Vulnerabilidades Voip-000695234 PDF

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
INSTITUTO DE INFORMTICA
CURSO DE ESPECIALIZAO EM TECNOLOGIAS, GERNCIA E
SEGURANA DE REDES DE COMPUTADORES

ANDR SCOMAZZON ANTONIAZZI

Segurana em VoIP: Ameaas,
Vulnerabilidade e as Melhores Prticas de
Segurana

Trabalho de Concluso apresentado como
requisito parcial para a obteno do grau de
Especialista

Prof. Dr. Joo Netto
Orientador

Prof. Dr. Srgio Luis Cechin
Prof. Dr. Luciano Paschoal Gaspary
Coordenadores do Curso

Porto Alegre, dezembro de 2008.

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
Reitor: Prof. Carlos Alexandre Netto
Vice-Reitor: Prof. Rui Vicente Oppermann
Pr-Reitor de Ps-Graduao: Prof. Aldo Bolten Lucion
Diretor do Instituto de Informtica: Prof. Flvio Rech Wagner
Coordenadores do Curso: Profs. Srgio Luis Cechin e Luciano Paschoal Gaspary
Bibliotecria-Chefe do Instituto de Informtica: Beatriz Regina Bastos Haro
AGRADECIMETO

Ao amigo e colega de profisso Juliano Murlick pelo incentivo e apoio que foram
fundamentais na deciso de realizar esse curso de especializao.
Ao amigo e colega de profisso Sony Ribeiro Stachlewski pela experincia e
conhecimento compartilhados sempre muito prestativo em me auxiliar nos meus
primeiros passos no mundo de Voz sobre IP.
Ao Dr. Joo Netto, pela orientao que me possibilitou concluir esse trabalho.
A minha famlia, pelo amor incondicional, pelo incentivo e apoio incessantes, pelos
valores morais transmitidos, por tudo que sou.
Em especial, querida Fernanda pela compreenso com que tem convivido e
suportado minhas angustias e minha ausncia nessa etapa da minha vida.

A todos, meu singelo agradecimento.

"O pessimista se queixa do vento, o otimista espera que ele mude e o realista
ajusta as velas."
William George Ward

SUMRIO
LISTA DE ABREVIATURAS E SIGLAS ............................................................ 7
LISTA DE FIGURAS ........................................................................................ 10
LISTA DE TABELAS ....................................................................................... 11
RESUMO .......................................................................................................... 12
ABSTRACT ...................................................................................................... 13
1 INTRODUO ............................................................................................ 14
2 SEGURANA DA INFORMAO ............................................................. 15
2.1 Conceito ............................................................................................................. 15
2.2 Princpios fundamentais de segurana ............................................................. 15
2.2.1 Disponibilidade ................................................................................................ 16
2.2.2 Integridade ....................................................................................................... 17
2.2.3 Confidencialidade ............................................................................................ 17
2.2.4 Autenticidade ................................................................................................... 17
2.2.5 No-repudio ..................................................................................................... 17
2.3 Definies de Segurana ................................................................................... 18
2.3.1 Vulnerabilidade ................................................................................................ 18
2.3.2 Ameaa ............................................................................................................ 18
2.3.3 Risco ................................................................................................................ 18
2.3.4 Proteo ........................................................................................................... 18
2.3.5 Incidente .......................................................................................................... 18
3 VOZ SOBRE IP ........................................................................................... 19
3.1 Protocolos VoIP ................................................................................................ 19
3.1.1 H.323 ............................................................................................................... 20
3.1.2 SIP ................................................................................................................... 23
3.1.3 MGCP e H.248 ................................................................................................ 25
4 AMEAAS E VULNERABILIDADES EM VOIP ......................................... 27
4.1 Interrupo e Abuso de Servio ....................................................................... 27
4.1.1 Negao de servio (DoS) ................................................................................ 27
4.1.1.1 DDoS ............................................................................................................................ 27
4.1.1.2 SIP Flooding ................................................................................................................. 27
4.1.1.3 SIP Signalling Loop...................................................................................................... 28
4.1.1.4 VolP Packet Replay Attack .......................................................................................... 28
4.1.1.5 QoS Modification Attack .............................................................................................. 28
4.1.1.6 VolP Packet Injection ................................................................................................... 28
4.2 Violao de Acesso ............................................................................................ 29
4.2.1 Ataque de dicionrio na autenticao SIP ......................................................... 29
4.3 Escuta e anlise de trfego ................................................................................ 29
4.3.1 ARP Poisoning ................................................................................................ 30
4.3.2 VLAN hopping ................................................................................................ 30
4.3.3 Ataque ao protocolo MGCP ............................................................................. 30
4.4 Mascaramento ................................................................................................... 30
4.4.1 Seqestro de chamada ...................................................................................... 31
4.4.2 Impersonificao de elementos de rede ............................................................ 31
5 MELHORES PRTICAS DE SEGURANA EM REDES VOIP .................. 35
5.1 Controles de segurana na rede VoIP .............................................................. 35
5.1.1 Virtual Local Area Network (VLAN) ............................................................... 35
5.1.2 Firewall, IDS e IPS .......................................................................................... 36
5.1.3 Qualidade do Servio QoS (Quality of Service) ............................................. 37
5.2 Segurana na Sinalizao ................................................................................. 37
5.2.1 Autenticao SIP.............................................................................................. 37
5.2.2 IP Security - IPSec ........................................................................................... 39
5.2.3 Transport Layer Security - TLS ........................................................................ 41
5.2.4 DTLS ............................................................................................................... 44
5.2.5 S/MIME ........................................................................................................... 45
5.2.6 H.323 ............................................................................................................... 48
5.2.7 MGCP ............................................................................................................. 49
5.3 Segurana no fluxo da mdia ............................................................................ 50
5.3.1 SRTP e SRTCP ................................................................................................ 50
6 CONCLUSO ............................................................................................. 52
REFERNCIAS ................................................................................................ 54
LISTA DE ABREVIATURAS E SIGLAS
ACK Acknowledge
AES Advanced Encryption Standard
AH Authentication Header
AOR Address Of Register
ARP Address Resolution Protocol
DDOS Distributed Denial of Service
DES Data Encryption Standard
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
DOS Denial Of Service
DP Disponibilidade Planejada
ESP Encapsulating Security Payload
FTP File Transfer Protocol
HTTP HyperText Transfer Protocol
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force
IKE Internet Key Exchange
IP Internet Protocol
IPS Intrusion Prevention System
IPSEC Internet Protocol Security
ITU-T International Telecommunications Union Telecommunication
Standardization Sector
MAC Media Access Control
MCU Multipoint Control Unit
MEGACO Media Gateway Controller
MGCP Media Gateway Control Protocol
MIME Multipurpose Internet Mail Extensions
MIKEY Multimedia Internet Keying
MKI Master Key Identifier
MTBF Mean Time Between Failures
MTTR Mean Time To Repair
NAT Network Address Translation
NIST National Institute of Standards and Technology
NTP Network Time Protocol
PING Packet Inter-Network Groper
PKI Public Key Infrastructure
PKCS Public Key Cryptography Standards
QOS Quality of Service
RAS Registration, Admission and Status
RDSI Rede Digital de Servios Integrados
RFC Request For Comment
RPC Remote Procedure Call
RPTC Rede Pblica de Telefonia Comutada
RTCP Real-Time Transport Control Protocol
RTP Real-Time Transport Protocol
SA Security Association
SCTP Stream Control Transmission Protocol
SDP Session Description Protocol
SIMPLE Session Initiation Protocol for Instant Messaging, and Presence Leveraging
Extensions
SIP Session Initiation Protocol
SIPS Session Initiation Protocol Secure
S/MIME Secure/Multipurpose Internet Mail Extensions
SMTP Simple Mail Transfer Protocol
SRTCP Secure Real-Time Transport Control Protocol
SRTP Secure Real-time Transport Protocol
SSL Secure Socket Layer
SYN Synchronize
TCP Transmission Control Protocol
TFTP Trivial File Transfer Protocol
TLS Transport Layer Security
UDP User Datagram Protocol
URI Uniform Resource Identifier
VOIP Voice Over Internet Protocol
VPN Virtual Private Network
LISTA DE FIGURAS
Figura 2.1: Trade CID ................................................................................................ 16
Figura 3.1: Fluxo de uma ligao VoIP pelas camadas do modelo TCP/IP ................... 20
Figura 3.2: Viso geral dos elementos e protocolos do padro H.323 ........................... 21
Figura 3.3: Pilha de protocolos H.323 .......................................................................... 22
Figura 3.4: Fluxo de comunicao entre componentes definidos pelo padro H.323 .... 22
Figura 3.5: Viso geral do SIP ..................................................................................... 25
Figura 3.6: Infra-estrutura tpica de uso do H.248 ........................................................ 26
Figura 4.1: Ilustrao de um ataque SIP Signalling Loop ............................................. 28
Figura 5.1: Autenticao SIP no registro, inicio e trmino de uma chamada ............... 38
Figura 5.2: Modos de funcionamento do IPSEC .......................................................... 40
Figura 5.3: IPSec em ambiente SIP ............................................................................. 40
Figura 5.4: Negociao TLS (TLS Handshake) ........................................................... 42
Figura 5.5: Exemplo de mensagem SIPS ..................................................................... 43
Figura 5.6: Exemplo de tunelamento SIPS entre hops .................................................. 43
Figura 5.7: Mecanismo de retransmisso do DTLS ...................................................... 44
Figura 5.8: SIP com a parte SDP criptografada usando S/MIME ................................. 46
Figura 5.9: Mensagem SIP encapsulada com proteo S/MIME .................................. 47
Figura 5.10: Pilha com utilizao das recomendaes do padro H.235 ....................... 48
Figura 5.11: Pacote SRTP ........................................................................................... 51
Figura 5.12: Pacote SRTCP ......................................................................................... 51
LISTA DE TABELAS
Tabela 4.1: Possveis ataques de mascaramento contra VoIP ....................................... 31
Tabela 4.2: Lista dos principais ataques contra as redes VoIP ...................................... 33
Tabela 5.1: Perfis de segurana do padro H.235 ......................................................... 48
RESUMO

A tecnologia de voz sobre IP (VoIP) h algum tempo no mais apenas uma
novidade. Cada vez mais as pessoas e as organizaes esto usufruindo os benefcios da
convergncia dos sistemas de comunicao de voz para as redes IP. Essa mudana est
ocorrendo, sobretudo devido s inmeras vantagens que a tecnologia promove, seja na
reduo dos custos envolvidos em infra-estrutura, que passa a ser compartilhada com a
rede de dados, seja na disponibilizao de novos servios. Somado a esses fatores, a
crescente evoluo da infra-estrutura de rede que passou a fornecer bandas cada vez
maiores a preos acessveis com mecanismos mais eficientes de qualidade de servio,
possibilitou um ambiente frtil para a proliferao das aplicaes de voz sobre IP.
Contudo, a segurana das informaes nesse cenrio passa a ser um desafio. Pois,
juntamente com as inmeras ameaas e vulnerabilidade que todas as aplicaes que
operam na rede IP esto sujeitas, somam-se inmeras outras que nasceram com a
descrio dos protocolos que formam os servios e as aplicaes de voz sobre IP. Sendo
assim, esse trabalho visa descrever as principais ameaas e vulnerabilidades que afetam
o VoIP ao mesmo tempo em que traz um panorama das melhores prticas de segurana
que podem ser empregadas a fim de tornar essa tecnologia mais confivel e segura.

Palavras-Chave: VoIP, Segurana, Vulnerabilidades, Ameaas
VoIP Security: Threats, Vulnerabilities and Security Best
Practices
ABSTRACT

Voice over IP technology (VoIP) has become increasingly common lately. More and
more people and companies are enjoying the benefits of the convergence of voice
communication systems for IP networks. Such a change is taking place mainly because
of the several advantages offered by this technology, either regarding the reduction of
infrastructure costs, since infrastructure is shared by the data network, or in terms of
availability of new services. In addition to these factors, the increasing progress of the
network infrastructure, which has been providing broader bands at reasonable prices
and more efficient mechanisms of service quality, made it possible to create a fertile
environment that promoted the proliferation of voice over IP applications. However, in
this scenario, information security has become a challenge, since, besides the countless
threads and vulnerabilities involving the applications that operate on the IP network,
there are several other threads created because of the description of the protocols that
constitute the voice over IP services and applications. Therefore, the objective of this
study is to describe the main threads and vulnerabilities affecting VoIP and, at the same
time, to present an overview of the security best practices available to make this
technology more reliable and safer.

Keywords: VoIP, Security, Vulnerabilities, Threats

1 INTRODUO
A possibilidade de transmisso de servios de voz sobre a rede IP, tecnologia
conhecida pela sigla VoIP Voice over IP, tem se mostrado uma soluo bastante
atraente no mercado de comunicao mundial. As altas tarifas cobradas pelos servios
de telefonia convencionais atrelada a uma infra-estrutura de comutao de circuitos que
pouco tem evoludo nos ltimos anos, pouco combinam com a expectativa dos
consumidores frente aos avanos e necessidades de comunicao do mundo moderno.
Em contrapartida, a convergncia dos servios de voz para as redes de dados
proporciona, alm da economia de recursos devido consolidao de uma plataforma
de rede integrada, um aumento de produtividade na medida em que essa integrao
facilita a interao e o controle sobre a informao com os diferentes servios e
aplicaes de uma plataforma tecnolgica unificada.
Todavia, a migrao do servio de voz de um sistema de telefonia convencional para
o sistema de voz sobre IP deve ser planejada com muita cautela, sobretudo em relao a
aspectos de segurana. Afinal, as aplicaes de VoIP alm de herdarem todas as
ameaas que afetam as redes de dados, tambm esto vulnerveis a ameaas atreladas
prpria tecnologia.
Sendo assim, o objetivo deste trabalho alertar sobre os aspectos de segurana que
afetam os servios e aplicaes de voz sobre IP, apresentando suas principais ameaas e
vulnerabilidade ao mesmo tempo em que apresenta um panorama das melhores prticas
de segurana que podem ser empregadas a fim de tornar essa tecnologia mais confivel
e seguro.
Com esse intuito, o trabalho foi dividido da seguinte forma: no Capitulo 2 sero
apresentados os princpios fundamentais e alguns conceitos de Segurana da
Informao. No captulo 3 sero apresentadas uma viso geral acerca da tecnologia
VoIP, alguns dos principais protocolos e uma breve descrio do funcionamento de
cada um deles. J no captulo 4 sero discutidas as principais ameaas e vulnerabilidade
que afetam os servios e aplicaes de voz sobre IP, enquanto que no captulo 5 sero
analisadas as melhores prticas que podem ser adotadas como forma de proteo contra
essas ameaas e vulnerabilidades. Por fim, no captulo 6 sero feitas as consideraes
finais do trabalho.

15

2 SEGURANA DA INFORMAO
Esse tpico tem como objetivo apresentar ao leitor alguns conceitos e fundamentos
envolvidos em segurana da informao.
2.1 Conceito
Segundo a norma ABNT NBR ISO/IEC 17799:2005, segurana da informao
definida como a proteo da informao, nas diversas formas que ela pode existir, de
uma srie de ameaas com o objetivo de garantir a continuidade do negcio, minimizar
o risco ao negcio e maximizar o retorno sobre o investimento e as oportunidades de
negcio.
2.2 Princpios fundamentais de segurana
A segurana da informao est calcada sobre trs princpios fundamentais que so:
a disponibilidade, a integridade e a confidencialidade das informaes de um dado
negcio. Estes trs princpios fundamentais, muitas vezes referenciados na literatura por
trade AIC (availability, integrity e confidenciality) ou trade CID, servem de base para
a definio do modelo de segurana que fornecer as protees necessrias para atender
aos objetivos do negcio. Todos os controles de segurana, mecanismos e protees so
implementados para fornecer um ou mais desses princpios e todos os riscos, ameaas e
vulnerabilidades so mensurados com base na probabilidade de que um ou mais deles
sejam comprometidos (HARRIS, 2008). Alm dos princpios fundamentais j
referenciados, outras propriedades como a autenticidade e o no-repdio
complementam a segurana da informao (ISO/IEC 17799:2005).

16

Figura 2.1: Trade CID
2.2.1 Disponibilidade
Disponibilidade pode ser definida como a probabilidade de um sistema estar em
funcionamento e pronto para uso em um dado instante de tempo. Dependendo do valor
dessa probabilidade os sistemas so classificados como de Disponibilidade bsica, alta
ou contnua. O clculo da disponibilidade dado pela formula DP =
MTBF/(MTBF+MTTR) onde:
DP a Disponibilidade Planejada;
MTBF o tempo mdio entre a ocorrncia de uma falha e a prxima,
representando tambm o tempo de funcionamento do servio de TI diante da
necessidade do negcio at a falha seguinte, e
MTTR o tempo para reparar e disponibilizar o servio de TI para seu
estado de funcionamento normal.
Valores de DP entre 99% e 99,9% representam sistemas de disponibilidade bsica e se
caracterizam por no possuir nenhum mecanismo tanto de hardware como de software
para mascarar eventuais falhas. Sistemas de alta disponibilidade possuem DP entre
99,9% e 99,999%, valores muitas vezes atingidos mediante o uso de mecanismos
especializados para a deteco, recuperao e mascaramento de falhas. Acima dos
valores especificados tm-se sistemas que mesmo quando ocorram paradas programadas
ou no programadas eles sempre permanecem disponveis. Geralmente so
caracterizados como sistemas de misso crtica onde qualquer parada ocasiona prejuzo
ao negcio (MAGALHES, 2007).
O gerenciamento da disponibilidade garante que os servios estaro disponveis
sempre que forem solicitados e deve estar alinhado com a demanda do negcio, custos
requeridos, configurao e complexidade da infra-estrutura de TI, processo e
procedimentos utilizados pelos servios de TI, fatores humanos e eventos externos
(MAGALHES, 2007).

17

2.2.2 Integridade
Integridade o princpio que trata da legitimidade e consistncia da informao no
que se refere s permisses para modificao de seu contedo as quais so definidas
pelo proprietrio da informao e devem ser garantidas durante todo o seu ciclo de vida.
(STEWART, 2008)
A integridade pode ser vista de trs perspectivas:
Sujeitos no autorizados devem ser impedidos de realizar modificaes.
Sujeitos autorizados devem ser impedidos de realizar modificaes no
autorizadas, tais como erros.
A informao, esteja ela armazenada, em trnsito ou em processamento,
deve ser legtima, consistente e verificvel (STEWART, 2008).
Para garantir a integridade de um sistema, alm de um rgido controle de acesso, um
sistema de log de atividade deve ser empregado para assegurar que somente usurios
autorizados possam acessar seus respectivos recursos (STEWART, 2008).
2.2.3 Confidencialidade
Confidencialidade o princpio que assegura a proteo da informao contra o
acesso e divulgao no autorizados esteja ela armazenada, em processamento ou em
trnsito. Lembrando que a violao da confidencialidade pode ocorrer no somente por
modo deliberado na forma de ataques como captura de trfego de rede, engenharia
social e port scan, mas tambm de modo acidental por erro humano, impercia ou
negligncia (STEWART, 2008).
Segundo Porter, a criptografia e a codificao de dados so exemplos de mtodos
usados para garantir a confidencialidade da informao durante sua transmisso entre
origem e destino (2006, p.13).
Alm da criptografia, outros mecanismos como controle de acesso restrito, rgidos
processos de autenticao e treinamento podem auxiliar na garantia da
confidencialidade da informao (STEWART, 2008).
2.2.4 Autenticidade
Pode ser classificada como uma sub-propriedade da integridade. A Autenticidade
trata da legitimidade da informao esteja ela no formato eletrnico ou fsico. muito
utilizada em mecanismos de controle de acesso, em comunicaes e transaes
eletrnicas assim como na autenticao de documentos. A assinatura digital um
exemplo de instrumento utilizado para se garantir a autenticidade da informao e a
identidade de quem se intitula proprietrio dela (STEWART, 2008).
2.2.5 o-repudio
No-Repdio a propriedade da segurana que garante que o emissor de uma
mensagem enviada eletronicamente no poder negar sua autoria posteriormente. Assim
como na autenticidade, a assinatura digital freqentemente usada como instrumento
para se obter tal garantia (STEWART, 2008).

