UNIP - UNIVERSIDADE

PAULISTA
.

GERENCIAMENTO DE REDES DE
COMPUTADORES

PIM – PROJETO INTEGRADO

MULTIDISCIPLINAR

SÃO PAULO - 2008

 UNIP - UNIVERSIDADE
PAULISTA
GERENCIAMENTO DE REDES DE
COMPUTADORES

4º SEMESTRE

TURMA: Q

REPRESENTANTES:

NOME: FABIO DE PAULA CANEPA RA: 277711-

8
NOME: MAURICIO DANIEL DE S SANTOS RA:
391969-2
NOME: HERBERT ARAUJO LUCIO RA: 395795-
0
NOME: BRUNO DE SOUZA ANDRADE RA:
279092-0
NOME: RENATO LIMA SANTOS RA: 275487-
8
NOME: RODRIGO MARTINEZ FERREIRA RA: 277577-
8

PROSPECT
INDÚSTRIA
PETROQUÍMIC
A
DO BRASIL
 Objetivo

O principal objetivo do projeto para empresa é a redução de custos, ou seja, de

uma maneira simples e eficaz iremos realizar um mega investimento ao
interligarmos as três filiais da empresa localizadas nos seguintes estados: São
Paulo (matriz), Goiás e Rio de Janeiro, que iram se comunicar através de
VPN’S e VOIP, tecnologias extremamente avançadas que permitirão a
utilização de banda larga e telefonia ao mesmo tempo, tornando assim uma
empresa muito mais ágil e focada no resultado final.
 Introdução

O protocolo utilizado para esta comunicação será o SIP (Session Initiation

Protocol), ou seja, VPN’s, Voip, Firewall e pessoas em três estados brasileiros
se comunicando ao mesmo tempo, sem perder informação e com uma
qualidade incrível, para este feito, será necessário uma comissão, onde serão
definidas algumas premissas que serão apresentadas no cronograma abaixo:
 POLÍTICAS DE SEGURANÇA

Precedendo a implantação de qualquer ferramenta deve-se cuidar da Política

de Segurança em Redes que contenha as seguintes abordagens: Propósito da
Política, Conteúdo da Política e Implementação da Política.

Implementação da Política
Nenhuma política deve ser implementada até que os usuários sejam treinados
nas habilidades necessárias para seguí-la. As boas políticas de segurança
dependem do conhecimento e cooperação dos usuários. Isto é particularmente
relevante para segurança contra vírus e políticas sobre gerencia de senhas.
Segurança requer mais que conhecimento. Todos usuários devem saber como
agir quando se virem diante de uma violação ou possível violação. Todos
usuários devem saber quem chamar se tiverem perguntas ou suspeitas, e
devem saber o que fazer e o que não fazer, para minimizar riscos de
segurança. Estes usuários devem ser incentivados a sentir que as medidas de
segurança são criadas para seu próprio benefício.

Premissas Básicas
Os padrões de segurança devem ser fornecidos e verificados para uma rede de
computadores genérica e em nenhuma hipótese para uma rede de
determinado fabricante ou fornecedor. Quando se utiliza o termo servidor, deve-
se lembrar de associar todos os equipamentos e funções vinculadas ao
equipamento principal, e é muito importante ressaltar que este servidor não
deve ser utilizado como estação de trabalho. Este servidor deve assumir o
controle e a segurança dos recursos de informação de uma rede evitando-se a
dispersão do controle da segurança.

A segurança do servidor reflete o julgamento e as prioridades do administrador

da rede local e a segurança de um conjunto de servidores espelha a segurança
da rede de uma organização. O administrador de rede ou de segurança é o
responsável principal pela segurança da rede local não se admitindo
transferência desta responsabilidade. As decisões e alternativas tomadas pelo
administrador da rede devem ser objeto de auditoria que julguem as
alternativas adotadas.
 Política Geral de Segurança
É interessante apresentarmos itens de uma política geral para redes locais que
determinam o início de parâmetros necessários à criação de um ambiente com
certa segurança e confiabilidade.

1. Não deve haver administração remota do servidor, que não seja do console
e todas as funções do servidor não podem ser executadas remotamente;

2. Todas as operações do administrador devem ser executadas a partir da

console principal;

3. Os programas de usuário devem ser executados somente das estações de

trabalho;

4. Nenhum servidor ou qualquer recurso do servidor deve ser acessado

através de boot por disco flexível;

5. Não deve existir comunicação direta ponto-a-ponto. Toda comunicação deste

tipo deve ser feita através de um servidor;

6. Não devem existir múltiplas identificações/senhas de entrada no sistema,

devendo haver indicação quando o mesmo usuário tentar utilizar sua
identificação simultaneamente;

7. Todos os recursos de monitores de tráfego, roteadores e hubs devem ser

autorizados, identificados e supervisionados;

8. Deve existir um planejamento formal, completo e testado de recuperação de

desastres, de qualquer recurso, para todas as redes locais;

9. Informações classificadas como sensíveis ou relevantes não devem ser

transmitidas através de qualquer tipo de formato texto.

10. Backup feito diariamente, em fita dat.

11. Todas as maquinas não vai funcionar (Pen Drive, não vai ter gravador de
CDs, diskets e anexo de e-mail com limite de 5 Mbs do envio).

12. Firewall, iremos utilizar 2 firewall em cada filial, sendo um firewall proteger a
DMZ, VPN, Acesso externo(internet), acesso aos servidores de web e ftp e o
outro firewall protege a rede interna local.

13. Senhas para usuários, vão ser expiradas de 15 e 15 dias, não podendo
repetir as 3 ultimas.

14. Acesso as pastas do servidor, cada departamento vai ter a sua permissão.

EXEMPLO: ( RH, somente os funcionários de Rh vão acessar as pastas do

Rh).

15. Treinamento para todos os funcionários, informando como deve ser

trabalhado as normas de segurança, explicando os riscos e os benefícios para
eles.

16. Todos os usuários, irão logar no domínio da empresa.

 IPSEC
O IPSec é uma extensão do protocolo IP que tem sido bastante
empregado na implementação de soluções de VPN’s por oferecer
confidencialidade (criptografia) e integridade (assinatura digital) dos
pacotes IP processados. Em suas especificações, existem dois modos de
funcionamento, o modo transporte (transport mode) e o modo túnel
(tunnel mode), descritos na RFC2401 de Kent, Atkinson (1998) [2], que
explicam:

"Cada protocolo [ESP e AH7] suporta dois modos de uso: o modo

transporte e o modo túnel. No modo transporte, o protocolo provê
proteção primariamente para os protocolos de camada superior; no modo
túnel, os protocolos são empregados como um túnel de pacotes IP." 8

Podemos observar a diferença nas ilustrações abaixo:

Figura 4 - IPSec em Modo Transporte

Figura 5 - IPSec em Modo Túnel

Como se pode observar, o funcionamento no modo transporte é similar ao

do SSL, protegendo ou autenticando apenas a porção de dados do
pacote IP, entretanto ele pode encapsular outros protocolos de camada
de transporte, como o UDP. Já no modo túnel, o pacote IP inteiro é
criptografado, dessa forma nem o cabeçalho do pacote original pode ser
verificado por um IDS.

Devemos ainda considerar as topologias em que VPN’s com IPSec

podem ser implementadas, uma vez que esse tipo de tráfego é relevante
para a correta implantação de sistemas de detecção de intrusos. O IPSec
pode ser implementado máquina-a-máquina ou gateway-a-gateway. Este
último modo é geralmente utilizado para interconexão de duas redes (com
dois roteadores, por exemplo), mas não se restringe a ela. Podemos
observar nas Figuras 6 e 7 as duas formas:
Figura 6 - IPSec máquina-a-máquina

Atente para o fato de que, no esquema representando pela figura acima,

o monitoramento e análise não possível com IDS baseado em rede.

Figura 7 - IPSec gateway-a-gateway

No caso representado acima, a monitoração e análise são possíveis com

IDS baseado em rede após os dispositivos IPSec.

De forma semelhante ao SSL, um sistema de IDS não terá como verificar

possíveis ataques sobre uma conexão com IPSec. No modo transporte,
pode-se verificar somente o cabeçalho dos pacotes; no modo túnel, nem
o cabeçalho pode ser verificado. E como descrevem Kent, Atkinson
(1998), na RFC2401: "Porque estes serviços são providos na camada IP,
eles podem ser usados por qualquer protocolo de camada superior, ex.:
TCP, UDP, ICMP, RIP, etc." 9 Assim, os ataques podem ser efetivados em
qualquer protocolo sobre IP.

Pode-se questionar a validade do estudo de possíveis ataques feitos

sobre IPSec, uma vez que as VPNs devem idealmente ter autenticação
forte de seus usuários. Entretanto, muitas organizações têm criado VPNs
para uso anônimo, sem autenticação; outras ainda possuem
autenticação, mas esta pode ser roubada ou inferida; é possível, ainda,
que um usuário legítimo faça um ataque, estes fatores fazem com que a
autenticação não seja um fator limitante a um ataque.
Uma exceção ocorre quando é utilizada uma VPN gateway-a-gateway e
um IDS é posicionado imediatamente após o gateway, onde o tráfego de
saída da VPN ainda não foi processado e o tráfego entrante já foi
restaurado. Nesta posição não há barreiras a uma verificação completa.
Podemos vislumbrar algumas soluções para o uso de IDS’s com SSL e
IPSec, por exemplo, a adição de agentes de IDS nas aplicações. Mais
que clientes no host ou no sistema operacional, muitos destes serviços de
criptografia (notadamente o SSL) fazem parte da própria aplicação (ex.:
servidores Web, servidores IMAP, etc), tornando a implantação de
módulos de IDS na aplicação necessária. Outra solução pode ser a
utilização de front-end de descriptografia, o que torna a solução
semelhante ao IPSec gateway-a-gateway . Desta forma, é possível
novamente a utilização de IDS baseados em rede para a monitoração.

7 - O protocolo AH (Authentication Header), como definido na RFC 2402,

provê integridade sem conexão, autenticação da origem dos dados, e um
serviço opcional para prevenção de reenvio de pacotes.
O protocolo ESP (Encapsulating Security Payload), como definido na
RFC 2406, pode prover confidencialidade (criptografia) e limitado fluxo de
tráfego confidencial. Ele pode também prover integridade sem conexão,
autenticação da origem dos dados e um serviço de prevenção de reenvio
de pacotes. A diferença entre os dois protocolos é que o ESP não atua no
cabeçalho dos pacotes IP, só no campo de dados.

8 - Kent, Atkinson (1998) : "Each protocol [ESP and AH] supports two
modes of use: transport mode and tunnel mode. In transport mode the
protocols provide protection primarily for upper layer protocols; in tunnel
mode, the protocols are applied to tunneled IP packets."

9 - Kent, Atkinson (1998): "Because these services are provided at the IP

layer, they can be used by any higher layer protocol, e.g., TCP, UDP,
ICMP, RIP, etc.",

10 - Existem produtos que fazem o off-load de SSL. Eles podem ser

posicionados antes ou junto a servidores Web e entregam o tráfego já
decriptografado aos servidores, permitindo o uso de IDS em rede ou em
host. O iSD-SSL Accelerator da Alteon e o Intel Netstructure 7110 são
exemplos deles.
 Segurança VOIP: Ameaças e firewall

Os ataques ao VOIP podem ser divididos em três categorias segundo o tipo

principal de impacto: de disponibilidade, de integridade e de confidencialidade e
privacidade. Os ataques à disponibilidade podem causar perda de receita, de
produtividade e incremento dos custos (normalmente decorrentes de
manutenções não previstas) pela indisponibilidade ou degradação do serviço.
Dentro dessa categoria incluem-se ataques como o DoS e DDoS.

Os ataques à integridade tentam comprometer os serviços VOIP através de

troca de identidade e outras atividades fraudulentas. Ataques deste tipo podem
ter impacto financeiro, prejudicar a reputação, deixar vazar informação
sensitiva e causar perda de produtividade. Dentro dessa categoria podemos
incluir MITM, Call Hijack, Spoofing, Call Fraud, Phishing e Malware.

Exemplos de ataque à privacidade e confidencialidade consistem na escuta

(eavesdropping), que tem o impacto de expor informações confidenciais de
determinado negócio, operação ou pessoa física, podendo evoluir para um
ataque à integridade; assim como o SPIT onde mensagens não autorizadas
são recebidas, violando a privacidade dos usuários do serviço.

A lista de ataques possíveis é muito vasta. Abaixo são sumarizados alguns

destes ataques, apenas para que o leitor tenha uma visão do tipo de abuso que
pode ser implementado:

SIP Bombing: é um ataque tipo DoS no qual uma grande quantidade de

mensagens VoIP modificadas são "bombardeadas" contra algum dos
componente da rede SIP. Nesse caso o sistema fica ocupado tratando essas
mensagens e o serviço fica indisponível ou com a qualidade degradada;

SIP-Cancel/Bye DoS: outro ataque tipo DoS, no qual o atacante simula uma
mensagem de desconexão do tipo CANCEL ou BYE (dependendo do estado
da chamada) evitando que o originador possa iniciar conversações ou
derrubando sessões em andamento;

Manipulação dos registros: é um ataque tipo Spoofing que pode evoluir para
Call Fraud e MITM, onde um user agent se faz passar por outro, podendo
receber suas chamadas ou fazer chamadas no seu nome;

Falsificação de 3xx Response Codes: é um ataque tipo Spoofing que pode

evoluir para Call Hijack ou MITM, onde uma mensagem de redirecionamento
do tipo 3xx é forjada de forma que o originador transmita a sua comunicação
através de um componente de rede comprometido;Escuta do RTP: RTP utiliza
CODEC’s padrão para codificar a voz. Se o invasor consegue capturar o
tráfego RTP de um canal de voz (hoje facilitado pelo uso das redes wireless), é
muito fácil remontar e ter acesso à conversa sendo conduzida;

Manipulações do SSRC no RTP: ataque do tipo Spoofing que pode evoluir

para um DoS, Call Hijack ou Call Fraud, a reescrita do SSRC pode ser utilizada
para interromper chamadas ou remover um usuário da chamada, tomando o
seu lugar, ou para enviar conteúdo falso;

Manipulação do CODEC no RTP: ataque do tipo DoS, no qual o atacante

pode degradar a qualidade da conversa mudando sistematicamente o CODEC
sendo usado, por exemplo, para um CODEC de mais alto consumo de banda;

Inserções RTCP: ataque do tipo DoS, através do qual o atacante pode

interromper conversações em andamento falsificando mensagens do protocolo
de controle do RTP, por exemplo mensagens do tipo BYE.

