VoIP - Voz sobre IP, uma analise do protocolo H.

323
Seguranca da Informaca o
Marcelo Dieder1
1

Seguranca da Informaca o
Universidade do Vale do Rio dos Sinos - UNISINOS
Sao Leopoldo RS Brazil
{mdieder@sinos.net}

Resumo. O objetivo desse artigo e demonstrar as principais tecnologias de voz

sobre IP, com e nfase no padrao ITU-T H.323. Sera apresentado uma visao geral
do protocolo VoIP, sua historia, como e realizado a digitalizaca o da voz, um
resumo sobre os principais protocolos utilizados atualmente e uma descrica o
detalhada sobre o padrao H.323. Por fim, pretende-se mostrar os principais
problemas e uma analise de seguranca sobre a tecnologia de VoIP. O artigo pode
ser utilizado como base para estudos e implementaca o de novas arquiteturas
baseadas em voz sobre IP.
Abstract. The objective of this article is to demonstrate the main technologies
of voice over IP, with emphasis on standard ITU-T H.323. Will be presented an
overview of the VoIP protocol, its history, how its performed the digitization of
voice, a summary of the main protocols used today, and a detailed description
of the H.323 standard. Finally, we shall show the main problems and a security
analysis on the technology of VoIP.

1. Introduca o
VoIP e uma grande tecnologia emergente que um dia ira substituir completamente o sistema telefonico tradicional. Ao mesmo tempo, existem diversos padroes para
a aplicaca o da tecnologia, cada uma com suas vantagens e caractersticas. Como voz sobre IP e um padrao novo, existem diversos problemas quanto a` sua seguranca, com o risco
de comprometer o crescimento e a sustentabilidade da tecnologia. O artigo visa demonstrar como foi desenvolvido o padrao, em que situaca o estamos atualmente, demonstra as
caractersticas da recomendaca o ITU-T H.323, e apresenta quais sao os principais problemas de seguranca e as estrategias para mitigar estes riscos.

2. Visao geral do servico de voz sobre o protocolo IP

Voz sobre IP, ou VoIP (Voice over Internet Protocol) como tambem e conhecido, e uma tecnologia que permite a digitalizaca o da voz humana para transmissao em
uma rede de dados IP (Internet Protocol), permitindo que pessoas possam conversar entre
si utilizando as mesmas redes de dados existentes, eliminando assim as tarifas de longa
distancia ocasionadas atraves de chamadas PSTNs (Public Switched Telephone Network).
Foi este grande benefcio que fez com que a tecnologia de voz sobre IP alavancasse grandes investimentos e pesquisas por parte de grandes empresas, para homologar a nova
tecnologia que prometia a reduca o de custos, e menor administraca o. Nao ha duvida que

o VoIP e uma das tecnologias que mais cresce no setor de telecomunicaco es, oferecendo
aos provedores de servicos uma grande oportunidade de crescimento atraves de servicos
de valor agregado.

3. Historia

A primeira transmissao de voz foi realizada no ano de 1876 por Alexander

Graham Bell atraves de um circuito direto. Na ligaca o realizada atraves do circuito direto nao havia a discagem de numeros, mas sim apenas uma conexao fsica de fios entre
dois dispositivos. Neste modelo a comunicaca o era unidirecional, permitindo apenas um
lado falar por vez. Com o passar do tempo a tecnologia de transmissao de voz evoluiu,
passando a ser bidirecional, permitindo dois lados de uma conversaca o a falar ao mesmo
tempo e ainda integrando-se a milhares de outros pontos, formando uma rede telefonica
integrada.
Na decada de 90, as redes de dados comecaram a trafegar sobre circuitos que ate
entao eram exclusivos para a telefonia. Com o aumento da demanda por conexoes de dados, elas sobrepuseram a voz como trafego primario em muitas redes que ate entao eram
especficas para voz. Comecou a surgir entao a` necessidade de trafegar a voz sobre a rede
de dados, iniciando o desenvolvimento de uma nova tecnologia, o VoIP. Em 1995, uma
empresa de Israel iniciou um projeto de desenvolvimento da tecnologia, digitalizando,
comprimindo e transmitindo a voz em uma rede de dados. A tecnologia evoluiu, criando diversos padroes aderidos por grande parte do mundo como um novo padrao para a
telefonia, reduzindo custos e proporcionando uma capacidade de expansao.

