Estudiantes

 Arandia Fuentes Iver

 Cabrera Barreda Marco
 Romero Quispe Eduardo

Materia
 Redes y servicios

Docente:
 Gismondi Glave Giovanni

Tema: Skype

Semestre: 2-2017
1.- Objetivos
1.1.- Objetivos Generales.
Realizar un estudio del funcionamiento de Skype.
1.2.- Objetivos Específicos.
Conocer los codecs que usa Skype.
Conocer la configuración de la red Skype
2.- Historia
Hace dos años, en una operación que generó bastante revuelo, Microsoft compró Skype e
integró el servicio dentro de sus operaciones como una división más de la compañía. En este
tiempo, el servicio de mensajería se ha posicionado como el sustituto del clásico MSN
Messenger y en uno de los servicios clave dentro de la estrategia de los de Redmond; Skype
estará instalado de manera predeterminada en Windows 8.1 y también está disponible a
través de los servicios de Xbox Live. Seguramente, hace 10 años, los creadores de Skype
nunca pensaron el peso que iba a tener su servicio; un servicio que nació precisamente el 29
de agosto de 2003.
Hace 10 años, el danés Janus Friis y el sueco Niklas Zennström, creadores de Kazaa,
decidieron explorar la posibilidad de extender el uso del P2P a las comunicaciones por voz
y vídeo. Basándose en este planteamiento, en Tallín (Estonia), Priit Kasesalu, Jaan
Tallinn y Ahti Heinla abordaron el desarrollo técnico de la idea y, en agosto de 2003,
desarrollaron la primera versión de Skype.
El servicio se lanzó el 29 de agosto de 2003 y a los usuarios se les ofrecía un cliente que se
podían descargar de manera gratuita pero, eso sí, el código fuente no sería abierto. Skype,
aunque está basado en P2P, es un servicio que está basado en un protocolo cerrado y
propietario cuyo estado no ha cambiado en todo este tiempo. La aplicación se publicó en el
primer sitio web de Skype con un texto que pasaría a la historia:
Estamos orgullosos de anunciar el lanzamiento público de Skype Beta y ¡la llegada de la
telefonía P2P! Skype permite a todos disfrutar gratuitamente y sin limitaciones
¡comunicaciones de voz de alta calidad sobre Internet! El software de Skype es gratis y
siempre podrás descargar la última versión aquí.
La esencia de Skype no ha cambiado en estos 10 años, sigue siendo un servicio gratuito
(entre usuarios del servicio) que ha crecido en funcionalidades y en oferta; una evolución
que no habría sido posible si la empresa no hubiese crecido y profesionalizado (manteniendo
su sede central en Luxemburgo y oficinas en Tallín, Estocolmo, Londres, Praga, Palo Alto
y Redmond).

La consolidación de la empresa
En septiembre de 2005, eBay adquirió Skype por 2.600 millones de dólares; una
operación en la que los fundadores seguían vinculados a la compañía y que eBay iba a hacer
crecer. Durante esta época, Skype dotó al servicio de videoconferencia en Mac y también
estableció uno de sus primeros planes de precios para realizar llamadas telefónicas.
Conforme fue pasando el tiempo, las relaciones entre eBay y los fundadores de Skype se
fueron deteriorando; la responsabilidad de la empresa entró en una espiral de "juego de
tronos" en la que pasaron varios CEOs como Niklas Zennström, Rajiv Dutta, Alex Kazim,
Niklas Zennström (de nuevo) y Henry Gomez en apenas 2 años. Los objetivos que tenía
eBay para Skype no se estaban cumpliendo y la compañía pensó que "había pagado
demasiado" por esta adquisición; una situación que enturbió el ambiente y provocó que los
fundadores, Niklas Zennström y Janus Friis, saliesen de la compañía.
En febrero de 2008, Josh Silverman sería nombrado CEO de la empresa y, durante su
mandato, la compañía se enfocó en mejorar sus servicios de videoconferencia y consolidar
las operaciones de Skype. El plan funcionó y el servicio se revitalizó, hasta tal punto, que
volvió a ser atractivo para el mercado y los inversores. En abril de 2009, eBay anunció
que sacaría a la venta el 70% de Skype y, con esta operación, entrarían en escena Silver
Lake Partners (que se quedaría con el 65% de Skype), Joltid, CPPIB y Andreessen Horowitz.

Silver Lake Partners sería la propietaria de la mayor parte de Skype hasta mayo de 2011,
momento en el que Microsoft hizo efectiva la compra de la compañía por 8.500 millones de
dólares. Tony Bates, que llegó como CEO a Skype, procedente de CISCO, en octubre de
2010, siguió vinculado a Skype como máximo responsable de la nueva división de Microsoft
y, tal y como hemos podido comprobar, el servicio es una pieza importante dentro de la
estrategia de Microsoft.

Skype, la empresa de VoIP defensora de la neutralidad de la red

Skype es un servicio de VoIP que se apoya sobre la conexión de datos del usuario; por tanto,
si los operadores aplican restricciones, o distintas calidades de servicio según los servicios
a los que acceda el usuario, las operaciones de Skype se ven amenazadas directamente. Este
escenario, obviamente, no ha cambiado y Skype necesita que se garantice la neutralidad de
la red; sin embargo, estar bajo el paraguas de Microsoft les hace tener un gran apoyo frente
a los operadores.