As alternativas para melhorar a resiliência da infra-estrutura VOIP frente aos

diferentes ataques que o serviço pode estar exposto são diversas, mas todas
elas tem custos ou impactos que devem ser cuidadosamente analisados antes
de optar por outra alternativa.

É importante ressaltar que, a princípio, não há uma receita de bolo para qual o
conjunto capaz de prover o melhor custo-benefício.

Os mecanismos de segurança existentes podem ser classificados em

protocolos de segurança, arquitetura & procedimentos e sistemas
especializados.
 Protocolos de Segurança

Neste grupo incluem-se o mecanismo como o SIP Digest, Network Asserted

Identity, Athenticated Identity Body (AIB), Identity Header Field e protocolos
como TLS, IPSec e SRTP.

O SIP Digest é um mecanismo de autenticação básico, trazido do HTTP, que

deve ser suportado por qualquer user agent SIP. É uma forma simples de
servidor e cliente verificarem se efetivamente tem um segredo compartilhado
sem que a senha trafegue abertamente.

O TLS ou Transport Layer Security, já está na sua versão 1.1 e é uma evolução
do SSL (Secure Socket Layers). O TLS é um protocolo que pode ser utilizado
para prevenir a escuta, modificações em mensagens ou o envio de mensagens
falsas da sinalização VoIP. O TLS também pode servir para prevenir ataques
do tipo DoS como SIP Bombing.

Em contrapartida agrava os ataques DoS sobre TCP na medida em que, nesse

caso, pode haver um consumo significativo da capacidade de processamento
do sistema para a descriptografia das mensagens do ataque.

O uso do TLS é feito hop-by-hop (nodo a nodo) o que obriga que

absolutamente todos os elementos da rede VOIP que encaminham sinalização
suportem o protocolo para que a sinalização esteja 100% protegida.

Considerando a diversidade de fornecedores de terminais e interconexões que

hoje são agregados para implementar o VoIP, tal abordagem limita bastante o
número as alternativas disponíveis no mercado. O TLS envolve ainda a
manutenção e gerência de uma entidade certificadora que permita verificar se
os certificados são válidos e cancelar certificados já sem validade.

O IPSec ou IP Security provê criptografia no nível de rede e pode ser utilizado

para garantir a autenticidade, a integridade e a confidencialidade tanto fim-a-fim
como nodo-a-nodo. O IPSec funciona autenticando e criptografando os pacotes
IP e precisa de um protocolo adicional para a troca de chaves: o IKE (Internet
Key Exchange).

O IPSec tem problemas graves ao ser utilizado em redes que fazem uso de
NAT (Network Address Translation), uma situação bastante comum nas rede IP
de hoje em dia, e precisa dispor de uma infra-estrutura pública para troca e
validação das chaves, infra-estrutura que hoje não existe.

O SRTP ou Secure Real-Time Procotol e o SRTCP ou Secure Real-Time

Control Protocol oferece confidencialidade, autenticação e proteção contra
replays (retransmissão fraudulenta) dos pacotes RTP e RTCP prevenindo
ataques como escuta do RTP, manipulações do SSRC, manipulações do
CODEC e inserções RTCP.

O Nework Asserted Identity é um mecanismo bastante específico para a troca

de identidade entre elementos de rede que já possuam relacionamento
confiável utilizando algum outro mecanismo ou política de segurança.
A utilidade desse tipo de mecanismo é, por exemplo, permitir que um usuário,
depois de autenticado, faça chamadas anônimas sem que para isso a rede
perca a possibilidade de rastrear a chamada realizada, preservando assim a
privacidade do originado.

O Authenticated Identity Body (AIB) é um mecanismo que utiliza corpos de

mensagens e certificados S/MIME para assinar parte do cabeçalho das
mensagens de forma a autenticar o user agent, dessa forma evitando ataques
do tipo spoofing.

Finalmente o Identity Header Field é outro mecanismo que também permite

assinar parte dos cabeçalhos da mensagem. A diferença é que este
mecanismo utiliza cabeçalhos padrão específico para a assinatura e para o
acesso ao certificado, o que resolve alguns dos problemas associados à
utilização do padrão S/MIME.
 Arquitetura & Procedimentos

Cuidados no desenho da arquitetura de rede e na implementação dos

procedimentos que serão utilizados para prover e gerenciar o provimento do
serviço de voz sobre IP são chave para uma maior garantia de segurança.

A possibilidade de separar física e logicamente os serviços de voz dos serviços

de dados em redes diferentes, com blocos de endereços separados e serviços
de suporte como DNS e DHCP dedicados dificulta a escuta e facilita a definição
das regras de acesso, simplificando a configuração e o controle.

Essa separação é particularmente difícil quando se usa softfones, já que estes

operam diretamente em computadores e podem expor a rede VOIP a ataques
de malware realizados sobre o computador do usuário.

A separação dos serviços em categorias (por exemplo, críticos e não críticos)

que permitam diferenciar os componentes da rede de acordo com o nível de
segurança exigido, permite que políticas de segurança específicas sejam
estabelecidas.

Um repositório dos eventos de chamada pode ter uma política de segurança

mais orientada à preservação da integridade enquanto para um SIP proxy pode
ter uma política cujo enfoque seja no requisito disponibilidade.

O uso de redes sem fio deve ser feito com muito cuidado, já que pode expor os
dados a uma eventual escuta. Segundo o NIST mesmo o uso de WEP para
redes Wi-Fi não é suficiente para garantir a segurança dos dados já que a
criptografia pode ser quebrada com software já disponível na Internet.

A padronização da configuração dos componentes de rede, eliminando todos

os serviços não necessários e o estabelecimento do IPSec ou do Secure Shell
(SSH) para gerência remota são políticas importantes para redução das portas
de entrada e prevenção contra o acesso não autorizado.

O uso de redundância em todos os níveis: físico, de enlace, de rede, de

transporte e de aplicação são vitais para fornecer garantias de continuidade
frente a eventuais ataques e fatores não previstos. Essa redundância deve
também estar presente no planejamento da rede elétrica (redundância esta que
precisa ser testada e calibrada periodicamente), de forma a garantir a
continuidade nos casos de falta de força.

As verificações dos componentes de software da infra-estrutura VOIP com

relação aos requisitos de segurança e uma política de gerência de patches
(correções de software) é vital na garantia do nível de qualidade, já que a
segurança deve estar presente em cada um dos sistemas existentes e não
somente através de sistemas especializados.

Já existem ferramentas como que facilitam a verificação de vulnerabilidades

antes de colocar um componente em produção.
Finalmente um sistema eficaz de gerência de configurações dos nodos da rede
que garanta a sincronia das configurações e evite que determinados terminais
fiquem facilmente acessíveis a terceiros ajuda no reforço de uma boa política
de segurança.
 Sistemas Especializados

Finalmente existem sistemas especializados na prevenção e gerência da

segurança como firewalls, sistemas de prevenção e detecção de intrusão e
session border controllers.

Os firewalls são dispositivos de segurança já bem conhecidos dos profissionais

de redes de dados. Através dos firewalls é possível estabelecer uma barreira
inicial contra possíveis ataques. Por outro lado os firewalls podem não ter o
nível de especialização necessário para tratar dos protocolos VOIP dificultando
de forma significativa o tratamento das interconexões VOIP e adicionando
latência ao serviço.

Os sistemas de detecção de intrusão (Intrusion Deteccion Systems - IDS)

monitoram os elementos da rede e geram alarmes no caso de situações
suspeitas. Este tipo de sistema pode ser particularmente útil para identificar
ataques do tipo Call Fraud e DoS. O IDS pode funcionar consultando uma base
de regras de ataque ou através da definição do que são condições padrão da
rede. Um exemplo de IDS é o Snort [9], um sistema open source para esse fim.

Diferente dos IDSs os sistemas de prevenção de intrusão (Intrusion Prevention

System - IPS) são capazes de prevenir a ataques através de ações
específicas. Considerando o nível de disponibilidade exigido do serviço VoIP,
IPSs podem ser mecanismos mas eficazes de garantir os níveis de
disponibilidade em caso de ataque, desde que não agreguem latência que
possa prejudicar a qualidade das chamadas.

Finalmente os session border controllers são sistemas especializados que

surgiram da necessidade de facilitar as interconexões de terminais atrás de
roteadores NAT e hoje servem como pontos de correção de protocolo,
terminação automática de sessão, melhoria dos mecanismos de redundância,
coleta de dados de bilhetagem e proteção do restante da rede.

Cuidado deve ser tomado com o nível de integração deste dispositivo com o
restante da rede de forma que os custos de gerenciamento não inviabilizem o
seu uso.
 Conclusão sobre segurança

É importante notar que apesar do grande número de ataques que podem afetar
a disponibilidade, integridade e a privacidade e confidencialidade do serviço
VOIP, eventualmente causando prejuízo a usuários e prestadores de serviço, a
sua existência é apenas teórica. Ainda é muito difícil encontrar empresas que
sofreram ataques VOIP.

Na prática, ataques a serviços VOIP ainda são muito difíceis de conduzir.

Eventuais atacantes enfrentam uma barreira de conhecimento que aliada à
baixa popularidade dos serviços VOIP não torna tal esforço compensador.

Assim como ocorre com o serviço de telefonia celular e correio eletrônico, à

medida que VOIP ganha popularidade, ataques devem começar a ser mais
freqüentes, o que significa que segurança deve sempre permear as discussões
relativas a implementação de serviços de voz sobre IP.

Esperar que um único dispositivo seja capaz de resolver todos os problemas de

segurança é uma expectativa pouco recomendada e de alto risco. Recomenda-
se especial atenção ao impacto das alternativas de protocolo,

de desenho de arquitetura e de sistemas especializados sobre a qualidade,

compatibilidade e gerenciamento do serviço, já que na maior parte das vezes
melhorias na segurança impactam estes outros fatores de forma negativa.

Como é concluído pelo NIST, "projetar, implementar, e operar VoIP de forma

segura é um esforço complexo que exige uma preparação cuidadosa", por
esse motivo sugere-se que a análise das vulnerabilidades do serviço e a
mensuração do custo-benefício das diferentes opções disponíveis antecedam
todas as ações de melhorias de segurança planejadas para um serviço de voz
sobre IP.
O que um firewall pode fazer e o que não pode fazer por uma rede

O que o Firewall não pode fazer

Proteger a rede de usuários internos mal intencionados - O firewall pode evitar

que certas informações saiam de uma companhia através da conexão de rede,
mas não pode impedir que um usuário copie os dados num disquete e os
carregue consigo. Atacantes internos requerem medidas de segurança interna,
como segurança de host e educação de usuários.

Proteger contra conexões que não passam por ele - O firewall pode apenas
controlar o trafego que passa por ele. Se o seu site disponibilizar acesso
discado para sistemas internos atrás do firewall, não há nada que o firewall
possa fazer para prevenir que intrusos tenham acesso a sua rede por esta via.
Proteger contra novas ameaças - Firewalls são projetados para proteger contra
ameaças conhecidas. Proteger contra vírus - Embora o firewall verifique todo o
trafego que entra na rede interna, esta verificação é feita basicamente
checando os endereços fonte e destino e os números de porta, não verificando
os dados em si.

O que o Firewall pode fazer

Eis algumas tarefas cabíveis a um firewall:

• Um firewall é um checkpoint; ou seja, ele é um foco para as decisões

referentes à segurança, é o ponto de conexão com o mundo externo,
tudo o que chega à rede interna passa pelo firewall;

• Um firewall pode aplicar a política de segurança;

• Um firewall pode logar eficientemente as atividades na Internet;

• Um firewall limita a exposição da empresa ao mundo externo.

• Tipos de Firewall

o – Filtragem de pacotes

o – NAT

o – Servidores Proxy

Filtragem de pacotes é o bloqueio ou liberação da passagem de pacotes de

dados de maneira seletiva, conforme eles atravessam a interface de rede. O
critério usado ao inspecionar pacotes são baseados nos cabeçalhos da
Camada 3 (IPv4 e IPv6) e Camada 4 (TCP, UDP, ICMP, e ICMPv6). Os critérios
mais usados são endereços de origem e destino, porta de origem e destino e
protocolo.
 Firewalls SIP

Os terminais SIP podem ser configurados para enviar todos os seus pedidos
para um Servidor Proxy SIP, em vez de tentar alcançar o servidor SIP
apropriado usando registros DNS. O suporte nativo para o NAT ((Network
Address Translation) é uma técnica usada para segurança, bem como para
evitar problemas de re-endereçamento) por parte das entidades SIP permite a
configuração de sinalização para comunicações de saída sem nenhum
requisito específico no firewall. Mas, para os fluxos de mídia, o firewall prescisa
estar ciente dos fluxos UDP que chegam, para repassá-los à entidade
apropriada. As chamadas que chegam precisam ser tratadas por um Proxy de
sinalização SIP do firewall.
 SIP E OS SEUS BENEFICIOS
O que é?