4. Digitalizaca o da Voz

Tudo o que escutamos esta na forma analogica. Da mesma forma, a rede telefonica ate alguns anos atras tambem trabalhava de forma analogica. Posteriormente, a
rede telefonica evoluiu e passou a trabalhar em redes digitais que garantiam uma maior
confiabilidade e qualidade. A transformaca o de um sinal analogico para um sinal digital e
realizado atraves da modulaca o por codigo de pulso PCM (Pulse Code Modulation), que
e o metodo mais utilizado para a comunicaca o de voz em fluxo digital. A grande vantagem deste protocolo e sua retransmissao, permitindo a possibilidade de transmissoes a
longos alcances sem a perda de qualidade, o que nao e possvel com a rede analogica. No
VoIP, a transmissao da voz e realizada atraves da voz digitalizada. E possvel dividi-la
em pequenos pacotes IP que sao transmitidos em conjunto com outros pacotes de dados estes pacotes sao recebidos em outra ponta, sao remontados e transformados novamente
em voz. Conforme as figuras 1 e 2, podemos verificar o comportamento de um sinal
analogico e um sinal digital.


Figura 1. Onda de um sinal analogico

de um sinal digital
Figura 2. Transmissao

5. Codec
Podemos definir codec como um algoritmo que codifica e descodifica sinais
de voz e ou vdeo para transmissao em uma rede de dados digitais. O codec efetua a
codificaca o de um sinal, transmite em uma rede de dados digital, e descodifica na outra
ponta. Codecs sao utilizados para codificar e descodificar (ou compactando e descompactando) varios tipos de dados com o proposito de diminuir o tamanho da informaca o
e utilizar menos recursos do que sua forma descodificada utilizaria, economizando assim a banda disponvel em uma rede de dados por exemplo. Em um sistema de telefonia IP a utilizaca o de um codec e essencial. E atraves do codec que um sistema VoIP
se torna viavel, possibilitando que varios canais de voz possam ser transmitidos em um
mesmo canal de dados. Existem diversos tipos de codecs e que utilizam formas diferentes
de codificaca o e compactaca o dos quais podemos listar os mais utilizados na tecnologia
VoIP:
G.711 A recomendaca o da ITU-T(Telecommunication Standardization Sector)
e o padrao internacional para codificaca o de a udio telefonico em um canal de 64Kbps. O
G.711 pode codificar frequencias entre 0 a 4 kHz e tem duas variantes, a lei A (G.711A)
e a lei (G.711U). A lei A e o padrao para os circuitos internacionais.
G.723 A recomendaca o G.723.1 da ITU-T define o requisito para um codec de
baixa velocidade (5,3 e 6,3 Kbps). O codec G.723 pode aceitar duas taxas diferentes
de bits, de 5,3 e 6,3 Kbps e efetua a codificaca o em frames de 30ms, introduzindo um
retardo algortmico total de 37.5ms. A versao do G.723 de 6.3 Kbps oferece uma maior
qualidade para a codificaca o da fala. O G.723 e utilizado principalmente em transmissoes

para VoIP, apesar de existirem outros codecs com qualidade superior e que utilizam uma
taxa de dados semelhante. O uso do G.723 requer uma licenca para as patentes que
cobrem o algoritmo.
G.729 O codec G.729 e o padrao ITU-T para transmissoes em redes de dados
utilizando uma pequena taxa de largura de banda e oferecendo uma excelente qualidade de
a udio. O G.729 tem diversas variantes, dentre as quais podemos citar as duas principais,
o G.729 Annex A e o G.729 Annex B. O G.729A efetua a codificaca o em frames de 10ms
introduzindo um retardo algortmico total de 15ms e uma taxa de velocidade de 8Kbps. O
G.729B alem das caractersticas do G.729A, introduz tambem a supressao de silencio, ou
como originalmente e conhecido, o VAD (Voice Activity Detection), reduzindo a banda
necessaria para a transmissao em redes de dados ja que preve a transmissao de qualquer
tipo de frame sem atividade de voz. Assim como o G.723, a utilizaca o do codec G.729
tambem requer licenca para as patentes que cobrem o algoritmo. Este e um dos codecs
mais utilizados, sendo largamente utilizado nas transmissoes de VoIP pela internet.
A figura 3 apresenta a taxa de transferencia de codecs baseado no conceito de
MOS(Mean Opinion Score).

