Pim Certo

UNIP - UNIVERSIDADE PAULISTA .

GERENCIAMENTO DE REDES DE COMPUTADORES

PIM – PROJETO INTEGRADO MULTIDISCIPLINAR

SÃO PAULO - 2008

UNIP - UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES DE COMPUTADORES

4º SEMESTRE

TURMA: Q

.

REPRESENTANTES:

NOME: FABIO DE PAULA CANEPA 8 NOME: MAURICIO DANIEL DE S SANTOS 391969-2

RA: 277711RA:

NOME: HERBERT ARAUJO LUCIO 0 NOME: BRUNO DE SOUZA ANDRADE 279092-0 NOME: RENATO LIMA SANTOS 8

RA: 395795RA: RA: 275487-

NOME: RODRIGO MARTINEZ FERREIRA RA: 2775778

PROSPECT INDÚSTRIA PETROQUÍMIC A DO BRASIL

Objetivo

O principal objetivo do projeto para empresa é a redução de custos, ou seja, de uma maneira simples e eficaz iremos realizar um mega investimento ao interligarmos as três filiais da empresa localizadas nos seguintes estados: São Paulo (matriz), Goiás e Rio de Janeiro, que iram se comunicar através de VPN’S e VOIP, tecnologias extremamente avançadas que permitirão a utilização de banda larga e telefonia ao mesmo tempo, tornando assim uma empresa muito mais ágil e focada no resultado final.

Introdução

O protocolo utilizado para esta comunicação será o SIP (Session Initiation Protocol), ou seja, VPN’s, Voip, Firewall e pessoas em três estados brasileiros se comunicando ao mesmo tempo, sem perder informação e com uma qualidade incrível, para este feito, será necessário uma comissão, onde serão definidas algumas premissas que serão apresentadas no cronograma abaixo:

POLÍTICAS DE SEGURANÇA

Precedendo a implantação de qualquer ferramenta deve-se cuidar da Política de Segurança em Redes que contenha as seguintes abordagens: Propósito da Política, Conteúdo da Política e Implementação da Política. Implementação da Política Nenhuma política deve ser implementada até que os usuários sejam treinados nas habilidades necessárias para seguí-la. As boas políticas de segurança dependem do conhecimento e cooperação dos usuários. Isto é particularmente relevante para segurança contra vírus e políticas sobre gerencia de senhas. Segurança requer mais que conhecimento. Todos usuários devem saber como agir quando se virem diante de uma violação ou possível violação. Todos usuários devem saber quem chamar se tiverem perguntas ou suspeitas, e devem saber o que fazer e o que não fazer, para minimizar riscos de segurança. Estes usuários devem ser incentivados a sentir que as medidas de segurança são criadas para seu próprio benefício. Premissas Básicas Os padrões de segurança devem ser fornecidos e verificados para uma rede de computadores genérica e em nenhuma hipótese para uma rede de determinado fabricante ou fornecedor. Quando se utiliza o termo servidor, devese lembrar de associar todos os equipamentos e funções vinculadas ao equipamento principal, e é muito importante ressaltar que este servidor não deve ser utilizado como estação de trabalho. Este servidor deve assumir o controle e a segurança dos recursos de informação de uma rede evitando-se a dispersão do controle da segurança. A segurança do servidor reflete o julgamento e as prioridades do administrador da rede local e a segurança de um conjunto de servidores espelha a segurança da rede de uma organização. O administrador de rede ou de segurança é o responsável principal pela segurança da rede local não se admitindo transferência desta responsabilidade. As decisões e alternativas tomadas pelo administrador da rede devem ser objeto de auditoria que julguem as alternativas adotadas.

Política Geral de Segurança É interessante apresentarmos itens de uma política geral para redes locais que determinam o início de parâmetros necessários à criação de um ambiente com certa segurança e confiabilidade. 1. Não deve haver administração remota do servidor, que não seja do console e todas as funções do servidor não podem ser executadas remotamente; 2. Todas as operações do administrador devem ser executadas a partir da console principal; 3. Os programas de usuário devem ser executados somente das estações de trabalho; 4. Nenhum servidor ou qualquer recurso do servidor deve ser acessado através de boot por disco flexível; 5. Não deve existir comunicação direta ponto-a-ponto. Toda comunicação deste tipo deve ser feita através de um servidor; 6. Não devem existir múltiplas identificações/senhas de entrada no sistema, devendo haver indicação quando o mesmo usuário tentar utilizar sua identificação simultaneamente; 7. Todos os recursos de monitores de tráfego, roteadores e hubs devem ser autorizados, identificados e supervisionados; 8. Deve existir um planejamento formal, completo e testado de recuperação de desastres, de qualquer recurso, para todas as redes locais; 9. Informações classificadas como sensíveis ou relevantes não devem ser transmitidas através de qualquer tipo de formato texto. 10. Backup feito diariamente, em fita dat. 11. Todas as maquinas não vai funcionar (Pen Drive, não vai ter gravador de CDs, diskets e anexo de e-mail com limite de 5 Mbs do envio). 12. Firewall, iremos utilizar 2 firewall em cada filial, sendo um firewall proteger a DMZ, VPN, Acesso externo(internet), acesso aos servidores de web e ftp e o outro firewall protege a rede interna local. 13. Senhas para usuários, vão ser expiradas de 15 e 15 dias, não podendo repetir as 3 ultimas. 14. Acesso as pastas do servidor, cada departamento vai ter a sua permissão. EXEMPLO: ( RH, somente os funcionários de Rh vão acessar as pastas do Rh). 15. Treinamento para todos os funcionários, informando como deve ser trabalhado as normas de segurança, explicando os riscos e os benefícios para eles. 16. Todos os usuários, irão logar no domínio da empresa.

IPSEC O IPSec é uma extensão do protocolo IP que tem sido bastante empregado na implementação de soluções de VPN’s por oferecer confidencialidade (criptografia) e integridade (assinatura digital) dos pacotes IP processados. Em suas especificações, existem dois modos de funcionamento, o modo transporte (transport mode) e o modo túnel (tunnel mode), descritos na RFC2401 de Kent, Atkinson (1998) [2], que explicam: "Cada protocolo [ESP e AH7] suporta dois modos de uso: o modo transporte e o modo túnel. No modo transporte, o protocolo provê proteção primariamente para os protocolos de camada superior; no modo túnel, os protocolos são empregados como um túnel de pacotes IP." 8 Podemos observar a diferença nas ilustrações abaixo:

Figura 4 - IPSec em Modo Transporte

Figura 5 - IPSec em Modo Túnel Como se pode observar, o funcionamento no modo transporte é similar ao do SSL, protegendo ou autenticando apenas a porção de dados do pacote IP, entretanto ele pode encapsular outros protocolos de camada de transporte, como o UDP. Já no modo túnel, o pacote IP inteiro é criptografado, dessa forma nem o cabeçalho do pacote original pode ser verificado por um IDS. Devemos ainda considerar as topologias em que VPN’s com IPSec podem ser implementadas, uma vez que esse tipo de tráfego é relevante para a correta implantação de sistemas de detecção de intrusos. O IPSec pode ser implementado máquina-a-máquina ou gateway-a-gateway. Este último modo é geralmente utilizado para interconexão de duas redes (com dois roteadores, por exemplo), mas não se restringe a ela. Podemos observar nas Figuras 6 e 7 as duas formas:

Figura 6 - IPSec máquina-a-máquina Atente para o fato de que, no esquema representando pela figura acima, o monitoramento e análise não possível com IDS baseado em rede.

Figura 7 - IPSec gateway-a-gateway No caso representado acima, a monitoração e análise são possíveis com IDS baseado em rede após os dispositivos IPSec. De forma semelhante ao SSL, um sistema de IDS não terá como verificar possíveis ataques sobre uma conexão com IPSec. No modo transporte, pode-se verificar somente o cabeçalho dos pacotes; no modo túnel, nem o cabeçalho pode ser verificado. E como descrevem Kent, Atkinson (1998), na RFC2401: "Porque estes serviços são providos na camada IP, eles podem ser usados por qualquer protocolo de camada superior, ex.: TCP, UDP, ICMP, RIP, etc." 9 Assim, os ataques podem ser efetivados em qualquer protocolo sobre IP. Pode-se questionar a validade do estudo de possíveis ataques feitos sobre IPSec, uma vez que as VPNs devem idealmente ter autenticação forte de seus usuários. Entretanto, muitas organizações têm criado VPNs para uso anônimo, sem autenticação; outras ainda possuem autenticação, mas esta pode ser roubada ou inferida; é possível, ainda, que um usuário legítimo faça um ataque, estes fatores fazem com que a autenticação não seja um fator limitante a um ataque.

Uma exceção ocorre quando é utilizada uma VPN gateway-a-gateway e um IDS é posicionado imediatamente após o gateway, onde o tráfego de saída da VPN ainda não foi processado e o tráfego entrante já foi restaurado. Nesta posição não há barreiras a uma verificação completa. Podemos vislumbrar algumas soluções para o uso de IDS’s com SSL e IPSec, por exemplo, a adição de agentes de IDS nas aplicações. Mais que clientes no host ou no sistema operacional, muitos destes serviços de criptografia (notadamente o SSL) fazem parte da própria aplicação (ex.: servidores Web, servidores IMAP, etc), tornando a implantação de módulos de IDS na aplicação necessária. Outra solução pode ser a utilização de front-end de descriptografia, o que torna a solução semelhante ao IPSec gateway-a-gateway . Desta forma, é possível novamente a utilização de IDS baseados em rede para a monitoração. 7 - O protocolo AH (Authentication Header), como definido na RFC 2402, provê integridade sem conexão, autenticação da origem dos dados, e um serviço opcional para prevenção de reenvio de pacotes. O protocolo ESP (Encapsulating Security Payload), como definido na RFC 2406, pode prover confidencialidade (criptografia) e limitado fluxo de tráfego confidencial. Ele pode também prover integridade sem conexão, autenticação da origem dos dados e um serviço de prevenção de reenvio de pacotes. A diferença entre os dois protocolos é que o ESP não atua no cabeçalho dos pacotes IP, só no campo de dados. 8 - Kent, Atkinson (1998) : "Each protocol [ESP and AH] supports two modes of use: transport mode and tunnel mode. In transport mode the protocols provide protection primarily for upper layer protocols; in tunnel mode, the protocols are applied to tunneled IP packets." 9 - Kent, Atkinson (1998): "Because these services are provided at the IP layer, they can be used by any higher layer protocol, e.g., TCP, UDP, ICMP, RIP, etc.", 10 - Existem produtos que fazem o off-load de SSL. Eles podem ser posicionados antes ou junto a servidores Web e entregam o tráfego já decriptografado aos servidores, permitindo o uso de IDS em rede ou em host. O iSD-SSL Accelerator da Alteon e o Intel Netstructure 7110 são exemplos deles.

Segurança VOIP: Ameaças e firewall Os ataques ao VOIP podem ser divididos em três categorias segundo o tipo principal de impacto: de disponibilidade, de integridade e de confidencialidade e privacidade. Os ataques à disponibilidade podem causar perda de receita, de produtividade e incremento dos custos (normalmente decorrentes de manutenções não previstas) pela indisponibilidade ou degradação do serviço. Dentro dessa categoria incluem-se ataques como o DoS e DDoS. Os ataques à integridade tentam comprometer os serviços VOIP através de troca de identidade e outras atividades fraudulentas. Ataques deste tipo podem ter impacto financeiro, prejudicar a reputação, deixar vazar informação sensitiva e causar perda de produtividade. Dentro dessa categoria podemos incluir MITM, Call Hijack, Spoofing, Call Fraud, Phishing e Malware. Exemplos de ataque à privacidade e confidencialidade consistem na escuta (eavesdropping), que tem o impacto de expor informações confidenciais de determinado negócio, operação ou pessoa física, podendo evoluir para um ataque à integridade; assim como o SPIT onde mensagens não autorizadas são recebidas, violando a privacidade dos usuários do serviço. A lista de ataques possíveis é muito vasta. Abaixo são sumarizados alguns destes ataques, apenas para que o leitor tenha uma visão do tipo de abuso que pode ser implementado: SIP Bombing: é um ataque tipo DoS no qual uma grande quantidade de mensagens VoIP modificadas são "bombardeadas" contra algum dos componente da rede SIP. Nesse caso o sistema fica ocupado tratando essas mensagens e o serviço fica indisponível ou com a qualidade degradada;

SIP-Cancel/Bye DoS: outro ataque tipo DoS, no qual o atacante simula uma mensagem de desconexão do tipo CANCEL ou BYE (dependendo do estado da chamada) evitando que o originador possa iniciar conversações ou derrubando sessões em andamento; Manipulação dos registros: é um ataque tipo Spoofing que pode evoluir para Call Fraud e MITM, onde um user agent se faz passar por outro, podendo receber suas chamadas ou fazer chamadas no seu nome; Falsificação de 3xx Response Codes: é um ataque tipo Spoofing que pode evoluir para Call Hijack ou MITM, onde uma mensagem de redirecionamento do tipo 3xx é forjada de forma que o originador transmita a sua comunicação através de um componente de rede comprometido;Escuta do RTP: RTP utiliza CODEC’s padrão para codificar a voz. Se o invasor consegue capturar o tráfego RTP de um canal de voz (hoje facilitado pelo uso das redes wireless), é muito fácil remontar e ter acesso à conversa sendo conduzida; Manipulações do SSRC no RTP: ataque do tipo Spoofing que pode evoluir para um DoS, Call Hijack ou Call Fraud, a reescrita do SSRC pode ser utilizada

para interromper chamadas ou remover um usuário da chamada, tomando o seu lugar, ou para enviar conteúdo falso; Manipulação do CODEC no RTP: ataque do tipo DoS, no qual o atacante pode degradar a qualidade da conversa mudando sistematicamente o CODEC sendo usado, por exemplo, para um CODEC de mais alto consumo de banda; Inserções RTCP: ataque do tipo DoS, através do qual o atacante pode interromper conversações em andamento falsificando mensagens do protocolo de controle do RTP, por exemplo mensagens do tipo BYE.

