TripleX
Power Member
[FONT="]IMPLEMENTAÇÕES DE VOZ SOBRE IP[/FONT]
[FONT="]Crescentes factores de risco[/FONT]
[FONT="]Chamadas por VoIP são sujeitas a ataques de DoS (Denial of Service), portais hackeados permitindo chamadas gratuitas não autorizadas, monitoração de chamadas e redireccionamento mal-intencionado de chamadas.
O VoIP também apresenta certos desafios específicos de segurança. Ambas as partes de uma chamada de VoIP (as mensagens de configuração de chamada e o próprio fluxo de média da chamada) devem ser inspeccionadas. O fato é que mais bugs de segurança[/FONT] [FONT="]relacionados à VoIP foram relatados esse ano do que em todos os anos anteriores a 2006 juntos.[/FONT]
[FONT="]Mais de um protocolo[/FONT]
[FONT="]Há vários protocolos que podem levar o nome “protocolo de VoIP”. Experts na área de VoIP defendem protocolos diferentes porque eles apresentam vantagens diferentes, mas no que se refere à segurança, há várias considerações em comum para a maioria dos protocolos de VoIP. A utilização das melhores práticas de segurança elimina os factores de risco e os vectores de ataques adicionais.[/FONT]
[FONT="]VoIP e vulnerabilidades de segurança[/FONT]
[FONT="]Uma infra-estrutura de VoIP acrescenta sistemas de troca de tronco privado; portais; servidores proxy, de registo e de localização; e telefones a backbones IP. Cada elemento de VoIP, quer seja um sistema embutido ou um servidor disponível comercialmente rodando um sistema operacional também disponível comercialmente, é endereçável e acessível na rede de dados, como qualquer outro computador.[/FONT] [FONT="]Cada elemento de VoIP tem um processador rodando um software e um stack TCP/IP que podem ser atacados. Ataques a comunicações de dados podem vir através da infra-estrutura de voz do IP e vice-versa. Ataques de DoS a elementos fracos de VoIP podem saturar a rede de tráfego de voz falso, degradando o desempenho da rede ou desligando as comunicações de voz e dados.[/FONT] [FONT="]Um portal que foi hackeado pode ser utilizado para fazer ligações gratuitas não autorizadas. Comunicações de voz não protegidas podem ser interceptadas, e roubadas ou corrompidas. Pacotes de voz não comutados podem ser encontrados e monitorados em tempo real. Telefones que utilizam software para converter um PC em um telefone[/FONT] [FONT="]de IP são vulneráveis a monitoração se o PC estiver infectado com um cavalo de Tróia que monitore o tráfego da LAN.[/FONT] [FONT="]Exploits de VoIP podem ser utilizadas para lançar ataques de bounce contra servidores e provedores na chamada DMZ, ou pior, servir como um conveniente ponto de lançamento para ataques a componentes mais críticos aos negócios da empresa na LAN interna. Em resumo, VoIP expõe as comunicações de voz aos mesmos tipos de ameaças de segurança aos quais as comunicações de dados estão expostas.[/FONT]
[FONT="]Desafios de segurança de VoIP[/FONT]
[FONT="]VoIP apresenta desafios de segurança incomuns. Uma ligação de VoIP tem duas partes: as mensagens de sinalização que configuram a chamada e o fluxo de mídia que carrega a “voz”. Os caminhos de sinalização e de mídia são separados, exigindo conexões lógicas entre as duas partes se comunicando através de VoIP.[/FONT] [FONT="]Abaixo encontram-se algumas dicas para garantir a segurança de VoIP:[/FONT]
[FONT="]1. Escolha com cuidado os protocolos de VoIP[/FONT] [FONT="].
[/FONT] [FONT="]Há prós e contras para vários protocolos e fornecedores de equipamento de VoIP. Certifique-se de seleccionar equipamentos que satisfaçam suas necessidades, e não o contrário. Mudar seus requisitos para dar suporte ao equipamento de um fornecedor específico é um péssimo hábito.[/FONT]
[FONT="]2. Desligue protocolos desnecessários[/FONT] [FONT="].