Figura 3. MOS de diferentes codecs

6. Principais Protocolos
Existem atualmente diversos protocolos utilizados para controle e sinalizaca o
de voz sobre IP em uma rede de dados, dos quais podemos citar o H.323 - padrao recomendado pelo ITU-T, SIP (Session Iniciation Protocol) padrao recomendado pelo IETF
(Internet Engineering Task Force) e o MGCP (Media Gateway Control Protocol).
O H.323, padrao recomendado pelo ITU-T e um dos protocolos mais utilizados
atualmente para a comunicaca o, sendo tambem um dos mais complexos. Ele foi
desenvolvido para a utilizaca o de trafego multimdia, podendo trafegar a udio,
vdeo e dados em uma rede baseada em IP, embora seja apenas obrigatorio a
utilizaca o de a udio.
O SIP, padrao recomendado pelo IETF e um protocolo de sinalizaca o simples
descrito na RFC 3261, baseado em protocolos de texto com o HTTP (Hypertext

Transfer Protocol) e o SMTP (Simple Mail Transfer Protocol), atuando no nvel

de aplicaca o, estabelecendo, modificando e terminando sessoes multimdia e ou
ligaco es. Juntamente com o H.323 e um dos protocolos mais utilizados atualmente, e sua simplicidade de arquitetura esta tornando-o o principal protocolo de
voz sobre IP desenvolvido especificamente para uso na Internet.
O MGCP, padronizaca o do IETF, e tambem conhecido como o protocolo MEGACO apos uma cooperaca o de trabalho entre os grupos ITU-T e IETF. E um
protocolo utilizado para a integraca o de redes SS7(Signaling System No. 7) com
a tecnologia VoIP.
Alem da utilizaca o de um protocolo de sinalizaca o, a arquitetura VoIP necessita
da utilizaca o de outros protocolos IP para o encapsulamento da voz, como o RTP (Realtime Transport Protocol) para o transporte de pacotes de voz e algoritmos de codificaca o
e decodificaca o de voz, os codecs.

7. O protocolo H.323
Conforme ja citado, o padrao ITU-T H.323 e uma serie de protocolos utilizados
para o trafego de voz, vdeo e dados em uma rede IP. Ele foi originalmente desenvolvido
pelo ITU-T em 1996 como um protocolo para realizar videoconferencias, permitindo que
clientes se conectassem entre si em uma LAN (Local Area Network) Ethernet. A partir
do seu desenvolvimento, o protocolo evoluiu, sendo utilizado largamente por grupos de
estudos e corporaco es que ajudaram a desenvolver e passaram a utiliza-lo na Internet. Sua
u ltima revisao e a H.323v7, liberada em 2009 pelo ITU-T. O protocolo foi desenvolvido
para trabalhar na camada de transporte do modelo OSI (Open System Interconnection), e
pode ser transportado em qualquer tipo de rede baseada em pacotes como Ethernet, TCP
(Transmission Control Protocol)/UDP(User Datagram Protocol)/IP, ATM(Asynchronous
Transfer Mode), and Frame Relay para prover comunicaca o multimdia em tempo real.
A recomendaca o H.323 faz parte de uma serie de outros protocolos desenvolvidos para
a comunicaca o multimdia. A pilha de protocolos da famlia H.323 pode ser visualizada
conforme figura 5. A serie conhecida como H.32X, inclui um lista de varios padroes que
sao aplicados ao H.323, conforme segue:
H.320: Padrao original de vdeo conferencia ISDN (Integrated Services Digital
Network)
H.323: Extensao do protocolo H.320 para vdeo conferencia por LANs, composta
pelos principais padroes:
H.225: Protocolo de controle de chamada
RAS (Registration, Admission and Status) Protocolo para registro, admissao e status de chamadas.
Q.931 Protocolo utilizado para estabelecer chamadas H.323.
H.245: Protocolo de controle de mdia
H.235: Protocolo para autenticaca o e criptografia
Outras recomendaco es tambem podem ser utilizadas em conjunto com o padrao H.323,
mas elas nao serao o foco deste artigo. Para ser possvel a comunicaca o entre dois terminais H.323 e necessario que ambos suportem H.245 para efetuar a negociaca o de capacidades e utilizaca o de canais, H.225 para controle da sinalizaca o e RTP/RTCP (Real Time

