Sunteți pe pagina 1din 29

4.

1 Principiul Voice over IP VoIP este acronimul pentru Voice over IP, tehnologia prin care vocea uman este transferat printr-o reea bazat pe protocolul IP (Internet Protocol). ntr-o accepie mai larg, VoIP reprezint servicii de telefonie prin Internet. Acest tip de telefonie este tot mai intens folosit datorit avantajelor pe care le prezint . Pentru a efectua apeluri prin VOIP, un utilizator va avea nevoie de un program de telefonie SIP (Session Instant Protocol) bazat pe software sau un telefon VOIP bazat pe hardware. Apelurile telefonice pot fi efectuate ctre oriunde/oricine: att ctre numere VOIP ct i ctre persoane cu numere de telefon normale. Comunicarea dintre doi corespondeni VoIP este controlat i supravegheat prin protocolul SIP sau H.323 . Comunicarea n tehnologia VoIP ia forma unui flux de date mpachetate (Media Stream). Pentru transmiterea acestor fluxuri de date, care trebuie s transporte semnale digitale audio i video, a fost creat n 1996 un standard numit Real-time Transport Protocol (RTP). Scopul RTP este de a furniza funcionalitile necesare transmiterii de coninut n timp real, ca de exemplu informaii despre timp (timestamp), despre secvenionare, despre mecanismele de control pentru sincronizarea unor fluxuri diferite, etc. De la bun nceput trebuie spus c RTP nu asigur nici un control de asigurarea a transmisiei la timp sau a calitii serviciului furnizat. Pentru asta sunt rspunztoare protocoalele de nivel transport pe care se bazeaz RTP (de ex. UDP). 4.2 Telefonia i Internetul. Comutaia de circuite. Comutaia de pachete 4.2.1 Telefonia i Internetul tiind acum c telefonia IP folosete comutarea de pachete, s vedem procesul prin care vocea uman ajunge s fie transferat la nivel de pachet. Semnalul vocal analogic este captat de ctre un microfon ncorporat n aparatul de telefon sau de ctre un microfon conectat la placa de sunet a calculatorului. Prin captare, semnalul este eantionat i digitizat ntr-o reprezentare numeric. Dac captarea s-a fcut cu un calculator i destinatarul folosete un telefon clasic, atunci aceti bii sunt mpachetai, comprimai i trimii prin protocolul IP ctre un gateway (poart) care face legtura ntre Internet i reeaua PSTN. Acest gateway are rolul de interfa ntre cele dou reele care folosesc metode diferite de comunicare. Semnalul audio va parcurge deci o parte din drum sub form de pachete, apoi va intra ntr-un circuit dedicat ntre un VoIP gateway i destinatar. Dac comunicarea se face ntre dou telefoane, semnalul parcurge reeaua PSTN, ajunge la un gateway care va transforma semnalul n pachete i l va trimite prin IP ctre

alt poart, mai apropiat de destinatar. Aceasta va transforma semnalul napoi n semnalul original care va fi transportat prin PSTN ctre destinatar. Daca comunicarea se face ntre dou calculatoare, atunci pachetele sunt transmise direct ntre ele. 4.2.2 Comutaia de circuite Telefonia tradiional, bazat pe linii de transmisie dedicate, utilizat n ultimele decenii, i-a gsit prin VoIP un concurent important, n special datorit diferenelor de tehnologie dintre ele. n telefonia tradiional, prin sistemul circuit-switched (comutare de circuite) se asigur un canal de comunicaie ntre fiecare doi corespondeni. Acest canal (circuit fizic electric obinut prin cabluri i circuite electronice) trebuie asigurat nainte ca comunicaia s poat ncepe. Pe durata convorbirii, canalul poate fi folosit doar de ctre aceiai corespondeni iniiali, fiind deci un canal dedicat de comunicaie. La sfritul convorbirii, acest canal trebuie anulat n mod explicit. Acest sistem a fost mbuntit mai trziu prin multiplexarea mai multor canale pe acelai conductor fizic, dar fiecare asemenea canal era dedicat unui singur apel la un moment dat. n telecomunicaii, comutarea de circuite reprezint o metod de rutare a transmisiei ntre doi corespondeni, prin unul sau mai multe centre de comutare (centrale telefonice). ntre aceti doi corespondeni se stabilete o conexiune electronic continu, care va purta semnalul audio. Totalitatea acestor centrale telefonice i a legturilor care se formeaz ntre acestea se numete reeaua public de telefonie comutat (PSTN: Public Switched Telephone Network). 4.2.3 Comutaia de pachete Comutarea de pachete este o tehnologie predominant n domeniul reelelor de calculatoare i tot mai predominant n domeniul telecomunicaiilor. Un pachet este unitatea fundamental pentru transportul de informaie n reele bazate pe comutarea de pachete. Spre diferen de comutarea de circuite, care furnizeaz un canal de transmisie dedicat pentru dou noduri ale reelei, n comutarea de pachete un canal de transmisie poate fi utilizat de ctre mai multe noduri. Nodurile n acest tip de reea i transmit informaiile unul altuia sub form de pachete de informaii etichetate cu adresa destinaie i rutate individual. Un astfel de pachet poate fi privit ca pe un plic n care se afl informaia, iar pe plic este scris adresa de destinaie. Pe lng informaia care trebuie trimis, un pachet mai conine informaii despre destinaie, origine i numrul de ordine dintr-un ir mai lung de pachete. Acest numr de ordine este necesar la destinaie pentru a reconstrui informaia complet care a fost trimis segmentat la nivel de pachet. Transmisia pachetelor de la un nod la altul se face folosind noduri intermediare, care

ncearc s determine cea mai bun rut pe baza unor algoritmi. Din aceast cauz, pachetele aparinnd aceleiai secvene pot ajunge la destinaie n alt ordine dect au fost trimise i pe rute fizice total diferite, iar reasamblarea informaiei n ordinea corect reprezint o problem care revine destinatarului. Pe o rut fizic sunt de obicei transportate pachete care provin de la mai multe noduri i cu adrese destinaie diferite. De aceasta, o conexiune fizic n aceast tipologie de reea este partajat de mai multe noduri. 4.3 Procesarea Vocii Vocea poate fi compresat i faxul demodulat pentru a mai reduce din lrgimea de band ocupat ntr-o reea IP. Sunt disponibili 3 algoritmi de compresie pentru VoIP : 1. G.711 (codare PCM la 64 Kbps, cu variantele APCM i PCM) 2. G.729A (compresie cu rat sczut la 8 Kbps) Calitatea algoritmilor de codare a vocii este evaluat de ceea ce am numit MOS (Mean Opinion Score). 5 e calitatea maxim, iar G.711 are nota 4,4 , G.729A are nota 4,1. Datorit cererii att de mari de lrgime de band a G.711, codarea PCM ar trebui folosit doar n cadrul mediului de LAN, dar nu este deloc recomandat pe WAN. Aceasta din cauza codrii la 64 Kbps, care prin adugarea header-elor pachetelor IP ajunge la o lrgime de band de circa 100 Kbps la nivel Ethernet (pentru fiecare sens de comunicare). Alegerea se va face deci la codecul G729A. Acest algoritm ofer cam aceleai performane. Implementarea G729A ofer un uor avantaj, dar nu semnificativ n ceea ce privete ntrzierile. Pachetele de voce ale aceluiai canal se transmit succesiv prin reea. Dar aceste pachete nu vor avea aceeai ntrziere prin reea pn la atingerea recepiei. Aceast variaie a ntrzierii se numete jitter. Pentru a fi reasamblate i trimise la intervale regulate asculttorului, prile de voce n pachete sunt memorate ntr-un buffer la recepiei. Aceasta va introduce o ntrziere suplimentar. Dac jitter-ul e mic, ceea ce e un semn c reeaua merge bine, buffer-ul e mic i deci i ntrzierea e mic. Dac jitter-ul e mare, buffer-ul va fi mai mare, i deci i ntrzierea din buffer. Jitter-ul de mrime variabil va permite evitarea introducerii de ntrzieri atunci cnd reeaua merge bine. Exist un buffer pentru jitter pentru fiecare direcie. Aceasta nseamn c dac avem pachete recepionate de la A cu jitter mare i pachete recepionate de la B cu jitter mic, ntrzierea din cauza buffer-ului la apelarea de la B nu va suferi din cauza jitterului de la A. Detecia de voce, suprimarea linitii i regenerarea linitii presupune trimiterea de cadre de voce doar atunci cnd prile vorbesc i nu se va trimite nimic atunci cnd utilizatorii nu

vorbesc. Aceasta nseamn c n jurul a 50 % din timp (ceea ce se traduce n band) este salvat i realocat altui trafic, de exemplu date. Pentru a evita faptul c cei doi utilizatori s cread ca linia e moart n timpul linitii, linitea e regenerat la cellalt capt. Suprimarea linitii permite limitarea lrgimii de band medie cerut de Ethernet pentru un canal de voce. Desigur, dac un apel nu e satisfcut, nu va exista cerere de band la nivel Ethernet. 4.4 Cerine impuse reelei IP pentru oferirea unei caliti optime a serviciilor de voce Performanele cerute de la reeaua IP pentru oferirea unei caliti bune a vocii sunt descrise n cele ce urmeaz, fcndu-se referire la lrgimea de band, ntrziere, pierderi de pachete. Tabelul de mai jos arat necesarul de band la nivel de Ethernet i la nivelul reelelor wireless (fr fir) pentru cele 3 tipuri de algoritmi de compresie. Algoritmul de compresie G711 G723.1 G729A Rata de compresie 64 kbps 6,4 kbps 8 kbps Lungimea cadrului Ethernet 78+80 octei 78+24octei 78+20 octei Lrgimea de band Ethernet 126 kbps 27,2 kbps 39,2 kbps Lrgimea de band WAN 90,4 kbps 15,2 kbps 21,2 kbps

Tabel 1.2. Necesarul de band pentru algoritmii de compresie Banda cerut este fr VAD (Voice Activity Detection detecia vocii) i pentru un singur sens (semi-duplex). Aceasta nseamn c VoIP genereaz un overhead mare, mrind lrgimea de band cerut pe interfaa Ethernet.

4.5 Elementele unei reele de telefonie IP Serviciile de telefonie IP trebuie s fie n stare s se conecteze la reelele tradiionale bazate pe comutaia de circuite. ITU-T a realizat aceast problem definind un set de standarde pentru reelele multimedia bazate pe comutaia de pachete. Elementele de baz ale unei astfel de reele sunt terminalele ca telefoanele IP, sofonuri sau telefoanele existente deja conectate la ISDN, PSTN sau wireless, gateway-uri ca interfa ntre reeaua local la care sunt conectate terminalele i reeaua cu comutaie de circuite, gatekeeper ce are funcii de control al admisiei i

MCU (Multipoint Control Unit ) ce ofer conferine ntre trei sau mai multe terminale. Aceste entiti vor fi discutate n cele ce urmeaz.

4.5.1 Terminale Sunt terminale de tip LAN pentru transmisia vocii. Exemple comune de astfel de terminale sunt calculatoare personale ce ruleaz Microsoft NetMeeting i au un microfon de reea. Terminalele implementeaz funcii de transmitere a vocii i cu siguran includ cel puin un CODEC de voce (Compressor/ Decompressor) care trimite i recepioneaz voce pachetizat. Codecuri mai ntlnite sunt: ITU-T G.711 (PCM), G.723 (MP-MLQ), G.729A (CA-ACELP) i GSM. Codecurile difer prin cerinele CPU-lui, prin calitatea vocii rezultate i prin inerenta ntrziere de procesare. Terminalele deasemenea trebuie s suporte funcii de semnalizare. Terminalele mai pot implementa capabiliti de comunicaii video i de date, ns nu fac obiectul studiului nostru acum.

4.5.2 Gateway-uri Gateway-urile servesc ca o interfa ntre reele tip VoIP si retelele ce functioneaza cu tehnologii diferite, pe de o parte, se conecteaz la lumea tradiional a vocii, iar pe cealalt parte la echipamentele ce funcioneaz cu comutaie de pachete. Ca orice interfa, un gateway trebuie s translateze mesaje de semnalizare ntre cele dou pri ca dealtfel s compreseze sau s decompreseze vocea. Ca un prim exemplu de gateway este gateway-ul PSTN/IP conectnd un terminal VoIP la SCN (Switched Circuit Network ) IP/PSTN Gateway :

Terminal Voip

Protocol de conversie si transmisie

Terminal SCN

Figura 4.1. Schem conectare terminal VoIP la SCN Exist multe tipuri de gateway-uri astzi n folosin, pornind de la gateway-uri cu cteva zeci de porturi analogice pn la super gateway-uri cu mii de linii.

