Professional Documents
Culture Documents
DEPARTAMENTO DE COMPUTAÇÃO
GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
VOZ SOBRE IP
SEGURANÇA DE TRANSMISSÕES
DEZEMBRO
2005
1
UNIVERSIDADE CATÓLICA DE GOIÁS
DEPARTAMENTO DE COMPUTAÇÃO
GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
VOZ SOBRE IP
SEGURANÇA DE TRANSMISSÕES
2
VOZ SOBRE IP
SEGURANÇA DE TRANSMISSÕES
________________________________ _________________________________
Professor Cláudio Martins Garcia, MsC Professor José Luiz de Freitas Júnior, Dr.
Orientador Coordenador de Projeto Final de Curso
3
Ao Professor Cláudio Martins Garcia,
orientador acadêmico e amigo, pelo apoio e confiança
depositada. Aos meus verdadeiros amigos pelo apoio e
compreensão. A minha família goiana, pelo incentivo e a
todos os que fizeram parte da minha vida, pois sem essas
pessoas seria muito mais difícil sobreviver longe do
manto protetor dos pais e irmão.
4
À Deus pela sua sabia orientação e por me
ajudar a destacar em meio ao seu rebanho, ao Santo
Expedito que em momentos difíceis me amparou, a
Nossa Senhora Aparecida que em vários momentos
sorriu para apoiar minha querida mamãe e as lágrimas
de felicidades e saudades despejadas pelos meus
familiares.
5
RESUMO
Transmissões de voz sobre IP tiveram seus primeiros estudos nos anos setenta e de lá
para cá vem apresentando grandiosos índices de melhoria. Hoje VoIP é conhecida
mundialmente, pela sua economia em ligações telefônicas, que são fáceis de serem realizadas,
precisa-se apenas de um terminal com acesso a rede mundial de computadores. As vantagens
são inúmeras e as desvantagens, claro existem, porém minimizadas, hoje o que mais afeta a
VoIP é a sua qualidade de serviço, porém isso para usuários que contam com uma largura de
banda relativamente boa torna-se um tanto quanto imperceptível, porém existem outros
problemas relativos a QoS que também à afetam, como é o caso do congestionamento,
segurança e confiabilidade. Apesar de várias desvantagens estarem presentes na VoIP, ela
apresenta a cada dia que passa um numero maior de adeptos e um crescimento tecnológico
muito maior, o que pode levar as redes de telefonia tradicionais à extinção, já que a VoIP
além de prestar todos os serviços prestados pela telefonia tradicional ainda tem a capacidade
de oferecer muito mais serviços, porém devemos levar em consideração que o maior alvo da
VoIP, as redes tradicionais, também são seu maior concorrente e isto se deve à sua alta
disponibilidade e a sua viabilidade. Muitos estudos e protocolos fazem e fizeram da VoIP o
que ela é hoje, e podemos citar parte dessa história através de vários componentes, entre eles,
os protocolos de sinalização H.323 e o revolucionário SIP que parece estar tomando frente
junto ás transmissões VoIP, o grandioso protocolo de transporte RTP que é usado
praticamente em todas as operações de transmissões de voz, graças à sua qualidade na entrega
de pacotes, e o RTCP que atua juntamente ao RTP provendo controle, entre vários outros, e é
por causa de todo este apanhado histórico e pela vontade sobre a descoberta de novos meios
de comunicação que a VoIP poderá em breve ser marco da história mundial.
6
ABSTRACT
Transmissions of voice about IP had their first studies in the Seventies and since then
they have presented huge indices of improvement. Today VoIP is known world-wide for its
economy in telephone calls, that are easy to be carried through, it’s used only a terminal with
access to the world-wide net of computers. The advantages are innumerable and the
disadvantages, however minimized, today what affects more the VoIP is its quality of
service, however for some users who count on a width of relatively good band becomes
imperceptible , nevertheless there are other problems related to the QoS that also affect it,
such as the case of congestion, security and trustworthiness. Despite of some disadvantages
presented in the VoIP, it presents each day a great number users and a very big technological
growth, and due to this can jeopardize the telephone companies besides the VoIP has all the
services done for the traditional telephone companies, still has the capacity to offer much
more services, furthermore we must take in consideration that the target of the VoIP, the
traditional companies are one of the strongest competitors because of their high availability
and reliability. Many studies and protocols have helped the VoIP becomes what it is today,
and we can explain part of this history through some components, such as, the protocols of
H.323 transmissions and revolutionary SIP which is better together with VoIP transmissions,
the huge protocol of transport RTP that has been practically used in all the operations of voice
transmissions, thanks to its quality in the delivery of packages, and the RTCP that works
together with the RTP providing, control and several others, and it’s because of all this
historical background and for the discovery of new medias that the VoIP will be able to
become the landmark of worldwide history.
7
Sumário
8
PROTOCOLO RSVP....................................................................................................... 68
Mensagens RSVP......................................................................................................... 70
PARÂMETROS QUE INFLUENCIAM NA QoS DA TECNOLOGIA VoIP................... 71
Atraso .......................................................................................................................... 71
Eco............................................................................................................................... 74
Sobreposição do Locutor.............................................................................................. 74
Jitter............................................................................................................................. 74
Perda de Pacotes........................................................................................................... 75
SOLUÇÕES PARA GARANTIA DE QoS EM REDES IP .............................................. 75
Dejitter Buffer .............................................................................................................. 76
Classificar ou Identificar o Tráfego .............................................................................. 76
Enfileiramento, Priorização e Disciplina de Despacho .................................................. 77
SEGURANÇA EM REDES VOZ SOBRE IP ...................................................................... 78
Introdução........................................................................................................................ 78
Ameaças .......................................................................................................................... 79
Captura de tráfego e acesso indevido a informações ..................................................... 79
Código Malicioso ......................................................................................................... 80
Fraude Financeira, Uso indevido de recursos corporativos............................................ 81
Repúdio........................................................................................................................ 81
Meios de proteção ............................................................................................................ 82
Segmentar o tráfego de voz e dados.............................................................................. 82
Controlar o acesso ao segmento de voz com um Firewall especializado........................ 83
Evitar o uso de aplicações de telefones para microcomputadores (PC-Based IP phones),
utilizando preferencialmente telefones IP que suportem VLAN.................................... 84
Usar endereços IP privativos e inválidos (compatíveis com RFC 1918) nos telefones IP.
..................................................................................................................................... 84
Configurar os telefones IP com endereços IP estáticos, associados ao MAC Address ... 85
Utilizar servidores DHCP separados para voz e dados .................................................. 85
Monitorar os endereços MAC no segmento de voz....................................................... 86
Implementar mecanismos que permitam autenticar os usuários dos telefones IP ........... 86
Implementar um sistema IDS ....................................................................................... 86
Fazer o hardening do “host” onde está instalado o call manager ................................... 87
Monitorar a performance e status dos serviços de VoIP ................................................ 88
Montar uma estrutura de Help Desk capacitada para dar suporte em VoIP.................... 88
Restringir o acesso físico.............................................................................................. 88
Auditar o uso dos recursos............................................................................................ 89
Criptografar o tráfego de VoIP ..................................................................................... 89
Conclusão .................................................................................................................... 90
Benefícios da Convergência ............................................................................................. 91
Riscos e Inibidores da convergência ................................................................................. 92
SPIT em geral .................................................................................................................. 93
1. Origem e significado ................................................................................................ 93
2. Prejuízos causados pelo spit...................................................................................... 93
3. Envio de spit ............................................................................................................ 94
4. SPIT (spam over IP Telephony), abordagem geral .................................................... 94
SEGURANÇA NOS PROTOCOLOS H.323 E SIP.............................................................. 95
SIP ................................................................................................................................... 95
Segurança na troca de mensagens ................................................................................. 95
Segurança da mídia ...................................................................................................... 96
Firewalls SIP................................................................................................................ 97
H.323............................................................................................................................... 98
SNIFFERS VOIP ................................................................................................................. 99
9
Características dos Sniffers VoIP ..................................................................................... 99
EXEMPLO DE APLICAÇÃO DE SEGURANÇA EM REDES VOIP............................... 100
Encriptação de VoIP no sistema omnipcx enterprise....................................................... 100
Conclusão ...................................................................................................................... 101
Conclusões......................................................................................................................... 102
Referências Bibliográficas ................................................................................................. 103
10
LISTA DE FIGURAS
11
LISTA DE TABELAS
12
LISTA DE ABREVIATURAS
13
SPIT Spam Over IP Telephony
SR Sender Reports
TCP Transmission Control Protocol
UA User Agent
UAC User Agent Client
UAS User Agent Server
UDP User Datagram Protocol – Protocolo de Datagrama do Usuário
UFRJ Universidade Federal do Rio de Janeiro
URI Universal Resource Identifier
URL Universal Resource Location
USC University of Southern Califórnia
VoFR Voice over Frame Relay
VoIP Voice over IP – Voz Sobre IP
VOMIT Voice Over Misconfigured Internet Telephones
WAN Wide Área Network
WFQ Weighted Fair Queueing
WRED Weighted Random Early Detection
14
REDES DE TRANSMISSÃO DE VOZ SOBRE IP
1970 – Dany Cohen começa os esforços para transportar áudio em redes de pacotes.
Este relata uma experiência de transmissão de voz em pacotes e em tempo real entre o
USC/ISI (University of Southern California/Information Sciences Institute) e o MIT’s Lincoln
Lab.
1981 – R. Cole propõe o Packet Video Protocol (PVP), um protocolo para o transporte
de vídeo em pacotes.
1992 - A Internet Engineering Task Force (IETF) realiza a primeira audiocast através
da Multicast Backbone on the Internet (MBone), a partir de San Diego.
15
1992 - após a primeira difusão de áudio, é feita pelo IETF, a partir de Boston através
da Mbone a primeira difusão de áudio e vídeo simultaneamente, utilizando as aplicações vat e
DVC respectivamente.
1995 - Steve McCanne e Van Jacobson desenvolveram a vic, uma aplicação que utiliza
o codificador normalizado H.261.
1995 - Surgiu outra aplicação, o CU-SeeMe, que foi dos primeiros protótipos de
videoconferência disponíveis na Internet. Inicialmente para MacOs e depois para Windows,
este protótipo utilizava um processo responsável pela distribuição de sinais pelos vários
intervenientes da conferência.
1996 - É prestado pela Delta Three o primeiro serviço comercial de Telefonia sobre
IP, seguindo-se a Net2phone, iBasis e Telematrix.
1999 – O protocolo SIP foi aceite como norma, pelo IETF como um protocolo de
sinalização para a criação, modificação e finalização de sessões com um ou mais
participantes.
16
LIGAÇÃO TELEFÔNICA ATRAVÉS DE REDES IP
Para que ocorra a comunicação multimídia entre dois ou mais participantes será
necessário haver sinalização entre eles, de modo que o chamador avise o chamado sobre sua
intenção. Esta sinalização tem como função a criação, controle e a finalização de chamadas.
Este novo serviço permite a troca de pacotes entre dois ou mais participantes através
da rede, utilizando protocolos da Internet e o intercâmbio da informação necessária para
controlar essa troca. No chamador a voz é capturada por um microfone e o vídeo é obtido por
uma câmara de vídeo sendo estes sinais geralmente digitalizados. Em seguida são codificados
e encapsulados em pacotes que são enviados através da rede com a utilização de protocolos de
Internet. Do outro lado, esses pacotes são desencapsulados e decodificados, o sinal digital é
convertido em sinal analógico e reproduzido em alto-falantes enquanto o vídeo é enviado para
a tela.
17
- Centralização da gestão destas infra-estruturas: com a integração de todas essas
redes em uma única rede, fica mais fácil para o responsável pela infra-estrutura prover uma
melhor qualidade de serviço, gerir a rede, administrar a rede e etc. A rede agora não ficará
mais espalhada por vários fios e equipamentos, sua integração permitirá sua centralização, o
que traz redução do uso de equipamentos e etc.
Como visto na figura acima a rede VoIP é composta por vários dispositivos:
18
- Terminais: permitem executar os serviços como, por exemplo fazer e receber
chamadas. Os terminais são dispositivos inteligentes, pois possuem total controle sobre o
estado da chamada, ao contrário dos telefones tradicionais que apenas reagem a comandos de
uma central controladora, refletindo uma arquitetura mestre-escravo.
- Gateways: permitem interligar duas redes que não usem a mesma tecnologia de
comunicação.
Para se obter os serviços de voz sobre ip são necessários pelo menos cinco
componentes. Estes componentes constituem o núcleo do serviço das redes VoIP e são
necessários para a sua implementação.
19
- Descoberta de recursos: descobre os servidores (gateways, terminais e servidores)
presentes na rede. Para realizar esta operação utiliza-se por exemplo o protocolo DNS
(Domain Name System).
Embora seja uma grande tecnologia, a VoIP ainda apresenta alguns problemas, que
devem ser sanados para que ela se consolide de vez. Entre esses problemas estão:
- Custo elevado: Mesmo com uma incrível redução de custos sofrida pelo produtos
VoIP, estes ainda não conseguem apresentar um custo compatível com os oferecidos pelos
produtos de telefonia tradicionais.
PROTOCOLOS DE SINALIZAÇÃO
20
Protocolos “mestre/escravo” como, por exemplo, o MGCP e o Megaco e os Protocolos “peer-
to-peer” como, por exemplo, o H.323 e o SIP.
Os protocolos “mestre/escravo” são usados quando os componentes inteligentes
controlam os componentes sem inteligência como, por exemplo, a sinalização entre um
SoftSwitch e um Media Gateway. Já os protocolos “peer-to-peer” são utilizados em interações
entre elementos inteligentes como, por exemplo, a sinalização entre um SoftSwitch e
telefones IP. [Voip_revolução_Telefonia.pdf]
H.323
Introdução Histórica
21
protocolo somente se deslanchou pelo mercado a partir da criação do fórum Voice over IP
(VoIP), quem mais tarde viria a fazer parte do IMTC (International Multimedia
Teleconferencing Consortium), cuja função seria, estabelecer padrões para os produtos VoIP.
O H.323 teve seu trabalho iniciado em maio de 1995 com o seguinte título ‘sistemas e
equipamentos de telefone visual para redes locais que fornecem uma qualidade de serviço não
garantida’, e somente teve sua primeira versão aprovada em 1996, tornando-se H.323v1, que
apesar de todas as forças empregadas, não foi bem vinda, devido ao seu baixo desempenho e
problemas de compatibilidade entre os diversos fabricantes. Porém os esforços não pararam
por ai, em janeiro de 1998 a segunda versão da recomendação H.323 foi aprovada, com seu
título alterado para ‘sistemas de comunicação multimídia com base em pacotes’ e acrescida de
três anexos: mensagens H.245 usadas pelos pontos finais H.323; procedimentos para codecs
de vídeo em camadas; H.323 sobre ATM. Com isso a segunda versão melhorou o tempo de
estabelecimento da chamada e eliminou a necessidade de extensões proprietárias e novos
protocolos. Contudo, queria-se chegar além, por isso em setembro de 1999 a terceira versão
foi aprovada, contendo três novos anexos: comunicação entre domínios administrativos
diversos com o H.225; um novo mecanismo de sinalização de chamadas com base no
protocolo UDP; a especificação de um subconjunto do H.323 possível de ser implementado
em dispositivos de pequeno porte. A evolução não parou por ai, pois em novembro de 2000 a
quarta versão foi aprovada, trazendo melhorias em várias áreas importantes: confiabilidade,
escalabilidade e flexibilidade. Sendo adicionadas novas características nas MCU (Gateways e
Multipoint Control Unit), isso para deixar a recomendação conforme as exigências do
mercado crescente da época. Finalmente chegamos a versão atual da recomendação H.323, a
quinta versão, H.323v5, aprovada em julho de 2003. Esta versão se destaca pelo seu ar de
estabilidade, pelo fato de conter somente adições modestas, alguns campos e somente um
novo tipo de mensagem. No entanto o H.323 ainda não está totalmente concluído, sabendo-se
que estudos para a aprovação da sexta versão estão acontecendo.
22
distintas, e podem pertencer a uma única rede ou várias redes independentemente de conter
uma ou várias infra-estruturas.
Terminal H.323: é um endpoint (ponto final), terminal, de uma rede. Provê uma
interface que permite ao usuário realizar a comunicação bidirecional em tempo real
(transferência de áudio, vídeo e/ou dados) com outro terminal H.323, gateway ou MCU. Um
terminal H.323 pode ser um hardware (telefone IP), ou um computador multimídia
23
(microfone, caixas de som e câmera) que esteja utilizando um softphone (software que simula
um telefone IP).
24
eficiência que o padrão Q.931 tem em estabelecer chamadas e o desejo do padrão H.225 se
tornar compatível com essas redes. As principais funções do padrão H.225.0 são:
25
Fig. 1.4: Troca de mensagens entre entidades H.323. [sIPtel]
H.235 (Security and Encryption for H-Series (H.323 and other H.245-based)
Multimedia Terminals – Segurança e criptografia para terminais multimídia da série H). É
uma recomendação que fornece os padrões para autenticação e segurança entre comunicações
ponto-a-ponto e multiponto. Esta recomendação é necessária para o estabelecimento de
serviços de segurança no padrão H.323, como por exemplo: serviços de privacidade,
autenticação, não repudiação e integridade. Para que isto aconteça o H.235 implementa
técnicas de criptografia.
26
Fig. 1.5: Arquitetura Protocolar do H.323 [sIPtel]
São várias as vantagens que podemos descrever sobre a utilização do padrão H.323
para aplicações multimídia, entre as quais citaremos:
27
Interoperabilidade de equipamentos e aplicações: O H.323 permite que haja
comunicação (interoperabilidade) entre equipamentos e aplicações de diferentes fornecedores.
Utilização de padrões de mídia: O H.323 faz uso de codecs de áudio e vídeo comuns,
isso devido a negociação dos codificadores em uma chamada, para que os integrantes utilizem
os mesmos codecs.
Flexibilidade nas aplicações clientes: É a capacidade que o H.323 tem de comunicar
um cliente que apresenta apenas suporte a áudio, com outro cliente que tenha suporte a áudio,
vídeo e/ou dados.
Chamada H.323
Ilustraremos aqui uma chamada H.323 entre dois usuários conectados a dois terminais
IP distintos, desconsiderando assim aspectos como segurança e tarifação.
28
Para se estabelecer uma chamada H.323 fim a fim requer-se duas conexões TCP entre
os dois terminais participantes, uma conexão que servirá para se estabelecer a chamada e
outra que tem como objetivo o controle da chamada e a troca de informações sobre
capacidades.
O primeiro passo significa ocorrer a primeira conexão TCP, ou seja, significa dar
inicio a chamada. Esta primeira conexão é realizada da seguinte forma:
- Primeiro o terminal chamador, estabelece uma conexão TCP com o terminal
chamado através de uma porta conhecida. Nesta tentativa, a conexão transporta as mensagens
de estabelecimento de chamada definidas no H.225.0. Esta conexão é conhecida como ‘canal
de sinalização de chamadas’.
- Após estabelecer a chamada, o terminal chamado espera por outra conexão TCP em
uma porta dinâmica; o terminal chamado comunica o número dessa porta na mensagem de
aceitação de chamada.
- Somente agora o terminal chamador então estabelece a segunda conexão TCP com o
terminal chamado através da porta dinâmica. Esta segunda conexão transporta as mensagens
de controle de chamada definidas no H.245.
- Depois de estabelecida a segunda conexão, a primeira conexão deixa de ser
necessária e pode ser finaliza por qualquer um dos participantes. [Telefonia IP]
29
10.2.3.4
Na figura César, tendo aberto a sessão no terminal A, deseja ligar para Bill (IP
10.2.3.4). Primeiramente o terminal A envia ao terminal B uma mensagem Setup na porta
conhecida do canal de sinalização de chamadas (porta 1720, como é definido pelo H.225.0,
Apêndice D) usando uma conexão TCP.
Após o recebimento da mensagem Setup por Bill, este envia a César as mensagens de
Release Complete, Alerting, Connect ou Call Proceeding. Uma delas deve ser recebida pelo
terminal de César antes que o temporizador de Setup expire (em geral, após quatro segundos).
Após Alerting ter sido enviada, o usuário tem até três minutos para aceitar ou recusar a
chamada. [Telefonia IP]
30
Nesta fase determina-se os papéis de quem será mestre e quem será escravo, isto é
necessário quando a mesma função ou ação pode ser executada por dois terminais durante
uma conversação e é necessário escolher apenas um (p. ex.: escolha do MC ativo, abertura de
canais bidirecionais). No H.235, o mestre é responsável por distribuir as chaves de
criptografia dos canais de mídia para os demais terminais.
A determinação de quem será mestre é feita pela troca de mensagens
masterSlaveDetermination que contém um valor terminalType refletindo as capacidades do
terminal e um número aleatório.
31
RTCP. Enquanto isso, B também pode ter aberto um canal lógico com A seguindo o mesmo
procedimento. [Telefonia IP]
Agora César e Bill podem conversar e ver um ao outro caso eles também tenham
aberto canais lógicos para vídeo. Os dados da mídia são enviados em pacotes RTP. Os pacotes
RTCP SR enviados por A são usados para permitir que B sincronize múltiplos fluxos RTP e
também podem ser usados por B para estimar a taxa esperada de dados RTP e para medir a
distância ao transmissor. Os pacotes RTCP RR enviados por B permitem que A meça a
qualidade de serviço da rede entre A e B: as mensagens RTCP contêm a fração de pacotes que
foram perdidos desde o último RR, a perda cumulativa de pacotes, o jitter entre chegadas e o
mais alto número de seqüência recebido. Os terminais H.323 devem responder ao aumento da
perda de pacotes reduzindo a taxa de envio dos mesmos.
Observe que o H.323 manda usar apenas um par de portas RTP/RTCP para cada
sessão. Podem haver três sessões principais entre os terminais H.323: a sessão de áudio, a
sessão de vídeo e a sessão de dados, mas nada no padrão impede que um terminal abra mais
sessões. Para cada sessão deve haver apenas uma porta RTCP usada, isto é, se houver
simultaneamente um fluxo RTP de A para B e de B para A, o transmissor RTCP e os RRs
para ambos os fluxos vão usar a mesma porta UDP. [Telefonia IP]
32
Fig. 1.10: Conversação ativa H.323. [UFRJ]
Caso seja César quem vai finalizar a chamada, o terminal A deve enviar uma
mensagem H.245 CloseLogicalChannel para cada canal lógico que A abriu. B acusa o
recebimento dessas chamadas com uma mensagem CloseLogicalChannelAck. Depois de
todos os canais lógicos terem sido fechados, A envia uma mensagem H.245
endSessionCommand, espera até que tenha recebido a mesma mensagem de B e fecha o canal
de controle H.245. Finalmente, A e B devem enviar uma mensagem H.225 ReleaseComplete
através do canal de sinalização de chamadas se ele ainda estiver aberto; esse canal é então
fechado, assim como a chamada.
SIP
Introdução
33
meados dos anos 90 na Universidade de Columbia e depois foi normalizada pelo grupo de
trabalho MMUSIC ( Multiparty Multimedia Session Control) do IETF (Internet Engineering
Task Force). Foi definida inicialmente pela RFC (Request For Comment) 2543 em março de
1999, e logo após teve alguns aspectos melhorados que foram definidos na RFC 3261 em
2002.
Características
Arquitetura do SIP
User Agent SIP (UA SIP - Agente do Usuário SIP): São os terminais finais de
comunicação (terminal SIP ou softphone). Este agente atua como um cliente/servidor, sendo a
parte cliente conhecida como UAC – User Agent Client, uma entidade lógica que realiza a
inicialização da sessão através do envio de pedido(s) para o servidor. O servidor, também uma
entidade lógica conhecida como UAS – User Agent Server, realiza o envio de respostas aos
pedidos recebidos do cliente, dessa forma o agente consegue ter controle sobre a sessão.
34
Servidor Proxy SIP: este servidor é subdividido em outros componentes, que são
explicados abaixo:
Proxy Server - Servidor Proxy: é um servidor intermediário, que pode atuar tanto
como cliente quanto como servidor. Tem a função de estabelecer chamadas entre os
integrantes da chamada, encaminhando os pedidos recebidos até o destino, sendo assim pode
passar ou não por outros servidores proxy. Pode ser utilizado para contabilidade, pois
armazena informações. Opera através das comunicações stateful (circuito) ou stateless (TCP).
35
Mensagens SIP
Mensagens SIP são codificadas usando a sintaxe de mensagem http/1.1 (RFC 2068). O
conjunto de caracteres é o ISO 10646 com codificação UTF-8 (RFC 2279).
Há dois tipos de mensagens SIP: pedidos (requests) e repostas (responses). [Telefonia
IP, p. 125]
Os pedidos são feitos através dos clientes e as repostas são retornadas através do(s)
servidor(es). A mensagem SIP é constituída da linha de ínicio, cabeçalhos, linha em branco e
o corpo da mensagem.
Linha de início
aaa=bbb
Cabeçalhos
ccc=ddd
eee=fff
Linha em branco
A linha de início contém a versão do SIP, SP (single space – espaço simples) que é um
formato comum compartilhado entre as mensagens de pedidos e repostas, Código de Status,
Frase-Motivo, CRLF utilizado para resposta.
Os cabeçalhos transportam informações úteis as entidades SIP, para que estas possam
gerar mensagens de pedidos ou respostas. A parte “cabeçalho” da mensagem SIP é dividida
em três partes: cabeçalho de geral, cabeçalho de pedido e cabeçalho de entidade.
A linha em branco é sempre utilizada logo após os cabeçalhos para indicar o fim dos
mesmos.
36
O corpo da mensagem é opcional. Caso ele exista irá descrever a sessão através do
protocolo SDP (Session Description Protocol – Protocolo para descrição de sessão).
O cabeçalho geral contém campos que são comuns para as mensagens de pedidos e
respostas. Estes campos são:
Cseq: contém o número de seqüência que é incrementado a cada novo pedido. Este
número permite identificar e ordenar as mensagens dentro das transações.
Via: indica a rota que a requisição deverá seguir, contém o tipo de transporte e o
endereço de destino.
37
ACK: um pedido ACK é enviado pelo cliente para confirmar que ele recebeu uma
resposta final do servidor, como 200 OK; [Telefonia IP, p. 126]
BYE: um pedido BYE é enviado pelo agente de origem ou pelo agente de destino para
interromper uma chamada; [Telefonia IP, p. 128]
Cancel: um pedido Cancel pode ser enviado para interromper um pedido que foi
enviado anteriormente enquanto o servidor ainda não tiver enviado uma resposta final;
[Telefonia IP, p. 128]
Invite: o pedido Invite é usado para iniciar uma chamada; [Telefonia IP, p. 128]
Options: um cliente envia um pedido Option ao servidor para saber suas capacidades.
O servidor envia de volta uma lista com os métodos que ele suporta. Em alguns casos, ele
também pode responder com o conjunto de capacidades do usuário mencionado na URL
(Uniform Resource Locator – Localizador Uniforme de Recursos) e como ele teria respondido
a um convite; [Telefonia IP, p. 128]
Register: clientes podem registrar sua localização atual (um ou mais endereços) com o
pedido Register. Um servidor SIP capaz de aceitar uma mensagem Register é chamado de
registrar. [Telefonia IP, p. 128]
Expires: para uma mensagem Register, indica por quanto tempo o registro será válido.
Para uma mensagem Invite, isso pode ser usado para limitar a duração de buscas; [Telefonia
IP, p. 129]
38
Priority: os valores são os do RFC 2076, mais ‘emergency’; [Telefonia IP, p. 129]
Subject: é um texto livre que deveria fornecer alguma informação sobre a natureza da
chamada. [Telefonia IP, p. 129]
Linha de início
Call-ID; 187602141351@warchester.bell-telephone.com
From: <sip:a.g.bell@bell-telephone.com>
TO: T.A. Watson <sip:watson@bell-telephone.com>
Call-ID: 187602141351@warchester.bell-telephone.com
Cabeçalho
Cseq: 1 INVITE de pedido
Cabeçalho
da entidade
Content-Type: application/sdp
Content-Length: 885
Linha em branco
<CR LF>
39
Mensagens de Respostas (Responses) SIP
As respostas SIP são geradas no(s) servidor(es) para atender a uma mensagem pedido
que recebeu anteriormente. As respostas SIP seguem um padrão de códigos de status:
100-199: Informação Provisória;
200-199: Sucesso;
300-399: Redirecionamento;
400-499: Erro no cliente;
500-599: Erro no servidor;
600-699: Falha global;
40
414 URL do pedido muito grande
415 Tipo de mídia não suportado
420 Extensão inválida
480 Temporariamente não disponível
481 Transação ou leg de chamada não existe
482 Laço (loop) detectado
483 Excesso de segmentos (hops)
484 Endereço incompleto
485 Ambíguo
5xx Erro de servidor
500 Erro interno no servidor
501 Não implementado
502 Gateway inválido
503 Serviço não disponível
504 Tempo esgotado no gateway
505 Versão SIP não suportada
6xx Falha global
600 Ocupados em todos os lugares
603 Declínio
604 Não existe em lugar nenhum
606 Não aceitável
Tabela 1.1: As seis categorias de códigos de status. [Telefonia IP, p. 130]
41
SIP/2.0 302 Moved temporarily Linha de status
Call-ID: 27182@caller.com
Location: sip:bob@anywhere.com
Expires: Wed, 29 jul 1998 9:00:00 GMT
Cseq: 1 INVITE
Linha em branco
Dados da resposta
(SDP limpo, SDP
criptografado, text/plain
ou text/html)
Chamadas SIP
Para que se inicie uma chamada SIP, o iniciador da chamada (cliente SIP) deverá
conhecer o endereço SIP da pessoa a ser chamada (servidor SIP).
São vários os tipos de endereços SIP. O cliente/servidor SIP é identificado através do
URI (Universal Resource Identifier – Identificador Universal de Recursos) definido na RFC
3261 de 2002. O URI identifica o utilizador através das seguintes formas:
sip:utilizador@dominio, sip:utilizador@host, sip:utilizador@IP-address ou sip:numero-
telefone@gateway.
42
Sabendo-se o URI da pessoa a ser chamada, o cliente deverá então abrir uma conexão
entre ele próprio e o destino, este estabelecimento de chamada se da inicialmente através do
envio de um INVITE para o destinatário, neste ponto do processo após o envio do INVITE, o
terminal chamado recebe o invite, ambos trocam informações (mídia, endereço de destino,
porta e etc) sobre como a sessão será realizada, o terminal chamado aceita a conexão, o
terminal chamador confirma o aceite e finalmente ambos estabelecem a conexão.
