VoIP - Voz sobre IP, uma an´ lise do protocolo H.323                                  a                    Seguranca da In...
´                                                            ¸˜o VoIP e uma das tecnologias que mais cresce no setor de te...
´                         Figura 1. Onda de um sinal analogico                                          ˜                 ...
para VoIP, apesar de existirem outros codecs com qualidade superior e que utilizam umataxa de dados semelhante. O uso do G...
Transfer Protocol) e o SMTP (Simple Mail Transfer Protocol), atuando no n´velı                ¸˜       de aplicacao, estab...
´Control Protocol) para troca sequencial de pacotes de audio e v´deo. Al´ m disso, o H.323                                ...
7.3. MCU                                       ´           MCU (Multi Control Unit) e um componente central que realiza um...
Na fase 1, o gatekeeper realiza a troca de mensagens especificadas no H.225.                           ´Esta troca de mensa...
mensagens das extremidades H.323 de forma a garantir a seguranca do protocolo utili-                                      ...
9. QoS                                     ´           QoS (Quality of Service) e a habilidade de prover diferentes priori...
10.4. Interoperabilidade                    ´           O H.323 e um protocolo complexo que precisa ter um padr˜ o de confi...
¸˜11.3. Ataques de negacao de servico                                 ¸                               ´          A tecnolo...
´chamada no dispositivo de som do computador. Confirme a figura 7, e poss´vel verificar                                      ...
Referˆ ncias Bibliogr´ ficas            e               aAMES Peter,MANOJ Bathia,SATISH Kalidini,SUDIPTO Mukherjee, Fundame...
[H.235], International Telecommunication Union Telecommunication StandardizationSector ITU-T, ”Security and encryption for...
Upcoming SlideShare
Loading in …5
×

VoIP - Voz sobre IP, uma análise do protocolo H.323

5,543 views

Published on

VoIP - Voz sobre IP, uma análise do protocolo H.323

Este artigo descreve o funcionamento do protocolo H.323 para utilização em Voz sob IP, descrevendo as suas característica além de mostrar informações sobre os principais codecs e seus problemas com segurança.

Published in: Technology
2 Comments
2 Likes
Statistics
Notes
No Downloads
Views
Total views
5,543
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
185
Comments
2
Likes
2
Embeds 0
No embeds

No notes for slide

VoIP - Voz sobre IP, uma análise do protocolo H.323

  1. 1. VoIP - Voz sobre IP, uma an´ lise do protocolo H.323 a Seguranca da Informacao ¸ ¸˜ Marcelo Dieder1 1 ¸˜ Seguranca da Informacao ¸ Universidade do Vale do Rio dos Sinos - UNISINOS S˜ o Leopoldo – RS – Brazil a {mdieder@sinos.net} Resumo. O objetivo desse artigo e demonstrar as principais tecnologias de voz ´ sobre IP, com enfase no padr˜ o ITU-T H.323. Ser´ apresentado uma vis˜ o geral ˆ a a a do protocolo VoIP, sua hist´ ria, como e realizado a digitalizacao da voz, um o ´ ¸˜ resumo sobre os principais protocolos utilizados atualmente e uma descricao ¸˜ detalhada sobre o padr˜ o H.323. Por fim, pretende-se mostrar os principais a problemas e uma an´ lise de seguranca sobre a tecnologia de VoIP. O artigo pode a ¸ ser utilizado como base para estudos e implementacao de novas arquiteturas ¸˜ baseadas em voz sobre IP. Abstract. The objective of this article is to demonstrate the main technologies of voice over IP, with emphasis on standard ITU-T H.323. Will be presented an overview of the VoIP protocol, its history, how it’s performed the digitization of voice, a summary of the main protocols used today, and a detailed description of the H.323 standard. Finally, we shall show the main problems and a security analysis on the technology of VoIP. ¸˜1. Introducao ´ VoIP e uma grande tecnologia emergente que um dia ir´ substituir completa- amente o sistema telefˆ nico tradicional. Ao mesmo tempo, existem diversos padr˜ es para o o ¸˜a aplicacao da tecnologia, cada uma com suas vantagens e caracter´sticas. Como voz so- ı ´ `bre IP e um padr˜ o novo, existem diversos problemas quanto a sua seguranca, com o risco a ¸de comprometer o crescimento e a sustentabilidade da tecnologia. O artigo visa demons- ¸˜trar como foi desenvolvido o padr˜ o, em que situacao estamos atualmente, demonstra as a ı ¸˜caracter´sticas da recomendacao ITU-T H.323, e apresenta quais s˜ o os principais proble- amas de seguranca e as estrat´ gias para mitigar estes riscos. ¸ e2. Vis˜ o geral do servico de voz sobre o protocolo IP a ¸ e ´ Voz sobre IP, ou VoIP (Voice over Internet Protocol) como tamb´ m e conhe- ´ ¸˜cido, e uma tecnologia que permite a digitalizacao da voz humana para transmiss˜ o em auma rede de dados IP (Internet Protocol), permitindo que pessoas possam conversar entresi utilizando as mesmas redes de dados existentes, eliminando assim as tarifas de longadistˆ ncia ocasionadas atrav´ s de chamadas PSTNs (Public Switched Telephone Network). a eFoi este grande benef´cio que fez com que a tecnologia de voz sobre IP alavancasse gran- ıdes investimentos e pesquisas por parte de grandes empresas, para homologar a nova ¸˜ ¸˜tecnologia que prometia a reducao de custos, e menor administracao. N˜ o h´ d´ vida que a a u
  2. 2. ´ ¸˜o VoIP e uma das tecnologias que mais cresce no setor de telecomunicacoes, oferecendoaos provedores de servicos uma grande oportunidade de crescimento atrav´ s de servicos ¸ e ¸de valor agregado.3. Hist´ ria o A primeira transmiss˜ o de voz foi realizada no ano de 1876 por Alexander a e ¸˜Graham Bell atrav´ s de um circuito direto. Na ligacao realizada atrav´ s do circuito di- ereto n˜ o havia a discagem de n´ meros, mas sim apenas uma conex˜ o f´sica de fios entre a u a ı ¸˜dois dispositivos. Neste modelo a comunicacao era unidirecional, permitindo apenas umlado falar por vez. Com o passar do tempo a tecnologia de transmiss˜ o de voz evoluiu, a ¸˜passando a ser bidirecional, permitindo dois lados de uma conversacao a falar ao mesmotempo e ainda integrando-se a milhares de outros pontos, formando uma rede telefˆ nica ointegrada. Na d´ cada de 90, as redes de dados comecaram a trafegar sobre circuitos que at´ e ¸ eent˜ o eram exclusivos para a telefonia. Com o aumento da demanda por conex˜ es de da- a odos, elas sobrepuseram a voz como tr´ fego prim´ rio em muitas redes que at´ ent˜ o eram a a e a ı ¸ a `espec´ficas para voz. Comecou a surgir ent˜ o a necessidade de trafegar a voz sobre a redede dados, iniciando o desenvolvimento de uma nova tecnologia, o VoIP. Em 1995, umaempresa de Israel iniciou um projeto de desenvolvimento da tecnologia, digitalizando,comprimindo e transmitindo a voz em uma rede de dados. A tecnologia evoluiu, cri-ando diversos padr˜ es aderidos por grande parte do mundo como um novo padr˜ o para a o atelefonia, reduzindo custos e proporcionando uma capacidade de expans˜ o. a ¸˜4. Digitalizacao da Voz Tudo o que escutamos est´ na forma anal´ gica. Da mesma forma, a rede te- a olefˆ nica at´ alguns anos atr´ s tamb´ m trabalhava de forma anal´ gica. Posteriormente, a o e a e orede telefˆ nica evoluiu e passou a trabalhar em redes digitais que garantiam uma maior o ¸˜confiabilidade e qualidade. A transformacao de um sinal anal´ gico para um sinal digital e o ´ e ¸˜realizado atrav´ s da modulacao por c´ digo de pulso PCM (Pulse Code Modulation), que o´ ¸˜e o m´ todo mais utilizado para a comunicacao de voz em fluxo digital. A grande van- e ´tagem deste protocolo e sua retransmiss˜ o, permitindo a possibilidade de transmiss˜ es a a o a ´longos alcances sem a perda de qualidade, o que n˜ o e poss´vel com a rede anal´ gica. No ı o a ´ e ´VoIP, a transmiss˜ o da voz e realizada atrav´ s da voz digitalizada. E poss´vel dividi-la ıem pequenos pacotes IP que s˜ o transmitidos em conjunto com outros pacotes de dados - aestes pacotes s˜ o recebidos em outra ponta, s˜ o remontados e transformados novamente a aem voz. Conforme as figuras 1 e 2, podemos verificar o comportamento de um sinalanal´ gico e um sinal digital. o
  3. 3. ´ Figura 1. Onda de um sinal analogico ˜ Figura 2. Transmissao de um sinal digital5. Codec Podemos definir codec como um algoritmo que codifica e descodifica sinaisde voz e ou v´deo para transmiss˜ o em uma rede de dados digitais. O codec efetua a ı a ¸˜codificacao de um sinal, transmite em uma rede de dados digital, e descodifica na outraponta. Codecs s˜ o utilizados para codificar e descodificar (ou compactando e descom- apactando) v´ rios tipos de dados com o prop´ sito de diminuir o tamanho da informacao a o ¸˜e utilizar menos recursos do que sua forma descodificada utilizaria, economizando as-sim a banda dispon´vel em uma rede de dados por exemplo. Em um sistema de telefo- ı ¸˜ ´ ´nia IP a utilizacao de um codec e essencial. E atrav´ s do codec que um sistema VoIP ese torna vi´ vel, possibilitando que v´ rios canais de voz possam ser transmitidos em um a amesmo canal de dados. Existem diversos tipos de codecs e que utilizam formas diferentes ¸˜ ¸˜de codificacao e compactacao dos quais podemos listar os mais utilizados na tecnologiaVoIP: ¸˜ G.711 – A recomendacao da ITU-T(Telecommunication Standardization Sector)´ ¸˜ ´e o padr˜ o internacional para codificacao de audio telefˆ nico em um canal de 64Kbps. O a oG.711 pode codificar frequˆ ncias entre 0 a 4 kHz e tˆ m duas variantes, a lei A (G.711A) e e ´e a lei (G.711U). A lei A e o padr˜ o para os circuitos internacionais. a ¸˜ G.723 – A recomendacao G.723.1 da ITU-T define o requisito para um codec debaixa velocidade (5,3 e 6,3 Kbps). O codec G.723 pode aceitar duas taxas diferentes ¸˜de bits, de 5,3 e 6,3 Kbps e efetua a codificacao em frames de 30ms, introduzindo umretardo algor´tmico total de 37.5ms. A vers˜ o do G.723 de 6.3 Kbps oferece uma maior ı a ¸˜ ´qualidade para a codificacao da fala. O G.723 e utilizado principalmente em transmiss˜ es o
  4. 4. para VoIP, apesar de existirem outros codecs com qualidade superior e que utilizam umataxa de dados semelhante. O uso do G.723 requer uma licenca para as patentes que ¸cobrem o algoritmo. ´ G.729 – O codec G.729 e o padr˜ o ITU-T para transmiss˜ es em redes de dados a outilizando uma pequena taxa de largura de banda e oferecendo uma excelente qualidade de´audio. O G.729 tem diversas variantes, dentre as quais podemos citar as duas principais, ¸˜o G.729 Annex A e o G.729 Annex B. O G.729A efetua a codificacao em frames de 10msintroduzindo um retardo algor´tmico total de 15ms e uma taxa de velocidade de 8Kbps. O ıG.729B al´ m das caracter´sticas do G.729A, introduz tamb´ m a supress˜ o de silˆ ncio, ou e ı e a e ´como originalmente e conhecido, o VAD (Voice Activity Detection), reduzindo a bandanecess´ ria para a transmiss˜ o em redes de dados j´ que prevˆ a transmiss˜ o de qualquer a a a e a ¸˜tipo de frame sem atividade de voz. Assim como o G.723, a utilizacao do codec G.729 e ¸ ´tamb´ m requer licenca para as patentes que cobrem o algoritmo. Este e um dos codecsmais utilizados, sendo largamente utilizado nas transmiss˜ es de VoIP pela internet. o A figura 3 apresenta a taxa de transferˆ ncia de codecs baseado no conceito de eMOS(Mean Opinion Score). Figura 3. MOS de diferentes codecs6. Principais Protocolos ¸˜ Existem atualmente diversos protocolos utilizados para controle e sinalizacaode voz sobre IP em uma rede de dados, dos quais podemos citar o H.323 - padr˜ o reco- amendado pelo ITU-T, SIP (Session Iniciation Protocol) – padr˜ o recomendado pelo IETF a(Internet Engineering Task Force) e o MGCP (Media Gateway Control Protocol). • O H.323, padr˜ o recomendado pelo ITU-T e um dos protocolos mais utilizados a ´ ¸˜ atualmente para a comunicacao, sendo tamb´ m um dos mais complexos. Ele foi e ¸˜ ´ desenvolvido para a utilizacao de tr´ fego multim´dia, podendo trafegar audio, a ı v´deo e dados em uma rede baseada em IP, embora seja apenas obrigat´ rio a ı o ¸˜ ´ utilizacao de audio. • O SIP, padr˜ o recomendado pelo IETF e um protocolo de sinalizacao simples a ´ ¸˜ descrito na RFC 3261, baseado em protocolos de texto com o HTTP (Hypertext
  5. 5. Transfer Protocol) e o SMTP (Simple Mail Transfer Protocol), atuando no n´velı ¸˜ de aplicacao, estabelecendo, modificando e terminando sess˜ es multim´dia e ou o ı ¸˜ ´ ligacoes. Juntamente com o H.323 e um dos protocolos mais utilizados atual- mente, e sua simplicidade de arquitetura est´ tornando-o o principal protocolo de a voz sobre IP desenvolvido especificamente para uso na Internet. • O MGCP, padronizacao do IETF, e tamb´ m conhecido como o protocolo ME- ¸˜ ´ e ¸˜ GACO ap´ s uma cooperacao de trabalho entre os grupos ITU-T e IETF. E um o ´ ¸˜ protocolo utilizado para a integracao de redes SS7(Signaling System No. 7) com a tecnologia VoIP. ¸˜ ¸˜ Al´ m da utilizacao de um protocolo de sinalizacao, a arquitetura VoIP necessita e ¸˜da utilizacao de outros protocolos IP para o encapsulamento da voz, como o RTP (Real- ¸˜time Transport Protocol) para o transporte de pacotes de voz e algoritmos de codificacao ¸˜e decodificacao de voz, os codecs.7. O protocolo H.323 a a ´ Conforme j´ citado, o padr˜ o ITU-T H.323 e uma s´ rie de protocolos utilizados epara o tr´ fego de voz, v´deo e dados em uma rede IP. Ele foi originalmente desenvolvido a ıpelo ITU-T em 1996 como um protocolo para realizar videoconferˆ ncias, permitindo que eclientes se conectassem entre si em uma LAN (Local Area Network) Ethernet. A partirdo seu desenvolvimento, o protocolo evoluiu, sendo utilizado largamente por grupos de ¸˜estudos e corporacoes que ajudaram a desenvolver e passaram a utiliz´ -lo na Internet. Sua a´ a ´ultima revis˜ o e a H.323v7, liberada em 2009 pelo ITU-T. O protocolo foi desenvolvidopara trabalhar na camada de transporte do modelo OSI (Open System Interconnection), epode ser transportado em qualquer tipo de rede baseada em pacotes como Ethernet, TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)/IP, ATM(Asynchronous ¸˜Transfer Mode), and Frame Relay para prover comunicacao multim´dia em tempo real. ı ¸˜A recomendacao H.323 faz parte de uma s´ rie de outros protocolos desenvolvidos para e ¸˜a comunicacao multim´dia. A pilha de protocolos da fam´lia H.323 pode ser visualizada ı ıconforme figura 5. A s´ rie conhecida como H.32X, inclui um lista de v´ rios padr˜ es que e a os˜ o aplicados ao H.323, conforme segue: a • H.320: Padr˜ o original de v´deo conferˆ ncia ISDN (Integrated Services Digital a ı e Network) • H.323: Extens˜ o do protocolo H.320 para v´deo conferˆ ncia por LANs, composta a ı e pelos principais padr˜ es: o – H.225: Protocolo de controle de chamada ∗ RAS (Registration, Admission and Status) – Protocolo para regis- tro, admiss˜ o e status de chamadas. a ∗ Q.931 – Protocolo utilizado para estabelecer chamadas H.323. – H.245: Protocolo de controle de m´diaı – H.235: Protocolo para autenticacao e criptografia ¸˜ ¸˜Outras recomendacoes tamb´ m podem ser utilizadas em conjunto com o padr˜ o H.323, e a a a ı ¸˜mas elas n˜ o ser˜ o o foco deste artigo. Para ser poss´vel a comunicacao entre dois termi- ´ ¸˜nais H.323 e necess´ rio que ambos suportem H.245 para efetuar a negociacao de capaci- a ¸˜ ¸˜dades e utilizacao de canais, H.225 para controle da sinalizacao e RTP/RTCP (Real Time
  6. 6. ´Control Protocol) para troca sequencial de pacotes de audio e v´deo. Al´ m disso, o H.323 ı e ¸˜define quatro componentes principais para um sistema de comunicacao baseado em rede:terminais, gateways, gatekeepers e unidades de controle multiponto (MCU).7.1. Terminais ¸˜ Os terminais s˜ o as extremidades da LAN, que efetuam a comunicacao bidire- a ¸˜cional em tempo real. Estes terminais s˜ o utilizados para comunicacoes de voz e podem a ¸˜opcionalmente dar suporte para comunicacoes de v´deo e dados. Um terminal inclui uma ıunidade de controle de sistema, n´vel H.225, interface de rede, uma unidade codec de ı´ ¸˜audio, e opcionalmente uma unidade de codec de v´deo e aplicacoes de dados. Os termi- ınais tamb´ m podem ser conhecidos como os softphones, softwares para efetuar chamadas eVoIP.7.2. Gateways Os gateways H.323 s˜ o utilizados para efetuar o estabelecimento de a ¸˜comunicacao entre terminais de diferentes tipos de redes. O tipo mais comum de ga- ¸˜teway H.323 permite comunicacoes entre terminais H.323 e telefones da rede p´ blica u ¸˜ ¸˜de comutacao de circuitos (PSTN). O gateway precisa oferecer traducoes entre diferentes ¸˜ ´formatos de transmiss˜ o, procedimentos de comunicacoes e codecs de audio. Ele tamb´ m a e ¸˜ ¸˜pode efetuar a configuracao das chamadas quando utilizado em uma comunicacao ponto ¸˜a ponto sem a utilizacao de um centralizador, ou um gatekeeper. Podemos citar gateways ¸˜que efetuam a comunicacao com os principais tipos de tecnologias como: • H.323 – ISDN – Comunicacao com telefonia digital. ¸˜ • H.323 – FXO(Foreign eXchange Office) – Comunicacao com interfaces de um ¸˜ operadora ou central telefˆ nica PABX (Private Automatic Branch Exchange). o • H.323 – FXS(Foreign eXchange Subscriber) - Comunicacao com interfaces ¸˜ anal´ gicas. o • H.323 – SIP – Interoperabilidade com o protocolo SIP. A figura 7 exibe gateways H.323 interligados com diferentes tipos de interfaces. Figura 4. Gateways H.323
  7. 7. 7.3. MCU ´ MCU (Multi Control Unit) e um componente central que realiza uma con-ferˆ ncia de chamadas possibilitando que 3 ou mais pessoas possam falar simultaneamente eem um rede exclusivamente H.323.7.4. Gatekeepers Gatekeepers oferecem servicos centralizadores de controle de chamada para ex- ¸tremidades H.323, efetuando o registro, admiss˜ o e controle destes. Al´ m disso, efetua a e ¸˜o roteamento, encaminhamento e a traducao de endereco de chamadas efetuadas por ter- ¸ ¸˜minais, gateways e outros gatekeepers. A utilizacao de um gatekeeper em uma rede de ¸˜ a ´ ¸˜comunicacao H.323 n˜ o e obrigat´ ria, por´ m se estiver presente na rede a utilizacao de o e ¸ ´seus servicos e necess´ ria. Um gatekeeper pode oferecer os seguintes servicos: a ¸ • Traducao de endereco: O gatekeeper realiza a traducao de endereco alias para ¸˜ ¸ ¸˜ ¸ endereco de transporte. ¸ • Controle de admiss˜ o: Autoriza o acesso a rede por meio de mensagens a ` ARQ(AdmissionRequest), ACF(AdmissionConfirm) e ARJ (AdmissionReject). • Gerenciamento e controle de largura de banda: O gatekeeper realiza atrav´ s das mensagens BRQ(BandwidthRequest), BRJ(BandwidthReject) e e BCF(BandwidthConfirm) o gerenciamento e controle de banda de modo a limi- tar o n´ mero de conex˜ es simultˆ neas na rede. u o a ´ • Gerenciamento de zona: E poss´vel ao gatekeeper trabalhar com o conceito de ı ´ zonas. No gatekeeper, uma zona e um conjunto de gateways, terminais e gatekee- pers diretamente conectados que podem trocar mensagens entre si a fim de rotear chamadas. • Sinalizacao de controle de chamada: O gatekeeper pode completar o procedi- ¸˜ ¸˜ mento de sinalizacao de chamada com outras extremidades H.323 ou pode redire- ¸˜ cionar o canal de sinalizacao de chamada para outra extremidade. • Autorizacao de chamadas: O gatekeeper pode efetuar a decis˜ o de aceitar ou re- ¸˜ a jeitar uma chamada iniciada por uma entidade H.323. • Gerenciamento de chamada: O gatekeeper pode decidir o caminho que uma cha- mada deve seguir, a fim de controlar em qual extremidade H.323 a chamada deve ser completada. ¸˜7.4.1. Operacao do gatekeeper ¸˜ O gatekeeper pode participar da sinalizacao da chamada utilizando mensagens ¸˜ ¸˜de sinalizacao descritas na recomendacao H.225 do ITU-T. Neste processo s˜ o realizados a5 fases: • Configuracao de chamada: fase 1 ¸˜ • Comunicacao inicial e troca de capacidades: fase 2 ¸˜ • Estabelecimento de comunicacao audiovisual: fase 3 ¸˜ • Servicos de chamada: fase 4 ¸ • T´ rmino de chamada: fase 5 e
  8. 8. Na fase 1, o gatekeeper realiza a troca de mensagens especificadas no H.225. ´Esta troca de mensagens e realizada entre extremidades H.323 e o gatekeeper, quando ´ ¸˜uma nova chamada e iniciada. Esta troca de mensagens inicial cont´ m informacoes como eo endereco chamada ou o E.164 (n´ mero de telefone), endereco do chamador, endereco ¸ u ¸ ¸de transporte e diversos outros campos necess´ rios para o estabelecimento da chamada. a´E nesta fase que o gatekeeper pode aceitar ou n˜ o uma nova chamada, ou um registro de auma nova entidade H.323. ¸˜ Na fase 2, depois da autorizacao realizada na fase 1, as extremidades podem trocarcapacidades atrav´ s do protocolo H.245, descrito no decorrer do artigo. e Na fase 3, ap´ s a troca de capacidades o protocolo H.245 configura um canal o ¸˜l´ gico aberto para diversas trocas de stream de informacao. o ¸˜ Na fase 4, podem ocorrer operacoes como mudanca de largura de banda, ¸ ¸˜verificacao de status de uma extremidade a fim de verificar se ela est´ viva ou n˜ o, ex- a apans˜ o para conferˆ ncias, servicos suplementares, e pausa e novo roteamento iniciado por a e ¸dispositivos terceiros. Na fase 5, ocorre o termino da chamada atrav´ s de procedimentos para interrom- eper a transmiss˜ o e fechamento de todos os canais l´ gicos. a o ¸˜7.5. Recomendacao ITU-T H.225 ¸˜ ´ A recomendacao H.225 e utilizada pelo protocolo H.323 para efetuar o controle ¸˜da sinalizacao das chamadas que estabelece, controla e termina uma chamada H.323. A ¸˜ ´sinalizacao do H.225 e baseada nos procedimentos para controle de chamada em redesISDN, o Q.931. Al´ m disso, o protocolo efetua o controle de registro, admiss˜ o, e status e a(RAS) entre endpoints e gatekepeers H.323. O protocolo H.225 pode tamb´ m atrav´ s de e e ¸˜um tunelamento encaminhar mensagens da recomendacao H.245 como forma de atraves-sar firewalls e diminuir o tempo de troca de mensagens do protocolo H.245, conhecido a ¸˜com procedimento r´ pido de troca de mensagens “Fast Start” na definicao da fam´lia ıH.323. ¸˜7.6. Recomendacao ITU-T H.245 O protocolo H.245 define a troca de capacidades realizada entre extremidadesH.323 para o controle multim´dia. Esta troca define os tipos de codecs que ser˜ o uti- ı alizados, canais l´ gicos que ser˜ o abertos ou fechados, mensagens de controle de fluxo, o a ¸˜controle de jitter, comandos e indicacoes gerais. O H.245 na primeira vers˜ o do H.323 aefetuava um four-way handshake para a abertura de um canal l´ gico, o que gerava atra- osos no inicio de uma nova chamava. Com este problema, foi introduzido o procedimentode “Fast Connect”, enviando as mensagens H.245 encapsuladas no protocolo H.225, re-alizando assim apenas um two-way handshake, e conseq¨ ente diminuindo o tempo de uestabelecimento da chamada. ¸˜7.7. Recomendacao ITU-T H.235 ¸˜ ´ A recomendacao H.235 e utilizada pelo padr˜ o H.323 para incorporar a auten- aticidade, confidencialidade e integridade entre todos os componentes da fam´lia H.32X, ı a a ¸˜incluindo os protocolos H.225 e H.245 que s˜ o respons´ veis pela sinalizacao das chama- ¸˜ ¸˜das. Esta recomendacao efetua processo de autenticacao e criptografia entre a troca de
  9. 9. mensagens das extremidades H.323 de forma a garantir a seguranca do protocolo utili- ¸ `zando mecanismos de criptografia dos protocolos de suporte a seguranca IPSEC (Internet ¸Protocol Security) ou TLS (Transport Layer Security). ¸˜7.8. Integracao de redes ´ ¸˜ No H.323 e poss´vel a realizacao de redes integradas (rede mesh), onde todos os ı a a ´pontos podem compartilhar tr´ fego de chamada. No padr˜ o H.323 este conceito e definidocomo zonas ou neighbors oferecendo uma maior disponibilidade e escalabilidade para arede VoIP.8. O protocolo RTP/RTCP ´ O RTP (Real Time Transport Protocol) e um dos protocolos mais importantesna arquitetura de voz sobre IP. O RTP oferece um mecanismo de remessa de ponta a ´ponta, em tempo, para dados em tempo real, como audio e v´deo. Ele trabalha em cima ı ´do protocolo UDP e e utilizado para o envio de pacotes de voz codificados atrav´ s de eum codec espec´fico. O RTP n˜ o implementa controle de fluxo, nem garante a entrega ı aordenada, por´ m conta com o RTCP para este controle. e O RTCP (Real Time Control Protocol) possui funcionalidade de controle para ¸˜ ¸˜aplicacoes em tempo real, como o VoIP. Ele implementa a monitoracao de QoS e controlede congestionamento, sincronismo interm´dia e estimativa e escala do tamanho da sess˜ o. ı a ¸˜O RTCP trabalha em conjunto com o RTP para a ordenacao e controle dos pacotes. Figura 5. Pilha de protocolos H.323
  10. 10. 9. QoS ´ QoS (Quality of Service) e a habilidade de prover diferentes prioridades basea- ¸˜ ´ ıdos no tipo de aplicacao em uma rede de dados. O tr´ fego de voz em uma rede e cr´tico, e a ¸˜precisa ter prioridade sobre os demais protocolos e aplicacoes. Existem diferentes meca- ¸˜nismos para a implementacao de controle de servico que podem ser aplicados aos pacotes ¸ ¸˜de voz, cada um com suas caracter´sticas e aplicabilidade. A implementacao de VoIP sem ı ¸˜ a ´a utilizacao de QoS n˜ o e recomendada, j´ que implica em perda de qualidade das cha- a ¸˜madas. A configuracao de QoS deve ser realizada em todos os equipamentos (de n´vel 2 ıe 3 do modelo OSI) em que o pacote de voz ir´ passar para que n˜ o ocorram gargalos que a acomprometam a qualidade do servico. ¸10. Principais problemas10.1. Latˆ ncia e Latˆ ncia no VoIP pode ser considerada como o tempo necess´ rio para a origem e a ¸˜enviar um pacote de voz e o destino receber, causando atrasos na recepcao da voz. A e ´ a ı u ¸˜latˆ ncia e influenciada pela distˆ ncia f´sica, n´ mero de hops de roteadores, encriptacao ¸˜ ¸˜ ¸˜de dados, e codificacao/descodificacao de voz. Em uma ligacao VoIP, uma pessoa pode ¸˜perceber o atraso quando a latˆ ncia for superior a 250ms, apesar da recomendacao ITU-T eque a latˆ ncia total nunca deve ultrapassar os 150ms. e10.2. Jitter ´ ¸˜ Jitter e a variacao de atraso dos pacotes de voz, quando estes atrasos impactam ¸˜na qualidade de uma conversacao VoIP. O jitter ocorre quando pacotes de voz s˜ o enviados a ¸˜e recebidos em variacoes de tempos diferentes. Quando o jitter ocorre em um transmiss˜ o ade voz de um sistema VoIP, podem ocorrer sinais de eco e cortes na chamada realizada. Aocorrˆ ncia de jitter ocorre em praticamente todas as transmiss˜ es de voz realizas na rede e ode dados. Existem algoritmos que podem ser utilizados para corrigir este problema, como ¸˜ ´ ¸˜a utilizacao de um buffer de jitter que e igual ao tempo m´ dio de variacao do jitter. Al´ m e edisso, existem algoritmos de cancelamento de eco implementados no codec, que podemser utilizados em conjunto com o buffer para melhorar a qualidade da voz. A figura 6demostra a ocorrˆ ncia de jitter. e Figura 6. Exemplo de Jitter10.3. Perda de pacotes ´ A perda de pacotes durante uma transmiss˜ o de voz pela rede de dados e im- a ¸˜pactante, e pode inviabilizar a adocao da tecnologia de VoIP. Como os pacotes de voztrafegam pelo protocolo RTP/UDP, e n˜ o s˜ o retransmitidos, a falha de envio destes paco- a a ¸˜tes ir´ causar cortes na voz, impossibilitando uma conversacao entre duas extremidades. aA perda de pacotes pode ocorrer por n raz˜ es, que devem ser tratadas corretamente para oque o tr´ fego de voz n˜ o seja afetado. a a
  11. 11. 10.4. Interoperabilidade ´ O H.323 e um protocolo complexo que precisa ter um padr˜ o de configuracao a ¸˜ ´entre todos os equipamentos que ir˜ o formar a rede VoIP. E comum em uma a ¸˜ ¸˜implementacao, com equipamentos de diferentes fabricantes e configuracoes distintas,problemas de interoperabilidade que precisam de um longo per´odo para adaptacao e ı ¸˜ ¸˜ ´ ¸˜homologacao. Isto pode ser impactante quando e necess´ ria a integracao de redes H.323 aentre diferentes provedores de servicos que possuem estruturas totalmente diferentes. ¸11. Seguranca ¸ ´ Como a tecnologia de VoIP e algo relativamente novo, problemas ¸ ¸ ´com seguranca comecaram a surgir nos ultimos anos, comprometendo a tr´ade ıCID(Confidencialidade, Integridade e Disponibilidade). Abaixo ser´ apresentado algu- amas das vulnerabilidades encontradas em estudos de casos da tecnologia VoIP, e de formabreve, como podem serem evitados estes tipos de ataques.11.1. Ausˆ ncia de criptografia de voz e O protocolo RTP/RTCP utilizado para o tr´ fego de pacotes de voz n˜ o realiza a aa criptografia dos dados. Da mesma forma, os codecs dispon´veis apresentados neste ı ¸˜artigo, n˜ o oferecem uma camada extra para a aplicacao de um algoritmo que realize a a ¸˜ ´cifragem da voz. Apesar dos codecs realizarem a codificacao da voz, e poss´vel realizar ı ¸˜a descodificacao dos pacotes, se houver algum comprometimento na estrutura da rede emque seja poss´vel realizar a captura do tr´ fego. Se imaginarmos este cen´ rio na Internet, ı a a ´o problema e mais agravante, uma vez que o pacote de voz pode percorrer caminhos ¸˜ ´distintos, atrav´ s de diferentes roteadores. Para a solucao deste problema e poss´vel a e ı ¸˜utilizacao dos canais de voz, utilizando um t´ nel VPN (Virtual Private Nework) atrav´ s u edo protocolo IPSEC (IP Security) ou outro protocolo que forneca a cifragem do t´ nel. ¸ u ¸˜ ´ ¸˜Uma solucao mais robusta e escal´ vel e a utilizacao do protocolo SRTP(Secure Real- atime Transport Protocol) que utiliza o mesmo protocolo RTP/RTCP, mas com a utilizacao ¸˜de um algoritmo de cifragem que por padr˜ o utiliza a cifra AES (Advanced Encryption a ¸˜Standard). A solucao do SRTP al´ m de prover a confiabilidade, integridade do tr´ fego de e a ´ ´voz, e um protocolo recomendado para uso exclusivo de VoIP. Essa e uma solucao que ¸˜ ¸˜j´ est´ implementada nos mais novos dispositivos de VoIP, e tende a ser a solucao para a aproblemas de criptografia da voz. ¸˜11.2. Protocolos para configuracao de equipamentos VoIP Assim como em outros equipamentos de rede, dispositivos VoIP possuem osprotocolos HTTP e SNMP(Simple Network Management Protocol) para a configuracao ¸˜do equipamento. Como geralmente estes equipamentos est˜ o ligados na Internet, se n˜ o a aforem configurados de forma correta, podem ficar vulner´ veis a acessos indevidos utili- a ¸˜zando os protocolos padr˜ es, possibilitando a um atacante que tenha condicoes de abrir o ¸˜ ´ ¸˜portas para que consiga efetuar chamadas. A solucao para este problema e certificacaode que o equipamento foi configurado corretamente a fim de n˜ o permitir acesso inde- a ¸˜vido, utilizacao de equipamentos como firewalls, que possam aumentar a seguranca da ¸ ¸˜rede VoIP, al´ m de protocolos que garantam a criptografia na configuracao de um equipa- emento na internet.
  12. 12. ¸˜11.3. Ataques de negacao de servico ¸ ´ A tecnologia VoIP e suscet´vel a alguns ataques de DoS(Denial of Service). ı ¸˜Apesar de existirem equipamentos dedicados para a realizacao de chamadas VoIP, estespodem ser alvos de ataques DDOS por computadores que possuem um poder de proces-samento muito alto, degradando a performance do equipamento e consequentemente daschamadas realizadas. Um ataque do tipo TCP/IP SYN Flood pode facilmente compro- ¸ a ¸˜meter a qualidade de um servico VoIP. No padr˜ o H.323, a utilizacao do protocolo H.225 e a ¸˜tamb´ m pode ser vulner´ vel a ataques de DoS se o atacante enviar milhares de solicitacoes a a ¸˜a este protocolo. N˜ o h´ solucoes que oferecam uma completa garantia contra este tipo ¸ ¸˜ ¸˜de ataque, mas a utilizacao de um controle de autenticacao para o protocolo H.225 em ¸˜uma rede H.323 e a utilizacao de firewalls podem reduzir consideravelmente a ocorrˆ ncia edeste problema.12. Proxy entre rede VoIP e a rede PSTN Um ou mais gateways de voz H.323 que possuam centenas de portas ligadas di-retamente na rede PSTN e na Internet, pode ser uma grande atrativo para atacantes. Estes ¸˜equipamentos, se comprometidos, podem ser utilizados para a realizacao de milhares de ı a `chamadas em qualquer lugar do mundo, causando preju´zos inestim´ veis a operadora do ¸˜ ´ ¸˜servico. A solucao para este tipo de problema e a correta configuracao dos equipamen- ¸ ¸˜ ¸˜tos, a utilizacao de firewalls e sistemas de monitoramento que garantam a protecao aosequipamentos. ¸˜12.1. Implementacao ¸˜ Para a implementacao de uma estrutura de VoIP baseado no padr˜ o H.323 foram autilizados os seguintes componentes: • S.O. Linux Centos 5.5 - Sistema Operacional Linux • OpenH323 - Biblioteca do protocolo H.323. • Gnugk - Gatekeeper para o protocolo H323. • Ekiga Softphone - Softphone. • Mediatrix 1102 - Gateway de voz H.323 com duas portas FXS. • Wireshark - Analisador de tr´ fego utilizado para capturar os pacotes de voz. a ¸˜ No cen´ rio criado, a partir da instalacao do gatekeeper no sistema operacional aCentos 5.5, foi poss´vel configurar o softphone e o gateway de voz para o registro no ı ¸˜gatekeeper. O softphone recebeu a numeracao (E.164) 10 e o gateway de voz recebeu a ¸˜numeracao 200. Ap´ s o registro de ambas as extremidades no gatekeeper, foi realizado oatrav´ s do softphone uma chamada para o gateway de voz, estando o Wireshark executado ee efetuando a captura dos pacotes. Ap´ s a troca de capacidades realizada pelo protocolo o ¸˜H.245 durante a execucao da chamada, verificou-se que o codec escolhido na troca para ¸˜efetuar a codificacao da voz, foi o G.711U. Como o Wireshark possui nativamente umdescodificador do codec G.711, foi poss´vel efetuar a captura dos pacotes de voz, desco- ı e ı ¸˜dificar, e atrav´ s de um player de m´dia nativo do Wireshark, executar a conversacao da
  13. 13. ´chamada no dispositivo de som do computador. Confirme a figura 7, e poss´vel verificar ıa captura de pacotes de voz realizada pelo Wireshark. Verificou-se assim, a vulnerabilidade b´ sica que a arquitetura RTP e o codec aG.711 pode apresentar, permitindo que atacantes obtenham acesso ao conte´ do falado udurante as chamadas. Figura 7. Captura de pacotes de voz pelo Wireshark13. Conclus˜ o a ´ Este trabalho procurou entender de modo geral como e realizado a transmiss˜ o ado tr´ fego de voz em redes de dados existentes atualmente, utilizando a recomendacao a ¸˜ ı a ´ITU-T H.323. Conclu´mos que o padr˜ o H.323 e robusto e escal´ vel apesar de sua grande a ´complexidade. Foi poss´vel concluir que o VoIP e de fato uma tecnologia promissora ımas que possui problemas de seguranca que precisam de estudo e an´ lise principalmente ¸ a `quanto a sua disponibilidade, que ainda demonstra ser muito vulner´ vel. Trabalhos futu- aros ir˜ o demonstrar como funciona detalhadamente o protocolo SIP e quais s˜ o as suas a a ¸˜vantagens e desvantagens em relacao ao protocolo H.323.
