Esta seção fornece uma visão geral de VoIP. Ela contém as seguintes seções:
• Recursos de VoIP do Dell SonicWALL
O restante do capítulo descreve como configurar e usar o VoIP do Dell SonicWALL:
• Cenários de implantação VoIP
Voz sobre IP (VoIP) é um termo geral para um conjunto de tecnologias que permitem que o tráfego de voz seja feito através de redes de Protocolo de Internet (IP). VoIP transfere os fluxos de voz de chamadas de áudio em pacotes de dados, em vez de comunicações de voz comutadas por circuito tradicional e analógico usadas pela rede telefônica pública comutada (PSTN).
VoIP é a força principal que direciona a convergência de redes e telecomunicações combinando telefonia de voz e dados em um único sistema de rede IP integrado. VoIP é tudo sobre economia de custos para empresas por meio de eliminação de infra-estruturas redundantes dispendiosas e de taxas de uso de telecomunicações, enquanto também oferece recursos de gerenciamento aprimorados e recursos de serviços de chamadas.
As empresas implementam tecnologias VoIP em um esforço para diminuir os custos de comunicação e ampliar os serviços corporativos de voz para uma força de trabalho distribuída face os riscos de segurança associados à convergência de redes de voz e de dados. A segurança VoIP e a integridade da rede são uma parte essencial de qualquer implantação de VoIP.
As mesmas ameaças de segurança que as redes de dados infestam hoje são herdadas por VoIP, mas a adição de VoIP como um aplicativo na rede torna essas ameaças ainda mais perigosas. Adicionando componentes de VoIP na rede, você também está adicionando novos requisitos de segurança.
VoIP abrange um número de padrões complexos que deixe a porta aberta para bugs e vulnerabilidades na implementação de software. Os mesmos tipos de bugs e vulnerabilidades que dificultam cada sistema operacional e o aplicativo disponível hoje também se aplicam ao equipamento de VoIP. Muitos dos dispositivos de gateway e servidores de chamada VoIP de hoje são criados em sistemas operacionais Windows e Linux vulneráveis.
Requisitos de firewall para VoIP
VoIP é mais complicado do que os aplicativos padrão baseados em TCP/UDP. Devido às complexidades de protocolos e sinalização VoIP, bem como inconsistências que são apresentadas quando um firewall modifica o endereço de origem e as informações de porta de origem com tradução de endereço de rede (NAT), é difícil para VoIP atravessar efetivamente um firewall padrão. Aqui estão alguns dos motivos.
• O VoIP opera usando dois protocolos separados - uma sinalização de protocolo (entre o cliente e o servidor VoIP) e um protocolo de mídia (entre os clientes). Os pares de porta/endereço IP usados pelos protocolos de mídia (RTP/RTCP) para cada sessão são negociados dinamicamente pelos protocolos de sinalização. Os firewalls precisam rastrear e manter dinamicamente essas informações, abrir portas selecionadas para as sessões de forma segura e fechá-las no momento adequado.
• Várias portas de mídia são negociadas dinamicamente através da sessão de sinalização - as negociações das portas de mídia estão contidas na carga dos protocolos de sinalização (informações da porta e endereço IP). Os firewalls precisam executar inspeção profunda de pacotes em cada pacote para obter as informações e manter dinamicamente as sessões, exigindo assim processamento adicional de um firewall.
• Endereços IP de origem e destino incorporados aos pacotes de sinalização de VoIP - um firewall que suporta NAT traduz endereços IP e portas no nível do cabeçalho IP para os pacotes. Os firewalls de NAT totalmente simétricos ajustam suas ligações de NAT com frequência e podem, arbitrariamente, fechar os buracos que permitem que os pacotes de entrada passem na rede que eles protegem, eliminando a capacidade do provedor de serviços de enviar chamadas de entrada ao cliente. Para oferecer suporte ao VoIP de forma efetiva é necessário para um firewall de NAT realizar a inspeção profunda de pacotes e a transformação de endereços IP incorporados e informações de porta, conforme os pacotes atravessarem o firewall.
• Os firewalls necessários para processar os conjuntos de protocolo de sinalização que consiste em diferentes formatos de mensagens usadas por diferentes sistemas VoIP - apenas porque dois fornecedores usam o mesmo conjunto de protocolos não significa, necessariamente, que eles se interoperarão.
