A maior rede de estudos do Brasil

Grátis
21 pág.
VULNERABILIDADES VOIP

Pré-visualização | Página 1 de 4

� PAGE �1�
� PAGE �20�
� PAGE �19�
SEGURANÇA EM SISTEMAS VOIP: Análise de vulnerabilidades utilizando praticas de Hacker Ético.
Mário Donizeti da Silva*
RESUMO
A manutenção de condições criptografadas não garante que os sistemas baseados em VoIP estejam protegidos. Portanto, como medida preventiva, toda organização deve realizar testes de penetração em seus sistemas de informação. O presente artigo pretende responder a seguinte indagação: como identificar as vulnerabilidades em centrais telefônicas baseadas em VoIP? Nesse contexto, a tecnologia da informação passou a ter papel estratégico nos negócios das organizações. Através de testes de invasão, é possível se prevenir, realizando auditorias com ferramentas livres disponíveis na internet. O presente estudo aborda o tema teste de invasão na identificação de vulnerabilidades e ameaças ao sistema VoIP. Foram feitas simulações em laboratório dentro de um ambiente de cloud computing, com demonstração sucinta das técnicas de Hacker Ético. 
Palavras chaves: VoIP, Linux, Vulnerabilidade, Pentest. Hacker Ético.
1 INTRODUÇÃO
Com a facilidade de acesso à internet, vem crescendo também diversas tecnologias que a utilizam como meio. Uma das tecnologias que está em destaque é a tecnologia VoIP. Porém, com as novas tecnologias que integraram o sistema foram introduzidos novos riscos de segurança e oportunidades de ataques. Segurança e privacidade são necessidades sociais importantes que se equilibram com outras necessidades vitais, como retorno sobre o investimento e conveniência.
Partindo desta explanação, este trabalho levanta o seguinte problema: Como identificar as vulnerabilidades existentes nas centrais IP’s e quais as ferramentas e métodos que podem ajudar a mitigar tais riscos? 
Através de uma pesquisa bibliográfica, sendo usados como referência os livros Teste de invasão de Georgia Weidman, e VoIP and PBX Security and Forensics, de Iosif I. Androulidakis e outros recursos que tratam do tema, serão conhecidos os caminhos que levam a exploração de uma vulnerabilidade. Os testes foram aplicados em ambiente virtual com o objetivo de demonstrar como encontrar as vulnerabilidades e explorar as falhas em sistemas baseados em VOIP, sem a necessidade de afetar sistemas em produção.
Com esse intuito, o artigo foi dividido da seguinte forma, no capitulo 2 serão apresentados os aspectos gerais da tecnologia e sua estrutura, serão apresentados ainda alguns conceitos de Segurança da Informação assim como a descrição sobre as atividades de Pentest. No capítulo 3 Será apresentado o caso prático realizado, serão verificadas as principais vulnerabilidades de uma central IP baseada em software livre e em seguida será feita a análise dos dados coletados. E por fim no capítulo 4 serão feitas as considerações do trabalho.
2 FUNDAMENTAÇÃO TEÓRICA
VoIP é simplesmente a transmissão de tráfego de voz, que é comprimida e convertida em pacote de dados, via redes de computadores. De uma forma geral, isto significa enviar voz em formato digital dentro de pacotes de dados ao invés da utilização do tradicional protocolo de comutação de circuitos utilizado há décadas pelas companhias telefônicas (TANENNAUN 2003).
IP Telephony (IPT) ou simplesmente Telefonia IP refere-se ao transporte tanto de voz quanto de pacotes de controle sobre a infraestrutura de redes baseadas em IP (BRITO e SILVA 2015).
2.1 ARQUITETURA DO VOIP
As várias funções que compõem uma arquitetura VoIP podem ser implementadas em uma ou mais coleções de serviços, muitas vezes implementadas com grupos distintos de protocolos que se comunicam entre si aos pares ou como clientes e servidores (VOIPSA 2005). 
