Nieuws
image

Hoe Skype de firewall omzeilt

zondag 17 december 2006, 12:39 door Redactie, 15 reacties

Tegenwoordig zijn er allerlei bedrijven bezig met het blokkeren van Skype. Met elke nieuwe versie wordt het echter lastiger om de populaire VoIP software te detecteren en stoppen. Skype mag dan uitblinken in het onopgemerkt blijven, het is ook een ster in het omzeilen van de firewall. En niet alleen Skype, ook veel andere peer-to-peer programma's zijn de nachtmerrie van menig netwerkbeheerder.

VoIP software weet de firewall ervan te overtuigen dat er een verbinding is opgezet waar het inkomende data pakketten naar toe moet sturen. Het feit dat audio data voor VoIP via het "connectieloze" UDP protocol wordt verstuurd helpt Skype ook een handje. In tegenstelling tot TCP, waar elk pakket informatie over de connectie bevat, ziet een firewall in het geval van UDP alleen de adressen en poorten van de zender en ontvanger. Hierdoor worden de UDP pakketten voor systemen die in de NAT tabel staan, zonder problemen doorgestuurd.

In dit artikel wordt verder uitgelegd hoe Skype te werk gaat en hoe je zelf "UDP hole punching" kunt uitproberen.

Reacties (15)
17-12-2006, 13:12 door DWizzy
onopgemerkt blijven? Alleen op je netwerk dan, op een systeem is het toch vrij
hardnekkig in het achterlaten van sporen.
17-12-2006, 13:37 door Anoniem
Jammer dat het artikel ervan uit gaat dat firewalls van
bedrijven ongelimiteerd udp verkeer toe laten naar buiten.
Dat is wel erg naief. Bovendien is dit verhaal inmiddels al
lang bekend.
17-12-2006, 16:34 door Anoniem
Stel eens een ongeldige proxy in binnen Internet Explorer
(ookal is Firefox/andere browser de "standaard browser"). En
Skype kan niet meer updaten.

Zou je dmv reverse engineering achter de methode van Skype
kunnen komen, zoja deze dan hacken dmv een DNS hack op je
DNS server? Zodat de Skype van een drive-by user op je WiFi
netwerk gehacked word?
17-12-2006, 23:35 door Anoniem
Hoe gedraagt andere voip-software zich in deze? Gizmo
bijvoorbeeld, dat in elk geval een open protocol gebruikt.
Skype gebruikt dezelfde agressieve martkbenadering als
bekende andere leveranciers en niet zonder succes. En wij
als consumenten gaan voor het gemak en, in onwetendheid,
voor het bekendste product. Dat zal wel goed zijn.
Zitten we straks weer met een monopolie dat via
gerechtelijke kunstgrepen on- of minder schadelijk gemaakt
moet worden.
17-12-2006, 23:42 door SirDice
Een beetje bedrijf heeft z'n zaakjes goed op orde. Dat begint al bij een gebruikersovereenkomst (gekoppeld aan het contract) waarin staat dat het gebruik van niet-geautoriseerde software reden voor ontslag kan zijn. Verder zijn er nog genoeg technische hulpmiddelen die het gebruik van P2P, IM en Skype gewoon onmogelijk maken. Als je je netwerk architectuur een beetje slim opzet is dat niet eens zo heel moeilijk (om te beginnen is er geen enkel workstation wat een directe verbinding naar buiten kan hebben). Vervolgens zorg je er ook nog eens voor dat een gebruiker zelf geen enkele software kan installeren. Wat detectie spul voor die ene idioot die denkt slimmer te zijn dan jij en je zit redelijk safe.. Maar ja, was er niet ook een bericht dat er een tekort is aan goed security personeel?!? Mooi... Dan heb ik voorlopig genoeg werk :)
17-12-2006, 23:54 door Anoniem
Door SirDice
Een beetje bedrijf heeft z'n zaakjes goed op orde. Dat
begint al bij een gebruikersovereenkomst (gekoppeld aan het
contract) waarin staat dat het gebruik van
niet-geautoriseerde software reden voor ontslag kan zijn.
...
Dat resulteert in dat voor elk lullig programmaatje dat
geinstalleerd moet worden, het personeel de SysAdmin van het
bedrijf roept.