Control Protocol) para troca sequencial de pacotes de a udio e vdeo. Alem disso, o H.323
define quatro componentes principais para um sistema de comunicaca o baseado em rede:
terminais, gateways, gatekeepers e unidades de controle multiponto (MCU).
7.1. Terminais
Os terminais sao as extremidades da LAN, que efetuam a comunicaca o bidirecional em tempo real. Estes terminais sao utilizados para comunicaco es de voz e podem
opcionalmente dar suporte para comunicaco es de vdeo e dados. Um terminal inclui uma
unidade de controle de sistema, nvel H.225, interface de rede, uma unidade codec de
a udio, e opcionalmente uma unidade de codec de vdeo e aplicaco es de dados. Os terminais tambem podem ser conhecidos como os softphones, softwares para efetuar chamadas
VoIP.
7.2. Gateways
Os gateways H.323 sao utilizados para efetuar o estabelecimento de
comunicaca o entre terminais de diferentes tipos de redes. O tipo mais comum de gateway H.323 permite comunicaco es entre terminais H.323 e telefones da rede publica
de comutaca o de circuitos (PSTN). O gateway precisa oferecer traduco es entre diferentes
formatos de transmissao, procedimentos de comunicaco es e codecs de a udio. Ele tambem
pode efetuar a configuraca o das chamadas quando utilizado em uma comunicaca o ponto
a ponto sem a utilizaca o de um centralizador, ou um gatekeeper. Podemos citar gateways
que efetuam a comunicaca o com os principais tipos de tecnologias como:
H.323 ISDN Comunicaca o com telefonia digital.
H.323 FXO(Foreign eXchange Office) Comunicaca o com interfaces de um
operadora ou central telefonica PABX (Private Automatic Branch Exchange).
H.323 FXS(Foreign eXchange Subscriber) - Comunicaca o com interfaces
analogicas.
H.323 SIP Interoperabilidade com o protocolo SIP.
A figura 7 exibe gateways H.323 interligados com diferentes tipos de interfaces.

Figura 4. Gateways H.323

7.3. MCU
MCU (Multi Control Unit) e um componente central que realiza uma conferencia de chamadas possibilitando que 3 ou mais pessoas possam falar simultaneamente
em um rede exclusivamente H.323.
7.4. Gatekeepers
Gatekeepers oferecem servicos centralizadores de controle de chamada para extremidades H.323, efetuando o registro, admissao e controle destes. Alem disso, efetua
o roteamento, encaminhamento e a traduca o de endereco de chamadas efetuadas por terminais, gateways e outros gatekeepers. A utilizaca o de um gatekeeper em uma rede de
comunicaca o H.323 nao e obrigatoria, porem se estiver presente na rede a utilizaca o de
seus servicos e necessaria. Um gatekeeper pode oferecer os seguintes servicos:
Traduca o de endereco: O gatekeeper realiza a traduca o de endereco alias para
endereco de transporte.
Controle de admissao: Autoriza o acesso a` rede por meio de mensagens
ARQ(AdmissionRequest), ACF(AdmissionConfirm) e ARJ (AdmissionReject).
Gerenciamento e controle de largura de banda: O gatekeeper realiza
atraves das mensagens BRQ(BandwidthRequest), BRJ(BandwidthReject) e
BCF(BandwidthConfirm) o gerenciamento e controle de banda de modo a limitar o numero de conexoes simultaneas na rede.
Gerenciamento de zona: E possvel ao gatekeeper trabalhar com o conceito de
zonas. No gatekeeper, uma zona e um conjunto de gateways, terminais e gatekeepers diretamente conectados que podem trocar mensagens entre si a fim de rotear
chamadas.
Sinalizaca o de controle de chamada: O gatekeeper pode completar o procedimento de sinalizaca o de chamada com outras extremidades H.323 ou pode redirecionar o canal de sinalizaca o de chamada para outra extremidade.
Autorizaca o de chamadas: O gatekeeper pode efetuar a decisao de aceitar ou rejeitar uma chamada iniciada por uma entidade H.323.
Gerenciamento de chamada: O gatekeeper pode decidir o caminho que uma chamada deve seguir, a fim de controlar em qual extremidade H.323 a chamada deve
ser completada.
7.4.1. Operaca o do gatekeeper
O gatekeeper pode participar da sinalizaca o da chamada utilizando mensagens
de sinalizaca o descritas na recomendaca o H.225 do ITU-T. Neste processo sao realizados
5 fases:
Configuraca o de chamada: fase 1
Comunicaca o inicial e troca de capacidades: fase 2
Estabelecimento de comunicaca o audiovisual: fase 3
Servicos de chamada: fase 4
Termino de chamada: fase 5

Na fase 1, o gatekeeper realiza a troca de mensagens especificadas no H.225.

