Ir para o conteúdo
ou

 Voltar a Anexo E: Req...
Tela cheia

Anexo E: Requisitos de Segurança e Conformidade para Serviço de VoIP

8 de Dezembro de 2016, 14:45 , por Jansen da Fonseca - | Ninguém está seguindo este artigo ainda.
Visualizado 303 vezes

 

 

E1 Introdução

 

O presente anexo visa descrever, em linhas gerais, as condições de operação do Alvo de Avaliação (ADA), o ambiente físico e lógico no qual ele está inserido, as ameaças de segurança às quais ele está sujeito, os objetivos de segurança a serem alcançados e os requisitos de segurança mínimos requeridos para atingi-los.
0

VoIP é o acrônimo de Voz sobre IP, tecnologia que descreve como transportar a voz (e adicionalmente vídeo, texto e outros dados) sobre uma rede IP. Neste contexto, o protocolo procura resolver diversos problemas inerentes à implementação do serviço de telefonia, que originalmente foi concebido para operar orientado à comutação de circuitos, para que funcione em uma rede de comunicação orientada a comutação de pacotes, como é a rede IP.
0

Por ser popularmente conhecido desta forma, é comum a utilização do termo “Serviços de VoIP” ou apenas “VoIP” para descrever o Serviço de Telefonia sobre IP.
0

Portanto, no escopo deste documento, o ADA é o Serviço de VoIP, bem como os ativos mínimos necessários à sua implementação: PBX IP, telefones IP, Gateway e Session Border Controller.
0

Por ser implementado sobre uma rede IP, o Serviço de telefonia IP se beneficia de várias características dessas redes. Entretanto, da mesma forma, sofre com as desvantagens e vulnerabilidades deste meio de transporte de dados, além daquelas inerentes ao serviço de telefonia.
0

O presente documento trata de identificar e descrever os riscos que a tecnologia VoIP traz para o serviço de telefonia, bem como indicar soluções que os minimize ou elimine, sempre que possível.
0

Essas indicações serão os Requisitos de Segurança e Conformidade para o Serviço de VoIP.
0

E1.1 Identificação

 

Item

Descrição

Título

Requisitos de Segurança e Conformidade para Serviço de VoIP

Versão

1.0

Data de Publicação

11/11/2016

 

E1.2 Descrição Organizacional do Serviço

 

O ADA, serviço de telefonia IP, tem como objetivo encaminhar ligações telefônicas utilizando a rede IP como infraestrutura de transporte.
0

Tipicamente, um serviço de telefonia IP possui as seguintes características:
0

  • Pode suportar chamadas com vídeo;

    0
  • Pode adicionar mobilidade aos ramais, possibilitando o uso em qualquer lugar do mundo, desde que haja conectividade IP entre o ramal e o PABX;

    0
  • Um só PABX pode alcançar vários locais geograficamente distantes em uma mesma instituição;

    0
  • Serviços VoIP podem ser interligados para conectar várias instituições distintas mantendo um padrão de segurança;

    1
  • Permite a utilização de ativos legados do serviço tradicional de telefonia, interligando-os à rede de telefonia IP;

    0
  • Permite realizar integração com rede pública de telefonia, STFC e SMP.

    0

 

 

E1.3 Descrição Técnica do Serviço

 

O ADA, Serviço de Telefonia IP, pode ser subdividido de acordo com as seguintes funções básicas:
0

  1. Função de sinalização

    0
  2. Função de descoberta de rotas

    0
  3. Função de registro de telefones

    0
  4. Função de aplicações de voz

    0
  5. Função de registro de chamadas

    0
  6. Função de tradução de protocolos, CODECs e tecnologia

    0
  7. Função de acesso ao serviço de telefonia

    0
  8. Função de interconexão entre domínios

    0

 

De forma geral, as funções 1 e 2 (sinalização e descoberta de rotas) e as funções 3 e 4 (registro de telefones e aplicações de voz) são agrupadas e implementadas no mesmo ativo. Inclusive, essas duas duplas também podem ser implementadas no mesmo equipamento, geralmente, um PABX IP.
0

E1.3.1 Ativos de Informação (AI)

Abaixo, segue descrição de todos os ativos de informação envolvidos no serviço VoIP.
0

Servidor VoIP – Executa as funções 1 e 2. O serviço de sinalização é especializado no estabelecimento e encaminhamento das chamadas utilizando algum protocolo de Voz sobre IP. Normalmente, o fluxo de mídia não precisa passar por este ativo, reduzindo a necessidade de recursos computacionais. Eventualmente, pode ser utilizado para travessia de NAT, quando o fluxo de mídia precisa passar por ele. O serviço de descoberta de rotas é responsável por informar a melhor rota para o destino desejado e é independente de protocolos VoIP. Eventualmente, pode ser implementado em um ativo especializado como um servidor DNS, servidor de diretórios, servidor SQL, entre outros. Exemplos de Servidores VoIP são SIP Proxy e Gatekeeper.
0



Public Automatic Branch eXchange (PABX) IP – Executa as funções 3, 4 e 5. Também executa as funções 1 e 2. Portanto, também é um Servidor VoIP. Responsável pelo registro dos telefones IP. Normalmente utiliza alguma implementação de Serviço de Diretórios, inclusive podendo ser integrado à solução de diretórios de uma instituição. Responsável também pelo tratamento de mídia, por exemplo, em conferências, Unidades de Resposta Audível (URAs), filas de atendimento, secretária eletrônica, gravações, entre muitas outras.
0

Tipicamente, deve ter suporte às seguintes funcionalidades:
0

  • Processamento de chamadas;

    0
  • Sinalização, redirecionamento e transferência de chamadas;

    0
  • Atendimento automático e remoto;

    0
  • Autenticação (registro) de telefones IP;

    0
  • Prover confidencialidade às ligações;

    0
  • Controle de Acesso de telefones IP;

    0
  • Gerenciamento de perfis de usuários e ramais IP;

    0
  • Gerenciamento de aplicações de voz como Hora Certa, Despertador, e outros;

    0
  • Comutação de pacotes VoIP;

    0
  • Caixa postal de voz;

    0
  • CDR (Call Detail Record);

    0
  • Conferência;

    0
  • URA (Unidade de Resposta Audível).

