VoIP não é tão seguro quanto parece, mas há solução

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Com Caio Allan Bonamin, Luis Gustavo Bertoli e Renata Figueiredo Garcia *

O tráfego de voz é especificado como um serviço crítico, ou seja, sensível ao tempo. Para isso, deve receber garantias de QoS (Quality of Service) superior ao tráfego menos sensível ao tempo, como aplicações diversas de e-mail ou FTP, por exemplo.

Somente o aumento da largura de banda do canal de transmissão pode não ser suficiente para resolver problemas como congestionamento em uma rede. Mecanismos como o emprego de prioridades e a utilização de largura de banda diferenciada para cada serviço auxiliam os administradores de redes na busca da garantia de um tráfego confiável.

No QoS, existem meios para gerenciar o congestionamento em redes, permitindo seu controle a medida em que os pacotes são transmitidos, baseados em prioridades atribuídas aos pacotes. Em situações em que vários serviços compartilham um mesmo meio de comunicação, devemos utilizar um tratamento eficaz para cada serviço específico, pois o não-tratamento deste tráfego compartilhado pode comprometer o desempenho de suas aplicações.

Aspectos relevantes para o QoS

A qualidade de reprodução de voz em uma rede de telefonia é muito relativa, embora existam medidas desenvolvidas pelo órgão ITU?T para a busca de índices aceitáveis numa comunicação. Neste conceito, podemos citar três fatores indispensáveis para a definição da qualidade do serviço:

?    Delay (atraso) – corresponde ao eco ou a sobreposição do sinal (tipo de linha cruzada), gerados normalmente pelo atraso dos pacotes durante uma comunicação fim-a-fim. O eco pode ser considerado problemático se a demora da ida e volta do pacote for maior que 50 ms. Para estes casos, os sistemas VoIP provêm de mecanismos para o cancelamento do eco, já que o mesmo é considerado um problema de QoS. Já a sobreposição do sinal ocorre quando a demora de ida e volta do pacote for maior que 250 ms. Para isso, o emprego de técnicas de fila compatíveis com cada tipo de implementação é importante para a redução do tempo de vida de um pacote, ou seja, o tempo de ida e volta que um pacote demora para chegar até o destino;

?    Jitter (variabilidade do atraso) – é a variação entre os tempos de chegada dos pacotes no destino, provocados pela rede. A utilização de buffers para o armazenamento dos pacotes permite a redução ou até mesmo a eliminação do efeito jitter. Como conseqüência, isso pode gerar um delay na transmissão do pacote, afetando a qualidade da voz. Portanto, deve-se encontrar um ponto de equilíbrio na configuração, para que a qualidade da voz não seja comprometida;

?    Perda de pacote – por característica, as redes IP não asseguram a entrega de todos os pacotes, muito menos na ordem correta em que foram enviados. Por exemplo: quando a rede estiver congestionada, alguns pacotes poderão ser perdidos durante as transmissões. A interpolação, ou seja, a inserção de sinalizadores entre os pacotes pode ser uma solução viável para a solução do problema de perda de pacotes, uma vez que o serviço de voz é sensível ao tempo. Numa rede VoIP, perdas de pacotes superiores a 10%  do total transmitido são consideradas intolerantes para um serviço de qualidade.

Segurança em redes VoIP

Existem vários tipos de rede que suportam a tecnologia VoIP, como a ATM, Frame-Relay, TCP/IP, entre outras. Para este estudo, vamos nos basear na rede TCP/IP, já que a maioria das redes VoIP são implementadas sobre este protocolo, devido sua escalabilidade e menor custo atualmente.

Um dos maiores problemas da tecnologia VoIP refere-se as vulnerabilidades herdadas das redes cabeadas do protocolo TCP/IP, as quais já são bastante conhecidas e exploradas atualmente. Com a convergência entre as redes, a vulnerabilidades do protocolo TCP/IP são inevitáveis na implementação.

Onde há convergência de redes, há também convergência de ameaças, portanto a tecnologia VoIP ainda herda as vulnerabilidades das redes TCP/IP.

Por enquanto, ainda não se encontrou soluções de segurança totalmente eficazes para ataques mal intencionados. Portanto, um fator relevante sobre a segurança da tecnologia VoIP é a escolha de equipamentos de qualidade e infra-estrutura bem planejada, focadas numa boa qualidade de serviço e prevendo o combate a ataques que porventura aparecerem.

As redes VoIP são consideradas alvo importante por hackers, já que é possível capturar informações sigilosas (como administrativas, financeiras ou estratégias de mercado), cuja utilização indevida poderia causar danos irreparáveis para uma empresa.

Não temos a intenção de aprofundar sobre detalhes e particularidades de cada ataque. A intenção é de somente alertar os usuários quanto à existência dos mesmos e que tipo de conseqüências isto pode causar numa rede, se não forem utilizadas técnicas para combate a estes ataques.

Os ataques mais conhecidos para uma rede VoIP são:[13]

?    Denial of Service (DoS) ? é o mais simples e comum tipo de ataque nos terminais VoIP. O hacker pode simplesmente bombardear a aplicação com um número de pedidos simultâneos no sistema, que o serviço não é capaz de processar, paralisando todo o serviço;

?    Fraude e roubo ? o atacante pode obter acesso através de um usuário não autorizado, obtendo privilégios no sistema, permitindo a realização de chamadas de longa distância. Este é um tipo de ataque que, se efetivado, pode ser particularmente caro, caso o invasor consiga acesso para realizar, por exemplo, chamadas internacionais;

?    Escuta clandestina ? permite a conversão dos pacotes de dados para arquivos do formato .WAV (Wave), quando capturados por hackers, possibilitando a escuta das conversas;

?    Phishing ? as mesmas técnicas usadas pelo phishing no e-mail podem ser empregadas nas redes VoIP. Como, por exemplo, funcionários recebendo ligações requisitando informações pessoais ou da companhia, usando um telefone e nomes legítimos de um colaborador da empresa;

?    Sniffing ? captura dos frames de dados que trafegam na rede, utilizando ferramentas como o VOMIT (Voice Over Misconfigured Internet Telephones), por exemplo, que faz uma busca na rede e captura os pacotes que contenham dados confidenciais. Seu funcionamento é semelhante ao TcpDump do Unix, ferramenta mais conhecida e utilizada para varredura em redes;

?    Mac Spoofing ou Caller Identify Spoofing ? onde o atacante faz com que seu telefone IP assuma outra identidade de uma rede a qual ele tenha acesso;

?    Trojans Horses ? mais utilizado para ataques aos Gateways VoIP, causando paralisação do serviço VoIP por negação de serviço (DoS ? Deny of Service), através de uma inundação de pacotes de sinalização  na rede.

Embora já existam muitas soluções e aplicações para combate a estas vulnerabilidades, descrevemos abaixo algumas soluções que podem ser úteis no combate aos ataques nas redes VoIP:

?    segmentar o tráfego com a utilização de switchs (com a implementação de VLANs nas portas dos mesmos) pode evitar a captura não autorizada dos pacotes IP que contenham as conversas telefônicas encapsuladas nestes pacotes;

?    utilizar um Firewall para a filtragem dos pacotes, juntamente com um sistema IDS (Intrusion Detection System) também são de extrema importância para evitar estes ataques;

?    utilizar endereços IP privados ou inválidos para dificultar ou coibir o acesso externo ao ambiente interno da empresa, e quando isso for necessário, utilizar o NAT (Network Address Translation) para resolução de endereços IP internos para endereços únicos e globais para roteamento na Internet;

?    implementar VPN (Virtual Private Network) para criptografia dos dados que serão transmitidos pela mesma, adicionado a políticas de autenticação de usuários;

?    utilizar telefones IP ao invés de aplicações IP Phone (programas de telefonia instalados em PCs), permitindo que o sistema se torne mais seguro, já que os PCs rodam em sistemas operacionais mais suceptíveis a ataques. Além disso, existe a interação de usuários com estes sistemas operacionais, tornando-os mais vulneráveis ainda, já que estas pessoas são apontadas como os grandes responsáveis pela maioria dos ataques que acontecem em qualquer tipo de rede;

?    gerenciar senhas, permissões e privilégios, pois a única identificação que um usuário VoIP tem é o número de seu telefone e uma eventual senha para acesso ao serviço. A senha deverá ser armazenada tanto no cliente quanto no servidor. Se as senhas do servidor não tiverem num formato que possam ser revertidas, qualquer usuário com acesso a esse servidor pode obter o nome de usuário e a senha referente a ele.[Webinsider]

……….
* Caio Allan Bonamin, Luis Gustavo Bertoli e Renata Figueiredo Garcia, formandos em Ciência da Computação na UNIP, também são autores do estudo original e deste artigo.

.
Acompanhe o Webinsider no Twitter.
.

Avatar de Stefano Maviega

<b>Stefano Maviega</b> (stefanogalani@gmail.com) é formando em Ciência da Computação na Universidade Paulista (UNIP) em Campinas-SP.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *