segunda-feira, 6 de agosto de 2007

Segurança utilizando VoIP

Junto com a novidade VoIP surgem diversas dúvidas. Entre estas dúvidas, as referentes à segurança do sistema talvez sejam as mais polêmicas. Mas, antes de falar sobre a segurança em conexões VoIP, é preciso analisar a telefonia convencional.

Quantas pessoas que você conhece fazem uso de ligações telefônicas com algum tipo de criptografia? Qual é o nível de dificuldade para se “grampear” um telefone convencional? Partindo do pressuposto de um prédio vertical, é muito simples. Basta um par de fios conectados em paralelo no quadro central de telefonia ou em qualquer outro ponto da rede sobre os fios do telefone da “vítima”. Ou ainda, com dispositivos mais sofisticados colocados estratégicamente nos aparelhos ou PaBX de quem se deseja bisbilhotar e que podem transmitir por ondas de rádio a conversa à distância segura. Se juntar a isso o verdadeiro batalhão de indivíduos desde prestadores de serviço de telefonia aos funcionários das empresas de telefonia, conseguir ouvir a conversa alheia é realmente muito fácil.

Portanto, a segurança na telefonia convencional sob o ponto de vista da privacidade é realmente algo bastante frágil. No caso do VoIP, é preciso muito conhecimento técnico adicional, afinal, identificar os “fios” na telefonia VoIP é muito mais complexo e requer um expertise e aparelhagens não tanto comuns.

De forma geral, todos os sistemas VoIP (desde equipamentos até infra-estruturas) já estão de forma primária preparados para criptografia. Alguns equipamentos inclusive já incorporam este recurso, mas, normalmente, não são utilizados por consumirem mais processamento e eventualmente mais banda de transmissão. Mas o VoIP pela própria concepção de transmissão por pacotes IP tem em sua essência a facilidade de transformar estes pacotes com codificação criptográfica.

Comparando com a telefonia convencional, ao contrário do que se especula, não traz menos privacidade a seus usuários. Sim, pode-se argumentar que softphones em computadores vulneráveis podem ser alvos fáceis e etc. Mas olhe a questão segurança por um outro prisma. O prisma da disponibilidade do serviço, confiabilidade das contas (billing) e rastreabilidade.

Nestes aspectos o VoIP pode ser frágil, principalmente em infra-estruturas simples e implantadas por pequenas empresas com pouco investimento. É possível com investimento mínimo colocar-se em atividade um provedor VoIP. Basta um pequeno servidor rodando um software Open-Source, comprar tráfego de terminação para a rede pública de uma empresa que oferece isso no atacado (chamadas Wholesales), alguns terminais para clientes e pronto. Nada que não se consiga comprar por cerca de U$20 mil.

Nesta circunstância que a questão segurança começa a tornar-se crítica. Em uma estrutura com um único ponto, quando este ponto falha, evidentemente, todos os sistemas dependentes falham simultaneamente e a comunicação deixa de existir, portanto, promessas de economia desaparecem e no pior dos casos, a comunicação fica totalmente inviabilizada - se dependente só do VoIP.

Qualquer empresa que se proponha a oferecer serviços profissionais de comunicação por voz deve estar minimamente preparada para falhas em sua estrutura, tendo pelo menos 3 níveis de redundância automática (3 grupos de servidores em 3 redes IP diferentes e preferencialmente em 3 locais geograficamente distantes), de tal forma que esta estrutura se rearrange automaticamente instantes após o início de uma falha em um dos 3 pontos. Só desta maneira pode garantir um índice próximo de 100% de up-time (disponibilidade), objetivo indispensável quando tratamos de comunicação.

Deve também manter uma base de dados muito robusta para garantir a autenticação das contas de seus clientes e poder recuperá-las a qualquer tempo, mesmo para períodos com distância de meses das chamadas efetuadas. Isso implica em equipamentos e softwares de porte dos utilizados pelas companhias concessionárias de telefonia convencional (pela gigantesca massa de dados a ser armazenada e eventualmente recuperada). Dando ao cliente o conforto e segurança de poder recuperar qualquer CDR (Call Detail Record) Registro de Chamada sempre que lhe convier (ou lhe for exigido como, por exemplo, em uma situação jurídica).

Ainda, com alta disponibilidade de uso e total confiabilidade nas contas, resta para a segurança mínima o que se chama de rastreabilidade. Para as chamadas armazenadas na base de dados da operadora é preciso estar acompanhando os seguintes itens:

1- Linha que originou a chamada;
2- IP onde a linha estava autenticada no início da chamada;
3- Número de destino;
4- IP da gateway de terminação (no caso de chamadas para a rede pública) ou do terminal VoIP que recebeu a conexão;
5- Data e horários de início e fim.

Estes cinco itens permitem a localização geográfica e a “identificação” dos interlocutores e, são muito importantes sob o aspecto legal, protegendo o usuário de eventuais fraudes.
Assim a análise do cliente à oferta de uma operadora deve obrigatoriamente passar pelas garantias mínimas de segurança nos aspectos Redundância (Disponibilidade), Robustez da Base de Dados (Confiabilidade das Contas) e Rastreabilidade (Segurança de Identificação e Autenticidade).

Cláudio R. Stegun
Diretor da VipVox – Voz pela Internet
www.vipvox.com.br

Nenhum comentário: