Centro Universitário de Maringá     EMERSON CARLOS GONÇALVESTECNOLOGIA VOIP: ESTUDO DAS FALHAS                    Maringá ...
EMERSON CARLOS GONÇALVESTECNOLOGIA VOIP: ESTUDO DAS FALHAS                Monografia      apresentada     ao    Curso    d...
REGISTRO DE DEFESA       Monografia de Projeto Integrador apresentada nesta data à BancaExaminadora abaixo indicada:      ...
DEDICATÓRIA        Agradeço a Deus, que me proporciona as oportunidades que tenho na vida.        Dedico este trabalho a m...
Epígrafe“... a segurança é inversamente proporcional às funcionalidades”. NAKAMURA
RESUMO       Os objetivos do presente trabalho foram focados em desvendar curiosidadessobre o VoIP incluindo a história do...
ABSTRACT        The objectives of this study were focused on uncovering the facts about VoIPincluding the history of the a...
LISTA DE ABREVIATURAS E SIGLASACK         AcknowledgeAES         Advanced Encryption StandardANATEL      Agência Nacional ...
RDIS     Rede Digital com Integração de ServiçosRFC      Request For CommentRPC      Remote Procedure CallRPTC     Rede Pú...
LISTA DE FIGURASFigura 1 - Modelo de Referência OSI___________________________________24Figura 2 - Modelo de Referência TC...
LISTA DE TABELASTabela 1 - Ataques mais usados no VoIP________________________________43Tabela 2 - Perfis de Segurança do ...
SUMÁRIO 2.5 Trixbox..........................................................................................................
4.5 Modificação do ataque ao QoS.............................................................................................
1 INTRODUÇÃO        A telefonia proporciona a disseminação de informação em um tempo muitorápido, uma pessoa do outro lado...
15        2 História        O VoIP uma tecnologia recente que vem ganhando espaço em todo mundo,teve como predecessor o te...
16          1944: surgiu o primeiro computador eletromecânico (construído naUniversidade de Harvard, pela equipe do profes...
17       2000: algumas empresas, como a “Nortel” (Canadá) desenvolvem Hardwarepara a telefonia VoIP. Através destes hardwa...
18como meio para esse fim. VoIP é considerado uma tecnologia, não um serviço, e,portanto não está totalmente regulamentado...
19seja, repassando os direitos. Com o aumento do leque de novas aplicações, adisseminação dos computadores pessoais e o au...
20       2.3 Asterisk       O Asterisk permite conexão online entre redes VoIP com PSTN usando ostipos de canais disponíve...
21        Após o Asterisk ganhar mercado foram surgindo outros softwares paramanipular a telefonia convencional, um deles ...
22distribuição baseada em Asterisk. Telefonia era a forma tradicional de que ascomunicações de chumbo do século passado e,...
23       •   Processador Intel 900 MHz (Mínimo);       •   Memória RAM de 512 MB;       •   Disco Rígido de 20Gb (sem corr...
24configuração da transmissão de dados ou mídia, a resposta ao envio de informaçõese a desconexão definindo também sub-pro...
25capturar os sinais recebidos pelo meio e converte-os para digital novamente, onde apróxima camada irá fazer o tratamento...
26       3.1.5 Camada de sessão       Tem a função de estabelecer sessão entre transmissor e receptor, é possívelvários se...
27Naquela época com os sinais de rádio e de satélite começaram a surgir problemascom os protocolos existentes, o que forço...
28       3.2.1 Camada de rede       Segundo TANENBAUM, abaixo da camada inter-redes, no modelo dereferencia TCP/IP não esp...
29define um formato de pacote oficial e um protocolo chamado IP, e a tarefa é entregarpacotes IP onde eles são necessários...
30apenas um endereço de destino e um número de porta, na rede TCP/IP existe umendereço único para cada host e as portas re...
31       3.5 Voz sobre IP       No sistema público de telefonia comutada, era usado principalmente paratráfego de voz e às...
32admissão e localização de usuários, negociação das capacidades dos pontos finaisestabelecimento e encerramento da chamad...
33o H.323 devido às suas particularidades. São alguns protocolos utilizados, para estefim, específicos de sinalização e co...
34       Protocolo da camada física o RTCP é necessário para controlar os canais doRTP. Para ver como esses protocolos fun...
35conexão acontece em o chamador cria uma conexão orientada ou não orientada àconexão com o chamado que envia uma mensagem...
36                             Figura 4 - Etapas do SIP       Figura 4 mostra o funcionamento de uma rede VoIP .Dentre H.3...
37que a posse de determinada informação pode fazer toda a diferença para o sucessoou fracasso de uma empresa, então se def...
38comum de áudio. Os vírus mesmo não sendo direcionados para o VoIP pode afetarmuito o recurso, se por algum motivo existi...
39traceroute, o ICMP provê a capacidade de enviar grandes quantidades de tráfegoatravés dos links. Uma forma de ataque usa...
40       4.5 Modificação do ataque ao QoS       Tem a finalidade de modificar os campos referentes à QoS no header dopacot...
41para isso o ataque envia uma mensagem de broadcast na rede publicando um novoMAC para o IP que ele deseja interceptar. (...
42realizado através da alteração das informações de IP contidas nesse registro. Comessa alteração, as ligações que deveria...
43de qualquer tipo de ataque. A vulnerabilidade mais comum nesta categoria é nãocriptografar os dados, mesmo quando os mec...
44               usuários.                      sinalização para desviar o tráfego               Desfiar o tráfego da     ...
45       Como já citado algumas ameaças e vulnerabilidades encontradas no mundoVoIP, a diante trataremos das correções par...
46a fim de identificar os pacotes legítimos. Os firewall’s podem ser classificados emStateless e Stateful, sendo o Statele...
47       O emprego de técnicas de Qualidade de Serviço é importante para o bomfuncionamento do serviço VoIP. QoS visa entr...
48       5.5 Segurança IPSec       Internet Protocol Security (IPSec) é uma extensão do protocolo IP descritopela IETF par...
49        TLS Record Protocol é a camada inferior cuja função é garantir a segurançada conexão. Nessa camada é realizado o...
50capacidade de tratar aspectos da comunicação UDP não confiável como a perda e oreordenamento dos pacotes. O TLS apresent...
51secreta ou de métodos de chave publica com uso de certificados que sãoimplementados juntamente com os protocolos de cont...
52       5.10 Segurança usando MGCP       O protocolo MGCP não fornece nenhum controle de segurança, dessa formaé muito re...
53        6 Conclusão        Com este estudo foi possível ter conhecimento em cima do recurso VoIP quejá é bastante difund...
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlos
Upcoming SlideShare
Loading in...5
×

Tecnologia voip estudo das falhas, emerson carlos

1,882

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,882
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
72
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Tecnologia voip estudo das falhas, emerson carlos

  1. 1. Centro Universitário de Maringá EMERSON CARLOS GONÇALVESTECNOLOGIA VOIP: ESTUDO DAS FALHAS Maringá 2011
  2. 2. EMERSON CARLOS GONÇALVESTECNOLOGIA VOIP: ESTUDO DAS FALHAS Monografia apresentada ao Curso de Graduação, em Redes de Computadores, do Centro Universitário de Maringá como requisito parcial para a obtenção do título de Tecnólogo. Professor: José Vanderlei da Silva. Maringá 2011
  3. 3. REGISTRO DE DEFESA Monografia de Projeto Integrador apresentada nesta data à BancaExaminadora abaixo indicada: José Vanderlei da Silva _______________________ Professor Orientador Assinatura _________________________ _______________________ Convidado Assinatura _________________________ _______________________ Convidado Assinatura
  4. 4. DEDICATÓRIA Agradeço a Deus, que me proporciona as oportunidades que tenho na vida. Dedico este trabalho a meus pais, Antônio e Cecilia, pela compreensão,apoio e carinho durante estes anos de estudo. Ao meu orientador, professor José Vanderlei da Silva, pelas orientações,esclarecedoras, inteligente e pelo incentivo.
  5. 5. Epígrafe“... a segurança é inversamente proporcional às funcionalidades”. NAKAMURA
  6. 6. RESUMO Os objetivos do presente trabalho foram focados em desvendar curiosidadessobre o VoIP incluindo a história do surgimento do telefone, os protocolos utilizadosnas camadas do tráfego de dados, as vulnerabilidades encontradas na tecnologiapor trafegar compartilhando o mesmo recurso de infraestrutura dos pacotes dedados que transitam na internet e nas demais aplicações que necessitem de umarede de computadores. Foi realizado um estudo nos pontos falhos, ondepossivelmente pode acarretar uma invasão inesperada e que comprometa todo oserviço de telefonia de uma empresa, e consequentemente o roubo de informaçõessigilosas. Foram utilizados os critérios de pesquisar sobre o assunto em fontesconfiáveis, e busca de informações legitimas e com dados consistentes. Osprincipais resultados obtidos até o presente momento foram com o conhecimentoobtido perante a tecnologia que tem a tendência de expandir e crescer cada vezmais nos próximos anos por se tratar de redução de custos para empresas,utilizando o recurso VoIP de telefonia ficou possível e fácil o gerenciamento dasligações, como a geração de relatórios através de websites. Em toda boa tecnologia,sempre existe alguém com o intuito de burlar os sistemas, roubar informações oumesmo causar indisponibilidade nos serviços, vendo por este lado do problema,técnicas de ataques foram citadas com o intuito de conscientizar os usuários eadministradores para que evitem ficar vulneráveis. Palavras-chave: VoIP, Protocolos, Vulnerabilidades
  7. 7. ABSTRACT The objectives of this study were focused on uncovering the facts about VoIPincluding the history of the advent of phone, the protocols used in the layers of datatraffic, the vulnerabilities found in the technology for traffic sharing the sameinfrastructure resource of data packets that travel on the Internet and otherapplications requiring a computer network. A study was conducted in the weakpoints, which could possibly lead to an unexpected intrusion and compromise theentire telephone service of a company, and consequently the stealing of secretinformation. Criteria were used to search about it from reliable sources, andsearching for legitimate information and data consistent. The main results obtainedso far were obtained with the knowledge that before the technology which has thetendency to expand and grow steadily in coming years because it is cost savings forcompanies using VoIP phone feature was possible and easy management ofcallings, such as generating reports through websites. In all good technology, there isalways someone wanting to dupe the systems, steal information or even causedowntime in services, with this in mind, attack techniques were cited in order toeducate users and administrators to avoid being vulnerable. Keywords: VoIP, Protocols, Vulnerabilities
  8. 8. LISTA DE ABREVIATURAS E SIGLASACK AcknowledgeAES Advanced Encryption StandardANATEL Agência Nacional de TelecomunicaçõesARP Address Resolution ProtocolDDOS Distributed Denial of ServiceDHCP Dynamic Host Configuration ProtocolDNS Domain Name SystemDOS Denial Of ServiceFTP File Transfer ProtocolGPL General Public LicenseHTTP HyperText Transfer ProtocolICMP Internet Control Message ProtocolIDS Intrusion Detection SystemIEEE Institute of Electrical and Electronics EngineersIETF Internet Engineering Task ForceIP Internet ProtocolIPS Intrusion Prevention SystemIPSEC Internet Protocol SecurityISDN Integrated Service Digital NetworkISO International Organization for StandardizationITU-T International Telecommunications Union – TelecommunicationStandardization SectorMAC Media Access ControlMGCP Media Gateway Control ProtocolMIME Multipurpose Internet Mail ExtensionsMIKEY Multimedia Internet KeyingOSI Open Systems InterconnectionPABX Private Automatic Branch ExchangePCM Pulse Code ModulationPKI Public Key InfraestructureQOS Quality of ServiceRAS Registration Admission Status
  9. 9. RDIS Rede Digital com Integração de ServiçosRFC Request For CommentRPC Remote Procedure CallRPTC Rede Pública de Telefonia ComutadaRTCP Real-Time Transport Control ProtocolRTP Real-Time Transport ProtocolRSVP Resource ReserVation ProtocolSIP Session Initiation ProtocolSIPS Session Initiation Protocol SecureS/MIME Secure/Multipurpose Internet Mail ExtensionsSMTP Simple Mail Transfer ProtocolSRTCP Secure Real-Time Transport Control ProtocolSRTP Secure Real-TimeTransport ProtocolSSL Secure Socket LayerSYN SynchronizeTCP Transmission Control ProtocolTLS Transport Layer SecurityUDP User Datagram ProtocolURL Uniform Resource LocatorVLAN Virtual Local Area NetworkVOIP Voice Over Internet ProtocolVPN Virtual Private Network
  10. 10. LISTA DE FIGURASFigura 1 - Modelo de Referência OSI___________________________________24Figura 2 - Modelo de Referência TCP/IP_________________________________27Figura 3 - Gatekeeper________________________________________________34Figura 4 - Etapas do SIP______________________________________________36Figura 5 - Padrão H.235______________________________________________51
  11. 11. LISTA DE TABELASTabela 1 - Ataques mais usados no VoIP________________________________43Tabela 2 - Perfis de Segurança do Padrão H.235__________________________51
  12. 12. SUMÁRIO 2.5 Trixbox........................................................................................................................................22 2.6 Telefonia da internet..................................................................................................................23 3.1.1 Camada física.......................................................................................................................24 3.1.2 Camada enlace de dados.....................................................................................................25 3.1.3 Camada de rede...................................................................................................................25 3.1.4 Camada de transporte.........................................................................................................25 3.1.5 Camada de sessão................................................................................................................26 3.1.6 Camada de apresentação....................................................................................................26 3.1.7 Camada de aplicação...........................................................................................................26 3.2 O modelo de referência TCP/IP..................................................................................................26 3.2.1 Camada de rede...................................................................................................................28 3.2.2 Camada inter-redes.............................................................................................................28 3.2.3 Camada de transporte.........................................................................................................29 3.2.4 Camada de aplicação...........................................................................................................29 3.3 Sockets........................................................................................................................................29 3.4 Voz humana................................................................................................................................30 3.5 Voz sobre IP................................................................................................................................31 3.6 Protocolos...................................................................................................................................31 3.7 H.323..........................................................................................................................................33 3.8 Gatekeeper.................................................................................................................................33 3.9 Protocolo SIP..............................................................................................................................344 VULNERABILIDADES______________________________________________36 4.1 Segurança...................................................................................................................................36 4.2 Negação de serviço (DoS)...........................................................................................................38 4.3 Inundação SIP.............................................................................................................................38 4.4 Sinalização SIP Loop....................................................................................................................39
  13. 13. 4.5 Modificação do ataque ao QoS...................................................................................................40 4.6 Autenticação SIP.........................................................................................................................40 4.7 Analise de tráfego e escuta.........................................................................................................40 4.8 Envenenamento ARP..................................................................................................................40 4.9 Mascaramento............................................................................................................................41 4.10 Sequestro de chamada ............................................................................................................415 SOLUÇÕES PARA REDES VOIP______________________________________44 5.1 Segurança de VLAN.....................................................................................................................45 5.2 Segurança com firewall, IDS e IPS...............................................................................................45 5.3 Segurança no QoS.......................................................................................................................46 5.4 Segurança na autenticação SIP...................................................................................................47 5.5 Segurança IPSec..........................................................................................................................48 5.6 Segurança através do protocolo TLS...........................................................................................48 5.7 Segurança usando DTLS..............................................................................................................49 5.8 Segurança com S/MIME..............................................................................................................50 5.9 Segurança no protocolo H.323...................................................................................................50 5.10 Segurança usando MGCP..........................................................................................................52 5.11 Segurança no fluxo da mídia.....................................................................................................526 Conclusão_______________________________________________________537 REFERÊNCIAS____________________________________________________54
  14. 14. 1 INTRODUÇÃO A telefonia proporciona a disseminação de informação em um tempo muitorápido, uma pessoa do outro lado do mundo pode falar com outra muito distante semter latência na voz, funciona como se estivessem ao vivo. Pelo tráfego do áudiopodem passar informações confidenciais e estas podem sofrer barreiras até chegarao destino, pois podem ser interceptadas por indivíduos, essas são práticas ilícitasde conseguir informações. Partindo deste problema será divulgado o princípio dofuncionamento VoIP e suas particularidades, incluindo as vulnerabilidades dosistema por se tratar de transitar na mesma infraestrutura de redes digitais. Estetrabalho é importante pelo fato de levantar algumas informações de quais são astécnicas utilizadas para um ataque hacker ou mesmo uma falha não tratada do meio,o ataque pode até mesmo não ser direcionado para VoIP, mas como o tráfego dedados transita pelo mesmo meio usado pelo VoIP é preciso tomar alguns cuidados. Tendo como objetivo descobrir por quais meios pode ser feito algum tipo deataque e qual é a técnica utilizada para este resultado, após estas descobertas. ficacomo foco, alertar sobre os aspectos de segurança disponíveis para que as devidasfalhas sejam vedada e proporcionando um funcionamento na medida do possívelimune a vulnerabilidades. E usando a metodologia de apresentar as falhas maiscomuns no mundo VoIP e na sequência as soluções disponíveis no mercado porrecursos importantes, muitos deles podendo ser implantado sem muito investimento. Com este objetivo o temos a divisão dos capítulos da seguinte forma: nocapítulo 2 será apresentada uma prévia história do surgimento do telefone e demaisinvenções importantes para o período entrando também em tipo de licenciamentousado pelos softwares que manuseia a voz sobre IP contendo toda fundamentaçãoteórica. No capítulo 3 são apresentados os modelos de referência, usado como basepara toda tecnologia que transmite dados de forma digital, informação sobre a vozhumana também é tratado neste capítulo. O capítulo 4 fica com as falhas maisencontradas provenientes de serviços mal configuradas ou mesmo por não conhecertamanha vulnerabilidade. Finalizando chega-se no capítulo 5 que trás soluções parafalhas encontradas no VoIP, sendo uma solução também para outros recursos queutilize rede de dados.
  15. 15. 15 2 História O VoIP uma tecnologia recente que vem ganhando espaço em todo mundo,teve como predecessor o telefone, este objeto que fascinou o mundo no final doséculo XIX, é o resultado de muitos esforços e invenções para conseguir que a vozhumana fosse transmitida através de longas distâncias. Sua história teve início naoficina de Charles Williams, localizada na cidade de Boston, e onde tambémtrabalhava Tomas A. Watson, pessoa que sentia entusiasmo e simpatia por coisasnovas, e se dedicava, em tempo integral, à invenção e ao aperfeiçoamento deaparelhos elétricos. Foi nesta mesma oficina que se deu o encontro entre Watson eAlexander Graham Bell, que havia estudado na Universidade de Boston, eraprofessor de fisiologia vocal, e tinha se especializado no ensino da palavra visível.Bell tinha a intenção de aperfeiçoar seu “telégrafo harmônico”, aparelho com o qualpretendia transmitir em código Morse de seis a oito mensagens simultâneas. Foiassim que Graham Bell chegou àquela oficina, procurando suporte tecnológico parasua invenção, e começou a trabalhar com Watson. Mais adiante, Bell disse aWatson estas palavras: “Se eu pudesse fazer com que uma corrente elétricavariasse de intensidade da mesma forma que o ar varia ao se emitir um som, eupoderia transmitir a palavra telegraficamente.” Esta foi à chave do invento que viria ase chamar telefone. (PACIEVITCH, 2009) 2.1 Fases que marcam os momentos 1875: o telefone nasceu meio por acaso, na noite de 2 de junho de 1875com Graham Bell. 1876: a invenção foi patenteada em 7 de março de 1876, mas a data queentrou para a história da telefonia foi 10 de março de 1876. Nesse dia, foi feita atransmissão elétrica da primeira mensagem completa pelo aparelho recém-inventado. Graham Bell se encontrava no último andar de uma hospedaria emBoston, nos Estados Unidos. Watson trabalhava no térreo e atendeu ao telefone,que tilintara. Ouviu, espantado: "Senhor Watson, venha cá. Preciso falar-lhe." Elecorreu até o sótão de onde Bell havia telefonado. Nascia assim o telefone. A novainvenção foi apresentada na Exposição do centenário de Filadélfia.
  16. 16. 16 1944: surgiu o primeiro computador eletromecânico (construído naUniversidade de Harvard, pela equipe do professor H. Aiken e com a ajudafinanceira da IBM), tinha o nome de MARK I, era controlado por programa e usava osistema decimal, tinha aproximadamente 15 metros de comprimento e 2,5 metros dealtura. 1977: a ISO, International Organization for Standardization, criou um comitêpara o desenvolvimento de padrões que unisse todo o mundo em uma mesma rede.Surgia ai OSI – Open Systems Interconnection, que serviu de base para odesenvolvimento do IP. 1995: Em Israel, a empresa “VocalTec Communications”, criada em 1994desenvolve um projeto de digitalização da voz, comprimindo-a e transmitindo atravésda rede. Neste primeiro momento só podiam ser feitas ligações entre doiscomputadores. A qualidade era baixíssima, com vários cortes e atrasos, mas semdúvida muito importante para o desenvolvimento a que temos hoje. O software foidenominado Internet Phone Software, o programa permitia a comunicação somenteentre dois computadores que tivessem instalado o Internet Phone, ou seja, aindanão permitia a realização de ligações da internet para telefones convencionais.Porém, os seus usuários já reconheciam a imensa economia proporcionada com asligações de longa distância por meio da internet. Na época, dois pontos negativosatrasavam a expansão no uso da tecnologia e impediam o uso em larga escala, aqualidade ruim do som e a banda estreita de internet nos acessos discados. 1998: desenvolvimentos de gateways VoIP dão um novo impulso àtecnologia, que agora pode realizar transmissões para telefones. Empresascomeçam a financiar o projeto e as ligações começam a ser gratuitas. No final dosanos 90 e início dos anos 2000, a crescente oferta de banda larga a preçosrazoáveis para o usuário final e a proliferação de programas de ligações telefônicasatravés da internet fez o VoIP se popularizar. Ligações já podiam ser feitas docomputador para telefones convencionais, o que ajudava a baratear custos deligações de longa distância. No ano 2000, a transmissão pela internet járepresentava 3% do total de tráfego de voz nos EUA.