A finales de 2010, la Comisión Europea lanzó una consulta pública a los operadores para
pulsar sus opiniones sobre la neutralidad de la red. Por aquel entonces, los
grandes carriers se quejaban continuamente (y se siguen quejando) de que ellos
"soportaban" el negocio de Google, y otros players de contenidos, sin llevarse tajada alguna
del pastel. Comenzaron a lanzar "ideas" de paquetes de acceso a Internet con distintas
calidades de servicio y, sobre todo los operadores móviles, comenzaron a restringir servicios
como los de Skype (que además competía con su oferta de servicios de llamadas de voz).
La capacidad de los usuarios finales para acceder a y distribuir la información o ejecutar las
aplicaciones y usar los servicios de su elección en Internet está gravemente limitada en toda
la Unión Europea.
Skype decidió hacerse oír y envió una carta a la Comisión Europea y a la Vicepresidenta
Neelie Kroes (usuaria confesa de Skype); una misiva, de 17 páginas, en la que pedía a
Europa un posicionamiento claro en defensa de la neutralidad de la red para garantizar a los
usuarios una conexión a Internet sin restricciones y protegerles de prácticas abusivas:
La Comisión Europea debería enviar fuertes señales para evitar la expansión de los abusos
existentes a una serie incluso más amplia de contenidos, aplicaciones y servicios en Internet,
que devaluarían de forma considerable la utilidad social y económica de Internet.
Un entorno en el que se garantice la neutralidad de la red es fundamental para que Skype
pueda operar y, en aquel entonces, su defensa fue clave para hacer ver a la Comisión
Europea y a los usuarios lo necesario que era proteger este derecho.

Skype hoy en día

Skype, hoy en día, es algo más que un servicio de mensajería; es una plataforma que dota
de servicios de voz a particulares y empresas de todo el mundo, cursa un tercio de las
llamadas internacionales que se realizan en el planeta, ha sustentado las videollamadas de
Facebook y, como prueba de su buena salud, tiene una media de 300 millones de usuarios
activos al mes y que cursan comunicaciones en la plataforma de un equivalente de más de
dos mil millones de minutos cada día.
Con esta tarjeta de presentación, Skype dista mucho de ser aquel servicio que crearon los
desarrolladores de Kazaa para aplicar el P2P al segmento de las comunicaciones de voz y
vídeo. Durante mucho tiempo ha sido una empresa de éxito que ha defendido, con bastante
ímpetu, la neutralidad de la red (una condición esencial para poder prestar sus servicios) y
que ahora, desde Microsoft, se ha convertido en el servicio de mensajería de la compañía de
Redmond y un pilar básico para su estrategia de servicios en la nube.
Dejando a un lado su actividad empresarial o sus valores desde el punto de vista técnico,
creo que de estos 10 años de Skype se puede sacar una conclusión más profunda. Skype es
un servicio que ha permitido unir familias que se encontraban dispersas geográficamente;
ha sabido humanizar la tecnología y ha roto por completo "el factor de la distancia". Gracias
a Skype se pueden mantener reuniones de trabajo muy eficientes, ofrece precios muy
competitivos a particulares y empresas a la hora de cursar llamadas telefónicas y ha hecho
que su servicio sea fácil de utilizar (transformándolo en un servicio multiplataforma
disponible en equipos de escritorio, Xbox, Smart Tvs y dispositivos móviles).
Si tuviese que quedarme con un valor de Skype, sin duda, me quedaría con su capacidad
para hacer que la separación geográfica deje de ser un hándicap; un servicio que ha sido
capaz de unir a millones de personas de todo el mundo y ponerlos en contacto con sus
compañeros de trabajo o con sus familiares y amigos.

Codecs
OPUS

Opus es un códec de audio, libre de regalías, altamente versátil totalmente abierto. Opus es
incomparable para la voz interactiva y transmisión de música a través de Internet, sino que
también está diseñada para aplicaciones de almacenamiento y streaming. Fue estandarizada
por la Internet Engineering Task Force (IETF) como RFC 6716, que incorpora la tecnología
de códec SILK de Skype y el codec CELT de Xiph.Org.

Tecnologia

Opus puede manejar una amplia gama de aplicaciones de audio, incluyendo Voz sobre IP,
videoconferencia, chat en el juego, y actuaciones musicales en directo, incluso a distancia.
Se puede escalar desde baja voz de banda estrecha bitrate de música estéreo de alta calidad.
Características compatibles son:

• Bitrates de 6 kb / s hasta 510 kb / s

• Frecuencias de muestreo de 8 kHz (banda estrecha) a 48 kHz (FullBand)

• Tamaños de marco de 2,5 ms a 60 ms

• Soporte para la tasa de bits constante (CBR) y velocidad de bits variable (VBR)

• Ancho de banda de audio de banda estrecha a FullBand

• Soporte para voz y música

• Soporte para mono y estéreo

• Soporte para hasta 255 canales (marcos MultiStream)

• bitrate dinámicamente ajustable, ancho de banda de audio, y el tamaño de la trama

• Buena solidez pérdida y la pérdida de paquetes ocultamiento (PLC)

• Punto Flotante y la implementación de punto fijo

Quality vs Bitrate
La siguiente figura ilustra la calidad de varios codecs como una función de la tasa de bits.
Se trata de resumir los resultados de un conjunto de pruebas de escucha y (cuando no existen
datos) muestran evidencia anecdótica. Es en general bastante representativa, pero el intento
de extraer cualquier valor exacto a una tasa de bits particular, luego, no se recomienda

(versión SVG).

Bitrate/Latency Comparison
Escuchar pruebas
Varias pruebas se llevaron a cabo en el Opus, pero sólo los realizados en el flujo de bits
definitiva se enumeran a continuación. Aunque éstos deben dar una buena idea de la calidad
del Opus en el momento de su normalización (y versión 1.0), tenemos la esperanza de que
los codificadores avanzados más nuevos y más llegarán aún mejor calidad.
Hydrogenaudio (64 kb / s)
Estos son los resultados de las pruebas que comparan MUSHRA Opus con Vorbis y HE-
AAC en la música estéreo de 48 kHz a 64 kb / s. Para los detalles completos, vea la página
de resultados oficiales y la página de análisis / escucha de Greg Maxwell.

HydrogenAudio (96 kb/s)

Estos son los resultados de una segunda serie de pruebas / RRHH ABC sobre la música en
estéreo de 48 kHz comparando Opus con Vorbis y LC-AAC a 96 kb / s y MP3 a 136 kb / s.
Para los detalles completos, consulte la página oficial de resultados.

