Como muitos outros protocolos Internet, o SIP foi projetado voltado para a simplicidade e sem considerar aspectos de segurança. Embora o H.323 tenha sido criado com objetivos mais amplos, ele foi contaminado por problemas de segurança. Algumas vulnerabilidades são inerentes aos protocolos, outras são introduzidas pelos desenvolvedores que transformam padrões em produtos. Seguem alguns exemplos:
Na medida que redes de telefonia IP sejam interconectadas sobre redes IP públicas, como a Internet, os terminais deverão ter a possibilidade de estabelecer conexões com outros, localizados em diferentes domínios. Para isso, suas mensagens deverão passar por dispositivos de segurança. A maior parte dos firewalls não consegue diferenciar o tráfego SIP recebido e o tráfego indesejado recebido. Por isso, é altamente recomendado que as companhias que estejam adotando o SIP incorporem em suas redes um firewall de classe empresarial para proteger a rede de ataques e tráfego indesejado. Esses firewalls de classe empresarial podem ser elementos de software ou hardware específico. Eles são mais conhecidos atualmente, como Session Border Controllers (SBC).
SBCs baseados em software têm pequena escalabilidade e realizam operações mais restritas. Já aqueles baseados em hardware, são muito rápidos, possuem um amplo espectro de funcionalidades e possuem grande escalabilidade.
Os SBCs são inseridos nos caminhos de sinalização e/ou mídia entre os dispositivos que desejam se comunicar. Em muitos casos, de modo a esconder a topologia da rede e a proteger a rede corporativa do cliente ou a rede do provedor de serviço, o SBC termina uma chamada recebida e inicia uma segunda perna da chamada para o destino. Em termos SIP, isso define um B2BUA. O efeito desse comportamento é que não só o tráfego de sinalização, mas também o tráfego de mídia (voz e vídeo), sejam controlados pelo SBC. Nos casos em que o SBC não possui a capacidade de prover serviços de mídia, eles serão capazes de redirecionar o tráfego de mídia para um elemento diferente da rede, para gravação, geração de música em espera ou outro propósito relacionado a mídia. De modo oposto, sem um SBC, o tráfego de mídia flui diretamente entre os terminais, sem que os elementos de sinalização de chamadas inter-redes tenham controle sobre seus canais de transmissão.
Em outros casos, o SBC simplesmente modifica o stream de sinalização e controle de cada chamada, limitando os tipos de chamadas que podem ser estabelecidos, alterando a escolha de codecs, etc. Os SBCs permitem que os operadores de redes gerenciem as chamadas que são realizadas sobre suas redes, reparem ou alterem protocolos e a sintaxe desses protocolos, para tornar possível a interoperabilidade e evitar problemas que os firewalls e mecanismos de NAT (Network Address Translation) apresentam para as chamadas VoIP.
Dentre as diversas funcionalidades que os SBCs podem implementar, destacam-se:
[Crédito da Imagem: Vulnerabilidades SIP – ShutterStock]
You must be logged in to post a comment.