Niebezpieczna wymiana plików

VoIP w modelu p2p

Bardzo znaną aplikacją, która łączy model peer to peer z usługami głosowymi jest Skype. Usługa korzysta z własnościowego protokołu, który został specjalnie opracowany, by omijać większość zabezpieczeń sieciowych. Aplikacja jest napisana w bardzo zaciemniony sposób, maksymalnie utrudniając nie tylko poznanie protokołu, ale także analizę pracy aplikacji. Wiadomo na pewno, że identyfikuje każdą z maszyn, ponadto za jej pomocą można zdalnie przeskanować sieć lokalną, możliwe jest także wysłanie dowolnego pliku wewnątrz szyfrowanego tunelu. Skype zapewnia szyfrowany tunel komunikacyjny, za którego pomocą można zrealizować połączenie VPN (za pomocą oprogramowania: skypevpn, EeeVpn czy skypeproxy), zdalnie mapować dysk lokalny, udostępnić pulpit, przesłać dowolny strumień danych, a nawet zestawić połączenie między dwiema sieciami lokalnymi. Skype stanowi zagrożenie dla bezpieczeństwa firmy, gdyż oprogramowanie to umożliwia obejście niektórych zabezpieczeń na bramie sieciowej, przy czym nie wiadomo dokładnie, co ten program robi - jest to aplikacja własnościowa, do której producent nie udostępnia kodu źródłowego ani żadnej systemowej dokumentacji. API Skype jest na tyle silne, że umożliwia transfer praktycznie dowolnych danych, a nawet zdalną kontrolę komputera przy pomocy niewielkiej aplikacji.

Pliki poza kontrolą

Oprócz udostępniania wielu plików, z których większość stanowią materiały niepożądane w firmach, sieci p2p umożliwiają skopiowanie praktycznie dowolnego pliku z sieci firmowej. Rozmiar tutaj nie jest przeszkodą, gdyż niektóre sieci (takie jak eDonkey) posiadają mechanizm pobierania fragmentów pliku. Transmisja ta jest przeważnie szyfrowana (na przykład w sieci Skype), co uniemożliwia złożenie oryginału informacji jedynie na podstawie pakietów sieciowych. Ponadto umiejętne wykorzystanie takiej sieci umożliwi sprawne przesłanie nawet dużych plików przy ograniczonym paśmie. Jeśli administratorzy nie analizują szczegółowo ruchu sieciowego, w ten sposób można po cichu przesłać nawet kilka gigabajtów, oczywiście w dość długim czasie.

NAT nie jest przeszkodą

Umieszczenie klienta wewnątrz NAT sprawia, że w typowej konfiguracji maszyna ta nie może przyjmować połączeń przychodzących. Nie oznacza to, że umieszczenie maszyny za routerem w LAN o prywatnej adresacji uniemożliwia pracę sieciom p2p. Przy dużej liczebności sieci p2p, pewna część klientów będzie posiadała publiczny adres IP i zaakceptuje połączenia przychodzące. Wtedy połączenie kierowane do klienta wewnątrz NAT będzie odbywać się za pośrednictwem węzła z publicznym adresem IP. Klient wewnątrz NAT inicjuje połączenie wychodzące kierowane do maszyny z publicznym adresem (pośredniczącej) i utrzymuje je, a komputer pośredniczący przekazuje strumień danych między klientami. Połączenie jest realizowane bezpośrednio, jeśli maszyna docelowa posiada publiczny adres IP i ma otwarty port komunikacji.

Aby prościej "wyjść za zaporę", klienci sieci peer to peer wykorzystują często port 443, który w wielu firmach jest całkowicie otwarty. Ponadto stosunkowo mało firm posiada zapory sieciowe, które rozróżniają protokół ruchu wychodzącego, zatem można praktycznie dowolny ruch przekierować na port 80, typowy dla otwartych połączeń HTTP.

Użytkownicy korzystający z sieci peer to peer otwierają sporo połączeń wychodzących, ale do wydajnego transferu potrzebują także połączeń przychodzących (by unikać pośredniczenia połączenia), gdyż wtedy nie są klasyfikowani w niektórych sieciach jako Low ID. Niekiedy użytkownicy tacy ustawiają przekierowanie połączeń (port forwarding, niekiedy ta opcja nazywa się także Virtual Server) na routerze/firewallu. Należy sprawdzić czy konfiguracja routerów na przykład w mniejszych oddziałach nie zawiera takich ustawień. Jeśli tak jest, oznacza to, że osoba, która znała hasło dostępu do konfiguracji routera, konfigurowała go pod kątem pracy z siecią p2p.


TOP 200