ACADEMIA TEHNICĂ MILITARĂ “FERDINAND I” FACULTATEA DE COMUNICAȚII ȘI SISTEME ELECTRONICE PENTRU APĂRARE ȘI SECURITATE Specializarea: Comunicații… [611305]

ROMÂNIA
MINISTERUL APĂRĂRII NAȚIONALE
ACADEMIA TEHNICĂ MILITARĂ “FERDINAND I”

FACULTATEA DE COMUNICAȚII ȘI SISTEME ELECTRONICE
PENTRU APĂRARE ȘI SECURITATE
Specializarea: Comunicații pentru apărare și securitate

IMPLEMENTAREA ȘI EV ALUAREA
UNUI SISTEM DE COMUNICAȚII VOIP ASTERISK

CONDUCĂTOR ȘTIINȚIFIC :
Lt. col. c onf. univ. dr . ing. RÎNCU Cristian -Iulian

ABSOLVENT: [anonimizat]: .
Inventariat sub nr.: .
Poziția din indicator: .
Termen de păstrare: .

Bucure ști 2020

NECLASIFICAT

NECLASIFICAT
1 din 52

student: [anonimizat]

1. PRECIZ ĂRI ȘI DATE INIȚIALE:
• Proiectul va stabili în primul rând structura unei rețele de comunicații și a modului în
care se pot realiza serviciile specifice.
• Se va realiza un studiu privind serviciile de comunicații oferite în rețelele de
comunicații actuale .
• Se vor analiza aspectel e particulare specifice serviciului de voce.
• Se va elabora un studiu teoretic al modului de asigurare a calității servici ului de voce și
a protecției acestuia în rețelele de comunicații.
• Se va elabora un studiu teoretic al modului de implementare a rețelel or de comunicații
cu servicii de voce și a modului în care se poate integra cu alte tipuri de servicii în rețele
de comunicații.
• Se vor alege metode specifice pentru utilizarea și/sau construirea unor rețele furnizoare
de servicii de voce .
• Se vor analiza a spectele ce implică asigurarea unui grad de securitate adecvat și cum
influențează tehnicile utilizate calitatea serviciului de voce pe ansamblu.
• Pe baza simulărilor și a rezultatelor practice obținute se va analiza posibilitatea utilizării
soluțiilor stud iate în rețelele de comunicații simulate cu ajutorul programelor adecvate
și apoi realizate prin implementare hardware.

NECLASIFICAT

NECLASIFICAT
2 din 52
2. MEMORIUL TEHNIC VA CONȚINE:
• Generalități referitoare la rețelele de comunicații.
• Prezentarea soluțiilor de furnizare a serviciului de voce în rețele de comunicații;
• Prezentarea protocoalelor pentru asigurarea serviciului de voce în rețele IP;
• Prezentarea soluțiilor de realizare a calității serviciului de voce în rețele de tip IP;
• Prezentarea soluțiilor de securizare a serv iciului de voce folosind mecanisme
specifice sau preluate de la alte servicii și adaptate serviciului de voce;
• Rezultate obținute în urma analizei teoretice și practice privind soluțiile ce au fost
implementate.
• Concluzii.
• Bibliografie.
• Anexe.

3. LUCR ĂRI GRAFICE DE ÎNTOCMIT:
• scheme bloc
• scheme de conectare
• alte diagrame și scheme considerate necesare de c ătre student .

4. BIBLIOGRAFIE RECOMANDAT Ă:
[1] T. Porter, Practical VoIP Security , Canada: Syngress Publishing , 2006 .
[2] J.F. Ransome, J.R. Rittinghouse, VoIP Security , United States of America: Digital
Press , 2005 .
[3] S. Tanenbaum, Rețele de calculatoare , Editura Computer Press Agora, Târgu –
Mureș, 2004
[4] T. Rădulescu, Rețele de telecomunicații , Ed. Thalia, București, 2002
[5] Fred Halsall, Computer Networking and the Internet , Addison -Wesley, 2005
[6] Anders Olsson, Understanding Changing Telecommunications, Wiley, 2004
[7] Russell Bryant, Leif Madsen, and Jim Van Meggelen Asterisk™: The Definitive
Guide, Fourth Edition , O’Reilly Media, United States of America, 2013
[8] Henry Sin nreich, Alan B. Johnston , Internet Communications Using SIP Second
Edition , Wiley Publishing, Indianapolis, Indiana, 2006
[9] Sushruta Mishra, Lamboder Jena, Aarti Pradhan , Networking Devices and
Topologies: A Succinct Study , International Journal of Advanced Research in Computer
Science and Software Engineering: Volume 2, Issue 11, November 2012
[10] Abdullahi Mohammed Jingi , VoIP Security: Common Attacks and their
Countermeasures , International Journal of Computer Science and Information Security
(IJCSIS) , Vol. 15, No. 3, March 2017

5. PRACTICA DE DOCUMENTARE: SIE

NECLASIFICAT

NECLASIFICAT
3 din 52
Cuprins

1. Furnizarea serviciului de voce in rețele IP ………………………….. ………………… 5
1.1 Rețele de comunicații – introducere ………………………….. ……………………. 5
1.1.1 Modele de referință ………………………….. ………………………….. ………… 5
1.1.2 Ec hipamente și cabluri ………………………….. ………………………….. ……….. 6
1.2 Voice over Internet Protocol ………………………….. ………………………….. …….. 9
1.2.1 Evoluția VoIP ………………………….. ………………………….. …………………… 9
1.2.2 PSTN și VoIP (comutație de circuite și comutație de pachete) ………… 9
1.2.3 Caracteristici și avantaje VoIP ………………………….. ………………………. 10
1.2.4 Digitizarea și compresia vocii ………………………….. ……………………….. 11
1.2.5 Aspecte privind QoS ………………………….. ………………………….. ………… 12
1.3 Sess ion Initiation Protocol ………………………….. ………………………….. ……… 13
1.3.1 Elementele de rețea ………………………….. ………………………….. ………….. 13
1.3.2 Secvența de mesaje intr -o sesiune SIP ………………………….. ……………. 15
1.3.3 Header SIP ………………………….. ………………………….. ……………………… 17
1.4 Real -Time Tr ansport Protocol ………………………….. ………………………….. … 18
1.4.1 RTP Data Transfer Protocol ………………………….. ………………………….. 18
1.4.2 Mixerul si translatorul ………………………….. ………………………….. ……… 18
1.4.3 Header RTP ………………………….. ………………………….. ……………………. 19
1.4.4 RTP Contro l Protocol – RTCP ………………………….. ……………………….. 20
2. Asigurarea securității transmisiei de voce ………………………….. ……………….. 21
2.1 Vulnerabilități într -un sistem de comunicații VoIP ………………………….. … 24
2.2 TLS ………………………….. ………………………….. ………………………….. ………… 27
2.2.1 Caracteristici ………………………….. ………………………….. …………………… 28
2.2.2 TLS Record Protocol ………………………….. ………………………….. ……….. 28
2.2.3 TLS Handshake Protocol ………………………….. ………………………….. ….. 30
2.2.4 TLS Change Cipher Spec Protocol ………………………….. …………………. 33
2.2.5 TLS Alert Protocol ………………………….. ………………………….. ………….. 33
2.3 Secure Real -Time Transfer Protocol ………………………….. ……………………. 34
3. Implementarea rețelei de comunicații VoIP Asterisk ………………………….. … 35
3.1 Virtualizare ………………………….. ………………………….. ………………………….. 35
3.1.1 Platforme de virtualizare ………………………….. ………………………….. ….. 35
3.1.2 Adaptorul de retea ………………………….. ………………………….. ……………. 36
3.2 Instalare servere Asterisk ………………………….. ………………………….. ……….. 36
3.2.1 Instalare server din linie de comandă în Ubuntu 14.04 (Asterisk1) …. 37
3.2.2 Instalare server cu FreePBX (Asterisk2) ………………………….. …………. 39
3.3 Configurare servere Asterisk ………………………….. ………………………….. ….. 40
3.3.1 Configurare server Asterisk1 securizat ………………………….. …………… 40
3.3.2 Configurare server Asterisk2 nesecurizat ………………………….. ………… 46
3.4 Configurare terminale telefonice ………………………….. …………………………. 47
4. Evaluarea sistemelor de comunicații ………………………….. ………………………. 49
4.1 Analiza funcțională ………………………….. ………………………….. ……………….. 49

NECLASIFICAT

NECLASIFICAT
4 din 52
4.2 Probleme întâmpinate ………………………….. ………………………….. ……………. 49
Concluzi i ………………………….. ………………………….. ………………………….. …………. 49
Bibliografie ………………………….. ………………………….. ………………………….. ……… 50
Citări ………………………….. ………………………….. ………………………….. ……………….. 52

Tabel figuri

Fig. 1.1 ISO -OSI vs TCP/IP si încapsularea datelor ………………………….. ………… 5
Fig. 1.2 Echipamente de rețea ………………………….. ………………………….. …………… 6
Fig. 1.3 Cabluri uzuale ………………………….. ………………………….. …………………….. 7
Fig. 1.4 Straight -through vs Crossover ………………………….. ………………………….. . 9
Fig. 1.5 Obținere semnal digital ………………………….. ………………………….. ………. 11
Fig. 1.6 Mod de funcționare TCP si UDP ………………………….. ……………………… 12
Fig. 1.7 Încapsularea vocii ………………………….. ………………………….. ……………… 13
Fig. 1.8 Elementele de rețea SIP ………………………….. ………………………….. ……… 14
Fig. 1.9 Secvența de mesaje SIP ………………………….. ………………………….. ……… 15
Fig. 1.10 Header SIP ………………………….. ………………………….. ……………………… 17
Fig. 1.11 Mixerul RTP ………………………….. ………………………….. …………………… 18
Fig. 1.12 Tr anslatorul RTP ………………………….. ………………………….. …………….. 19
Fig. 1.13 Header RTP ………………………….. ………………………….. ……………………. 19
Fig. 2.1 Algoritm cu cheie simetric ă ………………………….. ………………………….. … 22
Fig. 2.2 Algoritm cu cheie nesimetric ă ………………………….. …………………………. 22
Fig. 2.3 Funcția Hash ………………………….. ………………………….. …………………….. 23
Fig. 2.4 Poziția protocolului TLS în stiva ISO -OSI ………………………….. ……….. 28
Fig. 2.5 Structura TLS Record ………………………….. ………………………….. ………… 29
Fig. 2.6 Încapsularea datelor ………………………….. ………………………….. …………… 29
Fig. 2.7 Etapele stabilirii unei legături sigure cu TLS ………………………….. …….. 30

NECLASIFICAT

NECLASIFICAT
5 din 52
1. Furnizarea serviciului de voce in re țele IP

1.1 Rețele de comunica ții – introducere
1.1.1 Modele de referin ță
O rețea poate fi definită ca un grup de computere și alte dispozitive
conectate în diferite moduri pentru a putea schimba date. Acum, în practică,
trebuie să existe p osibilitatea interc onectarii rețele lor cu protocoale și arhitecturi
diferite pentru o comunicare eficientă. Pentru a susține această caracteristică
există multe dispozitive de rețea care facilitează comunicarea între rețelele
eterogene. [1]
În rețelistica există două stive importante de protocoale ce definesc
standarde pentru o comunicare eficientă: ISO -OSI și TCP/IP. Acestea au multe
asemănări, dar și diferențe ce fac din TCP/IP modelul preferat de producători.
Ambele modele împart procesul de comunicare î n niveluri cu o funcționalitate
similară, nivelurile până la nive lul transport inclusiv asigură transportul end -to-
end independent de rețea. Spre deosebire de modelul TCP/IP, modelul OSI
explică standardele și protoc oalele mai în detaliu, din acest motiv este și preferat
pentru studiul re țelisticii, însă în practică TCP/IP a câștigat având un proces de
standardizare mai rapid . Modelul TCP/IP a venit doar ca o descrie re a
protocoalelor deja existent e, exact opusul modelului OSI, de aceea au apărut
probleme d e interconectare pentru protocoalele și serviciile OSI și a fost nevoie
de convergența subnivelurilor.