    0

 

Gateway (GW) – Executa a função 6. Também executa as funções 1 e 2. Portanto, também é um Servidor VoIP. Dispositivo que realiza a interface entre as redes de telefonia convencionais (fixa e móvel, analógica ou digital) e a rede de telefonia IP, independente do protocolo VoIP utilizado. É utilizado na fronteira com o Serviço de Telefonia Fixo Comutado (STFC), com o Serviço Móvel Pessoal (SMP) ou com PABX legados, em redes privadas de telefonia. Um gateway também pode ser utilizado para traduzir entre protocolos distintos de Voz sobre IP e entre CODECs diferentes. Seu uso é necessário sempre que há interconexão de redes de natureza diferentes. Pode, ou não, estar associado a um SBC.
0



Tipicamente, deve suportar as seguintes funcionalidades:
0

  • Prover interfaces que possibilitem a conexão a dispositivos analógicos e digitais encontrados em soluções de telefonia convencional;

    0
  • 2Conversão e adaptação da sinalização telefônica;

    0
  • Realizar cifragem e decifragem de chamadas telefônicas para adaptação à rede tradicional;

    0
  • Conversão de CODECs;

    0
  • Conversão de protocolos VoIP;

    0
  • Prover confidencialidade às ligações, ao menos na parte IP da chamada;

    0
  • Registro das atividades de gerenciamento e de chamadas (CDR).

    0



Telefone IP – Executa a função 7. São relacionados aos usuários finais do serviço de telefonia. Podem ser capazes de processar vídeo, quando são conhecidos como “videofones”. Podem suportar criptografia para mídia e para sinalização. Podem estar dentro das instituições (protegidos por firewalls) ou podem estar fora de suas redes protegidas, no caso de clientes em viagem ou ‘home office’. Pode ser implementado como software ou app, instalado em notebooks ou smartphones.
0



Session Border Controller (SBC) – Executa, prioritariamente, a função 8. Também pode acumular as tarefas da função 5. Além disso, executa as funções 1 e 2. Portanto, também é um Servidor VoIP. Deve ser o ponto de entrada e saída de ligações de um domínio de telefonia IP. Deve ocultar os dispositivos VoIP internos. Basicamente, é um servidor VoIP acrescido de vários controles de segurança, localizado na borda do perímetro de segurança. Funciona como um firewall para aplicação VoIP. Analisa os pacotes de sinalização VoIP procurando por diversos tipos de ameaças. Também pode realizar análise dos pacotes de mídia, desde que com conhecimento e autorização do responsável na instituição.
0



Tipicamente deve suportar as seguintes funcionalidades:
0

 

  • Ocultar os ativos internos componentes do serviço de VoIP;

    0
  • Detectar atividades maliciosas e proteger o serviço VoIP contra ataques externos;

    0
  • Evitar que dispositivos internos gerem ataques para fora do domínio;

    0
  • Possibilitar o roaming para ramais móveis que se encontram atrás de NAT;

    0
  • Prover confidencialidade ao conteúdo das ligações telefônicas;

    0
  • Prover confidencialidade à sinalização das ligações telefônicas;

    0
  • Prover autenticação para equipamentos que usam diretamente o SBC;

    0
  • Prover informações das ligações telefônicas que passam pelo SBC.

    0



Os ativos “Telefones IP”, “PABX IP”, “Gateway” e “SBC” são essenciais ao funcionamento de um serviço VoIP seguro. Algumas implementações de menor porte podem incorporar as funções desses 3 servidores VoIP em um só equipamento.
0



Outros servidores podem ser utilizados na composição de um serviço de telefonia IP para executar tarefas complementares e para melhorar a segurança e disponibilidade do serviço.
0

  • Aplicações específicas como conferência, filas de atendimento, gravações, etc.;

    0
  • Classificação de chamadas e tarifação de usuários;

    0
  • Monitoramento e controle dos servidores componentes do ADA;

    0
  • Correlacionamento de eventos que ocorrem nos diferentes componentes do ADA;

    0
  • Armazenamento e distribuição de arquivos relacionados ao ADA.

    0



E1.3.2 Diagramas

 

O diagrama abaixo ilustra Ativos de Informação essenciais para o funcionamento de um serviço de Voz sobre IP, representando o ADA, o escopo de atuação desse documento.
0

 

 

 

 

 

E2 Problemas de segurança

E2.1 Pressupostos

Neste item são citadas as condições de segurança supostamente existentes no ambiente de TI (Tecnologia da Informação) do ADA, mas que não se limitam ao escopo do ADA. Desta forma, ameaças não direcionadas diretamente ao ADA serão tratadas por outros ativos, fora do escopo da avaliação.
0

Esses pressupostos de segurança não serão tratados nos objetivos de segurança do ADA nem nos requisitos de avaliação de conformidade.
0

 

Para o ADA em questão, assume-se que:
0

 

P1 – O ambiente do ADA opera sob uma Política de Segurança de Informação, conforme Norma Complementar nº 01/IN01/DSIC/GSIPR [1].
0

 

P2 – O acesso físico aos ativos do ADA é controlado e protegido de acesso indevido conforme Norma Complementar nº 07/IN01/DSIC/GSIPR [2] e por meio do cumprimento da Norma NBR ISO/IEC 27002:2013 no que diz respeito à segurança física e a do ambiente que hospeda os ativos do ADA.
0

 

P3 – Os administradores dos ambientes de Tecnologia de Informação do ADA sejam devidamente treinados para não inserir vulnerabilidades por configuração indevida nos ativos do ADA sob sua responsabilidade.
0

 