Esta troca de mensagens e realizada entre extremidades H.323 e o gatekeeper, quando
uma nova chamada e iniciada. Esta troca de mensagens inicial contem informaco es como
o endereco chamada ou o E.164 (numero de telefone), endereco do chamador, endereco
de transporte e diversos outros campos necessarios para o estabelecimento da chamada.
E nesta fase que o gatekeeper pode aceitar ou nao uma nova chamada, ou um registro de
uma nova entidade H.323.
Na fase 2, depois da autorizaca o realizada na fase 1, as extremidades podem trocar
capacidades atraves do protocolo H.245, descrito no decorrer do artigo.
Na fase 3, apos a troca de capacidades o protocolo H.245 configura um canal
logico aberto para diversas trocas de stream de informaca o.
Na fase 4, podem ocorrer operaco es como mudanca de largura de banda,
verificaca o de status de uma extremidade a fim de verificar se ela esta viva ou nao, expansao para conferencias, servicos suplementares, e pausa e novo roteamento iniciado por
dispositivos terceiros.
Na fase 5, ocorre o termino da chamada atraves de procedimentos para interromper a transmissao e fechamento de todos os canais logicos.
7.5. Recomendaca o ITU-T H.225
A recomendaca o H.225 e utilizada pelo protocolo H.323 para efetuar o controle
da sinalizaca o das chamadas que estabelece, controla e termina uma chamada H.323. A
sinalizaca o do H.225 e baseada nos procedimentos para controle de chamada em redes
ISDN, o Q.931. Alem disso, o protocolo efetua o controle de registro, admissao, e status
(RAS) entre endpoints e gatekepeers H.323. O protocolo H.225 pode tambem atraves de
um tunelamento encaminhar mensagens da recomendaca o H.245 como forma de atravessar firewalls e diminuir o tempo de troca de mensagens do protocolo H.245, conhecido
com procedimento rapido de troca de mensagens Fast Start na definica o da famlia
H.323.
7.6. Recomendaca o ITU-T H.245
O protocolo H.245 define a troca de capacidades realizada entre extremidades
H.323 para o controle multimdia. Esta troca define os tipos de codecs que serao utilizados, canais logicos que serao abertos ou fechados, mensagens de controle de fluxo,
controle de jitter, comandos e indicaco es gerais. O H.245 na primeira versao do H.323
efetuava um four-way handshake para a abertura de um canal logico, o que gerava atrasos no inicio de uma nova chamava. Com este problema, foi introduzido o procedimento
de Fast Connect, enviando as mensagens H.245 encapsuladas no protocolo H.225, realizando assim apenas um two-way handshake, e consequente diminuindo o tempo de
estabelecimento da chamada.
7.7. Recomendaca o ITU-T H.235
A recomendaca o H.235 e utilizada pelo padrao H.323 para incorporar a autenticidade, confidencialidade e integridade entre todos os componentes da famlia H.32X,
incluindo os protocolos H.225 e H.245 que sao responsaveis pela sinalizaca o das chamadas. Esta recomendaca o efetua processo de autenticaca o e criptografia entre a troca de

mensagens das extremidades H.323 de forma a garantir a seguranca do protocolo utilizando mecanismos de criptografia dos protocolos de suporte a` seguranca IPSEC (Internet
Protocol Security) ou TLS (Transport Layer Security).
7.8. Integraca o de redes
No H.323 e possvel a realizaca o de redes integradas (rede mesh), onde todos os
pontos podem compartilhar trafego de chamada. No padrao H.323 este conceito e definido
como zonas ou neighbors oferecendo uma maior disponibilidade e escalabilidade para a
rede VoIP.

8. O protocolo RTP/RTCP
O RTP (Real Time Transport Protocol) e um dos protocolos mais importantes
na arquitetura de voz sobre IP. O RTP oferece um mecanismo de remessa de ponta a
ponta, em tempo, para dados em tempo real, como a udio e vdeo. Ele trabalha em cima
do protocolo UDP e e utilizado para o envio de pacotes de voz codificados atraves de
um codec especfico. O RTP nao implementa controle de fluxo, nem garante a entrega
ordenada, porem conta com o RTCP para este controle.
O RTCP (Real Time Control Protocol) possui funcionalidade de controle para
aplicaco es em tempo real, como o VoIP. Ele implementa a monitoraca o de QoS e controle
de congestionamento, sincronismo intermdia e estimativa e escala do tamanho da sessao.
O RTCP trabalha em conjunto com o RTP para a ordenaca o e controle dos pacotes.

Figura 5. Pilha de protocolos H.323

9. QoS
QoS (Quality of Service) e a habilidade de prover diferentes prioridades baseados no tipo de aplicaca o em uma rede de dados. O trafego de voz em uma rede e crtico, e
precisa ter prioridade sobre os demais protocolos e aplicaco es. Existem diferentes mecanismos para a implementaca o de controle de servico que podem ser aplicados aos pacotes
de voz, cada um com suas caractersticas e aplicabilidade. A implementaca o de VoIP sem
a utilizaca o de QoS nao e recomendada, ja que implica em perda de qualidade das chamadas. A configuraca o de QoS deve ser realizada em todos os equipamentos (de nvel 2
e 3 do modelo OSI) em que o pacote de voz ira passar para que nao ocorram gargalos que
comprometam a qualidade do servico.

10. Principais problemas

10.1. Latencia
Latencia no VoIP pode ser considerada como o tempo necessario para a origem
enviar um pacote de voz e o destino receber, causando atrasos na recepca o da voz. A
latencia e influenciada pela distancia fsica, numero de hops de roteadores, encriptaca o
de dados, e codificaca o/descodificaca o de voz. Em uma ligaca o VoIP, uma pessoa pode
perceber o atraso quando a latencia for superior a 250ms, apesar da recomendaca o ITU-T
que a latencia total nunca deve ultrapassar os 150ms.
10.2. Jitter
Jitter e a variaca o de atraso dos pacotes de voz, quando estes atrasos impactam
na qualidade de uma conversaca o VoIP. O jitter ocorre quando pacotes de voz sao enviados
e recebidos em variaco es de tempos diferentes. Quando o jitter ocorre em um transmissao
de voz de um sistema VoIP, podem ocorrer sinais de eco e cortes na chamada realizada. A
ocorrencia de jitter ocorre em praticamente todas as transmissoes de voz realizas na rede
de dados. Existem algoritmos que podem ser utilizados para corrigir este problema, como
a utilizaca o de um buffer de jitter que e igual ao tempo medio de variaca o do jitter. Alem
disso, existem algoritmos de cancelamento de eco implementados no codec, que podem
ser utilizados em conjunto com o buffer para melhorar a qualidade da voz. A figura 6
demostra a ocorrencia de jitter.

Figura 6. Exemplo de Jitter

10.3. Perda de pacotes

A perda de pacotes durante uma transmissao de voz pela rede de dados e impactante, e pode inviabilizar a adoca o da tecnologia de VoIP. Como os pacotes de voz
trafegam pelo protocolo RTP/UDP, e nao sao retransmitidos, a falha de envio destes pacotes ira causar cortes na voz, impossibilitando uma conversaca o entre duas extremidades.
A perda de pacotes pode ocorrer por n razoes, que devem ser tratadas corretamente para
que o trafego de voz nao seja afetado.

10.4. Interoperabilidade
O H.323 e um protocolo complexo que precisa ter um padrao de configuraca o
entre todos os equipamentos que irao formar a rede VoIP. E comum em uma
implementaca o, com equipamentos de diferentes fabricantes e configuraco es distintas,
problemas de interoperabilidade que precisam de um longo perodo para adaptaca o e
homologaca o. Isto pode ser impactante quando e necessaria a integraca o de redes H.323
entre diferentes provedores de servicos que possuem estruturas totalmente diferentes.

11. Seguranca
Como a tecnologia de VoIP e algo relativamente novo, problemas
com seguranca comecaram a surgir nos u ltimos anos, comprometendo a trade
CID(Confidencialidade, Integridade e Disponibilidade). Abaixo sera apresentado algumas das vulnerabilidades encontradas em estudos de casos da tecnologia VoIP, e de forma
breve, como podem serem evitados estes tipos de ataques.
11.1. Ausencia de criptografia de voz
O protocolo RTP/RTCP utilizado para o trafego de pacotes de voz nao realiza
a criptografia dos dados. Da mesma forma, os codecs disponveis apresentados neste
artigo, nao oferecem uma camada extra para a aplicaca o de um algoritmo que realize a
cifragem da voz. Apesar dos codecs realizarem a codificaca o da voz, e possvel realizar
a descodificaca o dos pacotes, se houver algum comprometimento na estrutura da rede em
que seja possvel realizar a captura do trafego. Se imaginarmos este cenario na Internet,
o problema e mais agravante, uma vez que o pacote de voz pode percorrer caminhos
distintos, atraves de diferentes roteadores. Para a soluca o deste problema e possvel a
utilizaca o dos canais de voz, utilizando um tunel VPN (Virtual Private Nework) atraves
do protocolo IPSEC (IP Security) ou outro protocolo que forneca a cifragem do tunel.
Uma soluca o mais robusta e escalavel e a utilizaca o do protocolo SRTP(Secure Realtime Transport Protocol) que utiliza o mesmo protocolo RTP/RTCP, mas com a utilizaca o
de um algoritmo de cifragem que por padrao utiliza a cifra AES (Advanced Encryption
Standard). A soluca o do SRTP alem de prover a confiabilidade, integridade do trafego de
voz, e um protocolo recomendado para uso exclusivo de VoIP. Essa e uma soluca o que
ja esta implementada nos mais novos dispositivos de VoIP, e tende a ser a soluca o para
problemas de criptografia da voz.
11.2. Protocolos para configuraca o de equipamentos VoIP
Assim como em outros equipamentos de rede, dispositivos VoIP possuem os
protocolos HTTP e SNMP(Simple Network Management Protocol) para a configuraca o
do equipamento. Como geralmente estes equipamentos estao ligados na Internet, se nao
forem configurados de forma correta, podem ficar vulneraveis a acessos indevidos utilizando os protocolos padroes, possibilitando a um atacante que tenha condico es de abrir
portas para que consiga efetuar chamadas. A soluca o para este problema e certificaca o
de que o equipamento foi configurado corretamente a fim de nao permitir acesso indevido, utilizaca o de equipamentos como firewalls, que possam aumentar a seguranca da
rede VoIP, alem de protocolos que garantam a criptografia na configuraca o de um equipamento na internet.

11.3. Ataques de negaca o de servico

A tecnologia VoIP e suscetvel a alguns ataques de DoS(Denial of Service).
Apesar de existirem equipamentos dedicados para a realizaca o de chamadas VoIP, estes
podem ser alvos de ataques DDOS por computadores que possuem um poder de processamento muito alto, degradando a performance do equipamento e consequentemente das
chamadas realizadas. Um ataque do tipo TCP/IP SYN Flood pode facilmente comprometer a qualidade de um servico VoIP. No padrao H.323, a utilizaca o do protocolo H.225
tambem pode ser vulneravel a ataques de DoS se o atacante enviar milhares de solicitaco es
a este protocolo. Nao ha soluco es que oferecam uma completa garantia contra este tipo
de ataque, mas a utilizaca o de um controle de autenticaca o para o protocolo H.225 em
uma rede H.323 e a utilizaca o de firewalls podem reduzir consideravelmente a ocorrencia
deste problema.

12. Proxy entre rede VoIP e a rede PSTN

Um ou mais gateways de voz H.323 que possuam centenas de portas ligadas diretamente na rede PSTN e na Internet, pode ser uma grande atrativo para atacantes. Estes
equipamentos, se comprometidos, podem ser utilizados para a realizaca o de milhares de
chamadas em qualquer lugar do mundo, causando prejuzos inestimaveis a` operadora do
servico. A soluca o para este tipo de problema e a correta configuraca o dos equipamentos, a utilizaca o de firewalls e sistemas de monitoramento que garantam a proteca o aos
equipamentos.
12.1. Implementaca o
Para a implementaca o de uma estrutura de VoIP baseado no padrao H.323 foram
utilizados os seguintes componentes:
S.O. Linux Centos 5.5 - Sistema Operacional Linux
OpenH323 - Biblioteca do protocolo H.323.
Gnugk - Gatekeeper para o protocolo H323.
Ekiga Softphone - Softphone.
Mediatrix 1102 - Gateway de voz H.323 com duas portas FXS.
Wireshark - Analisador de trafego utilizado para capturar os pacotes de voz.
No cenario criado, a partir da instalaca o do gatekeeper no sistema operacional
Centos 5.5, foi possvel configurar o softphone e o gateway de voz para o registro no
gatekeeper. O softphone recebeu a numeraca o (E.164) 10 e o gateway de voz recebeu a
numeraca o 200. Apos o registro de ambas as extremidades no gatekeeper, foi realizado
atraves do softphone uma chamada para o gateway de voz, estando o Wireshark executado
e efetuando a captura dos pacotes. Apos a troca de capacidades realizada pelo protocolo
H.245 durante a execuca o da chamada, verificou-se que o codec escolhido na troca para
efetuar a codificaca o da voz, foi o G.711U. Como o Wireshark possui nativamente um
descodificador do codec G.711, foi possvel efetuar a captura dos pacotes de voz, descodificar, e atraves de um player de mdia nativo do Wireshark, executar a conversaca o da

chamada no dispositivo de som do computador. Confirme a figura 7, e possvel verificar

a captura de pacotes de voz realizada pelo Wireshark.
Verificou-se assim, a vulnerabilidade basica que a arquitetura RTP e o codec
G.711 pode apresentar, permitindo que atacantes obtenham acesso ao conteudo falado
durante as chamadas.

