VoIP - Voz sobre IP, uma analise do protocolo H.323Seguranca da Informacao

Marcelo Dieder1

1Seguranca da InformacaoUniversidade do Vale do Rio dos Sinos - UNISINOS

Sao Leopoldo – RS – Brazil

{mdieder@sinos.net}

Resumo. O objetivo desse artigo e demonstrar as principais tecnologias de vozsobre IP, com enfase no padrao ITU-T H.323. Sera apresentado uma visao geraldo protocolo VoIP, sua historia, como e realizado a digitalizacao da voz, umresumo sobre os principais protocolos utilizados atualmente e uma descricaodetalhada sobre o padrao H.323. Por fim, pretende-se mostrar os principaisproblemas e uma analise de seguranca sobre a tecnologia de VoIP. O artigo podeser utilizado como base para estudos e implementacao de novas arquiteturasbaseadas em voz sobre IP.

Abstract. The objective of this article is to demonstrate the main technologiesof voice over IP, with emphasis on standard ITU-T H.323. Will be presented anoverview of the VoIP protocol, its history, how it’s performed the digitization ofvoice, a summary of the main protocols used today, and a detailed descriptionof the H.323 standard. Finally, we shall show the main problems and a securityanalysis on the technology of VoIP.

1. IntroducaoVoIP e uma grande tecnologia emergente que um dia ira substituir completa-

mente o sistema telefonico tradicional. Ao mesmo tempo, existem diversos padroes paraa aplicacao da tecnologia, cada uma com suas vantagens e caracterısticas. Como voz so-bre IP e um padrao novo, existem diversos problemas quanto a sua seguranca, com o riscode comprometer o crescimento e a sustentabilidade da tecnologia. O artigo visa demons-trar como foi desenvolvido o padrao, em que situacao estamos atualmente, demonstra ascaracterısticas da recomendacao ITU-T H.323, e apresenta quais sao os principais proble-mas de seguranca e as estrategias para mitigar estes riscos.

2. Visao geral do servico de voz sobre o protocolo IPVoz sobre IP, ou VoIP (Voice over Internet Protocol) como tambem e conhe-

cido, e uma tecnologia que permite a digitalizacao da voz humana para transmissao emuma rede de dados IP (Internet Protocol), permitindo que pessoas possam conversar entresi utilizando as mesmas redes de dados existentes, eliminando assim as tarifas de longadistancia ocasionadas atraves de chamadas PSTNs (Public Switched Telephone Network).Foi este grande benefıcio que fez com que a tecnologia de voz sobre IP alavancasse gran-des investimentos e pesquisas por parte de grandes empresas, para homologar a novatecnologia que prometia a reducao de custos, e menor administracao. Nao ha duvida que

o VoIP e uma das tecnologias que mais cresce no setor de telecomunicacoes, oferecendoaos provedores de servicos uma grande oportunidade de crescimento atraves de servicosde valor agregado.

3. Historia

A primeira transmissao de voz foi realizada no ano de 1876 por AlexanderGraham Bell atraves de um circuito direto. Na ligacao realizada atraves do circuito di-reto nao havia a discagem de numeros, mas sim apenas uma conexao fısica de fios entredois dispositivos. Neste modelo a comunicacao era unidirecional, permitindo apenas umlado falar por vez. Com o passar do tempo a tecnologia de transmissao de voz evoluiu,passando a ser bidirecional, permitindo dois lados de uma conversacao a falar ao mesmotempo e ainda integrando-se a milhares de outros pontos, formando uma rede telefonicaintegrada.

Na decada de 90, as redes de dados comecaram a trafegar sobre circuitos que ateentao eram exclusivos para a telefonia. Com o aumento da demanda por conexoes de da-dos, elas sobrepuseram a voz como trafego primario em muitas redes que ate entao eramespecıficas para voz. Comecou a surgir entao a necessidade de trafegar a voz sobre a redede dados, iniciando o desenvolvimento de uma nova tecnologia, o VoIP. Em 1995, umaempresa de Israel iniciou um projeto de desenvolvimento da tecnologia, digitalizando,comprimindo e transmitindo a voz em uma rede de dados. A tecnologia evoluiu, cri-ando diversos padroes aderidos por grande parte do mundo como um novo padrao para atelefonia, reduzindo custos e proporcionando uma capacidade de expansao.

4. Digitalizacao da Voz

Tudo o que escutamos esta na forma analogica. Da mesma forma, a rede te-lefonica ate alguns anos atras tambem trabalhava de forma analogica. Posteriormente, arede telefonica evoluiu e passou a trabalhar em redes digitais que garantiam uma maiorconfiabilidade e qualidade. A transformacao de um sinal analogico para um sinal digital erealizado atraves da modulacao por codigo de pulso PCM (Pulse Code Modulation), quee o metodo mais utilizado para a comunicacao de voz em fluxo digital. A grande van-tagem deste protocolo e sua retransmissao, permitindo a possibilidade de transmissoes alongos alcances sem a perda de qualidade, o que nao e possıvel com a rede analogica. NoVoIP, a transmissao da voz e realizada atraves da voz digitalizada. E possıvel dividi-laem pequenos pacotes IP que sao transmitidos em conjunto com outros pacotes de dados -estes pacotes sao recebidos em outra ponta, sao remontados e transformados novamenteem voz. Conforme as figuras 1 e 2, podemos verificar o comportamento de um sinalanalogico e um sinal digital.

Figura 1. Onda de um sinal analogico

Figura 2. Transmissao de um sinal digital

5. CodecPodemos definir codec como um algoritmo que codifica e descodifica sinais

de voz e ou vıdeo para transmissao em uma rede de dados digitais. O codec efetua acodificacao de um sinal, transmite em uma rede de dados digital, e descodifica na outraponta. Codecs sao utilizados para codificar e descodificar (ou compactando e descom-pactando) varios tipos de dados com o proposito de diminuir o tamanho da informacaoe utilizar menos recursos do que sua forma descodificada utilizaria, economizando as-sim a banda disponıvel em uma rede de dados por exemplo. Em um sistema de telefo-nia IP a utilizacao de um codec e essencial. E atraves do codec que um sistema VoIPse torna viavel, possibilitando que varios canais de voz possam ser transmitidos em ummesmo canal de dados. Existem diversos tipos de codecs e que utilizam formas diferentesde codificacao e compactacao dos quais podemos listar os mais utilizados na tecnologiaVoIP:

G.711 – A recomendacao da ITU-T(Telecommunication Standardization Sector)e o padrao internacional para codificacao de audio telefonico em um canal de 64Kbps. OG.711 pode codificar frequencias entre 0 a 4 kHz e tem duas variantes, a lei A (G.711A)e a lei (G.711U). A lei A e o padrao para os circuitos internacionais.

G.723 – A recomendacao G.723.1 da ITU-T define o requisito para um codec debaixa velocidade (5,3 e 6,3 Kbps). O codec G.723 pode aceitar duas taxas diferentesde bits, de 5,3 e 6,3 Kbps e efetua a codificacao em frames de 30ms, introduzindo umretardo algorıtmico total de 37.5ms. A versao do G.723 de 6.3 Kbps oferece uma maiorqualidade para a codificacao da fala. O G.723 e utilizado principalmente em transmissoes

para VoIP, apesar de existirem outros codecs com qualidade superior e que utilizam umataxa de dados semelhante. O uso do G.723 requer uma licenca para as patentes quecobrem o algoritmo.

G.729 – O codec G.729 e o padrao ITU-T para transmissoes em redes de dadosutilizando uma pequena taxa de largura de banda e oferecendo uma excelente qualidade deaudio. O G.729 tem diversas variantes, dentre as quais podemos citar as duas principais,o G.729 Annex A e o G.729 Annex B. O G.729A efetua a codificacao em frames de 10msintroduzindo um retardo algorıtmico total de 15ms e uma taxa de velocidade de 8Kbps. OG.729B alem das caracterısticas do G.729A, introduz tambem a supressao de silencio, oucomo originalmente e conhecido, o VAD (Voice Activity Detection), reduzindo a bandanecessaria para a transmissao em redes de dados ja que preve a transmissao de qualquertipo de frame sem atividade de voz. Assim como o G.723, a utilizacao do codec G.729tambem requer licenca para as patentes que cobrem o algoritmo. Este e um dos codecsmais utilizados, sendo largamente utilizado nas transmissoes de VoIP pela internet.

A figura 3 apresenta a taxa de transferencia de codecs baseado no conceito deMOS(Mean Opinion Score).

Figura 3. MOS de diferentes codecs

6. Principais ProtocolosExistem atualmente diversos protocolos utilizados para controle e sinalizacao

de voz sobre IP em uma rede de dados, dos quais podemos citar o H.323 - padrao reco-mendado pelo ITU-T, SIP (Session Iniciation Protocol) – padrao recomendado pelo IETF(Internet Engineering Task Force) e o MGCP (Media Gateway Control Protocol).