P4 – Os dados armazenados no ADA estão sujeitos a processos de cópia de segurança e recuperação de dados com seus respectivos requisitos de segurança.
0

 

P5 – Os sistemas operacionais e os softwares envolvidos na prestação do serviço do ADA atendem às configurações de segurança compatíveis com o ambiente ao qual estão expostos e executem as atualizações de segurança segundo indicação do fornecedor.
0

 

P6 – A prevenção e mitigação a ataques destinados a aplicações na rede interna e DMZ será executada por outros ativos de rede, tais como WAF (Web Application Firewall), IDS, IPS e Firewall de rede.
0

 

P7 – A mitigação a ataques DDoS (Distributed Denial of Service) destinada a rede interna e DMZ deverá ser executada por mecanismos anti-DDoS instalados localmente e/ou disponibilizados pelo provedor de serviços (rede WAN).
0

 

P8 – O horário do ADA deve ser ajustado por meio de mecanismos de sincronização de tempo de forma a garantir que as configurações de data, hora e fuso horário do relógio interno estejam sincronizadas com a “Hora Legal Brasileira (HLB)”, de acordo com o serviço NTP oferecido pelo Observatório Nacional (ON), ou pelo Comitê Gestor da Internet no Brasil (CGI.br), através de seu serviço NTP.br. Também é possível sincronizar a hora do ADA diretamente em um servidor NTP local ou de seu provedor de serviços de rede, desde que esses estejam sincronizados diretamente com os servidores nacionais.
0

 

P9 – Toda implementação de serviços e seus componentes deve, preferencialmente, seguir as recomendações de Padrões de Interoperabilidade do Governo Eletrônico, a arquitetura e-PING.
0

 

Além dos pressupostos específicos identificados nos itens anteriores, cabe destacar outras características ou ações de segurança importantes que estão fora do escopo de avaliação do ADA. São exemplos dessas características ou ações:
0

  • Definir políticas de segurança;

    0
  • Estabelecer uma estrutura de gerenciamento da segurança da informação;

    0
  • Assegurar a segurança voltada aos recursos humanos;

    0
  • Realizar a gestão de ativos, envolvendo responsabilidades e regras;

    0
  • Assegurar a classificação da informação;

    0
  • Promover o tratamento adequado de mídias;

    0
  • Implantar controles de acesso eficazes;

    0
  • Assegurar a segurança física e do ambiente;

    0
  • Assegurar a segurança de procedimentos e operações;

    0
  • Tratar a segurança no desenvolvimento, aquisição e manutenção de sistemas;

    0
  • Garantir a segurança em relação a fornecedores e à qualidade de serviços;

    0
  • Implantar a gestão de incidentes de segurança da informação;

    0
  • Manter a continuidade do negócio e da segurança;

    0
  • E promover a conformidade com requisitos legais e contratuais [ABNT NBR ISO/IEC 27002, 2013].

    0

E2.2 Ameaças

Esta sessão contém a descrição das ameaças à segurança da informação direcionadas aos serviços de responsabilidade do Alvo De Avaliação (ADA).
0

Cada uma dessas ameaças está relacionada a um ou mais objetivos de segurança (sessão 9), os quais devem ser alcançados por meio da implementação de um ou mais requisitos de segurança (sessão 10).
0

As ameaças específicas ao ADA estão definidas em detalhe na sessão 7.
0

 

E2.2.1 Detalhamento das ameaças



A1 SIP Sinalling Loop – Repetição de Sinalizações SIP: registra dois usuários em domínios distintos, de forma que quando o servidor proxy SIP receber mensagens INVITE provenientes desse ataque, ocorrerá a duplicação das mensagens nos domínios, comprometendo o sistema SIP.
0

 

A2 VoIP Packet Replay Attack – Ataque de Resposta de Pacotes VoIP: consiste na captura e reenvio de pacotes de voz fora da sequência, gerando atraso e degradação na qualidade das chamadas.
0

 

A3 QoS Modification Attack – Ataque de Modificação de QoS: modifica os campos de marcação dos pacotes de tempo real que necessitam de prioridade no tráfego da rede anulando o mecanismo de QoS.
0

 

A4 Session Hijack – Sequestro de sessão. Quando o atacante é capaz de manipular a sessão VoIP em curso. Pode desligar a chamada, trocar CODECs, realizar transferências para dispositivos comprometidos, etc.
0

 

A5 RTP injection (ou VoIP Packet Injection) – Injeção de RTP (ou Injeção de Pacotes VoIP): Após o sequestro da sessão, o ofensor é capaz de injetar fluxo de mídia, (áudio, vídeo ou outros), em uma chamada VoIP.
0

 

A6 Faked Call Teardown Message – Fraude de Mensagem de Término de Chamada: esse ataque termina uma sessão SIP prematuramente. Durante a sessão SIP, o Agente do Usuário recebe uma mensagem BYE para terminar a comunicação. Se um atacante consegue enviar a mensagem SIP BYE, a comunicação será encerrada prematuramente. Esse ataque também pode ser direcionado ao gateway de sinalização, que gerencia as chamadas telefônicas, se o gateway receber mensagens BYE todo o tempo, haverá a negação de serviço para o usuário. Pode ser considerado um tipo de DOS
0

 

A7 Man in the Middle (MitM) - Homem no meio, numa tradução livre. Quando o ofensor consegue se posicionar no meio da comunicação. Assim, consegue conhecer a identidade de quem está na ligação, além de conseguir ouvir o conteúdo da conversa. Com um pouco mais de sofisticação, também seria possível se fazer passar por um dos lados da conversa. Entretanto, se tratando de comunicação por voz, seria fácil identificar que o interlocutor foi alterado.
0

 

A8 Ataques de dicionário de autenticação SIP: tem como objetivo obter credenciais válidas de um usuário no sistema SIP realizando o método da força bruta. Ele envia inúmeras mensagens REGISTER com userids e senha provenientes de um arquivo de dicionário, descobrindo a senha, o atacante pode então acessar o serviço.
0

 

A9 ARP Poisoning ou ARP Spoofing - Envenenamento ARP: um ataque no nível de enlace de rede, onde o atacante tenta publicar um endereço MAC (físico) para o mapeamento com um endereço IP (lógico) na tabela ARP, para interceptar uma comunicação ou causar negação de serviço.
0

 

A10 VLAN Hopping: escuta de tráfego entre segmentos de rede distintos, esse ataque ocorre devido a uma má configuração dos switches de rede.
0

 

A11 Scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
0

 

A12 (D)DoS - (Distributed) Denial of Service - Negação de Serviço (Distribuído), numa tradução livre. É quando o atacante consegue tirar o serviço do ar, tornando-o indisponível parcial ou totalmente. A variação “distribuída” se refere à origem dos ataques, que pode partir de diversos hosts na Internet. Algumas ameaças listadas acima podem ser considerados tipos específicos de DOS.
0

 

A13 Toll Fraud – Fraude de bilhetes. Se refere a um atacante realizar chamadas sem pagar por elas. Isso pode ser conseguido por acesso anônimo ao sistema de telefonia, ou fazendo se passar por outro assinante, ou até manipulando os registros de detalhamento das chamadas, o CDR.
0

 

A14 SPIT – Spam over IP Telephony – Spam sobre Telefonia IP. É quando um atacante consegue acesso e utiliza indevidamente um serviço de telefonia IP para encaminhar mensagens de propaganda para usuários dentro ou fora do domínio dessa rede VoIP.
0

 

A15 Identity spoofing – Troca de identidade. O atacante se faz passar por outra pessoa (ou outro equipamento) para conseguir acesso a determinados serviços, inclusive o serviço telefônico.
0

 

A16 Ataques indiretos, não relativos à tecnologia VoIP em si, mas direcionado a servidores relacionados ao serviço, também podem afetar o serviço de telefonia IP, como:
0

  1. Recuperação de ligações gravadas;

    0
  2. Recuperação de recados em secretária eletrônica;

    0
  3. Recuperação de dados de usuários;

    0
  4. Recuperação e/ou manipulação de CDR;

    0
  5. Recuperação e/ou manipulação de arquivos de log e auditoria;

    0
  6. Recuperação e/ou manipulação de arquivos de configuração dos servidores.

    0

E3 Objetivos de segurança

 

Nome do Objetivo

Objetivo

OS-Autenticação-1

Autenticar os usuários, endpoints VoIP e administradores e operadores do sistema.

OS-Autenticação-2

Detectar e bloquear tentativas abusivas de autenticação através de mecanismos de proteção.

OS-Tráfego-1

Prover integridade e confidencialidade de dados encaminhados pela rede IP, como a sinalização e o conteúdo das chamadas telefônicas, bem como informações distribuídas pelo ADA.

OS-Auditoria-1

Detectar e registrar eventos de segurança relevantes.

OS-Autorização-1

Associar o usuário a um determinado perfil e verificar se o usuário realiza somente as operações destinadas àquele perfil.

OS-Autorização-2

Permitir que apenas usuário conhecidos e autenticados façam uso do serviço VoIP ou de qualquer outro recurso computacional relacionado ao serviço.

OS-Validação-1

Certificar que atributos de segurança possuam valores válidos e coerentes.

OS-Disponibilidade-1

Proteger os recursos computacionais contra uso abusivo, negação de serviço e alocação exaustiva de recursos.

OS-Confidencialidade-1

Proteger o plano de endereçamento da rede interna.

OS-Confidencialidade-2

Proteger registros de chamadas, logs de auditoria e outras informações do ADA.

 

E3.1 Relação entre objetivos de segurança e ameaças

 

Objetivos de segurança

Ameaças

OS-Autenticação-1

A1; A4; A5; A6; A7; A8; A9; A11; A12; A13; A14; A15; A16

OS-Autenticação-2

A1; A4; A5; A6; A7; A8; A9; A10; A11; A12; A13; A14; A15

OS-Tráfego-1

A4; A5; A6; A7; A8; A9; A10; A11; A13; A15

OS-Auditoria-1

TODAS AS AMEAÇAS

OS-Autorização-1

A4; A5; A6; A7; A8; A9; A11; A13; A14; A15; A16

OS-Autorização-2

A1; A2; A4; A5; A6; A7; A8; A9; A10; A11; A13; A14; A15; A16

OS-Validação-1

A8; A11; A13; A14; A15; A16

OS-Disponibilidade-1

TODAS AS AMEAÇAS

OS-Confidencialidade-1

A4; A5; A10; A11; A13; A14; A15; A16

OS-Confidencialidade-2

A8; A10; A11; A13; A15; A16

 

 

 

E4 Requisitos específicos de avaliação do ADA.



E4.1 Requisitos Funcionais de Segurança:

Para simplificar o texto dos requisitos funcionais de segurança, foram criadas 3 listas que são apresentadas a seguir.
0



A) Lista de Atributos de Segurança
0

Contém atributos de segurança e os requisitos para validação de cada atributo.
0



#

Atributo

Requisito de validação

01

Senhas da interface de administração/operação

Devem conter 8 ou mais caracteres;
Devem conter letras, números e caracteres especiais;
Devem conter maiúsculas e minúsculas;
Sequência numérica não pode ser a data de aniversário;
Sequência de letras não pode ser iniciais do nome;
Não pode reutilizar senhas.

02

Senhas dos telefones IP e outros servidores VoIP

Devem conter 8 ou mais caracteres;
Devem conter letras, números e caracteres especiais;
Devem conter maiúsculas e minúsculas;
Sequência numérica não pode ser a data de aniversário;
Sequência de letras não pode ser iniciais do nome;
Não pode reutilizar senhas;
Não pode ser igual ao número do ramal;
Telefones de mesa não devem ter suas senhas divulgadas para seus usuários;
Telefones em software (para mobilidade) devem evitar ter suas senhas informadas aos seus usuários.

