Skype an der LUH

• Probleme mit Skype
• Peer-to-Peer-Technologien bei Skype
  
• Wer wird Supernode?
• Konfigurations- und Verhaltensrichtlinien für Skype an der LUH
• Konfiguration über Registry-Einträge
• Zusätzliche Informationen für Administratoren
• Links mit weiterführenden Informationen

Mit zunehmender Beliebtheit und Verbreitung der kostenlosen Voice-over-IP-Software „Skype“ häufen sich im Datennetz der LUH leider auch negative Begleiterscheinungen, die zu einer Beeinträchtigung des Datenverkehrs und in letzter Zeit immer öfter auch zur Sperrung einzelner Rechner führten.

Das RRZN empfiehlt den Einsatz von Skype nicht.

Skype ist keine sichere Anwendung. Auch die Vertraulichkeit von Kommunikationsinhalten und Nutzerdaten ist nicht gewährleistet.

Damit Skype im Netz der Leibniz Universität Hannover weiterhin geduldet werden kann, ist es für Skype-Clients und Nutzer unumgänglich, gewisse vom RRZN zusammengestellte Vorgaben einzuhalten, damit eine übermäßige Belastung des LUH-Netzes vermieden wird. Bei Nichteinhaltung der Vorgaben droht eine Sperrung des Systems.

Die Ursachen für die durch Skype verursachten Probleme sind vielfältiger Natur:

• Skype basiert auf einem proprietären Protokoll und arbeitet mit einer proprietären Verschlüsselung. Das ganze Verfahren ist also in keiner Weise transparent und man muss  auf die Aussagen von Skype vertrauen, ob die Software und die Kommunikationsinhalte sicher sind.
• Skype durchtunnelt Firewalls. Auf die genaue Funktionsweise soll an dieser Stelle nicht eingegangen werden.
• Skype ermöglicht nicht nur die Sprachübertragung, sondern über ein Add-On auch den Austausch von Dateien. Skype selbst weist  bei Installation des Add-Ons darauf hin, dass keinerlei Garantien bzgl. der Funktionsweise der Software und dem "Nichtvorhandensein von Malware, Spyware, ... Viren und sonstigen  zerstörerischen oder kontaminierenden Funktionen" übernommen wird. Wenn Sie - obwohl vom RRZN nachdrücklich nicht empfohlen - über Skype unbedingt Dateien austauschen wollen, müssen Sie sorgsam darauf bedacht sein, dass Ihr System über einen stets aktuellen lokalen Virenscanner verfügt. Die getauschten Dateien sind  als Erstes einem Scan zu unterziehen.
• Skype benutzt Peer-to-Peer-Technologien.

zum Seitenanfang

Die von Skype genutzten Mechanismen, die sich der Peer-to-Peer-Technologien bedienen, werden im Folgenden etwas genauer erläutert:

Außer für den Login-Vorgang verbinden sich Skype-Clients nicht mit einem zentralen  Server, sondern mit anderen Clients (Peers).

Damit die einzelnen Skype-Benutzer einander finden können, muss es Clients geben, die wie Telefonverzeichnisse die Skype-Kommunikationsdaten  anderer Benutzer vorhalten und Anrufe weiterleiten. Diese speziellen Clients heißen  „Supernodes“ und dienen anderen Clients somit als Vermittlungs- und Auskunftsservice. Gelingt es einem Supernode nicht, eine direkte Verbindung zwischen zwei Gesprächspartnern zu etablieren, steht er diesen Clients sogar als Relay-Rechner zur Verfügung. Dann werden nicht nur die Vermittlungsdienste, sondern sogar sogar ganze Gespräche über den Supernode abgewickelt.

Jeder Skype-Client verbindet sich nach dem Login zunächst einmal mit einem solchen Supernode. Die von  Skype aufgestellte Behauptung:
„Obwohl der an Supernodes gesendete Datenverkehr unwesentlich ist, sind einige Institutionen daran interessiert, Benutzer in ihrem Netzwerk daran zu hindern, Supernodes zu werden …“ entspricht erwiesenermaßen nicht der Realität. Tatsächlich verhält es sich so, dass ein Supernode ein deutlich höheres Datenvolumen als normale Skype-Clients erzeugt und in Fällen starker Frequentierung zu Behinderungen im Datennetz führt.