Toda a tecnologia foi construída em cima do modelo TCP/IP de forma que para o seu uso independam do meio físico. As centrais telefônicas baseadas na arquitetura VoIP possuem componentes como softwares, hardwares e protocolos que possibilitam essa comunicação. Fazem parte de estrutura os “hard telefones” que se assemelham a telefones convencionais ou “Soft phones”, o servidor PBX-IP que realiza o gerenciamento de chamadas na rede conforme a figura 1. (TELECO 2018)
�
Outro processo associado ao PBX-IP é a administração de usuários, intermediando sua sinalização e realizando funções de controle a auditoria, o sistema pode contar ainda com o Gateway, responsável pela mídia é ele que realiza a conversão de sinalização e áudio entre a rede de telefonia IP e a rede de telefonia convencional e/ou a PSTN . (BRITO e SILVA 2015).
A comunicação entre terminais IP ocorre por meio de 2 processos simultâneos sinalização e o processamento de voz que passa pelo controle, o transporte da voz e transporte de mídia, nos dias atuais o protocolo SIP em junto com os outros protocolos relacionados com SIP, constituem a arquitetura dominante do serviço VoIP (KRASHENINNIKOVA 2013).
Uma transação do SIP consiste numa requisição do cliente que invoca um método particular (função) no servidor e esse responde com a mensagem adequada visando dar continuidade ao atendimento dessa requisição. (BRITO e SILVA 2015)
O SIP define a interação de sinalização entre, agente de usuário (UA), servidor proxy, servidor de redirecionamento, servidor de registrador e servidor de localização. Um UA representa um ponto final da comunicação (ou seja, um telefone SIP). Com base no seu papel na comunicação, um UA poderia ser ou o cliente UA ou servidor UA. 
O servidor proxy é o servidor intermediário que atua em nome de UA para encaminhar as mensagens SIP para seu destino. O servidor de registrador manipula a solicitação de registro do UA. O servidor de localização mantém as informações de localização das UAs registadas. O servidor de redirecionamento fornece o cliente UA com um conjunto alternativo de endereços de contato em nome do servidor UA. (BRITO e SILVA 2015)
2.2 SEGURANÇA DA INFORMAÇÃO
A norma NBR 27002 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS - ABNT, p. 9): , que trata sobre tecnologia da informação e técnicas de segurança, define Segurança da Informação “A proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.
Os aspetos mais importantes para garantir na comunicação são a confidencialidade, a integridade e a disponibilidade (CIA). Três princípios fundamentais que devem ser garantidos em qualquer tipo de sistema seguro. Uma vulnerabilidade de segurança é uma fraqueza em um produto que pode permitir que um usuário mal-intencionado comprometa a integridade, a disponibilidade ou a confidencialidade deste produto. (ANDRÉS 2016)
2.2.1 Ameaças
A VOIPSA (Voice over IP Security Alliance) é uma organização que procura preencher a lacuna de recursos relacionados à segurança de VoIP através de uma colaboração exclusiva de fornecedores de VoIP e Segurança da Informação. A VOIPSA publicou um artigo em seu site (www.voipsa.org) que define a taxonomia para ameaças à segurança de sistemas VoIP. As seguintes categorias de ameaças foram identificadas.
Algumas dessas ameaças são:
 Ameaças de negação de serviço (DoS): 
Esse tipo de ameaça tem a capacidade de negar a usuários legítimos o acesso aos Serviços do VoIP. É um problema sério em tempos de emergência situações ou quando o ataque DoS interrompe toda a capacidades de comunicação. Tal ataque poderia ser como um resultado da desconexão física dos cabos, fechando baixa de energia ou através de ataques de inundação de tráfego, esse é um dos principais ataques do mundo VoIP.
Ameaças de abuso de serviço:
Certas ameaças ocorrem como resultado do uso indevido de serviços VoIP pelos usuários, principalmente onde tais serviços são prestados. Exemplo desta ameaça é a fraude de tarifação.
Ameaças de acesso físico:
São ameaças que ocorrem em Serviços VoIP como resultado de acesso irrestrito ou acesso físico não autorizado à instalação de VoIP. Isto é outra chance que os