Seção: Tutoriais VoIP

 
Segurança VoIP: Considerações Finais

 

Neste tutorial iniciamos discutindo os fatores que efetivamente impactam o universo de ameaças que devem ser considerados na implementação do serviço de voz sobre IP.

 

É importante notar que apesar do grande número de ataques que podem afetar a disponibilidade, integridade e a privacidade e confidencialidade do serviço VoIP, eventualmente causando prejuízo a usuários e prestadores de serviço, a sua existência é apenas teórica. Ainda é muito difícil encontrar empresas que sofreram ataques VoIP.

 

Na prática, ataques a serviços VoIP ainda são muito difíceis de conduzir. Eventuais atacantes enfrentam uma barreira de conhecimento que aliada a baixa popularidade dos serviços VoIP não torna tal esforço compensador.

 

Assim como ocorre com o serviço de telefonia celular e correio eletrônico, à medida que VoIP ganha popularidade, ataques devem começar a ser mais freqüentes, o que significa que segurança deve sempre permear as discussões relativas a implementação de serviços de voz sobre IP.

 

Esperar que um único dispositivo seja capaz de resolver todos os problemas de segurança é uma expectativa pouco recomendada e de alto risco. Recomenda-se especial atenção ao impacto das alternativas de protocolo, de desenho de arquitetura e de sistemas especializados sobre a qualidade, compatibilidade e gerenciamento do serviço, já que na maior parte das vezes melhorias na segurança impactam estes outros fatores de forma negativa.

 

Como é concluído pelo NIST [10], "projetar, implementar, e operar VoIP de forma segura é um esforço complexo que exige uma preparação cuidadosa", por esse motivo sugere-se que a análise das vulnerabilidades do serviço e a mensuração do custo-benefício das diferentes opções disponíveis antecedam todas as ações de melhorias de segurança planejadas para um serviço de voz sobre IP.

 

Referências

 

[1] VoIPSA (Voice over IP Security Alliance) - organização de fabricantes com o objetivo de construir uma taxonomia padrão das vulnerabilidades e ataques que ameaçam serviços VoIP.

 

[2] MATERNA, Bogdan. A Proactive Approach to VoIP Security.

 

[3] MIHAI, Amanderei-Stavila. Voice over IP Security A layerede approach.

 

[4] COLLINS, Daniel. Carrier grade Voice over IP.

 

[5] SINNREICH, Henry; et all. SIP beyond VoIP, July 2005.

 

[6] DIERKS, T.; RESCORLA, E.. The Transport Layer Security (TLS) Protocol Version 1.1. RFC 2246. April 2006.

 

[7] Wikipedia Encyclopedia: Wikipedia.org.

 

[8] BAGHER, M.; et all. The Secure Real-time Transport Protocol (SRTP). RFC 3711. March 2004.

 

[9] http://www.snort.org/.

 

[10] KUHN, D. Richard; et all. Security Considerations for Voice Over IP Systems. National Institute of Standards and Technology, January 2005.

 

[11] JENNINGS C.; et all. Private Extensions to the Session Initiation Protocol (SIP) for Asserted Identity within Trusted Networks. RFC 3325, November 2002.

 

[12] PETERSON, J.. Session Initiation Protocol (SIP) Authenticated Identity Body (AIB) Format. RFC 3893, September 2004.

 

[13] ROSEBNERG, J.;et all. SIP: Session Initiation Protocol. RFC 3261, June 2002.

 

[14] GALVIN, J., et all. Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted, RFC 1847, October 1995.

 

[15] PETERSON J.; Jennings C..Enhancements for Authenticated Identity Management in the Session Initiation Protocol (SIP), draft-ietf-sip-identity-06, October, 2005.

 

[16] PROTOS Test-Suite (http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/).

 

[17] Sipbomber (http://www.metalinkltd.com/downloads.php)