Upload
vohuong
View
219
Download
2
Embed Size (px)
Citation preview
SkypeSkype ššta, gde, kako?ta, gde, kako?
Mr Nenad KrajnovićEE--mail: [email protected]: [email protected]
2
ŠŠta je Skype?ta je Skype?
www.skype.comAutori su Niklas Zennstrom i Janus Friis (autori KaZaa)Peer-2-Peer VoIP klijent koji omogućava kriptovano povezivanje korisnikaPostoji za Windows, MAC OS, Linux, Pocket PC
3
ŠŠta je Skype?ta je Skype?
Sistem koji omogućava besplatnu komunikaciju preko InternetaUz plaćanje, omogućava audio komunikaciju i sa korisnicima javne telefonske mreže (cene niže od uobičajenih)
4
Kako radi? (uproKako radi? (uproššććena ena ššema)ema)
http://www.businessweek.com/magazine/content/04_44/b3906089_mz063.htm
5
MoguMoguććnosti nosti -- besplatnebesplatne
Audio komunikacija sa sagovornicima na InternetuVideo komunikacija (beta servis) sa sagovornicima na InternetuChat (instant messaging)Slanje datotekaKonferencijski poziv
6
MoguMoguććnosti nosti –– uz naplatuuz naplatu
Audio komunikacija sa sagovornicima u javnoj telefonskoj mrežiSlanje SMS porukaOstavljanje govorne pošte (voicemail)Dobijanje personalnog broja koji je dostupan i iz javne telefonske mrežePreusmeravanje poziva
7
Koliko se koristi?Koliko se koristi?
Istovremeno ga koristi preko 10 miliona korisnika (podatak iz trećeg kvartala 2007. godine)Krajem 2009. godine – preko 17 miliona istovremeno prijavljenih korisnikaU toku 2006. godine je ostvareno 27 milijardi besplatnih poziva (bez poziva koji se naplaćuju)
8
U poređenju sa ostalim VoIP softveromU poređenju sa ostalim VoIP softverom......
Skype najčešće ima bolji kvalitet govoraSkype lakše uspostavlja vezu jer ima načina da prođe kroz firewall i NATKorisnički interfejs na Skype-u je značajno jednostavniji i ne zahteva od korisnika nikakvo posebno znanjePruža bolju zaštitu govora i podataka u prenosu
9
Kako radi?Kako radi?
Zvanične informacije nisu raspoloživeInformacija o načinu rada potiču od nezavisnih istraživača koji su analizirali način radaAutori nisu ni potvrdili ni demantovali takve analize rada Skype-aTokom vremena je evoluirao i menjao se tako da neki od podataka izneti u tim analizama nisu više tačni
10
Skype klijentiSkype klijenti
Inicijalno su bili isključivo računari sa odgovarajućim softveromTrenutno postoje 3 telefonska bežična aparata koja imaju podršku za SkypePojavio se i jedan operator mobilne telefonije koji nudi mobilni telefon sa podrškom za Skype
www.skype.com
11
ArhitekturaArhitektura
Login server
Super Node
Običan Skype korisnik
Prijavljivanje korisnika
Razgovor korisnika
12
Login serverLogin server
Login server je jedini centralizovani server na kome se čuvaju podaci o korisnicima i njihovim šiframaAutentifikacija korisnika se obavlja na ovom serveruBrine o tome da su korisnička imena jedinstvena u okviru celog Skype sistemaStatusi korisnika se čuvaju na decentralizovanim serverima
13
Super Node (SN)Super Node (SN)
To je klijentski računar koji ima dovoljno snažan procesor, dovoljno memorije, javnu IP adresu i dovoljan protok ka InternetuNije poznato na koji način se postaje SNNeki autori tvrde da klijent ne može da spreči da njegov računar postane SN (neka novija istraživanja to demantuju)
14
Super Node (SN)Super Node (SN)
Iskustvo pokazuje da se može izbeći postajanje SN ako se u konfiguraciji izbriše port za dolazeće konekcijeListu SN-ova čuva svaki klijent za sebe u kriptovanom oblikuKod Windows klijenta je to u registry-juPrilikom svakog aktiviranja klijenta vrši se i ažuriranje liste SN (naziva se Host Cache lista)
15
PortoviPortovi
Za komunikaciju koristi TCP i UDP port koji je naveden u konfiguracijiPored konfigurisanih, Skype otvara i portove TCP/80 (http) i TCP/443 (https)
16
CodecCodec
Nije objavljeno koji se koristi ali je pretpostavka da se koriste iLBC i iSAC proizvođača GlobalIPSound ili neki treći nepoznati codecIzmereno je da se prenosi propusni opseg 50 – 8.000 HzNe koristi potiskivanje tišine (utvrdjeno eksperimentalno [3]) Koristi protok od 3 do 32kB/s
17
SignalizacijaSignalizacija
Ne koristi ni jedan poznati sistem signalizacije (H.323, SIP) već svoj proprietery sistemKoristi uglavnom UDP protokol ali ako su klijenti iza firewall-a tada koristi i TCP protokolAko su klijenti na javnom Internetu, tada prolazi direktno; ako su iza firewall-a koji ne pušta UDP tada neki od SN-ova se koristi za relaying server i sve poruke prolaza kroz njega (prema autoru [7] ne koristi se SN već Relay Host)
18
Host CacheHost Cache
Lista SN-ova koja se čuva kod klijentaNa listi može da bude maksimalno 200 SN-ovaAutomatski se generiše tokom radaAko se klijentu obriše HC, on ne može da se poveže u mrežuKod prvog logovanja na mrežu dobija se inicijalna lista SN-ova
19
BuddyBuddy lista lista
Lista kontakata se čuva na klijentovoj mašini (kod Windows-a to je registry)Lista se čuva u kriptovanom obliku, digitalno potpisanaCentralni server ne sadrži ovu listu tako da kod promene računara mora da se prebaci sa starog računaraAko instalirate Nimbuzz na mobilni telefon videćete da se na telefonu pojavljuje lista kontakata što demantuje prethodnu tvrdnju!
20
KriptovanjeKriptovanje
Za kriptovanje sadržaja koji se prenosi koristi se 256-bitni AES algoritamZa dogovaranje oko simetričnih AES ključeva na početku sesije koristi se 1536 bitni ili 2048 bitni RSA algoritamNezavisni analitičar [2] tvrdi da se kriptovanje i implementacija realizuju po pravilu, tj. da nema “bočnih ulaza” (back door)Bez obzira na SN, kriptovanje je end-to-end
21
““ProlazakProlazak”” kroz kroz firewallfirewall
Pretpostavka je da koristi STUN (Simple Traversal of UDP through NAT – RFC 3489) ili TURN (Traversal Using Relay NAT) protokole da bi otkrio koji je tip firewall-a i kako da ga prođe.Informacija otkrivena na ovaj način čuva se u windows registry-ju
22
PronalaPronalažženje korisnikaenje korisnika
Koristi svoju “Global Index” tehnologiju za pronalaženje korisnika.Pretraživanje ide posredstvom SN-ova.Pošto su Skype poruke kriptovane, nije moguće pratiti komunikaciju dalje od prvog SN-a kome je poruka upućena.Komunikacija sa SN-ovima je posredstvom UDP protokola
23
Procedura logovanja (1)Procedura logovanja (1)
Po instalaciji i prvom pokretanju, HC lista je prazna.Po prvobitnom logovanju klijent inicijalizuje HC listu sa 7 osnovnih servera koji imaju funkciju SN-a (bootstrap super node)Bootstrap SN su:
upisani direktno u klijentski softver iliupisani u windows registry u kriptovanom obliku tako da se ne mogu videti ili postoji poseban proces za kontakt bootstrap SN-ova
24
Procedura logovanja (2)Procedura logovanja (2)
Logovanje prvi put:klijent šalje UDP pakete ka nekim SN-ovima;klijent uspostavlja TCP konekciju sa SN-om koji je prvi odgovorio;klijent možda dobija IP adresu login servera od SN-aKlijent uspostavlja TCP konekciju sa login serverom u cilju autentifikacije
25
Procedura logovanja (3)Procedura logovanja (3)
Sva ostala logovanjaSlično proceduri za logovanje prvi putKlijent utvrđuje IP adresu i port barem jednog SN-a i sa njim uspostavlja TCP konekcijuLista HC-ova se periodično obnavlja i dopunjuje IP adresama novih SN-ova
26
Uspostava pozivaUspostava poziva
Signalizacija poziva se uvek prenosi preko TCP-aAko je pozivajući klijent iza firewall-a koji kontroliše portove a pozvani korisnik na javnom Internetu (bez firewall-a) tada se koristi i SN (Relay Host – [6]) preko koga prolazi signalizacijaAko su oba klijenta iz firewall-a, tada svaki od njih koristi po jedan SN (Relay Host – [6]) za slanje signalizacije
27
Trajanje pozivaTrajanje poziva
Skype dozvoljava korisnicima da stave poziv na čekanje.Kada se postavi čekanje, tada klijenti šalju 3 UDP paketa svakog sekunda da bi zadržali vezu aktivnom.Za bilo kakav razuman kvalitet potrebno je 16 kb/s protoka
28
Konferencijska vezaKonferencijska veza
Skype podržava konferenciju korisnikaNe uspostavlja se veza svako sa svakim već se automatski bira glavni server kroz koji prolaze svi paketi sa govorom.Izabrani server se ponaša kao mikser i svim učesnicima šalje zbirni audio signal
29
Literatura:Literatura:
1)
http://www.skype.com/2)
Tom Berson: “Skype Security Evaluation”, http://www.skype.com/security/files/2005-
031%20security%20evaluation.pdf3)
Salman A. Baset, Henning Schulzrinne: “An Analisys of the Skype Peer-to-Peer Internet Telephony Protocol”, http://arxiv.org/pdf/cs/0412017
4)
CARNET CERT, LS&S: “Sigurnost Skype alata”, CCERT-PUBDOC-2007-10-208, http://www.cert.hr/filehandler.php?did=307
5)
http://www.gipscorp.com/6)
Bert Hayes: “Skype: A Practical Security Analysis”, http://www.sans.org/reading_room/whitepapers/voip/
32918.php
SkypeSkype ššta, gde, kako?ta, gde, kako?
Mr Nenad KrajnovićEE--mail: [email protected]: [email protected]