Envio do INVITE
Resposta OK e
informações sobre mídia,
porta e etc Mensagem ACK
Troca de
informações
A finalização de uma chamada SIP pode ser realizada por qualquer umas das partes
envolvidas através do envio de um pedido BYE. Caso a conexão seja ponto-a-ponto, apenas o
que irá mudar em relação a finalização da chamada ser realizada pelo cliente ou pelo servidor
será a ordem dos campos From e To.
43
A B
Troca de informações
SIP/2.0 200 OK
Via: SIP/2.0/UDP 192.168.7.2:3456
Call-ID: a2e3a@192.168.7.1
From: sip: b@192.168.7.2
To: sip: a@192.168.7.1
Cseq 2 BYE
A B
INVITE
200 OK
ACK
Troca de informações
44
No caso da figura acima as alterações foram aceitas com sucesso pelo utilizador B,
isso pode ser visto através do envio por parte de B da mensagem ’200 OK’ após o
recebimento do invite enviado por A. Porém caso B rejeita-se a troca de parâmetros proposta
por A, ambos continuariam a utilizar os parâmetros antigos até o fim da chamada ou até uma
nova tentativa de troca de parâmetros que viesse a ter sucesso. É importante saber que ambas
as partes envolvidas na chamada, A e B, podem propor a qualquer momento da chamada uma
troca de parâmetros.
A rejeição de chamada é muito funcional pois, por vários motivos a pessoa chamada
pode não querer atender a ligação como também pode não poder atender no momento.
A B
INVITE
45
backbones com capacidade para multicast, não apenas para os fluxos de mídia como também
para as mensagens de sinalização.
O SIP ainda toma vantagens no uso de URLs para identificação dos usuários pois ele
mesmo especifica o protocolo na URL (Universal Resource Location), ao passo que o H.323
sempre considera que o protocolo de sinalização que está sendo usado seja ele mesmo.
Nas inúmeras vantagens do protocolo SIP sobre o H.323 ainda podemos encontrar o
campo de cabeçalho ‘Priority’ que não existe no H.323.
Mas não é somente o SIP que tem vantagens, também podemos encontrar muitas
vantagens ao se utilizar o protocolo H.323 como, por exemplo, o uso de canais lógicos pelo
protocolo H.323. O H.323 faz uma distinção clara entre os tipos de mídia que podem ser
enviados ou recebidos e as combinações que podem ser válidas por um lado (capacidades) e
os tipos de mídia que estão ativos e, de fato, enviados para a rede (canais lógicos) por outro
lado.
O cliente H.323 também toma vantagem ao precisar abrir um soquete apenas quando
ele recebe uma mensagem OpenLogicalChannel (se não estiver no modo FastStart).
O H.323 sozinho ou em combinação com o H.332, possui recursos poderosos para
controle de conferências.
[Telefonia IP, p. 153 a 157]
PROTOCOLO SDP
SDP é um protocolo utilizado pelo SIP para descrever sessões. O SDP (Session
Description Protocol – Protocolo de Descrição de Sessão) está definido na RFC 2237 de 1998
e também é um produto do grupo de trabalho MMUSIC. [Telefonia IP, p. 131]
Este protocolo define para um utilizador informações como tipos de áudio e vídeo que
ele suporta, porta onde deverá receber os dados, nome da sessão e propósito, duração da
sessão, informação de contato, largura de banda e etc., estas informações são transportadas
juntamente com a mensagem SIP.
A real finalidade do protocolo SDP é atuar como um negociador entre as partes
envolvidas na chamada já que este carrega consigo todas as informações que são úteis para o
estabelecimento da chamada. Visto que nem sempre as partes se entendem sobre, por
exemplo, que tipo de áudio e vídeo irão utilizar, o SDP de ambas as partes ficam fornecendo
46
informações sobre os áudios e vídeos, entre outras informações, que suportam até que ambos
entrem em um consenso.
Fig. 1.19: Exemplo da utilização do SDP numa mensagem SIP. [sIPtel, p. 43]
São protocolos que atuam como uma interface entre um controlador de gateway de
mídia e um gateway de mídia. Controlador de gateway de mídia é um agente de chamada e o
gateway de mídia, pode ser qualquer gateway VoIP.
Citaremos agora os protocolos entre gateways de mídia e controladores de mídia mais
atuais.
MGCP
47
usado para controlar as conexões (chamadas) nos GW’s presentes nos sistemas VoIP. O
MGCP implementa uma interface de controle usando um conjunto de transações do tipo
comando – resposta que criam, controlam e auditam as conexões (chamadas) nos GW’s. Estas
mensagens usam como suporte os pacotes UDP da rede IP, e são trocadas entre os GC’s e
GW’s para o estabelecimento, acompanhamento e finalização de chamadas. [Teleco]
49
os circuitos e os pacotes, e pelo menos um “gateway de sinalização! Onde este é conectado
com uma rede controlada por SS7.
Comandos MGCP
MEGACO
50
Comandos MEGACO
51
Tabela 1.3: comparação entre MGCP e MEGACO. [Unisal]
PROTOCOLO RTP
52
FUNCIONALIDADES DO RTP
Seqüência: é o número que ordena os pacotes, usado para verificação de perdas e/ou
reordenamento de pacotes;
PACOTE RTP
53
Fig. 2.1: Pacote RTP [<http://www.breitband-isdn.ch/technic/ip/rtp.gif> acesso em:
26/05/2005]
V: Versão do RTP;
M: O H.225.0 informa que, para codificações de áudio que suportam supressão de silêncio,
ele deve ser colocado em 1 no primeiro pacote de cada período de fala subseqüente a um
período de silêncio.
Data: dados.
[Telefonia IP, p.12 e 13]
SESSÃO RTP
Uma sessão RTP é uma associação de participantes que se comunicam no RTP. Cada
participante usa dois endereços de transporte para cada sessão: um para o fluxo RTP e um
para as mensagens RTCP. Quando uma transmissão multicast é usada, todos os participantes
usam o mesmo par de endereços de transporte multicast. Fluxos de dados na mesma sessão
devem compartilhar um canal RTCP comum. [Telefonia IP, p. 12]
Se em uma conferência estiver sendo transmitido áudio e vídeo, estes serão
transmitidos em sessões RTP distintas. Nestas sessões os pacotes RTCP de um emissor terão
o mesmo identificador, e as sessões RTP podem associar-se. O objetivo da divisão é permitir
ao participante escolher as mídias que quer receber de acordo com seus recursos de rede e
processamento local. [RTP_RTCP.pdf, p.12]
Manter fluxos de mídias diferentes numa mesma sessão RTP traz uma série de
problemas:
- Se o tipo de payload for mudado durante a sessão, não haverá como saber qual dos
valores antigos foi alterado;
- O identificador SSRC é designado para descrever apenas um escopo de temporização
e de número de seqüência;
- RTCP sender e receiver reports podem indicar apenas uma fonte SSRC;
- Um RTP mixer não saberia combinar mídias incompatíveis;
- Não poderia haver usos e implementações específicas de cada meio.
55
Embora a divisão de sessões não seja recomendada, a sincronização de áudio e vídeo
pode ser obtida através das informações de tempo carregadas nos pacotes RTCP.
[RTP_RTCP.pdf, p.13]
QUALIDADE DE SERVIÇO
56
QoS nos dias de hoje tem o grande objetivo de priorizar o tráfego interativo sensível a
retardo, em detrimento ao tráfego referente à transferência de arquivos, que não é sensível a
retardo.
O que se pode observar na figura acima é que a qualidade de serviço deverá ser tratada
independentemente em cada umas das partes que passam/repassam o pacote de dados
incluindo sua origem e destino.
CONGESTIONAMENTO
Fifo
57
First In First Out – primeiro a entrar, primeiro a sair. Também chamado de primeiro a
chegar, primeiro atendido (First Come, First Served – FCFS). Simplesmente emite os pacotes
na ordem em que foram recebidos.
Um exemplo da utilização deste método são nas conexões seriais dos roteadores.
Fair Queueing
58
O algoritmo WFQ (Weighted Fair Queueing – Enfileiramento Justo Balanceado) é
uma implementação Cisco na qual é possível ponderar determinados tipos de fluxo. O
algoritmo escalona o tráfego prioritário na frente da fila, reduzindo o tempo de resposta. Ao
mesmo tempo, compartilha o restante da banda com os outros tipos de fluxo de uma forma
justa. O WFQ é dinâmico e se adapta automaticamente às mudanças das 2Mbps.
[VoIP_Ramon.pdf, p. 23]
Por apresentar um desempenho superior à fila FIFO, a fila WFQ já vem pré-
configurada nas interfaces seriais da maioria dos roteadores. [VoIP_Ramon.pdf, p. 23]
59
Como pode ser verificado na figura, a classificação dos fluxos de dados pode ser
realizada de diversas formas: por endereço fonte ou destino, por protocolo, pelo campo
preedência IP, pelo par porta/socket, etc. A quantidade de filas é configurável e a ponderação
pode ser estabelecida por preedência IP, ou em conjunto com outros protocolos de QoS como
o RSVP, ou ainda em tráfego Frame Relay, como VoFR (Voice over Frame Relay) por
exemplo, através dos parâmetros FECN (Forward Explicit Congestion Notification), BECN
(Backward Explicit Congestion Notification) e DE (Discard Eligible). [VoIP_Ramon.pdf,
p.23]
Priority Queueing
A utilização deste método requer um cuidado especial, pois como visto acima os
pacotes que tem prioridade, tem preferência absoluta, isto pode causar atrasos e aumento de
jitter nas aplicações com menos prioridade além de poder acontecer dos pacotes nunca serem
enviados.
60
Fig. 3.7: Filas Priority Queuening [VoIP_Ramon.pdf, p.24]
Custom Queueing
61
Fig. 3.8: Operação do enfileiramento Custom Queueing [VoIP_Ramon.pdf, p.25]
O algoritmo CQ controla o tráfego alocando uma determinada parte da fila para cada
fluxo classificado. As filas são ordenadas ciclicamente num esquema round-robin, onde, para
cada fila, é enviado a quantidade de pacotes referente à parte da banda alocada antes de passar
para a fila seguinte. Associado a cada fila, há um contador configurável que estabelece
quantos bytes devem ser enviados antes da passar para a próxima fila. [VoIP_Ramon.pdf,
p.25]
Até 17 filas podem ser definidas, mas a fila zero é reservada para mensagens do
sistemas como sinalização, keep-alive, etc. A classificação CQ pode ser feita por endereço
62
fonte ou destino, por protocolo (IP, IPX, Appletalk, SNA, DecNet, etc), por precedência IP,
por interface de entrada e ainda por listas de acesso.
