Protectia Serviciului de Voce In Retelele Ip

Protecția serviciului de voce în rețelele IP

CUPRINS

CAPITOLUL 1. Prezentarea conceptului VoIP

1.1. Internet Protoco

1.2. Prezentarea generală a VOIP

1.3. Elementele unei rețele VoIP

1.4. Protocoale folosite de VoIP

1.4.1. Protocolul H.323

1.4.2. Protocolul SIP

1.4.3. Comparație între protocoalele SIP și H.323

1.4.4. Protocolul MGCP

1.4.5. Protocolul H.248 / Megaco

1.4.6. Comparație între protocoalele MGCP și H.248 / Megaco

CAPITOLUL 2. Conceptul de securitate a informației

2.1. Atribute de funcționalitate a informației

2.2. Securitatea informațiilor în format electronic

CAPITOLUL 3. Direcții actuale referitoare la securitatea VoIP

3.1. Problemele la gateway-uri

3.2. Criptarea

3.3. Cisco a rezolvat două probleme de securitate VoIP

3.4. Criptarea Serviciul de securitate lansat de Verizon Business

3.5. Riscurile la care sunt expuse rețelele VoIP

3.6. Evaluarea riscurilor din perspectiva operatorilor VoIP

3.7. Măsuri de securitate

CAPITOLUL 4. Prezentarea rețelei de telefonie IP realizată

4.1. Prima rețea locală de telefonie IP

4.2. A doua rețea locală de telefonie IP

4.3. Rețeaua WAN de telefonie IP cu legătură directă

4.4. Rețeaua WAN de telefonie IP cu legătură indirectă

CAPITOLUL 5. Securizarea rețelei de telefonie IP

5.1. Standardele DES, 3DES și AES

5.2. Realizarea rețelei private virtuale (VPN)

5.3. Realizarea celei de-a doua rețea IP protejată

5.3.1. Analiza traficului în rețea folosind Wireshark

5.3.2. Securizarea site to site

5.3.3. Securizarea end to end

CAPITOLUL 6. Concluzii

Bibliografie

ANEXE

Anexa 1 : Topologia WAN a rețelei configurate VOIP

Anexa 2 : Rețeaua folosită pentru analiză

Anexa 3 : Setarea opțiunii de cripatare a vocii la 3cxsoftPhone4

CAPITOLUL 1. Prezentarea conceptului VoIP

Întrepătrunderea dintre domeniul calculatoarelor și cel al comunicațiilor a avut o influență profunda asupra modului în care sunt organizate sistemele de calcul. Conceptul de “centru de calcul” – în accepțiunea sa de camera unde există un calculator mare la care utilizatorii vin să ruleze programele – este total depășit. Vechiul model al unui singur calculator care servește problemele de calcul ale organizației a fost înlocuit de un model în care munca este facută de un număr mare de calculatoare separate, dar interconectate. Aceste sisteme se numesc rețele de calculatoare.

Deosebim în acest context două tipuri de rețele :

Rețele pentru firme – conduc la o împarțire a resurselor cu următoarele scopuri :

disponibilitate a datelor firmei indiferent de locația geografică în care se află respectiva unitate

fiabilitate prin accesul la mai multe echipamente de stocare alternative

economia dată de raportul calitate/preț mult mai bun al calculatoarelor mici față de sistemele mari de calcul.

Rețelele pentru oameni – începând cu anii 1990, rețelele de calculatoare au început să furnizeze servicii la domiciliu pentru persoane particulare. Iată câteva :

Accesul la informație la distanță

Comunicațiile interpersonale

Divertismentul interactiv

Din punct de vedere al întinderii lor ca arie geografică, deosebim alte trei tipuri de rețele :

rețele locale (LAN-Local Area Network) sunt rețele private localizate într-o singură cladire sau într-un campus de cel mult cațiva kilometri. LAN-urile se disting de alte tipuri de rețele prin 3 caracteristici : (1) mărime, (2) tehnologie de transmisie si (3) topologie. Astfel (1) LAN-urile au dimensiuni restrânse ceea ce înseamna că timpul de transmisie e limitat și dinainte cunoscut. Cunoscând această limită, este posibil să utilizăm anumite tehnici de proiectare. Deasemeni, se simplifică administrarea rețelei. Pentru (2), LAN-urile utilizează frecvent o tehnologie de transmisie care constă dintr-un singur mediu (cablu în special, dar există și Wireless LAN) la care sunt atașate toate mașinile. LAN-urile tradiționale funcționează la viteze cuprinse între 10 și 100 Mbps, au întârzieri mici (zeci de microsecunde) și produc erori foarte puține. În privința (3), mai cunoscute sunt rețeaua cu magistrala (cu cablu liniar), de exemplu standardul IEEE 802.3, popular numit Ethernet (funcționând la 10-100 Mbps) și standardul IEEE 802.5 numit inel cu jeton (token ring) ce lucrează la viteze de 4-16 Mbps.

rețelele metropolitane (MAN-Metropolitan Area Network) este în linii mari o versiune extinsă de LAN și utilizează în mod normal topologii similare cu acesta. Un MAN se poate întinde pe zona ocupată de un grup de birouri învecinate sau pe suprafața unui întreg oraș și poate fi atât privata cât și publica. Un MAN poate suporta atât date cât și voce și dispune numai de un cablu sau două, fără să conțină elemente de comutare care deviază pachetele pe una din cele câteva linii posibile de ieșire.Un exemplu de MAN este standardul IEEE 802.6 denumit DQDB (Dual Queue Dual Bus- magistrala duală cu coadă distribuită). DQDB constă din două magistrale unidirecționale la care sunt conectate toate calculatoarele.

rețelele larg raspândite geografic (WAN-Wide Area Network) – acoperă o arie geografică întinsă – deseori o țară sau un continent întreg. Rețeaua conține o colecție de mașini utilizate pentru a executa programele utilizatorilor, numite mașini gazda. Gazdele sunt interconectate printr-o subrețea de comunicație. În majoritatea rețelelelor larg răspândite geografic, subrețeaua este formată din două componente distincte: liniile de transmisie și elementele de comutare. Liniile de transmisie (numite și canale, circuite sau trunchiuri ) au ca sarcină transportul biților între mașini. Elementele de comutare sunt calculatoare specializate folosite pentru a conecta două sau mai multe linii de transmisie. Ca exemple de WAN-uri se pot aminti : PSTN (Public Switched Telephone Network- rețeaua publică de telefonie) sau Internet pentru a nu da decât să le zicem pe cele mai semnificative dintre rețelele de voce și date.

1.1. Internet Protocol

Internet Protocol (IP) este un protocol prin care datele sunt trimise de la un calculator la altul prin intermediul Internetului. Fiecare calculator, pe internet are cel puțin o adresă IP unică, care îl identifică între toate computerele de pe internet. Când se trimit sau se primesc date (de ex.: e-mail, pagini web) mesajul este împărțit în părți mai mici numite pachete. Fiecare pachet cuprinde adresa celui care trimite datele, dar și a celui căruia îi sunt destinate. Fiecare pachet este trimis, prima oara la un "Gateway Computer" care înțelege o mică parte din internet. Computerul "Gateway" citește destinația pachetelor și trimite pachetele la un alt "Gateway" și tot așa până ce pachetul ajunge la "Gateway"-ul vecin cu computerul destinatar.

Adresa IP este utilizată la nivelul programelor de prelucrare în rețea. În schimb, la nivelul utilizatorilor cu acces , identificarea calculatoarelor se face printr-un nume de calculator host gestionat de sistemul DNS.

Comunicația în Internet funcționează după cum urmează: nivelul transport preia șiruri de date și le divide în datagrame. Teoretic, datagramele pot avea fiecare până la 64 KB, dar în practică ele nu depășesc 1500 de octeți (pentru a intra într-un cadru Ethernet). Fiecare datagramă este transmisă prin Internet, fiind eventual fragmentată în unități mai mici pe parcurs. Când toate aceste „fragmente” ajung la mașina destinație ele sunt reasamblate de nivelul rețea în datagrama originală. Datagrama este transparentă nivelului transport, care o inserează în șirul de intrare al procesului receptor. Cea mai mică adresă este 0.0.0.0, iar cea mai mare 255.255.255.255. Adresa IP 0.0.0.0 este folosită de gazde atunci când sunt pornite. Adresele IP cu 0 ca număr de rețea se referă la rețeaua curentă. Aceste adrese permit ca mașinile să acceseze propria rețea fără a cunoaște numărul de rețea (dar trebuie cunoscută clasa rețelei pentru a ști câte zerouri trebuie introduse). Adresele care constau numai din 1-uri permit difuzarea în rețeaua curentă, în mod usual un LAN . Toate adresele de forma 127.xx.yy.zz sunt rezervate pentru testări în buclă locală. Pachetele trimise către această adresă nu sunt trimise prin cablu ele sunt prelucrate local și tratate ca pachete sosite.

O datagramă IP(un pachet) constă dintr-o parte de antet și o parte de text. Antetul are o parte fixă de 20 octeți și o parte opțională de lungime variabilă.

Fiecare gazdă și router din internet are o adresă IP, care codifică adresa sa de rețea și de gazdă. Combinația este unică: în principiu nu există două mașini cu aceeași adresă IP. Toate adresele IP sunt de 32 biți și sunt folosite în câmpurile „Adresă sursă” și „Adresă destinație” a pachetelor IP. Este important de observat că o adresă IP nu se referă la o gazdă. Se referă, de fapt, la o interfață de rețea. Cu alte cuvinte, dacă o gazdă este în două rețele, trebuie să folosească două adrese IP .

Rețelele sunt dinamice și este posibil ca 2 pachete IP de la aceeași sursă să plece pe căi diferite (BGP – Border Gateway Protocol) și să ajungă la aceeași destinație. Pachetele IP (dupa cum s-a mai spus) nu au garanția că vor ajunge la destinație, acest lucru fiind lăsat în seama protocoalelor adiacente (TCP, UDP etc).

1.2. Prezentarea generală a VOIP

VoIP (voice over internet protocol) reprezintă abilitatea de a face convorbiri telefonice și de a trimite faxuri peste o rețea bazată pe protocolul IP ce reușeșete să asigure o anumită calitate a serviciului (QoS) și cu un raport cost/beneficii superior. Toată lumea vorbește despre VoIP și fiecare dorește o parte din beneficiile aduse de acesta :

Producătorii și dezvoltatorii de echipamente văd o oportunitate de a inova și de a concura. Acum sunt ocupați cu dezvoltarea unor echipamente ce suportă VoIP astfel încât să intre pe piață cu ele în timp.

Companiile de servicii de Internet (ISP) văd acum posibilitatea de a concura cu vechile companii de telecomunicații și în domeniul voce.

Utilizatorii sunt interesați de integrarea serviciilor de date și voce cu scopul reducerii cheltuielilor.

1.2. Prezentarea generala a VOIP

Deși pare foarte atractivă, tehnologia VoIP nu s-a dezvoltat în așa măsură încât să poată înlocui cu succes serviciile și calitatea oferite de vechea rețea PSTN. În primul rând trebuie să fie clar că tehnologia VoIP va fi într-adevăr mai eficientă. Pentru a concura cu vechea rețea PSTN , întregul cost al operației de trecere către VoIP trebuie să fie scăzut.VoIP provoacă panică în rândul providerilor actuali de servicii telefonice, care vor reacționa prin scăderea prețurilor și îmbunătățirea propriilor servicii.

O altă aplicație imediată pentru telefonia IP va fi transmisia în timp real de fax-uri. Calitatea transmisiei fax este periclitată în general de întârzierile din rețea, compatibilitatea echipamentelor și calitatea semnalului analogic. Pentru transmisia de fax peste rețelele cu comutație de pachete avem nevoie de o interfață pentru conversia datelor sub formă de pachete, pentru conversia semnalizărilor și a protocoalelor de control și pentru a asigura transmisia datelor scanate în perfectă ordine. Pierderile de pachete și întârzierea cap-la-cap este mai critică decât în cazul aplicațiilor de voce.

Multe alte aplicații au fost gândite pentru a fi implementate de telefonia peste IP. De exemplu, mesajele de voce pot fi făcute folosind un telefon și apoi livrat unei căsuțe integrate voce/date folosind serviciile Internet sau intranet. Documentele de voce, fișierele multimedia pot deveni în scurt timp standarde pentru munca la birou în viitorul apropiat.

Principalele motive pentru dezvoltarea telefoniei peste IP pot fi rezumate astfel :

Reducera costurilor : Asa cum s-a descris, vor apărea reduceri mari de cheltuieli mai ales pentru apelurile la mare distanță ceea ce este foarte important pentru companii, mai ales pentru companiile ce activează pe piețe internaționale.

Simplificarea : O rețea integrată voce/date permite o mai mare standardizare și un necesar mai redus de echipamente.

Aplicații avansate : Beneficiile pe termen lung al telefoniei IP includiei de trecere către VoIP trebuie să fie scăzut.VoIP provoacă panică în rândul providerilor actuali de servicii telefonice, care vor reacționa prin scăderea prețurilor și îmbunătățirea propriilor servicii.

O altă aplicație imediată pentru telefonia IP va fi transmisia în timp real de fax-uri. Calitatea transmisiei fax este periclitată în general de întârzierile din rețea, compatibilitatea echipamentelor și calitatea semnalului analogic. Pentru transmisia de fax peste rețelele cu comutație de pachete avem nevoie de o interfață pentru conversia datelor sub formă de pachete, pentru conversia semnalizărilor și a protocoalelor de control și pentru a asigura transmisia datelor scanate în perfectă ordine. Pierderile de pachete și întârzierea cap-la-cap este mai critică decât în cazul aplicațiilor de voce.

Multe alte aplicații au fost gândite pentru a fi implementate de telefonia peste IP. De exemplu, mesajele de voce pot fi făcute folosind un telefon și apoi livrat unei căsuțe integrate voce/date folosind serviciile Internet sau intranet. Documentele de voce, fișierele multimedia pot deveni în scurt timp standarde pentru munca la birou în viitorul apropiat.

Principalele motive pentru dezvoltarea telefoniei peste IP pot fi rezumate astfel :

Reducera costurilor : Asa cum s-a descris, vor apărea reduceri mari de cheltuieli mai ales pentru apelurile la mare distanță ceea ce este foarte important pentru companii, mai ales pentru companiile ce activează pe piețe internaționale.

Simplificarea : O rețea integrată voce/date permite o mai mare standardizare și un necesar mai redus de echipamente.

Aplicații avansate : Beneficiile pe termen lung al telefoniei IP includ suport pentru aplicații multimedia și multiservicii, ceea ce telefonia clasică actuală nu poate oferi.

Creșterea pieței VoIP se așteaptă să fie mare în următorii 5 ani. Estimările dau o creștere de aproximativ 132% pentru echipamente în perioada 1997- 2002 cu o piață de aproximativ 3,16 miliarde dolari în 2002. Beneficiile anuale din partea echipamentelor de fax în 2000 au ajuns la 100 milioane dolari față de 20 milioane în 1996.

1.3. Elementele unei rețele VoIP

Serviciile de telefonie IP trebuie să fie în stare să se conecteze la rețelele tradiționale bazate pe comutația de circuite. ITU-T a realizat această problemă definind un set de standarde pentru rețelele multimedia bazate pe comutația de pachete. Elementele de bază ale unei astfel de rețele sunt terminalele ca telefoanele tip PC sau telefoanele existente deja conectate , PSTN sau wireless, gateway-uri ca interfață între rețeaua locală la care sunt conectate terminalele și rețeaua cu comutație de circuite, gatekeeper ce are funcții de control al admisiei și MCU (Multipoint Control Unit ) ce oferă conferințe între trei sau mai multe terminale. Aceste entități vor fi discutate în cele ce urmează.

Terminale

Sunt terminale de tip LAN pentru transmisia vocii. Exemple comune de astfel de terminale sunt calculatoare personale ce rulează Microsoft NetMeeting și au un microfon de rețea.

Terminalele implementează funcții de transmitere a vocii și cu siguranță includ cel puțin un CODEC de voce (Compressor/ Decompressor) care trimite și recepționează voce pachetizată. Codecuri mai întâlnite sunt: ITU-T G.711 (PCM), G.723 (MP-MLQ), G.729A (CA-ACELP) și GSM. Codecurile diferă prin cerințele CPU-lui, prin calitatea vocii rezultate și prin inerenta întârziere de procesare.

Terminalele deasemenea trebuie să suporte funcții de semnalizare. Terminalele mai pot implementa capabilități de comunicații video și de date, însă nu fac obiectul studiului nostru acum.

Gateways

Gateway-urile servesc ca o interfață între rețele tip VoIP si retelele ce functioneaza cu tehnologii diferite, pe de o parte, se conectează la lumea tradițională a vocii, iar pe cealaltă parte la echipamentele ce funcționează cu comutație de pachete. Ca orice interfață, un gateway trebuie să translateze mesaje de semnalizare între cele două părți ca dealtfel să compreseze sau să decompreseze vocea. Ca un prim exemplu de gateway este gateway-ul PSTN/IP conectând un terminal VoIP (Switched Circuit Network )

IP/PSTN Gateway :

Figura 1. Schemă conectare terminal VoIP

Există multe tipuri de gateway-uri astăzi în folosință, pornind de la gateway-uri cu câteva zeci de porturi analogice până la super gateway-uri cu mii de linii.

