Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1

A estas alturas ya todos sabemos qué es Skype. No voy a descubrir nada nuevo sobre este software para realizar llamadas (voz), chat, etc, a través de internet desde un PC a otro PC.

Solo comentar, como peqeño resúmen, que hace uso de VoIP gracias a la tecnología P2P (algo vimos aquí sobre detectar P2P en nuestra red ) y usa cifrado fuerte para las comunicaciones. Sobre la Seguridad dice Skype:

“Skype usa AES (el Estándar de Cifrado Avanzado), también conocido como Rijndel, que también es usado por organizaciones estadounidenses de gobierno para proteger la información sensible. Skype usa el cifrado de 256 bit, que tiene un total de 1.1 x 10E77 llaves posibles, para cifrar los datos activamente en cada llamada de Skype o en cada mensaje instantáneo. Skype usa 1536 a 2048 bit RSA (Algorithm for Public-Key Encryption) para negociar llaves simétricas AES. Las llaves de usuario público son certificadas por el servidor Skype en la conexión.”

Es decir, que en principio, descifrar una conversación Skype es algo prácticamente imposible. Además, el software o protocolo de seguridad de Skype es propietario, cerrado y secreto.

En este artículo nos centraremos en como bloquear Skype , así como algunas consideraciones sobre este software. Eso sí, haciendo uso de las herramientas de captura de tráfico como Wireshark, y Snort en todo lo que nos sea posible. Además no servirá para bloquear otros tipos de tráfico usando la misma «técnica».

NOTA: Iré actualizando con soluciones de bloqueo avanzadas de distintos dispositivos hardare.

Relacionado:  Skype. Algunas consideraciones sobre Skype. Información almacenada en el usuaro. Análisis forense.

Para llegar a donde queremos, que menos que saber un poco, muy brevemente, algo sobre la arquitectura Skype. Por ejemplo que su red tiene tres tipos de hosts:

• Nodo. cualquier host cliente
• Super-Nodo. host con IP pública con grandes recursos de ancho de banda, procesamiento y memoria. sirven para lagestión de directorios de usuarios, datos de nodos, etc. Cualquier Nodo se puede converti, si tiene estos recursos mencionados, en Super-Nodo, siempre y cuando no estén detrás de un proxy o firewall/cortafuegos.
• Skype Login Server.host servidor único y solo este es centralizado. Se encarga de la autentificación de usuarios, almacenamiento de usuarios / contraseñas y que los usuarios sean únicos.

¿ Como interactúan entre ellos?. Cada host Nodo o cliente debe conectar con un host Super-Nodo y registrarse/autentificarse en el  Skype Login Server. Aunque existe un solo servidor central Skype Login Server para las funciones que acabo de comentar, todo el tráfico, información, etc se realiza de forma descentralizada.

Como se inicia la conexión, el proceso de conexión, conexión a Super-Nodos y Skype Login Server, búsqueda de contactos, establecimiento de llamada, obtención de certificado, cifrado y muchos otros aspectos, no entran en el objetivo de este artículo. Para otro.. ya veremos. Son procesos complicados.

¿ Qué puertos usa ?. Skype usa puertos TCP y UDP. La numeración del puerto suele ser, por defecto, alta para las conexiones entrantes. Si en nuestro cortafuegos o firewall, tenemos bloqueados los puertos que usa Skype, este intentará acceder a los puertos 80 y/o 443.También puede usar proxies HTTP / SOCKS5, con lo que habrá que indicarle Servidor y Puerto y, en su caso, usuario / contraseña.

Esto ya nos  da una pista de como bloquear Skype en una red local:

• El usuario no tiene acceso a internet.  Solucionado.
• El usuario tiene acceso pero solo a determinados puertos o servicios. Los podría usar Skype.
• El usuario solo tienen acceso a los puertos 80 y/o 443. Los usa Skype.

¿ Eso es todo ?. Pues no. Lo normal es que los usuarios tengan acceso a internet, y, sobre todo, necesitan el puerto 80 y para algunos servicios 443, con lo cual, de momento no hemos avanzado gran cosa.

¿ Entonces como bloqueamos Skype ?. Independientemente de que algunos cortafuegos o firewalls tengan ya implememtados algunos filtros para Skype, que no lo se, vamos a usar Wireshark para buscar alguna firma identificativa de Skype, patrón o característica única que nos sirva para crear un filtro o política para nuestro cortafuegos.

Capturando el tráfico Skype.

NOTA: Vamos a realizar un estudio no demasiado profundo. Eso lo dejaremos para otra entrega. Se trata de dar una serie de pistas, consideraciones sobtre el bloqueo de este tipo de software.

Nuestro escenario es el siguiente. Un host cliente Skype con salida a internet a través de un cortafuegos sin ningún tipo de restricción a puertos TCP / UDP. Un host cliente remoto cualquiera. Skype está ya instalado y no es la primera vez. De ser el primer uso la captura cambia en algunos aspectos.

NOTA: Bajo otros escenarios, como por ejemplo, habilitar solo el puerto 443, las capturas cambian. Podemos, además, obtener mucha información sobre las transacciones SSL.

Lo primero que observamos es una peticion DNS. Un Standard Query request A para resolver ui.skype.com. A lo que se responde con un Standard query response A 204.xxx.xxx.158.

Ya tenemos la primera pista. Skype conecta con un servidor ui.skype.com.

Vemos, a continuación, un establecimiento de conexión a tres bandas. Entre el Nodo host cliente con el servidor ui.skype.com.

Una vez establecida la conexión se realiza una petición HTTP GET. Si realizamos un Follow TCP Stream desde Wireshark, veremos:

GET /ui/0/3.8.32.115/es/getlatestversion?ver=3.8.32.115&uhash=1540f7874177b01d4df58ee305d933e23 HTTP/1.1

User-Agent:

Host: ui.skype.com

Cache-Control: no-cache

A lo que se responde:

HTTP/1.1 200 OK

Date: Tue, 10 Nov 2009 17:11:56 GMT

Server: Apache

Cache-control: no-cache, must revalidate

Pragma: no-cache

Expires: 0

Set-Cookie: SC=CC=:CCY=:LC=es:TM=1257873116:TS=1257873116:TZ=:VER=0/3.8.32.115/0; expires=Wed, 10-Nov-10 17:11:56 GMT; path=/; domain=.skype.com;

Content-Length: 8

Connection: close

Content-Type: text/html; charset=utf-8

Content-Language: en

2.0.32.0

Pues ya lo tenemos bastante más claro.

• GET /ui/0/3.8.32.115/es/getlatestversion
• Host: ui.skype.com

En cada una de las conexiones realizadas con Skype, estos dos patrones, por poner dos ejemplos, se repiten. Aunque no exactamente, ya que la numeración marcada en rojo es la versión del cliente y, lógicamente, puede cambiar.

¿ Algo más que nos pueda servir ?. Bueno, tenemos también un número de puerto UDP:

Se trata del puerto 59907, Pero no nos sirve de mucho. Este puerto es configurable desde Opciones de Skype.

De todas formas ya tenemos suficiente para esta primera aproximación
a la  identificación del tráfico de Skype.

Creación de regla Snort para detectar el uso de Skype. 

De no tener políticas que impidan la instalación de programas en las máquinas de nuestros usuarios, podríamos, por ejemplo, crear una regla Snort tal como esta:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:»Uso de GET para nueva version Skype»; flow:to_server,established;
uricontent:»/ui/»; uricontent:»/getnewestversion»; content:»Host|3A|
ui.skype.com»; classtype:policy-violation; rev:1;)

Esta regla nos generará una alerta, pero no bloqueará tráfico alguno.

Creación filtro y/o reglas para firewall cortafuegos.

Podríamos crear una regla que denegara el acceso si se accede a una URL que contenga  getlatestversion. Pero no, Skype sigue funcionando.Bueno pues denegamos mediante una regla el acceso al host ui.skype.com, e incluso detallamos la IP de dicho host. Pero cuando abrimos Skype y capturámos su tráfico vemos que sigue igual. A Skype no le importa mucho no acceder al host ui.skype.com, al parecer, solo le serive para descargar, si es el caso, la última versión del programa. En nuestra nueva captura ya no aparece:

GET /ui/0/3.8.32.115/es/getlatestversion?ver=3.8.32.115&uhash=1540f7874177b01d4df58ee305d933e23 HTTP/1.1

User-Agent:

Host: ui.skype.com

Cache-Control: no-cache

Pero ya digo, no nos sirve. Tampoco podemos bloquear por puertos porque no tienen ningún puerto predefinido ni servicios. Puede usar TCP , UDP, 443, 80, etc. El único puerto que tiene predefinido para las conexiones entrantes lo puede manipular el usuario en el cliente.

Inpeccionar los paquetes en busca de firmas que denoten, por ejemplo, el uso de SSL por parte de Skype, ya no vale. Antes, en versiones anteriores, el handshake SSL/TLS era facilmente identificable mediante la firma |16 03 01 00| (Client Hello) y |17 03 01 00| (Server Hello), ahora esto ya no nos vale. Todo la información transferida por Skype está cifrada.

En la captura, más adelante, podemos ver (probadlo) que se usa mucho el protocolo UDP para muchas conexiones, transferencias de voz, etc. Podríamos bloquear el uso de UDP, ya que no afecta significativamente al uso de internet. Pues bien, tras unos momentos en los que Skype inicia, inicia sesión en el  Skype Login Server,etc, vemos que no encuentra ninguno de nuestros contactos. Parece que va todo bien. Pero, cuando Skype ve que no puede usar UDP por defecto para estas tareas, usa TCP, con lo cual la opción de bloquear UDP no nos sirve de nada.

¿ Bloqueamos SSDP?

Skype usa SSDP para el descubrimiento de dispositivos UPnP. Esto lo realiza enviando 4 paquetes a la dirección Multicast 239.255.255.250 al puerto, por defecto, 1900. Pues bien, tanto si desahabilitamos el servicio en el host cliente, como si denegamos en nuestro firewall el acceso al puerto 1900 UDP o a la dirección multicast  239.255.255.250, el resultado es el mismo. Skype se «adapta» y no le afecta. Hay routers que pueden no ser PnP.

NAT Port Mapping Protocol

Como vemos en esta serie de paquetes capturados:

Skype usa NAT-PMP que le permitere mantener una conexión abierta con el exterior de nuestra red de forma persistente. Aunque se le pueda bloquear su uso, Skype puede usar los Super Nodos para esta tarea. En la versions 4.x creo que se puede deshabilitar el uso de NAT-PMP.

Como bloquear de forma efectiva el uso de Skype.

En un entrono de empresa, hay varias formas de bloquear el uso de Skype.

• Se impide el acceso total a internet y a partir de ahí se da salida solo a los servicios y/o protocolos necesarios.
• Se impide el acceso acceso total a internet excepto a servicios necesarios (IMAP, SMTP,…) y se da salida solo a una serie de sitios que establezaca la empresa para sus usuarios. Sería una especie de lista blanca de acceso.
• Uso de políticas de seguridad en la empresa. Dependiendo del tipo de usuario, uso de directorio activo o grupo de trabajo:

• Usuarios sin permiso de instalación de software. Esto no es válido si los usuarios pueden ejecutar un Skype portable a través de USB o lectos CD/DVD.
• Políticas de restricción de software en directivas de seguridad local. Se crea una regla para impedir el uso de Skype.exe.
• En un entorno de Directorio Activo, podemos especificar una restricción al uso de Skype.exe.

Existen algunos dispositivos Hardware que son capaces de detectar el tráfico de red Skype. No los he probado. Incluso algún firewall avanzados de hardware que puede bloquear Skype, pero las técnicas de «evasión» que usa Skype casi siempre va por delante. Además, la inspección del contenido de paquetes es practicamente imposible, debido a que toda la transferencia de información suscentible de usarse para bloquear, está cifrada.

Relacionado: Wireshark. Tshark. Detectando tráfico P2P en nuestra red.

Relacionado:  Skype. Algunas consideraciones sobre Skype. Información almacenada en el usuaro. Análisis forense.

—————————————————————————–

En la siguiente entrega estudiaremos de forma más profunda como funciona Skype e iremos descubriendo más aspectos muy interesantes sobre este software.

También veremos las capturas realizadas bajo otros escenarios como, por ejemplo, dehabilitar todos los puertos y servicios y habilitar solo el puerto 443. Vremos como cambia la captura y la cantidad de datos que podemos obtener, sobre todo las transacciones SSL.

——————————————————————————-