Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

quarta-feira, outubro 31, 2007

Palestras GTS.

Estive no último dia 26 no GTS e achei muito interessante o trabalho que o CENPRA vem realizando no desenvolvimento de pesquisas na área de Segurança, destacando que 3 trabalhos foram apresentados pelos estudantes do CENPRA. Gostaria também de destacar a apresentação sobre SPIT.

Com a adoção da tecnologia por grande parte das empresas aliada a "necessidade" das empresas de "marketing" massivo atuarem no contato direto com o consumidor o risco de ocorrer uma CHUVA de ligações indesejadas de forma automatizada aumenta consideravelmente. A palestra abortou as medidas de segurança necessárias para evitar ou ao menos minimizar os problemas com SPIT.

Aproveitando o ensejo vou viajar um pouquinho (afinal blog também serve pra isso).
Levando em consideração que tudo que utiliza IP, pode estar susceptível a ataques de negação de serviços, acho bem factível que em breve tenhamos problemas com BOTNETs sendo utilizadas como mecanismos de ataque para centrais VOIP, agora imagem só um Flood de conexões direcionadas para o VOIP PABX, não com o objetivo de efetuar contato e propaganda direta ao consumidor, mas como objetivo de indisponibilizar a rede de comunicação de VOZ, isso traz um impacto muito grande e real para qualquer empresa.

Uma das medidas abordadas para minimizar o RISCO tem como premissa a criação de BlackLists, ou criação de regras dinamicamente bloqueando-se o endereço origem de ligações. Porém se estamos falando de BOTNETs quantas origens diferentes são possíveis? Esse controle se torna ainda menos eficaz se as BOTNETs utilizarem mecanismos de TOR. Como bloquear os endereços da mesma BOTNET se ela troca o endereço dinamicamente?

Para deixar o cenário ainda mais caótico, ou até mesmo apocalíptico (rs) imaginem o cenário em que o Gateway VOIP está utilizando o mesmo link internet de outras aplicações. Um ataque ao VOIP Gateway poderá prejudicar toda a comunicação de Voz e dados. E para deixar o cenário ainda mais caótico (agora sim apocalíptico), se a rede interna estiver compartilhamento o mesmo meio físico para VOZ e Dados, em caso de SPIT pode-se comprometer a performance de link de acesso à internet, comunicação de voz e performance da rede interna, após a inundação com ligações e ou conexões indesejadas oriundas de BOTNETS utilizando mecanismos de TOR que dificultem o controle efetivo, prejudicando TODA a infra-estrutura crítica de comunicação.

Nesse momento vale ressaltar a importância de detectar de forma precoce problemas com DDoS, ai entra em cena a importância da Monitoração de Fluxo (Netflow), também abordada no GTS. Um IDS / IPS de rede não basta, é preciso monitorar o fluxo de rede para compreender possíveis desvios comportamentais causados por acessos indesejados de BOTNETS e máquinas comprometidas, possibilitando a ação mais rápida e efetiva.

Resumindo se você tem um PABX VOIP preocupe-se:

1- Preferencialmente utilize redes isoladas fisicamente para os ramais IP ou no pior caso isolado logicamente (Não estou nem pensando na facilidade de Escuta).
2- Utilize mecanismos de bloqueio e proteção contra SPIT.
3- Preferencialmente utilize um link de Internet dedicado para o serviço de VOZ, isolando de sua infra-estrutura de comunicação de DADOS.
4- Efetue uma monitoração de fluxo adequada, proporcionando a detecção de comportamentos anômalos rapidamente.
5- Implemente as demais boas práticas de segurança como Criptografia, limitação de acesso a interfaces de administração, autenticação e demais que podem ser encontradas no site:
www.voipsec.org

Mas voltando ao evento, foi muito bom estar em contato com as cabeças das Universidades, novos talentos que em breve estarão brilhando na área de segurança, afinal como escrevi em outro post, a falta de profissionais técnicos me preocupa, mas estar no evento me mostrou que ainda há esperança.

Nenhum comentário: