Upload
emerson-carlos
View
1.798
Download
2
Embed Size (px)
Citation preview
Centro Universitário de Maringá
EMERSON CARLOS GONÇALVES
TECNOLOGIA VOIP: ESTUDO DAS FALHAS
Maringá2011
EMERSON CARLOS GONÇALVES
TECNOLOGIA VOIP: ESTUDO DAS FALHAS
Monografia apresentada ao Curso de Graduação, em Redes de Computadores, do Centro Universitário de Maringá como requisito parcial para a obtenção do título de Tecnólogo.
Professor: José Vanderlei da Silva.
Maringá2011
REGISTRO DE DEFESA
Monografia de Projeto Integrador apresentada nesta data à Banca
Examinadora abaixo indicada:
José Vanderlei da Silva _______________________
Professor Orientador Assinatura
_________________________ _______________________
Convidado Assinatura
_________________________ _______________________
Convidado Assinatura
DEDICATÓRIA
Agradeço a Deus, que me proporciona as oportunidades que tenho na vida.
Dedico este trabalho a meus pais, Antônio e Cecilia, pela compreensão,
apoio e carinho durante estes anos de estudo.
Ao meu orientador, professor José Vanderlei da Silva, pelas orientações,
esclarecedoras, inteligente e pelo incentivo.
Epígrafe
“... a segurança é inversamente proporcional às funcionalidades”. NAKAMURA
RESUMO
Os objetivos do presente trabalho foram focados em desvendar curiosidades
sobre o VoIP incluindo a história do surgimento do telefone, os protocolos utilizados
nas camadas do tráfego de dados, as vulnerabilidades encontradas na tecnologia
por trafegar compartilhando o mesmo recurso de infraestrutura dos pacotes de
dados que transitam na internet e nas demais aplicações que necessitem de uma
rede de computadores. Foi realizado um estudo nos pontos falhos, onde
possivelmente pode acarretar uma invasão inesperada e que comprometa todo o
serviço de telefonia de uma empresa, e consequentemente o roubo de informações
sigilosas. Foram utilizados os critérios de pesquisar sobre o assunto em fontes
confiáveis, e busca de informações legitimas e com dados consistentes. Os
principais resultados obtidos até o presente momento foram com o conhecimento
obtido perante a tecnologia que tem a tendência de expandir e crescer cada vez
mais nos próximos anos por se tratar de redução de custos para empresas,
utilizando o recurso VoIP de telefonia ficou possível e fácil o gerenciamento das
ligações, como a geração de relatórios através de websites. Em toda boa tecnologia,
sempre existe alguém com o intuito de burlar os sistemas, roubar informações ou
mesmo causar indisponibilidade nos serviços, vendo por este lado do problema,
técnicas de ataques foram citadas com o intuito de conscientizar os usuários e
administradores para que evitem ficar vulneráveis.
Palavras-chave: VoIP, Protocolos, Vulnerabilidades
ABSTRACT
The objectives of this study were focused on uncovering the facts about VoIP
including the history of the advent of phone, the protocols used in the layers of data
traffic, the vulnerabilities found in the technology for traffic sharing the same
infrastructure resource of data packets that travel on the Internet and other
applications requiring a computer network. A study was conducted in the weak
points, which could possibly lead to an unexpected intrusion and compromise the
entire telephone service of a company, and consequently the stealing of secret
information. Criteria were used to search about it from reliable sources, and
searching for legitimate information and data consistent. The main results obtained
so far were obtained with the knowledge that before the technology which has the
tendency to expand and grow steadily in coming years because it is cost savings for
companies using VoIP phone feature was possible and easy management of
callings, such as generating reports through websites. In all good technology, there is
always someone wanting to dupe the systems, steal information or even cause
downtime in services, with this in mind, attack techniques were cited in order to
educate users and administrators to avoid being vulnerable.
Keywords: VoIP, Protocols, Vulnerabilities
LISTA DE ABREVIATURAS E SIGLAS
ACK Acknowledge
AES Advanced Encryption Standard
ANATEL Agência Nacional de Telecomunicações
ARP Address Resolution Protocol
DDOS Distributed Denial of Service
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
DOS Denial Of Service
FTP File Transfer Protocol
GPL General Public License
HTTP HyperText Transfer Protocol
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force
IP Internet Protocol
IPS Intrusion Prevention System
IPSEC Internet Protocol Security
ISDN Integrated Service Digital Network
ISO International Organization for Standardization
ITU-T International Telecommunications Union – Telecommunication
Standardization Sector
MAC Media Access Control
MGCP Media Gateway Control Protocol
MIME Multipurpose Internet Mail Extensions
MIKEY Multimedia Internet Keying
OSI Open Systems Interconnection
PABX Private Automatic Branch Exchange
PCM Pulse Code Modulation
PKI Public Key Infraestructure
QOS Quality of Service
RAS Registration Admission Status
RDIS Rede Digital com Integração de Serviços
RFC Request For Comment
RPC Remote Procedure Call
RPTC Rede Pública de Telefonia Comutada
RTCP Real-Time Transport Control Protocol
RTP Real-Time Transport Protocol
RSVP Resource ReserVation Protocol
SIP Session Initiation Protocol
SIPS Session Initiation Protocol Secure
S/MIME Secure/Multipurpose Internet Mail Extensions
SMTP Simple Mail Transfer Protocol
SRTCP Secure Real-Time Transport Control Protocol
SRTP Secure Real-TimeTransport Protocol
SSL Secure Socket Layer
SYN Synchronize
TCP Transmission Control Protocol
TLS Transport Layer Security
UDP User Datagram Protocol
URL Uniform Resource Locator
VLAN Virtual Local Area Network
VOIP Voice Over Internet Protocol
VPN Virtual Private Network
LISTA DE FIGURAS
Figura 1 - Modelo de Referência OSI_____________________________________24
Figura 2 - Modelo de Referência TCP/IP__________________________________27
Figura 3 - Gatekeeper_________________________________________________34
Figura 4 - Etapas do SIP_______________________________________________36
Figura 5 - Padrão H.235_______________________________________________51
LISTA DE TABELAS
Tabela 1 - Ataques mais usados no VoIP__________________________________43
Tabela 2 - Perfis de Segurança do Padrão H.235___________________________51
SUMÁRIO
1 INTRODUÇÃO_____________________________________________________14
2 História__________________________________________________________15
2.1 Fases que marcam os momentos_____________________________________15
2.2 Software livre____________________________________________________18
2.3 Asterisk_________________________________________________________20
2.4 Elastix__________________________________________________________21
2.5 Trixbox_________________________________________________________22
2.6 Telefonia da internet_______________________________________________23
2.7 Arquitetura de Rede_______________________________________________23
3.1 O modelo de referência OSI________________________________________24
3.1.1 Camada física__________________________________________________24
3.1.2 Camada enlace de dados_________________________________________25
3.1.3 Camada de rede________________________________________________25
3.1.4 Camada de transporte____________________________________________25
3.1.5 Camada de sessão______________________________________________26
3.1.6 Camada de apresentação_________________________________________26
3.1.7 Camada de aplicação____________________________________________26
3.2 O modelo de referência TCP/IP______________________________________26
3.2.1 Camada de rede________________________________________________28
3.2.2 Camada inter-redes______________________________________________28
3.2.3 Camada de transporte____________________________________________29
3.2.4 Camada de aplicação____________________________________________29
3.3 Sockets_________________________________________________________29
3.4 Voz humana_____________________________________________________30
3.5 Voz sobre IP_____________________________________________________31
3.6 Protocolos_______________________________________________________31
3.7 H.323__________________________________________________________33
3.8 Gatekeeper______________________________________________________33
3.9 Protocolo SIP____________________________________________________34
4 VULNERABILIDADES______________________________________________36
4.1 Segurança______________________________________________________36
4.2 Negação de serviço (DoS)__________________________________________38
4.3 Inundação SIP___________________________________________________38
4.4 Sinalização SIP Loop______________________________________________39
4.5 Modificação do ataque ao QoS_______________________________________40
4.6 Autenticação SIP_________________________________________________40
4.7 Analise de tráfego e escuta_________________________________________40
4.8 Envenenamento ARP______________________________________________40
4.9 Mascaramento___________________________________________________41
4.10 Sequestro de chamada____________________________________________41
5 SOLUÇÕES PARA REDES VOIP______________________________________45
5.1 Segurança de VLAN_______________________________________________45
5.2 Segurança com firewall, IDS e IPS.___________________________________45
5.3 Segurança no QoS________________________________________________47
5.4 Segurança na autenticação SIP______________________________________47
5.5 Segurança IPSec_________________________________________________48
5.6 Segurança através do protocolo TLS__________________________________48
5.7 Segurança usando DTLS___________________________________________49
5.8 Segurança com S/MIME____________________________________________50
5.9 Segurança no protocolo H.323_______________________________________50
5.10 Segurança usando MGCP_________________________________________52
5.11 Segurança no fluxo da mídia_______________________________________52
6 Conclusão_______________________________________________________53
7 REFERÊNCIAS____________________________________________________54
1 INTRODUÇÃO
A telefonia proporciona a disseminação de informação em um tempo muito
rápido, uma pessoa do outro lado do mundo pode falar com outra muito distante sem
ter latência na voz, funciona como se estivessem ao vivo. Pelo tráfego do áudio
podem passar informações confidenciais e estas podem sofrer barreiras até chegar
ao destino, pois podem ser interceptadas por indivíduos, essas são práticas ilícitas
de conseguir informações. Partindo deste problema será divulgado o princípio do
funcionamento VoIP e suas particularidades, incluindo as vulnerabilidades do
sistema por se tratar de transitar na mesma infraestrutura de redes digitais. Este
trabalho é importante pelo fato de levantar algumas informações de quais são as
técnicas utilizadas para um ataque hacker ou mesmo uma falha não tratada do meio,
o ataque pode até mesmo não ser direcionado para VoIP, mas como o tráfego de
dados transita pelo mesmo meio usado pelo VoIP é preciso tomar alguns cuidados.
Tendo como objetivo descobrir por quais meios pode ser feito algum tipo de
ataque e qual é a técnica utilizada para este resultado, após estas descobertas. fica
como foco, alertar sobre os aspectos de segurança disponíveis para que as devidas
falhas sejam vedada e proporcionando um funcionamento na medida do possível
imune a vulnerabilidades. E usando a metodologia de apresentar as falhas mais
comuns no mundo VoIP e na sequência as soluções disponíveis no mercado por
recursos importantes, muitos deles podendo ser implantado sem muito investimento.
Com este objetivo o temos a divisão dos capítulos da seguinte forma: no
capítulo 2 será apresentada uma prévia história do surgimento do telefone e demais
invenções importantes para o período entrando também em tipo de licenciamento
usado pelos softwares que manuseia a voz sobre IP contendo toda fundamentação
teórica. No capítulo 3 são apresentados os modelos de referência, usado como base
para toda tecnologia que transmite dados de forma digital, informação sobre a voz
humana também é tratado neste capítulo. O capítulo 4 fica com as falhas mais
encontradas provenientes de serviços mal configuradas ou mesmo por não conhecer
tamanha vulnerabilidade. Finalizando chega-se no capítulo 5 que trás soluções para
falhas encontradas no VoIP, sendo uma solução também para outros recursos que
utilize rede de dados.
15
2 História
O VoIP uma tecnologia recente que vem ganhando espaço em todo mundo,
teve como predecessor o telefone, este objeto que fascinou o mundo no final do
século XIX, é o resultado de muitos esforços e invenções para conseguir que a voz
humana fosse transmitida através de longas distâncias. Sua história teve início na
oficina de Charles Williams, localizada na cidade de Boston, e onde também
trabalhava Tomas A. Watson, pessoa que sentia entusiasmo e simpatia por coisas
novas, e se dedicava, em tempo integral, à invenção e ao aperfeiçoamento de
aparelhos elétricos. Foi nesta mesma oficina que se deu o encontro entre Watson e
Alexander Graham Bell, que havia estudado na Universidade de Boston, era
professor de fisiologia vocal, e tinha se especializado no ensino da palavra visível.
Bell tinha a intenção de aperfeiçoar seu “telégrafo harmônico”, aparelho com o qual
pretendia transmitir em código Morse de seis a oito mensagens simultâneas. Foi
assim que Graham Bell chegou àquela oficina, procurando suporte tecnológico para
sua invenção, e começou a trabalhar com Watson. Mais adiante, Bell disse a
Watson estas palavras: “Se eu pudesse fazer com que uma corrente elétrica
variasse de intensidade da mesma forma que o ar varia ao se emitir um som, eu
poderia transmitir a palavra telegraficamente.” Esta foi à chave do invento que viria a
se chamar telefone. (PACIEVITCH, 2009)
2.1 Fases que marcam os momentos
1875: o telefone nasceu meio por acaso, na noite de 2 de junho de 1875
com Graham Bell.
1876: a invenção foi patenteada em 7 de março de 1876, mas a data que
entrou para a história da telefonia foi 10 de março de 1876. Nesse dia, foi feita a
transmissão elétrica da primeira mensagem completa pelo aparelho recém-
inventado. Graham Bell se encontrava no último andar de uma hospedaria em
Boston, nos Estados Unidos. Watson trabalhava no térreo e atendeu ao telefone,
que tilintara. Ouviu, espantado: "Senhor Watson, venha cá. Preciso falar-lhe." Ele
correu até o sótão de onde Bell havia telefonado. Nascia assim o telefone. A nova
invenção foi apresentada na Exposição do centenário de Filadélfia.
16
1944: surgiu o primeiro computador eletromecânico (construído na
Universidade de Harvard, pela equipe do professor H. Aiken e com a ajuda
financeira da IBM), tinha o nome de MARK I, era controlado por programa e usava o
sistema decimal, tinha aproximadamente 15 metros de comprimento e 2,5 metros de
altura.
1977: a ISO, International Organization for Standardization, criou um comitê
para o desenvolvimento de padrões que unisse todo o mundo em uma mesma rede.
Surgia ai OSI – Open Systems Interconnection, que serviu de base para o
desenvolvimento do IP.
1995: Em Israel, a empresa “VocalTec Communications”, criada em 1994
desenvolve um projeto de digitalização da voz, comprimindo-a e transmitindo através
da rede. Neste primeiro momento só podiam ser feitas ligações entre dois
computadores. A qualidade era baixíssima, com vários cortes e atrasos, mas sem
dúvida muito importante para o desenvolvimento a que temos hoje. O software foi
denominado Internet Phone Software, o programa permitia a comunicação somente
entre dois computadores que tivessem instalado o Internet Phone, ou seja, ainda
não permitia a realização de ligações da internet para telefones convencionais.
Porém, os seus usuários já reconheciam a imensa economia proporcionada com as
ligações de longa distância por meio da internet. Na época, dois pontos negativos
atrasavam a expansão no uso da tecnologia e impediam o uso em larga escala, a
qualidade ruim do som e a banda estreita de internet nos acessos discados.
1998: desenvolvimentos de gateways VoIP dão um novo impulso à
tecnologia, que agora pode realizar transmissões para telefones. Empresas
começam a financiar o projeto e as ligações começam a ser gratuitas. No final dos
anos 90 e início dos anos 2000, a crescente oferta de banda larga a preços
razoáveis para o usuário final e a proliferação de programas de ligações telefônicas
através da internet fez o VoIP se popularizar. Ligações já podiam ser feitas do
computador para telefones convencionais, o que ajudava a baratear custos de
ligações de longa distância. No ano 2000, a transmissão pela internet já
representava 3% do total de tráfego de voz nos EUA.
17
2000: algumas empresas, como a “Nortel” (Canadá) desenvolvem Hardware
para a telefonia VoIP. Através destes hardwares, VoIP se tornou menos dependente
do computador. Antes disso, todo o processo era processado no CPU. Agora o
processo acontece nestes Hardwares, possibilitando uma enorme flexibilização do
sistema. A partir daí, VoIP foi se firmando cada vez mais, sendo implantado
internamente nas empresas e até mesmo sendo utilizada em PC. (LESSA &
SOUZA, 2011)
A tecnologia permite a transmissão de voz por meio de redes de dados,
utilizando-se de protocolos específicos. Um programa comprime o sinal de voz,
traduz em pacotes de dados e envia pela internet. Na prática, permite que ligações
telefônicas sejam feitas utilizando a internet, barateando muito os custos. As
primeiras experiências de uso de tecnologia para transmissão de voz pela internet
aconteceram no início da década de 70, dentro da Network Voice Protocol,
inventada para a Arpanet. Já nos anos 80, a tecnologia para ligações via internet
tornou-se disponível para o usuário comum. Nos primeiros anos, com a tecnologia
limitada, só conseguiam comunicar-se dois usuários que tivessem placas de som do
mesmo tipo, com as mais recentes atualizações do software.
A empresa responsável pelo skype foi uma pioneira no tratamento do VoIP é
também provedora do serviço de ligações que recentemente foi comprada pela
Microsoft. As provedoras são essenciais, pois é quem, na prática, fazem o sistema
funcionar, permitindo as ligações. No Brasil existem diversos provedores de VoIP,
alguns oferecem apenas o serviço e outros o serviço e soluções completas,
incluindo softwares, planos de tarifas, etc. Aos poucos, novos equipamentos e
funções são criados para uso da tecnologia VoIP. Um exemplo é o chamado
telefone IP, desenvolvido há quase uma década, que dispensa o computador para
fazer ligações: o aparelho telefônico é especialmente desenhado para uso de VoIP e
fica diretamente conectado à internet. (MATTAR, 2008)
No Brasil, os serviços de telecomunicação são regulados pela ANATEL
(Agência Nacional de Telecomunicações). Segundo encontra-se no site da ANATEL,
esta regula serviços de telecomunicações, não regulando as tecnologias utilizadas
18
como meio para esse fim. VoIP é considerado uma tecnologia, não um serviço, e,
portanto não está totalmente regulamentado. Porém de acordo com a própria Anatel,
o uso de VoIP deve ser considerado por 3 aspectos: Comunicação entre dois
computadores, utilizando serviços de áudio adequado para estes. Este não seria um
serviço de telecomunicação e, portanto não está regulamentado. Comunicação de
voz no âmbito restrito de uma rede corporativa, efetuada entre equipamentos que
podem incluir o aparelho telefônico. Neste caso seria caracterizado como serviço de
telecomunicação e, portanto é exigida uma autorização específica da Anatel. No
Brasil, qualquer tipo de Serviço de Telecomunicação para ser viabilizada precisa
antes da autorização da Anatel. (LESSA & SOUZA, 2011)
Entre os anos de 2005 e 2012 o número de linhas VoIP na América Latina
deve apresentar um crescimento anual de 87,5%, fazendo com que os serviços
associados à tecnologia movimentem aproximadamente cerca de 1,1 bilhão de
dólares até o final do período. Segundo dados de uma consultoria “Frost & Sullivan”,
que diz ainda que o Brasil deve ser responsável pela maior base de usuários da
tecnologia na região ficando com 49% do montante. (NOW, 2006)
2.2 Software livre
Um software livre precisa atender quatro necessidades para ser totalmente
livre, a liberdade para executar o programa, liberdade 0 (zero), significa poder
executar o programa para qualquer tipo de pessoa física ou jurídica, em quantas
máquinas quiser, em qualquer tipo de sistema computacional, para qualquer tipo de
trabalho, sem nenhuma restrição imposta pelo fornecedor. Se for preciso estudar
como o programa funciona e adaptá-lo para suas necessidades fica com a posição
de liberdade 1 que é quando o programa compilado, ou seja, em formato binário,
obriga a distribuição também de seus códigos fonte. Ao redistribuir cópias de modo a
ajudar o próximo é chamado de liberdade 2. A liberdade 3 ocorre quando o
programa sofre modificações, e estas modificações é repassada a toda comunidade.
No caso das licenças como a GPL contêm um conceito adicional, conhecido como
Copyleft, que baseia na propagação dos direitos. Um software livre sem copyleft
pode ser tornado não livre por algum usuário. Já o software livre protegido por uma
licença que ofereça copyleft, se distribuído, deverá ser sob a mesma licença, ou
19
seja, repassando os direitos. Com o aumento do leque de novas aplicações, a
disseminação dos computadores pessoais e o aumento da banda de transmissão
disponível para o usuário, contribuíram para o VoIP tornar-se uma realidade. O
termo Software Livre refere-se à liberdade do usuário de executar, copiar, distribuir,
estudar, modificar e aperfeiçoar o software. (FERREIRA & BRANDÃO, 2007)
A voz é um instrumento essencial para a comunicação e possibilita a troca
de informações entre pessoas, por meio da Rede Publica de Telefonia Comutada
(RPTC). Com a implantação de uma Central Telefônica (PABX), as empresas têm
como objetivo permitir a realização de ligações entre os ramais internos, bem como
comunicar-se com a RPTC através de soluções proprietárias que possuem custos
elevados. O crescimento de implantações das redes com o Protocolo Internet (IP) e
o desenvolvimento de técnicas avançadas, como digitalização de voz, mecanismos
de controle, priorização do tráfego, protocolos de transmissão em tempo real e o
estudo de novos padrões que permitam a qualidade de serviço, criam condições
para a comunicação de Voz Sobre IP (VoIP), tecnologia que permite a transmissão
da voz através dos pacotes das redes IP, como a Internet. A convergência na área
de comunicações utiliza o compartilhamento de recursos através de uma única rede
capaz de trafegar voz e dados, criando assim um novo conceito em telefonia. Este
fato despertou certo interesse nas indústrias computacionais e de telecomunicações,
resultando em economia, além de possibilitar a ampliação dos serviços e
equipamentos oferecidos aos clientes. (GONZALEZ, 2007)
O mais famoso dos softwares usado para manipular o VoIP é o Asterisk sob
licença de software livre (GPL) que foi desenvolvido pela Digium Inc. sendo o
primeiro PABX de código aberto da indústria, a empresa mantenedora investe
atualmente em hardwares de telefonia de baixo custo e no código fonte do Asterisk
para melhor desempenho e novas ferramentas, o software usa plataformas Linux e
outras Unix com ou sem hardware conectado a rede pública de telefonia PSTN, o
software não é compatível com qualquer versão do Microsoft Windows. Sendo Mark
Spencer o criador e principal mantenedor do Asterisk, ele é hoje admirado pelo
grande trabalho que fez e pela responsabilidade que carrega. (GONÇALVES, 2005)
20
2.3 Asterisk
O Asterisk permite conexão online entre redes VoIP com PSTN usando os
tipos de canais disponível na integração de serviços, o canal B transmite 64 kbit/s
estas ligações podem utilizar a comutação de circuito e de pacote, no canal D são
16 kbit/s onde o transporte de sinalização são associados aos canais B, nos tempos
mortos pode ser usado para transmitir outras informações em modo pacote. Em uso
do ISDN para tráfego VoIP o acesso básico (2B+D) corresponde a um débito total de
192 kbit/s incluindo a sincronização e o cabeçalho da trama, e primário oferece duas
configurações relacionadas com as hierarquias de transmissão digital, Europa usa
2048 kbit/s (30B+D) e os EUA, Canadá e Japão usam 1544 kbit/s (23B+D), o
usuário não percebe que sua fala é convertida para sinal digital e depois volta a ser
analógico para ser audível ao receptor, e este software ainda é mais completo do
que uma central PABX, tem recursos como: (GONÇALVES, 2005)
Conectar empregados trabalhando de casa e usando o ramal como se
estivesse conectado localmente;
Conectar empresa e filial de forma a permitir parecer estar em uma
mesma central PABX;
Ter correio de voz, integrado com o webmail;
Permite espera com toques MP3;
Relatórios detalhados de chamadas integrados com sistema de
tarifação;
Integração com reconhecimento de voz.
O Asterisk PBX é uma revolução nas áreas de telefonia IP e PABX baseado
em software. Durante muitos anos o mercado de telefonia foi ligado a equipamentos
proprietários fabricados por grandes companhias multinacionais. Apesar de termos
equipamentos de baixo custo nestas arquiteturas eles também apresentam baixa
funcionalidade. Com a entrada do Asterisk, mais e mais empresas vão poder
experimentar recursos como URA unidade de resposta audível, DAC distribuição
automática de chamadas, mobilidade, correio de voz, e conferencia antes restrita a
grandes companhias devido ao alto custo.
2.4 Elastix
21
Após o Asterisk ganhar mercado foram surgindo outros softwares para
manipular a telefonia convencional, um deles é o Elastix um software que integra as
melhores ferramentas disponíveis para PBX baseados em Asterisk em uma interface
simples e fácil de utilizar. Além de possuir o seu próprio conjunto de utilidades e
permitir a criação de módulos para melhorar os pacotes, é um software de código
aberto licença GPL versão2 disponível para a telefonia. A meta do Elastix é a de ser
confiável, modular, e de fácil de utilização, estas funcionalidades são para
proporcionar a melhor opção em implementar um PBX baseado em Asterisk. As
características oferecidas pelo Elastix são variadas. O Elastix integra vários módulos
de software, cada um com seu conjunto de características. Além disso, o Elastix
acrescenta novas interfaces de vigilância e informação de si mesmo, tornando-se
um pacote completo. Alguns dos recursos disponibilizados pelo Elastix são:
(ELASTIX, 2009)
Possibilita a utilização de vídeo chamada;
Pode enviar algum documento digital a um número de fax através de
uma impressora virtual;
Configuração gráfica de parâmetros da rede;
Relatórios de utilização dos recursos;
Relatórios de chamadas de entrada/saída e utilização dos canais;
Módulo de voice-mail integrado;
Secção de download e acessórios mais utilizados;
Interface de ajuda integrada;
Servidor de mensagens instantâneo integrado;
Servidor de correio eletrônico integrado incluindo suporte para vários
domínios;
Interface Web para e-mail; (ELASTIX, 2009)
O objetivo do Elastix é incorporar todas as alternativas de comunicação,
disponível em um nível empresarial, em uma solução única. O projeto Elastix
começou como uma interface de relatório de chamada para o Asterisk e foi lançado
em março de 2006. Mais tarde nesse ano que o projeto evoluiu para uma
distribuição baseada em Asterisk. Telefonia era a forma tradicional de que as
22
comunicações de chumbo do século passado e, é por isso que muitas empresas e
usuários concentram as suas necessidades para estabelecer comunicações de
telefonia em suas organizações, e confundir a comunicação unificada com um
sistema de troca de telefone. Elastix não só fornece a telefonia, mas integra com
alternativas de comunicação para tornar seu ambiente de uma organização mais
produtiva e eficiente.
Há novas formas de comunicação todos os dias e a adição de recursos e
funcionalidades deve ser constante, Elastix é capaz de estabelecer um ambiente
eficiente na sua organização com a adição de muitos recursos que permite integrar
outros locais de sua empresa para centralizar o seu negócio, além de ter a
comunicação interna direta. Relatórios de antecedência para ver uma lista completa
de recursos, nem a adição de módulos ou usuários em uma implementação Elastix
tem um custo envolvido para o integrador.
2.5 Trixbox
Outro software baseado em Asterisk é o Trixbox, uma distribuição mais
conhecida de Asterisk, que costumava ser chamado de Asterisk@Home. Trixbox é
uma distribuição robusta de Asterisk construída em cima de Apache, MySQL e PHP.
O FreePBX está incluído permite configurar todos os recursos do seu PBX no
conforto do seu navegador da web, Trixbox também inclui uma tela de status do
sistema onde você pode obter uma visão geral sobre o status do seu PBX, existe
também uma criação e gerenciamento de conferências e painel de operador Flash,
uma tela de status baseado em flash para suas extensões, troncos e filas. O Trixbox
possui uma série de versões sendo que a versão TrixBox CE é completamente
gratuita e muito simples de instalar. Possui uma interface gráfica que permite ao
utilizador uma fácil configuração e gestão de todo o servidor Asterisk, incluindo todos
os utilizadores/telefones e respectivos recursos. Quanto mais rápido o sistema
utilizado para rodar o Asterisk, mais chamadas simultâneas ele conseguirá realizar.
Um computador com processador Pentium III 500 MHz e 128MB de memória RAM é
suficiente para uso pessoal residencial. Hardware mínimo recomendado para uma
aplicação com 10 canais simultâneos: (CARVALHO, 2007)
23
Processador Intel 900 MHz (Mínimo);
Memória RAM de 512 MB;
Disco Rígido de 20Gb (sem correio de voz).
2.6 Telefonia da internet
Há algum tempo o sistema público de telefonia comutada, era usado
principalmente para tráfego de voz com um pouco de tráfego de dados aqui e ali.
Porém, o tráfego de dados cresceu e por volta de 1999, o número de bits de dados
transferidos igualou o número de bits de voz. Em 2002, o volume do tráfego de
dados era dez vezes maior que o volume do tráfego de voz, e ainda continua a
crescer exponencialmente, enquanto o tráfego de voz permanece quase no mesmo
nível (crescendo aproximadamente 5% ao ano). Como consequência desses
números, muitas operadoras de redes de comutação de pacotes de repente ficaram
interessadas em transportar voz sobre suas redes de dados. O volume de largura de
banda adicional exigida para voz é minúsculo, pois as redes de pacotes são
dimensionadas para o tráfego de dados. No entanto, a conta telefônica de um
consumidor médio provavelmente é maior que sua conta da Internet, e assim as
operadoras de redes de dados viram na telefonia da Internet um modo de ganhar um
bom dinheiro extra sem terem de instalar sequer um novo cabo de fibra. Desse
modo, nasceu a telefonia da Internet.
2.7 Arquitetura de Rede
Em se tratado de VoIP e seus funcionamentos é necessário ter algumas
informações sobre redes de computadores, pois é o elemento principal da tecnologia
em questão. O termo redes de computadores é referente ao conjunto de
computadores autônomos interconectados por uma única tecnologia.
No tráfego de dados encontramos os protocolos que é o conjunto de regras
responsável por controlar o formato e significado dos pacotes ou mensagens
trocadas entre entidades de uma mesma camada, tem a função de definir as opções
de serviço como a solicitação do início da comunicação, a confirmação do pedido, a
configuração da transmissão de dados ou mídia, a resposta ao envio de informações
24
e a desconexão definindo também sub-protocolos responsáveis por controles
específicos.
3.1 O modelo de referência OSI
Esse modelo foi desenvolvido pela ISO (Internacional Standards
Organization) com o objetivo de padronizar internacionalmente os protocolos usados
pelas empresas fabricantes de hardwares e softwares. Conforme cita TANENBAUM,
este modelo é chamado de Modelo de Referência ISO OSI (Open Systems
Interconnection), o modelo de referência possui sete camadas das quais falaremos a
seguir, conforme figura 1. (TANENBAUM, 2003)
Figura 1 - Modelo de Referência OSI
3.1.1 Camada física
A camada física é responsável pela transmissão dos bits por um canal de
comunicação qualquer, seja ele coaxial par metálico, fibra, wireless, está camada
não se encarrega em fazer nenhum tipo de tratamento ou correção, simplesmente
recebe o dado e transmite. É conhecido por converter (transmissor) sinais digitais
em sinais analógicos, ou de radiofrequência, ou em sinais de luz e (receptor)
25
capturar os sinais recebidos pelo meio e converte-os para digital novamente, onde a
próxima camada irá fazer o tratamento.
3.1.2 Camada enlace de dados
A principal tarefa da camada de enlace de dados é a detecção de erros,
como não existe tratamento na camada física quem se encarrega de garantir que a
informação chegue ao destino é a camada de enlace, para executar essa tarefa está
camada faz com que o transmissor separe os dados em quadros e transmita em um
sequenciamento controlado por confirmações, e a informação chegando até o
receptor ele por sua vez transmite uma confirmação de que os quadros chegaram ao
destino, desta forma o transmissor continua enviando os quadros.
3.1.3 Camada de rede
A camada de rede controla a operação de endereçamento e roteamento
lógico, ou seja, determinar a maneira como os pacotes são roteados da origem até o
destino, essas rotas podem ser baseadas em tabelas estáticas, e também podem
ser determinadas no início de cada conversação, e podem ser determinadas para
cada pacote com o objetivo de refletir a carga atual da rede, podendo ser altamente
dinâmica neste caso.
3.1.4 Camada de transporte
Basicamente tem a função de fornecer tipos de camada de transporte, a
orientada a conexão e o método não orientado a conexão, com o objetivo de aceitar
informações das camadas acima dela, e repassar os dados à camada de rede e
assegurar que todos os fragmentos chegarão corretamente ao receptor, esse
transporte deve ser feito de forma silenciosa e precisa, para que as camadas
superiores não sofram com algum tipo de mudança da tecnologia de hardware. Está
camada também determina que tipo de serviço que deve ser fornecido à camada de
sessão e usuários, o método mais conhecido é o ponto a ponto livre de erros que
entrega mensagens ou bytes na ordem em que eles foram enviados.
26
3.1.5 Camada de sessão
Tem a função de estabelecer sessão entre transmissor e receptor, é possível
vários serviços em uma sessão como o controle de diálogo que monitora o momento
certo de quem vai transmitir os dados, o gerenciamento de símbolos não permitindo
que duas partes enviem a mesma operação crítica ao mesmo tempo e a
sincronização que permite uma transmissão interrompida continue transferindo do
ponto em que parou.
3.1.6 Camada de apresentação
A camada de apresentação está relacionada à sintaxe e à semântica das
informações transmitidas, entre computadores com diferentes representações de
dados às estruturas de dados a serem intercambiadas podem ser definidas de
maneira abstrata, juntamente com uma codificação padrão que será usada durante a
conexão.
3.1.7 Camada de aplicação
É a interface entre o usuário e a rede, contém uma série de protocolos
necessários para interagir com o usuário, o mais utilizado dentre eles é o HTTP o
protocolo usado na internet seu funcionamento é requisitado no momento em que
um navegador necessita acessar uma página web, ele envia o nome da página
desejada ao servidor HTTP, e por sua vez o servidor retorna a página de volta.
Outros protocolos são utilizados e através da camada aplicação interagem com o
usuário.
3.2 O modelo de referência TCP/IP
O modelo que na verdade é um protocolo é bastante antigo surgiu na
ARPANET, e atualmente onde estiver um host ligado na rede este protocolo está
presente. A ARPANET era uma rede militar, foi uma rede de pesquisa criada pelo
departamento de defesa dos EUA onde aos poucos foram interligando universidades
e órgãos públicos usando linhas telefônicas dedicadas somente para este fim.
27
Naquela época com os sinais de rádio e de satélite começaram a surgir problemas
com os protocolos existentes, o que forçou a criação de uma nova arquitetura de
referência, que o principal objetivo era unir várias redes de maneira uniforme, e em
1974 foi usada pela primeira vez à arquitetura conhecida como modelo de referência
TCP/IP. A preocupação dos preciosos hosts do departamento de defesa dos EUA
fossem destruídos definiu-se que a rede deveria ser capaz de sobreviver à perda do
hardware de sub-redes, com as conversações existentes sendo mantidas em
atividade, além disso, também ter uma arquitetura flexível, capaz de se adaptar a
aplicações com requisitos divergentes como a transferência de arquivos e a
transmissão de dados de voz em tempo real. TCP é um protocolo de comunicação e
não uma parte do software, ele usa a conexão e não a porta do protocolo como sua
abstração fundamental, as conexões são identificadas por um par de extremidades.
No nível mais baixo, as redes de comunicação por um computador proveem entrega
de pacote não confiável. No nível mais alto, os programas aplicativos normalmente
precisam enviar grandes volumes de dados de um host para outro, o uso de um
sistema de remessa não confiável sem conexão. (TANENBAUM, 2003)
Figura 2 - Modelo de Referência TCP/IP
28
3.2.1 Camada de rede
Segundo TANENBAUM, abaixo da camada inter-redes, no modelo de
referencia TCP/IP não especifica o que acontece nesta camada, apenas informa que
o host precisa se conectar a rede utilizando algum protocolo para que seja possível
enviar pacotes IP, por não ser um protocolo definido ele varia de host para host. Os
dois modelos de referências citados são parecidos, pois se baseiam no conceito de
uma pilha de protocolos independentes, e as camadas acabam tendo as mesmas
funções.
Todas as tecnologias VoIP foi desenvolvida com base no modelo OSI de
forma que para o seu uso, independam o meio físico e a tecnologia de enlace
utilizada. Os protocolos e codec VoIP fazem parte das camadas de Aplicações,
Sessão e Transporte do modelo OSI. Na camada aplicação está presente a voz
comprimida de acordo com o codec utilizado. Na camada de sessão são negociados
o inicio e fim das camadas. Atualmente o protocolo mais usado é o SIP. Na camada
de Transporte os pacotes de dados provenientes das camadas de Aplicação e
Sessão são encapsulados em segmentos. No caso dos codec’s, eles são
encapsulados pelo RTP, RAS ou RTCP e no caso dos protocolos de sessão eles
são normalmente encapsulados pelo UDP.
3.2.2 Camada inter-redes
Esses requisitos levaram a uma escolha de uma rede de comutação de
pacotes baseada em uma camada de interligação de redes sem conexões,
denomina-se esta camada como inter-redes, com o objetivo de permitir que os hosts
injetem pacotes em qualquer rede e garantir que eles trafegarão independentemente
até o destino, pode acontecer de os dados chegarem a uma ordem diferente
daquela que foram enviados, deixando para as camadas superiores reorganiza-los
caso necessário. Um exemplo para este caso seria parecido com o método do
correio, uma pessoa pode deixar uma sequência de cartas internacionais em uma
caixa de correio em um país e, a maioria delas será entregue no endereço correto
no país de destino. Essas cartas poderão passar por alguns gateways internacionais
neste caso, o procedimento seja transparente para o usuário. A camada inter-redes
29
define um formato de pacote oficial e um protocolo chamado IP, e a tarefa é entregar
pacotes IP onde eles são necessários. O roteamento de pacotes é uma questão de
grande importância nessa camada, assim como a necessidade de evitar o
congestionamento, no entanto pode-se definir que a função da camada inter-redes
do TCP/IP é muito parecida com a da camada de rede do OSI.
3.2.3 Camada de transporte
No modelo TCP/IP temos logo acima da camada inter-redes a camada de
transporte, que é exatamente igual à camada de transporte do modelo OSI, ela é
responsável por permitir que as entidades pares dos hosts de origem e de destino
mantenham uma conversação, foram definidos dois protocolos sendo que o primeiro
deles, o TCP é um protocolo orientado a conexão confiável que permite a entrega
sem erros de fluxo de bytes originário de uma determinada máquina em qualquer
computador da inter-rede, tem a finalidade de fragmentar o fluxo de bytes de entrada
em mensagem discretas e passa cada uma delas para a camada de inter-redes. O
destino conta com o TCP receptor que monta a mensagem recebida, esse protocolo
também cuida do controle de fluxo, impedindo que um transmissor rápido
sobrecarregue um receptor lento com um volume de mensagens maior do que
consegue tratar.
3.2.4 Camada de aplicação
No modelo TCP/IP diferente do modelo OSI não temos a camada de sessão
e apresentação por serem pouco usadas, elas se fundem em apenas camada de
aplicação. Nesta camada temos todos os protocolos de nível mais alto (Telnet, FTP,
SMTP, DNS), que seria como no modelo OSI onde existe a interação com o usuário.
3.3 Sockets
O Socket representa um ponto de conexão para uma rede TCP/IP. Para dois
hosts manterem a conversação é preciso um socket, sendo um host servidor abrindo
um socket e prestando atenção nas conexões, sendo assim o outro host é o cliente
e faz contato com o socket do servidor para iniciar a conexão. Sendo necessário
30
apenas um endereço de destino e um número de porta, na rede TCP/IP existe um
endereço único para cada host e as portas representam conexões individuais dentro
desse endereço, cada porta de um computador compartilha o mesmo endereço IP,
mas os dados são roteados dentro de cada computador pelo número da porta,
quando um socket é criado ele deve estar associado a uma porta específica, define-
se este processo como acoplamento de uma porta. Citando uma linguagem de
programação o Java por sua vez oferece dois modos de utilização de sockets: o
modo orientado à conexão que utiliza o protocolo TCP (exige confirmação) e o modo
orientado a datagrama, que funciona sobre o protocolo UDP (não exige
confirmação), ambos sobre o protocolo IP. O modo orientado à conexão TCP/IP
oferece serviços confiáveis, sem perda de dados na rede e com garantia de
ordenação dos pacotes tornando o serviço mais lento. No modo orientado à
datagrama UDP/IP as mensagens podem ser perdidas a ordem não é garantida e é
mais rápido que o modo orientado à conexão. (FERREIRA & BRANDÃO, 2007)
3.4 Voz humana
A conversão humana é uma forma de onda mecânica com frequências
principais na faixa de 300 Hz a 3,4 kHz, com alguns padrões definidos em função do
timbre de voz e dos fonemas emitidos durante uma conversa. Em um ambiente de
telefonia totalmente analógico isto é possível pela transmissão da forma de onda
entre os interlocutores através de meio metálico, com possíveis amplificações
analógicas. Isto, porém, representava um custo alto pela impossibilidade de se
utilizar o meio físico para a transmissão de mais de um canal de conversação. Com
o advento da telefonia digital, a voz é codificada em formato digital, que pode ser
multiplexado no tempo de forma a compartilhar meios de transmissão. (GONZALEZ,
2007)
A voz humana pode ser codificada de duas formas, uma baseada em forma
de onda que é utilizada hoje na telefonia convencional para digitalizar a voz
permitindo que aconteça a multiplexação dos circuitos, e outra baseada nos padrões
de voz. Estes elementos são responsáveis pela codificação da voz em um fluxo de
bits, possivelmente utilizando técnicas de compressão de voz e supressão de
silêncio.
31
3.5 Voz sobre IP
No sistema público de telefonia comutada, era usado principalmente para
tráfego de voz e às vezes com muito pouco de tráfego de dados. Porém, o tráfego
de dados expandiu-se, e o número de bits de dados transferidos já era igual o
número de bits de voz, foi possível medir a PSTN, pois a mesma vinha codificada
em PCM que possibilitava a medição em bits/s. Em pouco tempo o volume do
tráfego de dados já era dez vezes maior que o volume do tráfego de voz, vendo este
grande atrativo às operadoras de redes ficou interessadíssimas em transportar voz
sobre suas redes de dados, sendo que não precisariam investir muito, pois o volume
de largura de banda adicional era baixo e a atual rede comportava o tráfego, e assim
as operadoras de redes de dados viram na telefonia da Internet um modo de ganhar
um bom dinheiro extra sem terem de instalar um novo cabo de fibra. Desse modo,
nasceu a telefonia da Internet também conhecida como voz sobre IP (VoIP).
(SITOLINO & ROCHOL, 2011)
A intercomunicação entre os diferentes produtos da indústria do VoIP só foi
possível graças a aceitação por parte da padronização dos protocolos de sinalização
e mídia especificados por organizações como a IEEE, IETF, 3GPT e ITU-T.
3.6 Protocolos
Assim como na comunicação entre homens e entre máquinas, é preciso
seguir algumas regras para que exista comunicação, essas regras em redes de
computadores são dispostas em forma de protocolos que é a padronização de leis e
procedimentos que são dispostos para execução de uma determinada tarefa. A
utilização de protocolos se faz necessária devido à grande quantidade de fabricante
e fornecedores de tecnologia, sem um gerenciamento seria complicado controlar a
comunicação. Nas redes VoIP antes que os pacotes de voz possam trafegar pela
rede IP é necessário estabelecer uma conexão entre os pontos extremos de
comunicação. Depois do estabelecimento da conexão esses protocolos ainda
controlam a chamada, e quando ela é encerrada, eles indicam que os recursos da
rede podem ser liberados, esses protocolos desempenham ações como registro,
32
admissão e localização de usuários, negociação das capacidades dos pontos finais
estabelecimento e encerramento da chamada. Dentre os protocolos de sinalização
existentes, os que mais se destacam são o H.323, desenvolvido no âmbito do ITU-T,
e o protocolo SIP (Session Initiation Protocol), desenvolvido no âmbito do IETF. A
recomendação H.323 do ITU-T é uma especificação que descreve de maneira
completa a arquitetura e a operação de um sistema de sessões em tempo real de
voz, vídeo e dados. As especificações do protocolo SIP foram primeiramente
definidas pelo IETF (Internet Engeneering Task Force) no RFC 2543, em março de
1999. Em 2002, uma segunda publicação das especificações desse protocolo foi
apresentada no documento RFC 3261. É um protocolo de controle, pertencente à
camada de aplicação, que permite a criação, modificação e finalização de sessões
multimídia, como chamadas telefônicas, com um ou mais participantes. Usuários
podem ser convidados para uma nova sessão ou para uma sessão multimídia já
existente. Apesar de o SIP possuir independência de funcionamento e operação, ele
pode utilizar alguns protocolos para oferecer recursos extras. Para reserva de
recursos, por exemplo, opera em conjunto com o RSPV. O SIP é um protocolo
baseado em texto, o que permite sua fácil implementação e apresenta arquitetura
cliente-servidor, ou seja, as requisições são geradas pelos clientes e enviadas ao
servidor. O servidor processa essas requisições e envia as respostas de volta aos
clientes. Permite também a interação entre dispositivos através de mensagens de
sinalização e controle. (FERREIRA & BRANDÃO, 2007)
Os protocolos de sinalização são usados para estabelecer, manter e
encerrar chamadas além de servir de suporte à bilhetagem de parâmetros de
negociação da chamada como portas de mídia, chave de criptografia e codecs. Já
os de mídia são usados para realizar a transferência fim a fim dos pacotes. RTP é o
protocolo de transporte utilizado no VoIP. Como exemplo de protocolos de
sinalização pode-se citar SIP, MGCP e H.323. (MADEIRA, 2007)
O protocolo H.323 é um protocolo mais maduro e utilizado estando presente
na maioria das soluções de mercado. No entanto, o protocolo SIP, embora mais
recente, tem sido considerado, por especialistas e fornecedores de equipamentos e
soluções VoIP, como um protocolo que pode disputar a hegemonia do mercado com
33
o H.323 devido às suas particularidades. São alguns protocolos utilizados, para este
fim, específicos de sinalização e configuração de chamadas.
Em uma chamada VoIP se utiliza três protocolos na camada de aplicação do
modelo TCP/IP. NTP fica responsável por verificar se os sinais são transmitidos e
recebidos numa janela de tempo aceitável para a quantidade do serviço. RTP
fornece funcionalidade de transporte fim a fim para os sinais de voz. RTCP faz um
controle simplificado para assegurar a entrega dos pacotes de VoIP via RTP. E por
se tratar de uma aplicação em tempo real em que a rapidez na entrega dos pacotes
é mais importante que a garantia de sua entrega no destino, o protocolo utilizado é o
UDP. (MADEIRA, 2007)
3.7 H.323
No começo da telefonia sobre IP já era de ciência das operadoras que, se
cada fornecedor projetasse sua própria pilha de protocolos, o sistema nunca
funcionária adequadamente. Então com o apoio da ITU foi desenvolvido padrões
para este tipo de problema. Surgiu através da ITU a recomendação H.323, intitulada
como: sistemas e equipamentos de telefonia visual para redes locais que oferecem
uma qualidade de serviço não garantida. Essa recomendação H.323, então revisada
foi base para os primeiros sistemas amplamente difundidos de telefonia da Internet.
Ela faz referência a um grande número de protocolos específicos para codificação
de voz, configuração de chamadas, sinalização, transporte de dados e outras áreas.
A rede de telefonia precisa de vários protocolos, o H.323 é um protocolo para
codificação e decodificação de voz, ele codifica um único canal de voz realizando a
amostragem 8000 vezes por segundo com amostras de 8 bits, a fim de fornecer voz
descompactada a 64 Kbps. (FERREIRA & BRANDÃO, 2007)
3.8 Gatekeeper
Um gatekeeper é considerado o componente “inteligente” de uma rede
H.323, ele age como o ponto central para todas as chamadas dentro de sua zona e
provê serviços de controle de chamada para estações registradas.
34
Protocolo da camada física o RTCP é necessário para controlar os canais do
RTP. Para ver como esses protocolos funcionam juntos, considere o caso de um
terminal de PC em uma LAN que chama um telefone remoto. Primeiro, o PC tem de
descobrir o gatekeeper e, para isso, transmite por difusão um pacote UDP de
descoberta de gatekeeper para a porta padrão 1718. Quando o gatekeeper
responde, o PC aprende o endereço IP do gatekeeper. Agora, o PC se registra com
o gatekeeper, enviando a ele uma mensagem RAS em um pacote UDP. Depois que
a mensagem é aceita, o PC envia ao gatekeeper uma mensagem RAS de admissão
solicitando largura de banda. Só depois que a largura de banda e concedida, é
possível iniciar a configuração de chamada a ideia de solicitar largura de banda com
antecedência tem a finalidade de permitir ao gatekeeper limitar o número de
chamadas, a fim de evitar saturar a linha de saída, e desse modo oferecer a
qualidade de serviço necessária. Segue figura 3 com esquema de uma rede com
gatekeeper. (THERMOS & TAKANEN, 2007)
Figura 3 - Gatekeeper
3.9 Protocolo SIP
O SIP é um único módulo, porém foi projetado para interoperar bem com
aplicações da internet existentes, ele pode estabelecer sessões entre duas partes
sendo UDP ou TCP, sessão de várias partes e sessões de multidifusão, com o SIP é
possível transferir vídeo, dados e áudio, este protocolo fica responsável apenas pela
configuração, do gerenciamento e do encerramento de sessões. Os protocolos RTP
e RTCP faz o transporte na camada física. Os números de telefone no SIP são
representados em forma de URLs que utilizam o esquema usuário@dns. Uma
35
conexão acontece em o chamador cria uma conexão orientada ou não orientada à
conexão com o chamado que envia uma mensagem INVITE sobre ela, os
cabeçalhos da segunda e das próximas linhas descrevem a estrutura do corpo da
mensagem, que transporta informações do chamador, tipos de mídia e formatos. E
caso o chamado aceitar a ligação por sua vez irá enviar um código de resposta em
HTTP, logo segue o tráfego entre as duas extremidades. No encerramento é
enviado o uma mensagem com método BYE que desconecta a ligação. (SILVA,
2007)
Para o estabelecimento da sessão SIP são usados os métodos:
Register – usado para registrar o usuário;
Invite – Convidar alguém para uma sessão de multimídia;
ACK – confirmação de uma requisição de estabelecimento de sessão;
Cancel – cancelamento de uma transação;
Bye – encerramento de uma sessão ou transação;
Options – Consulta de compatibilidades;
Info – usado para troca de informações intermediárias como dígitos
discados;
Messages – usado para mensagens curtas de serviço e mensagem
instantânea;
Notify – usado para notificar eventos e atualização de registro;
Subscribe – usado para a subscrição de notificação de eventos;
Upgrate – usado para atualização das informações de uma sessão;
36
Figura 4 - Etapas do SIP
Figura 4 mostra o funcionamento de uma rede VoIP .Dentre H.323 e SIP
protocolos bastante eficientes nas suas tarefas que é o tráfego de voz sobre IP. Mas
H.323 é um padrão pesado comum na indústria telefônica, enquanto o SIP é um
protocolo leve e típico da internet, flexível para ser adaptado em novas aplicações,
mas tem um problema com interoperabilidade.
4 VULNERABILIDADES
“(...) a segurança é inversamente proporcional às funcionalidades”. Assim,
quanto maior o número de funcionalidades que um sistema disponibilizar, maior será
a chance de haver alguma vulnerabilidade que pode ser explorada, em
consequência, a menor será a segurança do ambiente e maior será a
responsabilidade dos administradores. (NAKAMURA & GEUS, 2003)
4.1 Segurança
Segurança pode ser definida como “certeza, confiança” segundo o dicionário
Aurélio. Atualmente a informação é o bem de maior valor existente, e grande parte
desta informação se encontra em formato eletrônico, e informação é poder sendo
37
que a posse de determinada informação pode fazer toda a diferença para o sucesso
ou fracasso de uma empresa, então se define que segurança é a proteção de
informações, sistemas, recursos e serviços contra desastres.
Segundo o autor DUMONT, ele dividiu a segurança em quatro camadas,
“controle de acesso ao sistema, segurança interna do sistema, monitoramento do
sistema, recuperação e disponibilidade do sistema”. Sendo que um invasor pode
fazer um mapeamento das vulnerabilidades do sistema utilizando alguns recursos e
ferramentas, mas a camada de controle e acesso ao sistema pode impedir exigindo
que servidores fiquem em locais seguro e que somente pessoas autorizadas tenham
acesso físico, sendo que o mesmo possua rede elétrica estabilizada, encontre-se em
uma rede DMZ e protegidos por firewall. É citada a segurança interna do sistema
como sendo uma exigência na escolha da versão do sistema operacional que vai ser
instalado, e o total domínio do administrador que vai se deparar com o dia a dia no
servidor, e quanto menor for o número de recursos disponível consequentemente
menor serão as vulnerabilidades disponíveis aos intrusos. Na terceira camada temos
o monitoramento do sistema que é o emprego de alguns softwares para
monitoramento do sistema caso exista algum intruso, se existir o software avisa as
devidas pessoas responsáveis. E na quarta e última camada composta por
recuperação e disponibilidade do sistema visa, ter um plano de contingência, que é
estar preparado para o pior, e poder reverter o dano em menor tempo possível, para
isso é preciso ter o serviço de backup funcionando perfeitamente. (DUMONT, 2006)
As redes de voz representam um alvo importante para os hackers por
diversos motivos, pois voz encapsulada em pacotes de dados ainda é informação e
está informação pode valer muito dinheiro, pode permitir acesso indevido a
informações financeiras estratégicas, cuja utilização pode gerar grandes prejuízos
tanto para a própria corporação quanto para terceiros. Um computador com telefone
IP precisa tomar cuidado com ameaças relacionadas à rede de dados e rede de voz.