Aplicație
Prezentare
Sesiune
Transport
Rețea
Legătură de
date
Fizic
Mesaj
Mesaj
Mesaj
Mesaj
Mesaj
Mesaj
H1
H1
H1
H1
H1
H1
H2
H2
H2
H2
H2
H3
H3
H3
H3
H4
H4
H4
H5
H5
H6
T
Biți
Aplicație
Transport
Internet
Gazdă la rețea ISO-OSI TCP/IP Încapsulare date Exemple de protocoale
Ethernet , PPP,
STPIP, ICMP , RIP,
OSPF , IPSec
TCP, UDP
TLS, SIP,
Telnet , SSH

Fig. 1.1 ISO-OSI vs TCP/IP si încapsularea datelor
Nivelul fizic este responsabil pentru conexiunea fizică între echipamente.
Acesta se ocupă cu sincronizarea de bit, cu rată de transmisie (bps), definește
topologia fizică, dar și modul de transmisie (simplex, ha lf-duplex, duplex).
Nivelul legătură de date este responsabil cu adresarea fizică: transmiterea
informației către nodul destinație, în funcție de adresa MAC, realizează controlul
fluxului și al congestiei, dar și controlul erorilor. PDU de acest nivel se numește

NECLASIFICAT

NECLASIFICAT
6 din 52
cadru (frame). Acest nivel este format din două componente: LLC (Logical Link
Control) și MAC (Media Acces Control).
Nivelul rețea se ocupă cu rutarea (găsirea caii optime între sursă și
destinație) pe bază unei adresări logice (IP).
Nivelul transport este responsabil pentru livrarea end -to-end a întregului
mesaj. Datele de acest nivel se numesc segmente. La emițător face segmentare și
implementează politicile de control al fluxului și al erorilor, adaugă portul sursă
și portul destinați e și trimite către nivelul inferior. La recepție realizează
reasamblarea datelor și trimite datele către aplicația corespunzatore portului
indicat.
Nivelul sesiune stabilește o legătură între părțile comunicante, o menține
și o încheie; de asemenea rea lizează sincronizarea și se poate ocupa și de
securitate prin autentificare.
Nivelul prezentare este responsabil cu translatarea datelor într -un format
înțeles de nivelul aplicație, cu criptarea/decriptarea și cu compresia datelor.
Nivelul aplicație reprezintă interfațarea cu utilizatorul, oferindu -i serviciile
cerute într -un mod inteligibil de către acesta.
1.1.2 Echipamente și cabluri

Fig. 1.2 Echipamente de re țea
Repetoarele sunt echipamente de nivel fizic care au rolul de a amplifică
semnalul primit până la nivelul de bit cu scopul de a putea transmite informația
pe o distanță mai mare, din cauză că odată cu distanță semnalul se degradează
prin atenuare fără posibilitatea re facerii în mod fidel la recepție.
Hub-urile aparțin nivelului fizic și rolul lor este de a transmite semnalul
electric (datele) către toate dispozitivele conectate la ele, indiferent dacă era
destinat către acel dispozitiv sau nu. Acest lucru îl face inef icient și poate crea
blocaje în rețelele aglomerate prin mărirea domeniului de coliziune.
Switch -ul este un hub mult mai avansat, deoarece acesta lucrând la nivelul
legăturii de date știe să caute în MAC -ul destinație și trimite pe portul
corespunzător di spozitivului solicitat și astfel reduce domeniul de coliziune.
Acesta își populează tabela CAM în fu ncție de portul sursă și MAC -ul sursă. Dacă

NECLASIFICAT

NECLASIFICAT
7 din 52
MAC -ul destinație nu este cunoscut, acesta trimite cadrul primit pe toate porturile
mai puțin pe portul sursă. A cesta are trei moduri de lucru:
– Cut-through : trimite pachetul mai departe imediat cum a fost recepționat,
foarte rapid, dar fără verificarea erorilor, existând posibilitatea propagării
erorilor;
– Store -and-forward : așteaptă să vină tot pachetul, îl ver ifică și după îl
trimite mai departe ceea ce îl face lent;
– FragmentFree : compro misul dintre metodele anterioare, mai lent decât
cut-and-through, dar verifică pachetul, citind suficient din el încât să poată
determina dacă acesta a fost implicat într -o coliziune.
Bridge -ul lucrează la nivelul legăturii de date și are rolul de a interconecta
unul sau mai multe segmente sau rețele locale, realizând transferul în funcție de
MAC și putând face filtrări la trecerea dintr -un segment/LAN în altul.
Router -ul est e un echipament de nivel rețea ce interconectează două sau
mai multe rețele și alege cea mai bună cale către destinație din mai multe căi
posibile, pot filtra traficul astfel încât utilizatorul să aibă acces doar la ce are
permis. Din punct de vedere al ru telor din tabela de rutare sunt două tipuri:
– rute statice : se întroduc de către administrator, oferă siguranță, dar sunt
greu de implementat în rețelele mari;
– rute dinamice : învățate cu ajutorul protocoalelor de rutare. Acestea se
împart în două cate gorii:
– Link -State: OSPF, IS -IS;
– Distance Vector: RIP.
Gateway -ul este un echipament ce realizează conversia datelor făcând
posibilă comunicarea între arhitecturi diferite, limbaje diferite, formatul datelor
sau protocoale de comunicație diferite.
Firewall -ul are rolul de a asigura securitate rețelei prin diferite moduri,
printre care autentificare, liste de control acces, filtrarea pachetelor, criptare etc.

Fig. 1.3 Cabluri uzuale
Cablul este mediul de transmisie a informației între echipamentele de
comunicație. Alegerea tipului de cablu se face în funcție de topologie, protocoale
și mărimea rețelei.
Cablul UTP (unshielded twisted pair) este cel mai ieftin tip și conține patru
perechi de fire torsadate cu care diminuează interferențele; distanța maximă

NECLASIFICAT

NECLASIFICAT
8 din 52
pentru transmisie este de 100m. Acesta a fost standardizat în 6 categorii, în funcție
de viteza de transmisie:

Categorie Viteza
1 1 Mbps
2 4 Mbps
3 16 Mbps
4 20 Mbps
5 100/1.000 Mbps
5e 1.000 Mbps
6 10.000 Mbps

Cablul STP (shielded twisted pair) este potrivit în locuri cu potențial ridicat
de interferențe deoarece fiecare fir/pereche de fire este acoperită cu o folie
izolatoare. Transmite cu viteze de până la 10.000 Mbps pe o distanță maximă de
100m.
Cablul coaxial este f ormat dintr -un fir de cupru central, acoperit cu un
izolator de plastic peste care vine o plasă metalică. Acesta are o mare rezistentă
la interferențe, poate fi folosit pe distanțe de până la 500m și suportă viteze de
10-100 Mbps.
Cablu l de fibră optică are un centru din sticlă sau fibre de plastic, protejat
dintr -un material plastic și de încă un strat de alte fibre de kevlar. Informația se
transmite sub formă de undă luminoasă, nu semnal electric ca în cazul STP, UTP,
cablu coaxial. Fibra optică are cele mai mari prețuri, dar poate transmite pe
distanțe de până 100km și suportă viteze mult mai mari, un grup de cercetători
din Olanda și USA reușind să transfere cu 32 Tbps.
Există și posibilitatea interconectării echipamentelor utilizând o conexiune
fără fi r (Wireless ) cu ajutorul semnalelor radio, infraroșu sau laser. Pentru a
transmite la distanțe mari se folosesc celule telefonice, microunde sau sateliți.
Conexiunea Wi -Fi a fost standardizată astfel:

Standard Viteza Frecven ța Anul apari ției
802.11a 54 M bps 5 GHz 1999
802.11b 11 Mbps 2.4 GHz 1999
802.11g 54 Mbps 2.4 GHz 2003
802.11n 600 Mbps 2.4 & 5 GHz 2009
802.11ac 1 Gbps 2.4 & 5 GHz 2014
802.11ax 10 Gbps 2.4 & 5 GHz 2019

Un alt aspect de menționat este faptul că între echipamentele de același
nivel se folosește cablu cross -over, iar între echipamentele de nivel diferit cablu
straight -through.

NECLASIFICAT

NECLASIFICAT
9 din 52

Fig. 1.4 Straight -through vs Crossover
1.2 Voice over Internet Protocol
1.2.1 Evolu ția VoIP
După d ouă decenii de cercetări, în anul 1969 agenț ia guvernamentală
americană ARPA (Advanced Research Proje ct Agency) a construit prima re țea
ce realiza o comutație de pachete. În 1973 se transmite primul pachet de voce prin
intermediul ARPA NET, rețeaua care a s tat la baza creării Internetului modern de
astăzi și care atunci interconecta patru instituții universitare: Institutul de
Cercetări Stanford, Universitatea Utah, Universitatea California din Los Angeles
și Universitatea California din Santa Barbara.
John Walker, fondatorul Autodesk, realizează o schemă de decimare prin
care se reduce lățimea de bandă de la 64 Kb/s (cât era necesară pentru
transmiterea de voce la acea vreme) la 32Kb/s. Astfel, în anul 1991 el scoate
NetFone, primul telefon VoIP bazat pe teh nologie software, utilizat î n cadrul
propriei companii. În a nul 1989 este lansat VocalTec Internet Phone, considerată
prima aplicație comercial ă de VoIP, transmisia era semi -duplex, necesita 8MB
RAM și utiliza protocolul H.323, primul protocol de comunicaț ii VoIP.
Mark Spencer care deține o companie de suport tehnic pe Linux are nevoie
de un PBX (Private Branch Exchange -rețea de telefonie privată) pentru a vorbi
cu angajații săi, dar nu dispune de suficienți bani pentru a cumpăra unul așa că
programează propriul IP -PBX în anul 1999, numindu -l Asterisk și decide să fie
open -source. Asterisk devine din ce în ce mai popular, iar el începe să își
concentreze atenția pe suportul pentru Asterisk.
În anul 2004, președintele FCC (Federal Communications commission)
declară că VoIP este un serviciu de informații, nu de telefonie, acest lucru
însemnând taxe mai mici pentru clienții VoIP. În anul 2005, noul președinte
obligă serviciile VoIP care se conectează la PSTN să poată efectua apeluri de
urgen ța la 911.
Din anul 2003 până în 2004, numărul de utilizatori de servicii VoIP a
crescut de la 150.000 la 1,2 milioane, ajungând în anul 2013 la peste 150 milioane
de abonați, încasând venituri de peste 50 miliarde de dolari.
1.2.2 PSTN și VoIP (comutație de circuite și comut ație de pachete)
PSTN (public switched telephone network) este rețeaua de telefonie
clasică, cu comutație de circuite administrată de operatori regionali sau naționali
furnizând infrastructura și servicii pentru telecomunicațiile publice.

NECLASIFICAT

NECLASIFICAT
10 din 52
VoIP este o teh nologie care livrează voce și multimedia prin intermediul
Internet Protocol -ului și funcționează cu comutație de pachete.
Comutarea presupune mutarea de pe o interfață pe alta și se realizează la
nivelul 2 din ISO -OSI.
Avantajele comutatiei de circuite s unt acelea că banda este rezervată
dinaintea transmiterii informației și este disponibilă pe toată durată conversației
(de unde rezultă și dezavantajul că dacă entitățil e nu au nimic de transmis, banda
este ocupată inutil și de asemenea alt dezavantaj este acela că avem nevoie de
timp pentru a stabili conexiunea), întârzierea este mică, iar datele sunt transmise
în ordine, putând fi reasamblate rapid.
În cazul comutatiei de pachete, decizia asupra rutei pe care o va urma
pachetul este luată de fi ecare nod intermediar, urmând ca pachetele să fie
reordonate la recepție. Avantajele acestui tip de comutație sunt distribuirea
uniformă a traficului, canalul fiind partajat și cu date transmise de alte entități de
la surse diferite (ducând totuși și la un potențial dezavantaj: întârzieri variabile la
recepție), în cazul în care are loc o întrerupere, se pierde o cantitate mică de
informație și se pot lua decizii de schimbare a rutei în funcție de starea rețelei.
1.2.3 Caracteris tici și avantaje VoIP
VoIP presupune utilizarea a două tipuri de protocoale: de semnalizare și de
transport media. Protocoalele de semnalizare gestionează setările apelurilor, iar
câteva exemple sunt: SIP, H.323, MGCP sau protocoale proprietar cum este cazul
SCCP al lui Cisco. Protocoalele de transport media realizează transmisia
pachetelor de voce peste rețea, protocoalele folosite pentru acest lucru fiind: RTP,
RTCP, SRTP, SRTCP.
VoIP ofera urmatorele capabilit ăți:
• Apel în așteptare ;
• Transferuri de apeluri ;
• Conferințe / interconectare apelu ri;
• Înregistrare apel ;
• Mesageria vocală ;
• Monitorizarea apelurilor ;
• Raportarea apelurilor ;
• Alăturarea apelurilor în curs ;
• Logare la distanță ;
• Fax electronic etc.

VoIP este un serviciu foarte căutat de companii deoarece oferă următoarele
avantaje, spre deosebire de PSTN:
• Costuri reduse cu efectuarea apelurilor;
• Utilizarea unei infrastructuri existente și comune prin convergen ța
serviciilor (date, voce, video);

NECLASIFICAT

NECLASIFICAT
11 din 52
• Flexibilitate prin posibilitatea mut ării loca ției telefonului sau prin
portabilitatea num ărului de telefon ;
• Existen ța unor caracteristici suplimentare.
Totuși, acesta are și unele dezavantaje comparativ cu PSTN:
• Calitatea vocii depinde de conexiunea la rețea, astfel încât dacă re țeua e
supra-încărcată, calitatea scade;
• Este afectată de căderea ali mentării cu energie electrică.
1.2.4 Digitizare a și compresia vocii
La începutul telefoniei vocea se transmitea analogic, utilizând modulații
analogice (FM/AM) sau fără modulație; în prezent transmisia analogică rămâne
populară numai pentru utilizarea pe distan țe foarte scurte fiind ieftin și fără a
necesită echipamente complexe. Din cauza atenuării cu distanța și a predispunerii
la zgomote, transmisia analogică a fost înlocuită cu transmisia digitală, canalele
de comunicație devenind noile linii telefonic e.
Semnalul analogic (vocea) este preluat de microfon și digitizat prin
eșantionare și cuantizare. Rata de eșantionare se referă la câte eșantioane per
secundă sunt citite, iar rata de cuantizare la câți biți se folosesc pentru fiecare
eșantion și astfel câte nivele de cuantizare pot exista .
Codec -urile (Coder -Decoder) sunt modele matematice ce realizează
digitizarea și compresia/ decompresia semnalului audio digital și astfel ajută la
micșorarea utilizării benzii.
Codec
Semnal analogic Semnal e șantionatBiți
Nivele
cuantizare

Fig. 1.5 Obținere semnal digital
Printre cele mai cunoscute codec -uri sunt G.711, G.729A, GSM. În
următorul tabel sunt enunțate câteva caracterisitici esențiale ale acestor codec -uri.