18

2.3 Definies de Segurana
Esse tpico visa apresentar algumas definies de segurana importantes para o
entendimento da segurana em redes VoIP.
2.3.1 Vulnerabilidade
Caracteriza os sistemas que podem ser explorados de forma mal intencionada e sem
as devidas permisses em virtude de falhas latentes no protegidas ou m configurao
em seus componentes. Essas vulnerabilidades podem estar relacionadas a softwares,
hardwares e processos e possibilitam que algum mal intencionado comprometa o
funcionamento do sistema. (HARRIS, 2008)
2.3.2 Ameaa
Define como uma vulnerabilidade pode ser explorada. A entidade que tira proveito
de uma vulnerabilidade para explorar um sistema definida como agente da ameaa.
Esse agente pode ser uma pessoa, um processo ou um evento natural do mundo fsico.
Ex. Invasor, vrus, queda de energia, raio. (HARRIS, 2008)
2.3.3 Risco
definida como a probabilidade de um agente de ameaa tirar vantagens de uma
vulnerabilidade e os impactos resultantes no negcio (HARRIS, 2008, p.62). Como
exemplo, um ambiente computacional utilizando software de antivrus desatualizado
tem um risco maior de ser contaminado por vrus e, conseqentemente, de queda de
produtividade.
2.3.4 Proteo
usada para reduzir o risco potencial. Pode ser um elemento de software, hardware
ou procedimento que tenta eliminar as vulnerabilidades ou diminuir a probabilidade que
elas sejam exploradas pelos agentes de ameaas. Ex. Firewall, antivrus, poltica de
senhas fortes, etc. (HARRIS, 2008).
2.3.5 Incidente
caracterizado quando um agente de ameaa consegue de fato explorar uma
vulnerabilidade provocando a violao de um dos princpios fundamentais da segurana
(Trade AIC) (HARRIS, 2008).

19

3 VOZ SOBRE IP
VoIP - Voice over Internet Protocol a tecnologia que permite o estabelecimento
de uma comunicao de voz pela rede IP graas a tcnicas de converso de sinais de
udio analgicos em sinal digitais (BATES, 2002).
Em comparao com a Rede Pblica de Telefonia Comutada RPTC - que utiliza
circuitos comutados na prestao dos seus servios, e que, por essa razo trabalha com
uma banda de tamanho fixo dedicada do incio ao fim de uma ligao, a Telefonia sobre
IP usa a rede de dados e compartilha a banda com outras aplicaes e seus trfegos na
rede IP (BATES, 2002).
A intercomunicao entre os diferentes produtos da indstria do VoIP s foi possvel
graas a aceitao por parte delas dos padres de protocolos de sinalizao e mdia
especificados por organizaes como a IEEE, IETF, 3GPT e ITU-T (THERMOS,
2007).
Protocolos de sinalizao so usados para estabelecer, manter e encerrar chamadas
alm de servir de suporte bilhetagem e parmetros de negociao da chamada como
portas de mdia, chave de criptografia e codecs. Adicionalmente so responsveis pela
interoperabilidade entre dispositivos j que so usados para negociar os codecs que
fazem a converso entre sinais de udio analgicos em pacotes digitais (THERMOS,
2007).
J os protocolos de mdia so usados para realizar a transferncia fim a fim dos
pacotes. RTP (Real Time Protocol) o protocolo de stream de mdia freqentemente
utilizado em VoIP. Como exemplo de protocolos de sinalizao pode-se citar SIP,
MGCP e H.323 (THERMOS, 2007).

3.1 Protocolos VoIP
Em uma chamada VoIP so utilizados trs protocolos na camada de aplicao do
modelo TCP/IP:
NTP etwork Time Protocol usado para verificar se os sinais so transmitidos
e recebidos numa janela de tempo aceitvel para a qualidade do servio.
RTP Real Time Protocol fornece funcionalidade de transporte fim a fim para os
sinais de voz encapsulados nos pacotes VoIP.
RTCP Real Time Control Protocol fornece controle simplificado para assegurar
a entrega dos pacotes de VoIP enviados via RTP.
J na camada de transporte, por se tratar de uma aplicao em tempo real em que a
rapidez na entrega dos pacotes (que deve ocorrer na ordem de nanosegundos) mais

20

importante que a garantia de sua entrega no destino, o protocolo utilizado o UDP
(User datagram protocol) (KELLY, 2005).

Figura 3.1: Fluxo de uma ligao VoIP pelas camadas do modelo TCP/IP (KELLY,
2005)

Apesar das vantagens econmicas da convergncia de voz na rede IP proporcionada
principalmente pela diminuio do custo envolvido no gerenciamento e manuteno de
infra-estruturas de rede distintas para trfego de voz e dados, a tecnologia de VoIP passa
a herdar todas as vulnerabilidades intrnsecas das aplicaes que operam sobre redes
TCP/IP. (THERMOS, 2007)
3.1.1 H.323
H.323 o conjunto de protocolos e especificaes elaborados pela International
Telecommunications Unit (ITU) para a comunicao em tempo real de udio, vdeo e
dados sobre a rede IP (PORTER, 2007).
Esse padro, que foi criado com a finalidade de garantir a compatibilidade e
interoperabilidade entre os equipamentos de Telefonia IP de diferentes fabricantes,
permite uma variedade de configuraes na comunicao multimdia, contudo, a
comunicao de udio obrigatria enquanto que a comunicao de vdeo e dados
opcional (TUCKER, 2005).

21

Figura 3.2: Viso geral dos elementos e protocolos do padro H.323 (BATES, 2002)

O H.323 define quatro tipos de componentes:
Terminais so os dispositivos com os quais os usurios interagem na
comunicao (telefones, softphones, cmeras de vdeo, etc.).
Gateways um elemento opcional na infra-estrutura de rede sobre IP que
tem a funo de negociar a sinalizao e o transporte da mdia servindo
como interface entre outros tipos de rede (RPTC, RDSI, etc.)
Gatekeepers sua principal funo traduzir os endereos dos nomes
simblicos em endereos IP na infra-estrutura de rede do H.323.
Adicionalmente gerencia servios e recursos de rede prestados aos terminais
atravs do protocolo RAS. (Ex. controle de banda, gerenciamento da zona
controle de admisso no H.323). Assim como o gateway ele opcional e
muitas vezes esto no mesmo dispositivo fsico na rede.
MCUs o dispositivo que possibilita o estabelecimento de uma
conferencia multiponto entre trs ou mais terminais (PORTER, 2007).
Alm destes componentes, o padro H.323 define um conjunto de protocolos
especficos para cada necessidade envolvida na comunicao de VoIP.
H.225/Q931 protocolos usados na sinalizao e configurao da chamada
entre terminais
H.225/RAS protocolos usados na sinalizao e configurao de chamadas
entre gatekeepers ou entre um terminal e um gatekeeper.
H.245 protocolo de controle da chamada que negocia parmetros do tipo
de mdia e de compatibilidade entre os terminais que desejam iniciar uma
comunicao

22

RTP e RTCP usados para o transporte fim a fim dos pacotes envolvidos na
comunicao no padro H.323
Codecs (G.711, G.723.1 e G.729) protocolos usados na compresso de
udio (PORTER, 2007).

Figura 3.3: Pilha de protocolos H.323 (PORTER, 2007)

Figura 3.4: Fluxo de comunicao entre componentes definidos pelo padro H.323
(PORTER, 2007)

23

3.1.2 SIP
Session Initiation Protocol um protocolo de nvel de aplicao especificado pela
Internet Engineering Task Force (IETF) para o estabelecimento, manuteno e
encerramento de sesses de comunicao em tempo real na rede IP. Diferentemente do
padro H.323 que um protocolo binrio, o SIP baseado em cdigo texto e, seguindo
a filosofia da IETF, foi concebido para ser simples (GREGORY, 2006). Outra diferena
est na sua independncia para com o protocolo da camada de transporte. Mensagens
SIP podem ser transportadas tanto por TCP como por UDP, alm de SCTP e TLS.
(SINNREICH, 2006). Seu funcionamento elementar muito parecido com o HTTP, ou
seja, utiliza-se de um modelo de requisies e respostas baseadas em texto para o
desempenho de suas funes. Outra caracterstica do SIP ser bastante modular e
extensvel facilitando sua integrao com outros ambientes de comunicao.
(GREGORY, 2006)
Alm disso, o SIP usa um nico endereo para identificar o usurio em todas as suas
comunicaes. o chamado address of register (AOR) que o nico endereo que liga
o usurio a todos os servios e dispositivos de comunicao que ele utiliza. Como
complemento, o SIP usa um mecanismo chamado Uniform Resource Identifier (URI)
que estabelece um esquema de mapeamento para cada agente de usurio. Em outras
palavras, o usurio ser conhecido por um nico endereo (Ex.
sip:nome@dominio.com) independentemente do dispositivo que ele estiver usando e
cada dispositivo por sua vez ter seu prprio URI (Ex. phone
sip:514200@dominio.com;user=phone) (GREGORY, 2006).
A arquitetura do SIP composta pelos seguintes elementos:
Agentes de usurios - so os dispositivos ou programas utilizados para
estabelecer a comunicao entre os usurios finais. Um agente de usurio
pode estabelecer uma comunicao diretamente com outro agente sem a
necessidade de servidores SIP. Para isso basta que eles saibam a URI e o IP
de cada dispositivo envolvido na comunicao.
Servidores SIP so elementos de rede centralizados que fornecem uma
infra-estrutura para servios de roteamento, registro,
autenticao/autorizao, localizao e presena no ambiente SIP
(GREGORY, 2006).
Os servidores SIP podem ser assim classificados:
Servidor de Registro o servidor encarregado por fazer a autenticao e o
registro dos usurios que ficam online. Nesse servidor ficam armazenadas as
identidades lgicas dos usurios e seus dispositivos (URI) usados para a
comunicao.
Servio de Localizao um banco de dados que mantm um registro dos
usurios e de suas localizaes. Ele recebe dados de entrada do servidor de
registro e repassa informaes para os servidores de redirecionamento e de
Proxy para o correto mapeamento do endereo lgico dos usurios em seus
endereos fsicos.
Servidor de Redirecionamento servidor responsvel por redirecionar as
requisies SIP para um usurio que est fora do seu domnio.

24

Servidor Proxy sua funo bsica fazer o roteamento da sinalizao das
chamadas indicando os servidores intermedirios para se alcanar o agente
de usurio de destino. Atua na sinalizao como se fosse o originador da
chamada e repassa as respostas para o solicitante. Aps o estabelecimento da
sesso, a comunicao feita diretamente entre as partes.
Servidor de Presena tem como funo aceitar, armazenar e distribuir
informaes de presena dos usurios no ambiente SIP. Trabalha em
conjunto com o Session Initiation Protocol for Instant Messaging, and
Presence Leveraging Extensions (SIMPLE), padro que usado para
gerenciar mensagens instantneas e informaes de presena dos usurios no
ambiente SIP. (GREGORY;PORTER; 2006)
Para o estabelecimento da sesso SIP so usados os seguintes mtodos:
Register usado para registra o usurio
Invite convidar algum para uma sesso de multimdia
Ack confirmao de uma requisio de estabelecimento de sesso
Cancel cancelamento de uma transao
Bye encerramento de uma sesso ou transao
Options Consulta de compatibilidades
Info usado para troca de informaes intermedirias como dgitos discados
Messages usado para mensagens curtas de servio e mensagem instantnea
otify usado para notificar eventos e atualizao de registro
Subscribe usado para a subscrio de notificao de eventos
Update usado para atualizao das informaes de uma sesso
(SINNREICH, 2006)

25

Figura 3.5: Viso geral do SIP (SINNREICH, 2006)

A arquitetura SIP pode ser cliente-servidor quando os agentes de usurio fazem
requisies para algum servidor SIP ou pear-to-pear quando os agentes estabelecem
uma sesso e passam a trocar mensagens diretamente entre si. (PORTER, 2006)
Alm de configurar e gerenciar as sesses, o SIP tambm tem a funo de
determinar a localizao, disponibilidade e compatibilidades entre os agentes de
usurios envolvidos na comunicao (PORTER, 2006).

3.1.3 MGCP e H.248
Media Gateway Control Protocol o padro especificado pela IETF em 1998 com a
funo de servir de gateway entre os sistemas de telefonia IP e as redes de telefonia
convencionais (RPTC, RDSI, etc.). um protocolo baseado em texto usado sobre a
camada de transporte UDP. Sua funo gerenciar os gateways do ambiente SIP.
Em 2000 a ITU-T especificou o protocolo H.248 cuja funo foi mover o controle
da sinalizao do equipamento de gateway de mdia para um controlador de Gateway.
Apesar de ser bastante similar ao MGCP, o H.248 trouxe alguns avanos em relao ao
padro da IETF conforme segue:
Avanos no suporte a servios de multimdia em multipontos;
Suporte a TCP e UDP no nvel de transporte;
Suporte a codificao baseada em texto ou binria para dar suporte a ambos
os padres (IETF e ITU-T)
Para fornecer segurana, ambos os protocolos podem usar IPSec para permitir
criptografia do fluxo de streaming entre os equipamentos terminais da comunicao
(PORTER, 2006).

26

Figura 3.6: Infra-estrutura tpica de uso do H.248 (PORTER, 2006)

27

4 AMEAAS E VULNERABILIDADES EM VOIP
O objetivo desse tpico descrever as principais ameaas e vulnerabilidades em
redes VoIP.
4.1 Interrupo e Abuso de Servio
Esto enquadradas nessa categoria as ameaas que afetam a disponibilidade do
servio VoIP. Os ataques so direcionados a elementos da infra-estrutura de rede
(dispositivos ou servios) que o VoIP depende para funcionar. Como exemplo, pode-se
citar ataques aos servidores SIP, aos roteadores de rede ou mesmo ao servio de DNS
da rede. E podem ser disparados tanto remotamente como localmente atravs de
instrues maliciosas. (THERMOS, 2007)
4.1.1 egao de servio (DoS)
Esse ataque conhecido mundialmente pelo acrnimo DoS (Denied of Service) pode
ser direcionado para vrias camadas da infra-estrutura do ambiente VoIP. Seu principal
objetivo provocar a interrupo ou degradao do servio alvo. No caso do VoIP, o
ataque pode ser direcionado tanto para o sistema operacional dos servidores como
tambm para os servios de rede (THERMOS, 2007). Dentre os tipos de ataques de
negao de servio, destacam-se os baseados em:
Inundao - consiste em enviar uma sobrecarga de mensagens para um
destino com o objetivo de comprometer seu funcionamento.
Pacotes deformados processo conhecido como Fuzzing que gera um pacote
deformado aleatoriamente ou semi-aleatoriamente e que pode comprometer
um dispositivo alvo.
4.1.1.1 DDoS
Ataques de negao de servio tambm podem ser organizados de forma
sincronizada de diferentes origens com foco em um alvo. Esse tipo de ataque conhecido
como DDoS (Distributed Denied of Service) geralmente utiliza programas maliciosos
como vrus e worms para infectar equipamentos de terceiros que sero usados para
compor o ataque (THERMOS, 2007).
4.1.1.2 SIP Flooding
o ataque por inundao em que muitas mensagens IVITE so endereadas ao um
usurio SIP. Esse ataque degrada o desempenho dos servidores SIP proxies que tero

28

que tratar essas requisies e suas respostas alm de impossibilitar que o usurio alvo
consiga efetuar ligaes (THERMOS, 2007).
4.1.1.3 SIP Signalling Loop
Outro ataque conhecido de DoS o SIP Signalling Loop que afeta sistemas que no
implementam mecanismos de deteco de looping. Esse ataque consiste em registrar
dois usurios em domnios de SIP distintos, sendo que no cabealho de contato de cada
registro h dois valores, cada um apontando para um destes usurios s que no domnio
contrrio. Quando o SIP Proxy de um domnio recebe o INVITE para um desses
usurios, ele ir gerar duas mensagens de INVITE uma para cada usurio no outro
domnio. J o SIP Proxy do outro domnio por sua vez, ao receber esses dois INVITEs
ir gerar quatro novas mensagens de INVITE para o outro domnio. Assim, o numero de
mensagens ir crescer na ordem de uma potencia de base dois e rapidamente pode
comprometer o sistema SIP (THERMOS, 2007).

Figura 4.1: Ilustrao de um ataque SIP Signalling Loop (THERMOS, 2007)

4.1.1.4 VoIP Packet Replay Attack
Consiste em capturar e reenviar pacotes VoIP fora de seqncia o que gera um
atraso e uma progressiva degradao na qualidade das chamadas.
4.1.1.5 QoS Modification Attack
Consiste em modificar os campos referentes a QoS (802.1Q VLAN tag ou ToS bits)
no header do pacote IP anulando o controle de QoS da rede e comprometendo o servio
VoIP.
4.1.1.6 VoIP Packet Injection
Caracterizado pelo envio de pacotes VoIP falsificados para terminais injetando fala,
rudos, e lacunas nas chamadas ativas (PORTER, 2007).

29

4.2 Violao de Acesso
Essa categoria descreve as ameaas em que servios e elementos de rede so
acessados sem a devida permisso. Freqentemente esse tipo de ataque usado como
primeiro passo para outros ataques. O acesso indevido geralmente obtido atravs de
vulnerabilidades como buffer overflow, ou seja, com o uso de instrues que exploram
falhas no controle da pilha de memria do sistema para obter acesso privilegiado, alm
de falhas de configurao e um fraco controle de acesso a rede e sinalizao. Dentre os
mtodo utilizados pode-se destacar:
impersonificao descobrir ou roubar senha de outra pessoa e us-la para
acesso ao sistema
Ataque do homem do meio (man in the middle) tcnica de ataque que
permite ao atacante interceptar uma sesso vlida de um usurio e se
apropriar dela aps a autenticao
Comprometimento total permite ao atacante o acesso total ao sistema e
geralmente est relacionado ao uso de softwares maliciosos como vrus e
worms.
Vale ressaltar que a violao de acesso que est muito associada a sistemas
operacionais pela explorao de suas vulnerabilidades, tambm pode ocorrer em nvel
de aplicao (servios do VoIP) pelo manipulao das mensagens de sinalizao e de
mdia e em nvel de camadas de transporte e rede pela manipulao do trfego de rede
(THERMOS, 2007).
As principais vulnerabilidades exploradas na infra-estrutura VoIP so:
Configurao padro dos servios e dispositivos - os controles de segurana
geralmente vm desabilitados por padro
Uso de senhas e contas de gerenciamento padro
Ausncia de controles de acesso nas interfaces de gerenciamento e nos
servios (FTP, Telnet, RPC, etc.)

4.2.1 Ataque de dicionrio na autenticao SIP
Essa tcnica tem como objetivo obter as credenciais de acesso de um usurio vlido
em um sistema de telefonia SIP atravs da utilizao de um ataque de fora bruta.
Atravs dessa tcnica, um atacante pode enviar inmeras requisies de registro
(mtodo REGISTER do SIP) com identificao (IDs) e senhas a partir de um arquivo de
dicionrio. Uma vez descoberta a senha, o atacante pode usar ela para acessar o servio
(THERMOS, 2007).

4.3 Escuta e anlise de trfego
Esto enquadradas nessa categoria as ameaa que afetam a confidencialidade do
servio VoIP. Segundo a VoIPSA, eavesdropping, como designada essa ameaa,
compreende os mtodos de ataque que permitem ao atacante monitorar a sinalizao e o
trfego de dados VoIP sem alter-los. Basicamente essas tcnicas de ataque objetivam a

30

busca de informaes para o aperfeioamento de ataques posteriores. Esse tipo de
ameaa sempre possvel quando a sinalizao e o trfego de dados da chamada no
estiverem criptografados.
Existem vrios mtodos para realizar a escuta do trfego VoIP. Programas
analisadores de trfego ou sniffers so ferramentas que podem ser utilizadas para essa
finalidade. Contudo, o atacante precisa estar inserido no segmento de rede entre os
terminais que se comunicam ou, ter que usar alguma tcnica de envenenamento
(poisoning) de ARP para conseguir interceptar os pacotes da comunicao antes que
eles sejam transmitidos ao destino correto (THERMOS, 2007)
4.3.1 ARP Poisoning
Tambm conhecido como ARP Spoofing, essa tcnica de ataque explora uma
vulnerabilidade do nvel de rede do modelo TCP/IP. ARP o protocolo responsvel por
fazer o mapeamento entre o endereo fsico da interface de rede e o endereo IP. O
princpio desse ataque consiste em alterar (envenenar) esse mapeamento atravs da
manipulao da tabela ARP dos equipamentos da rede. Para isso, o atacante envia uma
mensagem de broadcast na rede publicando um novo MAC (Media Access Control)
para o IP que ele deseja interceptar. Esse mtodo de ataque tambm conhecido como
ataque do homem do meio (man in the middle) (THERMOS, 2007)
4.3.2 VLA hopping
uma tcnica de ataque que possibilita a escuta de trfego quando esto envolvidos
segmentos de redes distintos. H dois ataques conhecidos que utilizam essa tcnica:
switch spoofing e doubletagging. Ambos exploram a vulnerabilidade em switches de
rede cujas portas de trunk so mal configuradas (THERMOS, 2007).
4.3.3 Ataque ao protocolo MGCP
outro mtodo utilizado para a realizao de escuta indevida no fluxo de dados de
uma chamada. Atravs do envio de mensagens de sinalizao MGCP para um gateway
RPTC, um atacante pode manipular o estado das conexes ativas desviando seus fluxos
RTP para um host intermedirio antes de serem encaminhados aos verdadeiros destinos
(THERMOS, 2007).
4.4 Mascaramento
uma categoria especial de ameaa visto que as tcnicas de mascaramento podem
tambm ser usadas para realizar outros tipos de ameaas como violao de acesso,
interrupo de servios e fraude. caracterizada pela habilidade do atacante em se fazer
passar por um usurio, dispositivo ou servio a fim de obter acesso a rede, seus
dispositivos e informaes trafegadas. Esse tipo de ameaa pode comprometer a
disponibilidade, a integridade e a confidencialidade dos servios de VoIP. A
impersonificao um tipo especial de mascaramento em que o atacante pode
comprometer a segurana do sistema seja atravs da falsificao de servios e
dispositivos de rede bsicos na infra-estrutura VoIP, seja se fazendo passar por outra
pessoa atravs da captura ou roubo das credencias de acesso da vtima. Esse tipo de
ataque pode ocorrer contra usurios, dispositivos, servios e aplicaes de rede.
Impersonificao dos servios e aplicaes mtodo mais sofisticado de
ataque. Envolve uma coordenao maior de elementos e est relacionado aos

31

tipos de ataque que tiram vantagens de vulnerabilidades que impactam no
roteamento dos protocolos de sinalizao.
Impersonificao dos dispositivos elementos de rede como telefones,
servidores DNS, registradores SIP e gateways de mdia e sinalizao podem
ser impersonificados com o objetivo de coletar e desviar seus trfegos de
rede.
Impersonificao do assinante caracteriza a impersonificao em que o
atacante mascara sua identidade utilizando-se de credenciais capturadas ou
de acesso a dispositivos de um assinante de um servio para realizar seu
ataque.
Os mtodos de mascaramento mais utilizados em ambientes de VoIP so
direcionados manipulao das mensagens de sinalizao embora mtodos
tradicionalmente conhecidos como clone de endereos IP e MAC e spoofing de IP
tambm so utilizados (THERMOS, 2007)
4.4.1 Seqestro de chamada
No cabealho da requisio Register em um sistema SIP h um registro com
informaes de contato (Contact) que usado pelo Proxy SIP para rotear as ligaes
para o dispositivo do usurio. O ataque de seqestro de chamada pode ser realizado
atravs da alterao das informaes de IP contidas nesse registro. Com essa alterao,
as ligaes que deveria ser encaminhadas para o dispositivo do usurio, so desviadas
para o dispositivo do atacante (THERMOS, 2007).
Contact: 201-853-0102 <sip:12018530102@192.168.1.3:5061>;expires=60

4.4.2 Impersonificao de elementos de rede
Um exemplo dessa vulnerabilidade ocorre com os Call Managers. Esses
dispositivos so responsveis entre outras coisas por fazer o gerenciamento das ligaes
de entrada e sada entre a rede VoIP e a rede pblica de telefonia (RPTC). Atravs de
uma implementao do protocolo MGCP um atacante pode manipular a sinalizao das
mensagens e redirecionar o trfego das ligaes para um Call manager falso
(THERMOS, 2007)

Tabela 4.1: Possveis ataques de mascaramento contra VoIP
Alvo Objetivo Mtodo
Usurio Fraude
Obter as credenciais do usurio
por meio de outro ataque e us-
las para efetuar ligaes
fraudulentas
Obter acesso fsico ou remoto
um dispositivo do usurio
Endereo IP que pode ser
alterado pelo atacante para
desviar chamadas.

32

Manipular mensagens de
sinalizao para desviar trfego
DNS
Redirecionar as requisies
de sesso para um
dispositivo no autorizado
Envenenamento de cache de
DNS
Violao de acesso com o
objetivo de manipular as
configuraes de elementos da
rede
Gateway de
Sinalizao
Desviar o trfego da
sinalizao e
conseqentemente as
chamadas
Manipular remotamente a
sinalizao para desviar o
trfego (Ataque no protocolo
MGCP)
rede
Gateway de
Mdia
Desviar trfego da mdia
trfego (Ataque no protocolo
MGCP)
rede
Proxy SIP
Obter credenciais de
usurios
Desviar o trfego da
sinalizao e
conseqentemente as
chamadas
trfego (manipulao das
sesses pelo spoofing de
mensagens de sinalizao como
Refer e Invite)
rede
SIP Registra
usurios
Ataque de spoofing nas
requisies de registro
rede

33

Gatekeeper
H.323
usurios
Obter informaes do
trfego da chamada
Ataque de spoofing nas
requisies de registro
rede
Soft switch
Desviar o trfego da
sinalizao e
conseqentemente as
chamadas
Obter informaes do
trfego da chamada
rede
Fonte: THERMOS, 2007, p.111

Visualizando a Tabela 4.2 h uma relao de ataques e como cada um deles impacta
nos princpios de segurana da informao.

Tabela 4.2: Lista dos principais ataques contra as redes VoIP
Nvel Ataque Confidencialidade Integridade Disponibilidade
Interface de
rede
Ataque fsico X X
ARP Cache X X X
Envenenamento
ARP
X
MAC Spoofing X X X
Internet IP spoofing
Dispositivo X X X
Redirecionamento
por IP spoofing
X X X
Deformao de
pacotes
X X X
Fragmentao IP X
Transporte Envenenamento
TCP/UDP
X
TCP/UDP Reply X X
Aplicao Insero de
servidores DHCP
e TFTP
X
Envenenamento
ICMP
X

34

SIP
Seqestro de
registro SIP
X X X
Seqestro MGCP X X X
Modificao de
mensagem SIP
X X X
Insero RTP
Deformao de
Mtodos
X
Spoofing de
cabealho
X X X
Ataque de
Cancel/Bye
X
Mtodo de
redirecionamento
X X
RTP
Redirecionamento
de SDP
X
Criptografia X X X
Configurao
padro
X X
X
Servios
desnecessrios
X X X
Buffer overflow X X X
DNS X
Fonte: MCGANN & SICKER, 2005, p.2

35

5 MELHORES PRTICAS DE SEGURANA EM REDES
VOIP
O objetivo desse tpico descrever as recomendaes e melhores prticas a serem
adotadas nas redes de VoIP para minimizar os riscos frente as j conhecidas ameaas e
vulnerabilidades.

5.1 Controles de segurana na rede VoIP
Nesse tpico sero abordados alguns mecanismos utilizados na arquitetura da rede
de computadores a fim de fornecer aspectos que reforcem a segurana de redes que
utilizam servio de Voz sobre IP.
5.1.1 Virtual Local Area etwork (VLA)
O objetivo com a utilizao de VLAN permitir a segmentao lgica da rede
criando domnios de coliso e de broadcast distintos entre o trfego de dados e o trfego
de voz. Dessa forma, previne-se que problemas em um segmento de rede interfiram no
outro e vice-versa. Ataques de negao de servio ou mesmo instabilidades na rede de
dados provocados pela atuao de pragas virtuais como vrus e worms tero seus efeitos
minimizados com a segregao das redes promovida com o uso de VLAN. Alm de
aspectos de segurana, a separao dos segmentos de broadcast favorece o desempenho
na medida em que reduz significativamente o trfego de rede e, conseqentemente,
proporciona maior banda passante (PORTER, 2007).
Adicionalmente, VLAN podem ser implementadas juntamente com mecanismos de
QoS a fim de separar e priorizar os trfegos de voz sobre IP. Apesar de existirem
protocolos proprietrios que implementam VLAN, o padro foi definido pela IEEE
atravs do protocolo 802.1Q (PORTER, 2007).
Embora a utilizao de VLAN tenha como objetivo agregar segurana ao ambiente
de rede VoIP, cabe ressaltar que a m configurao dos dispositivos de rede que
implementam esse recurso podem trazer vulnerabilidades aos servios. Basta recordar o
tpico 4.3.2 que trata da vulnerabilidade de VLAN Hopping (PORTER, 2007)
Outra considerao se faz necessria quanto ao uso de Softphones (software
instalado nas estaes de trabalho que simulam telefone IP). Se a estao de trabalho na
qual o softphone estiver instalado possuir uma nica interface de rede, significa que o
software ir compartilhar a rede de dados para trafegar o fluxo de voz. Dessa forma, no
ser possvel utilizar o conceito de VLAN para separao dos trfegos de dados e voz.
Embora seja possvel fazer essa separao utilizando uma segunda interface de rede

36

com a estao roteando aos trfegos de voz e dados para segmentos distintos, no se
recomenda o uso desses softwares em ambientes de VoIP em virtude da complexidade
de configurao e administrao desse ambiente e das vulnerabilidades que ele est
sujeito (PORTER, 2007).
5.1.2 Firewall, IDS e IPS
A utilizao de equipamentos como firewalls, IDS (Intrusion Detection System) e
IPS (Intrusion Prevention System) visam proteger segmentos de rede contra ameaas
externas. Esses equipamentos so estrategicamente inseridos na infra-estrutura de rede
de modo que todo trfego entre os segmentos de redes que se deseja proteger seja
inspecionado (PORTER, 2007)
A funo do firewall bloquear todo o trfego de rede que no esteja de acordo com
a poltica de segurana implementada por suas regras de acesso. O processamento do
trfego pelo firewall realizado atravs de uma tcnica denominada filtro de pacote.
Esse processo consiste em analisar informaes contidas no cabealho de cada pacote
que atravessa o firewall como endereos IP, portas e tipo de protocolos a fim de
identificar os pacotes legtimos. Ainda sobre esse processo, os firewalls podem ser
classificados em Stateless e Stateful. Stateless so os firewalls que no guardam
informaes em memria sobre o estado das conexes. J os firewalls Stateful, mantm
em memria uma tabela de estados das conexes e, dessa forma, conseguem diferenciar
pacotes iniciando uma nova conexo (EW) de pacotes de conexes j estabelecidas ou
relacionadas (ESTABLISHED/RELATED). Alm da habilidade de verificar e barrar
pacotes com nmero de seqncia incorreto. Como benefcio, esse tipo de firewall
mais eficiente para detectar e bloquear pacotes maliciosos (PORTER, 2007).
IDS e IPS so sistemas capazes de detectar trfego malicioso mesmo que esses
tenham sido considerados legtimos pela poltica de segurana de firewalls. Atravs de
uma arquitetura composta por sensores, unidade de deteco e uma base de
conhecimento, esses sistemas analisam os protocolos dos pacotes at as camadas do
nvel de aplicao. Existem trs mtodos de deteco utilizados por esses sistemas que
so os baseados em assinaturas, em anomalia e em anlise do protocolo stateful
(PORTER, 2007).
Os sistemas baseados em assinatura utilizam uma base de dados, que deve ser
atualizada periodicamente, com as instrues referentes aos conhecidos ataques, o que
inclui, por exemplo, assinaturas contra ataques ao Code Red, NIMDA, DoS, buffer
overflows e outras vulnerabilidades (PORTER, 2007).
Sistemas de deteco de intruso baseados em anomalias funcionam com base no
comportamento da rede. Distores observadas nesse comportamento so indcios de
que algo est errado. Apesar de ser um mtodo muito eficiente para detectar ataques
como Port Scan e DoS, falso-positivos podem ocorrer se o padro de comportamento da
rede no for mapeado adequadamente (PORTER, 2007).
J os sistemas baseado em anlise do protocolo stateful fazem a analisa dos
protocolos dos pacotes at as camadas do nvel de aplicao e verificam se eles esto
em conformidade com os perfis de comportamento estabelecidos pelas RFCs e vendors
de cada protocolo (PORTER, 2007).

37

A diferena bsica entre IDS e IPS que, enquanto o IDS apenas tem como ao
gerar eventos e alarmes aos administradores da segurana da rede, os IPS so mais pr-
ativos e capazes de tratar os alertas realizando, eles prprios, aes de bloqueios.
Embora sejam muito teis para a proteo contra ataques que visam a negao de
servios com foco em dispositivos da infra-estrutura de rede VoIP, tanto os firewalls
como os IDS e IPS adicionam latncia e complexidade ao trfego VoIP na rede.

5.1.3 Qualidade do Servio QoS (Quality of Service)
O emprego de tcnicas de Qualidade de Servio fundamental para o bom
funcionamento do servio VoIP. Qualidade de Servio visa entregar um nvel de servio
garantido para o usurio da rede, o que inclui uma largura de banda garantida e um
valor mximo de atraso e Jitter (BATES, 2002). Em uma transmisso de dados, atraso
o tempo que a informao leva para trafegar entre sua origem e o seu destino. Em se
tratando de Voz sobre IP, a origem o emissor da voz, ou seja, aquele que fala
enquanto que o destino o receptor ou aquele que ouve. Esse atraso denominado
atraso de uma via e os valores aceitveis de atraso no devem ultrapassar os 150ms
segundo recomendaes da ITU. J o Jitter a variao do atraso (BATES, 2002).
O objetivo ao se utilizar tcnicas de QoS garantir o bom desempenho do fluxo de
voz mesmo em momentos que a rede esteja em condies desfavorveis. Rede
congestionadas, seja em decorrncia de uma ataque de DoS ou pela ao de pragas
virtuais ainda podem ter uma excelente qualidade no fluxo de voz quando utilizadas
polticas de QoS apropriadas (PORTER, 2007).

5.2 Segurana na Sinalizao
Como foi visto no item 4, muitos ataques so direcionados ao processo de
sinalizao entre os componentes de uma rede VoIP. Esses ataques, se bem sucedidos
podem ocasionar desvio e seqestro de chamadas violando os princpios de integridade
e confidencialidade das informaes trafegadas no ambiente. Sendo assim, esse tpico
tem como objetivo apresentar mecanismos utilizados para fornecer segurana contra as
ameaas e vulnerabilidades relacionadas ao processo de sinalizao em redes de voz
sobre IP.

5.2.1 Autenticao SIP
O mecanismo de autenticao SIP usado para fornecer segurana ao processo de
requisies de mensagens envolvendo o registro e o inicio e fim de sesses (mtodos
REGISTER e IVITE). Na Figura 5.1 ilustrado o fluxo de mensagens envolvidas no
processo de registro, estabelecimento e trmino de uma chamada SIP com autenticao.

38

Figura 5.1: Autenticao SIP no registro, inicio e trmino de uma chamada
(THERMOS, 2007)

39

Aps receber a tentativa de registro, o servidor de registro retorna ao agente de
usurio uma mensagem 401 Unauthorized message solicitando um desafio para a sua
autenticao. Em seguida, o agente de usurio envia uma nova mensagem de requisio
de registro acrescida de um MD5 digest que ser usado na autenticao. Caso a
autenticao seja realizada com sucesso, as informaes do dispositivo e do usurio so
atualizadas (URI do usurio e IP do dispositivo atual) e retornada uma mensagem de
OK. Processo semelhante ocorre para inicio e termino da chamada com o mtodo
INVITE e BYE respectivamente. A autenticao SIP opcional e pode ser
implementada separadamente para cada mtodo SIP. Por exemplo, pode-se optar pela
autenticao nos mtodos REGISTER e INVITE sem t-la nos mtodos BYE e
CANCEL. Contudo, esse tipo de escolha pode abrir oportunidades para ataques como
inicio e termino de chamadas sem autorizao (THERMOS, 2007).
Como proteo contra ataques de message replay e mascaramento, a autenticao
por desafio deve ser utilizada em todas as mensagens que se destinam a criar, modificar
e encerrar sesses. Contudo, algumas mensagens como CANCEL e BYE no so
protegidas pela utilizao de MD5. Como alternativa recomenda-se a utilizao de
criptografia para as mensagens de sinalizao atravs de protocolos como TLS, IPSec e
S/MINE (THERMOS, 2007).

5.2.2 IP Security - IPSec
Internet Protocol Security (IPsec) uma extenso do protocolo IP descrito pela
IETF para operar no nvel de rede do modelo OSI com a finalidade de prover
autenticidade, confidencialidade e integridade na comunicaes fim a fim de aplicaes
que utilizam a rede IP (THERMOS, 2007).
O IPsec pode operar de duas formas diferentes:
Modo Transporte somente a carga til do pacote IP protegida. O
cabealho fica intacto.
Modo Tnel todo o pacote IP protegido por criptografia. Nesse modo h
a necessidade de um novo cabealho IP para fazer o encaminhamento do
pacote.
A Figura 5.2 apresenta os dois mtodos que o IPsec oferece para proteo da
informao.
Para garantir a segurana, o IPSec utiliza dois protocolos, o Authentication Header
(AH) e o Encapsulating Security Payload (ESP). O AH fornece autenticao e
integridade enquanto que a ESP adicionalmente a esses atributos fornece tambm a
confidencialidade da carga til do pacote. Os protocolos AH e ESP podem ser utilizados
em conjunto ou individualmente (GREGORY, 2007).
Alm disso, outros dois protocolos desempenham funes importantes ao IPsec. O
IP Payload Compression (IPcomp) usado para aumentar o desempenho na medida em
que comprime os pacotes antes da criptografia, e o Internet Key Exchange (IKE) que
utilizado para negociar a troca segura de chaves de criptografia (STEWART, 2008).

40

Figura 5.2: Modos de funcionamento do IPSEC

Em redes de voz sobre IP o IPsec pode fornecer confidencialidade, integridade e
autenticao para mensagens de sinalizao e de mdia, criando tneis seguros entre as
entidades participantes da comunicao. Contudo, a formao do tnel IPSec
acrescenta atraso tanto no estabelecimento da chamada como no transporte da mdia o
que muitas vezes torna invivel a suas utilizao. A Figura 5.3 demonstra o uso de
IPSec em um ambiente de SIP informando os tempos de atraso medidos em estudo pela
Telecordia Technologies em nome da NIST ational Institute of Standards and
Technology (THERMOS, 2007).

Figura 5.3: IPSec em ambiente SIP (THERMOS, 2007)

O que se percebe por esse estudo realizado pela Telecordia Technologies que usar
IPSec no processo de sinalizao de uma chamada fim a fim invivel em virtude do

41

tempo gasto para a formao dos tneis entre cada hop envolvido na comunicao. O
estudo demonstra que uma chamada entre domnios SIP usando dois servidores Proxy
leva cerca de 20 segundos para ser estabelecida. O padro tolervel para esse processo
em torno de 250ms. Contudo, se o tnel IPSec fim a fim j estiver estabelecido, a
transmisso da mdia e das mensagens de sinalizao sofre um atraso desprezvel (cerca
de 10ms) o que faz da utilizao de tneis IPSec uma alternativa vivel (THERMOS,
2007).
Mesmo estando na camada de rede, o IPsec orientado a conexo, pois as chaves de
criptografia so utilizadas e trocadas por perodos de tempo, a fim de garantir a
segurana, num processo que se assemelha a uma espcie de conexo que denominada
de security association (SA). O SA um canal simplex, logo para uma comunicao bi-
direcional, so necessrios dois SAs, um para cada direo. Ainda, se for utilizado o AH
com o ESP, sero necessrios quatro SAs (GREGORY, 2007).
Como ponto forte pode-se citar:
suporte aos protocolos UDP, TCP, SIP e RTP por operar na camada de rede;
proteo a ataques de grampo, mascaramento, DoS entre outros;
garante confidencialidade, integridade, autenticao, e no repdio.
Limitaes:
o IPsec requer grande esforo de implementao devido a sua complexidade
e exigncias de infra-estrutura;
exige uma infra-estrutura de PKI para garantir autenticao, integridade e
confidencialidade de dispositivos de borda, mas no necessariamente para o
centro da rede VoIP;
os componentes intermedirios da rede devem ser confiveis; no apresenta
escalabilidade para grandes redes e aplicaes distribudas (por exemplo,
conferncia) (THERMOS, 2007).

5.2.3 Transport Layer Security - TLS
Protocolo criptogrfico especificado pela IETF para fornecer segurana na
comunicao fim a fim em redes TCP/IP. Assim como o IPSec, tambm utilizado para
a criao de VPNs (Virtual Private etwork) contudo, oferece esse servio a uma
camada acima do IPSec, ou seja, camada de transporte.
O TLS um protocolo independente do nvel de aplicao, baseado em sesso,
utilizado para criptografar conexes TCP, com a capacidade de oferecer autenticao
mutua (cliente-servidor), confidencialidade e integridade s aplicaes baseadas em
redes IP (GREGORY, 2007).
Ele composto por duas camadas:
a) TLS Record Protocol camada inferior cuja funo garantir a segurana da
conexo. Nessa camada realizado o encapsulamento e transmisso de todas as
mensagens dos protocolos dos nveis superiores. Ao transmitir uma mensagem, o
protocolo de registro realiza a fragmentao dos dados, opcionalmente faz sua
compresso, aplica uma funo de integridade (MAC - Message Authenticating

42

Code), faz a criptografia e a transmisso das mensagens. No receptor ocorre o
processo inverso.
b) TLS Handshake Protocol camada cuja funo negociar os parmetros de
segurana que sero usados pela camada de registro para o estabelecimento de
conexes seguras. Dentre esses parmetros esto os mtodos de compresso,
criptografia (DES, RC4, etc.) e integridade (MD5, SHA, etc.) que sero utilizados,
o tamanho do hash e a troca dos certificados e master key usados entre cliente e
servidor. A Figura 5.4 exemplifica o TLS Handshake.

