Reti VoIp e security L introduzione in azienda della voce su Ip introduce nuovi elementi di instabilità nella re La diffusione del Voice over Ip, la trasmissione della voce attraverso le reti Ip a commutazione di pacchetto, è stato uno dei fenomeni più importanti degli ultimi anni; la rapida diffusione di account di fascia consumer, valga per tutti l esempio di Skype, ha consentito a un gran numero di persone di conoscere e apprezzare i vantaggi della tecnologia e di permetterne con una dinamica tipicamente bottom-down, la rapida diffusione anche a livello aziendale 1. La sirena che ha attratto almeno all inizio le aziende è stata la promessa di risparmio sui costi delle telefonate. Via via che l offerta si è consolidata ed evoluta si sono aggiunti servizi sempre più sofisticati che hanno consentito l accumularsi di esperienze di implementazione. «L introduzione del VoIp in azienda porta con sé un innovazione culturale, che, se correttamente indirizzata, induce un ampliamento dell efficienza e della produttività, benefici sull immagine aziendale e un rapido ritorno sull investimento», ci dice a questo proposito Pierpaolo Alì, enterprise sales 138 DM aprile 2008
un binomio possibile te e possibili porte d ingresso per attacchi di malware. Come difendersi di Giuseppe Badalucco director di 3Com Italia (www.3com.it). Naturalmente non tutti i potenziali clienti partono con questo spirito: «Quando proponiamo sistemi telefonici VoIp ai nostri clienti, incontriamo frequentemente interlocutori scettici e diffidenti nei confronti di questa tecnologia», ammette Franco Cibrario, responsabile CSdomotica di Gruppo Consoft (www.csdomotica.it). In effetti a prima vista è facile pensare che poiché la voce viaggia all interno di pacchetti, si tratta solo di connettere i componenti VoIp alla rete esistente per ottenere una stabile e sicura infrastruttura di rete per le comunicazioni voice. Sfortunatamente però la maggior parte dei tool utilizzati oggi per salvaguardare le reti di computer, firewall, Nat e crittografia, non funzionano allo stesso modo su una rete dati e una VoIp. Poiché è elevato il livello di performance richiesto ai sistemi VoIp si rende necessario uno strato aggiuntivo di software e hardware specificatamente progettato; inoltre l integrazione di una infrastruttura VoIp in aprile 2008 DM 139
una rete dati, magari già congestionata, può avere effetti negativi sull infrastruttura dell azienda. Chiunque si appresti a valutare l implementazione di una rete VoIp dovrebbe quindi anzitutto valutare questi aspetti con grande attenzione. Pierpaolo Alì enterprise sales director di 3Com Italia SICUREZZA DELLE RETI VOIP E DATI Per meglio comprendere in che modo la sicurezza per le reti VoIp differisce da quella per le reti dati, partiamo dalle costrizioni alle quali si è soggetti quando si trasmette la voce attraverso un pacchetto. Le reti a commutazione di pacchetto dipendono dalla configurazione di molteplici parametri quali gli indirizzi Ip e Mac per i terminali voce, router e firewall; inoltre le comunicazioni VoIp necessitano di software specifico per la gestione delle chiamate (call managers) e il loro instradamento; ogni volta che un componente di rete o un apparecchio telefonico Ip viene avviato o aggiunto alla rete esistente occorre fissare i parametri di rete in maniera dinamica. Ciò è un vantaggio per i malintenzionati che dispongono di numerosi punti aperti alle vulnerabilità esattamente come avviene in una rete dati. I sistemi VoIp devono garantire livelli di performance, la cosiddetta qualità del servizio (QoS), che non sono richiesti in una rete dati e questo ha implicazioni notevoli in termini di sicurezza. Un applicazione VoIp è molto più sensibile al ritardo di quanto lo sia una rete dati. Se per il download di un file qualche secondo di rallentamento è trascurabile, un ritardo superiore ai 150 millisecondi può trasformare una chiamata in una sequenza di rumori senza alcun senso. La latenza introdotta dalle misure di sicurezza tradizionali rappresenta un ulteriore complicazione. Il prezzo da pagare per la protezione offerta da un firewall o da un meccanismo di crittografia è il ritardo più o meno accentuato nella trasmissione di pacchetti, causa prima tra l altro di vulnerabilità dei sistemi agli attacchi DoS. Nel trasporto Maurizio Tondi vice president Marketing Market unit Italia di Italtel I sistemi VoIp devono garantire livelli di performance più alti di una rete dati, ciò influisce sulla sicurezza della voce in pacchetti, un altro elemento da considerare è il cosiddetto