Personeel is je vriend, niet je vijand.
18-12-2006, 06:04 door Anoniem
Kan iemand mij vertellen waarom een client in een LAN udp
pakketten kan versturen naar het internet?

Immers de enige udp verkeer dat je op je netwerk zou mogen
zien is naar de interne DNS server, en alle overige verkeer
drop je gewoon.
18-12-2006, 12:23 door Anoniem
Door Anoniem
Kan iemand mij vertellen waarom een client in een LAN udp
pakketten kan versturen naar het internet?

Immers de enige udp verkeer dat je op je netwerk zou mogen
zien is naar de interne DNS server, en alle overige verkeer
drop je gewoon.

nou ja voip bijvoorbeeld :)
18-12-2006, 12:32 door wimbo
Door Anoniem
Door SirDice
Een beetje bedrijf heeft z'n zaakjes goed op orde. Dat
begint al bij een gebruikersovereenkomst (gekoppeld aan het
contract) waarin staat dat het gebruik van
niet-geautoriseerde software reden voor ontslag kan zijn.
...
Dat resulteert in dat voor elk lullig programmaatje dat
geinstalleerd moet worden, het personeel de SysAdmin van het
bedrijf roept.

Personeel is je vriend, niet je vijand.
Waarom heb je meer software nodig dan datgene wat voor je
werk bedoeld is? Als je meer nodig heb, dan vraag je dat aan
en dan wordt het vanzelf via een GPO op je machine gezet.
Op die manier kan de SysAdmin ook de impact van die nieuwe
software inschatten.
19-12-2006, 10:42 door Anoniem
Dan gooi je er een ISA servertje bij. Sniffer over je netwerk heen en alle niet
relevantie applicaties blokkeren
20-12-2006, 12:18 door Anoniem
Door Anoniem

Zou je dmv reverse engineering achter de methode van Skype
kunnen komen, zoja deze dan hacken dmv een DNS hack op je
DNS server? Zodat de Skype van een drive-by user op je WiFi
netwerk gehacked word?


Klinkt erg sexy, maar er is al een keer zo'n discussie
geweest. De onderliggende methodiek is nog steeds niet erg
ontluikend geweest. Moeilijk dus.

Groet,
Marvin
20-12-2006, 13:41 door Anoniem
Door wimbo
Door Anoniem
Door SirDice
Een beetje bedrijf heeft z'n zaakjes goed op orde. Dat
begint al bij een gebruikersovereenkomst (gekoppeld aan het
contract) waarin staat dat het gebruik van
niet-geautoriseerde software reden voor ontslag kan zijn.
...
Dat resulteert in dat voor elk lullig programmaatje dat
geinstalleerd moet worden, het personeel de SysAdmin van het
bedrijf roept.

Personeel is je vriend, niet je vijand.
Waarom heb je meer software nodig dan datgene wat voor je
werk bedoeld is? Als je meer nodig heb, dan vraag je dat aan
en dan wordt het vanzelf via een GPO op je machine gezet.
Op die manier kan de SysAdmin ook de impact van die nieuwe
software inschatten.

Groot gelijk. Mensen willen het altijd zo hebben dat ze de
zelfde systeem omgeving als thuis hebben. Je kan natuurlijk
altijd, als SysAdmin, even een goede Ghost maken waar dit
soort crap niet voor kan komen. Dus geen MSN Messenger, geen
Skype, geen zooi wat niets met de werkomgeving te maken heeft.