Codec Algoritm Bandwith Rată de
compresie Dimensiunea
cadrului Întârziere
codec
G.711 PCM 64 Kbps 1:1 0.125 ms 0.25 ms
G.729A CS-ACELP 8 Kbps 1:8 10 ms 25 ms
GSM -FR RPE-LT 13 Kbps 13:64 20 ms 40 ms

G.711 este codec -ul fundamental al PSTN, utilizând PCM cu două tipuri
de algoritm: μ -law în America de Nord și A -law în restul lumii și folosește resurse
foarte mici din partea CPU.

NECLASIFICAT

NECLASIFICAT
12 din 52
G.729A utilizează un algoritm foarte complex CS -ACELP (Conjugate –
Structure Algebraic -Code -Excited Linear Prediction) ce livrează un sunet de
foarte bună calitate și realizează o compresie mare, însă cu o utlizare destul de
puternică a CPU.
GSM -FR (Global System for Mobile Communications -Full Rate)
utilizează algoritmul RPE-LTP (Regular Pulse Excitation Long -Term Prediction)
livrează voce la o calitate mai slabă decât G.729, însă cu o utilizare mult mai mică
a CPU.
1.2.5 Aspecte privind QoS
QoS (Quality of Service) presupune o necesitate de a transmite pachet ele
de voce peste rețea, având întârzieri cât mai mici și cu pierderi foarte mici de
pachete. Astfel, QoS în cazul VoIP se concentrează pe trei aspecte: latența,
jitterul, pierderea pachetelor.
Latența (întârzierea) se măsoară din momentul în care un pachet este
transmis până când acesta este recepționat și nu ar trebui să depășească 150ms
(300ms round -trip). Latența mare se manifestă prin: zgomote care se suprapun,
ecou, conversație întreruptă.
Jitter -ul reprezint ă variația întârzierii la recepție a pachetului și se
consider ă un jitter maxim acceptabil de 30ms.
Payload -ul unui pachet de voce este în general foarte mic (10 -50 bytes),
însemnând 12.5 -62.5 ms de voce, astfel încât pierderea un ui pachet nu este critică,
motiv pentru care se folosește și UDP în loc de TCP. Cu toate acestea se consideră
că o pierdere mai mare de 3% de pachete este intolerabilă.
Cele mai cunoscute protocoale de transport sunt TCP (Transmission
Control Protocol) și UDP (User Datagram Protocol).
TCP este un protocol orientat pe conexiune, care realizează un handshake
înaintea începerii transmisiei și cere retransmisii în cazul pierderii sau coruperii
pachetelor, dar acest lucru îl face mai lent.
UDP nu este orientat pe conexiune, livrarea pachetelor este nesigură, dar
rapidă.

TCP (orientat pe conexiune )
EROARE
Mesaj corupt ; te rog
retransmite
UDP (neorientat pe conexiune )
EROARE
Mesaj corupt ; nu retransmite

Fig. 1.6 Mod de funcționare TCP si UDP
Pentru diminuarea întârzierii, în transferul de voce se folosește UDP, iar
metoda de compensare a pachetelor pierdute este stabilită de către terminale cu

NECLASIFICAT

NECLASIFICAT
13 din 52
ajutorul codec -urilor. O metodă ar fi să nu se trimită nici un pachet în locul celui
pierdut sau să s e trimită din nou pachetul anterior.
La transmiterea vocii, aceasta este segmentată și transportată ca Payload.

ETHERNET IP UDP RTPPAYLOAD
(VOCE )

Fig. 1.7 Încapsularea vocii

1.3 Session Initiation Protocol
SIP este un protocol de semnalizare open -source care se ocupă cu
stabilirea, menținerea și încheierea sesiunilor de comunicare în timp real.
Sesiunea de comunicare poate include date de voce, video, mesagerie instantă și
poate avea loc pe aprope orice fel de device: computer, telefon mobil, telefon prin
IP, Personal Digital Assistant (PDA) etc. Este un protocol de nivel aplicație în
stiva TCP/IP și a fost dezvoltat de către IETF prin participarea comună a mai
multor vendori. Acesta este descris în RFC 3261. SIP este independent de
protocolul de transport din nivelul inferior și are suport pentru PSTN și Volte.
SIP folosește o arhitectură de tip PEER -TO-PEER, adică o arhitectură unde
lipsește serverul central, în schimb fiecare computer poate acțion a ca un server
pentru celelalte .
Device -urile SIP pot comunica direct dacă își cunosc URI -urile entității cu
care dorim să comunicăm sau IP -urile, dar în practică serverele SIP sunt folosite
pentru a furniza o infrastructură care se ocupă cu înregistrarea , rutarea,
autentificarea și autorizarea serviciilor .
1.3.1 Elementele de re țea
Fiecare element de re țea este identificat de un SIP URI (Uniform Resource
Identifier) care este un fel de adres ă (care arata astfel <sip:
1001@192.168.43.92>). Aceste elemente de re țea cuprind:
• User Agents ;
• Servere :
– Proxy Server ;
– Registrar Server ;
– Redirect Server ;
– Location Server .
USER AGENTS sunt terminalele (ex: telefon IP, softphone, computer)
care inițiază, m odifică și încheie o sesiune și reprezintă interfața dintre utilizator
și rețeaua SIP. După acțiunea realizată de aceștia, se împart în două categorii:
• User Agent Client (UAC): cand trimite o cerere/mesaj SIP;
• User Agent Server (UAS): cand primeste o cerer e/mesaj SIP.

NECLASIFICAT

NECLASIFICAT
14 din 52
De asemenea, un UA poate fi și back -to-back user agent (B2BUA) ceea ce
înseamnă că acționează simultan atât ca server cât și client fiind un intermediar
între părțile comunicante.
SERVERUL PROXY are rolul de a face “rutarea” între User Agents, ia
cererea de la la unul, o prelucrează și o trimite către alte servere SIP sau terminale.
După ce sesiunea dintre terminale a fost realizată, acestea comunică direct. Există
două tipuri de servere P roxy:
• Stateless : transmite mesa jul primit f ără a stoca informa ții despre apel;
• Statefull: reține traseul fiecărei cereri și răspuns pentru a -l putea folosi
ulterior, poate retransmite cereri dacă nu primește răspuns în timpul limită
din partea celuilalt participant la comunicație.
SERVERUL REGISTRAR asigură autentificarea și înregistrarea
utilizatorilor când aceștia devin online. Aceștia sunt identificați pe baza URI –
urilor și le stochează alături de locația lor într -o bază de date.
SERVERUL REDIRECT primește cereri și oferă destinatarul utilizând
baza de date primită de la serverul Registrar . Dacă destinatarul nu se află în
același domeniu cu solicitantul, serverul face o cerere către serverul “ cel mai
apropiat” de destinatar.
SERVERUL LOCATION furnizează o altă bază de date cu evidența
utilizatorilor și locația lor. Oferă la cerere informați i serverelor Proxy sau
Redirect cu ajutorul cărora aceste obțin adresa fizică a terminale lor pe baza
adresei logice.
User Agent A
User Agent BServer PROXY REGISTRAR
ServerLOCATION
Server INVITAȚIEÎNTREBARE
RĂSPUNS
ÎNREGISTRAREÎNREGISTRARE
INVITAȚIEREDIRECȚIONARERedirect SERVER

Fig. 1.8 Elementele de rețea SIP

NECLASIFICAT

NECLASIFICAT
15 din 52
1.3.2 Secven ța de mesaje intr-o sesiune SIP
Mesajele SIP sunt de două tipuri: cerere și răspuns.
Mesajele de cerere au pe prima linie metoda de solicitare și adresa URI
unde trebuie să fie tri misă. Cele două metode de cerere sunt Core și Extension.
În figura de jos este prezent at flo w-ul unei conversații capturate:

Mesaj INVITE
User agent A
User agent BProxy
Mesaj INVITE
Mesaj 100 Trying
Mesaj 180 Ringing
Mesaj 180 Ringing
Mesaj 200 OK
Mesaj 200 OK
Mesaj ACK
RTP/RTCP
Mesaj BYE
Mesaj 200 OK

Fig. 1.9 Secvența de mesaje SIP
1. Se trimite un mesaj INVITE către serverul Proxy;
2. Serverul trimite mesaj 100 Trying înapoi către soli citantul apelului pentru a
opri o eventuală retransmisie a mesajului INVITE; serverul caută adresa
apelatului și trimite mesajul INVITE mai departe;
3. Apelatul trimite un mesaj 180 Ringing spre apelant; după ce acesta răspunde
la telefon, trimite mesaj 200 OK;
4. Se răspunde de către apelant cu un mesaj ACK și începe transferul de pachete
de voce RTP fără implicarea serverului, direct între terminale;
5. După ce unul din participanții la conversație închide apelul, se trimite un mesaj
BYE care primește răspuns mesaj 200 OK.

NECLASIFICAT

NECLASIFICAT
16 din 52
Mesajul INVITE are rolul de a iniția o conversație și este trimis de către
UAC către UAS.
Session Initiation Protocol (INVITE)
Request -Line: INVITE sip:3002@192.168.43.92 SIP/2.0
Message Header
Via: SIP/2.0/UDP 192.168.4 3.168:61919;branch=z9hG4bK -524287 -1–…
Max-Forwards: 70
Contact: <sip:3001@192.168.43.168:61919;rinstance=f77d8c51438bbd20>
To: <sip:3002@192.168.43.92>
From: <sip:3001@192.168.43.92>;tag=4e10b430
Call-ID: 97566NmYzZ ThmZTVkZDZjNmM3NjY2YzRmZjQ4ZDlhM2EwOTA
CSeq: 1 INVITE
Allow: OPTIONS, SUBSCRIBE, NOTIFY, INVITE, ACK, CANCEL, BYE, REFER,
INFO, MESSAGE
Content -Type: application/sdp
Supported: replaces
User -Agent: X -Lite release 5.5 .0 stamp 97566
Content -Length: 338
Mesaj INVITE

Mesajul 200 OK indic ă faptul c ă cererea a ajuns cu succes.
Session Initiation Protocol (200)
Status -Line: SIP/2.0 200 OK
Message Header
Via: SIP/2.0/UDP
192.168.43.168:61922;rport=61922;received=192.168.43.168;branch=z9hG4bKPj32642e670
7a74964ac0dffb6d49da906
Call-ID: 7db7cb0a -090c -42ae -858c -952b45c31448
From: <sip:52046831@192.168.43.168>;tag=09c5d9fc5fba4af6b70afae f6d09ea00
To: "user3001" <sip:3001@192.168.43.92>;tag=e975ebce -4697 -49ed -a087 –
8bb0b9d7ea03
CSeq: 19373 BYE
Server: FPBX -14.0.5.25(15.7.2)
Content -Length: 0
Mesaj OK

Mesajul ACK este trimis ca răspuns final în urma mesajului INVITE și
anunță că poate începe schimbul de mesaje de voce.
Session Initiation Protocol (ACK)
Request -Line: ACK sip:3002@192.168.43.92 SIP/2.0
Message Header
Via: SIP/2.0/UDP 192.168.43.168:61919;branch=z9hG4bK -524287 -1–…
Max-Forwards: 70
To: <sip:3002@192.168.43.92>;tag=z9hG4bK -524287 -1–6e7b677e33a7887b
From: <sip:3001@192.168.43.92>;tag=4e10b430
Call-ID: 97566NmYzZThmZTVkZDZjNmM3NjY2YzRmZjQ4ZDlhM2EwOTA
CSeq: 1 ACK
Content -Length: 0
Mesaj ACK

NECLASIFICAT

NECLASIFICAT
17 din 52
Mesajul BYE se trimite pentru a încheia o sesiune de oricare dintre
participanții la conversație; nu poate fi trimis de către serverul Proxy.
Session Initiation Protocol (BYE)
Request -Line: BYE sip:asterisk@192.168.43.92:5060 SIP/2.0
Message Header
Via: SIP/2.0/UDP 192.168.43.168:61922;rport ;branch=z9hG4bKPj32642e6707a7…
Max-Forwards: 70
From: <sip:5204683 1@192.168.43.168>;tag=09c5d9fc5fba4af6b70afaef6d09ea00
To: "user3001" <sip:3001@192.168.43.92>;tag=e975ebce -4697 -49ed -a087 -…
Call-ID: 7db7cb0a -090c -42ae -858c -952b45c31448
CSeq: 19373 BYE
User -Agent: Blink 3.2.0 (Windows)
Content -Length: 0
Mesaj BYE

Mesajele de răspuns ale SIP sunt de șase tipuri, dintre care primele cinci
au fost împrumutate de la HTTP și sunt codate astfel:
Codul Descriere
1xx Răspuns informațional sau provizoriu despre starea apelului, de
obicei între terminale, cu excepția 100 Trying care trece și prin
serverul Proxy
2xx Succes, cererea a fost acceptată
3xx Redirecționare, trimise d e obicei de serverul Redirect ca răspuns
pentru mesajul INVITE
4xx Eroare din partea clientului, cererea nu a fost îndeplinită, existând
unele erori identificate de UAC
5xx Eroare din partea serverului, cererea nu poate fi procesată de către
server din cauza unor erori
6xx Eroare global ă, serverul știe că cererea va eșua indiferent unde ar
trimite -o, așa că nu o mai trimite nicăieri

1.3.3 Header SIP
Headerul SIP este structurat într -o secvența de câmpu ri ce cuprind mesaje
ca: To, Via, From, Call -ID, Subject, Contact, Content -Length etc.
VERSIUNE
FLOW LABEL
ADRESA SURSĂ
LUNGIME PAYLOAD
HOP LIMIT
TIPUL DE
PAYLOAD
ADRESA DESTINAȚIE4 biți 12 biți 16 biți

Fig. 1.10 Header SIP

NECLASIFICAT

NECLASIFICAT
18 din 52
Headerele sunt impartite in functie de utilizarea lor in urmatoarele
categorii:
• cerere si r ăspuns;
• doar cerere;
• doar r ăspuns;
• mesaj.

1.4 Real -Time Transport Protocol
RTP este folosit ca o combinație de două componente:
• RTP Data Transfer Protocol: pentru transportul datelor în timp real;
• RTP Control Protocol: monitorizează statisticile transmisiei și evaluează
QoS.
1.4.1 RTP Data Transfer Protocol
RTP este un protocol ce furnizează transportul datelor (audio, video, date
de simulare) end -to-end în timp real, independent de protocoalele de nivel
inferior. RTP nu asigură totuși nici un mecanism de QoS pentru o transmisie
sigură și nu garantează o livr are la timp, această sarcină căzând pe protocoalele
de nivel inferior (ex: UDP), în timp real însemnând că este proiectat pentru a
transporta conținut cu proprietăți în timp real.
RTP împarte sesiunile în funcție de tipul de date și le transmite utili zând
porturi UDP diferite și/sau adrese multicast și permite participanților să aleagă în
ce sesiune să se alăture, de exemplu o conferința audio -video folosește două
porturi diferite instantand astfel două sesuni, astfel încât un participant poate să
se alăture doar sesiunii audio sau doar celei video.
1.4.2 Mixerul si translatorul
SSRC 1
SSRC 2
SSRC 3
Mixer
DestinatarZonă cu bandă
mai lată
Zonă cu bandă
mai îngustă

Fig. 1.11 Mixerul RTP
Mixerul este un sistem intermediar care recepționează pachetele RTP de la
una sau mai multe surse, modifică formatul datelor când este nevoie, le combină
într-o anumită manieră și trimite mai departe noile pachete . În cazul real în care
participanții nu au acceași lățime de bandă și astfel datele de voce nu ajung în
același timp la destinatar se folosește mixerul. Mixerul esteAcesta este plasat
aproape de zona cu lățimea de bandă cea mai îngustă și resincronizeaza fluxurile
audio având o întârziere constanța și egală cu cea generată de expeditor, îmbină
fluxurile într -unul singur , modifică codarea audio într -una cu lățime de bandă

NECLASIFICAT

NECLASIFICAT
19 din 52
inferioară și transmite aceste pachete nou create pe canalul cu lățimea de bandă
mică. Mixerele au și alte aplicații, cum ar fi compunerea fluxurilor video de la
diferite surse într -unul singur pentru a crea un singur flux cu toate (de exemplu
pune persoanele individuale în aceeași scenă pentru a crea o imagine de grup).
Translatorul este un alt sistem intermediar, dar care nu mai modifică
SSRC -ul. Acestea pot face conversia datelor fără mixare, pot repl ica de la
multicast la unicast sau realiza filtrări la nivelul firewall -ului. O altă problemă
comună ce poate apărea este transmisia în spatele unui firewall care nu ar permite
anumitor pachete să treacă de el. Din acest motiv se folosesc translatoare de o
parte și de alta a firewall -ului. Astfel, translatorul exterior trimite pachetele
recepționate printr -o conexiune sigură către translatorul din interiorul firewall –
ului.
Sursa
DestinatarTranslator Translator
Firewall

Fig. 1.12 Translatorul RTP
1.4.3 Header RTP
Biți
0-1
2
16-31
3
4-7
8
9-15
Extensie CC Numarul Secvenței
32
96
96+32*
CCVersiune Padding Marker Tip Payload
0
64Timestamp
Contributing source (CSRC ) identifierSynchronization source (SSRC ) identifier
Payload

Fig. 1.13 Header RTP
Câmpul versiune indică versiunea RTP, conform RFC 1889 este versiunea
2.
Câmpul padding, dacă este setat (are valoarea 1) arată că pachetul conține
unul sau mai mulți octeți suplimentari care nu reprezintă payload , iar numărul de
octeți suplimentari este anunțat în ultimul octet de date .
Câmpul extension, dacă este setat arată că headerul este urmat de încă o
extensie.
Câmpul CC (CSRC Count) specifică numărul de CSRC ce se va înmulți cu
32 biți și se adaugă în câmpul de payload.

NECLASIFICAT

NECLASIFICAT
20 din 52
Câmpul marker este folosit de aplicații specifice pentru a arată că datele au
o anumită însemnătate pentru ele.
Câmpul tip de payload arată formatul datelor de payload (codarea) ce vor
fi folosite de aplicație.
Numărul de secvența se incrementează cu 1 d e fiecare data când se
transmite un pachet RTP. Valoarea inițială a acestui câmp este aleatoare din
motive de securitate.
Câmpul timestamp indică momentul de eșantionare al primului octet din
pachetul de date RTP. Acesta trebuie să fie derivat dintr -o frecvență de clock care
crește monoton și liniar în timp pentru a permite sincronizarea și calculele
bruiajului. Valoarea inițială este tot aleatoare.
Câmpul SSRC identifică sursă de sincronizare. Acest identificator este ales
aleator, astfel încât fiecare s esiune RTP să poată fi unic identificată.
Câmpul CSRC specifică sursele care contribuie la datele utile din pachet.
1.4.4 RTP Control Protocol – RTCP
RTCP este un protocol asociat care se bazează pe transmiterea periodică a
pachetelor de control către to ți participanții la sesiune pentru a furniza informații
cu privire la calitatea conversației. Aceste îndeplinește patru funcții:
• furnizează informații cu privire la calitatea conversației;
• transportă un identificator de nivel transport pentru o sursă RTP , denumit
CNAME, care spre desebire de SSRC rămâne neschimbat pe timpul
sesiunii și identifică participantul.
• deoarece fiecare participant trimite pachețele sale de control celorlalți
participanți, fiecare poate află astfel numărul lor; acest număr este f olosit
pentru a află rată de trimitere a pachetelor a fiecărui participant, furnizând
statistici despre frecvență de transmitere a fiecăruia;
• opțional, ultima funcție este de a transmite informații minime despre
sesiune, cum ar fi numele participantului c e va fi afișat în interfață
utilizatorului.
RTCP este format din cinci tipuri de pachete:
• SR (sender report): transmisia și recepția de statistici de la participanții
activi;
• RR (receiver report): recepția de statistici de către participanții ina ctivi;
• SDES (source description): informații suplimentare despre entitatea sursă,
incluzând CNAME;
• BYE: indică încheierea sesiunii unui participant;
• APP: funcții specifice aplicației.

NECLASIFICAT

NECLASIFICAT
21 din 52
2. Asigurarea securit ății transmisiei de voce

2.1 Aspecte privind securitatea comunica țiilor
Odată cu evoluția tehnologică și cu apariția Internetului, majoritatea
instituțiilor publice și companiilor private au aderat la serviciile și avantajele
oferite de mediul online și deci au început să transfere sau să st ocheze date
importante într -un mediu cu resurse comune. Astfel a apărut necesitatea
securizării acestor date.
Criptologia este știința scrierilor secrete, având drept obiect apărarea
secretului datelor și informațiilor confidențiale cu ajutorul sistemelor
criptografice.[2]
Criptologia este formată din două ramuri:
1. Criptografia: latura defensivă, se ocupă cu c rearea de sisteme
criptografice;
2. Criptanaliza: latura ofensivă, se ocupă cu spargerea sistemelor
Un sistem criptografic este format din trei elemente de bază: mesajul clar (P),
mesajul criptat (C) și cheia (K), unde C=functie(P,K).
Tehnicile de bază utilizate în criptare sunt confuzia și difuzia. Confuzia
reprezintă ascunderea relațiilor dintre P,C,K și se poate realiză prin substituție.
Difuzia presupune împrăștierea redundanței mesajului clar în mesajul criptat și
astfel uniformizarea numărului de a pariții a caracterelor. Această se poate realiză
prin permutare.
Serviciile de securitate ce trebuie furnizate de un sistem de securitate
complet sunt:
• confidențialitatea: informația este inteligibilă doar de entitățile care au
acest drept;
• autentificar ea: entitatea este cine pretinde a fi;
• integritatea: mesajul nu a fost modificat în drumul lui de la expeditor la
destinatar; prin modificare înțelegem: ștergere/adăugare/duplicare/
rearanjare/înlocuire;
• nerepudierea: o entitate care a întreprins sau nu o acțiune nu poate nega
acțiunea sau lipsa acesteia;
• disponibilitatea: mesajul/serviciul să fie oferit în timp util;
• controlul accesului: o entitate va avea acces doar la resursele pentru care
are acest drept.

Pentru asigurarea confidențialității se uti lizează algoritmi criptografici.
Din punct de vedere al procesării datelor, sistemele criptografice se împart
în:
• cifrare flux: criptează la nivel de octet, iar în general asigură doar confuzie;
cele mai cunoscute cifruri flux sunt: RC4, SEAL;

NECLASIFICAT

NECLASIFICAT
22 din 52
• cifrare bloc: împarte textul în blocuri egale și criptează la nivel de bloc,
asigură atât confuzie cât și difuzi e; exemple cu noscute sunt: DES, 3DES,
AES .

Din punct de vedere al distribuirii cheilor se deosebesc:
• algoritmi cu cheie simetrică: se folosește aceeași cheie și la criptare și la
decriptare;
– avantajul principal constă în rapiditatea procesării operațiilor;
– dezava ntajul vine din distribuția cheii ce trebuie transmisă pe un
canal sigur, dar și din greutatea implementarii mecanismului de
semnătura digitală;
Alice
Bob
Cheia
Mesaj
criptat
Cheia
Mesaj
criptatMesaj
clar
Cheia

Fig. 2.1 Algoritm cu cheie simetric ă
• algoritmi cu cheie nesimetrica (sau cu cheie publică): la criptare se
folosește cheia publică, disponibilă tuturor, astfel încât oricine poate cripta
pentru o entitate, dar numai acea entitate poate decripta, fiind singura care
deține cheia pentru decript are;
– avantajele vin din ușurința distribuirii cheilor, care nu trebuie
realizată pe un canal sigur și doar cheia publică este necesară pentru
criptare, dar și din ușurința implementării mecanismului de
semnătură digitală: Alice poate cripta folosind cheia ei privată, iar la
recepție se poate decripta cu cheia publică, astfel se verifică
autenticitatea mesajului;
– dezavantajul constă în procesarea lentă.
Cheia _priv
Alice
Alice
Cheia _priv
Bob
Bob
Cheia _pub
Bob
Cheia _pub
Bob
Mesaj
criptatMesaj
clar
Cheia _pub
Alice
Cheia _priv
Bob
Mesaj
criptatMesaj
clar

Fig. 2.2 Algoritm cu cheie ne simetrică

NECLASIFICAT

NECLASIFICAT
23 din 52
În practică, pentru a profita de rapiditatea algoritmilor simetrici și de
securitatea crescută a celor nesimetrici, se transmit datele criptate cu algoritm
simetric, iar cheia pentru decriptarea lor se transmite folosind alg oritm
nesimetric.
Pentru a asigura integritatea datelor se poate apela la funcțiile hash,
semnăturile digitale sau certificatele digitale.
Funcțiile hash sunt algoritmi matematici care, aplicați unui mesaj, duc la
obținerea unei valori unice de dimensiune fixă, indiferent de dimensiunea
mesajului; astfel dacă mesajul suferă modificări pe timpul transmisiei, la recepție
când se va aplica din nou funcția has h va rezulta o altă valoare. Algoritmii hash
cei mai cunoscuți sunt: MD5 (Message Digest) și SHA -256 (Secure Hash
Algorithm).
Mesaj (lungime arbitrară )
Funcția Hash
Valoare hash (lungime
fixă)

Fig. 2.3 Funcția Hash
Semnăturile digitale sunt o modalitate prin care se poate demonstra
autenticitatea originii unui mes aj dar și verificarea integrită ții acestuia. De
asemenea, semnăturile digitale asigură non -repudierea mesajelor transmise sau a
serviciilor de rețea folosite. Semnăturile digitale se realizează prin tehnici de
criptare asimetrică. Ele se realizează cu ajutorul cheii private și sunt verificate
la recepție cu ajutorul cheii publice. Există numeroși algoritmi pentru
generarea semnăturilor digitale, dintr e care cel mai utilizat este RSA. [3]
Certificatele digitale asigură faptul că o anumită cheie publică de criptare
este autentică. Acestea sunt emise și semnate de o autoritate de certificare (CA –
Certificate Authority) care se comportă ca o parte terță ș i garantează identitatea
entității căreia îi aparține certificatul .
Infrastructura cu chei publice (PKI -Public Key Infrastructure) este
mecanismul prin care o cheie publică este „legată” de un anumit utilizator printr –
un certificat digital de identificare . Sistemul PKI corelează informațiile despre
utilizator cu o anumită cheie publică, astfel încât cheile publice să poată fi
utilizate că o formă de identificare. Sistemul PKI se ocupă de crearea, distribuția,
stocarea centralizată, revocarea și act ualizarea certificatelor digitaleprin
intermediul cărora se asigură servicii de bază de securitate precum autentificarea
utilizatorilor, confidențialitatea și integritatea informațiilor, ajutând de
asemenea la implementarea serviciului de nerepudiere . [3]

NECLASIFICAT

NECLASIFICAT
24 din 52
Standardul ITU -T X.509 este cel mai întâlnit standard al PKI și are
urma torele elemente în compunerea sa :
• versiunea certificatului;
• numărul de serie:
• numele CA;
• numele proprietarului certificatului;
• perioada de valabilitate a certifica tului;
• informații despre cheia publică (cheia propriu -zisă și algoritmul);
• algoritmul utilizat la semnarea certificatului;
• semnătura;
• alte câmpuri opționale.

2.2 Vulnerabilități într -un sistem de comunicații VoIP
Pe lângă componentele de infrastructură de rețea VoIP (server, softphone,
telefoane IP), VoIP poate fi privit ca o aplicație supusă vulnerabilităților. Prin
urmare, asigurarea unui sistem securizat cuprinde atât securizarea domeniului de
rețea (network dom ain) cât și a aplicației utilizatorului (host application domain).
Ambele transferuri de date și voce pot fi realizate securizat cu ajutorul
protocoalelor de criptare precum: Security Protocol Internet (IPsec), Secure
Socket Layer (SSL) sau Transport L ayer Security (TLS), dar și Secure Real -time
Transport Protocol (SRTP). Criptarea și decriptarea introduc latență / jitter .
Există diferite tipuri de amenințări, printre care ar fi:
• Denial of Service (DoS): refuzul de a accesa serviciul VoIP unor utilizatori
care au acest drept; se poate realiza prin deconectare fizică, închiderea
alimentării, inundații de trafic (flooding);
• Eavesdropping („trage cu urechea” ) și accesul neautorizat : se referă la o
situație în care o persoană poate asculta ilegal co nversația dintre două
entități;
• Amenințări de acces fizic : accesul fizic la serviciile VoIP ale unor entități
neautorizate;
• Abuzul de serviciu : utilizare necorespunzătoare a serviciilor VoIP de către
utilizatori (în special în domeniul comercial), de exe mplu fraudarea
taxelor (toll fraud) – utilizarea excesivă a serviciului, ocuparea lățimii de
bandă și creșterea facturii;

Se disting următoarele tipuri de atacuri dintre cele mai cunoscute :
1. Denial of Service
DoS este cu siguranță cea mai întâlnită formă de atac, cu peste 50% din
totalul tuturor tipurilor de atacuri realizate asupra VoIP . Atacatorii pot abuza de
protocolul de semnalizare. O modalitate ar fi ca atacatorii să creeze un număr
mare de solicitări (Request) de inițializare a apelurilor care con sumă puterea de
procesare a serverului proxy sau a terminalului. Altă modalitate este anularea

NECLASIFICAT

NECLASIFICAT
25 din 52
apelurile prin trimiterea de mesaje CANCEL, GOODBYE sau PORT
UNRECHABLE. Atacatorii pot să inunde componentele VoIP cu un număr mare
de pachete RTP. Astfel țint a este forțată să renunțe (drop) la pachete RTP și
calitatea vocii se va degrada.
2. Eavesdropping și accesul neautorizat
În telefonia VoIP, oportunitățile de interceptare au crescut semnificativ din
cauza numărului mare de noduri prin care trece pachetul într -o conversație de la
un utilizator la altul. Dacă unul din noduri este compromis, atacatorul poate avea
acces la trafi c și cu ajutorul unor aplicații existente pe piață (ex: Vomit – Voice
over Misconfigured Internet Telephones) pot reda conținutul într -un format
audio.
O mulțime de gateway -uri și switch -uri sunt livrate cu parole implicite bine
cunoscute. Dacă aceste p arole sunt lăsate nemodificate, atacatorii le pot sparge
cu usurintă. Unele comutatoare utilizează încă telnet pentru acces de la distanță
(prin telnet datele sunt trimise în clar). Unele echipamente ar putea avea interfețe
pentru server web pentru acces d e la distanță. Atacatorul ar putea prelua traficul
HTTP în rețeaua locală pentru a fura informația. Atacatorii pot utiliza otrăvirea
ARP cache pentru a transmite tot traficul prin mașinile lor și a capta traficul în
rețea.
SOLUȚIE : Criptarea pachetelor de mesaje vocale. IPSec poate fi implementat
pentru a cripta întregul pachet. SRTP poate oferi confidențialitate, autentificarea
mesajelor și protecția pentru conținut audio și video. Pentru a proteja mai bine
gateway -urile și switch -urile, ar trebui să se folosească SSH în loc de telnet pentru
acces de la distanță. Dacă este furnizată o interfață web, HTTPS ar trebui înlocui
HTTP. În plus, toate parolele implicite ar trebui să fie modificate înainte ca
sistemul să fie conectat la rețea. Actualele măsuri de detectare a intruziunilor ar
putea detecta otrăvirea ARP și alte tipuri de atacuri.
3. Vishing (VoIP Phising)
Vishing se referă la utilizarea tehnicilor de „inginerie sociala” de către
atacatori, folosind sistemul de telef onie, în încercarea de a obține informații
confidențiale (despre cardul de credit de exemplu). Atacul de vishing presupune
ca atacatorul să manipuleze victima, obținând în prealabil informații despre ea
(multe putând fi obținute ușor din mediul online) și astfel părând de încredere.
Dacă atacatorul obține acces neautorizat la un computer conectat la internet, care
are instalat un server PBX pe el (c um este cazul Asterisk) care are capabilitatea
de a trimite mail -uri și mesaje vocale, poate astfel să distribuie mail -uri false prin
care ce re victimei informații confidențiale sau poate suna și cere acele informații
la telefon.
4. Caller ID spoofing
Identificarea apelantului este un serviciu furnizat de majoritatea
companiilor de telefonie care le spune utilizatorilor numărul de telefon al unui
apel primit. Pentru VoIP, spoofing -ul ID -ului apelantului este mai ușor de realizat

NECLASIFICAT

NECLASIFICAT
26 din 52
decât în cazul telefonie i tradiționale. Să presupunem că Alice a trimis un mesaj
"INVITE" către Bob:

Request -Line: INVITE sip: alice @192.168.43.92 SIP/2.0
Via: SIP/2.0/UDP 192.168.43.168:61919;branch=z9hG4bK -524287 -1–…
Contact: <sip: alice @192.168.43.168:61919;rinstance=f77d8c51438bbd20>
To: “Bob” <sip: bob@192.168.43.92>
From : “Alice ” <sip: alice@192.168.43.92 >;tag=4e10b430
Call-ID: 97566NmYzZThmZTVkZDZjNmM3NjY2YzRmZjQ4ZDlhM2EwOTA
…

Serviciul de identificare a apelantului se bazează pe antetul "From" pentru
a furniza identitatea. În cazul în care atacatorul poate controla serverul de
gateway, el poate schimba an tetul "From" la orice vrea.
Registration hijacking se intamplă atunci când un atacator înlocuiește
înregistrarea legitimă a victimei cu adresa sa. Atacul face ca toate apelurile
primite de către victimă să fie trimise la adresa atacatorului.

Request -Line: REGIST ER sip:alice@domeniu1.com SIP/2.0
Via: SIP/2.0/UDP 192.168.2 00.100:5060;rport;branch=z9hG4bKPj551ee638 -a5d7 -4ed4 …
From: “Alice” <sip: alice @domeniu1.com >;tag=e975ebce -4697 -49ed -a087 -8bb0b9d7ea03
To: “Alice” <sip: alice @domeniu1.com >
Contact: “Alice” < sip:alice@192.168.100.100:5060 >; expire=60
Content -Type: application/sdp
Content -Length: 341

În acest mesaj, câmpurile "To" și "From" utilizează informații despre
același utilizator. În acest de exemplu, Alice are adresa IP 19 2.168.100.100 , iar
portul este 5060 . Informația "expires = 60" inseamnă că înregistrarea va expira în
60 de secunde. O altă solicitare REGISTER trebuie trimisă pentru a actualiza
înregistrarea utilizatorului. Atacatorul poate construi un mesaj REGISTER
similar modificând "contact" în antet și schimbând adresa IP. Pen tru a opri
cererile de înregistrare legitime ale victimei, atacatorul poate folosi atac DoS
pentru a dezactiva victima. De asemenea, atacatorul poate trimite solicitări la o
frecvență mai mare decât victima.
SOLUȚIE : Nu există nici o modalitate eficientă de a împiedica caller ID
spoofing/registration hijacking. Cea mai bună soluție pană acum este să nu ai
încredere în identitatea apelantului. Schemele de autentificare mai puternice sunt
modalități de protecție pentru aceste tipuri de atacur i, dar nu garantează siguranță.
Problemele create de Firewall și Network Address Translation (NAT)
Firewall -urile functionează prin blocarea traficului considerat a fi intruziv,
invaziv sau rău intenționat. Acesta oferă o locație centrală pentru implementarea
politicilor de securitate. Traficul dinamic al porturilor și procedurile de apelare
din protocolul H.323 și SIP fac firewall -urile tradiționale inoperabile.

NECLASIFICAT

NECLASIFICAT
27 din 52
NAT este un mecanism prin care adresele IP interne să fie mai puțin
accesibile în spațiul public, a cestea fiind translatate într -o adresă globală de
exterior, contribuind astfel indirect la securitatea rețelei. În cazul VoIP acest lucru
creează o problemă: când Alice încearcă să -l sune pe Bob al cărui adresă IP
internă este de exemplu 192.168.1.3, ea cu noaște doar adresa IP publică a lui Bob.
O soluție ar fi atribuirea de porturi static fiecărui IP; alocarea de porturi dinamică
nu poate funcționa cu SIP sau H.323.
SOLUȚIE : folosirea ALG -urilor (gateway -uri de nivel aplicație). Un ALG este
software încor porat pe un firewall sau NAT care permite configurația dinamică
(poate înțelege H.323 sau SIP), astfel încât să poată deschide porturile dinamic
oricând e necesar.

Măsuri împotriva atacurilor asupra VoIP:
A. Dezvoltarea unei arhitecturi adecvate rețele i:
– Separarea vocii și a datelor în rețele diferite dacă este posibil, din cauza
cerințelor diferite de QoS;
– Utilizarea unor metode cât mai puternice de control al accesului și
autentificare pentru echipamentele critice.;
– Utilizarea SSH pentru a cces de la distanță;
– Echipamentele fizice importante să fie plasate în spații cu acces
restricționat, pentru a evită accesul fizic atacatorilor.
B. Autentificare și criptare: folosind SRTP, TLS, IPSec;
C. VoIP -ready firewall -uri și alte mecanisme de protecție (de detecție a
intruziunilor);
D. Evitarea utilizării de Softphone -uri:
– Sunt o mulțime de viermi, viruși și alte programe rău intenționate pe PC –
urile conectate la Internet.
E. Back -up pentru sistemul de alimentare;
F. Updatarea sistemului cu ultimele patch -uri apărute;
G. Folosirea de Antivirus.

2.2 TLS
Transport Layer Security este un protocol criptografic al cărui obiectiv
principal este de a asigura confidențialitate și integritatea datelor între două
entități care comunică. Criptarea este simetrică, iar cheia este unic generatapentru
fiecare sesiune de comunicare și se bazea ză pe o negociere comună și secretă la
începutul sesiunii, cunoscută ca TLS Handsake . TLS este succesorul protocolului
SSL ( Secure Sockets Layer ), între TLS 1.0 și SSL 3.0 nefiind schimbări majore,
însă suficient încât acestea să nu poată interopera. TLS 1 .0 a apărut în anul 1999
și a fost standardizat de către IETF ( Internet Engineering Task Force ), în prezent
ajungându -se până la versiunea TLS 3.0 apărută în 2018. SSL 1.0 nu a fost lansat

NECLASIFICAT

NECLASIFICAT
28 din 52
niciodată, versiunea 2.0 a fost lansată, dar cu deficiențe majore, acestea fiind
rezolvate de versiunea 3.
2.2.1 Caracteristici
Caracteristicile Protocolului TLS sunt:
• securitatea criptografică: stabilirea unei conexiuni sigure;
• interoperabilitate: programatorii să dezvolte aplicații utilizând TLS care
apoi să poată schi mba cu success parametrii criptografici fără a cunoaște
codul celuilalt;
• extensibilitate: prevenirea nevoii de a crea un nou protocol (riscând apariția
unor noi vulnerabilități) și evitarea nevoii de a implementa o nouă librărie
întreagă de securitate;
• eficiența: operațiile criptografice au tendința să consume multe resurse,
mai ales cele cu cheie publică; TLS are incorporată o sesiune opțională care
reduce numărul de legături ce trebuiesc să fie stabilite.

Protocolul TLS este conceput pentru a furniza tr ei servicii esențiale:
• criptarea: un mecanism care ascunde ce este trimis de la un utilizator la
altul;
• autentificare: un mecanism de verificare a valabilității entităților sau că un
document/mesaj este autentic;
• integritate: un mecanism care detectează manipularea mesajelor și
falsificarea acestora.
TLS este un protocol aparținând nivelului sesiune, iar arhitectura acestuia
este formată din mai multe componente, astfel TLS Record Protocol trimite date
către alte 4 subprotocoale superioare, dup ă cum se poate observa în figura:

Nivelul aplicație
Nivelul sesiune (TLS)
Nivelul transportNivelul prezentare
Nivelul rețea
Nivelul legătură de date
Nivelul Fizic
TLS RecordFragmentareApplication
Alert
ChangeCipherSpec
HandshakeSubprotocoale
Integritate
Autentificare
Criptare

Fig. 2.4 Poziția protocolului TLS în stiva ISO -OSI

NECLASIFICAT

NECLASIFICAT
29 din 52
2.2.2 TLS Record Protocol
TLS Record Protocol este un protocol care se ocupă cu încapsularea datelor
de nivel superior, fiind responsabil pentru identificarea tipului de mesaj
(handshake, de alertare sau de date, cu ajutorul câmpului Content Type) și de
securizarea și verificarea integrității fiecăru i mesaj. Acesta primește mesajele de
la nivelul aplicație, fragmentează datele (dimensiunea maximă fiind de 16 KO),
opțional se face și compresia (trebuie să fie fără pierderi și nu poate mări lungimea
conținutului cu mai mult de 1024 octeți), aplică un MA C (Message
Authentication Code – etichetă de autentificare), criptează și transmite rezultatul
nivelului inferior. La recepție are loc procesul invers: decriptare, verificare,
decompresie, reasamblare, apoi datele sunt trimise nivelului superior.

OCTET +0 +1 +2 +3
0
1…4
5…n
n…m
m…pTipul
(Content Type )
Padding (doar pentru cifrarile de tip bloc )MACPayloadVersiune Lungime

Fig. 2.5 Structura TLS Record
Dacă protocolul TLS primește un tip de înregistrare (record) pe care nu o
înțelege, aceasta va fi ignorată. Înregistrările conțin informații despre tipul și
lungimea pachetelor, iar aceste informații nu sunt criptate.

Date
Fragmentare
Compresie
Adăugare MAC
Adăugare antet
Criptare

Fig. 2.6 Încapsularea datelor
Starea conexiunii (Connection States) specifică:
• algoritmul de compresie;
• algoritmul MAC: utilizat pentru autentificarea mesajelor; include
mărimea hash -ului.

NECLASIFICAT

NECLASIFICAT
30 din 52
• algoritmul de criptare: include dimensiunea cheii acestui algoritm și cât de
mult este aceasta secretă, daca este folosit un cifru bloc sau flux,
dimensiunea acestui cifru si dacă acesta este considerat „de export”;
În plus, pentru acești algoritmi sunt cunoscuti si urmatorii parametrii:
• secret MAC;
• cheile pentru criptare bloc și IVs in ambele direcții de citire si scriere;
• numărul aleator generat de către client;
• numărul a leator generat de către server.
2.2.3 TLS Handshake Protocol
TLS Handshake Protocol se ocupă cu generarea parametrilor criptografici.
La începutul conversației dintre Client și Server se stabilesc: versiunea de TLS,
algoritmii criptografici, opțional se realizează autentificarea. Fiecare pas necesită
un drum de la client la server, astfel timpul total de transmisie crește.
SYN
ACK
Client Key Exchange
Change Cipher Spec
FinishedClient Hello
Application DataSYN ACK
Server Hello
Certificate
Server Hello Done
Change Cipher Spec
Finished
Application DataEXPEDITOR DESTINATAR

Fig. 2.7 Etapele stabilirii unei legături sigur e cu TLS
Principiul de funcționare este următorul: clientul trimite un mesaj Client
Hello către server, iar acesta trebuie să îi răspundă cu Server Hello, altfel va fi
primit un mesaj de eroare fatală și conexiunea se va întrerupe. Cele două entități
stabilesc parametrii criptografici și generează valorile aleatore Random care au
32 de octeți din care 4 reprezintă data curentă. Urmează trimiterea certificatului
de către server alături de mesajul Server Key Exchange; în acest pas, opțional
serverul poat e cere un certificat din partea clientului. Serverul trimite un mesaj
Server Hello Done care arată că s -a încheiat etapa mesajelor de salut. Dacă

NECLASIFICAT

NECLASIFICAT
31 din 52
serverul a cerut certificat din partea clientului, acum așteaptă răspunsul cu
certificatul. Dacă clientul este mulțumit cu certificatul primit, acesta inițiază
schimbul de chei RSA ( Rivest -Shamir -Adleman ) sau DH ( Diffie -Hellman )
folosite pentru stabilirea cheii simetrice, astfel trimite un mesaj Client Key
Exchange și unul Change Cipher Spec, urmate imediat de un mesaj Finished.
Serverul procesează cheia primită, verifică integritatea mesajelor cu ajutorul
MAC -ului și returnează mesajul criptat Change Cipher Spec urmat de Finished
către client care decriptează mesajul cu ajutorul cheii simetrice negociate și
verifi că MAC -ul. În acest moment handshake -ul se încheie, putând începe
schimbul de date a nivelului aplicație.
Mesajul Client Hello este trimis de client atunci când se conectează pentru
prima dată la server. Conține lungimea, versiunea, valoarea Random, câmpul
Session ID și câmpul Cipher Suites cu opțiunile criptografice disponibile în
ordinea preferințelor.
Câmpul Session ID al mesajului Client Hello arată dacă a mai fost stabilită
o sesiune pentru acest server în trecut, iar dacă acest câmp nu este gol, atun ci
serverul va căuta în memoria cache pentru a restabili conexiunea. Acest câmp nu
este criptat, ceea ce poate creea o breșă de securitate.
TLSv1.2 Record Layer: Handshake Protocol: Client Hello
Content Type: Handshake (22)
Version: TLS 1.0 (0x0301)
Length: 512
Handshake Protocol: Client Hello
Handshake Type: Client Hello (1)
Length: 508
Version: TLS 1.2 (0x0303)
Rando m: 26562ab81357bcca7fb1b25286c2696ee0b5eda01cce4742…
Session ID Length: 32
Session ID: 6d1efbecfad5c75bba46cffe7a1227a0a674c84ac93e2c5f…
Cipher Suites Length: 34
Cipher Suites (17 suites)
Ciph er Suite: Reserved (GREASE) (0x3a3a)
Cipher Suite: TLS_AES_128_GCM_SHA256 (0x1301)
Cipher Suite: TLS_AES_256_GCM_SHA384 (0x1302)
Cipher Suite: TLS_CHACHA20_POLY1305_SHA256 (0x1303)
Mesaj Client Hello

Mesajul Server Hello este asemănător cu cel al clientului, fiind trimis când
s-a reușit găsirea unui set de algoritmi acceptați de ambele entități.
Mesajul Hello Request poate fi trimis de către server și solicită
renegocierea unei sesiuni, pe baza ID -ului memora t în cadrul unei sesiuni
anterioare.

NECLASIFICAT

NECLASIFICAT
32 din 52
Mesajul Certificate se trimite atunci când cheia de schimb nu este
anonimă, se folosește pentru autentificare.
TLSv1.2 Record Layer: Handshake Protocol: Server Hello
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 318
Handshake Protocol: Server Hello
Handshake Type: Server Hello (2)
Length: 314
Version: TLS 1.2 (0x0303)
Random: 5c96a0b49e8aea5580f270672513b 4f7907e50661b7f9292…
Session ID Length: 0
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
Mesaj Server Hello

Mesajul Server Key Exchange este trimis doar dacă certificatul nu conține
suficiente date pentru a permite clientu lui să realizeze schimbul cheii secrete.
Mesajul Client Key Exchange este trimis de client după certificat (dacă
serverul i -a solicitat unul) și indică finalizarea schimbului de chei.
Mesajul Server Hello Done indică faptul că s -a încheiat etapă salutulu i și
poate începe etapa schimbului de chei.
Transport Layer Security
TLSv1.2 Record Layer: Handshake Protocol: Server Key Exchange
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 333
Handshake Protocol: Server Key Exchange
Handshake Type: Server Key Exchange (12)
Length: 329
EC Diffie -Hellman Server Params
TLSv1.2 Record Layer: Handshake Protocol: Server Hello Done
Content Type: H andshake (22)
Version: TLS 1.2 (0x0303)
Length: 4
Handshake Protocol: Server Hello Done
Mesaje Certificate, Server Key Exchange, Server Hello Done

TLSv1.2 Record Layer: Handshake Protocol: Client Key Exchange
Content Type: Hand shake (22)
Version: TLS 1.2 (0x0303)
Length: 70
Handshake Protocol: Client Key Exchange
Handshake Type: Client Key Exchange (16)
Length: 66
EC Diffie -Hellman Client Params
Mesaj Client Key Exchange

NECLASIFICAT

NECLASIFICAT
33 din 52
2.2.4 TLS Change Cipher Spec Protocol
Protocolul CCS este folosit pentru a schimba criptarea folosită de entitățile
care comunică. Este folosit în cadrul procesului de handshake. Protocolul constă
într-un singur mesaj care este criptat și comprimat prin care îi spune
interlocutorului că expeditorul dorește să modifice setul de chei, care sunt apoi
create din informațiile schimbate prin procesul de handshake.
TLSv1.3 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
Content Type: Change Cipher Spec (20)
Version: TLS 1.2 (0x0303)
Length: 1
Change Cipher Spec Message
Mesaj Change Cipher Spec
2.2.5 TLS Alert Protocol
Manipularea erorilor se face cu ajutorul TLS Alert Protocol astfel: când o
entitate detectează o eroare această trimite un mesaj celeila lte entități. Acest
mesaj este de două tipuri: fatal (iar conexiunea este întreruptă imediat,
identificatorii sesiunii sunt uitați și reconectarea devine imposibilă) și
avertisment. Terminarea unei conexiuni este anunțată la ambele capete, oricare
dintre a cestea putând solicita încheierea, iar mesajele ce se trimit după notificarea
de închidere sunt ignorate.
Câteva exemple de mesaje de alertare sunt prezentate mai jos:
• close_notify – destinatarul este anunțat că expeditorul nu va mai trimite alte
mesaje în cadrul acestei conexiuni;
• unexpected_message – un mesaj nepotrivit a fost recepționat; eroare fatală;
• bad_record_mac – o înregistrare recepționată are MAC -ul eronat; eroare
fatală;
• handshake_failure – indică faptul că expeditorul nu a fost capabil să
negocieze cu success parametrii de securitate cu opțiunile disponibile;
eroare fatală;
• user_canceled – handshake -ul este anulat, această alertare ar trebui să fie
urmată de un mesaj close_notify ; de obicei este un avertisment;
• no_renegotiation – avertisment.

Versiunile TLS 1.1, 1.2, 1.3
TLS 1.1 aduce câteva mici îmbunătățiri pe partea de securitate, în special
pentru protecția împotrivă atacurilor CBC (Cipher Block Chaining).
TLS 1.2 aduce îmbunătățiri pe partea de flexibilitate, mai ales pentru
negocierea de algoritmi criptografici.
TLS 1.3 vine cu următoarele diferențe, dar nu exclusiv, față de TLS 1.2:
• au fost eliminate suitele Static RSA și Diffie -Hellman ; toate cheile -publice
bazate pe mecanisme de schimbare a cheii oferă acum forward secrecy (o

NECLASIFICAT

NECLASIFICAT
34 din 52
caracteristică ce oferă siguranța c ă nu vor fi compromise cheile sesiunii
chiar dacă cheia privată a serverului devine compromisă);
• toate mesajele de handshake după ServerHello sunt acum criptate;
• îmbunătățiri criptografice, inclusiv schimbarea RSA Padding cu utilizarea
RSA Probabilistic Si gnature Scheme.

TLS a fost inițial folosit în protocoale de transport, cum este TCP
(Transmission Control Protocol ), dar în prezent este folosit cel mai adesea
împreună cu HTTP ( Hyper Text Transfer Protocol ) formând astfel HTTPS ( –
Secure ). Alte protocoal e ce lucrează împreună cu TLS sunt FTP ( File Transfer
Protocol ) și SMTP ( Simple Mail Transfer Protocol ).

2.3 Secure Real -Time Transport Protocol
Secure Real -Time Transport Protocol (SRTP) este un protocol extensie a
RTP al carui nivel in stiva ISO -OSI este greu de stabilit cu exactitate, sub RTP,
dar deasupra nivelului transport , acesta preluand datele RTP si efectuand
operatiuni asupra lor, operatiuni care in final furnizeaza urmatoarele servicii:
• confidentialitate a date lor de payload a RTP/RTCP ;
• autentificarea mesajelor;
• protectie impotriva mesajelor duplicat.
Aceasta implementare se poate aplica atat protocolului de transport media
RTP (=>SRTP) cat si a protocolului de control al transportului RTCP
(=>SRTCP) , avand un mediu de transmisie cablat sau wireless.
Alte obiective SRTP, pe langa asigurarea celor trei servicii de securitate
enuntate mai sus, sunt unele care tin de functionalitate :
• posibilitatea implemetarii pe viitor a unor noi transformari criptografice;
• utiliz are mica a benzii, mentinerea eficientei compresiei antetului RTP;
• independenta fata de protocoalele de nivel inferior;
• limitarea extinderii pachetetului pentru a pastra o utilizare mica a benzii;
• toleranta la pachetele pierdute.

Partea criptata a pachetu lui SRTP este partea de payload a pachetului RTP.
Campul MKI (Master Key Identifier) are o lungime configurabila si este
folosit in gestionarea cheilor , specificand „master key” -ul din care sunt derivate
cheile de sesiune. Poate fi folosit si pentru genera rea urmatoarelor „master key”.

NECLASIFICAT

NECLASIFICAT
35 din 52
3. Implementarea rețelei de comunicații VoIP Asterisk

3.1 Virtualizare
Virtualizarea a început în anul 1960 ca o metodă de împărțire logică a
resurselor unui sistem, de atunci termenul și -a extins înțelesul. Virtualizarea
hardware se referă la crearea unei maș ini virtuale care acționează ca o mașină
fizică, reală. Procesul gestionează resur sele sistemului fizic: spațiu l de stocare,
procesorul, memoria RAM și resursele de rețea. Acest lucru permite utilizatorului
să ruleze mai mult de o singură mașină de lucru simultan pe același sistem fizic.
Virtualizarea este realizată cu ajutorul unui hipervizor. Acesta este de două tipuri:
Hipervizorul de tipul 1 rulează direct pe hardware -ul mașinii gazdă, fără a
utiliza un sistem de operare, este de tip bare -metal, acest lucru făcându -l mult mai
sigur .
Hipervizorul de tip ul 2 este instalat în vârful unui sistem de operare (OS) .
Hardware
HardwareMașină virtuală
Mașină virtuală
Mașină virtuală
Mașină virtualăOS GazdăHipervizor
HipervizorHipervizor Tipul 1
Hipervizor Tipul 2

Figura 3.1 Tipuri de hipervizoare
3.1.1 Platforme de virtualizare
Cele mai cunoscute platform e de virtualizare sunt VMwa re, Virtual Box și
Hyper -V.
Oracle VM Virtual Box este un hipervizor de tipul 2 gratis și open -source,
a aparutin 2008 și a fost cumpărat în 2010 de către Oracle.
Microsoft Hyper -V este un hipervizor de tipul 1 care a apărut pentru prima
dată în cadrul W indows Server 2008 și a devenit disponibil fără costuri
suplimentare în annul 2012 odată cu Windows Server 2012 și Windows 8.
Compania VMware a fost înființată în 1998 și a scos primul produs
VMware Workstation în anul 1999. VMware vi ne în mai multe vers iuni print re
care VMware ESXi (care este hipervizor de tipul 1) și VMware
Workstation/ Player (hipervizor de tipul 2).

NECLASIFICAT

NECLASIFICAT
36 din 52
În cadrul acestui proiect am folosit VMware Workstation Pro.

Figure 1 Logo -uri Hipervizoare
3.1.2 Adaptorul de retea
VMware pune la dispoziție trei tipuri de configurare a rețelei:
• Bridged Networking : mașina virtuală este conectată direct la rețeaua fizică, ea
primind o adresă IP diferită de mașin a fizică , dar din aceea și rețea; aceasta
este cea mai simplă metodă de a oferi acces la rețea unei mașini virtuale;
• NAT (Network Address Translation) Networking : translatează adresa IP a
mașinii fizice, împărțind astfel aceeași adresă, mașina virtuală fiin d invizibilă
și inaccesibilă din afara rețelei;
• Host -Only Networking: creează o legătură între mașina fizică și mașina
virtuală folosind un adaptor de rețea virtual vizibil doar pe computerul gazdă;
spre deosebire de celelalte două tipuri de configurații, în acest mod nu există
conexiune la internet.
Pentru necesitățile aplicațiilor noastre vom folosi o configurare a
adaptorului de rețea de tip Bridged Networking, atat pentru Serverul de Asterisk
cat si pentru Ubuntu , deoarece dorim că atât serverul cât și abonații să fie în
aceeași rețea.

3.2 Instalare servere Asterisk
Asterisk este o aplicație care furnizează un server pentru realizarea unei
rețele de telefonie private PBX (Private Branch Exchange) prin IP, permițând mai
multor abonați să comunice într e ei. Acesta permite comunicarea cu alte telefoane
din exterior (inclusiv PSTN) și interconectarea cu tehnologii diferite.
Platforma cea mai utilizată pentru implementarea de server Asterisk este
Linux, dar această poate rulă și pe Windows, FreeBSD, OpenB SD, Mac OS și
Sun Solaris.
Asterisk oferă suport pentru diverse protocoale VoIP, printre care SIP,
H.323 (primul protocol de comunicații VoIP, protocol ce nu garantează calitatea
serviciului de voce) și Media Gateway Control Protocol (un protocol folosit în
cadrul sistemelor de VoIP distribuite, care văzute din exterior păr un singur
dispozitiv). Aplicația are disponibile mai multe funcții, cum ar fi: mesagerie
vocală, apel conferința, robot telefonic și distribuție automată a apelurilor.
Dezvoltatorii au proiectat un nou protocol nu mit IAX (Inter -Asterisk exchange)
ce permite transferul de voce sau video în mod eficient între mai multe servere
Asterisk. IAX2 folosește un buffer de jitter (o zonă de date partajată unde

NECLASIFICAT

NECLASIFICAT
37 din 52
pachețele pot fi colectate, stocate și trimise procesorului vocal la intervale egale
de timp; se află la recepție și practic inatrzie uniform pachețele astfel încât
ascultătorul să aibă o conexiune clară cu distorsiuni mici) mai performant decât
cel folosit de SIP 1.4.x. Marea problemă a IAX2 este că poate transporta un număr
mic de apeluri pe trunk (aproximativ 400 apeluri).
FreePBX este o interfață grafica în pagină web ce vine în ajutorul
utilizatorilor și care administrează serverul Asterisk. Prima versiune fiind lansată
în anul 2004, iar ultima versiune stabilă F reePBX 14, cea pe care o utilizăm în
proiectul curent a fost lansată în 2018.

3.2.1 Instalare server din linie de comandă în Ubuntu 14.04
(Asterisk1)
Actualizăm sistemul:
➢ apt-get update && apt -get upgrade –y //updat e sistemului
APT este o abreviere pentru Advanced Package Tool.
Instalăm dependențele, după care setăm parola pentru MySql:
➢ apt-get install -y build -essential linux -headers -`uname -r` openssh -server
apache2 mysql -server mysql -client bison flex php5 p hp5-curl php5 -cli
php5 -mysql php -pear php5 -gd curl sox libncurses5 -dev libssl -dev
libmysqlclient -dev mpg123 libxml2 -dev libnewt -dev sqlite3 libsqlite3 -dev
pkg-config automake libtool autoconf git unixodbc -dev uuid uuid -dev
libasound2 -dev libogg -dev libvorb is-dev libcurl4 -openssl -dev libical -dev
libneon27 -dev libsrtp0 -dev libspandsp -dev libmyodb

Descărcăm fișierele sursă necesare:
➢ cd /usr/src // alegem directorul unde urmează să descărcăm
➢ wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk -13-
current.tar.gz
➢ wget -O jansson.tar.gz
https://github.com/akheron/jansson/archive/v2.7.tar.gz
➢ wget http://www.pjsip.org/release/2.4/pjproject -2.4.tar.bz2

Fișierele cu extensia .tar.gz sunt de tip ‘tarball’, adică un cumul de fișiere
arhivate și comprimate într -unul singur.
Compilăm și instalăm bibliotecile ‘jansson’ si ‘pjsip’. PJSIP este o librarie
de comunicare multimedia care implementează protocoale standard bazate pe
SIP, SDP, RTP, STUN, TURN și ICE. JANSSON este o librarie C pentru
codarea, decodarea și manipularea datelor JSON.

Compilăm și instalăm A sterisk:
➢ cd /usr/src
➢ tar xvfz asterisk -13-current.tar.gz // comanda ‘tar’ extrage codul sursă din
tarball.

NECLASIFICAT

NECLASIFICAT
38 din 52
➢ rm -f asterisk -13-current.tar.gz
➢ cd asterisk -*
➢ contrib/scripts/install_prereq //acest pas ne pune să alegem codul
telefonic al țării (pentru Ro mânia +40)

➢ ./configure //verificăm sistemul de operare
➢ contrib/scripts/get_mp3_source.sh
➢ make menuselect //accesăm meniul de selectare

➢ make //compilăm codul sursă corespunzător modulelor
selectate
➢ make install //instalăm modulele selectate
➢ make config //instalăm scriptul de inițializare
➢ ldconfig
➢ update -rc.d -f asterisk remove //ștergem fișierul din care s -a instalat
➢ make samples //generăm fișierele de configurare

NECLASIFICAT

NECLASIFICAT
39 din 52
3.2.2 Instalare serve r cu FreePBX (Asterisk 2)
Instalarea serverului FreePBX 14 (Asterisk 15) se realizează ușor, urmând
acești pași:
1. Încărcăm imaginea ISO a serverului în VMware și ne alegem configurația
Hardware, 1GB RAM fiind suficent pentru rularea în condiții bune a
serve rului, iar Network Adapter trebuie să fie setat de tip Bridge d;

2. La pornirea instalării va apărea un meniu din care alegem ce versiune de
FreePBX (Asterisk) dorim;

3. În timpul instalării propriu zise setăm și parola pentru root;

NECLASIFICAT

NECLASIFICAT
40 din 52
4. Instalarea se încheie în momentul în care ne sunt solicitate datele pentru
logare; pentru securitate parola nu este afișată în momentul tastării;

După logare ne va fi afișată consola de configurare și datele serverului
(interfața, adresa MAC și adrese le IPv4 și IPv6);

3.3 Configurare servere Asterisk
3.3.1 Configurare server Asterisk1 securizat
Configurarea serverului de Asterisk instalat pe Ubuntu presupune editarea
a două fișiere: sip.conf (unde creăm abonații și definim caracteristicile lor) și
extensions.conf (unde definim rutele de apelare). De asemenea, pentru a asigura
funcționarea securizată a transmisiei, folosim un protocol de semnalizare ce
asigură confidențialitatea sesiunii de comunicare (TLSv1) și un protocol de
transport media ce cri ptează pachetele de voce (sRTP). Pentru a putea folosi
aceste funcționalități, trebuie mai întâi să generăm certificatele de securitate ce
vor fi folosite de către server și de către clienți pentru a se înregistra.
Creăm un director denumit intuitiv „keys” unde vom salva
cheile/certificatele:
➢ mkdir /etc/asterisk/keys
Pentru generarea certificatelor se folosește script -ul „ast_tls_cert” care se
regăsește în următorul director și se apelează astfel:
➢ cd /usr/src/asterisk -13.25.0/contrib/scripts

NECLASIFICAT

NECLASIFICAT
41 din 52
➢ ./ast_tls_cert -C 192.168.43.149 -O "proiect_licenta " -d /etc/asterisk/keys
Opțiunea –C indică adresa IP/DNS a mașinii gazdă (a serverului Asterisk),
opțiunea –O specifică numele oragnizatiei, iar opțiunea –d indic ă locația unde
vor fi salvate cheile generate.

Creating CA key /etc/asterisk/keys_test/ca.key
Generating RSA private key, 4096 bit long modulus
………………………………………………………………………………………………… ……++
e is 65537 (0x10001)
Enter pass phrase for /etc/asterisk/keys/ca.key: parola
Verifying – Enter pass phrase for /etc/asterisk/keys/ca.key:
Creating CA certificate /etc/asterisk/keys/ca.crt
Enter pass phrase for /etc/asterisk/keys/ca.key: parola
Creating certificate /etc/asterisk/keys/asterisk.key
Generating RSA private key, 1024 bit long modulus
………………………….++++++
e is 65537 (0x10001)
Creating signing request /etc/asterisk/keys/asterisk.csr
Creating certificate /etc/asterisk/keys/ asterisk.crt
Signature ok
subject=/CN=192.168.43.149/O=proiect_licenta
Getting CA Private Key
Enter pass phrase for /etc/asterisk/keys/ca.key: parola
Combining key and crt into /etc/asterisk/keys /asterisk.pem
Această secvență va genera următoarele fișiere:
• ca.key (pentru care ni se va cere să introducem o „parol ă”);
• ca.crt;
• asterisk.key (care apare după ce introducem din nou parola);
• asterisk.csr;
• asterisk.crt;
• asterisk.pem (după ce introducem a treia oar ă parola, se creează acest fișier
care est e o combinație dintre asterisk. key și asterisk.crt).
Pentru generarea certificatelor clientului se folosește același script, dar cu
următorii parametrii:
➢ ./ast_tls_cert -m client -c /etc/asterisk/keys/ca.crt -k
/etc/asterisk/keys/ca.key -C 192.168.43.149 -O " proiect_licenta " -d
/etc/asterisk/keys -o client
Opțiunea -m client spune scriptului că certificatul este destinat clientului,
nu serverului, -c indică Autoritatea de Certificare pe care o folosim, -k specifică
cheia Autorității de Certificare, -C specifică adresa IP/DNS a terminalului
telefonic (însă nu este absolut necesar a se crea câte un certificat de securitate
pentru fiecare client, poate fi folos it același pentru toți clienții , având adresa IP a
serverului Asterisk ), -O definește numele organizației, -d indică calea către
directorul unde se află cheile, iar opțiunea –o specifică numele certificatului
clientului.

NECLASIFICAT

NECLASIFICAT
42 din 52

No config file specified, creating '/etc/asterisk/keys/tmp.cfg'
You can use this config file to create additional certs without
re-entering the information for the fields in the certificate
Creating certificate /etc/asterisk/keys/client.key
Generating RSA private key, 10 24 bit long modulus
………………………………..++++++
…………………………………………………………………………………………++++++
e is 65537 (0x10001)
Creating signing request /etc/asterisk/keys/client.csr
Creati ng certificate /etc/asterisk/keys /client.crt
Signature ok
subject=/CN=192.168.43.149/O=proiect_licenta
Getting CA Private Key
Enter pass phrase for /etc/asterisk/keys/ca.key: parola
Combining key and crt into /etc/asterisk/ke ys/client.pem

În directorul ke ys au fost create astfel următoarele:
• client.key;
• client.csr;
• client.crt;
• client.pem.

Figura 3.2 Certficat Asterisk

NECLASIFICAT

NECLASIFICAT
43 din 52

Figura 3.4 Informa țiile con ținute de certificat
Următorul pas este să accesăm fișierele de configurare și să le deschidem
cu un editor de text:
➢ cd /etc/asterisk/ ; ajungem în directorul asterisk
➢ gedit sip.conf ; deschidem pentru configurare cu editor de text
Fișierul sip.conf se configurează astfel pentru a folosi TLS pentru stabilirea
sesiunii și criptare cu sRTP a pachetelor de voce:
[general] ; ce se află în acest template se aplică tuturor abonaților
context=default ; contextul din extensions.conf
bindaddr=0.0.0.0 ; adresa IP de care ascult ă, în cazul acesta de oricare e
disponibil ă
port=5061 ; portul de care ascult ă, 5061 pentru TLS, 5060 pentru UDP
disallow=all ; refuz ă toate codec -urile
allow=ulaw ; permite codec -ul G.711 cu algoritm u -law
allow=alaw ; permite codec -ul G.711 cu algoritm a -law
allow=gsm ; permite codec -ul gsm
qualify=yes ; verific ă dacă abonatul este disponibil la fiecare 60s
canreinvite=no ; nu mai trimite mesaje (re) invite odat ă ce s-a stabilit sesiunea
alowguest=no ; abona ții necunoscu ți nu pot efectua apeluri catre acest server
alwaysauthreject=yes ; nu permite unui hacker care încearc ă să sparg ă o parol ă să
; știe că a nimerit un abonat valid
tlsenable=yes ; activ ăm stabilirea sesiunii cu TLS
tlsbindaddr=0.0.0.0 ; TLS ascult ă de orice adres ă
tlscertfile=/etc/asterisk/keys/asterisk.pem ; calea c ătre certificatul serverului
tlscafile=/etc/asterisk/keys/ca.crt ; calea c ătre certificatul Autorit ății de Certificare
tlscipher=ALL ; permitem toate cifrarile
tlsclientmethod=tlsv1 ; protocolul folosit
tlsdontverifyserver=yes ; dezactiveaz ă verificarea certificatului serverului
srtpcapable=yes ; activare sRTP
[1001]
type=friend ; tipul de abonat
secret=1001 ; parola
context=internal ; contextul din extensions.conf
host=dynamic ; abonatul se conecteaz ă la Asterisk indiferent de adresa IP
allow= all ; permite toate codec -urile
transport=tls ; protocolul de transport folosit
encryption=yes ; activar ea criptării pachetelor de voce

NECLASIFICAT

NECLASIFICAT
44 din 52
Observații:
1. Comenzile de p ermitere a codec -urilor se pun în ordinea preferințelor;
2. Pentru a evita situațiile în care serverul Asterisk se comportă că un client
și încearcă să verifice certificatele destinatarului pe care îl vede ca pe un
server, se folosește c omanda tlsdontverifyse rver=yes ;
3. Există 3 tipuri de abona ți: user, peer si friend :
– user: poate efectua apeluri;
– peer: poate primi apeluri;
– friend: combin ă ambele metode, deci poate atât primi cât și efectua
apeluri.

User
Peer
FriendAsterisk Asterisk Asterisk

Figura 3.4 Tipuri de abonati
Pentru a încărca noua configurație SIP se folosește următoarea comandă:
➢ asterisk start // pornim serverul
➢ asterisk –rx “core restart now” // -rx: arat ă că urmeaz ă o comand ă
executat ă din terminalul Linux, nu din CLI al serverului, iar ce scrie între
paranteze este comanda de repornire a serviciilor Asterisk imediat
Sau:
➢ asterisk –rvvvvv //-r: conectare remote la consola
//-vvvvv: crește nivelul de verbozitate;
nivelul verbozit ății influențează numărul mesajelor de logging; fi ecare -v crește
nivelul verbozi țătii mesajelor cu 1.
➢ sip reload

ubuntu*CLI> sip reload
Reloading SIP
== Using SIP CoS mark 4
== TLS/SSL ECDH initialized (secp256r1), faster PFS cipher -suites enabled
== TLS/SSL certificate ok

Pentru configurarea planului de apelare vom deschide cu un editor de text
fișierul extensions.conf aflat în același director /etc/asterisk.

NECLASIFICAT

NECLASIFICAT
45 din 52
Dialpl an-ul e organizat în secțiuni numite contexts prin care putem defini
unul sau mai multe extensii. O extensie e un set de acțiuni cu care Asterisk va
opera în ordinea priorității, când numărul acelei extensii e apelat.
exten => număr_telefon, prioritate, ap licație ( [parametru ])
Prioritățile trebuie să înceap ă cu 1 și să fie acordate în ordine, altfel se va închide
apelul. Se poate folosi litera „n” (next) pentru prioritate mai mare de 1, iar
Asterisk va incrementa cu 1 prioritatea precedentă.
In cazul de f ata, fisierul arata astfel:
[default]
exten =>_X.,1,Hangup()
[internal]
exten => _1XXX,1,Dial(SIP/${EXTEN},60)
exten => _1XXX,n,Hangup()
„_X.” este o secvența ce va face că toate apelurile să treacă prin acest punct
deoarece se potrivește cu toate numerele de telefon.
„_1XXX” este o secvența care face match cu toate numerele de telefon din
intervalul (1000 -1999).
Aplicația „Dial(SIP /${EXTEN},60)” încearcă să stabilească o conexiune
către numărul apelat timp de 60s, iar „${EXTEN}” va fi înlocuit cu extensia
apelată.
Aplicația Hangup() închide apelul neconditiont și astfel eliberează
memorie și bandă.
Pentru a încărca planul de apela re se folosește coma nda:
➢ dialplan reload

NECLASIFICAT

NECLASIFICAT
46 din 52
3.3.2 Configurare server Asterisk2 nesecurizat
Pentru a accesa interfața grafică se introduce în browser adresa IP furnizată
de mașina virtuală a serverului Asterisk instalat în VMWare.
Serverul Asterisk2 este configurat din interfața grafică FREEPBX 14 și
este unul nesecurizat, astfel încât captu rarea cu ajutorul Wireshark (sau a altei
aplicații similare) a pachetelor transmise duce la posibilitatea ascultării
comunicației de către o persoană rău intenționată.

Configurarea este una simplă, primul pas este de a crea abonații din meniu
accesând: Applications -> Extensions -> Add extensions. Se setează numărul de
telefon al abonatului, numele acestuia și parola pentru autentificarea pe un
telefon.

Protocolul de semnalizare folosit în cazul acestui server este PJSIP care by
Default folosește portul 5060 și transportul se realizează folosind UDP.

NECLASIFICAT

NECLASIFICAT
47 din 52
3.4 Configurare terminale telefonice
Există două moduri de realizare a apelurilor prin tehnologie VoIP: cu
telefoane fizice cu această tehnologie sau cu telefoane virtuale (softpho ne)
instalate pe sisteme. Printre cele mai cunoscute și folosite aplicații softphone sunt
Blink, X -Lite, Linphone, Zoiper . În această lucrare folosim program ele Blink
pentru serverul nesecurizat cu FreePBX și Zoiper pentru serverul securizat din
Ubuntu .
Configurare a aplicați ei Blink presupune introducerea username -ului și
parolei. Câmpul SIP Ad dress se completează astfel: extensia @IP-ul serverului
Asterisk .

Figure 2 Adăugare abonat în Blink
În cazul Zoiper, se accesează Settings -> Create new account -> Type SIP
după care se întroduc creden țialele (de exemplu: 1001@192.168.43.149 alături
de parolă). Din Preferences -> Advanced se setează tipul de transport și se
specifică certificatul clientului.

Figura 3.2 Setări abonat Zoiper

De asemenea, în cadrul proiectului am utilizat și aplicația Zoiper pentru
platforma Android, pașii fiind aceeași, introducând credeanțialele, activând TLS.

NECLASIFICAT

NECLASIFICAT
48 din 52

Figura 3.3 Adăugare abonat în Zoiper pe Android

După configurarea terminalelor telefonice se poate da următoarea comandă
din consola serverului Asterisk1 pentru verificarea status -ului abonaților:
➢ sip show peers
ubuntu*CLI> sip show peers
Name/username Host Dyn Forcerport Comedia ACL Port Status
Description
1001/1001 192.168.4 3.100 D Auto (No) No 51606 OK (24 ms)
1002/1002 192.168.4 3.200 D Auto (No) No 51721 OK (5 ms)
1003/1003 192.168.43.1 D Auto (No) No 38960 OK (16 ms)
1004/1004 (Unspecif ied) D Auto (No) No 0 UNKNOWN
4 sip peers [Monitored: 3 online, 1 offline Unmonitored: 0 online, 0 offline]

NECLASIFICAT

NECLASIFICAT
49 din 52
4. Evaluarea sistemelor de comunica ții
4.1 Analiza func țional ă
4.2 Probleme întâmpinate
Conexiunea dintre mașina fizică și mașina virtuală de Linux s -a făcut prin
verificarea cu ajutorul comenzii ping X.X.X.X, adresă IP a celeilalte mașini. IP –
ul de pe interfețele din Ubuntu se află cu comanda: ifconfig; în Win dows IP -ul îl
aflăm prin comanda : ipconfig. Inițial această comandă returna mesajul
“Destination Host Unrea cheable”. Pentru a reuși realizarea conexiunii a trebuit să
dezactivăm firewall -ul din Windows care bloca unele adrese de Broadcast.
După instalarea serverului de FreePBX și adăugarea unor extensii (abonați)
din interfață grafica, în momentul în care înre gistram abonatul într -un softphone
serverul de Asterisk închidea conexiunea și primeam mesajul “ Destination Port
Unreacheable ” la tastarea ping către adresa serverului. Pentru a rezolva această
problemă am schimbat profilul rețelei din Public în Private. Diferența dintre cele
două profile este acela că în cel privat PC -ul este descoperit, rețeaua fiind
considerată de încredere, în cel public fiind ascuns față de celelalte
echpamente/aplicații ce încearcă să acceseze date din PC.
Altă problemă a fost faptu l că serverul de Linux nu reușea să se conecteze
la rețeaua de pe mașină fizică, soluția fiind trecerea modului de conectare la rețea
din „Automatic” în interfața prin care se conectează la rețea PC -ul.

Concluzii

NECLASIFICAT

NECLASIFICAT
50 din 52
Bibliografie
[1] Russell Bryant, Leif Madsen, and Jim Van Meggelen „Asterisk™: The
Definitive Guide, Fourth Edition”, O’Reilly Media, United States of America,
2013
[2] Thomas Porter „Practical VoIP Security”, Syngress Publishing , 2006
[3] Henry Sinnreich, Alan B. Johnston „Intern et Communications Using SIP
Second Edition” Wiley Publishing , Indianapolis, Indiana , 2006
[4] Luminița Scripcariu, Ion Bogdan, Ștefan Victor Nicolaescu, Cristina
Gabriela Gheorghe, Liana Nicolaescu „Securitatea rețelelor de comunica ții”
Casa de editură „Venus”, Iași 2008
[5] Simion Emil „Securitate criptografica -Suport curs” 2011 -2012
[6] Andrew S. Tanenbaum „Rețele de calculatoare” editia a patra, editata de
Byblos srl, 2003
[7]Abdullahi Mohammed Jingi „VoIP Security: Common Attacks and their
Countermeasures”, International Journal of Computer Science and Information
Security (IJCSIS), Vol. 15, No. 3, March 2017
[8] Jianqiang Xin „Security Issues and Countermeasure for VoIP”, SANS
Institute Reading Room
[9] Sushruta Mishra, Lamboder Jena, Aarti P radhan „ International Journal of
Advanced Research in Computer S cience and Software Engineering:
Networking Devices and Topologies: A Succinct Study ” Volume 2, Issue 11,
November 2012
[10] Peter Gregory „SIP Communications For Dummies ”, Wiley Publishing,
Inc., Indianapolis, Indiana , 2006
[11] „RFC 2246 The TLS Protocol Version 1.0”, The Internet Society, 1999;
[12] „RFC 4346 The Transport Layer Security (TLS) Protocol Version 1.1 ”,
The Internet Society, 2006;
[13] „ RFC 5246 The Transport Layer Security (TLS) Protocol Version 1.2 ”,
The IETF Trust , 2008;

NECLASIFICAT

NECLASIFICAT
51 din 52
[14] „RFC 8446 The Transport Layer Security (TLS) Protocol Version 1.3 ”,
The IETF Trust, 2018;
[15] „RFC 1889 RTP: A Transport Protocol for Real -Time Applications ”, 1996
[16] https://ignkenny.wordpress.com/2014/04/02/bridge -vs-nat-vs-host-only/
accesat la 14.03.2019
[17] https://hpbn.co/transport -layer -security -tls/ accesat la 20.03.2019.
[18] https://www.globalsign.com/en/blog/ssl -vs-tls-difference/ accesat la
15.03.2019;
[19] https://pubs.vmware.com/workstation –
9/index.jsp?topic=%2Fcom.vmware.ws.using.doc%2FGUID -D9B0A52D –
38A2 -45D7 -A9EB -987ACE77F93C.html accesat la 14.03.2019
[20] http://asterisktutorials.blogspot.com/2017/08/how -to-install -asterisk -on-
ubuntu -1404.html accesat la 18.03.2019
[21] https://www.pjsip.org/about.htm accesat la 18.03.2019
[22] https://getvoip.com/blog/2014/01/27/history -of-voip-and-internet –
telephones/ accesat la 30.04.2019
[23] https://www.tutorialspoint.com/session_initiation_protocol/index.htm
accesat la 6.09.2019
[24] https://www.ringcentral.com/small -business/blog/v oip-technology -primer/
accesat la 6.09.2019
[25] https://searchservervirtualization.techtarget.c om/feature/Whats -the-
difference -between -Type -1-and-Type -2-hypervisors accesat la 6.09.2019
[26] https://wiki.asterisk.org accesat la 22.09.2019
[27] https://www.voip -info.org accesat la 7.10.2019
[28] https://fcit.usf.edu/network/chap4/chap4.htm accesat la 11.10.2019
[29] https://www.geeksforgeeks.org/layers -of-osi-model/ accesat la 12.10.2019
[30] http://siptutorial.net/RTP/ accesat la 17.10.2019

NECLASIFICAT

NECLASIFICAT
52 din 52
[31] https://superuser.com/questions/635810/which -one-voip-sip-audio -codec –
should -i-choose -to-high-quality -calls accesat la 20.10.2019

Citări
(1) „Networking Devices a nd Topologies: A Succinct Study ” Sushruta et al.,
International Journal of Advanced Research in Computer Science and
Software Engineering 2 (11), Noiembrie 2012, pagina 347
(2) Simion Emil „Securitate criptografica -Suport curs” 2011 -2012
(3) Luminița Scripcariu, Ion Bogdan, Ștefan Victor Nicolaescu, Cristina
Gabriela Gheorghe, Liana Nicolaescu „Securitatea rețelelor de
comunica ții” Casa de editură „Venus”, Iași 2008