No VoIP, o conteúdo das conversas telefônicas está trafegando na rede de
dados, encapsulado em pacotes IP, e a captura de dados em uma rede IP através
de técnicas de “Sniffing” não é difícil, pois existem ferramentas que captura pacotes
de uma conversa telefônica e consegue remontá-los e convertê-los em um formato
38
comum de áudio. Os vírus mesmo não sendo direcionados para o VoIP pode afetar
muito o recurso, se por algum motivo existir um tráfego muito grande na rede os
pacotes podem conflitar fazendo com que nenhum dos pacotes chegue ao destino.
(MADEIRA, 2007)
4.2 Negação de serviço (DoS)
O ataque conhecido como DoS (Denial of Service) pode afetar várias
camadas do ambiente VoIP, o principal objetivo é provocar a interrupção ou
degradação do serviço alvo. No caso do VoIP, o ataque pode ser direcionado tanto
para o sistema operacional dos servidores como também para os serviços de rede, e
podem ser dividido em ataque de inundação onde ocorre uma sobrecarga de
mensagens para um destino com o objetivo de comprometer seu funcionamento.
Outro ataque DoS é o pacote deformado se dá por um processo conhecido como
Fuzzing que gera pacote deformado aleatoriamente ou semi-aleatoriamente e que
pode comprometer o serviço. (THERMOS & TAKANEN, 2007)
4.3 Inundação SIP
SIP Flooding é o ataque gerado por inundação em que mensagens INVITE
são endereçadas ao usuário SIP, esse ataque deixa vulnerável o desempenho dos
servidores SIP proxies que terão que tratar essas requisições e suas respostas além
de impossibilitar que o usuário alvo consiga efetuar ligações. (THERMOS &
TAKANEN, 2007)
Este ataque tem por objetivo consumir todos os recursos da rede e do
sistema, causando indisponibilidade dos serviços de rede, e como o VoIP depende
da disponibilidade da infraestrutura de dados, ele também ficará indisponível. O
ataque UDP flooding é o mais cobiçado pelos invasores, pois o endereço de origem
dos pacotes UDP pode ser facilmente adulterado, esse tipo de ataque leva
vantagem, pois pode driblar facilmente os firewalls, uma vez que seja possível
alterar o IP de origem e destinar o ataque para uma porta UDP válida e liberada no
firewall. Ataque por ICMP que usa a falha de esse tipo de pacote ser liberados
através dos firewalls e roteadores com o objetivo de diagnóstico, através de ping e
39
traceroute, o ICMP provê a capacidade de enviar grandes quantidades de tráfego
através dos links. Uma forma de ataque usando essa capacidade consiste no envio
de pacotes ICMP echo request para os endereços de broadcast de várias redes
como o endereço de origem alterado para IP da vítima. Para corrigir este erro é
recomendado desabilitar nos roteadores a capacidade de receber e enviar broadcast
IP com destino e a partir de sua rede. Um fator que leva a ataques sobre a
infraestrutura VoIP envolve ataques ao sistema operacional ou hardware, o que
pode levar a aplicação VoIP ficar indisponível. Supondo que um atacante explore
uma vulnerabilidade no servidor Linux que esta rodando o Asterisk, o servidor irá
travar, ou ainda ter seus recursos consumido, consequentemente a aplicação VoIP
que roda sobre esse servidor ficará indisponível. O servidor DNS pode ser bastante
utilizado pela infraestrutura VoIP, dessa forma é possível fazer ataques de flooding
no servidor DNS de forma que seja consumida a capacidade de banda da rede ou
ainda a capacidade de conexões de rede. Floods UDP são particularmente efetivos
contra servidores DNS expostos por que a maioria dos firewall não consegue
diferenciar o tráfego malicioso gerado pelo ataque de um tráfego DNS legítimo.
(GALVÃO & ZATTAR, 2003)
4.4 Sinalização SIP Loop
Este por sua vez afeta sistemas que não implementam mecanismos de
detecção de looping. Este ataque registra dois usuários em domínios SIP diferentes,
sendo que no cabeçalho de contato de cada registro existem dois valores, cada um
apontando para um destes usuários, porém no domínio contrário. Quando o SIP
proxy de um domínio recebe o INVITE para um desses usuários, ele irá gerar duas
mensagens de INVITE uma para cada usuário no outro domínio. Isso faz com que
no SIP proxy do outro domínio, ao receber os dois INVITE irá gerar quatro novas
mensagens de INVITE para o outro domínio. Causando assim um rápido
crescimento do tráfego de INVITE e posteriormente comprometendo o serviço SIP.
(THERMOS & TAKANEN, 2007)
40
4.5 Modificação do ataque ao QoS
Tem a finalidade de modificar os campos referentes à QoS no header do
pacote IP anulando o controle de QoS da rede e comprometendo o serviço VoIP.
(PORTER & GOUGH, 2007)
4.6 Autenticação SIP
Ao utilizar este método ele tem o objetivo de obter as credenciais de acesso
de um usuário válido em um sistema de telefonia SIP através da utilização de um
ataque de força bruta. Através dessa técnica, um atacante pode enviar inúmeras
requisições de registro com identificação e senhas a partir de um arquivo de
dicionário, uma vez descoberta à senha, o atacante pode usar ela para acessar o
serviço. (THERMOS & TAKANEN, 2007)
4.7 Analise de tráfego e escuta
Este ataque tem a finalidade de compreender os métodos de ataque que
permitem ao atacante monitorar a sinalização e o tráfego de dados VoIP sem alterá-
los, basicamente essa técnica de ataque leva a busca de informações para o
aperfeiçoamento de ataques posteriores. Para este ataque é preciso que o atacante
esteja usando a rede local de onde o servidor SIP estiver implantado ou use uma
técnica de envenenamento da tabela ARP para conseguir interceptar os pacotes da
comunicação antes que eles sejam transmitidos ao destino correto. (THERMOS &
TAKANEN, 2007)
4.8 Envenenamento ARP
ARP poisoning também conhecido como ARP spoofing, é um ataque que
explora a vulnerabilidade do nível de rede do modelo TCP/IP. O protocolo ARP
responsável por fazer o mapeamento entre o endereço físico da interface de rede e
o endereço IP, o princípio deste ataque consiste em alterar (envenenar) esse
mapeamento através da manipulação da tabela ARP dos equipamentos de rede,
41
para isso o ataque envia uma mensagem de broadcast na rede publicando um novo
MAC para o IP que ele deseja interceptar. (THERMOS & TAKANEN, 2007)
4.9 Mascaramento
É caracterizada pela habilidade do atacante em se fazer passar por um
usuário, dispositivo ou servido a fim de obter acessa a rede, seus dispositivos e
informações trafegadas. Esse tipo de ameaça pode comprometer a disponibilidade,
a integridade e a confidencialidade dos serviços de VoIP. A impersonificacão é um
tipo especial de mascaramento em que o atacante pode comprometer a segurança
do sistema seja através da falsificação de serviços e dispositivos de rede básicos na
infraestrutura VoIP, seja se fazendo passar por outra pessoa através da captura ou
roubo das credenciais de acesso da vítima. Esse tipo de ataque pode ocorrer contra
usuários, dispositivos, serviços e aplicações de rede. (PORTER & GOUGH, 2007)
Impersonificação dos serviços e aplicações, método mais sofisticado de
ataque, envolve uma coordenação maior de elementos e esta relacionado aos tipos
de ataque que tiram vantagens de vulnerabilidades que impactam no roteamento
dos protocolos de sinalização. Impersonificação dos dispositivos, elementos de rede
como telefones, servidores DNS, registradores SIP e gateways de mídia e
sinalização podem ser impersonificados com o objetivo de coletar e desviar seus
tráfegos de rede. Impersonificação do assinante caracteriza a impersonificação em
que o atacante mascara sua identidade utilizando-se de credenciais capturadas ou
de acesso a dispositivos de um assinante de uma serviço para realizar seu ataque.
Os métodos mais utilizados de mascaramento no VoIP são direcionados à
manipulação das mensagens de sinalização embora métodos tradicionalmente
conhecidos como clone de endereços IP e MAC e spoofing de IP também são
utilizados. (THERMOS & TAKANEN, 2007)
4.10 Sequestro de chamada
No cabeçalho da requisição Register em um sistema SIP há um registro com
informações de contato (Contact) que é usado pelo Proxy SIP para rotear as
ligações para o dispositivo do usuário. O ataque de sequestro de chamada pode ser
42
realizado através da alteração das informações de IP contidas nesse registro. Com
essa alteração, as ligações que deveria ser encaminhadas para o dispositivo do
usuário, são desviadas para o dispositivo do atacante. (THERMOS & TAKANEN,
2007)
No estudo VoIP a verificação insuficiente de dados em uma implementação,
acaba permitindo que os próprios usuários entrem na rede para promover ataques.
Bancos de dados padrão são normalmente utilizados como o backbone de serviços
de VoIP e seus registros, em uma implementação é necessário observar com
atenção para filtros de conteúdo ativo, como solicitações SQL envolvendo nomes de
usuários, senhas e URL’s de sessões, a maioria dos problemas relacionados a
falhas de execução resultará da má utilização de filtros e programações inseguras.
Os pacotes mal formados, com conteúdo e estruturas inesperadas existem em
qualquer protocolo de mensagem. A maioria das mensagens mal formadas envolve
ataques de buffer overflow. O resultado é que o input dado pelo invasor é escrito
sobre outros conteúdos de memória interna, como registros e pointers, que
permitirão ao invasor total controle sobre o processo vulnerável. Especialmente em
equipamentos embutidos, os recursos disponíveis para implementações VoIP
podem ser muito escassos, pouca memória e baixa capacidade de processamento
podem ajudar o invasor a derrubar os serviços VoIP nesses equipamentos. O
serviço precisa ser criado de forma a suportar a demanda mesmo que todos os
usuários decidam utilizá-lo simultaneamente, um serviço pode receber uma série de
falsas solicitações ou mesmo, por engano, carga de usuários reais, se não possuir
capacidade suficiente o resultado será a paralisação do serviço.
A única identificação que um usuário de VoIP tem é o número de seu
telefone ou a URL SIP e uma eventual senha para o serviço, a senha é armazenada
tanto no cliente quanto no servidor, se as senhas forem armazenadas no servidor
em um formato que possam ser revertidas, qualquer um com acesso a esse servidor
pode obter o nome de usuário e a senha referente a ele. Recursos precisam ser
protegidos tanto da perspectiva do sistema operacional quanto da plataforma e da
rede, os serviços de VoIP rodando sobre a plataforma precisam levar em
consideração os seus privilégios, um serviço VoIP não necessariamente requer
privilégios administrativos para rodar. Dados confidenciais precisam ser protegidos
43
de qualquer tipo de ataque. A vulnerabilidade mais comum nesta categoria é não
criptografar os dados, mesmo quando os mecanismos de criptografia estão
disponíveis. Tantos os usuários quanto os seus equipamentos precisam ser
autenticados, além disso, outros serviços, como gerenciamento de equipamentos,
existem nos aparelhos VoIP e também precisam de autenticação do usuário. Outra
vulnerabilidade existente em diversas infra-estruturas de redes homogêneas é a
grande dependência em um número limitado de marcas e aparelhos, se uma rede
inteira depender de uma marca específica de telefones, proxy ou firewall, um ataque
automatizado, como vírus ou worms pode paralisar a rede. (THERMOS &
TAKANEN, 2007)
Tabela 1 - Ataques mais usados no VoIP
Alvo Objetivo Método
Usuário Fraude. Obter as credencias do usuário por
meio de outro ataque e usá-las para
efetuar ligações fraudulentas.
Obter acesso físico ou remoto a um
dispositivo do usuário.
Manipular mensagens de
sinalização para desviar tráfego.
DNS Redirecionar as requisições
de sessão para um
dispositivo não autorizado.
Envenenamento de cache de DNS.
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
Gateway de
Sinalização
Desviar o tráfego da
sinalização e
consequentemente as
chamadas.
Manipular remotamente a
sinalização para desviar o tráfego.
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
44
Gateway de
Mídia
Desviar tráfego da mídia. Manipular remotamente a
sinalização para desviar o tráfego.
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
Proxy SIP Obter credencias de
usuários.
Desfiar o tráfego da
sinalização e
consequentemente as
chamadas.
Manipular remotamente a
sinalização para desviar o tráfego
(manipulação das sessões pelo
spoofing de mensagens de
sinalização como Refer e Invite).
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
SIP Registra Obter credencias de
usuários.
Ataque de spoofing nas requisições
de registro.
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
Gatekeeper
H.323
Obter credenciais de
usuários
Obter informações do tráfego
da chamada.
Ataque de spoofing nas requisições
de registro.
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
Soft switch Desviar o tráfego da
sinalização e
consequentemente as
chamadas.
Obter informações do tráfego
da chamada
Violação de acesso com o objetivo
de manipular as configurações de
elementos da rede.
Fonte: THERMOS & TAKANEN, 2007, p. 111
45
5 SOLUÇÕES PARA REDES VOIP
Como já citado algumas ameaças e vulnerabilidades encontradas no mundo
VoIP, a diante trataremos das correções para os problemas, para tentar evitar
surpresas.
5.1 Segurança de VLAN
Usar VLAN significa permitir a segmentação lógica da rede criando domínio
de colisão e de broadcast diferentes entre o tráfego de dados e o tráfego de voz.
Agindo desta maneira podemos prevenir que problemas de rede de um segmento
interfiram no outro e vice-versa, os ataques de negação de serviço e instabilidades
na rede de dados provocados pela atuação de pragas virtuais como vírus e worms
terão seus efeitos minimizados com a utilização de VLAN’s, a segmentação do
broadcast favorece o desempenho causando uma redução do tráfego da rede, em
consequência proporciona uma maior banda passante. As VLAN’s podem ser
implementadas com mecanismo de QoS para que no VoIP seja priorizado o tráfego,
o padrão foi definido pelo IEEE através do protocolo 802.1Q. Em uso de softphone
se a estação de trabalho possuir uma única interface de rede significa que o
software irá compartilhar a rede de dados para trafegar o fluxo de voz, em casos
como este, não será possível utilizar o conceito de VLAN para separação dos
tráfegos de dados e voz. (PORTER & GOUGH, 2007)
5.2 Segurança com firewall, IDS e IPS.
Equipamentos como firewalls, IDS (Intrusion Detection System) e IPS
(Intrusion Prevention System) tem a finalidade de proteger segmentos de rede
contra ameaças externas, esse tipo de equipamento são estrategicamente inseridos
na infra estrutura de rede de modo que todo tráfego entre os segmentos de redes
passe pelos equipamentos. (THERMOS & TAKANEN, 2007)
46
Com a finalidade de bloquear todo tráfego da rede que não esteja de acordo
com a política de segurança implementada pelas regras de acesso, o firewall é
responsável pelo processamento do tráfego realizado sob técnicas de filtro de
pacotes. Esse processo consiste em analisar informações contidas no cabeçalho de
cada pacote que atravessa o firewall como endereços IP, portas e tipo de protocolos
a fim de identificar os pacotes legítimos. Os firewall’s podem ser classificados em
Stateless e Stateful, sendo o Stateless firewall que não guardam informações em
memória sobre o estado das conexões, já os Stateful mantém em memória uma
tabela de estado das conexões, e dessa forma, conseguem diferenciar pacotes
iniciando uma nova conexão de pacotes de conexões já estabelecidas ou
relacionadas. Além da habilidade de verificar e barrar pacotes com número de
sequência incorreto, sendo este tipo de firewall mais eficiente para detectar e
bloquear pacotes maliciosos. (PORTER & GOUGH, 2007)
IDS e IPS são sistemas capazes de detectar tráfego maliciosos mesmo que
esses tenham sido considerados legítimos pela política de segurança de firewalls.
Através de uma arquitetura composta por sensores, unidade de detecção e uma
base de conhecimento, esses sistemas analisam os protocolos dos pacotes até as
camadas do nível de aplicação. Existem três métodos de detecção utilizados por
esses sistemas que são os baseados em assinantes, em anomalia e em análise do
protocolo Stateful. Os sistemas baseados em assinatura utilizam uma base de
dados, que deve ser atualizada periodicamente, com as instruções referentes aos
conhecidos ataques, o que inclui, por exemplo, assinaturas contra ataques ao Code
Red, NIMIDA, DoS, buffer overflows e outras vulnerabilidades. (PORTER &
GOUGH, 2007)
Sistemas de detecção de intrusão baseados em anomalias funcionam com
base no comportamento da rede. Distorções observadas nesse comportamento são
indícios de que algo está errado, apesar de ser um método muito eficiente para
detectar ataques como Port Scan e DoS, falso-positivos podem ocorrer se o padrão
de comportamento da rede não for mapeado adequadamente. Já os sistemas
baseados em análise do protocolo stateful fazem a análise dos protocolos dos
pacotes ate as camadas do nível de aplicação e verificam se eles estão em
47
conformidade com os perfis de comportamento estabelecidos pela RFC’s e vendors
de cada protocolo. (PORTER & GOUGH, 2007)
5.3 Segurança no QoS
O emprego de técnicas de Qualidade de Serviço é importante para o bom
funcionamento do serviço VoIP. QoS visa entregar uma largura de banda garantida
e um valor máximo de atraso e Jitter, em uma transmissão de dados, atraso é o
tempo que a informação leva para trafegar entre sua origem e seu destino, em VoIP
a origem é o emissor da voz e o receptor sendo aquele que ouve. O objetivo ao se
utilizar técnicas de QoS é garantir o bom desempenho do fluxo de voz mesmo em
momentos que a rede esteja em condições desfavoráveis, rede congestionadas,
seja em decorrência de um ataque de DoS ou pela ação de pragas virtuais ainda
podem ter uma excelente qualidade no fluxo de voz quando utilizadas políticas de
QoS apropriadas. (PORTER & GOUGH, 2007)
5.4 Segurança na autenticação SIP
O mecanismo de autenticação SIP é usado para fornecer segurança ao
processo de requisições de mensagens envolvendo o registro e o inicio e fim de
sessões (métodos REGISTER e INVITE). Após receber a tentativa de registro, o
servidor de registro retorna ao agente de usuário uma mensagem 401 Unalthorized
message solicitando um desafio para a sua autenticação. Em seguida, o agente de
usuário envia uma nova mensagem de requisição de registro acrescida de um MD5
digest que será usado na autenticação, caso a autenticação seja realizada com
sucesso, as informações do dispositivo e do usuário são autorizadas e é retornada
uma mensagem de OK. Processo semelhante ocorre para início e término da
chamada com o método INVITE e BYE respectivamente. A autenticação SIP é
opcional e pode ser implementada separadamente para cada método SIP. Por
exemplo, pode-se optar pela autenticação nos métodos REGISTER e INVITE sem
tê-la nos métodos BYE e CANCEL. Contudo, esse tipo de escolha pode abrir
oportunidades para ataques como início e término de chamadas sem autorização.
Como proteção contra ataques de message replay e mascaramento, a autenticação
por desafio deve ser utilizada em todas as mensagens que se destinam a criar,
48
modificar sessões. Ainda algumas mensagens como CANCEL e BYE não são
protegidas pela utilização de MD5. Como alternativa recomenda-se a utilização de
criptografia para as mensagens de sinalização através de protocolos como TLS,
IPSec e S/MINE. (THERMOS & TAKANEN, 2007)
5.5 Segurança IPSec
Internet Protocol Security (IPSec) é uma extensão do protocolo IP descrito
pela IETF para operar no nível de rede do modelo OSI com a finalidade de prover
autenticidade, confidencialidade e integridade na comunicação fim a fim de
aplicações que utilizam a rede IP. O IPSec pode operar de duas formas diferentes.
Em modo de transporte onde somente a carta útil do pacote IP é protegida, o
cabeçalho fica intacto. Modo túnel que todo o pacote IP é protegido por criptografia,
neste modo há a necessidade de um novo cabeçalho IP para fazer o
encaminhamento do pacote. Em redes VoIP o IPSec pode fornecer
confidencialidade, integridade e autenticação para mensagens de sinalização e de
mídia, criando túneis seguros entre as entidades participantes da comunicação, a
formação do túnel IPSec acrescenta atraso tanto no estabelecimento da chamada
como no transporte da mídia o que muitas vezes torna inviável a utilização.
A empresa Telecordia Technologies realizou um estudo sobre o uso do
IPSec no processo de sinalização de uma chamada fim a fim é inviável em virtude
do tempo gasto para a formação dos túneis entre cada hop envolvido na
comunicação. O estudo demonstra que uma chamada entre domínios SIP usando
dois servidores Proxy leva cerca de 20 segundos para ser estabelecida. O padrão
tolerável para esse processo é em torno de 250ms, se o túnel IPSec fim a fim já
estiver estabelecido, a transmissão da mídia e das mensagens de sinalização sofre
um atraso desprezível o que faz da utilização de túneis IPSec uma alternativa viável.
(THERMOS & TAKANEN, 2007)
5.6 Segurança através do protocolo TLS
Protocolo criptográfico especificado pela IETF para fornecer segurança na
comunicação fim a fim em redes TCP/IP, assim como o IPSec, este também é
49
utilizado para a criação de VPN’s (Virtual Private Network). O TLS é um protocolo
independente do nível de aplicação, baseado em sessão, utilizado para criptografar
conexões TCP, com a capacidade de oferecer autenticação mutua entre cliente e
servidor, confidencialidade e integridade às aplicações baseadas em rede IP, este
composto por duas camadas:
TLS Record Protocol é a camada inferior cuja função é garantir a segurança
da conexão. Nessa camada é realizado o encapsulamento e transmissão de todas
as mensagens dos protocolos dos níveis superiores, ao transmitir uma mensagem, o
protocolo de registro realiza a fragmentação dos dados, opcionalmente faz sua
compressão, e aplica uma função de integridade, faz a criptografia e a transmissão
das mensagens. No receptor ocorre o processo inverso. (PORTER & GOUGH, 2007)
TLS Handshake Protocol cuja camada tem a função de negociar os
parâmetros de segurança que serão usados pela camada de registro para o
estabelecimento de conexões seguras. Dentre esses parâmetros estão os métodos
de compressão, criptografia e integridade que serão utilizados, o tamanho do hash e
a troca dos certificados e master key usados entre cliente e servidor. O TLS foi
concebido para dar suporte aos protocolos confiáveis da camada de transporte
como TCP e SCTP, possui limitações quando se trata de aplicações que usam UDP
como é o caso das mensagens SIP. (THERMOS & TAKANEN, 2007)
Uma das limitações do uso de TLS para proteção da sinalização SIP está no
fato de que ele não suporta confidencialidade fim a fim para usuários conectados em
SIP proxies intermediários. Para esse caso, em cada segmento deve ser
estabelecida uma conexão TLS distinta. Assim, cada SIP Proxy precisa analisar o
cabeçalho do pacote SIP a fim de saber para onde encaminhá-lo, feito isso, a
conexão segura é finalizada e uma nova sessão é criada para o próximo hop.
(THERMOS & TAKANEN, 2007)
5.7 Segurança usando DTLS
Datagram Tranport Layer Security é o protocolo descrito pala RFC 4347 para
atender as limitações do TLS no fornecimento de um serviço de transporte seguro às
50
aplicações que utilizam UDP como protocolo de transporte fim a fim na rede IP.
Muito embora seja similar ao TLS em muitos aspectos, o que inclui a limitação de
necessitar que uma nova conexão seja estabelecida para garantir a proteção das
mensagens SIP entre cada hop, o DTLS tem como diferencial a capacidade de tratar
aspectos da comunicação UDP não confiável como a perda e o reordenamento dos
pacotes. O TLS apresenta deficiências quanto ao tratamento de perdas de pacotes
durante o handshke do protocolo assim como na detecção de pacotes duplicados. O
DTLS foi especificado para superar essas limitações. (THERMOS & TAKANEN,
2007)
5.8 Segurança com S/MIME
Secure/Multipurpose Internet Mail Extensions é um padrão especificado pala
IETF através da RFC 3851 para fornecer autoridade, integridade e confidencialidade
para protocolos de aplicação como SMTP e SIP. O MIME é largamente utilizado em
sistemas de email para tratar formatos complexos de mensagens e caracteres
encapsulados dentro do protocolo SMTP. O MIME define uma série de mecanismos
para codificar e representar essas mensagens de formatos complexos como
arquivos multimídia e caracteres linguísticos anexados dentro de outros protocolos
como SMTP ou SIP. O S/MIME é uma versão do MIME que incorpora em sua
estrutura o padrão de criptografia de chaves públicas a fim de prover segurança para
os protocolos de aplicação que utilizam, diferente do TLS e do DTLS que englobam
toda a mensagem SIP em suas estruturas, o S/MIME é mais flexível e permite ser
mais granular na proteção das informações das mensagens SIP. Assim, ele
possibilita que equipamentos intermediários da rede interpretem a parte não
criptografada sem a necessidade de decodificar todo pacote, além disso, ele pode
ser usado com UDP e TCP, é mais flexível que os métodos usando IPSec, TLS e
DTLS na proteção fim a fim. (THERMOS & TAKANEN, 2007)
5.9 Segurança no protocolo H.323
Para questões de segurança como autenticação e integridade a ITU-T
especificou o padrão H.235 para trabalhar em conjunto com os demais protocolos da
seria H. esse padrão especifica perfis de segurança que podem ser combinados
51
para atender aos serviços de segurança como autenticação, integridade,
confidencialidade, irrevogabilidade, controle de acesso e gerenciamento de chave de
criptografia. O perfil H.235.1, por exemplo, presta suporte a serviços de autenticação
e integridade. A autenticação é suportada através do compartilhamento de chave
secreta ou de métodos de chave publica com uso de certificados que são
implementados juntamente com os protocolos de controle e de sinalização como o
H.245 e o H.225. Outros perfis tratam da criptografia através da utilização de
algoritmos de chave simétrica como DES, 3DES e AES que podem ser usados
juntamente com o fluxo RTP. Ainda, TLS e IPSec são recomendações para fornecer
segurança aos níveis 4 e 3 da pilha TCP/IP respectivamente. Segue figura 5
mostrando o padrão H.235. (PORTER & GOUGH, 2007)
Figura 5 - Padrão H.235
Tabela 2 - Perfis de Segurança do Padrão H.235
Recomendação Descrição
H.235.0 Estrutura de segurança para a série H (H.323 e outros baseados
em H.245) sistemas de multimídia.
H.235.1 Baseline security profile.
H.235.2 Signature security profile.
H.235.3 Hybrid security profile.
H.235.4 Direct and selective routed call security.
H.235.5 Security profile for RAS authentication usind weak shared secrets.
52
H.235.6 Voice encryption profile with “native” H.235/H.245 key
management.
H.235.7 MIKEY + SRTP security profile.
H.235.8 Key Exchange for SRTP on secure signaling channels.
H.235.9 Security gateway support for H.323.
Fonte: THERMOS & TAKANEN, 2007, p. 194
5.10 Segurança usando MGCP
O protocolo MGCP não fornece nenhum controle de segurança, dessa forma
é muito recomendado utilizar protocolos de segurança como é o caso do IPSec para
fornecer alguma proteção ao MGCP. Se não for implementada nenhuma proteção,
uma atacante pode facilmente enviar mensagens de sinalização para desconectar
chamadas, desviar o fluxo RTP para outro host ou mesmo o fluxo de uma
conferencia sem que os participantes tomem conhecimento. Em ataques ao MGCP
recomenda-se reforçar o controle de acesso a rede para restringir o acesso a portas
do MGCP, essa prática evita a tentativa maliciosa de manipulação de sessões
existentes. É Recomendado também reforçar a relação um para um entre call
manager e os gateways da RPTC na troca de mensagens MGCP. Ainda quando
suportado, habilitar IPSec para a criptografia do tráfego entre call manager e o
gateway RPTC. (THERMOS & TAKANEN, 2007)
5.11 Segurança no fluxo da mídia
O protocolo padrão utilizado para troca de fluxo de mídia é o RTP, se o
mesmo for utilizado sem os devidos cuidados, o fluxo de mídia poderá ficar
vulnerável a ataques de interceptação e manipulação que comprometerão princípios
de integridade e confidencialidade das informações trafegadas no ambiente.
(PORTER & GOUGH, 2007)
53
6 Conclusão
Com este estudo foi possível ter conhecimento em cima do recurso VoIP que
já é bastante difundido entre as empresas que procuram uma redução de custos,
apesar de não ser foco a redução de custo e sim a segurança, as lições aqui
passadas são essenciais para qualquer administrador de redes, gerentes de TI,
administradores de segurança, tomar cuidado com a segurança dos recursos de voz
das empresas, e até mesmo todos os outros recursos que trafegue sobre o TCP/IP,
o princípio vem ser o mesmo para todos os demais recursos.
Várias medidas são aplicadas para evitar diversos ataques, vale a pena
observar que a rede é tão segura quanto o elo mais fraco dela, isso significa que não
adianta a implementação de certo tipo de proteção, se ela não é utilizada para todos
os elementos da rede, ou ainda não adianta implementar sistemas de IPS e
firewalls, se os usuários de acesso a eles possuem os valores padrão com senhas
de administração por exemplo. A proteção da infraestrutura nunca é feita apenas
com uma medida e sim com uma serie delas.
Como trabalho futuro, a intenção de implementar o VoIP em uma rede IPV6
é curiosa, pois segundo estudos desta tecnologia, trata-se de um método mais
rápido de transmissão de dados, e proporciona uma segurança maior por ter o IPsec
nativo nesta tecnologia.
54
7 REFERÊNCIAS
CARVALHO, Eric Barbosa Jales de. Tutorial de instalação e configuração básica
do Trixbox. 2007.
DUMONT, Carlos Eduardo Silva. Segurança Computacional. Segurança em
Servidores Linux em Camadas, p. 59. 2006.
ELASTIX. Manual do Utilizador em Português (versão final). Disponível em
www.elastix.org:<http://ufpr.dl.sourceforge.net/project/elastix/Tutorials_Docs_Manual
s/Comunicaciones%20Unificadas%20con%20Elastix/
Comunicaciones_Unificadas_con_Elastix_Volumen_1_29Mar2009.pdf>. Acesso em:
16 de Junho de 2011.
FERREIRA, Aida A., & BRANDÃO, Glória A. V. Estudo das tecnologias de
transmissão de voz sobre ip (VoIP) e desenvolvimento de uma aplicação VoIP.
2007.
GALVÃO, Márcio, & ZATTAR, Alexandre Modulo Security Lab. Aspectos de
segurança em redes voz sobre IP. 2003.
GONÇALVES, Flávio Eduardo de Andrade. Como construir e configurar um
PABX com software livre versão 1.4. p. 249. 2005.
GONZALEZ, Felipe Nogaroto. Estudo e implementação de solução de voz sobre
IP baseadas em softwares livres. SOCIESC Instituto Superior Tupy. 2007.
LESSA, Elisa Moraes, & SOUZA, Laura Castro Xavier. Redes de computadores I.
Disponível em: <http://www.gta.ufrj.br/grad/07_1/voip/index.html>. Acesso em Maio
de 2011.
MADEIRA, Frederico Tiago Tavares. Segurança em redes de voz sobre IP. p. 90.
2007.
55
MATTAR, M. E. (12 de Junho de 2008). Guia das cidades digitais., disponível em
<http://www.guiadascidadesdigitais.com.br/site/pagina/o-caminho-at-a-popularizao>.
Acesso em Maio de 2011.
NAKAMURA, Emilio Tissato. Segurança de redes . em ambientes cooperativos. p. 286. 2003
NOW, R. D. (24 de Março de 2006). Pcworld. Acesso em 12 de Junho de 2011, disponível em http://pcworld.uol.com.br/noticias/2006/03/24/idgnoticia.2006-03-24.7563964875/
PACIEVITCH, T. (24 de Junho de 2009). Info Escola. Disponível em
<http://www.infoescola.com/curiosidades/historia-do-telefone/> Acesso em 12 de
Junho de 2011.
PORTER, T., & GOUGH, M. Voip Security. EUA: Syngress. 2007.
SILVA, Jeremias Neves. Segurança em protocolo SIP. SENAC Florianópolis. 2007.
SITOLINO, Claudio Luis. & ROCHOL, Juergen. Voz sobre IP (VoIP). um estudo
experimental. Disponivel em: <www.projetoderedes.com.br>. Acesso em 25 de
Maio de 2011.
TANENBAUM, Andrew S. Redes de Computadores. 4ª edição. Editora Campus.
2003
THERMOS, P., & TAKANEN, A. Securing VoIP Networks. Boston: Pearson. 2007.