können. Diese Art des
Verbindungsaufbaus wird realisiert, wenn sich beide Kommunikationspartner jeweils hinter
restriktiven Firewalls befinden und eine direkte Verbindung miteinander nicht aufbauen können.
Der Verbindungsaufbau läuft wie folgt ab: Skype-Client A versucht nach erfolgreichem Login am
Skype-Login-Server und etablierter Verbindung mit dem Supernode eine direkte Verbindung mit
Client B herzustellen (1). Ist keine Verbindung möglich, fordert der Supernode B auf, eine
Verbindung mit A herzustellen (2). Ist weiterhin keine Verbindung zu realisieren, wird vom globalen
Indexdienst ein Client zum Relay Host ernannt. Sowohl A als auch B werden aufgefordert, eine
Verbindung mit dem Relay Host herzustellen (3). Ist die Verbindung aufgebaut, werden alle Pakete
zwischen A und B über den Relay Host weitergeleitet. Bild 1 verdeutlicht den Verbindungsaufbau
über den Relay Host.
Relay Host
3.
3.
1. Direkte Verbindung
(fehlgeschlagen)
Skype-Nutzer A
(ordinary host)
X
2. Direkte Verbindung
(fehlgeschlagen)
Skype-Nutzer B
(ordinary host)
Supernode
Bild 1: Verbindungsaufbau mit Relay Host
Die Art der Verbindung schlägt sich auch in der Art des Datenverkehrs und der Bandbreite nieder. Für
Supernodes gilt, daß sie höchstens 5 kbyte/s übertragen. Relay Host übertragen zwischen 3 und 10
kbyte/s.
Qualität von Skype?
Die Einführung von VoIP (Voice over IP) als Lösung oder Alternative für die herkömmliche Telefonie
litt geraume Zeit unter einer unzureichenden Sprachqualität. Allerdings ist bei der Beurteilung der
Sprachqualität mit Problemen zu rechnen. Wann kann man von guter, sehr guter oder schlechter
Sprachqualität sprechen? Das obliegt oft dem individuellen Gehör des Einzelnen, der sich dann eine
subjektive Meinung über die Sprachqualität bildet. Um dieser Problematik beizukommen, hat die ITU
ein Rahmenwerk erstellt, das Bewertungsmethoden bereitstellt, mit denen die Sprachqualität möglichst
objektiv beschrieben und gemessen werden kann. Die Spezifikationen finden sich im Standard P.800
PSQM (Perceptual Speech Quality Measurement) und im Standard P.861 (Objektive Bewertung von
Telefonverbindungen). Sie beruhen auf der psychoakustischen Wahrnehmung des menschlichen
Gehörs.
Die Qualität der Sprachcodecs wird objektiv ermittelt. P.862 PESQ (Perceptual Evaluation of Speech
Quality) definiert ein Verfahren zur Beurteilung der Sprachqualität von Übertragungssystemen und ist
das Standardverfahren zur Messung von VoIP-Verbindungen. Dabei hängt die Qualität von
Sprachverbindungen über IP-Netze von mehreren Faktoren ab:
• Verzögerung (Delay);
• Packet-Loss (Jitter);
• Echounterdrückung;
• Kompressionsverfahren (Codecs);
• Sprachpausenerkennung.
Obwohl die einzelnen Faktoren meßbar sind, liefern sie im einzelnen kein Ergebnis über die
Sprachqualität und erlauben somit kein Urteil. Erst wenn die Messungen im Ganzen betrachtet
werden, lassen sich Aussagen über die Qualität treffen.
Betrachtet man die Qualität, so ist die Sprachqualität von Skype-Verbindungen gut. Während bei
herkömmlichen Telefonen nur Frequenzen zwischen 300 Hz und 3 kHz übertragen werden können,
kann Skype ein wesentlich breiteres Frequenzspektrum abbilden, je nach Codec und verfügbarer
Bandbreite. Die Wahl des Codecs entscheidet sich je nach dem, ob eine Verbindung mit dem
herkömmlichen Telefonnetz aufgebaut oder eine IP-Verbindung realisiert werden soll. Voraussetzung
für die Verwendung eines bestimmten Codecs ist, dass sowohl Anbieter als auch User denselben
Codec unterstützen.
Skype verwendet folgende Codecs:
• iLBC-Codec: Skype verwendet eine modifizierte Implementierung des iLBC-Codecs von
Global IP Sound. Ausgelegt ist dieser Codec für die Schmalbandsprachübertragung, d.h., er
arbeitet mit einer Bitrate von 13,3 kbit/s bei 30-ms-Datenframes und 15,2 kbit/s bei 30-msDatenframes. Die Sprachqualität bleibt trotz Verlust von Datenframes erhalten.
• iSAC-Codec: Für Gespräche ins herkömmliche Telefonnetz verwendet Skype den iSACCodec (Internet Speech Audio Codec) bzw. G.729. iSAC genügt den spezifischen
Anforderungen der VoIP-Telefonie und Streaming-Audio. Die Übertragungsrate wird
automatisch geregelt und Anwendungen für Echtzeitmultimedia und Konferenzschaltungen
werden unterstützt. Die Breitbandaudioeigenschaften vermitteln eine Klangqualität, die die
Qualität von PSTN-Anrufen übertrifft, indem ein größerer Bereich des Sprachsignals genutzt
wird. Die Abtastrate beträgt 16 kHz. Es werden Bitraten von 10 kbit/s bei 30-ms-Datenframes
bis 32 kbit/s bei 60-ms-Datenframes unterstützt.
• G.729-Codec: Beim G.729-Codec handelt es sich um ein hybrides Kompressionsverfahren.
Es zeichnet sich dadurch aus, daß es einen Vocoder besitzt, mit dem Sprachparameter
untersucht und übertragen werden. Außerdem wird Bandbreite eingespart, indem
Sprachpausen nicht übertragen werden [14]. In der Regel bietet dieser Codec Bitraten von 8
kbit/s bei 25-ms-Datenframes an, jedoch sind auch 6,4 kbit/s und 11,8 kbit/s möglich. Dem
G.729-Codec wird ein MOS-Wert von 3,9 zugeordnet (bei einer Bitrate von 8 kbit/s). Skype
nutzt eine abgeänderte G.729-Version, die einen MOS-Wert von mindestens 4,6 liefert.
Die MOS-Werte (Mean Opinion Score, definieren die subjektive Beurteilung) bezeugen Skype eine
gute Sprachqualität (Tabelle 1). Die Beurteilung der Sprachqualität erfolgt durch Einteilung und
Zuordnung zu den MOS-Werten.
MOS-Wert Sprachqualität
5
4
3
2
1
ausgezeichnet
gut
ordentlich
mäßig
schlecht
Codec
G.729 (MOS-Wert 4,6)
iSAC (MOS-Wert 4,3)
iLBC (MOS-Wert 4,0)
Bitrate
8 kbit/s
10 - 32 kbit/s
13,3 - 15,2 kbit/s
Tabelle 1: Zuordnung MOS-Wert zu Sprachqualität
(Die Messungen der Autoren bestätigten diese Werte. Kein einziges Gespräch war unterhalb des
MOS-Wertes 4.)
Ein interessanter Sachverhalt bei Skype ist, dass mit der Zahl der zeitgleich telefonierenden User bzw.
Peers die zur Verfügung stehende Rechenleistung für die P2P-Architektur steigt. Auch steigt damit die
Qualität, weil hierdurch Gesprächsabbrüche vermieden und so mehr Verbindungswege offen gehalten
werden. Das widerspricht jedoch den Ergebnissen der Studien von BRIX Networks [1] und sServices
Minacom [2]. BRIX Networks untersuchte über 1 Mio. PC-zu-PC-VoIP-Verbindungen und stellte fest,
daß die Qualität bei jedem fünften VoIP-Gespräch minderwertig ist. sServices Minacom kam zu dem
Ergebnis, daß jede fünfzigste Verbindung inakzeptabel ist.
Testen von Skype
Auch die Autoren haben im Fachbereich Informatik (FH-Dortmund) die Qualität von Skype punktuell
hinsichtlich Sprachqualität, Jitter und Paketverlust untersucht.
Die Testperiode betrug 30 Tage. Innerhalb der Testperiode wurde zu unterschiedlichen Zeiten ein
Gespräch via Skype geführt. Zum Testzeitpunkt waren maximal bis zu 8.150.313 Nutzer online, im
Durchschnitt jedoch 5.700.000 (Werte, die um 9.00, 15.00 und 20.00 Uhr im Skype-Client angezeigt
wurden). Die Gesprächsdauer betrug jeweils mindestens 1 min. Es wurden Verbindungen mit anderen
Skype-Usern oder Teilnehmern, die per SkypeOut über das herkömmliche Telefonnetz erreichbar
sind, aufgebaut.
