Dall’uso di firewall specifici, alla separazione delle reti, i consigli per proteggere le sessioni Voice Over IP.
La rete telefonica è uno dei network di comunicazione più antichi
ancora attivi, dato che la sua storia comincia nell’Ottocento. Si tratta
di una tecnologia, quindi, piuttosto consolidata che, però, negli ultimi
anni, con la progressiva diffusione di Internet, ha subito uno scossone. Internet
è, infatti, una rete dati pubblica e la voce altro non è che un
particolare tipo di dati, che potrà essere facilmente veicolato in Rete
utilizzando appositi protocolli VoIp (Voice over Ip).
La voce ha un peso ancora poco significativo nello scambio di pacchetti su
Internet, ma sono previsti tassi di crescita esponenziali.
Se da un lato l’impatto del VoIp ha determinato un abbassamento delle
tariffe della telefonia di rete fissa, in particolar modo per l’utenza
aziendale, d’altro canto è anche vero che il trasferimento della
voce su protocollo Ip si accompagna a problemi di qualità tuttora irrisolti.
Se si accetta la possibilità di avere una conversazione vocale di minor
pregio rispetto a quello della rete fissa pubblica, ma in linea generale soddisfacente,
i benefici del VoIp potranno essere consistenti.
Sfruttare i contratti Internet flat per sostituire il centralino tradizionale
con uno Ip permette di abbattere i costi delle chiamate in azienda, anche se
occorre fare molta attenzione alle minacce associate. I pericoli di questi sistemi
sono legati alle vulnerabilità intrinseche delle reti a pacchetto, oltre
che a quelle specifiche delle architetture VoIp. Ecco perché le policy
di sicurezza dell’organizzazione dovrebbero prevedere l’adozione
di firewall compatibili con il VoIp e di altri meccanismi di protezione quali
la cifratura dei dati, come spiega la società i.Net nei consigli seguenti:
• Separare voce e dati su reti logicamente differenti, attraverso l’adozione
di Lan virtuali (Vlan). Dovrebbero essere usate per traffico voce e per il traffico
dati differenti sottoreti, con blocchi separati di indirizzi e server separati.
• Usare sistemi di autenticazione forte e controllo degli accessi a
livello del gateway che si interfaccia con la rete telefonica tradizionale (Pstn).
Dato che l’autenticazione forte dei client sul gateway è spesso
molto difficile, potrebbero essere utili meccanismi di controllo degli accessi
e tecniche di rafforzamento delle policy.
• Impiegare firewall progettati appositamente per il VoIp. I filtri
possono, così, tracciare lo stato delle connessioni, respingendo i pacchetti
che non fanno parte della chiamata originaria.
• Utilizzare IpSec o Secure Shell (Ssh) per la gestione remota. Se,
però, è fattibile, sarebbe meglio evitare del tutto la gestione
remota e realizzare l’accesso all’Ip Pbx da un sistema fisicamente
sicuro.
• Se si verificano problemi prestazionali, utilizzare la cifratura IpSec
a livello del router. Dato che alcuni endpoint VoIp non sono sufficientemente
potenti da realizzare l’encryption, a volte è conveniente introdurre
la cifratura in un punto centrale, che garantisca che tutto il traffico VoIp
in uscita dall’azienda venga cifrato.
