Seção: Tutoriais VoIP

 
Segurança VoIP: Rede e Serviço

 

Antes de discutir as ameaças às quais o serviço de voz sobre IP está exposto, é importante observar o impacto que determinadas características do serviço, da rede, dos usuários e do mercado tem sobre o número potencial de ameaças.

 

Ao usar VoIP estamos codificando a nossa voz em pacotes que são transmitidos estatisticamente através de uma rede computadores, na maior parte das vezes a Internet, na qual trafegam dados das mais variadas fontes, para os mais variados destinos, rede esta cuja propriedade e controle é bastante fragmentado.

 

É praticamente impossível para qualquer empresa garantir a segurança dos elementos de rede intermediários, que estejam fora do controle da própria empresa.

 

A voz, como aplicação, tem características que precisam ser respeitadas, sob pena de tornar a sua transmissão de pouca utilidade. Sabemos hoje que a latência em cada sentido deve ficar abaixo de 150 ms e que a perda de pacotes não deve superar 3%. Diferente de muitos outros serviços de dados, como email e outros, basta poder influenciar esse limiar de desempenho da rede para que o serviço fique inutilizável.

 

Considerando que VoIP na maior parte das vezes é implementado através da própria Internet, os terminais e servidores necessários para a sua implementação ficam acessíveis a milhões de computadores distribuídos pelo mundo todo.

 

A sensibilidade do VoIP as questões de desempenho e a acessibilidade que permeia o conceito da própria Internet, abrem margem para uma vasta gama de possibilidades de ataque do tipo DoS (denial of service), seja um ataque genérico, realizado no nível de rede, seja um ataque realizado no nível da aplicação VoIP.

 

No caso específico do VoIP não é necessário o consumo de toda a banda disponível para inviabilizar o serviço, muitas vezes ataques que produzam um padrão muito alto de pacotes por segundo são mais fáceis de serem realizados e podem impactar o desempenho do serviço de forma significativa, conseguindo por exemplo, que a latência em cada sentido fique superior a 150ms.

 

Outro elemento que impacta a efetividade do ataque é a expectativa do usuário com relação ao serviço. Acostumado com o nível de serviço oferecido pelo sistema de telefonia tradicional, o usuário espera uma disponibilidade de 99,999%. Isso significa no máximo 5 minutos de indisponibilidade por ano, ou seja, no caso de um ataque a infra-estrutura, a abordagem de segurança deve ser rápida o suficiente para dar uma resposta imediata ao problema.

 

Finalmente é importante notar que a tecnologia VoIP ainda está amadurecendo, a ausência de um padrão de segurança bem definido e aceito pela indústria e a existência de problemas de compatibilidade também tem um impacto significativo sobre o modelo de segurança.

 

O efeito dessas limitações é acentuado quando considerada a fragmentação de fornecedores de equipamento, software e terminadores existentes e a força que a liberdade de escolha tem sobre a oferta do serviço VoIP.

 

Essa característica da indústria dificulta o estabelecimento de padrão de segurança fim-a-fim sob pena de limitação do leque de alternativas existentes e perda das vantagens econômicas que tal conjunto de alternativas propicia. Na medida em que riscos e ameaças comecem a se concretizar e seu impacto seja efetivamente mensurado, políticas e padrões poderão ser mais bem estabelecidos.

 

Esses fatores deixam claro, que, mesmo dispondo de uma boa política de segurança para redes IP, esta política deve ser revista quando da implementação de um serviço de voz sobre IP.