Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
323
Seguranca da Informaca o
Marcelo Dieder1
1
Seguranca da Informaca o
Universidade do Vale do Rio dos Sinos - UNISINOS
Sao Leopoldo RS Brazil
{mdieder@sinos.net}
1. Introduca o
VoIP e uma grande tecnologia emergente que um dia ira substituir completamente o sistema telefonico tradicional. Ao mesmo tempo, existem diversos padroes para
a aplicaca o da tecnologia, cada uma com suas vantagens e caractersticas. Como voz sobre IP e um padrao novo, existem diversos problemas quanto a` sua seguranca, com o risco
de comprometer o crescimento e a sustentabilidade da tecnologia. O artigo visa demonstrar como foi desenvolvido o padrao, em que situaca o estamos atualmente, demonstra as
caractersticas da recomendaca o ITU-T H.323, e apresenta quais sao os principais problemas de seguranca e as estrategias para mitigar estes riscos.
o VoIP e uma das tecnologias que mais cresce no setor de telecomunicaco es, oferecendo
aos provedores de servicos uma grande oportunidade de crescimento atraves de servicos
de valor agregado.
3. Historia
4. Digitalizaca o da Voz
Tudo o que escutamos esta na forma analogica. Da mesma forma, a rede telefonica ate alguns anos atras tambem trabalhava de forma analogica. Posteriormente, a
rede telefonica evoluiu e passou a trabalhar em redes digitais que garantiam uma maior
confiabilidade e qualidade. A transformaca o de um sinal analogico para um sinal digital e
realizado atraves da modulaca o por codigo de pulso PCM (Pulse Code Modulation), que
e o metodo mais utilizado para a comunicaca o de voz em fluxo digital. A grande vantagem deste protocolo e sua retransmissao, permitindo a possibilidade de transmissoes a
longos alcances sem a perda de qualidade, o que nao e possvel com a rede analogica. No
VoIP, a transmissao da voz e realizada atraves da voz digitalizada. E possvel dividi-la
em pequenos pacotes IP que sao transmitidos em conjunto com outros pacotes de dados estes pacotes sao recebidos em outra ponta, sao remontados e transformados novamente
em voz. Conforme as figuras 1 e 2, podemos verificar o comportamento de um sinal
analogico e um sinal digital.
Figura 1. Onda de um sinal analogico
de um sinal digital
Figura 2. Transmissao
5. Codec
Podemos definir codec como um algoritmo que codifica e descodifica sinais
de voz e ou vdeo para transmissao em uma rede de dados digitais. O codec efetua a
codificaca o de um sinal, transmite em uma rede de dados digital, e descodifica na outra
ponta. Codecs sao utilizados para codificar e descodificar (ou compactando e descompactando) varios tipos de dados com o proposito de diminuir o tamanho da informaca o
e utilizar menos recursos do que sua forma descodificada utilizaria, economizando assim a banda disponvel em uma rede de dados por exemplo. Em um sistema de telefonia IP a utilizaca o de um codec e essencial. E atraves do codec que um sistema VoIP
se torna viavel, possibilitando que varios canais de voz possam ser transmitidos em um
mesmo canal de dados. Existem diversos tipos de codecs e que utilizam formas diferentes
de codificaca o e compactaca o dos quais podemos listar os mais utilizados na tecnologia
VoIP:
G.711 A recomendaca o da ITU-T(Telecommunication Standardization Sector)
e o padrao internacional para codificaca o de a udio telefonico em um canal de 64Kbps. O
G.711 pode codificar frequencias entre 0 a 4 kHz e tem duas variantes, a lei A (G.711A)
e a lei (G.711U). A lei A e o padrao para os circuitos internacionais.
G.723 A recomendaca o G.723.1 da ITU-T define o requisito para um codec de
baixa velocidade (5,3 e 6,3 Kbps). O codec G.723 pode aceitar duas taxas diferentes
de bits, de 5,3 e 6,3 Kbps e efetua a codificaca o em frames de 30ms, introduzindo um
retardo algortmico total de 37.5ms. A versao do G.723 de 6.3 Kbps oferece uma maior
qualidade para a codificaca o da fala. O G.723 e utilizado principalmente em transmissoes
para VoIP, apesar de existirem outros codecs com qualidade superior e que utilizam uma
taxa de dados semelhante. O uso do G.723 requer uma licenca para as patentes que
cobrem o algoritmo.
G.729 O codec G.729 e o padrao ITU-T para transmissoes em redes de dados
utilizando uma pequena taxa de largura de banda e oferecendo uma excelente qualidade de
a udio. O G.729 tem diversas variantes, dentre as quais podemos citar as duas principais,
o G.729 Annex A e o G.729 Annex B. O G.729A efetua a codificaca o em frames de 10ms
introduzindo um retardo algortmico total de 15ms e uma taxa de velocidade de 8Kbps. O
G.729B alem das caractersticas do G.729A, introduz tambem a supressao de silencio, ou
como originalmente e conhecido, o VAD (Voice Activity Detection), reduzindo a banda
necessaria para a transmissao em redes de dados ja que preve a transmissao de qualquer
tipo de frame sem atividade de voz. Assim como o G.723, a utilizaca o do codec G.729
tambem requer licenca para as patentes que cobrem o algoritmo. Este e um dos codecs
mais utilizados, sendo largamente utilizado nas transmissoes de VoIP pela internet.
A figura 3 apresenta a taxa de transferencia de codecs baseado no conceito de
MOS(Mean Opinion Score).
6. Principais Protocolos
Existem atualmente diversos protocolos utilizados para controle e sinalizaca o
de voz sobre IP em uma rede de dados, dos quais podemos citar o H.323 - padrao recomendado pelo ITU-T, SIP (Session Iniciation Protocol) padrao recomendado pelo IETF
(Internet Engineering Task Force) e o MGCP (Media Gateway Control Protocol).
O H.323, padrao recomendado pelo ITU-T e um dos protocolos mais utilizados
atualmente para a comunicaca o, sendo tambem um dos mais complexos. Ele foi
desenvolvido para a utilizaca o de trafego multimdia, podendo trafegar a udio,
vdeo e dados em uma rede baseada em IP, embora seja apenas obrigatorio a
utilizaca o de a udio.
O SIP, padrao recomendado pelo IETF e um protocolo de sinalizaca o simples
descrito na RFC 3261, baseado em protocolos de texto com o HTTP (Hypertext
7. O protocolo H.323
Conforme ja citado, o padrao ITU-T H.323 e uma serie de protocolos utilizados
para o trafego de voz, vdeo e dados em uma rede IP. Ele foi originalmente desenvolvido
pelo ITU-T em 1996 como um protocolo para realizar videoconferencias, permitindo que
clientes se conectassem entre si em uma LAN (Local Area Network) Ethernet. A partir
do seu desenvolvimento, o protocolo evoluiu, sendo utilizado largamente por grupos de
estudos e corporaco es que ajudaram a desenvolver e passaram a utiliza-lo na Internet. Sua
u ltima revisao e a H.323v7, liberada em 2009 pelo ITU-T. O protocolo foi desenvolvido
para trabalhar na camada de transporte do modelo OSI (Open System Interconnection), e
pode ser transportado em qualquer tipo de rede baseada em pacotes como Ethernet, TCP
(Transmission Control Protocol)/UDP(User Datagram Protocol)/IP, ATM(Asynchronous
Transfer Mode), and Frame Relay para prover comunicaca o multimdia em tempo real.
A recomendaca o H.323 faz parte de uma serie de outros protocolos desenvolvidos para
a comunicaca o multimdia. A pilha de protocolos da famlia H.323 pode ser visualizada
conforme figura 5. A serie conhecida como H.32X, inclui um lista de varios padroes que
sao aplicados ao H.323, conforme segue:
H.320: Padrao original de vdeo conferencia ISDN (Integrated Services Digital
Network)
H.323: Extensao do protocolo H.320 para vdeo conferencia por LANs, composta
pelos principais padroes:
H.225: Protocolo de controle de chamada
RAS (Registration, Admission and Status) Protocolo para registro, admissao e status de chamadas.
Q.931 Protocolo utilizado para estabelecer chamadas H.323.
H.245: Protocolo de controle de mdia
H.235: Protocolo para autenticaca o e criptografia
Outras recomendaco es tambem podem ser utilizadas em conjunto com o padrao H.323,
mas elas nao serao o foco deste artigo. Para ser possvel a comunicaca o entre dois terminais H.323 e necessario que ambos suportem H.245 para efetuar a negociaca o de capacidades e utilizaca o de canais, H.225 para controle da sinalizaca o e RTP/RTCP (Real Time
Control Protocol) para troca sequencial de pacotes de a udio e vdeo. Alem disso, o H.323
define quatro componentes principais para um sistema de comunicaca o baseado em rede:
terminais, gateways, gatekeepers e unidades de controle multiponto (MCU).