Uma forma de telefonar que, aproveitando um acesso de banda larga

ADSL, Cabo ou Satélite, permite fazer chamadas dentro da Internet a
custo zero, e terminando a chamada na rede pública telefônica (nacional
ou internacional) com um custo, muito mais baixo do que o normalmente
praticado por qualquer Operador de Rede Fixa.

Que nível de redução de custos pode obter?

É variável, para casos de 1 ou 2 telefones, a economia calcula-se

diretamente a partir do tarifário. De momento as chamadas para a
Europa (a terminarem na rede fixa), incluindo Portugal e mais alguns
destinos, num total de mais de 40 destinos, têm um custo de 1,7
cêntimos/minuto, compare com o seu tarifário atual que tem aí o valor da
sua economia. Tenha sempre em atenção que se os destinos das suas
chamadas forem SIP o custo é zero (o que não lhe é oferecido por
nenhum outro Operador de rede fixa!), obtém assim a máxima redução
de custos.

Para empresas com mais de um edifício, que normalmente já têm

banda larga, os custos das chamadas entre os edifícios passam a zero e
com a economia adicional que se obtém ao trocar circuitos dedicados
(HDLC, SDLC, Frame-Relay, X. 25 etc..) por acessos ADSL
(normalmente com velocidades muito maiores e com custos muito mais
baixos) para uma solução integrada de voz-e-dados, nos nossos Clientes
têm-se obtido aumentos de velocidade nos dados superiores a 3.000%
(três mil) e reduções superiores a 80% (oitenta) no total dos custos
(chamadas + custos dos circuitos). O investimento tem sido recuperado
normalmente entre 3 a 6 meses somente com a redução de custos,
passado este tempo além de o investimento ter sido recuperado na
totalidade, os custos de operação também baixaram, a redução de
custos em telecomunicações é efetiva e substancial e o serviço telefônico
e de dados melhorou !
 Custos

Se uma empresa já transmite dados entre suas unidades poderá obter

uma grande economia utilizando essa rede para o tráfego de voz,
aproveitando o link de dados que geralmente é subutilizado na maioria
do tempo. E se a empresa ainda não transmite dada a melhor opção é
adotar uma solução que utilize Voz sobre IP.

Em qualquer das situações, a economia com ligações locais e

interurbanas viabiliza o retorno do investimento em curto espaço de
tempo. Essa economia é resultado:

De ligações telefônicas a custo zero;

De envio e recebimento de Fax sem nenhum custo;

Da utilização de uma única infra-estrutura para prover serviços de link de

dados e telefonia.

A tecnologia de VoIP permite reduzir o custo das ligações entre empresas

que possuem links de dados interligando suas unidades. Neste cenário a
tecnologia permite a redução do custo das chamadas, pois a empresa já
paga um custo fixo pelo uso da rede de dados de uma provedora de
serviços (Embratel, Brasil Telecom, etc). A voz do usuário é transformada
em pacotes IP (Internet Protocol), e trafegam dentro da rede de dados da
empresa. Devemos lembrar que para termos qualidade audível nas
ligações, é necessário investir em equipamentos de conectividade de
rede (roteadores e switches) QoS (Qualidade de Serviço), para que o
pacote de voz tenha sempre prioridade ao trafegar na rede, pois a voz é
sensível ao atraso e variações (delay e jitter) .

Há questões levantadas quanto ao uso de usuários domésticos que

possuem o serviço ADSL, de utilizarem a tecnologia de VoIP, porém não
há garantia de qualidade na ligação, pois a rede não tem QoS, tornando
a chamada inaudível em alguns momentos. Dependendo do tipo de
interface podemos conectar um PABX ou um telefone diretamente no
roteador. Todas as ligações entre as corporações (Matriz-Filiais), são
redirecionadas na rede de dados da empresa. Ligações externas, são
redirecionadas para a rede da telefonia local.

Arquitetura do SIP
A arquitetura do SIP é composta de vários componentes denominados
entidades SIP, entre eles estão:

User Agent SIP (UA SIP - Agente do Usuário SIP): São os terminais
finais de comunicação (terminal SIP ou softphone). Este agente atua
como um cliente/servidor, sendo a parte cliente conhecida como UAC –
User Agent Client, uma entidade lógica que realiza a inicialização da
sessão através do envio de pedido(s) para o servidor. O servidor,
também uma entidade lógica conhecida como UAS – User Agent Server,
realiza o envio de respostas aos pedidos recebidos do cliente, dessa
forma o agente consegue ter controle sobre a sessão.

Servidor Proxy SIP: este servidor é subdividido em outros componentes,

que são explicados abaixo:

Proxy Server - Servidor Proxy: é um servidor intermediário, que pode

atuar tanto como cliente quanto como servidor. Tem a função de
estabelecer chamadas entre os integrantes da chamada, encaminhando
os pedidos recebidos até o destino, sendo assim pode passar ou não por
outros servidores proxy. Pode ser utilizado para contabilidade, pois
armazena informações. Opera através das comunicações stateful
(circuito) ou stateless (TCP).

Redirect Server - Servidor de Redirecionamento: é um servidor

intermediário, um

UAS – User Agent Server, cuja função é fornecer informações sobre o

usuário destino, para

isso, utiliza o DNS que resolve nomes.

Registrer – Registrador: entidade cuja finalidade é fornecer informações

sobre as

localizações que conhece. Estas informações estão gravadas na

entidade, pois a mesma

anteriormente já recebeu outra requisição igual.

Métodos
SIP funciona numa arquitetura cliente/servidor e, em sua versão atual
(RFC 3261), possui 6 métodos de requisição, INVITE, ACK, CANCEL,
OPTIONS, REGISTER e BYE, que são explicados abaixo:

INVITE- O método INVITE solicita o estabelecimento de uma sessão. O

corpo do INVITE contem a descrição da sessão utilizando o SDP
(Session Description Protocol). Se um método INVITE for enviado
durante a execução de uma sessão, ele é chamado de re-INVITE. Re-
INVITE’s geralmente são utilizados para mudar parâmetros da sessão;

ACK- O método ACK funciona como a confirmação de um INVITE, se o

INVITE não contiver a descrição da sessão, o ACK deve conter;

CANCEL- O método CANCEL cancela todos os métodos pendentes de

resposta;

OPTIONS- O método OPTIONS faz uma pergunta sobre as capacidades

e disponibilidade das funcionalidades do receptor, a resposta contém
uma listagem com os métodos, extensões e codecs suportados;

REGISTER- Um cliente usa este método para registrar o "alias" (apelido)

do seu endereço em algum servidor SIP, que, por aceitar registro de
usuários, chamamos de serviço REGISTRAR.

BYE- Usado para terminar uma sessão estabelecida.

Autenticação
 Existem duas formas de autenticação no SIP, uma entre um UA e um
servidor e a outra entre dois UA.

Um servidor pode exigir uma autenticação de UA, antes de permitir que

ele utilize seus serviços. E dois UA necessitam de autenticação para
garantir com quem você está realmente falando. No SIP existem duas
formas de autenticação, uma forma simples baseada no HTTP digest e o
outro esquema envolve criptografia e troca de certificados.