Ein weiteres Problem ist, dass die Abwicklung der Gespräche über viele unterschiedliche Geräte weltweit abläuft,  über deren Vertrauenswürdigkeit keinerlei Aussage gemacht werden kann.

zum Seitenanfang

Von entscheidender Bedeutung ist, dass die Supernodes eben keine zentralen Server sondern ganz normale Clients sind, die automatisch ausgewählt werden.
Jeder installierte Skype-Client trägt das Potential in sich, die Aufgaben eines Supernode zu übernehmen, der Rechner eines jeden Nutzers kann also zum Supernode werden.  Aktive Supernodes geben nach eigenem Gutdünken Teile Ihrer Aufgaben an andere, geeignet erscheinende, verbundene Clients ab. Der Nutzer selbst erhält davon keine Kenntnis.

 Zu Supernodes werden bevorzugt Rechner

• mit einer schnellen Internetanbindung (wie nahezu  jeder Rechner in der LUH).
• die über lange Zeiträume ohne Neustart laufen.
• die nicht hinter einer Firewall angesiedelt sind (der im Skype-Client bei der Installation zufällig festgelegte Port darf nicht durch eine Firewall blockiert sein).

zum Seitenanfang

Der im Netz der Leibniz Universität Hannover aktuell geduldete Skype-Betrieb muss den folgenden Konfigurations- und Verhaltensrichtlinien entsprechen, die nach dem derzeitigen Wissensstand zusammengestellt wurden. Bei neuen Erkenntnissen behält sich das RRZN vor, die Richtlinien anzupassen.

Skype-Clients, die nicht diesem Profil entsprechend installiert und betrieben werden, laufen Gefahr, durch ihr auffälliges Verkehrsverhalten und das von Ihnen verursachte hohe Datenvolumen als verdächtiges System gesperrt zu werden.

• Skype darf nicht auf Rechnern installiert werden, die  wochen- oder auch nur tagelang durchlaufen müssen.
• Die Einstellung „Skype bei Windows-Start ausführen“ muss deaktiviert werden.
• Autologin muss deaktiviert werden.
• Unter den Menü-Punkten: "Aktionen - Optionen - Verbindungen" muss Folgendes konfiguriert werden:

• Den Port 41234 festlegen. (Siehe Verweis 3 der Linkliste: Oxford University Computing Services).
• Die Ports 80 und 443 als Alternative nicht erlauben.

• Verhindern Sie  über einen Registry-Eintrag, dass der Rechner zu einem Supernode wird  (ab Version 3.0):

HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, 

DisableSupernode, REG_DWORD = 1

Verwenden Sie zur Vereinfachung die vom RRZN vorbereitete Datei luh-skype.reg wie im Abschnitt Konfiguration über Registry-Einträge beschrieben.

• Benutzen Sie für Skype auf jeden Fall ein Passwort, welches nicht identisch ist mit Passwörtern für den Zugang zu LUH-Systemen.
• Dateiaustausch nicht über Skype abwickeln. Wenn ein Dateiaustausch über Skype unbedingt nötig erscheint, muss ein stets aktuell gehaltener lokaler Virenscanner auf dem System installiert sein.
• Bitte benutzen Sie immer die aktuelle Programmversion:

• Wie bei jeder Software werden auch bei Skype regelmäßig Sicherheitslücken gefunden, die durch Update auf die neueste Version beseitigt werden.
• Die Einführung neuer sicherheitstrelevanter Features: Erst ab Version 3.0 ist es  möglich zu verhindern, dass der Rechner zum Supernode wird und  diverse Konfigurationseinstellungen über einen Registry-Eintrag vorzunehmen.

Nehmen Sie die empfohlenen  Einstellungen günstigstenfalls direkt bei der Installation des Skype-Client vor. Sollten Sie Skype bereits installiert haben, ist der einfachste Weg für einige dieser Einstellungen der Import einer vom RRZN vorbereiteten Registry-Datei wie im Abschnitt  Konfiguration über Registry-Einträge beschrieben.

zum Seitenanfang

Ab Version 3.0 ist es auch möglich, einige der vorgegebenen Konfigurations-Einstellungen mit Hilfe von Registry-Einträgen vorzunehmen:

Registry-Eintrag, der verhindert, dass der Rechner zu einem Supernode wird:
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableSupernode, REG_DWORD = 1

