Quando falamos em segurança para sistemas em nuvem, como nosso PABX, o principal elemento é a criptografia. Ela tem como objetivo garantir que apenas quem envia e quem recebe a informação possam interpretá-la, mesmo que a transmissão seja interceptada (o ato de interceptar pacotes de rede é conhecido como “sniffing”).

Para proteger as informações, utilizamos o protocolo TLS (Transport Layer Security), que atua na camada de transporte dos dados. Independentemente do tipo de informação transmitida através do PABX, ela será encapsulada e criptografada pelo TLS. Esse protocolo é amplamente utilizado em ambientes que exigem um alto nível de segurança.

Nossa operação já utiliza o TLS por padrão em todos os ramais que configuramos, garantindo assim a segurança de todas as ligações.

Entenda mais sobre o TLS e como ele opera.

O TLS (Transport Layer Security) é um protocolo de criptografia que proporciona comunicação segura sobre uma rede de computadores. Ele é amplamente utilizado para proteger dados em trânsito, como as comunicações via HTTP (HTTPS), e também em protocolos de comunicação de voz como SIP (Session Initiation Protocol), utilizado amplamente no PABX Baldussi para segurança 

 1. O que é TLS?

TLS é o sucessor do protocolo SSL (Secure Sockets Layer). Ele é projetado para fornecer privacidade, integridade de dados e autenticação entre dois aplicativos que se comunicam pela internet ou por outras redes. Ao utilizar TLS, os dados transmitidos são criptografados, impedindo que eles sejam interceptados ou modificados por terceiros.

2. Como o TLS funciona?

O TLS funciona através de uma série de etapas que estabelecem uma conexão segura entre o cliente (como um navegador da web ou um telefone IP) e o servidor (como um servidor web ou um servidor de PABX). As principais etapas incluem:

• Handshake (Aperto de Mãos): Este é o processo inicial onde o cliente e o servidor negociam parâmetros de segurança, como versões do protocolo TLS a ser usado, algoritmos de criptografia, e a troca de chaves criptográficas.

• Autenticação: O servidor geralmente se autentica ao cliente enviando um certificado digital. Este certificado é assinado por uma autoridade certificadora (CA) confiável e contém a chave pública do servidor. O cliente verifica a autenticidade do certificado antes de prosseguir com a conexão.

• Estabelecimento de Chave de Sessão: Após a autenticação, o cliente e o servidor geram uma chave de sessão simétrica, que será usada para criptografar os dados transmitidos durante a sessão. A chave de sessão é única para cada sessão e é derivada durante o processo de handshake.

• Criptografia de Dados: Uma vez que a chave de sessão é estabelecida, todos os dados transmitidos entre o cliente e o servidor são criptografados usando essa chave. Isso garante que qualquer dado interceptado durante a transmissão seja ilegível para quem não possui a chave de decriptação.

• Verificação de Integridade: O TLS também garante a integridade dos dados transmitidos, usando mecanismos como HMAC (Hash-based Message Authentication Code) para verificar que os dados não foram alterados durante a transmissão.

3. Benefícios do Uso de TLS no PABX

Utilizar TLS em sistemas PABX Virtual IP que utilizam SIP oferece várias vantagens:

• Confidencialidade: A criptografia TLS garante que as informações trocadas entre os endpoints (por exemplo, o cliente SIP e o servidor SIP) permaneçam confidenciais e não possam ser lidas por terceiros.

• Integridade: TLS assegura que os dados transmitidos não sejam modificados ou corrompidos durante o trânsito.

• Autenticação: Com o uso de certificados digitais, o TLS proporciona autenticação, garantindo que as comunicações estão sendo feitas com a entidade correta.

• Proteção Contra Ataques: O TLS ajuda a proteger contra uma variedade de ataques, incluindo ataques de man-in-the-middle, onde um atacante intercepta e possivelmente altera a comunicação entre duas partes.

4. Implementação de TLS no PABX

Para implementar TLS em um sistema PABX Virtual IP, seguem algumas etapas recomendadas:

• Obtenção de Certificados Digitais: É necessário obter certificados digitais válidos de uma autoridade certificadora confiável. Esses certificados serão utilizados para autenticar o servidor SIP e, potencialmente, os clientes.

• Configuração do Servidor SIP: Configure o servidor SIP para suportar e requerer conexões criptografadas via TLS. Isso envolve a instalação do certificado digital e a configuração das portas adequadas para TLS (geralmente a porta 5061 para SIP sobre TLS).

• Configuração dos Dispositivos SIP: Os dispositivos SIP (como telefones IP ou softphones) também precisam ser configurados para usar TLS. Isso inclui a configuração para que o dispositivo aceite e use criptografia TLS ao se conectar ao servidor SIP.

• Verificação e Teste: Após a configuração, é essencial testar as conexões para garantir que a comunicação esteja corretamente criptografada e que não haja problemas de compatibilidade ou performance.

5. Melhores Práticas

Algumas práticas recomendadas para o uso de TLS incluem:

• Atualização Regular: Certifique-se de que o software do servidor SIP e dos dispositivos esteja sempre atualizado para suportar as versões mais recentes e seguras do TLS.

• Certificados Renovados: Os certificados digitais devem ser renovados antes do vencimento para evitar interrupções nos serviços.

• Desativação de Protocolos Inseguros: Desabilite versões mais antigas e inseguras de protocolos como SSL e versões antigas de TLS (TLS 1.0 e TLS 1.1), que são vulneráveis a certos ataques.

• Monitoramento Contínuo: Monitore regularmente as conexões e os logs para detectar e responder rapidamente a qualquer tentativa de ataque ou falhas de configuração.

Conclusão

TLS é uma camada essencial de segurança para qualquer sistema de comunicação que deseja garantir a confidencialidade, integridade e autenticidade dos dados transmitidos. 

No contexto de um PABX IP Baldussi, a implementação de TLS é fundamental para proteger as chamadas VoIP e evitar vulnerabilidades que poderiam ser exploradas por atacantes e a Baldussi Telecom utiliza TLS em seus ramais de modo massivo.

Além disso, outros fatores de segurança permeiam nossa operação, como dupla autenticação, firewall, backup e redundância. Cada um desses pontos será abordado em nossas próximas publicações.