03

CPF

Deve ser único no sistema;
Deve ter seu número validado de acordo com as regras de formação e verificação do CPF.

04

Endereço físico

Deve conter CEP válido;
Deve conter campos Logradouro, Número, Bairro, Estado e País não vazio.

05

Endereço IP

Deve ser validado como 4 sequências de números decimais de 0 até 255, separados por ponto.

CONTINUAR LISTA DE ATRIBUTOS DE SEGURANÇA NA CONSULTA PÚBLICA



B) Lista de Papéis e Perfis
0

Enumera papéis e descreve os perfis que devem assumir dentro do escopo do ADA.
0



#

Papel

Descrição do Perfil

01

Usuário

Pessoa que utiliza o serviço. É a pessoa que faz e recebe ligações.
O Serviço VoIP também pode diferenciar perfis e direitos de acesso diferenciados para usuários.
Pode ter acesso apenas às chamadas realizadas e recebidas por seu(s) ramal(is).

02

Administrador

Pessoa que tem o poder de configurar todo o sistema, desde parâmetros do ativo até parâmetros do serviço VoIP.
Também é capaz de visualizar todos os logs e registros de chamadas.
Pode habilitar escutas, quando necessário. É desejável que esse perfil não tenha acesso às gravações.

03

Operador

Pessoa que pode configurar apenas parâmetros correspondentes ao serviço VoIP.
Também pode ler logs e registros de chamadas.
Não pode configurar parâmetros de rede do ativo. Não pode editar lista de administradores e perfis.
Não é capaz de habilitar escutas. Não tem acesso às escutas.

04

Revisor

Pessoa que pode visualizar os parâmetros de configuração. Não é capaz de modificar nenhuma configuração.
É capaz de visualizar todos os logs.
Não é capaz de visualizar registros de chamadas e informações sigilosas.
Não possui acesso às escutas.

05

Auditor

Pessoa que pode visualizar os parâmetros de configuração. Não é capaz de modificar nenhuma configuração.
É capaz de visualizar todos os logs e registros de chamadas. É capaz de visualizar informações sigilosas.
É desejável que este seja o único perfil que possui acesso às escutas.



C) Lista de Eventos Auditáveis
0

Enumera eventos que devem ser considerados nos registros de auditoria. Além disso, também informa número de repetições que denotam potencial violação da segurança e informa as ações adicionais que devem ser tomadas caso os gatilhos sejam alcançados.
0



#

Eventos auditáveis

Tipo de evento

Alarme / Gatilho

Ações do Alarme

01

Tentativas sem sucesso de registro de endpoint a partir de um mesmo endereço IP

Registro sem sucesso

5 ou mais tentativas em menos de 1 minuto

Bloquear endereço IP por 5 minutos

02

Tentativas sem sucesso de registro de endpoint para um mesmo ‘username

Registro sem sucesso

5 ou mais tentativas em menos de 1 minuto

Bloquear endereço IP por 5 minutos

03

Qualquer tentativa de login no sistema de configuração/operação/manutenção

Registro sem sucesso

5 ou mais tentativas sem sucesso em menos de 1 minuto

Bloquear usuário

04

Qualquer modificação da configuração feita a partir da interface de configuração

Mudança de configuração

---

---

05

Todos os comandos digitados na linha de comando

Comando

Qualquer comando digitado na linha de comando

---

06

Todas as chamadas realizadas e/ou recebidas e/ou desviadas por endpoints

CDR

5 ou mais chamadas da mesma origem em menos de 1 minuto

Bloquear chamador por 5 minutos

07

Todas as chamadas encaminhadas por servidores VoIP

CDR

5 ou mais chamadas da mesma origem em menos de 1 minuto

Bloquear chamador por 5 minutos

08

Espaço para armazenamento dos registros de auditoria atinge limite

Falta de recurso computacional: Espaço em disco

10% do total disponível para auditoria

----

09

Qualquer tentativa de acesso aos registros de auditoria

Acesso aos registro de auditoria

Tentativa de manipulação dos registros

Imprimir aviso de confidencialidade, deslogar usuário e bloquear novos logins deste usuário

10

Desligamento de qualquer ativo (Servidores e Telefones de mesa) componente do serviço

Componente inalcançável

----

----

 

11

Envio massivo de mensagens de sinalização

Possível DOS

5 ou mais mensagens iguais em 1 minuto

Bloquear endereço IP por 5 minutos.

12

Qualquer tentativa de realizar chamadas

CDR

5 ou mais tentativas em 1 minuto

Bloquear endereço IP e/ou usuário por 5 minutos

13

Tentativa de realizar ligações que não estão de acordo com o perfil do usuário/originador no PBX

Chamada fora do perfil

5 ou mais tentativas em 1 minuto

Bloquear endereço IP e/ou usuário por 5 minutos

14

Tentativa de realizar operações na interface de manutenção/operação que não estão de acordo com o perfil

Operação fora do perfil

3 ou mais tentativas em 5 minutos

Bloquear endereço IP e/ou administrador por 5 minutos

REVISAR E CONTINUAR LISTA NA CONSULTA PÚBLICA





A seguir, encontra-se a tabela com os Requisitos Funcionais de Segurança.
0

A tabela está organizada conforme documento de referência “Conjunto de características, critérios, condições mínimas e medidas para auditoria de segurança da informação em programas e equipamentos”, em Classe, Família e Componente.
0

Os requisitos que estão preenchidos com “----” foram atendidos por outros requisitos ou foram julgados como não aplicável ao ADA.
0



Classe

Família

Componente

Requisito

I – Auditoria de Segurança

i Resposta automática de auditoria de segurança

1 Análise de potencial violação

O FSA deve disparar um alarme, comunicar ao administrador e registrar em logs quando da detecção de uma potencial violação de segurança, de acordo com o Detalhamento das Ameaças, na seção 2.2.1.

ii Geração de dados de auditoria de segurança

1 Geração de dados de auditoria

O FSA deve permitir a geração de registro para os eventos da Lista de Eventos Auditáveis.