7.1. Terminais
Os terminais sao as extremidades da LAN, que efetuam a comunicaca o bidirecional em tempo real. Estes terminais sao utilizados para comunicaco es de voz e podem
opcionalmente dar suporte para comunicaco es de vdeo e dados. Um terminal inclui uma
unidade de controle de sistema, nvel H.225, interface de rede, uma unidade codec de
a udio, e opcionalmente uma unidade de codec de vdeo e aplicaco es de dados. Os terminais tambem podem ser conhecidos como os softphones, softwares para efetuar chamadas
VoIP.
7.2. Gateways
Os gateways H.323 sao utilizados para efetuar o estabelecimento de
comunicaca o entre terminais de diferentes tipos de redes. O tipo mais comum de gateway H.323 permite comunicaco es entre terminais H.323 e telefones da rede publica
de comutaca o de circuitos (PSTN). O gateway precisa oferecer traduco es entre diferentes
formatos de transmissao, procedimentos de comunicaco es e codecs de a udio. Ele tambem
pode efetuar a configuraca o das chamadas quando utilizado em uma comunicaca o ponto
a ponto sem a utilizaca o de um centralizador, ou um gatekeeper. Podemos citar gateways
que efetuam a comunicaca o com os principais tipos de tecnologias como:
H.323 ISDN Comunicaca o com telefonia digital.
H.323 FXO(Foreign eXchange Office) Comunicaca o com interfaces de um
operadora ou central telefonica PABX (Private Automatic Branch Exchange).
H.323 FXS(Foreign eXchange Subscriber) - Comunicaca o com interfaces
analogicas.
H.323 SIP Interoperabilidade com o protocolo SIP.
A figura 7 exibe gateways H.323 interligados com diferentes tipos de interfaces.
7.3. MCU
MCU (Multi Control Unit) e um componente central que realiza uma conferencia de chamadas possibilitando que 3 ou mais pessoas possam falar simultaneamente
em um rede exclusivamente H.323.
7.4. Gatekeepers
Gatekeepers oferecem servicos centralizadores de controle de chamada para extremidades H.323, efetuando o registro, admissao e controle destes. Alem disso, efetua
o roteamento, encaminhamento e a traduca o de endereco de chamadas efetuadas por terminais, gateways e outros gatekeepers. A utilizaca o de um gatekeeper em uma rede de
comunicaca o H.323 nao e obrigatoria, porem se estiver presente na rede a utilizaca o de
seus servicos e necessaria. Um gatekeeper pode oferecer os seguintes servicos:
Traduca o de endereco: O gatekeeper realiza a traduca o de endereco alias para
endereco de transporte.
Controle de admissao: Autoriza o acesso a` rede por meio de mensagens
ARQ(AdmissionRequest), ACF(AdmissionConfirm) e ARJ (AdmissionReject).
Gerenciamento e controle de largura de banda: O gatekeeper realiza
atraves das mensagens BRQ(BandwidthRequest), BRJ(BandwidthReject) e
BCF(BandwidthConfirm) o gerenciamento e controle de banda de modo a limitar o numero de conexoes simultaneas na rede.
Gerenciamento de zona: E possvel ao gatekeeper trabalhar com o conceito de
zonas. No gatekeeper, uma zona e um conjunto de gateways, terminais e gatekeepers diretamente conectados que podem trocar mensagens entre si a fim de rotear
chamadas.
Sinalizaca o de controle de chamada: O gatekeeper pode completar o procedimento de sinalizaca o de chamada com outras extremidades H.323 ou pode redirecionar o canal de sinalizaca o de chamada para outra extremidade.
Autorizaca o de chamadas: O gatekeeper pode efetuar a decisao de aceitar ou rejeitar uma chamada iniciada por uma entidade H.323.
Gerenciamento de chamada: O gatekeeper pode decidir o caminho que uma chamada deve seguir, a fim de controlar em qual extremidade H.323 a chamada deve
ser completada.
7.4.1. Operaca o do gatekeeper
O gatekeeper pode participar da sinalizaca o da chamada utilizando mensagens
de sinalizaca o descritas na recomendaca o H.225 do ITU-T. Neste processo sao realizados
5 fases:
Configuraca o de chamada: fase 1
Comunicaca o inicial e troca de capacidades: fase 2
Estabelecimento de comunicaca o audiovisual: fase 3
Servicos de chamada: fase 4
Termino de chamada: fase 5
mensagens das extremidades H.323 de forma a garantir a seguranca do protocolo utilizando mecanismos de criptografia dos protocolos de suporte a` seguranca IPSEC (Internet
Protocol Security) ou TLS (Transport Layer Security).
7.8. Integraca o de redes
No H.323 e possvel a realizaca o de redes integradas (rede mesh), onde todos os
pontos podem compartilhar trafego de chamada. No padrao H.323 este conceito e definido
como zonas ou neighbors oferecendo uma maior disponibilidade e escalabilidade para a
rede VoIP.
8. O protocolo RTP/RTCP
O RTP (Real Time Transport Protocol) e um dos protocolos mais importantes
na arquitetura de voz sobre IP. O RTP oferece um mecanismo de remessa de ponta a
ponta, em tempo, para dados em tempo real, como a udio e vdeo. Ele trabalha em cima
do protocolo UDP e e utilizado para o envio de pacotes de voz codificados atraves de
um codec especfico. O RTP nao implementa controle de fluxo, nem garante a entrega
ordenada, porem conta com o RTCP para este controle.
O RTCP (Real Time Control Protocol) possui funcionalidade de controle para
aplicaco es em tempo real, como o VoIP. Ele implementa a monitoraca o de QoS e controle
de congestionamento, sincronismo intermdia e estimativa e escala do tamanho da sessao.
O RTCP trabalha em conjunto com o RTP para a ordenaca o e controle dos pacotes.
9. QoS
QoS (Quality of Service) e a habilidade de prover diferentes prioridades baseados no tipo de aplicaca o em uma rede de dados. O trafego de voz em uma rede e crtico, e
precisa ter prioridade sobre os demais protocolos e aplicaco es. Existem diferentes mecanismos para a implementaca o de controle de servico que podem ser aplicados aos pacotes
de voz, cada um com suas caractersticas e aplicabilidade. A implementaca o de VoIP sem
a utilizaca o de QoS nao e recomendada, ja que implica em perda de qualidade das chamadas. A configuraca o de QoS deve ser realizada em todos os equipamentos (de nvel 2
e 3 do modelo OSI) em que o pacote de voz ira passar para que nao ocorram gargalos que
comprometam a qualidade do servico.
10.4. Interoperabilidade
O H.323 e um protocolo complexo que precisa ter um padrao de configuraca o
entre todos os equipamentos que irao formar a rede VoIP. E comum em uma
implementaca o, com equipamentos de diferentes fabricantes e configuraco es distintas,
problemas de interoperabilidade que precisam de um longo perodo para adaptaca o e
homologaca o. Isto pode ser impactante quando e necessaria a integraca o de redes H.323
entre diferentes provedores de servicos que possuem estruturas totalmente diferentes.
11. Seguranca
Como a tecnologia de VoIP e algo relativamente novo, problemas
com seguranca comecaram a surgir nos u ltimos anos, comprometendo a trade
CID(Confidencialidade, Integridade e Disponibilidade). Abaixo sera apresentado algumas das vulnerabilidades encontradas em estudos de casos da tecnologia VoIP, e de forma
breve, como podem serem evitados estes tipos de ataques.
11.1. Ausencia de criptografia de voz
O protocolo RTP/RTCP utilizado para o trafego de pacotes de voz nao realiza
a criptografia dos dados. Da mesma forma, os codecs disponveis apresentados neste
artigo, nao oferecem uma camada extra para a aplicaca o de um algoritmo que realize a
cifragem da voz. Apesar dos codecs realizarem a codificaca o da voz, e possvel realizar
a descodificaca o dos pacotes, se houver algum comprometimento na estrutura da rede em
que seja possvel realizar a captura do trafego. Se imaginarmos este cenario na Internet,
o problema e mais agravante, uma vez que o pacote de voz pode percorrer caminhos
distintos, atraves de diferentes roteadores. Para a soluca o deste problema e possvel a
utilizaca o dos canais de voz, utilizando um tunel VPN (Virtual Private Nework) atraves
do protocolo IPSEC (IP Security) ou outro protocolo que forneca a cifragem do tunel.
Uma soluca o mais robusta e escalavel e a utilizaca o do protocolo SRTP(Secure Realtime Transport Protocol) que utiliza o mesmo protocolo RTP/RTCP, mas com a utilizaca o
de um algoritmo de cifragem que por padrao utiliza a cifra AES (Advanced Encryption
Standard). A soluca o do SRTP alem de prover a confiabilidade, integridade do trafego de
voz, e um protocolo recomendado para uso exclusivo de VoIP. Essa e uma soluca o que
ja esta implementada nos mais novos dispositivos de VoIP, e tende a ser a soluca o para
problemas de criptografia da voz.
11.2. Protocolos para configuraca o de equipamentos VoIP
Assim como em outros equipamentos de rede, dispositivos VoIP possuem os
protocolos HTTP e SNMP(Simple Network Management Protocol) para a configuraca o
do equipamento. Como geralmente estes equipamentos estao ligados na Internet, se nao
forem configurados de forma correta, podem ficar vulneraveis a acessos indevidos utilizando os protocolos padroes, possibilitando a um atacante que tenha condico es de abrir
portas para que consiga efetuar chamadas. A soluca o para este problema e certificaca o
de que o equipamento foi configurado corretamente a fim de nao permitir acesso indevido, utilizaca o de equipamentos como firewalls, que possam aumentar a seguranca da
rede VoIP, alem de protocolos que garantam a criptografia na configuraca o de um equipamento na internet.
13. Conclusao
Este trabalho procurou entender de modo geral como e realizado a transmissao
do trafego de voz em redes de dados existentes atualmente, utilizando a recomendaca o
ITU-T H.323. Conclumos que o padrao H.323 e robusto e escalavel apesar de sua grande
complexidade. Foi possvel concluir que o VoIP e de fato uma tecnologia promissora
mas que possui problemas de seguranca que precisam de estudo e analise principalmente
quanto a` sua disponibilidade, que ainda demonstra ser muito vulneravel. Trabalhos futuros irao demonstrar como funciona detalhadamente o protocolo SIP e quais sao as suas
vantagens e desvantagens em relaca o ao protocolo H.323.
Referencias Bibliograficas
AMES Peter,MANOJ Bathia,SATISH Kalidini,SUDIPTO Mukherjee, Fundamentos de
VoIP, Edica o: 2, 2008
HOWDHURY,Dhiman D., Projetos Avancados de Redes IP, Ano 2002
[H.323],
H.323
STANDARDS,
2010
Disponvel
http://www.packetizer.com/ipmc/h323/standards.html, Acesso em: 25/05/2010
em:
[H.323], A Primer on the H.323 Series Standard Version 2.0, 2010 Disponvel em:
http://www.packetizer.com/ipmc/h323/papers/primer, Acesso em: 24/05/2010
[H.225], Recommendation H.225.0, 2009 Disponvel em http://www.itu.int/rec/T-RECH.225.0-200912-I/en, Acesso em: 26/05/2010
[H.323],
H.323
and
Associated
Protocols,
1999
Disponvel
em
http://www.cs.wustl.edu/ jain/cis788-99/ftp/h323/index.html, Acesso em: 26/05/2010
[H.235], H.235 Implementors Guide, 2005 Disponvel em http://www.itu.int/ITUT/studygroups/com16/ig-files/h.235-0508.pdf, Acesso em: 24/05/2010
[G.729], Coding of speech at 8 kbit/s using conjugate-structure algebraic-code-excited linear prediction (CS-ACELP), 2009 Disponvel em http://www.itu.int/rec/T-REC-G.729/e,
Acesso em: 22/05/2010
[MGCP], Media Gateway Control Protocol (MGCP), 2006 Disponvel em
http://www.cisco.com/en/US/tech/tk652/tk701/tk419/tsdt echnologys upports ub
em
RTP
[H.323], H.323 Mediated Voice over IP: Protocols, Vulnerabilities and Remediation, 2004
Disponvel em http://www.symantec.com/connect/articles/h323-mediated-voice-over-ipprotocols-vulnerabilities-amp-remediation, Acesso em 24/05/2010
[H.323], Security Guide for H.323 Videoconferencing, 2004 Disponvel em
http://www.ja.net/documents/services/video/vtas/323security.pdf. Acesso em 24/05/2010
[H.225], International Telecommunication Union Telecommunication Standardization
Sector ITU-T, Call signalling protocols and media stream packetization for packet-based
multimedia communication systems, 2009
2010.
Disponvel
em: