Корпорация Microsoft, новый владелец VoIP-сервиса Skype, полностью переработала
его структуру, заменив распределённую P2P-сеть из клиентских машин на
свои собственные серверы на основе Linux, усиленные с точки зрения
безопасности.
Данная реструктуризация проведена приблизительно два месяца назад
и является кардинальным изменением работы сети Skype, которая ранее
основывалась на супернодах, которые работали на основе самих клиентских
компьютеров, подключенных к сервису. Данные компьютеры должны были
удовлетворять требованиям пропускной способности, вычислительной
мощности и другим характеристикам. Однако, такой дизайн был посчитан
корпорацией небезопасным и не отвечающим требованиям устойчивости (как
известно, за последние несколько лет сеть Skype практически полностью
прекращала своё функционирование из-за некорректной работы некоторых
версий программы). В среднем в режиме супернод работало приблизительно
48 тысяч клиентских компьютеров, каждый узел обслуживал в среднем 800
клиентов сети.
Согласно исследованию
специалиста по безопасности компании Immunity Security, Microsoft
отказалась от этого дизайна в пользу развёртывания собственной сети на
основе десяти тысяч серверов на основе защищенной версии Linux, с
установленными патчами безопасности от проекта GRSecurity.
Каждый выделенный сервер сейчас поддерживает по 4100 подключений
(итого, 41 миллионов одновременно работающих пользователей) и имеет
теоретический предел в сто тысяч подключений.
По информации от компании Microsoft, архитектура сети сама по себе
осталась прежней, но вместо супернод, работающих на клиентских машинах,
теперь используется кластер из локальных супернод, размещённых в
защищённых датацентрах, работающих под управлением операционной системы с
повышенным уровнем безопасности и обслуживаемых специализированным
высокопроизводительным ПО. По данным Microsoft такой подход позволит
увеличить надёжность, масштабируемость и производительность сети Skype.
Существует подозрение, что на данный шаг компания пошла в том
числе для упрощения возможности перехвата голосового трафика между
пользователями, ибо при старой системе организация контроля за
активностью пользователей, связанной с работой супернод, была бы излишне
усложнённой и заметной. Следует отметить, что сами по себе суперноды
используются только для координации связи между клиентами, позволяя
одному пользователю найти другого пользователя. Связанный с голосовым
или видео вызовом трафик передаётся напрямую, не проходя через
суперноды, если хотябы у одного из собеседников имеется реальный IP
(если оба абонента за NAT то трафик передаётся через суперноды).
Дополнительно можно отметить выявленную на днях особенность работы программы Skype 5.5, позволяющую легко определить
последний активный IP-адрес любого пользователя, без совершения вызова и
без добавления пользователя в список контактов. Компания Microsoft не
считает такое поведение уязвимостью и утверждает, что данная проблема
свойственна и другим P2P-приложениям. Тем не менее, рассматриваются
способы решения проблемы, которые позволили бы усложнить утечку адресов.
Источник
|