Os riscos de uma implementação de VoIP

Implementações de Voz sobre IP (VoIP) tornam-se cada vez mais comuns. Conseqüentemente, mais redes e sistemas legados são conectados a redes públicas, permitindo que organizações reduzam custos e aprimorem os produtos e serviços que oferecem, enquanto que os usuários aproveitam uma variedade de novos e avançados serviços. No entanto é preciso ficar atento quanto a segurança ao implementar VoIP. Isso porque cada elemento da infra-estrutura está acessível na rede, bem como qualquer computador, e pode ser atacado ou utilizado como ponto de lançamento de ataques mais profundos à rede ou à organização.

Abaixo encontram-se algumas dicas da Check Point Software Technologies para garantir a segurança de VoIP:

1. Escolha com cuidado os protocolos de VoIP. Há prós e contras para vários protocolos e fornecedores de equipamento de VoIP. Certifique-se de selecionar equipamentos que satisfaçam as necessidades, e não o contrário. Mudar os requisitos para dar suporte ao equipamento de um fornecedor específico é um péssimo hábito.

2. Desligue protocolos desnecessários. Há vulnerabilidades suficientes que podem ser exploradas nos protocolos utilizados. Não há necessidade de aumentar a “janela de oportunidade” dos hackers ao habilitar protocolos e serviços desnecessários e não utilizados. Isso deve ser seguido para os protocolos de VoIP, bem como para outros serviços fornecidos pelo equipamento de VoIP.

3. Lembre-se de que cada elemento da infra-estrutura de VoIP, acessível na rede como qualquer outro computador, pode ser atacado. Mesmo que se pareçam com telefones e terminais, elementos de VoIP são componentes de software rodando em hardware. Certifique-se de que seja possível gerenciar o sistema operacional por trás desses componentes. Devido a considerações quanto ao ciclo de vida do desenvolvimento, alguns programas de gerenciamento de VoIP são baseados em versões mais antigas de sistemas operacionais vulneráveis. Certifique-se de que também seja possível proteger esses elementos.

4. A estratégia de dividir para conquistar funciona bem em redes de VoIP. É altamente recomendado separar a infra-estrutura de VoIP de outras infra-estruturas de IP utilizando separadores físicos ou lógicos.

5. Autentique operações remotas. Terminais de VoIP podem ser atualizados e gerenciados remotamente. Certifique-se de utilizar somente pessoal autorizado em localizações autorizadas (com base nos endereços de IP e nomes de usuário únicos). Evite que um usuário remoto ataque os serviços.

6. Separe os servidores de VoIP da rede interna. Vários dispositivos de segurança não conseguem entender completamente os comandos de sinalização de VoIP. Conseqüentemente, eles podem abrir portas de comunicação dinâmicas, deixando a rede vulnerável a ataques de bounce. Isso pode permitir que um atacante penetre em elementos críticos aos negócios da empresa na LAN interna.

7. Certifique-se de que o sistema de segurança VoIP possa rastrear as portas de comunicação, lendo dentro dos pacotes de sinalização para descobrir as portas selecionadas e habilitar dois endpoints para enviar pacotes de mídia um para outro. É ainda mais importante que os sistemas de segurança sejam capazes de entender a cadeia de operações adequada e fazer com que ela seja seguida. Caso contrário, até mesmo um ataque de DoS simples, mas eficaz, pode desconectar os usuários, forjando mensagens de desconexão. Um sistema de segurança deve poder evitar esse tipo de ataque.

8. Utilize NAT (Network Address Translation), mesmo que em alguns casos isso apresente certos problemas para VoIP. NAT converte endereços de IP internos em endereços de IP únicos e globais para roteamento na Internet. O benefício adicional de esconder a rede é inestimável. Uma solução de segurança deve permitir que você habilite NAT na rede interna e que os usuários de fora da rede encontrem usuários com endereços de IP dinâmicos e não roteáveis.

9. Utilize um sistema de segurança que efetue verificações de segurança específicas para VoIP. Um sistema de segurança deve poder enxergar dentro do fluxo de VoIP, analisar o estado da ligação e verificar o conteúdo do serviço, certificando-se de que todos os parâmetros estejam coerentes com suas necessidades comerciais.