nghiên cứu giải pháp bảo mật cho thoại internet voip

Do đó không có sự bắt buộc nào về mặt thông lượng giữa các thiết bị đầu cuối mà chỉ có các chuẩn tuỳ vào băng thông có thể của mình, bản thân các đầu cuối có thể tự điều chỉnh hệ số nén

ĐẠI HỌC THÁI NGUYÊN ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

Trịnh Việt Hùng

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT CHO THOẠI INTERNET VOIP

Chuyên ngành: Khoa học máy tính

Mã số: 60 48 01

LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH CNTT

I

LỜI CẢM ƠN!

Trước hết em xin gửi tới thầy giáo TS Phạm Thanh Giang – Viện Khoa học

và công nghệ, lời cảm ơn chân thành và sâu sắc đã trực tiếp hướng dẫn, chỉ bảo tận tình trong suốt quá trình em làm luận văn

Em cũng xin chân thành cảm ơn các thầy cô giáo trong Viện Khoa học và công nghệ, Trường Đại học Thái Nguyên, Khoa đào tạo sau đại học – Trường Đại học công nghệ Thông tin và truyền thông Thái Nguyên đã hết lòng dạy bảo, giúp đỡ

em trong những năm học học tập và nghiên cứu, giúp em có những kiến thức và kinh nghiệm quý báu trong chuyên môn và cuộc sống Những hành trang đó là một tài sản vô giá nâng bước cho em tới được với những thành công trong tương lai

Cuối cùng, em xin cảm ơn những người thân trong gia đình và bạn bè đã giúp đỡ, tạo điều kiện tốt nhất để em hoàn thành luận văn này

Thái Nguyên, tháng 10 năm 2011

Học viên

Trịnh Việt Hùng

II

MỤC LỤC

Trang

LỜI CẢM ƠN! I MỤC LỤC II DANH MỤC CÁC TỪ VIẾT TẮT IV DANH MỤC CÁC BẢNG VI

MỞ ĐẦU: TỔNG QUAN VỀ VOIP 1

CHƯƠNG 1 CÔNG NGHỆ VOIP 4

1.1 Khái niệm VoIP 4

1.2 Lợi ích và hạn chế của VoIP 4

1.2.1 Lợi ích của VoIP 4

1.2.2 Hạn chế của VoIP 6

1.3 Các thành phần của hệ thống VoIP 6

1.4 Các giao thức VoIP 7

1.4.1 Giao thức H.323 7

1.4.1.1 Báo hiệu RAS 8

1.4.1.2 Báo hiệu điểu khiển cuộc gọi H.225 11

1.4.1.3 Giao thức H.245 12

1.4.2 Giao thức Session Initiation Protocol (SIP) 13

1.4.2.1 Các thành phần trong mạng SIP 14

1.4.2.2 Mối liên hệ giữa các thành phần trong mạng SIP 15

1.4.2.3 Các phương thức trong SIP 17

1.4.2.4 Các bước đăng ký và thực hiện cuộc gọi SIP 18

1.4.2.5 Bảo mật trong SIP 19

CHƯƠNG 2 BẢO MẬT THÔNG TIN TRONG VOIP 22

2.1 Các vấn đề về bảo mật thông tin VoIP 22

2.1.1 Tấn công từ chối dịch vụ (DoS) 22

2.1.2 Quấy rối (Annoyance SPIT) 24

2.1.3 Truy nhập trái phép (Unauthorized Access) 24

2.1.4 Nghe trộm (Eavesdropping) 24

2.1.5 Giả mạo (Masquerading) 25

III

2.1.6 Gian lận (Fraud) 25

2.2 Các giải pháp bảo mật VoIP 25

2.2.1 Nhu cầu bảo mật 25

2.2.2 Bảo vệ tín hiệu 26

2.2.2.1 Bảo vệ tín hiệu qua SIP 26

2.2.2.2 Bảo vệ tín hiệu TLS/SSL 34

2.2.3 Bảo vệ dữ liệu thoại 38

2.2.3.1 Giao thức SRTP (Secure Real-time Transport Protocol) 38

2.2.3.2 Giao thức bảo vệ dữ liệu IPSec 42

CHƯƠNG 3 CÀI ĐẶT, XÂY DỰNG MÔ HÌNH BẢO MẬT CHO HỆ THỐNG VOIP 48

3.1.Phần mềm open source Asterisk 48

3.1.1 Lịch sử ra đời của Asterisk 48

3.1.2 Ứng dụng uyển chuyển của Asterisk 49

3.1.3 Các thành phần của Asterisk 50

3.1.3.1 Cấu trúc của Asterisk 50

3.1.3.2 Tính năng của Asterisk 51

3.1.3.3 Các giao thức VoIP được Asterisk hỗ trợ 54

3.1.3.4 Các định dạng file 55

3.1.4 Cách thức cài đặt Asterisk 57

3.1.5 Giải pháp bảo mật Asterisk 58

3.2 Xây dựng mô hình thử nghiệm 60

3.2.1 Mô hình 1 Asterisk server và nhiều Client 60

3.2.2.Mô hình nhiều Server và nhiều Client 62

3.2.2.1 Cấu hình Asterisk Server cho SIP Client 62

3.2.2.2 Cấu hình các Softphone 63

3.2.2.3 Cấu hình SPA3102 64

3.2.2.4 Cấu hình giao tiếp giữa 2 Asterisk Server : 64

KẾT LUẬN VÀ DỰ KIẾN KẾ HOẠCH 66

TÀI LIỆU THAM KHẢO 67

IV

DANH MỤC CÁC TỪ VIẾT TẮT

Kí hiệu

ATM Asynchronous Transfer Mode Chế độ truyền không đồng bộ

HIPS Host intrusion protection

IKE Internet Key Exchange Trao đổi khóa

IP Internet Protocol Giao thức Internet

IPv4 IP version 4 Giao thức Internet phiên bản 4 IPv6 IP version 6 Giao thức Internet phiên bản 6

ISDN Integrated Services Digital

IUA ISDN User Adapter Bộ chuyển đổi người dùng ISDN

M2PA MTP L2 Peer-to-Peer Adapter Bộ chuyển đổi bản tin lớp 2

ngang hàng M2UA MTP2 User Adapter Bộ chuyển đổi người dùng MTP2 M3UA MTP3 User Adapter Bộ chuyển đổi người dùng MTP3 MTP Message Tranfer Part Phần truyền bản tin

PC Personal computer Máy tính cá nhân

PCM Pulse-Code Modulation Bộ mã hóa mã xung

PSTN Public Switch Telephone

QoS Quality of Service Chất lượng dịch vụ

V

RAS Register Admission Status Báo hiệu đăng kí, cấp phép, thông

tin trạng thái RTCP Real Time Control Protocol Giao thức điều khiển thời gian thực RTP Real Time Protocol Giap thức thời gian thực

RTP Real Time Protocol Giao thức thời gian thực

SAP Session Announcement Protocol Giao thức thông báo phiên

SCCP Signaling Connection Control

SCP Signal Control Point Điểm điều khiển báo hiệu

SCTP Stream Control Transmission

Protocol Giao thức truyền điều khiển luồng SDP Session Description Protocol Giao thức mô tả phiên

SIP Session Initiation Protocol Giao thức thiết lập phiên

SNMP Simple Network Management

Protocol Giao thức quản trị mạng đơn giản SS7 Signaling System No.7 Hệ thống báo hiệu số 7

SSP Switch Service Point Điểm dịch vụ chuyển mạch

STP Signal Tranfer Point Điểm truyền báo hiệu

SUA SCCP User Adapter Bộ chuyển đổi người dùng SCCP

TCAP Transaction Capabilities

Application Part Phần ứng dụng cung cấp giao dịch TCP Transmission Control Protocol Giao thức điều khiển truyền thông tin

TUP Telephone User Part Phần người dùng điện thoại

UDP User Datagram Protocol Giao thức Datagram người dùng VoIP Voice over IP Công nghệ truyền thoại trên mạng IP

VI

DANH MỤC CÁC BẢNG

Trang

Hình 1.1 - Các thành phần của hệ thống VoIP 6

Hình 1.2 - Giao thức báo hiệu H.323 7

Hình 1.3 - Q.931 trong thiết lập cuộc gọi 12

Hình 1.4 - Cấu trúc luồng media giữa các đầu cuối 13

Hình 1.5 - Chức năng của Proxy, Redirect Server trong mạng SIP 16

Hình 1.6 - Chức năng của Location, Registrar Server trong mạng SIP 17

Hình 1.7 - Đăng ký cuộc gọi 18

Hình 1.8 - Thực hiện cuộc gọi 18

Hình 2.1- Cách thức tấn công từ DoS 23

Hình 2.2 - Các thành phần của hệ thống VoIP 23

Hình 2.3 - Cài đặt và phân tách cuộc gọi SIP 27

Hình 2.4 - Yêu cầu REGISTER (đăng ký) 28

Hình 2.5 - Yêu cầu REGISTER đã bị chỉnh sửa bởi Hacker 29

Hình 2.6 - Lừa đảo đăng ký SIP sử dụng bộ sinh tin nhắn SiVuS 30

Hình 2.7 - Tổng quan của một cuộc tấn công chiếm quyền đăng ký 31

Hình 2.8 - Các bước gói dòng phương tiện truyền thông VoiIP, sử dụng Ethereal 32

Hình 2.9 - Kiểu tấn công lừa đảo ARP 33

Hình 2.10 - Cấu trúc và giao thức của SSL 34

Hình 2.11 – Giao thức SSL và TLS 37

Hình 2.12 - Phần cố định của đơn vị dữ liệu RTP 39

Hình 2.15 – Mô hình bảo vệ các gói dữ liệu 44

Hình 2.16 – Mô hình ESP 44

Hình 2.17 – Mô hình chứng thực AH 45

Hình 2.18 - Trao đổi khóa Internet (IKE) 46

Hình 2.19 - Mô hình truyền dữ liệu 47

Hình 2.20- Mô hình Virtual Private Network 47

Hình 3.1 - Mô hình hệ thống Asterisk 48

Hình 3.2 - Cấu trúc của Asterisk 50

Hình 3.3 – Mô hình về chức năng của Asterisk 52

Hình 3.4 – Danh sách file định dạng hỗ trợ trong Asterisk 55

Hình 3.5 - Màn hình của Asterisk 58

Hình 3.6 Mô hình 1 Server Asterisk 60

Hình 3.7 – Giao diện Asterisk và tổng đài PBX 60

Hình 3.8 - Giao diện phần mềm X-Lite 61

Hình 3.9 - Màn hình đăng ký Sip Account 61

Hình 3.10 - Phần mềm X-Lite được đăng ký tên Sip server 61

Hình 3.11 - Giao diện thực hiện cuộc gọi 62

Hình 3.12 - Mô hình thử nghiệm hệ thống gọi điện thoại nhiều Server 62

Hình 3.13 – Đăng ký SIP cho Sofphone 1 63

Hình 3.14 – Đăng ký SIP cho Sofphone 2 64

1

MỞ ĐẦU: TỔNG QUAN VỀ VOIP

Đầu năm 1995 công ty VOCALTEC đưa ra thị trường sản phẩm phần mềm thực hiện cuộc thoại qua Internet đầu tiên trên thế giới Sau đó có nhiều công ty đã tham gia vào lĩnh vực này Tháng 3 năm 1996, VOLCALTEC kết hợp với DIALOGIC tung ra thị trường sản phẩm kết nối mạng PSTN và Internet Hiệp hội các nhà sản xuất thoại qua mạng máy tính đã sớm ra đời và thực hiện chuẩn hoá dịch vụ thoại qua mạng Internet Việc truyền thoại qua Internet đã gây được chú ý lớn trong những năm qua và đã dần được ứng dụng rộng rãi trong thực tế

Có thể định nghĩa: Voice over Internet Protocol (VoIP) là một công nghệ cho phép truyền thoại sử dụng giao thức mạng IP, trên cơ sở hạ tầng sẵn có của mạng Internet VoIP là một trong những công nghệ viễn thông đang được quan tâm nhất hiện nay không chỉ đối với các nhà khai thác, các nhà sản xuất mà còn cả với người

sử dụng dịch vụ VoIP có thể vừa thực hiện cuộc gọi thoại như trên mạng điện thoại kênh truyền thống (PSTN) đồng thời truyền dữ liệu trên cơ sở mạng truyền dữ liệu Như vậy, VoIP đã tận dụng được sức mạnh và sự phát triển vượt bậc của mạng IP vốn chỉ được sử dụng để truyền dữ liệu thông thường

Để có thể hiểu được những ưu điểm của VoIP mang lại, trước hết chúng ta đi vào nghiên cứu sự khác biệt giữa mạng kênh PSTN hiện có với mạng chuyển mạch gói nói chung và mạng VoIP nói riêng

Kỹ thuật chuyển mạch kênh (Circuit Switching): Một đặc trưng nổi bật

của kỹ thuật này là hai trạm muốn trao đổi thông tin với nhau thì giữa chúng sẽ được thiết lập một “kênh” (circuit) cố định, kênh kết nối này được duy trì và dành riêng cho hai trạm cho tới khi cuộc truyền tin kết thúc Thông tin cuộc gọi là trong suốt quá trình thiết lập cuộc gọi tiến hành gồm 3 giai đoạn:

 Giai đoạn thiết lập kết nối: Thực chất quá trình này là liên kết các tuyến

giữa các trạm trên mạng thành một tuyến (kênh) duy nhất dành riêng cho cuộc gọi Kênh này đối với PSTN là 64kb/s (do bộ mã hóa PCM có tốc độ lấy mẫu tiếng nói 8kb/s và được mã hóa 8 bit)

2

 Giai đoạn truyền tin: Thông tin cuộc gọi là trong suốt Sự trong suốt thể hiện

qua hai yếu tố: thông tin không bị thay đổi khi truyền qua mạng và độ trễ nhỏ

 Giai đoạn giải phóng (huỷ bỏ) kết nối: Sau khi cuộc gọi kết thúc, kênh sẽ

được giải phóng để phục vụ cho các cuộc gọi khác

Qua đó, ta nhận thấy mạng chuyển mạch kênh có những ưu điểm nổi bật như chất lượng đường truyền tốt, ổn định, có độ trễ nhỏ Các thiết bị mạng của chuyển mạch kênh đơn giản, có tính ổn định cao, chống nhiễu tốt Nhưng ta cũng không thể không nhắc tới những hạn chế của phương thức truyền dữ liệu này như:

 Sử dụng băng thông không hiệu quả: Tính không hiệu quả này thể hiện qua

hai yếu tố Thứ nhất, độ rộng băng thông cố định 64k/s Thứ hai là kênh là dành riêng cho một cuộc gọi nhất định Như vậy, ngay cả khi tín hiệu thoại là “lặng” (không có dữ liệu) thì kênh vẫn không được chia sẻ cho cuộc gọi khác

 Tính an toàn: Do tín hiệu thoại được gửi nguyên bản trên đường truyền nên

rất dễ bị nghe trộm Ngoài ra, đường dây thuê bao hoàn toàn có thể bị lợi dụng để ăn trộm cước viễn thông

 Khả năng mở rộng của mạng kênh kém: Thứ nhất là do cơ sở hạ tầng khó

nâng cấp và tương thích với các thiết bị cũ Thứ hai, đó là hạn chế của hệ thống báo hiệu vốn đã được sử dụng từ trước đó không có khả năng tùy biến cao

Kỹ thuật chuyển mạch gói (Packet Switching):