4.5.3 Gatekeeper Prezena unui gatekeeper nu este obligatorie n arhitectura unei reele VoIP. Oricum, dac este prezent, el trebuie s ndeplineasc un set de funcii. Gatekeeper-ul managerizeaz poriuni, zone, colecii logice de echipamente (de exemplu toate terminalele VoIP dintr-o subreea IP). Mai multe gatekeepere pot fi prezente pentru a balansa ncrcarea sau pentru a avea capabiliti de hot-swap backup. Filosofia definirii gatekeeper-elor este aceea de a permite proiectanilor de reele VoIP s separe puterea brut de procesare a gateway-ului de funciile inteligente de control a reelei pe care le poate executa un gatekeeper. Un gatekeeper tipic este implementat pe un PC, pe cnd un gateway este adesea o platform hardware de sine stttoare. Gatekeeper-ele ofer funcii de rutare pentru echipamentele din zona deservit. Aceasta poate fi, uneori, translaia ntre sistemul de numerotaie din interior i cel din exterior. O alt funcie important a gatekeeper-ului este controlul admisiei, specificnd ce terminale pot apela anumite numere. Printre funciile opionale de control ce se pot oferi de ctre un gatekeeper exist informaiile de management SNMP. Un gatekeeer poate participa ntr-o varietate de modele de semnalizare asa cum el singur stabilete. Modelele de semnalizare se refer la ce mesaje de semnalizare trec prin gatekeeper i care trec direct de la un terminal la altul sau de la terminal direct la gateway. Exist dou modele de semnalizare. Modelul de semnalizare direct permite ca apelurile s nu treac prin gatekeeper, pe cnd n modelul de semnalizare prin gatekeeper toate mesajele de semnalizare trec prin gatekeeper i doar convorbirile se fac direct ntre staii.

4.5.1 Multipoint Control Unit (MCU) MCU permit funcii de conferin intre trei sau mai multe terminale. Logic, un MCU conine 2 pri : Multipoint Controller (MC) care se ocup cu semnalizrile i mesajele de control necesare conferinelor

Multipoint Processor (MP) care primete semnalele de la terminale, le multiplic i le trimite apoi ctre participanii la conferin.

Un MCU poate implementa ambele funcii att ale MP ct i ale MC, caz n care este denumit MCU centralizat. Alternativ, un MCU descentralizat implementeaz doar funciile MC, lsnd funcia de multipoint processor pentru terminalele participante. Este important de reinut definirea tuturor prilor unei reele VoIP este pur logic. Nici o specificaie nu a fost dat pentru divizarea fizic a unitilor. De exemplu, MCU poate fi un echipament de sine stttor sau poate fi integrat ntr-un terminal, gateway sau gatekeeper.

4.6 Protocoale folosite de tehnologia Voice over IP VoIP acoper, n general, o mare varietate de tehnologii pentru comunicaii de voce prin reelele IP. n ultima vreme, VoIP a evoluat de la stadiul unor implementri proprietare la cel n care exist mai multe standarde (concurente) pe pia. Cu toate acestea, s-au impus patru standarde pentru implementarea VoIP (semnalizare i controlul apelului): H.323, SIP (Session Initiation Protocol), MGCP (Media Gateway Control Protocol), H.248 / Megaco (Media Gateway Control).Vocea uman are un drum lung de parcurs pentru a putea fi folosit conform tehnologiei VoIP. Pe parcurs, vocea se lovete de o mulime de procese diferite (digitizare, codare, comprimare, conversie, securizare, ), se folosete de mai multe protocoale diferite (SIP, H.323, RTP, UDP, IP, ), traverseaz mai multe tipuri de echipamente (telefoane IP, routere i gateway-uri VoIP, centrale telefonice, reele IP sau PSTN, ) i ntmpin probleme din cele mai diverse (NAT, firewall-uri, reele instabile, distane lungi, echipamente incompatibile). Cu toate acestea, drumul pe care merge tehnologia VoIP este puternic ascendent i utilizarea acestei tehnologii va deveni n curnd un standard internaional. 4.6.1 Protocolul Real Time Transmission Protocol (RTP) Comunicarea in tehnologia Voice over IP este de forma unui flux de date impachetate si ca pentru transmiterea acestui flux de date a fost creat standardul RTP. Cnd facem meniune la RTP, ne referim de fapt la cele dou componente ale protocolului: RTP (transport date) i RTCP (monitorizeaz calitatea serviciului i conine informaii de control despre participani). RTCP se bazeaz pe trimiterea de pachete de control periodic ctre toi membrii unei sesiuni media. Pachetele RTCP sunt transmise n acelai mod ca pachetele RTP, iar funciile pe care le ndeplinesc sunt: informarea asupra calitii distribuiei datelor,

identificarea n mod unic a unui membru al sesiunii i ajutarea la stabilirea ratei la care sunt transmise pachetele de date. Pachetele RTP nu pot fi transmise ca atare prin reele IP. Din aceast cauz, ele sunt nti ncapsulate n pachete UDP (User Datagram Protocol), iar apoi n pachete IP. Aceste pachete vor fi transmise apoi prin diferite medii de comunicare, cu ajutorul altor tipuri de pachete de nivel legtur fizic. Antet IP Antet UDP Antet RTP ncrctur RTP

Figura4.2 Structura unui pachet RTP Pentru a fi inteligibile, pachetele RTP conin n antetul lor informaii necesare sincronizrii dintre recepie i transmisie. Un receptor va extrage din acest antet informaii privind sursa fluxului de date (un receptor poate primi mai multe fluxuri simultan de la mai muli emitori), numrul de ordine al pachetului n cadrul fluxului (pachetele trebuie s fie prelucrate n ordine, chiar dac din cauza reelei se pot pierde unele pachete sau acestea pot fi recepionate n alt ordine dect cea iniial) i informaii exacte despre timpul la care a fost generat pachetul (timestamp-ul este necesar atunci cnd pachetele nu sunt transmise n ordinea n care au fost eantionate, ca n cazul codrii MPEG cu cadre interpolate). ncrctura pachetelor RTP (payload) o reprezint chiar datele utile ce trebuie transportate. Aceste date pot fi chiar eantioanele preluate din captura audio, dar pot fi i alte informaii cum ar fi DTMF (Dual Tone Multi Frequency). DTMF-urile sunt semnalele audio generate de apsarea unei taste la telefoanele digitale. Aceste tonuri pot fi transmise ca semnale audio mixate n fluxul apelului, sau pot fi trimise ca un simplu identificator al semnalului. Metoda a doua este de preferat pentru c uureaz mult detecia frecvenelor corespunztoare tastei apsate (mai ales atunci cnd codificarea semnalului audio duce la scderea calitii i modificarea spectrului de frecven). Atunci cnd ncrctura pachetelor este chiar informaia audio sau video care constituie fluxul dintre corespondeni, aplicaia trebuie s asigure o redare ct mai normal prin rearanjarea ntr-o perioad ct mai scurt a pachetelor primite. Acest procedeu influeneaz calitatea vocii (ct de bine este neles corespondentul) i calitatea convorbirii (ct de uor este s pori conversaia). Aplicaia poate decide ct de mult s atepte dup un pachet care ntrzie s apar, ns scopul principal este de a prelucra ntr-o ordine corect ct mai multe astfel de pachete. Deci, cu impact duntor calitii, aplicaia poate renuna la unele pachete . nainte de nceperea comunicaiei, membrii stabilesc condiiile n care se va desfura

comunicarea: ce port-uri vor fi folosite, ce codec-uri se vor utiliza, ce rute vor avea pachetele, etc. Atunci cnd fluxul ajunge la receptor, trebuie interpretat conform informaiei din antetul RTP i conform negocierii efectuate prin SIP/SDP. Prelucrarea fluxului de date poate ncepe imediat, deoarece receptorul tie dinainte cu ce fel de date are a face. Aadar, receptorul trebuie s decomprime fluxul de date, evident bazndu-se pe algoritmul cu care a fost comprimat, eventual trebuie s decripteze fluxul dac acesta a fost securizat, apoi s redea printr-o conversie digital-analogic fluxul audio sau video. 4.6.2 Protocolul Session Instant Protocol (SIP) Protocolul SIP se adapteaz mult mai bine cerinelor i problemelor diferiilor utilizatori casnici, motiv pentru care se bucur de o rspndire tot mai larg. Protocolul H.323 este folosit acolo unde totul este sub control i supraveghere, ca de exemplu n cadrul reelelor de voce a diferitelor companii care furnizeaz servicii VoIP. SIP este aadar util utilizatorilor mici i mijlocii, dar marile companii de telefonie VoIP folosesc H.323 ca protocol de baz. Trebuie spus c n ultimul timp, mbuntirile aduse protocolului H.323 (care de fapt este o stiv peste mai multe protocoale ca H.225.0, H.245, H.450, H.235, H.239), reduc problemele ntmpinate de H.323 la traversarea diferitelor reele). Protocolul SIP este un protocol la nivel de aplicaie (conform nivelelor protocolului IP), utilitatea sa fiind de a iniia, modifica, controla i termina o sesiune interactiv ntre doi corespondeni, sesiune care implic elemente multimedia: voce (audio), imagini (video), comunicare (instant messaging), jocuri online, i altele. Protocolul SIP furnizeaz metodele necesare implementrii caracteristicilor pe care le ofer reeaua public de telefonie (PSTN), ca de exemplu: formarea unui numr, ntiinarea unui telefon c este sunat, auzirea unui sunet de sonerie sau de ocupat, terminarea unui apel, .a. Reeaua PSTN folosete pentru aceste funcii sistemul de semnalizare SS7 (Signalling System 7), sistem care furnizeaz servicii avansate de telefonie, dar SIP i SS7 sunt diferite ca i concept i implementare. SS7 este un sistem puternic centralizat, funciile de telefonie fiind ncorporate i implementate n interiorul companiilor de telefonie, telefoanele utilizatorilor fiind reduse din punct de vedere tehnic la minim. Pe de alt parte, SIP este un protocol peer-to-peer, ceea ce nseamn c acest protocol are nevoie de o reea de intercomunicare foarte simpl (dar puternic scalabil), inteligena i tehnologia necesar funcionrii fiind implementate n punctele extreme ale reelei, adic n telefoanele IP i n soft-urile VoIP. Multe din funciile SIP sunt implementate n punctele terminale ale comunicaiei, pe cnd funciile SS7 sunt implementate centralizat, n interiorul reelei.

Protocolul SIP, ca i H.323, se folosete n paralel cu alte protocoale, SIP fiind folosit doar n partea de semnalizare a sesiunii de comunicaie. SIP este purttor pentru protocolul SDP (Session Description Protocol), care este utilizat pentru a descrie coninutul media al sesiunii (ce port-uri sunt folosite, ce tip de flux va fi transmis, ce codec trebuie folosit, etc). Fluxul de date audio sau video este transmis prin alt protocol (RTP = Real Time Protocol), separat de pachetele SIP. Aplicaii audio G.711 G.729 G.723.1 RTP / RTCP UDP IP i straturile inferioare Figura 4.3 Stiva de protocolae pentru SIP Din unele puncte de vedere, SIP este asemntor cu protocolul HTTP, care este folosit pentru a accesa i transmite fiiere n World Wide Web. Asemnrile majore dintre cele dou protocoale sunt: orientarea cerere-rspuns, formatul lizibil pentru om i complexitatea redus. Cu toate c concepia iniial a SIP a fost orientat spre simplicitate, dezvoltrile ulterioare au adus SIP la o complexitate asemntoare cu cea a H.323. Att SIP, ct i H.323, nu sunt limitate la comunicare prin voce, ci pot media orice fel de comunicare(video, text sau alte metode). Un avantaj al telefoniei VoIP l reprezint posibilitatea de relocare a unui numr de telefon oriunde n Internet. Dar pentru aceasta trebuie ca numrul relocat s fie fcut public, astfel nct oricine ncearc s l contacteze, s l apeleze la locaia corect. Pentru aceasta se folosesc servere SIP denumite Registrar, care au scopul de a pstra un registru cu numerele de contact i locaia (adresa IP) unde pot fi contactate. Numerele de contact folosite de SIP au forma:Nume utilizator <sip:numr_utilizator@locaieip></sip:numr_utilizator@locaieip>. Deseori, diferena dintre un server proxy i un server registrar este doar logic, aplicaiile existnd fizic pe acelai elemet de reea. Un utilizator SIP trebuie s-i anune prezena ctre un Registrar. Acesta salveaz informaia pereche utilizator locaie ntr-o baz de date, dar pentru un timp limitat (de obicei cteva TCP Aplicaii video H.261 H.263 Controlul aplicaiilor / apelului SDP SIP SAP

minute), dup care informaia este tears. Utilizatorului i revine sarcina de a remprospta aceast baz de date, dac dorete s poat fi contactat de ali utilizatori. Cnd un utilizator 1 ncearc s contacteze un utilizator 2, va trimite o cerere ctre un server SIP proxy, informnd despre aciunea dorit. Serverul proxy interogheaz un Server de negistrare despre utilizatorul 2, cu scopul de a afla locaia curent a acestuia. Odat ce a aflat locaia, proxy-ul poate trimite cererea de conectare a utilizatorului 1 ctre utilizatorul 2 . Un exemplu de conectare ntre doi utilizatori este prezentat n figura urmtoare:

Figura 4.4 Stabilirea unei sesiuni SIP De observat la acest exemplu este: - invitaia de contactare (INVITE) trece prin cel puin un server proxy, pn s ajung la utilizatorul final (User2). - pn la mesajul M11, User1 nu tie locaia lui User2, aceasta fiind obinut cu ajutorul serverelor intermediare de tip proxy. - ncepnd cu M12 (mesajul de confirmare ACK=Acknowledge), User1 poate comunica direct cu User2, fluxul de date (Media Session) fiind stabilit direct ntre utilizatori. - dup M12, fluxul de date este transferat independent de SIP, de obicei folosindu-se protocolul RTP.

- n exemplul folosit, User2 are un timp n care sun (180 Ringing M6), dup care accept apelul prin mesajul M9. Dac ar fi vrut s resping acest apel, ar fi rspuns de exemplu cu 486 Busy Here (ocupat). - User2 este cel care va termina apelul prin mesajul M13 (BYE), iar User1 va confirma ntreruperea apelului cu M14 (OK). Codurile mesajelor (200 = OK, 404 = Not found) sunt similare codurilor folosite n protocolul HTTP i reprezint rezultatul aciunii. Din acest exemplu se observ utilitatea protocolului SIP, anume de a iniia (INVITE), controla (ACK) i de a termina o sesiune (BYE) care implic transmisia unui flux de date (Media Session). 4.7 Ameninri la adresa serviciilor Voice over IP 4.7.1 Ameninrile mpotriva disponibilitii Sunt un grup de ameninri asupra sistemelor care sunt nevoite s fie dosponibile 24 de ore pe zi , 7 zile pe sptmn. Scopul acestor ameninri este de a ntrerupe serviciile VoIP. Aceste tipuri de ameninri sunt : 4.7.1.1. Call flooding ncrcarea cu Apeluri Un atacator trimite o mare cantitate de trafic valid sau nevalid ctre o int anume din sistem( de exemplu un server VoIP, un client sau alt echipament din infrastructura de baz), pentru a ncarca reeua rezultnd astfel o degradare a performanelor acesteia sau chiar intrruperea funcionrii sistemului de comunicaii. Metodele tipice ale acestei ameninri sunt: - ncrcarea cu nregistrri valide i invalide: un atacator folosete aceast metod deoarece majoritatea serverelor de nregistrare accept cereri de nregistrare de la orice echipament final conectat la internet ca prim prunct de autentificare. - ncrcarea cu cereri de apel valide i invalide: majoritatea serverelor VoIP au o caracteristic de securitate care blocheaz cererile de apel invalide. Astfel, un atacator poate nti s afle datele unui utilizator valid i s se nregistreze apoi cu identitatea acestuia, trimind apoi o mare cantitate de cereri de apel ntr-o perioad foarte scurt de timp ( de exemplu 10000 de mesaje SIP INVITE ntr-o secund). Aceast aciune degradeaz performana reelei semnificativ. - ncrcarea controlului apelului dup stabilirea acestuia. - ncrcarea cu ping-uri : VoIP folosete mesaje de tipul ping la nivelul Aplicaie pentru a verifica disponibilitatea serverului local sau pentru a menine deschis ieirea in serverul NAT( Network Address Translation). Majoritatea echipamentelor din

reelele IP nu permit n reeaua de producie mesaje ICMP ping din motive de securitate. Oricum , majoritatea serverelor VoIP permit mesajele de tipul ping datorit nevoii de funcionare a anumitor servicii, astfel reeaua putnd fi ncrcat cu mesaje ping. n figura 4.5 este ilustrat un exemplu de ncrcare distribuit cu zombii. Un atacator infecteaz cu virui mai multe calculatoare i le folosete ca zombii dup care le ncarc pe fiecare cu mesaje de nregistrare . Fiecare zombii trimite 1000 de mesaje SIP REGISTER pe secund.

Figura 4.5 Exemplu de ncrcare cu apeluri n figura 4.5 , mesajele ncrcate vor avea un impact sever asupra serverului de nregistrare SIP att timp ct vor exista mesaje de eroare de genul 401 Unauthorized, 404 Not Found , 400 Bad Request. Impactul negativ const n faptul c se face o mare risip de resurse ( ca banda disponibil a reelei, memorie, CPU), sistemul putnd funciona incorect. Nu numai ncrcarea inteniont trebuie luat n calcul, ci i ncrcarea datorat configurrilor greite ale echipamentelor sau probremele arhitecturale ale reelei, ori situaii unice.

Att ncrcarea intenionat ct i ncrcarea neintenionat a apelurilor reprezint cele mai critice ameninrii pentru Service Provider-i, care trebuie s supravegheze i s monotorizeze permanent disponibiliatatea sistemului. 4.7.1.2 Mesajele Malformate( Protocolul Fuzzing) Un atacator poate crea i trimite mesaje malformate(cu format eronat) serverelor sau clienilor VoIP, avnd ca scop ntreruperea funcionrii sistemului. Un mesaj malformat este un protocol cu sintax greit. n figura 4.6 este prezentat un exemplu cu un mesaj SIP INVITE.

Figura 4.6 Mesaj SIP INVITE malformat Ceea ce este greit in acest mesaj de tip SIP INVITE: trei headere SIP ( Request URI, From i Call-Id) i o versiune n protocolul SDP( SIP Description Protocol) au formatul greit. Serverele care recepioneaz acest tip de mesaje neateptate ar fi putea devenii confuze, i ar reaciona n diferite moduri. Principalele impacte negative ar putea fi: - Apariia unei bucle infinite. - Suprancrcarea buffer-ului de memorie. - Incapabilitatea de a procesa alte mesaje normale.

- Distrugerea sistemului. Ameninarea mesajelor malformate ar putea fi prevenit att timp ct algoritmul de parsare funcionaz corect.

4.7.1.3Mesajele Falsificate Un atacator ar putea falsifica mesajele n timpul unei sesiuni SIP pentru a ntrerupe serviciul, sau le insereaz pentru a putea fura sesiunea. Exemplele tipice de aceste atacuri sunt numite call teardown i toll fraud. 4.7.1.3.1 Call teardown ntreruperea Apelului: n cazul acestei metode de hacking , un atacator monotorizeaz dialogurile SIP i obine astfel infortmaii despre sesiunile SIP ( Call-Id, From Tag, To Tag ) i trimite mesaje de ntrerupere a apelului( de exemplu SIP BYE) echipamentelor de comunicaii pe care le folosesc utilizatorii n momentul comunicaiei. Un echipament care recepioneaz un astfel de mesaj nchide sesiunea imediat. Un exemplu cu mesaje SIP este artat n figura 4.7.

Figura 4.7 Exemplu de atac Call Teardown

n cazul acestui exemplu se presupune c atacatorul a monotorizat deja sesiunea SIP existent ntre echipamentele User A i User B, deci cunoate informaiile din SIP dialog. Acesta introduce n sesiune mesaje de terminare a apelului de tipul BYE. Echipamentul utilizatorului A recepioneaz acest mesaj i nchide canalul media ce a asigurat comunicaia. O alt metod de atac este atunci cnd se trimit mesaje de nchidere apel aleatoriu la echipamentele din reea( mai ales la serverele proxy) far s se cunoasc informaiile din vre-o sesiune, ceea ce ar putea afecta sesiunile curente. 4.7.1.3.2 Toll Fraud Fraudarea Taxrii Fraudarea taxrii unui apel este una din cele mai comune ameninri din zilele noastre, mai ales n cazul apelurilor pe distan lung sau internaionale. Deoarece majoritatea echipamentelor ce au funcii decizionale ( ca media gateway din PSTN, sau serverul proxy) cer date de autentificare valide( de exmplu ID sau parol ) nainte de a stabilii taxarea apelului, un atacator strnge aceste date de autentificare mai nti, prin diferite moduri. Deobicei acesta creaz mesaje falsificate care foreaza spargerea parolei de pe server pan cnd acesta i permite accesul. Dac clientul folosete parola implicit a sistemului sau parole uor de ghicit, atacatorului i va fi mult mai accesibil s sparg aceste parole folosind dicionar de parole. Un dicionar de parole este un fiier care conine milioane de parole frecvent utilizate. Mjoritatea parolelor sunt create manual de ctre oameni, i in cele mai multe cazuri sunt expresii simple uor de inut minte. Prin urmare, atacatorii folosesc dicionare de parole care conin milioane de astfel de parole, expresii care nu ar necesita mult timp pentru introducerea lor. n unele cazuri serverele nu cer date de autentificare, dar verific adresa IP sau subreeaua clientului pentru a controla accesul n sistem. n special cnd un trunk de apel ( de exemplu un trunk SIP ) este setat ntre Service Povider i o ntreprindere client, controlul accesului pe baza adresei surs IP sau subreea este folosit frecvent. Un atacator ar putea avea acces la server falsificnd adresa surs IP. 4.7.1.4 Call Hijacking (Deturnarea Apelurilor) Deturnarea apare atunci cnd un atacator pune stpnire pe anumite tranzacii ntre echipamentele finale VoIP i reea. Tranzaciile pot fi nregistrri, stabiliri de apeluri, trafic media. Aceste deturnri pot provoca ntreruperi serioase serviciului deconectnd utilizatorii legitimi s foloseasc serviciul Voice over IP. Este similar cu tipul de atac call teardown n ceea

ce privete furtul informaiilor din sesiuni, dar acioneaz i are un impact diferit. Cazurile tipice sunt deturnrile nregistrrilor, ale sesiunilor media sau clonarea aciunilor serverului. 4.7.1.4.1 Deturnarea nregistrrilor : Procesul de nregistrare permite serverului s identifice echipamentrul la care utilizatorul este localizat. Un atacator monotorizeaz sesiunnea i trimite mesaje falsificate serverului n scopul deturnrii sesiunuii. Cnd autentificarea unui utilizator a fost detrunat acesta numai poate primii apeluri de intrare. n figura 4.8 este prezentat o astfel de metod.

Figura 4.8 Deturnarea nregistrrii Un atacator care realizaz aceasta metod pcalete un utilizator fcndu-l s cread c el este server de nregistrare, modificnd headerul From i adugnd adresa sa( adresa atacatorului) n headerul To cnd trimite un mesaj de nregistrare care update-az nregistrarea-adres a intei . Toate apelurile de intrare ctre User A vor fi rutate ctre atacator. Acest tip de ameninare se ntmpl atunci cnd serverul de nregistrare se bazeaz numai pe header-ele SIP pentru identificarea utilizatorului. 4.7.1.4.2 Deteurnarea sesiunilor media (Media Session Hijacking) Cnd o sesiune media este negociat ntre dou echipamente terminale, atacatorul poate trimite mesaje falsificate unuia dintre ele pentru a redireciona traficul media ctre un alt echipament, de exemplu propriul echipament VoIP. Victima va fi capabil s vorbeasc numai cu echipamentul atacatorului.

Figura 4.9 Deturnarea Sesiunii Media n figura 2_4, User-ul A ncearc s il apeleze pe User-ul B i telefonul acestui din urm sun. Avnd monotorizat cererea de apel ctre User B, atacatorul detecteaz apelul i trimite un mesaj de tipul 200 OK ctre User A cu adresa IP a serverului su( al atacatorului). User A netiind ce se ntmpl las un mesaj vocal ctre User B n csua voice-mail a atacatorului. Aceast deturnare se ntmpl naintea stabilirii sesiunii media ntre cele dou echipamente finale. Chiar dac sesiunea media este deja stabilit, atacatorul nc poate s deturneze sesiunea trimind ctre User A un mesaj de tipul Re-Invite. 4.7.1.4.3 Server Impersonating Atacatorul pretinde c el este Serverul Un client VoIP trimite o cerere ctre server pentru nregistrare, stabilire apel, rutare etc. Este posibil ca un atacator s se pretind drept server, s captureze cererile de la client i s le manipuleze dupa cum vrea el. Aceast metod atac serverul local de TFTP sau serverul DNS ca pas iniial. Atacatorul poate ptrunde n serverul TFTP i s nlocuiasc fiierul de configurare al telefoanelor IP cu propriul fiier de configurare unde ar putea avea de exemplu adresa IP a unui server fals ( de exemplu server SIP Register). Telefoanele IP vor descrca fiierele virusate i astfel vor trimite diverse tipuri de cereri la un server al atacatorului.

Figura 4.10 Eemplu de ameninare de tipul Server Impersonating n exemplul din figura 4.10, atacatorul compromite mai nti serverul local DNS nlocuind adresa 10.1.1.10 a serverului original.redirect.com cu adresa 10.10.10.10 care este adresa serverului de redirecionare a atacatorului. Cnd User A l apeleaz pe User B, telefonul IP caut adresa serverului original.redirect.com 10.1.1.10 dar primete n schimb adresa serverului de redirecionare a atacatorului 10.10.10.10 . Mesajul INVITE este trimis serverului maliios, iar acesta rspunde cu un mesaj de tipul 302 Moved Temporarily cu o informie de contact greit ce ar putea conine o adres a unui server proxy al atacatorului pentru viitoare atacuri. Serverul de redirecionare original nu poate primii nici o cerere de apel n aceast situaie. 4.7.1.5 QoS Abuse Abuzul Qos Elementele unei sesiuni media sunt negociate ntre echipamentele terminale n timpul stabilirii apelului. Aceste elemnte sunt : tipul de media, rata de transfer a codecului, tipul de ncrcare. De exemplu s-ar putea s fie necesar sau nedorit folosirea codecului G729 cnd parsim reeaua ( pentru a reduce limea de band) cum i folosirea codecului G721 atunci cnd efectuam apeluri n reeaua local ( pentru o mai bun calitate a apelului). Un atacator ar putea intervenii n aceast negociere abuznd de Quality of Service , prin modificarea, nlocuirea, tergerea codecurilor sau tipurilor de ncrcare. O alt metod de abuz al QoS este ocuparea lungimii de band cu un echipament maliios , astfel utilizatotii neputnd folosii banda destinat servicilor VoIP. Unele companii de furnizori

de servicii VoIP limiteaz banda pentru anumite grupuri de hosturi pentru a proteja reeaua. Atacatorul ar putea tii limita de band disponibil i ar putea ncrca canalul cu fluxuri masive de date, calitatea vocii fiind n acest caz degradat semnificativ. 4.7.2 Amenin rile mpotriva Confinfiden ialit ii Acest tip de ameninri nu au un impact asupra comunicaiilor curente n general, dar ofer surse neautorizate prin capturi media, date de autentificare si identitate care sunt folosite pentru conexiuni neautorizate sau pentru alte scopuri maliioase. Tranzaciile VoIP sunt cele mai expuse la aceste ameninri, deaorece nu ofera conectivitate totala ( att semnal ct i media) de la un capt la celalalt. De fapt, cripatarea total a headerelor mesajelor VoIP nu poate fi realizat datorit serverelor intermediare ( de exemplu Server Proxy), care trebuie sa caute header-ele de rutare a apelurilor. n multe cazuri serverele trebuie s introduc anumita informaie n unele header-e ( de exemplu header-ul Via n SIP) dup felul n care a fost construit protocolul. n ceea ce urmeaz vom vorbii despre urmtoarele tipuri de ameninari de confidenialitate : ascultarea informaiilor media ( Eavesdropping Media ) , urmrirea apelurilor ( Call Pattern Media ), exploatarea datelor ( data mining ) i reconstrucia acestora.
4.7.2.1 Eavesdropping Media Interceptarea Datelor:

A trage cu urechea la conversia cuiva a fost cea mai popular ameninare de cnd a luat natere serviciul de telecomunicaii acum foarte muli ani, chiar dac aceste metode sunt diferite n funcie de tipul telofoanelor i sistemelor Voice over IP. n tehnologia Voice over IP , un atacator folosete dou metode tipice. Una const n captarea pachetelor de date n acelai domeniu de broadcast cu inta, sau de pe aceai cale pe care o parcurge fluxul media. Cealalt metod const n compromiterea echipamentelor de acces ( de exemplu un switch de Nivel 2 ) i trimiterea fluxului media ctre echipamentul atacatorului. Fluxurile media pot fi alctuite numai din voce sau din date integrate de video, text, fax sau imagine.

Figura 4.11 Operaia de Eavesdropping media Dup cum este artat n figura 4.11, echipamentul atacatorului se afl n acelai domeniu de broadcast ca si utilizatorul User A, i poate captura toate semnalele i fluxurile media cu ajutorul unui hub. De asemenea n aceast imagine mai este artat c exist posibilitatea ca un atacator sa poat patrunde pe echipamente de acces ( switch-uri) sau pe rutere i s configureze un port de monotorizare pentru VLAN-urile de voce, trimind apoi pachetele captate ctre echipamentul su. O alt metod de interceptare a datelor este ca atacatorul s aleag aceai cale de parcurgere ca i pachetele media. 4.7.2.2 Call Pattern Tracking Urmrirea Apelurilor Aceast metod este o analiz neautorizat a traficului Voice over IP de la sau ctre orice nod intermediar sau reea , deci atacatorul ar putea avea ca int un echipament, o informie de acces (IP/Port) , protocol sau o vulnerabilitate a reelei . Ar putea fi folositor pentru prevenirea acestor fraude, dac s-ar ti cine sun i cnd sun n orice moment. De exemplu, tiind faptul c anumii oamneni dintr-o companie( de exemplu directorul i directorul executiv) au sunat la ali oameni ( s presupunem c au aceleai funcii ) din alt companie, ar putea indica c este o ascultare pe acea cale. n figura 4.12 este artat un exemplu de analiz neautorizat,unde un atacator ar putea captura simple mesaje chiar n mijlocul reelei. Din simple mesaje SIP de tip cerere (Request) i rspuns (200 OK) atacatorul ar putea extrage informaii foarte importante de unde poate analiza uor protocololul folosit ( cuvintele care sunt subliniate).

Figura 4.12 Informaii obinute din mesajele SIP Din imaginea 4.12 un atacator ar putea extrage urmatoarele informaii : - Adresa serverului proxy este 192.168.10.10, iar portul de ateptare este 5060. - n aceast sesiune se folosesc pachete UDP pentru semnalizare necripatate. - Serverul proxy nu cere autentificare pentru cererile de apeluri. Apelantul, care are numrul de telefon 4085251111 face un apel ctre numarul 9252226543. - Adresa IP a telefonului lui Alice este 10.10.10.10 iar media gateway este 172.26.10.10 ( presupunnd ca apelurile vor merge n PSTN ). - Media gateway deschide portul UDP 20000 pentru a un flux RTP de la telefonul lui Alice. - Media gateway accept doar codecul G729a.

Informaiile prezentate mai sus pot fi folosite pentru eventuale atacuri asupra serverului proxy sau a asupra media gateway. 4.7.2.3 Data mining Exploatarea Datelor La fel ca spammer-ii de email-uri care colecteaz adrese de email de la diferite site-uri sau cari de adrese, spammer-ii VoIP colecteazinformaii de utilizator ca numr de telefon sau mesaje interceptate, acesta fiind un exemplu de exploatare a datelor. Aceast metod de ameninare este defapt o colecie de identificatori ca numere de telefon, nume, adrese email, URL, caractere sau diferii indentificatori care ar putea reprezenta telefoane sau noduri ale serverului din reea. Atacatorii folosesc aceste informaii pentru conectari neautorizate ca: - Apeluri fraudate. - Apeluri spam. - ntreruperi ale serviciului ( ca ncrcarea , ntreruperea, deturnarea, interceptarea apelului ) . Cu identificatori valizi, atacatorii pot avea ansemai mari s ntrerup serviul trimind diferite tipuri de mesaje maliioase. Multe servere resping toate mesajele , exceptnd nregistrarea , numai dac utilizatorul este nregistrat. 4.7.2.4 Reconstruction Reconstrucia Reprezint reconstrucia neautorizat a vocii, imaginilior , imaginilor video, textelor sau a informaiilor din capturarea semnalelor sau fluxurilor media dintre pri. Reconstrucia include monotorizarea, nregistrarea, interceptarea, recunoasterea, i extracia oricrui tip de comunicaii far acordul parilor. Exemple: - Decodarea datelor criptate de un protocol particular. - Extragerea tonurilor DTFM din conversaiile nregistrate. - Extragerea imaginilor fax din comunicaiile convergente. - Interpretarea mecanismului de atribuire a cheilor sesiunilor dintre pri.

Aceste reconstrucii nu afecteaz comunicaiile curente, dar sunt folosite pentru atacuri viitoare i pentru practici ilegale. 4 .7.3 Amenin ri mpotriva integrit ii Aceste tipuri de ameninri au un impact sever asupra serviciilor curente n cele mai multe cazuri. Metoda de baz a acestei ameninri const n modificarea mesajelor ( semnalelor ) dup ce au fost interceptate n interiorul reelei. Un atacator poate vedea ntreaga semnalizare i fluxul media dinte punctele terminale ct i intermediare. Modificarea poate consta n tergerea, injectarea, nlocuirea unor informaii din mesajele VoIP sau media. Aceast seciune este mprit n doua tipuri de ameninri la nivel nalt : - Ameninri mpotrica integritaii mesajelor( message alteration ). - Ameninri mpotriva media ( media alteration ). 4.7.3.1 Message Alteration - Modificarea mesajelor Este tipul de ameninare n care atacatorul intercepteaz mesajele n mijlocul comunicaiei i modific anumite informaii pentru a reruta apelul, pentru a schimba informaiile sau pentru a ntrerupe serviciul. n cele ce urmeaz vor fi prezentate dou astfel de ameninri : rerutarea apelului ( Call rerouting ) i ( Black holing ). 4.7.3.1.1 Call Rerouting Rerutarea Apelului Este o schimbare neautorizat a direciei de rutare a apelului prin modificarea informaiilor de rutare din mesajul protocolului. Scopul acestei metode este ori excluderea entitilor legitime ori includerea altora nelegitime n ruta pe care o parcurge semnalul.

Figura 4.13 Exemplu de rerutare a apelului n exemplul prezentat n imaginea 4.13 , atacatorul monotorizeaz mesajul cerere de apel ( de exemplu un mesaj de tip SIP INVITE ) de la User A ctre un server de redirecionare. Cnd User A iniiaz apelul , telefonul IP trimite un mesaje de tip INVITE ctre serverul de redirecionare aa cum este aratat n figura 4.14.

Figura 4.14. Telefonul IP trimite un mesaj INVITE ctre serverul de redirecionare Atacatorul detecteaz mesajul INVITE i intercepteaz mesajul rspuns ( acesta este 302 Moved Temporarily ) de la serverul de redirecionare , dup cum este aratat n figura 2_10.

Figura 4.15. Mesaj rspuns de tipul 302 Moved Temporarily

Atacatorul nlocuiete adresa IP a serverului proxy (10.1.1.10) n header-ul Contact cu adresa propriului server proxy (172.26.1.10) i-l trimite ctre telefonul IP aa cum este artat n figura 4.16.

Figura 4.16. Trimiterea mesajului 302 Moved Temporarily modificate telefonului IP Telefonul IP trimite un nou mesaj INVITE ctre serverul proxy al atacatorului mai degrab , dect serverului su legitim. De acum, atacatorul fiind n mijlocul convorbirii poate s vad toate mesajele schimbate ntre punctele terminale i poate s le modifice dup cum dorete. 4.7.3.1.2 Call Black Holing Este o metod neautorizat de tergere sau de blocare a unor elemente eseniale din mesajele protocolului , n timpul desfurrii comunicaiilor. Consecinele negative ale acestei motode constau n ntrzieri ale stabilirii apelului , refuzarea anumitor mesaje eseniale, creearea de erori pentru aplicaii, ntreruperea intenionat a apeulrilor. Cteva exemple cu protocolul SIP sunt: 1. Un atacator, acioneaz ca un intermediar , i arunc doar mesajele de tipul ACK dintre prile care au iniiat apelul, astfel c dialogul SIP nu poate fi completat. 2. Un atacator terge informaiile sesiunii media (SDP) din mesaje INVITE, ce ar putea avea ca rezultat deconectarea apelului. 3. Un atacator refuz trecerea tuturor mesajelor ctre un anumit

utilizator, astfel c acesta nu va putea recepiona nici un apel de intrare.

4.7.3.2 Media Aleteration Modificarea fluxurilor media

Este ameninarea n care atacatorii intercepteaz fluxurile media i injecteaz fiiere media eronate sau neautorizate, degradeaz QoS, terge anumite informaii. Fluxurile media pot fi formate numai din voce sau voce integrat cu video,text, imagine, fax. Exemplele tipice ale acestei ameninri sunt injectarea cu fluxuri media ( media injection ) sau degradarea acestora. 4.7.3.2.1 Media Injection Injectarea cu fluxuri media Este o metod neautorizat n care se injecteaz noi fluxuri media ntr-un canal media activ sau se nlocuiesc fluxuri media ntr-un canal media activ. Consecina acestor atacuri este ca victima v-a auzi sunete perturbatoare n timpul conversaiei. n figura 4.17 este artat un exemplu de atac asupa unui flux de voce.

Figura 4.17 Exemplu injectare flux media de voce n exepmlul din figura 4.17 , utilizatorul A , cu un telefon IP face un apel ctre User B care are un telefon ISDN prin Media Gateway. Dup stabilirea apelului telefonul IP trimite pachete (RTP) de voce ctre Media Gateway. Atacatorii monotorizeaz numerele de secven RTP ale pachetelor de voce , i ajusteaz numrul de secven a pachetelor ilegitime ( de exemplu avertizri ) i le injecteaz apoi n canalul de voce, ajungnd la destinaie naintea pachetelor legitime. Utilizatorul B aude semnalele vocale injectate.

4.7.3.2.1 Media Degradeding Degradarea Fluxurilor Media

Este metoda n care atacatorul controleaza fluxul media sau pachetele pentru controlul media ( de exemplu, Real-Time-Control-Protocol [RTCP]), comunicaii. Mai jos vor fi prezentate doua astfel de atacuri: 1. Un atacator intercepteaz pachetele RTCP, i schimb (sau terg) valorile statistice ale traficului media ( numrul de pachete pierdute, ntrzierea, sau jitter-ul ) astfel c echipamente terminale s-ar putea s nu controleze fluxurile media n mod corespunztor. 2. Atacatorul media intercepteaz pachetele RTCP, i schimb numerele de i reduc QoS-ul oricrei

secven ale pachetelor media, astfel c echipamentele terminale ar putea rula fluxurile media cu secvenele media greite, care degradeaz calitatea. 4.7.4 Amenin rile mpotriva contextului social O ameninare mpotriva contextului social( cunoscut ca ameninare social ) este ceva diferit de celelalte tipuri de ameninri discutate anterior mpotriva confidenialitaii, integritii, disponibilitii. Aceste ameninri sunt axate pe felul cum s manipuleze contextul social dintre prile implicate n comunicaie, astfel c atacatorul i poate falsifica identitatea dndu-se drept surs de ncredere , distribuind informaii false victimei.

S-ar putea să vă placă și