Para superar muitos dos obstáculos introduzidos pelas complexidades de VoIP e NAT, os fornecedores estão oferecendo SBCs (controladores de borda de sessão). Um SBC fica do lado de Internet de um firewall e tenta controlar a borda de uma rede de VoIP, encerrando e originando novamente todas as mídias de VoIP e tráfego de sinalização. Basicamente, os SBCs atuam como um proxy para o tráfego de VoIP para firewalls habilitados não VoIP. Os dispositivos de segurança Dell SonicWALL são firewalls habilitados VoIP que eliminarem a necessidade de um SBC na rede.
As tecnologias VoIP são criadas em dois protocolos primário(s), H.323 e SIP.
H.323
O H.323 é um padrão desenvolvido pela International Telecommunications Union (ITU). Ele é um conjunto abrangente de protocolos para comunicação de voz, vídeo e dados entre computadores, terminais, dispositivos de rede e serviços de rede. O H.323 é projetado para permitir que os usuários façam chamadas telefônicas multimídia ponto a ponto em redes de comutação de pacotes sem conexão, como redes IP privadas e a Internet. O H.323 é amplamente suportado por fabricantes de equipamentos de videoconferência, equipamentos VoIP e software e dispositivos de telefonia na Internet.
O H.323 utiliza uma combinação de TCP e UDP para a sinalização e ASN.1 para codificação de mensagens. O H.323v1 foi lançado em 1996 e o H.323v5 foi lançado em 2003. Conforme o padrão mais antigo, o H.323 foi adotado por vários usuários de VoIP antecipadamente.
Uma rede H.323 consiste em quatro tipos diferentes de entidades:
• Terminais - pontos de terminais do cliente para comunicações de multimídia. Um exemplo seria um telefone de Internet ou PC habilitado por H.323.
• Gatekeepers - executa serviços para configuração e derrubada de chamada e registro de terminais H.323 para comunicações. Inclui:
– Tradução de endereço.
– RAS (Registro, controle de admissão e status).
– O ILS (Internet Locator Service) também está nesta categoria (embora não faça parte do H.323). O ILS usa o LDAP (Lightweight Directory Access Protocol), em vez de mensagens de H.323.
• MCUs (unidades de controle de vários pontos) - distribuição de dados e controle de conferência para comunicações de vários pontos entre terminais.
• Gateways - interoperação entre redes H.323 e outros serviços de comunicações, como a PSTN (Packet Switched Telephone Network) comutada por circuito.
SIP
O padrão de SIP (Protocolo de Iniciação de Sessão) foi desenvolvido pela Internet Engineering Task Force (IETF). RFC 2543 foi liberada em março de 1999. RFC 3261 foi liberada em junho de 2002. SIP é um protocolo de sinalização para iniciar, gerenciar e encerrar sessões. SIP oferece suporte a mobilidade e 'presença' e pode ser executado em TCP (Protocolo de Controle de Transmissão) e UDP (Protocolo de Datagrama de Usuário).
Usando um SIP, um cliente de VoIP pode iniciar e encerrar sessões de chamada , convidar membros para uma sessão de conferência e executar outras tarefas de telefonia. O SIP também permite que PBXs (trocas de ramificação privadas), gateways de VoIP e outros dispositivos de comunicações se comuniquem em colaboração padronizada. O SIP também foi projetado para evitar a sobrecarga intensa de H.323.
Uma rede SIP é composta pelas entidades lógicas a seguir:
• User Agent (UA) - inicia, recebe e encerra chamadas.
• Servidor proxy - age em nome do UA no encaminhamento ou respondendo às solicitações. Um servidor proxy pode bifurcar solicitações para vários servidores. Um back-to-back user agent (B2BUA) é um tipo de servidor proxy que trata cada segmento de uma chamada que passa por ele como duas sessões de chamada SIP distintas: uma entre ele e o telefone chamador e a outra entre ele e o telefone chamado. Outro servidores proxies tratam todos os segmentos da mesma chamada como uma única sessão de chamada SIP.
• Redirecionar servidor - responde à solicitação, mas não encaminha solicitações.
• Servidor de registro - Lida com a autenticação e registro do UA.