Die durchschnittliche Zahl der aktiven Skype-User beläuft sich auf 5,7 Mio. Angesichts der ca. 100
Mio. Gesamt-User kann man bei 5 % Auslastung nicht von einer Belastung sprechen. Ferner handelt
es sich um eine Anwendung auf P2P-Basis, in der theoretisch zu jeder Zeit genügend Leistung
vorhanden ist.
Während der Versuchsreihe wurde Port 80 geschlossen. Damit sollte erreicht werden, daß Skype den
Testrechner nicht als Supernode einsetzt, weil sonst mit erhöhtem Traffic zu rechnen gewesen wäre.
Das Schließen von Port 80 ist ein Vorschlag der Oxford University [15].
Versuchsaufbau
DSL-Anschluß
Downstream
Upstream
Leitungsdämpfung
Downstream
Upstream
Störspannungsabstand
Downstream
Upstream
ADSL2+ (Deutschen Telekom)
14.926 kbit/s
1.199 kbit/s
21 db
4 db
9 db
10 db
Hardware
Splitter
Router/Modem
Rechner/CPU
RAM
Mikrofon
T-Com Standard
Netgear GB834B
Core2Duo ET6600
4 Gbyte DDR2-800
Sony F-V05T, IMP. 500
Software
Skype-Version
Betriebssystem
optional
2.5.0.154
Windows XP Prof.
Linux Suse 9.0
Dabei wurden für eine Verbindung durchschnittlich Jitter-Werte bei 3.5 ms und eine verschwindend
geringe Paketverlustrate ermittelt. Der konstante Datenfluß und die fehlerfreie Übermittlung befanden
sich deutlich oberhalb der eingezeichneten Markierung für Standardqualität und entsprachen einer
hochwertigen VoIP-Kommunikation.
Die Sprachqualität wird erheblich reduziert durch niedrige Bandbreiten und Paketverlust. Aus diesem
Grund sollte die durchschnittliche verfügbare Bandbreite pro Verbindung ausreichend dimensioniert
werden. Hierzu muß der von Skype verursachte Traffic bekannt sein, damit auch andere Dienste und
Anwendungen nicht durch Skype beeinträchtigt werden oder sogar das Netz zu stark belastet wird.
Auch das wurde untersucht. Zunächst wurde ermittelt, welcher Traffic im Ruhezustand (die
Anwendung ist mit dem Internet verbunden und aktiv, wird jedoch nicht genutzt) verursacht wird. Bei
der Durchführung der Meßversuche wurde darauf geachtet, daß lediglich Skype eine aktive
Verbindung zum Internet herstellt. Leider ist es bei Microsoft Windows nicht völlig auszuschließen,
daß doch einige Softwarekomponenten und Dienste unaufgefordert externe Verbindungen herstellen.
Aus diesem Grund wurde zur Vergleichszwecken der Test im Ruhezustand unter Linux Suse 9
wiederholt. Es wurde ein Wert gemessen, der auf einen Monat extrapoliert ca. 20 Mbyte ausmachen
würde.
Komplementär wurde der Traffic bei aktiver Nutzung von Skype (Skype ist mit dem Internet
verbunden, aktiv und wird genutzt, um ein Gespräch zu führen) analysiert. Die Traffic-Werte für ein
geführtes Gespräch unterschieden sich kaum zwischen den o. g. Betriebssystemen.
Skype Technologies S.A. gibt eine Bandbreite zwischen 3 bis 16 kbyte/s pro Verbindung an. Dieser
Wert hängt dabei von der verfügbaren Bandbreite der Kommunikationspartner, deren
Netzbedingungen sowie der Prozessorleistung des Anrufers ab. Die Autoren ermittelten einen Wert
von durchschnittlich 30 Mbyte/h, was auf einen ganzen Monat hochgerechnet und angenommenen
einstündigen Gespräch pro Tag ca. 1 Gbyte Daten kumulieren lässt. Zwar stellt dieser Wert im
Zeitalter der DSL-Flatrates kein Problem dar, doch müßte ein Unternehmen mit beispielsweise 1.000
Mitarbeitern 1.000 Gbyte Traffic monatlich zusätzlich einplanen.
Das Transfervolumen bei Konferenzgesprächen konnte nicht ermittelt werden. Leider ist es nicht
möglich gewesen, stabile und reibungslose Konferenzen abzuhalten. Das wird von vielen Seiten
bestätigt. Für Konferenzschaltungen eignet sich Skype demnach nicht.
Sicherheit von Skype?
Fassen wir im folgenden kurz die Sicherheitsmerkmale von Skype zusammen:
• Identität: Jeder Peer und somit Client muß vor dem Etablieren der Verbindung seine Identität
nachweisen. Dabei werden die Privilegien erst mit dem Berechtigungsnachweis über die UserCredentials (Benutzername und Paßwort) bestätigt. Der Nutzername muß selbstverständlich
einzigartig und eindeutig sein.
• Vertraulichkeit und Verschlüsselung: Sowohl Schlüsselaustausch als auch die Mediendaten
(Sprachpakete) werden Ende-zu-Ende-verschlüsselt.
• Privatsphäre: Für die Aufrechterhaltung der Privatsphäre sorgt eine Verschlüsselung auf
Basis von AES (Schlüssellänge 256 Bits). Die Übertragung der symmetrischen AES-Schlüssel
erfolgt asymmetrisch per RSA (Schlüssellänge 1024 Bits).
Authentifizierung und Registrierung: Authentifizierung und Autorisierung enthalten drei Elemente:
Private Signing Key SS des Skype-Login-Servers, Public Verifikation Key VS sowie Key Identifier
(KI) für das Schlüsselpaar, der dem Skype-Client zur Laufzeit zur Verfügung steht. Es stehen zwei
Schlüsselpaare zur Verfügung. Die Wahl des Schlüsselpaares hängt von den Privilegien des SkypeUsers ab. Hat er Premium Services wie z.B. SkypeOut abonniert, wird der 2.048-bit-Modus benutzt,
ansonsten der 1.536-bit-Modus [3].
Die Authentifizierung des Benutzers erfolgt am Server über Zertifikate. Jeder Skype-Client erhält ein
Zertifikat, das beim Aufbau einer Session vom Server auf Echtheit geprüft und bestätigt wird. Die
dabei verwandte digitale Signatur wird mittels des Hash-Verfahrens SHA-1 sowie des Public-KeySignaturverfahrens nach RSA erzeugt. Das RSA-Schlüsselpaar erzeugt der Client (A). Hierzu werden
Private Signing Key (SA) und Hashwert des Paßwortes H(PA) auf dem Client-Rechner abgelegt [3].
Die Registrierung funktioniert folgendermaßen: Der Skype-Client erzeugt ein RSA-Schlüsselpaar,
bestehend aus VA und SA. SA und H(PA) verbleiben beim Client und werden sicher verwahrt. Über eine
256-bit-verschlüsselte Verbindung werden Daten wie User-Name von A (UA), VA und H(PA) an den
Zentralserver übermittelt. Dieser überprüft die User-Credentials anhand seiner Datenbank und erzeugt
ein Identity Certificate (IC), das Zertifikat für den Skype-Client. Dieses enthält das RSA-Binding,
bestehend aus VA für A und dem KI und wird mit SS signiert. Der Skype-Client überzeugt sich von der
Echtheit der IC des Servers mittels VS. Nach Überprüfung der Privilegien und Rechte, schaltet der
Server den User frei und erlaubt den Aufbau einer mit 256 bit verschlüsselten Sitzung. Zur Sicherung
der Session gehört die Verschlüsselung des Plain-Textes mittels AES im Counter Mode und einer
Schlüssellänge von 256 bit [3], Bild 2.
Bild 2: Registrierung, Authentifizierung und Autorisierung bei Skype
•
•
NAT und Firewalls: Zu den herausragenden Eigenschaften von Skype gehört ebenfalls die
Möglichkeit der reibungslosen Kommunikation trotz NAT (Network Address Translation) und
Firewall, was nahe legt, daß Skype mit dem STUN-Protokoll (Simple Traversal of User
Datagram Protocol Through Network Address Translators) arbeitet [4]. Skype umgeht NAT,
ohne daß Router oder Firewalls neu konfiguriert werden müssen. Der Firewall wird eine
etablierte Verbindung zwischen den Kommunikationspartnern vorgetäuscht. Normalerweise
würde die Firewall von außen kommende Pakete verwerfen. Doch sie wird dazu veranlaßt,
sowohl die vom Initiator als auch die vom Empfänger kommenden Pakete durchzulassen, weil
sie davon ausgeht, daß die ankommenden Pakete Antworten auf gesendete Anfragen von
innen sind. Verändert die Firewall Ports, wird durch Skype das sog. Hole Punching mittels
UDP (User Datagram Protocol) eingesetzt. Medienübertragung und Signalisierung werden
nicht auf denselben Ports abgewickelt. Sowohl UDP als auch TCP werden hierfür
herangezogen. Für Medienübertragung kommt TCP zum Einsatz. Hierbei werden alle Ports
„durchprobiert“, bis eine Verbindung hergestellt werden kann. Dieser Sachverhalt erschwert
Administratoren das Festlegen von Firewall-Regeln. Durch das Öffnen von Ports erhöhen sich
Sicherheitsrisiken und Angriffe.