[/FONT] [FONT="]Há vulnerabilidades suficientes que podem ser exploradas nos protocolos utilizados. Não há necessidade de aumentar a “janela de oportunidade” dos hackers ao habilitar protocolos e serviços desnecessários e não utilizados. Isso deve ser seguido para os protocolos de VoIP, bem como para outros serviços fornecidos pelo equipamento de VoIP.[/FONT]
[FONT="]3. Lembre-se de que cada elemento da infra-estrutura de VoIP, acessível na rede como qualquer outro computador,[/FONT]
[FONT="]pode ser atacado[/FONT] [FONT="].
[/FONT] [FONT="]Mesmo que se pareçam com telefones e terminais, elementos de VoIP são componentes de software rodando em hardware. Certifique-se de que seja possível fazer a gestão do sistema operacional por trás desses componentes.[/FONT] [FONT="]Devido a considerações quanto ao ciclo de vida do desenvolvimento, alguns programas de gestão de VoIP são baseados em versões mais antigas de sistemas operacionais vulneráveis. Certifique-se de que também seja possível proteger esses elementos.[/FONT]
[FONT="]4. A estratégia de dividir para conquistar funciona bem em redes de VoIP[/FONT] [FONT="].
[/FONT] [FONT="]É altamente recomendado separar a infraestrutura de VoIP de outras infra-estruturas de IP utilizando separadores físicos ou lógicos.[/FONT]
[FONT="]5. Autentique operações remotas[/FONT] [FONT="].
[/FONT] [FONT="]Terminais de VoIP podem ser actualizados e que façam gestão remotamente. Certifique-se[/FONT] [FONT="]de utilizar somente pessoal autorizado em localizações autorizadas (com base nos endereços de IP e nomes de usuário únicos). Evite que um usuário remoto ataque seus serviços.[/FONT]
[FONT="]6. Separe os servidores de VoIP da rede interna[/FONT] [FONT="].
[/FONT] [FONT="]Vários dispositivos de segurança não conseguem entender completamente os comandos de sinalização de VoIP. Consequentemente, eles podem abrir portas de comunicação[/FONT] [FONT="]dinâmicas, deixando a rede vulnerável a ataques de bounce. Isso pode permitir que um atacante penetre em elementos críticos aos negócios da empresa na LAN interna.[/FONT]
[FONT="]7. Certifique-se de que o sistema de segurança VoIP possa rastrear as portas de comunicação[/FONT] [FONT="].[/FONT] [FONT="]Lendo dentro dos pacotes de sinalização para descobrir as portas seleccionadas e habilitar dois endpoints para enviar pacotes de média um para outro. É ainda mais importante que os sistemas de segurança sejam capazes de entender a cadeia de operações[/FONT] [FONT="]adequada e fazer com que ela seja seguida. Caso contrário, até mesmo um ataque de DoS simples, mas eficaz, pode desconectar os usuários, forjando mensagens de desconexão. Um sistema de segurança deve poder evitar esse tipo de ataque.[/FONT]
[FONT="]8. Utilize NAT (Network Address Translation)[/FONT]
[FONT="]Mesmo que em alguns casos isso apresente certos problemas para VoIP. NAT converte endereços de IP internos em endereços de IP únicos e globais para roteamento na Internet. O benefício adicional de esconder a rede é inestimável. Uma solução de segurança deve permitir que você habilite NAT na rede interna e que os usuários de fora da rede encontrem usuários com endereços de IP dinâmicos e não roteáveis.[/FONT]
[FONT="]9. Utilize um sistema de segurança que efectue verificações de segurança específicas para VoIP[/FONT] [FONT="].
[/FONT] [FONT="]Um sistema de segurança deve poder enxergar dentro do fluxo de VoIP, analisar o estado da ligação e verificar o conteúdo do serviço, certificando-se de que todos os parâmetros estejam coerentes com suas necessidades comerciais.[/FONT]