Recursos de VoIP do Dell SonicWALL
As seções a seguir descrevem o serviço integrado de VoIP do Dell SonicWALL:
• Interoperabilidade de rede de VoIP
• Protocolos de VoIP com suporte
• Como o SonicOS trata as chamadas de VoIP
• Legitimidade de tráfego - inspeção estável de cada pacote de sinalização e mídia de VoIP que atravessa o firewall garante que todo o tráfego seja legítimo. Os pacotes que exploram falhas de implementação, causando efeitos como estouros de buffer no dispositivo de destino, são as armas de escolha para vários invasores. Os dispositivos de segurança Dell SonicWALL detectam e descartam pacotes malformados e inválidos antes que eles atinjam seu destino pretendido.
• Proteção da camada de aplicativo para protocolos VoIP - Proteção completa contra explorações de VoIP de nível de aplicativo por meio do IPS (Intrusion Prevention Service) do Dell SonicWALL. O IPS integra um mecanismo de varredura configurável e de alto desempenho com um banco de dados fornecido e atualizado dinamicamente de assinaturas de ataques e vulnerabilidades para proteger redes contra cavalos de Troia sofisticados e ameaças polimórficas. O Dell SonicWALL estende seu banco de dados de assinaturas IPS com uma família de assinaturas específicas à VoIP projetada para impedir que o tráfego mal-intencionado acesse servidores e telefones VoIP protegidos.
• Proteção contra ataque DoS e DDoS - prevenção de ataques DoS e DDoS, como o ataque SYN Flood, Ping of Death e LAND (IP), que são projetados para desabilitar uma rede ou serviço.
– Validar a sequência de pacotes para pacotes de sinalização de VoIP que usam TCP para não permitir pacotes fora de sequência e retransmitidos além da janela.
– Usar números aleatórios de sequência TCP (gerados por um gerador de número aleatório criptográfico durante a configuração de conexão) e validar o fluxo de dados em cada sessão TCP para impedir ataques de inserção de dados e de reprodução.
– Garante que os invasores não possam sobrecarregar um servidor ao tentar abrir muitas conexões TCP/IP (que nunca são, geralmente, totalmente estabelecidas devido a um endereço de origem falso), usando a proteção contra SYN Flood.
• Monitoramento estável - o monitoramento estável garante que os pacotes, mesmo que apareçam válidos por si mesmos, sejam apropriados para o estado atual da sua conexão VoIP associada.
• Suporte de dispositivo de VoIP criptografado - o Dell SonicWALL oferece suporte a dispositivos de VoIP capazes de usar criptografia para proteger a troca de mídia em uma conversa de VoIP ou dispositivos VoIP seguros que não oferecem suporte à mídia criptografada usando VPNs IPsec para proteger chamadas VoIP.
• Proteção da camada de aplicativo - o Dell SonicWALL oferece proteção completa contra explorações de VoIP de nível de aplicativo por meio do IPS (Intrusion Prevention Service) do Dell SonicWALL. O IPS do Dell SonicWALL é criado em um mecanismo de inspeção profunda de pacotes configuráveis e de alto desempenho que oferece proteção estendida de serviços de rede de chave incluindo VoIP, serviços do Windows e DNS. O idioma da assinatura extensível utilizado no mecanismo Deep Packet Inspection do Dell SonicWALL também oferece defesa proativa contra recém-descobertas de vulnerabilidades de aplicativos e protocolos. A granularidade de assinatura permite que o Dell SonicWALL IPS detecte e impeça ataques com base em ataques de grupo, global ou de base por assinatura para fornecer flexibilidade máxima e controlar o número de falsos positivos.
• VoIP sobre LAN sem fio (WLAN) - o Dell SonicWALL estende a segurança VoIP completa para redes conectadas sem fio com sua solução sem fio distribuída. Todos os recursos de segurança fornecidos para dispositivos VoIP conectados a uma rede cabeada atrás de um Dell SonicWALL também são fornecidos aos dispositivos de VoIP que usam uma rede sem fio.
Note A solução sem fio segura do Dell SonicWALL inclui os ativadores de rede para estender comunicações de VoIP seguras em redes sem fio. Consulte o guia Soluções integradas de rede sem fio segura da Dell SonicWALL disponível no site da Dell SonicWALL
http://www.SonicWALL.com para obter informações completas.
