Đảm bảo an ninh cho hệ thống VOIP di động

DANH MỤC CÁC TỪ VIẾT TẮT Từ viết VoIP Voice over Internet Protocol Thoại trên giao thức InternetPSTN Public Switching Telephone Network Mạng điện thoại chuyển mạch công cộngSCN Switching

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN

MỤC LỤC

DANH MỤC CÁC HÌNH 3

DANH MỤC CÁC BẢNG 5

DANH MỤC CÁC TỪ VIẾT TẮT 6

MỞ ĐẦU 7

CHƯƠNG I: TỔNG QUAN VỀ VOIP VÀ VẤN ĐỀ ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 8

1.1 Tổng quan về VoIP: 8

1.1.1 Lợi ích của VoIP: 10

1.1.2 Những tồn tại của VoIP: 11

1.1.3 Cấu hình của mạng VoIP: 12

1.1.4 Một số giao thức trong VoIP: 17

1.2 Nguy cơ đối với hệ thống VoIP di động: 29

1.2.1 Các mối đe dọa đối với hệ thống VoIP: 29

1.2.2 Một số phương thức tấn công mạng VoIP: 30

1.3 Những nhu cầu về đảm bảo an ninh đối với hệ thống VoIP di động: 43

CHƯƠNG II: GIẢI PHÁP ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 45

2.1 Đảm bảo an ninh cho thông tin thiết lập cuộc gọi sử dụng TLS (Transport Layer Security): 46

2.1.1 Khả năng đảm bảo an ninh của TLS: 46

2.1.2 Quá trình bắt tay của TLS: 48

2.1.3 Thuật toán sử dụng trong quản lý trao đổi khóa và xác thực cho TLS:.50 2.2 Đảm bảo an ninh cho dữ liệu thoại sử dụng SRTP (Secure Real-time Transport Protocol): 57

2.2.1 Cấu trúc của gói dữ liệu SRTP: 57

2.2.2 Khả năng đảm bảo an ninh của SRTP: 57

2.2.3 Thuật toán sử dụng trong quản lý trao đổi khóa và xác thực cho SRTP: 61

CHƯƠNG III: XÂY DỰNG MÔ HÌNH ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 72

3.1 Cấu hình phần cứng, phần mềm: 72

3.1.1 Mô hình sơ đồ thiết bị triển khai: 72

3.1.2 Chuẩn bị phần cứng và phần mềm cài đặt: 73

3.2 Ứng dụng đảm bảo an ninh cho cuộc gọi VoIP từ các thiết bị di động: 78

3.2.1 Cuộc gọi VoIP ở chế độ không có bảo mật: 79

3.2.2 Cuộc gọi VoIP sử dụng TLS bảo mật cho SIP: 81

3.2.3 Cuộc gọi VoIP sử dụng SRTP mã hóa cho RTP: 82

KẾT LUẬN 86

DANH MỤC TÀI LIỆU THAM KHẢO 87

DANH MỤC CÁC HÌNH Hình 1.1 Lưu lượng thoại VoIP 9

Hình 1.2 Các Terminal của mạng IP có thể giao tiếp với các Telephone trong mạng SCN thông qua Gateway .10

Hình 1.3 Cấu hình của mạng VoIP 13

Hình 1.4 Cấu trúc gói tin RTP 18

Hình 1.5 Cấu trúc gói tin RTCP 20

Hình 1.6: Kiến trúc SIP 21

Hình 1.7 Sự hoạt động của trường hợp Proxy Mode .25

Hình 1.8 Sự hoạt động của trường hợp Redirect Mode .26

Hình 1.9: Call Flow của hệ thống 27

Hình 1.10: Luồng trao đổi thông thường 31

Hình 1.11: Luồng trao đổi bị tấn công DDoS 31

Hình 1.12: Tấn công DoS làm ngừng hoạt động của điện thoại IP 32

Hình 1.13: Máy tính tấn công ARP Spoofing 38

Hình 1.14: Tấn công ARP Spoofing làm đổi hướng ARP 39

Hình 2.1: Lớp bảo mật TLS cho giao thức SIP 47

Hình 2.2: Quá trình bắt tay giữa Client và Server 49

Hình 2.3: Dữ liệu lớp trên đóng gói bởi TLS/SSL 50

Hình 2.4: Cấu trúc gói tin SRTP 57

Hình 2.5: Lớp bảo mật SRTP cho giao thức RTP 58

Hình 2.6: Lược đồ mã hóa RTP payload sử dụng AES chế độ CTR 59

Hình 2.7: Xác thực gói SRTP 60

Hình 2.8: Cửa sổ trượt dùng để chống tấn công lặp gói 61

Hình 3.1: Mô hình sơ đồ triển khai hệ thống 73

Hình 3.2: Thông tin tổng đài FreePBX 73

Hình 3.3: Thông tin cấu hình user 74

Hình 3.4: Lựa chọn cài đặt bảo mật cho user 75

Hình 3.5: Cấu hình giao thức vận chuyển 76

Hình 3.6: Cấu hình phương thức mã hóa cho đa phương tiện 77

Hình 3.7: Phần mềm bắt gói tin Wireshark 78

Hình 3.8: Thực hiện cuộc gọi từ User 1002 đến User 1003 78

Hình 3.9: Thông tin cuộc gọi Wireshark bắt được 79

Hình 3.10: Thông tin của SIP ở chế độ không có bảo mật 80

Hình 3.11: Thông tin Voice mà RTP truyền bị Wireshark bắt được 81

Hình 3.12: Thông tin của SIP đã được mã hóa bởi TLS 82

Hình 3.13: Nội dung cuộc gọi vẫn không được mã hóa nếu chỉ dùng TLS 82

4Hình 3.14: Thông tin tín hiệu cuộc gọi nếu chỉ dùng SRTP 84Hình 3.15: Nội dung cuộc gọi được mã hóa bởi SRTP 85

DANH MỤC CÁC BẢNG

Bảng 1.1: Chức năng các thành phần của kiến trúc SIP 22

Bảng 1.2: Các yêu cầu SIP 23

Bảng 1.3: Các đáp ứng SIP 24

Bảng 1.4: Các cấp độ mà cấu trúc VoIP có thể bị tấn công 30

Bảng 2.1: Tổ hợp Khóa-khối-vòng 62

DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết

VoIP Voice over Internet Protocol Thoại trên giao thức InternetPSTN Public Switching Telephone Network Mạng điện thoại chuyển mạch

công cộngSCN Switching Circuit Network Mạng chuyển mạch gói

RTP Realtime Transport Protocol Giao thức truyền tải thời gian

thựcSRTP Secure Realtime Transport Protocol Giao thức truyền tải thời gian

thực an toànSIP Session Initiation Protocol Giao thức tạo phiên

RTCP Realtime Transport Control Protocol Giao thức điều khiển truyền

tải thời gian thựcETSI European T e lec o mmu n ications

Telecommunications

Công nghệ truyền thôngkhông dây số cải tiếnIETF Internet Engineer Task Force Tổ chức quản lý kỹ thuật

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ

phân tánDNS Domain Name System Hệ thống phân giải tên miềnSSL Secure Socket Layers Lớp bảo mật lỗ hổng

SRTP Secure Realtime Transport Protocol Giao thức bảo mật tầng giao

vận thời gian thựcTLS Transport Layer Security Giao thức bảo mật gói tin

tầng giao vậnDHCP Dynamic Host Configuration Protocol Giao thức cấu hình động máy

chủPBX Private Branch eXchange Tổng đài nhánh riêng

MỞ ĐẦU

Hiện nay chúng ta có thể thấy được sự phát triển của công nghệ mạng điện thoại trên toàn thế giới, cùng với đó là Internet cũng ngày càng được phổ biến rộng rãi Sự ra đời của truyền thoại qua giao thức Internet, Voice over Internet Protocol (VoIP), đã làm bộc lộ rõ những hạn chế của mạng điện thoại thông thường như chất lượng dịch vụ không cao, tài nguyên sử dụng còn hạn chế… VoIP là công nghệ truyền thoại dựa trên giao thức của mạng Internet VoIP hiện nay đang ngày càng phát triển và dần thay thế mạng điện thoại truyền thống PSTN (Public Switched Telephone Network), vì ngoài việc thực hiện cuộc gọi thoại, VoIP còn truyền dữ liệu trên cơ sở mạng truyền dữ liệu.

Ngoài ra, trong những năm gần đây còn đánh dấu sự phát triển của điện thoại di động, đặc biệt là thế hệ điện thoại thông minh Smartphone Người dùng điện thoại di động hiện nay hướng tới sử dụng các ứng dụng để ngoài việc nghe, gọi, còn có thể truyền tải dữ liệu như hình ảnh, video….

Cùng với sự phát triển của VoIP là vấn đề bảo mật cho hệ thống này Hiện nay có rất nhiều hệ thống VoIP không được bảo mật, thông tin gửi đi không được mã hóa, dẫn đến việc bị tấn công làm lộ, làm mất dữ liệu Do đó, việc làm thế nào để đảm bảo an ninh cho hệ thống VoIP, đặc biệt là hệ thống VoIP di động là hết sức quan trọng.

Việc đảm bảo an ninh cho hệ thống VoIP di động cũng có nhiều phương pháp Trong nội dung luận văn sẽ tập trung vào các phương pháp đảm bảo an ninh cho những giao thức của hệ thống VoIP, và ứng dụng các phương pháp này trong quá trình thiết lập tổng đài cũng như khi thực hiện các cuộc gọi từ thiết bị di động.

CHƯƠNG I: TỔNG QUAN VỀ VOIP VÀ VẤN ĐỀ ĐẢM BẢO

AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG

1.1 Tổng quan về VoIP:

Trong những bước phát triển của ngành viễn thông những năm gần đây, điệnthoại IP được đánh giá là một bước tiến quan trọng về công nghệ Hiện nay điệnthoại IP đang là một mối quan tâm lớn trong bối cảnh phát triển mạnh mẽ của ngànhviễn thông

Dịch vụ điện thoại IP được xây dựng trên công nghệ VoIP Đây là một côngnghệ rất mới nhưng thu hút được rất nhiều sự quan tâm của các nhà khai thác và nhàsản xuất VoIP được đánh giá là một bước đột phá trong công nghệ, nó sẽ là cơ sở

để xây dựng một mạng tích hợp thực sự giữa thoại và số liệu Đây là một hướngphát triển tất yếu của mạng viễn thông

Do các ưu điểm giá thành rẻ và có nhiều dịch vụ mở rộng, điện thoại IP đã

và đang tạo ra một thị trường rộng lớn gồm mọi đối tượng sử dụng gồm các thuêbao, các doanh nghiệp, các tổ chức và cơ quan nhà nước

Để hiểu vấn đề này, chúng ta xem xét hệ thống điện thoại truyền thống, điển

hình là PSTN (Public Switching Telephone Network: Mạng thoại chuyển mạch công

cộng) Đó là kiểu mạng chuyển mạch kênh SCN (Switching Circuit Network) và

được phát triển lên từ mạng analog, nghĩa là để thiết lập một cuộc gọi, cần phải cómột kênh truyền riêng và giữ kênh truyền cho đến chừng nào cuộc nói chuyện kếtthúc Kiểu truyền thông như vậy không tận dụng một cách có hiệu quả băng thônghiện có, công suất giới hạn là 64kbit/s/kênh và thực hiện 30 cuộc điện thoại trênmột đường E1

Hình 1.1 Lưu lượng thoại VoIP

Vậy VoIP khác với hệ thống điện thoại truyền thống thế nào? Tiếng nói thay

vì được truyền qua mạng chuyển mạch kênh, thì lại được truyền qua mạng chuyểnmạch gói phát triển lên từ mạng số, điển hình là mạng IP Tiếng nói được số hoá,đóng gói, rồi được truyền đi như là các gói tin thông thường được truyền trên mạng

IP Dung lượng truyền dẫn được tất cả các thông tin chia sẻ và bằng cách đó băngthông được sử dụng có hiệu quả hơn mà không cần phải cung cấp cho từng kênhriêng lẻ Mỗi kênh hoặc mỗi đường trung kế cung cấp nhiều khả năng ứng dụng như

số liệu, thoại, fax và hội nghị video Dễ dàng thấy công nghệ thoại này ưu điểm hơnhẳn công nghệ thoại truyền thống ở chỗ nó tận dụng được triệt để tài nguyên hệthống, dẫn đến một điều chắc chắn là chi phí cho cuộc gọi được giảm đáng kể, đặcbiệt là những cuộc gọi ở khoảng cách địa lý rất xa hiện nay vẫn còn quá đắt đỏtrong mạng điện thoại chuyển mạch kênh

Nhưng như vậy không phải là điều dễ dàng Ta biết rằng thoại là một ứngdụng mang tính thời gian thực, nghĩa là yêu cầu dòng tiếng nói phải được truyền đitới phía nhận một cách gần như tức thì Trong mạng chuyển mạch kênh điều đó làđơn giản vì mỗi cuộc thoại không phải chia sẻ với các ứng dụng khác, đường truyềnnói chung luôn được đảm bảo thông giữa hai đầu dây, hiếm khi xảy ra những trụctrặc như tắc nghẽn hay bị mất thông tin Còn với mạng chuyển mạch gói như IP thìsao? Mạng IP được xem như là mạng truyền số liệu, nghĩa là thông tin dữ liệu tớiđích không có yêu cầu về mặt thời gian thực Vả lại trên mạng IP, do đường truyềnđược chia sẻ bởi nhiều ứng dụng, hoặc bản thân các gói tin tiếng nói lại đi theonhiều con đường khác nhau tới đích, tình trạng tắc nghẽn, trễ, mất dữ liệu thườngxuyên xảy ra Những điều đó nếu không được giải quyết tốt sẽ gây ảnh hưởng rấtlớn đến chất lượng tiếng nói nhận được Đây là vấn đề hết sức quan trọng trongcông nghệ VoIP

Ngoài ra mạng IP và mạng chuyển mạch kênh còn có thể giao tiếp với nhauthông qua Gateway, cho phép một đầu cuối ở mạng này có thể thoại với một đầucuối của mạng kia (hình 1.2), mà vẫn trong suốt đối với người sử dụng, sự phát triểnnày đem lại khả năng tích hợp nhiều dịch vụ của hai loại mạng với nhau

Hình 1.2 Các Terminal của mạng IP có thể giao tiếp với các Telephone trong

mạng SCN thông qua Gateway.

1.1.1 Lợi ích của VoIP:

- Giảm cước phí truyền thông Đặc biệt là các cuộc gọi đường dài cũng nhưtận dụng hiệu quả hơn tài nguyên giải thông đường truyền Đây là yếu tố quan trọngnhất thúc đẩy sự phát triển của công nghệ VoIP

- Hợp nhất hóa Hệ thống mạng chuyển mạch kênh rất phức tạp, cần phải cómột đội ngũ nhân viên vận hành và giám sát hoạt động của nó Với một cơ sở hạtầng tích hợp các phương thức truyền thông cho phép hệ thống được chuẩn hóa tốthơn, hoạt động hiệu quả hơn và giảm tổng số thiết bị, nhân lực cần thiết Điều nàycũng làm giảm thiểu sai sót trên hệ thống hiện thời

- Sử dụng công nghệ thoại trên IP đem lại nhiều lợi ích thiết thực cho các nhàtruyền tải:

+ Triệt và nén im lặng: Được sử dụng khi có khoảng nghỉ ngơi trongcuộc nói chuyện Khoảng nghỉ này có thể lên tới 50-60% một cuộc gọi Vì thế, ta cóthể tiết kiệm được giải thông tiêu tốn, nhất là với hội thoại nhiều người Khônggiống như mạng chuyển mạch kênh, VoIP triệt im lặng qua các liên kết toàn cầu tạicác điểm đầu cuối Mạng IP thích hợp cho việc ghép kênh, giảm bớt giải thông tiêuthụ toàn mạng Sự triệt im lặng và bù nén làm cũng tăng hiệu quả sử dụng mạng

- Chia sẻ thuận lợi:

+ Đặc trưng của mạng IP là chia sẻ tài nguyên mạng Các kênh truyềnthông không được tạo ra cố định và riêng biệt như trong mạng chuyển mạch kênh,

mà nó được dùng chung cho nhiều ứng dụng khác

11+ Các dịch vụ tiên tiến: Tạo thuận lợi cho việc triển khai và phát triểncác dịch vụ mới trong môi trường mạng IP cho các ứng dụng truyền thống Đây là

ưu thế do công nghệ mới mang lại

+ Tách biệt thoại và điều khiển luồng: Trong thoại truyền thống,luồng báo hiệu truyền tải trên mạng tách biệt với luồng thông tin truyền Ta phảiduyệt tất cả các chuyển mạch trung gian để thiết lập kênh truyền Trong khi đó, việcgửi gói tin trên mạng không yêu cầu thiết lập, điều khiển cuộc gọi Ta có thể tậptrung trên chức năng cuộc gọi

1.1.2 Những tồn tại của VoIP:

vụ

- Thiếu sự bảo đảm về chất lượng dịch vụ (QoS)

- Thiếu giao thức chuẩn

- Tính tương tác giữa công nghệ mới với công nghệ truyền thống và các dịch

- Thiếu giải thông cho mạng

- Độ tin cậy mạng

- Với thoại ta phải đạt được những chỉ tiêu cần thiết bao gồm giảm thiểu cáccuộc gọi bị từ chối, trễ trên mạng, mất gói, và đứt liên kết Tuy nhiên, mạng IPkhông có cơ chế nào bảo đảm các vấn đề này Đồng thời, ta cũng phải giải quyếttình trạng tắc nghẽn và quá nhiều người sử dụng cùng lúc đối với mạng IP

- Quá trình điều khiển cuộc gọi phải trong suốt đối với người sử dụng Ngườidùng không cần biết kỹ thuật nào được sử dụng để thực hiện dịch vụ

- Cung cấp các cơ chế quản lý hệ thống, an toàn, địa chỉ hóa và thanh toán.Tốt nhất là ta hợp nhất được với các hệ thống hỗ trợ hoạt động PSTN

- Trong tương lai, truyền thông sẽ là sự kết hợp giữa kỹ thuật chuyển mạchkênh truyền thống với công nghệ chuyển mạch gói qua mạng IP Sự hội tụ của haikiến trúc mạng hoàn toàn khác biệt nhau này là điều tất yếu, sẽ diễn ra sớm haymuộn còn tùy thuộc vào nhiều nhân tố, nhưng có hai yếu tố quan trọng nhất là:

+ Giao thức chuẩn hóa

+ Các chính sách liên mạng phù hợp

Từ các yếu tố này, các tổ chức viễn thông, các nhà sản xuất phải thực sựthống nhất với nhau về các giao thức chuẩn, bao gồm chuẩn báo hiệu cuộc gọi, mãhoá, chuẩn truyền đa phương thức và tín hiệu Sự chấp nhận các chuẩn này sẽ cho

12phép nhiều hãng có thể cùng chung sống và hoạt động được với nhau, đảm bảo tínhtương thích giữa các sản phẩm Hiện tại, đối với VoIP, một số giao thức chuẩn đượccác tổ chức quốc tế công nhận: RTP, RTCP, SIP

1.1.3 Cấu hình của mạng VoIP:

Theo các ngiên cứu của ETSI, cấu hình chuẩn của mạng VoIP có thể baogồm các phần tử sau:

- Thiết bị đầu cuối kết nối với mạng IP

- Thiết bị đầu cuối kết nối với mạng chuyển mạch kênh

Trong các kết nối khác nhau cấu hình mạng có thể thêm hoặc bớt một sốphần tử trên

Cấu hình chung của mạng VoIP gồm các phần tử Gatekeeper, Gateway, cácthiết bị đầu cuối thoại và máy tính Mỗi thiết bị đầu cuối giao tiếp với mộtGatekeeper và giao tiếp này giống với giao tiếp giữa thiết bị đầu cuối và Gateway.Mỗi Gatekeeper sẽ chịu trách nhiệm quản lý một vùng, nhưng cũng có thể nhiềuGatekeeper chia nhau quản lý một vùng trong trường hợp một vùng có nhiềuGatekeeper

Trong vùng quản lý của các Gatekeeper, các tín hiệu báo hiệu có thể đượcchuyển tiếp qua một hoặc nhiều Gatekeeper Do đó các Gatekeeper phải có khảnăng trao đổi các thông tin với nhau khi cuộc gọi liên quan đến nhiều Gatekeeper

13

Telephone

M¹ng chuyÓn m¹ch kªnh

Hình 1.3 Cấu hình của mạng VoIP

Chức năng của các phần tử trong mạng như sau:

1.1.3.1 Thiết bị đầu cuối:

Thiết bị đầu cuối là một nút cuối trong cấu hình của mạng VoIP Nó có thểđược kết nối với mạng IP sử dụng một trong các giao diện truy nhập Một thiết bịđầu cuối có thể cho phép một thuê bao trong mạng IP thực hiện cuộc gọi tới mộtthuê bao khác trong mạng chuyển mạch kênh Các cuộc gọi đó sẽ được Gatekeeper

mà thiết bị đầu cuối hoặc thuê bao đã đăng ký giám sát

Một thiết bị đầu cuối có thể gồm các khối chức năng sau:

- Chức năng đầu cuối: Thu và nhận các bản tin;

- Chức năng bảo mật kênh truyền tải: đảm bảo tính bảo mật của kênh truyềntải thông tin kết nối với thiết bị đầu cuối

- Chức năng bảo mật kênh báo hiệu: đảm bảo tính bảo mật của kênh báo hiệukết nối với thiết bị đầu cuối

- Chức năng xác nhận: thiết lập đặc điểm nhận dạng khách hàng, thiết bịhoặc phần tử mạng, thu nhập các thông tin dùng để xác định bản tin báo hiệu haybản tin chứa thông tin đã được truyền hoặc nhận chưa

- Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

- Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về

sự kiện ( truy nhập, cảnh báo ) và tài nguyên

- Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi.

1.1.3.2 Mạng truy nhập IP:

Mạng truy nhập IP cho phép thiết bị đầu cuối, Gateway, Gatekeeper truynhập vào mạng IP thông qua cơ sở hạ tầng sẵn có Sau đây là một vài loại giao diệntruy nhập IP được sử dụng trong cấu hình chuẩn của mạng VoIP:

1.1.3.3 Gatekeeper:

Gatekeeper là phần tử của mạng chịu trách nhiệm quản lý việc đăng ký, chấpnhận và trạng thái của các thiết bị đầu cuối và Gateway Gatekeeper có thể tham giavào việc quản lý vùng, xử lý cuộc gọi và báo hiệu cuộc gọi Nó xác định đường dẫn

để truyền báo hiệu cuộc gọi và nội dung đối với mỗi cuộc gọi Gatekeeper có thểbao gồm các khối chức năng sau:

- Chức năng chuyển đổi địa chỉ E.164 ( Số E.164 là số điện thoại tuân thủtheo cấu trúc và kế hoạch đánh số được mô tả trong khuyến nghị E.164 của Liênminh viễn thông quốc tế ITU) : chuyển đổi địa chỉ E.164 sang địa chỉ IP và ngượclại để truyền các bản tin, nhận và truyền địa chỉ IP để truyền các bản tin, bao gồm cả

15dịch vụ.