No HTTP digest , o servidor Proxy responde a uma solicitação de

autenticação, cujo solicitante não está autenticado, com uma resposta
407 Proxy Authentication Required com o desafio. Após enviado o ACK,
o UA solicitante pode reenviar o INVITE com um cabeçalho Proxy-
Authorization, geralmente a mensagem é enviada com o mesmo Call-id,
porém com um incremento do CSeq. UA, redirect e Registrar Server
normalmente enviam a mensagem 401 Unauthorized para qualquer
solicitação de INVITE sem um Proxy- Authorization. As credenciais de um
UA geralmente são um nome de usuário e senha encriptados. Entretanto
HTTP digest não garante a segurança, para isso deve ser usado TLS ou
S/MIME.

O TLS 1.0 é suportado pelo SIP, e se usado como transporte, permite

que dois servidores Proxy se autentiquem manualmente. No caso de dois
servidores se autenticando o TLS é muito eficiente, porém caso seja
necessário a autenticação entre mais servidores Proxy o S/MIME é mais
eficiente

Endereçamento

“A rede SIP pode ser acessada via Internet usando uma URI.
O URI é uma string compacta para endereçar os recursos físicos ou
abstratos dentro da rede. Exemplos de endereçamentos SIP são "alias" (ou
apelido) como esta URI <sip://usuário@servidor>

Ilustraremos agora um exemplo de comunicação usando o SIP:

O usuário <sip:AA@prospect.br> deseja estabelecer um conexão

com o usuário <sip:BB@ prospect.br> e envia um INVITE ao seu
servidor.

O Servidor que recebeu a solicitação de <sip:AA@ prospect.br> tenta

localizar o usuário com “alias” <sip:BB@ prospect.br>, pra isso ele
procura no servidor de localização de usuários.

A resposta desse servidor é o ultimo servidor onde esse usuário se

registrou, que nesse caso foi o servidor pim. prospect.br, isso permite
mobilidade com o uso do SIP

Então a solicitação de inicio de uma sessão é enviada ao servidor

pim. prospect.br, que por sua vez repassa ao usuário <sip:BB@
prospect.br>, na forma da mensagem 180 ringing.

O usuário <sip:BB@ prospect.br> aceita a requisição e envia a

mensagem 200 OK, que é redirecionada ao usuário <sip:AA@
prospect.br>.

O usuário <sip:AA@ prospect.br> indica pro servidor que a

negociação terminou enviando um ACK, a conexão está
estabelecida.

Inicia-se a troca de dados, sejam voz, vídeo ou texto, e quando um

dos usuários resolverem terminar a sessão, enviará um BYE ao
servidor, e a conexão estará desfeita.
 Na ilustração, pode-se notar que o SIP utiliza um Three-way handshake
para estabelecer uma conexão, primeiro envia-se um INVITE, caso seja
aceito envia-se um 200 OK e confirma-se enviando um ACK. O motivo pelo
qual o SIP utiliza esse modo, em vez de utilizar o two-way handshake, que
é mais comum, é simples, quando o usuário envia o pedido de INVITE pode
demorar muito tempo para ser respondido, então quando a mensagem 200
OK chegar, o usuário que solicitou o INVITE pode não está mais conectado,
ao chegar a mensagem de 200 OK imediatamente é enviado um ACK
confirmando que a conexão está estabelecida.

Mensagens Instantâneas e Presença

Para este tipo de aplicação há um protocolo especial em SIP denominado
SIMPLE
Ele é utilizado em aplicações de mensagem instantânea como o “MSN”, da
Microsoft. Nesta aplicação há uma lista de contatos onde o usuário escolhe
com quem quer falar, verifica-se se o receptor está disponível para falar e
estabelece- se a comunicação por meio do protocolo. Tem-se um dispositivo IP
que transmite voz, tendo ainda opções para vídeo, Chat e compartilhamento de
dados. Alguns testes foram feitos e comprovou-se que o “Msn” funciona com
qualidade na voz, com servidor Proxy Synamicsoft SIP, passando as chamadas
por um telefone IP Pingtel xpressa.

A presença se refere ao status de um usuário em um determinado

momento, em aplicações móveis pode incluir à localização do usuário em
termos de coordenadas, ou, como é mais comum, indica a localização em
termos gerais, como, “em casa”, “no escritório” e etc. A presença é utilizada nas
aplicações de telefone IP como Skype ou de mensagem instantânea,
permitindo acesso a informações em tempo real sobre o status da pessoa,
suas preferências e capacidade de comunicação, por exemplo, informando
sobre a presença de web cams e microfones.

Segurança em SIP

Segurança em rede tem o objetivo de evitar fraudes e tentativas de usuários de

indisponibilizar serviços da rede ou a própria rede. Em termos de SIP tem-se
interesse em questões de segurança nos seguintes aspectos: controle de
chamadas e de transferência de dados, ou seja, tarifação cobrada,
espionagem, detecção de utilização indevida, verificação do respeito ao serviço
contratado sem tentativas de burlar cobranças etc; preocupação com a
privacidade dos usuários não permitindo acesso de um usuário a dados
confidenciais de outros usuários; necessidade de tráfego seguro entre
entidades envolvidas pelo protocolo SIP, entre outros.

O protocolo SIP deve oferecer confidencialidade: somente usuários autorizados

acessam o que está armazenado ou sendo transmitido; autenticidade:
identificação da origem da mensagem, ou seja, se ela foi mesmo mandada pelo
emissor correspondente ou é uma falsa mensagem de um hacker; integridade:
garantir que nada do que esteja armazenado seja modificado ou apagado sem
autorização; disponibilidade: As informações e dados devem estar disponíveis
aos usuários autorizados; não repúdio: o emissor não pode negar que enviou
mensagens e o receptor não pode negar o recebimento da mesma e controle
de acesso: O acesso aos serviços, informações e recursos deve ser vigiado
para os autorizados.

Para garantir as questões citadas há três mecanismos usados em SIP:

Autenticação identificando quem é o emissor e o receptor, encriptação para
garantir que nenhum usuário possa ler mensagens de terceiros e
esteganografia.

Segurança em SIP pode utilizar IPSec, S/MIME e TLS. O IPSec (IP Security)
fornece a capacidade de comunicação segura entre pontos com a
implementação de protocolos IPSec. Ele possui duas opções de utilização:
Transport onde a proteção ocorre para camadas superiores ao IP ou Tunnel
Mode em que a proteção é completa. O S/MIME faz segurança de conteúdo,
criptografando as mensagens SIP. O TLS (Transport Layer Security)
proporciona uma camada segura de transporte envolvendo TCP

QoS – Qualidade de Serviço

O QoS é a qualidade de serviço na rede. A qualidade de serviço nas redes

IP é um ponto muito importante para um bom desempenho do começo ao
fim das aplicações em VoIP. É necessário um conhecimento dos
mecanismos utilizados, parâmetros, algoritmos e protocolos, para que se
tenha uma QoS que tenha um resultado dentro da rede.
É necessário exigir determinados parâmetros o qual é um requisito da QoS
como: (atrasos, vazão, perdas, ...) .
Quando o QoS é solicitado, a aplicação recebe o nome de SLA
(Service Level Agreement) . Estas solicitações definiram quais parâmetros
devem ser garantidos para que as aplicações possam ser executadas com
qualidade.
Iremos configurar a quantidade de bando para cada usuário.

