Cuidando da segurança do PABX entre matriz e filial

Neste post, alertaremos de forma descomplicada um assunto desconhecido ou ignorado por grande parte das empresas: A segurança da informação interconectando um PABX entre 2 ou mais unidades, como matriz e filial.

Quando falamos aqui em segurança da informação, a "informação" neste caso é o tráfego de voz entre o originador da chamada (A) e o destinatário (B). Basicamente nós, responsáveis pela TI das empresas, devemos garantir que a mensagem (voz) do ponto A não somente seja entregue ao ponto B, mas também devemos nos atentar em projetar uma estrutura que garanta que esta mensagem não seja violada por alguém no meio do caminho, com um simples ataque "man-in-the-middle".

Hoje em dia, os PABX IP normalmente utilizam um conjunto de protocolos conhecidos como SIP e RTP para completar uma chamada. O protocolo SIP é utilizado, basicamente, para realizar o completamento da ligação. Já o RTP para trafegar a voz entre os pontos.

Ambos protocolos são eficientes, porém exigem atenção quanto a sua segurança, pois ambos utilizam informações descriptografadas! É isso mesmo, "texto puro"! Por isso são extremamente vulneráveis caso alguém consiga ter acesso aos dados trafegados entre os pontos A e B.

A imagem abaixo mostra uma ligação entre diretores de uma determinada empresa, onde a ligação é entre matriz de Florianópolis com a filial de São Paulo. Esta chamada está ocorrendo entre ramais, trocando tráfego entre os PABX IP. Note que, no meio do caminho, temos um espião, que consegue fazer a leitura de todas as mensagens trafegadas entre os pontos.

Perceba que, entre Florianópolis e São Paulo, temos alguns quilômetros onde os dados são trafegados pela rede pública. As informações passam desprotegidas por diversos equipamentos, desde o seu roteador, roteadores dos provedores de internet, switches, firewall, via diversos meios físicos (wireless, fibra, cabo metálico) até chegar no destinatário. Tente imaginar quantos equipamentos, processos e pessoas suscetíveis a falhas estão no meio do caminho. Se qualquer um destes pontos for atacado, sua informação será facilmente interpretada conforme o espião da imagem, escutando a conversa entre os diretores.

Felizmente, hoje existem muitos recursos para evitar este tipo de problema. O tipo de recurso a ser utilizado depende muito da topologia de cada empresa. Mas todos eles visam a criptografia dos dados trafegados na rede pública conforme apresentado na imagem abaixo.

Note que, com os dados sendo criptografados por quem envia e descriptografados por quem recebe, tudo em tempo real, o mesmo espião realizando um ataque "men-in-the-middle" não conseguirá interpretar a mensagem trafegada. Isso lhe trará, pelo menos, 700Km de rede protegida. Mas lembre-se, que a sua empresa é tão protegida quanto a pior proteção que você possui. De nada adianta proteção na rede pública, se dentro da sua própria rede existirem falhas.

Portanto, apesar deste post termos alertado sobre um ponto em específico da rede, toda a sua rede tem que ser cuidadosamente desenhada e projetada.

O PABX IP da SaperX, que utiliza Asterisk como core, possui suporte a criptografia de dados entre PABX. Criptografando a comunicação diretamente no PABX. Também possui criptografia entre PABX-ramal, se caso você tiver um ramal externo.

Se você possui uma topologia mista em sua rede, utilizando vários modelos e marcas de PABX que não são completamente interoperáveis com esta questão de segurança, também existe solução. O recomendável é cuidar da proteção nas camadas OSI 2, 3 e 4. Isso pode ser feito com alguns tipos de roteadores (Ex: Mikrotik) ou com a utilização de um SBC - veja maiores informações sobre SBC em http://blog.saperx.com.br/index.php/2018/08/13/sbc-session-border-control/.

Se você leu até aqui, espero ter conseguido ampliar a sua visão sobre a importância da segurança da informação utilizando um PABX IP. Se ficou com dúvidas, envie um e-mail para nós. Ficaremos gratos em poder ajudar.

Autor: Ronaldo Sacco