Segurança no Voip - Portal Voip Brasil

Apesar da verdadeira possibilidades de ataque, alguns especialistas dizem que o VoIP é mais seguro que a tradicional rede telefónica pública comutada. "O sistema VoIP é muito mais seguro que sistemas tradicionais", diz Ari Takanen, fundador e CTO da Codenomicon, que fabrica ferramentas de testes de software de segurança. Falando na recente conferência VON Europa 2007, ele reconheceu vulnerabilidades VoIP, mas disse que podem ser superadas. "Sistemas IP estão mais expostos, mas você tem mais segurança no momento da instalação", diz ele.

Novas ameaças contra VoIP continuam a surgir, mas especialistas dizem que estas manifestações revelam que segurança e falha tem que ser uma preocupação constante ma tecnologia.

Ameaça	H.323 ataques	IAX attacks IAX ataques	INTERSTATE Fuzzer	RTP Steganography
Descrição	Fraquezas na autenticação H.323, permitem uma variedade endpoint spoofing e ataques DoS desencadeada por pacotes UDP	Ataques man-in-the-middle e ataques DoS que podem quebrar Asterisk PBXs	Uma ferramenta para detectar vulnerabilidades de segurança em VoIP baseada em telefones SIP	Cria canais encobertos em tempo real, protocolo que suportam transferências de dados

O problema não reside na tecnologia VoIP, mas na sua implementação, diz Barrie Dempster, um sênior de segurança consultor Next Generation Security Software. "Se você aplicar a lógica tradicional de segurança de rede VoIP, pode torná-lo tão seguro como qualquer outro protocolo", diz ele.

Grande parte da fama de vulnerabilidades VoIP vêm porque a tecnologia é relativamente nova e não necessariamente o seu código foi escrito sem segurança.

Dempster cita maneiras de explorar Asterisk, o PBX de código aberto, incluindo um buffer overflow. Ele diz que esta e outras deficiências podem ser tratadas pela remoção do código para recursos não utilizados e realizando auditorias de segurança sobre os recursos que são utilizados. "O problema não são vulnerabilidades específicas.".

O problema é bem reconhecido, e as ameaças conhecidas são divulgadas para ajudar a desenvolver defesas contra elas. Por exemplo, o grupo VoIP Security Alliance publica um conjunto de ferramentas "hacking" em seu site que promove como ferramentas de segurança que testa VoIP artes do mundo sofrer ataques.

Peter Thermos, CTO da empresa de consultoria de segurança Palindrome Technologies revela vulnerabilidades aos gateways (protocolo MGCP), que permitem reencaminhamento de chamadas ou corte. Ele também mostrou uma vulnerabilidade para ZRTP, um protocolo VoIP que não criptografa os sons de tons feita por telefone, apenas pressionando botões. Números de cartão de crédito teclados nessas linhas VoIP abertas podem ser colhidos fora, diz ele.

O problema MGCP acabará por exigir uma alteração ao protocolo propriamente dito, mas, entretanto, os usuários podem bloquear acesso não autorizado ao utilizar as portos MGCP, dizThermos. O problema ZRTP envolve a implementação do protocolo e tem sido solucionado com um patch.

O melhor caminho para as empresas que usam VoIP é definir os requisitos de segurança antes de instalar. A instituição financeira ou agência do governo podem precisar de confidencialidade (criptografia), mais do que outras empresas, diz ele.

"O erro comum o que vejo é que os clientes não definem os seus requisitos de segurança para sua rede particular, mais tarde percebemos que eles precisam de segurança e, em seguida, percebem-no como um custo adicional", diz Thermos. Obter ferramentas de segurança no local desde o início é amelhor defesa contra ameaças VoIP ainda não descobertas, diz ele.

VoIP é mais seguro do que telefone comum? Quais são os riscos?