Trong chuyển mạch gói mỗi bản tin được chia thành các gói tin (packet), có khuôn dạng được quy định trước Trong mỗi gói cũng có chứa thông tin điều khiển: địa chỉ trạm nguồn, địa chỉ trạm đích và số thứ tự của gói tin, … Các thông tin điều khiển được tối thiểu, chứa các thông tin mà mạng yêu cầu để có thể định tuyến được cho các gói tin qua mạng và đưa nó tới đích Tại mỗi node trên tuyến gói tin được nhận, nhớ và sau đó thì chuyển tiếp cho tới trạm đích Vì kỹ thuật chuyển mạch gói trong quá trình truyền tin có thể được định tuyến động để truyền tin Điều khó khăn nhất đối với chuyển mạch gói là việc tập hợp các gói tin để tạo bản tin ban đầu đặc biệt là khi mà các gói tin được truyền theo nhiều con đường khác nhau tới trạm

3

đích Chính vì lý do trên mà các gói tin cần phải được đánh dấu số thứ tự, điều này

có tác dụng, chống lặp, sửa sai và có thể truyền lại khi hiên tượng mất gói xảy ra

Các ưu điểm của chuyển mạch gói:

 Mềm dẻo và hiệu suất truyền tin cao: Hiệu suất sử dụng đường truyền rất cao vì

trong chuyển mạch gói không có khái niệm kênh cố định và dành riêng, mỗi đường truyền giữa các node có thể được các trạm cùng chia sẻ cho để truyền tin, các gói tin sếp hàng và truyền theo tốc độ rất nhanh trên đường truyền

 Khả năng truyền ưu tiên: Chuyển mạch gói còn có thể sắp thứ tự cho các gói

để có thể truyền đi theo mức độ ưu tiên Trong chuyển mạch gói số cuộc gọi

bị từ chối ít hơn nhưng phải chấp nhận một nhược điểm vì thời gian trễ sẽ tăng lên

 Khả năng cung cấp nhiều dịch vụ thoại và phi thoại

 Thích nghi tốt nếu như có lỗi xảy ra: Đặc tính này có được là nhờ khả năng định tuyến động của mạng

Bên cạnh những ưu điểm thì mạng chuyển mạch gói cũng bộc lộ những nhược điểm như:

 Trễ đường truyền lớn: Do đi qua mỗi trạm, dữ liệu được lưu trữ, xử lý trước khi được truyền đi

 Độ tin cậy của mạng gói không cao, dễ xảy ra tắc nghẽn, lỗi mất bản tin

 Tính đa đường có thể gây là lặp bản tin, loop làm tăng lưu lượng mạng không cần thiết

 Tính bảo mật trên đường truyền chung là không cao

Bên cạnh những ưu điểm mà mạng chuyển mạch gói đem lại thì hạn chế của chuyển mạch gói là rất lớn Vậy công nghệ VoIP có gì nổi bật và có khắc phục được hạn chế mà mạng chuyển mạch gói mang lại hay không? Chúng ta đi tìm hiểu về công nghệ VoIP

4

CHƯƠNG 1 CÔNG NGHỆ VOIP

Ứng dụng VoIP đầu tiên được phát triển năm 1995 bởi một công ty của Israeli tên là VocalTel Ứng dụng này là phần mềm điện thoại Internet chạy trên máy tính cá nhân giống như điện thoại PC ngày nay sử dụng card âm thanh, microm loa Ý tưởng của nó là sử dụng các phương pháp nén tín hiệu thoại rồi chuyển chúng vào các gói IP và truyền qua mạng Internet Ứng dụng VoIP đầu tiên này nói chung còn gặp phải nhiều vấn đề như: trễ, chất lượng còn thấp và không tương thích với các mạng ngoài Mặc dù vậy, sự ra đời của nó cũng là một bước đột phá quan trọng Kể từ đó đến nay, công nghệ VoIP phát triển ngày càng nhanh

1.1 Khái niệm VoIP

VoIP (Voice Over IP ) là công nghệ cho phép truyền thông tin thoại từ nơi này sang nơi khác thông qua các mạng sử dụng giao thức IP (Internet Protocol) để truyền tải thông tin VoIP cũng thường được biết đến dưới một số tên khác như: điện thoại Internet, điện thoại IP, điện thoại dải rộng (Broadband Telephony) vv…

Ở điện thoại thông thường, tín hiệu thoại được lấy mẫu với tần số 8 KHz sau đó lượng tử hóa 8 bit/mẫu và được truyền với tốc độ 64 KHz đến mạng chuyển mạch rồi truyền tới đích Ở phía thu, tín hiệu này sẽ được giải mã thành tín hiệu ban đầu

Công nghệ VoIP cũng không hoàn toàn khác với điện thoại thông thường Đầu tiên, tín hiệu thoại cũng được số hóa, nhưng sau đó thay vì truyền trên mạng PSTN qua các trường chuyển mạch, tín hiệu thoại được nén xuống tốc độ thấp rồi đóng gói, truyền qua mạng IP Tại bên thu, các luồng thoại sẽ được giải nén thành các luồng PCM 64 rồi truyền tới thuê bao bị gọi

1.2 Lợi ích và hạn chế của VoIP

1.2.1 Lợi ích của VoIP

- Giảm chi phí: Đây là ưu điểm nổi bật của VoIP so với điện thoại đường dài thông

thường Chi phí cuộc gọi đường dài chỉ bằng chi phí cho truy nhập Internet Một giá cước chung sẽ thực hiện được với mạng Internet và do đó tiết kiệm đáng kể các dịch

vụ thoại và fax Sự chia sẻ chi phí thiết bị và thao tác giữa những người sử dụng thoại và dữ liệu cũng tăng cường hiệu quả sử dụng mạng Đồng thời kỹ thuật nén

5

thoại tiên tiến làm giảm tốc độ bit từ 64Kbps xuống dưới 8Kbps, tức là một kênh 64Kbps lúc này có thể phục vụ đồng thời 8 kênh thoại độc lập Như vậy, lý do lớn nhất giúp cho chi phí thực hiện cuộc gọi VoIP thấp chính là việc sử dụng tối ưu băng thông

- Tích hợp nhiều dịch vụ: Do việc thiết kế cơ sở hạ tầng tích hợp nên có khả năng

hỗ trợ tất cả các hình thức thông tin cho phép chuẩn hoá tốt hơn và giảm thiểu số thiết bị Các tín hiệu báo hiệu, thoại và cả số liệu đều chia sẻ cùng mạng IP Tích hợp đa dịch vụ sẽ tiết kiệm chi phí đầu tư nhân lực, chi phí xây dựng các mạng riêng rẽ

- Thống nhất: Vì con người là nhân tố quan trọng nhưng cũng dễ sai lầm nhất trong

một mạng viễn thông, mọi cơ hội để hợp nhất các thao tác, loại bỏ các điểm sai sót

và thống nhất các điểm thanh toán sẽ rất có ích Trong các tổ chức kinh doanh, sự quản lý trên cơ sở SNMP (Simple Network Management Protocol) có thể được cung cấp cho cả dịch vụ thoại và dữ liệu sử dụng VoIP Việc sử dụng thống nhất giao thức IP cho tất cả các ứng dụng hứa hẹn giảm bớt phức tạp và tăng cường tính mềm dẻo Các ứng dụng liên quan như dịch vụ danh bạ và dịch vụ an ninh mạng có thể được chia sẻ dễ dàng hơn

- Vấn đề quản lý băng thông: Trong PSTN, băng thông cung cấp cho một cuộc gọi

là cố định Trong VoIP, băng thông được cung cấp một cách linh hoạt và mềm dẻo hơn nhiều Chất lượng của VOIP phụ thuộc vào nhiều yếu tố, quan trọng nhất là băng thông Do đó không có sự bắt buộc nào về mặt thông lượng giữa các thiết bị đầu cuối mà chỉ có các chuẩn tuỳ vào băng thông có thể của mình, bản thân các đầu cuối có thể tự điều chỉnh hệ số nén và do đó điều chỉnh được chất lượng cuộc gọi