• O H.323, padrao recomendado pelo ITU-T e um dos protocolos mais utilizadosatualmente para a comunicacao, sendo tambem um dos mais complexos. Ele foidesenvolvido para a utilizacao de trafego multimıdia, podendo trafegar audio,vıdeo e dados em uma rede baseada em IP, embora seja apenas obrigatorio autilizacao de audio.

• O SIP, padrao recomendado pelo IETF e um protocolo de sinalizacao simplesdescrito na RFC 3261, baseado em protocolos de texto com o HTTP (Hypertext

Transfer Protocol) e o SMTP (Simple Mail Transfer Protocol), atuando no nıvelde aplicacao, estabelecendo, modificando e terminando sessoes multimıdia e ouligacoes. Juntamente com o H.323 e um dos protocolos mais utilizados atual-mente, e sua simplicidade de arquitetura esta tornando-o o principal protocolo devoz sobre IP desenvolvido especificamente para uso na Internet.

• O MGCP, padronizacao do IETF, e tambem conhecido como o protocolo ME-GACO apos uma cooperacao de trabalho entre os grupos ITU-T e IETF. E umprotocolo utilizado para a integracao de redes SS7(Signaling System No. 7) coma tecnologia VoIP.

Alem da utilizacao de um protocolo de sinalizacao, a arquitetura VoIP necessitada utilizacao de outros protocolos IP para o encapsulamento da voz, como o RTP (Real-time Transport Protocol) para o transporte de pacotes de voz e algoritmos de codificacaoe decodificacao de voz, os codecs.

7. O protocolo H.323Conforme ja citado, o padrao ITU-T H.323 e uma serie de protocolos utilizados

para o trafego de voz, vıdeo e dados em uma rede IP. Ele foi originalmente desenvolvidopelo ITU-T em 1996 como um protocolo para realizar videoconferencias, permitindo queclientes se conectassem entre si em uma LAN (Local Area Network) Ethernet. A partirdo seu desenvolvimento, o protocolo evoluiu, sendo utilizado largamente por grupos deestudos e corporacoes que ajudaram a desenvolver e passaram a utiliza-lo na Internet. Suaultima revisao e a H.323v7, liberada em 2009 pelo ITU-T. O protocolo foi desenvolvidopara trabalhar na camada de transporte do modelo OSI (Open System Interconnection), epode ser transportado em qualquer tipo de rede baseada em pacotes como Ethernet, TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)/IP, ATM(AsynchronousTransfer Mode), and Frame Relay para prover comunicacao multimıdia em tempo real.A recomendacao H.323 faz parte de uma serie de outros protocolos desenvolvidos paraa comunicacao multimıdia. A pilha de protocolos da famılia H.323 pode ser visualizadaconforme figura 5. A serie conhecida como H.32X, inclui um lista de varios padroes quesao aplicados ao H.323, conforme segue:

• H.320: Padrao original de vıdeo conferencia ISDN (Integrated Services DigitalNetwork)

• H.323: Extensao do protocolo H.320 para vıdeo conferencia por LANs, compostapelos principais padroes:

– H.225: Protocolo de controle de chamada∗ RAS (Registration, Admission and Status) – Protocolo para regis-

tro, admissao e status de chamadas.∗ Q.931 – Protocolo utilizado para estabelecer chamadas H.323.

– H.245: Protocolo de controle de mıdia– H.235: Protocolo para autenticacao e criptografia

Outras recomendacoes tambem podem ser utilizadas em conjunto com o padrao H.323,mas elas nao serao o foco deste artigo. Para ser possıvel a comunicacao entre dois termi-nais H.323 e necessario que ambos suportem H.245 para efetuar a negociacao de capaci-dades e utilizacao de canais, H.225 para controle da sinalizacao e RTP/RTCP (Real Time

Control Protocol) para troca sequencial de pacotes de audio e vıdeo. Alem disso, o H.323define quatro componentes principais para um sistema de comunicacao baseado em rede:terminais, gateways, gatekeepers e unidades de controle multiponto (MCU).

7.1. TerminaisOs terminais sao as extremidades da LAN, que efetuam a comunicacao bidire-

cional em tempo real. Estes terminais sao utilizados para comunicacoes de voz e podemopcionalmente dar suporte para comunicacoes de vıdeo e dados. Um terminal inclui umaunidade de controle de sistema, nıvel H.225, interface de rede, uma unidade codec deaudio, e opcionalmente uma unidade de codec de vıdeo e aplicacoes de dados. Os termi-nais tambem podem ser conhecidos como os softphones, softwares para efetuar chamadasVoIP.

7.2. GatewaysOs gateways H.323 sao utilizados para efetuar o estabelecimento de

comunicacao entre terminais de diferentes tipos de redes. O tipo mais comum de ga-teway H.323 permite comunicacoes entre terminais H.323 e telefones da rede publicade comutacao de circuitos (PSTN). O gateway precisa oferecer traducoes entre diferentesformatos de transmissao, procedimentos de comunicacoes e codecs de audio. Ele tambempode efetuar a configuracao das chamadas quando utilizado em uma comunicacao pontoa ponto sem a utilizacao de um centralizador, ou um gatekeeper. Podemos citar gatewaysque efetuam a comunicacao com os principais tipos de tecnologias como:

• H.323 – ISDN – Comunicacao com telefonia digital.

• H.323 – FXO(Foreign eXchange Office) – Comunicacao com interfaces de umoperadora ou central telefonica PABX (Private Automatic Branch Exchange).

• H.323 – FXS(Foreign eXchange Subscriber) - Comunicacao com interfacesanalogicas.

• H.323 – SIP – Interoperabilidade com o protocolo SIP.

A figura 7 exibe gateways H.323 interligados com diferentes tipos de interfaces.

Figura 4. Gateways H.323

7.3. MCUMCU (Multi Control Unit) e um componente central que realiza uma con-

ferencia de chamadas possibilitando que 3 ou mais pessoas possam falar simultaneamenteem um rede exclusivamente H.323.

7.4. GatekeepersGatekeepers oferecem servicos centralizadores de controle de chamada para ex-

tremidades H.323, efetuando o registro, admissao e controle destes. Alem disso, efetuao roteamento, encaminhamento e a traducao de endereco de chamadas efetuadas por ter-minais, gateways e outros gatekeepers. A utilizacao de um gatekeeper em uma rede decomunicacao H.323 nao e obrigatoria, porem se estiver presente na rede a utilizacao deseus servicos e necessaria. Um gatekeeper pode oferecer os seguintes servicos:

• Traducao de endereco: O gatekeeper realiza a traducao de endereco alias paraendereco de transporte.

• Controle de admissao: Autoriza o acesso a rede por meio de mensagensARQ(AdmissionRequest), ACF(AdmissionConfirm) e ARJ (AdmissionReject).

• Gerenciamento e controle de largura de banda: O gatekeeper realizaatraves das mensagens BRQ(BandwidthRequest), BRJ(BandwidthReject) eBCF(BandwidthConfirm) o gerenciamento e controle de banda de modo a limi-tar o numero de conexoes simultaneas na rede.

• Gerenciamento de zona: E possıvel ao gatekeeper trabalhar com o conceito dezonas. No gatekeeper, uma zona e um conjunto de gateways, terminais e gatekee-pers diretamente conectados que podem trocar mensagens entre si a fim de rotearchamadas.

• Sinalizacao de controle de chamada: O gatekeeper pode completar o procedi-mento de sinalizacao de chamada com outras extremidades H.323 ou pode redire-cionar o canal de sinalizacao de chamada para outra extremidade.

• Autorizacao de chamadas: O gatekeeper pode efetuar a decisao de aceitar ou re-jeitar uma chamada iniciada por uma entidade H.323.

• Gerenciamento de chamada: O gatekeeper pode decidir o caminho que uma cha-mada deve seguir, a fim de controlar em qual extremidade H.323 a chamada deveser completada.

7.4.1. Operacao do gatekeeper

O gatekeeper pode participar da sinalizacao da chamada utilizando mensagensde sinalizacao descritas na recomendacao H.225 do ITU-T. Neste processo sao realizados5 fases:

• Configuracao de chamada: fase 1

• Comunicacao inicial e troca de capacidades: fase 2

• Estabelecimento de comunicacao audiovisual: fase 3

• Servicos de chamada: fase 4

• Termino de chamada: fase 5

Na fase 1, o gatekeeper realiza a troca de mensagens especificadas no H.225.Esta troca de mensagens e realizada entre extremidades H.323 e o gatekeeper, quandouma nova chamada e iniciada. Esta troca de mensagens inicial contem informacoes comoo endereco chamada ou o E.164 (numero de telefone), endereco do chamador, enderecode transporte e diversos outros campos necessarios para o estabelecimento da chamada.E nesta fase que o gatekeeper pode aceitar ou nao uma nova chamada, ou um registro deuma nova entidade H.323.

Na fase 2, depois da autorizacao realizada na fase 1, as extremidades podem trocarcapacidades atraves do protocolo H.245, descrito no decorrer do artigo.

Na fase 3, apos a troca de capacidades o protocolo H.245 configura um canallogico aberto para diversas trocas de stream de informacao.

Na fase 4, podem ocorrer operacoes como mudanca de largura de banda,verificacao de status de uma extremidade a fim de verificar se ela esta viva ou nao, ex-pansao para conferencias, servicos suplementares, e pausa e novo roteamento iniciado pordispositivos terceiros.

Na fase 5, ocorre o termino da chamada atraves de procedimentos para interrom-per a transmissao e fechamento de todos os canais logicos.

7.5. Recomendacao ITU-T H.225A recomendacao H.225 e utilizada pelo protocolo H.323 para efetuar o controle

da sinalizacao das chamadas que estabelece, controla e termina uma chamada H.323. Asinalizacao do H.225 e baseada nos procedimentos para controle de chamada em redesISDN, o Q.931. Alem disso, o protocolo efetua o controle de registro, admissao, e status(RAS) entre endpoints e gatekepeers H.323. O protocolo H.225 pode tambem atraves deum tunelamento encaminhar mensagens da recomendacao H.245 como forma de atraves-sar firewalls e diminuir o tempo de troca de mensagens do protocolo H.245, conhecidocom procedimento rapido de troca de mensagens “Fast Start” na definicao da famıliaH.323.

7.6. Recomendacao ITU-T H.245O protocolo H.245 define a troca de capacidades realizada entre extremidades

H.323 para o controle multimıdia. Esta troca define os tipos de codecs que serao uti-lizados, canais logicos que serao abertos ou fechados, mensagens de controle de fluxo,controle de jitter, comandos e indicacoes gerais. O H.245 na primeira versao do H.323efetuava um four-way handshake para a abertura de um canal logico, o que gerava atra-sos no inicio de uma nova chamava. Com este problema, foi introduzido o procedimentode “Fast Connect”, enviando as mensagens H.245 encapsuladas no protocolo H.225, re-alizando assim apenas um two-way handshake, e consequente diminuindo o tempo deestabelecimento da chamada.

7.7. Recomendacao ITU-T H.235A recomendacao H.235 e utilizada pelo padrao H.323 para incorporar a auten-

ticidade, confidencialidade e integridade entre todos os componentes da famılia H.32X,incluindo os protocolos H.225 e H.245 que sao responsaveis pela sinalizacao das chama-das. Esta recomendacao efetua processo de autenticacao e criptografia entre a troca de

mensagens das extremidades H.323 de forma a garantir a seguranca do protocolo utili-zando mecanismos de criptografia dos protocolos de suporte a seguranca IPSEC (InternetProtocol Security) ou TLS (Transport Layer Security).

7.8. Integracao de redesNo H.323 e possıvel a realizacao de redes integradas (rede mesh), onde todos os

pontos podem compartilhar trafego de chamada. No padrao H.323 este conceito e definidocomo zonas ou neighbors oferecendo uma maior disponibilidade e escalabilidade para arede VoIP.

8. O protocolo RTP/RTCPO RTP (Real Time Transport Protocol) e um dos protocolos mais importantes

na arquitetura de voz sobre IP. O RTP oferece um mecanismo de remessa de ponta aponta, em tempo, para dados em tempo real, como audio e vıdeo. Ele trabalha em cimado protocolo UDP e e utilizado para o envio de pacotes de voz codificados atraves deum codec especıfico. O RTP nao implementa controle de fluxo, nem garante a entregaordenada, porem conta com o RTCP para este controle.

O RTCP (Real Time Control Protocol) possui funcionalidade de controle paraaplicacoes em tempo real, como o VoIP. Ele implementa a monitoracao de QoS e controlede congestionamento, sincronismo intermıdia e estimativa e escala do tamanho da sessao.O RTCP trabalha em conjunto com o RTP para a ordenacao e controle dos pacotes.

Figura 5. Pilha de protocolos H.323

9. QoS

QoS (Quality of Service) e a habilidade de prover diferentes prioridades basea-dos no tipo de aplicacao em uma rede de dados. O trafego de voz em uma rede e crıtico, eprecisa ter prioridade sobre os demais protocolos e aplicacoes. Existem diferentes meca-nismos para a implementacao de controle de servico que podem ser aplicados aos pacotesde voz, cada um com suas caracterısticas e aplicabilidade. A implementacao de VoIP sema utilizacao de QoS nao e recomendada, ja que implica em perda de qualidade das cha-madas. A configuracao de QoS deve ser realizada em todos os equipamentos (de nıvel 2e 3 do modelo OSI) em que o pacote de voz ira passar para que nao ocorram gargalos quecomprometam a qualidade do servico.

10. Principais problemas

10.1. Latencia

Latencia no VoIP pode ser considerada como o tempo necessario para a origemenviar um pacote de voz e o destino receber, causando atrasos na recepcao da voz. Alatencia e influenciada pela distancia fısica, numero de hops de roteadores, encriptacaode dados, e codificacao/descodificacao de voz. Em uma ligacao VoIP, uma pessoa podeperceber o atraso quando a latencia for superior a 250ms, apesar da recomendacao ITU-Tque a latencia total nunca deve ultrapassar os 150ms.

10.2. Jitter

Jitter e a variacao de atraso dos pacotes de voz, quando estes atrasos impactamna qualidade de uma conversacao VoIP. O jitter ocorre quando pacotes de voz sao enviadose recebidos em variacoes de tempos diferentes. Quando o jitter ocorre em um transmissaode voz de um sistema VoIP, podem ocorrer sinais de eco e cortes na chamada realizada. Aocorrencia de jitter ocorre em praticamente todas as transmissoes de voz realizas na redede dados. Existem algoritmos que podem ser utilizados para corrigir este problema, comoa utilizacao de um buffer de jitter que e igual ao tempo medio de variacao do jitter. Alemdisso, existem algoritmos de cancelamento de eco implementados no codec, que podemser utilizados em conjunto com o buffer para melhorar a qualidade da voz. A figura 6demostra a ocorrencia de jitter.

Figura 6. Exemplo de Jitter

10.3. Perda de pacotes

A perda de pacotes durante uma transmissao de voz pela rede de dados e im-pactante, e pode inviabilizar a adocao da tecnologia de VoIP. Como os pacotes de voztrafegam pelo protocolo RTP/UDP, e nao sao retransmitidos, a falha de envio destes paco-tes ira causar cortes na voz, impossibilitando uma conversacao entre duas extremidades.A perda de pacotes pode ocorrer por n razoes, que devem ser tratadas corretamente paraque o trafego de voz nao seja afetado.

10.4. Interoperabilidade

O H.323 e um protocolo complexo que precisa ter um padrao de configuracaoentre todos os equipamentos que irao formar a rede VoIP. E comum em umaimplementacao, com equipamentos de diferentes fabricantes e configuracoes distintas,problemas de interoperabilidade que precisam de um longo perıodo para adaptacao ehomologacao. Isto pode ser impactante quando e necessaria a integracao de redes H.323entre diferentes provedores de servicos que possuem estruturas totalmente diferentes.

11. Seguranca

Como a tecnologia de VoIP e algo relativamente novo, problemascom seguranca comecaram a surgir nos ultimos anos, comprometendo a trıadeCID(Confidencialidade, Integridade e Disponibilidade). Abaixo sera apresentado algu-mas das vulnerabilidades encontradas em estudos de casos da tecnologia VoIP, e de formabreve, como podem serem evitados estes tipos de ataques.

11.1. Ausencia de criptografia de voz

O protocolo RTP/RTCP utilizado para o trafego de pacotes de voz nao realizaa criptografia dos dados. Da mesma forma, os codecs disponıveis apresentados nesteartigo, nao oferecem uma camada extra para a aplicacao de um algoritmo que realize acifragem da voz. Apesar dos codecs realizarem a codificacao da voz, e possıvel realizara descodificacao dos pacotes, se houver algum comprometimento na estrutura da rede emque seja possıvel realizar a captura do trafego. Se imaginarmos este cenario na Internet,o problema e mais agravante, uma vez que o pacote de voz pode percorrer caminhosdistintos, atraves de diferentes roteadores. Para a solucao deste problema e possıvel autilizacao dos canais de voz, utilizando um tunel VPN (Virtual Private Nework) atravesdo protocolo IPSEC (IP Security) ou outro protocolo que forneca a cifragem do tunel.Uma solucao mais robusta e escalavel e a utilizacao do protocolo SRTP(Secure Real-time Transport Protocol) que utiliza o mesmo protocolo RTP/RTCP, mas com a utilizacaode um algoritmo de cifragem que por padrao utiliza a cifra AES (Advanced EncryptionStandard). A solucao do SRTP alem de prover a confiabilidade, integridade do trafego devoz, e um protocolo recomendado para uso exclusivo de VoIP. Essa e uma solucao queja esta implementada nos mais novos dispositivos de VoIP, e tende a ser a solucao paraproblemas de criptografia da voz.

11.2. Protocolos para configuracao de equipamentos VoIP

Assim como em outros equipamentos de rede, dispositivos VoIP possuem osprotocolos HTTP e SNMP(Simple Network Management Protocol) para a configuracaodo equipamento. Como geralmente estes equipamentos estao ligados na Internet, se naoforem configurados de forma correta, podem ficar vulneraveis a acessos indevidos utili-zando os protocolos padroes, possibilitando a um atacante que tenha condicoes de abrirportas para que consiga efetuar chamadas. A solucao para este problema e certificacaode que o equipamento foi configurado corretamente a fim de nao permitir acesso inde-vido, utilizacao de equipamentos como firewalls, que possam aumentar a seguranca darede VoIP, alem de protocolos que garantam a criptografia na configuracao de um equipa-mento na internet.

11.3. Ataques de negacao de servico

A tecnologia VoIP e suscetıvel a alguns ataques de DoS(Denial of Service).Apesar de existirem equipamentos dedicados para a realizacao de chamadas VoIP, estespodem ser alvos de ataques DDOS por computadores que possuem um poder de proces-samento muito alto, degradando a performance do equipamento e consequentemente daschamadas realizadas. Um ataque do tipo TCP/IP SYN Flood pode facilmente compro-meter a qualidade de um servico VoIP. No padrao H.323, a utilizacao do protocolo H.225tambem pode ser vulneravel a ataques de DoS se o atacante enviar milhares de solicitacoesa este protocolo. Nao ha solucoes que oferecam uma completa garantia contra este tipode ataque, mas a utilizacao de um controle de autenticacao para o protocolo H.225 emuma rede H.323 e a utilizacao de firewalls podem reduzir consideravelmente a ocorrenciadeste problema.

12. Proxy entre rede VoIP e a rede PSTNUm ou mais gateways de voz H.323 que possuam centenas de portas ligadas di-

retamente na rede PSTN e na Internet, pode ser uma grande atrativo para atacantes. Estesequipamentos, se comprometidos, podem ser utilizados para a realizacao de milhares dechamadas em qualquer lugar do mundo, causando prejuızos inestimaveis a operadora doservico. A solucao para este tipo de problema e a correta configuracao dos equipamen-tos, a utilizacao de firewalls e sistemas de monitoramento que garantam a protecao aosequipamentos.

12.1. Implementacao

Para a implementacao de uma estrutura de VoIP baseado no padrao H.323 foramutilizados os seguintes componentes:

• S.O. Linux Centos 5.5 - Sistema Operacional Linux

• OpenH323 - Biblioteca do protocolo H.323.

• Gnugk - Gatekeeper para o protocolo H323.

• Ekiga Softphone - Softphone.

• Mediatrix 1102 - Gateway de voz H.323 com duas portas FXS.

• Wireshark - Analisador de trafego utilizado para capturar os pacotes de voz.

No cenario criado, a partir da instalacao do gatekeeper no sistema operacionalCentos 5.5, foi possıvel configurar o softphone e o gateway de voz para o registro nogatekeeper. O softphone recebeu a numeracao (E.164) 10 e o gateway de voz recebeu anumeracao 200. Apos o registro de ambas as extremidades no gatekeeper, foi realizadoatraves do softphone uma chamada para o gateway de voz, estando o Wireshark executadoe efetuando a captura dos pacotes. Apos a troca de capacidades realizada pelo protocoloH.245 durante a execucao da chamada, verificou-se que o codec escolhido na troca paraefetuar a codificacao da voz, foi o G.711U. Como o Wireshark possui nativamente umdescodificador do codec G.711, foi possıvel efetuar a captura dos pacotes de voz, desco-dificar, e atraves de um player de mıdia nativo do Wireshark, executar a conversacao da

chamada no dispositivo de som do computador. Confirme a figura 7, e possıvel verificara captura de pacotes de voz realizada pelo Wireshark.

Verificou-se assim, a vulnerabilidade basica que a arquitetura RTP e o codecG.711 pode apresentar, permitindo que atacantes obtenham acesso ao conteudo faladodurante as chamadas.

Figura 7. Captura de pacotes de voz pelo Wireshark

13. ConclusaoEste trabalho procurou entender de modo geral como e realizado a transmissao

do trafego de voz em redes de dados existentes atualmente, utilizando a recomendacaoITU-T H.323. Concluımos que o padrao H.323 e robusto e escalavel apesar de sua grandecomplexidade. Foi possıvel concluir que o VoIP e de fato uma tecnologia promissoramas que possui problemas de seguranca que precisam de estudo e analise principalmentequanto a sua disponibilidade, que ainda demonstra ser muito vulneravel. Trabalhos futu-ros irao demonstrar como funciona detalhadamente o protocolo SIP e quais sao as suasvantagens e desvantagens em relacao ao protocolo H.323.

Referencias Bibliograficas

AMES Peter,MANOJ Bathia,SATISH Kalidini,SUDIPTO Mukherjee, Fundamentos deVoIP, Edicao: 2, 2008

HOWDHURY,Dhiman D., Projetos Avancados de Redes IP, Ano 2002

[H.323], H.323 STANDARDS, 2010 Disponıvel em:http://www.packetizer.com/ipmc/h323/standards.html, Acesso em: 25/05/2010

[H.323], A Primer on the H.323 Series Standard Version 2.0, 2010 Disponıvel em:http://www.packetizer.com/ipmc/h323/papers/primer, Acesso em: 24/05/2010

[H.225], Recommendation H.225.0, 2009 Disponıvel em http://www.itu.int/rec/T-REC-H.225.0-200912-I/en, Acesso em: 26/05/2010

[H.323], H.323 and Associated Protocols, 1999 Disponıvel emhttp://www.cs.wustl.edu/ jain/cis788-99/ftp/h323/index.html, Acesso em: 26/05/2010

[H.235], H.235 Implementors’ Guide, 2005 Disponıvel em http://www.itu.int/ITU-T/studygroups/com16/ig-files/h.235-0508.pdf, Acesso em: 24/05/2010

[G.729], Coding of speech at 8 kbit/s using conjugate-structure algebraic-code-excited li-near prediction (CS-ACELP), 2009 Disponıvel em http://www.itu.int/rec/T-REC-G.729/e,Acesso em: 22/05/2010

[MGCP], Media Gateway Control Protocol (MGCP), 2006 Disponıvel emhttp://www.cisco.com/en/US/tech/tk652/tk701/tk419/tsdtechnologysupportsub −protocolhome.html, Acessoem : 20/05/2010

[RFC3435], Media Gateway Control Protocol (MGCP), 2003 Disponıvel emhttp://tools.ietf.org/html/rfc3435, Acesso em 20/05/2010

[RFC3711], The Secure Real-time Transport Protocol (SRTP), 2004 Disponıvel emhttp://www.ietf.org/rfc/rfc3711.txt, Acesso em 25/05/2010

[GNUGK], OpenH323 Gatekeeper, 2010 Disponıvel em http://www.gnugk.org, Acessoem 25/05/2010

[H.323], H.323: Um padrao para sistemas de comunicacao multimıdia baseado empacotes, 2001 Disponıvel em http://www.rnp.br/newsgen/0111/h323.html, Acesso em24/05/2010

[RFC5117], RTP Topologies, 2008 Disponıvel em RTP -http://www.faqs.org/rfcs/rfc5117.html, Acesso em 24/05/2010

[H.323], H.323 Mediated Voice over IP: Protocols, Vulnerabilities and Remediation, 2004Disponıvel em http://www.symantec.com/connect/articles/h323-mediated-voice-over-ip-protocols-vulnerabilities-amp-remediation, Acesso em 24/05/2010

[H.323], Security Guide for H.323 Videoconferencing, 2004 Disponıvel emhttp://www.ja.net/documents/services/video/vtas/323security.pdf. Acesso em 24/05/2010

[H.225], International Telecommunication Union Telecommunication StandardizationSector ITU-T, ”Call signalling protocols and media stream packetization for packet-basedmultimedia communication systems”, 2009

[H.235], International Telecommunication Union Telecommunication StandardizationSector ITU-T, ”Security and encryption for H-Series (H.323 and other H.245-based) mul-timedia terminals”, 1998

[H.323]. Definicoes do protocolo H.323, 2010. Disponıvel em:http://www.openh323.org. Acesso em 24/05/2010

[H.323], Paul E. Jones, Packetizer, ”H.323 Protocol Overview”, 2007