Jeder, der Linux-Server verwaltet oder z.B. Linux-SOHO-Router¹⁾ betreibt, wird früher oder später mit dem Thema “iptables/Netfilter” (bzw. ip6tables/Netfilter6) konfrontiert. Oft hangeln sich die jeweiligen Administratoren und Benutzer dann via Google von HowTo zu HowTo, und zimmern sich mit gefährlichem Halbwissen eine iptables-Firewall-Konfiguration zusammen. Alternativ wird zu Shorewall oder vergleichbaren Projekten gegriffen.

Falls man sich mit Linux basierenden Firewalls auseinandersetzen will, kann ich stattdessen jedem das Buch Linux-Firewalls von Ralf Spenneberg in seiner neusten Auflage empfehlen. Es ist sehr gut strukturiert und äußerst verständlich geschrieben, sofern man zumindest die absoluten Grundlagen eines Netzwerks hinsichtlich IP, TCP und UDP beherrscht. Der Autor führt den Leser gut an das Thema heran. Alles beginnt mit der Erklärung einfacher stateless-Paketfilter und geht dann über zu gut nachvollziehbaren stateful-iptables-Regeln. Es wird dabei genau für die Art von Grundverständnis gesorgt, welches bei einfachen Tutorials im Netz meist unter den Tisch fällt. Anschließend werden DMZ, transparente Firewalls, NAT-Router und vieles mehr mit iptables gebaut. Connection Tracking und dessen Konfiguration, wichtige Kernel-Parameter, Protokollierung und hilfreiche Werkzeuge nehmen ebenfalls einen großen Teil des Buchs ein. Auch das Thema IPv6 wird sehr verständlich betrachtet und das nötige Wissen vermittelt, um IPv6-fähige Firewalls betreiben zu können. Alles in allem kann ich das Buch uneingeschränkt empfehlen, auch als Nachschlagewerk.

Keine Frage – Skype hat Erfolg, erfüllt auf zahlreichen Rechnern brav seinen Dienst und ermöglicht vielen Menschen auf dieser Welt komfortabel und kostengünstig zu kommunizieren. Zudem ist es einfach zu bedienen, daher will ich dem Programm sicher nicht seine Daseins-Berechtigung absprechen. Aber Skype hat auch ein paar unschöne Seiten, die dem normalen Nutzer wohl nicht direkt auffallen. Diese sind zum Teil offensichtlich, anderes kann man ob sehr umfangreicher Verschleierungstaktiken nur erahnen. In jedem Falle sollte man sich darüber informieren und dann abwägen, ob der Komfort von Skype die Nachteile aufwiegt.

Kommmen wir zunächst zu den offensichtlichen Dingen:

• Skype ist sowohl bei der Signalisierung als auch bei der Übertragung proprietär und redet prinzipiell nur mit Produkten des Herstellers. Setzt man einmal auf Skype, bleibt man also zwangsweise auch dabei, sofern man nicht alle seine Kontakte verlieren will. Andere Lösungen setzen auf Standards und können so auch untereinander und Hersteller-übergreifend kommunizieren.
• Die Firma hinter Skype ist den Kinderschuhen entwachsen, gehört mittlerweile zu eBay und spielt daher in der Liga “der Großen”. Dort gelten andere Regeln. In Zeiten von Vorratsdatenspeicherung & Co. macht dies nicht gerade Hoffnung, dass der Konzern nicht einfach nur in eigenem Interesse handelt statt sich für seine Nutzer einzusetzen. Das die Signalisierung dazu noch über zentrale Server von Skype im Ausland (wo Datenschutzgesetze fehlen) abgewickelt wird, macht das ganze noch schlimmer.

Kommen wir zu den weniger offensichtlichen Dingen:

• Obwohl noch nicht so alt, blieben die Skandale nicht aus.
• Skype nutzt schon auch mal unbemerkt Bandbreite für andere Dinge als das eigene Gespräch
• Skype wurde von intelligenten Leuten entwickelt, keine Frage. Die Software hat zahlreiche Mechanismen um sich gegen Reverse-Enigneering zu Wehr zu setzen. So werden z.B. Treiber geladen[sic!], um Debuggern wie SoftICE das Leben schwer zu machen, man verhindert statisches dissamblieren (z. B. sind Teile des Binaries mit einem hardgecodeten Schlüssel per XOR verknüpft), und der Code enthält zahlreiche unnütze Dinge (Code Obfuscation), obwohl dadurch die Performance von Skype nicht unerheblich in den Keller gedrückt wird. Sehr interessant diesbezüglich sind die Ausführungen von Philippe Biondi und Fabrice Desclaux auf der Black Hat 2006.
• Alles in allem kann einem die Kombination aus eBay, Geld, intelligenten Menschen, vielen Daten sowie Verschleierungstaktik und -technik schon ein wenig Sorgen machen, sollte aber mindestens zum Nachdenken bewegen.

Kommen wir zu den Problemen mit der Sicherheit:

• Skype wird in Netzwerken zu einem Problem. So werden z.B. Firewalls von der Software durchlöchert. Das führt u. a. zu Traffic, der als Administrator nur schwer in den Griff zu bekommen ist.
• Skype vertraut jedem, der Skype spricht. Soll heißen: Wenn die Software denkt, auf der anderen Seite der Leitung ist ebenfalls ein Skype-Client, entfallen zahlreiche Checks. In Verbindung zu der gut verschleierten und verschlüsselten Datenübertragung sowie dem oben genannten “Lochtrick” bezüglich Firewalls, könnte sich eine Lücke in der Software als ein ultimativer Sicherheits-GAU herausstellen – würden doch Angriffe auch noch wunderbar vor der Entdeckung geschützt. Folie 96 ff. des genannten Vortrags ist diesbezüglich auch ganz interessant.

Genug zu den Nachteilen von Skype für heute. Die Listen würden sich bestimmt noch erweitern lassen, doch widmen wir uns lieber möglichen Alternativen. Für ausführliche Reviews fehlt mir gerade ein wenig die Zeit, Sie folgen ggf. noch. Ich will jetzt aber jemanden, der sich bis hier hin im Text durchgekämpft hat nicht so einfach hängen lassen, und wenigstens ein paar Links zum Einstieg liefern:

• IP-Phone-Forum-Wiki, Software-Übersicht
• OpenWengo.org (Win und *ix, OpenSource, SIP-konform)
• gizmoproject.com
• jajah.com
• voipbuster.com
• talk.google.com (damit treibt man aber sicher den Teufel mit dem Beelzebub aus )
• ekiga.org (*ix, Gnome)
• KPhone (*ix, KDE)
• twinklephone.com (*ix, KDE)

Über Erfahrungsberichte zu den genannten Alternativen (gerne auch per Mail) würde ich mich auch freuen…