- Nâng cao ứng dụng và khả năng mở rộng: Thoại và fax chỉ là các ứng dụng

khởi đầu cho VoIP, các lợi ích trong thời gian dài hơn được mong đợi từ các ứng dụng đa phương tiện (multimedia) và đa dịch vụ Tính linh hoạt của mạng IP cho phép tạo ra nhiều tinh năng mới trong dịch vụ thoại Đồng thời tính mềm dẻo còn

tạo khả năng mở rộng mạng và các dịch vụ

6

- Tính bảo mật cao: Các giao thức SIP (Session Ineitiation Protocol – giao thức

khởi đầu phiên) có thể thành mật mã và xác nhận các thông điệp báo hiệu đầu cuối RTP (Real Time Protocol) hỗ trợ mã thành mật mã của phương thức truyền thông trên toàn tuyến được mã hoá thành mật mã đảm bảo truyền thông an toàn

Vì VoIP được xây dựng trên nền tảng Internet vốn không an toàn, do đó sẽ dẫn đến khả năng các thông tin có thể bị đánh cắp khi các gói tin bị thu lượm hoặc định tuyến sai địa chỉ một cách cố ý khi chúng truyền trên mạng Vậy VoIP có những hạn chế gì mà chúng ta cần phải tìm hiểu?

1.2.2 Hạn chế của VoIP

- Chất lƣợng dịch vụ : Do các mạng truyền số liệu vốn dĩ không được thiết kế để

truyền thoại thời gian thực cho nên việc trễ truyền hay việc mất mát các gói tin hoàn toàn có thể xảy ra và sẽ gây ra chất lượng dịch vụ thấp

- Bảo mật : Do mạng Internet là một mạng hỗn hợp và rộng khắp bao gồm rất nhiều

máy tính cùng sử dụng cho nên việc bảo mật các thông tin cá nhân là rất phức tạp

và khó khăn

1.3 Các thành phần của hệ thống VoIP

Hình 1.1 - Các thành phần của hệ thống VoIP

- Gatekeeper: Có thể xem gatekeeper như là bộ não của hệ thống mạng điện thoại

IP Nó cung cấp chức năng quản lý cuộc gọi một cách tập trung và một số các dịch

vụ quan trọng khác như là: nhận dạng các đầu cuối và gateway, quản lý băng thông, chuyển đổi địa chỉ (từ địa chỉ IP sang địa chỉ E.164 và ngược lại), đăng ký hay tính cước Mỗi gatekeeper sẽ quản lý một vùng bao gồm các đầu cuối đã đăng ký, nhưng cũng có thể nhiều gatekeeper cùng quản lý một vùng trong trường hợp một vùng có nhiều gatekeeper

8

Giao thức H.323 được chia làm 3 phần chính:

- Báo hiệu H.225 RAS (Registration, Admissions and Status): báo hiệu giữa thiết bị đầu cuối với H.323 gatekeeper trước khi thiết lập cuộc gọi

- Báo hiệu H.225, Q.931 sử dụng để kết nối, duy trì và hủy kết nối giữa hai đầu cuối

- Báo hiệu H.245 sử dụng để thiết lập phiên truyền media sử dụng giao thức RTP

1.4.1.1 Báo hiệu RAS

Báo hiệu RAS cung cấp điều khiển chi phí cuộc gọi trong mạng H.323 có tồn tại gatekeeper và một vùng dịch vụ (do gatekeeper đó quản lý) Kênh RAS được thiết lập giữa các thiết bị đầu cuối và gatekeeper qua mạng IP Kênh RAS được mở trước khi các kênh khác được thiết lập và độc lập với các kênh điều khiển cuộc gọi

và media khác Báo hiệu này được truyền trên UDP cho phép đăng kí, chấp nhận, thay đổi băng thông, trạng thái và hủy

Báo hiệu RAS chia làm các loại sau:

 Tìm kiếm Gatekeeper: việc này có thể được thực hiện thủ công hoặc tự

động cho phép xác định gatekeeper mà thiết bị đầu cuối đăng kí (để có thể sử dụng dịch vụ sau này); bao gồm:

 Gatekeeper Request (GRQ): bản tin multicast gửi bởi thiết bị đầu cuối

 Đăng kí: Cho phép Gateway, thiết bị đầu cuối và MCU tham gia vào một

vùng dịch vụ do Gatekeeper quản lý và thống báo cho Gatekeeper về địa chỉ

và bí danh của nó bao gồm:

 Registration Request (RRQ): được gửi từ thiết bị đầu cuối tới địa chỉ kênh RAS của gatekeeper

 Registration Confirm (RCF): được gửi bởi gatekeeper để xác nhận cho phép việc đăng ký bởi bản tin RRQ

9

 Registration Reject (RRJ): không chấp nhận đăng kí của thiết bị

 Unregister Request (URQ): được gửi bởi thiết bị đầu cuối để hủy đăng

kí với gatekeeper trước đó và được trả lời bằng Unregister Confirm (UCF) và Unregister Reject (URJ)(tương tự như trên)

 Xác định vị trí thiết bị đầu cuối: Thiết bị đầu cuối và gatekeeper sử dụng

bản tin này để lấy thêm thông tin khi chỉ có thông tin ví danh được chỉ ra Bản tin này được gửi thông qua địa chỉ kênh RAS của gatekeeper hoặc multicast Loại bản tin này bao gồm:

 Location Request (LRQ): được gửi để yêu cầu thông tin về thiết bị đầu cuối, gatekeeper hay địa chỉ E.164

 Location Confirm (LCF): được gửi bởi gatekeeper chứa các kênh báo hiệu cuộc gọi hay địa chỉ kênh RAS của nó hay thiết bị đầu cuối đã yêu cầu

 Location Reject (LRJ): được gửi bởi gatekeeper thông báo LRQ trước

đó không hợp lệ

 Admissions: bản tin giữa các thiết bị đầu cuối và gatekeeper cung cấp cơ sở

cho việc thiết lập cuộc gọi và điều khiển băng thông sau này Bản tin này bao gồm cả các yêu cầu về băng thông (có thể được thay đổi bởi gatekeeper) Loại bản tin này gồm:

 Admission Request (ARQ): Gửi bởi thiết bị đầu cuối để thiết lập cuộc gọi

 Admission Confirm (ACF): Cho phép thiết lập cuộc gọi Bản tin này

có chứa địa chỉ IP của thiết bị được gọi hay gatekeeper và cho phép gateway nguồn thiết lập cuộc gọi

 Admission Reject (ARJ): không cho phép thiết bị đầu cuối thiết lập cuộc gọi

 Thông tin trạng thái: dùng để lấy thông tin trạng thái của một thiết bị đầu

cuối Ta có thể sử dụng bản tin này để theo dõi trạng thái online hay offline của thiết bị đầu cuối trong tình trạng mạng bị lỗi Thông thường bản tin này

sẽ được gửi 10 giây một lần Trong quá trình cuộc gọi, gatekeeper có thể yêu

10

cầu thiết bị đầu cuối gửi theo chu kì các bản tin trạng thái Loại bản tin này bao gồm:

 Information Request (IRQ): gửi từ gatekeeper tới thiết bị đầu cuối yêu

cầu thông tin trạng thái

 Information Request Response (IRR): được gửi từ thiết bị đầu cuối tới

gatekeeper trả lời cho bản tin IRQ Bản tin này cũng được gửi từ thiết

bị đầu cuối tới gatekeeper theo chu kì

 Status Enquiry Sent: Thiết bị đầu cuối hay gatekeeper có thể gửi bản tin này

tới thiết bị đầu cuối khác để xác thực về trạng thái cuộc gọi

 Điều khiển băng thông: Dùng để thay đổi băng thông cho cuộc gọi với các

bản tin như sau:

