Continuando a parlare di Voice over IP – un tema caro ultimamente a moltissime aziende – permettetemi di aggiungere un piccolo tassello critico.
Del mercato VoIP in continua crescita e di Skype come uno dei protagonisti principali di questo mercato, vi ha già parlato ieri Giorgio.
Ma è sempre giusto permettere di usare questo programma in ambito aziendale? Ci sono solo benefici, o anche dei rischi? Ecco: questo è un argomento su cui occorrerebbe discuterne meglio.
Anche in questo caso esiste infatti l’altra faccia della medaglia: vi sono infatti realtà lavorative dove non è consentito utilizzare Skype, anche solo per ragioni di produttività , ed è quindi necessario attivare strategie tese a verificare che effettivamente ciò non accada.
Esistono inoltre rischi potenziali, legati al fatto che il programma è stato ideato basandosi su protocolli proprietari e non pubblici. Potrebbero quindi crearsi problemi legati a intrusioni di trojan e worm nella rete interna, compromettendo gli sforzi dedicati alla protezione dei dati aziendali.
Occorre poi tenere presente che Skype, funzionando con la logica del peer to peer, non si appoggia a server dedicati, ma assegna ad alcuni suoi utenti, in modo dinamico, il ruolo di supernodo temporaneo. Ciò significa che una porzione delle loro risorse, in termini di memoria e microprocessore, sarà usato dalla rete e quindi dagli altri supernodi-utenti per effettuare le chiamate: banda “rubata” al network aziendale.
È dunque ragionevole che in diverse piccole e medie imprese si sia fatta strada l’idea di mettere Skype al bando.
Ma in che modo si può bloccare?
Siamo davanti ad un programma invasivo, in grado quindi di superare diversi sbarramenti hardware e software. Le sessioni utilizzano una crittografia asimmetrica con chiave AES di 256bit ed è perciò in pratica impossibile intercettarne il protocollo e decodificarlo. La connessione è in grado di sfruttare combinazioni di porte UDP e TCP, tra le quali alcune che solitamente devono essere lasciate aperte come la numero 80, dedicata al traffico Web. Ciò rende inefficaci i filtri sulle porte stesse.
Uno dei primi tentativi potrebbe basarsi su SkypeKiller, sviluppato proprio per fronteggiare il fenomeno Skype. Si tratta però di un programma intrusivo che deve essere configurato con diritti di amministrazione di rete e che si preoccupa esclusivamente di rimuovere, in modo mirato, Skype dai client di una LAN. E’ dotato anche di una modalità programmabile che ad intervalli regolari verifica e inibisce tentativi non desiderati di reinstallazione. Appare dunque una soluzione radicale.
Una soluzione alternativa è offerta dalla piattaforma Websense, che si pone l’obiettivo di identificare, monitorare e bloccare il traffico generato da Skype, in modo completamente trasparente, agendo come un IDS e analizzando il traffico da/verso Internet. In una prima fase si può così monitorare l'uso che si fa di Skype in azienda e, successivamente, di creare profili di utenza personalizzati, tali da inibire o limitarne l’uso. Gli utenti sono identificabili in modo trasparente per nome utente Windows e indirizzo IP ed i profili possono essere abilitati per giorni della settimana e per fasce orarie.
Del resto, controllare in modo rigoroso l’accesso ad una determinata applicazione aziendale può risultare più produttivo che inibirla completamente.