  17. 17. 17 2000: algumas empresas, como a “Nortel” (Canadá) desenvolvem Hardwarepara a telefonia VoIP. Através destes hardwares, VoIP se tornou menos dependentedo computador. Antes disso, todo o processo era processado no CPU. Agora oprocesso acontece nestes Hardwares, possibilitando uma enorme flexibilização dosistema. A partir daí, VoIP foi se firmando cada vez mais, sendo implantadointernamente nas empresas e até mesmo sendo utilizada em PC. (LESSA &SOUZA, 2011) A tecnologia permite a transmissão de voz por meio de redes de dados,utilizando-se de protocolos específicos. Um programa comprime o sinal de voz,traduz em pacotes de dados e envia pela internet. Na prática, permite que ligaçõestelefônicas sejam feitas utilizando a internet, barateando muito os custos. Asprimeiras experiências de uso de tecnologia para transmissão de voz pela internetaconteceram no início da década de 70, dentro da Network Voice Protocol,inventada para a Arpanet. Já nos anos 80, a tecnologia para ligações via internettornou-se disponível para o usuário comum. Nos primeiros anos, com a tecnologialimitada, só conseguiam comunicar-se dois usuários que tivessem placas de som domesmo tipo, com as mais recentes atualizações do software. A empresa responsável pelo skype foi uma pioneira no tratamento do VoIP étambém provedora do serviço de ligações que recentemente foi comprada pelaMicrosoft. As provedoras são essenciais, pois é quem, na prática, fazem o sistemafuncionar, permitindo as ligações. No Brasil existem diversos provedores de VoIP,alguns oferecem apenas o serviço e outros o serviço e soluções completas,incluindo softwares, planos de tarifas, etc. Aos poucos, novos equipamentos efunções são criados para uso da tecnologia VoIP. Um exemplo é o chamadotelefone IP, desenvolvido há quase uma década, que dispensa o computador parafazer ligações: o aparelho telefônico é especialmente desenhado para uso de VoIP efica diretamente conectado à internet. (MATTAR, 2008) No Brasil, os serviços de telecomunicação são regulados pela ANATEL(Agência Nacional de Telecomunicações). Segundo encontra-se no site da ANATEL,esta regula serviços de telecomunicações, não regulando as tecnologias utilizadas
  18. 18. 18como meio para esse fim. VoIP é considerado uma tecnologia, não um serviço, e,portanto não está totalmente regulamentado. Porém de acordo com a própria Anatel,o uso de VoIP deve ser considerado por 3 aspectos: Comunicação entre doiscomputadores, utilizando serviços de áudio adequado para estes. Este não seria umserviço de telecomunicação e, portanto não está regulamentado. Comunicação devoz no âmbito restrito de uma rede corporativa, efetuada entre equipamentos quepodem incluir o aparelho telefônico. Neste caso seria caracterizado como serviço detelecomunicação e, portanto é exigida uma autorização específica da Anatel. NoBrasil, qualquer tipo de Serviço de Telecomunicação para ser viabilizada precisaantes da autorização da Anatel. (LESSA & SOUZA, 2011) Entre os anos de 2005 e 2012 o número de linhas VoIP na América Latinadeve apresentar um crescimento anual de 87,5%, fazendo com que os serviçosassociados à tecnologia movimentem aproximadamente cerca de 1,1 bilhão dedólares até o final do período. Segundo dados de uma consultoria “Frost & Sullivan”,que diz ainda que o Brasil deve ser responsável pela maior base de usuários datecnologia na região ficando com 49% do montante. (NOW, 2006) 2.2 Software livre Um software livre precisa atender quatro necessidades para ser totalmentelivre, a liberdade para executar o programa, liberdade 0 (zero), significa poderexecutar o programa para qualquer tipo de pessoa física ou jurídica, em quantasmáquinas quiser, em qualquer tipo de sistema computacional, para qualquer tipo detrabalho, sem nenhuma restrição imposta pelo fornecedor. Se for preciso estudarcomo o programa funciona e adaptá-lo para suas necessidades fica com a posiçãode liberdade 1 que é quando o programa compilado, ou seja, em formato binário,obriga a distribuição também de seus códigos fonte. Ao redistribuir cópias de modo aajudar o próximo é chamado de liberdade 2. A liberdade 3 ocorre quando oprograma sofre modificações, e estas modificações é repassada a toda comunidade.No caso das licenças como a GPL contêm um conceito adicional, conhecido comoCopyleft, que baseia na propagação dos direitos. Um software livre sem copyleftpode ser tornado não livre por algum usuário. Já o software livre protegido por umalicença que ofereça copyleft, se distribuído, deverá ser sob a mesma licença, ou
  19. 19. 19seja, repassando os direitos. Com o aumento do leque de novas aplicações, adisseminação dos computadores pessoais e o aumento da banda de transmissãodisponível para o usuário, contribuíram para o VoIP tornar-se uma realidade. Otermo Software Livre refere-se à liberdade do usuário de executar, copiar, distribuir,estudar, modificar e aperfeiçoar o software. (FERREIRA & BRANDÃO, 2007) A voz é um instrumento essencial para a comunicação e possibilita a trocade informações entre pessoas, por meio da Rede Publica de Telefonia Comutada(RPTC). Com a implantação de uma Central Telefônica (PABX), as empresas têmcomo objetivo permitir a realização de ligações entre os ramais internos, bem comocomunicar-se com a RPTC através de soluções proprietárias que possuem custoselevados. O crescimento de implantações das redes com o Protocolo Internet (IP) eo desenvolvimento de técnicas avançadas, como digitalização de voz, mecanismosde controle, priorização do tráfego, protocolos de transmissão em tempo real e oestudo de novos padrões que permitam a qualidade de serviço, criam condiçõespara a comunicação de Voz Sobre IP (VoIP), tecnologia que permite a transmissãoda voz através dos pacotes das redes IP, como a Internet. A convergência na áreade comunicações utiliza o compartilhamento de recursos através de uma única redecapaz de trafegar voz e dados, criando assim um novo conceito em telefonia. Estefato despertou certo interesse nas indústrias computacionais e de telecomunicações,resultando em economia, além de possibilitar a ampliação dos serviços eequipamentos oferecidos aos clientes. (GONZALEZ, 2007) O mais famoso dos softwares usado para manipular o VoIP é o Asterisk soblicença de software livre (GPL) que foi desenvolvido pela Digium Inc. sendo oprimeiro PABX de código aberto da indústria, a empresa mantenedora investeatualmente em hardwares de telefonia de baixo custo e no código fonte do Asteriskpara melhor desempenho e novas ferramentas, o software usa plataformas Linux eoutras Unix com ou sem hardware conectado a rede pública de telefonia PSTN, osoftware não é compatível com qualquer versão do Microsoft Windows. Sendo MarkSpencer o criador e principal mantenedor do Asterisk, ele é hoje admirado pelogrande trabalho que fez e pela responsabilidade que carrega. (GONÇALVES, 2005)
  20. 20. 20 2.3 Asterisk O Asterisk permite conexão online entre redes VoIP com PSTN usando ostipos de canais disponível na integração de serviços, o canal B transmite 64 kbit/sestas ligações podem utilizar a comutação de circuito e de pacote, no canal D são16 kbit/s onde o transporte de sinalização são associados aos canais B, nos temposmortos pode ser usado para transmitir outras informações em modo pacote. Em usodo ISDN para tráfego VoIP o acesso básico (2B+D) corresponde a um débito total de192 kbit/s incluindo a sincronização e o cabeçalho da trama, e primário oferece duasconfigurações relacionadas com as hierarquias de transmissão digital, Europa usa2048 kbit/s (30B+D) e os EUA, Canadá e Japão usam 1544 kbit/s (23B+D), ousuário não percebe que sua fala é convertida para sinal digital e depois volta a seranalógico para ser audível ao receptor, e este software ainda é mais completo doque uma central PABX, tem recursos como: (GONÇALVES, 2005) • Conectar empregados trabalhando de casa e usando o ramal como se estivesse conectado localmente; • Conectar empresa e filial de forma a permitir parecer estar em uma mesma central PABX; • Ter correio de voz, integrado com o webmail; • Permite espera com toques MP3; • Relatórios detalhados de chamadas integrados com sistema de tarifação; • Integração com reconhecimento de voz. O Asterisk PBX é uma revolução nas áreas de telefonia IP e PABX baseadoem software. Durante muitos anos o mercado de telefonia foi ligado a equipamentosproprietários fabricados por grandes companhias multinacionais. Apesar de termosequipamentos de baixo custo nestas arquiteturas eles também apresentam baixafuncionalidade. Com a entrada do Asterisk, mais e mais empresas vão poderexperimentar recursos como URA unidade de resposta audível, DAC distribuiçãoautomática de chamadas, mobilidade, correio de voz, e conferencia antes restrita agrandes companhias devido ao alto custo. 2.4 Elastix
  21. 21. 21 Após o Asterisk ganhar mercado foram surgindo outros softwares paramanipular a telefonia convencional, um deles é o Elastix um software que integra asmelhores ferramentas disponíveis para PBX baseados em Asterisk em uma interfacesimples e fácil de utilizar. Além de possuir o seu próprio conjunto de utilidades epermitir a criação de módulos para melhorar os pacotes, é um software de códigoaberto licença GPL versão2 disponível para a telefonia. A meta do Elastix é a de serconfiável, modular, e de fácil de utilização, estas funcionalidades são paraproporcionar a melhor opção em implementar um PBX baseado em Asterisk. Ascaracterísticas oferecidas pelo Elastix são variadas. O Elastix integra vários módulosde software, cada um com seu conjunto de características. Além disso, o Elastixacrescenta novas interfaces de vigilância e informação de si mesmo, tornando-seum pacote completo. Alguns dos recursos disponibilizados pelo Elastix são:(ELASTIX, 2009) • Possibilita a utilização de vídeo chamada; • Pode enviar algum documento digital a um número de fax através de uma impressora virtual; • Configuração gráfica de parâmetros da rede; • Relatórios de utilização dos recursos; • Relatórios de chamadas de entrada/saída e utilização dos canais; • Módulo de voice-mail integrado; • Secção de download e acessórios mais utilizados; • Interface de ajuda integrada; • Servidor de mensagens instantâneo integrado; • Servidor de correio eletrônico integrado incluindo suporte para vários domínios; • Interface Web para e-mail; (ELASTIX, 2009) O objetivo do Elastix é incorporar todas as alternativas de comunicação,disponível em um nível empresarial, em uma solução única. O projeto Elastixcomeçou como uma interface de relatório de chamada para o Asterisk e foi lançadoem março de 2006. Mais tarde nesse ano que o projeto evoluiu para uma
  22. 22. 22distribuição baseada em Asterisk. Telefonia era a forma tradicional de que ascomunicações de chumbo do século passado e, é por isso que muitas empresas eusuários concentram as suas necessidades para estabelecer comunicações detelefonia em suas organizações, e confundir a comunicação unificada com umsistema de troca de telefone. Elastix não só fornece a telefonia, mas integra comalternativas de comunicação para tornar seu ambiente de uma organização maisprodutiva e eficiente. Há novas formas de comunicação todos os dias e a adição de recursos efuncionalidades deve ser constante, Elastix é capaz de estabelecer um ambienteeficiente na sua organização com a adição de muitos recursos que permite integraroutros locais de sua empresa para centralizar o seu negócio, além de ter acomunicação interna direta. Relatórios de antecedência para ver uma lista completade recursos, nem a adição de módulos ou usuários em uma implementação Elastixtem um custo envolvido para o integrador. 2.5 Trixbox Outro software baseado em Asterisk é o Trixbox, uma distribuição maisconhecida de Asterisk, que costumava ser chamado de Asterisk@Home. Trixbox éuma distribuição robusta de Asterisk construída em cima de Apache, MySQL e PHP.O FreePBX está incluído permite configurar todos os recursos do seu PBX noconforto do seu navegador da web, Trixbox também inclui uma tela de status dosistema onde você pode obter uma visão geral sobre o status do seu PBX, existetambém uma criação e gerenciamento de conferências e painel de operador Flash,uma tela de status baseado em flash para suas extensões, troncos e filas. O Trixboxpossui uma série de versões sendo que a versão TrixBox CE é completamentegratuita e muito simples de instalar. Possui uma interface gráfica que permite aoutilizador uma fácil configuração e gestão de todo o servidor Asterisk, incluindo todosos utilizadores/telefones e respectivos recursos. Quanto mais rápido o sistemautilizado para rodar o Asterisk, mais chamadas simultâneas ele conseguirá realizar.Um computador com processador Pentium III 500 MHz e 128MB de memória RAM ésuficiente para uso pessoal residencial. Hardware mínimo recomendado para umaaplicação com 10 canais simultâneos: (CARVALHO, 2007)
  23. 23. 23 • Processador Intel 900 MHz (Mínimo); • Memória RAM de 512 MB; • Disco Rígido de 20Gb (sem correio de voz). 2.6 Telefonia da internet Há algum tempo o sistema público de telefonia comutada, era usadoprincipalmente para tráfego de voz com um pouco de tráfego de dados aqui e ali.Porém, o tráfego de dados cresceu e por volta de 1999, o número de bits de dadostransferidos igualou o número de bits de voz. Em 2002, o volume do tráfego dedados era dez vezes maior que o volume do tráfego de voz, e ainda continua acrescer exponencialmente, enquanto o tráfego de voz permanece quase no mesmonível (crescendo aproximadamente 5% ao ano). Como consequência dessesnúmeros, muitas operadoras de redes de comutação de pacotes de repente ficaraminteressadas em transportar voz sobre suas redes de dados. O volume de largura debanda adicional exigida para voz é minúsculo, pois as redes de pacotes sãodimensionadas para o tráfego de dados. No entanto, a conta telefônica de umconsumidor médio provavelmente é maior que sua conta da Internet, e assim asoperadoras de redes de dados viram na telefonia da Internet um modo de ganhar umbom dinheiro extra sem terem de instalar sequer um novo cabo de fibra. Dessemodo, nasceu a telefonia da Internet. 2.7 Arquitetura de Rede Em se tratado de VoIP e seus funcionamentos é necessário ter algumasinformações sobre redes de computadores, pois é o elemento principal da tecnologiaem questão. O termo redes de computadores é referente ao conjunto decomputadores autônomos interconectados por uma única tecnologia. No tráfego de dados encontramos os protocolos que é o conjunto de regrasresponsável por controlar o formato e significado dos pacotes ou mensagenstrocadas entre entidades de uma mesma camada, tem a função de definir as opçõesde serviço como a solicitação do início da comunicação, a confirmação do pedido, a
  24. 24. 24configuração da transmissão de dados ou mídia, a resposta ao envio de informaçõese a desconexão definindo também sub-protocolos responsáveis por controlesespecíficos. 3.1 O modelo de referência OSI Esse modelo foi desenvolvido pela ISO (Internacional StandardsOrganization) com o objetivo de padronizar internacionalmente os protocolos usadospelas empresas fabricantes de hardwares e softwares. Conforme cita TANENBAUM,este modelo é chamado de Modelo de Referência ISO OSI (Open SystemsInterconnection), o modelo de referência possui sete camadas das quais falaremos aseguir, conforme figura 1. (TANENBAUM, 2003) Figura 1 - Modelo de Referência OSI 3.1.1 Camada física A camada física é responsável pela transmissão dos bits por um canal decomunicação qualquer, seja ele coaxial par metálico, fibra, wireless, está camadanão se encarrega em fazer nenhum tipo de tratamento ou correção, simplesmenterecebe o dado e transmite. É conhecido por converter (transmissor) sinais digitaisem sinais analógicos, ou de radiofrequência, ou em sinais de luz e (receptor)
  25. 25. 25capturar os sinais recebidos pelo meio e converte-os para digital novamente, onde apróxima camada irá fazer o tratamento. 3.1.2 Camada enlace de dados A principal tarefa da camada de enlace de dados é a detecção de erros,como não existe tratamento na camada física quem se encarrega de garantir que ainformação chegue ao destino é a camada de enlace, para executar essa tarefa estácamada faz com que o transmissor separe os dados em quadros e transmita em umsequenciamento controlado por confirmações, e a informação chegando até oreceptor ele por sua vez transmite uma confirmação de que os quadros chegaram aodestino, desta forma o transmissor continua enviando os quadros. 3.1.3 Camada de rede A camada de rede controla a operação de endereçamento e roteamentológico, ou seja, determinar a maneira como os pacotes são roteados da origem até odestino, essas rotas podem ser baseadas em tabelas estáticas, e também podemser determinadas no início de cada conversação, e podem ser determinadas paracada pacote com o objetivo de refletir a carga atual da rede, podendo ser altamentedinâmica neste caso. 3.1.4 Camada de transporte Basicamente tem a função de fornecer tipos de camada de transporte, aorientada a conexão e o método não orientado a conexão, com o objetivo de aceitarinformações das camadas acima dela, e repassar os dados à camada de rede eassegurar que todos os fragmentos chegarão corretamente ao receptor, essetransporte deve ser feito de forma silenciosa e precisa, para que as camadassuperiores não sofram com algum tipo de mudança da tecnologia de hardware. Estácamada também determina que tipo de serviço que deve ser fornecido à camada desessão e usuários, o método mais conhecido é o ponto a ponto livre de erros queentrega mensagens ou bytes na ordem em que eles foram enviados.
  26. 26. 26 3.1.5 Camada de sessão Tem a função de estabelecer sessão entre transmissor e receptor, é possívelvários serviços em uma sessão como o controle de diálogo que monitora o momentocerto de quem vai transmitir os dados, o gerenciamento de símbolos não permitindoque duas partes enviem a mesma operação crítica ao mesmo tempo e asincronização que permite uma transmissão interrompida continue transferindo doponto em que parou. 3.1.6 Camada de apresentação A camada de apresentação está relacionada à sintaxe e à semântica dasinformações transmitidas, entre computadores com diferentes representações dedados às estruturas de dados a serem intercambiadas podem ser definidas demaneira abstrata, juntamente com uma codificação padrão que será usada durante aconexão. 3.1.7 Camada de aplicação É a interface entre o usuário e a rede, contém uma série de protocolosnecessários para interagir com o usuário, o mais utilizado dentre eles é o HTTP oprotocolo usado na internet seu funcionamento é requisitado no momento em queum navegador necessita acessar uma página web, ele envia o nome da páginadesejada ao servidor HTTP, e por sua vez o servidor retorna a página de volta.Outros protocolos são utilizados e através da camada aplicação interagem com ousuário. 3.2 O modelo de referência TCP/IP O modelo que na verdade é um protocolo é bastante antigo surgiu naARPANET, e atualmente onde estiver um host ligado na rede este protocolo estápresente. A ARPANET era uma rede militar, foi uma rede de pesquisa criada pelodepartamento de defesa dos EUA onde aos poucos foram interligando universidadese órgãos públicos usando linhas telefônicas dedicadas somente para este fim.
  27. 27. 27Naquela época com os sinais de rádio e de satélite começaram a surgir problemascom os protocolos existentes, o que forçou a criação de uma nova arquitetura dereferência, que o principal objetivo era unir várias redes de maneira uniforme, e em1974 foi usada pela primeira vez à arquitetura conhecida como modelo de referênciaTCP/IP. A preocupação dos preciosos hosts do departamento de defesa dos EUAfossem destruídos definiu-se que a rede deveria ser capaz de sobreviver à perda dohardware de sub-redes, com as conversações existentes sendo mantidas ematividade, além disso, também ter uma arquitetura flexível, capaz de se adaptar aaplicações com requisitos divergentes como a transferência de arquivos e atransmissão de dados de voz em tempo real. TCP é um protocolo de comunicação enão uma parte do software, ele usa a conexão e não a porta do protocolo como suaabstração fundamental, as conexões são identificadas por um par de extremidades.No nível mais baixo, as redes de comunicação por um computador proveem entregade pacote não confiável. No nível mais alto, os programas aplicativos normalmenteprecisam enviar grandes volumes de dados de um host para outro, o uso de umsistema de remessa não confiável sem conexão. (TANENBAUM, 2003) Figura 2 - Modelo de Referência TCP/IP
  28. 28. 28 3.2.1 Camada de rede Segundo TANENBAUM, abaixo da camada inter-redes, no modelo dereferencia TCP/IP não especifica o que acontece nesta camada, apenas informa queo host precisa se conectar a rede utilizando algum protocolo para que seja possívelenviar pacotes IP, por não ser um protocolo definido ele varia de host para host. Osdois modelos de referências citados são parecidos, pois se baseiam no conceito deuma pilha de protocolos independentes, e as camadas acabam tendo as mesmasfunções. Todas as tecnologias VoIP foi desenvolvida com base no modelo OSI deforma que para o seu uso, independam o meio físico e a tecnologia de enlaceutilizada. Os protocolos e codec VoIP fazem parte das camadas de Aplicações,Sessão e Transporte do modelo OSI. Na camada aplicação está presente a vozcomprimida de acordo com o codec utilizado. Na camada de sessão são negociadoso inicio e fim das camadas. Atualmente o protocolo mais usado é o SIP. Na camadade Transporte os pacotes de dados provenientes das camadas de Aplicação eSessão são encapsulados em segmentos. No caso dos codec’s, eles sãoencapsulados pelo RTP, RAS ou RTCP e no caso dos protocolos de sessão elessão normalmente encapsulados pelo UDP. 3.2.2 Camada inter-redes Esses requisitos levaram a uma escolha de uma rede de comutação depacotes baseada em uma camada de interligação de redes sem conexões,denomina-se esta camada como inter-redes, com o objetivo de permitir que os hostsinjetem pacotes em qualquer rede e garantir que eles trafegarão independentementeaté o destino, pode acontecer de os dados chegarem a uma ordem diferentedaquela que foram enviados, deixando para as camadas superiores reorganiza-loscaso necessário. Um exemplo para este caso seria parecido com o método docorreio, uma pessoa pode deixar uma sequência de cartas internacionais em umacaixa de correio em um país e, a maioria delas será entregue no endereço corretono país de destino. Essas cartas poderão passar por alguns gateways internacionaisneste caso, o procedimento seja transparente para o usuário. A camada inter-redes
  29. 29. 29define um formato de pacote oficial e um protocolo chamado IP, e a tarefa é entregarpacotes IP onde eles são necessários. O roteamento de pacotes é uma questão degrande importância nessa camada, assim como a necessidade de evitar ocongestionamento, no entanto pode-se definir que a função da camada inter-redesdo TCP/IP é muito parecida com a da camada de rede do OSI. 3.2.3 Camada de transporte No modelo TCP/IP temos logo acima da camada inter-redes a camada detransporte, que é exatamente igual à camada de transporte do modelo OSI, ela éresponsável por permitir que as entidades pares dos hosts de origem e de destinomantenham uma conversação, foram definidos dois protocolos sendo que o primeirodeles, o TCP é um protocolo orientado a conexão confiável que permite a entregasem erros de fluxo de bytes originário de uma determinada máquina em qualquercomputador da inter-rede, tem a finalidade de fragmentar o fluxo de bytes de entradaem mensagem discretas e passa cada uma delas para a camada de inter-redes. Odestino conta com o TCP receptor que monta a mensagem recebida, esse protocolotambém cuida do controle de fluxo, impedindo que um transmissor rápidosobrecarregue um receptor lento com um volume de mensagens maior do queconsegue tratar. 3.2.4 Camada de aplicação No modelo TCP/IP diferente do modelo OSI não temos a camada de sessãoe apresentação por serem pouco usadas, elas se fundem em apenas camada deaplicação. Nesta camada temos todos os protocolos de nível mais alto (Telnet, FTP,SMTP, DNS), que seria como no modelo OSI onde existe a interação com o usuário. 3.3 Sockets O Socket representa um ponto de conexão para uma rede TCP/IP. Para doishosts manterem a conversação é preciso um socket, sendo um host servidor abrindoum socket e prestando atenção nas conexões, sendo assim o outro host é o clientee faz contato com o socket do servidor para iniciar a conexão. Sendo necessário
  30. 30. 30apenas um endereço de destino e um número de porta, na rede TCP/IP existe umendereço único para cada host e as portas representam conexões individuais dentrodesse endereço, cada porta de um computador compartilha o mesmo endereço IP,mas os dados são roteados dentro de cada computador pelo número da porta,quando um socket é criado ele deve estar associado a uma porta específica, define-se este processo como acoplamento de uma porta. Citando uma linguagem deprogramação o Java por sua vez oferece dois modos de utilização de sockets: omodo orientado à conexão que utiliza o protocolo TCP (exige confirmação) e o modoorientado a datagrama, que funciona sobre o protocolo UDP (não exigeconfirmação), ambos sobre o protocolo IP. O modo orientado à conexão TCP/IPoferece serviços confiáveis, sem perda de dados na rede e com garantia deordenação dos pacotes tornando o serviço mais lento. No modo orientado àdatagrama UDP/IP as mensagens podem ser perdidas a ordem não é garantida e émais rápido que o modo orientado à conexão. (FERREIRA & BRANDÃO, 2007) 3.4 Voz humana A conversão humana é uma forma de onda mecânica com frequênciasprincipais na faixa de 300 Hz a 3,4 kHz, com alguns padrões definidos em função dotimbre de voz e dos fonemas emitidos durante uma conversa. Em um ambiente detelefonia totalmente analógico isto é possível pela transmissão da forma de ondaentre os interlocutores através de meio metálico, com possíveis amplificaçõesanalógicas. Isto, porém, representava um custo alto pela impossibilidade de seutilizar o meio físico para a transmissão de mais de um canal de conversação. Como advento da telefonia digital, a voz é codificada em formato digital, que pode sermultiplexado no tempo de forma a compartilhar meios de transmissão. (GONZALEZ,2007) A voz humana pode ser codificada de duas formas, uma baseada em formade onda que é utilizada hoje na telefonia convencional para digitalizar a vozpermitindo que aconteça a multiplexação dos circuitos, e outra baseada nos padrõesde voz. Estes elementos são responsáveis pela codificação da voz em um fluxo debits, possivelmente utilizando técnicas de compressão de voz e supressão desilêncio.