Gatekeeper

Prezența unui gatekeeper nu este obligatorie in arhitectura unei rețele VoIP. Oricum, dacă este prezent, el trebuie să îndeplinească un set de funcții. Gatekeeper-ul managerizează porțiuni, zone, colecții logice de echipamente (de exemplu toate terminalele VoIP dintr-o subrețea IP). Mai multe gatekeepere pot fi prezente pentru a balansa încărcarea sau pentru a avea capabilități de hot-swap backup.

Filosofia definirii gatekeeper-elor este aceea de a permite proiectanților de rețele VoIP să separe puterea brută de procesare a gateway-ului de funcțiile inteligente de control a rețelei pe care le poate executa un gatekeeper. Un gatekeeper tipic este implementat pe un PC, pe când un gateway este adesea o platformă hardware de sine stătătoare.

Gatekeeper-ele oferă funcții de rutare pentru echipamentele din zona deservită. Aceasta poate fi, uneori, translația între sistemul de numerotație din interior și cel din exterior. O altă funcție importantă a gatekeeper-ului este controlul admisiei, specificând ce terminale pot apela anumite numere.

Printre funcțiile opționale de control ce se pot oferi de către un gatekeeper există informațiile de management SNMP.

Un gatekeeer poate participa într-o varietate de modele de semnalizare asa cum el singur stabilește. Modelele de semnalizare se referă la ce mesaje de semnalizare trec prin gatekeeper și care trec direct de la un terminal la altul sau de la terminal direct la gateway. Există două modele de semnalizare. Modelul de semnalizare directă permite ca apelurile să nu treacă prin gatekeeper, pe când în modelul de semnalizare prin gatekeeper toate mesajele de semnalizare trec prin gatekeeper și doar convorbirile se fac direct între stații.

Multipoint Control Unit (MCU)

MCU permit funcții de conferință intre trei sau mai multe terminale. Logic, un MCU conține 2 părți :

Multipoint Controller (MC) care se ocupă cu semnalizările și mesajele de control necesare conferințelor

(MP) care primește semnalele de la terminale, le multiplică și le trimite apoi către participanții la conferință.

Un MCU poate implementa ambele funcții atât ale MP cât și ale MC, caz în care este denumit MCU centralizat. Alternativ, un MCU descentralizat implementează doar funcțiile MC, lăsând funcția de multipoint processor pentru terminalele participante.

Este important de reținut definirea tuturor părților unei rețele VoIP este pur logică. Nici o specificație nu a fost dată pentru divizarea fizică a unităților. De exemplu, MCU poate fi un echipament de sine stătător sau poate fi integrat într-un terminal, gateway sau gatekeeper.

1.4. Protocoale folosite de VoIP

Vocea umană, ca și orice altă mărime din natură, este o mărime analogică; pentru a putea fi transmisă printr-o rețea orientată pe comutație de pachete (rețeaua IP) ea trebuie digitizată. Cele mai commune standarde de codare-decodare (CODEC) sunt preszentate în tabelul 1.1.

Tabelul 1.1. Standarde de codare-decodare (CODEC)

VoIP acoperă, în general, o mare varietate de tehnologii pentru comunicații de voce prin rețelele IP. În ultima vreme, VoIP a evoluat de la stadiul unor implementări proprietare la cel în care există mai multe standarde (concurente) pe piață. Cu toate acestea, s-au impus patru standarde pentru implementarea VoIP (semnalizare și controlul apelului): H.323, SIP (Session Initiation Protocol), MGCP (Media Gateway Control Protocol), H.248 / Megaco (Media Gateway Control). În cele ce urmează vor fi trecute în revistă caracteristicile principale ale acestor protocoale (stive de protocoale) dar, înainte de toate, trebuie clarificată apartenența la « arhitectura centralizată » sau la « arhitectura distribuită » a diverselor protocale de semnalizare și pentru controlul apelului.

Astfel, în general, arhitectura centralizată este asociată cu protocoalele MGCP și H.248 / Megaco, care au fost proiectate pentru un dispozitiv central al rețelei, dispozitiv numit « controlor al porților media » sau « agent de apel » și care are în sarcină logica de comutare și pentru controlul apelului. Dispozitivul central conversează cu porțile media, care rutează și transmit porțiunea de audio / video a apelurilor (în cazul de față, pentru VoIP, numai informația de voce). În cadrul arhitecturii centralizate, inteligența rețelei rezidă în dispozitivul central, iar punctele terminale sunt relativ simple din acest punct de vedere (pasive) – cu un număr limitat de caracteristici sau chiar fără nici un fel de caracteristici (funcții) de control. Deși reprezentative pentru acest gen de arhitectură sunt protocoalele MGCP și H.248 / Megaco, este posibil să se construiască o rețea cu o astfel de arhitectură și cu protocoalele SIP și H.323, folosind agenți de utilizator interconectați sau semnalizarea apelului printr-un dispecer (gatekeeper) rutat. În cadrul unei arhitecturi centralizate există avantajul unui management centralizat, al unui control centralizat al apelului și al unui control unic al resurselor. De asemenea, se simplifică fluxurile apelurilor pentru acele caracteristici ale telefoniei moștenite din PSTN. Pe de altă parte, acest gen de arhitectură limitează posibilitățile de inovație tehnologică (în special în ceea ce privește terminalul) și pot apare probleme atunci când se încearcă instalarea unei rețele cu această arhitectură și care trebuie să implementeze caracteristici superioare celor din PSTN (în număr mai mare și nespecifice PSTN).

În cadrul arhitecturilor distribuite, asociate cu protocoalele H.323 și SIP, este permis ca inteligența rețelei să fie distribuită între terminale și dispozitivele de control al apelului. În cazul VoIP « inteligența » se referă la acțiunile întreprinse în legătură cu starea apelului, caracteristicile apelului, rutarea apelului, manevrarea resurselor, taxare sau orice alt aspect legat de manevrarea apelurilor. Punctele de terminație ale rețelei pot fi porți (gateways) VoIP, telefoane IP, servere de media sau orice alt dispozitiv care inițiază și termină un apel VoIP. Dispozitivele de control al apelului sunt numite « dispeceri » (gatekeepers) într-o rețea H.323 și « servere proxy » sau « servere de redirecționare » într-o rețea SIP. Arhitectura distribuită are avantajul unei flexibilități mai ridicate. Aceasta permite tratarea aplicațiilor VoIP ca și orice altă aplicație IP distribuită și permite alocarea flexibilă a inteligenței între terminale și dispozitivele de control al apelului, conform cu cerințele de afaceri sau tehnologice ale rețelei. Pe de altă parte, de cele mai multe ori, acest gen de arhitectură tinde să devină prea complexă.

În tabelul 1.2 sunt prezentate sumar câteva caracteristici ale arhitecturilor distribuite și centralizate, în scop de comparație.

Tabelul 1.2. Comparație între arhitecturile distribuite și centralizate de rețele VoIP

1.4.1. Protocolul H.323

ITU-T a început lucrul la protocolul H.323 [1] în mai 1995, în cadrul grupului de studii 16. H.323 definește o arhitectură distribuită pentru crearea aplicațiilor multimedia (descrie terminale și alte entități – dispeceri (gatekeepers), porți (gateways), unități de control multipunct, inclusiv pentru VoIP și este cel mai răspândit și mai matur protocol destinat implementării aplicațiilor de VoIP. H.323 este considerat a fi un « protocol-umbrelă », deoarece acesta definește toate aspectele referitoare la transmiterea apelului, de la stabilirea apelului până la schimbul de informații cu privire la capabilități și la disponibilitatea resurselor rețelei. De asemenea, H.323 definește protocolul RAS pentru rutarea apelului, protocoalele H.225 pentru stabilirea apelului și protocoalele H.245, pentru schimbul informațiilor cu privire la capabilități. H.323 este bazat pe protocolul Q.931 pentru semnalizarea în ISDN, ceea ce îi permite interoperarea cu rețelele tradiționale de voce, cum ar fi PSTN și cu SS7. Ca și protocol folosit în cadrul unei arhitecturi distribuite, H.323 permite operatorilor construirea unor rețele de mari dimensiuni caracterizate prin scalabilitate și redundanță. H.323 asigură și mecanisme pentru interconectarea cu alte rețele VoIP (rețele implementate prin alte stive de protocoale), susține inteligența rețelei fie în terminale, fie în dispozitivele dispecer (gatekeepers).

În figura 1 se prezintă stiva de protocol pentru H.323. În cadrul acestei figuri au fost incluse și protocoalele pentru codarea video, deși ele nu sunt folosite în cadrul aplicațiilor VoIP, numai din motive de rigurozitate (ele există, ca atare, în specificația protocolului H.323). Transmisiunea de date este opțională în VoIP (mesagerie) și se face conform cu recomandarea ITU-T T.120. Așa cum s-a arătat anterior, H,323 specifică și o serie de elemente de rețea, rețea a cărei arhitectură generică tipică este redată în figura 2.1. În cadrul acestei arhitecturi pot fi distinse mai multe tipuri de componente ale rețelei, după cum urmează: terminale H.323, dispecere (gatekeepers), porți (gateways), unități de control multipunct (MCU).

Terminalele H.323 sunt puncte din rețea care asigură comunicația bidirecțională în timp real între utilizatori. Standardul H.323 specifică faptul că toate terminalele H.323 trebuie să suporte serviciul de voce, serviciile de video și de date fiind opționale. Astfel, forma de bază a unui terminal H.323 este telefonul IP. Terminalele H.323 trebuie să susțină: protocolul H.245, pentru a controla capabilitățile și utilizarea canalului, protocolul Q.931, pentru stabilirea apelului și semnalizare și protocolul RAS (Registration, Admission and Status), pentru a asigura comunicația cu dispecerul. Pentru secvențierea pachetelor de voce se folosesc protocoalele RTP/RTCP (IETF RFC 1889).

Figura 1.1. Stiva de protocol pentru H.323

Dispecerul (gatekeeper) este descris în cadrul recomandării ITU-T H.323 ca și o componentă opțională, dar în practică acesta constituie o unealtă esențială pentru definirea și controlul exercitat asupra modului cum comunicațiile de voce sunt administrate prin rețeaua IP. Dispecerii sunt responsabili de asigurarea translației de adrese între identificatorii LAN și adresele IP, de asigurarea serviciilor de control și de rutare a apelului între punctele terminale H.323, de managementul sistemului și de politicile de securitate. Serviciile asigurate de dispeceri în cadrul comunicației între terminalele H.323 sunt definite în protocolul RAS. Dispecerii furnizează inteligența pentru asigurarea noilor servicii și aplicații IP. Aceștia permit administratorilor de rețea să configureze, să monitorizeze și să administreze activitățile terminalelor înregistrate, să seteze politicile și să controleze resursele rețelei (cum ar fi utilizarea lărgimii de bandă în zona lor H.323). Punctele terminale înregistrate pot fi terminale H.323, porți sau unități de control multipunct. O zonă H.323 poate fi administrată doar de un singur dispecer, dar această zonă poate cuprinde mai multe porți și unități de control multipunct. Deoarece o zonă este definită și administrată de către un singur dispecer, punctele terminale dintr-o zonă ce conține de asemenea un dispecer trebuie să asigure mijloacele de dezactivare a acestuia. Aceasta asigură faptul că mai multe puncte terminale H.323 care conțin un dispecer pot fi toate configurate într-o aceeași zonă.

Figura 1.2. Arhitectura generică a unei rețele implementate prin protocolul H.323

Porțile (gateways) asigură faptul că sistemele H.320 și H.323 pot conlucra (PSTN cu IP). În mod esențial, porțile asigură translația între rețelele cu comutație de circuite, bazate pe ISDN și rețelele locale (în particular, cele bazate pe IP), permițând punctelor terminale din acestea să comunice între ele. Pentru aceasta, porțile trebuie să facă translația între formatele de transmisie H.225 și H.221 și între protocoalele de control al comunicației H.245 și H.242. Poarta trebuie, de asemenea, să realizeze transcodarea între diversele tipuri de codec-uri audio (și video, acolo unde acestea există) și între serviciile rețelelor locale și serviciile rețelei ISDN.

Unitatea de control multipunct (MCU) permite ca trei sau mai mulți utilizatori să intre în conferință, fapt pentru care cele mai multe sisteme H.323 cer existența unui server de conferință multipunct (MCS) – acest server este de fapt, unitatea de control multipunct. Această unitate de control multipunct nu este similară unității MCU H.320. Funcțiile de bază ale MCU pentru H.323 sunt acelea de a menține toate fluxurile audio, video și de date între toți participanții la o conferință.

Serviciile suplimentare în H.323 sunt specificate prin seria de recomandări ITU-T H.450. Astfel, în această serie de recomandări, arhitectura de servicii este descentralizată. Entitățile pereche (servere, clienți, MCU-uri, porți) comunică direct, folosind semnalizarea H.450, fără a implica un control centralizat al rețelei. Pentru acele caracteristici care presupun un control centralizat se folosește un server, care este o formă de punct terminal H.323/H.450. Exemple de astfel de servere sunt: serverele de mesagerie, serverele pentru distribuția automată a apelurilor, serverele sau grupurile de servere pentru caracteristicile grupului. Una din cerințele cele mai importante pe care le-a rezolvat H.450 a constat în simplificarea caracteristicilor de conlucrare cu rețelele comutate private (QSIG) și cu rețeaua publică ISDN. Mai mult de atât, H.450 a fost proiectat ca și un protocol cu un înalt grad de extensibilitate, care dispune de mai multe mecanisme pentru asigurarea interoperabilității și ușurarea implementării noilor caracteristici. Seria de recomandări ITU-T H.450.x specifică un set de servicii suplimentare pentru multimedia și de funcțiuni, după cum urmează: protocol generic funcțional pentru susținerea serviciilor suplimentare în H.323, transferul apelului, redirecționarea apelului, menținerea apelului, parcarea apelului, apel în așteptare, indicație de așteptare a unui mesaj.

H.323 este folosit în rețeaua de acces și în mod special în rețele IP administrate de entități bine determinate, precum și în aplicații de bandă largă prin acces radio. H.323 a fost primul protocol ce a manevrat aplicații de VoIP. La ora actuală, acest protocol este implementat în mai mult de 80% dintre dispozitivele și rețelele de VoIP din întreaga lume. Cea mai implementată versiune a acestui protocol este versiunea a doua.

1.4.2. Protocolul SIP

Protocolul SIP (« Protocolul pentru Inițierea Sesiunii) a fost dezvoltat de către IETF (Internet Engineering Task Force)) și se mulează pe modelul Internet de comunicații în perechi de utilizatori, într-o arhitectură distribuită. SIP dispune de un set mic de servicii de bază care permit stabilirea unei sesiuni (în termeni specifici telefoniei, pentru stabilirea unui apel) între două dispozitive (în termeni specifici telefoniei, între două telefoane) în scopuri de efectuare a unei comunicații. Deși, de obicei, în cadrul celor mai multe documente referitoare la protocolul SIP se folosește o terminologie specifică telefoniei IP, acest protocol este foarte generic, iar o sesiune poate include orice formă de media: audio, video, text, etc. Standardul SIP este în plină evoluție și se adaugă continuu noi extensii de servicii și au loc permanente îmbunătățiri ale acestuia. Mai mult de atât, IETF a dezvoltat protocoale suplimentare pentru extinderea capabilităților protocolului SIP și pentru extinderea capabilităților aplicațiilor bazate pe acest protocol. SIP este foarte versatil, putând fi implementat atât la nivelul unei rețele de întreprindere cât și la nivelul rețelelor publice de telecomunicații. SIP a fost specificat la origine în cadrul « Grupului de lucru IETF pentru controlul sesiunii multimedia între mai mulți participanți » (MMUSIC WG), prin documentul RFC 2543 [2].

Ca parte a unei arhitecturi complete pentru controlul sesiunii, SIP asigură semnalizarea și controlul pentru trei funcții principale: localizarea resurselor / părților în comunicație, invitația în sesiunea serviciului, negocierea parametrilor sesiunii.

Acest protocol specifică un set de mesaje bazate pe text, similar cu protocolul de transport pentru hipertext (HTTP) și protocolul de transfer de poștă electronică simplă (SMTP), pentru inițierea unei sesiuni interactive de comunicații între utilizatori. În cadrul figurii 1.3 se prezintă stiva de protocol pentru SIP. Așa cum se observă și din această figură, pachetizarea semnalelor de voce și video se face tot prin intermediul unor codec-uri ITU-T (seria G.7xx și H.26x), ca și în cazul protocolului H.323. Codec-urile pentru semnale video sunt prezentate doar informativ în cadrul stivei de protocol, ele neintervenind în descrierea sistemelor VoIP (s-au precizat numai pentru rigurozitate).