jitter, vale a dire la differenza in termini di tempo impiegato da due pacchetti nel percorrere una certa distanza. Perché una comunicazione Ip avvenga regolarmente l invio dei pacchetti deve avvenire a intervalli regolari; in teoria perciò due pacchetti inviati a distanza di 20 ms l uno dall altro dovrebbero arrivare a destinazione mantenendo la stessa distanza temporale; quando si parla di traffico Ip però ciò non è sempre vero poiché questo protocollo non offre alcuna garanzia né sul tempo di consegna dei pacchetti né sul tragitto. Diventa quindi importante che la rete sia configurata in modo da ridurre il più possibile il jitter per evitare comunicazioni NOTE: 1 Il tema della diffusione della tecnologia VoIp presso le imprese italiane è stato affrontato da una ricerca realizzata dall Istituto di Organizzazione e Sistemi Informativi (Iosi) dell Università Bocconi in collaborazione con Italtel e Cisco Italia. Condotta su un campione di 1.670 imprese con almeno 10 addetti, appartenenti a vari settori, la ricerca già nel 2007 ha evidenziato come il 16,8% delle imprese disponeva di una soluzione VoIp e che tra di loro le aziende con più di 500 addetti rappresentavano oltre il 40% dei casi. frammentate o distorte. La qualità del servizio è altresì correlata al problema della perdita di pacchetti. Come avviene nelle rete dati, infatti, anche i pacchetti VoIp possono diventare inservibili a causa del jitter e della latenza. Inoltre il VoIp dipende dal protocollo Rtp, Realtime transport protocol, che non garantisce la consegna dei pacchetti. Il protocollo Rtp utilizzato per il trasporto della voce si basa sull Udp (User datagram protocol) che non prevede il riordino e l assemblaggio dei pacchetti fuori sequenza a livello di trasporto ma solo a livello applicativo e quindi a patto di accettare un significativo utilizzo della banda disponibile. E vero però che i pacchetti VoIp sono di piccole dimensioni con un payload che varia da 10 a 50 bytes (approssimativamente 12,5-62,5 ms) e che dunque la perdita di una parte della trasmissione è impercettibile all orecchio umano; il problema è che di rado i pacchetti si perdono in maniera isolata. Così, se in teoria la perdita di un singolo pacchetto non ha effetti negativi, in pratica essa è il segnale che probabilmente altri pacchetti non arrivano a destinazione e quindi del sensibile degrado della QoS. Franco Cibrario responsabile CSdomotica di Gruppo Consoft CHI DIFENDE LA RETE VOIP Anche gli strumenti di difesa delle reti VoIp differiscono rispetto a quelli utilizzati nelle reti dati. Per configurare la maggior parte dei componenti VoIp si utilizzano server Web. Le interfacce Web possono essere facili da utilizzare e da realizzare anche grazie all ampia disponibilità di tool gratuiti di sviluppo. Sfortunatamente però la maggior parte di questi tool sono realizzati pensando più alla varietà di funzionalità e alla facilità d uso, riservando però minore attenzione alla sicurezza delle applicazioni. Ancora molti dispositivi VoIp non dispongono di funzionalità avanzate di controllo accessi (oppure i controlli sono blandi), sono soggetti a vulnerabilità degli script e hanno parametri di 140 DM aprile 2008
validazione inadeguati; tutte queste debolezze li rendono esposti in particolare agli attacchi DoS. In una rete VoIp i firewall semplificano la gestione della sicurezza mediante il consolidamento delle policy a livello gateway. Purtroppo l introduzione di un firewall rende complicato il controllo dinamico del traffico dati e le procedure di setup Andrea Scaietti country business manager di ProCurve Networking by HP delle chiamate; numerose soluzioni commerciali tuttavia possono mitigare questo problema e pertanto è sempre consigliabile prevedere l implementazione di tali dispositivi. Nat (Network address translation) è uno strumento molto potente per nascondere gli indirizzi interni della Lan, consentendo al contempo ai terminali locali di utilizzare lo stesso indirizzo Ip. Il Nat inoltre aggiunge uno strato di sicurezza supplementare alla Lan rendendo gli indirizzi Ip interni inaccessibili dalla rete pubblica. Il Nat dunque è un ottimo parafulmine dato che tutti gli attacchi verso una rete devono concentrarsi sul router Nat. Come per i firewall ciò aumenta il livello di sicurezza poiché concentra in un unico punto il bastione da difendere. Naturalmente questi vantaggi hanno un costo. Per esempio le chiamate verso la rete sono complesse da gestire e sono noti i problemi di incompatibilità tra Nat e IpSec. In ogni caso firewall e Nat benché efficaci per prevenire le intrusioni dall esterno nulla possono contro attacchi provenienti dall interno; e neppure possono proteggere i dati voce che attraversano la rete pubblica per i quali è richiesto uno strato di difesa a livello di protocollo, crittografando i pacchetti mediante IpSec; la suite di protocolli IpSec e gli algoritmi di sicurezza rappresentano altrettanti standard per rendere più sicura la trasmissione dei pacchetti. Tuttavia poiché router, proxy e altri componenti devono essere in grado di interpretare i pacchetti VoIp, questi sono spesso crittografati a livello di gateway del network; l ingrandirsi delle dimensioni dei pacchetti, la latenza introdotta Luigi Benocci solution strategist di CA La latenza introdotta dalle misure disicurezza tradizionali rappresenta una complicazione per un sistema VoIp Il software VoIp è del tutto simile a qualsiasi altro software. Come avviene per i driver di una fotocamera digitale o una stampante esso può essere scaricato da Internet e utilizzato per gli update, attività questa notoriamente fonte di non pochi problemi di sicurezza non fosse altro perché il software può essere disassemblato, manomesso e utilizzato per sferrare attacchi ai telefoni. Poiché spesso l integrità del software si basa su un check (controllo) della ridondanza ciclica (Crc) un intruso può compromettere la rete semplicemente costruendo un immagine eseguibile che soddisfi questi requisiti. Numerosi studi hanno confermato che è possibile sfruttare tutte le tecniche conosciute per le reti Tcp/Ip inserendo nel sistema codice binario manomesso. Così per esempio i telefoni Ip possono essere resettati in maniera fraudolenta, per esempio in seguito a un downtime della rete, e ricevere file di configurazione e software manomessi mediante il protocollo Tftp (Trivial file transfer protocol); oppure disponendo di un accesso fisico a una porzione del network è possibile sfruttare tecniche di cache poisoning del protocollo Arp per cambiare l indirizzo Mac associato a un certo indirizzo Ip. Ogni telefono Ip immagazzina informazioni relative alla ubicazione del server Tftp e molti utilizzano un controllo accessi rudimentale formato da una stringa di accesso che non cambia mai. Un malintenzionato può sostituire l ubicazione del server causando il download verso i telefoni da un server compromesso; allo stesso modo dato che i telefoni VoIp spesso si affidano ai server Dhcp (Dynamic host configuration protocol) per ottenere il loro indirizzo Ip, un server Dhcp manomesso può gettare nel caos una rete. Come qualsiasi altro, anche il software VoIp può contenere vulnerabilità sfruttabili per realizzare attacchi di tipo buffer overflow. Falle nel software sono altresì sfruttabili per sferrare attacchi DoS e rendere pubdai meccanismi di crittografia e la mancanza di Qos urgency nel motore (engine) che critta i pacchetti può causare un eccessiva latenza nella loro consegna, e di conseguenza una qualità della voce via via degradante. In effetti il processo di encrypting trasforma i dispositivi di crittografia in altrettanti colli di bottiglia in una rete VoIp, e ciò incide sensibilmente sulla qualità del servizio. LE VULNERABILITÀ DEL VOIP Con i telefoni tradizionali un intercettazione è possibile solo piazzando una cimice nel ricevitore o prendendo possesso di uno switch, attività queste non proprio alla portata di chiunque; inoltre i Pbx tradizionali utilizzano software e protocolli proprietari e hanno meno punti di accesso rispetto a un sistema VoIp che al contrario presenta numerose opportunità di intercettazione della comunicazione. Le unità VoIp condividono le connessioni fisiche di accesso alla rete dati e in molti casi entrambi i sistemi condividono la stessa porzione logica di rete. Molti protocolli sono open così come numerosi tool per controllare e monitorare i pacchetti (packet sniffer) pronti per essere utilizzati sul segmento di rete che si intende tenere sotto controllo. Umberto Pirovano systems engineer manager, divisione Enterprise, Juniper Networks Italia 142 DM aprile 2008
blici i parametri critici del sistema. Le comuni contromisure a questo tipo di attacchi possono a volte risultare insufficienti a garantire un adeguato livello di protezione dell infrastruttura di comunicazione; le tecniche di attacco mutano molto rapidamente tanto che spesso sono in grado di mettere in serie difficoltà apparati di sicurezza tradizionali. «Per porre una barriera efficace contro queste tipologie di rischio, di norma sono richieste soluzioni in grado di consentire, tramite un analisi del traffico, l intercettazione e la segnalazione di comportamenti che, anche se leciti nella natura e nel contenuto dei messaggi, possano risultare anomali e quindi potenzialmente dannosi», argomenta Maurizio Tondi, vice president Marketing Market unit Italia di Italtel (www.italtel.it). FATTORI DA CONSIDERARE Abbiamo visto che in ambito VoIp la qualità del servizio, fortemente influenzata da alcuni elementi (latenza, jitter, perdita di pacchetti) in grado di determinarne il livello, rappresenta un aspetto molto importante da considerare; sappiamo quali sono le differenze più rilevanti tra i tool di sicurezza impiegati nelle reti VoIp (firewall, Web server, Nat, crittografia) rispetto a quelli utilizzati nelle reti dati; e inoltre disponiamo di una casistica abbastanza esaustiva delle vulnerabilità che affliggono le reti VoIp; possediamo dunque di elementi sufficienti per determinare quali aspetti dovrebbero essere adeguatamente considerati da un azienda che voglia introdurre al proprio interno le tecnologie VoIp prima di procedere all effettiva implementazione. Gli aspetti più importanti da considerare riguardano il livello di conoscenza e addestramento sulle tecnologie; la maturità delle security practice, dei Marco Misitano business development manager security di Cisco Italy Luca Renzanigo product marketing manager unified communication di Microsoft L implementazione di una rete VoIp deve tener conto di tre parametri: prestazioni, affidabilità e sicurezza controlli e delle policy; la qualità delle architetture esistenti e la comprensione dei rischi di security. Come vedremo tutte le aziende interpellate hanno posto su ciascuno di questi elementi un enfasi differente che rende superflua qualsiasi classificazione che cerchi di determinare l importanza di ognuna in termini assoluti. «Perché sia efficiente ed efficace, l implementazione di una rete VoIp deve tener conto di tre parametri: le prestazioni, l affidabilità e la sicurezza», ci dice Andrea Scaietti, country business manager di ProCurve Networking by HP (www.hp.com/it/procurve); come sappiamo la qualità in termini di prestazioni, delle chiamate VoIp dipende dalla stabilità e dalla velocità della trasmissione dei pacchetti di dati. «L azienda deve quindi strutturare la rete in modo da eliminare tutte le possibili cause di ritardo o perdita dei dati, che potrebbero disturbare o interrompere le conversazioni telefoniche», afferma Scaietti. «L introduzione di tecnologie VoIp in azienda porta all implementazione di soluzioni e applicazioni quali call center e sistemi di comunicazione integrati, sottosistemi di multimedialità su Ip (Ims). Analizzando i punti critici per ciascuna soluzione si evince che sicurezza, qualità della voce e billing/accounting costituiscono la base di un buon progetto, concorda Umberto Pirovano, systems engineer manager, divisione Enterprise di Juniper Networks Italia (www.juniper.net). Fare convergere sulla medesima piattaforma di comunicazione voce e dati, significa gestire un unica infrastruttura, riducendo, almeno sulla carta, i costi e ottimizzando la gestione delle risorse. La condivisione dell infrastruttura dati espone, però, il servizio di fonia a tutti quei rischi tipici delle reti dati; «se i vantaggi della convergenza dei servizi voce/dati sono evidenti, è altrettanto facile constatare che, procedendo in questa direzione si contraddice uno dei principi fondamentali della sicurezza: avere sistemi eterogenei e ridondanti», avverte Luigi Benocci, solution strategist di CA (www.ca. com/it). Quando voce e dati transitano su infrastrutture indipendenti, un malfunzionamento legato a uno di essi non implica alcun danno al servizio dell altro; «unificando l in- 144 DM aprile 2008
frastruttura e i protocolli di voce e dati, invece, un guasto o un attacco a un singolo dispositivo di rete, può danneggiare e compromettere entrambi i servizi», aggiunge Benocci. La convergenza va vista pertanto considerando anche gli effetti che essa può avere in termini di gestione dell infrastruttura aziendale. «Un telefono Ip come un Pc può essere soggetto ad attacchi, virus, worm e quindi deve essere possibile intervenire rapidamente con patch di sicurezza per evitare ripercussioni sull azienda stessa», afferma Marco Misitano, business development manager security di Cisco Italy (www.cisco.com). Secondo Luca Renzanigo, product marketing manager unified communication di Microsoft Italia (www.microsoft.com) il passaggio da una soluzione voce tradizionale a una basata su protocollo Ip e integrata nell infrastruttura dati aziendale apporta dei miglioramenti anche sotto il punto di vista della sicurezza: «La rete voce tradizionale non era soggetta agli stessi requisiti di sicurezza tipici dell infrastruttura di rete aziendale; portando su questo canale la parte voce si rende necessaria l inclusione delle policy di sicurezza tipiche della rete dati». La sicurezza per quanto possibile andrebbe sempre misurata; a ricordarcelo è Franco Cibrario di CSdomotica: «Poter mostrare in maniera semplice, dinamica e interattiva tutto ciò che accade in rete è molto più convincente di qualsiasi promessa commerciale». L INTRUSIONE NON PAGA Come abbiamo dimostrato gli attacchi che riguardano i sistemi VoIp pur simili a quelli dei dati, hanno caratteristiche e dinamiche proprie; perciò le minacce che incombono sui sistemi VoIp sono numerose e in futuro potrebbero aumentare. Ma quasi nessuno al riguardo è esageratamente pessimista. Per alcuni osservatori tuttavia il rischio potenziale è alto anzitutto perché la protezione dei dispositivi VoIp è strettamente correlata alla sicurezza delle reti dati aziendali. Inoltre ci sono attacchi specifici la cui pericolosità è ampiamente documentata e di cui bisogna tenere conto. Per esempio due protocolli molto diffusi in ambito VoIp, H.323 e Inter Asterisk exchange si sono rivelati vulnerabili allo sniffing durante il processo di autenticazione; Sip un altro protocollo molto diffuso lascia le reti VoIp aperte al trasporto non autorizzato di dati. Numerosi tool che consentono di scoprire o testare vulnerabilità dei sistemi cominciano a essere facilmente accessibili; per fortuna non sono ancora molti gli exploit sfruttati in modo intensivo e utilizzabili su qualsiasi sistema e ciò si deve anche al fatto che i maggiori vendor VoIp utilizzano protocolli proprietari che rendono ancora difficoltoso ideare tool efficaci. In definitiva un attacco VoIp non è ancora abbastanza remunerativo: il tempo necessario per sfruttare un exploit è ancora troppo sproporzionato in termini di ritorno dell investimento per i potenziali intrusori. Naturalmente la situazione potrebbe cambiare in futuro, ma per ora la situazione induce a un cauto ottimismo. DM Symantec gestione del rischio quattro miti da sfatare Comprendere meglio la disciplina della gestione del rischio It consente alle organizzazioni di assumere rischi calcolati e utilizzare l It per trarre vantaggio competitivo. E questo in estrema sintesi il messaggio che emerge dalla seconda edizione del Symantec It Risk Management Report, uno studio basato sull analisi di oltre 400 interviste con professionisti It. Partendo da questo risultato Symantec (www.symantec.com) ha voluto contribuire a sfatare quattro miti comunemente associati al rischio It. In primo luogo nonostante la percezione comune tenda ad associare il rischio It a quello sicurezza, i risultati dello studio rivelano l emergere di una visione più ampia da parte dei professionisti It che individuano nel rischio di disponibilità il fattore più critico in grado di percorrere tutta la catena del valore e creare perdite per milioni di dollari. Il mito secondo cui la gestione del rischio It può essere affrontata come singolo progetto, o come una serie di esercizi distribuiti in diversi periodi di budget, non tiene conto della natura dinamica dell ambiente di rischio interno ed esterno. Al contrario poiché gli incidenti tecnologici in ambito di sicurezza, disponibilità, conformità e prestazioni possono avere un impatto devastante, un approccio di tipo olistico alla gestione del rischio It consente alle aziende di stare al passo con i mutevoli scenari di business. Se è vero che la tecnologia svolge un ruolo chiave nella mitigazione del rischio, è altrettanto vero, e lo studio lo dimostra, che le persone e i processi incidono fortemente sull efficacia di un programma di gestione del rischio It. Infine il quarto mito riguarda la tendenza a considerare la gestione del rischio It una disciplina formale. Senza dubbio, grazie alle esperienze maturate, molti dispongono di una solida base di conoscenze che consentono di comprendere meglio come la gestione del rischio It integra elementi di gestione operativa del rischio, di controllo della qualità e di governance sul piano business e It. Ma sarebbe un errore grave considerare la gestione del rischio It come un insieme di principi rigidi e di relazioni fisse applicabili universalmente in qualsiasi settore e area geografica. Symantec It Risk Management Report Volume II è disponibile all indirizzo www.symantec.com/business/theme.jsp?themeid=inform. aprile 2008 DM 145