Seção: Tutoriais VoIP

 
Segurança VoIP: Soluções

 

As alternativas para melhorar a resiliência da infra-estrutura VoIP frente aos diferentes ataques que o serviço pode estar exposto são diversas, mas todas elas tem custos ou impactos que devem ser cuidadosamente analisados antes de optar por uma ou outra alternativa.

 

É importante ressaltar que, a princípio, não há uma receita de bolo para qual o conjunto capaz de prover o melhor custo-benefício.

 

Os mecanismos de segurança existentes podem ser classificados em protocolos de segurança, arquitetura & procedimentos e sistemas especializados.

 

Protocolos de Segurança

 

Neste grupo incluem-se o mecanismo como o SIP Digest, Network Asserted Identity, Athenticated Identity Body (AIB), Identity Header Field e protocolos como TLS, IPSec e SRTP.

 

O SIP Digest é um mecanismo de autenticação básico, trazido do HTTP, que deve ser suportado por qualquer user agent SIP. É uma forma simples de servidor e cliente verificarem se efetivamente tem um segredo compartilhado sem que a senha trafegue abertamente.

 

O TLS ou Transport Layer Security, já está na sua versão 1.1 e é uma evolução do SSL (Secure Socket Layers). O TLS é um protocolo que pode ser utilizado para prevenir a escuta, modificações em mensagens ou o envio de mensagens falsas da sinalização VoIP. O TLS também pode servir para prevenir ataques do tipo DoS como SIP Bombing.

 

Em contrapartida agrava os ataques DoS sobre TCP na medida em que, nesse caso, pode haver um consumo significativo da capacidade de processamento do sistema para a descriptografia das mensagens do ataque.

 

O uso do TLS é feito hop-by-hop (nodo a nodo) o que obriga que absolutamente todos os elementos da rede VoIP que encaminham sinalização suportem o protocolo para que a sinalização esteja 100% protegida.

 

Considerando a diversidade de fornecedores de terminais e interconexões que hoje são agregados para implementar o VoIP, tal abordagem limita bastante o número as alternativas disponíveis no mercado. O TLS envolve ainda a manutenção e gerência de uma entidade certificadora que permita verificar se os certificados são válidos e cancelar certificados já sem validade.

 

O IPSec ou IP Security provê criptografia no nível de rede e pode ser utilizado para garantir a autenticidade, a integridade e a confidencialidade tanto fim-a-fim como nodo-a-nodo. O IPSec funciona autenticando e criptografando os pacotes IP e precisa de um protocolo adicional para a troca de chaves: o IKE (Internet Key Exchange).

 

O IPSec tem problemas graves ao ser utilizado em redes que fazem uso de NAT (Network Address Translation), uma situação bastante comum nas rede IP de hoje em dia, e precisa dispor de uma infra-estrutura pública para troca e validação das chaves, infra-estrutura que hoje não existe.

 

O SRTP ou Secure Real-Time Procotol e o SRTCP ou Secure Real-Time Control Protocol [8] oferece confidencialidade, autenticação e proteção contra replays (retransmissão fraudulenta) dos pacotes RTP e RTCP prevenindo ataques como escuta do RTP, manipulações do SSRC, manipulações do CODEC e inserções RTCP.

 

O Nework Asserted Identity [11] é um mecanismo bastante específico para a troca de identidade entre elementos de rede que já possuam relacionamento confiável utilizando algum outro mecanismo ou política de segurança.

 

A utilidade desse tipo de mecanismo é, por exemplo, permitir que um usuário, depois de autenticado, faça chamadas anônimas sem que para isso a rede perca a possibilidade de rastrear a chamada realizada, preservando assim a privacidade do originador.

 

O Authenticated Identity Body (AIB) [12] é um mecanismo que utiliza corpos de mensagens e certificados S/MIME [14] para assinar parte do cabeçalho das mensagens de forma a autenticar o user agent, dessa forma evitando ataques do tipo spoofing.

 

Finalmente o Identity Header Field [15] é outro mecanismo que também permite assinar parte dos cabeçalhos da mensagem. A diferença é que este mecanismo utiliza cabeçalhos padrão específicos para a assinatura e para o acesso ao certificado, o que resolve alguns dos problemas associados à utilização do padrão S/MIME.

 

Arquitetura & Procedimentos

 

Cuidados no desenho da arquitetura de rede e na implementação dos procedimentos que serão utilizados para prover e gerenciar o provimento do serviço de voz sobre IP são chave para uma maior garantia de segurança.