As alternativas para melhorar a resiliência da infra-estrutura VOIP frente aos diferentes ataques que o serviço pode estar exposto são diversas, mas todas elas tem custos ou impactos que devem ser cuidadosamente analisados antes de optar por outra alternativa. É importante ressaltar que, a princípio, não há uma receita de bolo para qual o conjunto capaz de prover o melhor custo-benefício. Os mecanismos de segurança existentes podem ser classificados em protocolos de segurança, arquitetura & procedimentos e sistemas especializados.

Protocolos de Segurança Neste grupo incluem-se o mecanismo como o SIP Digest, Network Asserted Identity, Athenticated Identity Body (AIB), Identity Header Field e protocolos como TLS, IPSec e SRTP. O SIP Digest é um mecanismo de autenticação básico, trazido do HTTP, que deve ser suportado por qualquer user agent SIP. É uma forma simples de servidor e cliente verificarem se efetivamente tem um segredo compartilhado sem que a senha trafegue abertamente. O TLS ou Transport Layer Security, já está na sua versão 1.1 e é uma evolução do SSL (Secure Socket Layers). O TLS é um protocolo que pode ser utilizado para prevenir a escuta, modificações em mensagens ou o envio de mensagens falsas da sinalização VoIP. O TLS também pode servir para prevenir ataques do tipo DoS como SIP Bombing. Em contrapartida agrava os ataques DoS sobre TCP na medida em que, nesse caso, pode haver um consumo significativo da capacidade de processamento do sistema para a descriptografia das mensagens do ataque. O uso do TLS é feito hop-by-hop (nodo a nodo) o que obriga que absolutamente todos os elementos da rede VOIP que encaminham sinalização suportem o protocolo para que a sinalização esteja 100% protegida. Considerando a diversidade de fornecedores de terminais e interconexões que hoje são agregados para implementar o VoIP, tal abordagem limita bastante o número as alternativas disponíveis no mercado. O TLS envolve ainda a manutenção e gerência de uma entidade certificadora que permita verificar se os certificados são válidos e cancelar certificados já sem validade. O IPSec ou IP Security provê criptografia no nível de rede e pode ser utilizado para garantir a autenticidade, a integridade e a confidencialidade tanto fim-a-fim como nodo-a-nodo. O IPSec funciona autenticando e criptografando os pacotes IP e precisa de um protocolo adicional para a troca de chaves: o IKE (Internet Key Exchange). O IPSec tem problemas graves ao ser utilizado em redes que fazem uso de NAT (Network Address Translation), uma situação bastante comum nas rede IP de hoje em dia, e precisa dispor de uma infra-estrutura pública para troca e validação das chaves, infra-estrutura que hoje não existe. O SRTP ou Secure Real-Time Procotol e o SRTCP ou Secure Real-Time Control Protocol oferece confidencialidade, autenticação e proteção contra replays (retransmissão fraudulenta) dos pacotes RTP e RTCP prevenindo ataques como escuta do RTP, manipulações do SSRC, manipulações do CODEC e inserções RTCP. O Nework Asserted Identity é um mecanismo bastante específico para a troca de identidade entre elementos de rede que já possuam relacionamento confiável utilizando algum outro mecanismo ou política de segurança.

A utilidade desse tipo de mecanismo é, por exemplo, permitir que um usuário, depois de autenticado, faça chamadas anônimas sem que para isso a rede perca a possibilidade de rastrear a chamada realizada, preservando assim a privacidade do originado. O Authenticated Identity Body (AIB) é um mecanismo que utiliza corpos de mensagens e certificados S/MIME para assinar parte do cabeçalho das mensagens de forma a autenticar o user agent, dessa forma evitando ataques do tipo spoofing. Finalmente o Identity Header Field é outro mecanismo que também permite assinar parte dos cabeçalhos da mensagem. A diferença é que este mecanismo utiliza cabeçalhos padrão específico para a assinatura e para o acesso ao certificado, o que resolve alguns dos problemas associados à utilização do padrão S/MIME.

Arquitetura & Procedimentos Cuidados no desenho da arquitetura de rede e na implementação dos procedimentos que serão utilizados para prover e gerenciar o provimento do serviço de voz sobre IP são chave para uma maior garantia de segurança. A possibilidade de separar física e logicamente os serviços de voz dos serviços de dados em redes diferentes, com blocos de endereços separados e serviços de suporte como DNS e DHCP dedicados dificulta a escuta e facilita a definição das regras de acesso, simplificando a configuração e o controle. Essa separação é particularmente difícil quando se usa softfones, já que estes operam diretamente em computadores e podem expor a rede VOIP a ataques de malware realizados sobre o computador do usuário.

A separação dos serviços em categorias (por exemplo, críticos e não críticos) que permitam diferenciar os componentes da rede de acordo com o nível de segurança exigido, permite que políticas de segurança específicas sejam estabelecidas. Um repositório dos eventos de chamada pode ter uma política de segurança mais orientada à preservação da integridade enquanto para um SIP proxy pode ter uma política cujo enfoque seja no requisito disponibilidade. O uso de redes sem fio deve ser feito com muito cuidado, já que pode expor os dados a uma eventual escuta. Segundo o NIST mesmo o uso de WEP para redes Wi-Fi não é suficiente para garantir a segurança dos dados já que a criptografia pode ser quebrada com software já disponível na Internet. A padronização da configuração dos componentes de rede, eliminando todos os serviços não necessários e o estabelecimento do IPSec ou do Secure Shell (SSH) para gerência remota são políticas importantes para redução das portas de entrada e prevenção contra o acesso não autorizado. O uso de redundância em todos os níveis: físico, de enlace, de rede, de transporte e de aplicação são vitais para fornecer garantias de continuidade frente a eventuais ataques e fatores não previstos. Essa redundância deve também estar presente no planejamento da rede elétrica (redundância esta que precisa ser testada e calibrada periodicamente), de forma a garantir a continuidade nos casos de falta de força. As verificações dos componentes de software da infra-estrutura VOIP com relação aos requisitos de segurança e uma política de gerência de patches (correções de software) é vital na garantia do nível de qualidade, já que a segurança deve estar presente em cada um dos sistemas existentes e não somente através de sistemas especializados. Já existem ferramentas como que facilitam a verificação de vulnerabilidades antes de colocar um componente em produção.

Finalmente um sistema eficaz de gerência de configurações dos nodos da rede que garanta a sincronia das configurações e evite que determinados terminais fiquem facilmente acessíveis a terceiros ajuda no reforço de uma boa política de segurança.

Sistemas Especializados Finalmente existem sistemas especializados na prevenção e gerência da segurança como firewalls, sistemas de prevenção e detecção de intrusão e session border controllers. Os firewalls são dispositivos de segurança já bem conhecidos dos profissionais de redes de dados. Através dos firewalls é possível estabelecer uma barreira inicial contra possíveis ataques. Por outro lado os firewalls podem não ter o nível de especialização necessário para tratar dos protocolos VOIP dificultando de forma significativa o tratamento das interconexões VOIP e adicionando latência ao serviço. Os sistemas de detecção de intrusão (Intrusion Deteccion Systems - IDS) monitoram os elementos da rede e geram alarmes no caso de situações suspeitas. Este tipo de sistema pode ser particularmente útil para identificar ataques do tipo Call Fraud e DoS. O IDS pode funcionar consultando uma base de regras de ataque ou através da definição do que são condições padrão da rede. Um exemplo de IDS é o Snort [9], um sistema open source para esse fim. Diferente dos IDSs os sistemas de prevenção de intrusão (Intrusion Prevention System - IPS) são capazes de prevenir a ataques através de ações específicas. Considerando o nível de disponibilidade exigido do serviço VoIP, IPSs podem ser mecanismos mas eficazes de garantir os níveis de disponibilidade em caso de ataque, desde que não agreguem latência que possa prejudicar a qualidade das chamadas. Finalmente os session border controllers são sistemas especializados que surgiram da necessidade de facilitar as interconexões de terminais atrás de roteadores NAT e hoje servem como pontos de correção de protocolo, terminação automática de sessão, melhoria dos mecanismos de redundância, coleta de dados de bilhetagem e proteção do restante da rede. Cuidado deve ser tomado com o nível de integração deste dispositivo com o restante da rede de forma que os custos de gerenciamento não inviabilizem o seu uso.

Conclusão sobre segurança É importante notar que apesar do grande número de ataques que podem afetar a disponibilidade, integridade e a privacidade e confidencialidade do serviço VOIP, eventualmente causando prejuízo a usuários e prestadores de serviço, a sua existência é apenas teórica. Ainda é muito difícil encontrar empresas que sofreram ataques VOIP. Na prática, ataques a serviços VOIP ainda são muito difíceis de conduzir. Eventuais atacantes enfrentam uma barreira de conhecimento que aliada à baixa popularidade dos serviços VOIP não torna tal esforço compensador. Assim como ocorre com o serviço de telefonia celular e correio eletrônico, à medida que VOIP ganha popularidade, ataques devem começar a ser mais freqüentes, o que significa que segurança deve sempre permear as discussões relativas a implementação de serviços de voz sobre IP. Esperar que um único dispositivo seja capaz de resolver todos os problemas de segurança é uma expectativa pouco recomendada e de alto risco. Recomendase especial atenção ao impacto das alternativas de protocolo, de desenho de arquitetura e de sistemas especializados sobre a qualidade, compatibilidade e gerenciamento do serviço, já que na maior parte das vezes melhorias na segurança impactam estes outros fatores de forma negativa. Como é concluído pelo NIST, "projetar, implementar, e operar VoIP de forma segura é um esforço complexo que exige uma preparação cuidadosa", por esse motivo sugere-se que a análise das vulnerabilidades do serviço e a mensuração do custo-benefício das diferentes opções disponíveis antecedam todas as ações de melhorias de segurança planejadas para um serviço de voz sobre IP.

O que um firewall pode fazer e o que não pode fazer por uma rede

O que o Firewall não pode fazer Proteger a rede de usuários internos mal intencionados - O firewall pode evitar que certas informações saiam de uma companhia através da conexão de rede, mas não pode impedir que um usuário copie os dados num disquete e os carregue consigo. Atacantes internos requerem medidas de segurança interna, como segurança de host e educação de usuários. Proteger contra conexões que não passam por ele - O firewall pode apenas controlar o trafego que passa por ele. Se o seu site disponibilizar acesso discado para sistemas internos atrás do firewall, não há nada que o firewall possa fazer para prevenir que intrusos tenham acesso a sua rede por esta via. Proteger contra novas ameaças - Firewalls são projetados para proteger contra ameaças conhecidas. Proteger contra vírus - Embora o firewall verifique todo o trafego que entra na rede interna, esta verificação é feita basicamente checando os endereços fonte e destino e os números de porta, não verificando os dados em si. O que o Firewall pode fazer

Eis algumas tarefas cabíveis a um firewall: •

Um firewall é um checkpoint; ou seja, ele é um foco para as decisões referentes à segurança, é o ponto de conexão com o mundo externo, tudo o que chega à rede interna passa pelo firewall;

•

Um firewall pode aplicar a política de segurança;

•

Um firewall pode logar eficientemente as atividades na Internet;

•

Um firewall limita a exposição da empresa ao mundo externo.

•

Tipos de Firewall o

– Filtragem de pacotes

o

– NAT

o

– Servidores Proxy

Filtragem de pacotes é o bloqueio ou liberação da passagem de pacotes de dados de maneira seletiva, conforme eles atravessam a interface de rede. O critério usado ao inspecionar pacotes são baseados nos cabeçalhos da Camada 3 (IPv4 e IPv6) e Camada 4 (TCP, UDP, ICMP, e ICMPv6). Os critérios mais usados são endereços de origem e destino, porta de origem e destino e protocolo.

Firewalls SIP

Os terminais SIP podem ser configurados para enviar todos os seus pedidos para um Servidor Proxy SIP, em vez de tentar alcançar o servidor SIP apropriado usando registros DNS. O suporte nativo para o NAT ((Network Address Translation) é uma técnica usada para segurança, bem como para evitar problemas de re-endereçamento) por parte das entidades SIP permite a configuração de sinalização para comunicações de saída sem nenhum requisito específico no firewall. Mas, para os fluxos de mídia, o firewall prescisa estar ciente dos fluxos UDP que chegam, para repassá-los à entidade apropriada. As chamadas que chegam precisam ser tratadas por um Proxy de sinalização SIP do firewall.