Skype-API: Skype stellt eine Anwendungsprogrammschnittstelle (API – Application Program
Interface) zur Verfügung, die mit der Skype-Software verknüpft oder von ihr eingeschlossen
ist. Voraussetzung für die Nutzung dieser API ist ein installierter Skype-Client. Die API
enthält die Phone-API und Access-API. Beide ermöglichen die Kommunikation mit dem
Skype-Client, der den Zugriff auf das Skype-Netz realisiert. Ein Zugriff auf das SkypeProtokoll oder der direkte Einstieg in das P2P-Netz ist jedoch nicht möglich. Aufgrund dieser
Restriktion verläuft die Kommunikation äußerst trivial in Form von eingekapselten
Kommandos. Die Anwendungsfreigabe sorgt dafür, daß der Skype-User entscheiden kann,
welchen Zugriff er erlauben möchte.
Gefährdung von Skype
Eine klassische Man-in-the-Middle-Attacke läßt sich bei Skype kaum realisieren. Dafür müßte sich
der Angreifer zwischen drei Parteien positionieren, zwischen den beiden Peers und dem Zentralserver,
und jeder Komponente permanent die Identität vortäuschen. Da die Überprüfung während der
gesamten Sitzung erfolgt, ist solch ein Täuschungsversuch äußerst aufwendig, zumal das Vortäuschen
der Identität für jeden der Teilnehmer erfolgen muß.
Ein Angriff auf die Skype-Anwendung und damit auch Benutzerrechner wäre durch Buffer-Overflows
möglich. Sie waren in den Windows-Versionen bis 1.4 möglich und erlaubten das Laden Malcode auf
das Opfersystem [5].
In diesem Zusammenhang muß der kürzlich nachgewiesene BIOS-Zugriff von Skype in der Windows
Version 3 erwähnt werden. Skype liest Informationen aus dem BIOS und übermittelt diese an Skype
Technologies S.A. Diese begründet das Feature damit, daß der Vorgang der eindeutigen
Rechneridentifikation und der Einhaltung von Lizenzvereinbarungen diene [6].
Gegen Dictionary-Attacks ist Skype gefeit, da nach mehrmaliger Eingabe eines falschen Paßwortes
die Login-Prozedur abgebrochen und der Zugang zum Server verweigert wird.
Auf eine Beeinträchtigung des P2P-Netzes zielen beispielsweise Denial-of-Service-Angriffe (DoS),
wie z.B. Garbage Flooding (Überschwemmen mit sinnlosen Paketen). Als Ziele böten sich die
Supernodes oder aber der zentrale Server für die Administration an. Weitere Angriffe in dieser
Kategorie sind der Sybil Attack (Fälschen der Identität, möglichst die Identität von Supernodes) und
Incorrect Routing Updates, d.h. das Liefern falscher Informationen an Nachbar-Peers, die ihre
Routing-Tabellen ständig aktualisieren müssen. Allerdings bedeutet ein Ausfall des P2P-Netzes
gleichzeitig die Kompromittierung des Skype-Dienstes.
Auf der Sicherheitskonferenz RECON in Montreal [7] stellte Cedric Blancher [8] mit seinem Beitrag
„Fire in the Skype – Skype powered Botnets“ die These auf, daß Skype das beste und größte Botnetz
sei. Skype weist eine hohe Anzahl an Bots auf und hat insgesamt eine hohe Ausfallsicherheit.
Netzanomalien können nur schwer erkannt werden, da Skype durch STUN nahezu jede Firewall
umgeht und somit einen durchgängigen Datenfluß im Netz hat. Durch Ausnutzen der SupernodePrivilegien ist es möglich, eine Liste der Supernodes und Clients samt Client-Version zu erhalten.
Dabei kann man mittels eines Heap-Overflows das Skype-Netz für eigene Zwecke öffnen. Ist der
Zugriff auf das Skype-Netz realisiert, können Bots als Skype-Plug-ins installiert und ausgeführt
werden.
Wirtschaftlichkeit von Skype
Gemäß den Angaben von Skype Technologies S.A. sind mehr als 100 Mio. Benutzer registriert, wobei
sich zwischen 2005 und 2006 die Zahl verdoppelte. (Die Nutzerzahlen der Konkurrenten im
Vergleich: ICQ 100 Mio., Yahoo!-Messenger 80 Mio., MSN 230 Mio., AIM 34 Mio.). Bei diesem
rasanten Wachstum muß man sich fragen, inwieweit Skype zum Bedrohungspotential für die
klassische Telefonie und andere VoIP-Dienste wird. Stellt man die Zahlen gegenüber, sind
gegenwärtig ca. 14 % der Internetnutzer „Skyper“ [9]. Skype-Manager Michael Jackson erklärte in
[10], daß Skype inzwischen zu 30 % geschäftlich genutzt wird. Das würde 30 Mio. geschäftliche
Nutzer bedeuten. Demnach würden die restlichen 70 Mio. auf private Nutzer entfallen.
Doch die Zahlen sind mit Vorsicht zu genießen. PointTopic stellt fest, daß Anwender den SkypeClient sehr oft herunterladen, jedoch den Dienst nicht oder kaum nutzen; nach der Registrierung
begeben sie sich selten ins Skype-Netz [11]. Wird also jeder Download des Clients als Nutzer gezählt?
Wie hoch ist die tatsächliche Nutzung von Skype wirklich und welcher Anteil der angegebenen 100
Mio. Benutzer entfällt wirklich auf die zahlungspflichtigen Dienste?
Skype-Dienste, die selbstverständlich eine Registrierung des Benutzers erfordern, bieten diverse
Funktionen und sind unterschiedlich bepreist. Die Tabellen 2 und 3 fassen einige der
zahlungspflichtigen Dienste und Konditionen zusammen. Auch die Konkurrenz im Bereich des Instant
Messaging bietet interessante VoIP-zu-PTSN-Dienste an. Teilweise sind diese sogar preiswerter.
Tabelle 4 zeigt eine Aufstellung der Tarife, sortiert nach Anbietern.
Dienst
SkypeOut
SkypeIn
SkypeVoicemail
SkypeSMS
Funktion
SkypeOut erlaubt Anrufe ins
Telefon- und Mobilfunknetz. Für
ein Gespräch in das deutsche
Festnetz verlangt Skype 0,02
€/min, ein Gespräch ins deutsche
Mobilfunknetz wird mit 0,23
€/min veranschlagt. Das
Mindestguthaben, das zuvor
gekauft werden muß, beträgt 11,50
€ inkl. MwSt.
Mit SkypeIn wird eine Nummer
zur Verfügung gestellt, unter der
der Nutzer unabhängig von seinem
Aufenthaltsort zum Ortstarif
erreichbar ist. Dieses Angebot
beinhaltet eine Art Mailbox
(Skype Voicemail).
Mailbox, auf der Nachrichten
hinterlassen werden können
SkypeSMS erlaubt das weltweite
Versenden von SMS-Nachrichten.
Privatkunden
Geschäftskunden
x
x
x
x
x
x
x
x
SkypeAnrufweiterleitung Ein weiterer kostenpflichtiger
Dienst ist die Anrufweiterleitung.
x
Die Entgelte entsprechen den
Tarifen für SkypeOut.
SkypeZones
Mit SkypeZones wird den Usern
weltweit der Zugang zu Skypekompatiblen Hotspots ermöglicht.
Ein Skype-User kann sich in einen x
Skype-zertifizierten Hotspot
einwählen und Skype ohne
Einschränkungen nutzen.
Customization
Ebenfalls kann man seine SkypeAnwendung durch individuelle
Klingeltöne oder Icons anpassen.
x
Die Preise variieren recht stark.
Konferenzen
Highspeed-Konferenzen
Bis zu fünf Teilnehmer können
Konferenzgespräche führen. Steht
ein Dual-Kern-Prozessor zur
Verfügung, erhöht sich die Zahl
der Teilnehmer auf zehn.
Siehe Konferenzen, zusätzlich
kostenpflichtig.
x
x
x
x
x
x
Business-ClassKonferenzen
Siehe Konferenzen, zusätzlich
kostenpflichtig.
x
Tabelle 2: Überblick der Skype-Dienste und -Produkte
SkypeOut/
Anrufweiterleitung
SkypeIn
17,25 €
für drei
0,02 €/min ins Festnetz Monate
57,50 €
0,23 €/min ins
für zwölf
Mobilfunknetz
Monate
Mindestguthaben
11,50 €
Skype
Voicemail
Skype
SMS
Skype Zones
5,75 € für drei
Monate
0,117 €
2,50 € für 2 h
17,25 € für
zwölf Monate
Skype
Individual
je nach Logo,
Ton usw.
6,50 € im
Monat
Tabelle 3: Übersicht zahlungspflichtiger Skype-Dienste
(alle Preise inkl. MwSt.; Nutzung aus Deutschland; Stand 20. März 2007)
SkypeOut/
0,02 €
0,23 €
Mindestguthaben 11,50 €
ICQ
0,015 €
0 229 €
Yahoo!
0,012 €
0,181 €
MSN AIM
k.A. 0,015 €
k.A. 0,229 €
Festnetz (je min)
Mobilfunk (je min)
Tabelle 4: Skype im Vergleich zu anderen Messangern für PC-zu-Telefon-Gespräche
(alle Preise inkl. MwSt.; Nutzung aus Deutschland; Stand 20. März 2007; Quellen: Websites der
Anbieter)
Legt man die von Skype Technologies S.A. genannten Zahlen zugrunde, sind 70 % der Skype-Nutzer
Privatanwender. Doch welcher Dienst wird hier aktiv und regelmäßig genutzt? Skypes
Kernkompetenzen für den Anwender sind Telefonie, Chat und Videokonferenz sowie einige weitere
unscheinbare Dienste. Möchte ein privater Nutzer eine SMS versenden, eine Mailbox abhören und
seine Anrufe weiterleiten, so kann er zwischen einem der gängigen Instant Messanger (IM) wählen.
Nutzt er bereits einen IM, ist es kaum vorstellbar, daß er sich für Skype entscheidet. Er müßte zwei
IMs mit nahezu identischen Funktionen einsetzen. Nutzt er noch keinen IM, wird sich seine Wahl
wahrscheinlich danach richten, was seine Kommunikationspartner einsetzen.
Für die Kommunikation im Unternehmensumfeld ist SkypeOut interessant. Für ein Unternehmen zählt
hier vordergründig das potentielle Einsparpotential im Vergleich zu anderen Diensten. Für SkypeOut
werden von Skype S.A. allerdings lediglich Referenzen im Bereich von kleinen Unternehmen
angegeben. Mittelständische oder große Unternehmen fehlen. Skype ist für einige wenige
geschäftliche User interessant und trägt zur Kosteneinsparung bei. Voraussetzung ist jedoch, daß der
User sehr oft den Arbeitsstandort wechselt, sich im Ausland befindet und eine Internetanbindung hat.
D.h., die Flexibilität des Nutzers muß von hinreichender Bedeutung sein, was jedoch auf die Mehrheit
nicht zutrifft. Für einige Kleinstunternehmen, Freelancer und Berater, deren Tätigkeiten und
Kommunikation hauptsächlich über das Internet erfolgt, ist Skype eine Alternative. Personengruppen
mit nomadischer Nutzung und ständigen Auslandsaufenthalten können ebenfalls von Skype
profitieren.
Genaue Kennzahlen über die Aufteilung der Nutzer im Privat- und Geschäftsbereich und deren Anteil
an den zahlungspflichtigen Diensten sind derzeit nicht prüfbar. Auch gibt es leider keine detaillierten
Kennzahlen wie Umsatz, Gewinn, ROI usw. Die restriktive Informationspolitik von Skype
Technologies S.A erschwert eine wirtschaftlich fundierte Analyse.
Inzwischen sind sehr viele große und kleine Anbieter von Sprachdiensten im VoIP-Markt vertreten.
Die meisten von ihnen setzen dabei auf Standards wie SIP. Skype dagegen ist proprietär und daher
nicht in der Lage, mit anderen standardisierten Protokollen und Geräten zu kommunizieren, was zu
einer Abhängigkeit des Anwenders führt. Bei Anbietern, die mit VoIP-Standards arbeiten, kann der
Kunde zwischen der herkömmlichen und der VoIP-Telefonie wählen, ohne seinen Netzanbieter
wechseln zu müssen. Je nach Unternehmen besteht bereits eine starke Bindung an herkömmliche
Telekommunikationsdienstanbieter, weshalb ein Wechsel wegen marginaler Einsparungen nicht
attraktiv ist. Für die Nutzung von Skype ist ein Vertragsverhältnis mit herkömmlichen TK-Anbietern
Voraussetzung (Bereitstellung von DSL oder Standleitungen).