Codec

É um dispositivo que codifica ou descodifica um sinal. Por exemplo,

companhias telefônicas utilizam codecs para converter sinais binários
transmitidos pelas redes digitais em sinais analógicos para rede analógica.
Alguns exemplos de codecs são G723 e G.711, juntamente com o
protocolo RTP ( Real Time Protocol )

Este processo é dividido em duas partes:

Análise da voz: este processamento é responsável por converter a voz em

um formato digital, para que seja guardada de forma coerente nos
sistemas de comutação e transmitida em redes digitais ou rede IP. São
chamadas de digital speech encoding

Sintetização da voz: este processamento é responsável por converter a

voz da forma digital para forma analógica, própria para a audição humana

Conferência AdHoc

O protocolo SIP oferece suporte para o estabelecimento de conferências Ad

Hoc, ou seja, conferências onde é permitido adicionar e remover
participantes e mídias a qualquer hora, permitindo comunicação através de
voz, vídeo e texto. Porém o SIP não permite a identificação de todos os
usuários presentes na conferência e também não garante que todos serão
notificados sobre a entrada de um novo participante no grupo, para isso ele
utiliza os protocolos RTP e RTCP.

Servidor Proxy SIP

Este componente é conhecido como next-hop pois ele recebe uma solicitação
e envia para outro servidor ou para os usuários. Possui informações com o
intuito de bilhetagem das chamada, e corresponde a uma entidade
intermediária contendo tanto um UAC quanto UAS. Seu objetivo compreende
o encaminhamento das solicitações recebidas para os próximos servidores
SIP ou terminais, que fazem parte do caminho até o destino (serviço de
roteamento).
A entidade Servidor Proxy SIP também pode operar com comunicação stateful
ou stateless. O stateful pode dividir as chamadas pela ordem que chegaram,
sendo assim faz com que muitas extensões estejam tocando de uma vez e o
primeiro que atender pega a chamada. Isso significa que pode utilizar o
telefone atrávez de um desktop SIP, celular SIP e suas aplicações de
videoconferência de qualquer lugar. Esta entidade usa métodos para resolver a
solicitação ao endereço de host, inserindo busca de DNS, busca em base de
dados.
A figura acima esta mostrando o funcionamento dos componentes do SIP,
segue. O cliente SIP faz a solicitação para o servidor local, este servidor
envia a solicitação ao servidor de redirecionamento que devolve a endereço
ao servidor local que envia a solicitação para o servidor proxy que envia a
solicitação para o servidor de localização que faz a consulta na base de
dados local. Após isso, é enviado ao outro servidor proxy que envia ao
destino.
O SIP utiliza o SDP ( Session Description Protocol ). Esta ferramenta de
conferência foi criada para descrever sessões de áudio, vídeo e multimídia
ele também é um produto do grupo de trabalho MUSIC e é muito usado
atualmente no contexto do MBONE, a rede de comunicação multicast que
funciona na Internet.
O principal objetivo do SDP é definir uma sintaxe padrão.

Cenários
Equipamentos que iremos utilizar na rede.

Roteadores cisco 2620-XM.

Modulo NM-1HSSI.
Roteador wireless Linksys WRT300n.

Switches 296024TT.
Access point cisco aironet 1200series.

CABO FURUKAWA CAT6

 CONECTOR AMP RJ45

CONECTOR AMP FEMEA RJ45

PATH PAINEL FURUKAWA RJ45

 RACK DELL STANDARD 19"

CONVERSOR (RACK) CANOPUS ADVC-500

 NO BREAK SMS 3100VA(2480W)

SERVIDOR DE BACKUP DELL POWEREDGE 2900

FITA DAT DELL ULTRIUM 3 800GBS.

PABX CISCOUC520
 IP TELEFONE CISCO7911G

SERVIDOR DE BACKUP DELL POWEREDGE 2900

OBS.: Os modens vão ser fornecidos pelas

operadoras dos links e os modens tem que
ter porta serial.
 CUSTOS
PLANEJAMENTO
ORÇAMENTÁRIO
QT EQUIPAME M MODE VALOR VALOR
DE NTO
ROTEAD ARCA
CISC LO
2620- UNITÁRIO
R$ TOTAL
R$
3
MODUL
OR CISC
O NM-
XM R$
3.250,00 R$
9.750,00
3
O O 1HSSI 12.820,00 38.460,00
ROTEADOR LINKS WRT30 R$ R$
1
WIRELESS YS 0n 250,00 250,00
SWITCH 3 2960- R$ R$
3
ACCES
ES CISC
COM AIRON
24TT R$
3.800,00 R$
11.400,00
3
3 S.POINT MICROSO
O WIN
ET R$
1.610,00 R$
4.830,00
0 S.
OPERACIONA MICROSO
FT WIN
XP R$
400,00 R$
12.000,00
9
3 L DESKT
OPERACIONA FT DE optiplex
2003 R$
800,00 R$
7.200,00
0 L SERVID
OP DE
LL POWEREDGE
320 R$
1.500,00 R$
45.000,00
8
LINKOR EMBRAT
LL 2900 6M R$
24.000,00 R$
192.000,00
3
1 C
DEDICADO/MÊS FURUKA
EL CB R$
5.000,00 R$
15.000,00
10 CONECT
ABO WAAM R
AT6 R$
639,90 R$
6.399,00
50
000 CONECT
OR PGT FEMEA
J45 R$
0,94 R$
940,00
0 PATH
OR FURUKA
S C
RJ45 R$
3,00 R$
1.500,00
9
R
PAINEL WADE STANDARD
AT6 R$234,00 R$
2.106,00
3
CONVERSOR
ACK CANOP
LL ADVC-
19" R$
11.900,00 R$
35.700,00
3
NO
(RACK) USSM 3100VA(248
500 R$
2.900,00 R$
8.700,00
8
UNIDADE
BREAK DE DE
S POWERVAULT
0W) 120T R$
3.380,00 R$
27.040,00
5
3 BACKUPFITA DE
LL ULTRIUM 3
DLT7000 R$
1.500,00 R$
7.500,00
0 P
DAT CISC
LL UC52
800GBS. R$220,00 R$
6.600,00
3
3 IP ABX CISC
O 7911
0 R$
52.000,00 R$
156.000,00
0 SERVIDOR
TELEFON DE DE
O POWEREDGE
G R$666,81 R$
20.004,30
1
E Firew
BACKUP SONICWA
LL 2900E- R$
24.000,00 R$
24.000,00
6 Ipse
all SONICWA
LL E-
CLASS R$
14.500,00 R$
87.000,00
3
c LL CLASS 20.000,00 R$
60.000,00
R$
0,00
R$
0,00
R$
0,00
R$
0,00
R$
0,00
R$
0,00
0,00

CUSTO
TOTAL
R$
779.379,3
0
 Perguntas

1) Quais as primitivas do protocolo SIP?

2) Quais os mecanismos de segurança em SIP?

3) Quais as principais vantagens do protocolo SIP?

4) Por que o SIP utiliza o Three-way Handshake em vez do Two- way

Handshake?

5) Quais são os três tipos de servidores da arquitetura SIP?

 Respostas
1) As três primitivas do protocolo SIP são: inicialização, modificação e a
finalização das sessões.

2) Encriptação, autenticação e esteganografia.

3) A sua simplicidade, eficiência, flexibilidade e facilidade de comunicação

com os protocolos da internet HTTP e SMTP.

4) Ao enviar uma solicitação de INVITE, o receptor pode demorar muito

tempo pra responder, e ao responder pode ser que o emissor não esteja
mais conectado, uma maneira de contornar foi o three way handshake,
primeiro o emissor solicita um INVITE, o receptor ao confirmar envia
uma mensagem 200 OK e caso o emissor ainda esteja conectado, é
enviado automaticamente um ACK.

5) Proxy, redirect e registrar.

 DMZ

DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou

"zona desmilitarizada", em português. Também conhecida como Rede de
Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e
uma não confiável, geralmente entre a rede local e a Internet.

A função de uma DMZ é manter todos os serviços que possuem acesso

externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados
da rede local, limitando assim o potencial dano em caso de comprometimento
de algum destes serviços por um invasor. Para atingir este objetivo os
computadores presentes em uma DMZ não devem conter nenhuma forma de
acesso à rede local.

A configuração é realizada através do uso de equipamentos de Firewall, que

vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em
um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os
equipamentos na DMZ podem estar em um switch dedicado ou compartilhar
um switch da rede, porém neste último caso devem ser configuradas Redes
Virtuais distintas dentro do equipamento, também chamadas de VLANs (Ou
seja, redes diferentes que não se "enxergam" dentro de uma mesma rede -
LAN).
ELABORAÇÃO DA TOPOLOGIA
 IPs DAS REDES

Mascaras Possíveis
255.255.255.128/24
255.255.255.192/25
255.255.255.224/26
255.255.255.240/28
255.255.255.248/29
255.255.255.258/30
255.255.255.254/31
255.255.255.255/32
Ips
172.16.0.169/25
172.16.0.128/25
172.16.0.120/25
172.16.0.1/25 ( Server ) (Gateway)
Outros
192.168.0.1/30 ( Server ) (Gateway)
192.168.0.2/30
192.168.0.5/30
192.168.0.6/30
192.168.0.9/30
192.168.0.12/30
Outros
192.168.200.101/24
192.168.200.102/24
192.168.200.103/24
192.168.200.104/24
192.168.200.105/24
192.168.200.1 ( Server ) ( Gateway )

Conclusão
Esse projeto muito comentado pela comissão que o entrega, foi muito
discutido, mas chegamos a um ótimo trabalho que foi o desenvolvimento desse
projeto que mostra como ligar três petroquímicas utilizando VPN’S e cada
unidade vai usar tecnologia SIP (Session Initiation Protocol) pois assim nosso
cliente poderá ter acesso a rede banda larga e também poder usar o felefone
com redução de custos.

Interligando as três filiais por meio de vpn’s usaremos os seguintes serviços e

ferramentas:

Firewall, Ipsec, sip Proxy. Gateway monitoring, sip phone entre outros etc...

Usamos também um serviço que mantém serviços externo separados em uma

rede local chamado de DMZ (DeMilitarized Zone ou "zona desmilitarizada", em
português. Também conhecida como Rede de Perímetro) para melhor
segurança dos serviços externos como HTTP e FTP.

Para fazer essa VPN’S funcionar usaremos os seguintes equipamentos:

Router SONICWALL..

Para melhor atender a parte de custo do projeto pode – se dizer a parte critica
onde tudo começa e termina. Ou nem começa pode – se dizer se não entrar
em acordos. Os valore de todo o projeto fica no valor especificado ta tabela
orçamentário assim descrito no projeto.

Para finalizar, gostaria de agradecer a todos que nos ajudaram no

desenvolvimento desse projeto aqui fica os nossos agradecimentos.
 REFERÊNCIAS BIBLIOGRÁFICAS
TELECO - “Informação para o aprendizado contínuo em Telecomunicação”.
http://www.teleco.com.br/voip.asp. Consulta em 20/11/2008.

ERICSSON - “VoIP – Voz sobre IP”. http://www.ericsson.com.br/voip/index.asp.

Consulta em 20/11/2008.

Aguiar, Reinaldo. - “Conceito e uma Implementação de Voip”, Trabalho de

Curso. São Francisco. Consulta em 20/11/2008.

ANATEL - “VoIP”. http://www.anatel.gov.br. Consulta em 20/11/2008.

CISCO - “VoIP”. http://www.cisco.com/pcgi-bin/search/search.pl

. Consulta em 20/11/2008.

Goldnet - “VoIP”. http://www.goldnet.com.br/voip/

. Consulta em 20/11/2008.

GUIDE,DAVID; HERSENT, OLIVIER; PETIT, JEAN-PIERRE - "Telefonia Ip".

Editora Makron. São Paulo. 1ª Edição. 2005. Consulta em 20/11/2008

Saber, Eletrônica - “Eletrônica”. Editora Saber LTDA. São Paulo. 2002.

Consulta em 20/11/2008.

Owdhury, Dhiman D. - "Projetos Avançados de Redes Ip – Roteamento

Qualidade de Serviço e Voz Sobre Ip”. Editor Campus. 2005. Consulta em
20/11/2008

Kliemann, Ronei - “Estudo de casos em voz sobre IP”, Trabalho de Conclusão

de Curso. Rio Grande do Sul, 2001. Consulta em 20/11/2008

SOUZA FILHO, GUIDO L; COLCHER, SERGIO; SOARES, LUIZ FERNANDO

GOMES; GOMES, ANTON - "Voz Sobre Ip ". Editora Campus. São Paulo. 1ª
Edição. 2005. Consulta em 20/11/2008

Redes - “Redes Computadores I”.http://200.250.4.4/curso-redes-

especializacao/2002-rees-uel/trab-03/equipe-03/Arquitetura%20H323.htm.
Consulta em 20/11/2008.
MP - “Um padrão para sistema de comunicação multimídia baseado em
pacotes” http://www.rnp.br/newsgen/0111/h323.html. Consulta em 20/11/2008.

Wikipedia - “SIP” http://pt.wikipedia.org/wiki/SIP. Consulta em 20/11/2008.

ITU-T - .http://www.itu.int. Consulta em 20/11/2008.

IETF - .http://www.ietf.org. Consulta em 20/11/2008.