1 Introdução

Não há dúvida de que a comunicação por IP se torna cada vez mais crítica, principalmente no mundo empresarial. De facto, as empresas podem poupar custos significativos e conseguir melhorias de produtividade através da implementação de telefonia IP e novas aplicações de messaging e conferência multimédia.

Mas esta convergência de redes e serviços de voz introduz também um novo nível de vulnerabilidade na rede, até aqui inexistente. Não é, por isso, de espantar que muitas empresas estejam a ter redobradas cautelas ao analisar os avanços nas comunicações por IP. Verdadeiramente, os prejuízos avultados que são causados por quebras de segurança como a ameaça do MyDoom (avaliados em $38.5 biliões no mundo inteiro), p. Ex., não podem ser ignorados.

Há também quem veja a integração da telefonia IP como uma oportunidade para se desenvolverem novas e mais eficazes políticas de segurança, processos e infraestruturas. Estas novas práticas podem, por sua vez, ter um impacto muito positivo, não só em serviços de voz, mas t  bém em todas as aplicações de dados, voz e vídeo existentes na rede.

Para conseguir o necessário nível de protecção, é preciso antes entender a ameaça. Depois, há que construir fundações que incluam uma política de segurança bem formada, estimativas de risco e uma forte infra-estrutura de segurança. É necessário, ainda, entender novos axiomas e técnicas de segurança que se aplicam especificamente à telefonia IP. Só então poderão ser colhidas as recompensas que a comunicação por IP tem para oferecer.

2 As ameaças

As ameaças a sistemas de comunicação por IP nos dias de hoje são consistentes com muitas ameaças ao sistema telefónico tradicional, bem como com muitas e bem conhecidas ameaças a redes de dados. Tais ameaças incluem:

• perturbação, um ataque que limita ou elimina a capacidade para utilizar o serviço;
• escutas, que expõem informação pessoal, confidencial ou, em outros termos, sensível ao atacante;
• utilização inapropriada, em que os recursos do serviço são utilizados para fins não autorizados
• e roubo, quando serviços pagos são utilizados indevidamente por outros.

Uma vez que a telefonia IP usa a rede IP existente como sua fundação, ataques à rede de dados podem também afectar adversamente os serviços de voz. Uma das mais comuns ameaças é a de negação de serviço, que poderá desactivar uma aplicação ou servidor. Estes ataques são, muitas vezes, lançados contra routers, servidores Web ou servidores de correio electrónico – mas podem também ser direccionados contra servidores em redes de telefonia IP.

Outra ameaça comum é o vírus, que pode danificar ou comprometer dados e servidores e constituir plataforma de lançamento para futuros ataques à rede. Estes ataques chegam, frequentemente, por correio electrónico, mas podem também ameaçar o servidor através do seu sistema operativo, servidor Web ou software aplicacional. Cavalos de Tróia e spyware podem ver-se facilmente infiltrados numa rede IP para roubar informação confidencial ou propagar ataques.

Ataques man-in-the-middle podem capturar informação como palavras-chave. Existe ainda a possibilidade da “imitação”, em que um  pessoa ou dispositivo assume outra identidade, por forma a ludibriar pessoas ou máquinas e conseguir acesso a dados que se destinariam à identidade assumida.

Em todos os casos, o resultado é o mesmo: a rede fica comprometida e a informação está em risco. Uma situação obviamente inaceitável.

3. Fundamentos para segurança

Dados os riscos, é imperativo que uma empresa leve a cabo uma exaustiva avaliação da sua infra-estrutura de segurança antes de implementar uma solução de telefonia IP. De facto, o desenho e implementação de uma solução de telefonia sobre IP deve chamar grande atenção – sempre bem-vinda – para o plano global de segurança da organização e pode, em última análise, servir para melhorar os seus níveis de eficácia.

