הגבלה במקום חסימה ,P2P ברשת הארגונית.
בין לבין בדקות הקצרות הפנויות שיש לי בתקופה האחרונה, עוברות מספר מחשבות אשר זכרתי שרציתי לתת עליהן את הדעת אך לא הספקתי. אחת מהן היא הדרך לטפל בנושא הP2P בארגון.
אחת הדרישות העיקריות של מנהלי מערכות ממערכות בקרת הגישה שלהם היא לבצע חסימה לP2P , שכאשר אני מתאר P2P אני מתכוון לא רק לקאזה ודומיו , אלא כמובן גם לSkype ודומיו.
דעתי הכנה בנושא היא - לא לבצע חסימה , אלא לבצע Shaping לתעבורה זו לניצולת בלתי אפשרית של עד 2K במערכות בקרת הגישה והניתוב.
הסיבה היא טכנית גרידה -
כאשר אפליקצית תקשורת כגון SKYPE מנסה ליצור קשר החוצה עם העולם , היא פונה לאחד ממאות הכתובות שיש בחוץ ופונה אליו בפורטים מסוכמים מראש על מנת לבצע גישה החוצה לשיחה. אך אם אין גישה שכזו בשל PORT חסום או IPS אשר מנסה לשבור את הבניה של התקשורת - התוכנה מתחילה להשתולל ולחפש דרך אחרת לצאת החוצה כדי לתת שירות ( וספציפית Skype מתמחים בCovert Channeling ) למשל על ידי יציאה דרך HTTP וכדומה. ולכן , בעצם ברגע שחסמנו SKYPE - ייתכן ולא באמת חסמנו , אך מה שכן , בטוח גרמנו לרעש ברשת , כי כל מחשב שינסה לגשת יעמיס לנו על הציוד ללא סיבה נראית לעין.
ברגע שנבצע SHAPING לתעבורה נמוכה - האפליקציה מזהה דרך גישה החוצה, ולכן לא משתוללת , אך למשתמש אשר מנסה לגשת - זה לא אפקטיבי . כי איזו שיחה אפשר לעשות מתוך ארגון של 1000 עובדים , על גבי 2K בודדים... זה הופך לזניח , והמשתמשים מוותרים על נסיונות הקמת השיחה מהר מאוד.
Dont Block It , Shape It.
Labels: architecture, consulting, service, solution
| Link 
בכנס OWASP האחרון היה בחור מבריק בשם עמר דקל מהמרכז הבין-תחומי הרצליה.
הוא נתן הרצאה מעניינת מאוד על הדרכים שניתן לחסום את סקייפ בארגון.
זה ממש ממש לא פשוט לחסום את כל התעבורה של סקייפ.
לגבי טראפיק שייפ - איך אתה יכול להחליט מה מתעבורת HTTP או HTTPS מגיע מסקייפ או מהBROWSER?
אני מניח שאם סקייפ השקיעו בלהצפין את התעבורה הם משנים גם את המקור שלה ואתה היוזר אייג'נט לפני כדי שהפקטים ייראו תמימים ככל האפשר..
וחוץ מזה - מנגנון התגובות פה כל כך מחורבן שאני פשוט לא מסגל להגיב.. זה מעצבן!
Posted by
Unknown |
5:34 AM
ספציפית לSKYPE יש 2 שכבות לפרוטוקול , יש את שלב הHANDSHAKE שלו ואז רק יש את שלב השיחה והתקשורת
ניתן היום על פי ניתוח הפאקט לזהות את התעבור של SKYPE ( אך לא להשפיע על התוכן שלה )
Posted by
barry |
12:09 PM
סתם מחשבה,
אין איזה כלי מסודר שיודע להתממשק לרשת Skype בלי כל השטויות האלה?
סה"כ מדובר בשרות איכותי ונצרך, שנמצא בשימוש נרחב בלא מעט מקומות ואנשים - ובצדק.
Posted by
Anonymous |
7:50 PM
בארי - כנס לאתר של OWASP ותקרא את הניתוח שלו לעניין.
זה ממש לא פשוט לזהות ולחסום את הפקטים של סקייפ.
גם בחברות שמצהירות שהמוצר שלהן חוסם את זה יש מקרים ומצבים בהם המשתמש לא נחסם.
נושא מעניין..
Posted by
Unknown |
9:13 PM
לא, לא, לא... (-;
לחסום, בטח לחסום.
אם כבר זיהית את הפעילות, דרך ה-IPS שלך ב-LAN או ב-GATEWAY או דרך מסנן ה-WEB שלך ב-GW - תראה מה כתובת המקור ושלח לשם את טכנאי השטח לתת למשתמש בראש + להסיר את היישום + יידוע של המנהל שלו.
צריך לזכור שכל יישומי ה-P2P הם חממה לקוד זדוני ולזליגת מידע.
הגישה של להשלים עם המצב ורק להקטין את נזקיו - אינה גישה בריאה לדעתי. מה גם שהסרת הניג'וס הזה לא אמורה להיות מסובכת מדי.
Posted by
Anonymous |
10:24 AM