Security Wireless

News: Wireless VoIP: c'è bisogno di sicurezza

Articoli / News
Inviato da d.damato 17 Ott 2006 - 08:22

Alcuni terminali supportano solo WEP come protocollo di sicurezza: ecco cosa fare per avere maggiore sicurezza anche quando questi dispositivi non si possono aggiornare.



Gran parte dei produttori di sistemi per la unified communication in azienda stanno spingendo l'adozione di telefoni VoIP dotati di funzioni wireless. Le soluzioni proposte spaziano da semplici telefoni Voice over IP con interfaccia WiFi a veri e propri telefonini 'ibridi' che si collegano alla rete cellulare e alle WLAN, ma il tema di fondo è lo stesso: coniugare il risparmio del VoIP con la mobilità di un cordless/cellulare.
Anche l'utilizzo di questo tipo di terminali va analizzato dal punto di vista della sicurezza: se è vero che unisce i vantaggi del VoIP e delle WLAN, è altrettanto vero che ne combina anche le vulnerabilità, con in più il problema che i telefoni VoIP spesso sono sistemi embedded il cui firmware non si può aggiornare o ampliare facilmente come quello di un pc.
Molti telefoni wireless in standard 802.11, infatti, al momento supportano solo WEP (Wired Equivalent Privacy) come protocollo di sicurezza, e sappiamo bene che il WEP ha mostrato abbastanza nettamente lacune rilevanti in quanto a protezione delle comunicazioni. Molti di questi sistemi non sono aggiornabili a WPA (WiFi Protected Access) o WPA2, protocolli di sicurezza più robusti che invece sono diffusi nei terminali VoIP di nuova generazione, tipicamente in accoppiata con TKIP (Temporal Key Integrity Protocol) e CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol).

Quando nella propria rete ci sono telefoni VoIP con il solo WEP a protezione, bisogna seguire alcune 'best practice' per evitare che essi siano bersaglio di attacchi o che vengano usati come 'porte' vulnerabili per entrare nel resto della rete aziendale.
Come prima cosa, i telefoni WEP dovrebbero essere localizzati in una loro VLAN, la quale deve essere strettamente separata, per mezzo di firewall, dal resto dell'infrastruttura aziendale. In questo modo i telefoni Voice over IP sono in grado di comunicare fra loro e con il proprio voice server, ma è allo stesso tempo possibile bloccare l'accesso alle risorse di rete critiche a partire dai telefoni stessi, proprio perché manca un collegamento fra essi e le risorse in questione. Applicare questo tipo di sezionamento della rete non è difficile: un po' tutti i sistemi di gestione delle WLAN permettono di associare fra loro SSID degli access point, VLAN e policy di sicurezza.

Il passo successivo è il filtraggio dei protocolli che viaggiano nella sezione 'solo WEP' della rete che è stata definita in questo modo: l'operazione serve a limitare al minimo i danni che un attaccante potrebbe causare se violasse la protezione portata dal WEP. L'operazione è abbastanza banale: una volta che si è analizzato quali protocolli siano indispensabili nella VLAN WEP, si limita solo a tali protocolli il traffico possibile tra i telefoni VoIP wireless fra loro e da/verso il voice server.
In questo modo un eventuale 'cracker' avrebbe come bersagli possibili solo il firewall che fa da punto d'ingresso e di uscita alla VLAN e il voice server, che dovrebbe avere installato un suo firewall.

Un ultimo passo sta nella protezione dei dati che transitano sulla rete VoIP/WEP. Se tecnologicamente si possono introdurre funzioni di cifratura delle comunicazioni, come approccio generico deve valere invece la constatazione che il WEP non è in grado di garantire la privatezza delle conversazioni, quindi - come mostrano anche eventi di cronaca abbastanza recenti - è meglio limitarsi a dialoghi che, se intercettati, non sono un rischio per l'azienda e per chi li fa.

Fonte:www.nwi.it

Questo articolo è stato inviato da Security Wireless
  http://www.securitywireless.info/

La URL di questo articolo è:
  http://www.securitywireless.info/modules.php?op=modload&name=News&file=article&sid=14934