Alguns dos axiomas fundamentais a considerar ao segurar uma rede de telefonia IP são:

• Uma política de segurança praticada é mais importante que a melhor tecnologia;
• Frequentes estimativas de risco – calendarizadas e ao acaso – são vitais para garantir protecção contra ameaças novas;
• A segurança deve ser construída por camadas, de forma a que o compromisso de um dado sistema ou funcionalidade não resulte no compromisso de toda a rede;
• A segurança deve abordar tanto ameaças conhecidas como desconhecidas, já que os hackers evoluem constantemente nos seus métodos de ataque;
• Uma sólida estratégia de segurança de telefonia IP está dependente de uma sólida estratégia de segurança de rede de dados;
• A segurança deve começar por bloquear tudo e depois, selectivamente, permitir apenas o tráfego pretendido, com o máximo de especificidade;
• Não há sistemas de segurança perfeitos – a segurança é um compromisso entre custo e benefício.

4. Passos para tornar a telefonia IP segura

Os administradores podem criar fundações seguras para comunicação IP tratando, antes de mais, da segurança de:

• Infra-estrutura de rede;
• equipamento de telefonia IP
• processos de autenticação e cifra de telefonia IP

Abaixo descrevem-se alguns passos para realizar estas tarefas.

4.1 Segurança da Infra-estrutura

Segurar a infra-estrutura para serviços de dados, voz e vídeo requer uma combinação de tecnologias tradicionais com novas técnicas para redes de voz. Vejamos algumas dessas técnicas.

4.1.1 Separar voz e dados em diferentes VLANs

VLANs, tal como definidas pela especificação IEEE 801.1q, são vulgarmente utilizadas em redes de dados para conseguir utilização mais eficiente de largura de banda e para separar redes, com propósitos de segurança. Quando implementadas em routers e switches, VLANs podem ser utilizadas para acrescentar um nível crítico de segurança a comunicações de voz.

4.1.2 Utilizar firewalls inteligentes que compreendam voz

Filtragem de firewall é necessária para gerir protocolos de rede eficazmente nos dias de hoje. Os tradicionais filtros de pacotes não conseguem lidar com protocolos de dados complexos tais como streaming IP e videoconferência, que utilizam múltiplos portos UDP e TCP e complicados esquemas de inicialização. Para ser eficaz, a inspecção de firewall deve ter conhecimento específico dos protocolos que gere.

4.1.3 Empregar segurança forte para gestão e administração

Políticas de segurança podem, frequentemente, ser comprometidas por aqueles encarregados de as fazer cumprir. Se indivíduos não autorizados obtêm acesso ainformação de configuração – ou, pior, informações sobre autenticação – têm uma boa hance the comprometer seriamente a rede. Toda a administração de routers, switches e firewalls deve, portanto, ser feita utilizando cifra TLS ou SSH.

4.1.4 Segurar acessos remotos

Trabalhadores que operem sistemas remotamente não poderão maximizar os seus níveis de produtividade se não tiverem acesso completo aos recursos de que necessitam. Esse acesso, todavia, deve ser seguro para garantir a integridade da informação. Ligações seguras entre localizações remotas podem ser conseguidas utilizando tecnologias convergentes de segurança de rede tais como VPN para voz e vídeo (V3PN). V3PN integra segurança de conectividade com razoabilidade de custos através de VPN com IPSec, produzindo convergência de redes de dados, voz e vídeo sobre IP.

4.2 Segurar equipamentos de telefonia IP

Adicionalmente à segurança do perímetro e canais de comunicação numa rede de telefonia IP, os administradores devem segurar os equipamentos-chave. Tal como qualquer outro tipo de serviço ou dispositivo, estes componentes podem tornar-se fonte ou alvo de ataques, e logo devem ser segurados. A telefonia IP introduz um novo tipo de dispositivo de rede – o telefone IP – e novos servidores aplicacionais para processamento e gestão de chamadas. Passos a dar podem incluir:

4.2.1 Robustecer o telefone IP

Certos telefones IP podem ter características de segurança incorporadas, tais como imagens de firmware assinadas ficheiros de configuração assinados. Isto garante que hackers não conseguirão alterar estes componentes por forma a subverter as funcionalidades de segurança. Outros parâmetros configuráveis deverão estar também protegidos contra modificações que possam causar compromissos de segurança.

A maioria dos telefones IP têm um porto para ligação ao PC, de forma a que os utilizadores necessitem de apenas um cabo Ethernet para servir tanto o PC como o telefone IP. Por omissão, estes telefones reencaminham todos os pacotes que recebem do switch para o PC. Tipicamente, pode-se desactivar acessos de voz no porto do PC, o que fará com que pacotes de voz na VLAN recebidos no porto do PC sejam descartados. Esta funcionalidade permite que um computador ligado a este porto use VLANs, mas não as VLANs atribuídas ao serviço de voz.

Outro tipo de ataques pode chegar através da rede, em vez de um PC directamente ligado  o telefone. Por omissão, grande parte dos telefones IP aceitam pacotes Gratuitous ARP (GARP). O GARP, que é utilizado por alguns dispositivos de rede legítimos para anunciar a sua presença, pode também ser utilizado por atacantes para fazer spoofing de um dispositivo válido. Por exemplo, um atacante poderá enviar uma sequência GARP que anuncia ser o default router. A maior parte dos administradores opta por desactivar o GARP.

4.2.2 Robustecer desktops e servidores

A maior parte das empresas protege desktops e servidores através de firewalls e soluções de anti-vírus baseadas em assinaturas. Infelizmente, muitas ameaças actuais não podem ser travadas por estas soluções tradicionais. Novos e desconhecidos Ataques ocorrem todas as semanas e podem causar danos significativos antes de o seu padrão ser conhecido. Para fazer face a tais ataques, as empresas necessitam de software de prevenção de intrusões residentes no host. Trata-se de agentes que residem em cada desktop ou servidor e podem ser administrados centralmente para fazer cumprir políticas que mitiguem ou eliminem ataques conhecidos e desconhecidos, através de monitorização e limitando o que um dado host pode ou não fazer. Protecção de intrusão no host é especialmente desejável numa rede de telefonia IP porque detém ataques que, se deixados descontrolados, poderiam abater a estrutura da rede e prejudicar o serviço de voz.

4.2.3 Robustecer o software de gestão de chamadas

Ao contrário dos PBX proprietários, o software de telefonia IP corre em sistemas abertos. Administradores devem tomar medidas para endurecer a segurança do sistema operativo ou ambiente em que esse software vai correr.

4.3 Autenticação e cifra de telefonia IP

Uma das maiores ameaças à rede é o desconhecido. Para combater este problema, os telefones IP devem ser bem conhecidos na rede corporativa. Por essa razão, alguns telefones IP contêm certificados digitais que os identificam univocamente dentro da rede. Estes certificados podem ser “queimados” no firmware ou acrescentados aquando da implementação.

Os certificados são um contributo para a segurança da rede telefónica IP a vários níveis. Em primeiro lugar, a rede pode limitar o acesso apenas a telefones com certificados conhecidos ou criados por uma autoridade de certificação (CA – Certification Authority), tipicamente uma CA dentro da própria empresa. Em segundo lugar, os próprios telefones IP podem ser configurados para confiarem apenas em servidores que contenham determinado certificado. Estes certificados podem também ser utilizados para criar sessões de voz seguras utilizando Transpor Layer Security (TLS), muito útil quando uma dada conversação atravessa a Internet fora de uma VPN. A curto prazo, é de esperar que o Secure Real-Time Transport Protocol (S-RTP) também permita a criação de canais cifrados através de certificados.

5 Bibliografia

Security Considerations for Voice Over IP Systems - Recommendations of the National Institute of Standards and Technology
D. Richard Kuhn, Thomas J. Walsh, Steffen Fries

Securing Your Network for IP Telephony
Cisco Systems Whitepaper

SECURING IP VOICE
Cisco Systems Whitepaper