63
Detecção WRED (Weighted Random Early Detection – Detecção Randômica
Antecipada Balanceada) é uma implementação Cisco que adiciona às funcionalidades RED a
classificação de pacotes por precedência IP.
PROTOCOLO RTCP
O RTCP (Real Time Control Protocol – Protocolo de controle em Tempo Real) [RFC
1889, 1996] foi criado pelo IETF para auxiliar o RTP. É usado para transmitir aos
participantes, de tempos em tempos, pacotes de controle relativos a uma sessão RTP em
particular. Esses pacotes de controle podem incluir informações a respeito dos participantes e
informações sobre o mapeamento dos participantes em suas fontes de fluxo individuais.
[Telefonia IP, p. 14]
Funcionalidade do RTCP
64
Retorno de informações de Qualidade de Serviço (QoS): Receptores podem retornar
informações sobre atraso, jitter, e perdas, que pode ser usadas para adaptar a aplicação, como
por exemplo alterar o vocoder que está sendo utilizado.
Sincronismo Intermídia: Necessário para sinronizar diferentes fluxos, como áudio e
vídeo, caso sua origem seja de servidores diferentes.
Pacote RTCP
65
0 1 2 3 4 5 6 7 Octet
Packet type 2
Length 3-4
RTCP structure
P – padding: indica que o payload sofreu enchimento para fins de alinhamento. Deve-
se lembrar que o último octeto dos dados de preenchimento deve conter o número de octetos
usados para preenchimento. Apenas o ultimo pacote do pacote composto RTCP prescisa
receber preenchimento, uma vez que o pacote composto é “encriptado”como um todo, caso
necessário;
Packet Type – Tipo de pacote: serve para identificar qual é o pacote RTCP em
questão.
66
compressão de dados, para que assim possa-se trafegar mais dados na banda disponível ou ter
uma maior banda para trafegar os dados desejados, também usam técnicas de fragmentação e
interleaving para se obter um sinal de voz com maior qualidade.
O protocolo CRTP (Compressed Real-Time Transport Protocol) comprime o
cabeçalho do pacote RTP, que transporta o tráfego de voz.
40 bytes
A partir da figura acima podemos ver para se transportar todos esses dados usa-se
muita largura de banda, por isso o uso do protocolo CRTP, este protocolo comprime todo o
cabeçalho de 40 para 2 Bytes.
Seu funcionamento é muito simples, o CRTP primeiramente classifica o tráfego total
que esta sendo enviado, em segundo lugar separa o que for RTP para que ocorra a
compressão. A parte RTP passa pelo compressor e novamente é anexado aos dados para
serem transmitidos.
67
No caso do pacote enviado pelo telefone IP, este pacote foi primeiro setado no
telefone IP com sua precedência, em segundo o pacote chega ao switch, que pode ser
compatível ou não com o protocolo 802.1p, caso seja compatível, o switch classificará o
quadro ethernet, priorizando os de maior classe, caso não seja compatível, o switch ignora os
rótulos e o pacote não sofrerá nenhum tratamento especial, em terceiro o pacote chega ao
roteador que classifica o quadro ethernet e mapeia o nível de prioridade 802.1p na
precedência IP correspondente, por ultimo, quando o pacote já alcançou a rede de longa
distancia, este terá um tratamento de acordo com as várias técnicas de QoS já apresentadas.
PROTOCOLO RSVP
68
Embora o protocolo RSVP se favoreça dos protocolos de roteamento para determinar a
rota a ser seguida pelos pacotes da origem até o destino, ele não é um protocolo de
roteamento. Através dessas técnicas utilizadas pelo RSVP ele ë capaz de operar tanto em
modo unicast como em modo multicast, apenas devemos ressaltar que o RSVP faz a reserva
de recursos em um único sentido (simplex), tratando assim distintamente receptores e
transmissores, operando juntamente com a camada de transporte.
4 8 16 32 bits
Message type (Tipo de mensagem): identifica o tipo de mensagem RSVP que está
sendo enviada.
69
RSVP length: comprimento total da mensagem RSVP em bytes, incluindo o cabeçalho
e os objetos que seguem.
Mensagens RSVP
70
mensagem RESV). Se a requisição for aceita, o roteador envia a mensagem RESV ao
próximo roteador a upstream.
- Quando o último roteador (mais próximo da fonte) recebe a mensagem RESV e
aceita a requisição, ele envia uma mensagem de confirmação ao receptor.
- O RSVP opera com o conceito de soft state, o que significa que o transmissor e o
receptor devem enviar periodicamente mensagens de PATH e RESV para revalidar (ou
atualizar) as reservas feitas. Esta característica permite reação dinâmica a alterações ocorridas
na fonte do fluxo, nos parâmetros de QoS estabelecidos pelo receptor, ou na rota.
[http://www.rnp.br/newsgen/0005/rsvp.html]
Ainda hoje existem pessoas defendendo que os usuários preferem trocar qualidade por
preço, no entanto existem outras pessoas que defendem que sem uma qualidade mínima este
serviço de voz sobre ip não irá se consolidar.
São vários os obstáculos percorridos para que se possa garantir qualidade de serviço
em redes IP:
Atraso
É o tempo gasto por um pacote para ir da origem ao seu destino. Sobre voz, significa
dizer que é o tempo que a voz leva do momento que é pronunciada até o momento em que é
produzida.
Em redes não ponto a ponto o atraso implica no somatório dos atrasos inseridos pela
rede e pelos equipamentos.
71
Fig. 3.15: Transmissão e Recepção de pacotes. [Inatel, p. 11]
Este atraso é decorrente de vários aspectos como, por exemplo, qualidade do meio de
transmissão, algoritmos utilizados para codificação de voz e supressão de silêncio, estes
aspectos atingem diretamente a QoS.
Para o usuário este atraso se reflete da seguinte forma: o locutor irá perceber um
intervalo entre suas falas igual a duas vezes ao atraso. Este tempo recebe o nome de round-
trip, que corresponde a duas vezes o atraso.
72
Fig. 3.16: Atraso na formação de pacotes. [VoIP_Ramon.pdf, p.29]
73
Eco
Eco é um fenômeno físico que se realiza através da repetição dum som. É causado
devido ao atraso, se o atraso fim-a-fim for maior que 25 ms, deverá haver um mecanismo para
se cancelar o eco.
Por que 25 ms? Porque este é tempo que o ser humano suporta (confunde-se com o
som da própria voz) ouvir sua própria voz, sem que esta cause desconforto a ele.
Nas redes de telefonia tradicionais o eco ocorre devido a um decasamento de
impedância nas híbridas utilizadas para conversão dos quatro fios do nó de comutação para os
dois fios do cabo telefônico tradicional.
Sobreposição do Locutor
Jitter
74
Fig. 3.18: jitter [Inatel, p.12]
Este problema é tratado através da supressão de jitter, isto significa que é necessário
um armazenamento de pacotes por um tempo superior ao maior jitter observado, no entanto
essa resolução gera um novo atraso, o atraso de supressão de jitter.
Perda de Pacotes
A perda de pacotes significa que um pacote enviado não conseguiu atingir seu destino
e isto implica na perda de qualidade para a aplicação, sendo que esta qualidade tem seu limite
variado de aplicação para aplicação. Estas perdas são causadas pelo descarte de pacotes
ocasionado pelos congestionamentos freqüentes em redes ip, atrasos excessivos e erros na
tecnologia de transporte.
Umas das soluções seria a utilização de protocolos de transporte confiáveis como, por
exemplo, o TCP, no entanto os atrasos gerados pelo seu uso tornam-no inutilizável para este
tipo de aplicação. Portanto até o presente momento a perda de pacotes é inevitável, isto reflete
significativamente na QoS de VoIP.
Vários são os problemas percorridos pela QoS para se atingir um nível aceitável, e
através de várias técnicas podemos hoje dizer que sim, nós conseguimos chegar a um nível
aceitável em transmissões VoIP.
75
As técnicas utilizadas são as mais variadas possíveis, que vão desde prover qualidade
através de reserva de banda, minimização de atrasos de pacotes até eliminação de jitter de
atraso.
A seguir veremos algumas dessas técnicas.
Dejitter Buffer
Um dos vários problemas sofridos pela VoIP são as variações de atrasos (jitter), e para
minimizar ou até mesmo eliminar este problema, usamos uma técnica chamada dejitter buffer,
que significa utilizar buffers na recepção de informações.
Esta técnica armazena os pacotes recebidos por um certo tempo e adiciona ao pacote
um atraso antes de envia-lo ao receptor, desta forma o atraso total dos pacotes fica igual.
Na rede atual onde os pacotes de VoIP trafegam, cada tipo de informação recebe um
tratamento diferente dos nós da rede. A solução então seria, classificar os tipos de pacotes que
estão trafegando na rede.
A classificação por si só, somente proverá efeitos quando em conjunto com outras
técnicas como, por exemplo, políticas de priorização da transmissão, pois somente o tráfego
de pacotes classificados pelos roteadores e switchs não teria efeito algum, o rotedor/switch
apenas saberia que o que passou por ali era um pacote classificado como, por exemplo, pacote
de voz ou vídeo.
Com a adição de outras técnicas, por exemplo, política de priorização da transmissão,
o pacote ao chegar a um roteador/switch poderia ser rapidamente passado à frente ou
colocado em uma fila de espera.
Esta política poderia classificar os pacotes de diferentes formas: informação contida
no pacote, porta de destino, MAC, endereço fonte/destino, etc. e esta classificação pode ser
feita por dispositivos de borda ou pelos dispositivos de backbone da rede, preferencialmente
deve ser feita na rede LAN antes do pacote ser enviado a redde WAN. [cefetrio]
76
Enfileiramento, Priorização e Disciplina de Despacho
Sabe-se que uns dos grandes problemas enfrentados pelas redes IP hoje em dia são os
congestionamentos. Para minimizar este problema foram implantados nos roteadores buffers
que servem para armazenar temporariamente os pacotes que chegam até ele, estes pacotes
armazenados em buffer são colocados em forma de fila.
A idéia então da disciplina de despacho é organizar esta fila que é montada pelo
roteador, de forma que os pacotes ganhem prioridades uns em cima dos outros, conforme
informações que eles estão trafegando. Sendo assim os pacotes de voz teriam prioridade sobre
os pacotes de dados, o que levaria a minimizar os atrasos sofridos pelos pacotes de voz, já que
estes seriam rapidamente despachados pelo roteador.
Várias técnicas de disciplina de despacho são implementadas para se obter uma maior
qualidade de serviço em redes que trafegam voz sobre IP, algumas delas são:
Fragmentação
77
deste tempo, que resulta na diminuição do jitter de atraso na rede, o que vem a melhorar a
qualidade do sinal. [cefetrio]
Introdução
78
Ameaças
Hoje, ainda são mínimos os ataques documentados em cima de redes VoIP, talvez pela
ainda não familiarização dos “invasores” com os protocolos desta tecnologia.
No entanto já é sabido que em um curto espaço de tempo, esta realidade tomará rumos
diferentes, isto se deve a vários motivos, um deles é pelo valor das informações que trafegam
pelas redes VoIP, e que em mãos erradas poderão causar grandes prejuízos e lucros a diversas
pessoas.
É importante ressaltar que na convergência das redes de voz com as redes de dados
baseadas em TCP/ IP, houve também a convergência das vulnerabilidades inerentes as duas
tecnologias.
Ou seja, agora, um computador com telefone IP-compatível precisa ser protegido tanto
das ameaças relacionadas aos computadores quanto das ameaças relacionadas com a telefonia.
Por exemplo, um telefone IP instalado em uma estação de trabalho com o sistema operacional
Windows está suscetível às vulnerabilidades do Windows. [MSLAB, p. 3]
Nas Redes que trafegam voz sobre IP, a voz é transportada juntamente com as
informações da rede de dados, encapsulado em pacotes IP, e a captura destes pacotes em uma
rede IP através de técnicas de "Sniffing" é relativamente trivial. Hoje já podemos contar com
algumas ferramentas que facilitam este trabalho para o usuário, por exemplo, o VOMIT
(“Voice Over Misconfigured Internet Telephones”), que utiliza a ferramenta tcpdump do Unix
para capturar pacotes de uma conversa telefônica, que está trafegando na rede de dados e
consegue remontá-los e convertê-los em um formato comum de áudio (*.wav). Ou seja, trata-
se de uma espécie de "grampo telefônico" em plena rede de dados.
No entanto estas ferramentas estão começando a surgir agora na internet e ainda
encontram-se limitadas a alguns padrões existentes, por exemplo, o CODEC G.711 utilizado
pela Cisco. Devemos ressaltar que é questão de tempo para que ferramentas mais poderosas se
79
adentrem à internet, já que os mecanismos de transporte de voz, por enquanto, não utilizam
criptografia, deixando assim os pacotes vulneráveis à qualquer destas ferramentas existentes.
Várias outras técnicas que podem ser ou não mais complexas podem ser utilizadas
pelos atacantes para obtenção de acesso indevido às informações que trafegam pela infra-
estrutura onde se localiza a rede VoIP. Por exemplo, no ataque de “Caller Identity Spoofing”
(algo como “falsificação da identidade do usuário que iniciou a chamada”), o atacante induz
um usuário remoto a pensar que ele está conversando com alguma outra pessoa, ou seja, finge
ser alguém que não é para obter informações sigilosas.
Este tipo de ataque requer apenas que o atacante obtenha acesso físico à rede e consiga
instalar um telefone IP não autorizado. Outra técnica que pode ser utilizada é a de (“MAC
Spoofing”), o atacante deverá conseguir que seu telefone IP assuma a "identidade" de um
telefone IP válido da rede empresa.
Boas políticas aplicadas nas empresas podem ser uma boa solução quando se pretende
evitar estes tipos de ataques, a integridade da rede aumentará ainda mais se for possível
combinar as políticas com uma boa administração da rede, por exemplo, sempre obtendo
controle de pontos de rede ativos que não estão sendo utilizados.
O treinamento e a boa orientação dos usuários destes tipos de rede, culminarão na
dificuldade dos atacantes em se aplicar engenharia social, assim seria mais difícil de se
induzir alguém que o atacante é quem ele não é. [MSLAB, p. 4]
Código Malicioso
Como já vimos anteriormente, a tecnologia VoIP está presente nas redes convergentes,
ou seja, aquelas redes que trafegam dados e voz no mesmo meio físico. Portanto a tecnologia
VoIP também esta susceptível às vulnerabilidades da rede de dados.
Algumas das vulnerabilidades que também podem afetar as redes de voz, são os
conhecidos vírus, “Trojan Horses” e outros tipos de códigos maliciosos que podem vir a
infectar os sistemas de telefonia IP baseados em PCs, os “Gateways”e outros componentes
críticos da infra-estrutura. Sendo assim, podemos concluir que até mesmo “técnicas” que não
surgiram para afetar as redes VoIP, podem causar a paralisação deste serviço. [MSLAB, p. 5]
80
Fraude Financeira, Uso indevido de recursos corporativos
Uma das ameaças às redes VoIP é a ameaça de “Toll Fraud”. Esta ameaça consiste no
uso não autorizado dos serviços de telefonia IP ou métodos de fraude para iludir os
mecanismos de bilhetagem e cobrança das ligações realizadas.
Existem vários métodos para se aplicar esta técnica. Um deles pode ser o uso indevido
de um telefone IP para realização de chamadas que sejam contabilizadas como tendo sido
originadas pelo endereço do telefone IP de alguma outra pessoa, a qual seria então
responsável ate o momento pelos gastos.
Um método mais sofisticado envolveria a instalação de um “Voice Gateway” (ponto
de convergência entre a redes) falsificado pelo atacante, pois é neste Gateway que passam
todas as ligações. Caso o “Voice Gateway” principal não seja comprometido, o atacante
deverá tentar instalar na rede um segundo “Gateway” e tentar redirecionar para ele o tráfego
destinado ao “host” original. Desta forma, é possivel bloquear, desviar e até mesmo escutar
ligações. [MSLAB, p. 5]
Repúdio
Repúdio em relação à tecnologia VoIP tem a ver com a negação, por parte de um
usuário que utilizou os serviços de telefonia IP para fazer uma ligação, de que ele tenha
realmente feito tal ligação.
Isto só poderá ser comprovado com a implantação de algum mecanismo eficiente para
autenticação, do contrário, não será possível identificar os usuários dos serviços, nem
discriminar quem executou quais chamadas a partir de quais telefones IP.
Indisponibilidade de serviços
Devido à utilização da rede de dados para se transportar voz, esta também torna-se
vulnerável aos ataques não só destinados à ela como também aos destinados à rede TCP/IP.
Um exemplo ao qual ela torna-se vulnerável é ao ataque de DoS ( “Denial of Service”), os
81
quais causam a paralisação dos serviços em redes TCP/ IP, sendo assim esta paralisação
afetará “por tabela” os serviços de voz, fax e vídeo que dependam deste transporte.
São vários os ataques que podem causar negação se serviço em redes TCP/IP, entre
eles podemos citar o “TCP SYN Flood” e suas variações, e também a exploração de falhas
nas pilhas de protocolo dos sistemas operacionais, como no “Ping of Death”, “LAND”,
“Teardrop” e vários outros ataques que podem tornar os serviços do VoIP indisponíveis.
Nas redes VoIP, os equipamentos de PBX (“Private Branch Exchanges”) tradicionais
são substituídos por aplicações PBXs IP-compatíveis que são executadas, por exemplo, em
servidores Windows NT. Estas aplicações de “Call Management” são críticas para a infra-
estrutura de VoIP, e no entanto estão sujeitas aos ataques que exploram vulnerabilidades não
só das próprias aplicações como também do sistema operacional. [MSLAB, p. 5]
Meios de proteção
A seguir são apresentadas algumas práticas para a implantação de uma estrutura VoIP
segura.
As segmentações do tráfego de voz e dados podem ser feitas utilizando Switches. Esta
segmentação contribui para obtenção de uma melhor QoS além de facilitar a gerência da rede
de voz e simplificar sua manutenção. Ainda podemos com isso evitar que o segmento de voz
seja alvo de ataques de “eavesdropping” (captura não autorizada do tráfego de conversas
telefônicas que trafegam na rede encapsuladas em pacotes IP) realizados com o VOMIT e
outras ferramentas semelhantes.
Com a implementação da segmentação, vários outros ataques deixam de existir para a
rede de voz, como por exemplo, os ataques baseados em TCP/IP que, mesmo destinados a
outros alvos que não estejam diretamente relacionados com a infra-estrutura de VoIP, podem
tornar estes serviços indisponíveis caso todo o tráfego esteja no mesmo segmento.
82
Por exemplo, os telefones IP normalmente utilizam o protocolo UDP com portas
acima de 16384 para sua comunicação. Sendo assim, um ataque de negação de serviços
baseado em “UDP Flood” no segmento de dados poderia afetar também os serviços de voz se
as redes não estiverem adequadamente segmentadas.
Para que se possa melhorar ainda mais os vários aspectos citados da rede de voz,
recomenda-se a separação dos segmentos de rede de voz e dados em VLANs distintas. Como
por exemplo, em uma instalação de pequeno porte, uma VLAN dedicada ao tráfego de voz
seria suficiente, onde seriam instalados o “Call Manager” e os telefones IP. Outros
componentes como estações de gerenciamento e sistemas de “Voice/Mail” podem residir no
segmento de dados. Já em instalações de grande porte, várias VLANs podem ser criadas, tanto
para voz quanto para dados. Por exemplo, os serviços de “Voice/Mail” podem ocupar uma
VLAN dedicada. [MSLAB, p. 6]
83
Evitar o uso de aplicações de telefones para microcomputadores (PC-Based
IP phones), utilizando preferencialmente telefones IP que suportem VLAN
Nos telefones IP devem ser utilizados endereços IP inválidos. Esta medida servirá para
reduzir a possibilidade de que o tráfego de voz possa ser monitorado de fora da rede interna e
para evitar que os atacantes consigam mapear o segmento de voz em busca de
vulnerabilidades. Além disto o uso de IP’s inválidos sucumbirá em menores custos.
A utilização de endereços IP privativos e principalmente de classes diferentes nos
segmentos de voz e dados, de acordo com a orientação do RFC 1918 ( “Address Allocation
for Private Intranets”), servirá para facilitar a configuração de filtros e a monitoração. As
conexões com redes externas devem utilizar endereços IP válidos fornecidos por um firewall,
através do serviço NAT ( “Network Address Translation”) . [MSLAB, p. 7]
84
Configurar os telefones IP com endereços IP estáticos, associados ao MAC
Address
85
Monitorar os endereços MAC no segmento de voz
É sabido que os sistemas atuais de detecção de intrusão (IDS) ainda não são
compostos pelas assinaturas específicas de ataques para os protocolos de VoIP, no entanto
86
eles podem ser úteis para monitorar ataques baseados em UDP e HTTP que podem ser
executados contra os componentes da infra-estrutura.
Por este motivo, convém que uma aplicação ou aplliance de IDS seja instalado no
segmento onde estiver instalado o “Call Manager”, visando a detecção de ataques originados
principalmente no segmento de dados, onde estão localizadas as estações de trabalho dos
usuários.
Naturalmente, é necessário fazer o tunning do IDS para maximizar sua eficiência. Esta
operação é dependente do tipo de tecnologia e protocolos de VoIP em uso. De qualquer
forma, se tiverem sido separados os segmentos de voz e dados como recomendado, o tráfego
esperado no segmento de voz estará obrigatoriamente associado a um número limitado de
protocolos e portas, o que facilita a configuração do IDS e reduz o número de falsos positivos.
Qualquer tráfego TCP/ IP que não esteja relacionado aos protocolos utilizados pela tecnologia
VoIP em uso deve gerar alarmes no sistema IDS. [MSLAB, p. 9]
87
Monitorar a performance e status dos serviços de VoIP
Montar uma estrutura de Help Desk capacitada para dar suporte em VoIP
Apenas uma boa implantação da estrutura VoIP não é suficiente para garantir sua
perfeita funcionalidade durante o decorrer do tempo, devemos aplicar métodos que ajudaram
a manter esta implantação em perfeito funcionamento durante sua existência no ambiente.
Para isso deveremos, se possível, ter presente no ambiente que foi implantando a estrutura
VoIP uma equipe treinada para realizar configurações necessárias nos equipamentos
(Switches, Roteadores e etc) e aplicações utilizados pela rede de voz além de prestar suporte
técnico para os usuários. Também é conveniente manter um contrato de Suporte Técnico com
algum integrador qualificado, ou com o próprio fabricante dos equipamentos adquiridos.
[MSLAB, p. 10]
O acesso físico à rede em si deve ser restrito, isto devido à possibilidade de algum
atacante conseguir acesso físico indevido na rede e através dessa vulnerabilidade conseguir
tirar proveitos. Com acesso à rede física o atacante pode, por exemplo, instalar um telefone IP
88
não autorizado e utilizar técnicas de “MAC Spoofing” e “Caller Identity Spoofing” para
enganar os usuários, fazendo-os pensar que estão conversando com alguma outra pessoa,
quando na verdade estão conversando com o atacante. Desta forma informações sigilosas
poderão ser obtidas através de engenharia social.
Naturalmente, o acesso físico indevido também expõe os componentes da infra-
estrutura de VoIP a ameaças como fraudes, roubo, sabotagem ou danificação acidental ou
proposital dos equipamentos, podendo causar a indisponibilidade dos serviços. Por estes
motivos, convém que o acesso físico aos dispositivos mais críticos da rede (Switches,
Roteadores, Call Manager, Firewalls, etc), seja restrito apenas à usuários autorizados.
[MSLAB, p. 10]
89
as comunicações externas (matriz com filiais, por exemplo), deve-se considerar a
implementação de uma VPN (“Virtual Private Network”) para criptografar o tráfego de VoIP.
[MSLAB, p. 10]
Conclusão
90
dispositivos de proteção, cujo acesso físico deve ser restrito a usuários autorizados. O uso de
criptografia do tráfego de voz encapsulado na rede IP é recomendado em certos contextos.
Os equipamentos (por exemplo, telefones IP que suportem VLAN e soluções que ofereçam
recursos de autenticação mais sofisticados) devem ser escolhidos de forma mais crítica para
viabilizar um maior nível de segurança, bem como o treinamento do pessoal envolvido na
instalação, suporte e auditoria dos serviços. Em alguns casos, até mesmo um plano de
“Disaster Recovery” deve ser considerado, tal o impacto que a descontinuidade dos serviços
de voz pode trazer para a corporação.
Finalmente, é preciso conscientizar os usuários dos serviços VoIP no ambiente corporativo
sobre os riscos existentes, já que em muitos casos eles próprios poderão ser responsabilizados
pelo uso indevido, fraude e outras ações maliciosas executadas pelos atacantes.
Benefícios da Convergência
Redução de custos
Na infraestrutura convergente além de se aproveitar o cabeamento, as operações ficam
mais simplicadas, as rotas tem um menos custo devido ao compartilhamento dos circuitos e a
rede apresenta maior escalabilidade. [innovagency]
Ganhos de produtividade
As redes convergentes apresentam ganho de produtividade pois permite
mobilidade, ou seja, conectividade para o usuário onde quer que ele esteja e em qualquer
momento, sendo assim as empresas podem aplicar o teletrabalho que aumenta a produtividade
em até 50% e a motivação em até 30%. [innovagency]
91
Convergência chegou, e está para ficar !
Não se perspectivam novos desenvolvimentos na voz tradicional (TDM)
92
SPIT em geral
1. Origem e significado
A expressão spit teve sua provável origem no artigo publicado por Bruce Schneier na
data de 13 de maio de 2005 em seu blog “Schneier on Security”. [schneier]
São diversos os prejuízos causados pela técnica de spit, entre eles podemos citar:
1. Os custos que o spammer tem para manter sua conexão com a Internet, conta como
o provedor, linha telefônica e energia elétrica. Sabemos ainda que quanto mais tempo se
permanece on-line, maiores são os custos. No caso dos prejuízos causados pelo spit para os
receptores, quem o recebe é obrigado a ficar mais tempo ouvindo aquelas mensagens
indesejáveis deixadas no seu correio de voz, o que acaba gerando custos com energia elétrica,
conexão com internet além dos prejuízos “psicológicos” (raiva, angustia, stress e etc);
[schneier]
3. O terceiro prejuízo fica por conta das enormes dificuldades e prejuízos para
provedores e servidores também, visto que quanto mais spit acumulado, maior será o custo de
armazenamento e comunicação. Finalizando, o mau uso da Internet poderá retardar o tempo
de resposta das conexões. [schneier]
93
3. Envio de spit
Um dos problemas previstos a acontecerem nas redes VoIP refere-se a uma técnica já
conhecida na telefonia tradicional como telemarketing e suas derivações, em VoIP essa
técnica receberá o nome de SPIT.
Spit é conhecido como sendo o “spam over IP Telephony”, em outras palavras, spit
são as mensagens não solicitadas que chegam por meio de Voz sobre IP (VoIP) aos usuários
da tecnologia. Esta é uma tendência derivada do spam, assim como muitas outras, que agora
atinge os meios de comunicação de voz sobre ip.
O spam sobre telefonia IP é associado hoje em dia por alguns especialistas ao
telemarketing, pois assim como o ele o spit poderá/pode nos enviar mensagens indesejáveis,
em momentos indesejáveis, com propostas indesejáveis a quaisquer telefones. Logo podemos
pensar que o spit por vez pode ainda contar com a vantagem da gratuidade da ligação, o que
não ocorre no telemarketing. Devemos assim sobressaltar que este exemplo é apenas uma
analogia, pois podemos pensar em ambas as técnicas com o sentido de invasão de
privacidade, da insistência em vender ou oferecer algo que o cliente realmente não pediu e
nem está interessado. Assim podemos ver o spit como uma técnica promissora pois desperta
sentimentos em muitos, pois poderiam agora praticar o telemarketing de forma “gratuita”.
Hoje infelizmente não podemos contar com nenhuma ferramenta especializada em
combater o spit assim como encontramos ferramentas que combatem o spam. No entanto
devemos ressaltar que mesmo as ferramentas especializadas em spam não conseguem
elimina-lo completamente, apenas dribla-lo, isto porque na maioria das vezes os e-mails spam
ficam armazenados nas pastas de quarentena.
94
Igualmente como o spam o spit irá acarretar problemas, pois também fará uso de
recursos computacionais além de sobrecarregar a internet, principal veículo de transporte das
redes VoIP. Desta maneira, os filtros ainda são e serão a solução (paliativa) para o spam e o
spit.
Imaginemos então, por enquanto, as diversas formas de spam como algo do nosso
cotidiano que temos que conviver, pois não encontramos solução para ela, assim iremos ate
podermos dar a carta final ao spam dando dribles no cotidiano. [cicilini]
SIP
As mensagens SIP devem ser criptografadas por uma série de motivos os quais
englobam, por exemplo, no caso se a chave de criptografia de mídia tiver de ser protegida , os
pedidos e respostas SDP deverão ser criptografados, deve-se esconder a origem e o destino
das chamadas e os campos de informação relacionados, deve-se evitar que o usuário receba
mensagens enganosas além do seu uso para contabilidade e tarifação.
O protocolo SIP conta com vários sistemas de segurança para se evitar várias ameaças
ao ambiente VoIP, como por exemplo, preservação da integridade e confidencialidade,
prevenção de ataques que possam vir a desviar mensagens, provocar DoS ou ainda
proporcionar a autenticação de atacantes que possam vir a violar a privacidade dos
participantes numa sessão.
A criptografia das mensagens é a melhor opção de segurança para a sinalização, isto
garante a confidencialidade e a integridade das mensagens. Porém o protocolo SIP não
permite a criptografia das mensagens ponto a ponto, pois estas podem vir a trafegar por vários
outros equipamentos da rede como, por exemplo, Proxy Server cuja função é analisar os
pedidos e respostas para que assim possa encaminha-los de forma correta. Naturalmente, o
95
Proxy Server poderá ainda remover ou adicionar informações como, por exemplo, os
cabeçalhos Via.
No entanto, caso seja necessário tal grau de segurança, será necessário que a segurança
seja aplicada em um nível mais baixo, no qual as mensagens deverão ser cifradas entre as
entidades SIP e assim poderão permitir aos terminais a verificação da identificação dos
servidores destinatários, para os quais são enviadas as mensagens de forma segura, utilizando-
se apenas de um sistema e autenticação criptográfica.
A solução prevista no caso citado a cima é o uso dos protocolos TLS (Transport Layer
Security) [RFC 2246, 1999] e IPSEC [RFC 2401, 1998], os quais fornecerão às camadas de
transporte e rede um maior nível de segurança, que permitirá a integridade e
confidencialidade das mensagens.
Podemos também contar com os chamados SIPS URI que permitem o estabelecimento
de sessões seguras, garantindo que é utilizado transporte criptográfico (TLS) para entregar as
mensagens.
A autenticação da identidade dos utilizadores fica por conta do método Digest [RFC
3261, 2002], um método de autenticação que se baseia no esquema de autenticação HTTP
Digest, utilizado pelo protocolo HTTP.
Este método permite aos utilizadores identificarem-se perante uma entidade através do
nome do utilizador e de uma palavra-chave cifrada, utilizando a informação que lhe é
fornecida pelas respostas 401 ou 407. Por exemplo, quando um utilizador se pretende registar
num Registrar ou enviar um INVITE através de um SIP Proxy, o servidor responde com uma
resposta 401 ou 407 indicando que é necessária a sua autenticação e transportando as suas
credenciais. Quando o utilizador recebe a resposta formula um novo pedido, que desta vez
transporta a informação necessária para confirmar a sua identidade. Este mecanismo de
segurança permite evitar ataques em que utilizadores mal intencionados assumem a identidade
não autorizada de outros utilizadores; no entanto não garante a confidencialidade e
integridade das mensagens. [sIPtel, p. 62]
Segurança da mídia
Esse formato refere-se aos algoritmos de criptografia descritos no RFC 1890 (“perfil
RTP para conferencias de áudio e vídeo com controle mínimo”). O RFC 1890 descreve
primeiro como extrair uma chave a partir de uma pass phrase de uma forma padrão. A pass
phrase é colocada em uma forma canônica (espaços em branco no inicio e no fim removidos,
caracteres colocados em minúsculo etc.) e, então, dividida em 16 octetos pelo algoritmo MD5.
Chaves com menos de 128 bits são formadas truncando-se o sumário MD5. As chaves são
extraídas em ordem para os algoritmos que precisam de mais de uma (p. ex.: três chaves para
DES triplo). [Telefonia IP, p. 150]
O nome do algoritmo em uso é inserido antes da chave e separado dela com uma única
barra. Identificadores padrão para os algoritmos mais comuns podem ser encontrados no RFC
1423: ‘DES-CBC’, ‘DES-ECB’; o padrão é DES-CBC. O RFC 1423 também descreve como
armazenar parâmetros adicionais necessários para determinados algoritmos, como o vetor de
inicialização de 64 bits do DES-CBC, por exemplo:
K=clear:DES-CBC/aZ25rYg7/12eR5t6y
K=prompt
Firewalls SIP
Os terminais SIP podem ser configurados para enviar todos os seus pedidos para um
servidor proxy SIP, em vez de tentar alcançar o servidor SIP apropriado usando registros
97
DNS. O suporte nativo para o NAT ((Network Address Translation) é uma técnica usada para
segurança, bem como para evitar problemas de re-endereçamento) por parte das entidades SIP
permite a configuração de sinalização para comunicações de saída sem nenhum requisito
específico no firewall. Mas, para os fluxos de mídia, o firewall prescisa estar ciente dos fluxos
UDP que chegam, para repassa-los à entidade apropriada. As chamadas que chegam precisam
ser tratadas por um proxy de sinalização SIP do firewall. [Telefonia IP, p. 152]
H.323
98
SNIFFERS VOIP
Com a convergência das redes telefônicas normais para as redes telefônicas baseadas
em pacotes. Muitas necessidades surgiram. Uma dessas necessidades é a de controlar as redes
VoIP.
É necessidade do administrador de rede, saber estatísticas atuais, momentâneas sobre o
tráfego corrente dos pacotes VoIP.
Para ajudar esses profissionais, hoje em dia no mercado já é possível contar com
algumas ferramentas que os auxiliaram nesta jornada. Essas ferramentas são denominadas
Sniffers.
O principal papel do sniffer é capturar todo o trafego (entrante/sainte), e trazer dados
funcionais à tela do administrador.
Com esses dados o responsável pela rede poderá então achar defeitos, monitorar,
controlar o comportamento da rede conforme o nível de trafego e/ou realizar uma perícia
sobre sua performance.
Com isso será possível assegurar a QoS nas redes de voz sobre ip, além de realçalas
em todos os níveis e além disso poderá otimizar a gerencia de voz, vídeo e dados sobre uma
única rede. E todas essas opções poderão, através de Sniffers, serem realizadas em tempo real.
[Sniffer]
È possível saber se a rede comporta a demanda de usuários.
99
• Análise completa das camadas de Aplicação e sessão para as conexões VoIP. Para a
perfeita funcionalidade deste módulo usase o protocolo Skinny Client Control
Protocol (SCCP).
• Realiza alertas preventivos, sobre possíveis problemas da rede. [Sniffer]
A segurança é vista, em alguns casos, como uma entrave à adoção de telefonia sobre
IP em detrimento de sistemas de telefonia tradicionais. Para obviar esta realidade a Alcatel
desenvolveu, em conjunto com a empresa Thales (fornecedor reconhecido em mercados como
a Defesa), uma solução que garante a segurança do tráfego de voz sobre IP, através de
mecanismos como autenticação, integridade e encriptação dos fluxos de comunicação.
Um nível de segurança, responsável pela encriptação, é colocado entre os
componentes da solução OmniPCX Entreprise (Call Server, Media gateways e telefones IP) e
a LAN ou a WAN, a partir das quais poderão ser lançados ataques.
Este nível é constituído por hardware dedicado, denominado “Call Server Security
Module - SSM” e “Media Security Module - MSM”, para protecção do Call Server e das
Media Gateways, respectivamente. Os telefones IP, IP- Touch®, suportam este serviço de
uma forma nativa .
A voz é encriptada utilizando SRPT (secure RTP) através do algoritmo de encriptação
AES (modo contador). A vantagem do SRTP é que não introduz “overhead” quando
comparado com tráfego não encriptado, simplificando também alguns dos serviços na rede
como sejam QoS, detecção de falhas e firewalling.
São utilizadas chaves simétricas que mudam em cada nova sessão RTP e são enviadas
pelo Call Server para os pontos terminais através de sessões de sinalização encriptadas. A
gestão da solução é feita a partir da plataforma OmniVista 4760, podendo ser integrada em
clientes com siste mas Alcatel OmniPCX Enterprise. [Alcatel]
100
Conclusão
A segurança deve ser encarada não como um produto mas sim como um conjunto de
processos e mentalidades, na qual os equipamentos representam apenas uma das
componentes. As empresas devem por isso ter uma estratégia clara na definição de soluções
de segurança, no que diz respeito ao desenvolvimento dos seus pro- dutos, bem como dos
serviços dispo- níveis quando integrados em redes de comunicações IP. Esta é, a nosso ver,
uma estratégia evolutiva procurando acompanhar as constantes necessidades dos merca- dos
empresariais.
101
Conclusões
Visto que muito já foi feito pela tecnologia VoIP, podemos dizer que a tecnologia de
transmissões de voz sobre IP pode funcionar muito bem sob as infra-estruturas que temos
acesso hoje em dia, além de ser uma ótima opção quando pensa-se em redução de custos.
Depois de avaliar todas as características que a VoIP apresenta, salientamos que além
de todos os serviços oferecidos pelas redes de telefonia tradicionais, ela apresenta muito mais
por muito menos.
Embora a VoIP esteja em alta e as redes tradicionais em desvantagem, é sabido que a
maior concorrente de VoIP são estas mesmas. Essa concorrência é presente na capacidade de
as redes tradicionais terem uma disponibilidade elevadíssima em comparação à VoIP, e à sua
viabilidade.
Apesar da VoIP ainda conter muitos aspectos desfavoráveis como, por exemplo, à
ainda pouca qualidade de serviço, outros aspectos vêem à favorecer como, por exemplo, o
protocolo SIP, que apresenta nativo em sua ultima versão um ‘bom’ nível de segurança, o que
leva à uma grande aceitação da VoIP pelas empresas.
Podemos também discursar sobre a consolidação da VoIP que por poucas atualizações,
pode vir a ser em pouquíssimo tempo o novo ‘boom’ que a humanidade presenciará depois da
internet.
102
Referências Bibliográficas
XAVIER, SIDINEY. Voz sobre IP na PBH. Belo Horizonte: PRODABEL/PUC, 2000. 50p.
SOUZA, JOÃO PAULO PEREIRA DE. sIPtel – Um sistema de IPtel com suporte para vídeo
utilizando o protocolo SIP. Utad: Universidade de Trás-os-Montes e Alto Douro, 2003. 134p.
FERNANDES, NELSON LUIZ LEAL. Voz sobre IP: Uma visão geral. 22p. Disponível em:
<http://www.ravel.ufrj.br/arquivosPublicacoes/nelson_voip.pdf>. Acesso em: 03 maio 2005.
GOMES, CARLOS HENRIQUE VICENTINI. Voz sobre IP. Santa Rita do Sapucaí: Instituto
Nacional de Telecomunicações/INATEL. 34p. Disponível em:
http://www.inatel.br/posgraduacao/redes/download/VoIP_Pos_Graduacao_Brasilia.pdf
Acesso em: 22 abril 2005
LEÃO, OSMAR RIBEIRO., Regras para proteção de redes IP. Universidade Católica do
Salvador. 2001. 118p.
<http://www.videnet.gatech.edu/cookbook.pt/list_page.php?topic=3&url=sip.htm&level=1&s
equence=7&name=Session%20Initiation%20Protocol%20(SIP) > Acesso em: 12 abril 2005
103
< http://www.gta.ufrj.br/grad/00_2/alexandre/VoIP.html > Acesso em 28 maio 2005
<http://www.cefetrio.hpg.ig.com.br/ciencia_e_educacao/8/trabalhos/rlc_1_2003/VoIP/#_Toc
44927842 > Acesso em: 18 maio 2005
<http://www.pop-
rn.rnp.br/videoconf/textos/final.ppt#332,31,Trabalhos%20Futuros%20na%20Ferramenta
>Acesso em: 22 maio 2005
<http://www.modulo.com.br/index.jsp?page=3&catid=2&objid=447&pagecounter=0&idiom
=0 > Acesso em: 18 agosto 2005
104