« Home | מחשבות לגבי OpenID » | פתיחת הiPhone גרסה 1.1.2 לרשת Cellcom וגם 1.1.3 » | נשברתי ... iPhone. » | מהי התקפת Buffer Overflow ? » | נבואה ראשונה מתקיימת השנה - Facebook Attack » | לסרוק ולא לנקות - Online AV Scanners » | שנה טובה , ברוכה הבאה 2008 » | השינויים שבוצעו לקראת 2008 בבלוג - חלק א » | האיומים הצפויים ל2008 » | הקוד , לבקשתכם - XSS Translator »

הגבלה במקום חסימה ,P2P ברשת הארגונית.

בין לבין בדקות הקצרות הפנויות שיש לי בתקופה האחרונה, עוברות מספר מחשבות אשר זכרתי שרציתי לתת עליהן את הדעת אך לא הספקתי. אחת מהן היא הדרך לטפל בנושא הP2P בארגון.

אחת הדרישות העיקריות של מנהלי מערכות ממערכות בקרת הגישה שלהם היא לבצע חסימה לP2P , שכאשר אני מתאר P2P אני מתכוון לא רק לקאזה ודומיו , אלא כמובן גם לSkype ודומיו.

דעתי הכנה בנושא היא - לא לבצע חסימה , אלא לבצע Shaping לתעבורה זו לניצולת בלתי אפשרית של עד 2K במערכות בקרת הגישה והניתוב.

הסיבה היא טכנית גרידה -

כאשר אפליקצית תקשורת כגון SKYPE מנסה ליצור קשר החוצה עם העולם , היא פונה לאחד ממאות הכתובות שיש בחוץ ופונה אליו בפורטים מסוכמים מראש על מנת לבצע גישה החוצה לשיחה. אך אם אין גישה שכזו בשל PORT חסום או IPS אשר מנסה לשבור את הבניה של התקשורת - התוכנה מתחילה להשתולל ולחפש דרך אחרת לצאת החוצה כדי לתת שירות ( וספציפית Skype מתמחים בCovert Channeling ) למשל על ידי יציאה דרך HTTP וכדומה. ולכן , בעצם ברגע שחסמנו SKYPE - ייתכן ולא באמת חסמנו , אך מה שכן , בטוח גרמנו לרעש ברשת , כי כל מחשב שינסה לגשת יעמיס לנו על הציוד ללא סיבה נראית לעין.

ברגע שנבצע SHAPING לתעבורה נמוכה - האפליקציה מזהה דרך גישה החוצה, ולכן לא משתוללת , אך למשתמש אשר מנסה לגשת - זה לא אפקטיבי . כי איזו שיחה אפשר לעשות מתוך ארגון של 1000 עובדים , על גבי 2K בודדים... זה הופך לזניח , והמשתמשים מוותרים על נסיונות הקמת השיחה מהר מאוד.

Dont Block It , Shape It.

Labels: , , ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 

בכנס OWASP האחרון היה בחור מבריק בשם עמר דקל מהמרכז הבין-תחומי הרצליה.
הוא נתן הרצאה מעניינת מאוד על הדרכים שניתן לחסום את סקייפ בארגון.
זה ממש ממש לא פשוט לחסום את כל התעבורה של סקייפ.

לגבי טראפיק שייפ - איך אתה יכול להחליט מה מתעבורת HTTP או HTTPS מגיע מסקייפ או מהBROWSER?
אני מניח שאם סקייפ השקיעו בלהצפין את התעבורה הם משנים גם את המקור שלה ואתה היוזר אייג'נט לפני כדי שהפקטים ייראו תמימים ככל האפשר..

וחוץ מזה - מנגנון התגובות פה כל כך מחורבן שאני פשוט לא מסגל להגיב.. זה מעצבן!

ספציפית לSKYPE יש 2 שכבות לפרוטוקול , יש את שלב הHANDSHAKE שלו ואז רק יש את שלב השיחה והתקשורת
ניתן היום על פי ניתוח הפאקט לזהות את התעבור של SKYPE ( אך לא להשפיע על התוכן שלה )

סתם מחשבה,

אין איזה כלי מסודר שיודע להתממשק לרשת Skype בלי כל השטויות האלה?

סה"כ מדובר בשרות איכותי ונצרך, שנמצא בשימוש נרחב בלא מעט מקומות ואנשים - ובצדק.

בארי - כנס לאתר של OWASP ותקרא את הניתוח שלו לעניין.
זה ממש לא פשוט לזהות ולחסום את הפקטים של סקייפ.
גם בחברות שמצהירות שהמוצר שלהן חוסם את זה יש מקרים ומצבים בהם המשתמש לא נחסם.
נושא מעניין..

לא, לא, לא... (-;

לחסום, בטח לחסום.
אם כבר זיהית את הפעילות, דרך ה-IPS שלך ב-LAN או ב-GATEWAY או דרך מסנן ה-WEB שלך ב-GW - תראה מה כתובת המקור ושלח לשם את טכנאי השטח לתת למשתמש בראש + להסיר את היישום + יידוע של המנהל שלו.
צריך לזכור שכל יישומי ה-P2P הם חממה לקוד זדוני ולזליגת מידע.

הגישה של להשלים עם המצב ורק להקטין את נזקיו - אינה גישה בריאה לדעתי. מה גם שהסרת הניג'וס הזה לא אמורה להיות מסובכת מדי.

Post a Comment

About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites