Skype – how not to be a supernode
Skype – how not to be a supernode
http://visibleprocrastinations.wordpress.com/2007/08/24/skype-how-not-to-be-a-supernode/
skype 避免成為super node
Skype使用的是P2P技術,在這種架構下,並非每一個Skype個人端程式,在網路上的地位都是相同的,少數連線品質較好的用戶將會在不知情的 情況下,被挑選為中心伺服器,負責管理其他使用者的權限或帳號,這些伺服器在開啟Skype時,消耗的上傳頻寬將遠高於其他使用者,通常也被稱為「超級節 點(Super Node)」。
有些企業為了徹底區隔Skype網路與公司內部網路,會選擇將Skype伺服器建置在DMZ區,或是單獨使用一條網路專線,這 樣雖然能避免惡意程式以Skype伺服器為跳板,攻擊或竊取位於內部網路的伺服器或資料,不過也有可能因此成為超級節點用戶,使得企業的網路頻寬遭到 Skype個人端程式占用。
雖然使用者無法得知自己是否被挑選為超級節點,不過在Windows作業系統下,修改設定即可避免成為超級節點,以減低網路頻 寬消耗。
做法是在與Skype有關的機碼([HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype \Phone])中,加入"DisableSupernode"=dword:00000001值。
也就是將以下文字儲存為SkypeNoSuperNode.reg,然後執行它,重開機之後就可以了
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype\Phone]
"DisableSupernode"=dword:00000001
As I have discussed before there are issues with running Skype on the University Network. The main issue is the the supernode traffic, remove the supernode issue and Skype is acceptable. So this is where the ability to ‘turn off’ the supernode function in Skype v3.x is a good thing, the problem is that the ‘how to’ is buried in the network admin documentation.
(Thanks to Brian for the heads-up about this setting)
How can we prevent our network from hosting supernodes?
Skype uses peer-to-peer communications in order to allow users to find one another. Consequently, a small percentage of our users will hold a record reflecting the online presence of other users. When one user holds a record concerning the presence of other users, the former is called a “supernode”, or directory node.
Even though the traffic sent to supernodes is negligible, some institutions are interested in preventing users on their network from becoming supernodes and, thereby, answering directory enquiries for other users.
There are several ways to prevent Skype from becoming a supernode:
- Beginning with Skype 3.0, an explicit switch is provided in the registry settings to allow the disabling of supernode functionality.
- Any computer hosted on a network that is behind a network address translation (NAT) device or restrictive firewall will disable supernode functionality.
- Skype clients behind an HTTP or SOCKS5 proxy will not serve as supernodes.
Enterprises typically opt for using the registry setting technique for turning off supernode functionality, simply because it is very straightforward to deploy a Windows GPO that contains the appropriate registry key setting. However, universities often find this more problematic because the computers may not be owned or operated by the host institution, making it difficult or impossible to ensure that registry keys are set properly.
In these cases, it may be more useful to set up a SOCKS5 proxy. Skype can be configured to use a SOCKS5 proxy, regardless of whether the client finds itself on a network with a public IP address or on one with a private IP address.
While the use of a SOCKS5 proxy still requires manual intervention by the user, the use of a proxy allows the economical “shaping” of Skype traffic. It has the additional positive side-effect of reducing supernodes on the network, reducing false-positive intrusion prevention system alarms and allowing for accurate measurement of Skype usage on the proxied network. — Skype [4]
From the Guide for network admins – Skype 3.0 Beta [5] we find the actual registry key where this is set;
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableSupernode, REG_DWORD = {0,1}
0 = supernode enabled
1 = supernode disabled
In a REG file this is;Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype\Phone]
"DisableSupernode"=dword:00000001
Now this solves our supernode issue.
We also recommend that the business version of Skype is used for our environment.
Business friendly features
* Includes Windows Installer (commonly known as MSI).
* Increased security for business users.
* Easy deployment to multiple machines in your company.
* More control for IT administrators.
Now for a solution for our Mac OSX clients … ?