Figura 5.4: Negociao TLS (TLS Handshake) (THERMOS, 2007)
Contudo, o TLS foi concebido para dar suporte aos protocolos confiveis da camada
de transporte como TCP e SCTP, ou seja, possui limitaes quando se trata de
aplicaes que usam UDP como o caso das mensagens SIP. Para contornar isso foi
especificado pela RFC 4347 o Datagram Transport Layer Security - DTLS que ser
visto em detalhe no item 5.2.4.
As mensagens de sinalizao, contudo, podem ser protegidas com a utilizao de
TLS. A RFC SIP recomenda essa prtica como forma de evitar ataques de
eavesdropping, message replay, manipulao de mensagens, entre outros. SIPS URI
(secure SIP ou SIP over TLS) protege as mensagens de sinalizao uma vez que elas
so criptografadas e transmitidas com o uso de TLS. Adicionalmente, o TLS fornece a
autenticao mtua atravs do uso de certificados digitais o que refora a segurana
contra ataques de man-in-the-midle (THERMOS, 2007).
As diferenas entre o SIPS e o SIP esto:
Na sintaxe URI que ficou definida como sips:alice@domain-b.com;
No protocolo de transporte que ficou sendo o TLS ao invs do TCP/UDP;
Na porta utilizada que ficou sendo a 5061 ao invs da 5060.

43

Figura 5.5: Exemplo de mensagem SIPS (THERMOS, 2007)

Uma das limitaes do uso de TLS para proteo da sinalizao SIP est no fato de
que ele no suporta confidencialidade fim a fim para usurios conectados em SIP
proxies intermedirios. Para esse caso, em cada segmento deve ser estabelecida uma
conexo TLS distinta. Assim, cada SIP Proxy precisa analisar o cabealho do pacote
SIP a fim de saber para onde encaminh-lo, feito isso, a conexo segura finalizada e
uma nova sesso criada para o prximo hop. Veja Figura 5.6

Figura 5.6: Exemplo de tunelamento SIPS entre hops (THERMOS, 2007)

Suporte a autenticao mutua com uso de certificados;
Fornece confidencialidade e integridade como proteo contra ataques de
eavesdropping, message reply e manipulao de mensagens;

44

Proteo na negociao das chaves de criptografia;
Baixo impacto no desempenho se comparado ao uso de IPSec;
Limitaes:
Requer infra-estrutura de PKI;
No fornece confidencialidade fim a fim diretamente. Requer a finalizao e
a criao de uma nova sesso a cada hop;
No pode ser usado com UDP;
suscetvel a ataques de negao de servio por inundao TCP e reset de
conexo.

5.2.4 DTLS
Datagram Transport Layer Security o protocolo descrito pela RFC 4347 para
atender as limitaes do TLS no fornecimento de um servio de transporte seguro s
aplicaes que utilizam UDP como protocolo de transporte fim a fim na rede IP.
Embora seja similar ao TLS em muitos aspectos, o que inclui a limitao de necessitar
que uma nova conexo seja estabelecida para garantir a proteo das mensagens SIP
entre cada hop, o DTLS tem como diferencial a capacidade de tratar aspectos da
comunicao UDP no confivel como a perda e o reordenamento dos pacotes
(THERMOS, 2007).
O TLS apresenta deficincias quanto ao tratamento de perdas de pacotes durante o
handshake do protocolo (o que provoca a perda da conexo) assim como na deteco de
pacotes duplicados. O DTLS foi especificado para superar essas limitaes.
Para o tratamento de perdas de pacotes, o DTLS utiliza um mecanismo de
retransmisso baseado em temporizador. Ou seja, se uma mensagem enviada e no h
retorno durante certo perodo de tempo, a mensagem retransmitida. Veja Figura 5.7.

Figura 5.7: Mecanismo de retransmisso do DTLS (THERMOS, 2007)

Outro mecanismo de proteo utilizado pelo DTLS o Stateless Cookies. Essa
tcnica consiste em incluir um cookie nas respostas que o servidor gera para as

45

requisies que ele recebe a fim de verificar se elas so originadas de um cliente
verdadeiro e no de um impostor. Esse mecanismo til para evitar ataques de negao
de servio onde o atacante falsifica o endereo IP para inundar a vitima com respostas
do servidor.

5.2.5 S/MIME
Secure/Multipurpose Internet Mail Extensions um padro especificado pela IETF
atravs da RFC 3851 para fornecer autenticidade, integridade e confidencialidade para
protocolos de aplicao como SMTP e SIP. O MIME largamente utilizado em
sistemas de e-mail para tratar formatos complexos (no ASCII) de mensagens e
caracteres encapsulados dentro do protocolo SMTP. Em suma, o MIME define uma
srie de mecanismos para codificar e representar essas mensagens de formatos
complexos como arquivos multimdia e caracteres lingsticos anexados dentro de
outros protocolos como SMTP ou SIP (THERMOS, 2007).
O S/MIME uma verso do MIME que incorpora em sua estrutura o padro de
criptografia de chaves pblicas (PKCS) a fim de prover segurana para os protocolos de
aplicao que o utilizam. Diferente do TLS e o DTLS, que englobam toda a mensagem
SIP em suas estruturas, o S/MIME mais flexvel e permite ser mais granular na
proteo das informaes das mensagens SIP (THERMOS, 2007). Assim, ele possibilita
que equipamentos intermedirios da rede interpretem a parte no criptografada sem a
necessidade de decodificar todo pacote (PORTER, 2007). Alm disso, ele pode ser
usado com UDP e TCP, ou seja, mais flexvel que os mtodo usando IPSec , TLS e
DTLS na proteo fim a fim (THERMOS, 2007).
Na Figura 5.8 ilustrada uma mensagem SIP com a parte SDP criptografada com
uso do S/MIME. Essa opo protege informaes como as portas UDP, chaves de
criptografia para mdia (SRTP) e propriedades sobre o escopo da sesso (THERMOS,
2007).

46

Figura 5.8: SIP com a parte SDP criptografada usando S/MIME (THERMOS, 2007)

Outro mtodo utilizado encapsular a mensagem SIP com o S/MIME fornecendo
um nvel adicional de privacidade para o usurio final uma vez que esse mtodo permite
ocultar as informaes do originador da chamada. A poro da mensagem SIP sem a
criptografia (campos To, From, Call-ID, Cseq e Contact) utilizada pelos
intermedirios para rotear a mensagem ao destino, porm, quando a mensagem chega ao
destinatrio, ele utiliza os campos criptografados para tratar esta mensagem, verificando
sua identidade atravs das chaves e certificados e sua integridade atravs da assinatura
digital. Com essa caracterstica, possvel manter a confidencialidade fim a fim da
mensagem (THERMOS, 2007). A Figura 5.9 ilustra uma mensagem SIP encapsulada.

47

Figura 5.9: Mensagem SIP encapsulada com proteo S/MIME (THERMOS, 2007)

As implementaes SIP que utilizam o S/MIME devem ter suporte aos algoritmos
de criptografia (DES, 3DES e RC2), ao protocolo de criptografia de chave publica
(RSA), ao algoritmo de assinatura digital (SHA1), a certificados digitais (X.509)
(HARRIS 2008) (STEWART, 2008).
independente do protocolo da camada de transporte, tem suporte a UDP e
TCP;
mais flexvel na proteo das mensagens SIP se comparado a mtodos com
IPSec, TLS e DTLS;
Fornece autenticidade, confidencialidade e integridade fim a fim
Limitaes:
Necessidade de maior esforo de implementao, devido a sua complexidade
e requerimentos de infra-estrutura (exige PKI) (THERMOS, 2007).

48

5.2.6 H.323
Para questes de segurana como autenticao e integridade a ITU-T especificou o
padro H.235 para trabalhar em conjunto com os demais protocolos da serie H. Esse
padro especifica perfis de segurana que podem ser combinados para atender aos
servios de segurana como autenticao, integridade, confidencialidade,
irrevogabilidade, controle de acesso e gerenciamento de chave de criptografia.
(PORTER, 2007).
O perfil H.235.1, por exemplo, presta suporte a servios de autenticao e
integridade. A autenticao suportada atravs do compartilhamento de chave secreta
ou de mtodos de chave pblica com uso de certificados que so implementados
juntamente com os protocolos de controle e de sinalizao como o H.245 e o H.225.
Outros perfis tratam da criptografia atravs da utilizao de algoritmos de chave
simtrica como DES, 3DES e AES que podem ser usados juntamente com o fluxo RTP.
Alm disso, TLS e IPSec so recomendados para fornecer segurana aos nveis 4 e 3 da
pilha TCP/IP respectivamente (PORTER, 2007)

Figura 5.10: Pilha com utilizao das recomendaes do padro H.235 (PORTER,
2007)

A Tabela 5.1 apresenta uma breve descrio de cada perfil de segurana
especificado pela H.235.
Tabela 5.1: Perfis de segurana do padro H.235
Recomendao Descrio
H.235.0 Estrutura de segurana para a srie H (H.323 e outros baseados
em H.245) sistemas de multimdia
H.235.1 Baseline security profile
H.235.2 Signature security profile
H.235.3 Hybrid security profile
H.235.4 Direct and selective routed call security
H.235.5 Security profile for RAS authentication using weak shared

49

secrets
H.235.6 Voice encryption profile with native H.235/H.245 key
management
H.235.7 MIKEY + SRTP security profile
H.235.8 Key exchange for SRTP on secure signaling channels
H.235.9 Security gateway support for H.323
Fonte: THERMOS, 2007, p.194

Com pontos fortes do H.235 pode-se citar:
Habilidade de incorporar o material das chaves de criptografia para proteo
das mensagens de sinalizao e mdia atravs das mensagens de
configurao da chamada (call setup);
Suporte a segurana em trfego unicast e multicast;
Fornece proteo contra ataques de DoS, man-in-the-middle, spoofing,
seqestro de chamada e escuta indevida (eavesdropping) dependendo da
combinao dos perfis do H.235 utilizados;
Limitaes:
mais complexo de implementar se comparado com o SIP;
Como no muito utilizada, a interoperabilidade entre produtos de
fabricantes diferentes pode ser um problema.

5.2.7 MGCP
O protocolo MGCP no fornece nenhum controle de segurana, dessa forma,
muito recomendado utilizar protocolos de segurana como o caso do IPSec para
fornecer alguma proteo ao MGCP. Se no for implementada nenhuma proteo, um
atacante pode facilmente enviar mensagens de sinalizao para desconectar chamadas,
desviar o fluxo RTP para outro host ou mesmo o fluxo de uma conferencia sem que os
participantes tomem conhecimento (THERMOS, 2007)
Recomenda-se para a proteo de ataques ao MGCP:
Reforar o controle de acesso a rede (ACL) para restringir o acesso a portas
do MGCP. Essa prtica evita a tentativa maliciosa de manipulao de sesses
existentes;
Reforar a relao um-para-um entre call manager (ou call agents) e os
gateways da RPTC na troca de mensagens MGCP;
Quando suportado, habilitar IPSec para a criptografia do trfego entre call
manager e o gateway RPTC.

50

5.3 Segurana no fluxo da mdia
Como foi visto no item 3, embora existam diferente protocolos de sinalizao
usados para estabelecer uma sesso de VoIP (SIP, H.323 e MGCP so alguns
exemplos), o protocolo padro utilizado para a troca de fluxo de mdia o RTP (Real
Time Protocol). Contudo, se o RTP for utilizado sem os devidos cuidados, o fluxo de
mdia poder ficar vulnervel a ataques de interceptao e manipulao que
comprometero princpios de integridade e confidencialidade das informaes
trafegadas no ambiente. Sendo assim, esse tpico tem como objetivo apresentar
mecanismos utilizados para fornecer segurana contra as ameaas e vulnerabilidades
relacionadas ao processo de fluxo de mdia em redes de voz sobre IP.
5.3.1 SRTP e SRTCP
Secure Realtime Transport Protocol (SRTP) o padro especificado pela IETF
atravs da RFC 3711 para fornecer confidencialidade, integridade e autenticao ao
trfego de mdia em tempo real em aplicaes multimdia (udio e vdeo).
Adicionalmente ele tambm fornece proteo s mensagens RTCP (Realtime Transport
Control Protocol) que tem como funo fornecer informaes referentes a QoS como
atraso, jitter e quantidade de pacotes transmitidos aos participantes de uma sesso RTP.
Pelo fato das mensagens RTCP e RTP serem transmitidas separadamente, inclusive
cada protocolo usa portas de servios distintas, ambas precisam estar protegidas por
algum mecanismo de segurana, pois, caso o RTCP no esteja protegido, o trfego
poder ser manipulado ocasionando a interrupo ou degradao do servio VoIP
(THERMOS, 2007).
A confidencialidade do fluxo de mdia RTP garantida pela utilizao de
criptografia na carga til dos pacotes transmitidos. Dessa forma, antes que seja enviado
qualquer fluxo de mdia necessrio que haja uma negociao das chaves criptogrficas
entre as partes envolvidas na comunicao. Para esse fim, foram propostos diversos
protocolos de gerenciamento de chaves, cada um com seus prs e contras, sendo que os
mais utilizados comercialmente so o MIKEY e o Sdescriptions. A recomendao
combinar o SRTP com o mecanismo de troca de chaves que tenha o suporte mais
adequado com os requerimentos do ambiente (THERMOS, 2007).
Enquanto que o algoritmo criptogrfico padro utilizado pelo SRTP para garantir a
confidencialidade do fluxo RTP o AES (Advanced Encryption Standard) com chaves
de 128 ou 256 bits de comprimento, a integridade e a autenticao so fornecidas pelo
algoritmo SHA-1 de 160 bits. O MAC (message authentication code) calculado pelo
hash de todo contedo do pacote RTP (cabealho RTP e carga til criptografada) e seu
valor includo no campo Authentication tag. O uso desse campo recomendado para
fornecer proteo contra ataques de repetio (message reply). J o campo Master Key
Identifier (MKI) que opcional, pode ser utilizado como forma de recuperar ou
verificar a chave mestre utilizada numa sesso como tambm verificar a autenticidade
da carga til do pacote SRTP associada a ela. Na Figura 5.11 ilustrado o formato do
pacote SRTP (THERMOS, 2007).

51

Figura 5.11: Pacote SRTP (THERMOS, 2007)

No SRTCP tambm h o campo Authentication tag e o Master Key Identifier (MKI)
utilizados no SRTP, contudo, alm destes campos h dois cabealhos adicionais:
SRTCP index, utilizado para contar a seqncia dos pacotes, evitando ataques de
repetio (replay attacks) e o Encrypt-flag (E), que indica se o corpo RTCP foi
criptografado (THERMOS, 2007). A Figura 5.12 ilustra o formato do pacote SRTCP.

Figura 5.12: Pacote SRTCP (THERMOS, 2007)

52

6 CONCLUSO
Embora j tenha se firmado como uma tecnologia de comunicao alternativa aos
sistemas convencionais de telefonia baseados em redes de circuitos comutados, em
termos de segurana o VoIP ainda tem muito a evoluir. Conforme foi visto no captulo
4, as ameaas e vulnerabilidades esto por toda a parte, presentes em todos os elementos
de infra-estrutura que compem a arquitetura da soluo de voz sobre IP. Seja um
hardware, um software, um protocolo de comunicao ou mesmo os prprios usurios,
todos esses elementos possuem alguma vulnerabilidade que pode ser explorada se no
forem utilizadas as devidas protees.
Seja um usurio desavisado que acaba fornecendo informaes para um atacante,
seja um equipamento de rede mal configurado ou sem as devidas atualizaes de
firmaware, at mesmo a falta de conhecimento sobre os riscos que afetam a tecnologia
de VoIP utilizada, todas essas variveis influenciam na segurana do ambiente de
telefonia IP. Conseqentemente, as solues de segurana devem abranger cada uma
dessas variveis indistintamente, pois um item que seja negligenciado pode
comprometer todo o ambiente e colocar a perder todo investimento realizado.
Apesar desse cenrio, foi visto no capitulo 5 que existem diversos mecanismo de
proteo cada um direcionado a uma vulnerabilidade ou a um conjunto delas. Ataques
que visam comprometer a disponibilidade dos servios VoIP, como tcnicas de negao
de servio, tem como alvo elementos da infra-estrutura, seja servidores SIP,
Gatekeepers, DNS ou mesmo equipamentos de rede como roteadores e switches. Como
forma de prevenir esses ataques e outros baseados em violao de acesso, foi visto que
muito recomendada a segmentao da rede separando os fluxos de dados dos fluxos de
voz alm da utilizao de equipamentos como firewalls IDS e IPS.
Para os ataques que visam comprometer a confidencialidade e a integridade das
informaes trafegadas em redes VoIP, os quais geralmente so direcionados ao fluxo
de sinalizao e ao transporte fim a fim da mdia, as protees existentes so baseadas
em tcnicas de criptografia como o TLS, DTLS, S/MIME, IPSec, SRTP e SRTCP.
Contudo, a tcnica escolhida deve ser muito bem avaliada segundo aspectos de
desempenho e complexidade de implementao alm da sua interoperabilidade entre
equipamentos, pois, o que se percebe que no h um padro claramente definido pela
indstria no que se refere a esses mecanismos de criptografia e isso dificulta a
implementao das solues.
Como recomendao fica evidente a adoo de uma poltica de segurana slida,
que no se restrinja somente as vulnerabilidades conhecidas e que seja periodicamente
atualizada. Alm disso, importantssimo que essa poltica de segurana seja baseada
em camadas, at porque os ataques no se concentram apenas em uma tcnica de

53

explorao das vulnerabilidades, mas em um conjunto delas e qualquer brecha pode
comprometer a segurana de todo o ambiente.
Relativo aos aspectos de segurana, fica evidente que a tecnologia de VoIP tem
muito a amadurecer. Contudo, se seguidas algumas recomendaes ela atualmente j
pode ter um grau de segurana satisfatrio e se apresenta como uma forma vivel e
promissora ao progresso da comunicao mundial.

54

REFERNCIAS
BATES, R. J. Broadband Telecommunications Handbook. 2
nd
ed. [S.l.]:
McGrawHill, 2002.
BAUGHER, M. et al. The Secure Real-time Transport Protocol (SRTP): RFC 3711.
[S.l.]: IETF, 2004.
DIERKS, T.; RESCORLA, E. The Transport Layer Security (TLS) Protocol -
version 1.1: RFC 4346. [S.l.]: IETF, 2006.
GREGORY, P. SIP Communications For Dummies. Hoboken: Wiley Publishing,
2006.
HARRIS, S. CISSP All-in-One Exam Guide. 4
th
ed. [S.l.]: McGrawHill, 2008.
KELLY, T. VoIP for Dummies. Hoboken: Wiley Publishing, 2005.
KENT, S.; SEO, K. Security Architecture for the Internet Protocol: RFC 4301.
[S.l.]: IETF, 2005.
MAGALHES, I. L. Gerenciamento de servios de TI na prtica: uma abordagem
com base na ITIL. So Paulo: Novatec , 2007.
MCGANN, S.; SICKER, D. C. An Analysis of Security Threats and Tools in SIP-
Based VoIP Systems. [S.l.]: University of Colorado at Boulder, 2005.
PORTER, T.; GOUGH, M. How to Cheat at VolP Security. Rockland: Syngress
Publishing, 2007.
RAMSDELL, B. Secure/Multipurpose Internet Mail Extensions (S/MIME) Version
3.1 Message Specification: RFC3851. [S.l.]: IETF, 2004
SINNREICH, H. Internet Communications Using SIP: Delivering VoIP and
Multimedia Services with Session. Indianapolis: Wiley Publishing, 2006.
SOARES, L. F. Redes de Computadores: das LANs, MANs e WANs s redes ATMs.
Rio de Janeiro: Campus, 1995.
STEWART J. M.; TITTEL E.; CHAPPLE M. CISSP: Certified Information Systems
Security Professional Study Guide. 4
th
ed. [S.l.]: Wiley Publishing, 2008.
TANEMBAUM, A. S. Redes de Computadores. 4.ed. Rio de Janeiro: Campus, 2003.

55

THERMOS, P.; TAKANEN, A. Securing VoIP networks : threats, vulnerabilities,
countermeasures. Boston: Pearson Education, 2007.
TUCKER, G. S. Voice Over Internet Protocol (VoIP) and Security. [S.l.]: SANS
Institute, 2004.

Vulnerabilidades Voip-000695234 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Vulnerabilidades Voip-000695234 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

Você também pode gostar