SIP E OS SEUS BENEFICIOS O que é? Uma forma de telefonar que, aproveitando um acesso de banda larga ADSL, Cabo ou Satélite, permite fazer chamadas dentro da Internet a custo zero, e terminando a chamada na rede pública telefônica (nacional ou internacional) com um custo, muito mais baixo do que o normalmente praticado por qualquer Operador de Rede Fixa. Que nível de redução de custos pode obter? É variável, para casos de 1 ou 2 telefones, a economia calcula-se diretamente a partir do tarifário. De momento as chamadas para a Europa (a terminarem na rede fixa), incluindo Portugal e mais alguns destinos, num total de mais de 40 destinos, têm um custo de 1,7 cêntimos/minuto, compare com o seu tarifário atual que tem aí o valor da sua economia. Tenha sempre em atenção que se os destinos das suas chamadas forem SIP o custo é zero (o que não lhe é oferecido por nenhum outro Operador de rede fixa!), obtém assim a máxima redução de custos. Para empresas com mais de um edifício, que normalmente já têm banda larga, os custos das chamadas entre os edifícios passam a zero e com a economia adicional que se obtém ao trocar circuitos dedicados (HDLC, SDLC, Frame-Relay, X. 25 etc..) por acessos ADSL (normalmente com velocidades muito maiores e com custos muito mais baixos) para uma solução integrada de voz-e-dados, nos nossos Clientes têm-se obtido aumentos de velocidade nos dados superiores a 3.000% (três mil) e reduções superiores a 80% (oitenta) no total dos custos (chamadas + custos dos circuitos). O investimento tem sido recuperado normalmente entre 3 a 6 meses somente com a redução de custos, passado este tempo além de o investimento ter sido recuperado na totalidade, os custos de operação também baixaram, a redução de custos em telecomunicações é efetiva e substancial e o serviço telefônico e de dados melhorou !

Custos Se uma empresa já transmite dados entre suas unidades poderá obter uma grande economia utilizando essa rede para o tráfego de voz, aproveitando o link de dados que geralmente é subutilizado na maioria do tempo. E se a empresa ainda não transmite dada a melhor opção é adotar uma solução que utilize Voz sobre IP. Em qualquer das situações, a economia com ligações locais e interurbanas viabiliza o retorno do investimento em curto espaço de tempo. Essa economia é resultado: De ligações telefônicas a custo zero; De envio e recebimento de Fax sem nenhum custo; Da utilização de uma única infra-estrutura para prover serviços de link de dados e telefonia. A tecnologia de VoIP permite reduzir o custo das ligações entre empresas que possuem links de dados interligando suas unidades. Neste cenário a tecnologia permite a redução do custo das chamadas, pois a empresa já paga um custo fixo pelo uso da rede de dados de uma provedora de serviços (Embratel, Brasil Telecom, etc). A voz do usuário é transformada em pacotes IP (Internet Protocol), e trafegam dentro da rede de dados da empresa. Devemos lembrar que para termos qualidade audível nas ligações, é necessário investir em equipamentos de conectividade de rede (roteadores e switches) QoS (Qualidade de Serviço), para que o pacote de voz tenha sempre prioridade ao trafegar na rede, pois a voz é sensível ao atraso e variações (delay e jitter) . Há questões levantadas quanto ao uso de usuários domésticos que possuem o serviço ADSL, de utilizarem a tecnologia de VoIP, porém não há garantia de qualidade na ligação, pois a rede não tem QoS, tornando a chamada inaudível em alguns momentos. Dependendo do tipo de interface podemos conectar um PABX ou um telefone diretamente no

roteador. Todas as ligações entre as corporações (Matriz-Filiais), são redirecionadas na rede de dados da empresa. Ligações externas, são redirecionadas para a rede da telefonia local.

Arquitetura do SIP

A arquitetura do SIP é composta de vários componentes denominados entidades SIP, entre eles estão: User Agent SIP (UA SIP - Agente do Usuário SIP): São os terminais finais de comunicação (terminal SIP ou softphone). Este agente atua como um cliente/servidor, sendo a parte cliente conhecida como UAC – User Agent Client, uma entidade lógica que realiza a inicialização da sessão através do envio de pedido(s) para o servidor. O servidor, também uma entidade lógica conhecida como UAS – User Agent Server, realiza o envio de respostas aos pedidos recebidos do cliente, dessa forma o agente consegue ter controle sobre a sessão. Servidor Proxy SIP: este servidor é subdividido em outros componentes, que são explicados abaixo: Proxy Server - Servidor Proxy: é um servidor intermediário, que pode atuar tanto como cliente quanto como servidor. Tem a função de estabelecer chamadas entre os integrantes da chamada, encaminhando os pedidos recebidos até o destino, sendo assim pode passar ou não por outros servidores proxy. Pode ser utilizado para contabilidade, pois armazena informações. Opera através das comunicações stateful (circuito) ou stateless (TCP). Redirect Server - Servidor de Redirecionamento: é um servidor intermediário, um UAS – User Agent Server, cuja função é fornecer informações sobre o usuário destino, para isso, utiliza o DNS que resolve nomes. Registrer – Registrador: entidade cuja finalidade é fornecer informações sobre as localizações que conhece. Estas informações estão gravadas na entidade, pois a mesma anteriormente já recebeu outra requisição igual.

Métodos

SIP funciona numa arquitetura cliente/servidor e, em sua versão atual (RFC 3261), possui 6 métodos de requisição, INVITE, ACK, CANCEL, OPTIONS, REGISTER e BYE, que são explicados abaixo: INVITE- O método INVITE solicita o estabelecimento de uma sessão. O corpo do INVITE contem a descrição da sessão utilizando o SDP (Session Description Protocol). Se um método INVITE for enviado durante a execução de uma sessão, ele é chamado de re-INVITE. ReINVITE’s geralmente são utilizados para mudar parâmetros da sessão; ACK- O método ACK funciona como a confirmação de um INVITE, se o INVITE não contiver a descrição da sessão, o ACK deve conter; CANCEL- O método CANCEL cancela todos os métodos pendentes de resposta; OPTIONS- O método OPTIONS faz uma pergunta sobre as capacidades e disponibilidade das funcionalidades do receptor, a resposta contém uma listagem com os métodos, extensões e codecs suportados; REGISTER- Um cliente usa este método para registrar o "alias" (apelido) do seu endereço em algum servidor SIP, que, por aceitar registro de usuários, chamamos de serviço REGISTRAR. BYE- Usado para terminar uma sessão estabelecida.

Autenticação

Existem duas formas de autenticação no SIP, uma entre um UA e um servidor e a outra entre dois UA. Um servidor pode exigir uma autenticação de UA, antes de permitir que ele utilize seus serviços. E dois UA necessitam de autenticação para garantir com quem você está realmente falando. No SIP existem duas formas de autenticação, uma forma simples baseada no HTTP digest e o outro esquema envolve criptografia e troca de certificados. No HTTP digest , o servidor Proxy responde a uma solicitação de autenticação, cujo solicitante não está autenticado, com uma resposta 407 Proxy Authentication Required com o desafio. Após enviado o ACK, o UA solicitante pode reenviar o INVITE com um cabeçalho ProxyAuthorization, geralmente a mensagem é enviada com o mesmo Call-id, porém com um incremento do CSeq. UA, redirect e Registrar Server normalmente enviam a mensagem 401 Unauthorized para qualquer solicitação de INVITE sem um Proxy- Authorization. As credenciais de um UA geralmente são um nome de usuário e senha encriptados. Entretanto HTTP digest não garante a segurança, para isso deve ser usado TLS ou S/MIME. O TLS 1.0 é suportado pelo SIP, e se usado como transporte, permite que dois servidores Proxy se autentiquem manualmente. No caso de dois servidores se autenticando o TLS é muito eficiente, porém caso seja necessário a autenticação entre mais servidores Proxy o S/MIME é mais eficiente

Endereçamento “A rede SIP pode ser acessada via Internet usando uma URI.

O URI é uma string compacta para endereçar os recursos físicos ou abstratos dentro da rede. Exemplos de endereçamentos SIP são "alias" (ou apelido) como esta URI <sip://usuário@servidor>

Ilustraremos agora um exemplo de comunicação usando o SIP:

O usuário <sip:[email protected]> deseja estabelecer um conexão com o usuário <sip:BB@ prospect.br> e envia um INVITE ao seu servidor. O Servidor que recebeu a solicitação de <sip:AA@ prospect.br> tenta localizar o usuário com “alias” <sip:BB@ prospect.br>, pra isso ele procura no servidor de localização de usuários. A resposta desse servidor é o ultimo servidor onde esse usuário se registrou, que nesse caso foi o servidor pim. prospect.br, isso permite mobilidade com o uso do SIP Então a solicitação de inicio de uma sessão é enviada ao servidor pim. prospect.br, que por sua vez repassa ao usuário <sip:BB@ prospect.br>, na forma da mensagem 180 ringing. O usuário <sip:BB@ prospect.br> aceita a requisição e envia a mensagem 200 OK, que é redirecionada ao usuário <sip:AA@ prospect.br>. O usuário <sip:AA@ prospect.br> indica pro servidor que a negociação terminou enviando um ACK, a conexão está estabelecida. Inicia-se a troca de dados, sejam voz, vídeo ou texto, e quando um dos usuários resolverem terminar a sessão, enviará um BYE ao servidor, e a conexão estará desfeita.

Na ilustração, pode-se notar que o SIP utiliza um Three-way handshake para estabelecer uma conexão, primeiro envia-se um INVITE, caso seja aceito envia-se um 200 OK e confirma-se enviando um ACK. O motivo pelo qual o SIP utiliza esse modo, em vez de utilizar o two-way handshake, que é mais comum, é simples, quando o usuário envia o pedido de INVITE pode demorar muito tempo para ser respondido, então quando a mensagem 200 OK chegar, o usuário que solicitou o INVITE pode não está mais conectado, ao chegar a mensagem de 200 OK imediatamente é enviado um ACK confirmando que a conexão está estabelecida.

Mensagens Instantâneas e Presença Para este tipo de aplicação há um protocolo especial em SIP denominado SIMPLE

Ele é utilizado em aplicações de mensagem instantânea como o “MSN”, da Microsoft. Nesta aplicação há uma lista de contatos onde o usuário escolhe com quem quer falar, verifica-se se o receptor está disponível para falar e estabelece- se a comunicação por meio do protocolo. Tem-se um dispositivo IP que transmite voz, tendo ainda opções para vídeo, Chat e compartilhamento de dados. Alguns testes foram feitos e comprovou-se que o “Msn” funciona com qualidade na voz, com servidor Proxy Synamicsoft SIP, passando as chamadas por um telefone IP Pingtel xpressa. A presença se refere ao status de um usuário em um determinado momento, em aplicações móveis pode incluir à localização do usuário em termos de coordenadas, ou, como é mais comum, indica a localização em termos gerais, como, “em casa”, “no escritório” e etc. A presença é utilizada nas aplicações de telefone IP como Skype ou de mensagem instantânea, permitindo acesso a informações em tempo real sobre o status da pessoa, suas preferências e capacidade de comunicação, por exemplo, informando sobre a presença de web cams e microfones.

Segurança em SIP Segurança em rede tem o objetivo de evitar fraudes e tentativas de usuários de indisponibilizar serviços da rede ou a própria rede. Em termos de SIP tem-se interesse em questões de segurança nos seguintes aspectos: controle de

chamadas e de transferência de dados, ou seja, tarifação cobrada, espionagem, detecção de utilização indevida, verificação do respeito ao serviço contratado sem tentativas de burlar cobranças etc; preocupação com a privacidade dos usuários não permitindo acesso de um usuário a dados confidenciais de outros usuários; necessidade de tráfego seguro entre entidades envolvidas pelo protocolo SIP, entre outros. O protocolo SIP deve oferecer confidencialidade: somente usuários autorizados acessam o que está armazenado ou sendo transmitido; autenticidade: identificação da origem da mensagem, ou seja, se ela foi mesmo mandada pelo emissor correspondente ou é uma falsa mensagem de um hacker; integridade: garantir que nada do que esteja armazenado seja modificado ou apagado sem autorização; disponibilidade: As informações e dados devem estar disponíveis aos usuários autorizados; não repúdio: o emissor não pode negar que enviou mensagens e o receptor não pode negar o recebimento da mesma e controle de acesso: O acesso aos serviços, informações e recursos deve ser vigiado para os autorizados. Para garantir as questões citadas há três mecanismos usados em SIP: Autenticação identificando quem é o emissor e o receptor, encriptação para garantir que nenhum usuário possa ler mensagens de terceiros e esteganografia. Segurança em SIP pode utilizar IPSec, S/MIME e TLS. O IPSec (IP Security) fornece a capacidade de comunicação segura entre pontos com a implementação de protocolos IPSec. Ele possui duas opções de utilização: Transport onde a proteção ocorre para camadas superiores ao IP ou Tunnel Mode em que a proteção é completa. O S/MIME faz segurança de conteúdo, criptografando as mensagens SIP. O TLS (Transport Layer Security) proporciona uma camada segura de transporte envolvendo TCP

QoS – Qualidade de Serviço

O QoS é a qualidade de serviço na rede. A qualidade de serviço nas redes IP é um ponto muito importante para um bom desempenho do começo ao fim das aplicações em VoIP. É necessário um conhecimento dos

mecanismos utilizados, parâmetros, algoritmos e protocolos, para que se tenha uma QoS que tenha um resultado dentro da rede. É necessário exigir determinados parâmetros o qual é um requisito da QoS como: (atrasos, vazão, perdas, ...) . Quando o QoS é solicitado, a aplicação recebe o nome de SLA (Service Level Agreement) . Estas solicitações definiram quais parâmetros devem ser garantidos para que as aplicações possam ser executadas com qualidade. Iremos configurar a quantidade de bando para cada usuário.

Codec É um dispositivo que codifica ou descodifica um sinal. Por exemplo, companhias telefônicas utilizam codecs para converter sinais binários transmitidos pelas redes digitais em sinais analógicos para rede analógica.

Alguns exemplos de codecs são G723 e G.711, juntamente com o protocolo RTP ( Real Time Protocol ) Este processo é dividido em duas partes: Análise da voz: este processamento é responsável por converter a voz em um formato digital, para que seja guardada

de forma coerente nos

sistemas de comutação e transmitida em redes digitais ou rede IP. São chamadas de digital speech encoding Sintetização da voz: este processamento é responsável por converter a voz da forma digital para forma analógica, própria para a audição humana

Conferência AdHoc O protocolo SIP oferece suporte para o estabelecimento de conferências Ad Hoc, ou seja, conferências onde é permitido adicionar e remover participantes e mídias a qualquer hora, permitindo comunicação através de voz, vídeo e texto. Porém o SIP não permite a identificação de todos os usuários presentes na conferência e também não garante que todos serão

notificados sobre a entrada de um novo participante no grupo, para isso ele utiliza os protocolos RTP e RTCP.

Servidor Proxy SIP

Este componente é conhecido como next-hop pois ele recebe uma solicitação e envia para outro servidor ou para os usuários. Possui informações com o intuito de bilhetagem das chamada, e corresponde a uma entidade intermediária contendo tanto um UAC quanto UAS. Seu objetivo compreende o encaminhamento das solicitações recebidas para os próximos servidores SIP ou terminais, que fazem parte do caminho até o destino (serviço de roteamento). A entidade Servidor Proxy SIP também pode operar com comunicação stateful ou stateless. O stateful pode dividir as chamadas pela ordem que chegaram, sendo assim faz com que muitas extensões estejam tocando de uma vez e o primeiro que atender pega a chamada. Isso significa que pode utilizar o telefone atrávez de um desktop SIP, celular SIP e suas aplicações de videoconferência de qualquer lugar. Esta entidade usa métodos para resolver a solicitação ao endereço de host, inserindo busca de DNS, busca em base de dados.

A figura acima esta mostrando o funcionamento dos componentes do SIP, segue. O cliente SIP faz a solicitação para o servidor local, este servidor envia a solicitação ao servidor de redirecionamento que devolve a endereço ao servidor local que envia a solicitação para o servidor proxy que envia a solicitação para o servidor de localização que faz a consulta na base de dados local. Após isso, é enviado ao outro servidor proxy que envia ao destino. O SIP utiliza o SDP ( Session Description Protocol ). Esta ferramenta de conferência foi criada para descrever sessões de áudio, vídeo e multimídia ele também é um produto do grupo de trabalho MUSIC e é muito usado atualmente no contexto do MBONE, a rede de comunicação multicast que funciona na Internet. O principal objetivo do SDP é definir uma sintaxe padrão.

Cenários

Equipamentos que iremos utilizar na rede.

Roteadores cisco 2620-XM.

Modulo NM-1HSSI.

Roteador wireless Linksys WRT300n.

Switches 296024TT.

Access point cisco aironet 1200series.

CABO FURUKAWA CAT6

CONECTOR AMP

RJ45

CONECTOR AMP FEMEA RJ45

PATH PAINEL

FURUKAWA

RJ45

RACK DELL STANDARD 19"

CONVERSOR (RACK)

CANOPUS

ADVC-500

NO BREAK

SERVIDOR DE BACKUP

SMS

3100VA(2480W)

DELL POWEREDGE 2900

FITA DAT

DELL ULTRIUM 3 800GBS.

PABX CISCOUC520

IP TELEFONE

SERVIDOR DE BACKUP

CISCO7911G

DELL POWEREDGE 2900

OBS.: Os modens vão ser fornecidos pelas operadoras dos links e os modens tem que ter porta serial.

CUSTOS QT DE 3 3 1 3 3 3 0 9 3 0 8 3 1 10 50 000 0 9 3 3 8 5 3 0 3 3 0 1

6 3

EQUIPAME NTO ROTEAD MODUL OR O ROTEADOR WIRELESS SWITCH ACCES ES S.POINT S. OPERACIONA OPERACIONA L DESKT OP L SERVID LINKOR C DEDICADO/MÊS CONECT ABO CONECT OR PATH OR R PAINEL CONVERSOR ACK NO (RACK) UNIDADE DE BREAK FITA BACKUP P DAT IP ABX SERVIDOR DE TELEFON BACKUP E Firew Ipse all c

PLANEJAMENTO ORÇAMENTÁRIO M MODE ARCA LO CISC 2620CISC NMO XM O 1HSSI LINKS WRT30 YS 0n 3 2960CISC AIRON COM 24TT MICROSO WIN O ET MICROSO WIN FT XP optiplex FT DE 2003 DE POWEREDGE LL 320 EMBRAT LL 2900 6M FURUKA C EL B R WAAM AT6 FEMEA PGT J45 FURUKA C S RJ45 STANDARD WADE AT6 CANOP ADVCLL 19" 3100VA(248 USSM 500 DE POWERVAULT 120T S 0W) DE ULTRIUM 3 LL DLT7000 CISC UC52 LL 800GBS. CISC 7911 O 0 DE POWEREDGE O G SONICWA LL 2900ESONICWA ELL CLASS LL CLASS

CUSTO TOTAL R$ 779.379,3 0

VALOR UNITÁRIO R$ R$ 3.250,00 12.820,00 R$ 250,00 R$ R$ 3.800,00 R$ 1.610,00 R$ 400,00 R$ 800,00 R$ 1.500,00 R$ 24.000,00 R$ 5.000,00 R$ 639,90 R$ 0,94 R$ 3,00 R$ 234,00 R$ 11.900,00 R$ 2.900,00 R$ 3.380,00 R$ 1.500,00 R$ 220,00 R$ 52.000,00 R$ 666,81 R$ 24.000,00 R$ 14.500,00 20.000,00

VALOR TOTAL R$ R$ 9.750,00 38.460,00 R$ 250,00 R$ R$ 11.400,00 R$ 4.830,00 R$ 12.000,00 R$ 7.200,00 R$ 45.000,00 R$ 192.000,00 R$ 15.000,00 R$ 6.399,00 R$ 940,00 R$ 1.500,00 R$ 2.106,00 R$ 35.700,00 R$ 8.700,00 R$ 27.040,00 R$ 7.500,00 R$ 6.600,00 R$ 156.000,00 R$ 20.004,30 R$ 24.000,00 R$ 87.000,00 R$ 60.000,00 R$ 0,00 R$ 0,00 R$ 0,00 R$ 0,00 R$ 0,00 R$ 0,00 0,00

Perguntas

1) Quais as primitivas do protocolo SIP? 2) Quais os mecanismos de segurança em SIP? 3) Quais as principais vantagens do protocolo SIP? 4) Por que o SIP utiliza o Three-way Handshake em vez do Two- way Handshake? 5) Quais são os três tipos de servidores da arquitetura SIP?

Respostas 1) As três primitivas do protocolo SIP são: inicialização, modificação e a finalização das sessões. 2) Encriptação, autenticação e esteganografia. 3) A sua simplicidade, eficiência, flexibilidade e facilidade de comunicação com os protocolos da internet HTTP e SMTP. 4) Ao enviar uma solicitação de INVITE, o receptor pode demorar muito tempo pra responder, e ao responder pode ser que o emissor não esteja mais conectado, uma maneira de contornar foi o three way handshake, primeiro o emissor solicita um INVITE, o receptor ao confirmar envia uma mensagem 200 OK e caso o emissor ainda esteja conectado, é enviado automaticamente um ACK. 5) Proxy, redirect e registrar.

DMZ DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em português. Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.

A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.

A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de VLANs (Ou seja, redes diferentes que não se "enxergam" dentro de uma mesma rede LAN).

ELABORAÇÃO DA TOPOLOGIA

IPs DAS REDES

Mascaras Possíveis 255.255.255.128/24 255.255.255.192/25 255.255.255.224/26 255.255.255.240/28 255.255.255.248/29 255.255.255.258/30 255.255.255.254/31 255.255.255.255/32 Ips 172.16.0.169/25 172.16.0.128/25 172.16.0.120/25 172.16.0.1/25 ( Server ) (Gateway) Outros 192.168.0.1/30 ( Server ) (Gateway) 192.168.0.2/30 192.168.0.5/30 192.168.0.6/30 192.168.0.9/30 192.168.0.12/30

Outros 192.168.200.101/24 192.168.200.102/24 192.168.200.103/24 192.168.200.104/24 192.168.200.105/24 192.168.200.1 ( Server ) ( Gateway )

Conclusão

Esse projeto muito comentado pela comissão que o entrega, foi muito discutido, mas chegamos a um ótimo trabalho que foi o desenvolvimento desse projeto que mostra como ligar três petroquímicas utilizando VPN’S e cada unidade vai usar tecnologia SIP (Session Initiation Protocol) pois assim nosso cliente poderá ter acesso a rede banda larga e também poder usar o felefone com redução de custos. Interligando as três filiais por meio de vpn’s usaremos os seguintes serviços e ferramentas: Firewall, Ipsec, sip Proxy. Gateway monitoring, sip phone entre outros etc... Usamos também um serviço que mantém serviços externo separados em uma rede local chamado de DMZ (DeMilitarized Zone ou "zona desmilitarizada", em português. Também conhecida como Rede de Perímetro) para melhor segurança dos serviços externos como HTTP e FTP. Para fazer essa VPN’S funcionar usaremos os seguintes equipamentos: Router SONICWALL.. Para melhor atender a parte de custo do projeto pode – se dizer a parte critica onde tudo começa e termina. Ou nem começa pode – se dizer se não entrar em acordos. Os valore de todo o projeto fica no valor especificado ta tabela orçamentário assim descrito no projeto. Para finalizar, gostaria de agradecer a todos que nos ajudaram no desenvolvimento desse projeto aqui fica os nossos agradecimentos.

REFERÊNCIAS BIBLIOGRÁFICAS TELECO - “Informação para o aprendizado contínuo em Telecomunicação”. http://www.teleco.com.br/voip.asp. Consulta em 20/11/2008. ERICSSON - “VoIP – Voz sobre IP”. http://www.ericsson.com.br/voip/index.asp. Consulta em 20/11/2008. Aguiar, Reinaldo. - “Conceito e uma Implementação de Voip”, Trabalho de Curso. São Francisco. Consulta em 20/11/2008. ANATEL - “VoIP”. http://www.anatel.gov.br. Consulta em 20/11/2008. CISCO - “VoIP”. http://www.cisco.com/pcgi-bin/search/search.pl . Consulta em 20/11/2008. Goldnet - “VoIP”. http://www.goldnet.com.br/voip/ . Consulta em 20/11/2008. GUIDE,DAVID; HERSENT, OLIVIER; PETIT, JEAN-PIERRE - "Telefonia Ip". Editora Makron. São Paulo. 1ª Edição. 2005. Consulta em 20/11/2008 Saber, Eletrônica - “Eletrônica”. Editora Saber LTDA. São Paulo. 2002. Consulta em 20/11/2008. Owdhury, Dhiman D. - "Projetos Avançados de Redes Ip – Roteamento Qualidade de Serviço e Voz Sobre Ip”. Editor Campus. 2005. Consulta em 20/11/2008 Kliemann, Ronei - “Estudo de casos em voz sobre IP”, Trabalho de Conclusão de Curso. Rio Grande do Sul, 2001. Consulta em 20/11/2008 SOUZA FILHO, GUIDO L; COLCHER, SERGIO; SOARES, LUIZ FERNANDO GOMES; GOMES, ANTON - "Voz Sobre Ip ". Editora Campus. São Paulo. 1ª Edição. 2005. Consulta em 20/11/2008 Redes - “Redes Computadores I”.http://200.250.4.4/curso-redesespecializacao/2002-rees-uel/trab-03/equipe-03/Arquitetura%20H323.htm. Consulta em 20/11/2008.

MP - “Um padrão para sistema de comunicação multimídia baseado em pacotes” http://www.rnp.br/newsgen/0111/h323.html. Consulta em 20/11/2008. Wikipedia - “SIP” http://pt.wikipedia.org/wiki/SIP. Consulta em 20/11/2008. ITU-T - .http://www.itu.int. Consulta em 20/11/2008. IETF - .http://www.ietf.org. Consulta em 20/11/2008.