  31. 31. 31 3.5 Voz sobre IP No sistema público de telefonia comutada, era usado principalmente paratráfego de voz e às vezes com muito pouco de tráfego de dados. Porém, o tráfegode dados expandiu-se, e o número de bits de dados transferidos já era igual onúmero de bits de voz, foi possível medir a PSTN, pois a mesma vinha codificadaem PCM que possibilitava a medição em bits/s. Em pouco tempo o volume dotráfego de dados já era dez vezes maior que o volume do tráfego de voz, vendo estegrande atrativo às operadoras de redes ficou interessadíssimas em transportar vozsobre suas redes de dados, sendo que não precisariam investir muito, pois o volumede largura de banda adicional era baixo e a atual rede comportava o tráfego, e assimas operadoras de redes de dados viram na telefonia da Internet um modo de ganharum bom dinheiro extra sem terem de instalar um novo cabo de fibra. Desse modo,nasceu a telefonia da Internet também conhecida como voz sobre IP (VoIP).(SITOLINO & ROCHOL, 2011) A intercomunicação entre os diferentes produtos da indústria do VoIP só foipossível graças a aceitação por parte da padronização dos protocolos de sinalizaçãoe mídia especificados por organizações como a IEEE, IETF, 3GPT e ITU-T. 3.6 Protocolos Assim como na comunicação entre homens e entre máquinas, é precisoseguir algumas regras para que exista comunicação, essas regras em redes decomputadores são dispostas em forma de protocolos que é a padronização de leis eprocedimentos que são dispostos para execução de uma determinada tarefa. Autilização de protocolos se faz necessária devido à grande quantidade de fabricantee fornecedores de tecnologia, sem um gerenciamento seria complicado controlar acomunicação. Nas redes VoIP antes que os pacotes de voz possam trafegar pelarede IP é necessário estabelecer uma conexão entre os pontos extremos decomunicação. Depois do estabelecimento da conexão esses protocolos aindacontrolam a chamada, e quando ela é encerrada, eles indicam que os recursos darede podem ser liberados, esses protocolos desempenham ações como registro,
  32. 32. 32admissão e localização de usuários, negociação das capacidades dos pontos finaisestabelecimento e encerramento da chamada. Dentre os protocolos de sinalizaçãoexistentes, os que mais se destacam são o H.323, desenvolvido no âmbito do ITU-T,e o protocolo SIP (Session Initiation Protocol), desenvolvido no âmbito do IETF. Arecomendação H.323 do ITU-T é uma especificação que descreve de maneiracompleta a arquitetura e a operação de um sistema de sessões em tempo real devoz, vídeo e dados. As especificações do protocolo SIP foram primeiramentedefinidas pelo IETF (Internet Engeneering Task Force) no RFC 2543, em março de1999. Em 2002, uma segunda publicação das especificações desse protocolo foiapresentada no documento RFC 3261. É um protocolo de controle, pertencente àcamada de aplicação, que permite a criação, modificação e finalização de sessõesmultimídia, como chamadas telefônicas, com um ou mais participantes. Usuáriospodem ser convidados para uma nova sessão ou para uma sessão multimídia jáexistente. Apesar de o SIP possuir independência de funcionamento e operação, elepode utilizar alguns protocolos para oferecer recursos extras. Para reserva derecursos, por exemplo, opera em conjunto com o RSPV. O SIP é um protocolobaseado em texto, o que permite sua fácil implementação e apresenta arquiteturacliente-servidor, ou seja, as requisições são geradas pelos clientes e enviadas aoservidor. O servidor processa essas requisições e envia as respostas de volta aosclientes. Permite também a interação entre dispositivos através de mensagens desinalização e controle. (FERREIRA & BRANDÃO, 2007) Os protocolos de sinalização são usados para estabelecer, manter eencerrar chamadas além de servir de suporte à bilhetagem de parâmetros denegociação da chamada como portas de mídia, chave de criptografia e codecs. Jáos de mídia são usados para realizar a transferência fim a fim dos pacotes. RTP é oprotocolo de transporte utilizado no VoIP. Como exemplo de protocolos desinalização pode-se citar SIP, MGCP e H.323. (MADEIRA, 2007) O protocolo H.323 é um protocolo mais maduro e utilizado estando presentena maioria das soluções de mercado. No entanto, o protocolo SIP, embora maisrecente, tem sido considerado, por especialistas e fornecedores de equipamentos esoluções VoIP, como um protocolo que pode disputar a hegemonia do mercado com
  33. 33. 33o H.323 devido às suas particularidades. São alguns protocolos utilizados, para estefim, específicos de sinalização e configuração de chamadas. Em uma chamada VoIP se utiliza três protocolos na camada de aplicação domodelo TCP/IP. NTP fica responsável por verificar se os sinais são transmitidos erecebidos numa janela de tempo aceitável para a quantidade do serviço. RTPfornece funcionalidade de transporte fim a fim para os sinais de voz. RTCP faz umcontrole simplificado para assegurar a entrega dos pacotes de VoIP via RTP. E porse tratar de uma aplicação em tempo real em que a rapidez na entrega dos pacotesé mais importante que a garantia de sua entrega no destino, o protocolo utilizado é oUDP. (MADEIRA, 2007) 3.7 H.323 No começo da telefonia sobre IP já era de ciência das operadoras que, secada fornecedor projetasse sua própria pilha de protocolos, o sistema nuncafuncionária adequadamente. Então com o apoio da ITU foi desenvolvido padrõespara este tipo de problema. Surgiu através da ITU a recomendação H.323, intituladacomo: sistemas e equipamentos de telefonia visual para redes locais que oferecemuma qualidade de serviço não garantida. Essa recomendação H.323, então revisadafoi base para os primeiros sistemas amplamente difundidos de telefonia da Internet.Ela faz referência a um grande número de protocolos específicos para codificaçãode voz, configuração de chamadas, sinalização, transporte de dados e outras áreas.A rede de telefonia precisa de vários protocolos, o H.323 é um protocolo paracodificação e decodificação de voz, ele codifica um único canal de voz realizando aamostragem 8000 vezes por segundo com amostras de 8 bits, a fim de fornecer vozdescompactada a 64 Kbps. (FERREIRA & BRANDÃO, 2007) 3.8 Gatekeeper Um gatekeeper é considerado o componente “inteligente” de uma redeH.323, ele age como o ponto central para todas as chamadas dentro de sua zona eprovê serviços de controle de chamada para estações registradas.