Registry-Eintrag, der den vorgeschriebenen Skype-Port 41234 automatisch festlegt:
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ListenPort, REG_DWORD = 41234 (dezimal)

Registry-Eintrag, der die Ports 80 (HTTP) und 443 (HTTPS) als Alternative verbietet
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ListenHTTPPorts, REG_DWORD = 0

Zur Vereinfachung können Sie folgende vom RRZN vorbereitete Datei luh-skype.reg verwenden, in der die oben beschriebenen drei  Einträge mit den richtigen Werten schon vorkonfiguriert wurden. Sie können sich diese Datei downloaden: Nach einem Klick auf den Link öffnet sich eine Textdatei, wählen Sie dann im Menü: Datei - Seite speichern unter - oder ähnlich, je nach Browser. Die lokal gespeicherte Datei importieren Sie durch Doppelklick in Ihre Registry. Die Datei ist kommentiert und kann vor dem Import von Ihnen auch editiert werden. Bitte beachten Sie, dass Sie die Registry-Änderung mit Administrator-Berechtigung ausführen müssen.

Die Einstellung "Skype nicht automatisch bei Windows-Start ausführen" und das
Deaktivieren der Autologin-Funktion muss leider noch im Konfigurations-Menü von Skype vorgenommen werden.

Eine Kurzanleitung mit Screenshots haben wir für Sie vorbereitet. Bitte beachten Sie, dass sich diese  Anleitung nur auf die nötigsten, sicherheitsrelevanten Aspekte bezieht.  Skype bietet eine Fülle von möglichen Konfigurationseinstellungen, auf die hier nicht weiter eingegangen wird. Lassen Sie sich bitte beim Betrieb von Skype und beim Eintragen Ihrer persönlichen Einstellungen und Profile nicht zu mehr Offenheit und Öffentlichkeit verleiten als unbedingt nötig. Kommunizieren Sie nur mit bekannten Partnern und deaktivieren Sie die automatische Annahme von Verbindungen. Mehr Privatsphäre und weniger Konnektivität tragen auch schon zu mehr Sicherheit bei.

zum Seitenanfang

Ab Version 3.0 unterstützt Skype den Einsatz von Gruppenrichtlinien zum zentralen Management von Skype-Konfigurationseinstellungen innerhalb einer Active-Directory-Umgebung. Skype stellt eine importierbare Administrative Vorlage zur Verfügung, über die dann diverse Registry-Keys eingetragen und konfiguriert werden können. Mit Hilfe des Gruppenrichtlinien-Editors gpedit.msc können diese Keys editiert werden.

Ausführliche Informationen finden Sie im Skype Guide for Network Administrators zur Version 4.2  (PDF) ab Seite 15 bzw. im Anhang ab Seite 26 (Appendix 1: Configurable Policies). Die Administrative Vorlage Skype-v1.7.adm können Sie sich von den Webseiten von Skype herunterladen.

Speichern Sie die Datei lokal ab und importieren Sie die Administrative Vorlage in Ihre Gruppenrichtlinien: Aufruf von gpedit.msc, im Dateibaum der gpedit-Konsole  den Zweig "Administrative Vorlagen" markieren, anschliessend im Menü "Aktion->Vorlagen hinzufügen/entfernen" wählen. 

Anschließend unter dem Menüpunkt "Ansicht->Filterung" den Haken bei "Nur konfigurierte Richtlinieneinstellungen anzeigen" entfernen.

Nun sollte im Dateibaum unter "Administrative Vorlagen" eine neue Kategorie namens Skype auftauchen.

Achtung: Bei  manchen Bertiebssystemversionen wird die Vorlage nicht reibungslos eingelesen und die neue Kategorie taucht nicht auf. In diesem Fall  müssen sie die Datei Skype-v1.7.adm editieren, die einführenden Kommentarzeilen entfernen die Vorlage abspeichern und erneut importieren. 

zum Seitenanfang

1. Download von luh-skype.reg
2. Kurzanleitung mit Screenshots zur Konfiguration von Skype
3. Oxford University Computing Services
4. Skype Guide for Network Administrators zur Version 4.2  (PDF)
5. Download Skype-v1.7.adm von Skype.com/security
6. An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol
7. Skype-Dokument „Skype an Universitäten“