Figura 1.3. Stiva de protocol pentru SIP

În cadrul acestei arhitecturi, se remarcă prezența, pe lângă protocolul SIP, a două protocoale suplimentare: SDP (Session Description Protocol) și SAP (Session Announcement Protocol). SIP împreună cu SDP [3] și SAP [4] asigură, în această arhitectură, elementele de bază pentru telefonia IP: stabilirea și terminarea apelului, configurarea apelului și transferul de date. Acestea sunt realizate folosind SIP pentru porțiunea de stabilire și terminare a apelului, SDP pentru descrierea configurației apelului și SAP pentru anunțarea unei conferințe multipunct în rețea. Protocolul RTP este folosit pentru transferul datelor, iar RTCP pentru administrarea fluxurilor de date. SIP poate rula prin protocoale de flux așa cum sunt UDP, TCP, ATM și Frame Relay (cel mai adesea cunoaște implementări pe stiva de protocoale TCP/IP).

În mod obișnuit, SIP face uz de protocolul SDP pentru a descrie atributele unei sesiuni SIP. Parametrii SDP sunt încapsulați ca și corp al mesajului unei cereri SIP. SDP joacă un rol similar celui jucat de H.245 în rețelele H.323. Ca și SIP, antetele SDP sunt codificate cu text plan. SDP nu este chiar un protocol ci mai mult un format pentru descrierea sesiunii multimedia. Antetele SDP specifică: numele și scopul sesiunii, momentele când sesiunea este activă, mediile cuprinse în cadrul sesiunii, adresa de transport și formatiul mediilor din sesiune, lărgimea de bandă ce va fi folosită în cadrul sesiunii, informația de contact pentru persoana responsabilă cu administrarea sesiunii. O componentă cheie a SDP este descrierea mediilor sesiunii. Descrierile mediilor sesiunii includ: tipul mediului (audio, video), protocolul de transport (UDP, TCP, RTP), formatul mediului (de exemplu, G.711, H.261, MPEG, etc.), adresa multicast pentru sesiuni IP multicast, portul de transport pentru sesiuni IP multicast, adresa distantă pentru sesiuni IP unicast, portul de transport pentru sesiuni IP unicast, momentele de început și de sfârșit ale sesiunii.

Protocolul SAP, folosit pentru sesiuni și conferințe multicast este încă în lucru , sub forma unui proiect. Astfel, prin acest protocol, o conferință este anunțată prin transmiterea multicast, periodică, a unui pachet de anunțare UDP către o adresă sau un port multicast. Prin SAP este posibilă stabilirea apelurilor de conferință, nu și pentru telefonie IP unu-la-unu.

SIP specifică și o serie de elementele de rețea, rețea a cărei arhitectură este ilustrată în figura 1.4.

Figura 1.4. Arhitectura generică a unei rețele implementate prin protocolul SIP

În cadrul acestei arhitecturi se disting mai multe tipuri de componente ale rețelei, după cum urmează: agenți de utilizator (în terminalele SIP), servere proxy, servere de redirecționare, servere de înregistrare.

Agenții de utilizator sunt puncte terminale în rețelele SIP, ce inițiază și răspund la cereri și comunică cu alți agenți de utilizator, în scopul stabilirii și eliberării unei sesiuni. Agenții de utilizator pot comunica direct între ei, dar cel mai adesea sunt implicate unul sau mai multe servere intermediare, fie servere proxy, fie servere de redirecționare. Agenții de utilizator pot, de asemenea, să stocheze și să administreze informații cu privire la stabilirea apelurilor.

Serverele intermediare SIP au capacitatea de a se comporta fie ca servere proxy, fie ca servere de redirecționare. Serverele proxy pot fi implementate ca și dispozitive mai simple sau mai complicate în cadrul unei rețele SIP. Ele pasează mesajele primite de la agenții de utilizator și furnizează servicii cum sunt serviciile de localizare, autorizare și contabilizare. Serverele de redirecționare au funcții simple, respectiv de a răspunde la o cerere asupra localizării, prin care un utilizator chemător poate contacta partea chemată în mod direct.

Serverele de înregistrare se folosesc pentru înregistrarea locației agenților de utilizator, permițând existența unui set bogat de caracteristici de mobilitate, caracteristici ce se pot implementa într-o rețea cu o arhitectură SIP. Cu aceste dispozitive, agenții de utilizator trimit un mesaj de înregistrare către serverele de înregistrare, iar serverele de înregistrare stochează informația de într-un serviciu de localizare, printr-un protocol non-SIP. Odată ce informația este stocată, serverul de înregistrare trimite răspunsul adecvat înapoi către agentul de utilizator.

În ceea ce privește setul de servicii suplimentare posibil a fi implementate prin protocolul SIP, documentul IETF RFC 2543 descrie doar o realizare posibilă a caracteristicii de menținere a apelului, bazată pe parametrii SDP. Mai multe documente-proiect IETF specifică antete și noi metode pentru servicii suplimentare, adiționale la ceea ce s-a specificat în RFC 2543. Astfel, se lucrează în cadrul IETF la documente care să standardizeze noi servicii suplimentare cum ar fi: conferințe, parcarea apelului, monitorizarea apelului, transferul apelului, indicația de deviere a apelului și serviciul de așteptare a unui mesaj. Scopul acestor preocupări este acela de a asigura faptul că serviciile suplimentare sunt separate și modulare, asigurând astfel suportul pentru standardizarea serviciilor suplimentare referitoare la negocierea controlului apelului. În acest fel se semnalează faptul că SIP începe să se apropie de H.323/H.450, în ceea ce privește capitolul serviciilor suplimentare.

1.4.3. Comparație între protocoalele SIP și H.323

Ca și protocoale ale unei arhitecturi distribuite, H.323 și SIP sunt văzute în acest moment ca singurele concurente pentru supremație pe piața implementărilor de rețele IP ce susțin VoIP în arhitecturi descentralizate (rețele scalabile, extensibile prin definiție, cum ar fi rețelele publice de telecomunicații). În cele ce urmează (tabelul 1.3), se vor trece în revistă anumite caracteristici ale celor două protocoale, arătând punctele tari și cele slabe ale fiecăruia, comparativ. Mai trebuie menționat doar faptul că, în acest moment, H.323 deține o cotă impresionantă din implementările practice (aproape 80% din echipamentele și rețelele de VoIP implementate până în acest moment), dar SIP are avantajul de a fi privit de către industrie și de organismele de standardizare ca având un viitor mai optimist, fiind mai flexibil și mai puțin complicat decât H.323.

Tabelul 1.3: Comparație privind caracteristicile protocoalelor SIP și H.323

1.4.4. Protocolul MGCP

Protocolul MGCP (protocolul pentru controlul porților media), specificat în documentul IETF RFC 2705 [5], este proiectat pentru o arhitectură centralizată de rețea, adică pentru o arhitectură în care controlul apelului și serviciile sunt manevrate într-un punct central al rețelei. În acest sens, o arhitectură care folosește acest protocol pentru semnalizare și controlul apelului se apropie foarte mult de filozofia serviciilor existente în rețelele PSTN.

MGCP definește cele mai multe aspecte ale semnalizării folosind un model numit « pachete de semnalizare ». Aceste pachete definesc cele mai folosite funcții ca în semnalizarea PSTN și definesc caracteristici precum transferul și menținerea apelului. Împreună cu MGCP se poate folosi protocolul SDP pentru transportul informației referitoare la capabilități. În cadrul unei arhitecturi centralizate, MGCP permite operatorilor să construiască rețele de dimensiuni mari, scalabile și redundante. El asigură și mecanisme pentru interconectarea cu alte rețele VoIP și pentru adăugarea de caracteristici suplimentare și de inteligență în cadrul agenților de utilizator. De remarcat este faptul că protocolul MGCP nu este un standard deschis în adevăratul sens al cuvântului, având o reprezentativitate restrânsă în cadrul direcțiilor actuale ale industriei. MGCP oferă un support limitat pentru alte rețele decât PSTN, este mai puțin flexibil ca H.248 / Megaco și oferă un potențial mai redus de interoperabilitate între echipamentele provenite de la diverși furnizori, față de alte protocoale (H.248 / Megaco, în particular). MGCP este un protocol ce operează între o poartă media și un controler de poartă media, permițând controlerului de poartă media să controleze poarta media. MGCP este proiectat ca un protocol intern în cadrul unui sistem distribuit și apare în afara sistemului ca o singură poartă VoIP (monolitic). Trebuie notat faptul că poarta media și controlerul porții media sunt componente ale arhitecturii « softswitch » (comutatorul software).

În figura 1.5 este prezentată stiva de protocol pentru MGCP. Așa cum se arată și în această figură, pachetizarea semnalelor de voce și video se face tot prin intermediul unor codec-uri ITU-T (seria G.7xx și H.26x).

Figura 1.5. Stiva de protocol pentru MGCP

În cadrul MGCP se specifică și o serie de elemente de rețea, rețea a cărei arhitectură generică, tipică, este ilustrată în figura 1.6.

Figura 1.6. Arhitectura generică a unei rețele implementate prin protocolul MGCP

MGCP este un protocol master-slave, ce coordonează acțiunile porților media. Controlerul porților media din MGCP mai este numit în nomenclatorul acestui protocol și « agent de apel ». Agentul de apel administrează inteligența de control al semnalizării referitoare la apel, în timp ce porțile media informează agentul de apel asupra evenimentelor ce au apărut în legătură cu serviciul. Agenții de apel instruiesc porțile media să creeze și să elimine conexiunile în procesul de stabilire și terminare a apelurilor. În cele mai obișnuite cazuri, agentul de apel informează porțile media să pornească o sesiune RTP între cele două puncte în care se află părțile în comunicație. Semnalizarea realizată de către agentul de apel și de către porțile media are loc în forma unor mesaje structurate, în cadrul pachetelor UDP. Atât agentul de apel cât și porțile media dispun de capabilități de retransmisie pentru aceste mesaje. Dacă este pierdut un mesaj, componentele VoIP elimină mesajul prin expirare de timp. Oricum, în cadrul acestui protocol este importantă tratarea mesajelor MGCP cu o mai mare prioritate față de situația transmisiilor care nu sunt de timp real, în așa fel încât pierderea de pachete să nu afecteze serviciul (să nu ducă la întreruperi)

1.4.5. Protocolul H.248 / Megaco

Protocolul H.248 / Megaco (« controler al porților media ») [6], [7] este specificat ca un efort comun al ITU-T și IETF. Acest protocol se bazează pe o arhitectură centralizată (master-slave) și este standardul international pentru controlul porților media în rețele granularizate (descompuse în elemente individuale). H.248 / Megaco se bazează puternic pe caracteristicile protocolului MGCP, care este punctul de plecare pentru specificarea acestui nou protocol. Megaco este foarte simplu, dar extrem de puternic și larg extensibil. El permite construirea de funcții de poartă partajate, care se sprijină pe un strat de control al apelului. Este foarte flexibil, potrivit pentru implementări pe scară largă într-o manieră ieftină și susține evoluția rețelelor în tehnologii moștenite (PSTN). Stiva de protocol și arhitectura rețelei sunt similare cu cele prezentate pentru protocolul MGCP. H.248 / Megaco folosește un model de resurse / conexiuni simplu și puternic pentru descrierea entităților logice sau a obiectelor din cadrul porților media, ce pot fi controlate prin controlerul porților media.

Acest protocol se bazează fundamental pe două concepte-cheie: terminație și context.

Terminațiile identifică fluxurile media și resursele, implementează semnale și generează evenimente, au proprietăți și întrețin statistici. Aceste terminații pot fi permanente (asigurate) sau tranzitorii (efemere). Toate semnalele, evenimentele, proprietățile și statisticile sunt definite în « pachete » ce sunt asociate terminațiilor individuale.

Contextul se referă la asocierea între o colecție de terminații, definește comunicația între terminații și joacă rolul de punte de mixare. Un context poate conține mai mult de o terminație și poate fi stratificat pentru a susține aplicațiile multimedia.

Toate semnalele și evenimentele sunt presupuse a apare la o terminație specifică și ele asigură un mecanism pentru interacțiunea cu o entitate distantă reprezentată de către o terminație. Semnalele specifice și evenimentele sunt definite în pachete. Exemple de semnale sunt generarea tonurilor, rularea anunțurilor și afișarea identității chemătorului. Exemple de evenimente sunt punerea receptorului în furcă, recepționarea cifrelor DTMF și detecția tonului de fax.

Proprietățile sunt definite în cadrul protocolului H.248 / Megaco în două moduri. Termenul poate fi asignat oricărei bucăți de informație ce poate fi plasată într-un descriptor, fie într-o cerere, fie într-un răspuns. Termenul se poate aplica, de asemenea, în definiția pachetului, unde proprietățile joacă rolul de stări, configurație sau orice altă informație semi-statică referitoare la pachetul căreia îi este atașată.

Statisticile se pot acumula la o terminație oarecare și sunt redate de la poarta media sau de la controlerul porților media pentru a asigura informația referitoare la monitorizarea porților media, la performanțele rețelei sau la activitatea utilizatorilor. Statisticile sunt, de asemenea, definite în pachete. Exemple de statistici sunt numărul de biți transmiși și recepționați în cadrul unui context, durata de viață a unei terminații în cadrul unui context, rata de pierdere a pachetelor și orice alte măsurători opționale.

Pachetele sunt mecanismul primordial de extensie în cadrul H.248 / Megaco. Pachetele definesc noul comportament al terminației, prin intermediul unor proprietăți, evenimente și semnale adiționale. Pachetele sunt bine definite, simplu de specificat și folosesc pe deplin procesul de înregistrare al Autorității pentru Numerele Internet Atribuite (IANA).

Profilele definesc aplicații ale H.248 / Megaco în cadrul porților media, incluzând organizarea pachetelor / terminațiilor și cerințe și selecții specifice ale elementelor opționale (transport și codare), precum și orice altă definiție de comportament cerut pentru aplicație. Profilele sunt acorduri la nivel de aplicație între controlerele porților media și porțile media, ce specifică minimul de capabilități pentru creșterea interoperabilității și reducerea costurilor / complexității.

1.4.6. Comparație între protocoalele MGCP și H.248 / Megaco

Ca și protocoale specifice unei arhitecturi centralizate, în care H.248 / Megaco s-a bazat, în cadrul procesului de specificare, pe experiența protocolului MGCP este de așteptat ca cele două protocoale să fie extrem de asemănătoare. Cu toate acestea, există unele diferențe funcționale care conduc la caracteristici și comportamente diferite, așa cum se arată în tabelul 1.4.

Tabelul 1.4: Comparație între protocoalele H.248 / Megaco și MGCP

CAPITOLUL 2. Conceptul de securitate a informației

Securitatea unei entități (ființă, sistem, organizație) este definită de regulă ca ansamblul de măsuri și mijloace pentru asigurarea tuturor condițiilor astfel ca entitatea să poată să își atingă obiectivele pentru care a fost creată.

Nu este cunoscută o definiție general acceptată, clară, a informației și cu atât mai puțin a securității informației.

De regulă, prin securitatea informației se înțelege asigurarea confidențialității ei (asigurarea secretului). Conceptul are rădăcini „istorice” și este vehiculat în mediile militare. Reprezentarea este restrictivă și nu este „productivă” în condițiile societății bazate pe prelucrarea informațiilor unde se pot produce prejudicii mult mai mari prin afectarea disponibilității, a integrității sau a autenticității unor informații.

De regulă, asigurarea disponibilității informației este mult mai „productivă” decât asigurarea confidențialității ei și necesită cu prioritate protecție.

Una dintre definițiile securității informației este: o informație este securizată (protejată) dacă se asigură in mod acoperitor: disponibilitatea, confidențialitatea, integritatea, autenticitatea și nerepudierea ei in masura in care este necesar entitații care a creat-o sau celei care o folosește.

2.1. Atribute de funcționalitate a informației

Disponibilitatea informației este acea proprietate a sistemului sau rețelei de a asigura utilizatorilor legali informația completă atunci când aceștia au nevoie.

Confidențialitatea este acea proprietate a sistemului sau a rețelei de a permite accesul la informații numai utilizatorilor cărora le este destinată și să ofere garanții suficiente pentru a interzice accesul celorlalți utilizatorilor.

Integritatea informației este acea proprietate a sistemului sau a rețelei de a asigura livrarea informației fără modificări accidentale sau neautorizate.

Atribute pentru recuperarea prejudiciului:

Autenticitatea informației este acea proprietate a sistemului sau a rețelei de a permite asocierea informației cu sursa legală de producere a ei.

Nerepudierea informației este acea proprietate a sistemului sau arețelei de a asocia informației dovada că informația a fost transmisă de o entitate identificată și a fost recepționată de o altă entitate identificată fără posibilitate de contestare.