Pruebas de escucha de Google

Ene Skoglund de Google organizó dos series de pruebas de escucha. El primer conjunto de
pruebas de audición incluye una prueba de banda estrecha discurso, una prueba de voz de
banda ancha-banda completa, y una prueba de música estéreo.
El segundo conjunto de pruebas de escucha mide la banda estrecha y banda ancha / discurso
FULLBAND calidad en mandarín y la calidad de transcodificación en banda estrecha y de
banda ancha.
Nokia prueba de escucha
Anssi Ramo y Henri Toukomaa de Nokia miden la calidad de la voz Opus a varias
velocidades y publicaron sus resultados en este trabajo de la conferencia:
• Anssi Ramo y Henri Toukomaa, calidad de voz Caracterización de IETF Opus Codec,
Proc. Interspeech 2011, Florencia, Italia, agosto de 2011.
En este trabajo, el "híbrido" Opus y curvas "MDCT" miden la velocidad de bits constante
(CBR) de calidad, que no es tan bueno como el Opus calidad logra con tasa de bits variable
(VBR).
Silk
s una compresión de audio formato ycodec de audio desarrollado por Skype Limited. Fue
desarrollado para su uso enSkype, como un reemplazo para el SVOPCcodec. Desde la
concesión de licencias a cabo, sino que también ha sido utilizado por otros. Se ha ampliado
para el estándar de Internet Opus códec.
Skype Limited

anunció que la seda puede utilizar una frecuencia de muestreo de 8, 12, 16 o 24 kHz y
una velocidad de bits de 6 a 40 kbit / s. También puede utilizar una baja algorítmica
retardo de 25 ms (20 ms Tamaño de marco + 5 ms de anticipación). [1] La implementación
de referencia está escrito en el lenguaje de programación C. La tecnología codec se basa
en la codificación predictiva lineal (LPC). [2] El SEDA binaria SDK está disponible.
Red de Skype
Skype es un cliente P2P VoIP desarrollado por KaZaa que también es una red peer-to-peer
overlay. Skype permite que sus usuarios realicen llamadas de voz y envíen mensajes del
texto a otros usuarios clientes de Skype. Esencialmente, es muy similar a las aplicaciones
MSN y Yahoo IM, pues tiene capacidades para llamadas de voz, mensajería instantánea,
audio conferencia y listas de contactos. Sin embargo, los protocolos y las técnicas
subyacentes que emplea son absolutamente diferentes.

PEER TO PEER
Red pares, es una red de computadoras en las que todos o algunos aspectos funcionan sin
clients ni servidores fijos, sino una serie de nodos que se comportan como iguales entre si.
Es decir, actuan simultaneamente como clients y servidores respecto a los demas nodos de
la red. La red P2P permiten intercambio directo de informacion, en cualquier format, entre
los ordenadores interconectados.

3.1. Arquitectura Skype

La arquitectura Skype se basa en un tipo de red llamada “overlay network” o red de

aplicación que es un ejemplo de red P2P.

Borde overlay

Ejemplo de red overlay

La red overlay de Skype tiene 3 tipos de

nodos:

a) Nodo Normal: nodo donde se ejecuta una aplicación o cliente Skype (SC)
que se puede utilizar para realizar llamadas de voz y para enviar mensajes del texto
b) Supernodo: nodo con una dirección IP pública que tiene suficiente CPU,
memoria, y ancho de banda de red.
c) Skype login Server (Servidor de conexión): Servidor único y única entidad
central dentro del esquema de Skype asegurándose de que los nombres de la
conexión sean
únicos a través del espacio de nombres de Skype. Su principal función es la de
permitir la autentificación del usuario y almacenar los nombres de forma
única y las contraseñas del usuario.
 Skype login
server Nodo
normal
Supernodo

Un nodo normal debe conectar con

un supernodo y debe registrase en el
servidor de conexión de Skype para una
conexión exitosa.
Red overlay de Skype

Aparte del servidor de conexión, no hay servidor central en la red de Skype. La

información en línea y fuera de línea del usuario se almacena y se propaga de manera
descentralizada y así como las búsquedas de los usuarios.

Funcionamiento celular celular

Computadora celular
Computadora computadora
Dado que Skype no es un programa de código abierto, para averiguar las comunicaciones
que se realizan entre clientes Skype, Basset y Schulzrinne utilizan dos clientes Skype
usando las herramientas Ethereal y NetPeeker para analizar y controlar el tráfico de red.
Especialmente se utiliza NetPeeker para analizar el funcionamiento de Skype en una red
congestionada.

1.1.1.1.IMPACTO EN LA RED
Skype es diseñado únicamente para funcionar sobre redes de corporaciones
creando un pequeño impacto en su desempeño. A continuacion se muestran
algunos graficos que nos muestran comparaciones, utilizando como base MOS.

El audio de alta definición de Skype esta basado en SILK, un códec de banda

amplia de alto desempeño propio de Skype. El códec puede funcionar en varias
frecuencias de muestreo, desde 8 KHz a 24 KHz, y tasas de datos flexibles de 6 a
40 Kbps.
 Tabla X. Se muestran la frecuencia de muestreo, tasa y el uso de CPU

Fuente: Skype

Fig. X. Se muestran los MOS de comparación entre SILK, AMR-WB y Speex

La calidad de video puede variar significantemente según las condiciones de trafico. Se

debería contratar una conexión de al menos 128 Kbps para cada sesión, aunque se
recomiendan 384 Kbps o superior. Para una video llamada en HD (720p), se requiere de una
conexión simétrica de al menos 1 Mbps.
Calcular específicamente los requerimientos de trafico de fondo para una sesión de Skype
es complicado por muchos factores. Esto incluye el tamaño de la lista de contactos del
usuario, cuan seguido cambian su estado, mantenimiento de trafico, y otras operaciones que
realiza Skype al mismo tiempo, por ejemplo: búsquedas.
3.3.1. Arranque

Cuando el cliente Skype funciona la primera vez después de la instalación, envía un

HTTP 1.1
GET Request al servidor de Skype (skype.com). La primera línea de esta petición contiene
la palabra clave 'installed’.
 3.3.2. Conexión

La conexión es quizás la función más crítica de la operación de Skype. Durante este

proceso un cliente Skype autentifica su nombre y contraseña de usuario con el servidor
de conexión, que anuncia su presencia a otros nodos y a sus contactos. Determina que tipo
de NAT y de cortafuegos está detrás y descubre los nodos Skype con direcciones del IP
públicas que están conectados.

3.3.2.1. Proceso de conexión

Para comprobar el funcionamiento del proceso de conexión, primero se borra el fichero

XML del cliente. Después se observa que éste manda un paquete UDP de 18 bytes de
longitud a cada una de las siete entradas de la Bootstrap, todas ellas en el puerto 33033. Si
no recibe respuesta en 5 segundos, el cliente intenta establecer una conexión TCP sobre
cada una de las siete entradas sobre el mismo puerto. Si este intento de conexión falla se
repite el proceso después de 6 segundos. Skype puede quedarse infinitamente realizando
estos intentos de conexión hasta que lo consiga, pues nunca devuelve un fallo de conexión.

Figura 8. Diagrama de flujo del intento de conexión

Cuando se realiza la conexión se observa cual es el número mínimo de mensajes

intercambiados. El primer y el segundo mensaje intercambiado con el servidor de
conexión son siempre los mismos para diferentes intentos de conexión e incluso para
distintos usuarios de Skype.
Figura 9. Diagrama de flujo del intento de conexión
La representación decimal con el Ethereal del mensaje (1) es 22 3 1 0 0 y la representación
del mensaje (2) es 23 3 1 0 0. En la mayoría de los experimentos realizados, sólo cuatro
mensajes se intercambian entre el servidor de conexión y el cliente Skype, siendo estos
normalmente de la misma longitud. Los mensajes (3) y (4) son distintos para cada intento
de conexión, aun así mantienen 4 bytes en común que son los mismos que los primeros 4
bytes de los mensajes (1) y (2) respectivamente, correspondientes a la cabecera del mensaje.
El valor 22 de la cabecera corresponde al tipo de mensaje SSL, lo cual indica que Skype
utiliza SSL para los mensajes de conexión.

Cuando la conexión falla, la longitud de los mensajes (1), (2) y (3) es la misma que en el
caso anterior, mientras que el mensaje (4) tiene una longitud de 18 bytes indicando el
fallo en la conexión.

3.3.2.2. Conexión al servidor

Después de que un cliente Skype se conecte a un supernodo, el cliente debe autentificarse

mediante un nombre de usuario y contraseña con un servidor Skype. La conexión al servidor
es el único componente centralizado existente en red P2P de Skype. Este almacena los
nombres de usuarios y contraseñas asegurándose que son únicos dentro del espacio de
nombres de Skype. Durante los experimentos realizados se observó que siempre
intercambia datos sobre TCP con los nodos cuya dirección IP son 212.72.49.141 o
195.245.8.141, suponiendo por tanto que estos son los servidores de conexión de Skype.

3.3.2.3. Supernodos Bootstrap

Se listan las direcciones IP y los números de puertos de los siete supernodos por defecto que
se observaron durante un intento fallido de conexión. Estas direcciones se muestran en la
Tabla 1, obteniendo el hostname y la primera entrada de la sección de autoridad, mediante
una búsqueda por reverse lookup. De aquí se muestra que uno sólo de los supernodos es
mantenido por Skype.

Tabla 1. Direcciones IP del Bootstrap y los hostname obtenidos por reverse

lookup

3.3.2.4. Determinación del NAT y del cortafuegos

Se supone que el cliente Skype es capaz, durante el proceso de conexión, de determinar si

esta detrás de un cortafuegos o de un NAT. Basset y Schulzrinne suponen que sólo hay
dos maneras de saberlo. Una posibilidad es que el cliente intercambie mensajes con su
supernodo utilizando una variación de protocolo STUN. Otra posibilidad es que durante
la conexión, el cliente mande y reciba datos de algunos nodos después de establecer conexión
con su supernodo, suponiendo entonces que el cliente utilice la variación del protocolo
STUN para determinar que tipo de NAT o cortafuegos hay detrás.
Una vez determinado, el cliente almacena la información en el fichero ‘shared.xml’
refrescando esta información periódicamente.

3.3.2.5. Comprobación de la ultima versión de Skype

Durante la conexión, el cliente Skype solamente envía un HTTP 1.1 GET Request al servidor
Skype (skype.com) para determinar si una nueva versión está disponible. La primera línea
de esta petición contiene la palabra clave ' getlatestversion’. Junto con la petición del HTTP
enviada al principio del arranque, éstos son los únicos mensajes basados en texto enviados
por Skype.

3.3.3. Búsqueda de un usuario

La tecnología de búsqueda de un usuario utilizada por Skype es Global Index (GI). Mediante
esta tecnología se consigue una búsqueda distribuida que garantiza la localización de
un usuario que exista y que se haya conectado a Skype durante las últimas 72 horas.

Skype no es un protocolo abierto y sus mensajes están encriptados. Mientras que para la
conexión se podían deducir las diferentes entidades involucradas, para la búsqueda de
usuarios no es factible puesto que no se pueden seguir los pasos de los mensajes más allá del
supernodo.

Un cliente Skype tiene una ventana de dialogo para la búsqueda (Figura 10). Después de
introducir el usuario Skype a buscar y presionar el botón de Buscar, el cliente comienza la
búsqueda.

Figura 10. Ventana de dialogo para la búsqueda de un usuario

El cliente Skype manda un paquete TCP a su supernodo (SN). A continuación el supernodo
le manda al cliente una lista de ocho nodos con sus direcciones IP y sus puertos como
respuesta. Tras este intercambio, el cliente manda paquetes UDP a los ocho nodos. Si no se
encuentra al usuario en estos nodos, se vuelve a establecer una conexión TCP con el
supernodo, devolviéndole este las direcciones de 16 nodos, repitiendo el proceso anterior.
Este proceso continúa hasta que se encuentra al usuario o hasta que se resuelva que el
usuario no existe. Un ejemplo de la búsqueda viene ejemplificado en la figura 11.

Figura 11. Flujo de mensajes en una búsqueda

Como media, un cliente encuentra al usuario buscado tras entrar en contacto con más de 24
nodos.

3.3.4. Establecimiento de llamada

Para el establecimiento de llamada, se considera únicamente que se realiza con un usuario

de la lista de contactos. Si se realizase con un usuario que no estuviera en la lista de
contactos, entonces sería equivalente a una búsqueda más un establecimiento de llamada.

Cuando un usuario establece una llamada a otro usuario, ambos en las listas de contacto
propias, el usuario emisor establece una conexión TCP con el usuario receptor, de manera
que toda la información entre los usuarios se intercambia sobre TCP tal como se muestra
en la figura 12.

Emisor Receptor

Figura 12. Flujo de mensajes en un establecimiento de llamada. El

número de bytes corresponden al tamaño acumulativo de los
mensajes intercambiados, siendo el número entre paréntesis, el
número total de mensajes enviados en esa dirección.

El intercambio inicial de mensajes entre emisor y receptor indica la existencia de un

mecanismo challenge-response. El emisor también manda algunos mensajes UDP (no
mostrados en la figura 12) a nodos Skype alternativos.

Durante la finalización de la llamada también se realiza intercambio de mensajes sobre TCP

entre emisor y receptor. Los mensajes observados durante el intercambio se muestran en la
figura 13.
 Emisor Receptor

Figura 13. Flujo de mensajes en una finalización de la llamada. El

número de bytes corresponden al tamaño acumulativo de los
mensajes intercambiados, siendo el número entre paréntesis, el
número total de mensajes enviados en esa dirección.

3.3.5. Codificación y transferencia.

En la transferencia de voz, el tráfico fluye sobre UDP en el puerto configurado en el cuadro

de dialogo Opciones. El tamaño del paquete de voz varia entre 40 y 120 bytes. Para dos
usuarios conectados a Internet mediante una Ethernet de 100Mb/s sin saturación,
se llegan a
intercambiar alrededor de 85 paquetes de voz en un segundo. El total del ancho de banda
de subida y de bajada es 5 Kbytes/s, que conviene con el ancho de banda demandado por
Skype que se encuentra entre 3-16 Kbytes/s. La codificación utilizada es iSAC.

3.3.6. Mensajes de tiempo de vida

El cliente Skype refresca su conexión con el supernodo mediante mensajes TCP

espaciados en el tiempo por dos minutos.

Figura 14. Flujo de mensajes para el refresco de la conexión

Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark /

Snort. Parte 1
A estas alturas ya todos sabemos qué es Skype. No voy a descubrir nada nuevo sobre este
software para realizar llamadas (voz), chat, etc, a través de internet desde un PC a otro PC.

Solo comentar, como peqeño resúmen, que hace uso de VoIP gracias a la tecnología P2P
(algo vimos aquí sobre detectar P2P en nuestra red ) y usa cifrado fuerte para las
comunicaciones. Sobre la Seguridad dice Skype:

“Skype usa AES (el Estándar de Cifrado Avanzado), también conocido como Rijndel, que
también es usado por organizaciones estadounidenses de gobierno para proteger la
información sensible. Skype usa el cifrado de 256 bit, que tiene un total de 1.1 x 10E77 llaves
posibles, para cifrar los datos activamente en cada llamada de Skype o en cada mensaje
instantáneo. Skype usa 1536 a 2048 bit RSA (Algorithm for Public-Key Encryption) para
negociar llaves simétricas AES. Las llaves de usuario público son certificadas por el servidor
Skype en la conexión.”
Es decir, que en principio, descifrar una conversación Skype es algo prácticamente imposible.
Además, el software o protocolo de seguridad de Skype es propietario, cerrado y secreto.

En este artículo nos centraremos en como bloquear Skype , así como algunas consideraciones
sobre este software. Eso sí, haciendo uso de las herramientas de captura de tráfico como
Wireshark, y Snort en todo lo que nos sea posible. Además no servirá para bloquear otros
tipos de tráfico usando la misma “técnica”.

NOTA: Iré actualizando con soluciones de bloqueo avanzadas de distintos dispositivos

hardare.

Relacionado: Skype. Algunas consideraciones sobre Skype. Información almacenada en el

usuaro. Análisis forense.

Para llegar a donde queremos, que menos que saber un poco, muy brevemente, algo sobre la
arquitectura Skype. Por ejemplo que su red tiene tres tipos de hosts:

Nodo. cualquier host cliente

Super-Nodo. host con IP pública con grandes recursos de ancho de banda, procesamiento y
memoria. sirven para lagestión de directorios de usuarios, datos de nodos, etc. Cualquier
Nodo se puede converti, si tiene estos recursos mencionados, en Super-Nodo, siempre y
cuando no estén detrás de un proxy o firewall/cortafuegos.
Skype Login Server.host servidor único y solo este es centralizado. Se encarga de la
autentificación de usuarios, almacenamiento de usuarios / contraseñas y que los usuarios sean
únicos.
¿ Como interactúan entre ellos?.
Cada host Nodo o cliente debe conectar con un host Super-Nodo y registrarse/autentificarse
en el Skype Login Server. Aunque existe un solo servidor central Skype Login Server para
las funciones que acabo de comentar, todo el tráfico, información, etc se realiza de forma
descentralizada.

Como se inicia la conexión, el proceso de conexión, conexión a Super-Nodos y Skype Login

Server, búsqueda de contactos, establecimiento de llamada, obtención de certificado, cifrado
y muchos otros aspectos, no entran en el objetivo de este artículo. Para otro.. ya veremos. Son
procesos complicados.

¿Qué puertos usa?

Skype usa puertos TCP y UDP. La numeración del puerto suele ser, por defecto, alta para las
conexiones entrantes. Si en nuestro cortafuegos o firewall, tenemos bloqueados los puertos
que usa Skype, este intentará acceder a los puertos 80 y/o 443.También puede usar proxies
HTTP / SOCKS5, con lo que habrá que indicarle Servidor y Puerto y, en su caso, usuario /
contraseña.

Esto ya nos da una pista de como bloquear Skype en una red local:

El usuario no tiene acceso a internet. Solucionado.

El usuario tiene acceso pero solo a determinados puertos o servicios. Los podría usar Skype.
El usuario solo tiene acceso a los puertos 80 y/o 443. Los usa Skype.
¿Eso es todo?
Pues no. Lo normal es que los usuarios tengan acceso a internet, y, sobre todo, necesitan el
puerto 80 y para algunos servicios 443, con lo cual, de momento no hemos avanzado gran
cosa.

¿Entonces como bloqueamos Skype?

Independientemente de que algunos cortafuegos o firewalls tengan ya implememtados
algunos filtros para Skype, que no lo se, vamos a usar Wireshark para buscar alguna firma
identificativa de Skype, patrón o característica única que nos sirva para crear un filtro o
política para nuestro cortafuegos.

Capturando el tráfico Skype.

NOTA: Vamos a realizar un estudio no demasiado profundo. Eso lo dejaremos para otra
entrega. Se trata de dar una serie de pistas, consideraciones sobtre el bloqueo de este tipo de
software.

Nuestro escenario es el siguiente. Un host cliente Skype con salida a internet a través de un
cortafuegos sin ningún tipo de restricción a puertos TCP / UDP. Un host cliente remoto
cualquiera. Skype está ya instalado y no es la primera vez. De ser el primer uso la captura
cambia en algunos aspectos.

NOTA: Bajo otros escenarios, como por ejemplo, habilitar solo el puerto 443, las capturas
cambian. Podemos, además, obtener mucha información sobre las transacciones SSL.

captura parte trafico skype con wireshark

Lo primero que observamos es una peticion DNS. Un Standard Query request A para resolver
ui.skype.com. A lo que se responde con un Standard query response A 204.xxx.xxx.158.

Ya tenemos la primera pista. Skype conecta con un servidor ui.skype.com.

Vemos, a continuación, un establecimiento de conexión a tres bandas. Entre el Nodo host

cliente con el servidor ui.skype.com.

Una vez establecida la conexión se realiza una petición HTTP GET. Si realizamos un Follow
TCP Stream desde Wireshark, veremos:

GET
/ui/0/3.8.32.115/es/getlatestversion?ver=3.8.32.115&uhash=1540f7874177b01d4df58ee305
d933e23 HTTP/1.1

User-Agent:

Host: ui.skype.com

Cache-Control: no-cache

A lo que se responde:

HTTP/1.1 200 OK
Date: Tue, 10 Nov 2009 17:11:56 GMT

Server: Apache

Cache-control: no-cache, must revalidate

Pragma: no-cache

Expires: 0

Set-Cookie:
SC=CC=:CCY=:LC=es:TM=1257873116:TS=1257873116:TZ=:VER=0/3.8.32.115/0;
expires=Wed, 10-Nov-10 17:11:56 GMT; path=/; domain=.skype.com;

Content-Length: 8

Connection: close

Content-Type: text/html; charset=utf-8

Content-Language: en

2.0.32.0

Pues ya lo tenemos bastante más claro.

GET /ui/0/3.8.32.115/es/getlatestversion
Host: ui.skype.com
En cada una de las conexiones realizadas con Skype, estos dos patrones, por poner dos
ejemplos, se repiten. Aunque no exactamente, ya que la numeración marcada en rojo es la
versión del cliente y, lógicamente, puede cambiar.

¿ Algo más que nos pueda servir ?

Bueno, tenemos también un número de puerto UDP:

captura wireshark udp skype

Se trata del puerto 59907, Pero no nos sirve de mucho. Este puerto es configurable desde
Opciones de Skype.

De todas formas ya tenemos suficiente para esta primera aproximación

a la identificación del tráfico de Skype.

Creación de regla Snort para detectar el uso de Skype.

De no tener políticas que impidan la instalación de programas en las máquinas de nuestros

usuarios, podríamos, por ejemplo, crear una regla Snort tal como esta:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”Uso de GET para
nueva version Skype”; flow:to_server,established;
uricontent:”/ui/”; uricontent:”/getnewestversion”; content:”Host|3A|
ui.skype.com”; classtype:policy-violation; rev:1;)

Esta regla nos generará una alerta, pero no bloqueará tráfico alguno.

Creación filtro y/o reglas para firewall cortafuegos.

Podríamos crear una regla que denegara el acceso si se accede a una URL que contenga
getlatestversion. Pero no, Skype sigue funcionando.Bueno pues denegamos mediante una
regla el acceso al host ui.skype.com, e incluso detallamos la IP de dicho host. Pero cuando
abrimos Skype y capturámos su tráfico vemos que sigue igual. A Skype no le importa mucho
no acceder al host ui.skype.com, al parecer, solo le serive para descargar, si es el caso, la
última versión del programa. En nuestra nueva captura ya no aparece:

GET
/ui/0/3.8.32.115/es/getlatestversion?ver=3.8.32.115&uhash=1540f7874177b01d4df58ee305
d933e23 HTTP/1.1

User-Agent:

Host: ui.skype.com

Cache-Control: no-cache

Pero ya digo, no nos sirve. Tampoco podemos bloquear por puertos porque no tienen ningún
puerto predefinido ni servicios. Puede usar TCP , UDP, 443, 80, etc. El único puerto que tiene
predefinido para las conexiones entrantes lo puede manipular el usuario en el cliente.

Inpeccionar los paquetes en busca de firmas que denoten, por ejemplo, el uso de SSL por
parte de Skype, ya no vale. Antes, en versiones anteriores, el handshake SSL/TLS era
facilmente identificable mediante la firma |16 03 01 00| (Client Hello) y |17 03 01 00| (Server
Hello), ahora esto ya no nos vale. Todo la información transferida por Skype está cifrada.

En la captura, más adelante, podemos ver (probadlo) que se usa mucho el protocolo UDP
para muchas conexiones, transferencias de voz, etc. Podríamos bloquear el uso de UDP, ya
que no afecta significativamente al uso de internet. Pues bien, tras unos momentos en los que
Skype inicia, inicia sesión en el Skype Login Server,etc, vemos que no encuentra ninguno
de nuestros contactos. Parece que va todo bien. Pero, cuando Skype ve que no puede usar
UDP por defecto para estas tareas, usa TCP, con lo cual la opción de bloquear UDP no nos
sirve de nada.

¿Bloqueamos SSDP?

Skype usa SSDP para el descubrimiento de dispositivos UPnP. Esto lo realiza enviando 4
paquetes a la dirección Multicast 239.255.255.250 al puerto, por defecto, 1900. Pues bien,
tanto si desahabilitamos el servicio en el host cliente, como si denegamos en nuestro firewall
el acceso al puerto 1900 UDP o a la dirección multicast 239.255.255.250, el resultado es el
mismo. Skype se “adapta” y no le afecta. Hay routers que pueden no ser PnP.

NAT Port Mapping Protocol

Como vemos en esta serie de paquetes capturados:

wireshark. NAT Port Mapping Protocol nat-pm skype.

Skype usa NAT-PMP que le permitere mantener una conexión abierta con el exterior de
nuestra red de forma persistente. Aunque se le pueda bloquear su uso, Skype puede usar los
Super Nodos para esta tarea. En la versions 4.x creo que se puede deshabilitar el uso de NAT-
PMP.

Como bloquear de forma efectiva el uso de Skype.

En un entrono de empresa, hay varias formas de bloquear el uso de Skype.

Se impide el acceso total a internet y a partir de ahí se da salida solo a los servicios y/o
protocolos necesarios.
Se impide el acceso acceso total a internet excepto a servicios necesarios (IMAP, SMTP,…)
y se da salida solo a una serie de sitios que establezaca la empresa para sus usuarios. Sería
una especie de lista blanca de acceso.
Uso de políticas de seguridad en la empresa. Dependiendo del tipo de usuario, uso de
directorio activo o grupo de trabajo:
Usuarios sin permiso de instalación de software. Esto no es válido si los usuarios pueden
ejecutar un Skype portable a través de USB o lectos CD/DVD.
Políticas de restricción de software en directivas de seguridad local. Se crea una regla para
impedir el uso de Skype.exe.
En un entorno de Directorio Activo, podemos especificar una restricción al uso de Skype.exe.
Existen algunos dispositivos Hardware que son capaces de detectar el tráfico de red Skype.
No los he probado. Incluso algún firewall avanzados de hardware que puede bloquear Skype,
pero las técnicas de “evasión” que usa Skype casi siempre va por delante. Además, la
inspección del contenido de paquetes es practicamente imposible, debido a que toda la
transferencia de información suscentible de usarse para bloquear, está cifrada.

Comparación
Los resultados del estudio comparativo realizado por Basset y Schulzrinne de las
aplicaciones más utilizadas en el entorno de Internet, arrojan ciertos valores
significativos a la hora de valorar su funcionamiento. Las aplicaciones utilizadas para el
experimento son las siguientes:

El Yahoo! messenger o Yahoo! Instant Messaging (YIM) es una aplicación de mensajería

instantánea (IM) de la compañía Yahoo. Esta aplicación permite el intercambio en tiempo
real de mensajes entre dos o más usuarios en forma de texto. Pero en su última versión,
además, permite la llamada a teléfonos fijos y móviles de todo el mundo, con una calidad
de voz muy similar a la de Skype.

El MSN Messenger es el cliente de mensajería instantánea de Microsoft. Este cliente

utiliza el protocolo de notificación de estado móvil (Mobile Status Notification Protocol,
MSNP) sobre TCP y opcionalmente sobre HTTP para conectar al .NET Messenger
Service, servicio ofrecido en el puerto 1863. La versión actual del protocolo no es
totalmente secreta ya que es susceptible de captura de comandos mediante sniffers como
Ethereal.

GoogleTalk es un programa que utiliza el protocolo Jabber y XMPP que

permite la comunicación en tiempo real con otros usuarios mediante mensajería
instantánea y llamadas de voz. Por un lado, Jabber es un protocolo abierto basado en el
estándar XML para el intercambio en tiempo real de mensajes y presencia entre dos puntos
en Internet. Mientras por otro XMPP, de las siglas inglesas Extensible Messaging and
Presence Protocol, es un protocolo abierto y extensible basado en XML ideado para
mensajería instantánea.

Para realizar la comparativa, los autores utilizan la latencia boca/oído, que se define como
la diferencia entre el tiempo en que el emisor emite las palabras con su voz y el tiempo
en el que el cliente receptor las escucha, se presupone que ambos clientes se encuentran
en la misma sesión de voz. Esta latencia o retraso se calcula mediante la correlación entre
las dos señales utilizando la transformada rápida de Fourier.

Se realizaron las pruebas con dos ordenadores portátiles, utilizando un archivo de audio
SUN
estéreo y pregrabado. Este archivo tiene una extensión .au de 8000 HZ y codificación
lineal de
16 bits con una duración 24 seg. Se utiliza el programa Ethereal para hacer las capturas
del emisor y receptor. Y se obtuvieron los siguientes resultados:

Aplicaciones Versión Prioridad del proceso Prioridad del proceso

MI/Voz antes de la llamada. después de la llamada.
1.4.0.84 Normal Alta

7.0.0.437 Normal Normal

7.5 Normal Normal

1.0.0.80 Normal Normal

 Aplicaciones Latencia Desviación
200 MI/Voz boca/oído estándar de la
latencia
180 96 ms 4

160 152 ms 12
140
184 ms 16
120
100 109 ms 10
80
60
40 Skype Yahoo MSN G-Talk
20
0

45
40 Aplicaciones Uso de Uso de
MI/Voz Memoria Memoria
35 Emisor antes de la después de la
llamada llamada
30 19MB 21 MB

25 38MB 43 MB
20
25 MB 34 MB
15
10 9 MB 13 MB

5
0
Sk ype Yahoo M SN G-Talk

45
Aplicaciones Uso de Uso de Memoria
40 MI/Voz Memoria después de la
Receptor antes de la llamada
35 llamada
19MB 27 MB
30
25 34MB 42 MB
20
22 MB 34MB
15
10 9 MB 13 MB

