SlideShare uma empresa Scribd logo

Tecnologia voip estudo das falhas, emerson carlos

Transferir como DOC, PDF
Emerson Carlos
Emerson Carlos
Tecnologia
1 de 57
Centro Universitário de Maringá EMERSON CARLOS GONÇALVES TECNOLOGIA VOIP: ESTUDO DAS FALHAS Maringá 2011
EMERSON CARLOS GONÇALVES TECNOLOGIA VOIP: ESTUDO DAS FALHAS Monografia apresentada ao Curso de Graduação, em Redes de Computadores, do Centro Universitário de Maringá como requisito parcial para a obtenção do título de Tecnólogo. Professor: José Vanderlei da Silva. Maringá 2011
REGISTRO DE DEFESA Monografia de Projeto Integrador apresentada nesta data à Banca Examinadora abaixo indicada: José Vanderlei da Silva _______________________ Professor Orientador Assinatura _________________________ _______________________ Convidado Assinatura _________________________ _______________________ Convidado Assinatura
DEDICATÓRIA Agradeço a Deus, que me proporciona as oportunidades que tenho na vida. Dedico este trabalho a meus pais, Antônio e Cecilia, pela compreensão, apoio e carinho durante estes anos de estudo. Ao meu orientador, professor José Vanderlei da Silva, pelas orientações, esclarecedoras, inteligente e pelo incentivo.
Epígrafe “... a segurança é inversamente proporcional às funcionalidades”. NAKAMURA
RESUMO Os objetivos do presente trabalho foram focados em desvendar curiosidades sobre o VoIP incluindo a história do surgimento do telefone, os protocolos utilizados nas camadas do tráfego de dados, as vulnerabilidades encontradas na tecnologia por trafegar compartilhando o mesmo recurso de infraestrutura dos pacotes de dados que transitam na internet e nas demais aplicações que necessitem de uma rede de computadores. Foi realizado um estudo nos pontos falhos, onde possivelmente pode acarretar uma invasão inesperada e que comprometa todo o serviço de telefonia de uma empresa, e consequentemente o roubo de informações sigilosas. Foram utilizados os critérios de pesquisar sobre o assunto em fontes confiáveis, e busca de informações legitimas e com dados consistentes. Os principais resultados obtidos até o presente momento foram com o conhecimento obtido perante a tecnologia que tem a tendência de expandir e crescer cada vez mais nos próximos anos por se tratar de redução de custos para empresas, utilizando o recurso VoIP de telefonia ficou possível e fácil o gerenciamento das ligações, como a geração de relatórios através de websites. Em toda boa tecnologia, sempre existe alguém com o intuito de burlar os sistemas, roubar informações ou mesmo causar indisponibilidade nos serviços, vendo por este lado do problema, técnicas de ataques foram citadas com o intuito de conscientizar os usuários e administradores para que evitem ficar vulneráveis. Palavras-chave: VoIP, Protocolos, Vulnerabilidades
ABSTRACT The objectives of this study were focused on uncovering the facts about VoIP including the history of the advent of phone, the protocols used in the layers of data traffic, the vulnerabilities found in the technology for traffic sharing the same infrastructure resource of data packets that travel on the Internet and other applications requiring a computer network. A study was conducted in the weak points, which could possibly lead to an unexpected intrusion and compromise the entire telephone service of a company, and consequently the stealing of secret information. Criteria were used to search about it from reliable sources, and searching for legitimate information and data consistent. The main results obtained so far were obtained with the knowledge that before the technology which has the tendency to expand and grow steadily in coming years because it is cost savings for companies using VoIP phone feature was possible and easy management of callings, such as generating reports through websites. In all good technology, there is always someone wanting to dupe the systems, steal information or even cause downtime in services, with this in mind, attack techniques were cited in order to educate users and administrators to avoid being vulnerable. Keywords: VoIP, Protocols, Vulnerabilities
LISTA DE ABREVIATURAS E SIGLAS ACK Acknowledge AES Advanced Encryption Standard ANATEL Agência Nacional de Telecomunicações ARP Address Resolution Protocol DDOS Distributed Denial of Service DHCP Dynamic Host Configuration Protocol DNS Domain Name System DOS Denial Of Service FTP File Transfer Protocol GPL General Public License HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IEEE Institute of Electrical and Electronics Engineers IETF Internet Engineering Task Force IP Internet Protocol IPS Intrusion Prevention System IPSEC Internet Protocol Security ISDN Integrated Service Digital Network ISO International Organization for Standardization ITU-T International Telecommunications Union – Telecommunication Standardization Sector MAC Media Access Control MGCP Media Gateway Control Protocol MIME Multipurpose Internet Mail Extensions MIKEY Multimedia Internet Keying OSI Open Systems Interconnection PABX Private Automatic Branch Exchange PCM Pulse Code Modulation PKI Public Key Infraestructure QOS Quality of Service RAS Registration Admission Status
RDIS Rede Digital com Integração de Serviços RFC Request For Comment RPC Remote Procedure Call RPTC Rede Pública de Telefonia Comutada RTCP Real-Time Transport Control Protocol RTP Real-Time Transport Protocol RSVP Resource ReserVation Protocol SIP Session Initiation Protocol SIPS Session Initiation Protocol Secure S/MIME Secure/Multipurpose Internet Mail Extensions SMTP Simple Mail Transfer Protocol SRTCP Secure Real-Time Transport Control Protocol SRTP Secure Real-TimeTransport Protocol SSL Secure Socket Layer SYN Synchronize TCP Transmission Control Protocol TLS Transport Layer Security UDP User Datagram Protocol URL Uniform Resource Locator VLAN Virtual Local Area Network VOIP Voice Over Internet Protocol VPN Virtual Private Network
LISTA DE FIGURAS Figura 1 - Modelo de Referência OSI___________________________________24 Figura 2 - Modelo de Referência TCP/IP_________________________________27 Figura 3 - Gatekeeper________________________________________________34 Figura 4 - Etapas do SIP______________________________________________36 Figura 5 - Padrão H.235______________________________________________51
LISTA DE TABELAS Tabela 1 - Ataques mais usados no VoIP________________________________43 Tabela 2 - Perfis de Segurança do Padrão H.235__________________________51
SUMÁRIO 2.5 Trixbox........................................................................................................................................22 2.6 Telefonia da internet..................................................................................................................23 3.1.1 Camada física.......................................................................................................................24 3.1.2 Camada enlace de dados.....................................................................................................25 3.1.3 Camada de rede...................................................................................................................25 3.1.4 Camada de transporte.........................................................................................................25 3.1.5 Camada de sessão................................................................................................................26 3.1.6 Camada de apresentação....................................................................................................26 3.1.7 Camada de aplicação...........................................................................................................26 3.2 O modelo de referência TCP/IP..................................................................................................26 3.2.1 Camada de rede...................................................................................................................28 3.2.2 Camada inter-redes.............................................................................................................28 3.2.3 Camada de transporte.........................................................................................................29 3.2.4 Camada de aplicação...........................................................................................................29 3.3 Sockets........................................................................................................................................29 3.4 Voz humana................................................................................................................................30 3.5 Voz sobre IP................................................................................................................................31 3.6 Protocolos...................................................................................................................................31 3.7 H.323..........................................................................................................................................33 3.8 Gatekeeper.................................................................................................................................33 3.9 Protocolo SIP..............................................................................................................................34 4 VULNERABILIDADES______________________________________________36 4.1 Segurança...................................................................................................................................36 4.2 Negação de serviço (DoS)...........................................................................................................38 4.3 Inundação SIP.............................................................................................................................38 4.4 Sinalização SIP Loop....................................................................................................................39
4.5 Modificação do ataque ao QoS...................................................................................................40 4.6 Autenticação SIP.........................................................................................................................40 4.7 Analise de tráfego e escuta.........................................................................................................40 4.8 Envenenamento ARP..................................................................................................................40 4.9 Mascaramento............................................................................................................................41 4.10 Sequestro de chamada ............................................................................................................41 5 SOLUÇÕES PARA REDES VOIP______________________________________44 5.1 Segurança de VLAN.....................................................................................................................45 5.2 Segurança com firewall, IDS e IPS...............................................................................................45 5.3 Segurança no QoS.......................................................................................................................46 5.4 Segurança na autenticação SIP...................................................................................................47 5.5 Segurança IPSec..........................................................................................................................48 5.6 Segurança através do protocolo TLS...........................................................................................48 5.7 Segurança usando DTLS..............................................................................................................49 5.8 Segurança com S/MIME..............................................................................................................50 5.9 Segurança no protocolo H.323...................................................................................................50 5.10 Segurança usando MGCP..........................................................................................................52 5.11 Segurança no fluxo da mídia.....................................................................................................52 6 Conclusão_______________________________________________________53 7 REFERÊNCIAS____________________________________________________54
1 INTRODUÇÃO A telefonia proporciona a disseminação de informação em um tempo muito rápido, uma pessoa do outro lado do mundo pode falar com outra muito distante sem ter latência na voz, funciona como se estivessem ao vivo. Pelo tráfego do áudio podem passar informações confidenciais e estas podem sofrer barreiras até chegar ao destino, pois podem ser interceptadas por indivíduos, essas são práticas ilícitas de conseguir informações. Partindo deste problema será divulgado o princípio do funcionamento VoIP e suas particularidades, incluindo as vulnerabilidades do sistema por se tratar de transitar na mesma infraestrutura de redes digitais. Este trabalho é importante pelo fato de levantar algumas informações de quais são as técnicas utilizadas para um ataque hacker ou mesmo uma falha não tratada do meio, o ataque pode até mesmo não ser direcionado para VoIP, mas como o tráfego de dados transita pelo mesmo meio usado pelo VoIP é preciso tomar alguns cuidados. Tendo como objetivo descobrir por quais meios pode ser feito algum tipo de ataque e qual é a técnica utilizada para este resultado, após estas descobertas. fica como foco, alertar sobre os aspectos de segurança disponíveis para que as devidas falhas sejam vedada e proporcionando um funcionamento na medida do possível imune a vulnerabilidades. E usando a metodologia de apresentar as falhas mais comuns no mundo VoIP e na sequência as soluções disponíveis no mercado por recursos importantes, muitos deles podendo ser implantado sem muito investimento. Com este objetivo o temos a divisão dos capítulos da seguinte forma: no capítulo 2 será apresentada uma prévia história do surgimento do telefone e demais invenções importantes para o período entrando também em tipo de licenciamento usado pelos softwares que manuseia a voz sobre IP contendo toda fundamentação teórica. No capítulo 3 são apresentados os modelos de referência, usado como base para toda tecnologia que transmite dados de forma digital, informação sobre a voz humana também é tratado neste capítulo. O capítulo 4 fica com as falhas mais encontradas provenientes de serviços mal configuradas ou mesmo por não conhecer tamanha vulnerabilidade. Finalizando chega-se no capítulo 5 que trás soluções para falhas encontradas no VoIP, sendo uma solução também para outros recursos que utilize rede de dados.
15 2 História O VoIP uma tecnologia recente que vem ganhando espaço em todo mundo, teve como predecessor o telefone, este objeto que fascinou o mundo no final do século XIX, é o resultado de muitos esforços e invenções para conseguir que a voz humana fosse transmitida através de longas distâncias. Sua história teve início na oficina de Charles Williams, localizada na cidade de Boston, e onde também trabalhava Tomas A. Watson, pessoa que sentia entusiasmo e simpatia por coisas novas, e se dedicava, em tempo integral, à invenção e ao aperfeiçoamento de aparelhos elétricos. Foi nesta mesma oficina que se deu o encontro entre Watson e Alexander Graham Bell, que havia estudado na Universidade de Boston, era professor de fisiologia vocal, e tinha se especializado no ensino da palavra visível. Bell tinha a intenção de aperfeiçoar seu “telégrafo harmônico”, aparelho com o qual pretendia transmitir em código Morse de seis a oito mensagens simultâneas. Foi assim que Graham Bell chegou àquela oficina, procurando suporte tecnológico para sua invenção, e começou a trabalhar com Watson. Mais adiante, Bell disse a Watson estas palavras: “Se eu pudesse fazer com que uma corrente elétrica variasse de intensidade da mesma forma que o ar varia ao se emitir um som, eu poderia transmitir a palavra telegraficamente.” Esta foi à chave do invento que viria a se chamar telefone. (PACIEVITCH, 2009) 2.1 Fases que marcam os momentos 1875: o telefone nasceu meio por acaso, na noite de 2 de junho de 1875 com Graham Bell. 1876: a invenção foi patenteada em 7 de março de 1876, mas a data que entrou para a história da telefonia foi 10 de março de 1876. Nesse dia, foi feita a transmissão elétrica da primeira mensagem completa pelo aparelho recém- inventado. Graham Bell se encontrava no último andar de uma hospedaria em Boston, nos Estados Unidos. Watson trabalhava no térreo e atendeu ao telefone, que tilintara. Ouviu, espantado: "Senhor Watson, venha cá. Preciso falar-lhe." Ele correu até o sótão de onde Bell havia telefonado. Nascia assim o telefone. A nova invenção foi apresentada na Exposição do centenário de Filadélfia.
16 1944: surgiu o primeiro computador eletromecânico (construído na Universidade de Harvard, pela equipe do professor H. Aiken e com a ajuda financeira da IBM), tinha o nome de MARK I, era controlado por programa e usava o sistema decimal, tinha aproximadamente 15 metros de comprimento e 2,5 metros de altura. 1977: a ISO, International Organization for Standardization, criou um comitê para o desenvolvimento de padrões que unisse todo o mundo em uma mesma rede. Surgia ai OSI – Open Systems Interconnection, que serviu de base para o desenvolvimento do IP. 1995: Em Israel, a empresa “VocalTec Communications”, criada em 1994 desenvolve um projeto de digitalização da voz, comprimindo-a e transmitindo através da rede. Neste primeiro momento só podiam ser feitas ligações entre dois computadores. A qualidade era baixíssima, com vários cortes e atrasos, mas sem dúvida muito importante para o desenvolvimento a que temos hoje. O software foi denominado Internet Phone Software, o programa permitia a comunicação somente entre dois computadores que tivessem instalado o Internet Phone, ou seja, ainda não permitia a realização de ligações da internet para telefones convencionais. Porém, os seus usuários já reconheciam a imensa economia proporcionada com as ligações de longa distância por meio da internet. Na época, dois pontos negativos atrasavam a expansão no uso da tecnologia e impediam o uso em larga escala, a qualidade ruim do som e a banda estreita de internet nos acessos discados. 1998: desenvolvimentos de gateways VoIP dão um novo impulso à tecnologia, que agora pode realizar transmissões para telefones. Empresas começam a financiar o projeto e as ligações começam a ser gratuitas. No final dos anos 90 e início dos anos 2000, a crescente oferta de banda larga a preços razoáveis para o usuário final e a proliferação de programas de ligações telefônicas através da internet fez o VoIP se popularizar. Ligações já podiam ser feitas do computador para telefones convencionais, o que ajudava a baratear custos de ligações de longa distância. No ano 2000, a transmissão pela internet já representava 3% do total de tráfego de voz nos EUA.
17 2000: algumas empresas, como a “Nortel” (Canadá) desenvolvem Hardware para a telefonia VoIP. Através destes hardwares, VoIP se tornou menos dependente do computador. Antes disso, todo o processo era processado no CPU. Agora o processo acontece nestes Hardwares, possibilitando uma enorme flexibilização do sistema. A partir daí, VoIP foi se firmando cada vez mais, sendo implantado internamente nas empresas e até mesmo sendo utilizada em PC. (LESSA & SOUZA, 2011) A tecnologia permite a transmissão de voz por meio de redes de dados, utilizando-se de protocolos específicos. Um programa comprime o sinal de voz, traduz em pacotes de dados e envia pela internet. Na prática, permite que ligações telefônicas sejam feitas utilizando a internet, barateando muito os custos. As primeiras experiências de uso de tecnologia para transmissão de voz pela internet aconteceram no início da década de 70, dentro da Network Voice Protocol, inventada para a Arpanet. Já nos anos 80, a tecnologia para ligações via internet tornou-se disponível para o usuário comum. Nos primeiros anos, com a tecnologia limitada, só conseguiam comunicar-se dois usuários que tivessem placas de som do mesmo tipo, com as mais recentes atualizações do software. A empresa responsável pelo skype foi uma pioneira no tratamento do VoIP é também provedora do serviço de ligações que recentemente foi comprada pela Microsoft. As provedoras são essenciais, pois é quem, na prática, fazem o sistema funcionar, permitindo as ligações. No Brasil existem diversos provedores de VoIP, alguns oferecem apenas o serviço e outros o serviço e soluções completas, incluindo softwares, planos de tarifas, etc. Aos poucos, novos equipamentos e funções são criados para uso da tecnologia VoIP. Um exemplo é o chamado telefone IP, desenvolvido há quase uma década, que dispensa o computador para fazer ligações: o aparelho telefônico é especialmente desenhado para uso de VoIP e fica diretamente conectado à internet. (MATTAR, 2008) No Brasil, os serviços de telecomunicação são regulados pela ANATEL (Agência Nacional de Telecomunicações). Segundo encontra-se no site da ANATEL, esta regula serviços de telecomunicações, não regulando as tecnologias utilizadas
18 como meio para esse fim. VoIP é considerado uma tecnologia, não um serviço, e, portanto não está totalmente regulamentado. Porém de acordo com a própria Anatel, o uso de VoIP deve ser considerado por 3 aspectos: Comunicação entre dois computadores, utilizando serviços de áudio adequado para estes. Este não seria um serviço de telecomunicação e, portanto não está regulamentado. Comunicação de voz no âmbito restrito de uma rede corporativa, efetuada entre equipamentos que podem incluir o aparelho telefônico. Neste caso seria caracterizado como serviço de telecomunicação e, portanto é exigida uma autorização específica da Anatel. No Brasil, qualquer tipo de Serviço de Telecomunicação para ser viabilizada precisa antes da autorização da Anatel. (LESSA & SOUZA, 2011) Entre os anos de 2005 e 2012 o número de linhas VoIP na América Latina deve apresentar um crescimento anual de 87,5%, fazendo com que os serviços associados à tecnologia movimentem aproximadamente cerca de 1,1 bilhão de dólares até o final do período. Segundo dados de uma consultoria “Frost & Sullivan”, que diz ainda que o Brasil deve ser responsável pela maior base de usuários da tecnologia na região ficando com 49% do montante. (NOW, 2006) 2.2 Software livre Um software livre precisa atender quatro necessidades para ser totalmente livre, a liberdade para executar o programa, liberdade 0 (zero), significa poder executar o programa para qualquer tipo de pessoa física ou jurídica, em quantas máquinas quiser, em qualquer tipo de sistema computacional, para qualquer tipo de trabalho, sem nenhuma restrição imposta pelo fornecedor. Se for preciso estudar como o programa funciona e adaptá-lo para suas necessidades fica com a posição de liberdade 1 que é quando o programa compilado, ou seja, em formato binário, obriga a distribuição também de seus códigos fonte. Ao redistribuir cópias de modo a ajudar o próximo é chamado de liberdade 2. A liberdade 3 ocorre quando o programa sofre modificações, e estas modificações é repassada a toda comunidade. No caso das licenças como a GPL contêm um conceito adicional, conhecido como Copyleft, que baseia na propagação dos direitos. Um software livre sem copyleft pode ser tornado não livre por algum usuário. Já o software livre protegido por uma licença que ofereça copyleft, se distribuído, deverá ser sob a mesma licença, ou
19 seja, repassando os direitos. Com o aumento do leque de novas aplicações, a disseminação dos computadores pessoais e o aumento da banda de transmissão disponível para o usuário, contribuíram para o VoIP tornar-se uma realidade. O termo Software Livre refere-se à liberdade do usuário de executar, copiar, distribuir, estudar, modificar e aperfeiçoar o software. (FERREIRA & BRANDÃO, 2007) A voz é um instrumento essencial para a comunicação e possibilita a troca de informações entre pessoas, por meio da Rede Publica de Telefonia Comutada (RPTC). Com a implantação de uma Central Telefônica (PABX), as empresas têm como objetivo permitir a realização de ligações entre os ramais internos, bem como comunicar-se com a RPTC através de soluções proprietárias que possuem custos elevados. O crescimento de implantações das redes com o Protocolo Internet (IP) e o desenvolvimento de técnicas avançadas, como digitalização de voz, mecanismos de controle, priorização do tráfego, protocolos de transmissão em tempo real e o estudo de novos padrões que permitam a qualidade de serviço, criam condições para a comunicação de Voz Sobre IP (VoIP), tecnologia que permite a transmissão da voz através dos pacotes das redes IP, como a Internet. A convergência na área de comunicações utiliza o compartilhamento de recursos através de uma única rede capaz de trafegar voz e dados, criando assim um novo conceito em telefonia. Este fato despertou certo interesse nas indústrias computacionais e de telecomunicações, resultando em economia, além de possibilitar a ampliação dos serviços e equipamentos oferecidos aos clientes. (GONZALEZ, 2007) O mais famoso dos softwares usado para manipular o VoIP é o Asterisk sob licença de software livre (GPL) que foi desenvolvido pela Digium Inc. sendo o primeiro PABX de código aberto da indústria, a empresa mantenedora investe atualmente em hardwares de telefonia de baixo custo e no código fonte do Asterisk para melhor desempenho e novas ferramentas, o software usa plataformas Linux e outras Unix com ou sem hardware conectado a rede pública de telefonia PSTN, o software não é compatível com qualquer versão do Microsoft Windows. Sendo Mark Spencer o criador e principal mantenedor do Asterisk, ele é hoje admirado pelo grande trabalho que fez e pela responsabilidade que carrega. (GONÇALVES, 2005)
20 2.3 Asterisk O Asterisk permite conexão online entre redes VoIP com PSTN usando os tipos de canais disponível na integração de serviços, o canal B transmite 64 kbit/s estas ligações podem utilizar a comutação de circuito e de pacote, no canal D são 16 kbit/s onde o transporte de sinalização são associados aos canais B, nos tempos mortos pode ser usado para transmitir outras informações em modo pacote. Em uso do ISDN para tráfego VoIP o acesso básico (2B+D) corresponde a um débito total de 192 kbit/s incluindo a sincronização e o cabeçalho da trama, e primário oferece duas configurações relacionadas com as hierarquias de transmissão digital, Europa usa 2048 kbit/s (30B+D) e os EUA, Canadá e Japão usam 1544 kbit/s (23B+D), o usuário não percebe que sua fala é convertida para sinal digital e depois volta a ser analógico para ser audível ao receptor, e este software ainda é mais completo do que uma central PABX, tem recursos como: (GONÇALVES, 2005) • Conectar empregados trabalhando de casa e usando o ramal como se estivesse conectado localmente; • Conectar empresa e filial de forma a permitir parecer estar em uma mesma central PABX; • Ter correio de voz, integrado com o webmail; • Permite espera com toques MP3; • Relatórios detalhados de chamadas integrados com sistema de tarifação; • Integração com reconhecimento de voz. O Asterisk PBX é uma revolução nas áreas de telefonia IP e PABX baseado em software. Durante muitos anos o mercado de telefonia foi ligado a equipamentos proprietários fabricados por grandes companhias multinacionais. Apesar de termos equipamentos de baixo custo nestas arquiteturas eles também apresentam baixa funcionalidade. Com a entrada do Asterisk, mais e mais empresas vão poder experimentar recursos como URA unidade de resposta audível, DAC distribuição automática de chamadas, mobilidade, correio de voz, e conferencia antes restrita a grandes companhias devido ao alto custo. 2.4 Elastix
21 Após o Asterisk ganhar mercado foram surgindo outros softwares para manipular a telefonia convencional, um deles é o Elastix um software que integra as melhores ferramentas disponíveis para PBX baseados em Asterisk em uma interface simples e fácil de utilizar. Além de possuir o seu próprio conjunto de utilidades e permitir a criação de módulos para melhorar os pacotes, é um software de código aberto licença GPL versão2 disponível para a telefonia. A meta do Elastix é a de ser confiável, modular, e de fácil de utilização, estas funcionalidades são para proporcionar a melhor opção em implementar um PBX baseado em Asterisk. As características oferecidas pelo Elastix são variadas. O Elastix integra vários módulos de software, cada um com seu conjunto de características. Além disso, o Elastix acrescenta novas interfaces de vigilância e informação de si mesmo, tornando-se um pacote completo. Alguns dos recursos disponibilizados pelo Elastix são: (ELASTIX, 2009) • Possibilita a utilização de vídeo chamada; • Pode enviar algum documento digital a um número de fax através de uma impressora virtual; • Configuração gráfica de parâmetros da rede; • Relatórios de utilização dos recursos; • Relatórios de chamadas de entrada/saída e utilização dos canais; • Módulo de voice-mail integrado; • Secção de download e acessórios mais utilizados; • Interface de ajuda integrada; • Servidor de mensagens instantâneo integrado; • Servidor de correio eletrônico integrado incluindo suporte para vários domínios; • Interface Web para e-mail; (ELASTIX, 2009) O objetivo do Elastix é incorporar todas as alternativas de comunicação, disponível em um nível empresarial, em uma solução única. O projeto Elastix começou como uma interface de relatório de chamada para o Asterisk e foi lançado em março de 2006. Mais tarde nesse ano que o projeto evoluiu para uma
22 distribuição baseada em Asterisk. Telefonia era a forma tradicional de que as comunicações de chumbo do século passado e, é por isso que muitas empresas e usuários concentram as suas necessidades para estabelecer comunicações de telefonia em suas organizações, e confundir a comunicação unificada com um sistema de troca de telefone. Elastix não só fornece a telefonia, mas integra com alternativas de comunicação para tornar seu ambiente de uma organização mais produtiva e eficiente. Há novas formas de comunicação todos os dias e a adição de recursos e funcionalidades deve ser constante, Elastix é capaz de estabelecer um ambiente eficiente na sua organização com a adição de muitos recursos que permite integrar outros locais de sua empresa para centralizar o seu negócio, além de ter a comunicação interna direta. Relatórios de antecedência para ver uma lista completa de recursos, nem a adição de módulos ou usuários em uma implementação Elastix tem um custo envolvido para o integrador. 2.5 Trixbox Outro software baseado em Asterisk é o Trixbox, uma distribuição mais conhecida de Asterisk, que costumava ser chamado de Asterisk@Home. Trixbox é uma distribuição robusta de Asterisk construída em cima de Apache, MySQL e PHP. O FreePBX está incluído permite configurar todos os recursos do seu PBX no conforto do seu navegador da web, Trixbox também inclui uma tela de status do sistema onde você pode obter uma visão geral sobre o status do seu PBX, existe também uma criação e gerenciamento de conferências e painel de operador Flash, uma tela de status baseado em flash para suas extensões, troncos e filas. O Trixbox possui uma série de versões sendo que a versão TrixBox CE é completamente gratuita e muito simples de instalar. Possui uma interface gráfica que permite ao utilizador uma fácil configuração e gestão de todo o servidor Asterisk, incluindo todos os utilizadores/telefones e respectivos recursos. Quanto mais rápido o sistema utilizado para rodar o Asterisk, mais chamadas simultâneas ele conseguirá realizar. Um computador com processador Pentium III 500 MHz e 128MB de memória RAM é suficiente para uso pessoal residencial. Hardware mínimo recomendado para uma aplicação com 10 canais simultâneos: (CARVALHO, 2007)
23 • Processador Intel 900 MHz (Mínimo); • Memória RAM de 512 MB; • Disco Rígido de 20Gb (sem correio de voz). 2.6 Telefonia da internet Há algum tempo o sistema público de telefonia comutada, era usado principalmente para tráfego de voz com um pouco de tráfego de dados aqui e ali. Porém, o tráfego de dados cresceu e por volta de 1999, o número de bits de dados transferidos igualou o número de bits de voz. Em 2002, o volume do tráfego de dados era dez vezes maior que o volume do tráfego de voz, e ainda continua a crescer exponencialmente, enquanto o tráfego de voz permanece quase no mesmo nível (crescendo aproximadamente 5% ao ano). Como consequência desses números, muitas operadoras de redes de comutação de pacotes de repente ficaram interessadas em transportar voz sobre suas redes de dados. O volume de largura de banda adicional exigida para voz é minúsculo, pois as redes de pacotes são dimensionadas para o tráfego de dados. No entanto, a conta telefônica de um consumidor médio provavelmente é maior que sua conta da Internet, e assim as operadoras de redes de dados viram na telefonia da Internet um modo de ganhar um bom dinheiro extra sem terem de instalar sequer um novo cabo de fibra. Desse modo, nasceu a telefonia da Internet. 2.7 Arquitetura de Rede Em se tratado de VoIP e seus funcionamentos é necessário ter algumas informações sobre redes de computadores, pois é o elemento principal da tecnologia em questão. O termo redes de computadores é referente ao conjunto de computadores autônomos interconectados por uma única tecnologia. No tráfego de dados encontramos os protocolos que é o conjunto de regras responsável por controlar o formato e significado dos pacotes ou mensagens trocadas entre entidades de uma mesma camada, tem a função de definir as opções de serviço como a solicitação do início da comunicação, a confirmação do pedido, a
24 configuração da transmissão de dados ou mídia, a resposta ao envio de informações e a desconexão definindo também sub-protocolos responsáveis por controles específicos. 3.1 O modelo de referência OSI Esse modelo foi desenvolvido pela ISO (Internacional Standards Organization) com o objetivo de padronizar internacionalmente os protocolos usados pelas empresas fabricantes de hardwares e softwares. Conforme cita TANENBAUM, este modelo é chamado de Modelo de Referência ISO OSI (Open Systems Interconnection), o modelo de referência possui sete camadas das quais falaremos a seguir, conforme figura 1. (TANENBAUM, 2003) Figura 1 - Modelo de Referência OSI 3.1.1 Camada física A camada física é responsável pela transmissão dos bits por um canal de comunicação qualquer, seja ele coaxial par metálico, fibra, wireless, está camada não se encarrega em fazer nenhum tipo de tratamento ou correção, simplesmente recebe o dado e transmite. É conhecido por converter (transmissor) sinais digitais em sinais analógicos, ou de radiofrequência, ou em sinais de luz e (receptor)
25 capturar os sinais recebidos pelo meio e converte-os para digital novamente, onde a próxima camada irá fazer o tratamento. 3.1.2 Camada enlace de dados A principal tarefa da camada de enlace de dados é a detecção de erros, como não existe tratamento na camada física quem se encarrega de garantir que a informação chegue ao destino é a camada de enlace, para executar essa tarefa está camada faz com que o transmissor separe os dados em quadros e transmita em um sequenciamento controlado por confirmações, e a informação chegando até o receptor ele por sua vez transmite uma confirmação de que os quadros chegaram ao destino, desta forma o transmissor continua enviando os quadros. 3.1.3 Camada de rede A camada de rede controla a operação de endereçamento e roteamento lógico, ou seja, determinar a maneira como os pacotes são roteados da origem até o destino, essas rotas podem ser baseadas em tabelas estáticas, e também podem ser determinadas no início de cada conversação, e podem ser determinadas para cada pacote com o objetivo de refletir a carga atual da rede, podendo ser altamente dinâmica neste caso. 3.1.4 Camada de transporte Basicamente tem a função de fornecer tipos de camada de transporte, a orientada a conexão e o método não orientado a conexão, com o objetivo de aceitar informações das camadas acima dela, e repassar os dados à camada de rede e assegurar que todos os fragmentos chegarão corretamente ao receptor, esse transporte deve ser feito de forma silenciosa e precisa, para que as camadas superiores não sofram com algum tipo de mudança da tecnologia de hardware. Está camada também determina que tipo de serviço que deve ser fornecido à camada de sessão e usuários, o método mais conhecido é o ponto a ponto livre de erros que entrega mensagens ou bytes na ordem em que eles foram enviados.
26 3.1.5 Camada de sessão Tem a função de estabelecer sessão entre transmissor e receptor, é possível vários serviços em uma sessão como o controle de diálogo que monitora o momento certo de quem vai transmitir os dados, o gerenciamento de símbolos não permitindo que duas partes enviem a mesma operação crítica ao mesmo tempo e a sincronização que permite uma transmissão interrompida continue transferindo do ponto em que parou. 3.1.6 Camada de apresentação A camada de apresentação está relacionada à sintaxe e à semântica das informações transmitidas, entre computadores com diferentes representações de dados às estruturas de dados a serem intercambiadas podem ser definidas de maneira abstrata, juntamente com uma codificação padrão que será usada durante a conexão. 3.1.7 Camada de aplicação É a interface entre o usuário e a rede, contém uma série de protocolos necessários para interagir com o usuário, o mais utilizado dentre eles é o HTTP o protocolo usado na internet seu funcionamento é requisitado no momento em que um navegador necessita acessar uma página web, ele envia o nome da página desejada ao servidor HTTP, e por sua vez o servidor retorna a página de volta. Outros protocolos são utilizados e através da camada aplicação interagem com o usuário. 3.2 O modelo de referência TCP/IP O modelo que na verdade é um protocolo é bastante antigo surgiu na ARPANET, e atualmente onde estiver um host ligado na rede este protocolo está presente. A ARPANET era uma rede militar, foi uma rede de pesquisa criada pelo departamento de defesa dos EUA onde aos poucos foram interligando universidades e órgãos públicos usando linhas telefônicas dedicadas somente para este fim.
27 Naquela época com os sinais de rádio e de satélite começaram a surgir problemas com os protocolos existentes, o que forçou a criação de uma nova arquitetura de referência, que o principal objetivo era unir várias redes de maneira uniforme, e em 1974 foi usada pela primeira vez à arquitetura conhecida como modelo de referência TCP/IP. A preocupação dos preciosos hosts do departamento de defesa dos EUA fossem destruídos definiu-se que a rede deveria ser capaz de sobreviver à perda do hardware de sub-redes, com as conversações existentes sendo mantidas em atividade, além disso, também ter uma arquitetura flexível, capaz de se adaptar a aplicações com requisitos divergentes como a transferência de arquivos e a transmissão de dados de voz em tempo real. TCP é um protocolo de comunicação e não uma parte do software, ele usa a conexão e não a porta do protocolo como sua abstração fundamental, as conexões são identificadas por um par de extremidades. No nível mais baixo, as redes de comunicação por um computador proveem entrega de pacote não confiável. No nível mais alto, os programas aplicativos normalmente precisam enviar grandes volumes de dados de um host para outro, o uso de um sistema de remessa não confiável sem conexão. (TANENBAUM, 2003) Figura 2 - Modelo de Referência TCP/IP
28 3.2.1 Camada de rede Segundo TANENBAUM, abaixo da camada inter-redes, no modelo de referencia TCP/IP não especifica o que acontece nesta camada, apenas informa que o host precisa se conectar a rede utilizando algum protocolo para que seja possível enviar pacotes IP, por não ser um protocolo definido ele varia de host para host. Os dois modelos de referências citados são parecidos, pois se baseiam no conceito de uma pilha de protocolos independentes, e as camadas acabam tendo as mesmas funções. Todas as tecnologias VoIP foi desenvolvida com base no modelo OSI de forma que para o seu uso, independam o meio físico e a tecnologia de enlace utilizada. Os protocolos e codec VoIP fazem parte das camadas de Aplicações, Sessão e Transporte do modelo OSI. Na camada aplicação está presente a voz comprimida de acordo com o codec utilizado. Na camada de sessão são negociados o inicio e fim das camadas. Atualmente o protocolo mais usado é o SIP. Na camada de Transporte os pacotes de dados provenientes das camadas de Aplicação e Sessão são encapsulados em segmentos. No caso dos codec’s, eles são encapsulados pelo RTP, RAS ou RTCP e no caso dos protocolos de sessão eles são normalmente encapsulados pelo UDP. 3.2.2 Camada inter-redes Esses requisitos levaram a uma escolha de uma rede de comutação de pacotes baseada em uma camada de interligação de redes sem conexões, denomina-se esta camada como inter-redes, com o objetivo de permitir que os hosts injetem pacotes em qualquer rede e garantir que eles trafegarão independentemente até o destino, pode acontecer de os dados chegarem a uma ordem diferente daquela que foram enviados, deixando para as camadas superiores reorganiza-los caso necessário. Um exemplo para este caso seria parecido com o método do correio, uma pessoa pode deixar uma sequência de cartas internacionais em uma caixa de correio em um país e, a maioria delas será entregue no endereço correto no país de destino. Essas cartas poderão passar por alguns gateways internacionais neste caso, o procedimento seja transparente para o usuário. A camada inter-redes
29 define um formato de pacote oficial e um protocolo chamado IP, e a tarefa é entregar pacotes IP onde eles são necessários. O roteamento de pacotes é uma questão de grande importância nessa camada, assim como a necessidade de evitar o congestionamento, no entanto pode-se definir que a função da camada inter-redes do TCP/IP é muito parecida com a da camada de rede do OSI. 3.2.3 Camada de transporte No modelo TCP/IP temos logo acima da camada inter-redes a camada de transporte, que é exatamente igual à camada de transporte do modelo OSI, ela é responsável por permitir que as entidades pares dos hosts de origem e de destino mantenham uma conversação, foram definidos dois protocolos sendo que o primeiro deles, o TCP é um protocolo orientado a conexão confiável que permite a entrega sem erros de fluxo de bytes originário de uma determinada máquina em qualquer computador da inter-rede, tem a finalidade de fragmentar o fluxo de bytes de entrada em mensagem discretas e passa cada uma delas para a camada de inter-redes. O destino conta com o TCP receptor que monta a mensagem recebida, esse protocolo também cuida do controle de fluxo, impedindo que um transmissor rápido sobrecarregue um receptor lento com um volume de mensagens maior do que consegue tratar. 3.2.4 Camada de aplicação No modelo TCP/IP diferente do modelo OSI não temos a camada de sessão e apresentação por serem pouco usadas, elas se fundem em apenas camada de aplicação. Nesta camada temos todos os protocolos de nível mais alto (Telnet, FTP, SMTP, DNS), que seria como no modelo OSI onde existe a interação com o usuário. 3.3 Sockets O Socket representa um ponto de conexão para uma rede TCP/IP. Para dois hosts manterem a conversação é preciso um socket, sendo um host servidor abrindo um socket e prestando atenção nas conexões, sendo assim o outro host é o cliente e faz contato com o socket do servidor para iniciar a conexão. Sendo necessário
30 apenas um endereço de destino e um número de porta, na rede TCP/IP existe um endereço único para cada host e as portas representam conexões individuais dentro desse endereço, cada porta de um computador compartilha o mesmo endereço IP, mas os dados são roteados dentro de cada computador pelo número da porta, quando um socket é criado ele deve estar associado a uma porta específica, define- se este processo como acoplamento de uma porta. Citando uma linguagem de programação o Java por sua vez oferece dois modos de utilização de sockets: o modo orientado à conexão que utiliza o protocolo TCP (exige confirmação) e o modo orientado a datagrama, que funciona sobre o protocolo UDP (não exige confirmação), ambos sobre o protocolo IP. O modo orientado à conexão TCP/IP oferece serviços confiáveis, sem perda de dados na rede e com garantia de ordenação dos pacotes tornando o serviço mais lento. No modo orientado à datagrama UDP/IP as mensagens podem ser perdidas a ordem não é garantida e é mais rápido que o modo orientado à conexão. (FERREIRA & BRANDÃO, 2007) 3.4 Voz humana A conversão humana é uma forma de onda mecânica com frequências principais na faixa de 300 Hz a 3,4 kHz, com alguns padrões definidos em função do timbre de voz e dos fonemas emitidos durante uma conversa. Em um ambiente de telefonia totalmente analógico isto é possível pela transmissão da forma de onda entre os interlocutores através de meio metálico, com possíveis amplificações analógicas. Isto, porém, representava um custo alto pela impossibilidade de se utilizar o meio físico para a transmissão de mais de um canal de conversação. Com o advento da telefonia digital, a voz é codificada em formato digital, que pode ser multiplexado no tempo de forma a compartilhar meios de transmissão. (GONZALEZ, 2007) A voz humana pode ser codificada de duas formas, uma baseada em forma de onda que é utilizada hoje na telefonia convencional para digitalizar a voz permitindo que aconteça a multiplexação dos circuitos, e outra baseada nos padrões de voz. Estes elementos são responsáveis pela codificação da voz em um fluxo de bits, possivelmente utilizando técnicas de compressão de voz e supressão de silêncio.
31 3.5 Voz sobre IP No sistema público de telefonia comutada, era usado principalmente para tráfego de voz e às vezes com muito pouco de tráfego de dados. Porém, o tráfego de dados expandiu-se, e o número de bits de dados transferidos já era igual o número de bits de voz, foi possível medir a PSTN, pois a mesma vinha codificada em PCM que possibilitava a medição em bits/s. Em pouco tempo o volume do tráfego de dados já era dez vezes maior que o volume do tráfego de voz, vendo este grande atrativo às operadoras de redes ficou interessadíssimas em transportar voz sobre suas redes de dados, sendo que não precisariam investir muito, pois o volume de largura de banda adicional era baixo e a atual rede comportava o tráfego, e assim as operadoras de redes de dados viram na telefonia da Internet um modo de ganhar um bom dinheiro extra sem terem de instalar um novo cabo de fibra. Desse modo, nasceu a telefonia da Internet também conhecida como voz sobre IP (VoIP). (SITOLINO & ROCHOL, 2011) A intercomunicação entre os diferentes produtos da indústria do VoIP só foi possível graças a aceitação por parte da padronização dos protocolos de sinalização e mídia especificados por organizações como a IEEE, IETF, 3GPT e ITU-T. 3.6 Protocolos Assim como na comunicação entre homens e entre máquinas, é preciso seguir algumas regras para que exista comunicação, essas regras em redes de computadores são dispostas em forma de protocolos que é a padronização de leis e procedimentos que são dispostos para execução de uma determinada tarefa. A utilização de protocolos se faz necessária devido à grande quantidade de fabricante e fornecedores de tecnologia, sem um gerenciamento seria complicado controlar a comunicação. Nas redes VoIP antes que os pacotes de voz possam trafegar pela rede IP é necessário estabelecer uma conexão entre os pontos extremos de comunicação. Depois do estabelecimento da conexão esses protocolos ainda controlam a chamada, e quando ela é encerrada, eles indicam que os recursos da rede podem ser liberados, esses protocolos desempenham ações como registro,
32 admissão e localização de usuários, negociação das capacidades dos pontos finais estabelecimento e encerramento da chamada. Dentre os protocolos de sinalização existentes, os que mais se destacam são o H.323, desenvolvido no âmbito do ITU-T, e o protocolo SIP (Session Initiation Protocol), desenvolvido no âmbito do IETF. A recomendação H.323 do ITU-T é uma especificação que descreve de maneira completa a arquitetura e a operação de um sistema de sessões em tempo real de voz, vídeo e dados. As especificações do protocolo SIP foram primeiramente definidas pelo IETF (Internet Engeneering Task Force) no RFC 2543, em março de 1999. Em 2002, uma segunda publicação das especificações desse protocolo foi apresentada no documento RFC 3261. É um protocolo de controle, pertencente à camada de aplicação, que permite a criação, modificação e finalização de sessões multimídia, como chamadas telefônicas, com um ou mais participantes. Usuários podem ser convidados para uma nova sessão ou para uma sessão multimídia já existente. Apesar de o SIP possuir independência de funcionamento e operação, ele pode utilizar alguns protocolos para oferecer recursos extras. Para reserva de recursos, por exemplo, opera em conjunto com o RSPV. O SIP é um protocolo baseado em texto, o que permite sua fácil implementação e apresenta arquitetura cliente-servidor, ou seja, as requisições são geradas pelos clientes e enviadas ao servidor. O servidor processa essas requisições e envia as respostas de volta aos clientes. Permite também a interação entre dispositivos através de mensagens de sinalização e controle. (FERREIRA & BRANDÃO, 2007) Os protocolos de sinalização são usados para estabelecer, manter e encerrar chamadas além de servir de suporte à bilhetagem de parâmetros de negociação da chamada como portas de mídia, chave de criptografia e codecs. Já os de mídia são usados para realizar a transferência fim a fim dos pacotes. RTP é o protocolo de transporte utilizado no VoIP. Como exemplo de protocolos de sinalização pode-se citar SIP, MGCP e H.323. (MADEIRA, 2007) O protocolo H.323 é um protocolo mais maduro e utilizado estando presente na maioria das soluções de mercado. No entanto, o protocolo SIP, embora mais recente, tem sido considerado, por especialistas e fornecedores de equipamentos e soluções VoIP, como um protocolo que pode disputar a hegemonia do mercado com
33 o H.323 devido às suas particularidades. São alguns protocolos utilizados, para este fim, específicos de sinalização e configuração de chamadas. Em uma chamada VoIP se utiliza três protocolos na camada de aplicação do modelo TCP/IP. NTP fica responsável por verificar se os sinais são transmitidos e recebidos numa janela de tempo aceitável para a quantidade do serviço. RTP fornece funcionalidade de transporte fim a fim para os sinais de voz. RTCP faz um controle simplificado para assegurar a entrega dos pacotes de VoIP via RTP. E por se tratar de uma aplicação em tempo real em que a rapidez na entrega dos pacotes é mais importante que a garantia de sua entrega no destino, o protocolo utilizado é o UDP. (MADEIRA, 2007) 3.7 H.323 No começo da telefonia sobre IP já era de ciência das operadoras que, se cada fornecedor projetasse sua própria pilha de protocolos, o sistema nunca funcionária adequadamente. Então com o apoio da ITU foi desenvolvido padrões para este tipo de problema. Surgiu através da ITU a recomendação H.323, intitulada como: sistemas e equipamentos de telefonia visual para redes locais que oferecem uma qualidade de serviço não garantida. Essa recomendação H.323, então revisada foi base para os primeiros sistemas amplamente difundidos de telefonia da Internet. Ela faz referência a um grande número de protocolos específicos para codificação de voz, configuração de chamadas, sinalização, transporte de dados e outras áreas. A rede de telefonia precisa de vários protocolos, o H.323 é um protocolo para codificação e decodificação de voz, ele codifica um único canal de voz realizando a amostragem 8000 vezes por segundo com amostras de 8 bits, a fim de fornecer voz descompactada a 64 Kbps. (FERREIRA & BRANDÃO, 2007) 3.8 Gatekeeper Um gatekeeper é considerado o componente “inteligente” de uma rede H.323, ele age como o ponto central para todas as chamadas dentro de sua zona e provê serviços de controle de chamada para estações registradas.
34 Protocolo da camada física o RTCP é necessário para controlar os canais do RTP. Para ver como esses protocolos funcionam juntos, considere o caso de um terminal de PC em uma LAN que chama um telefone remoto. Primeiro, o PC tem de descobrir o gatekeeper e, para isso, transmite por difusão um pacote UDP de descoberta de gatekeeper para a porta padrão 1718. Quando o gatekeeper responde, o PC aprende o endereço IP do gatekeeper. Agora, o PC se registra com o gatekeeper, enviando a ele uma mensagem RAS em um pacote UDP. Depois que a mensagem é aceita, o PC envia ao gatekeeper uma mensagem RAS de admissão solicitando largura de banda. Só depois que a largura de banda e concedida, é possível iniciar a configuração de chamada a ideia de solicitar largura de banda com antecedência tem a finalidade de permitir ao gatekeeper limitar o número de chamadas, a fim de evitar saturar a linha de saída, e desse modo oferecer a qualidade de serviço necessária. Segue figura 3 com esquema de uma rede com gatekeeper. (THERMOS & TAKANEN, 2007) Figura 3 - Gatekeeper 3.9 Protocolo SIP O SIP é um único módulo, porém foi projetado para interoperar bem com aplicações da internet existentes, ele pode estabelecer sessões entre duas partes sendo UDP ou TCP, sessão de várias partes e sessões de multidifusão, com o SIP é possível transferir vídeo, dados e áudio, este protocolo fica responsável apenas pela configuração, do gerenciamento e do encerramento de sessões. Os protocolos RTP e RTCP faz o transporte na camada física. Os números de telefone no SIP são representados em forma de URLs que utilizam o esquema usuário@dns. Uma
35 conexão acontece em o chamador cria uma conexão orientada ou não orientada à conexão com o chamado que envia uma mensagem INVITE sobre ela, os cabeçalhos da segunda e das próximas linhas descrevem a estrutura do corpo da mensagem, que transporta informações do chamador, tipos de mídia e formatos. E caso o chamado aceitar a ligação por sua vez irá enviar um código de resposta em HTTP, logo segue o tráfego entre as duas extremidades. No encerramento é enviado o uma mensagem com método BYE que desconecta a ligação. (SILVA, 2007) Para o estabelecimento da sessão SIP são usados os métodos: • Register – usado para registrar o usuário; • Invite – Convidar alguém para uma sessão de multimídia; • ACK – confirmação de uma requisição de estabelecimento de sessão; • Cancel – cancelamento de uma transação; • Bye – encerramento de uma sessão ou transação; • Options – Consulta de compatibilidades; • Info – usado para troca de informações intermediárias como dígitos discados; • Messages – usado para mensagens curtas de serviço e mensagem instantânea; • Notify – usado para notificar eventos e atualização de registro; • Subscribe – usado para a subscrição de notificação de eventos; • Upgrate – usado para atualização das informações de uma sessão;
36 Figura 4 - Etapas do SIP Figura 4 mostra o funcionamento de uma rede VoIP .Dentre H.323 e SIP protocolos bastante eficientes nas suas tarefas que é o tráfego de voz sobre IP. Mas H.323 é um padrão pesado comum na indústria telefônica, enquanto o SIP é um protocolo leve e típico da internet, flexível para ser adaptado em novas aplicações, mas tem um problema com interoperabilidade. 4 VULNERABILIDADES “(...) a segurança é inversamente proporcional às funcionalidades”. Assim, quanto maior o número de funcionalidades que um sistema disponibilizar, maior será a chance de haver alguma vulnerabilidade que pode ser explorada, em consequência, a menor será a segurança do ambiente e maior será a responsabilidade dos administradores. (NAKAMURA & GEUS, 2003) 4.1 Segurança Segurança pode ser definida como “certeza, confiança” segundo o dicionário Aurélio. Atualmente a informação é o bem de maior valor existente, e grande parte desta informação se encontra em formato eletrônico, e informação é poder sendo
37 que a posse de determinada informação pode fazer toda a diferença para o sucesso ou fracasso de uma empresa, então se define que segurança é a proteção de informações, sistemas, recursos e serviços contra desastres. Segundo o autor DUMONT, ele dividiu a segurança em quatro camadas, “controle de acesso ao sistema, segurança interna do sistema, monitoramento do sistema, recuperação e disponibilidade do sistema”. Sendo que um invasor pode fazer um mapeamento das vulnerabilidades do sistema utilizando alguns recursos e ferramentas, mas a camada de controle e acesso ao sistema pode impedir exigindo que servidores fiquem em locais seguro e que somente pessoas autorizadas tenham acesso físico, sendo que o mesmo possua rede elétrica estabilizada, encontre-se em uma rede DMZ e protegidos por firewall. É citada a segurança interna do sistema como sendo uma exigência na escolha da versão do sistema operacional que vai ser instalado, e o total domínio do administrador que vai se deparar com o dia a dia no servidor, e quanto menor for o número de recursos disponível consequentemente menor serão as vulnerabilidades disponíveis aos intrusos. Na terceira camada temos o monitoramento do sistema que é o emprego de alguns softwares para monitoramento do sistema caso exista algum intruso, se existir o software avisa as devidas pessoas responsáveis. E na quarta e última camada composta por recuperação e disponibilidade do sistema visa, ter um plano de contingência, que é estar preparado para o pior, e poder reverter o dano em menor tempo possível, para isso é preciso ter o serviço de backup funcionando perfeitamente. (DUMONT, 2006) As redes de voz representam um alvo importante para os hackers por diversos motivos, pois voz encapsulada em pacotes de dados ainda é informação e está informação pode valer muito dinheiro, pode permitir acesso indevido a informações financeiras estratégicas, cuja utilização pode gerar grandes prejuízos tanto para a própria corporação quanto para terceiros. Um computador com telefone IP precisa tomar cuidado com ameaças relacionadas à rede de dados e rede de voz. No VoIP, o conteúdo das conversas telefônicas está trafegando na rede de dados, encapsulado em pacotes IP, e a captura de dados em uma rede IP através de técnicas de “Sniffing” não é difícil, pois existem ferramentas que captura pacotes de uma conversa telefônica e consegue remontá-los e convertê-los em um formato
38 comum de áudio. Os vírus mesmo não sendo direcionados para o VoIP pode afetar muito o recurso, se por algum motivo existir um tráfego muito grande na rede os pacotes podem conflitar fazendo com que nenhum dos pacotes chegue ao destino. (MADEIRA, 2007) 4.2 Negação de serviço (DoS) O ataque conhecido como DoS (Denial of Service) pode afetar várias camadas do ambiente VoIP, o principal objetivo é provocar a interrupção ou degradação do serviço alvo. No caso do VoIP, o ataque pode ser direcionado tanto para o sistema operacional dos servidores como também para os serviços de rede, e podem ser dividido em ataque de inundação onde ocorre uma sobrecarga de mensagens para um destino com o objetivo de comprometer seu funcionamento. Outro ataque DoS é o pacote deformado se dá por um processo conhecido como Fuzzing que gera pacote deformado aleatoriamente ou semi-aleatoriamente e que pode comprometer o serviço. (THERMOS & TAKANEN, 2007) 4.3 Inundação SIP SIP Flooding é o ataque gerado por inundação em que mensagens INVITE são endereçadas ao usuário SIP, esse ataque deixa vulnerável o desempenho dos servidores SIP proxies que terão que tratar essas requisições e suas respostas além de impossibilitar que o usuário alvo consiga efetuar ligações. (THERMOS & TAKANEN, 2007) Este ataque tem por objetivo consumir todos os recursos da rede e do sistema, causando indisponibilidade dos serviços de rede, e como o VoIP depende da disponibilidade da infraestrutura de dados, ele também ficará indisponível. O ataque UDP flooding é o mais cobiçado pelos invasores, pois o endereço de origem dos pacotes UDP pode ser facilmente adulterado, esse tipo de ataque leva vantagem, pois pode driblar facilmente os firewalls, uma vez que seja possível alterar o IP de origem e destinar o ataque para uma porta UDP válida e liberada no firewall. Ataque por ICMP que usa a falha de esse tipo de pacote ser liberados através dos firewalls e roteadores com o objetivo de diagnóstico, através de ping e
39 traceroute, o ICMP provê a capacidade de enviar grandes quantidades de tráfego através dos links. Uma forma de ataque usando essa capacidade consiste no envio de pacotes ICMP echo request para os endereços de broadcast de várias redes como o endereço de origem alterado para IP da vítima. Para corrigir este erro é recomendado desabilitar nos roteadores a capacidade de receber e enviar broadcast IP com destino e a partir de sua rede. Um fator que leva a ataques sobre a infraestrutura VoIP envolve ataques ao sistema operacional ou hardware, o que pode levar a aplicação VoIP ficar indisponível. Supondo que um atacante explore uma vulnerabilidade no servidor Linux que esta rodando o Asterisk, o servidor irá travar, ou ainda ter seus recursos consumido, consequentemente a aplicação VoIP que roda sobre esse servidor ficará indisponível. O servidor DNS pode ser bastante utilizado pela infraestrutura VoIP, dessa forma é possível fazer ataques de flooding no servidor DNS de forma que seja consumida a capacidade de banda da rede ou ainda a capacidade de conexões de rede. Floods UDP são particularmente efetivos contra servidores DNS expostos por que a maioria dos firewall não consegue diferenciar o tráfego malicioso gerado pelo ataque de um tráfego DNS legítimo. (GALVÃO & ZATTAR, 2003) 4.4 Sinalização SIP Loop Este por sua vez afeta sistemas que não implementam mecanismos de detecção de looping. Este ataque registra dois usuários em domínios SIP diferentes, sendo que no cabeçalho de contato de cada registro existem dois valores, cada um apontando para um destes usuários, porém no domínio contrário. Quando o SIP proxy de um domínio recebe o INVITE para um desses usuários, ele irá gerar duas mensagens de INVITE uma para cada usuário no outro domínio. Isso faz com que no SIP proxy do outro domínio, ao receber os dois INVITE irá gerar quatro novas mensagens de INVITE para o outro domínio. Causando assim um rápido crescimento do tráfego de INVITE e posteriormente comprometendo o serviço SIP. (THERMOS & TAKANEN, 2007)
40 4.5 Modificação do ataque ao QoS Tem a finalidade de modificar os campos referentes à QoS no header do pacote IP anulando o controle de QoS da rede e comprometendo o serviço VoIP. (PORTER & GOUGH, 2007) 4.6 Autenticação SIP Ao utilizar este método ele tem o objetivo de obter as credenciais de acesso de um usuário válido em um sistema de telefonia SIP através da utilização de um ataque de força bruta. Através dessa técnica, um atacante pode enviar inúmeras requisições de registro com identificação e senhas a partir de um arquivo de dicionário, uma vez descoberta à senha, o atacante pode usar ela para acessar o serviço. (THERMOS & TAKANEN, 2007) 4.7 Analise de tráfego e escuta Este ataque tem a finalidade de compreender os métodos de ataque que permitem ao atacante monitorar a sinalização e o tráfego de dados VoIP sem alterá- los, basicamente essa técnica de ataque leva a busca de informações para o aperfeiçoamento de ataques posteriores. Para este ataque é preciso que o atacante esteja usando a rede local de onde o servidor SIP estiver implantado ou use uma técnica de envenenamento da tabela ARP para conseguir interceptar os pacotes da comunicação antes que eles sejam transmitidos ao destino correto. (THERMOS & TAKANEN, 2007) 4.8 Envenenamento ARP ARP poisoning também conhecido como ARP spoofing, é um ataque que explora a vulnerabilidade do nível de rede do modelo TCP/IP. O protocolo ARP responsável por fazer o mapeamento entre o endereço físico da interface de rede e o endereço IP, o princípio deste ataque consiste em alterar (envenenar) esse mapeamento através da manipulação da tabela ARP dos equipamentos de rede,
41 para isso o ataque envia uma mensagem de broadcast na rede publicando um novo MAC para o IP que ele deseja interceptar. (THERMOS & TAKANEN, 2007) 4.9 Mascaramento É caracterizada pela habilidade do atacante em se fazer passar por um usuário, dispositivo ou servido a fim de obter acessa a rede, seus dispositivos e informações trafegadas. Esse tipo de ameaça pode comprometer a disponibilidade, a integridade e a confidencialidade dos serviços de VoIP. A impersonificacão é um tipo especial de mascaramento em que o atacante pode comprometer a segurança do sistema seja através da falsificação de serviços e dispositivos de rede básicos na infraestrutura VoIP, seja se fazendo passar por outra pessoa através da captura ou roubo das credenciais de acesso da vítima. Esse tipo de ataque pode ocorrer contra usuários, dispositivos, serviços e aplicações de rede. (PORTER & GOUGH, 2007) Impersonificação dos serviços e aplicações, método mais sofisticado de ataque, envolve uma coordenação maior de elementos e esta relacionado aos tipos de ataque que tiram vantagens de vulnerabilidades que impactam no roteamento dos protocolos de sinalização. Impersonificação dos dispositivos, elementos de rede como telefones, servidores DNS, registradores SIP e gateways de mídia e sinalização podem ser impersonificados com o objetivo de coletar e desviar seus tráfegos de rede. Impersonificação do assinante caracteriza a impersonificação em que o atacante mascara sua identidade utilizando-se de credenciais capturadas ou de acesso a dispositivos de um assinante de uma serviço para realizar seu ataque. Os métodos mais utilizados de mascaramento no VoIP são direcionados à manipulação das mensagens de sinalização embora métodos tradicionalmente conhecidos como clone de endereços IP e MAC e spoofing de IP também são utilizados. (THERMOS & TAKANEN, 2007) 4.10 Sequestro de chamada No cabeçalho da requisição Register em um sistema SIP há um registro com informações de contato (Contact) que é usado pelo Proxy SIP para rotear as ligações para o dispositivo do usuário. O ataque de sequestro de chamada pode ser
42 realizado através da alteração das informações de IP contidas nesse registro. Com essa alteração, as ligações que deveria ser encaminhadas para o dispositivo do usuário, são desviadas para o dispositivo do atacante. (THERMOS & TAKANEN, 2007) No estudo VoIP a verificação insuficiente de dados em uma implementação, acaba permitindo que os próprios usuários entrem na rede para promover ataques. Bancos de dados padrão são normalmente utilizados como o backbone de serviços de VoIP e seus registros, em uma implementação é necessário observar com atenção para filtros de conteúdo ativo, como solicitações SQL envolvendo nomes de usuários, senhas e URL’s de sessões, a maioria dos problemas relacionados a falhas de execução resultará da má utilização de filtros e programações inseguras. Os pacotes mal formados, com conteúdo e estruturas inesperadas existem em qualquer protocolo de mensagem. A maioria das mensagens mal formadas envolve ataques de buffer overflow. O resultado é que o input dado pelo invasor é escrito sobre outros conteúdos de memória interna, como registros e pointers, que permitirão ao invasor total controle sobre o processo vulnerável. Especialmente em equipamentos embutidos, os recursos disponíveis para implementações VoIP podem ser muito escassos, pouca memória e baixa capacidade de processamento podem ajudar o invasor a derrubar os serviços VoIP nesses equipamentos. O serviço precisa ser criado de forma a suportar a demanda mesmo que todos os usuários decidam utilizá-lo simultaneamente, um serviço pode receber uma série de falsas solicitações ou mesmo, por engano, carga de usuários reais, se não possuir capacidade suficiente o resultado será a paralisação do serviço. A única identificação que um usuário de VoIP tem é o número de seu telefone ou a URL SIP e uma eventual senha para o serviço, a senha é armazenada tanto no cliente quanto no servidor, se as senhas forem armazenadas no servidor em um formato que possam ser revertidas, qualquer um com acesso a esse servidor pode obter o nome de usuário e a senha referente a ele. Recursos precisam ser protegidos tanto da perspectiva do sistema operacional quanto da plataforma e da rede, os serviços de VoIP rodando sobre a plataforma precisam levar em consideração os seus privilégios, um serviço VoIP não necessariamente requer privilégios administrativos para rodar. Dados confidenciais precisam ser protegidos
43 de qualquer tipo de ataque. A vulnerabilidade mais comum nesta categoria é não criptografar os dados, mesmo quando os mecanismos de criptografia estão disponíveis. Tantos os usuários quanto os seus equipamentos precisam ser autenticados, além disso, outros serviços, como gerenciamento de equipamentos, existem nos aparelhos VoIP e também precisam de autenticação do usuário. Outra vulnerabilidade existente em diversas infra-estruturas de redes homogêneas é a grande dependência em um número limitado de marcas e aparelhos, se uma rede inteira depender de uma marca específica de telefones, proxy ou firewall, um ataque automatizado, como vírus ou worms pode paralisar a rede. (THERMOS & TAKANEN, 2007) Tabela 1 - Ataques mais usados no VoIP Alvo Objetivo Método Usuário Fraude. Obter as credencias do usuário por meio de outro ataque e usá-las para efetuar ligações fraudulentas. Obter acesso físico ou remoto a um dispositivo do usuário. Manipular mensagens de sinalização para desviar tráfego. DNS Redirecionar as requisições Envenenamento de cache de DNS. de sessão para um Violação de acesso com o objetivo dispositivo não autorizado. de manipular as configurações de elementos da rede. Gateway de Desviar o tráfego da Manipular remotamente a Sinalização sinalização e sinalização para desviar o tráfego. consequentemente as Violação de acesso com o objetivo chamadas. de manipular as configurações de elementos da rede. Gateway de Desviar tráfego da mídia. Manipular remotamente a Mídia sinalização para desviar o tráfego. Violação de acesso com o objetivo de manipular as configurações de elementos da rede. Proxy SIP Obter credencias de Manipular remotamente a
44 usuários. sinalização para desviar o tráfego Desfiar o tráfego da (manipulação das sessões pelo sinalização e spoofing de mensagens de consequentemente as sinalização como Refer e Invite). chamadas. Violação de acesso com o objetivo de manipular as configurações de elementos da rede. SIP Registra Obter credencias de Ataque de spoofing nas requisições usuários. de registro. Violação de acesso com o objetivo de manipular as configurações de elementos da rede. Gatekeeper Obter credenciais de Ataque de spoofing nas requisições H.323 usuários de registro. Obter informações do tráfego Violação de acesso com o objetivo da chamada. de manipular as configurações de elementos da rede. Soft switch Desviar o tráfego da Violação de acesso com o objetivo sinalização e de manipular as configurações de consequentemente as elementos da rede. chamadas. Obter informações do tráfego da chamada Fonte: THERMOS & TAKANEN, 2007, p. 111 5 SOLUÇÕES PARA REDES VOIP
45 Como já citado algumas ameaças e vulnerabilidades encontradas no mundo VoIP, a diante trataremos das correções para os problemas, para tentar evitar surpresas. 5.1 Segurança de VLAN Usar VLAN significa permitir a segmentação lógica da rede criando domínio de colisão e de broadcast diferentes entre o tráfego de dados e o tráfego de voz. Agindo desta maneira podemos prevenir que problemas de rede de um segmento interfiram no outro e vice-versa, os ataques de negação de serviço e instabilidades na rede de dados provocados pela atuação de pragas virtuais como vírus e worms terão seus efeitos minimizados com a utilização de VLAN’s, a segmentação do broadcast favorece o desempenho causando uma redução do tráfego da rede, em consequência proporciona uma maior banda passante. As VLAN’s podem ser implementadas com mecanismo de QoS para que no VoIP seja priorizado o tráfego, o padrão foi definido pelo IEEE através do protocolo 802.1Q. Em uso de softphone se a estação de trabalho possuir uma única interface de rede significa que o software irá compartilhar a rede de dados para trafegar o fluxo de voz, em casos como este, não será possível utilizar o conceito de VLAN para separação dos tráfegos de dados e voz. (PORTER & GOUGH, 2007) 5.2 Segurança com firewall, IDS e IPS. Equipamentos como firewalls, IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) tem a finalidade de proteger segmentos de rede contra ameaças externas, esse tipo de equipamento são estrategicamente inseridos na infra estrutura de rede de modo que todo tráfego entre os segmentos de redes passe pelos equipamentos. (THERMOS & TAKANEN, 2007) Com a finalidade de bloquear todo tráfego da rede que não esteja de acordo com a política de segurança implementada pelas regras de acesso, o firewall é responsável pelo processamento do tráfego realizado sob técnicas de filtro de pacotes. Esse processo consiste em analisar informações contidas no cabeçalho de cada pacote que atravessa o firewall como endereços IP, portas e tipo de protocolos
46 a fim de identificar os pacotes legítimos. Os firewall’s podem ser classificados em Stateless e Stateful, sendo o Stateless firewall que não guardam informações em memória sobre o estado das conexões, já os Stateful mantém em memória uma tabela de estado das conexões, e dessa forma, conseguem diferenciar pacotes iniciando uma nova conexão de pacotes de conexões já estabelecidas ou relacionadas. Além da habilidade de verificar e barrar pacotes com número de sequência incorreto, sendo este tipo de firewall mais eficiente para detectar e bloquear pacotes maliciosos. (PORTER & GOUGH, 2007) IDS e IPS são sistemas capazes de detectar tráfego maliciosos mesmo que esses tenham sido considerados legítimos pela política de segurança de firewalls. Através de uma arquitetura composta por sensores, unidade de detecção e uma base de conhecimento, esses sistemas analisam os protocolos dos pacotes até as camadas do nível de aplicação. Existem três métodos de detecção utilizados por esses sistemas que são os baseados em assinantes, em anomalia e em análise do protocolo Stateful. Os sistemas baseados em assinatura utilizam uma base de dados, que deve ser atualizada periodicamente, com as instruções referentes aos conhecidos ataques, o que inclui, por exemplo, assinaturas contra ataques ao Code Red, NIMIDA, DoS, buffer overflows e outras vulnerabilidades. (PORTER & GOUGH, 2007) Sistemas de detecção de intrusão baseados em anomalias funcionam com base no comportamento da rede. Distorções observadas nesse comportamento são indícios de que algo está errado, apesar de ser um método muito eficiente para detectar ataques como Port Scan e DoS, falso-positivos podem ocorrer se o padrão de comportamento da rede não for mapeado adequadamente. Já os sistemas baseados em análise do protocolo stateful fazem a análise dos protocolos dos pacotes ate as camadas do nível de aplicação e verificam se eles estão em conformidade com os perfis de comportamento estabelecidos pela RFC’s e vendors de cada protocolo. (PORTER & GOUGH, 2007) 5.3 Segurança no QoS
47 O emprego de técnicas de Qualidade de Serviço é importante para o bom funcionamento do serviço VoIP. QoS visa entregar uma largura de banda garantida e um valor máximo de atraso e Jitter, em uma transmissão de dados, atraso é o tempo que a informação leva para trafegar entre sua origem e seu destino, em VoIP a origem é o emissor da voz e o receptor sendo aquele que ouve. O objetivo ao se utilizar técnicas de QoS é garantir o bom desempenho do fluxo de voz mesmo em momentos que a rede esteja em condições desfavoráveis, rede congestionadas, seja em decorrência de um ataque de DoS ou pela ação de pragas virtuais ainda podem ter uma excelente qualidade no fluxo de voz quando utilizadas políticas de QoS apropriadas. (PORTER & GOUGH, 2007) 5.4 Segurança na autenticação SIP O mecanismo de autenticação SIP é usado para fornecer segurança ao processo de requisições de mensagens envolvendo o registro e o inicio e fim de sessões (métodos REGISTER e INVITE). Após receber a tentativa de registro, o servidor de registro retorna ao agente de usuário uma mensagem 401 Unalthorized message solicitando um desafio para a sua autenticação. Em seguida, o agente de usuário envia uma nova mensagem de requisição de registro acrescida de um MD5 digest que será usado na autenticação, caso a autenticação seja realizada com sucesso, as informações do dispositivo e do usuário são autorizadas e é retornada uma mensagem de OK. Processo semelhante ocorre para início e término da chamada com o método INVITE e BYE respectivamente. A autenticação SIP é opcional e pode ser implementada separadamente para cada método SIP. Por exemplo, pode-se optar pela autenticação nos métodos REGISTER e INVITE sem tê-la nos métodos BYE e CANCEL. Contudo, esse tipo de escolha pode abrir oportunidades para ataques como início e término de chamadas sem autorização. Como proteção contra ataques de message replay e mascaramento, a autenticação por desafio deve ser utilizada em todas as mensagens que se destinam a criar, modificar sessões. Ainda algumas mensagens como CANCEL e BYE não são protegidas pela utilização de MD5. Como alternativa recomenda-se a utilização de criptografia para as mensagens de sinalização através de protocolos como TLS, IPSec e S/MINE. (THERMOS & TAKANEN, 2007)
48 5.5 Segurança IPSec Internet Protocol Security (IPSec) é uma extensão do protocolo IP descrito pela IETF para operar no nível de rede do modelo OSI com a finalidade de prover autenticidade, confidencialidade e integridade na comunicação fim a fim de aplicações que utilizam a rede IP. O IPSec pode operar de duas formas diferentes. Em modo de transporte onde somente a carta útil do pacote IP é protegida, o cabeçalho fica intacto. Modo túnel que todo o pacote IP é protegido por criptografia, neste modo há a necessidade de um novo cabeçalho IP para fazer o encaminhamento do pacote. Em redes VoIP o IPSec pode fornecer confidencialidade, integridade e autenticação para mensagens de sinalização e de mídia, criando túneis seguros entre as entidades participantes da comunicação, a formação do túnel IPSec acrescenta atraso tanto no estabelecimento da chamada como no transporte da mídia o que muitas vezes torna inviável a utilização. A empresa Telecordia Technologies realizou um estudo sobre o uso do IPSec no processo de sinalização de uma chamada fim a fim é inviável em virtude do tempo gasto para a formação dos túneis entre cada hop envolvido na comunicação. O estudo demonstra que uma chamada entre domínios SIP usando dois servidores Proxy leva cerca de 20 segundos para ser estabelecida. O padrão tolerável para esse processo é em torno de 250ms, se o túnel IPSec fim a fim já estiver estabelecido, a transmissão da mídia e das mensagens de sinalização sofre um atraso desprezível o que faz da utilização de túneis IPSec uma alternativa viável. (THERMOS & TAKANEN, 2007) 5.6 Segurança através do protocolo TLS Protocolo criptográfico especificado pela IETF para fornecer segurança na comunicação fim a fim em redes TCP/IP, assim como o IPSec, este também é utilizado para a criação de VPN’s (Virtual Private Network). O TLS é um protocolo independente do nível de aplicação, baseado em sessão, utilizado para criptografar conexões TCP, com a capacidade de oferecer autenticação mutua entre cliente e servidor, confidencialidade e integridade às aplicações baseadas em rede IP, este composto por duas camadas:
49 TLS Record Protocol é a camada inferior cuja função é garantir a segurança da conexão. Nessa camada é realizado o encapsulamento e transmissão de todas as mensagens dos protocolos dos níveis superiores, ao transmitir uma mensagem, o protocolo de registro realiza a fragmentação dos dados, opcionalmente faz sua compressão, e aplica uma função de integridade, faz a criptografia e a transmissão das mensagens. No receptor ocorre o processo inverso. (PORTER & GOUGH, 2007) TLS Handshake Protocol cuja camada tem a função de negociar os parâmetros de segurança que serão usados pela camada de registro para o estabelecimento de conexões seguras. Dentre esses parâmetros estão os métodos de compressão, criptografia e integridade que serão utilizados, o tamanho do hash e a troca dos certificados e master key usados entre cliente e servidor. O TLS foi concebido para dar suporte aos protocolos confiáveis da camada de transporte como TCP e SCTP, possui limitações quando se trata de aplicações que usam UDP como é o caso das mensagens SIP. (THERMOS & TAKANEN, 2007) Uma das limitações do uso de TLS para proteção da sinalização SIP está no fato de que ele não suporta confidencialidade fim a fim para usuários conectados em SIP proxies intermediários. Para esse caso, em cada segmento deve ser estabelecida uma conexão TLS distinta. Assim, cada SIP Proxy precisa analisar o cabeçalho do pacote SIP a fim de saber para onde encaminhá-lo, feito isso, a conexão segura é finalizada e uma nova sessão é criada para o próximo hop. (THERMOS & TAKANEN, 2007) 5.7 Segurança usando DTLS Datagram Tranport Layer Security é o protocolo descrito pala RFC 4347 para atender as limitações do TLS no fornecimento de um serviço de transporte seguro às aplicações que utilizam UDP como protocolo de transporte fim a fim na rede IP. Muito embora seja similar ao TLS em muitos aspectos, o que inclui a limitação de necessitar que uma nova conexão seja estabelecida para garantir a proteção das mensagens SIP entre cada hop, o DTLS tem como diferencial a
50 capacidade de tratar aspectos da comunicação UDP não confiável como a perda e o reordenamento dos pacotes. O TLS apresenta deficiências quanto ao tratamento de perdas de pacotes durante o handshke do protocolo assim como na detecção de pacotes duplicados. O DTLS foi especificado para superar essas limitações. (THERMOS & TAKANEN, 2007) 5.8 Segurança com S/MIME Secure/Multipurpose Internet Mail Extensions é um padrão especificado pala IETF através da RFC 3851 para fornecer autoridade, integridade e confidencialidade para protocolos de aplicação como SMTP e SIP. O MIME é largamente utilizado em sistemas de email para tratar formatos complexos de mensagens e caracteres encapsulados dentro do protocolo SMTP. O MIME define uma série de mecanismos para codificar e representar essas mensagens de formatos complexos como arquivos multimídia e caracteres linguísticos anexados dentro de outros protocolos como SMTP ou SIP. O S/MIME é uma versão do MIME que incorpora em sua estrutura o padrão de criptografia de chaves públicas a fim de prover segurança para os protocolos de aplicação que utilizam, diferente do TLS e do DTLS que englobam toda a mensagem SIP em suas estruturas, o S/MIME é mais flexível e permite ser mais granular na proteção das informações das mensagens SIP. Assim, ele possibilita que equipamentos intermediários da rede interpretem a parte não criptografada sem a necessidade de decodificar todo pacote, além disso, ele pode ser usado com UDP e TCP, é mais flexível que os métodos usando IPSec, TLS e DTLS na proteção fim a fim. (THERMOS & TAKANEN, 2007) 5.9 Segurança no protocolo H.323 Para questões de segurança como autenticação e integridade a ITU-T especificou o padrão H.235 para trabalhar em conjunto com os demais protocolos da seria H. esse padrão especifica perfis de segurança que podem ser combinados para atender aos serviços de segurança como autenticação, integridade, confidencialidade, irrevogabilidade, controle de acesso e gerenciamento de chave de criptografia. O perfil H.235.1, por exemplo, presta suporte a serviços de autenticação e integridade. A autenticação é suportada através do compartilhamento de chave
51 secreta ou de métodos de chave publica com uso de certificados que são implementados juntamente com os protocolos de controle e de sinalização como o H.245 e o H.225. Outros perfis tratam da criptografia através da utilização de algoritmos de chave simétrica como DES, 3DES e AES que podem ser usados juntamente com o fluxo RTP. Ainda, TLS e IPSec são recomendações para fornecer segurança aos níveis 4 e 3 da pilha TCP/IP respectivamente. Segue figura 5 mostrando o padrão H.235. (PORTER & GOUGH, 2007) Figura 5 - Padrão H.235 Tabela 2 - Perfis de Segurança do Padrão H.235 Recomendação Descrição H.235.0 Estrutura de segurança para a série H (H.323 e outros baseados em H.245) sistemas de multimídia. H.235.1 Baseline security profile. H.235.2 Signature security profile. H.235.3 Hybrid security profile. H.235.4 Direct and selective routed call security. H.235.5 Security profile for RAS authentication usind weak shared secrets. H.235.6 Voice encryption profile with “native” H.235/H.245 key management. H.235.7 MIKEY + SRTP security profile. H.235.8 Key Exchange for SRTP on secure signaling channels. H.235.9 Security gateway support for H.323. Fonte: THERMOS & TAKANEN, 2007, p. 194
52 5.10 Segurança usando MGCP O protocolo MGCP não fornece nenhum controle de segurança, dessa forma é muito recomendado utilizar protocolos de segurança como é o caso do IPSec para fornecer alguma proteção ao MGCP. Se não for implementada nenhuma proteção, uma atacante pode facilmente enviar mensagens de sinalização para desconectar chamadas, desviar o fluxo RTP para outro host ou mesmo o fluxo de uma conferencia sem que os participantes tomem conhecimento. Em ataques ao MGCP recomenda-se reforçar o controle de acesso a rede para restringir o acesso a portas do MGCP, essa prática evita a tentativa maliciosa de manipulação de sessões existentes. É Recomendado também reforçar a relação um para um entre call manager e os gateways da RPTC na troca de mensagens MGCP. Ainda quando suportado, habilitar IPSec para a criptografia do tráfego entre call manager e o gateway RPTC. (THERMOS & TAKANEN, 2007) 5.11 Segurança no fluxo da mídia O protocolo padrão utilizado para troca de fluxo de mídia é o RTP, se o mesmo for utilizado sem os devidos cuidados, o fluxo de mídia poderá ficar vulnerável a ataques de interceptação e manipulação que comprometerão princípios de integridade e confidencialidade das informações trafegadas no ambiente. (PORTER & GOUGH, 2007)
53 6 Conclusão Com este estudo foi possível ter conhecimento em cima do recurso VoIP que já é bastante difundido entre as empresas que procuram uma redução de custos, apesar de não ser foco a redução de custo e sim a segurança, as lições aqui passadas são essenciais para qualquer administrador de redes, gerentes de TI, administradores de segurança, tomar cuidado com a segurança dos recursos de voz das empresas, e até mesmo todos os outros recursos que trafegue sobre o TCP/IP, o princípio vem ser o mesmo para todos os demais recursos. Várias medidas são aplicadas para evitar diversos ataques, vale a pena observar que a rede é tão segura quanto o elo mais fraco dela, isso significa que não adianta a implementação de certo tipo de proteção, se ela não é utilizada para todos os elementos da rede, ou ainda não adianta implementar sistemas de IPS e firewalls, se os usuários de acesso a eles possuem os valores padrão com senhas de administração por exemplo. A proteção da infraestrutura nunca é feita apenas com uma medida e sim com uma serie delas. Como trabalho futuro, a intenção de implementar o VoIP em uma rede IPV6 é curiosa, pois segundo estudos desta tecnologia, trata-se de um método mais rápido de transmissão de dados, e proporciona uma segurança maior por ter o IPsec nativo nesta tecnologia.
54 7 REFERÊNCIAS CARVALHO, Eric Barbosa Jales de. Tutorial de instalação e configuração básica do Trixbox. 2007. DUMONT, Carlos Eduardo Silva. Segurança Computacional. Segurança em Servidores Linux em Camadas, p. 59. 2006. ELASTIX. Manual do Utilizador em Português (versão final). Disponível em www.elastix.org:<http://ufpr.dl.sourceforge.net/project/elastix/Tutorials_Docs_Manual s/Comunicaciones%20Unificadas%20con %20Elastix/Comunicaciones_Unificadas_con_Elastix_Volumen_1_29Mar2009.pdf>. Acesso em: 16 de Junho de 2011. FERREIRA, Aida A., & BRANDÃO, Glória A. V. Estudo das tecnologias de transmissão de voz sobre ip (VoIP) e desenvolvimento de uma aplicação VoIP. 2007. GALVÃO, Márcio, & ZATTAR, Alexandre Modulo Security Lab. Aspectos de segurança em redes voz sobre IP. 2003. GONÇALVES, Flávio Eduardo de Andrade. Como construir e configurar um PABX com software livre versão 1.4. p. 249. 2005. GONZALEZ, Felipe Nogaroto. Estudo e implementação de solução de voz sobre IP baseadas em softwares livres. SOCIESC Instituto Superior Tupy. 2007. LESSA, Elisa Moraes, & SOUZA, Laura Castro Xavier. Redes de computadores I. Disponível em: <http://www.gta.ufrj.br/grad/07_1/voip/index.html>. Acesso em Maio de 2011. MADEIRA, Frederico Tiago Tavares. Segurança em redes de voz sobre IP. p. 90. 2007.
Tecnologia voip estudo das falhas, emerson carlos

Recomendados

30 abr16 Sistema Telefonia Fixa
30 abr16 Sistema Telefonia Fixa30 abr16 Sistema Telefonia Fixa
30 abr16 Sistema Telefonia Fixa
ricnicpontounipac
 
30 abr16 ativ-ii
30 abr16 ativ-ii30 abr16 ativ-ii
30 abr16 ativ-ii
ricnicpontounipac
 
Curso completo voip
Curso completo voipCurso completo voip
Curso completo voip
Katia Ribeiro
 
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Júlio César Magro
 
Redes final
Redes finalRedes final
Redes final
rrodriguesmattos
 
Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).
Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).
Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).
AntnioGilbertoBastos
 
Apostila de telecomunicação
Apostila de telecomunicação Apostila de telecomunicação
Apostila de telecomunicação
WELLINGTON MARTINS
 
Aula08 exercício01
Aula08 exercício01Aula08 exercício01
Aula08 exercício01
Carlos Veiga
 

Recomendados

30 abr16 Sistema Telefonia Fixa
30 abr16 Sistema Telefonia Fixa30 abr16 Sistema Telefonia Fixa
30 abr16 Sistema Telefonia Fixa
ricnicpontounipac
 
30 abr16 ativ-ii
30 abr16 ativ-ii30 abr16 ativ-ii
30 abr16 ativ-ii
ricnicpontounipac
 
Curso completo voip
Curso completo voipCurso completo voip
Curso completo voip
Katia Ribeiro
 
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Júlio César Magro
 
Redes final
Redes finalRedes final
Redes final
rrodriguesmattos
 
Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).
Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).
Aula 02 á 03 introdução. as tecnologias da informação e internet (2ª parte).
AntnioGilbertoBastos
 
Apostila de telecomunicação
Apostila de telecomunicação Apostila de telecomunicação
Apostila de telecomunicação
WELLINGTON MARTINS
 
Aula08 exercício01
Aula08 exercício01Aula08 exercício01
Aula08 exercício01
Carlos Veiga
 
Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...
Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...
Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...
Leinylson Fontinele
 
S.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celularesS.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celulares
Milione Changala
 
Redes - VoIP Teoria
Redes - VoIP TeoriaRedes - VoIP Teoria
Redes - VoIP Teoria
Luiz Arthur
 
Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...
Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...
Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...
Leinylson Fontinele
 
Novas tecnologias e a internet
Novas tecnologias e a internet Novas tecnologias e a internet
Novas tecnologias e a internet
Bruno Montenegro
 
Thiago - apresentacao-cam-forumRNP2019.pptx
Thiago - apresentacao-cam-forumRNP2019.pptxThiago - apresentacao-cam-forumRNP2019.pptx
Thiago - apresentacao-cam-forumRNP2019.pptx
RodrigoRibeiro173737
 
Introdução rede- I unidade
Introdução rede- I unidadeIntrodução rede- I unidade
Introdução rede- I unidade
João Freire Abramowicz
 
Aula 2 - Aplicações para WEB I
Aula 2 - Aplicações para WEB IAula 2 - Aplicações para WEB I
Aula 2 - Aplicações para WEB I
thiagofilipec_07
 
Conclusão redes
Conclusão redesConclusão redes
Conclusão redes
redesinforma
 
Ebep pcomponente do curso cabeamento estruturado
Ebep pcomponente do curso cabeamento estruturadoEbep pcomponente do curso cabeamento estruturado
Ebep pcomponente do curso cabeamento estruturado
redtambe
 
Convergencia art02
Convergencia art02Convergencia art02
Convergencia art02
Gabriel Martins
 
Componentes de Sistemas de Comunicação
Componentes de Sistemas de ComunicaçãoComponentes de Sistemas de Comunicação
Componentes de Sistemas de Comunicação
Mauro
 
Computação móvel i unidade aula 05
Computação móvel i unidade aula 05Computação móvel i unidade aula 05
Computação móvel i unidade aula 05
João Freire Abramowicz
 
Protocolos ethernet
Protocolos ethernetProtocolos ethernet
Protocolos ethernet
redesinforma
 
Tecnologia da Informação - Noções de Redes de Computadores
Tecnologia da Informação - Noções de Redes de ComputadoresTecnologia da Informação - Noções de Redes de Computadores
Tecnologia da Informação - Noções de Redes de Computadores
Anselmo Gomes
 
Aula06 - criação da topologia dsl
Aula06 - criação da topologia dslAula06 - criação da topologia dsl
Aula06 - criação da topologia dsl
Carlos Veiga
 
Vo ip
Vo ipVo ip
Vo ip
dercilio junior
 
FieldBus, ProfiBus e DeviceNet
FieldBus, ProfiBus e DeviceNet FieldBus, ProfiBus e DeviceNet
FieldBus, ProfiBus e DeviceNet
Geizon Freitas
 
Sistema De Comunicação Bluetooth Usando Microcontrolador PIC
Sistema De Comunicação Bluetooth Usando Microcontrolador PICSistema De Comunicação Bluetooth Usando Microcontrolador PIC
Sistema De Comunicação Bluetooth Usando Microcontrolador PIC
Davidson Fellipe
 
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOSTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
juninho3169
 
Monografia
MonografiaMonografia
Monografia
juninho3169
 
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOSMono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
juninho3169
 

Mais conteúdo relacionado

Mais procurados

Redes - VoIP Teoria
Redes - VoIP TeoriaRedes - VoIP Teoria
Redes - VoIP Teoria
Luiz Arthur
 
Novas tecnologias e a internet
Novas tecnologias e a internet Novas tecnologias e a internet
Novas tecnologias e a internet
Bruno Montenegro
 
Thiago - apresentacao-cam-forumRNP2019.pptx
Thiago - apresentacao-cam-forumRNP2019.pptxThiago - apresentacao-cam-forumRNP2019.pptx
Thiago - apresentacao-cam-forumRNP2019.pptx
RodrigoRibeiro173737
 
Protocolos ethernet
Protocolos ethernetProtocolos ethernet
Protocolos ethernet
redesinforma
 
Tecnologia da Informação - Noções de Redes de Computadores
Tecnologia da Informação - Noções de Redes de ComputadoresTecnologia da Informação - Noções de Redes de Computadores
Tecnologia da Informação - Noções de Redes de Computadores
Anselmo Gomes
 
Sistema De Comunicação Bluetooth Usando Microcontrolador PIC
Sistema De Comunicação Bluetooth Usando Microcontrolador PICSistema De Comunicação Bluetooth Usando Microcontrolador PIC
Sistema De Comunicação Bluetooth Usando Microcontrolador PIC
Davidson Fellipe
 
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOSTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
juninho3169
 

Mais procurados (20)

Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...
Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...
Sistemas de Telecomunicações - Aula 07 - Sistema Telefônico Fixo e Sistema Te...
 
S.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celularesS.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celulares
 
Redes - VoIP Teoria
Redes - VoIP TeoriaRedes - VoIP Teoria
Redes - VoIP Teoria
 
Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...
Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...
Sistemas de Telecomunicações - Aula 06 - Estrutura da rede pública de Telecom...
 
Novas tecnologias e a internet
Novas tecnologias e a internet Novas tecnologias e a internet
Novas tecnologias e a internet
 
Thiago - apresentacao-cam-forumRNP2019.pptx
Thiago - apresentacao-cam-forumRNP2019.pptxThiago - apresentacao-cam-forumRNP2019.pptx
Thiago - apresentacao-cam-forumRNP2019.pptx
 
Introdução rede- I unidade
Introdução rede- I unidadeIntrodução rede- I unidade
Introdução rede- I unidade
 
Aula 2 - Aplicações para WEB I
Aula 2 - Aplicações para WEB IAula 2 - Aplicações para WEB I
Aula 2 - Aplicações para WEB I
 
Conclusão redes
Conclusão redesConclusão redes
Conclusão redes
 
Ebep pcomponente do curso cabeamento estruturado
Ebep pcomponente do curso cabeamento estruturadoEbep pcomponente do curso cabeamento estruturado
Ebep pcomponente do curso cabeamento estruturado
 
Convergencia art02
Convergencia art02Convergencia art02
Convergencia art02
 
Componentes de Sistemas de Comunicação
Componentes de Sistemas de ComunicaçãoComponentes de Sistemas de Comunicação
Componentes de Sistemas de Comunicação
 
Computação móvel i unidade aula 05
Computação móvel i unidade aula 05Computação móvel i unidade aula 05
Computação móvel i unidade aula 05
 
Protocolos ethernet
Protocolos ethernetProtocolos ethernet
Protocolos ethernet
 
Tecnologia da Informação - Noções de Redes de Computadores
Tecnologia da Informação - Noções de Redes de ComputadoresTecnologia da Informação - Noções de Redes de Computadores
Tecnologia da Informação - Noções de Redes de Computadores
 
Aula06 - criação da topologia dsl
Aula06 - criação da topologia dslAula06 - criação da topologia dsl
Aula06 - criação da topologia dsl
 
Vo ip
Vo ipVo ip
Vo ip
 
FieldBus, ProfiBus e DeviceNet
FieldBus, ProfiBus e DeviceNet FieldBus, ProfiBus e DeviceNet
FieldBus, ProfiBus e DeviceNet
 
Sistema De Comunicação Bluetooth Usando Microcontrolador PIC
Sistema De Comunicação Bluetooth Usando Microcontrolador PICSistema De Comunicação Bluetooth Usando Microcontrolador PIC
Sistema De Comunicação Bluetooth Usando Microcontrolador PIC
 
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOSTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
TECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
 

Semelhante a Tecnologia voip estudo das falhas, emerson carlos

Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOSMono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
juninho3169
 
Voip - Reduzindo custos.
Voip - Reduzindo custos.Voip - Reduzindo custos.
Voip - Reduzindo custos.
juninho3169
 
Workshop E-business Parte II
Workshop E-business Parte IIWorkshop E-business Parte II
Workshop E-business Parte II
Posmktdigital Fit
 
Automação Residencial com Controle por Smartphone Android
Automação Residencial com Controle por Smartphone AndroidAutomação Residencial com Controle por Smartphone Android
Automação Residencial com Controle por Smartphone Android
Gabriel Gaspar
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Leandro Bennaton
 
Curriculo Paulo_Alonso
Curriculo Paulo_AlonsoCurriculo Paulo_Alonso
Curriculo Paulo_Alonso
Paulo Alonso
 
Expondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travadosExpondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travados
Fábio Rosato
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 

Semelhante a Tecnologia voip estudo das falhas, emerson carlos (20)

Monografia
MonografiaMonografia
Monografia
 
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOSMono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
Mono voip voz-sobre_ipTECNOLOGIA DE VOZ SOBRE IP: VOIP REDUZINDO CUSTOS
 
Voip - Reduzindo custos.
Voip - Reduzindo custos.Voip - Reduzindo custos.
Voip - Reduzindo custos.
 
Workshop E-business Parte II
Workshop E-business Parte IIWorkshop E-business Parte II
Workshop E-business Parte II
 
Tecnologias Cisco e Carreira - Road Show Senac 2012
Tecnologias Cisco e Carreira - Road Show Senac 2012 Tecnologias Cisco e Carreira - Road Show Senac 2012
Tecnologias Cisco e Carreira - Road Show Senac 2012
 
Vpn alan-rafael
Vpn alan-rafaelVpn alan-rafael
Vpn alan-rafael
 
Tcc Pet Caoveniencia
Tcc Pet CaovenienciaTcc Pet Caoveniencia
Tcc Pet Caoveniencia
 
Controle de seguranca_da_informacao_nas_aplicacoes
Controle de seguranca_da_informacao_nas_aplicacoesControle de seguranca_da_informacao_nas_aplicacoes
Controle de seguranca_da_informacao_nas_aplicacoes
 
Convergência Artigo
Convergência ArtigoConvergência Artigo
Convergência Artigo
 
Perl e o Mercado de Trabalho
Perl e o Mercado de TrabalhoPerl e o Mercado de Trabalho
Perl e o Mercado de Trabalho
 
Perl e o Mercado de Trabalho
Perl e o Mercado de TrabalhoPerl e o Mercado de Trabalho
Perl e o Mercado de Trabalho
 
Automação Residencial com Controle por Smartphone Android
Automação Residencial com Controle por Smartphone AndroidAutomação Residencial com Controle por Smartphone Android
Automação Residencial com Controle por Smartphone Android
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Curriculo Paulo_Alonso
Curriculo Paulo_AlonsoCurriculo Paulo_Alonso
Curriculo Paulo_Alonso
 
Expondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travadosExpondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travados
 
VOIP EM REDES LOCAIS
VOIP EM REDES LOCAISVOIP EM REDES LOCAIS
VOIP EM REDES LOCAIS
 
Vo ip
Vo ipVo ip
Vo ip
 
Gabrielemiranda
GabrielemirandaGabrielemiranda
Gabrielemiranda
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de Soluções
 

Último

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 

Último (6)

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 

Tecnologia voip estudo das falhas, emerson carlos

  • 1. Centro Universitário de Maringá EMERSON CARLOS GONÇALVES TECNOLOGIA VOIP: ESTUDO DAS FALHAS Maringá 2011
  • 2. EMERSON CARLOS GONÇALVES TECNOLOGIA VOIP: ESTUDO DAS FALHAS Monografia apresentada ao Curso de Graduação, em Redes de Computadores, do Centro Universitário de Maringá como requisito parcial para a obtenção do título de Tecnólogo. Professor: José Vanderlei da Silva. Maringá 2011
  • 3. REGISTRO DE DEFESA Monografia de Projeto Integrador apresentada nesta data à Banca Examinadora abaixo indicada: José Vanderlei da Silva _______________________ Professor Orientador Assinatura _________________________ _______________________ Convidado Assinatura _________________________ _______________________ Convidado Assinatura
  • 4. DEDICATÓRIA Agradeço a Deus, que me proporciona as oportunidades que tenho na vida. Dedico este trabalho a meus pais, Antônio e Cecilia, pela compreensão, apoio e carinho durante estes anos de estudo. Ao meu orientador, professor José Vanderlei da Silva, pelas orientações, esclarecedoras, inteligente e pelo incentivo.
  • 5.
  • 6. Epígrafe “... a segurança é inversamente proporcional às funcionalidades”. NAKAMURA
  • 7. RESUMO Os objetivos do presente trabalho foram focados em desvendar curiosidades sobre o VoIP incluindo a história do surgimento do telefone, os protocolos utilizados nas camadas do tráfego de dados, as vulnerabilidades encontradas na tecnologia por trafegar compartilhando o mesmo recurso de infraestrutura dos pacotes de dados que transitam na internet e nas demais aplicações que necessitem de uma rede de computadores. Foi realizado um estudo nos pontos falhos, onde possivelmente pode acarretar uma invasão inesperada e que comprometa todo o serviço de telefonia de uma empresa, e consequentemente o roubo de informações sigilosas. Foram utilizados os critérios de pesquisar sobre o assunto em fontes confiáveis, e busca de informações legitimas e com dados consistentes. Os principais resultados obtidos até o presente momento foram com o conhecimento obtido perante a tecnologia que tem a tendência de expandir e crescer cada vez mais nos próximos anos por se tratar de redução de custos para empresas, utilizando o recurso VoIP de telefonia ficou possível e fácil o gerenciamento das ligações, como a geração de relatórios através de websites. Em toda boa tecnologia, sempre existe alguém com o intuito de burlar os sistemas, roubar informações ou mesmo causar indisponibilidade nos serviços, vendo por este lado do problema, técnicas de ataques foram citadas com o intuito de conscientizar os usuários e administradores para que evitem ficar vulneráveis. Palavras-chave: VoIP, Protocolos, Vulnerabilidades
  • 8. ABSTRACT The objectives of this study were focused on uncovering the facts about VoIP including the history of the advent of phone, the protocols used in the layers of data traffic, the vulnerabilities found in the technology for traffic sharing the same infrastructure resource of data packets that travel on the Internet and other applications requiring a computer network. A study was conducted in the weak points, which could possibly lead to an unexpected intrusion and compromise the entire telephone service of a company, and consequently the stealing of secret information. Criteria were used to search about it from reliable sources, and searching for legitimate information and data consistent. The main results obtained so far were obtained with the knowledge that before the technology which has the tendency to expand and grow steadily in coming years because it is cost savings for companies using VoIP phone feature was possible and easy management of callings, such as generating reports through websites. In all good technology, there is always someone wanting to dupe the systems, steal information or even cause downtime in services, with this in mind, attack techniques were cited in order to educate users and administrators to avoid being vulnerable. Keywords: VoIP, Protocols, Vulnerabilities
  • 9. LISTA DE ABREVIATURAS E SIGLAS ACK Acknowledge AES Advanced Encryption Standard ANATEL Agência Nacional de Telecomunicações ARP Address Resolution Protocol DDOS Distributed Denial of Service DHCP Dynamic Host Configuration Protocol DNS Domain Name System DOS Denial Of Service FTP File Transfer Protocol GPL General Public License HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IEEE Institute of Electrical and Electronics Engineers IETF Internet Engineering Task Force IP Internet Protocol IPS Intrusion Prevention System IPSEC Internet Protocol Security ISDN Integrated Service Digital Network ISO International Organization for Standardization ITU-T International Telecommunications Union – Telecommunication Standardization Sector MAC Media Access Control MGCP Media Gateway Control Protocol MIME Multipurpose Internet Mail Extensions MIKEY Multimedia Internet Keying OSI Open Systems Interconnection PABX Private Automatic Branch Exchange PCM Pulse Code Modulation PKI Public Key Infraestructure QOS Quality of Service RAS Registration Admission Status
  • 10. RDIS Rede Digital com Integração de Serviços RFC Request For Comment RPC Remote Procedure Call RPTC Rede Pública de Telefonia Comutada RTCP Real-Time Transport Control Protocol RTP Real-Time Transport Protocol RSVP Resource ReserVation Protocol SIP Session Initiation Protocol SIPS Session Initiation Protocol Secure S/MIME Secure/Multipurpose Internet Mail Extensions SMTP Simple Mail Transfer Protocol SRTCP Secure Real-Time Transport Control Protocol SRTP Secure Real-TimeTransport Protocol SSL Secure Socket Layer SYN Synchronize TCP Transmission Control Protocol TLS Transport Layer Security UDP User Datagram Protocol URL Uniform Resource Locator VLAN Virtual Local Area Network VOIP Voice Over Internet Protocol VPN Virtual Private Network
  • 11. LISTA DE FIGURAS Figura 1 - Modelo de Referência OSI___________________________________24 Figura 2 - Modelo de Referência TCP/IP_________________________________27 Figura 3 - Gatekeeper________________________________________________34 Figura 4 - Etapas do SIP______________________________________________36 Figura 5 - Padrão H.235______________________________________________51
  • 12. LISTA DE TABELAS Tabela 1 - Ataques mais usados no VoIP________________________________43 Tabela 2 - Perfis de Segurança do Padrão H.235__________________________51
  • 13. SUMÁRIO 2.5 Trixbox........................................................................................................................................22 2.6 Telefonia da internet..................................................................................................................23 3.1.1 Camada física.......................................................................................................................24 3.1.2 Camada enlace de dados.....................................................................................................25 3.1.3 Camada de rede...................................................................................................................25 3.1.4 Camada de transporte.........................................................................................................25 3.1.5 Camada de sessão................................................................................................................26 3.1.6 Camada de apresentação....................................................................................................26 3.1.7 Camada de aplicação...........................................................................................................26 3.2 O modelo de referência TCP/IP..................................................................................................26 3.2.1 Camada de rede...................................................................................................................28 3.2.2 Camada inter-redes.............................................................................................................28 3.2.3 Camada de transporte.........................................................................................................29 3.2.4 Camada de aplicação...........................................................................................................29 3.3 Sockets........................................................................................................................................29 3.4 Voz humana................................................................................................................................30 3.5 Voz sobre IP................................................................................................................................31 3.6 Protocolos...................................................................................................................................31 3.7 H.323..........................................................................................................................................33 3.8 Gatekeeper.................................................................................................................................33 3.9 Protocolo SIP..............................................................................................................................34 4 VULNERABILIDADES______________________________________________36 4.1 Segurança...................................................................................................................................36 4.2 Negação de serviço (DoS)...........................................................................................................38 4.3 Inundação SIP.............................................................................................................................38 4.4 Sinalização SIP Loop....................................................................................................................39
  • 14. 4.5 Modificação do ataque ao QoS...................................................................................................40 4.6 Autenticação SIP.........................................................................................................................40 4.7 Analise de tráfego e escuta.........................................................................................................40 4.8 Envenenamento ARP..................................................................................................................40 4.9 Mascaramento............................................................................................................................41 4.10 Sequestro de chamada ............................................................................................................41 5 SOLUÇÕES PARA REDES VOIP______________________________________44 5.1 Segurança de VLAN.....................................................................................................................45 5.2 Segurança com firewall, IDS e IPS...............................................................................................45 5.3 Segurança no QoS.......................................................................................................................46 5.4 Segurança na autenticação SIP...................................................................................................47 5.5 Segurança IPSec..........................................................................................................................48 5.6 Segurança através do protocolo TLS...........................................................................................48 5.7 Segurança usando DTLS..............................................................................................................49 5.8 Segurança com S/MIME..............................................................................................................50 5.9 Segurança no protocolo H.323...................................................................................................50 5.10 Segurança usando MGCP..........................................................................................................52 5.11 Segurança no fluxo da mídia.....................................................................................................52 6 Conclusão_______________________________________________________53 7 REFERÊNCIAS____________________________________________________54
  • 15. 1 INTRODUÇÃO A telefonia proporciona a disseminação de informação em um tempo muito rápido, uma pessoa do outro lado do mundo pode falar com outra muito distante sem ter latência na voz, funciona como se estivessem ao vivo. Pelo tráfego do áudio podem passar informações confidenciais e estas podem sofrer barreiras até chegar ao destino, pois podem ser interceptadas por indivíduos, essas são práticas ilícitas de conseguir informações. Partindo deste problema será divulgado o princípio do funcionamento VoIP e suas particularidades, incluindo as vulnerabilidades do sistema por se tratar de transitar na mesma infraestrutura de redes digitais. Este trabalho é importante pelo fato de levantar algumas informações de quais são as técnicas utilizadas para um ataque hacker ou mesmo uma falha não tratada do meio, o ataque pode até mesmo não ser direcionado para VoIP, mas como o tráfego de dados transita pelo mesmo meio usado pelo VoIP é preciso tomar alguns cuidados. Tendo como objetivo descobrir por quais meios pode ser feito algum tipo de ataque e qual é a técnica utilizada para este resultado, após estas descobertas. fica como foco, alertar sobre os aspectos de segurança disponíveis para que as devidas falhas sejam vedada e proporcionando um funcionamento na medida do possível imune a vulnerabilidades. E usando a metodologia de apresentar as falhas mais comuns no mundo VoIP e na sequência as soluções disponíveis no mercado por recursos importantes, muitos deles podendo ser implantado sem muito investimento. Com este objetivo o temos a divisão dos capítulos da seguinte forma: no capítulo 2 será apresentada uma prévia história do surgimento do telefone e demais invenções importantes para o período entrando também em tipo de licenciamento usado pelos softwares que manuseia a voz sobre IP contendo toda fundamentação teórica. No capítulo 3 são apresentados os modelos de referência, usado como base para toda tecnologia que transmite dados de forma digital, informação sobre a voz humana também é tratado neste capítulo. O capítulo 4 fica com as falhas mais encontradas provenientes de serviços mal configuradas ou mesmo por não conhecer tamanha vulnerabilidade. Finalizando chega-se no capítulo 5 que trás soluções para falhas encontradas no VoIP, sendo uma solução também para outros recursos que utilize rede de dados.
  • 16.
  • 17. 15 2 História O VoIP uma tecnologia recente que vem ganhando espaço em todo mundo, teve como predecessor o telefone, este objeto que fascinou o mundo no final do século XIX, é o resultado de muitos esforços e invenções para conseguir que a voz humana fosse transmitida através de longas distâncias. Sua história teve início na oficina de Charles Williams, localizada na cidade de Boston, e onde também trabalhava Tomas A. Watson, pessoa que sentia entusiasmo e simpatia por coisas novas, e se dedicava, em tempo integral, à invenção e ao aperfeiçoamento de aparelhos elétricos. Foi nesta mesma oficina que se deu o encontro entre Watson e Alexander Graham Bell, que havia estudado na Universidade de Boston, era professor de fisiologia vocal, e tinha se especializado no ensino da palavra visível. Bell tinha a intenção de aperfeiçoar seu “telégrafo harmônico”, aparelho com o qual pretendia transmitir em código Morse de seis a oito mensagens simultâneas. Foi assim que Graham Bell chegou àquela oficina, procurando suporte tecnológico para sua invenção, e começou a trabalhar com Watson. Mais adiante, Bell disse a Watson estas palavras: “Se eu pudesse fazer com que uma corrente elétrica variasse de intensidade da mesma forma que o ar varia ao se emitir um som, eu poderia transmitir a palavra telegraficamente.” Esta foi à chave do invento que viria a se chamar telefone. (PACIEVITCH, 2009) 2.1 Fases que marcam os momentos 1875: o telefone nasceu meio por acaso, na noite de 2 de junho de 1875 com Graham Bell. 1876: a invenção foi patenteada em 7 de março de 1876, mas a data que entrou para a história da telefonia foi 10 de março de 1876. Nesse dia, foi feita a transmissão elétrica da primeira mensagem completa pelo aparelho recém- inventado. Graham Bell se encontrava no último andar de uma hospedaria em Boston, nos Estados Unidos. Watson trabalhava no térreo e atendeu ao telefone, que tilintara. Ouviu, espantado: "Senhor Watson, venha cá. Preciso falar-lhe." Ele correu até o sótão de onde Bell havia telefonado. Nascia assim o telefone. A nova invenção foi apresentada na Exposição do centenário de Filadélfia.
  • 18. 16 1944: surgiu o primeiro computador eletromecânico (construído na Universidade de Harvard, pela equipe do professor H. Aiken e com a ajuda financeira da IBM), tinha o nome de MARK I, era controlado por programa e usava o sistema decimal, tinha aproximadamente 15 metros de comprimento e 2,5 metros de altura. 1977: a ISO, International Organization for Standardization, criou um comitê para o desenvolvimento de padrões que unisse todo o mundo em uma mesma rede. Surgia ai OSI – Open Systems Interconnection, que serviu de base para o desenvolvimento do IP. 1995: Em Israel, a empresa “VocalTec Communications”, criada em 1994 desenvolve um projeto de digitalização da voz, comprimindo-a e transmitindo através da rede. Neste primeiro momento só podiam ser feitas ligações entre dois computadores. A qualidade era baixíssima, com vários cortes e atrasos, mas sem dúvida muito importante para o desenvolvimento a que temos hoje. O software foi denominado Internet Phone Software, o programa permitia a comunicação somente entre dois computadores que tivessem instalado o Internet Phone, ou seja, ainda não permitia a realização de ligações da internet para telefones convencionais. Porém, os seus usuários já reconheciam a imensa economia proporcionada com as ligações de longa distância por meio da internet. Na época, dois pontos negativos atrasavam a expansão no uso da tecnologia e impediam o uso em larga escala, a qualidade ruim do som e a banda estreita de internet nos acessos discados. 1998: desenvolvimentos de gateways VoIP dão um novo impulso à tecnologia, que agora pode realizar transmissões para telefones. Empresas começam a financiar o projeto e as ligações começam a ser gratuitas. No final dos anos 90 e início dos anos 2000, a crescente oferta de banda larga a preços razoáveis para o usuário final e a proliferação de programas de ligações telefônicas através da internet fez o VoIP se popularizar. Ligações já podiam ser feitas do computador para telefones convencionais, o que ajudava a baratear custos de ligações de longa distância. No ano 2000, a transmissão pela internet já representava 3% do total de tráfego de voz nos EUA.
  • 19. 17 2000: algumas empresas, como a “Nortel” (Canadá) desenvolvem Hardware para a telefonia VoIP. Através destes hardwares, VoIP se tornou menos dependente do computador. Antes disso, todo o processo era processado no CPU. Agora o processo acontece nestes Hardwares, possibilitando uma enorme flexibilização do sistema. A partir daí, VoIP foi se firmando cada vez mais, sendo implantado internamente nas empresas e até mesmo sendo utilizada em PC. (LESSA & SOUZA, 2011) A tecnologia permite a transmissão de voz por meio de redes de dados, utilizando-se de protocolos específicos. Um programa comprime o sinal de voz, traduz em pacotes de dados e envia pela internet. Na prática, permite que ligações telefônicas sejam feitas utilizando a internet, barateando muito os custos. As primeiras experiências de uso de tecnologia para transmissão de voz pela internet aconteceram no início da década de 70, dentro da Network Voice Protocol, inventada para a Arpanet. Já nos anos 80, a tecnologia para ligações via internet tornou-se disponível para o usuário comum. Nos primeiros anos, com a tecnologia limitada, só conseguiam comunicar-se dois usuários que tivessem placas de som do mesmo tipo, com as mais recentes atualizações do software. A empresa responsável pelo skype foi uma pioneira no tratamento do VoIP é também provedora do serviço de ligações que recentemente foi comprada pela Microsoft. As provedoras são essenciais, pois é quem, na prática, fazem o sistema funcionar, permitindo as ligações. No Brasil existem diversos provedores de VoIP, alguns oferecem apenas o serviço e outros o serviço e soluções completas, incluindo softwares, planos de tarifas, etc. Aos poucos, novos equipamentos e funções são criados para uso da tecnologia VoIP. Um exemplo é o chamado telefone IP, desenvolvido há quase uma década, que dispensa o computador para fazer ligações: o aparelho telefônico é especialmente desenhado para uso de VoIP e fica diretamente conectado à internet. (MATTAR, 2008) No Brasil, os serviços de telecomunicação são regulados pela ANATEL (Agência Nacional de Telecomunicações). Segundo encontra-se no site da ANATEL, esta regula serviços de telecomunicações, não regulando as tecnologias utilizadas
  • 20. 18 como meio para esse fim. VoIP é considerado uma tecnologia, não um serviço, e, portanto não está totalmente regulamentado. Porém de acordo com a própria Anatel, o uso de VoIP deve ser considerado por 3 aspectos: Comunicação entre dois computadores, utilizando serviços de áudio adequado para estes. Este não seria um serviço de telecomunicação e, portanto não está regulamentado. Comunicação de voz no âmbito restrito de uma rede corporativa, efetuada entre equipamentos que podem incluir o aparelho telefônico. Neste caso seria caracterizado como serviço de telecomunicação e, portanto é exigida uma autorização específica da Anatel. No Brasil, qualquer tipo de Serviço de Telecomunicação para ser viabilizada precisa antes da autorização da Anatel. (LESSA & SOUZA, 2011) Entre os anos de 2005 e 2012 o número de linhas VoIP na América Latina deve apresentar um crescimento anual de 87,5%, fazendo com que os serviços associados à tecnologia movimentem aproximadamente cerca de 1,1 bilhão de dólares até o final do período. Segundo dados de uma consultoria “Frost & Sullivan”, que diz ainda que o Brasil deve ser responsável pela maior base de usuários da tecnologia na região ficando com 49% do montante. (NOW, 2006) 2.2 Software livre Um software livre precisa atender quatro necessidades para ser totalmente livre, a liberdade para executar o programa, liberdade 0 (zero), significa poder executar o programa para qualquer tipo de pessoa física ou jurídica, em quantas máquinas quiser, em qualquer tipo de sistema computacional, para qualquer tipo de trabalho, sem nenhuma restrição imposta pelo fornecedor. Se for preciso estudar como o programa funciona e adaptá-lo para suas necessidades fica com a posição de liberdade 1 que é quando o programa compilado, ou seja, em formato binário, obriga a distribuição também de seus códigos fonte. Ao redistribuir cópias de modo a ajudar o próximo é chamado de liberdade 2. A liberdade 3 ocorre quando o programa sofre modificações, e estas modificações é repassada a toda comunidade. No caso das licenças como a GPL contêm um conceito adicional, conhecido como Copyleft, que baseia na propagação dos direitos. Um software livre sem copyleft pode ser tornado não livre por algum usuário. Já o software livre protegido por uma licença que ofereça copyleft, se distribuído, deverá ser sob a mesma licença, ou
  • 21. 19 seja, repassando os direitos. Com o aumento do leque de novas aplicações, a disseminação dos computadores pessoais e o aumento da banda de transmissão disponível para o usuário, contribuíram para o VoIP tornar-se uma realidade. O termo Software Livre refere-se à liberdade do usuário de executar, copiar, distribuir, estudar, modificar e aperfeiçoar o software. (FERREIRA & BRANDÃO, 2007) A voz é um instrumento essencial para a comunicação e possibilita a troca de informações entre pessoas, por meio da Rede Publica de Telefonia Comutada (RPTC). Com a implantação de uma Central Telefônica (PABX), as empresas têm como objetivo permitir a realização de ligações entre os ramais internos, bem como comunicar-se com a RPTC através de soluções proprietárias que possuem custos elevados. O crescimento de implantações das redes com o Protocolo Internet (IP) e o desenvolvimento de técnicas avançadas, como digitalização de voz, mecanismos de controle, priorização do tráfego, protocolos de transmissão em tempo real e o estudo de novos padrões que permitam a qualidade de serviço, criam condições para a comunicação de Voz Sobre IP (VoIP), tecnologia que permite a transmissão da voz através dos pacotes das redes IP, como a Internet. A convergência na área de comunicações utiliza o compartilhamento de recursos através de uma única rede capaz de trafegar voz e dados, criando assim um novo conceito em telefonia. Este fato despertou certo interesse nas indústrias computacionais e de telecomunicações, resultando em economia, além de possibilitar a ampliação dos serviços e equipamentos oferecidos aos clientes. (GONZALEZ, 2007) O mais famoso dos softwares usado para manipular o VoIP é o Asterisk sob licença de software livre (GPL) que foi desenvolvido pela Digium Inc. sendo o primeiro PABX de código aberto da indústria, a empresa mantenedora investe atualmente em hardwares de telefonia de baixo custo e no código fonte do Asterisk para melhor desempenho e novas ferramentas, o software usa plataformas Linux e outras Unix com ou sem hardware conectado a rede pública de telefonia PSTN, o software não é compatível com qualquer versão do Microsoft Windows. Sendo Mark Spencer o criador e principal mantenedor do Asterisk, ele é hoje admirado pelo grande trabalho que fez e pela responsabilidade que carrega. (GONÇALVES, 2005)
  • 22. 20 2.3 Asterisk O Asterisk permite conexão online entre redes VoIP com PSTN usando os tipos de canais disponível na integração de serviços, o canal B transmite 64 kbit/s estas ligações podem utilizar a comutação de circuito e de pacote, no canal D são 16 kbit/s onde o transporte de sinalização são associados aos canais B, nos tempos mortos pode ser usado para transmitir outras informações em modo pacote. Em uso do ISDN para tráfego VoIP o acesso básico (2B+D) corresponde a um débito total de 192 kbit/s incluindo a sincronização e o cabeçalho da trama, e primário oferece duas configurações relacionadas com as hierarquias de transmissão digital, Europa usa 2048 kbit/s (30B+D) e os EUA, Canadá e Japão usam 1544 kbit/s (23B+D), o usuário não percebe que sua fala é convertida para sinal digital e depois volta a ser analógico para ser audível ao receptor, e este software ainda é mais completo do que uma central PABX, tem recursos como: (GONÇALVES, 2005) • Conectar empregados trabalhando de casa e usando o ramal como se estivesse conectado localmente; • Conectar empresa e filial de forma a permitir parecer estar em uma mesma central PABX; • Ter correio de voz, integrado com o webmail; • Permite espera com toques MP3; • Relatórios detalhados de chamadas integrados com sistema de tarifação; • Integração com reconhecimento de voz. O Asterisk PBX é uma revolução nas áreas de telefonia IP e PABX baseado em software. Durante muitos anos o mercado de telefonia foi ligado a equipamentos proprietários fabricados por grandes companhias multinacionais. Apesar de termos equipamentos de baixo custo nestas arquiteturas eles também apresentam baixa funcionalidade. Com a entrada do Asterisk, mais e mais empresas vão poder experimentar recursos como URA unidade de resposta audível, DAC distribuição automática de chamadas, mobilidade, correio de voz, e conferencia antes restrita a grandes companhias devido ao alto custo. 2.4 Elastix
  • 23. 21 Após o Asterisk ganhar mercado foram surgindo outros softwares para manipular a telefonia convencional, um deles é o Elastix um software que integra as melhores ferramentas disponíveis para PBX baseados em Asterisk em uma interface simples e fácil de utilizar. Além de possuir o seu próprio conjunto de utilidades e permitir a criação de módulos para melhorar os pacotes, é um software de código aberto licença GPL versão2 disponível para a telefonia. A meta do Elastix é a de ser confiável, modular, e de fácil de utilização, estas funcionalidades são para proporcionar a melhor opção em implementar um PBX baseado em Asterisk. As características oferecidas pelo Elastix são variadas. O Elastix integra vários módulos de software, cada um com seu conjunto de características. Além disso, o Elastix acrescenta novas interfaces de vigilância e informação de si mesmo, tornando-se um pacote completo. Alguns dos recursos disponibilizados pelo Elastix são: (ELASTIX, 2009) • Possibilita a utilização de vídeo chamada; • Pode enviar algum documento digital a um número de fax através de uma impressora virtual; • Configuração gráfica de parâmetros da rede; • Relatórios de utilização dos recursos; • Relatórios de chamadas de entrada/saída e utilização dos canais; • Módulo de voice-mail integrado; • Secção de download e acessórios mais utilizados; • Interface de ajuda integrada; • Servidor de mensagens instantâneo integrado; • Servidor de correio eletrônico integrado incluindo suporte para vários domínios; • Interface Web para e-mail; (ELASTIX, 2009) O objetivo do Elastix é incorporar todas as alternativas de comunicação, disponível em um nível empresarial, em uma solução única. O projeto Elastix começou como uma interface de relatório de chamada para o Asterisk e foi lançado em março de 2006. Mais tarde nesse ano que o projeto evoluiu para uma
  • 24. 22 distribuição baseada em Asterisk. Telefonia era a forma tradicional de que as comunicações de chumbo do século passado e, é por isso que muitas empresas e usuários concentram as suas necessidades para estabelecer comunicações de telefonia em suas organizações, e confundir a comunicação unificada com um sistema de troca de telefone. Elastix não só fornece a telefonia, mas integra com alternativas de comunicação para tornar seu ambiente de uma organização mais produtiva e eficiente. Há novas formas de comunicação todos os dias e a adição de recursos e funcionalidades deve ser constante, Elastix é capaz de estabelecer um ambiente eficiente na sua organização com a adição de muitos recursos que permite integrar outros locais de sua empresa para centralizar o seu negócio, além de ter a comunicação interna direta. Relatórios de antecedência para ver uma lista completa de recursos, nem a adição de módulos ou usuários em uma implementação Elastix tem um custo envolvido para o integrador. 2.5 Trixbox Outro software baseado em Asterisk é o Trixbox, uma distribuição mais conhecida de Asterisk, que costumava ser chamado de Asterisk@Home. Trixbox é uma distribuição robusta de Asterisk construída em cima de Apache, MySQL e PHP. O FreePBX está incluído permite configurar todos os recursos do seu PBX no conforto do seu navegador da web, Trixbox também inclui uma tela de status do sistema onde você pode obter uma visão geral sobre o status do seu PBX, existe também uma criação e gerenciamento de conferências e painel de operador Flash, uma tela de status baseado em flash para suas extensões, troncos e filas. O Trixbox possui uma série de versões sendo que a versão TrixBox CE é completamente gratuita e muito simples de instalar. Possui uma interface gráfica que permite ao utilizador uma fácil configuração e gestão de todo o servidor Asterisk, incluindo todos os utilizadores/telefones e respectivos recursos. Quanto mais rápido o sistema utilizado para rodar o Asterisk, mais chamadas simultâneas ele conseguirá realizar. Um computador com processador Pentium III 500 MHz e 128MB de memória RAM é suficiente para uso pessoal residencial. Hardware mínimo recomendado para uma aplicação com 10 canais simultâneos: (CARVALHO, 2007)
  • 25. 23 • Processador Intel 900 MHz (Mínimo); • Memória RAM de 512 MB; • Disco Rígido de 20Gb (sem correio de voz). 2.6 Telefonia da internet Há algum tempo o sistema público de telefonia comutada, era usado principalmente para tráfego de voz com um pouco de tráfego de dados aqui e ali. Porém, o tráfego de dados cresceu e por volta de 1999, o número de bits de dados transferidos igualou o número de bits de voz. Em 2002, o volume do tráfego de dados era dez vezes maior que o volume do tráfego de voz, e ainda continua a crescer exponencialmente, enquanto o tráfego de voz permanece quase no mesmo nível (crescendo aproximadamente 5% ao ano). Como consequência desses números, muitas operadoras de redes de comutação de pacotes de repente ficaram interessadas em transportar voz sobre suas redes de dados. O volume de largura de banda adicional exigida para voz é minúsculo, pois as redes de pacotes são dimensionadas para o tráfego de dados. No entanto, a conta telefônica de um consumidor médio provavelmente é maior que sua conta da Internet, e assim as operadoras de redes de dados viram na telefonia da Internet um modo de ganhar um bom dinheiro extra sem terem de instalar sequer um novo cabo de fibra. Desse modo, nasceu a telefonia da Internet. 2.7 Arquitetura de Rede Em se tratado de VoIP e seus funcionamentos é necessário ter algumas informações sobre redes de computadores, pois é o elemento principal da tecnologia em questão. O termo redes de computadores é referente ao conjunto de computadores autônomos interconectados por uma única tecnologia. No tráfego de dados encontramos os protocolos que é o conjunto de regras responsável por controlar o formato e significado dos pacotes ou mensagens trocadas entre entidades de uma mesma camada, tem a função de definir as opções de serviço como a solicitação do início da comunicação, a confirmação do pedido, a
  • 26. 24 configuração da transmissão de dados ou mídia, a resposta ao envio de informações e a desconexão definindo também sub-protocolos responsáveis por controles específicos. 3.1 O modelo de referência OSI Esse modelo foi desenvolvido pela ISO (Internacional Standards Organization) com o objetivo de padronizar internacionalmente os protocolos usados pelas empresas fabricantes de hardwares e softwares. Conforme cita TANENBAUM, este modelo é chamado de Modelo de Referência ISO OSI (Open Systems Interconnection), o modelo de referência possui sete camadas das quais falaremos a seguir, conforme figura 1. (TANENBAUM, 2003) Figura 1 - Modelo de Referência OSI 3.1.1 Camada física A camada física é responsável pela transmissão dos bits por um canal de comunicação qualquer, seja ele coaxial par metálico, fibra, wireless, está camada não se encarrega em fazer nenhum tipo de tratamento ou correção, simplesmente recebe o dado e transmite. É conhecido por converter (transmissor) sinais digitais em sinais analógicos, ou de radiofrequência, ou em sinais de luz e (receptor)
  • 27. 25 capturar os sinais recebidos pelo meio e converte-os para digital novamente, onde a próxima camada irá fazer o tratamento. 3.1.2 Camada enlace de dados A principal tarefa da camada de enlace de dados é a detecção de erros, como não existe tratamento na camada física quem se encarrega de garantir que a informação chegue ao destino é a camada de enlace, para executar essa tarefa está camada faz com que o transmissor separe os dados em quadros e transmita em um sequenciamento controlado por confirmações, e a informação chegando até o receptor ele por sua vez transmite uma confirmação de que os quadros chegaram ao destino, desta forma o transmissor continua enviando os quadros. 3.1.3 Camada de rede A camada de rede controla a operação de endereçamento e roteamento lógico, ou seja, determinar a maneira como os pacotes são roteados da origem até o destino, essas rotas podem ser baseadas em tabelas estáticas, e também podem ser determinadas no início de cada conversação, e podem ser determinadas para cada pacote com o objetivo de refletir a carga atual da rede, podendo ser altamente dinâmica neste caso. 3.1.4 Camada de transporte Basicamente tem a função de fornecer tipos de camada de transporte, a orientada a conexão e o método não orientado a conexão, com o objetivo de aceitar informações das camadas acima dela, e repassar os dados à camada de rede e assegurar que todos os fragmentos chegarão corretamente ao receptor, esse transporte deve ser feito de forma silenciosa e precisa, para que as camadas superiores não sofram com algum tipo de mudança da tecnologia de hardware. Está camada também determina que tipo de serviço que deve ser fornecido à camada de sessão e usuários, o método mais conhecido é o ponto a ponto livre de erros que entrega mensagens ou bytes na ordem em que eles foram enviados.
  • 28. 26 3.1.5 Camada de sessão Tem a função de estabelecer sessão entre transmissor e receptor, é possível vários serviços em uma sessão como o controle de diálogo que monitora o momento certo de quem vai transmitir os dados, o gerenciamento de símbolos não permitindo que duas partes enviem a mesma operação crítica ao mesmo tempo e a sincronização que permite uma transmissão interrompida continue transferindo do ponto em que parou. 3.1.6 Camada de apresentação A camada de apresentação está relacionada à sintaxe e à semântica das informações transmitidas, entre computadores com diferentes representações de dados às estruturas de dados a serem intercambiadas podem ser definidas de maneira abstrata, juntamente com uma codificação padrão que será usada durante a conexão. 3.1.7 Camada de aplicação É a interface entre o usuário e a rede, contém uma série de protocolos necessários para interagir com o usuário, o mais utilizado dentre eles é o HTTP o protocolo usado na internet seu funcionamento é requisitado no momento em que um navegador necessita acessar uma página web, ele envia o nome da página desejada ao servidor HTTP, e por sua vez o servidor retorna a página de volta. Outros protocolos são utilizados e através da camada aplicação interagem com o usuário. 3.2 O modelo de referência TCP/IP O modelo que na verdade é um protocolo é bastante antigo surgiu na ARPANET, e atualmente onde estiver um host ligado na rede este protocolo está presente. A ARPANET era uma rede militar, foi uma rede de pesquisa criada pelo departamento de defesa dos EUA onde aos poucos foram interligando universidades e órgãos públicos usando linhas telefônicas dedicadas somente para este fim.
  • 29. 27 Naquela época com os sinais de rádio e de satélite começaram a surgir problemas com os protocolos existentes, o que forçou a criação de uma nova arquitetura de referência, que o principal objetivo era unir várias redes de maneira uniforme, e em 1974 foi usada pela primeira vez à arquitetura conhecida como modelo de referência TCP/IP. A preocupação dos preciosos hosts do departamento de defesa dos EUA fossem destruídos definiu-se que a rede deveria ser capaz de sobreviver à perda do hardware de sub-redes, com as conversações existentes sendo mantidas em atividade, além disso, também ter uma arquitetura flexível, capaz de se adaptar a aplicações com requisitos divergentes como a transferência de arquivos e a transmissão de dados de voz em tempo real. TCP é um protocolo de comunicação e não uma parte do software, ele usa a conexão e não a porta do protocolo como sua abstração fundamental, as conexões são identificadas por um par de extremidades. No nível mais baixo, as redes de comunicação por um computador proveem entrega de pacote não confiável. No nível mais alto, os programas aplicativos normalmente precisam enviar grandes volumes de dados de um host para outro, o uso de um sistema de remessa não confiável sem conexão. (TANENBAUM, 2003) Figura 2 - Modelo de Referência TCP/IP
  • 30. 28 3.2.1 Camada de rede Segundo TANENBAUM, abaixo da camada inter-redes, no modelo de referencia TCP/IP não especifica o que acontece nesta camada, apenas informa que o host precisa se conectar a rede utilizando algum protocolo para que seja possível enviar pacotes IP, por não ser um protocolo definido ele varia de host para host. Os dois modelos de referências citados são parecidos, pois se baseiam no conceito de uma pilha de protocolos independentes, e as camadas acabam tendo as mesmas funções. Todas as tecnologias VoIP foi desenvolvida com base no modelo OSI de forma que para o seu uso, independam o meio físico e a tecnologia de enlace utilizada. Os protocolos e codec VoIP fazem parte das camadas de Aplicações, Sessão e Transporte do modelo OSI. Na camada aplicação está presente a voz comprimida de acordo com o codec utilizado. Na camada de sessão são negociados o inicio e fim das camadas. Atualmente o protocolo mais usado é o SIP. Na camada de Transporte os pacotes de dados provenientes das camadas de Aplicação e Sessão são encapsulados em segmentos. No caso dos codec’s, eles são encapsulados pelo RTP, RAS ou RTCP e no caso dos protocolos de sessão eles são normalmente encapsulados pelo UDP. 3.2.2 Camada inter-redes Esses requisitos levaram a uma escolha de uma rede de comutação de pacotes baseada em uma camada de interligação de redes sem conexões, denomina-se esta camada como inter-redes, com o objetivo de permitir que os hosts injetem pacotes em qualquer rede e garantir que eles trafegarão independentemente até o destino, pode acontecer de os dados chegarem a uma ordem diferente daquela que foram enviados, deixando para as camadas superiores reorganiza-los caso necessário. Um exemplo para este caso seria parecido com o método do correio, uma pessoa pode deixar uma sequência de cartas internacionais em uma caixa de correio em um país e, a maioria delas será entregue no endereço correto no país de destino. Essas cartas poderão passar por alguns gateways internacionais neste caso, o procedimento seja transparente para o usuário. A camada inter-redes
  • 31. 29 define um formato de pacote oficial e um protocolo chamado IP, e a tarefa é entregar pacotes IP onde eles são necessários. O roteamento de pacotes é uma questão de grande importância nessa camada, assim como a necessidade de evitar o congestionamento, no entanto pode-se definir que a função da camada inter-redes do TCP/IP é muito parecida com a da camada de rede do OSI. 3.2.3 Camada de transporte No modelo TCP/IP temos logo acima da camada inter-redes a camada de transporte, que é exatamente igual à camada de transporte do modelo OSI, ela é responsável por permitir que as entidades pares dos hosts de origem e de destino mantenham uma conversação, foram definidos dois protocolos sendo que o primeiro deles, o TCP é um protocolo orientado a conexão confiável que permite a entrega sem erros de fluxo de bytes originário de uma determinada máquina em qualquer computador da inter-rede, tem a finalidade de fragmentar o fluxo de bytes de entrada em mensagem discretas e passa cada uma delas para a camada de inter-redes. O destino conta com o TCP receptor que monta a mensagem recebida, esse protocolo também cuida do controle de fluxo, impedindo que um transmissor rápido sobrecarregue um receptor lento com um volume de mensagens maior do que consegue tratar. 3.2.4 Camada de aplicação No modelo TCP/IP diferente do modelo OSI não temos a camada de sessão e apresentação por serem pouco usadas, elas se fundem em apenas camada de aplicação. Nesta camada temos todos os protocolos de nível mais alto (Telnet, FTP, SMTP, DNS), que seria como no modelo OSI onde existe a interação com o usuário. 3.3 Sockets O Socket representa um ponto de conexão para uma rede TCP/IP. Para dois hosts manterem a conversação é preciso um socket, sendo um host servidor abrindo um socket e prestando atenção nas conexões, sendo assim o outro host é o cliente e faz contato com o socket do servidor para iniciar a conexão. Sendo necessário
  • 32. 30 apenas um endereço de destino e um número de porta, na rede TCP/IP existe um endereço único para cada host e as portas representam conexões individuais dentro desse endereço, cada porta de um computador compartilha o mesmo endereço IP, mas os dados são roteados dentro de cada computador pelo número da porta, quando um socket é criado ele deve estar associado a uma porta específica, define- se este processo como acoplamento de uma porta. Citando uma linguagem de programação o Java por sua vez oferece dois modos de utilização de sockets: o modo orientado à conexão que utiliza o protocolo TCP (exige confirmação) e o modo orientado a datagrama, que funciona sobre o protocolo UDP (não exige confirmação), ambos sobre o protocolo IP. O modo orientado à conexão TCP/IP oferece serviços confiáveis, sem perda de dados na rede e com garantia de ordenação dos pacotes tornando o serviço mais lento. No modo orientado à datagrama UDP/IP as mensagens podem ser perdidas a ordem não é garantida e é mais rápido que o modo orientado à conexão. (FERREIRA & BRANDÃO, 2007) 3.4 Voz humana A conversão humana é uma forma de onda mecânica com frequências principais na faixa de 300 Hz a 3,4 kHz, com alguns padrões definidos em função do timbre de voz e dos fonemas emitidos durante uma conversa. Em um ambiente de telefonia totalmente analógico isto é possível pela transmissão da forma de onda entre os interlocutores através de meio metálico, com possíveis amplificações analógicas. Isto, porém, representava um custo alto pela impossibilidade de se utilizar o meio físico para a transmissão de mais de um canal de conversação. Com o advento da telefonia digital, a voz é codificada em formato digital, que pode ser multiplexado no tempo de forma a compartilhar meios de transmissão. (GONZALEZ, 2007) A voz humana pode ser codificada de duas formas, uma baseada em forma de onda que é utilizada hoje na telefonia convencional para digitalizar a voz permitindo que aconteça a multiplexação dos circuitos, e outra baseada nos padrões de voz. Estes elementos são responsáveis pela codificação da voz em um fluxo de bits, possivelmente utilizando técnicas de compressão de voz e supressão de silêncio.
  • 33. 31 3.5 Voz sobre IP No sistema público de telefonia comutada, era usado principalmente para tráfego de voz e às vezes com muito pouco de tráfego de dados. Porém, o tráfego de dados expandiu-se, e o número de bits de dados transferidos já era igual o número de bits de voz, foi possível medir a PSTN, pois a mesma vinha codificada em PCM que possibilitava a medição em bits/s. Em pouco tempo o volume do tráfego de dados já era dez vezes maior que o volume do tráfego de voz, vendo este grande atrativo às operadoras de redes ficou interessadíssimas em transportar voz sobre suas redes de dados, sendo que não precisariam investir muito, pois o volume de largura de banda adicional era baixo e a atual rede comportava o tráfego, e assim as operadoras de redes de dados viram na telefonia da Internet um modo de ganhar um bom dinheiro extra sem terem de instalar um novo cabo de fibra. Desse modo, nasceu a telefonia da Internet também conhecida como voz sobre IP (VoIP). (SITOLINO & ROCHOL, 2011) A intercomunicação entre os diferentes produtos da indústria do VoIP só foi possível graças a aceitação por parte da padronização dos protocolos de sinalização e mídia especificados por organizações como a IEEE, IETF, 3GPT e ITU-T. 3.6 Protocolos Assim como na comunicação entre homens e entre máquinas, é preciso seguir algumas regras para que exista comunicação, essas regras em redes de computadores são dispostas em forma de protocolos que é a padronização de leis e procedimentos que são dispostos para execução de uma determinada tarefa. A utilização de protocolos se faz necessária devido à grande quantidade de fabricante e fornecedores de tecnologia, sem um gerenciamento seria complicado controlar a comunicação. Nas redes VoIP antes que os pacotes de voz possam trafegar pela rede IP é necessário estabelecer uma conexão entre os pontos extremos de comunicação. Depois do estabelecimento da conexão esses protocolos ainda controlam a chamada, e quando ela é encerrada, eles indicam que os recursos da rede podem ser liberados, esses protocolos desempenham ações como registro,
  • 34. 32 admissão e localização de usuários, negociação das capacidades dos pontos finais estabelecimento e encerramento da chamada. Dentre os protocolos de sinalização existentes, os que mais se destacam são o H.323, desenvolvido no âmbito do ITU-T, e o protocolo SIP (Session Initiation Protocol), desenvolvido no âmbito do IETF. A recomendação H.323 do ITU-T é uma especificação que descreve de maneira completa a arquitetura e a operação de um sistema de sessões em tempo real de voz, vídeo e dados. As especificações do protocolo SIP foram primeiramente definidas pelo IETF (Internet Engeneering Task Force) no RFC 2543, em março de 1999. Em 2002, uma segunda publicação das especificações desse protocolo foi apresentada no documento RFC 3261. É um protocolo de controle, pertencente à camada de aplicação, que permite a criação, modificação e finalização de sessões multimídia, como chamadas telefônicas, com um ou mais participantes. Usuários podem ser convidados para uma nova sessão ou para uma sessão multimídia já existente. Apesar de o SIP possuir independência de funcionamento e operação, ele pode utilizar alguns protocolos para oferecer recursos extras. Para reserva de recursos, por exemplo, opera em conjunto com o RSPV. O SIP é um protocolo baseado em texto, o que permite sua fácil implementação e apresenta arquitetura cliente-servidor, ou seja, as requisições são geradas pelos clientes e enviadas ao servidor. O servidor processa essas requisições e envia as respostas de volta aos clientes. Permite também a interação entre dispositivos através de mensagens de sinalização e controle. (FERREIRA & BRANDÃO, 2007) Os protocolos de sinalização são usados para estabelecer, manter e encerrar chamadas além de servir de suporte à bilhetagem de parâmetros de negociação da chamada como portas de mídia, chave de criptografia e codecs. Já os de mídia são usados para realizar a transferência fim a fim dos pacotes. RTP é o protocolo de transporte utilizado no VoIP. Como exemplo de protocolos de sinalização pode-se citar SIP, MGCP e H.323. (MADEIRA, 2007) O protocolo H.323 é um protocolo mais maduro e utilizado estando presente na maioria das soluções de mercado. No entanto, o protocolo SIP, embora mais recente, tem sido considerado, por especialistas e fornecedores de equipamentos e soluções VoIP, como um protocolo que pode disputar a hegemonia do mercado com
  • 35. 33 o H.323 devido às suas particularidades. São alguns protocolos utilizados, para este fim, específicos de sinalização e configuração de chamadas. Em uma chamada VoIP se utiliza três protocolos na camada de aplicação do modelo TCP/IP. NTP fica responsável por verificar se os sinais são transmitidos e recebidos numa janela de tempo aceitável para a quantidade do serviço. RTP fornece funcionalidade de transporte fim a fim para os sinais de voz. RTCP faz um controle simplificado para assegurar a entrega dos pacotes de VoIP via RTP. E por se tratar de uma aplicação em tempo real em que a rapidez na entrega dos pacotes é mais importante que a garantia de sua entrega no destino, o protocolo utilizado é o UDP. (MADEIRA, 2007) 3.7 H.323 No começo da telefonia sobre IP já era de ciência das operadoras que, se cada fornecedor projetasse sua própria pilha de protocolos, o sistema nunca funcionária adequadamente. Então com o apoio da ITU foi desenvolvido padrões para este tipo de problema. Surgiu através da ITU a recomendação H.323, intitulada como: sistemas e equipamentos de telefonia visual para redes locais que oferecem uma qualidade de serviço não garantida. Essa recomendação H.323, então revisada foi base para os primeiros sistemas amplamente difundidos de telefonia da Internet. Ela faz referência a um grande número de protocolos específicos para codificação de voz, configuração de chamadas, sinalização, transporte de dados e outras áreas. A rede de telefonia precisa de vários protocolos, o H.323 é um protocolo para codificação e decodificação de voz, ele codifica um único canal de voz realizando a amostragem 8000 vezes por segundo com amostras de 8 bits, a fim de fornecer voz descompactada a 64 Kbps. (FERREIRA & BRANDÃO, 2007) 3.8 Gatekeeper Um gatekeeper é considerado o componente “inteligente” de uma rede H.323, ele age como o ponto central para todas as chamadas dentro de sua zona e provê serviços de controle de chamada para estações registradas.
  • 36. 34 Protocolo da camada física o RTCP é necessário para controlar os canais do RTP. Para ver como esses protocolos funcionam juntos, considere o caso de um terminal de PC em uma LAN que chama um telefone remoto. Primeiro, o PC tem de descobrir o gatekeeper e, para isso, transmite por difusão um pacote UDP de descoberta de gatekeeper para a porta padrão 1718. Quando o gatekeeper responde, o PC aprende o endereço IP do gatekeeper. Agora, o PC se registra com o gatekeeper, enviando a ele uma mensagem RAS em um pacote UDP. Depois que a mensagem é aceita, o PC envia ao gatekeeper uma mensagem RAS de admissão solicitando largura de banda. Só depois que a largura de banda e concedida, é possível iniciar a configuração de chamada a ideia de solicitar largura de banda com antecedência tem a finalidade de permitir ao gatekeeper limitar o número de chamadas, a fim de evitar saturar a linha de saída, e desse modo oferecer a qualidade de serviço necessária. Segue figura 3 com esquema de uma rede com gatekeeper. (THERMOS & TAKANEN, 2007) Figura 3 - Gatekeeper 3.9 Protocolo SIP O SIP é um único módulo, porém foi projetado para interoperar bem com aplicações da internet existentes, ele pode estabelecer sessões entre duas partes sendo UDP ou TCP, sessão de várias partes e sessões de multidifusão, com o SIP é possível transferir vídeo, dados e áudio, este protocolo fica responsável apenas pela configuração, do gerenciamento e do encerramento de sessões. Os protocolos RTP e RTCP faz o transporte na camada física. Os números de telefone no SIP são representados em forma de URLs que utilizam o esquema usuário@dns. Uma
  • 37. 35 conexão acontece em o chamador cria uma conexão orientada ou não orientada à conexão com o chamado que envia uma mensagem INVITE sobre ela, os cabeçalhos da segunda e das próximas linhas descrevem a estrutura do corpo da mensagem, que transporta informações do chamador, tipos de mídia e formatos. E caso o chamado aceitar a ligação por sua vez irá enviar um código de resposta em HTTP, logo segue o tráfego entre as duas extremidades. No encerramento é enviado o uma mensagem com método BYE que desconecta a ligação. (SILVA, 2007) Para o estabelecimento da sessão SIP são usados os métodos: • Register – usado para registrar o usuário; • Invite – Convidar alguém para uma sessão de multimídia; • ACK – confirmação de uma requisição de estabelecimento de sessão; • Cancel – cancelamento de uma transação; • Bye – encerramento de uma sessão ou transação; • Options – Consulta de compatibilidades; • Info – usado para troca de informações intermediárias como dígitos discados; • Messages – usado para mensagens curtas de serviço e mensagem instantânea; • Notify – usado para notificar eventos e atualização de registro; • Subscribe – usado para a subscrição de notificação de eventos; • Upgrate – usado para atualização das informações de uma sessão;
  • 38. 36 Figura 4 - Etapas do SIP Figura 4 mostra o funcionamento de uma rede VoIP .Dentre H.323 e SIP protocolos bastante eficientes nas suas tarefas que é o tráfego de voz sobre IP. Mas H.323 é um padrão pesado comum na indústria telefônica, enquanto o SIP é um protocolo leve e típico da internet, flexível para ser adaptado em novas aplicações, mas tem um problema com interoperabilidade. 4 VULNERABILIDADES “(...) a segurança é inversamente proporcional às funcionalidades”. Assim, quanto maior o número de funcionalidades que um sistema disponibilizar, maior será a chance de haver alguma vulnerabilidade que pode ser explorada, em consequência, a menor será a segurança do ambiente e maior será a responsabilidade dos administradores. (NAKAMURA & GEUS, 2003) 4.1 Segurança Segurança pode ser definida como “certeza, confiança” segundo o dicionário Aurélio. Atualmente a informação é o bem de maior valor existente, e grande parte desta informação se encontra em formato eletrônico, e informação é poder sendo
  • 39. 37 que a posse de determinada informação pode fazer toda a diferença para o sucesso ou fracasso de uma empresa, então se define que segurança é a proteção de informações, sistemas, recursos e serviços contra desastres. Segundo o autor DUMONT, ele dividiu a segurança em quatro camadas, “controle de acesso ao sistema, segurança interna do sistema, monitoramento do sistema, recuperação e disponibilidade do sistema”. Sendo que um invasor pode fazer um mapeamento das vulnerabilidades do sistema utilizando alguns recursos e ferramentas, mas a camada de controle e acesso ao sistema pode impedir exigindo que servidores fiquem em locais seguro e que somente pessoas autorizadas tenham acesso físico, sendo que o mesmo possua rede elétrica estabilizada, encontre-se em uma rede DMZ e protegidos por firewall. É citada a segurança interna do sistema como sendo uma exigência na escolha da versão do sistema operacional que vai ser instalado, e o total domínio do administrador que vai se deparar com o dia a dia no servidor, e quanto menor for o número de recursos disponível consequentemente menor serão as vulnerabilidades disponíveis aos intrusos. Na terceira camada temos o monitoramento do sistema que é o emprego de alguns softwares para monitoramento do sistema caso exista algum intruso, se existir o software avisa as devidas pessoas responsáveis. E na quarta e última camada composta por recuperação e disponibilidade do sistema visa, ter um plano de contingência, que é estar preparado para o pior, e poder reverter o dano em menor tempo possível, para isso é preciso ter o serviço de backup funcionando perfeitamente. (DUMONT, 2006) As redes de voz representam um alvo importante para os hackers por diversos motivos, pois voz encapsulada em pacotes de dados ainda é informação e está informação pode valer muito dinheiro, pode permitir acesso indevido a informações financeiras estratégicas, cuja utilização pode gerar grandes prejuízos tanto para a própria corporação quanto para terceiros. Um computador com telefone IP precisa tomar cuidado com ameaças relacionadas à rede de dados e rede de voz. No VoIP, o conteúdo das conversas telefônicas está trafegando na rede de dados, encapsulado em pacotes IP, e a captura de dados em uma rede IP através de técnicas de “Sniffing” não é difícil, pois existem ferramentas que captura pacotes de uma conversa telefônica e consegue remontá-los e convertê-los em um formato
  • 40. 38 comum de áudio. Os vírus mesmo não sendo direcionados para o VoIP pode afetar muito o recurso, se por algum motivo existir um tráfego muito grande na rede os pacotes podem conflitar fazendo com que nenhum dos pacotes chegue ao destino. (MADEIRA, 2007) 4.2 Negação de serviço (DoS) O ataque conhecido como DoS (Denial of Service) pode afetar várias camadas do ambiente VoIP, o principal objetivo é provocar a interrupção ou degradação do serviço alvo. No caso do VoIP, o ataque pode ser direcionado tanto para o sistema operacional dos servidores como também para os serviços de rede, e podem ser dividido em ataque de inundação onde ocorre uma sobrecarga de mensagens para um destino com o objetivo de comprometer seu funcionamento. Outro ataque DoS é o pacote deformado se dá por um processo conhecido como Fuzzing que gera pacote deformado aleatoriamente ou semi-aleatoriamente e que pode comprometer o serviço. (THERMOS & TAKANEN, 2007) 4.3 Inundação SIP SIP Flooding é o ataque gerado por inundação em que mensagens INVITE são endereçadas ao usuário SIP, esse ataque deixa vulnerável o desempenho dos servidores SIP proxies que terão que tratar essas requisições e suas respostas além de impossibilitar que o usuário alvo consiga efetuar ligações. (THERMOS & TAKANEN, 2007) Este ataque tem por objetivo consumir todos os recursos da rede e do sistema, causando indisponibilidade dos serviços de rede, e como o VoIP depende da disponibilidade da infraestrutura de dados, ele também ficará indisponível. O ataque UDP flooding é o mais cobiçado pelos invasores, pois o endereço de origem dos pacotes UDP pode ser facilmente adulterado, esse tipo de ataque leva vantagem, pois pode driblar facilmente os firewalls, uma vez que seja possível alterar o IP de origem e destinar o ataque para uma porta UDP válida e liberada no firewall. Ataque por ICMP que usa a falha de esse tipo de pacote ser liberados através dos firewalls e roteadores com o objetivo de diagnóstico, através de ping e
  • 41. 39 traceroute, o ICMP provê a capacidade de enviar grandes quantidades de tráfego através dos links. Uma forma de ataque usando essa capacidade consiste no envio de pacotes ICMP echo request para os endereços de broadcast de várias redes como o endereço de origem alterado para IP da vítima. Para corrigir este erro é recomendado desabilitar nos roteadores a capacidade de receber e enviar broadcast IP com destino e a partir de sua rede. Um fator que leva a ataques sobre a infraestrutura VoIP envolve ataques ao sistema operacional ou hardware, o que pode levar a aplicação VoIP ficar indisponível. Supondo que um atacante explore uma vulnerabilidade no servidor Linux que esta rodando o Asterisk, o servidor irá travar, ou ainda ter seus recursos consumido, consequentemente a aplicação VoIP que roda sobre esse servidor ficará indisponível. O servidor DNS pode ser bastante utilizado pela infraestrutura VoIP, dessa forma é possível fazer ataques de flooding no servidor DNS de forma que seja consumida a capacidade de banda da rede ou ainda a capacidade de conexões de rede. Floods UDP são particularmente efetivos contra servidores DNS expostos por que a maioria dos firewall não consegue diferenciar o tráfego malicioso gerado pelo ataque de um tráfego DNS legítimo. (GALVÃO & ZATTAR, 2003) 4.4 Sinalização SIP Loop Este por sua vez afeta sistemas que não implementam mecanismos de detecção de looping. Este ataque registra dois usuários em domínios SIP diferentes, sendo que no cabeçalho de contato de cada registro existem dois valores, cada um apontando para um destes usuários, porém no domínio contrário. Quando o SIP proxy de um domínio recebe o INVITE para um desses usuários, ele irá gerar duas mensagens de INVITE uma para cada usuário no outro domínio. Isso faz com que no SIP proxy do outro domínio, ao receber os dois INVITE irá gerar quatro novas mensagens de INVITE para o outro domínio. Causando assim um rápido crescimento do tráfego de INVITE e posteriormente comprometendo o serviço SIP. (THERMOS & TAKANEN, 2007)
  • 42. 40 4.5 Modificação do ataque ao QoS Tem a finalidade de modificar os campos referentes à QoS no header do pacote IP anulando o controle de QoS da rede e comprometendo o serviço VoIP. (PORTER & GOUGH, 2007) 4.6 Autenticação SIP Ao utilizar este método ele tem o objetivo de obter as credenciais de acesso de um usuário válido em um sistema de telefonia SIP através da utilização de um ataque de força bruta. Através dessa técnica, um atacante pode enviar inúmeras requisições de registro com identificação e senhas a partir de um arquivo de dicionário, uma vez descoberta à senha, o atacante pode usar ela para acessar o serviço. (THERMOS & TAKANEN, 2007) 4.7 Analise de tráfego e escuta Este ataque tem a finalidade de compreender os métodos de ataque que permitem ao atacante monitorar a sinalização e o tráfego de dados VoIP sem alterá- los, basicamente essa técnica de ataque leva a busca de informações para o aperfeiçoamento de ataques posteriores. Para este ataque é preciso que o atacante esteja usando a rede local de onde o servidor SIP estiver implantado ou use uma técnica de envenenamento da tabela ARP para conseguir interceptar os pacotes da comunicação antes que eles sejam transmitidos ao destino correto. (THERMOS & TAKANEN, 2007) 4.8 Envenenamento ARP ARP poisoning também conhecido como ARP spoofing, é um ataque que explora a vulnerabilidade do nível de rede do modelo TCP/IP. O protocolo ARP responsável por fazer o mapeamento entre o endereço físico da interface de rede e o endereço IP, o princípio deste ataque consiste em alterar (envenenar) esse mapeamento através da manipulação da tabela ARP dos equipamentos de rede,
  • 43. 41 para isso o ataque envia uma mensagem de broadcast na rede publicando um novo MAC para o IP que ele deseja interceptar. (THERMOS & TAKANEN, 2007) 4.9 Mascaramento É caracterizada pela habilidade do atacante em se fazer passar por um usuário, dispositivo ou servido a fim de obter acessa a rede, seus dispositivos e informações trafegadas. Esse tipo de ameaça pode comprometer a disponibilidade, a integridade e a confidencialidade dos serviços de VoIP. A impersonificacão é um tipo especial de mascaramento em que o atacante pode comprometer a segurança do sistema seja através da falsificação de serviços e dispositivos de rede básicos na infraestrutura VoIP, seja se fazendo passar por outra pessoa através da captura ou roubo das credenciais de acesso da vítima. Esse tipo de ataque pode ocorrer contra usuários, dispositivos, serviços e aplicações de rede. (PORTER & GOUGH, 2007) Impersonificação dos serviços e aplicações, método mais sofisticado de ataque, envolve uma coordenação maior de elementos e esta relacionado aos tipos de ataque que tiram vantagens de vulnerabilidades que impactam no roteamento dos protocolos de sinalização. Impersonificação dos dispositivos, elementos de rede como telefones, servidores DNS, registradores SIP e gateways de mídia e sinalização podem ser impersonificados com o objetivo de coletar e desviar seus tráfegos de rede. Impersonificação do assinante caracteriza a impersonificação em que o atacante mascara sua identidade utilizando-se de credenciais capturadas ou de acesso a dispositivos de um assinante de uma serviço para realizar seu ataque. Os métodos mais utilizados de mascaramento no VoIP são direcionados à manipulação das mensagens de sinalização embora métodos tradicionalmente conhecidos como clone de endereços IP e MAC e spoofing de IP também são utilizados. (THERMOS & TAKANEN, 2007) 4.10 Sequestro de chamada No cabeçalho da requisição Register em um sistema SIP há um registro com informações de contato (Contact) que é usado pelo Proxy SIP para rotear as ligações para o dispositivo do usuário. O ataque de sequestro de chamada pode ser
  • 44. 42 realizado através da alteração das informações de IP contidas nesse registro. Com essa alteração, as ligações que deveria ser encaminhadas para o dispositivo do usuário, são desviadas para o dispositivo do atacante. (THERMOS & TAKANEN, 2007) No estudo VoIP a verificação insuficiente de dados em uma implementação, acaba permitindo que os próprios usuários entrem na rede para promover ataques. Bancos de dados padrão são normalmente utilizados como o backbone de serviços de VoIP e seus registros, em uma implementação é necessário observar com atenção para filtros de conteúdo ativo, como solicitações SQL envolvendo nomes de usuários, senhas e URL’s de sessões, a maioria dos problemas relacionados a falhas de execução resultará da má utilização de filtros e programações inseguras. Os pacotes mal formados, com conteúdo e estruturas inesperadas existem em qualquer protocolo de mensagem. A maioria das mensagens mal formadas envolve ataques de buffer overflow. O resultado é que o input dado pelo invasor é escrito sobre outros conteúdos de memória interna, como registros e pointers, que permitirão ao invasor total controle sobre o processo vulnerável. Especialmente em equipamentos embutidos, os recursos disponíveis para implementações VoIP podem ser muito escassos, pouca memória e baixa capacidade de processamento podem ajudar o invasor a derrubar os serviços VoIP nesses equipamentos. O serviço precisa ser criado de forma a suportar a demanda mesmo que todos os usuários decidam utilizá-lo simultaneamente, um serviço pode receber uma série de falsas solicitações ou mesmo, por engano, carga de usuários reais, se não possuir capacidade suficiente o resultado será a paralisação do serviço. A única identificação que um usuário de VoIP tem é o número de seu telefone ou a URL SIP e uma eventual senha para o serviço, a senha é armazenada tanto no cliente quanto no servidor, se as senhas forem armazenadas no servidor em um formato que possam ser revertidas, qualquer um com acesso a esse servidor pode obter o nome de usuário e a senha referente a ele. Recursos precisam ser protegidos tanto da perspectiva do sistema operacional quanto da plataforma e da rede, os serviços de VoIP rodando sobre a plataforma precisam levar em consideração os seus privilégios, um serviço VoIP não necessariamente requer privilégios administrativos para rodar. Dados confidenciais precisam ser protegidos
  • 45. 43 de qualquer tipo de ataque. A vulnerabilidade mais comum nesta categoria é não criptografar os dados, mesmo quando os mecanismos de criptografia estão disponíveis. Tantos os usuários quanto os seus equipamentos precisam ser autenticados, além disso, outros serviços, como gerenciamento de equipamentos, existem nos aparelhos VoIP e também precisam de autenticação do usuário. Outra vulnerabilidade existente em diversas infra-estruturas de redes homogêneas é a grande dependência em um número limitado de marcas e aparelhos, se uma rede inteira depender de uma marca específica de telefones, proxy ou firewall, um ataque automatizado, como vírus ou worms pode paralisar a rede. (THERMOS & TAKANEN, 2007) Tabela 1 - Ataques mais usados no VoIP Alvo Objetivo Método Usuário Fraude. Obter as credencias do usuário por meio de outro ataque e usá-las para efetuar ligações fraudulentas. Obter acesso físico ou remoto a um dispositivo do usuário. Manipular mensagens de sinalização para desviar tráfego. DNS Redirecionar as requisições Envenenamento de cache de DNS. de sessão para um Violação de acesso com o objetivo dispositivo não autorizado. de manipular as configurações de elementos da rede. Gateway de Desviar o tráfego da Manipular remotamente a Sinalização sinalização e sinalização para desviar o tráfego. consequentemente as Violação de acesso com o objetivo chamadas. de manipular as configurações de elementos da rede. Gateway de Desviar tráfego da mídia. Manipular remotamente a Mídia sinalização para desviar o tráfego. Violação de acesso com o objetivo de manipular as configurações de elementos da rede. Proxy SIP Obter credencias de Manipular remotamente a
  • 46. 44 usuários. sinalização para desviar o tráfego Desfiar o tráfego da (manipulação das sessões pelo sinalização e spoofing de mensagens de consequentemente as sinalização como Refer e Invite). chamadas. Violação de acesso com o objetivo de manipular as configurações de elementos da rede. SIP Registra Obter credencias de Ataque de spoofing nas requisições usuários. de registro. Violação de acesso com o objetivo de manipular as configurações de elementos da rede. Gatekeeper Obter credenciais de Ataque de spoofing nas requisições H.323 usuários de registro. Obter informações do tráfego Violação de acesso com o objetivo da chamada. de manipular as configurações de elementos da rede. Soft switch Desviar o tráfego da Violação de acesso com o objetivo sinalização e de manipular as configurações de consequentemente as elementos da rede. chamadas. Obter informações do tráfego da chamada Fonte: THERMOS & TAKANEN, 2007, p. 111 5 SOLUÇÕES PARA REDES VOIP
  • 47. 45 Como já citado algumas ameaças e vulnerabilidades encontradas no mundo VoIP, a diante trataremos das correções para os problemas, para tentar evitar surpresas. 5.1 Segurança de VLAN Usar VLAN significa permitir a segmentação lógica da rede criando domínio de colisão e de broadcast diferentes entre o tráfego de dados e o tráfego de voz. Agindo desta maneira podemos prevenir que problemas de rede de um segmento interfiram no outro e vice-versa, os ataques de negação de serviço e instabilidades na rede de dados provocados pela atuação de pragas virtuais como vírus e worms terão seus efeitos minimizados com a utilização de VLAN’s, a segmentação do broadcast favorece o desempenho causando uma redução do tráfego da rede, em consequência proporciona uma maior banda passante. As VLAN’s podem ser implementadas com mecanismo de QoS para que no VoIP seja priorizado o tráfego, o padrão foi definido pelo IEEE através do protocolo 802.1Q. Em uso de softphone se a estação de trabalho possuir uma única interface de rede significa que o software irá compartilhar a rede de dados para trafegar o fluxo de voz, em casos como este, não será possível utilizar o conceito de VLAN para separação dos tráfegos de dados e voz. (PORTER & GOUGH, 2007) 5.2 Segurança com firewall, IDS e IPS. Equipamentos como firewalls, IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) tem a finalidade de proteger segmentos de rede contra ameaças externas, esse tipo de equipamento são estrategicamente inseridos na infra estrutura de rede de modo que todo tráfego entre os segmentos de redes passe pelos equipamentos. (THERMOS & TAKANEN, 2007) Com a finalidade de bloquear todo tráfego da rede que não esteja de acordo com a política de segurança implementada pelas regras de acesso, o firewall é responsável pelo processamento do tráfego realizado sob técnicas de filtro de pacotes. Esse processo consiste em analisar informações contidas no cabeçalho de cada pacote que atravessa o firewall como endereços IP, portas e tipo de protocolos
  • 48. 46 a fim de identificar os pacotes legítimos. Os firewall’s podem ser classificados em Stateless e Stateful, sendo o Stateless firewall que não guardam informações em memória sobre o estado das conexões, já os Stateful mantém em memória uma tabela de estado das conexões, e dessa forma, conseguem diferenciar pacotes iniciando uma nova conexão de pacotes de conexões já estabelecidas ou relacionadas. Além da habilidade de verificar e barrar pacotes com número de sequência incorreto, sendo este tipo de firewall mais eficiente para detectar e bloquear pacotes maliciosos. (PORTER & GOUGH, 2007) IDS e IPS são sistemas capazes de detectar tráfego maliciosos mesmo que esses tenham sido considerados legítimos pela política de segurança de firewalls. Através de uma arquitetura composta por sensores, unidade de detecção e uma base de conhecimento, esses sistemas analisam os protocolos dos pacotes até as camadas do nível de aplicação. Existem três métodos de detecção utilizados por esses sistemas que são os baseados em assinantes, em anomalia e em análise do protocolo Stateful. Os sistemas baseados em assinatura utilizam uma base de dados, que deve ser atualizada periodicamente, com as instruções referentes aos conhecidos ataques, o que inclui, por exemplo, assinaturas contra ataques ao Code Red, NIMIDA, DoS, buffer overflows e outras vulnerabilidades. (PORTER & GOUGH, 2007) Sistemas de detecção de intrusão baseados em anomalias funcionam com base no comportamento da rede. Distorções observadas nesse comportamento são indícios de que algo está errado, apesar de ser um método muito eficiente para detectar ataques como Port Scan e DoS, falso-positivos podem ocorrer se o padrão de comportamento da rede não for mapeado adequadamente. Já os sistemas baseados em análise do protocolo stateful fazem a análise dos protocolos dos pacotes ate as camadas do nível de aplicação e verificam se eles estão em conformidade com os perfis de comportamento estabelecidos pela RFC’s e vendors de cada protocolo. (PORTER & GOUGH, 2007) 5.3 Segurança no QoS
  • 49. 47 O emprego de técnicas de Qualidade de Serviço é importante para o bom funcionamento do serviço VoIP. QoS visa entregar uma largura de banda garantida e um valor máximo de atraso e Jitter, em uma transmissão de dados, atraso é o tempo que a informação leva para trafegar entre sua origem e seu destino, em VoIP a origem é o emissor da voz e o receptor sendo aquele que ouve. O objetivo ao se utilizar técnicas de QoS é garantir o bom desempenho do fluxo de voz mesmo em momentos que a rede esteja em condições desfavoráveis, rede congestionadas, seja em decorrência de um ataque de DoS ou pela ação de pragas virtuais ainda podem ter uma excelente qualidade no fluxo de voz quando utilizadas políticas de QoS apropriadas. (PORTER & GOUGH, 2007) 5.4 Segurança na autenticação SIP O mecanismo de autenticação SIP é usado para fornecer segurança ao processo de requisições de mensagens envolvendo o registro e o inicio e fim de sessões (métodos REGISTER e INVITE). Após receber a tentativa de registro, o servidor de registro retorna ao agente de usuário uma mensagem 401 Unalthorized message solicitando um desafio para a sua autenticação. Em seguida, o agente de usuário envia uma nova mensagem de requisição de registro acrescida de um MD5 digest que será usado na autenticação, caso a autenticação seja realizada com sucesso, as informações do dispositivo e do usuário são autorizadas e é retornada uma mensagem de OK. Processo semelhante ocorre para início e término da chamada com o método INVITE e BYE respectivamente. A autenticação SIP é opcional e pode ser implementada separadamente para cada método SIP. Por exemplo, pode-se optar pela autenticação nos métodos REGISTER e INVITE sem tê-la nos métodos BYE e CANCEL. Contudo, esse tipo de escolha pode abrir oportunidades para ataques como início e término de chamadas sem autorização. Como proteção contra ataques de message replay e mascaramento, a autenticação por desafio deve ser utilizada em todas as mensagens que se destinam a criar, modificar sessões. Ainda algumas mensagens como CANCEL e BYE não são protegidas pela utilização de MD5. Como alternativa recomenda-se a utilização de criptografia para as mensagens de sinalização através de protocolos como TLS, IPSec e S/MINE. (THERMOS & TAKANEN, 2007)
  • 50. 48 5.5 Segurança IPSec Internet Protocol Security (IPSec) é uma extensão do protocolo IP descrito pela IETF para operar no nível de rede do modelo OSI com a finalidade de prover autenticidade, confidencialidade e integridade na comunicação fim a fim de aplicações que utilizam a rede IP. O IPSec pode operar de duas formas diferentes. Em modo de transporte onde somente a carta útil do pacote IP é protegida, o cabeçalho fica intacto. Modo túnel que todo o pacote IP é protegido por criptografia, neste modo há a necessidade de um novo cabeçalho IP para fazer o encaminhamento do pacote. Em redes VoIP o IPSec pode fornecer confidencialidade, integridade e autenticação para mensagens de sinalização e de mídia, criando túneis seguros entre as entidades participantes da comunicação, a formação do túnel IPSec acrescenta atraso tanto no estabelecimento da chamada como no transporte da mídia o que muitas vezes torna inviável a utilização. A empresa Telecordia Technologies realizou um estudo sobre o uso do IPSec no processo de sinalização de uma chamada fim a fim é inviável em virtude do tempo gasto para a formação dos túneis entre cada hop envolvido na comunicação. O estudo demonstra que uma chamada entre domínios SIP usando dois servidores Proxy leva cerca de 20 segundos para ser estabelecida. O padrão tolerável para esse processo é em torno de 250ms, se o túnel IPSec fim a fim já estiver estabelecido, a transmissão da mídia e das mensagens de sinalização sofre um atraso desprezível o que faz da utilização de túneis IPSec uma alternativa viável. (THERMOS & TAKANEN, 2007) 5.6 Segurança através do protocolo TLS Protocolo criptográfico especificado pela IETF para fornecer segurança na comunicação fim a fim em redes TCP/IP, assim como o IPSec, este também é utilizado para a criação de VPN’s (Virtual Private Network). O TLS é um protocolo independente do nível de aplicação, baseado em sessão, utilizado para criptografar conexões TCP, com a capacidade de oferecer autenticação mutua entre cliente e servidor, confidencialidade e integridade às aplicações baseadas em rede IP, este composto por duas camadas:
  • 51. 49 TLS Record Protocol é a camada inferior cuja função é garantir a segurança da conexão. Nessa camada é realizado o encapsulamento e transmissão de todas as mensagens dos protocolos dos níveis superiores, ao transmitir uma mensagem, o protocolo de registro realiza a fragmentação dos dados, opcionalmente faz sua compressão, e aplica uma função de integridade, faz a criptografia e a transmissão das mensagens. No receptor ocorre o processo inverso. (PORTER & GOUGH, 2007) TLS Handshake Protocol cuja camada tem a função de negociar os parâmetros de segurança que serão usados pela camada de registro para o estabelecimento de conexões seguras. Dentre esses parâmetros estão os métodos de compressão, criptografia e integridade que serão utilizados, o tamanho do hash e a troca dos certificados e master key usados entre cliente e servidor. O TLS foi concebido para dar suporte aos protocolos confiáveis da camada de transporte como TCP e SCTP, possui limitações quando se trata de aplicações que usam UDP como é o caso das mensagens SIP. (THERMOS & TAKANEN, 2007) Uma das limitações do uso de TLS para proteção da sinalização SIP está no fato de que ele não suporta confidencialidade fim a fim para usuários conectados em SIP proxies intermediários. Para esse caso, em cada segmento deve ser estabelecida uma conexão TLS distinta. Assim, cada SIP Proxy precisa analisar o cabeçalho do pacote SIP a fim de saber para onde encaminhá-lo, feito isso, a conexão segura é finalizada e uma nova sessão é criada para o próximo hop. (THERMOS & TAKANEN, 2007) 5.7 Segurança usando DTLS Datagram Tranport Layer Security é o protocolo descrito pala RFC 4347 para atender as limitações do TLS no fornecimento de um serviço de transporte seguro às aplicações que utilizam UDP como protocolo de transporte fim a fim na rede IP. Muito embora seja similar ao TLS em muitos aspectos, o que inclui a limitação de necessitar que uma nova conexão seja estabelecida para garantir a proteção das mensagens SIP entre cada hop, o DTLS tem como diferencial a
  • 52. 50 capacidade de tratar aspectos da comunicação UDP não confiável como a perda e o reordenamento dos pacotes. O TLS apresenta deficiências quanto ao tratamento de perdas de pacotes durante o handshke do protocolo assim como na detecção de pacotes duplicados. O DTLS foi especificado para superar essas limitações. (THERMOS & TAKANEN, 2007) 5.8 Segurança com S/MIME Secure/Multipurpose Internet Mail Extensions é um padrão especificado pala IETF através da RFC 3851 para fornecer autoridade, integridade e confidencialidade para protocolos de aplicação como SMTP e SIP. O MIME é largamente utilizado em sistemas de email para tratar formatos complexos de mensagens e caracteres encapsulados dentro do protocolo SMTP. O MIME define uma série de mecanismos para codificar e representar essas mensagens de formatos complexos como arquivos multimídia e caracteres linguísticos anexados dentro de outros protocolos como SMTP ou SIP. O S/MIME é uma versão do MIME que incorpora em sua estrutura o padrão de criptografia de chaves públicas a fim de prover segurança para os protocolos de aplicação que utilizam, diferente do TLS e do DTLS que englobam toda a mensagem SIP em suas estruturas, o S/MIME é mais flexível e permite ser mais granular na proteção das informações das mensagens SIP. Assim, ele possibilita que equipamentos intermediários da rede interpretem a parte não criptografada sem a necessidade de decodificar todo pacote, além disso, ele pode ser usado com UDP e TCP, é mais flexível que os métodos usando IPSec, TLS e DTLS na proteção fim a fim. (THERMOS & TAKANEN, 2007) 5.9 Segurança no protocolo H.323 Para questões de segurança como autenticação e integridade a ITU-T especificou o padrão H.235 para trabalhar em conjunto com os demais protocolos da seria H. esse padrão especifica perfis de segurança que podem ser combinados para atender aos serviços de segurança como autenticação, integridade, confidencialidade, irrevogabilidade, controle de acesso e gerenciamento de chave de criptografia. O perfil H.235.1, por exemplo, presta suporte a serviços de autenticação e integridade. A autenticação é suportada através do compartilhamento de chave
  • 53. 51 secreta ou de métodos de chave publica com uso de certificados que são implementados juntamente com os protocolos de controle e de sinalização como o H.245 e o H.225. Outros perfis tratam da criptografia através da utilização de algoritmos de chave simétrica como DES, 3DES e AES que podem ser usados juntamente com o fluxo RTP. Ainda, TLS e IPSec são recomendações para fornecer segurança aos níveis 4 e 3 da pilha TCP/IP respectivamente. Segue figura 5 mostrando o padrão H.235. (PORTER & GOUGH, 2007) Figura 5 - Padrão H.235 Tabela 2 - Perfis de Segurança do Padrão H.235 Recomendação Descrição H.235.0 Estrutura de segurança para a série H (H.323 e outros baseados em H.245) sistemas de multimídia. H.235.1 Baseline security profile. H.235.2 Signature security profile. H.235.3 Hybrid security profile. H.235.4 Direct and selective routed call security. H.235.5 Security profile for RAS authentication usind weak shared secrets. H.235.6 Voice encryption profile with “native” H.235/H.245 key management. H.235.7 MIKEY + SRTP security profile. H.235.8 Key Exchange for SRTP on secure signaling channels. H.235.9 Security gateway support for H.323. Fonte: THERMOS & TAKANEN, 2007, p. 194
  • 54. 52 5.10 Segurança usando MGCP O protocolo MGCP não fornece nenhum controle de segurança, dessa forma é muito recomendado utilizar protocolos de segurança como é o caso do IPSec para fornecer alguma proteção ao MGCP. Se não for implementada nenhuma proteção, uma atacante pode facilmente enviar mensagens de sinalização para desconectar chamadas, desviar o fluxo RTP para outro host ou mesmo o fluxo de uma conferencia sem que os participantes tomem conhecimento. Em ataques ao MGCP recomenda-se reforçar o controle de acesso a rede para restringir o acesso a portas do MGCP, essa prática evita a tentativa maliciosa de manipulação de sessões existentes. É Recomendado também reforçar a relação um para um entre call manager e os gateways da RPTC na troca de mensagens MGCP. Ainda quando suportado, habilitar IPSec para a criptografia do tráfego entre call manager e o gateway RPTC. (THERMOS & TAKANEN, 2007) 5.11 Segurança no fluxo da mídia O protocolo padrão utilizado para troca de fluxo de mídia é o RTP, se o mesmo for utilizado sem os devidos cuidados, o fluxo de mídia poderá ficar vulnerável a ataques de interceptação e manipulação que comprometerão princípios de integridade e confidencialidade das informações trafegadas no ambiente. (PORTER & GOUGH, 2007)
  • 55. 53 6 Conclusão Com este estudo foi possível ter conhecimento em cima do recurso VoIP que já é bastante difundido entre as empresas que procuram uma redução de custos, apesar de não ser foco a redução de custo e sim a segurança, as lições aqui passadas são essenciais para qualquer administrador de redes, gerentes de TI, administradores de segurança, tomar cuidado com a segurança dos recursos de voz das empresas, e até mesmo todos os outros recursos que trafegue sobre o TCP/IP, o princípio vem ser o mesmo para todos os demais recursos. Várias medidas são aplicadas para evitar diversos ataques, vale a pena observar que a rede é tão segura quanto o elo mais fraco dela, isso significa que não adianta a implementação de certo tipo de proteção, se ela não é utilizada para todos os elementos da rede, ou ainda não adianta implementar sistemas de IPS e firewalls, se os usuários de acesso a eles possuem os valores padrão com senhas de administração por exemplo. A proteção da infraestrutura nunca é feita apenas com uma medida e sim com uma serie delas. Como trabalho futuro, a intenção de implementar o VoIP em uma rede IPV6 é curiosa, pois segundo estudos desta tecnologia, trata-se de um método mais rápido de transmissão de dados, e proporciona uma segurança maior por ter o IPsec nativo nesta tecnologia.
  • 56. 54 7 REFERÊNCIAS CARVALHO, Eric Barbosa Jales de. Tutorial de instalação e configuração básica do Trixbox. 2007. DUMONT, Carlos Eduardo Silva. Segurança Computacional. Segurança em Servidores Linux em Camadas, p. 59. 2006. ELASTIX. Manual do Utilizador em Português (versão final). Disponível em www.elastix.org:<http://ufpr.dl.sourceforge.net/project/elastix/Tutorials_Docs_Manual s/Comunicaciones%20Unificadas%20con %20Elastix/Comunicaciones_Unificadas_con_Elastix_Volumen_1_29Mar2009.pdf>. Acesso em: 16 de Junho de 2011. FERREIRA, Aida A., & BRANDÃO, Glória A. V. Estudo das tecnologias de transmissão de voz sobre ip (VoIP) e desenvolvimento de uma aplicação VoIP. 2007. GALVÃO, Márcio, & ZATTAR, Alexandre Modulo Security Lab. Aspectos de segurança em redes voz sobre IP. 2003. GONÇALVES, Flávio Eduardo de Andrade. Como construir e configurar um PABX com software livre versão 1.4. p. 249. 2005. GONZALEZ, Felipe Nogaroto. Estudo e implementação de solução de voz sobre IP baseadas em softwares livres. SOCIESC Instituto Superior Tupy. 2007. LESSA, Elisa Moraes, & SOUZA, Laura Castro Xavier. Redes de computadores I. Disponível em: <http://www.gta.ufrj.br/grad/07_1/voip/index.html>. Acesso em Maio de 2011. MADEIRA, Frederico Tiago Tavares. Segurança em redes de voz sobre IP. p. 90. 2007.