Cele mai utilizate clase de informații:

Informațiile clasificate (secrete de stat) – obligă la confidențialitate în condiții stabilite prin lege;

Informațiile proprietare (sensibile) – obligă la confidențialitate în condițiile stabilite de proprietar (la noi asimilate cu informațiile secret de serviciu);

Datele personale ale cetățenilor – limitează diseminarea informațiilor despre utilizatorii serviciilor publice;

Conținutul corespondenței și al comunicațiilor – interzice accesul la conținutul corespondenței și al comunicațiilor;

Drepturile de autor – obligă la plată pentru utilizare;

Informațiile de interes public – obligă proprietarul să asigure disponibilitatea necondiționat.

2.2. Securitatea informațiilor în format electronic

– Informația nu are caracter material;

– Informația este independentă de suport și se identifică prin ea însăși;

– Este sarcina sistemului de securitate să asocieze informații suplimentare colaterale (de regulă în headere) pentru necesități de identificare și securitate;

– Accesul la informație nu implică acces fizic și poate fi făcut anonim de la distanță;

– Modificările sunt foarte ușor de făcut și nu lasă „urme” dacă sistemul sau rețeaua nu sunt „instruite” (configurate) să facă asta;

– „Urmele” sunt de natură informatică și pot fi manipulate dacă nu se iau măsuri speciale de conservare;

– Sfera celor care pot avea acces la informații se extinde de la persoanele îndreptățite, prin adaugarea personalului auxiliar de întreținere, procese și echipamente, cărora nu li se poate interzice practic accesul;

– Constatarea abuzului în folosirea informațiilor sau a sistemelor nu poate fi determinată examinând informația ci si activitățile din sistem sau rețea care sunt dinamice și depind de un anumit context.

– Timpii în care se produc abuzurile sunt de regulă foarte mici (fracțiuni de secundă) pe cand reacția de raspuns este de tip uman si este lungă (minute – zile);

Sistemele și rețelele sunt de mare complexitate și de regulă sunt cunoscute parțial în profunzime de administratori și utilizatori și cu atât mai puțin de investigatori.

– Pastrează și caracteristici ale informatiei ca document fizic când este asociată cu suportul.

Desi protecția documentelor și protecția informațiilor în format electronic au aceleași obiective, pentru protecția informațiilor în format electronic, nu sunt suficiente mijloacele de protecție fizică fiind sunt necesare măsuri și instrumente diferite, specifice mediului virtual.

CAPITOLUL 3. Direcții actuale referitoare la securitatea VoIP

Corporatiile care implementeaza tehnologii voice over IP (VOIP) cu scopul de a reduce costurile de comunicatii nu ar trebui sa piarda din vedere riscurile de securitate care ar putea aparea la confluenta vocii cu datele. Cel putin asa sustin analistii de securitate.
Majoritatea utilizatorilor care apeleaza sunt in primul rand preocupati de calitatea vocii, potentialitate si interoperabilitate. Toatea acestea sunt aspecte fundamentale de calitate a serviciilor pe care companiile trebuie sa se asigure ca le obtin chiar inainte de a decide sa migreze catre VoIP.
Insa unele organizatii de securitate ii avertizeaza pe utilizatori in privinta pericolelor ce se ascund in spatele serviciilor VoIP nesecurizate, apreciind ca fara a lua in consideratie aspectul securitate,VoIP nu va reusi niciodata sa-si faca loc in zona corporate.
Prin VoIP, traficul de voce este transportat printr-o retea de date cu comutatie de pachete prin intermediul Internet Protocol. Retelele VOIP trateaza vocea ca pe o alta forma de date insa folosesc algoritmi sofisticati de comprimare a vocii pentru a asigura folosirea optima a largimii de banda. Ca rezultat, retelele VOIP pot suporta mult mai multe apeluri de voce decat retelele traditionale. VoIP permite de asemenea servicii imbunatatite precum comunicatiile unificate.
Securizarea traficului de voce pe astfel de retele nu este foarte diferita de securizarea oricarui tip de trafic de date pe retele IP. Securitatea VoIP trebuie administrata in contextul general al securitatii datelor. Exista insa aspecte legate de retelele VoIP la care utilizatorii trebuie sa fie foarte atenti. Intr-o lume a VoIP, private branch exchanges (PBX) sunt inlocuite de IP PBX bazate pe server ce ruleaza pe sistemul de operare Windows NT al Microsoft sau pe sistemul de operare proprietar al vendorului. Astfel de cutii de management al apelurilor folosite atat pentru a deservi serviciile VoIP cat si pentru administrarea apelurilor sunt expuse atacurilor virusilor si hackerilor. Spargerea acestor servere ar putea avea ca urmare pierderea sau compromiterea datelor sensibile.
De aceea este important ca astfel de echipamente sa fie pastrate corespunzator, protejate de firewall, patch-uite impotriva vulnerabilitatilor si monitorizate permanent cu ajutorul sistemelor de detactare a intruziunilor.

3.1. Problemele la gateway-uri

Tehnologiile gateway pentru VOIP constituie de aesemenea un punct slab. Cand VOIP este utilizat extern, tehnologiile gateway convertesc pachetele de date de pe reteaua IP in voce inainte de a le trimite printr-o retea publica de telefonie. Cand VOIP este utilizat intern, gateway-urile ruteaza pachetele de date si voce intre sursa si destinatie.
Principala problema in aceasta situatie o constituie faptul ca gateway-urile pot fi hack-uite de atacatori malitiosi cu scopul de a efectua apeluri telefonice gratuit. Secretul protejarii impotriva unor astfel de situatii este de a avea liste de control al accesului stricte si de a fi sigur ca gateway-urile sunt astfel configurate incat doar cei de pe lista sa poata efectua si primi apeluri VoIP.
Cat priveste telefonia traditionala, ascultarea telefoanelor constituie o preocupare pentru organizatiile care folosesc VoIP, iar consecintele pot fi chiar mai grave. Intrucat vocea circula in pachete prin retelele de date, hackerii pot folosi data-sniffing si alte astfel de instrumente de hacking pentru a identifica, modifica, stoca si imita traficul de voce care traverseaza reteaua. Un hacker care sparge un data stream VoIP are acces la un numar mult mai mare de apeluri decat in cazul telefoniei traditionale. Astfel, una dintre marile diferente este ca probabilitatea ca un hacker sa obtina informatii inteligente este mult mai mare prin patrunderea intr-un data stream VoIP decat prin monitorizarea sistemelor traditionale de telefonie.

3.2. Criptarea

Separarea si izolarea traficului de voce intr-un LAN virtual constituie o modalitate de mitigare a riscului. La fel si criptarea traficului VoIP si rularea lui peste un VPN (virtual private network) cand vine vorba despre comunicatii externe. In alta ordine de idei este o idee buna si criptarea traficului VoIP intern pe o retea corporate pentru a preveni atacatorii interni.
In schimb, utilizarea soft phone-urilor bazate pe desktop pentru a efectua si primi apeluri telefonice bazate pe VoIP poate rezulta de asemenea in vulnerabilitati ale firewall-ului corporate ce pot fi exploatate de hackeri.
Asadar, cea mai buna cale de a dresa aceasta problema este restrictionare prin listele de acces si asigurarea faptului ca tot traficul VoIP inbound ce trece printr-un firewall corporate este routat printr-un server gateway pentru a elimina o conectare directa

Securitatea VoIP este o provocare legata obligatoriu de aspecte precum interoperabilitatea cu retelele de date si calitatea serviciilor. Nu in ultimul rand este important sa ne amintim faptul ca securizarea unei infrastructuri VoIP nu implica nimic radical diferit de masurile cu care corporatiile sunt deja obisnuite pentru a-si proteja datele.

3.3. Cisco a rezolvat două probleme de securitate VoIP

Cisco a rezolvat doua vulnerabilitati de securitate din unul dintre principalele sale produse voice over IP, care ar fi putut permite atacatorilor sa inactiveze retelele companiei sau sa preia controlul asupra sistemelor.

Securitatea sistemelor VoIP a fost larg dezbatuta in anul 2005 și 2006, deorece acestea au devenit o tinta pentru atacatori datorita cresterii rapide a popularitatii lor. Cisco a fost deja subiectul unor alerte de securitate , fiind obligata sa lanseze cu regularitate patch-uri pentru produsele sale VoIP.

Astfel compania a lansat doua buletine de securitate impreuna cu patch-uri pentru Cisco CallManager. Aceasta platforma este utilizata pentru efectuarea de apeluri VoIP.

Una dintre vulnerabilitati ar permite atacatorilor sa inactiveze o retea VoIP, iar cea de a doua ar permite unei persoane cu acces doar read-only sa obtina privilegii complete in retea. Ambele scapari afecteaza CallManager 3.2 si versiunile anterioare, precum si anumite versiuni ale CallManager 3.3, 4.0 si 4.1.

Cisco a rezolvat si o vulnerabilitate in Internetwork Operating System (IOS), principalul sistem de operare pentru switch-urile si ruterele sale de retea.

3.4. Criptarea Serviciul de securitate lansat de Verizon Business

Institutiile de afaceri si de guvern vor putea acum sa identifice mai bine riscurile legate de securitate asociate cu protocolul VoIP folosind serviciul de securitate lansat de Verizon Business.

Serviciul profesional, care are la baza echipa Verizon Wireless formata din aproximativ 300 experti in probleme de securitate, are ca obiectiv asigurarea securitatii intr-un moment in care tot mai multe companii folosesc protocolul de telefonie prin Internet.

“Securitatea este problema numarul unu pentru clienti legata de VoIP,” a declarat Nancy Gofus, vicepresedinte al departamentului de managementul produselor, Verizon Business. “Ocupandu-ne de acest aspect, oferim clientilor siguranta ca pot conta pe noua generatie de retele VoIP pentru o crestere a eficientei si productivitatii.”

Potrivit firmei de consultanta IDC, cererea pentru servicii VoIP va cunoaste o crestere semnificativa in urmatorii cinci ani, cu cresterea profiturilor de la 2,9 miliarde dolari pana la 6,9 miliarde dolari. Aceasta crestere, alaturi de o crestere simultana a complexitatii retelelor si a afacerilor bazate pe aplicatii, vor duce la constientizarea riscurilor legate de securitate.

“Serviciul de securitate lansat de Verizon Business ofera o abordare comprehensiva pentru identificarea si rezolvarea potentialelor riscuri ale sistemelor VoIP,” a declarat William Stofega, cercetator manager pentru servicii VoIP, IDC. “Acest tip de serviciu de securitate, concentrat pe echipamente si arhitectura retelelor, este benefic pentru securizarea noilor retele VoIP.”

3.5. Riscurile la care sunt expuse rețelele VoIP

Desi masurile de securitate nu pot elimina in totalitate posibilitatea producerii unor incidente, probabilitatea de reusita a atacurilor poate fi diminuata substantial. Prin implementarea si supravegherea politicilor de securitate se doreste evitarea unor incidente de genul:

– Sniffing – folosirea unor programe care monitorizeaza traficul efectuat pe o retea in scopul sustragerii de informatii. Aceste intruziuni sunt aproape imposibil de detectat si se pot insera in orice punct;

– Folosirea neautorizata a serviciului : prin intermediul unui computer si/ sau a altor dispozitive se poate induce in eroare un sistem de telefonie in scopul efectuarii de apeluri gratuite sau care sa fie taxate unui alt utilizator;

– Spam prin telefonie internet (SPIT) – transmiterea de apeluri nedorite catre casutele vocale ale utilizatorilor;

– Remote acces trojan – ofera atacatorului acces in sistemul afectat pentru a sustrage informatii stocate pe acesta sau pentru a lansa atacuri asupra altor sisteme;

– Broadcast storm – ocuparea intregii latimi de banda prin transmiterea simultana a unui mare numar de mesaje prin retea care solicita dispozitivelor receptoare transmiterea ca raspuns a altor mesaje similare;

– Falsificarea certificarilor Wi-Fi (wireless fidelity) pentru accesul neautorizat in retelele wireless. Acestea sunt emise de Wi-Fi Alliance si garanteaza ca dispozitivele wireless sunt inter-operabile chiar daca provin de la producatori diferiti. Astfel se poate obtine fraudulos accesul intr-un Access Point – "statia de baza" care este conectata la retele wire si ofera accesul internet wireles pe o raza de .

Utilizatorii VoIP sunt vulnerabili la atacurile indreptate impotriva serviciilor traditionale de telefonie fixa sau mobila, care au ca scop obtinerea de informatii, furtul de identitate sau comiterea unor fraude. Centralele VoIP, responsabile de procesarea apelurilor, a numerelor si a datelor de autentificare, utilizeaza sisteme de operare, protocoale internet, aplicatii si interfete de configurare care sunt vulnerabile la virusi, viermi, spyware, tentative de acces neautorizat sau atacuri de tip Denial of Service (DOS).

VoIP utilizeaza SIP (Session Initiation Protocol) si RTP (Real-time Transport Protocol) pentru transmiterea mesajelor vocale. Acestea nu asigura identificarea corespunzatoare a participantilor la apel, nu protejeaza confidentialitatea si integritatea datelor transmise si receptionate pentru initierea apelurilor si transmiterea datelor (spre deosebire de fluxurile media ce contin semnal audio comprimat si criptat). Pana cand aceste cerinte de securitate vor fi implementate atacatorii ar putea identifica numeroase vulnerabilitati care pot fi exploatate.

Din cauza ca protocoalele SIP si RTP nu cripteaza apelul si fluxurile de semnal audio (voce), atributele de identificare (nume/parola) si numerele de telefon SIP ale utilizatorilor pot fi interceptate prin LAN sau Wireless LAN folosind sniffer-e. Un atacator poate folosi informatiile sustrase pentru a contacta un reprezentant al furnizorului de servicii VoIP (prezentandu-se drept utilizator legitim) sau pentru a accesa interfata de configurare web si a modifica setarile pentru a permite apeluri la numere cu taxare speciala sau in strainatate, pentru a accesa mesageria vocala a clientului sau pentru a schimba numarul de telefon spre care sunt directionate apelurile nepreluate. Furtul de identitate in aceste cazuri este folosit pentru a efactua apeluri costisitoare la mare distanta sau pentru a obtine informatii sensibile de natura financiara sau personala.

Supraincarcarea prin flood a retelelor VoIP cu mesaje SIP (prin simularea diverselor faze ale apelurilor – initiere, incheiere sau transmiterea de fluxuri de date media RTP) pot diminua calitatea serviciului, pot provoca intreruperea apelurilor sau pot forta echipamentele sa nu mai proceseze toate apelurile primite. Echipamentele VoIP sunt de asemenea vulnerabile la atacuri TCP SYN sau ping of death. Sistemele de operare si comunicatiile TCP/IP folosite de echipamentele VoIP sunt vulnerabile la atacuri ce vizeaza incetarea functionarii lor sau preluarea controlului de la distanta. Transmiterea si executia de cod arbitrar prin intermediul aplicatiilor softphone ar putea afecta calculatoarele si dispozitivele mobile (laptop, PDA) pe care acestea sunt instalate. Prin spam de multe ori sunt transmise aplicatii spyware sau de control de la distanta, sau mesaje de publicitate nedorite.

Din aceste motive este necesar ca inainte de implementarea VoIP sa fie evaluate riscurile pe care o astfel de initiativa le presupune si sa fie elaborata o strategie de combatere a acestora.

3.6. Evaluarea riscurilor din perspectiva operatorilor VoIP

Transmisiunile de voce constituie sursa principala de venit a companiilor de telefonie traditionale, o piata in plina dezvoltare pentru furnizorii de servicii VoIP si un serviciu absolut necesar desfasurarii activitatii de afaceri. Din acest motiv, principalul risc pe care trebuie sa il infrunte operatorii VoIP este intreruperea serviciului. Clientii se asteapta la aceeasi disponibilitate pe care o ofera furnizorii traditionali de servicii de telefonie fixa si mobila. Planul de implementare a VoIP trebuie sa contina masuri de combatere a atacurilor de tip Denial of Service (DOS), care vizeaza incetarea functionarii echipamentelor.

O alta prioritate o constituie prevenirea furtului de identitate si a folosirii abuzive de catre atacatori a conturilor clientilor. Operatorii VoIP sunt confruntati cu amenintari mai grave decat furnizorii de servicii de telefonie fixa sau mobila, deoarece adresele IP de provenienta ale mesajelor nu sunt verificate in centralele VoIP si inca nu au fost adoptate la scara larga metode de certificare coordonata intre furnizori a validitatii identitatilor SIP. Prin urmare operatorii trebuie sa fie precauti in colaborarea cu alti furnizori VoIP si sa nu stabileasca relatii cu acestia fara sa se asigure in prealabil ca sunt respectate procedurile de validare a identitatii si a integritatii centralelor VoIP prin care sunt vehiculate apelurile.

Din cauza ca atacurile interne sunt in general mai frecvente decat cele din afara organizatiei, operatorii VoIP trebuie sa ia in considerare posibilitatea furtului de identitate chiar si atunci cand isi desfasoara activitatea izolat de alti furnizori. Din acest motiv managerii companiilor VoIP trebuie sa puna la punct metode de combatere a furtului de identitate si sa monitorizeze metodele de audit intern pentru depistarea abuzurilor si identificarea celor responsabili. De asemenea, in comparatie cu retelele publice, retelele private VoIP vor fi vizate mai frecvent de actiuni de culegere de informatii legate de activitatile de afaceri.