5
0
Skype Yahoo MSN G-Talk
Seguridad
Skype protege las comunicaciones y la protección de la privacidad de los usuarios. Skype
sigue las últimas mejores prácticas en seguridad, incluyendo:
˚ cifrado de extremo a extremo de datos con 256-bit AES claves de cifrado.
˚ protección de claves de cifrado que no se revelan a los usuarios o en custodia a terceros y
se descartan cuando finaliza la sesión.
˚ uso de identidades basada en credenciales y cifrado de extremo a extremo para hacer 'man-
in-the-middle "ataques muy poco probable.
El modelo de seguridad también impide que cualquier persona con un supernodo o relay-
node interfiera o capture en cualquier parte una comunicación de Skype, incluso si pueden
recopilar o rastrear los paquetes de datos de la red. También hace que sea muy difícil para
cualquier persona para espiar en el contenido mediante la instalación de un ordenador con
Internet en la trayectoria teórica de tráfico de Skype.
Seguridad de nivel de transporte
Nadie puede garantizar el anonimato completo o secreto. Sin embargo, el cifrado de Skype
en la capa de transporte utiliza el algoritmo Advanced Encryption Standard (AES). Esto hace
que sea muy poco probable que las comunicaciones de Skype serán interceptadas o
descifrados través de la red P2P.
Se utiliza ambas claves públicas y privadas para asegurar todas las señales a través de la red
P2P, así como el contenido de las comunicaciones. El modelo de cifrado utiliza-clave pública
y la criptografía de clave simétrica, incluyendo el algoritmo AES en la lucha contra el modo
de número entero de 256 bits. También se utiliza el algoritmo RSA de 1024 bits para negociar
claves AES simétricas. Claves públicas del usuario están certificados en la conexión
mediante certificados RSA 1536 o 2048 bits.
Limitaciones de seguridad
Cifrado y control de los mecanismos de Skype sólo son capaces de proteger las
comunicaciones cuando todos los usuarios en la comunicación están utilizando el software
producido por Skype sin modificar en internet público. Cuando existe tránsito de
comunicaciones de otros sistemas de terceros, incluyendo software, servidores y redes de
telefonía modificados, el usuario puede experimentar disminución de los niveles de seguridad
y privacidad. Un ejemplo es una llamada a un teléfono fijo o móvil, que se realiza
inmediatamente antes de la terminación en las redes de telefonía fija (PSTN o móviles).
Como resultado, esta llamada es tan segura como cualquier teléfono regular o llamada de
teléfono móvil realizado en esa red. Las llamadas a su número de línea, si usted tiene uno,
muestran igualmente reducidos niveles de seguridad. Otro ejemplo es una llamada realizada
desde el Skype para tu móvil (SFYM o Skype Lite) la aplicación, que utiliza (2G) redes
móviles regulares para llevar la parte de voz de cualquier comunicación. Estas llamadas son
igualmente tan segura como la red móvil subyacente y llamadas móviles regulares realizados
en ellos.
Además, Skype no puede proteger el hardware de los usuarios en contra de la introducción
de spyware o malware, lo que podría poner en peligro la seguridad de una llamada de Skype;
es responsabilidad del usuario asegurarse de que tienen anti-spyware adecuada y protección
anti-virus en su hardware para prevenir el espionaje no autorizado de esta manera.
Privacidad
Para ayudar a administrar las comunicaciones y proteger la privacidad, Skype cuenta con
herramientas que le dan los usuarios control sobre el intercambio de sus datos de contacto,
que pueden ver su estado en línea y que puede llamar o IM (mensaje instantáneo) ellos.
Además, algunos datos personales se almacenan localmente en el ordenador utilizado por el
usuario. Los usuarios deben ser advertidos acerca de esto, sobre todo si se está utilizando un
ordenador público o compartido.
Seguridad de las mejores prácticas
Se debe tomar ciertas acciones básicas para hacer frente a las amenazas potenciales desde:
˚ Contraseña mal uso
˚ cross-site scripting y phishing
˚ virus y troyanos
˚ identidad del usuario falsificación
˚ spam y SPIT
˚ de múltiples logins
˚ Skype edición
Contraseña
Skype no pide nombre de cuenta o la contraseña de un usuario por correo electrónico.
Contraseñas de Skype se almacenan como un hash no reversible. Las únicas áreas donde se
necesitan contraseñas son cuando:
˚ sesión en Skype
˚ sesión en Skype Manager
Representa ˚ gestión de Skype en secure.skype.com/account/login
˚ sesión en otras cuentas de Skype conocidos a-ser-válido, como developer.skype.com
Skype mantiene dos referencias a la dirección de correo electrónico de cada usuario, una en
el perfil de su ordenador y el otro en mi cuenta en nuestro sitio web (para la recuperación de
contraseña). Si sus cambios de dirección de correo electrónico, debe ser actualizado en ambos
lugares.
Los virus y troyanos
Skype simplifica la transferencia de archivos al permitir la transferencia directa de archivos
entre clientes de Skype. Sin embargo la transferencia de archivos P2P es un desafío a la
seguridad de las redes corporativas, ya que no pasa por su "infraestructura de seguridad de
red de negocios. Por esta razón, se puede desactivar la transferencia de archivos a través de
su organización a través del Editor de GPO o por cambios en los archivos XML, si es
necesario. Por defecto, las transferencias de archivos están habilitadas.
Algunas pautas básicas para proteger su red corporativa y todavía permiten a los usuarios
utilizar la transferencia de archivos. Los usuarios que reciben deben:
˚ han compartido los datos de contacto.
˚ no han bloqueado el remitente.
˚ estar en línea cuando el remitente inicia la transferencia de archivos.
˚ estar dispuesto y ser capaz de aceptar la transferencia de archivos desde el emisor.
Nota: Los archivos a transferir debe ser menor que 2 GB.
Nota: Skype no tiene soporte para el análisis antivirus centralizado.
Calidad de servicio

Conclusiones
Bibliografía
http://hipertextual.com/2013/08/skype-decimo-aniversario