Flexibilidade e economia de custos são as principais razões pelas quais mais e mais empresas estão recorrendo aos sistemas baseados em VoIP para atender às suas necessidades de telefone comercial. Mas, embora haja razões convincentes para mudar para essa tecnologia, há também algumas considerações, entre as quais a segurança de VoIP.
Por usar uma conexão à Internet, a segurança do VoIP precisa ser implementada corretamente. Isso significa entender as ameaças em potencial e saber como combatê-las
Ameaças de operadoras atacadistas de VoIP
Como regra geral, as vulnerabilidades do VoIP podem ser divididas em três categorias. Estes são protocolo, aplicação e implementação, vamos dar uma olhada em alguns exemplos de cada um. Uma vulnerabilidade de protocolo pode, por exemplo, ser usada para iniciar um ataque de negação de serviço ativando falsamente indicadores de mensagem em espera, fazendo com que os usuários verifiquem desnecessariamente seu correio de voz.
Uma vulnerabilidade de aplicativo seria uma falha de software - no script, por exemplo - que permitia o acesso pela porta dos fundos ao computador. Talvez o tipo mais sério de vulnerabilidade esteja em implementação. Houve casos em que infraestruturas de sistema mal configuradas permitiram que os hackers escutassem as conversas por meio de um ataque do tipo man-in-the-middle.
As coisas são ainda mais complicadas pela própria flexibilidade do VoIP. Alguns pontos de extremidade, por exemplo, podem não estar diretamente conectados à rede. Podem ser conexões por meio de um aplicativo móvel ou trabalhadores remotos operando em casa e, portanto, mais difíceis de proteger, pois a comunicação desses dispositivos pode não ser criptografada.
A implementação de um sistema VoIP envolve uma variedade de equipamentos, incluindo hardware de terminal, servidores de chamada, proxies e gateways, os quais aumentam a superfície potencial de ataque. Estes constituem alvos atraentes para hackers e significam que as redes convergentes de voz e dados usadas nas estratégias de comunicações unificadas podem ser vítimas de novas explorações.
Protegendo o VoIP
Saber de onde vêm as ameaças é o primeiro estágio do planejamento para proteger seu sistema VoIP. Você pode começar analisando a segurança de seus sistemas existentes para TI e PSTN. Qualquer sistema que dependa de cabeamento físico pode ser potencialmente "farejado" se os hackers tiverem acesso à rede interna. A melhor maneira de se proteger contra isso é criptografar o tráfego e isso geralmente é mais fácil e mais barato de obter nos sistemas VoIP.
Em certo sentido, a natureza do VoIP o torna inerentemente mais seguro que o PSTN. Isso ocorre porque é mais fácil fornecer autenticação de usuários e criptografar o tráfego. Você também pode tirar proveito das opções de configuração do sistema para evitar abusos. Você pode restringir quem pode fazer chamadas no exterior, por exemplo. Você também pode restringir o controle de acesso adicionando opções como segurança biométrica ou de dois fatores.
Para terminais que acessam seu sistema VoIP remotamente, a melhor prática é fornecer acesso via VPN. Isso fornece aos usuários remotos o que é efetivamente um túnel privado para o sistema criptografado, para que o tráfego não possa ser interceptado por um invasor.
Os telefones IP conectados a redes internas também precisam ser considerados. A questão principal aqui é o uso da porta Ethernet do telefone. Isso é algo que a maioria dos telefones IP possui para permitir que um PC se conecte à rede usando uma única porta. Para segurança e confiabilidade, é importante que isso seja configurado corretamente no comutador para que vários dispositivos tenham acesso à mesma porta.
Se você estiver preocupado com os riscos decorrentes da mistura de tráfego de voz e dados na mesma rede, convém configurar redes virtuais separadas (VLANs) para segregar logicamente o tráfego.
Obviamente, as VLANs não são imunes a ataques, mas ao separar o tráfego de voz e dados, você reduz o risco. Como sempre, é crucial manter atualizado o software de segurança e o software de qualquer equipamento de comutador de rede para reduzir o risco de ataques de dia zero.
Atualmente, as comunicações VoIP fazem parte cada vez mais das empresas e, portanto, sua importância não pode ser subestimada. Em termos de mantê-los seguros, a equipe de segurança da informação precisa garantir que funcione tanto com os usuários de VoIP quanto com o gerenciamento.
Nenhum sistema é perfeitamente seguro, seja PSTN, redes móveis ou sistemas VoIP, todos requerem consideração e cuidadoso planejamento de segurança. No entanto, como os sistemas VoIP são essencialmente baseados em rede e em computador, eles permitem melhorias significativas na segurança. O uso do VoIP permite a adição de aprimoramentos de segurança, incluindo uma melhor autenticação, juntamente com a criptografia do tráfego de comunicação. Tudo isso pode ajudar a minimizar os riscos do uso de sistemas de voz baseados em IP.
Como em qualquer tecnologia, sempre haverá algum nível de risco à segurança com o VoIP. No entanto, as empresas que implementam medidas de segurança de VoIP adequadas podem atingir um nível mais alto de segurança de comunicação de voz do que é possível em sistemas mais antigos.