Furtul de identitate in scopul utilizarii frauduloase sau abuzive a serviciilor VoIP (efectuarea de apeluri costisitoare in detrimentul unor clienti) sunt probleme foarte serioase cu care serviciul de relatii cu clientii se poate confrunta. Rezolvarea reclamatiilor si continuarea asigurarii serviciilor pentru clientii care au cazut victime ale unor astfel de atacuri vor solicita intens resursele companiei si vor afecta negativ productivitatea. Efectele negative pe care incidentele le au asupra consumatorilor, utilizatorilor, managementului sau chiar a increderii propriilor actionari pot fi de lunga durata.

3.7. Măsuri de securitate

VoIP este o metoda noua de comunicatii Internet bazata pe fluxuri de date in timp real transmise prin IP, motiv pentru care multe din masurile de securitate folosite la scara larga in prezent raman aplicabile. Majoritatea serviciilor VoIP sunt gazduite de sisteme de operare comerciale instalate pe servere. Intarirea securitatii acestora si implementarea unor aplicatii profesionale de detectare a intruziunilor vor diminua considerabil sansele de succes ale atacurilor la care sunt expuse.

Dintre masurile de securitate a serverelor aplicabile si celor care deservesc retelele VoIP enumeram:

– actualizarea permanenta a sistemelor de operare si a programelor VoIP cu ultimele aplicatii corectoare de tip patch lansate de producatori;

– mentinerea pe server doar a aplicatiilor necesare derularii in bune conditii a serviciilor VoIP;

– reguli de autentificare solide pentru accesul administratorilor si a utilizatorilor pe server;

– garantarea accesului pe server pentru un numar minim de conturi de utilizator necesare asigurarii intretinerii si functionarii in bune conditii a acestuia;

– implementarea de proceduri de autentificare complexe pentru a preveni accesul neautorizat la serviciile VoIP sau la datele de identificare ale clientilor;

– derularea de activitati de audit intern privind operatiile desfasurate de administratori si utilizatori;

– instalarea si intretinerea programelor firewall si a aplicatiilor antivirus pentru a combate atacurile de tip Denial of Service (DOS);

– configurarea corespunzatoare a aplicatiilor VoIP – spre exemplu utilizarea unei liste a codurilor de tara apelabile poate evita unele tentative de utilizare neautorizata sau abuziva a serviciilor.

Dupa configurarea corespunzatoare a serverelor si a aplicatiilor pe care acestea le gazduiesc, este necesara construirea de nivele suplimentare de securitate. Serverele VoIP si infrastructura necesara (servere DNS, LDAP) trebuiesc separate de statiile client (telefoane, pc-uri, dispozitive mobile) prin folosirea de retele separate fizic sau virtual (VLAN) pentru vehicularea de voce si date.

Aplicatiile firewall utilizate trebuie sa limiteze traficul catre VLAN numai la protocoalele si porturile necesare. Aceasta separare pe zone este utila in prevenirea transmiterii virusilor de la clientii infectati catre serverele VoIP. In plus, politicile de securitate si administrarea aplicatiilor firewall pentru fiecare zona de retea sunt mai simple decat in cazul in care toate masurile de protectie ar fi asigurate de un singur firewall. Compartimentarea este nu numai un puternic instrument de securitate, ci si o metoda de asigurare a calitatii serviciilor prin mentinerea traficului minim garantat. Spre exemplu, instalarea telefoanelor SIP intr-o retea virtuala proprie ajuta la restrictionarea VoIP la dispozitivele autorizate si confera o prioritate superioara pachetelor VoIP.

Se pot separa telefoanele de calculatoare si dispozitive mobile, pentru preveni raspandirea efectelor unor atacuri asupra sistemelor de voce. La aplicarea compartimentarii trebuie tinut cont de cumularea latentelor la transferurile de date din cauza aplicatiilor firewall. Securitatea centralelor VoIP este imbunatatita si prin folosirea controlului de acces in retea bazat pe port IEEE 802.1X (permite identificarea statiei care incearca sa se conecteze pe un anumit port) si a altor tehnici similare de control al accesului care impiedica dispozitivele sa se conecteze sau VLAN pana ce sunt finalizate verificarile de securitate.

Administratorii pot decide blocarea accesului pentru dispozitivele infectate cu virusi sau spyware sau pe cele care nu satisfac anumite cerinte (nu au sistemele de operare actualizate corespunzator sau nu au firewall-ul configurat corect). Statiile respinse pot fi directionate catre retele izolate care ofera servicii limitate sau catre retele care le pun la dispozitie, pentru a satisface criteriile de acces, soft, aplicatii corectoare de tip patch pentru sistemele de operare sau aplicatiile VoIP sau actualizari pentru programele antivirus instalate. In multe cazuri aceste masuri de securitate se pot realiza inainte de autentificarea cu nume si parola, pentru a impiedica aplicatiile spyware de tip keylogger sa sustraga datele de identificare ale utilizatorilor.

Configuratiile firewall folosite de companii in mod normal s-ar putea dovedi inadecvate pentru securizarea transferurilor de voce si date. Aplicatiile firewall traditionale sunt concepute pentru a permite sau restrictiona traficul TCP, UDP si a aplica anumite reguli privind traficul efectuat prin procesarea adreselor IP de provenienta a solicitarilor de acces, concomitent cu identificarea portului si a protocolului folosit.

VoIP foloseste un mare numar de porturi UDP pe care le aloca dinamic pentru transferurile de date. Aplicatiile firewall in mod normal nu pot permite desfasurarea unei astfel de activitati fara a lasa porturi permanent deschise pentru VoIP care devin astfel vulnerabile la atacuri. Printre alte deficiente ale aplicatiilor firewall se numara folosirea ineficienta a UDP sau latentele care au ca efect diminuarea calitatii serviciilor. Prin urmare administratorii trebuie sa instaleze/configureze firewall-uri SIP, care pot detecta si combate atacuri cu solicitari SIP special modificate si pot procesa transferuri de date media RTP fara a introduce latente semnificative.

Serverele gateway proxy pot fi foarte utile, datorita posibilitatii de utilizare a tunelelor SSL (protocol securizat de transmitere a datelor prin Internet) pentru a asigura confidentialitatea si integritatea datelor vehiculate. Multe companii folosesc deja conexiuni SSL pentru a proteja serverele SIP proxy, sau IPSec pentru a securiza traficul dintre locatii.

Session Border Controller este un echipament de retea sau o lista de functii esentiala implementarii VoIP datorita imposibilitatii de procesare in timp real a NAT sau a regulilor firewall. Folosind SBC se pot rescrie header-ele mesajelor – portiunile care contin subiectul, originea si destinatia acestora, se pot sterge portiunile necunoscute din datele SIP si se pot restrictiona numerele de la care sunt procesate apelurile.

Aceste masuri de siguranta, alaturi de monitorizarea permanenta si detectarea intruziunilor pot reduce riscurile la care sunt expuse retelele VoIP si vor ramane utile chiar si in conditiile imbunatatirii securitatii aplicatiilor VoIP.

CAPITOLUL 4. Prezentarea rețelei de telefonie IP realizată

Am creat fizic o rețea VOIP ținând cont de mai multe considerente care în final să conducă la o topologie cât mai apropiată de cea a unei rețele complet funcțională și operativă. Macheta a fost realizată în laoratorul de rețele al A.T.M..

4.1. Prima rețea locală de telefonie IP

Prima rețea realizată este o rețea locală simplă asemănătoare cu rețeaua telefonică internă a unei instituții. Rețeaua realizată are în componență, după cum se vede în figura 4.1, un ruter CISCO 2800 care are integrate 9 porturi de switch, un telefon IP CISCO 7940 și 4 PC-uri pe care am instalat câte un soft phone CISCO. Ruterul CISCO 2800 permite realizarea de conexiuni VoIP și pentru aceasta trebuie configurat corespunzător.

Figura 4.1. Rețeaua VoIP implementată în laborator

Pentru conectarea și integrarea într-o rețea VoIP locală a telefonului IP și a PC-urilor pe care am instalat soft phone-uri CISCO va trebui configurat ruterul. Pentru a efectua această operațiune m-am conectat pe intefața de consolă a ruterului cu un PC și folosind Hyper Terminal am configurat ruterul.

Primul pas constă în schimbarea numelui ruterului și în setarea parolei pentru accesul de la distanță în meniul de configurare.

Router>enable # activarea modului de configurare privilegiat

Router#configuration terminal #trecerea la configurarea terminalului

Router(config)#hostname R1 #asignarea numelui pentru ruterul 1

R1(config)#line vty 0 4 #selectarea liniei terminal virtual

R1(config-line)#no login #nu necesită logare

R1(config-line)#privilege level 15 #nivelul de privilegiu

La al doilea pas am configurat un server dhcp care să aloce adrese IP într-o anumită clasă.

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#ip dhcp pool telefonie #crearea serverului dhcp

R1(dhcp-config)#network 192.168.1.0 255.255.255.0 #alocarea de adresă pentru rețea

R1(dhcp-config)#option 150 ip 192.168.1.1

R1(dhcp-config)#default-router 192.168.1.1 #ruta default

R1(config)#ip dhcp excluded-address 192.168.1.1 #excluderea adresei 192.168.1.1 din rândul adreselor ce vor fi alocate de către server

Pentru izolarea serviciului de telefonie IP de restul echipamentelor ce vor mai fi conectate la ruter am creat un LAN virtual căruia i-am alocat porturi de pe interfața de switch a ruterului și bineînțeles adresele IP corespunzătoare.

R1>enable # activarea modului de configurare privilegiat

R1#vlan database #intrarea in baza de date a vlan –urilor

R1(vlan)#vlan 10 #selectarea vlan

R1(vlan)#exit #iesirea din baza de date

R1#conf t

R1(config)#interface vlan 10 #selectarea interfaței vlan pentru configurare

R1(config-if)#ip address 192.168.1.1 255.255.255.0 #alocarea de ip interfeței

R1(config-if)#no shutdown #activare/alimentare interfața

R1(config)#interface range fastEthernet 0/1/0 – 8 #introducerea celor 9 interfețe de switch în vlan

R1(config-if-range)#switchport access vlan 10 #setarea portului in modul acces

Implementarea propriuzisă a serviciului de telefonie IP pe ruter se face cu următoarele comenzi de configurare:

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#telephony-service #intrarea în meniul telefonie

R1(config-telephony)#max-ephones 5 #definirea numărului maxim de telefoane

R1(config-telephony)#max-dn 34 #definirea numărului maxim de numere de telefon

R1(config-telephony)#ip source-address 192.168.1.1 #adresa de intrare/ieșire rețea

R1(config-telephony)#cnf-file perphone #crearea fișierelor pentru telefon

R1(config-telephony)#cnf-file location flash: #punerea fiăierelor în memoria flash

După ce am implementat serviciul de telefonie IP pe ruter va trebui să definim numerele de telefon și telefoanele IP ce vor funcționa în această rețea. Telefonului IP i se pot aloca două numere, în timp ce pentru telefoanele soft emulate pe PC-uri putem aloca câte 8 numere.

Pentru aceasta operațiune am stabilit următorul plan de numerotare, prezentat în tabelul 4.1.

Tabelul 4.1. Planul de numerotare al telefoanelor IP din rețeaua 1

În conformitate cu acest plan de numerotare am introdus datele referitoare la fiecare număr de telefon și am configurat telefoanele IP pe ruter, după cum urmează:

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#ephone-dn 1 #definirea numărului de telefon 1

R1(config-ephone-dn)#number 1001 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 2 #definirea numărului de telefon 2

R1(config-ephone-dn)#number 1002 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 3 #definirea numărului de telefon 3

R1(config-ephone-dn)#number 1101 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 4 #definirea numărului de telefon 4

R1(config-ephone-dn)#number 1102 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 5 #definirea numărului de telefon 5

R1(config-ephone-dn)#number 1103 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 6 #definirea numărului de telefon 6

R1(config-ephone-dn)#number 1104 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 7 #definirea numărului de telefon 7

R1(config-ephone-dn)#number 1105 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 8 #definirea numărului de telefon 8

R1(config-ephone-dn)#number 1106 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 9 #definirea numărului de telefon 9

R1(config-ephone-dn)#number 1107 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 10 #definirea numărului de telefon 10

R1(config-ephone-dn)#number 1108 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 11 #definirea numărului de telefon 11

R1(config-ephone-dn)#number 1201 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 12 #definirea numărului de telefon 12

R1(config-ephone-dn)#number 1202 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 13 #definirea numărului de telefon 13

R1(config-ephone-dn)#number 1203 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 14 #definirea numărului de telefon 14

R1(config-ephone-dn)#number 1204 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 15 #definirea numărului de telefon 15

R1(config-ephone-dn)#number 1205 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 16 #definirea numărului de telefon 16

R1(config-ephone-dn)#number 1206 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 17 #definirea numărului de telefon 17

R1(config-ephone-dn)#number 1207 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 18 #definirea numărului de telefon 18

R1(config-ephone-dn)#number 1208 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 19 #definirea numărului de telefon 19

R1(config-ephone-dn)#number 1301 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 20 #definirea numărului de telefon 20

R1(config-ephone-dn)#number 1302 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 21 #definirea numărului de telefon 21

R1(config-ephone-dn)#number 1303 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 22 #definirea numărului de telefon 22

R1(config-ephone-dn)#number 1304 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 23 #definirea numărului de telefon 23

R1(config-ephone-dn)#number 1305 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 24 #definirea numărului de telefon 24

R1(config-ephone-dn)#number 1306 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 25 #definirea numărului de telefon 25

R1(config-ephone-dn)#number 1307 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 26 #definirea numărului de telefon 26

R1(config-ephone-dn)#number 1308 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 27 #definirea numărului de telefon 27

R1(config-ephone-dn)#number 1401 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 28 #definirea numărului de telefon 28

R1(config-ephone-dn)#number 1402 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 29 #definirea numărului de telefon 29

R1(config-ephone-dn)#number 1403 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 30 #definirea numărului de telefon 30

R1(config-ephone-dn)#number 1404 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 31 #definirea numărului de telefon 31

R1(config-ephone-dn)#number 1405 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 32 #definirea numărului de telefon 32

R1(config-ephone-dn)#number 1406 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 33 #definirea numărului de telefon 33

R1(config-ephone-dn)#number 1407 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone-dn 34 #definirea numărului de telefon 34

R1(config-ephone-dn)#number 1408 #alocarea numărului

R1(config-ephone-dn)#exit

R1(config)#ephone 1 #configurarea telefonului IP

R1(config-ephone)#mac-address 0022.9059.b89d #definirea adresei mac

R1(config-ephone)#button 1:1 2:2 #alocarea pe linii a numerelor de telefon

R1(config-ephone)#type 7940 #tipul telefonului configurat

R1(config-ephone)#exit

R1(config)#ephone 2 #configurarea soft phone-ului 1

R1(config-ephone)#mac-address 0019.990a.6290 #definirea adresei mac

R1(config-ephone)#button 1:3 2:4 3:5 4:6 5:7 6:8 7:9 8:10 #alocarea pe linii a numerelor de telefon

R1(config-ephone)#type cipc #tipul telefonului configurat

R1(config-ephone)#exit

R1(config)#ephone 3 # configurarea soft phone-ului 2

R1(config-ephone)#mac-address 0022.9059.b89d #definirea adresei mac

R1(config-ephone)#button 1:11 2:12 3:13 4:14 5:15 6:16 7:17 8:18 #alocarea pe linii a numerelor de telefon

R1(config-ephone)#type 7940 #tipul telefonului configurat

R1(config-ephone)#exit

R1(config)#ephone 4 # configurarea soft phone-ului 3

R1(config-ephone)#mac-address 0022.9059.b89d #definirea adresei mac

R1(config-ephone)#button 1:19 2:20 3:21 4:22 5:23 6:24 7:25 8:26 #alocarea pe linii a numerelor de telefon

R1(config-ephone)#type 7940 #tipul telefonului configurat

R1(config-ephone)#exit

R1(config)#ephone 5 # configurarea soft phone-ului 4

R1(config-ephone)#mac-address 0022.9059.b89d #definirea adresei mac

R1(config-ephone)#button 1:27 2:28 3:29 4:30 5:31 6:32 7:33 8:34 #alocarea pe linii a numerelor de telefon

R1(config-ephone)#type 7940 #tipul telefonului configurat

R1(config-ephone)#exit

După efectuarea acestor setări rețeaua este operațională, putându-se efectua apeluri de la un terminal la altul. Fără a mai face configurări suplimentare telefoanele IP si soft phone-urile folosite permit transferul de apeluri și redirecționarea în rețea.

Într-o situație reală, în cazul unei instituții/companii, din motive economice, nu există un ruter special care deservește serviciul de telefonie IP, acest serviciu fiind implementat pe un ruter care se ocupă și cu alt fel de trafic. În cazul în care traficul pe ruter este foarte mare serviciul de telefonie va avea de suferit, pachetele pierdute sau întârziate ducând la scăderea calității semnalului la recepție. Aceste efecte neplăcute pot fi combătute prin reducerea benzii ce o folosește o convorbire telefonică IP, acest lucru putându-se realiza prin alegerea unui CODEC vocal corespunzător.

Telefonul IP CISCO 7940 și soft phone-urile emulate pe PC-uri suportă 2 CODEC-uri vocale și anume G711 ce necesită o lărgime de bandă de 64Kbps și G729 ce necesită o lărgime de bandă de 8Kbps. Ținând seama de aceasta, în cazul în care rețeaua este foarte aglomerată și convorbirilor telefonice IP nu li se poate asigura lărgimea de banda corespunzătoare codec-ului G711 vom configura pe ruter ca telefoanele din rețea să folosească G729 deoarece necesită o lărgime de bandă mult mia mică astfel putându-se efectua un număr mai mare de convorbiri dispunând de aceeasi bandă.

4.2. A doua rețea locală de telefonie IP

Folosind aceleași tipuri de echipamente ca și în cazul primei rețele locale de telefonie IP vom realiza o a doua rețea locală. Aceasta va conține un ruter CISCO care are integrate 9 porturi de switch, un telefon IP CISCO 7940 și 4 PC-uri pe care vor fi emulate soft phone-uri.

Figura 4.2. A doua rețea locală de telefonie IP

Pe ruter vom face aceleași setări de configurare doar că de data aceasta serverul dhcp va acorda adrese IP din rețeaua 192.168.2.0.

Telefonului IP si soft phone-urilor emulate pe PC-uri li se vor aloca numere după cum este prezentat în tabelul 4.2.

Tabelul 4.2. Planul de numerotare al telefoanelor IP din rețeaua 2

4.3. Rețeaua WAN de telefonie IP cu legătură directă

Pentru a crea o rețea de telefonie IP la nivel de WAN va trebui să interconectăm cele două rețele. Interconectarea acestor două rețele se va face prin conectarea celor două rutere pe care sunt configurate serviciile de telefonie IP.

Cel mai simplu este să considerăm că cele două rutere sunt conectate direct, fără ca traficul dintre ele să mai traverseze alte noduri sau alte rețele.

În acest caz rețeaua va arăta în felul următor:

Figura 4.3. Rețeaua WAN de telefonie IP

Pentru realizarea legăturii intre aceste două rutere este necesar să configurăm ruterele astfel încât să poată transfera date de la unul la celălalt.

Mai întâi trebuie să configurăm tabela de rutare pe fiecare ruter, dar nu înainte de a aloca adrese IP interfețelor care vor realiza legătura fizică între cele două rețele locale. Trebuie ca adresele puse pe interfețele ce vor realize legătura sa fie din aceiași rețea. Am ales ca rețeau din care să facă parte aceste adrese să aibă adresa 10.0.12.0 cu mască de 24, interfeța de pe ruterul 1 având adresa 10.0.12.1 iar cea de pe ruterul 2 adresa 10.0.12.2.

Pe ruterul 1 vom face următoarea configurare:

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#interface g0/0 #asignarea interfeței g0/0

R1(config-if)#ip address 10.0.12.1 255.255.255.0 #alocarea adresei IP și a maștii

R1(config-if)#no shutdown #activare/alimentare interfața

Iar pe ruterul 2 vom face configurarea:

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#interface g0/0 #asignarea interfeței g0/0

R1(config-if)#ip address 10.0.12.1 255.255.255.0 #alocarea adresei IP și a maștii

R1(config-if)#no shutdown #activare/alimentare interfața

După alocarea adreselor de IP pe interfețele pe care se va face legarea fizică a celor două rețele urmează configurarea rutării informațiilor, aceasta realizându-se după cum urmează:

Pentru ruterul 1:

R1>enable # activarea modului de configurare privilegiat

R1#configuration terminal #trecerea la configurarea terminalului

R1(config)#router ospf 1 #activare proces OSPF (ID proces 1 – doar cu semnificație locală)

R1(config-router)#network 192.168.1.0 0.0.0.255 area 0 # comandă ce specifică procesului de OSPF deschis să includă rețeaua (interfața) 192.168.1.0 specificată în aria 0 (arie implicită). Masca utilizată la OSPF este wildcard mask 0.0.0.255=”/24”.

R1(config-router)#network 10.0.12.0 0.0.0.255 area 0 # comandă ce specifică procesului de OSPF deschis să includă rețeaua (interfața) 10.0.12.0 specificată în aria 0

R1(config-if)#^Z #revenire in meniul inițial pentru sarvare configurație

R1#write #salvare configurație

Pentru ruterul 2:

R2>enable

R2#configuration terminal

R2(config)#router ospf 1

R2(config-router)#network 192.168.1.0 0.0.0.255 area 0

R2(config-router)#network 10.0.12.0 0.0.0.255 area 0

R2(config-if)#^Z

R2#write

În acest moment cele două rutere pot comunica între ele, putându-se transmite date de la unul la celălalt. Deasemenea se pot transmite date și între rețelele ce au adresele de rețea 192.168.1.0 și 192.168..2.0, rețele pe care sunt implementate serviciile telefonice. Aceasta se poate verifica dând comenzi de ping de pe o interfață a ruterului care face parte din rețeaua 192.168.1.0 către o adresă din rețeaua 192.168.2.0, și invers.

Verificarea legăturilor se face prin trimiterea de ping-uri între rețelele si interfețele celor două rutere.

Verificarea legăturilor prin trimiterea de ping-uri de pe ruterul 1:

R1>enable

R1#ping 10.0.12.2 source g0/0 #interfața WAN a R1 către interfața WAN a R2

R1#ping 10.0.12.2 source f0/1/0 #interfața WAN a R1 către interfața WAN a R2

R1#ping 192.168.2.1 source g0/0 #interfața LAN a R1 către interfața WAN a R2

R1#ping 192.168.2.1 source f0/1/0 #interfața LAN a R1 către interfața LAN a R2

Verificarea legăturilor prin trimiterea de ping-uri de pe ruterul 2:

R2>enable

R2#ping 10.0.12.1 source g0/0 #interfața WAN a R2 către interfața WAN a R1

R2#ping 10.0.12.1 source f0/1/0 #interfața WAN a R2 către interfața WAN a R1

R2#ping 192.168.1.1 source g0/0 #interfața LAN a R2 către interfața WAN a R1

R2#ping 192.168.1.1 source f0/1/0 #interfața LAN a R2 către interfața LAN a R1

Deasemenea verificarea conexiunii între rețelele192.168.1.0 și 192.168.2.0 se poate face și prin trimiterea de ping-uri de pe PC-urile uneia dintre cele două rețele către PC-uri din cealaltă rețea.

Având realizată conexiunea între cele două rețele de telefonie IP nu rămâne decât să putem efectua apeluri dintr-o rețea locală în cealaltă. Acest lucru nu este posibil încă deoarece nu s-au stabilit parametrii de conexiune vocală între cele două rețele la nivel de ruter. Pentru ca să putem efectua apeluri dintr-o rețea în cealaltă ruterele trebuie configurate corespunzător după cum urmează.

Ruterul 1:

R1>enable

R1#conf t

R1(config)#dial-peer voice 1 voip #stabilirea modului de comunicații vocale cu alte rețele

R1(config-dial-peer)#destination-pattern 2… #stabilirea tipului de numere telefonice corespondente

R1(config-dial-peer)#session target ipv4:192.168.2.1 #stabilirea adresei IP către care se vor realize apelurile vocale

R1(config-dial-peer)#dtmf-relay h245-alphanumeric

R1(config-dial-peer)#codec g711ulaw #alegerea codec-ului vocal ce va fi folosit pentru convorbirile dintre cele două rețele locale aflate pe rutere diferite

Ruterul 2:

R2>enable

R2#conf t

R2(config)#dial-peer voice 1 voip #stabilirea modului de comunicații vocale cu alte rețele

R2(config-dial-peer)#destination-pattern 1… #stabilirea tipului de numere telefonice corespondente

R2(config-dial-peer)#session target ipv4:192.168.1.1 #stabilirea adresei IP către care se vor realize apelurile vocale

R2(config-dial-peer)#dtmf-relay h245-alphanumeric

R2(config-dial-peer)#codec g711ulaw #alegerea codec-ului vocal ce va fi folosit pentru convorbirile dintre cele două rețele locale aflate pe rutere diferite

După realizarea acestor configurări la nivel de rutere rețeau telefonică la nivel de WAN este complet funcțională putându-se efectua apeluri dintr-o parte în cealaltă.

4.4. Rețeaua WAN de telefonie IP cu legătură indirectă

A doua variantă de realizare a conexiunii între cele două rețele de telefonie IP locale este una mult mai apropiată de realitate, deoarece de cele mai multe ori se întâmplă ca traficul de la o rețea la alta să fie trecut și prin alte noduri, îndeosebi în situția în care corespondentul se află la o distanță foarte mare.

Pentru a crea o rețea asemănătoare cu una reală am interpus între cele două ruterele care gestioneză serviciile telefonice locale alte două rutere CISCO, acestea reprezentând nodurile prin care ar trece datele transmise de la ruterul R1 la ruterul R2 și invers.

Având la dispoziție două rutere pe care să le interpun între ruterele R1 și R2 am ales două topologii de realizare.

Prima dintre ele este prezentată în figura 4.4 iar cea de-a doua în figura 4.5.

Figura 4.4. Topologie WAN având cele 4 rutere conectate în cascadă

Figura 4.5. Topologie WAN în care realizarea legăturii între R1 și R2 se face pe două căi

Prima topologie de rețea realizată este prezentată în figura 4.4 și constă în conectarea în cascadă a celor patru rutere. Pentru ca datele să ajungă de la R1 la R2 și invers trebuie ca mai întâi să treacă prin ruterele R12 și R21.

Pentru ca cele patru rutere să poată comunica între ele va trebui să fie configurate corespunzător. Va trebui să stabilim modul în care datele vor circula între rutere, acest lucru facându-l prin configurarea rutării pe fiecare echipament în parte.

Mai întâi vom aloca adrese IP interfețelor ce vor realiza legătura fizică între rutere. Vom avea grijă ca interfețele ce comunică direct să facă parte din aceași rețea.

Pe ruterul R1 vom face următoarea configurare:

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#interface g0/1 #asignarea interfeței g0/0

R1(config-if)#ip address 10.0.1.1 255.255.255.0 #alocarea adresei IP și a maștii

R1(config-if)#no shutdown #activare/alimentare interfața

R1(config-if)#exi

R1(config)#router ospf 1

R1(config-router)#network 10.0.1.0 0.0.0.255 area 0

Pe ruterul R2 vom face următoarea configurare:

R2>enable # activarea modului de configurare privilegiat

R2#conf t #trecerea la configurarea terminalului

R2(config)#interface g0/1 #asignarea interfeței g0/0

R2(config-if)#ip address 10.0.2.2 255.255.255.0 #alocarea adresei IP și a măștii

R2(config-if)#no shutdown #activare/alimentare interfața

R2(config-if)#exi

R2(config)#router ospf 1

R2(config-router)#network 10.0.2.0 0.0.0.255 area 0

Pe ruterul R12 vom face următoarea configurare:

R12>enable # activarea modului de configurare privilegiat

R12#conf t #trecerea la configurarea terminalului

R12(config)#interface f1 #asignarea interfeței f1

R12(config-if)#ip address 10.0.1.2 255.255.255.0 #alocarea adresei IP și a maștii

R12(config-if)#no shutdown #activare/alimentare interfața

R12(config-if)#exi

R12(config)#interface f0 #asignarea interfeței f0

R12(config-if)#ip address 10.0.3.1 255.255.255.0 #alocarea adresei IP și a maștii

R12(config-if)#no shutdown #activare/alimentare interfața

R12(config-if)#exi

R12(config)#router ospf 1

R12(config-router)#network 10.0.1.0 0.0.0.255 area 0

R12(config-router)#network 10.0.3.0 0.0.0.255 area 0

Pe ruterul R21 vom face următoarea configurare:

R21>enable # activarea modului de configurare privilegiat

R21#conf t #trecerea la configurarea terminalului

R21(config)#interface f1 #asignarea interfeței f1

R21(config-if)#ip address 10.0.2.1 255.255.255.0 #alocarea adresei IP și a maștii

R21(config-if)#no shutdown #activare/alimentare interfața

R21(config-if)#exi

R21(config)#interface f0 #asignarea interfeței f0

R21(config-if)#ip address 10.0.3.2 255.255.255.0 #alocarea adresei IP și a maștii

R21(config-if)#no shutdown #activare/alimentare interfața

R21(config-if)#exi

R21(config)#router ospf 1

R21(config-router)#network 10.0.2.0 0.0.0.255 area 0

R21(config-router)#network 10.0.3.0 0.0.0.255 area 0

După realizarea acestor configurări pe ruterele R1, R2, R12, R21 se pot transmite date între ele și se pot efectua apeluri vocale între cele două rețele locale de telefonie IP.

A doua topologie de rețea realizată este prezentată în figura 4.5 și constă în conectarea ruterelor R1 și R2 atât prin intermediul ruterului R12 cât și prin intermediul ruterului R21. Aceasta este topologia cea mai apropiată de situațiile reale.

Pentru ca datele să poată fi transmise prin aceată nouă rețea este necesar ca ruterele să fie conectate după cum urmează:

interfața g0/1 de pe ruterul R1 cu interfața f1 de pe ruterul R12

interfața g0/0 de pe ruterul R1 cu interfața f0 de pe ruterul R21

interfața g0/1 de pe ruterul R2 cu interfața f1 de pe ruterul R21

interfața g0/0 de pe ruterul R2 cu interfața f0 de pe ruterul R12

În plus trebuie ca ruterele să fie parțial reconfigurate, această reconfigurare constând în realocare de adrese IP pe unele interfețe și în alegerea altor rute. Adresele IP trebuie alocate astfel încât adresele IP ale interfețelor care conectează fizic două rutere să facă parte din aceiași rețea, iar adrese din aceste rețele să nu mai fi folosite și pentru interfețele ce conectează celelalte rutere.

Ținând cont de cele de mai sus vom aloca adrese interfețelor de interconectare ale ruterelor în concordanță cu tabelul 4.3.

Tabelul 4.3

În conformitate cu tabelul 4.3 vom face următoarele configurări pe rutere.

Pe ruterul R1 vom face următoarea configurare:

R1>enable # activarea modului de configurare privilegiat

R1#conf t #trecerea la configurarea terminalului

R1(config)#interface g0/0 #asignarea interfeței g0/0

R1(config-if)#no ip address 10.0.12.1 255.255.255.0 #scoaterea adresei IP de pe interfața g0/0

R1(config-if)#ip address 10.0.3.1 255.255.255.0 #alocarea noii adrese IP și a măștii corespunzătoare

R1(config-if)#no shutdown #activare/alimentare interfața

R1(config-if)#exi

R1(config)#router ospf 1

R1(config-router)#no network 10.0.12.0 0.0.0.255 area 0 #scoaterea rutării ospf către rețeaua 10.0.12.0

R1(config-router)#network 10.0.3.0 0.0.0.255 area 0 #comandă ce specifică procesului de OSPF deschis să includă rețeaua (interfața) 10.0.3.0 specificată în aria 0

Pe ruterul R2 nu vom face nicio modificare deoarece acesta are configurarea dorită pentru a putea fi introdus în noua topologie.

Pe ruterul R12 vom face următoarea configurare:

R12>enable # activarea modului de configurare privilegiat

R12#conf t #trecerea la configurarea terminalului

R12(config)#interface f0 #asignarea interfeței f0

R12(config-if)#no ip address 10.0.3.1 255.255.255.0 #scoaterea adresei IP de pe interfața f0

R12(config-if)#ip address 10.0.12.1 255.255.255.0 #alocarea noii adrese IP și a maștii corespunzătoare

R12(config-if)#no shutdown #activare/alimentare interfața

R12(config-if)#exi

R12(config)#router ospf 1

R12(config-router)#no network 10.0.3.0 0.0.0.255 area 0 #scoaterea rutării ospf către rețeaua 10.0.3.0

R12(config-router)#network 10.0.12.0 0.0.0.255 area 0 #comandă ce specifică procesului de OSPF deschis să includă rețeaua (interfața) 10.0.12.0 specificată în aria 0

Pe ruterul R21 nu vom face nicio modificare deoarece acesta are configurarea dorită pentru a putea fi introdus în noua topologie.

După realizarea acestor modificări în configurarea ruterelor se poate testa dacă există legătură între acestea prin trimiterea de ping-uri de pe un echipament pe altul. Deasemenea se poate vizualiza ruta pe care merg pachetele de la o adresă la alta prin comanda traceroute.

CAPITOLUL 5. Securizarea rețelei de telefonie IP

În acest capitol voi prezenta modul în care am realizat partea de protecție a serviciului de voce in rețelele IP create sau altfel spus voi prezenta soluțiile de securizare a rețelelor VOIP realizate în laborator.

Prima parte a capitolului conține realizarea unei protecții a rețelei VOIP prezentată in capitolul trecut. Această măsură de protecție presupune realizarea unei rețele private virtuale (VPN) între ruterele R1 și R2. Prin folosirea VPN se asigură securitatea datelor, respectiv a vocii în cazul de față folosindu-se standardul de criptare AES 256. De asemenea înainte de a se prezenta realizarea rețelei VPN sunt prezentate mai întâi standardele DES, 3DES și AES.

În continuare se prezintă realizarea a două tipuri de protecții a serviciului de voce: securizarea site to site (prin folosireaVPN) și securizarea end to end (prin folosirea unui soft de criptare Zfone). Este de precizat faptul că de această dată nu mai este păstrată configurația VOIP pe rutere, ci se servere SIP și softphonuri în rețeaua IP realizată.

5.1. Standardele DES, 3DES și AES

Standardul de Criptare a Datelor (Data Encryption Standard, DES) este un cifru (o metodă de criptare a informației), selectat ca standard federal de procesare a informațiilor în Statele Unite în 1976, și care s-a bucurat ulterior de o largă utilizare pe plan internațional. Algoritmul a fost controversat inițial, având elemente secrete, lungimea cheii scurtă și fiind bănuit că ascunde de fapt o portiță pentru NSA. DES a fost analizat intens de către profesionaliști în domeniu și a motivat înțelegerea cifrurilor bloc și criptanaliza lor.

DES este astăzi considerat nesigur pentru multe aplicații. Acest lucru se datorează în principiu cheii de 56 de biți, considerată prea scurtă; cheile DES au fost sparte în mai puțin de 24 de ore. De asemenea, există unele rezultate analitice care demonstrează slăbiciunile teoretice ale cifrului, deși nu este fezabilă aplicarea lor. Se crede că algoritmul este practic sigur în forma Triplu DES, deși există atacuri teoretice și asupra acestuia. În ultimii ani, cifrul a fost înlocuit de Advanced Encryption Standard (AES).

Securitate și criptanaliză

Deși despre criptanaliza lui DES s-a publicat mai multă informație decât despre cea a oricărui alt cifru bloc, atacul cel mai practic rămâne cel prin forță brută. Diferite proprietăți criptanalitice minore sunt cunoscute, iar trei atacuri teoretice sunt posibile. Acestea au complexitatea mai mică decât cea a atacului prin forță brută, dar numărul de texte necesare este nerealist și de aceea nu sunt fezabile.

În ciuda tuturor criticilor și slăbiciunilor lui DES, nu există exemple de persoane care să fi suferit pierderi bănești din cauza limitărilor de securitate ale lui DES.

În criptografie, 3DES, numit și Triplu DES (în engleză Triple DES) este un cifru pe blocuri format pe baza DES, prin aplicarea acestuia de trei ori.

În general, 3DES cu trei chei diferite are o lungime a cheii de 168 de biți (cu biții de paritate, 192): trei chei DES pe 56 de biți, dar, datorită atacurilor meet-in-the-middle securitatea efectivă pe care o furnizează este de doar 112 biți. O variantă, numită 3DES cu două chei, folosește k1 = k3, reducând astfel lungimea cheii la 112 biți și lungimea de stocare la 128 de biți. Totuși, acest mod de funcționare este susceptibil la unele atacuri cu text clar ales sau cu text clar cunoscut. și astfel este considerat de NIST ca având securitate echivalentă cu doar 80 de biți.

AES (de la Advanced Encryption Standard = Standard Avansat de Criptare), cunoscut și sub numele de Rijndael, este un algoritm standardizat pentru criptarea simetrică, pe blocuri, folosit astăzi pe scară largă în aplicații și adoptat ca standard de organizația guvernamentală americană NIST. Standardul oficializează algoritmul dezvoltat de doi criptografi belgieni, Joan Daemen și Vincent Rijmen și trimis la NIST

Deoarece DES devenise vulnerabil din cauza lungimii prea mici a cheii, NIST a recomandat utilizarea 3DES, un algoritm care constă în esență în aplicarea de trei ori a DES. Deși 3DES s-a dovedit a fi un algoritm puternic, el este relativ lent în implementările software, motiv pentru care NIST a lansat în 1997 o cerere de propuneri pentru un algoritm care să-l înlocuiască. S-a pornit de la 21 de propuneri acceptate inițial, apoi prin eliminări numărul lor a fost redus la 15, și apoi la 5, din care a fost ales în cele din urmă algoritmul propus de doi criptografi belgieni, Joan Daemen și Vincent Rijmen. La votarea finală, algoritmul, denumit de autorii săi Rijndael, a învins la vot patru alte propuneri, printre care și algoritmul RC6, propus de o echipă de criptografi în care se afla și reputatul informatician Ron Rivest.

Criteriile pe baza cărora au fost evaluate propunerile pentru AES au fost securitatea (rezistența la atacuri criptanalitice), costurile (eficiența computațională, complexitatea spațială, precum și licențierea liberă și gratuită) și particularitățile algoritmului (flexibilitatea, simplitatea, și ușurința de realizare a implementărilor atât software cât și hardware).

Algoritmul

În propunerea avansată NIST, cei doi autori ai algoritmului Rijndael au definit un algoritm de criptare pe blocuri în care lungimea blocului și a cheii puteau fi independente, de 128 de biți, 192 de biți, sau 256 de biți. Specificația AES standardizează toate cele trei dimensiuni posibile pentru lungimea cheii, dar restricționează lungimea blocului la 128 de biți. Astfel, intrarea și ieșirea algoritmilor de criptare și decriptare este un bloc de 128 de biți. În publicația FIPS numărul 197, operațiile AES sunt definite sub formă de operații pe matrice, unde atât cheia, cât și blocul sunt scrise sub formă de matrice. La începutul rulării cifrului, blocul este copiat într-un tablou denumit stare, primii patru octeți pe prima coloană, apoi următorii patru pe a doua coloană, și tot așa până la completarea tabloului.

Algoritmul modifică la fiecare pas acest tablou de numere denumit state, și îl furnizează apoi ca ieșire. Funcționarea sa este descrisă de următorul pseudocod:

Cipher(byte in[4*Nb], byte out[4*Nb], word w[Nb*(Nr+1)])

begin

byte state[4,Nb]

state = in

AddRoundKey(state, w[0, Nb-1])

for round = 1 step 1 to Nr–1

SubBytes(state)

ShiftRows(state)

MixColumns(state)

AddRoundKey(state, w[round*Nb, (round+1)*Nb-1])

end for

SubBytes(state)

ShiftRows(state)

AddRoundKey(state, w[Nr*Nb, (Nr+1)*Nb-1])

out = state

end

Aici, Nb este numărul de coloane al stării, în varianta standardizată acesta fiind întotdeauna 4. Se observă din descrierea algoritmului că o anumită secvență este realizată iterativ, de un număr de Nr ori. Acest Nr depinde de lungimea cheii și este 10, 12 sau 14, pentru chei pe 128, 192, respectiv 256 biți.

Pasul SubBytes

La pasul SubBytes, fiecare octet din blocul state este înlocuit cu un altul, conform unui cifru cu substituție. Pasul SubBytes este un cifru cu substituție, fără punct fix, denumit Rijndael S-box, care rulează independent pe fiecare octet din state. Această transformare este neliniară și face astfel întreg cifrul să fie neliniar, ceea ce îi conferă un nivel sporit de securitate.

Fiecare octet este calculat astfel:

unde bi este bitul corespunzător poziției i din cadrul octetului, iar ci este bitul corespunzător poziției i din octetul ce reprezintă valoarea hexazecimală 63, sau, pe biți, 01100011. Maparea octeților se poate reține într-un tabel, explicitat în FIPS PUB 197, în care este specificat rezultatul operației de mai sus efectuată pe fiecare din cele 256 de valori posibile reprezentabile pe un octet.

Pasul ShiftRows

Pasul ShiftRows operează la nivel de rând al matricii de stare state. Pasul constă în simpla deplasare ciclică a octeților de pe rânduri, astfel: primul rând nu se deplasează; al doilea rând se deplasează la stânga cu o poziție; al treilea rând se deplasează la stânga cu două poziții; al patrulea se deplasează la stânga cu trei poziție. Rezultatul acestui pas este că fiecare coloană din tabloul state rezultat este compusă din octeți de pe fiecare coloană a stării inițiale. Acesta este un aspect important, din cauză că tabloul state este populat inițial pe coloane, iar pașii ulteriori, inclusiv AddRoundKey în care este folosită cheia de criptare, operațiile se efectuează pe coloane.

Pasul MixColumns

În pasul MixColumns, fiecare coloană este înmulțită cu un polinom, notat în figură cu c(x).

În acest pas, fiecare coloană a tabloului de stare este considerată un polinom de gradul 4 peste corpul Galois . Fiecare coloană, tratată ca polinom, este înmulțită, modulo x4 + 1 cu polinomul a(x) = 3×3 + x2 + x + 2. Operația se poate scrie ca înmulțire de matrice astfel:

unde sunt elementele de pe un vector coloană rezultate în urma înmulțirii, iar si sunt elementele de pe același vector înaintea aplicării pasului.

Rezultatul are proprietatea că fiecare element al său depinde de toate elementele de pe coloana stării dinaintea efectuării pasului. Combinat cu pasul ShiftRows, acest pas asigură că după câteva iterații, fiecare octet din stare depinde de fiecare octet din starea inițială (tabloul populat cu octeții mesajului în clar). Acești doi pași, împreună, sunt principala sursă de difuzie în algoritmul Rijndael. Coeficienții polinomului a(x) sunt toți 1, 2 și 3, din motive de performanță, criptarea fiind mai eficientă atunci când coeficienții sunt mici. La decriptare, coeficienții pasului corespunzător acestuia sunt mai mari și deci decriptarea este mai lentă decât criptarea. S-a luat această decizie pentru că unele din aplicațiile în care urma să fie folosit algoritmul implică numai criptări, și nu și decriptări, deci criptarea este folosită mai des.

Pasul AddRoundKey și planificarea cheilor

În pasul AddRoundKey, se efectuează o operație de sau exclusiv pe biți între octeții stării și cei ai cheii de rundă

Pasul AddRoundKey este pasul în care este implicată cheia. El constă într-o simplă operație de „sau” exclusiv pe biți între stare și cheia de rundă (o cheie care este unică pentru fiecare iterație, cheie calculată pe baza cheii secrete). Operația de combinare cu cheia secretă este una extrem de simplă și rapidă, dar algoritmul rămâne complex, din cauza complexității calculului cheilor de rundă (Key Schedule), precum și a celorlalți pași ai algoritmului.

Cheia de rundă este calculată după algoritmul următor:

KeyExpansion(byte key[4*Nk], word w[Nb*(Nr+1)], Nk)

begin

word temp

i = 0

while (i < Nk)

w[i] = word(key[4*i], key[4*i+1], key[4*i+2], key[4*i+3])

i = i+1

end while

i = Nk

while (i < Nb * (Nr+1)]

temp = w[i-1]

if (i mod Nk = 0)

temp = SubWord(RotWord(temp)) xor Rcon[i/Nk]

else if (Nk > 6 and i mod Nk = 4)

temp = SubWord(temp)

end if

w[i] = w[i-Nk] xor temp

i = i + 1

end while

end

Acest algoritm lucrează pe cheia algoritmului, de lungime Nk cuvinte de 4 octeți (4, 6 sau 8, conform standardului), populând un tabel de cuvinte, Nb fiind numărul de cuvinte al blocului (în versiunea standardizată, 4), iar Nr numărul de runde (iterații), dependent de lungimea cheii. Algoritmul de planificare a cheilor folosește transformarea SubWord, care este o substituție a octeților identică cu cea din pasul SubBytes. RotWord este o rotație ciclică la stânga cu un octet a octeților dintr-un cuvânt. Cu Rcon[i] se notează în algoritm un cuvânt format din octeții . Operația de ridicare la putere este aici cea valabilă în corpul Galois . Tabloul w conține la finalul prelucrării cuvintele de pe coloanele cheilor de rundă, în ordinea în care urmează să fie aplicate.

Securitatea

Rijndael, ca și toți ceilalți algoritmi ajunși în etapa finală de selecție pentru standardul AES, a fost revizuit de NSA și, ca și ceilalți finaliști, este considerat suficient de sigur pentru a fi folosit la criptarea informațiilor guvernamentale americane neclasificate. În iunie 2003, guvernul SUA a decis ca AES să poată fi folosit pentru informații clasificate. Până la nivelul SECRET, se pot folosi toate cele trei lungimi de cheie standardizate, 128, 192 și 256 biți. Informațiile TOP SECRET (cel mai înalt nivel de clasificare) pot fi criptate doar cu chei pe 256 biți.

Atacul cel mai realizabil împotriva AES este îndreptat împotriva variantelor Rijndael cu număr redus de iterații. AES are 10 iterații la o cheie de 128 de biți, 12 la cheie de 192 de biți și 14 la cheie de 256 de biți. La nivelul anului 2008, cele mai cunoscute atacuri erau accesibile la 7, 8, respectiv 9 iterații pentru cele trei lungimi ale cheii.

5.2. Realizarea rețelei private virtuale (VPN)

Una din metodele pentru a asigura securitatea datelor în cazul în care informația circulă prin alte noduri decât cele proprii sau prin noduri care nu au un management de securitate pus la punct, este de a realiza un VPN între cele două locații ( între ruterele R1 și R2 ). Acestă soluție asigură un grad ridicat de protecția al datelor ce vor urma să tranziteze nodurile presupuse neprotejate ( ruterele R21 și R12 ).

Pentru realizarea unui VPN, ruterele pe care este implementat serviciul de telefonie IP vor trebui configurate corespunzător:

Ruterul R1:

R1>enable

R1#conf t

R1(config)#crypto isakmp policy 1 #politica cu numărul 1 – semnificație locală

R1(config-isakmp)# authentication pre-share #se alege modul de autentificare

R1(config-isakmp)#exi

R1(config)#crypto isakmp key parola address 0.0.0.0 0.0.0.0 #se specifică modul de definirea a cheii, cheia parolă va apărea necriptată la show run, adresele pereche 0.0… orice adresă. Pot fi chei diferite pentru comunicația cu entități distincte

R1(config)#crypto ipsec transform-set transformare esp-aes 256 #numele este transformare

R1(cfg-crypto-trans)#set mode transport #acest mod de transport este specific tunelului GRE

R1(cfg-crypto-trans)#exi

R1(config)#crypto ipsec profile nume_profil #profilul cu numele nume_profil

R1(ipsec-profile)#set transform-set transformare

R1(ipsec-profile)#ex

R1(config)#int tunnel 0

R1(config-if)#ip add 1.1.1.1 255.255.255.0 #adresa IP

R1(config-if)#tunnel source g0/1 #capetele tunelului

R1(config-if)#tunnel destination 1.1.1.2

R1(config-if)#tunnel protection ipsec profile nume_profil #asignarea profilului pe tunel

R1(config-if)#exi

R1(config)#ip forward-protocol nd

R1(config)#ip route 192.168.2.0 255.255.255.0 tunnel 0

R1(config)#access-list 100 permit gre host 10.0.1.1host 10.0.2.2

R1(config-)#

Ruterul R2:

R2>enable

R2#conf t

R2(config)#crypto isakmp policy 1

R2(config-isakmp)# authentication pre-share

R2(config-isakmp)#exi

R2(config)#crypto isakmp key parola address 0.0.0.0 0.0.0.0

R2(config)#crypto ipsec transform-set transformareesp-aes 256

R2(cfg-crypto-trans)#set mode transport

R2(cfg-crypto-trans)#exi

R2(config)#crypto ipsec profile nume_profil

R2(ipsec-profile)#set transform-set transformare

R2(ipsec-profile)#exi

R2(config)#int tunnel 0

R2(config-if)#ip add 1.1.1.2 255.255.255.0

R1(config-if)#tunnel source g0/1

R1(config-if)#tunnel destination 1.1.1.1

R1(config-if)#tunnel protection ipsec profile nume_profil

R2(config-if)#exi

R2(config)#ip forward-protocol nd

R2(config)#ip route 192.168.1.0 255.255.255.0 tunnel 0

R2(config)#access-list 100 permit gre host 10.0.2.2 host 10.0.1.1

R2(config-)#

5.3. Realizarea celei de-a doua rețea IP protejată

Pentru a putea analiza diferitele măsuri de securitate am realizat o a doua rețea IP de voce. Am ales o topologie care poate fi întâlnită și în practică. Astfel avem de a face cu patru rutere conectate în cascadă (Figura 5.1 și Anexa 2).

Figura 5.1. Rețeaua folosită pentru analiză

După cum se observă și din figură se urmărește ca rețeaua 192.168.1.0 (LAN 1) să comunice cu rețeaua 192.168.2.0 (LAN 2). De această dată nu am mai configurat ruterele sa funcționeze ca o rețea VOIP, ci le-am configurat sa funcționeze ca o rețea IP normală. Pentru a avea de a face cu o rețea de voce am efectuat următoarele:

am instalat programul 3cxsPhoneSystem pe stația PC 13 ( cu adresa 192.168.1.3 ). Acest soft reprezintă un server SIP. Serverul SIP este componenta principală a unui IP PBX, ocupându-se cu setarea tuturor apelurilor SIP în rețea;

am instalat programul 3cxPhone4 pe toate stațiile din LAN 1 și LAN 2;

am setat din programele 3cxPhone4 de stații numerele de telefon (de exemplu pe stația PC 12 numărul 10002, pe stația PC 21 numărul 10001) și am conectat softurile la serverul SIP 3cx PhoneSystem de pe stația PC 13;

am instalat programul ZPhone pe toate stațiile din LAN 1 și LAN 2.

Sistemele de telefonie SIP sunt identice cu sistemele de telefonie VOIP sau sistemele de telefonie bazate pe software. Acestea sunt sisteme de telefonie care permit efectuarea de apeluri telefonice prin folosirea tehnologiei VOIP (voce peste protocol Internet).

Există două tipuri de sisteme de telefonie SIP. Primul tip este reprezentat prin aparatul destinat sistemului de telefonie SIP care se aseamănă cu aparatul telefonic normal, putând însă recepționa și efectua apeluri telefonice prin folosirea Internetului în locul sistemului tradițional PSTN.

Sistemele de telefonie SIP pot fi, de asemenea, sisteme bazate pe software specializat. Acest software permite oricărui computer să fie folosit ca aparat telefonic cu ajutorul unei perechi de căști cu microfon și/sau a unei plăci de sunet. De asemenea, sunt necesare o conexiune Internet în bandă largă precum și o conexiune la un furnizor VOIP sau la un server SIP.

Sistemul de telefonie 3CX pentru Windows este compatibil cu majoritatea aparatelor destinate sistemelor de telefonie SIP. Acesta este însoțit de un sistem de telefonie SIP GRATUIT care funcționează asemeni unui client VOIP pentru sistemul de telefonie 3CX.

5.3.1. Analiza traficului în rețea folosind Wireshark

Wireshark este cel mai popular analizator de rețea din lume. Această unealtă foarte puternică furnizează informații despre datele capturate în rețea și straturile superioare ale protocoalelor.

Am instalat analizatorul Wireshark pe stațiile PC 11 și PC 22 pentru a efectua capturi de trafic din ambele rețele. De asemenea, în rețeaua 10.0.3.0 am adăugat un switch (SW) la care am conectat o stație (PC A, 10.0.3.3). Pe această stație am instalat Wireshark. Am introdus această stație pentru a putea face capturi de trafic între ruterele R12 și R21, respectiv pentru a vedea cum poate fi contracarat un eventual atac care provine din această zonă.

La următorul pas am efectuat un apel intre abonații cu numerele 10001 și 10002, adică între PC 12 și PC 21, reprezentând un apel dintr-o rețea locală în cealaltă (un apel între LAN 1 și LAN 2). În această situație se constată că făcând capturi de trafic atât din LAN 1 și din LAN 2 (de pe stațiile PC 11 și PC 22), dar și din rețeaua 10.0.3.0 ( de pe PC A ) vom avea aceleași rezultate (Figura 5.2).

Figura 5.2. Captură trafic necriptat

Din această captură se observă sursa și destinația pachetelor (adresele IP 192.168.1.6 și192.168.2.2), dar și faptul că se folosește protocolul RTP.

Real-time Transport Protocol (RTP) este un protocol prin intermediul căruia se pot transmite informații de tip media (sunete, imagini) printr-o rețea de telecomunicații.

În Internet, de asemenea ca și în alte rețele, este posibilă pierderea pachetelor, schimbarea ordinii în procesul de transmitere, de asemenea variază timpului de transmitere a pachetelor la distanțe mari. Aplicațiile multimedia pun condiții foarte dure asupra ambianței de transmitere. Pentru convenirea cu posibilitățile Internetului a fost creat protocolul RTP. Protocolul RTP se bazează pe ideile propuse de Klark și Tenenhauzen și are scopul de a transmite date în timp real (de exemplu semnalul audio sau video). Față de acesta se precizează tipul câmpului de date, se numerotează pachetele, și se înregistrează reperul de timp și se monitorizează transmiterea datelor. Aplicațiile de obicei folosesc RTP implementat peste UDP, pentru ca să se poată folosi de posibilitatea sa de multiplexare și controlul checksum. Dar RTP se poate folosi de asemenea și deasupra oricărui protocol de nivel 4 OSI. RTP permite transmiterea concomitentă pe adrese diferite, dacă multicastul este posibil la nivel de rețea.

Trebuie luat în considerație că RTP nu garantează transmiterea la timp a pachetelor și nu oferă garanția integrității transmiterii datelor. Corectitudinea transmiterii informației poate fi asigurată de către partea care recepționează pachetele cu ajutorul numerelor de ordine a pachetelor. Această posibilitate este foarte utilizată tot timpul, dar în special atunci când se transmit imagini prin intermediul protocolului RTP.

În practică, protocolul RTP nu este separat de protocolul RTCP (RTP control protocol). Ultimul îndeplinește funcția ca monitorizare și pentru transmiterea informației despre utilizatorii care schimbă informații.

Protocolul RTP nu este un protocol strict, care poate să transmită informație unei aplicații, modulele funcționale ale lui nu formează un strat aparte, dar mai des se integrează în programă. Protocolul RTP nu este un protocol strict reglamentat.

Există și posibilitatea decodării vocii folosind Wireshark, aceasta pentru că traficul este în clar (Figura 5.3 și Figura 5.4).

Figura 5.3

Figura 5.4. Decodarea vocii

Așadar din orice poziție vom capta traficul putem face decodarea vocii și altfel spus potențialul atacator poate intercepta convorbirile între stațiile din LAN 1 cu cele din LAN 2. În acest caz se impun măsuri de securitate a serviciului de voce oferit.

5.3.2. Securizarea site to site

Primul scenariu este acela în care atacatorul se află undeva între locațiile în care se află LAN 1 și LAN 2. Altfel spus atacatorul se află între ruterele R1 și R2.

Ca și măsură de protecție am realizat tunel între R1 și R2 (rețea privata virtuală, VPN). Standardul de criptare folosit este AES 256.

Prima etapă de analiză a traficului am realizat-o folosind capturile cu Wireshark de pe stația PC A. Captura realizată de pe această stație este cea din Figura 5.5.

Figura 5.5. Captură trafic VPN de la stația PC A

În acest caz se observă că protocolul folosit este SSDP, iar decodarea vocii este imposibilă. Așadar avem asigurată protecția transmiterii vocii între ruterele R1 și R2. Altfel spus între locațiile în care se află rețelele LAN 1 și LAN 2, în cazul în care va interveni un atacator, acesta nu va avea succes.

Simple Service Discovery Protocol (SSDP) este un protocol de nivel rețea în suita de protocoale IP. El este baza Universal Plug and Play. SSDP este un protocol bazat pe HTTP ( text ) și utilizează UDP.

A doua etapă de analiză a traficului am realizat-o folosind capturile din Wireshark de pe stațiile PC 11 și PC 22. Altfel spus capturile sunt realizate din stații aparținând LAN 1 și LAN 2. Au rezultat capturi identice precum în Figura 5.6.

Figura 5.6. Captură trafic din LAN 1 (PC11) pentru configurația cu VPN

Se observă faptul că protocolul folosit este RTP. De asemenea în acest caz este posibilă decodarea vocii ( capturile sunt identice cu cele din Figura 5.3 și Figura 5.4). Decodarea vocii este posibilă întrucât traficul este criptat doar între ruterele R1 și R2. În acest caz, dacă atacatorul se află în locațiile unde se gasesc rețelele LAN 1 sau LAN 2 atunci acesta poate intercepta convorbirile. Se impune acum realizarea unui sistem de protecție a vocii de la un terminal la celălalt.

5.3.3. Securizarea end to end

În acest moment singura zonă în care atacatorul poate avea succes (poate intercepta convorbirile din LAN 1 către LAN 2 și invers) este chiar zona în care se află

fizic cele două rețele (Figura 5.7).

Figura 5.7. Zonele nesecurizate ale rețelei

Pentru a proteja și aceste zone de către atacatori am ales soluția de criptare a vocii încă de la terminal. Astfel am apelat la opțiunea de criptare a softului folosit (3cxsPhone4). Pentru setarea opțiunii de criptare a vocii se procedează ca în Figura 5.8. Se poate folosi în acest scop și softul Zphone care va oferi trafic de voce criptat de tip ZRTP.

Figura 5.8. Setarea opțiunii de criptare a vocii

După setarea opțiunii de criptare a vocii de la terminal se realizează capturi ale traficului cu ajutorul Wireshark. Se observa că toate capturile arată la fel (Figura 5.9) indiferent de stația de pe care s-a realizat captura ( PC 11, PC 22 sau PC A).

Figura 5.9. Captură trafic criptat de la terminal

Protocolul folosit esteSRTP după cum se observă și în figură. SRTP (Secure Real-time Transport Protocol) definește un profil al RTP menit să ofere criptare, autentificarea mesajelor și integritate și răspuns la protecția datelor RTP. SRPT utilizează în mod implicit AES.

De asemenea, se observa că în acest caz, indiferent de locul de unde voi realiza captura, vocea nu va putea fi decodată (Figura 5.10). Așadar atacatorul nu își va putea îndeplini misiunea indiferent de locul in care va interveni.

Figura 5.10. Decodarea vocii nu se poate realiza

CAPITOLUL 6. Concluzii

Rețelele de telefonie IP PBX (private branch exchange) sunt din ce în ce mai frecvent folosite în cadrul companiilor de dimensiuni medii și mari. Printre motivele răspandirii acestora merită amintite costurile mult diminuate comparativ cu conectarea fiecărui aparat telefonic din companie la o linie externă precum și folosirea în comun de către sute de utilizatori a câtorva linii externe pentru efectuarea de apeluri în afara companiei. În plus, comunicarea internă este mai facilă deoarece numerele sunt formate din 3 sau 4 cifre.

La sfârsitul anului 2009, o cotă de aproape 90% din piață aparținea rețelelor IP PBX (cel puțin în ceea ce privește clasa corporate). Totuși, inainte de a implementa o rețea VoIP, trebuie constiență în ceea ce privește riscurile la care acestea sunt expuse și să se cunoască măsurile care pot fi luate pentru a le contracara.

Utilizatorii VoIP sunt vulnerabili la atacurile îndreptate împotriva serviciilor tradiționale de telefonie fixă sau mobilă, care au ca scop obținerea de informații, furtul de identitate sau comiterea unor fraude. Centralele VoIP, responsabile de procesarea apelurilor, a numerelor și a datelor de autentificare, utilizează sisteme de operare, protocoale internet, aplicații și interfețe de configurare care sunt vulnerabile la viruși, viermi, spyware, tentative de acces neautorizat sau atacuri de tip Denial of Service (DOS).

Dintre măsurile de securitate a serverelor aplicabile și celor care deservesc rețelele VoIP enumerăm:

– actualizarea permanentă a sistemelor de operare și a programelor VoIP cu ultimele aplicații corectoare de tip patch lansate de producători;

– menținerea pe server doar a aplicațiilor necesare derulării în bune condiții a serviciilor VoIP;

– reguli de autentificare solide pentru accesul administratorilor și a utilizatorilor pe server;

– garantarea accesului pe server pentru un număr minim de conturi de utilizator necesare asigurării întreținerii și funcționării în bune condiții a acestuia;

– implementarea de proceduri de autentificare complexe pentru a preveni accesul neautorizat la serviciile VoIP sau la datele de identificare ale clienților;

– derularea de activitșăi de audit intern privind operațiile desfășurate de administratori și utilizatori;

– instalarea și întreținerea programelor firewall și a aplicațiilor antivirus pentru a combate atacurile de tip Denial of Service (DOS);

– configurarea corespunzătoare a aplicațiilor VoIP – spre exemplu utilizarea unei liste a codurilor de țară apelabile poate evita unele tentative de utilizare neautorizată sau abuzivă a serviciilor.

Referitor la partea practică expusă în acest proiect am arătat că într-o rețea de voce peste IP se pot folosi mai multe metode de protecție. Aceste metode diferă în funcție de echipamentele software și hardware folosite și în funcție de zona fizică pe care dorim să o protejăm (zona pe care o considerăm vulnerabilă).

Așadar dacă dorim o protecție a serviciului de voce între locațiile (clădirile) din care se efectuează apeluri vocale putem apela la realizarea unei rețele private virtuale securizate (VPN). În acest caz zona care se protejează este zona în care pachetele IP trenzitează rutere ale altor companii, instituții, provideri, iar cel mai des această zonă se identifică cu Internetul. În momentul în care datele tranzitează echipamente care nu aparțin instituției sau companiei în cauză este normal ca aceasta sa își ia măsuri de protecție.

Dacă însă se consideră că atacatorul poate interveni chiar și între ruter și terminal atunci este nevoie de utilizarea modului de criptare al terminalului, respectiv este nevoie de achiziționarea unor terminale care să permită acest mod de funcționare.

O ultimă soluție propusă este aceea de utilizare concomitentă a ambelor măsuri de protecție a serviciului de voce în rețelele IP și anume de realizarea unui VPN între rutere, dar și de utilizarea unor terminale care să permită opțiunea de criptare. În acest caz captura traficului realizată cu Wireshark va arăta ca în Figura 5.6 dacă ea se realizează de pe stația PC A și va arăta ca în Figura 5.9 dacă ea se realizează de pe stațiile PC 11 sau PC 22. De asemenea, în acest caz decodarea vocii nu este posibilă (Figura 5.10).

Lucrarea are caracter informativ. Ea poate fi continuată prin studiul altor metode de protecție a serviciului de voce în rețelele IP. De asemenea rețeaua fiind pusă în practică în laboratorul de rețele și demonstrând că este funcțională poate fi realizată la dimensiuni mai mari (mai multe echipamente, terminale) și la distanțe mai mari (conexiuni între cladiri, orașe) oferind aceleași calitate a serviciului și același grad de protecție.

Bibliografie

[1] A. S. Tanenbaum – Rețele de calculatoare, Editura Computer Press Agora, Tg Mureș, 2004;

[2] Borcoci Eugen – Sisteme de comutație digitale, Ed. Europa Nova, București, 1995;

[3] Tatiana Rădulescu – Sisteme și rețele de comunicații, Ed. Tehnică, București, 1995;

[4] Sorina Zahan – Telefonia digitală în rețelele de telecomunicații, Ed. Albastră, Cluj-Napoca, 2002;

[5] Virgil Dobrotă – Rețele digitale în telecomunicații Ed. Mediamira, Cluj-Napoca, 2002;

[6] Niculescu Grazziela – Tehnici și sisteme de comutație, Ed. Matrix Rom, București, 2001;

[7] Olivier Hersent, David Gurle, Jean-Pierre Petit, “IP Telephony, Packet-Based Multimedia Communications Systems”, Addison Wesley, 2000;

[8] Recomandările ITU-T cu privire la rețelele numerice;

[9] Recomandările EUROCOM privind comutația numerică;

[10] William Stallings (2005). Cryptography and Network Security, 4th edition. Prentice Hall. ISBN 0-13-187319-3;

[11] http://www.cisco.com.

ANEXE

Anexa 1 : Topologia WAN a rețelei configurate VOIP

Anexa 2 : Rețeaua folosită pentru analiză

Anexa 3 : Setarea opțiunii de cripatare a vocii la 3cxsoftPhone4

Bibliografie

[1] A. S. Tanenbaum – Rețele de calculatoare, Editura Computer Press Agora, Tg Mureș, 2004;

[2] Borcoci Eugen – Sisteme de comutație digitale, Ed. Europa Nova, București, 1995;

[3] Tatiana Rădulescu – Sisteme și rețele de comunicații, Ed. Tehnică, București, 1995;

[4] Sorina Zahan – Telefonia digitală în rețelele de telecomunicații, Ed. Albastră, Cluj-Napoca, 2002;

[5] Virgil Dobrotă – Rețele digitale în telecomunicații Ed. Mediamira, Cluj-Napoca, 2002;

[6] Niculescu Grazziela – Tehnici și sisteme de comutație, Ed. Matrix Rom, București, 2001;

[7] Olivier Hersent, David Gurle, Jean-Pierre Petit, “IP Telephony, Packet-Based Multimedia Communications Systems”, Addison Wesley, 2000;

[8] Recomandările ITU-T cu privire la rețelele numerice;

[9] Recomandările EUROCOM privind comutația numerică;

[10] William Stallings (2005). Cryptography and Network Security, 4th edition. Prentice Hall. ISBN 0-13-187319-3;

[11] http://www.cisco.com.

ANEXE

Anexa 1 : Topologia WAN a rețelei configurate VOIP

Anexa 2 : Rețeaua folosită pentru analiză

Anexa 3 : Setarea opțiunii de cripatare a vocii la 3cxsoftPhone4