Figura 7. Captura de pacotes de voz pelo Wireshark

13. Conclusao
Este trabalho procurou entender de modo geral como e realizado a transmissao
do trafego de voz em redes de dados existentes atualmente, utilizando a recomendaca o
ITU-T H.323. Conclumos que o padrao H.323 e robusto e escalavel apesar de sua grande
complexidade. Foi possvel concluir que o VoIP e de fato uma tecnologia promissora
mas que possui problemas de seguranca que precisam de estudo e analise principalmente
quanto a` sua disponibilidade, que ainda demonstra ser muito vulneravel. Trabalhos futuros irao demonstrar como funciona detalhadamente o protocolo SIP e quais sao as suas
vantagens e desvantagens em relaca o ao protocolo H.323.

Referencias Bibliograficas
AMES Peter,MANOJ Bathia,SATISH Kalidini,SUDIPTO Mukherjee, Fundamentos de
VoIP, Edica o: 2, 2008
HOWDHURY,Dhiman D., Projetos Avancados de Redes IP, Ano 2002
[H.323],
H.323
STANDARDS,
2010
Disponvel
http://www.packetizer.com/ipmc/h323/standards.html, Acesso em: 25/05/2010

em:

[H.323], A Primer on the H.323 Series Standard Version 2.0, 2010 Disponvel em:
http://www.packetizer.com/ipmc/h323/papers/primer, Acesso em: 24/05/2010
[H.225], Recommendation H.225.0, 2009 Disponvel em http://www.itu.int/rec/T-RECH.225.0-200912-I/en, Acesso em: 26/05/2010
[H.323],
H.323
and
Associated
Protocols,
1999
Disponvel
em
http://www.cs.wustl.edu/ jain/cis788-99/ftp/h323/index.html, Acesso em: 26/05/2010
[H.235], H.235 Implementors Guide, 2005 Disponvel em http://www.itu.int/ITUT/studygroups/com16/ig-files/h.235-0508.pdf, Acesso em: 24/05/2010
[G.729], Coding of speech at 8 kbit/s using conjugate-structure algebraic-code-excited linear prediction (CS-ACELP), 2009 Disponvel em http://www.itu.int/rec/T-REC-G.729/e,
Acesso em: 22/05/2010
[MGCP], Media Gateway Control Protocol (MGCP), 2006 Disponvel em
http://www.cisco.com/en/US/tech/tk652/tk701/tk419/tsdt echnologys upports ub

protocolh ome.html, Acessoem : 20/05/2010

[RFC3435], Media Gateway Control Protocol (MGCP), 2003 Disponvel em
http://tools.ietf.org/html/rfc3435, Acesso em 20/05/2010
[RFC3711], The Secure Real-time Transport Protocol (SRTP), 2004 Disponvel em
http://www.ietf.org/rfc/rfc3711.txt, Acesso em 25/05/2010
[GNUGK], OpenH323 Gatekeeper, 2010 Disponvel em http://www.gnugk.org, Acesso
em 25/05/2010
[H.323], H.323: Um padrao para sistemas de comunicaca o multimdia baseado em
pacotes, 2001 Disponvel em http://www.rnp.br/newsgen/0111/h323.html, Acesso em
24/05/2010
[RFC5117],
RTP
Topologies,
2008
Disponvel
http://www.faqs.org/rfcs/rfc5117.html, Acesso em 24/05/2010

em

RTP

[H.323], H.323 Mediated Voice over IP: Protocols, Vulnerabilities and Remediation, 2004
Disponvel em http://www.symantec.com/connect/articles/h323-mediated-voice-over-ipprotocols-vulnerabilities-amp-remediation, Acesso em 24/05/2010
[H.323], Security Guide for H.323 Videoconferencing, 2004 Disponvel em
http://www.ja.net/documents/services/video/vtas/323security.pdf. Acesso em 24/05/2010
[H.225], International Telecommunication Union Telecommunication Standardization
Sector ITU-T, Call signalling protocols and media stream packetization for packet-based
multimedia communication systems, 2009

[H.235], International Telecommunication Union Telecommunication Standardization

Sector ITU-T, Security and encryption for H-Series (H.323 and other H.245-based) multimedia terminals, 1998
[H.323].
Definico es do protocolo H.323,
http://www.openh323.org. Acesso em 24/05/2010

2010.

[H.323], Paul E. Jones, Packetizer, H.323 Protocol Overview, 2007

Disponvel

em: