ТЕХНИЧЕСКИЙ АНАЛИЗ

Что делать, или как поступить с этим интернет-телефоном?

Взрывоподобный рост популярности Skype ставит перед ИТ-менеджерами целый ряд традиционных вопросов. Не стоит ли притормозить использование этого программного интернет-телефона в компаниях? Или наоборот - поощрять его установку, пусть даже через черный ход? А может, приступить к централизованному развертыванию подобных систем?

Последние шаги компании Skype свидетельствуют о том, что крупным корпорациям пора на что-то решаться. Те менеджеры, кому IP-связь по душе, вполне могут использовать это коммуникационное приложение на своем предприятии, организовать управление им и его техническую поддержку. Тем же, кого Skype настораживает, следует подумать, как четко и недвусмысленно ввести запрет на его инсталляцию.

По самой природе своей Skype стремится постоянно находиться в сети и сохранять работоспособность в любых условиях.

Отрицать достоинства Skype не станет никто. Прежде всего она обеспечивает дешевую дальнюю связь, что особенно полезно в зарубежных командировках. С помощью данной программы (функция конференцсвязи) нетрудно организовать рабочие совещания для сотрудников. Но главное - система предельно проста в работе и к ней уже подключено огромное количество пользователей.

На европейской конференции European IT Forum, которая проходила 25-26 сентября, вице-президент Skype по мобильным и телекоммуникационным услугам с гордостью сообщил, что в системе уже зарегистрировано 113 млн. абонентов, причем 30% из этого числа - деловые люди. При таком количестве пользователей можно почти наверняка сказать, что кто-то уже установил Skype и в вашей корпоративной сети.

Вот тут-то и кроется опасность. По самой своей природе Skype стремится постоянно находиться в сети и сохранять работоспособность в любых условиях. Применяемый здесь протокол настолько надежен, что без труда преодолевает блокировки как внешних IP-адресов, так и сетевых протоколов. К тому же Skype легко выходит в сеть через порты TCP или UDP (User Datagram Protocol - протокол пользовательских датаграмм). Ну а в самых крайних случаях приложение переключается на порты 80 и 443, которые обычно используются для Web-трафика.

Не станет препятствием для Skype даже брандмауэр, который блокирует входящий трафик или использует преобразование сетевых адресов NAT. Клиент Skype сразу после запуска организует сеанс с суперузлом сети Skype. Когда связаться с таким клиентом из Интернета не удается, суперузел все равно уведомляет о поступившем вызове - но уже по открытому подключению. Если же получатель не в состоянии напрямую связаться с отправителем, между этими абонентами тут же появляется посредник, роль которого принимает на себя любой из тысяч агентов-ретрансляторов.

Такие суперузлы-посредники могут находиться в любой точке Интернета. В четвертом разделе пользовательского лицензионного соглашения EULA прямо говорится, что Skype может задействовать процессор и сетевые ресурсы любого пользовательского компьютера с целью обеспечения наилучшей работы всей системы. Таким образом, в качестве суперузла или агента-ретранслятора может выступать каждый клиент Skype, снабженный достаточно мощным процессором и имеющий адекватное широкополосное подключение.

Ради справедливости стоит отметить, что все каналы связи Skype надежно шифруются по алгоритму AES (Advanced Encryption Standard - усовершенствованный стандарт шифрования), а часть служебного трафика защищается по протоколу RC4. В результате посредник оказывается не в состоянии читать проходящие через него пакеты. Вроде бы все хорошо, вот только сетевой администратор при этом лишается контроля над своими данными в зашифрованном потоке. А поскольку Skype позволяет своим абонентам обмениваться файлами, то возникает реальная опасность утечки конфиденциальной информации - непонятно кто, кому и что пересылает. В дополнение ко всему программа стремится изменить по своему усмотрению настройки брандмауэра настольной системы (чаще всего - встроенного ПО с поддержкой Microsoft Windows), чтобы обеспечить оптимальные условия работы для самой себя. Даже если пользователь отключит установленное ею правило, при следующем запуске Skype вновь вводит в действие исключения (для этого, правда, нужно, чтобы пользователь данного компьютера имел право корректировать параметры брандмауэра).

Добровольное принуждение?

Skype постоянно вносит в свою систему изменения, призванные успокоить менеджеров ИТ в отношении подобных проблем. Правда, у всех таких корректив просматривается довольно интересный подтекст: вливайся в семью Skype, и мы поможем тебе стать властелином своего участка. Не хочешь? Что ж, тогда отдувайся сам...

На европейском форуме ИТ Джексон объявил, что его компания готовится выпустить несколько административных шаблонов Administrative Template, с помощью которых организации смогут управлять поведением Skype в своей сети (при условии, что там уже используется Active Directory Group Policy корпорации Microsoft). Вот только всех аспектов функционирования Skype эти ожидаемые в начале 2007 г. шаблоны, похоже, не охватят. Специалисты eWeek Labs, скажем, сильно сомневаются, что они позволят отключать функциональность суперузла для усиления контроля или обеспечения безопасности.

Не забывает Skype и о подготовке пользователей. По адресу www.skype. com/security/guide-for-network-admins.pdf опубликовано руководство сетевого администратора, где подробно описан порядок конфигурирования клиента и сети для достижения наилучших результатов. Здесь же читатель найдет немало полезной информации о том, как работает Skype, и благодаря этому сможет полностью представить себе, с чем предстоит столкнуться.

Затронуты в руководстве и вопросы управления сетевым поведением Skype с применением Web- или SOCKS-посредников. Изучив этот раздел, администратор сможет определить ключевые точки, где можно прервать работу программы в случае возникновения проблем. А четкое описание всего пути трафика Skype поможет ему избежать ложных сигналов тревоги от системы выявления взломов, которая без этого может счесть атакой даже обычную работу интернет-телефона.

Компаниям просто необходимо строго следовать рекомендациям Skype и для контроля за его трафиком прибегать к помощи внутренних посредников. По умолчанию программа подстраивается под параметры прокси-сервера Microsoft Internet Explorer, однако этого, на наш взгляд, недостаточно. Хотелось бы, чтоб администратор мог изменять свойства внутреннего прокси-компонента Skype по своему усмотрению, используя для этого Active Directory Group Policy. Надеемся, что такая возможность будет предусмотрена в следующих версиях административных шаблонов. Подобные средства управления позволили бы блокировать Skype в случае атаки на данный сервис (а она рано или поздно обязательно случится) или при подозрении об утечке информации.

Прежде чем принимать на вооружение Skype, компаниям стоит также изучить возможность интеграции этой программы с уже имеющейся телефонной инфраструктурой.

На выставке Internet Telephony Conference and Expo, которая проходила с 10 по 13 октября в Сан-Диего (США), мы обратили внимание на любопытное устройство фирмы Actiontec Electronics под названием Vosky Exchange. Это первая из известных нам попыток связать Skype for Business с офисными АТС. О масштабируемости данного устройства, правда, говорить не приходится. Оно способно эффективно обслуживать довольно ограниченный круг абонентов, так как целиком и полностью полагается на аналоговые каналы голосового интерфейса FXO (Foreign Exchange Office - узел внешнего обмена). Да и связь между АТС и специализированным сервером, который обслуживает сервис Skype, поддерживается по каналу USB. Тем не менее новинка Actiontec служит наглядным доказательством пробудившегося интереса независимых производителей к Skype, и остается только надеяться, что он будет нарастать.

Как уберечься

Менеджеров ИТ, которые решат, что достоинства Skype отнюдь не перекрывают таящиеся в нем опасности (либо вообще не слишком-то им нужны), поджидает неприятный сюрприз. Они могут обнаружить, что блокировать этот сервис очень сложно.

Самый действенный способ помешать проникновению Skype в корпоративную среду - это запретить пользователям самостоятельно устанавливать приложения на своих настольных системах. Только четко прописанные правила применения Skype, дополненные активацией LUA (Least-Privilege User Account - учетная запись пользователя с минимальными привилегиями), смогут удержать сотрудников от превращения этого приложения во враждебный плацдарм внутри корпоративной сети.

Вот только настольными системами и ноутбуками пути проникновения Skype не ограничиваются. Во-первых, имеется версия этой программы для карманных устройств на базе Pocket PC, а во-вторых, рынок предлагает множество телефонов Wi-Fi с поддержкой Skype.

Пожелания для Skype

Ниже приведены пять требований, выполнение которых сделает Skype более подходящим для корпоративной среды.

- Упростить развертывание. Инсталляционный пакет Skype уже сейчас построен по сценарному принципу, поэтому администраторы могут развертывать приложение с применением сценариев регистрации. И все же приложению явно не хватает файла .msi, который обеспечил бы лучшую связь Skype с корпоративными средствами развертывания ПО.

- Облегчить управление. Административные шаблоны для Active Directory Group Policy помогли бы контролировать поведение Skype в сети. Такие средства должны вот-вот появиться, однако их может оказаться недостаточно. Администраторы должны сами определять, какие сервисы предлагает клиент Skype пользователям и каким образом он поддерживает связь.

- Обеспечить блокирование суперузлов. Корпоративная сеть просто немыслима без четкого контроля над теми, кто пользуется ресурсами компании. Поэтому крайне необходима возможность отключения суперузлов, даже если для этого потребуется разнообразить лицензионные соглашения для клиентов.

- Улучшить документацию. Сейчас уже имеются средства, позволяющие контролировать все щупальца Skype, блокировать их проникновение через открытые лазейки и провоцировать массированные сигналы тревоги от системы выявления взломов. В этих целях, скажем, можно установить для каждого клиента Skype индивидуальный прокси-сервер SOCKS. Однако создателям интернет-телефона стоило бы больше внимания обращать на документирование таких решений и ознакомление пользователей с ними.

- Добавить в процесс сертификации Skype дополнительные корпоративные элементы. Дополнительный уровень сертификации, специально предназначенный для корпоративных пользователей, помог бы избавиться от таких проблем, как телефоны Wi-Fi без роуминга.

Источник: eWeek Labs.

Таким образом, для блокирования данной программы компаниям придется перейти на прикладной уровень. Сигнатуры трафика и подключения Skype уже закладываются во многие брандмауэры и системы обнаружения взломов, однако технология не стоит на месте. Несомненно, протокол Skype будет совершенствоваться и оттачиваться, поэтому такие сигнатуры придется постоянно обновлять.