O FSA deve armazenar em cada registro de auditoria, pelo menos, as seguintes informações:
- Data e hora do evento;
- Identidade do sujeito, quando possível a identificação;
- Tipo do evento;
- Resultado do evento (sucesso ou falha);
- Endereço IP de origem;
- Demais informações relevantes, referentes ao evento.

2 Associação de identidade de usuário

----

iii Análise de auditoria de segurança

1 Análise de potencial violação

----

2 Detecção de anomalias baseada em perfil

----

3 Heurísticas de ataque simples

----

4 Heurísticas de ataque complexas

----

iv Inspeção de registros de auditoria

1 Inspeção de auditoria

O FSA deve prover os registros de auditoria de uma maneira que seja adequada para que o profissional interprete a informação.

2 Inspeção de auditoria restrita

O FSA deve permitir que profissionais com papéis específicos tenham acesso a funcionalidades específicas, de acordo com a Lista de Papéis e Perfis.

3 Inspeção de auditoria selecionável

O FSA deve permitir a realização de buscas e ordenação de dados de auditoria. As buscas devem ser executadas sobre qualquer sequencia de caracteres dos registros de auditoria. Se a apresentação for em colunas, cada coluna deve permitir ordenação.

v Seleção de eventos para auditoria

1 Auditoria Seletiva

O FSA deve permitir a inclusão ou exclusão de eventos auditáveis no conjunto de eventos auditados, aqui representada pela Lista de eventos auditáveis e alarmes.

vi Armazenamento de eventos de auditoria

1 Armazenamento protegido de trilha de auditoria

O FSA deve proteger os registros de auditoria armazenados de remoção não autorizada.

O FSA deve ser capaz de detectar e prevenir modificação de registros de auditoria que não sejam originadas pelo sistema.

2 Garantia de disponibilidade de dados de auditoria

----

3 Ação em caso de possível perda de dados de auditoria

----

4 Prevenção de perda de dados de auditoria

O FSA deve reescrever eventos auditáveis mais antigos se a trilha de auditoria está cheia.

II – Comunicação

i Não repúdio de origem

1 Prova de origem seletiva

----

ii Não repúdio do receptor

1 Prova de recebimento seletiva

----

III – Criptografia

i Gerenciamento de chaves criptográficas

1 Geração de chave criptográfica

----

2 Distribuição de chave criptográfica

----

3 Acesso à chave criptográfica

----

4 Destruição de chave criptográfica

----

ii Operações de criptografia

1 Operações de criptografia

Com relação a endpoints VoIP, servidores VoIP que façam registro e administradores e operadores, o FSA deve oferecer suporte para autenticação, não repúdio, confidencialidade e integridade das informações. Para isso deve oferecer suporte a algoritmos simétricos e/ou assimétricos, funções de resumo criptográfico e certificação digital.

IV – Identificação e autenticação

i Falha de autenticação

1 Tratamento de falhas de autenticação

----

ii Definição de atributos d usuário

1 Definição de atributos de usuário

---

iii Especificação de informação sigilosa (informação de identificação que deve ser conhecida apenas pelo usuário autorizado)

1 Verificação de informação sigilosa

---

2 Geração de informação sigilosa

---

iv Autenticação de usuário

1 momento de autenticação

O FSA não deve autorizar a realização de nenhuma ação sem a devida autenticação do usuário, seja para interface de administração / operação ou para uso do sistema de telefonia.

2 Autenticação não forjável

---

3 Mecanismos de autenticação de uso único

O FSA deve impedir o reuso de dados de autenticação para acesso a interfaces de administração/operação, bem como, para registro de endpoints e servidores VoIP e realização de chamadas.

4 Reautenticação

O FSA deve obrigar a reautenticação do usuário sob as seguintes condições:

- Para interface de administração / operação:
5 minutos ou mais de inatividade.

- Para
endpoints e servidores registrados no sistema de telefonia:
2 minutos ou mais de inatividade;
Sempre que trocar o endereço IP do endpoint;
Alteração de atributos do endpoint;

5 Retorno feedback) de autenticação protegido

O FSA não deve retornar nenhuma informação ao usuário enquanto a autenticação está em progresso.

v Identificação de usuário

1 momento de identificação

---

vi Ligação entre usuário e indivíduo

1 momento de identificação

O FSA deve associar apropriadamente os atributos de segurança do usuário com o indivíduo agindo como usuário. Para isso, é preciso que os componentes do ADA sejam capazes de identificar o usuário que está acessando o serviço.

V – Gerenciamento de segurança

i Gerenciamento de funções de segurança

1 Gerenciamento do comportamento de funções de segurança

---

ii Gerenciamento de atributos de segurança

1 Gerenciamento de atributos de segurança

----

2 Atributos de segurança seguros

O FSA deve garantir que apenas valores validados sejam aceitos para os atributos de segurança de acordo com a lista de atributos de segurança.

3 Inicialização estática de atributos

---

iii Gerenciamento de dados das funções de segurança

1 Gerenciamento de dados do FSA

---

2 Gerenciamento de limites de dados do FSA

----

3 Segurança de dados do FSA

----

iv Revogação

1 Revogação

----

v Expiração de atributo de segurança

1 Autorização com limite de tempo

----

vi Papéis de gerenciamento de segurança

1 Papeis de segurança

----

2 Restrições em regras de segurança

----

3 Assumindo papeis

----

VI – Proteção de dados de usuário

i Política de controle de acesso

1 Subconjunto de controle de acesso

----

2 Controle de acesso completo

----

ii Funções de controle de acesso

1 Controle de acesso baseado em atributos de segurança

----

iii Autenticação de dados

1 Autenticação de dados básica

----

2 Autenticação de dados com identidade do responsável

----

iv Exportação de dados para o exterio do ADA

1 Exportação de dados de usuários sem atributos de segurança

----

2 Exportação de dados de usuário com atributos de segurança

O FSA deve cifrar os dados de usuários quando da exportação dessas informações para fora dos limites do ADA.

v Política de controle de fluxos de dados

1 Controle parcial de fluxo de informação

----

2 Controle completo de fluxo de informação

----

vi Funções de controle de fluxo de dados

1 Atributos de segurança simples

----

2 Fluxos de informação ilícitos limitados

----

3 Eliminação parcial de fluxos de informação ilícitos

----

4 Nenhum fluxo de informação ilícito

----

5 Monitoramento de fluxos de informação ilícitos

----

vii Importação de dados

1 Importação de dados de usuário sem atributos de segurança

----

2 Importação de dados de usuário com atributos de segurança

Quando da importação de dados de usuários a partir de fontes de fora dos limites do ADA, o FSA deve ser capaz de compreender e decifrar exportações anteriores realizadas por ele ou equipamento similar.

Dados não criptografados devem ser testados para verificar se atendem aos requisitos lista de atributos de segurança, sempre que possível, e para verificar se atendem aos formatos e requisitos do próprio sistema.

Registros com dados não conformes não devem ser importados.

viii Transferência interna de dados

1 Proteção básica de transferência interna

Quaisquer comunicações, incluindo transferência de informações, entre partes do ADA separadas fisicamente devem ser criptografadas.

2 Separação de transmissão por atributos

----

3 Monitoramento de integridade

----

4 Monitoramento de integridade baseada em atributos

----

ix Proteção de informação residual

1 Subconjunto de proteção residual

----

2 Proteção residual completa

----

x Recuperação de dados (rollback)

1 Recuperação básica

----

2 Recuperação avançada

---

xi integridade dos dados armazenados

1 Monitoramento de integridade de dados armazenados

----

2 Monitoramento de integridade de dados armazenados e ação

----

xii Proteção de confidencialidade na transferência de dados de usuário

1 Integridade em transferências de dados

----

xiii Proteção da integridade na transferência de dados de usuário

1 Integridade na transferência de dados

----

2 Recuperação de dados fonte em transferência

----

3 Recuperação de dados destino em transferência

----

VII – Privacidade

i Anonimato

1 Anonimato

O FSA deve permitir a omissão da identificação do endpoint originador (nome e número de ‘A’), quando assim for configurado.

2 Anonimato sem solicitar informação

----

ii Pseudoanonimato

1 Pseudoanonimato

----

2 Pseudoanonimato reversível

----

3 Pseudoanonimato de pseudoanonimato

----

iii Não ligação com usuário

1 Não ligação com o usuário

----

iv Não monitoração

1 Não monitoração

----

2 Alocação de informação de impacto na não monitoração

----

3 Monitoração autorizada de usuário

----

VIII – Proteção das funções de segurança

i Teste de máquinas abstratas

1 Teste de máquinas abstratas

----

ii Falha de segurança

1 Falha com a preservação de estado seguro

----

iii Disponibilidade de dados de segurança exportados

1 Disponibilidade do FSA com uma métrica de disponibilidade definida

----

iv Confidencialidade de dados de segurança exportados

1 Confidencialidade do FSA durante transmissões

----

v Integridade de dados de segurança exportados

1 Detecção de modificação

----

2 Detecção e correção de modificação

----

vi Transferência interna de dados de segurança

1 Proteção básica de transferência interna

----

2 Separação de transferência de dados

----

vii Proteção física de dados de segurança

1 Detecção passiva de ataque físico

----

2 notificação de ataque físico

----

viii Recuperação confiável

1 Recuperação manual

----

2 Recuperação automática

Após uma falha ou descontinuidade do serviço, se for possível, o FSA deve garantir o retorno do ADA para um estado seguro usando procedimentos automáticos. Caso não seja possível o retorno automático, o FSA deve entrar num modo de manutenção no qual é fornecida a possibilidade de retornar o ADA a um estado seguro.

3 Recuperação de funções

----

ix Detecção de reenvio

1 Detecção de reenvio

----

x Mediação de referência

1 Não ignorar a política de segurança do ADA

----

xi Separação de domínios

1 Separação de domínios do FSA

----

2 Separação de domínios da política de segurança do ADA

----

xii Protocolo de sincronismo de estados

1 Reconhecimento de confiança simples

----

2 Reconhecimento de confiança mútuo

----

xiii Carimbos de tempo (timestamps)

1 Carimbos de tempo confiáveis

----

xiv Consistência de dados de segurança internos

1 Consistência de dados básicos do FSA

----

xv Consistência de dados de segurança internos replicados

1 Consistência interna do FSA

O FSA deve garantir que quaisquer dados sejam consistentes quando replicados entre partes do ADA.

Quando partes do ADA contendo dados replicados são desconectadas, o FSA deve garantir a consistência dos dados replicados quando da reconexão.

xvi Auto teste de funções de segurança

1 Auto teste do FSA

----

IX – Utilização de recursos

i Tolerância a defeitos

1 Tolerância a defeitos limitada

----

2 Tolerância a defeitos

----

ii Prioridade de serviços

1 Prioridade de serviços limitada

----

2 Prioridade de serviços completa

----

iii Alocação de recursos

1 Quotas máximas

O FSA deve obrigar quotas máximas para: recados gravados no PABX (ou equivalente) para cada ramal que possua acesso a essa funcionalidade e; logs do sistema e de aplicativos utilizados na composição da solução, registros de chamadas e registros de auditoria para qualquer ativo componente do ADA.

2 Quotas mínimas e máximas

----

X – Acesso ao ADA

i Limitação do escopo de atributos selecionáveis

1 Limitação no escopo de atributos selecionáveis

----

ii Limitação de múltiplas seções concorrentes

1 Limitação básica de múltiplas seções concorrentes

O FSA deve restringir a 1 (um) o número máximo de seções concorrentes que pertencem ao mesmo usuário para acesso às interfaces de configuração/operação.

Da mesma forma, o FSA deve restringir a 1 (um) o número máximo de seções concorrentes que pertencem ao mesmo usuário VoIP, para registro de telefones IP. Entretanto, o mesmo número de telefone (ramal) pode ser atribuído à mais de um usuário VoIP, para garantir a mobilidade dos usuários.

2 Limitação de múltiplas seções concorrentes por atributo de usuário

----

iii Trancamento de seções

1 Trancamento de sessão iniciado pelo FSA

----

2 Trancamento de sessão iniciado pelo usuário

----

3 Término iniciado pelo FSA

----

iv Acesso de bandeiras para mensagens

1 Acesso defaunar de bandeiras para mensagens do ADA

----

v Acesso ao histórico

1 Acesso ao histórico

Quando do estabelecimento bem sucedido da sessão para administração/operação, o FSA deve mostrar informações de data, hora, método e localização do último estabelecimento de sessão bem sucedido do usuário, bem como da última tentativa malsucedida de estabelecimento de sessão e o número de tentativas malsucedidas desde o último estabelecimento de sessão bem sucedido do usuário.


O FSA não deve apagar informação de histórico de acesso da interface do usuário sem dar ao administrador a oportunidade de revisar a informação.

vi Estabelecimento de Sessão

1 Estabelecimento de sessão no ADA

----

XI – Caminhos e canais confiáveis

i Canal confiável de funções de segurança

1 Canal confiável

----

ii Caminho confiável

1 Caminho confiável

----



E4.2 Requisitos de Garantia de Segurança:

As garantias aos requisitos enumerados na seção anterior devem ser obtidas através de simulação da desconformidade ao requisito. A análise do comportamento dos ativos componentes do ADA em conjunto com a resposta do FSA será a comprovação de que o requisito foi (ou não) atendido pelo ADA.
0

Além disso, as garantias também devem ser complementadas através da análise da Política de Segurança do ADA (PSA), Políticas de serviço e uso do ADA e outros procedimentos relacionados ao ADA.
0

E4.3 Diretrizes para a verificação de requisitos funcionais de segurança:

E4.3.1 Diretrizes para a verificação de Requisitos de Segurança Específicos e Adicionais do Serviço

Adicionalmente aos requisitos citados anteriormente, ações complementares devem ser tomadas em todo o escopo do ADA, o serviço de Voz sobre IP.
0

Abaixo, seguem recomendações e boas práticas que podem ser interpretadas como diretrizes para requisitos de segurança específicos adicionais.
0

As recomendações são complementares e podem atuar em uma ou mais ameaças já citadas neste documento.
0



  • Assegurar-se que a alimentação de energia seja adequada, preferencialmente, fazendo uso de Sistemas de Alimentação Ininterruptos (UPS e NoBreak), não apenas para servidores VoIP, mas também para telefones IP de mesa;

    0
  • Considerar uso da tecnologia de Power Over Ethernet (PoE) para telefones IP, ATAs e equivalentes;

    0
  • Aplicar técnicas de Qualidade de Serviço (QoS) para quadros e pacotes (níveis de enlace e de rede, respectivamente), como priorização de pacotes e alocação dinâmica de banda.

    0
  • Isolar todos os dispositivos do serviço VoIP em redes locais ou VLANs exclusivas. Apenas as interfaces públicas do SBC devem estar expostas em DMZs de acesso externo;

    0
  • Servidores de apoio, como tarifadores, concentradores de log e outros devem estar posicionados em DMZs adequadas à demanda de acesso;

    0
  • Se possível, não use a porta padrão das aplicações (5060 SIP, 1719 H.323, 22 ssh, 443 https, etc…);

    0
  • Utilizar um SBC para comunicação com outros serviços VoIP;

    0
  • Utilizar um SBC para registro de ramais com mobilidade;

    0
  • Permitir apenas uma quantidade razoável (o mínimo possível) de registros e ligações por minuto, vindas do mesmo originador;

    0
  • Bloquear conexões com pacotes malformados;

    0
  • Bloquear conexões que não seguem estritamente o protocolo utilizado no serviço VoIP;

    0
  • Utilizar mecanismo eficiente de autenticação de usuários e servidores;

    0
  • Alarmar sobre chamadas para vários telefones realizadas sob algum padrão observável (números sequenciais, origens semelhantes, etc.);

    0
  • Estudar o perfil de uso e gerar alarmes para situações que fujam desse perfil;

    0
  • Fazer uso de criptografia para sinalização e mídia;

    0
  • Considere aplicar lista negra e/ou lista branca em origem e/ou destinos

    0
  • Considere bloquear ou limitar ligações fora do horário ‘comercial’, seguindo a curva de perfil de tráfego.

    0
  • Controlar acesso físico e lógico aos dispositivos componentes da solução;

    0
  • Manter forte controle sobre os ativos de rede, como switches e roteadores;

    0
  • Monitorar e controlar a manipulação de arquivos e bancos com dados componentes da solução;

    0
  • Criptografar arquivos de configuração, dados nos bancos ou o sistema de arquivos onde estão armazenadas as informações;

    0



Não podemos nos furtar da oportunidade de relembrar ações de segurança ainda mais básicas. Por mais simples que sejam, há relatos de frequente negligência sobre as próximas recomendações.
0

  • Proteger com firewall todos os componentes negando qualquer tentativa de conexão externa, exceto as essenciais para o serviço;

    0
  • Não use senhas pré configuradas de fábrica;

    0
  • Não use senhas fáceis de serem descobertas;

    0
  • Mantenha os sistemas e softwares atualizados;

    0
  • Mantenha o relógio de todos os ativos sincronizados, de acordo com recomendações da premissa P8;

    0
  • Use antivírus onde houver um softphone, seja em computadores, tablets ou smartphones;

    0

 

 

 


Categorias

Ciência, Informação e Comunicação