如何管理員工的Skype使用行為
建置容易、通話費率低、操作方式簡便和行動力強,是企業導入Skype的最大誘因,但它同時具備即時通訊軟體(IM)的功能,又採用P2P傳輸架構,能輕易穿越公司防火牆,再加上它不像MSN Messenger等IM軟體,具有固定的通訊埠、傳輸協定和連線伺服器,也因此企業不易監控Skype經過加密的對話內容,造成資安和管理上的漏洞。
針對這樣的問題,IT人員可以增添管理設備、新增群組原則或修改機碼等方式,限制員工使用Skype,或鎖定違反管理政策的Skype功能。
用網路設備協助管理Skype
目前市面上有許多針對Skype應用所設計的設備,可以協助IT人員管理,其中較常見的是Skype閘道器、代理伺服器,以及Skype網路記錄器等。
僅允許語音通訊功能的Skype閘道器
使用Skype閘道器是管理Skype最常見的方式之一,這種類型的設備可以介接電話交換機(類比PBX或IP-PBX),讓員工直接以傳統分機撥打Skype電話,所以可以提升Skype的便利性。
不僅如此,由於傳統分機僅具備數字鍵,因此無法用來輸入文字訊息或傳輸檔案,可避免員工因不當使用Skype導致資料外洩。此外目前的Skype閘道器也都具備加值功能,像是訊動的設備就提供像是語音信箱、來電轉接、電話簿和黑/白名單過濾等功能,在語音通訊使用上也更加便利。
在安裝Skype閘道器時,需注意設備上的連接埠為FXO或FXS,前者需連接在PBX交換機的內線卡或PSTN線路上,後者則是與交換機的內線卡或電話分機連線。
另外也可以考慮採用免電腦Skype話機來撥打Skype電話,像是由IPEVO或Philips推出的這類型產品,都可以設定成設備連線後,便自動關閉Skype帳號的文字與傳檔服務的功能,而且只要連接網路線就能使用,安裝和設定步驟比較簡便,但缺點是無法多人共用。
以代理伺服器完全封鎖連線
如果想要完全封鎖Skype,卻又無法阻止員工自行在電腦上安裝軟體,目前也有一些資安設備可以分析使用者與外部網路的通訊行為。
像是Blue Coat的ProxySG,它採用代理伺服器(Proxy)技術,能夠區別防火牆完全開放的80埠(用於HTTP通訊協定),以及443埠(用於HTTPS通訊協定)的加密流量,即使Skype在連線時是透過這2個連接埠,並混雜在一般網頁傳輸封包中,這類型的設備仍然能依照網路行為的不同,阻擋屬於Skype的封包,使得Skype個人端程式無法連線。
用Skype網路記錄器監控即時訊息
在不想完全禁止使用Skype附加功能的情形下,卻又擔心形成資安漏洞,就可以考慮採購安全防護性產品來側錄文字對話內容,或是將傳輸的檔案複製一份到監控伺服器中。
舉例來說,像是眾至或新軟等廠商的網路記錄器就具備這種功能,不過使用時,必須在員工的個人端電腦中加裝監控外掛程式。這種類型的設備雖然無法預先防範員工的不當使用行為,但能提供事後稽核所需要的舉證和電子記錄。
使用軟體設定修改或禁用Skype
雖然使用硬體設備來管理Skype相當簡便,但事實上,如果妥善運用AD的群組原則管理,以及Skype企業版提供的編輯功能,也可以在不用花費額外支出的情況下,達到類似的效果。
新增群組原則以限制Skype使用權限
IT人員可以利用AD中的新增群組原則方式,來限制員工使用特定的應用程式。新增群組原則共包含雜湊規則、路徑規則、憑證規則,以及網際網路區域規則等4種方法,其中又以前2種較為常見。
如果以雜湊規則的設定方法為例,首先必須開啟「群組原則物件編輯器(gpedit.msc)」,並依電腦設定、Windows設定、安全性設定、軟體限制原則依序展開樹狀清單,並在軟體限制原則項目上按滑鼠右鍵,選擇「新增軟體限制原則」,接下來再點選「其它原則」,並在右側視窗中按右鍵以新增「雜湊規則」。
在雜湊規則設定中,我們必須手動指定Skype執行檔的路徑,例如C:\Program Files\Skype\Phone\ Skype.exe,完成後再利用開始程式集的執行功能,輸入gpupdate /force,以強制AD套用新的群組規則,並發布到員工電腦中執行。
修改Skype設定可移除檔案傳輸功能
如果要變更Skype的功能,必須先到官方網站下載企業專用的Skype版本,它提供Windows封裝格式的安裝檔(MSI),以便大量派送和部署,並允許IT人員利用修改註冊機碼的方式,避免Skype占用頻寬或用來傳輸檔案。
舉例來說,如果想要禁止Skype的傳檔功能,必須在Windows的系統登錄機碼中找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Policies\Skype\Phone],並自行新增1組"DisableFileTransfer" =dword:00000001值。
此外,並非每一個Skype個人端程式,在網路上的地位都是相同的,少數連線品質較好的用戶將會在不知情的情況下,被挑選為中心伺服器,負責管理其他使用者的權限或帳號,並在Skype無法使用預設的連接埠傳輸時,發送HTTP或HTTPS的連接訊息至其他Skype個人端程式。這些伺服器在開啟Skype時,消耗的上傳頻寬將遠高於其他使用者,通常也被稱為「超級節點(Supernode)」。
有些選擇建置Skype閘道器來負責語音通訊的企業,為了徹底區隔Skype網路與公司內部網路,會選擇將裝有Skype個人端程式的伺服器建置在DMZ區,或是單獨使用一條網路專線,這樣雖然能避免惡意程式以Skype伺服器為跳板,攻擊或竊取位於內部網路的伺服器或資料,卻也可能因此使Skype伺服器成為超級節點用戶,導致企業的對外網路頻寬,遭到其他Skype使用者占用。
為了避免這種情況發生,IT人員也可以調整企業版Skype的相關設定,做法是在[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype\Phone]中,加入"DisableSupernode"=dword:00000001這個DWORD值。
事實上,企業版的Skype共包含25項功能的開啟/關閉修正原則,如果想要了解其他功能,可以到www.skype.com/security/Skype-v1.5.adm下載完整的群組原則範本。