Werknemers moeten maar eens begrijpen dat werken ook echt
werken betekent, en niet de hele dag op Skype of MSN zitten.
Mijn policy is: Als men wat installeerd (probeert althans)
of nar live audio streaming luisterd, dan word direct dat
werkstation geblockt en gaat er een telefoontje naar de
desbetreffende manager zodat die de zaakjes op orde kan stellen.

Dit is namelijk geen taak voor het management of directie om
te beslissen maar aan de SysAdmin om te zorgen dat het
netwerk veilig blijft, en de internet connectie goed en
soepel loopt vanaf de kant van het bedrijf.

En voor thuis gebruik.. Download eens een test versie van
Netpeeker. Die ziet en kan meer dan vele andere FW's en
popup/JS blockers. ;) Dus ook ongebruikte poorten blokkeren.
Zet skype op een max van 1KB Up en Down verkeer dan ben je
zelfs geen node meer. ;)
19-03-2007, 11:41 door Anoniem
Zou skype niet werk gerelateerd kunnen zijn net zoals een mobieltje of
telefoon. Lijkt me meer een probleem met veranderen..... doe je ogen eens
openen.
28-05-2009, 22:07 door Anoniem
Door Anoniem:
Door wimbo
Door Anoniem
Door SirDice
Een beetje bedrijf heeft z'n zaakjes goed op orde. Dat
begint al bij een gebruikersovereenkomst (gekoppeld aan het
contract) waarin staat dat het gebruik van
niet-geautoriseerde software reden voor ontslag kan zijn.
...
Dat resulteert in dat voor elk lullig programmaatje dat
geinstalleerd moet worden, het personeel de SysAdmin van het
bedrijf roept.

Personeel is je vriend, niet je vijand.
Waarom heb je meer software nodig dan datgene wat voor je
werk bedoeld is? Als je meer nodig heb, dan vraag je dat aan
en dan wordt het vanzelf via een GPO op je machine gezet.
Op die manier kan de SysAdmin ook de impact van die nieuwe
software inschatten.

Groot gelijk. Mensen willen het altijd zo hebben dat ze de
zelfde systeem omgeving als thuis hebben. Je kan natuurlijk
altijd, als SysAdmin, even een goede Ghost maken waar dit
soort crap niet voor kan komen. Dus geen MSN Messenger, geen
Skype, geen zooi wat niets met de werkomgeving te maken heeft.

Werknemers moeten maar eens begrijpen dat werken ook echt
werken betekent, en niet de hele dag op Skype of MSN zitten.
Mijn policy is: Als men wat installeerd (probeert althans)
of nar live audio streaming luisterd, dan word direct dat
werkstation geblockt en gaat er een telefoontje naar de
desbetreffende manager zodat die de zaakjes op orde kan stellen.

Dit is namelijk geen taak voor het management of directie om
te beslissen maar aan de SysAdmin om te zorgen dat het
netwerk veilig blijft, en de internet connectie goed en
soepel loopt vanaf de kant van het bedrijf.

En voor thuis gebruik.. Download eens een test versie van
Netpeeker. Die ziet en kan meer dan vele andere FW's en
popup/JS blockers. ;) Dus ook ongebruikte poorten blokkeren.
Zet skype op een max van 1KB Up en Down verkeer dan ben je
zelfs geen node meer. ;)

mag een werknemer al geen radio via pc meer luisteren op het werk?
misschien moet er eerst gekeken worden op D-T-fouten vooraleer men deze kleine fouten/pleziertjes bestraft
08-03-2011, 12:22 door Anoniem
Door Anoniem: Stel eens een ongeldige proxy in binnen Internet Explorer
(ookal is Firefox/andere browser de "standaard browser"). En
Skype kan niet meer updaten.

Zou je dmv reverse engineering achter de methode van Skype
kunnen komen, zoja deze dan hacken dmv een DNS hack op je
DNS server? Zodat de Skype van een drive-by user op je WiFi
netwerk gehacked word?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search