  14. 14. Referˆ ncias Bibliogr´ ficas e aAMES Peter,MANOJ Bathia,SATISH Kalidini,SUDIPTO Mukherjee, Fundamentos de ¸˜VoIP, Edicao: 2, 2008HOWDHURY,Dhiman D., Projetos Avancados de Redes IP, Ano 2002 ¸[H.323], H.323 STANDARDS, 2010 Dispon´vel ı em:http://www.packetizer.com/ipmc/h323/standards.html, Acesso em: 25/05/2010[H.323], A Primer on the H.323 Series Standard Version 2.0, 2010 Dispon´vel em: ıhttp://www.packetizer.com/ipmc/h323/papers/primer, Acesso em: 24/05/2010[H.225], Recommendation H.225.0, 2009 Dispon´vel em http://www.itu.int/rec/T-REC- ıH.225.0-200912-I/en, Acesso em: 26/05/2010[H.323], H.323 and Associated Protocols, 1999 Dispon´vel ı emhttp://www.cs.wustl.edu/ jain/cis788-99/ftp/h323/index.html, Acesso em: 26/05/2010[H.235], H.235 Implementors’ Guide, 2005 Dispon´vel em http://www.itu.int/ITU- ıT/studygroups/com16/ig-files/h.235-0508.pdf, Acesso em: 24/05/2010[G.729], Coding of speech at 8 kbit/s using conjugate-structure algebraic-code-excited li-near prediction (CS-ACELP), 2009 Dispon´vel em http://www.itu.int/rec/T-REC-G.729/e, ıAcesso em: 22/05/2010[MGCP], Media Gateway Control Protocol (MGCP), 2006 Dispon´vel em ıhttp://www.cisco.com/en/US/tech/tk652/tk701/tk419/tsdt echnologys upports ub −protocolh ome.html, Acessoem : 20/05/2010[RFC3435], Media Gateway Control Protocol (MGCP), 2003 Dispon´vel em ıhttp://tools.ietf.org/html/rfc3435, Acesso em 20/05/2010[RFC3711], The Secure Real-time Transport Protocol (SRTP), 2004 Dispon´vel em ıhttp://www.ietf.org/rfc/rfc3711.txt, Acesso em 25/05/2010[GNUGK], OpenH323 Gatekeeper, 2010 Dispon´vel em http://www.gnugk.org, Acesso ıem 25/05/2010 a ¸˜[H.323], H.323: Um padr˜ o para sistemas de comunicacao multim´dia baseado em ıpacotes, 2001 Dispon´vel em http://www.rnp.br/newsgen/0111/h323.html, Acesso em ı24/05/2010[RFC5117], RTP Topologies, 2008 Dispon´vel ı em RTP -http://www.faqs.org/rfcs/rfc5117.html, Acesso em 24/05/2010[H.323], H.323 Mediated Voice over IP: Protocols, Vulnerabilities and Remediation, 2004Dispon´vel em http://www.symantec.com/connect/articles/h323-mediated-voice-over-ip- ıprotocols-vulnerabilities-amp-remediation, Acesso em 24/05/2010[H.323], Security Guide for H.323 Videoconferencing, 2004 Dispon´vel em ıhttp://www.ja.net/documents/services/video/vtas/323security.pdf. Acesso em 24/05/2010[H.225], International Telecommunication Union Telecommunication StandardizationSector ITU-T, ”Call signalling protocols and media stream packetization for packet-basedmultimedia communication systems”, 2009
  15. 15. [H.235], International Telecommunication Union Telecommunication StandardizationSector ITU-T, ”Security and encryption for H-Series (H.323 and other H.245-based) mul-timedia terminals”, 1998[H.323]. ¸˜ Definicoes do protocolo H.323, 2010. Dispon´vel ı em:http://www.openh323.org. Acesso em 24/05/2010[H.323], Paul E. Jones, Packetizer, ”H.323 Protocol Overview”, 2007

×