許多企業的網絡管理工程師不敢將Skype引入他們的企業。Skype通話會被外人竊聽嗎?那些狡猾的黑客能在Skype通話中嵌入病毒嗎?Skype消耗多少網絡帶寬?我們能控制它嗎?這些實際問題不僅給企業的網絡系統造成了極大的困擾,也給那些寬帶運營商和電信公司帶來了極大的困擾。
任何加密數據的安全性也由許多因素決定,包括使用特定的加密算法以及如何選擇和交換密鑰(即密鑰管理)。另壹個關鍵因素是使用加密算法的協議,或者算法和協議是如何使用的。根據對Skype客戶端之間數據包傳輸的分析,顯示用戶在登錄網絡、搜索聯系人和撥打電話的過程中,是以多種協議組合的形式出現的。
Skype聲稱其系統使用RSA加密標準進行密鑰交換,並使用256位AES作為主要加密算法。不過,Skype並沒有透露他們的密鑰交換算法和網絡傳輸協議的細節。Skype拒絕解釋他們在證書、授權系統或加密應用中使用的基本設計原理,盡管許多人壹再要求公布,因此無法驗證Skype關於他們加密方法的說法。我們知道應用不好的RSA算法可以提供加密,但不能保證真正的安全。
包括Skype在內的很多P2P軟件為了躲避檢測,往往會在啟動時改變自己使用的端口。結果就是沒有SIP端口或SMTP端口這樣的標準Skype端口。此外,為了穿透企業網絡的防火墻,Skype特別采用了“跳端口”的方式。Skype通常可以通過UPD、TCP甚至TCP上的80端口連接成功穿透這些典型的防火墻。壹旦進入網絡,它會有意與其他Skype用戶連接,並壹直保持這種連接,維持壹種“虛電路”。如果網絡中的Skype客戶端感染了病毒,連接到該用戶的計算機在沒有防火墻保護的情況下也可能被感染。由於Skype的“跳端口”模式,通過設置網絡安全設備來檢測這些惡意行為並阻止這種病毒的傳播是非常困難的。
像他們以前的軟件Kazaa壹樣,Skype使用P2P網絡。這個網絡中有兩種類型的節點,普通主機和超級節點。普通主機只是壹個Skype應用程序,可以用來打電話、發即時消息等功能。超級節點是Skype網絡中普通主機的目的地,這意味著任何普通主機都必須首先與超級節點連接,並獲得Skype登錄服務器的授權。任何具有公共***IP地址的節點,只要有足夠的CPU、內存和網絡帶寬,都有可能成為超級節點——包括企業網絡中的節點。由於Skype超級節點的創建是動態的,可以欺騙他們消耗盡可能多的帶寬,所以所有企業的IT工程師都認為這些超級節點給他們的企業網絡帶來了極大的風險。
隱私和授權當您開始Skype通話時,您如何確定與您通話的人就是您想要通話的人?每個Skype用戶都有用戶名和密碼。不過用戶名和密碼的驗證程序好像是通過Skype服務器進行的,但具體是怎麽操作的就不太清楚了。例如,Skype網絡上的主機可以通過超級節點將其用戶名和密碼轉發給Skype服務器進行驗證,如果是這樣,它們也可以通過超級節點將錯誤的用戶名和密碼組合轉發給Skype服務器進行驗證。如果Skype網絡真的參與了這壹過程,那麽就有幾種可能的攻擊:
1:惡意的Skype客戶端可能會獲取這些註冊用戶的用戶名和密碼。
2.如果Skype用戶通過惡意寬帶網絡運營商(如電信公司)提供的網絡連接到Skype網絡,ISP(寬帶網絡運營商)可能會將用戶的Skype數據傳輸到惡意節點。那麽ISP就有可能知道他們所有用戶的Skype用戶名和密碼。
3.惡意節點可能偽裝成合法節點進行授權,允許用戶使用唯壹的用戶名甚至錯誤的登錄密碼登錄。
當我們使用Skype進行語音交流時,用戶往往可以通過對方的語音來判斷對方是否是自己想要通話的人。但是,如果用戶只是使用Skype發送即時消息和傳輸文件,我們不知道如何確認對方的身份。正是這個問題迫使許多網絡提供商尋找壹種準確的方法來檢測Skype(和其他P2P協議程序)。壹方面,許多電信公司的營銷部門渴望知道他們的寬帶用戶中有多大比例在使用Skype,以決定他們是否需要推出自己的VoIP服務。另壹方面,許多企業IT經理擔心不可預測的帶寬占用和安全問題,當這種情況發生時,他們通常會停止使用Skype。
根據以上所述,Skype數據傳輸難以檢測的原因可以總結如下:
Skype不能在任何標準端口上運行。Skype隨機選擇壹個端口運行其軟件,然後通過TCP或UDP或兩者進行數據通信。Skype使用的協議也取決於它是否在代理/NAT之後或是否有開放的IP地址。
所有通過Skype交換的數據都是加密的。這也意味著通過Skypeout撥打的電話號碼或其他數據是加密的。在許多方面,兩個終端的Skype用戶之間沒有直接的數據連接,所有的數據都是通過網絡中間的節點進行的,而這些節點在每次通話過程中都會變得不同。
Skype是壹個帶有P2P協議的軟件,意思是Skype所連接的對等網絡中有很多用戶,網絡是動態的,這樣對等網絡中的用戶及其IP地址就壹直在變化。