  34. 34. 34 Protocolo da camada física o RTCP é necessário para controlar os canais doRTP. Para ver como esses protocolos funcionam juntos, considere o caso de umterminal de PC em uma LAN que chama um telefone remoto. Primeiro, o PC tem dedescobrir o gatekeeper e, para isso, transmite por difusão um pacote UDP dedescoberta de gatekeeper para a porta padrão 1718. Quando o gatekeeperresponde, o PC aprende o endereço IP do gatekeeper. Agora, o PC se registra como gatekeeper, enviando a ele uma mensagem RAS em um pacote UDP. Depois quea mensagem é aceita, o PC envia ao gatekeeper uma mensagem RAS de admissãosolicitando largura de banda. Só depois que a largura de banda e concedida, épossível iniciar a configuração de chamada a ideia de solicitar largura de banda comantecedência tem a finalidade de permitir ao gatekeeper limitar o número dechamadas, a fim de evitar saturar a linha de saída, e desse modo oferecer aqualidade de serviço necessária. Segue figura 3 com esquema de uma rede comgatekeeper. (THERMOS & TAKANEN, 2007) Figura 3 - Gatekeeper 3.9 Protocolo SIP O SIP é um único módulo, porém foi projetado para interoperar bem comaplicações da internet existentes, ele pode estabelecer sessões entre duas partessendo UDP ou TCP, sessão de várias partes e sessões de multidifusão, com o SIP épossível transferir vídeo, dados e áudio, este protocolo fica responsável apenas pelaconfiguração, do gerenciamento e do encerramento de sessões. Os protocolos RTPe RTCP faz o transporte na camada física. Os números de telefone no SIP sãorepresentados em forma de URLs que utilizam o esquema usuário@dns. Uma
  35. 35. 35conexão acontece em o chamador cria uma conexão orientada ou não orientada àconexão com o chamado que envia uma mensagem INVITE sobre ela, oscabeçalhos da segunda e das próximas linhas descrevem a estrutura do corpo damensagem, que transporta informações do chamador, tipos de mídia e formatos. Ecaso o chamado aceitar a ligação por sua vez irá enviar um código de resposta emHTTP, logo segue o tráfego entre as duas extremidades. No encerramento éenviado o uma mensagem com método BYE que desconecta a ligação. (SILVA,2007) Para o estabelecimento da sessão SIP são usados os métodos: • Register – usado para registrar o usuário; • Invite – Convidar alguém para uma sessão de multimídia; • ACK – confirmação de uma requisição de estabelecimento de sessão; • Cancel – cancelamento de uma transação; • Bye – encerramento de uma sessão ou transação; • Options – Consulta de compatibilidades; • Info – usado para troca de informações intermediárias como dígitos discados; • Messages – usado para mensagens curtas de serviço e mensagem instantânea; • Notify – usado para notificar eventos e atualização de registro; • Subscribe – usado para a subscrição de notificação de eventos; • Upgrate – usado para atualização das informações de uma sessão;
  36. 36. 36 Figura 4 - Etapas do SIP Figura 4 mostra o funcionamento de uma rede VoIP .Dentre H.323 e SIPprotocolos bastante eficientes nas suas tarefas que é o tráfego de voz sobre IP. MasH.323 é um padrão pesado comum na indústria telefônica, enquanto o SIP é umprotocolo leve e típico da internet, flexível para ser adaptado em novas aplicações,mas tem um problema com interoperabilidade. 4 VULNERABILIDADES “(...) a segurança é inversamente proporcional às funcionalidades”. Assim,quanto maior o número de funcionalidades que um sistema disponibilizar, maior seráa chance de haver alguma vulnerabilidade que pode ser explorada, emconsequência, a menor será a segurança do ambiente e maior será aresponsabilidade dos administradores. (NAKAMURA & GEUS, 2003) 4.1 Segurança Segurança pode ser definida como “certeza, confiança” segundo o dicionárioAurélio. Atualmente a informação é o bem de maior valor existente, e grande partedesta informação se encontra em formato eletrônico, e informação é poder sendo
  37. 37. 37que a posse de determinada informação pode fazer toda a diferença para o sucessoou fracasso de uma empresa, então se define que segurança é a proteção deinformações, sistemas, recursos e serviços contra desastres. Segundo o autor DUMONT, ele dividiu a segurança em quatro camadas,“controle de acesso ao sistema, segurança interna do sistema, monitoramento dosistema, recuperação e disponibilidade do sistema”. Sendo que um invasor podefazer um mapeamento das vulnerabilidades do sistema utilizando alguns recursos eferramentas, mas a camada de controle e acesso ao sistema pode impedir exigindoque servidores fiquem em locais seguro e que somente pessoas autorizadas tenhamacesso físico, sendo que o mesmo possua rede elétrica estabilizada, encontre-se emuma rede DMZ e protegidos por firewall. É citada a segurança interna do sistemacomo sendo uma exigência na escolha da versão do sistema operacional que vai serinstalado, e o total domínio do administrador que vai se deparar com o dia a dia noservidor, e quanto menor for o número de recursos disponível consequentementemenor serão as vulnerabilidades disponíveis aos intrusos. Na terceira camada temoso monitoramento do sistema que é o emprego de alguns softwares paramonitoramento do sistema caso exista algum intruso, se existir o software avisa asdevidas pessoas responsáveis. E na quarta e última camada composta porrecuperação e disponibilidade do sistema visa, ter um plano de contingência, que éestar preparado para o pior, e poder reverter o dano em menor tempo possível, paraisso é preciso ter o serviço de backup funcionando perfeitamente. (DUMONT, 2006) As redes de voz representam um alvo importante para os hackers pordiversos motivos, pois voz encapsulada em pacotes de dados ainda é informação eestá informação pode valer muito dinheiro, pode permitir acesso indevido ainformações financeiras estratégicas, cuja utilização pode gerar grandes prejuízostanto para a própria corporação quanto para terceiros. Um computador com telefoneIP precisa tomar cuidado com ameaças relacionadas à rede de dados e rede de voz. No VoIP, o conteúdo das conversas telefônicas está trafegando na rede dedados, encapsulado em pacotes IP, e a captura de dados em uma rede IP atravésde técnicas de “Sniffing” não é difícil, pois existem ferramentas que captura pacotesde uma conversa telefônica e consegue remontá-los e convertê-los em um formato
  38. 38. 38comum de áudio. Os vírus mesmo não sendo direcionados para o VoIP pode afetarmuito o recurso, se por algum motivo existir um tráfego muito grande na rede ospacotes podem conflitar fazendo com que nenhum dos pacotes chegue ao destino.(MADEIRA, 2007) 4.2 Negação de serviço (DoS) O ataque conhecido como DoS (Denial of Service) pode afetar váriascamadas do ambiente VoIP, o principal objetivo é provocar a interrupção oudegradação do serviço alvo. No caso do VoIP, o ataque pode ser direcionado tantopara o sistema operacional dos servidores como também para os serviços de rede, epodem ser dividido em ataque de inundação onde ocorre uma sobrecarga demensagens para um destino com o objetivo de comprometer seu funcionamento.Outro ataque DoS é o pacote deformado se dá por um processo conhecido comoFuzzing que gera pacote deformado aleatoriamente ou semi-aleatoriamente e quepode comprometer o serviço. (THERMOS & TAKANEN, 2007) 4.3 Inundação SIP SIP Flooding é o ataque gerado por inundação em que mensagens INVITEsão endereçadas ao usuário SIP, esse ataque deixa vulnerável o desempenho dosservidores SIP proxies que terão que tratar essas requisições e suas respostas alémde impossibilitar que o usuário alvo consiga efetuar ligações. (THERMOS &TAKANEN, 2007) Este ataque tem por objetivo consumir todos os recursos da rede e dosistema, causando indisponibilidade dos serviços de rede, e como o VoIP dependeda disponibilidade da infraestrutura de dados, ele também ficará indisponível. Oataque UDP flooding é o mais cobiçado pelos invasores, pois o endereço de origemdos pacotes UDP pode ser facilmente adulterado, esse tipo de ataque levavantagem, pois pode driblar facilmente os firewalls, uma vez que seja possívelalterar o IP de origem e destinar o ataque para uma porta UDP válida e liberada nofirewall. Ataque por ICMP que usa a falha de esse tipo de pacote ser liberadosatravés dos firewalls e roteadores com o objetivo de diagnóstico, através de ping e
  39. 39. 39traceroute, o ICMP provê a capacidade de enviar grandes quantidades de tráfegoatravés dos links. Uma forma de ataque usando essa capacidade consiste no enviode pacotes ICMP echo request para os endereços de broadcast de várias redescomo o endereço de origem alterado para IP da vítima. Para corrigir este erro érecomendado desabilitar nos roteadores a capacidade de receber e enviar broadcastIP com destino e a partir de sua rede. Um fator que leva a ataques sobre ainfraestrutura VoIP envolve ataques ao sistema operacional ou hardware, o quepode levar a aplicação VoIP ficar indisponível. Supondo que um atacante exploreuma vulnerabilidade no servidor Linux que esta rodando o Asterisk, o servidor irátravar, ou ainda ter seus recursos consumido, consequentemente a aplicação VoIPque roda sobre esse servidor ficará indisponível. O servidor DNS pode ser bastanteutilizado pela infraestrutura VoIP, dessa forma é possível fazer ataques de floodingno servidor DNS de forma que seja consumida a capacidade de banda da rede ouainda a capacidade de conexões de rede. Floods UDP são particularmente efetivoscontra servidores DNS expostos por que a maioria dos firewall não conseguediferenciar o tráfego malicioso gerado pelo ataque de um tráfego DNS legítimo.(GALVÃO & ZATTAR, 2003) 4.4 Sinalização SIP Loop Este por sua vez afeta sistemas que não implementam mecanismos dedetecção de looping. Este ataque registra dois usuários em domínios SIP diferentes,sendo que no cabeçalho de contato de cada registro existem dois valores, cada umapontando para um destes usuários, porém no domínio contrário. Quando o SIPproxy de um domínio recebe o INVITE para um desses usuários, ele irá gerar duasmensagens de INVITE uma para cada usuário no outro domínio. Isso faz com queno SIP proxy do outro domínio, ao receber os dois INVITE irá gerar quatro novasmensagens de INVITE para o outro domínio. Causando assim um rápidocrescimento do tráfego de INVITE e posteriormente comprometendo o serviço SIP.(THERMOS & TAKANEN, 2007)
  40. 40. 40 4.5 Modificação do ataque ao QoS Tem a finalidade de modificar os campos referentes à QoS no header dopacote IP anulando o controle de QoS da rede e comprometendo o serviço VoIP.(PORTER & GOUGH, 2007) 4.6 Autenticação SIP Ao utilizar este método ele tem o objetivo de obter as credenciais de acessode um usuário válido em um sistema de telefonia SIP através da utilização de umataque de força bruta. Através dessa técnica, um atacante pode enviar inúmerasrequisições de registro com identificação e senhas a partir de um arquivo dedicionário, uma vez descoberta à senha, o atacante pode usar ela para acessar oserviço. (THERMOS & TAKANEN, 2007) 4.7 Analise de tráfego e escuta Este ataque tem a finalidade de compreender os métodos de ataque quepermitem ao atacante monitorar a sinalização e o tráfego de dados VoIP sem alterá-los, basicamente essa técnica de ataque leva a busca de informações para oaperfeiçoamento de ataques posteriores. Para este ataque é preciso que o atacanteesteja usando a rede local de onde o servidor SIP estiver implantado ou use umatécnica de envenenamento da tabela ARP para conseguir interceptar os pacotes dacomunicação antes que eles sejam transmitidos ao destino correto. (THERMOS &TAKANEN, 2007) 4.8 Envenenamento ARP ARP poisoning também conhecido como ARP spoofing, é um ataque queexplora a vulnerabilidade do nível de rede do modelo TCP/IP. O protocolo ARPresponsável por fazer o mapeamento entre o endereço físico da interface de rede eo endereço IP, o princípio deste ataque consiste em alterar (envenenar) essemapeamento através da manipulação da tabela ARP dos equipamentos de rede,