• BWM (Gerenciamento de largura de banda) e QoS (qualidade de serviço) - o gerenciamento de largura de banda (ingresso e egresso) pode ser usado para garantir que largura de banda permaneça disponível para o tráfego de VoIP sensível ao tempo. O BWM é integrado aos recursos de QoS (qualidade de serviço) da Dell SonicWALL para fornecer a previsibilidade que é vital a determinados tipos de aplicativos.
• Redundância de WAN e balanceamento de carga - a redundância de WAN e balanceamento de carga permite a uma interface agir como uma porta secundária ou uma porta WAN de backup. Esta porta secundária de WAN poderá ser usada em uma configuração ativa/passiva simples, em que o tráfego apenas é roteado através dela, se a porta primária de WAN estiver inativa ou indisponível. O balanceamento de carga pode ser executado dividindo o roteamento de tráfego com base no destino.
• Alta disponibilidade - a alta disponibilidade é fornecida pela alta disponibilidade do SonicOS, que garante conectividade contínua e confiável em caso de falha do sistema.
Interoperabilidade de rede de VoIP
• Plugar e proteger suporte para dispositivos de VoIP - com o SonicOS, as adições, alterações e remoções de dispositivo de VoIP são manipulados automaticamente, garantindo que nenhum dispositivo de VoIP fique desprotegido. Usando o monitoramento e rastreamento de tecnologia avançada, um dispositivo de VoIP será protegido automaticamente, assim que ele estiver conectado à rede atrás de um dispositivo de segurança Dell SonicWALL.
• Validação de sintaxe completa de todos os pacotes de sinalização de VoIP - os pacotes de sinalização recebidos são totalmente analisados no SonicOS para garantir sua conformidade com a sintaxe definida dentro de seu padrão associado. Ao executar a validação de sintaxe, o firewall poderá garantir que pacotes malformados não tenham permissão para passar pelo destino pretendido recebido e afetá-lo adversamente.
• Suporte para configuração dinâmica e rastreamento de fluxos de mídia - o SonicOS rastreia cada chamada de VoIP do primeiro pacote de sinalização que solicita uma configuração de chamada, até o ponto no qual a chamada é finalizada. Apenas com base no processo de chamada bem-sucedida são as portas adicionais abertas (para troca de sinalização e mídia adicional) entre a chamada e parte da chamada.
As portas de mídia que são negociadas como parte da configuração da chamada são atribuídas dinamicamente pelo firewall. As chamadas subsequentes, até mesmo entre as partes iguais, usarão portas diferentes, frustrando um invasor que pode estar monitorando portas específicas. As portas necessárias de mídia serão abertas apenas quando a chamada for totalmente conectada e serão encerradas no término da chamada. O tráfego que tenta usar as portas externas da chamada é descartado, fornecendo proteção adicional para os dispositivos de VoIP atrás do firewall.
• Validação de cabeçalhos para todos os pacotes de mídia - o SonicOS examina e monitora os cabeçalhos em pacotes de mídia para permitir a detecção e descartar os pacotes fora de sequência e retransmitidos (além da janela). Além disso, assegurando que exista um cabeçalho válido, os pacotes de mídia inválidos serão detectados e descartados. Controlando os fluxos de mídia, bem como a sinalização, o Dell SonicWALL fornecerá proteção para toda a sessão de VoIP.
• Tempos limite de inatividade configurável de sinalização e mídia - para garantir que as conexões de VoIP descartadas não permaneçam abertas indefinidamente, o SonicOS monitora o uso de fluxos de mídia e sinalização associados a uma sessão de VoIP. Os fluxos inativos além do tempo limite configurado são encerrados, para evitar falhas de segurança potenciais.
• O SonicOS permite ao administrador controlar as chamadas de entrada - exigindo que todas as chamadas recebidas sejam autorizadas e autenticadas pelo Gatekeeper H.323 ou Proxy SIP, o SonicOS pode bloquear chamadas não autorizadas e de spam. Isso permite ao administrador certificar-se de que a rede de VoIP esteja sendo usada apenas para as chamadas autorizadas pela empresa.
• Monitoramento e geração de relatórios abrangente - para todos os protocolos VoIP com suporte, o SonicOS oferece ferramentas extensivas de monitoramento e de solução de problemas:
– Relatórios dinâmicos em tempo real de chamadas de VoIP ativas, indicando o chamador e as partes da chamada e a largura de banda usada.
– Logs de auditoria de todas as chamadas de VoIP, indicando o chamador e as partes da chamada, duração da chamada e largura de banda total usada. Criação de log de pacotes anormais vistos (como uma resposta não confiável) com os detalhes das partes envolvidas e condição vista.
– Relatórios detalhados de syslog e relatórios do ViewPoint para fluxos de mídia e de sinalização de VoIP. O Dell SonicWALL ViewPoint é uma ferramenta de relatório gráfico baseado na Web que fornece relatórios detalhados e abrangentes da segurança e atividades de rede com base em fluxos de dados de syslog recebidos do firewall. Os relatórios podem ser gerados sobre praticamente qualquer aspecto da atividade do firewall, incluindo padrões de uso de usuário individual ou de grupo e eventos em firewalls específicos ou em grupos de firewalls, tipos e períodos de ataques, consumo de recursos e restrições, etc.
Protocolos de VoIP com suporte
Os dispositivos de segurança Dell SonicWALL suportam transformações para os seguintes protocolos.
H.323
O SonicOS fornece o seguinte suporte para H.323:
• Os dispositivos VoIP que executam todas as versões de H.323 (atualmente de 1 a 5) são suportados
• ILS (Internet Locator Service) com base em LDAP da Microsoft
• Descoberta de Gatekeeper por terminais H.323 de LAN usando a difusão seletiva
• Monitoramento e processamento estável de registro de mensagens de registro, admissão e status (RAS) do Gatekeeper
• Suporte para terminais H.323 que usam criptografia para os fluxos de mídia
• Opção 150 do DHCP. O servidor DHCP Dell SonicWALL pode ser configurado para retornar o endereço de um servidor TFTP específico à VoIP para clientes DHCP
• Além do suporte H.323, o SonicOS oferece suporte aos dispositivos de VoIP usando os seguintes padrões ITU adicionais:
– T.120 para compartilhamento de aplicativo, lousas eletrônicas, troca de arquivo e
bate-papo
– H.239 para permitir vários canais para fornecimento de áudio, vídeo e dados
– H.281 para controle de câmera remota (FECC)
SIP
O SonicOS fornece o seguinte suporte para SIP:
– Base padrão SIP (RFC 2543 e RFC 3261)
– Método de SIP INFO (RFC 2976)
– Confiabilidade de respostas provisórias no SIP (RFC 3262)
– Notificação de evento específico de SIP (RFC 3265)
– Método de ATUALIZAÇÃO de SIP (RFC 3311)
– Opção de DHCP para servidores SIP (RFC 3361)
– Extensão IP para mensagens instantâneas (RFC 3428)
– Método de REFERÊNCIA de SIP (RFC 3515)
– Extensão do SIP para roteamento de resposta simétrica (RFC 3581)
Interoperabilidade de fornecedor de VoIP do Dell SonicWALL
A seguir está uma lista parcial de dispositivos de fabricantes líderes com os quais o VoIP do Dell SonicWALL interopera.
|
CODECs
O SonicOS oferece suporte a fluxos de mídia de qualquer CODEC - os fluxos de mídia transportam sinais de áudio e vídeo que foram processados por um hardware/software CODEC (COdificador/DECodificador) no dispositivo de VoIP. Os CODECs usam técnicas de codificação e compactação para reduzir a quantidade de dados necessários para representar sinais de áudio e vídeo. Alguns exemplos de CODECs são:
• H.264, H.263 e H.261 para vídeo
• MPEG4, G.711, G.722, G.723, G.728, G.729 para áudio
Protocolos VoIP nos quais o SonicOS não executa a inspeção profunda de pacotes
Os dispositivos de segurança Dell SonicWALL não suportam atualmente a inspeção profunda de pacotes para os seguintes protocolos, portanto, esses protocolos apenas deverão ser usados em ambientes não NAT.
• Extensões proprietárias para H.323 ou SIP
• MGCP
• Megaco/H.248
• Cisco Skinny Client Control Protocol (SCCP)
• IP-QSIG
• Protocolos proprietários (MiNET do Mitel, 3Com NBX, etc.)
Como o SonicOS trata as chamadas de VoIP
O SonicOS fornece uma solução eficiente e segura para todos os cenários de chamada de VoIP. A seguir estão exemplos de como o SonicOS lida com fluxos de chamadas de VoIP.
Chamadas de Entrada
A figura a seguir mostra a sequência de eventos que ocorrem durante uma chamada de entrada.
O seguinte descreve a sequência de eventos mostrados na figura acima:
1. Registros de telefone B com o servidor VoIP - o dispositivo de segurança Dell SonicWALL cria um banco de dados de telefones IP acessíveis atrás dele, monitorando as solicitações de registro de VoIP de saídas. O SonicOS traduz entre o endereço IP privado do telefone B e o endereço IP público do firewall usado nas mensagens de registro. O servidor VoIP não tem conhecimento de que o telefone B está atrás de um firewall e tem um endereço IP privado — ele associa o telefone B ao endereço IP público do firewall.
2. O telefone A inicia uma chamada para o telefone B - o telefone A inicia uma chamada para o telefone B usando um número de telefone ou alias. Ao enviar essas informações para o servidor VoIP, ele também fornecerá detalhes sobre os formatos e tipos de mídia que pode suportar, bem como os endereços IP e portas correspondentes.
3. O servidor VoIP valida a solicitação de chamada e envia a solicitação ao telefone B - o servidor VoIP envia a solicitação de chamada ao endereço IP público do firewall. Ao atingir o firewall, o SonicOS valida a origem e o conteúdo da solicitação. O firewall, em seguida, determina o endereço IP privado do telefone B.
4. O telefone B toca e é atendido - quando o telefone B for atendido, ele retornará informações ao servidor VoIP para os tipos e formatos de mídia suportados, bem como os endereços IP e as portas correspondentes. O SonicOS traduz essas informações de IP privado para usar o endereço IP público do firewall das mensagens para o servidor VoIP.
5. O servidor VoIP retorna as informações IP de mídia do telefone B ao telefone A - agora, o telefone A tem informações suficientes para iniciar a troca de mídia com o telefone B. O telefone A não sabe que o telefone B está atrás de um firewall, visto que o endereço público do firewall foi fornecido pelo servidor VoIP.
6. O telefone A e o telefone B trocam áudio/vídeo/dados por meio do servidor VoIP - usando o banco de dados interno, o SonicOS garante que a mídia proveniente do Telefone A esteja usando apenas os fluxos de mídia específicos permitidos pelo Telefone B.
Chamadas locais
A figura a seguir mostra a sequência de eventos que ocorrem durante uma chamada de VoIP local.
O seguinte descreve a sequência de eventos mostrados na figura acima:
1. Registro dos telefones A e B com o servidor VoIP -o dispositivo de segurança Dell SonicWALL cria um banco de dados dos telefones IP acessíveis atrás dele, monitorando as solicitações de registro de VoIP de saída. O SonicOS traduz entre endereços IP privados dos telefones e o endereço IP público do firewall. O servidor VoIP está ciente de que os telefones estão atrás de um firewall. Ele associa o mesmo endereço IP para ambos os telefones, mas números de portas diferentes.
2. O telefone A inicia uma chamada para o telefone B enviando uma solicitação para o servidor VoIP - mesmo que eles estejam atrás do mesmo firewall, o telefone A não sabe o endereço IP do telefone B. O telefone A inicia uma chamada para o telefone B usando um número de telefone ou alias.
3. O servidor VoIP valida a solicitação de chamada e envia a solicitação ao telefone B - o servidor VoIP envia a solicitação de chamada ao endereço IP público do firewall. O firewall determina de endereço IP privado do telefone do B.
4. O telefone B toca e é atendido - quando o telefone B for atendido, o firewall traduzirá suas informações de IP privado para usar o endereço IP público do firewall das mensagens para o servidor VoIP.
5. O servidor VoIP retorna as informações IP da mídia do telefone B para o telefone A - as chamadas e as informações de partes das chamadas nas mensagens são traduzidas pelo SonicOS de volta para os endereços privados e as portas para um telefone A e um telefone B.
6. O telefone A e o telefone B trocam diretamente vídeo/áudio/dados - o dispositivo de segurança Dell SonicWALL roteia o tráfego diretamente entre os dois telefones através da LAN. Conectar diretamente a dois telefones reduz os requisitos de largura de banda para transmitir dados ao servidor VoIP e elimina a necessidade de o dispositivo de segurança Dell SonicWALL executar a tradução de endereço.