 

A possibilidade de separar física e logicamente os serviços de voz dos serviços de dados em redes diferentes, com blocos de endereços separados e serviços de suporte como DNS e DHCP dedicados dificulta a escuta e facilita a definição das regras de acesso, simplificando a configuração e o controle.

 

Essa separação é particularmente difícil quando se usa softfones, já que estes operam diretamente em computadores e podem expor a rede VoIP a ataques de malware realizados sobre o computador do usuário.

 

A separação dos serviços em categorias (por exemplo, críticos e não críticos) que permitam diferenciar os componentes da rede de acordo com o nível de segurança exigido, permite que políticas de segurança específicas sejam estabelecidas.

 

Um repositório dos eventos de chamada pode ter uma política de segurança mais orientada à preservação da integridade enquanto para um SIP proxy pode ter uma política cujo enfoque seja no requisito disponibilidade.

 

O uso de redes sem fio deve ser feito com muito cuidado, já que pode expor os dados a uma eventual escuta. Segundo o NIST [10] mesmo o uso de WEP para redes Wi-Fi não é suficiente para garantir a segurança dos dados já que a criptografia pode ser quebrada com software já disponível na Internet.

 

A padronização da configuração dos componentes de rede, eliminando todos os serviços não necessários e o estabelecimento do IPSec ou do Secure Shell (SSH) para gerência remota são políticas importantes para redução das portas de entrada e prevenção contra o acesso não autorizado.

 

O uso de redundância em todos os níveis: físico, de enlace, de rede, de transporte e de aplicação são vitais para fornecer garantias de continuidade frente a eventuais ataques e fatores não previstos. Essa redundância deve também estar presente no planejamento da rede elétrica (redundância esta que precisa ser testada e calibrada periodicamente), de forma a garantir a continuidade nos casos de falta de força.

 

A verificações dos componentes de software da infra-estrutura VoIP com relação aos requisitos de segurança e uma política de gerência de patches (correções de software) é vital na garantia do nível de qualidade, já que a segurança deve estar presente em cada um dos sistemas existentes e não somente através de sistemas especializados.

 

Já existem ferramentas como [16] e [17] que facilitam a verificação de vulnerabilidades antes de colocar um componente em produção.

 

Finalmente um sistema eficaz de gerência de configurações dos nodos da rede que garanta a sincronia das configurações e evite que determinados terminais fiquem facilmente acessíveis a terceiros ajuda no reforço de uma boa política de segurança.

 

Sistemas Especializados

 

Finalmente existem sistemas especializados na prevenção e gerência da segurança como firewalls, sistemas de prevenção e detecção de intrusão e session border controllers.

 

Os firewalls são dispositivos de segurança já bem conhecidos dos profissionais de redes de dados. Através dos firewalls é possível estabelecer uma barreira inicial contra possíveis ataques. Por outro lado os firewalls podem não ter o nível de especialização necessário para tratar dos protocolos  VoIP dificultando de forma significativa o tratamento das interconexões VoIP e adicionando latência ao serviço.

 

Os sistemas de detecção de intrusão (Intrusion Deteccion Systems - IDS) monitoram os elementos da rede e geram alarmes no caso de situações suspeitas. Este tipo de sistema pode ser particularmente útil para identificar ataques do tipo Call Fraud e DoS. O IDS pode funcionar consultando uma base de regras de ataque ou através da definição do que são condições padrão da rede. Um exemplo de IDS é o Snort [9], um sistema open source para esse fim.

 

Diferente dos IDSs os sistemas de prevenção de intrusão (Intrusion Prevention System - IPS) são capazes de prevenir a ataques através de ações específicas. Considerando o nível de disponibilidade exigido do serviço  VoIP,  IPSs podem ser mecanismos mas eficazes de garantir os níveis de disponibilidade em caso de ataque, desde que não agreguem latência que possa prejudicar a qualidade das chamadas.

 

Finalmente os session border controllers são sistemas especializados que surgiram da necessidade de facilitar as interconexões de terminais atrás de roteadores NAT e hoje servem como pontos de correção de protocolo, terminação automática de sessão, melhoria dos mecanismos de redundância, coleta de dados de bilhetagem e proteção do restante da rede.

 

Cuidado deve ser tomado com o nível de integração deste dispositivo com o restante da rede de forma que os custos de gerenciamento não inviabilizem o seu uso.