  41. 41. 41para isso o ataque envia uma mensagem de broadcast na rede publicando um novoMAC para o IP que ele deseja interceptar. (THERMOS & TAKANEN, 2007) 4.9 Mascaramento É caracterizada pela habilidade do atacante em se fazer passar por umusuário, dispositivo ou servido a fim de obter acessa a rede, seus dispositivos einformações trafegadas. Esse tipo de ameaça pode comprometer a disponibilidade,a integridade e a confidencialidade dos serviços de VoIP. A impersonificacão é umtipo especial de mascaramento em que o atacante pode comprometer a segurançado sistema seja através da falsificação de serviços e dispositivos de rede básicos nainfraestrutura VoIP, seja se fazendo passar por outra pessoa através da captura ouroubo das credenciais de acesso da vítima. Esse tipo de ataque pode ocorrer contrausuários, dispositivos, serviços e aplicações de rede. (PORTER & GOUGH, 2007) Impersonificação dos serviços e aplicações, método mais sofisticado deataque, envolve uma coordenação maior de elementos e esta relacionado aos tiposde ataque que tiram vantagens de vulnerabilidades que impactam no roteamentodos protocolos de sinalização. Impersonificação dos dispositivos, elementos de redecomo telefones, servidores DNS, registradores SIP e gateways de mídia esinalização podem ser impersonificados com o objetivo de coletar e desviar seustráfegos de rede. Impersonificação do assinante caracteriza a impersonificação emque o atacante mascara sua identidade utilizando-se de credenciais capturadas oude acesso a dispositivos de um assinante de uma serviço para realizar seu ataque. Os métodos mais utilizados de mascaramento no VoIP são direcionados àmanipulação das mensagens de sinalização embora métodos tradicionalmenteconhecidos como clone de endereços IP e MAC e spoofing de IP também sãoutilizados. (THERMOS & TAKANEN, 2007) 4.10 Sequestro de chamada No cabeçalho da requisição Register em um sistema SIP há um registro cominformações de contato (Contact) que é usado pelo Proxy SIP para rotear asligações para o dispositivo do usuário. O ataque de sequestro de chamada pode ser
  42. 42. 42realizado através da alteração das informações de IP contidas nesse registro. Comessa alteração, as ligações que deveria ser encaminhadas para o dispositivo dousuário, são desviadas para o dispositivo do atacante. (THERMOS & TAKANEN,2007) No estudo VoIP a verificação insuficiente de dados em uma implementação,acaba permitindo que os próprios usuários entrem na rede para promover ataques.Bancos de dados padrão são normalmente utilizados como o backbone de serviçosde VoIP e seus registros, em uma implementação é necessário observar comatenção para filtros de conteúdo ativo, como solicitações SQL envolvendo nomes deusuários, senhas e URL’s de sessões, a maioria dos problemas relacionados afalhas de execução resultará da má utilização de filtros e programações inseguras.Os pacotes mal formados, com conteúdo e estruturas inesperadas existem emqualquer protocolo de mensagem. A maioria das mensagens mal formadas envolveataques de buffer overflow. O resultado é que o input dado pelo invasor é escritosobre outros conteúdos de memória interna, como registros e pointers, quepermitirão ao invasor total controle sobre o processo vulnerável. Especialmente emequipamentos embutidos, os recursos disponíveis para implementações VoIPpodem ser muito escassos, pouca memória e baixa capacidade de processamentopodem ajudar o invasor a derrubar os serviços VoIP nesses equipamentos. Oserviço precisa ser criado de forma a suportar a demanda mesmo que todos osusuários decidam utilizá-lo simultaneamente, um serviço pode receber uma série defalsas solicitações ou mesmo, por engano, carga de usuários reais, se não possuircapacidade suficiente o resultado será a paralisação do serviço. A única identificação que um usuário de VoIP tem é o número de seutelefone ou a URL SIP e uma eventual senha para o serviço, a senha é armazenadatanto no cliente quanto no servidor, se as senhas forem armazenadas no servidorem um formato que possam ser revertidas, qualquer um com acesso a esse servidorpode obter o nome de usuário e a senha referente a ele. Recursos precisam serprotegidos tanto da perspectiva do sistema operacional quanto da plataforma e darede, os serviços de VoIP rodando sobre a plataforma precisam levar emconsideração os seus privilégios, um serviço VoIP não necessariamente requerprivilégios administrativos para rodar. Dados confidenciais precisam ser protegidos
  43. 43. 43de qualquer tipo de ataque. A vulnerabilidade mais comum nesta categoria é nãocriptografar os dados, mesmo quando os mecanismos de criptografia estãodisponíveis. Tantos os usuários quanto os seus equipamentos precisam serautenticados, além disso, outros serviços, como gerenciamento de equipamentos,existem nos aparelhos VoIP e também precisam de autenticação do usuário. Outravulnerabilidade existente em diversas infra-estruturas de redes homogêneas é agrande dependência em um número limitado de marcas e aparelhos, se uma redeinteira depender de uma marca específica de telefones, proxy ou firewall, um ataqueautomatizado, como vírus ou worms pode paralisar a rede. (THERMOS &TAKANEN, 2007) Tabela 1 - Ataques mais usados no VoIPAlvo Objetivo MétodoUsuário Fraude. Obter as credencias do usuário por meio de outro ataque e usá-las para efetuar ligações fraudulentas. Obter acesso físico ou remoto a um dispositivo do usuário. Manipular mensagens de sinalização para desviar tráfego.DNS Redirecionar as requisições Envenenamento de cache de DNS. de sessão para um Violação de acesso com o objetivo dispositivo não autorizado. de manipular as configurações de elementos da rede.Gateway de Desviar o tráfego da Manipular remotamente aSinalização sinalização e sinalização para desviar o tráfego. consequentemente as Violação de acesso com o objetivo chamadas. de manipular as configurações de elementos da rede.Gateway de Desviar tráfego da mídia. Manipular remotamente aMídia sinalização para desviar o tráfego. Violação de acesso com o objetivo de manipular as configurações de elementos da rede.Proxy SIP Obter credencias de Manipular remotamente a
  44. 44. 44 usuários. sinalização para desviar o tráfego Desfiar o tráfego da (manipulação das sessões pelo sinalização e spoofing de mensagens de consequentemente as sinalização como Refer e Invite). chamadas. Violação de acesso com o objetivo de manipular as configurações de elementos da rede.SIP Registra Obter credencias de Ataque de spoofing nas requisições usuários. de registro. Violação de acesso com o objetivo de manipular as configurações de elementos da rede.Gatekeeper Obter credenciais de Ataque de spoofing nas requisiçõesH.323 usuários de registro. Obter informações do tráfego Violação de acesso com o objetivo da chamada. de manipular as configurações de elementos da rede.Soft switch Desviar o tráfego da Violação de acesso com o objetivo sinalização e de manipular as configurações de consequentemente as elementos da rede. chamadas. Obter informações do tráfego da chamada Fonte: THERMOS & TAKANEN, 2007, p. 111 5 SOLUÇÕES PARA REDES VOIP
  45. 45. 45 Como já citado algumas ameaças e vulnerabilidades encontradas no mundoVoIP, a diante trataremos das correções para os problemas, para tentar evitarsurpresas. 5.1 Segurança de VLAN Usar VLAN significa permitir a segmentação lógica da rede criando domíniode colisão e de broadcast diferentes entre o tráfego de dados e o tráfego de voz.Agindo desta maneira podemos prevenir que problemas de rede de um segmentointerfiram no outro e vice-versa, os ataques de negação de serviço e instabilidadesna rede de dados provocados pela atuação de pragas virtuais como vírus e wormsterão seus efeitos minimizados com a utilização de VLAN’s, a segmentação dobroadcast favorece o desempenho causando uma redução do tráfego da rede, emconsequência proporciona uma maior banda passante. As VLAN’s podem serimplementadas com mecanismo de QoS para que no VoIP seja priorizado o tráfego,o padrão foi definido pelo IEEE através do protocolo 802.1Q. Em uso de softphonese a estação de trabalho possuir uma única interface de rede significa que osoftware irá compartilhar a rede de dados para trafegar o fluxo de voz, em casoscomo este, não será possível utilizar o conceito de VLAN para separação dostráfegos de dados e voz. (PORTER & GOUGH, 2007) 5.2 Segurança com firewall, IDS e IPS. Equipamentos como firewalls, IDS (Intrusion Detection System) e IPS(Intrusion Prevention System) tem a finalidade de proteger segmentos de redecontra ameaças externas, esse tipo de equipamento são estrategicamente inseridosna infra estrutura de rede de modo que todo tráfego entre os segmentos de redespasse pelos equipamentos. (THERMOS & TAKANEN, 2007) Com a finalidade de bloquear todo tráfego da rede que não esteja de acordocom a política de segurança implementada pelas regras de acesso, o firewall éresponsável pelo processamento do tráfego realizado sob técnicas de filtro depacotes. Esse processo consiste em analisar informações contidas no cabeçalho decada pacote que atravessa o firewall como endereços IP, portas e tipo de protocolos
  46. 46. 46a fim de identificar os pacotes legítimos. Os firewall’s podem ser classificados emStateless e Stateful, sendo o Stateless firewall que não guardam informações emmemória sobre o estado das conexões, já os Stateful mantém em memória umatabela de estado das conexões, e dessa forma, conseguem diferenciar pacotesiniciando uma nova conexão de pacotes de conexões já estabelecidas ourelacionadas. Além da habilidade de verificar e barrar pacotes com número desequência incorreto, sendo este tipo de firewall mais eficiente para detectar ebloquear pacotes maliciosos. (PORTER & GOUGH, 2007) IDS e IPS são sistemas capazes de detectar tráfego maliciosos mesmo queesses tenham sido considerados legítimos pela política de segurança de firewalls.Através de uma arquitetura composta por sensores, unidade de detecção e umabase de conhecimento, esses sistemas analisam os protocolos dos pacotes até ascamadas do nível de aplicação. Existem três métodos de detecção utilizados poresses sistemas que são os baseados em assinantes, em anomalia e em análise doprotocolo Stateful. Os sistemas baseados em assinatura utilizam uma base dedados, que deve ser atualizada periodicamente, com as instruções referentes aosconhecidos ataques, o que inclui, por exemplo, assinaturas contra ataques ao CodeRed, NIMIDA, DoS, buffer overflows e outras vulnerabilidades. (PORTER &GOUGH, 2007) Sistemas de detecção de intrusão baseados em anomalias funcionam combase no comportamento da rede. Distorções observadas nesse comportamento sãoindícios de que algo está errado, apesar de ser um método muito eficiente paradetectar ataques como Port Scan e DoS, falso-positivos podem ocorrer se o padrãode comportamento da rede não for mapeado adequadamente. Já os sistemasbaseados em análise do protocolo stateful fazem a análise dos protocolos dospacotes ate as camadas do nível de aplicação e verificam se eles estão emconformidade com os perfis de comportamento estabelecidos pela RFC’s e vendorsde cada protocolo. (PORTER & GOUGH, 2007) 5.3 Segurança no QoS
