Skype im Unternehmensnetz
Beginn einer neuen Freundschaft?
Vielen Anwendern dürfte "Skype" aus dem Privatbereich bekannt sein - als nützliche und kostengünstige Lösung für Internettelefonie und Instant Messaging. Doch wie ist die proprietäre Skype-Technik beim Einsatz im Unternehmensbereich zu bewerten? Sind immer wieder geäußerte Sicherheitsbedenken berechtigt? Der Beitrag geht diesen Fragen in Theorie und Praxis nach.
Skype (www.skype.com) nutzt ein
herstellerspezifisches Protokoll für die Internettelefonie, das auf der "Kazaa"-Technik von 2003
beruht. Das Client-Programm lässt sich sehr einfach installieren und funktioniert unter
verschiedensten Randbedingungen (NAT/Firewall). Vergleichbar ist Skype mit Applikationen von
Microsoft (Windows Live Messenger) oder "Yahoo IM". Der Einsatz von Skype zielt hauptsächlich auf
den privaten Bereich ab, der gleichnamige Hersteller, ein Unternehmen von Ebay, versucht aber mit
neueren Angeboten auch in den geschäftlichen Bereich einzusteigen. Daher lohnt es sich, die Technik
von Skype etwas näher zu beleuchten und die Konsequenzen für den Einsatz in professionellen
Umgebungen zu beschreiben. Zudem hat sich Skype bereits klammheimlich in die Unternehmen
eingeschlichen, ohne dass dies den IT-Verantwortlichen bekannt sein muss.
Skype bietet alle Dienstleistungen, die heute zu einer modernen Instant-Messaging-(IM-)Struktur
gehören:
"Skypein": Anrufen eines Clients aus dem öffentlichen Netz – eine Option, die
keineswegs selbstverständlich ist. Eine Telefonnummer, die aus dem öffentlichen Netz erreichbar
ist, muss der Nutzer allerdings beantragen und ist kostenpflichtig.
"Skypeout": Anrufen eines Teilnehmers im öffentlichen Netz.
Konferenzen, Voice-Mail, SMS und Anrufweiterschaltung.
"Skype Zones": Anrufe von Hotspots aus, die diesen Dienst unterstützen.
Peer-to-Peer-Architektur
Skype bildet ein Peer-to-Peer-(P2P-)Netz der "dritten Generation" (Originalton Skype). Ein
P2P-Netz ist vollständig vermascht: Jeder Teilnehmer kann mit jedem kommunizieren und organisiert
sich selbst. Zudem kann jeder Partner (Peer) in diesem Netz von einem anderen als Relay oder
Verarbeitungsrechner genutzt werden. Skype erwähnt diese Möglichkeiten auch in ihrem
Endbenutzer-Lizenzvertrag (Artikel 4.1).
Konkret kann bei einem P2P-Netz jeder Partner
mit dem anderen Partner kommunizieren und Informationen austauschen,
den anderen Partner für die Weiterleitung von Informationen verwenden
(Relaying) sowie
für einen anderen Partner Aufgaben übernehmen und dafür eigene Ressourcen
bereitstellen.
Ein P2P-Netz das sich mit einem Unternehmensnetz überlagert, stellt daher ein ernsthaftes Risiko
für dessen Sicherheit und Durchsatz dar. Skype erwähnt auch hier in ihren Lizenzbedingungen, dass
sie "… gewerblich angemessene Anstrengungen unternimmt, um die Vertraulichkeit und Unversehrtheit
Ihrer Computerressourcen (oder anderer anwendbarer Geräte) und Ihrer Kommunikation zu schützen;"
(Endbenutzer-Lizenzvertrag, Artikel 4.2).
Zu den Vorteilen einer P2P-Struktur zählen:
Hohe Skalierbarkeit: Mit steigender Anzahl von Rechnern (Peers), wachsen auch
die Kapazitäten.
Ausfallsicherheit und Robustheit: Der Ausfall eines Peers lässt sich durch
andere Peers kompensieren.
Selbstorganisation: Es ist keine zentrale Steuerung des Systems erforderlich,
da die Partner sich gegenseitig suchen und (hoffentlich) finden.
Skype selbst benötigt außer einem Loginserver keine weiteren Server. Das P2P-Netz besteht aus
folgenden Komponenten (Bild 1):
Ordinary Host (OH): Den OH repräsentiert der normale Arbeitsplatzrechner, auf
dem der Skype-Client läuft. Der OH kann Anrufe initialisieren und Textnachrichten versenden.
Super Node (SN): Der SN stellt den Endpunkt für den OH dar. Er leitet die
Informationen von einem OH an das Overlay-Netz, also zu einem anderen SN oder auch OH weiter. Als
SN kann jeder Rechner fungieren, der über eine öffentliche IP-Adresse (auch hinter einer NAT)
verfügt und genügend freie Kapazitäten besitzt.
Loginserver: Der Loginserver erlaubt den Zugriff auf das System und speichert
die Login-Daten ab.
NAT/Firewall Traversal: Skype ist nach dem Tarnkappenprinzip programmiert und
passt sich den Umständen an: Ist keine UDP-Verbindung möglich, kann sich Skype auch auf bestehende
TCP-Verbindungen setzen und so ein Loch durch die Firewall bohren. Letztere wird Skype kaum
erkennen, da keine Standard-Ports zum Einsatz kommen. Allerdings können Intrusion-Detection- oder
-Prevention-Systeme (IDS/IPS) unangenehm empfindlich auf Skype reagieren.
Skype-Analyse im Selbstversuch
Zum Test des gesamten Skype-Datenverkehrs diente ein Selbstversuch des Autors. Die Testumgebung
bestand aus einem Windows-XP-Professional-Rechner, der über eine NAT-/Firewall-Struktur Verbindung
mit dem Internet hatte. Der Client war mit einem IDS (Zonealarm Pro) und einem Virenscanner
ausgestattet. Parallel dazu lief zur Protokollanalyse ein Capture mit dem Freeware-Tool Wireshark.
Der Selbstversuch umfasste die Skype-Anmeldung und einen Testanruf.
Die Ergebnisse übertrafen die Vermutungen bei weitem. Dem Client (10.0.0.5) lag die Welt "zu
Füßen": Er baute Verbindungen zu insgesamt 65 verschiedenen Partnern weltweit auf. Teilweise waren
dies zwar nur Verbindungsaufbauversuche, aber effektiver Datentransfer kam mit zirka zwölf Partnern
zustande (Bild 2). Aus dieser Konversationsliste sei nur eine IP-Adresse als Beispiel
herausgegriffen: Die IP-Adresse "74.57.59.196" ergibt mit Nslookup aufgelöst folgenden
Domain-Namen: "modemcable196.59–57–74.mc.videotron.ca". Aus der Struktur des Namens ist zu
entnehmen, dass es sich dabei um einen Nutzer handelt, der von einem Internet-Provider (Vidéotron)
in Quebec bedient wird. Mehr lässt sich mit vertretbarem Aufwand nicht recherchieren.
Eine Interpretation der einzelnen Pakete ist müßig, da für Skype keine Dekodierung existiert. Es
lässt sich erkennen, dass einige Verbindungen zum Loginserver von Skype ("213.244.170.76"
beziehungsweise -".77") aufgebaut werden. Nach dem Auslösen des Testanrufs läuft der Audio-Stream
ebenfalls zum Skype-Server. Welche Informationen wohin fließen, lässt sich aus einem solchen Trace
nicht entnehmen. Auch eine Fehlersuche wäre in einem derartigen Szenario nicht möglich: Die
verwendeten Ports liegen querbeet auf alle Bereiche verstreut, meist jedoch oberhalb 18.000. HTTP
und HTTPS kommen ebenfalls zum Einsatz.
Konsequenzen für Unternehmensnetze
Kurt Sauer, Chief Security Officer von Skype, erläuterte in einem Interview im Oktober 2006 die
Zielsetzung von Skype. Demnach beschränkt sich die Zielgruppe im Unternehmensbereich auf die KMU
(kleine und mittlere Unternehmen). Eine Ablösung bestehender TK-/IP-TK-Anlagen ist dabei nicht das
Ziel. Skype sieht sich selbst als Protokoll für die (Video-)Telefonie und als Werkzeug für das "
Business Social Networking". Die Marketingstrategie von Skype verfolgt derzeit keinen weiter
gehenden Ansatz.
Als Problembereiche der Skype-Technik im geschäftlichen Umfeld sind zu nennen:
IDS/IPS: Diese Systeme reagieren allergisch auf die ungewöhnlichen
Skype-Datenströme (wie etwa 2006 bei der San José State University, USA), und es erfordert viel
Zeit und damit Geld, die auflaufenden Fehlermeldungen zu bearbeiten.
Peer-to-Peer: Die P2P-Technik erzeugt unkontrollierbare Datenströme zu
Rechnern, die weder bekannt sind, noch gesicherte Rechner darstellen. Die Folge sind größere
Datenmengen, da fremde Informationsströme durch den eigenen Rechner und das eigene Netz fließen. Da
alle Informationsflüsse verschlüsselt sind und der Sourcecode von Skype nicht offen gelegt ist,
bleibt nur das Vertrauen in Skype.
Sicherheit der Datenströme: Skype argumentiert damit, dass alle
Informationsflüsse verschlüsselt sind, legt aber nicht offen nach welcher Methode dies geschieht.
In der IT-Security gelten nur publizierte Verschlüsselungsverfahren als sicher. Ohne diese
Offenlegung lässt sich nicht überprüfen, wie sicher ein Verfahren tatsächlich ist.
Die Lösungsansätze von Skype für den geschäftlichen Bereich (KMU) lauten:
Proxy-Einsatz: Skype schlägt vor, einen Socks-5-Server zu verwenden und so die
unkontrollierbaren Datenströme im Trusted Network zu verhindern. Damit soll sich das Problem mit
den ID-/IP-Systemen lösen lassen.
Installationsvereinfachung: Mitliefern eines MSI-Installers, damit sich Skype
von zentraler Stelle installieren lässt. Außerdem soll die Möglichkeit bestehen, dass der
Administrator bestimmte Dienste verbieten kann.
Die grundlegenden Probleme der herstellerspezifischen Ausrichtung (P2P und Verschlüsselung)
lassen sich durch diese Lösungsansätze allerdings nicht beseitigen.
Zwar befindet sich Skype derzeit durchaus im Aufwind, aber der Einsatz im Unternehmensbereich
wird sich als Insellösung, nicht jedoch als kompletter Ersatz bestehender TK-Lösungen etablieren.
Interessant erscheint Skype sicher für die Anwendung innerhalb eines Unternehmens, um
beispielsweise den Wegfall von Microsoft Netmeeting zu kompensieren. Der Loginserver muss dann
jedoch innerhalb des Trusted Networks liegen. Allerdings existieren auch hierfür Alternativen wie
das Nachfolgeprodukte von Microsoft, Windows Live Messenger. Doch auch der offene VoIP-Standard SIP
kann sich dem Trend zu P2P-Netzen à la Skype nicht entziehen, und die Normierer diskutieren über
die entsprechende Definition eines P2P-SIP. Auf dem anstehenden IETF-Meeting in Prag soll eine
Arbeitsgruppe dazu gegründet werden.
Fazit
Skype stellt eine herstellerspezifische Spezialanwendung dar und kann daher diese Aufgabe besser
lösen, als universelle Protokolle, wie SIP oder H.323. Die Unsicherheit darüber, was Skype mit den
Informationen macht und wo diese entschlüsselt werden, lassen nur den Schluss zu, dass Skype in
sicherheitsrelevanten Umgebungen nichts zu suchen hat. Allerdings kann die Macht des Faktischen die
IT-Verantwortlichen zwingen, sich mit dieser Technik auseinander zu setzen, da Benutzer häufig
Skype einfach auf ihrem Notebook installieren, sofern sie die nötigen Rechte dazu besitzen.
IT-Verantwortliche müssen sich daher auf jeden Fall Gedanken machen, wie sie mit Skype umgehen
wollen. Die "Invasion" hat bereits begonnen.
Lesen Sie mehr zum Thema