 Bandwidth Request (BRQ): gửi bởi thiết bị đầu cuối để yêu cầu tăng

hoặc giảm băng thông cuộc gọi

 Bandwidth Confirm (BCF): chấp nhận thay đổi yêu cầu bởi thiết bị

đầu cuối

 Bandwidth Reject (BRJ): không chấp nhận thay đổi yêu cầu bởi thiết

bị đầu cuối

 Hủy kết nối: Khi muốn kết thúc cuộc gọi thì trước hết thiết bị đầu cuối dừng

hết mọi kết nối và đóng hết các kênh logic lại Sau đó, nó sẽ ngắt phiên H.245 và gửi tín hiệu RLC trên kênh báo hiệu cuộc gọi Ở bước này, nếu không có gatekeeper thì cuộc gọi sẽ được hủy còn nếu không thì các bản tin sau sẽ được gửi trên kênh RAS để kết thúc cuộc gọi:

 Disengage Request (DRQ): Gửi bởi thiết bị đầu cuối hay gatekeeper

11

1.4.1.2 Báo hiệu điểu khiển cuộc gọi H.225

Trong mạng H.323, chức năng điều khiển cuộc gọi dựa trên cơ sở giao thức H.323 với việc sử dụng bản tin báo hiệu Q.931 Một kênh điều khiển cuộc gọi được tạo ra dựa trên giao thức TCP/IP với cổng 1720 Cổng này thiết lập các bản tin điều khiển cuộc gọi giữa hai thiết bị đầu cuối với mục đích thiết lập, duy trì và kết thúc cuộc gọi H.225 cũng sử dụng bản tin Q.932 cho các dịch vụ bổ sung Các bản tin Q.931 và Q.932 thường được sử dụng trong mạng H.323:

 Setup: Được gửi từ thực thể H.323 chủ gọi để cố gắng thiết lập kết nối tới

thực thể H.323 bị gọi qua cổng 1720 TCP

 Call Proceeding: thực thể bị gọi gửi bản tin này tới thực thể chủ gọi để chỉ

thị rằng thủ tục thiết lập cuộc gọi đã được khởi tạo

 Alerting: Được gửi từ thực thể bị gọi tới thực thể chủ gọi để chỉ thị rằng

chuông bên đích bắt đầu rung

 Connect: Được gửi từ thực thể bị gọi để thông báo rằng bên bị gọi đã trả lời

cuộc gọi Bản tin Connnect có thể mang địa chỉ truyền vận UDP/IP

 Release Complete: Được gửi bởi một đầu cuối khởi tạo ngắt kết nối, nó chỉ

thị rằng cuộc gọi đang bị giải phóng Bản tin này chỉ có thể được gửi đi nếu kênh báo hiệu cuộc gọi được mở hoặc đang hoạt động

 Facility: Đây là một bản tin Q.932 dùng để yêu cầu hoặc phúc đáp các dịch

vụ bổ sung Nó cũng được dùng để cảnh báo rằng một cuộc gọi sẽ được định tuyến trực tiếp hay thông qua GK

Các bản tin trong quá trình thiết lập cuộc gọi như sau:

12

Hình 1.3 - Q.931 trong thiết lập cuộc gọi

1 Thiết bị đầu cuối H.323 gửi bản tin Setup yêu cầu thiết lập cuộc gọi Giả

sử ở đây bản tin được gửi tới Gatekeeper (thiết lập cuộc gọi thông qua Gatekeeper)

2 Gatekeeper sẻ gửi trả lại bản tin Call Proceeding nhằm thông báo cho phía gọi rằng: Thiết bị này đang thực hiện thiết lập cuộc gọi

3 Khi đầu cuối bị gọi rung chuông, Gatekeeper sẽ gửi bản tin Alerting về đầu cuối gọi thông báo về trạng thái này

4 Khi người được gọi nhấc máy, bản tin Connect sẽ được gửi tới đầu cuối gọi thông báo cuộc gọi đã được thiết lập

5 Cuộc gọi được thực hiện

1.4.1.3 Giao thức H.245

Chức năng H.245 là thiết lập các kênh logic để truyền audio, video, data và các thông tin kênh điều khiển Giữa hai thiết bị đầu cuối được thiết lập một kênh H.245 cho một cuộc gọi Kênh điều khiển này được tạo dựa trên TCP gán động port Chức năng điều khiển của kênh H.245 là thương lượng về một số thông số sau:

 Bộ mã hóa tiếng nói sẽ đƣợc sử dụng ở hai phía Lấy ví dụ, chuẩn mã hóa

tiếng nói và tốc độ bit tương ứng như sau: G.729 - 8 kbps, G.728 - 16 kbps, G.711 - 64 kbps, G.723 - 5.3 hay 6.3 kbps, G.722 - 48, 56, và 64 kbps…

13

 Thương lượng về Server/Client giữa hai thiết bị đầu cuối: xác lập vai trò

của các thiết bị trong khi thực hiện cuộc gọi tránh hiện tượng xung đột

 Round-Trip Delay: xác định độ trễ giữa phía phát và phía thu Dựa vào

thông số này để xác định kết nối vẫn hoạt động

 Báo hiệu trên kênh logic để thực hiện việc mở và đóng các kênh logic

Các kênh này được thiết lập trước khi thông tin được truyền đến đó Báo hiệu này có thể thiết lập kênh đơn hướng hoặc song hướng Sau khi kênh logic đã được thiết lập, cổng UDP cho kênh media RTP được truyền từ phía nhận tới phía phát Khi sử dụng một hình định tuyến qua Gatekeeper thì Gatekeeper sẽ chuyển hướng luồng RTP bằng cách cung cấp địa chỉ UDP/IP thực của thiết bị đầu cuối Luồng RTP sẽ truyền trực tiếp giữa hai thiết bị đầu cuối với nhau

Mỗi kênh media – sử dụng RTP để truyền thời gian thực - sẽ có một kênh phản hồi về chất lượng dịch vụ QoS theo chiều ngược lại giúp phía phát kiểm soát được luồng media truyền đi và có những điều chỉnh phù hợp

Hình 1.4 - Cấu trúc luồng media giữa các đầu cuối

1.4.2 Giao thức Session Initiation Protocol (SIP)

SIP (Session Initiation Protcol ) là giao thức báo hiệu điều khiển lớp ứng dụng được dùng để thiết lập, duy trì, kết thúc các phiên truyền thông đa phương tiện (multimedia) Các phiên multimedia bao gồm thoại Internet, hội nghị, và các ứng dụng tương tự có liên quan đến các phương tiện truyền đạt (media) như âm thanh, hình ảnh, và dữ liệu SIP sử dụng các bản tin mời (INVITE) để thiết lập các phiên

và để mang các thông tin mô tả phiên truyền dẫn SIP hỗ trợ các phiên đơn bá (unicast) và quảng bá (multicast) tương ứng các cuộc gọi điểm tới điểm và cuộc gọi

14

đa điểm Có thể sử dụng năm chức năng của SIP để thiết lập và kết thúc truyền dẫn

là định vị thuê bao, khả năng thuê bao, độ sẵn sàng của thuê bao, thiết lập cuộc gọi

và xử lý cuộc gọi SIP được IETF đưa ra trong RFC 2543 Nó là một giao thức dựa trên ý tưởng và cấu trúc của HTTP (HyperText Transfer Protocol) giao thức trao đổi thông tin của World Wide Web và là một phần trong kiến trúc multimedia của IETF Các giao thức có liên quan đến SIP bao gồm giao thức đặt trước tài nguyên RSVP (Resource Reservation Protocol), giao thức truyền vận thời gian thực (Realtime Transport Protocol), giao thức cảnh báo phiên SAP (Session Announcement Protocol), giao thức miêu tả phiên SDP (Session Description Protocol) Các chức năng của SIP độc lập, nên chúng không phụ thuộc vào bất kỳ giao thức nào thuộc các giao thức trên

Mặt khác, SIP có thể hoạt động kết hợp với các giao thức báo hiệu khác như H.323 SIP là một giao thức theo thiết kế mở do đó nó có thể được mở rộng để phát triển thêm các chức năng mới Sự linh hoạt của các bản tin SIP cũng cho phép đáp ứng các dịch vụ thoại tiên tiến bao gồm cả các dịch vụ di động

4) Location Server: lưu thông tin trạng thái hiện tại của người dùng trong mạng SIP

1.4.2.2 Mối liên hệ giữa các thành phần trong mạng SIP

Trong ví dụ trên, cho ta có một cái nhìn khái quát về chức năng của Proxy Server, Redirect Server, SIP Phone trong mạng Giả sử thuê bao có tên user1 trong miền dịch vụ do here.com muốn thực hiện một cuộc gọi thoại tới thuê bao có thể là user2 (thuộc there.com)

16

Hình 1.5 - Chức năng của Proxy, Redirect Server trong mạng SIP

1 Khi User 1 muốn gọi tới User2, trước hết nó sẽ gửi bản tin INVITE1 đến Proxy Server1 Proxy Server1 chuyển tiếp bản tin tới Redirect Server

2 Redirect Server này xử lý và trả về mã 3xx thông báo cho Proxy Server tự thực hiện kết nối

3 Proxy Server 1 gửi bản tin INVITE 2 tới đích trả về bởi Redirect Server (chính là Stateless Proxy Server 1) Vì đây là Stateful Proxy nên thực chất bản tin INVITE được gửi bởi Stateful Proxy là khác so với bản tin nhận được từ User1 (ban đầu)

4 Stateless Proxy Server chuyển tiếp bản tin INVITE tới SIP Statefull Proxy 2

Do là Stateless Proxy nên công việc của nó đơn giản là chuyển tiếp bản tin

5 SIP Statefull Proxy 2 chuyển tiếp bản tin INVITE tới user2

6 Khi user2 nhấc máy thì nó sẽ gửi bản tin 200 OK theo chiều ngược lại

7 Sau khi nhận được bản tin 200 OK, user1 sẽ gửi xác nhận ACK tới user2

8 Luồng RTP trực tiếp giữa hai thuê bao được thiết lập Và cuộc gọi được thực hiện

Trong ví dụ dưới đây sẽ mô tả quá trình một SIP Phone đăng kí với với Registrar Server quản lý nó, hoạt động của Location Server, Proxy Server

17

Hình 1.6 - Chức năng của Location, Registrar Server trong mạng SIP

Khi một SIP Phone được kết nối với mạng Nó liên tục gửi bản tin REGISTER tới Registrar Server để thông báo vị trí hiện tại của nó Giả sử trong miền dịch vụ có tên chicago.com thì quá trình REGISTER (đăng kí) được tiến hành như sau:

1 Thuê bao có tên Carol gửi bản tin REGISTER tới Registrar Server Server này tiến hành xác thực Nếu hợp lệ thì các thông tin đó được lưu trong Location Server

2 Khi một thuê bao khác (có tên là Bob) gửi bản tin INVITE tới Proxy Server

để xin kết nối tới thuê bao Carol Proxy Server sẽ truy vấn các thông tin về thuê bao bị gọi thông qua Location Server

3 Proxy Server gửi bản tin INVITE tới thuê bao Carol để thiết lập cuộc gọi 1.4.2.3 Các phương thức trong SIP

Thông điệp INVITE

Thông điệp Invite là thông điệp đầu tiên được người gọi gửi đi để báo hiệu cuộc gọi Thông điệp chứa thông tin cuộc gọi trong SIP, qua đó định danh cuộc gọi, người gọi, người nhận cuộc gọi, chỉ số tuần tự của cuộc gọi và các thông tin về giao thức tầng dưới

18

Thông điệp ACK

Một phiên SIP đơn giản thành công được bắt đầu bằng thông điệp INVITE Sau đó

sẽ là đáp ứng OK từ đối tác được mời và được xác nhận bằng thông điệp ACK

Thông điệp OPTION

Thông điệp Option được gửi để truy vấn các khả năng của một đại diện gọi, cũng như để cho đối tác kia biết các khả năng của nơi truyền

Thông điệp BYE

Khi một đối tác muốn giải phóng cuộc gọi sẽ gửi thông điệp BYE đến đối tác

tham gia phiên thoại

Thông điệp CANCEL

Thông điệp Cancel được sử dụng để huỷ bỏ một yêu cầu trong tiến trình nhưng không ảnh hưởng đến việc thiết lập gọi khi không có yêu cầu nào đang xúc tiến

1.4.2.4 Các bước đăng ký và thực hiện cuộc gọi SIP

Cần có 6 bước để thiết lập và thực hiện một cuộc gọi sử dụng giao thức SIP:

1 Đăng ký, khởi tạo, xác định vị trí của người dùng

2 Xác định phương tiện truyền thông được sử dụng rồi chuyển các thông tin liên quan tới người nhận cuộc gọi

3 Xác nhận sự chấp nhận truyền thông của bên được gọi, bên được gọi phải gửi gói tin trả lời để xác nhận việc chấp nhận hay từ chối cuộc gọi

4 Thiết lập cuộc gọi

5 Thay đổi cuộc gọi; ví dụ: Giữ máy, chuyển cuộc gọi

6 Kết thúc cuộc gọi

Hình 1.7 - Đăng ký cuộc gọi Hình 1.8 - Thực hiện cuộc gọi

19

1.4.2.5 Bảo mật trong SIP

Các giao thức được thiết kế để phục vụ cho một mục đích nào đó và theo bản chất thì mỗi một giao thức có các đặc điểm của tập đầu vào (input) riêng Vấn đề xảy ra khi mà giao thức phải nhận những đầu vào không mong đợi, và điều đó tạo nên các kết quả khó lường SIP cũng vậy, các tấn công vào SIP có thể được xem là rất đa dạng

SIP là một giao thức báo hiệu multimedia được chuẩn hóa bởi IETF Kiến trúc này nổi bật với các đầu cuối User Agent (UA) và một tập hợp các server, bao gồm proxy server, registration server, redirection server…Ngay từ những ngày đầu SIP đã giành được rất nhiều sự tin dùng và chú ý do hệ thống kiến trúc mở và khả năng mở rộng cho những thiết bị di động và truyền thông multimedia Đặc điểm của giao thức báo hiệu SIP là dựa trên giao thức Hypertext Transfer Protocol (HTTP) và mã hóa ASCII, nên nó rất dễ dàng để hiểu Chính vì những đặc điểm này SIP có rất nhiều lỗ hổng bảo mật mà rất dễ bị hacker khai thác và tấn công Sau đây là một vài điểm yếu quan trọng của SIP:

Cướp đăng ký (Registration Hijacking)

Đây chính là một điểm yếu của SIP, tương tự như kiểu tấn công “người đứng giữa (Man-in-the-middle)” Hacker có thể giám sát các thông điệp REGISTER từ một User và thay đổi phần địa chỉ trong thông điệp này Khi nhận được những thông điệp giả này, SIP registrar sẽ cập nhật địa chỉ hợp lệ thành các địa chỉ giả của hacker Như vậy với một tấn công man-in-the-middle thành công thì khi một cuộc gọi đến User, cuộc gọi này sẽ được proxy server đăng ký và chuyển đổi sang thành cuộc gọi cho User tương ứng với địa chỉ giả của hacker

IP Spoofing/Call Fraud

Hacker sẽ đóng giả một User hợp lệ với ID giả mạo và gởi một thông điệp INVITE hoặc REGISTER Trong IPv4, chúng ta không thể khóa một IP giả mạo khi một thông điệp SIP được gởi dưới dạng clear text và một attacker có thể dùng một địa chỉ IP bất kỳ khác một cách dễ dàng Khi một địa chỉ IP bất kỳ được gởi để đăng ký account thay vì gởi địa chỉ IP của User hợp lệ trong thông điệp SIP thì tất

20

cả những cuộc gọi đến User này đều được truyền đến sai địa chỉ và không bao giờ đến đúng với User hợp lệ Nếu một hacker có thể dùng một địa chỉ IP hợp lệ và tạo một cuộc gọi với địa chỉ này thì hoàn toàn có thể tạo nên Call Fraud tức là tạo một cuộc gọi miễn phí

Tràn ngập thông điệp INVITE (INVITE Flooding)

Hacker sẽ liên tục gởi những thông điệp INVITE với một địa chỉ ảo và làm

tê liệt đầu cuối User hoặc SIP proxy server Kiểu tấn công này tương tự giống như tấn công tràn ngập tín hiệu trong kết nối TCP

BYE Denial of Service

Một gói báo hiệu SIP theo mặc định khi được gửi sẽ ở dạng clear text vì vậy

nó có thể bị làm giả Nếu hacker giám sát, theo dõi các thông điệp INVITE của chúng ta thì hoàn toàn có thể tạo một thông điệp BYE hợp lệ và có thể gởi nó đến một trong các bên tham gia truyền thông, kết quả là làm cuộc đàm thoại bị kết thúc một cách bất ngờ

RTP Flooding

Kiểu tấn công này liên quan đến môi trường truyền Hầu hết môi trường truyền đều dựa trên RTP Một hacker có thể tạo nên những gói RTP giả và tấn công vào các đầu cuối, kết quả là làm giảm chất lượng dịch vụ hoặc reboot đầu cuối

Spam over Internet Telephony (SPIT)

Spam là một vấn đề rất khó chịu đối với bất cứ ai sử dụng email ngày nay Một cách thích hợp hơn nó còn được coi những email với mục đích thương mại mà người sử dụng không yêu cầu gởi (Unsolicited Commercial Email) Và có khi người

sử dụng phải nhận đến hàng ngàn thông điệp như thế một ngày Chúng ta thử tưởng tượng rằng những thông điệp này không những làm tràn đầy hộp mail mà còn làm cho hệ thống voicemail trong VoIP bị tắc nghẽn và quá tải

Để ngăn chặn sự “tấn công” của những spammer thì rất là khó Với một PC

và một kết nối thì bất cứ ai cũng có thể trở thành một Spammer Mặt khác giá thành phải trả cho một thông điệp là quá nhỏ, không giống như cước phí voice mail ở điện

Spam Over Internet Telephony (SPIT) giống tương tự như là spam, một cách tiềm tàng nó có thể làm tràn hộp thư thoại của chúng ta Những thông điệp này có thể được chỉ có thể được xóa bằng tay, và chúng ta không thể làm thế nào để lọc bỏ nó

Trong tình huống xấu nhất, một phần mềm VoIP SPAM có thể dễ dàng phân phát hàng ngàn thông điệp một cách dễ dàng Lúc này SPIT có thể trở thành một dạng tấn công DoS mới làm tràn ngập tài nguyên của hệ thống mail trong doanh nghiệp

22

CHƯƠNG 2 BẢO MẬT THÔNG TIN TRONG VOIP 2.1 Các vấn đề về bảo mật thông tin VoIP

2.1.1 Tấn công từ chối dịch vụ (DoS)

Tấn công DoS là kiểu tấn công gửi yêu cầu liên tục với số lượng lớn đến dịch

vụ cần tấn công, có thể là dựa vào lỗi của mục tiêu Tùy theo nguồn của các tấn công mà chia thành DoS thông thường và DDoS Mục đích là làm cho mục tiêu bị ngưng trệ không có khả năng đáp ứng dịch vụ được gửi tới Mức độ nặng có thể khiến hệ thống bị hỏng, cơ sở dữ liệu bị phá vỡ,…

Đối với hệ thống VoIP các mục tiêu có khả năng bị tấn công DoS là :

- Content/protocol layer - SDP, encoded voice, encoded video

- Application - H.323, SIP, RTP, RTCP, Radius, Diameter, HTTP, SNMP

- Application-level encryption - TLS/SSL

- Transport - TCP, SCTP, UDP

- Network-level encryption - IPSec

- Network - IPv4, IPv6

- Link - PPP, AAL3/4, AAL5

- Physical - SONET, V.34, ATM, Ethernet

Các mục tiêu tiềm năng liên quan đến giao thức SIP:

- Tấn công ở mức thấp sử dụng các giao thức IPv4, UDP, TCP

- Tấn công vào TLS hoặc IPSec

- Tấn công vào SIP sessions

- Tấn công vào RTP streams

Việc tấn công làm gián đoạn dịch vụ có thể là do tấn công từ chối dịch vụ DoS Trong tấn công DoS có hai loại chính là DoS thông thường và DDoS–DoS phân tán, khi bị tấn công này thì rất ít hệ thống có khả năng chống đỡ được Hình dưới đây cho thấy các dịch vụ trong VoIP có thể bị gián đoạn khi bị tấn công DoS

23

Hình 2.1- Cách thức tấn công từ DoS Tấn công DoS có thể thực hiện vào bất cứ thành phần nào của hệ thống

Hình 2.2 - Các thành phần của hệ thống VoIP Các mục tiêu dễ tấn công và đem lại xác suất thành công cao khi tấn công DoS là tấn công vào các thành phần của hệ thống, bao gồm:

- Các thành phần mạng:

* Thiết bị đầu cuối

* Lõi của mạng như signaling gateway,…

* Các thiết bị truyền dẫn : routers,…

Chiến lược phòng thủ theo chiều sâu “defense in depth” đòi hỏi VoIP phải được thiết

kế và bảo trì các vấn đề an ninh từ mức máy chủ cho đến các thiết bị đầu cuối

2.1.2 Quấy rối (Annoyance SPIT)

Gây gián đoạn và quấy rối dịch vụ - Kẻ tấn công (attacker) cố gắng phá dịch vụ

VoIP bao gồm ở các mức: hệ thống quản trị, hệ thống dự phòng, hệ thống truy nhập

và điều khiển Việc tấn công vào từ các thành phần mạng gồm có routers, máy chủ DNS, SIP proxies, các phần điều phối phiên (secssion)

Phương thức tấn công có thể từ xa, không nhất thiết phải truy nhập trực tiếp, thông qua việc lợi dụng các lỗ hổng của giao thức dùng trong VoIP, lỗi của hệ thống Một hình thức quấy rối gọi là SPIT (spam through Internet telephony–tạm dịch là gọi điện quấy rối qua Internet)

2.1.3 Truy nhập trái phép (Unauthorized Access)

Truy nhập trái phép - Là khả năng xâm nhập vào dịch vụ, hệ thống chức năng, thành phần mạng một cách không chính thống Attacker có thể xâm nhập thông qua các lỗ hổng như tràn bộ đệm, cấu hình mặc định, mức bảo vệ kém có thể

bẻ gãy Ví dụ attacker lợi dụng lỗ hổng vào SIP proxy sau đó chèn các đoạn tín hiệu vào các dòng dữ liệu rồi lại chuyển tiếp làm thay đổi thông tin ban đầu

2.1.4 Nghe trộm (Eavesdropping)

Nghe trộm và phân tích dữ liệu trên đường truyền - Kẻ tấn công (attacker) sẽ tìm cách thu thập các thông tin nhạy cảm để chuẩn bị cho các tấn công ở mức độ

25

sâu hơn Trong VoIP hoặc trong các ứng dụng đa phương tiện trên Internet, attacker

có khả năng giám sát các dòng tín hiệu hoặc dữ liệu không được mã hóa, không được bảo vệ trao đổi giữa các người dùng Phương thức này là lắng nghe, lưu trữ, phân tích các gói tin hay giả mã thời gian thực trên đường truyền có thể là chủ động hoặc có thể là bị động Mục đích của các Attacker là các thông tin nhạy cảm như thông tin thẻ tín dụng, các thông tin mật khẩu khác,…

2.1.5 Giả mạo (Masquerading)

Giả mạo và đánh lừa - Kẻ tấn công có thể giả người sử dụng, thiết bị hoặc thậm trí là dịch vụ để xâm nhập vào hệ thống mạng, dịch vụ, các thành phần trong

hệ thống hay lấy cắp thông tin Kẻ tấn công giả mạo thường sử dụng các thông tin giả mạo, truy nhập trái phép thậm trí là gây ra lỗi và xâm nhập khi hệ thống bị gián đoạn Mục tiêu của tấn công giả mạo là người dùng, thiết bị, các thành phần mạng Một ví dụ đơn giản là tấn công ARP như DNS poisoning, trỏ địa chỉ mục tiêu sang địa chỉ khác mà hacker đã định trước Người dùng hoàn toàn không hề biết mình đang truy nhập vào hệ thống khác

2.1.6 Gian lận (Fraud)

Gian lận - Khả năng này xảy ra khi kẻ tấn công đã có một quyền gì đó trong hệ thống có thể là do các tấn công khác mang lại Sau đó attacker có thể lợi dụng quyền hạn có được vào mục đích cá nhân như ăn trộm cước, ăn trộm dịch vụ… Đây là một vấn đề rất được quan tâm đối với các nhà cung cấp dịch vụ các nhà phân phối

2.2 Các giải pháp bảo mật VoIP

2.2.1 Nhu cầu bảo mật

Trước khi đi vào chi tiết về những công nghệ khác nhau để bảo vệ cho mạng VoIP Bạn cần phải hiểu những vấn đề và tập hợp những nhu cầu mà bạn đã được thấy Phần này sẽ phác thảo những nhu cầu bảo mật tiêu biểu Không phải là một danh sách toàn diện Những dịch vụ VoIP đặc biệt có thể cần những nhu cầu phụ:

Tính toàn vẹn: Người nhận nên nhận những gói dữ liệu của người khởi tạo gửi với

nội dung không có sự thay đổi Một bên thứ ba cần phải không có khả năng chỉnh sửa gói trong quá trình vận chuyển Định nghĩa này được áp dụng một cách chính

Tính xác thực: Bên gửi và bên nhận tín hiệu VoIP hay thông điệp truyền thông nên

chắc chắn rằng chúng đang liên lạc ngang hàng nhau

Tính sẵn sàng: Sự bảo vệ từ việc tấn công DoS (từ chối dịch vụ) đối với thiết bị

VoIP nên sẵn có đối với những người sử dụng liên tục Những người sử dụng/những thiết bị có ác tâm hoặc có cư xử không đúng đắn không được cấp quyền để phá vỡ dịch vụ Để làm dịu các cuộc tấn công DoS đòi hỏi cách xử lý lây nhiễm để bảo vệ tài nguyên VoIP và bảo vệ mạng IP bên dưới

2.2.2 Bảo vệ tín hiệu

Khi đưa ra những nhu cầu bảo mật cho những thiết bị VoIP, phần này mô tả một số công nghệ có sẵn để đảm bảo tính toàn vẹn, tính bí mật, và tính chứng thực 2.2.2.1 Bảo vệ tín hiệu qua SIP

Cách thức tấn công hệ thống VoiIP phổ biến nhất hiện nay là:

+ Chiếm quyền điều khiển VoiIP Subscription của người dùng và các hoạt động truyền thông tiếp sau

+ Khả năng nghe trộm các cuộc gọi VoiIP

Hai hình thức tấn công trên chắc chắn sẽ nguy hiểm hơn nhiều với sự phát triển ngày càng rộng của VoiIP Phần này chúng ta tìm hiểu nội dung ngắn gọn về giao thức SIP, dùng để cài đặt và phân tách các session Internet đa phương tiện và tập trung chủ yếu vào hoạt động đăng ký người dùng và chiếm quyền điều khiển session

27

Hình 2.3 - Cài đặt và phân tách cuộc gọi SIP Trong bước 1, thiết bị của người dùng (trong thuật ngữ của SIP gọi là một User Agent) đăng ký với tổ chức cấp phát và quản lý tên miền Các tổ chức này có trách nhiệm duy trì cơ sở dữ liệu của thông tin đăng ký tương ứng của từng domain Phần đăng ký người dùng trong VoiIP là cần thiết vì nó cung cấp phương tiện định

vị và liên hệ với nhóm từ xa Chẳng hạn khi A muốn liên lạc với B anh ta sẽ gửi yêu cầu INVITE tới một proxy server Proxy server này có trách nhiệm định hướng cho các tin nhắn SIP và cấp phát các đăng ký Khi proxy server nhận một yêu cầu INVITE, nó cố gắng xác định vị trí nhóm gọi và sắp đặt chương trình cho người gọi Nó sẽ thực hiện một số bước như tìm kiếm tên miền DNS và định hướng các tin SIP khác nhau (tạm thời và mang tính chất thông tin) Đây là bước sẽ bị khai thác bởi kiểu tấn công chiếm quyền điều khiển đăng ký, như chúng ta đã nhìn thấy

sơ lược trong phần đăng ký thiết bị ở bước một của hình minh hoạ

Chiếm quyền điều khiển đăng ký

Hình dưới đây mô tả thông tin đăng ký hợp lệ và trả lời từ nhà quản lý SIP, được dùng để thông báo trong một điểm liên hệ của người dùng Điều này chỉ ra rằng thiết bị của người dùng đã chấp nhận cuộc gọi

28

Hình 2.4 - Yêu cầu REGISTER (đăng ký) Yêu cầu REGISTER (đăng ký) bao gồm các Contact: header với điạ chỉ IP của thiết bị người dùng (hoặc một tệp VoiIP hay điện thoại khác) Khi proxy nhận yêu cầu thực hiện một lời gọi đến (một INVITE), nó sẽ tra tìm để xác định từng người dùng có thể liên hệ được Trong trường hợp trên, người dùng có số điện thoại 201-853-0102 có thể liên hệ với điạ chỉ IP 192.168.94.70 Proxy sẽ gửi yêu cầu INVITE cho điạ chỉ IP đó Chúng ta cũng nên chú ý đến cổng được thông báo là

5061 Cổng này dự trữ cho các SIPS, và thường nó vi phạm tiêu chuẩn RFC 3261

29

Hình 2.5 - Yêu cầu REGISTER đã bị chỉnh sửa bởi Hacker Trong yêu cầu này tất cả header và tham số của tin nhắn đều giống nhau, ngoại trừ tham số trong header Contact Thông tin đã được thay đổi trong header Contact có điạ chỉ IP (192.168.1.3), trỏ tới thiết bị của kẻ tấn công Yêu cầu REGISTER được gửi tới hãng cung cấp và quản lý SIP tại điạ chỉ 192.168.1.2 Công cụ dùng để sinh ra yêu cầu này là SiVuS, được mô tả trong hình dưới đây

30

Hình 2.6 - Lừa đảo đăng ký SIP sử dụng bộ sinh tin nhắn SiVuS

Các bước tấn công chiếm quyền điều khiển diễn ra như sau:

- Vô hiệu hoá đăng ký hợp pháp của người dùng Điều này thực hiện bằng cách:

 Sử dụng một cuộc tấn công DoS lên thiết bị người dùng

 Đăng ký lại thông tin người dùng (không đưa ra các kiểu tấn công khác)

 Tạo một đăng ký race-condition trong đó kẻ tấn công gửi các yêu cầu

REGISTER lặp đi lặp lại trong khung thời gian ngắn hơn (như 15 giây/lần)

để ghi đè lên yêu cầu đăng ký hợp pháp của người dùng

- Gửi yêu cầu REGISTER với điạ chỉ IP của kẻ tấn công thay vì điạ chỉ người dùng