  47. 47. 47 O emprego de técnicas de Qualidade de Serviço é importante para o bomfuncionamento do serviço VoIP. QoS visa entregar uma largura de banda garantidae um valor máximo de atraso e Jitter, em uma transmissão de dados, atraso é otempo que a informação leva para trafegar entre sua origem e seu destino, em VoIPa origem é o emissor da voz e o receptor sendo aquele que ouve. O objetivo ao seutilizar técnicas de QoS é garantir o bom desempenho do fluxo de voz mesmo emmomentos que a rede esteja em condições desfavoráveis, rede congestionadas,seja em decorrência de um ataque de DoS ou pela ação de pragas virtuais aindapodem ter uma excelente qualidade no fluxo de voz quando utilizadas políticas deQoS apropriadas. (PORTER & GOUGH, 2007) 5.4 Segurança na autenticação SIP O mecanismo de autenticação SIP é usado para fornecer segurança aoprocesso de requisições de mensagens envolvendo o registro e o inicio e fim desessões (métodos REGISTER e INVITE). Após receber a tentativa de registro, oservidor de registro retorna ao agente de usuário uma mensagem 401 Unalthorizedmessage solicitando um desafio para a sua autenticação. Em seguida, o agente deusuário envia uma nova mensagem de requisição de registro acrescida de um MD5digest que será usado na autenticação, caso a autenticação seja realizada comsucesso, as informações do dispositivo e do usuário são autorizadas e é retornadauma mensagem de OK. Processo semelhante ocorre para início e término dachamada com o método INVITE e BYE respectivamente. A autenticação SIP éopcional e pode ser implementada separadamente para cada método SIP. Porexemplo, pode-se optar pela autenticação nos métodos REGISTER e INVITE semtê-la nos métodos BYE e CANCEL. Contudo, esse tipo de escolha pode abriroportunidades para ataques como início e término de chamadas sem autorização.Como proteção contra ataques de message replay e mascaramento, a autenticaçãopor desafio deve ser utilizada em todas as mensagens que se destinam a criar,modificar sessões. Ainda algumas mensagens como CANCEL e BYE não sãoprotegidas pela utilização de MD5. Como alternativa recomenda-se a utilização decriptografia para as mensagens de sinalização através de protocolos como TLS,IPSec e S/MINE. (THERMOS & TAKANEN, 2007)
  48. 48. 48 5.5 Segurança IPSec Internet Protocol Security (IPSec) é uma extensão do protocolo IP descritopela IETF para operar no nível de rede do modelo OSI com a finalidade de proverautenticidade, confidencialidade e integridade na comunicação fim a fim deaplicações que utilizam a rede IP. O IPSec pode operar de duas formas diferentes.Em modo de transporte onde somente a carta útil do pacote IP é protegida, ocabeçalho fica intacto. Modo túnel que todo o pacote IP é protegido por criptografia,neste modo há a necessidade de um novo cabeçalho IP para fazer oencaminhamento do pacote. Em redes VoIP o IPSec pode fornecerconfidencialidade, integridade e autenticação para mensagens de sinalização e demídia, criando túneis seguros entre as entidades participantes da comunicação, aformação do túnel IPSec acrescenta atraso tanto no estabelecimento da chamadacomo no transporte da mídia o que muitas vezes torna inviável a utilização. A empresa Telecordia Technologies realizou um estudo sobre o uso doIPSec no processo de sinalização de uma chamada fim a fim é inviável em virtudedo tempo gasto para a formação dos túneis entre cada hop envolvido nacomunicação. O estudo demonstra que uma chamada entre domínios SIP usandodois servidores Proxy leva cerca de 20 segundos para ser estabelecida. O padrãotolerável para esse processo é em torno de 250ms, se o túnel IPSec fim a fim jáestiver estabelecido, a transmissão da mídia e das mensagens de sinalização sofreum atraso desprezível o que faz da utilização de túneis IPSec uma alternativa viável.(THERMOS & TAKANEN, 2007) 5.6 Segurança através do protocolo TLS Protocolo criptográfico especificado pela IETF para fornecer segurança nacomunicação fim a fim em redes TCP/IP, assim como o IPSec, este também éutilizado para a criação de VPN’s (Virtual Private Network). O TLS é um protocoloindependente do nível de aplicação, baseado em sessão, utilizado para criptografarconexões TCP, com a capacidade de oferecer autenticação mutua entre cliente eservidor, confidencialidade e integridade às aplicações baseadas em rede IP, estecomposto por duas camadas:
  49. 49. 49 TLS Record Protocol é a camada inferior cuja função é garantir a segurançada conexão. Nessa camada é realizado o encapsulamento e transmissão de todasas mensagens dos protocolos dos níveis superiores, ao transmitir uma mensagem, oprotocolo de registro realiza a fragmentação dos dados, opcionalmente faz suacompressão, e aplica uma função de integridade, faz a criptografia e a transmissãodas mensagens. No receptor ocorre o processo inverso. (PORTER & GOUGH,2007) TLS Handshake Protocol cuja camada tem a função de negociar osparâmetros de segurança que serão usados pela camada de registro para oestabelecimento de conexões seguras. Dentre esses parâmetros estão os métodosde compressão, criptografia e integridade que serão utilizados, o tamanho do hash ea troca dos certificados e master key usados entre cliente e servidor. O TLS foiconcebido para dar suporte aos protocolos confiáveis da camada de transportecomo TCP e SCTP, possui limitações quando se trata de aplicações que usam UDPcomo é o caso das mensagens SIP. (THERMOS & TAKANEN, 2007) Uma das limitações do uso de TLS para proteção da sinalização SIP está nofato de que ele não suporta confidencialidade fim a fim para usuários conectados emSIP proxies intermediários. Para esse caso, em cada segmento deve serestabelecida uma conexão TLS distinta. Assim, cada SIP Proxy precisa analisar ocabeçalho do pacote SIP a fim de saber para onde encaminhá-lo, feito isso, aconexão segura é finalizada e uma nova sessão é criada para o próximo hop.(THERMOS & TAKANEN, 2007) 5.7 Segurança usando DTLS Datagram Tranport Layer Security é o protocolo descrito pala RFC 4347para atender as limitações do TLS no fornecimento de um serviço de transporteseguro às aplicações que utilizam UDP como protocolo de transporte fim a fim narede IP. Muito embora seja similar ao TLS em muitos aspectos, o que inclui alimitação de necessitar que uma nova conexão seja estabelecida para garantir aproteção das mensagens SIP entre cada hop, o DTLS tem como diferencial a
  50. 50. 50capacidade de tratar aspectos da comunicação UDP não confiável como a perda e oreordenamento dos pacotes. O TLS apresenta deficiências quanto ao tratamento deperdas de pacotes durante o handshke do protocolo assim como na detecção depacotes duplicados. O DTLS foi especificado para superar essas limitações.(THERMOS & TAKANEN, 2007) 5.8 Segurança com S/MIME Secure/Multipurpose Internet Mail Extensions é um padrão especificado palaIETF através da RFC 3851 para fornecer autoridade, integridade e confidencialidadepara protocolos de aplicação como SMTP e SIP. O MIME é largamente utilizado emsistemas de email para tratar formatos complexos de mensagens e caracteresencapsulados dentro do protocolo SMTP. O MIME define uma série de mecanismospara codificar e representar essas mensagens de formatos complexos comoarquivos multimídia e caracteres linguísticos anexados dentro de outros protocoloscomo SMTP ou SIP. O S/MIME é uma versão do MIME que incorpora em suaestrutura o padrão de criptografia de chaves públicas a fim de prover segurança paraos protocolos de aplicação que utilizam, diferente do TLS e do DTLS que englobamtoda a mensagem SIP em suas estruturas, o S/MIME é mais flexível e permite sermais granular na proteção das informações das mensagens SIP. Assim, elepossibilita que equipamentos intermediários da rede interpretem a parte nãocriptografada sem a necessidade de decodificar todo pacote, além disso, ele podeser usado com UDP e TCP, é mais flexível que os métodos usando IPSec, TLS eDTLS na proteção fim a fim. (THERMOS & TAKANEN, 2007) 5.9 Segurança no protocolo H.323 Para questões de segurança como autenticação e integridade a ITU-Tespecificou o padrão H.235 para trabalhar em conjunto com os demais protocolos daseria H. esse padrão especifica perfis de segurança que podem ser combinadospara atender aos serviços de segurança como autenticação, integridade,confidencialidade, irrevogabilidade, controle de acesso e gerenciamento de chave decriptografia. O perfil H.235.1, por exemplo, presta suporte a serviços de autenticaçãoe integridade. A autenticação é suportada através do compartilhamento de chave
  51. 51. 51secreta ou de métodos de chave publica com uso de certificados que sãoimplementados juntamente com os protocolos de controle e de sinalização como oH.245 e o H.225. Outros perfis tratam da criptografia através da utilização dealgoritmos de chave simétrica como DES, 3DES e AES que podem ser usadosjuntamente com o fluxo RTP. Ainda, TLS e IPSec são recomendações para fornecersegurança aos níveis 4 e 3 da pilha TCP/IP respectivamente. Segue figura 5mostrando o padrão H.235. (PORTER & GOUGH, 2007) Figura 5 - Padrão H.235 Tabela 2 - Perfis de Segurança do Padrão H.235Recomendação DescriçãoH.235.0 Estrutura de segurança para a série H (H.323 e outros baseados em H.245) sistemas de multimídia.H.235.1 Baseline security profile.H.235.2 Signature security profile.H.235.3 Hybrid security profile.H.235.4 Direct and selective routed call security.H.235.5 Security profile for RAS authentication usind weak shared secrets.H.235.6 Voice encryption profile with “native” H.235/H.245 key management.H.235.7 MIKEY + SRTP security profile.H.235.8 Key Exchange for SRTP on secure signaling channels.H.235.9 Security gateway support for H.323. Fonte: THERMOS & TAKANEN, 2007, p. 194
  52. 52. 52 5.10 Segurança usando MGCP O protocolo MGCP não fornece nenhum controle de segurança, dessa formaé muito recomendado utilizar protocolos de segurança como é o caso do IPSec parafornecer alguma proteção ao MGCP. Se não for implementada nenhuma proteção,uma atacante pode facilmente enviar mensagens de sinalização para desconectarchamadas, desviar o fluxo RTP para outro host ou mesmo o fluxo de umaconferencia sem que os participantes tomem conhecimento. Em ataques ao MGCPrecomenda-se reforçar o controle de acesso a rede para restringir o acesso a portasdo MGCP, essa prática evita a tentativa maliciosa de manipulação de sessõesexistentes. É Recomendado também reforçar a relação um para um entre callmanager e os gateways da RPTC na troca de mensagens MGCP. Ainda quandosuportado, habilitar IPSec para a criptografia do tráfego entre call manager e ogateway RPTC. (THERMOS & TAKANEN, 2007) 5.11 Segurança no fluxo da mídia O protocolo padrão utilizado para troca de fluxo de mídia é o RTP, se omesmo for utilizado sem os devidos cuidados, o fluxo de mídia poderá ficarvulnerável a ataques de interceptação e manipulação que comprometerão princípiosde integridade e confidencialidade das informações trafegadas no ambiente.(PORTER & GOUGH, 2007)
  53. 53. 53 6 Conclusão Com este estudo foi possível ter conhecimento em cima do recurso VoIP quejá é bastante difundido entre as empresas que procuram uma redução de custos,apesar de não ser foco a redução de custo e sim a segurança, as lições aquipassadas são essenciais para qualquer administrador de redes, gerentes de TI,administradores de segurança, tomar cuidado com a segurança dos recursos de vozdas empresas, e até mesmo todos os outros recursos que trafegue sobre o TCP/IP,o princípio vem ser o mesmo para todos os demais recursos. Várias medidas são aplicadas para evitar diversos ataques, vale a penaobservar que a rede é tão segura quanto o elo mais fraco dela, isso significa que nãoadianta a implementação de certo tipo de proteção, se ela não é utilizada para todosos elementos da rede, ou ainda não adianta implementar sistemas de IPS efirewalls, se os usuários de acesso a eles possuem os valores padrão com senhasde administração por exemplo. A proteção da infraestrutura nunca é feita apenascom uma medida e sim com uma serie delas. Como trabalho futuro, a intenção de implementar o VoIP em uma rede IPV6é curiosa, pois segundo estudos desta tecnologia, trata-se de um método maisrápido de transmissÀ

×