Ein Umsatteln auf Skype erfordert die Anschaffung von entsprechenden Endgeräten, also Skypefähige Headsets oder Skype-Telefone. Diese Investitionen sind zwar vergleichbar mit Standard-VoIPInfrastrukturen, jedoch ist der Markt für Skype noch nicht so vielfältig. Das Einsparpotenzial ist nicht
hoch genug, um Skype zu rechtfertigen. Der Vergleich von Skype mit TK-Dienstleistern zeigt, daß
kein Bedrohungspotential für zahlungspflichtige Dienste besteht.
Fazit
Die technische Analyse von Skype deutet auf ein gut strukturiertes Konzept hin. Skype ist eine
komplexe Anwendung und zeichnet sich durch eine sehr gute Sprachqualität aus, unabhängig von der
Belastung des Skype-Netzes. P2P als Basis eignet sich offensichtlich bestens für VoIP, um mit
möglichst wenig Aufwand einen hohen Standard an Rechenleistung und Ausfallsicherheit abzubilden
und so einen guten Sprachdienst zu gewährleisten. Ebenso sorgt Skype auch für die nötige Sicherheit,
indem es sowohl die Mediendaten als auch den Schlüsselaustausch verschlüsselt. IT-Abteilungen von
Unternehmen werden allerdings mit anderen Herausforderungen und Problemen konfrontiert, da
Firewall und NAT umgangen werden. Auch wenn derzeit keine wesentlichen Sicherheitslücken
bekannt sind, sollte Skype mit Vorsicht eingesetzt werden. Im Unternehmensumfeld ist der Einsatz
sehr kritisch.
Durch das proprietäre Protokoll von Skype werden Chancen und Vorteile etwas relativiert. Eine
Interoperabilität mit anderen VoIP-Anwendungen und Netzen ist nicht gegeben. Das ist eventuell von
Skype S. A. sogar beabsichtigt.
Skype S.A. gehört zu den Global Playern und besitzt ein großes wirtschaftliches Potential. Ein Indiz
hierfür ist die Übernahme von Skype durch eBay in Höhe von 2,6 Mrd. $.
Geschäftsmodell sowie Erfolg von Skype sind stark daran gebunden, inwieweit sich Skype für B2Bund B2C-Anwendungen durchsetzt. Derzeit wird es als Zusatz und nicht als Alternative zu anderen
Netzen und Sprachdiensten gesehen. Viele Telekommunikationsanbieter haben VoIP-Lösungen in ihr
Portfolio aufgenommen. Dadurch ist das Bedrohungsrisiko von Skype für zahlungspflichtige Dienste
relativ unbedeutend.
Die Autoren
Prof. Dr.-Ing. Evren Eren ist im Fachbereich Informatik der FH Dortmund verantwortlich für das
Lehrgebiet „Medieninformatik und IT-Sicherheit”; Adrian Stock ist Diplomand im Fachbereich
Informatik an der FH Dortmund.
Quellen
[1]
www.brixnet.com
[2]
www.tmcnet.com/channels/voip-test-solutions/articles/2382-minacom-study-reveals-voip-callquality-steady-increase.htm
[3]
www.skype.com/security/files/2005031%20security%20evaluation.pdf
[4]
www1.cs.columbia.edu/~salman/publications/skype1_4.pdf
[5]
http://secunia.com/advisories/13191
[6]
www.heise.de/newsticker/meldung/85050
[7]
http://recon.cx/en/f/
[8]
http://recon.cx/en/f/lightning-cblancher-Skype_Botnet.pdf
[9]
www.ecin.de/news/2006/04/21/09409/
[10]
www.spiegel.de/netzwelt/technologie/0,1518,434092,00.html
[11]
www.silicon.de/enid/telecom_und_ip/13669
[12]
www.skype.com/security/guide-for-netwerk-admins-30beta.pdf
[13]
Holger Krauß: Konzeption und Realisierung der Serverkomponente für ein P2P-File-SharingSystem; www.4fo.de/download/PotatoServerDiplom_highres.pdf
[14]
www.florianmessner.com/support/themen/voip/praxis/voip-praxis-4-4.htm
[15]
www.oucs.ox.ac.uk/network/voip/skype.xml
[16]
weblog.internetpro.de/2006/07/skype_geknackt_.html
[17]
Sheppard, A.: Skype Hacks. O'Reilly Media: London 2006
[18]
www.zdnet.de/news/tkomm/0,39023151,39131611,00.htm