- Chức năng xác nhận: thiết lập các đặc điểm nhận dạng của khách hàng,thiết bị đầu cuối hoặc các phần tử mạng

- Chức năng bảo mật kênh thông tin: đảm bảo tính bảo mật của kênh báohiệu kết nối Gatekeeper với thiết bị đầu cuối

- Chức năng tính cước: thu thập thông tin để tính cước

- Chức năng điều chỉnh tốc độ và giá cước: xác định tốc độ và giá cước

- Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

- Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

- Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi

1.1.3.4 Gateway:

Gateway là một phần tử không nhất thiết phải có trong một giao tiếp H.323

Nó đóng vai trò làm phần tử cầu nối và chỉ tham gia vào một cuộc gọi khi có sựchuyển tiếp từ mạng H.323 ( ví dụ như mạng LAN hay mạng Internet) sang mạngphi H.323 ( ví dụ mạng chuyển mạch kênh hay PSTN) Một Gateway có thể kết nốivật lý với một hay nhiều mạng IP hay với một hay nhiều mạng chuyển mạch kênh.Một Gateway có thể bao gồm: Gateway báo hiệu, Gateway truyền tải kênh thoại,Gateway điều khiển truyền tải kênh thoại Một hay nhiều chức năng này có thể thựchiện trong một Gatekeeper hay một Gateway khác

- Gateway báo hiệu SGW: cung cấp kênh báo hiệu giữa mạng IP và mạngchuyển mạch kênh Gateway báo hiệu là phần tử trung gian chuyển đổi giữa báohiệu trong mạng IP ( ví dụ H.323) và báo hiệu trong mạng chuyển mạch kênh (ví dụR2, CCS7) Gateway báo hiệu có các chức năng sau:

+ Chức năng kết cuối các giao thức điều khiển cuộc gọi

+ Chức năng kết cuối báo hiệu từ mạng chuyển mạch kênh: phối hợphoạt động với các chức năng báo hiệu của Gateway điều khiển truyền tải kênh thoại

+ Chức năng báo hiệu: chuyển đổi báo hiệu giữa mạng IP với báohiệu mạng chuyển mạch kênh khi phối hợp hoạt động với Gateway điều khiểntruyền tải kênh thoại

+ Chức năng giao diện mạng chuyển mạch gói: kết cuối mạng chuyểnmạch gói

16+ Chức năng bảo mật kênh báo hiệu: đảm bảo tính bảo mật của kênh báo hiệu kết nối với thiết bị đầu cuối.

+ Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

+ Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về sự kiện (truy nhập, cảnh báo) và tài nguyên

+ Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được

sử dụng ra thiết bị ngoại vi

- Gateway truyền tải kênh thoại MGM: cung cấp phương tiện để thực hiệnchức năng chuyển đổi mã hoá Nó sẽ chuyển đổi giữa các mã hoá trong mạng IP vớicác mã hoá truyền trong mạng chuyển mạch kênh Gateway truyền tải kênh thoạibao gồm các khối chức năng sau:

+ Chức năng chuyển đổi địa chỉ kênh thông tin: cung cấp địa chỉ IPcho các kênh thông tin truyền và nhận

+ Chức năng chuyển đổi luồng: chuyển đổi giữa các luồng thông tin giữa mạng IP và mạng chuyển mạch kênh bao gồm việc chuyển đôỉ mã hoá và triệttiếng vọng

+ Chức năng dịch mã hoá: định tuyến các luồng thông tin giữa mạng

mã hoá tín hiệu mã đa tần DTMF Chức năng chuyển đổi kênh thông tin giữa mạng

IP và mạng chuyển mạch kênh cũng có thể thu nhập thông tin về lưu lượng gói vàchất lượng kênh đối với mỗi cuộc gọi để sử dụng trong việc báo cáo chi tiết và điềukhiển cuộc gọi

+ Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

+ Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thôngtin về sự kiện (truy nhập, cảnh báo) và tài nguyên

17+ Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được

sử dụng ra thiết bị ngoại vi

- Gateway điều khiển truyền tải kênh thoại MGWC: đóng vai trò phần tử kếtnối giữa Gateway báo hiệu và Gatekeeper Nó cung cấp chức năng xử lý cuộc gọicho Gateway, điều khiển Gateway truyền tải kên thoại, nhận thông tin báo hiệu củamạng chuyển mạch kênh từ Gateway báo hiệu và thông tin báo hiệu của mạng IP từGatekeeper Gateway điều khiển truyền tải kênh thoại bao gồm các chức năng sau:

+ Chức năng truyền và nhận các bản tin

+ Chức năng xác nhận: thiết lập các đặc điểm nhận dạng của người sử dụng, thiết bị hoặc các phần tử mạng

+ Chức năng điều khiển cuộc gọi: lưu giữ các trạng thái cuộc gọi củaGateway Chức năng này bao gồm tất cả các điều khiển kết nối logic của Gateway

+ Chức năng báo hiệu: chuyển đổi giữa báo hiệu mạng IP và báo hiệu mạng chuyển mạch kênh trong quá trình phối hợp hoạt động với Gateway báo hiệu

+ Chức năng quản lý: giao tiêp với hệ thống quản lý mạng

+ Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về sự kiện (truy nhập, cảnh báo) và tài nguyên

+ Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được

sử dụng ra thiết bị ngoại vi

1.1.4 Một số giao thức trong VoIP:

1.1.4.1 Giao thức RTP và RTCP:

a Real-time Transport Protocol (RTP):

RTP được coi như một giao thức truyền từ đầu cuối đến đầu cuối (end toend) phục vụ truyền dữ liệu thời gian thực như audio và video RTP thực hiện việcquản lý về thời gian truyền dữ liệu và nhận dạng dữ liệu được truyền Nhưng RTPkhông cung cấp bất cứ một cơ chế nào đảm bảo thời gian truyền và cũng khôngcung cấp bất cứ một cơ chế nào giám sát chất lượng dịch vụ Sự giám sát và đảmbảo về thời gian truyền dẫn cũng như chất lượng dịch vụ được thực hiện nhờ haigiao thức RTCP và RSVP

Tương tự như các giao thứ truyền dẫn khác, gói tin RTP (RTP packet) baogồm hai phần là header (phần mào đầu) và data (dữ liệu) Nhưng không giống nhưcác giao thức truyền dẫn khác là sử dụng các trường trong header để thực hiện các

18chức năng điều khiển, RTP sử dụng một cơ chế điều khiển độc lập trong định dạng của gói tin RTCP để thực hiện các chức năng này.

Cấu trúc gói tin RTP:

Hình 1.4 Cấu trúc gói tin RTP

- Version (2 bit): version của RTP (hiện tại là version 2)

- Padding (1 bit): có vai trò như bit cờ được sử dụng để đánh dấu khi có một

số byte được chèn vào trong gói

- Extension (1 bit): cũng có vai trò như một bit cờ được sử dụng để đánh dấukhi có header mở rộng tiếp theo header cố định

- CSRC count (4 bit): chỉ rõ số lượng của CSRC (contributing source)

- Marker (1 bit): có vai trò như một bit cờ, trạng thái của nó được phụ thuộcvào trường payload type

- Payload Type (7 bit): chỉ rõ loại thông tin được chứa trong các gói

- Sequence Number (16 bit): cung cấp số thứ tự của các gói Cách này nhưmột cơ chế giúp bên thu có thể thu đúng thứ tự các gói tin, nhận ra gói tin bị mất

- Time-stamp (32 bit): là tham số đánh dấu thời điểm byte đầu tiên được lấymẫu trong gói RTP Giá trị time-stamp khởi đầu là ngẫu nhiên, các gói RTP phát điliên tiếp có thể có cũng giá trị time-stemp nếu chúng cùng được phát đi một lúc

- Syschronisation source (SSRC) identifier: số nhận dạng nguồn của gói dữliệu Nếu ứng dụng muốn truyền dữ liệu có nhiều dạng khác nhau trong cùng mộtthời điểm (ví dụ là tín hiệu audio và video) thì sẽ có những phiên truyền riêng chomỗi dạng dữ liệu Sau đó ứng dụng sẽ tập hợp các gói tin có cùng nhận dạng SSRC

Số nhận dạng này được gán một cách ngẫu nhiên

- Contribute source (CSRC) identifer (độ dài thay đổi): tại một điểm đích nào

đó mà những tín hiệu audio đến đích cần trộn lại với nhau thì giá trị CSRC sẽ là tập

19hợp tất cả các giá trị SSRC của các nguồn mà gửi tín hiệu đến điểm đích đó TrườngCSRC có thể chứa tối đa là 15 số nhận dạng nguồn SSRC.

- Extension header (độ dài thay đổi): chứa các thông tin thểm của gói RTP

b Real-time Transport Control Protocol (RTCP)

Mặc dù RTP là một giao thức độc lập nhưng thường được hỗ trợ bởi giaothức RTCP RTCP trả về nguồn các thông tin về sự truyền thông và các thành phầnđích Giao thức điều khiển này cho phép gửi về các thông số về bên thu và tự thíchnghi với bên phát cho phù hợp vời bên phát Mỗi người tham gia một phiên truyềnRTP phải gửi định kỳ các gói RTCP tới tất cả những người khác cũng tham giaphiên truyền Tuỳ theo mục đích mà RTCP thực hiện 4 chức năng:

- RTCP cung cấp một sự phản hồi chất lượng của dữ liệu Các thông tin đógiúp cho ứng dụng thực hiện chức năng điều khiển luồng và quản lý tắc nghẽn

- RTCP cung cấp sự nhận dạng mà được sử dụng để tập hợp các kiểu dữ liệukhác nhau (ví dụ audio và video) Điều này là cần thiết vì khả năng này không đượcRTP cung cấp

- Nhờ việc định kỳ gửi các gói tin RTCP mà mỗi phiên truyền có thể theo dõiđược số người tham gia RTP không thể sử dụng được cho mục đích này khi một ai

đó không gửi dữ liệu mà chỉ nhận từ những người khác

- Cuối cùng là một chức năng lựa chọn cho phép có thêm thông tin về nhữngngười tham gia vào phiên truyền

Tuỳ thuộc vào giao thức RTP được sử dụng cho loại dữ liệu nào mà RTCPcung cấp các thông báo điều khiển khác nhau Có 4 loại thông báo điều khiển chínhđược giao thức RTCP cung cấp là:

- Sender report (SR): thông báo này chứa các thông tin thống kê liên quanđến kết quả truyền như tỷ lệ tổn hao, số gói dữ liệu bị mất, khoảng trễ Các thôngbáo này phát ra từ phía phát trong một phiên truyền thông

- Receiver report (RR): thông báo này chứa các thông tin thống kê liên quanđến kết quả nhận giữa các điểm cuối Các thông báo này được phát ra từ phía thutrong một phiên truyền thông

- Source description (SDES): thông báo bao gồm các thông số mô tả nguồnnhư tên, vị trí,

- Application (APP): thông báo cho phép truyền các dữ liệu ứng dụng

Cấu trúc gói tin RTCP

Hình 1.5 Cấu trúc gói tin RTCP

- Version (2 bit): version RTP hiện tại (version 2)

- Padding (1 bit): có chức năng như một bit cờ chỉ rõ xem trong gói có các byte được chèn thêm hay không

- Report counter (5 bit): số thông báo chứa trong gói

- Packet type (8 bit): xác định loại thông báo của gói (SR hoặc RR hoặc

- Length (16 bit): chỉ rõ độ dài của gói

- Report (độ dài thay đổi): chứa các thông báo chi tiết

1.1.4.1 Giao thức SIP:

a Giới thiệu SIP:

Giao thức khởi đầu phiên (Session Initiation Protocol) là giao thức báo hiệu

được dùng để thiết lập, duy trì và kết thúc các cuộc gọi Nó được đưa ra bởi IETF.Một cuộc gọi bao gồm một số thành viên tham gia hội thoại, trao đổi thông tin bằnghình thức đa phát đáp hoặc đơn phát đáp với phương thức truyền thông có thể là dữliệu, tiếng nói hay hình ảnh SIP là một giao thức điều khiển tầng ứng dụng, độc lậpvới với các giao thức khác Đây là giao thức khả mở, hỗ trợ các dịch vụ ánh xạ tên

và các dịch vụ gián tiếp một cách trong suốt Vì thế nó cho phép thi hành một cáchđầy đủ các dịch vụ trên ISDN, mạng thoại thông minh và hỗ trợ các cuộc gọi diđộng của người có địa chỉ không cố định

SIP cung cấp các khả năng sau:

- Định vị người dùng: cho phép xác định vị trí người dùng tiến hành hộithoại

- Xác định phương thức giao tiếp và các tham số tương ứng cho hội thoại

- Xác định những người sẵn sàng tham gia hội thoại

- Thiết lập các tham số cần thiết cho cuộc gọi, giống như Q.931

- Điều khiển cuộc gọi: bao gồm cả quá trình truyền và kết thúc cuộc gọi

SIP là một phần trong bộ giao thức chuẩn cho truyền dòng tin đa phươngthức do IETF đưa ra như RSVP (giao thức giữ trước tài nguyên), RTP, RTSP (phânphối dòng tin đa phương thức), SAP (giao thức thông báo phiên), SDP (giao thức

mô tả phiên), nhưng nó hoạt động độc lập với các giao thức trên Ta cũng có thể kếthợp SIP với các giao thức báo hiệu và thiết lập cuộc gọi khác

Hiện tại ngoài SIP được phát triển bởi IETF còn có H.323 phát triển bởi ITUmang đầy đủ dáng vẻ của một giao thức báo hiệu Cả SIP và H.323 đều định nghĩacác cơ chế chọn đường, báo hiệu cuộc gọi cũng như khả năng chuyển đổi, điềukhiển và các dịch vụ bổ sung

SIP là giao thức mới hứa hẹn tính khả mở, linh hoạt và dễ dàng Sự linh hoạtcủa SIP cho phép máy phục vụ liên kết với các máy phục vụ khác bên ngoài để xácđịnh người sử dụng hay chính sách chọn đường, vì thế nó không trói buộc chỉnhững người trong cùng một vùng Thêm vào đó, để duy trì tính khả mở, các máyphục vụ SIP có thể duy trì các thông tin trạng thái hoặc chuyển tiếp yêu cầu

UAS (User Agent

Server) Nhận và đáp ứng yêu cầu SIP, chấp nhận, chuyển tiếp, hay từ chối cuộc gọi.

SIP terminal Hỗ trợ truyền thông hai chiều thời gian thực với

các thực thể SIP khác Cũng giống như H.323Terminal, chứa UAC

PS (Proxy Server) Liên lạc một hay nhiều client hay server kề với

nó, chuyển yêu cầu cuộc gọi đi xa hơn ChứaUAC và UAS

RS (Redirect Server) Trả về địa chỉ người dùng khi được yêu cầu.

LS (Location Server) Cung cấp thông tin về địa chỉ có thể có của người

gọi cho Redirect và Proxy Server Nó có thể nằm chung với SIP Server

Bảng 1.1: Chức năng các thành phần của kiến trúc SIP

SIP là một giao thức Client-Server có nghĩa là các yêu cầu tạo ra từ một thựcthể gửi (như Client) và gửi đến một thực thể nhận (như Server) để xử lý chúng SIPcho phép hệ thống đầu cuối bao gồm giao thức Client và Server (gọi chung làServer đại diện người sử dụng) Các Server đại diện người sử dụng nói chung trả lờicác yêu cầu trên cơ sở trao đổi của con người hoặc một vài kiểu đầu vào khác Hơnnữa SIP yêu cầu có thể duyệt qua nhiều Proxy Server, mỗi trong chúng nhận mộtyêu cầu và gửi nó theo bước nhảy đến Server tiếp theo, nó có thể là một ProxyServer khác hoặc Server đại diện người sử dụng cuối cùng Một Server có thể đóngvai trò Server trung gian (Redirect Server), hoặc Client có thể liên lạc với nó trựctiếp Chưa có giao thức phân biệt giữa Proxy Server và Redirect Server và Serverđại diện người sử dụng; một Client hoặc Proxy Server không có cách nào để biết ai

mà chúng đang truyền thông với Sự phân biệt chỉ ở chức năng: một Proxy Serverhoặc Redirect Server không được nhận hoặc không nhận một yêu cầu, nơi màServer đại diện người sử dụng là có thể Điều này giống với mô hình giao thức trao

đổi siêu văn bản HTTP (Hypertext Transfer Protocol) của các Client, các Server

gốc và Proxy Server Một máy chủ có thể đóng vai trò cho Client và Server cho cácyêu cầu giống nhau Một kết nối được xây dựng bằng cách đưa ra một yêu cầuINVITE và loại bỏ bởi đưa ra một yêu cầu BYE

c Các bản tin SIP

SIP là giao thức dạng text sử dụng bộ ký tự ISO 10646 trong mã hóa UTF-8.Điều này tạo cho SIP tính linh hoạt và mở rộng, dễ dàng thi hành các ngôn ngữ lậptrình cấp cao như Java, Tcl, Perl Cú pháp của nó gần giống với giao thức HTTP,

cho phép dùng lại mã và đơn giản hóa sự liên kết của các máy phục vụ SIP với các máy phục vụ Web.

Thông điệp SIP được chia làm hai loại:

SIP-message = Request | Response

Yêu cầu (Request)

Một tiêu đề yêu cầu SIP có cấu trúc :

Method Request URI SIP version

Trong đó, SIP định nghĩa 6 yêu cầu cơ bản:

INVITE Mời thành viên tham gia hội thoại

ACK Yêu cầu xác nhận đã nhận được đáp ứng chấp nhận (OK)

cho yêu cầu INVITE

OPTIONS Hỏi khả năng của máy phục vụ SIP

BYE Yêu cầu giải phóng cuộc gọi

CANCEL

Hủy bỏ yêu cầu sắp được thực hiện với cùng giá trị trongcác trường Call-ID, To, From, CSeq của yêu cầu đó bằngcách ngừng quá trình tìm kiếm, báo hiệu

REGISTER Đăng ký danh sách địa chỉ liên hệ của người dùng với máy

phục vụ

Bảng 1.2: Các yêu cầu SIP

Trường Request-URI có khuôn dạng theo SIP URL và có thể được ghi lạitrong trường hợp máy phục vụ ủy quyền, trường SIP Version chỉ phiên bản SIPđược sử dụng (hiện tại là bản SIP/2.0)

Đáp ứng (Response)

Đáp ứng bản tin SIP dựa trên sự chấp nhận và dịch các yêu cầu Chúng dùng

để chỉ thị cuộc gọi thành công hay thất bại, bao gồm cả trạng thái của server

Các đáp ứng SIP có tiêu đề theo khuôn dạng sau:

SIP version Status code Reason phrase

Phiên bản SIP/2.0 đưa ra bảng mã mở rộng và chức năng tương ứng cho cácđáp ứng được mô tả dưới đây:

Mã trạng thái Ý nghĩa

1xx Tìm kiếm , báo hiệu, sắp hàng đợi

2xx Thành công

3xx Chuyển tiếp yêu cầu

4xx Lỗi phía người dùng5xx Lỗi phía máy phục vụ6xx Lỗi chung: đường đây đang bận, từ chối,…

Bảng 1.3: Các đáp ứng SIP

Ngoài ra, thành phần tùy chọn Reason phrase chú thích mã trả về tương ứng

là đáp ứng gì

d Hoạt động của SIP

Quá trình định vị tới máy phục vụ SIP

Khi một người (UAC) muốn gửi yêu cầu kết nối tới một người khác thì yêucầu được gửi tới PS hoặc gửi địa chỉ và cổng cho trường Request-URI với cổng mặcđịnh là 5060 và giao thức vận chuyển là UDP và sau đó là TCP Quá trình tìm kiếmđịa chỉ máy phục vụ SIP diễn ra như sau: UAC gửi yêu cầu tới máy phục vụ tươngứng, máy phục vụ lấy thông tin trong trường Request-URI để lấy được địa chỉ cầntìm:

- Nếu trường host trong Request-URI là địa chỉ IP thì UAC sẽ liên lạc vớimáy phục vụ qua địa chỉ này, nếu không thì nhảy sang bước tiếp theo

- UAC hỏi địa chỉ IP của máy phục vụ qua máy phục vụ tên miền (Domain

Name System Server) DNS Server trả về một danh sách tương ứng thông tin đăng

và To đều theo khuôn dạng SIP URL Trường CSeq lưu thông tin về phương thức

sử dụng trong phiên đó

Lời mời SIP

Đây là hoạt động diễn ra thường xuyên nhất, INVITE mời thành viên thamgia hội thoại, đáp ứng chấp nhận là 200 (OK) Thông điệp này còn chứa thành phần

mô tả phiên (SDP) và phương thức tiến hành trao đổi ứng với phiên đó Trongtrường hợp máy phục vụ ủy quyền như hình 1.7

Hình 1.7 Sự hoạt động của trường hợp Proxy Mode.

1 Proxy Server (PS) tiếp nhận lời mời

2 PS tra cứu thông tin ở dịch vụ định vị ngoài SIP

3 PS nhận về thông tin để tạo ra địa chỉ chính xác

4 PS tạo lại INVITE trong trường Request-URI và chuyển tiếp

5 UAS của người được gọi cảnh báo tới

6 PS nhận đáp ứng chấp nhận 200 OK

7 PS trả về kết quả thành công cho người gọi

8 Người gọi gửi thông báo xác nhận ACK

9 Yêu cầu xác nhận được chuyển tiếp qua PS Trường

hợp máy phục vụ gián tiếp (RS) như hình 1.8:

Hình 1.8 Sự hoạt động của trường hợp Redirect Mode.

Sự khác biệt với PS là ở chỗ, RS không chuyển tiếp yêu cầu mà nó gửi trả về cho UAC, UAC gửi lời mời trực tiếp với trường Request-URI được xây dựng lại

e Mô hình một cuộc gọi SIP điển hình

Hình 1.9: Call Flow của hệ thống

Hình trên mô tả các quá trình diễn ra cho một cuộc gọi SIP điển hình qua 16

- Bước 1: Người sử dụng ở UA 1 muốn kết nối tới người được gọi Khi đó

phần mềm UA chạy trên UA1 sẽ tạo một yêu cầu INVITE và gửi đến proxy Địa chỉcủa proxy đã được cấu hình trước trên chương trình

- Bước 2: Proxy tiếp nhận được yêu cầu của sofpthone nhờ listen trên port

20050/UDP lập tức trả lời bằng một đáp ứng 100 (TRYING) nhằm yêu cầu client chờ kết nối Sau đó qua bước 3

- Bước 3: Proxy xem xét yêu cầu INVITE, xác định host mà ở đó người

được gọi đang login vào, chuyển tiếp yêu cầu INVITE đến đó

- Bước 4: UA 2 trả lời cho proxy bằng đáp ứng 100 (TRYING).

- Bước 5: UA 2 gởi đáp ứng 180 (RINGING) về cho proxy để báo rằng

đang đổ chuông

- Bước 6: Proxy chuyển tiếp 180(RINGING) về UA 1.

- Bước 7: UA 1 nhận được 180(RINGING) lập tức tự phát âm hiệu ringback

tone dạng color ring dựa vào cấu hình nhạc chuông được thiết lập sẳn

- Bước 8: gười được gọi ở UA 2 nhấc máy UA 2 thông báo cho proxy tín

hiệu nhấc máy bằng 200 (OK)

- Bước 9: Proxy chuyển tiếp 200(OK) cho UA 1.

- Bước 10: UA 1 gửi yêu cầu ACK cho proxy nhằm confirm rằng nó đã nhận

được tín hiệu 200 (OK)

- Bước 11: Proxy chuyển tiếp ACK tới UA 2

- Bước 12: UA 1 tạo RTP stream với UA 2 và bắt đầu truyền voice.

- Bước 13, 14: Giả sử người gọi ở UA 1 gác máy trước UA 1 tạo yêu cầu

BYE và gửi đến UA 2 thông qua proxy

- Bước 15, 16: UA 2 nhận được yêu cầu BYE của UA 1, nó trả lời bằng đáp

ứng 200 (OK), đồng thời kết thúc cuộc gọi

f Đánh giá SIP

SIP là giao thức đề cử được tổ chức IETF đưa ra Nó ra đời với mục đích đơngiản hóa cơ chế báo hiệu và điều khiển cuộc gọi cho VoIP SIP là giao thức dạngtext, các lệnh SIP có cấu trúc đơn giản để các thiết bị đầu cuối dễ dàng phân tích vàsửa đổi

- Ưu điểm của SIP:

+ Tính mở rộng một cách tự nhiên của giao thức cho phép dễ dàngđịnh nghĩa và thi hành trong tương lai

+ Cho phép tạo các thiết bị đầu cuối một cách đơn giản và dễ dàng màvẫn đảm bảo chi phí thấp

- Nhược điểm của SIP:

+ SIP là giao thức rất mới, cần được tiếp tục hoàn thiện

+ Nó chỉ đề cập tới một phạm vi hẹp trong toàn bộ phiên truyền thôngnên cần phải được kết hợp với các giao thức khác trong quá trình xây dựng một hệthống hoàn chỉnh

+ Khả năng giao tiếp với mạng chuyển mạch kênh kém

1.2 Nguy cơ đối với hệ thống VoIP di động:

Vì VoIP dựa trên kết nối Internet nên nó có những điểm yếu với bất kỳ mối

đe dọa và các vấn đề gì mà máy tính của bạn phải đối mặt Công nghệ này cũng làmột công nghệ mới, vì vậy có nhiều tranh cãi về những tấn công có thể xảy ra, VoIP

có thể cũng bị tấn công bởi virus và mã nguy hiểm khác Các kẻ tấn công có thểchặn việc truyền thông, nghe trộm và thực hiện các tấn công giả mạo bằng việc thaotúng ID và làm hỏng dịch vụ của bạn Các hành động tiêu tốn lượng lớn các tàinguyên mạng như tải file, chơi chò trơi trực tuyến… cũng ảnh hưởng đến dịch vụVoIP

Ngoài những vấn đề trên ra, VoIP còn kế thừa những vấn đề chính trong việcđịnh tuyến trên kết nối băng thông rộng Không giống như các hệ thống điện thoạitruyền thống bạn có thể gọi cả khi mất điện trong hệ thống VoIP, nếu mất nguồnđiện thì VoIP cũng không thể thực hiện được cuộc gọi Ở đây cũng có vài vấn đềliên quan đó là các hệ thống bảo mật tại nhà hoặc số khẩn cấp có thể không làm việctheo như mong muốn

1.2.1 Các mối đe dọa đối với hệ thống VoIP:

Việc thoại và dữ liệu hội tụ trên cùng một dây, với bất kỳ giao thức nào được

sử dụng, là một vấn đề đối với các kỹ sư bảo mật và các nhà quản trị Hệ quả củavấn đề hội tụ này là các mạng chính có thể bị tấn công, kiến trúc viễn thông thôngtin của các tổ chức sẽ có thể gặp phải rủi ro nguy hiểm Vì vậy việc đảm bảo kiếntrúc cho toàn thể mạng VoIP đòi hỏi các kỹ sư quản trị mạng phải có kế hoạch, cókiến thức chi tiết và phải biết phân tích các tình huống trong từng trường hợp cụ thể

Bảng sau mô tả các cấp độ mà cấu trúc VoIP có thể bị tấn công:

Cấu trúc IP Điểm yếu này liên quan đến các hệ thống sử dụng mạng chuyển

mạch gói, nó làm ảnh hưởng đến cấu trúc hoạt động VoIP

Hệ điều hành Các thiết bị VoIP kế thừa các điểm yếu của hệ điều hành và các

firmware mà chúng chạy trên đó (windows và linux)Cấu hình Cấu hình mặc định của thiết bị VoIP luôn có những dịch vụ dư

thừa Và các port của các dịch vụ thừa này trở thành điểm yếu chocác tấn công DoS, tràn bộ đệm hoặc tránh sự xác thực…

Mức ứng dụng Các công nghệ mới còn non yếu có thể bị tấn công bẻ gãy hoặc

mất điều khiển đối với các dịch vụ

Bảng 1.4: Các cấp độ mà cấu trúc VoIP có thể bị tấn công

1.2.2 Một số phương thức tấn công mạng VoIP:

1.2.2.1 Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP

Dịch vụ internet là một chương trình chạy trên một host máy tính chờ đợimột kết nối từ khách hàng Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ.Đây là loại tấn công trực tiếp và chủ động Người tấn công không có ý định ăn cắpmột cái gì cả Anh ta chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng Nhưngkhông phải lúc nào dịch vụ không được tiếp cận là nguyên nhân của tấn công DoS

Nó có thể là nguyên nhân của cấu hình sai cũng như là nguyên nhân của việc sửdụng sai

Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụnày có thể gặp phần nào một số hậu quả khó khăn, ví dụ như một shop trực tuyến.Một tấn công DoS có thể là một trong ba loại sau đây:

- Đe doạ vật lý hoặc hay thay đổi các thành phần mạng

- Đe doạ hay thay đổi cấu hình thông tin

Tiêu thụ khó khăn, giới hạn hay không thể khôi phục nguồn tài nguyên Cácsửa đổi một phần kiến trúc phần cứng của hệ thống được xem như là truy cập đếnvùng của nó Một người tấn công chỉ có thể cố gắng phá hủy các phần cứng vật lýthông qua làm đổi hướng phần mềm Một tấn công DoS trên internet có thể chỉ làloại thứ hai hay thứ ba Sự thay đổi cấu hình thông tin cần phải truy cập đến hostmáy tính Điều này ám chỉ rằng người tấn công được quản lí hệ thống khi xâmphạm hệ thống Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên,chẳng hạn như băng thông dành cho dịch vụ internet Tác động của việc tấn công sẽlớn hơn nếu vị trí bị tấn công từ một vài host ở cùng một thời điểm Các biến thểcủa tấn công DoS được gọi là tấn công từ chối phân bổ của dịch vụ DDoS

Tấn công DoS có thể ảnh hưởng đến tất cả các dịch vụ trong mạng IP Hậuquả của tấn công DoS có thể làm giảm chất lượng dịch vụ hoặc nặng hơn có thể làmmất dịch vụ Ta có các loại tấn công như sau:

- DDoS (Distributed denial-of-service): đây là kiểu tấn công mà các gói tinlàm tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, được mô tả tronghình 1.10 và 1.11

Hình 1.10: Luồng trao đổi thông thường

Các luồng traffic trao đổi bình thường giữa các host và server bên trong vàngoài mạng Hình dưới cho thấy sự tấn công luồng traffic IP trực tiếp từ interfacecủa firewall

Hình 1.11: Luồng trao đổi bị tấn công DDoS

Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đãbiến mất trên internet trong vài giờ khi các server của họ bị làm tràn với hang trămngàn yêu cầu từ các trang web khác Điều này làm suy giảm băng thông và cácserver CPU không thể xử lý nổi

- DoS (Denial of Service): điều kiện tấn công DoS xảy ra khi thiết bị ở trongmạng nội bộ là cái đích của việc làm tràn ngập các gói, dẫn đến mất liên lạc giữacác phần trong cấu trúc mạng liên quan đến thiết bị đó Cũng giống như DoS ở trên,

các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên CPU Ví dụ một vài điện thoại IP sẽ ngừng hoạt động nếu chúng nhận các gói tin UDP lớn hơn

65534 bytes ở port 5060

Hình 1.12: Tấn công DoS làm ngừng hoạt động của điện thoại IP

Việc kiểm tra tính toàn vẹn và kể cả việc mã hóa cũng không thể ngăn chặnnhững tấn công này Đặc tính của tấn công DoS và DDoS là đơn giản bằng cách gửimột lượng lớn các gói tin đến máy nạn nhân Mặc dù các gói tin này có được đăng

ký với server hay không, nguồn địa chỉ IP là thật hay giả, hoặc được mã hóa vớimột key không có thật đi nữa thì việc tấn công vẫn có thể xảy ra

Tấn công DoS thật khó để chống lại bởi vì VoIP cũng chỉ là một trong nhữngdịch vụ trên mạng IP, nó cũng dễ bị tấn công như các dịch vụ trên mạng IP khác.Hơn nữa tấn công DoS có ảnh hưởng đặc biệt tới các dịch vụ như VoIP và các dịch

vụ thời gian thực khác, bởi vì các dịch vụ này rất “nhạy cảm” với trạng thái mạng.Virus và worm nằm trong danh sách gây nên tấn công DoS hay DDoS dựa trên việctăng lưu lượng mạng mà chúng tạo ra bằng cách tái tạo và nhân bản

Vậy chúng ta sẽ chống lại tấn công DoS như thế nào? Chúng ta bắt đầu bằngviệc tấn công DoS trong mạng nội bộ Ở hình trên thì VLAN 10 ở bên phải không

bị ảnh hưởng phá vỡ dịch vụ bởi VLAN 2 ở bên trái Với minh họa này thì ngườiquản trị bảo mật có thể ngăn cản tấn công DoS bằng cách chia mạng thành nhiềuphần Mỗi phần có thể “miễn dịch” với tấn công DoS với các phần còn lại

Điểm mấu chốt của chúng ta là sẽ làm giảm tấn công DoS một cách có hiệuquả Như ta đã biết, trong môi trường VoIP sự chứng thực bền vững ít khi được sửdụng Các thành phần thông điệp phải xử lý chính xác và các thông điệp xử lý cóthể là từ người tấn công Thêm vào đó việc xử lý những thông điệp giả sẽ làm suy

33kiệt nguồn tài nguyên của server, điều đó dẫn đến tấn công DoS Việc làm tràn ngậpcác thông điệp đăng ký SIP và H.323 là một ví dụ điển hình Trong trường hợp nàyserver có thể giảm nhẹ các nguy cơ tấn công bằng cách giới hạn số thông điệp đăng

ký mà nó sẽ xử lý trong thời gian cụ thể cho từng địa chỉ cụ thể (chẳng hạn là địachỉ IP) Và một hệ thống chống xâm nhập (Intrustion Prevention System-IPS) có thểhữu ích trong một số loại tấn công DoS nào đó

Thiết bị này nằm trên đường dữ liệu và giám sát lưu lượng di qua nó Khi cómột lưu lượng bất thường được phát hiện, IPS sẽ ngăn chặn lưu lượng bất thườngnày Một vấn đề nữa mà ta đã thấy với các thiết bị, đặc biệt là trong môi trường yêucầu lợi ích cao, là việc các thiết bị thỉnh thoảng ngăn chặn các lưu lượng bìnhthường Mà điều đó cũng có thể xem là một hình thức tấn công DoS

Hơn nữa, các nhà quản trị bảo mật có thể giảm thiểu đến mức tối đa nguy cơtấn công DoS bởi một điều chắc chắn là điện thoại IP và các server được cập nhậtcác phiên bản ổn định nhất điển hình là khi một cảnh báo tấn công DoS được công

bố, nhà sản xuất sẽ nhanh chóng vá các lỗi vừa phát hiện

Hệ thống VoIP đòi hỏi đặt ra yêu cầu dịch vụ phải chính xác Dưới đây làmột số ví dụ tấn công DoS gây ra có thể làm cho các dịch vụ VoIP mất đi một phầnhoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc gọi, ngắt cáccuộc gọi hoặc ngăn chặn các dịch vụ tương tự như là voice mail Chú ý là các kiểutấn công bên dưới này không bao hàm hết nhưng cũng minh họa một vài phiên bảntấn công

Khởi động lại kết nối TLS (TLS Connection Reset): nó không khó để tấncông khởi động lại một kết nối trên kết nối TLS (thường dùng cho báo hiệu bảo mậtgiữa thoại và gateway)- chỉ cần gửi đúng loại gói thì kết nối TLS sẽ bị khởi độnglại, làm gián đoạn kênh báo hiệu giữa điện thoại và call server

Tấn công chuyển tiếp các gói VoIP (VoIP packet relay Attack): bắt và gửi lạicác gói VoIP đến điểm cuối, cộng thêm việc trì hoãn tiến trình cuộc gọi sẽ làm giảmchất lượng cuộc gọi

Đường hầm dữ liệu (data tunneling): không chính xác là một sự tấn công,đúng hơn là tạo một đường hầm dữ liệu xuyên qua cuộc gọi vừa tạo, thực chất đây

là hình thức mới truy cập trái phép modem Việc vận chuyển tín hiệu modem thôngqua những gói tin mạng bằng phương pháp điều chế xung mã (PCM-Pulse CodeModulation) để mã hóa các gói hay là bằng cách đặt chúng trong các thông tinheader, VoIP có thể được dùng để hỗ trợ cuộc gọi từ modem qua mạng IP Kỹ thuật

34này được dùng để bỏ qua hay phá hoại chính sách của modem để bàn và che dấuviệc không được phép kết nối dữ liệu Điều này cũng tương tự như khái niệm “IPover HTTP”, một vấn đề kinh điển đối với tất cả các port mở trên firewall từ cácnguồn bên trong.

Tấn công thay đổi chất lượng dịch vụ (QoS Modification Attack): thay đổicác trường thông tin điều khiển các giao thức VoIP riêng biệt trong gói dữ liệuVoIP và từ điểm cuối làm giảm hoặc từ chối dịch vụ thoại Ví dụ, nếu một ngườitấn công đổi thẻ 802.1Q VLAN hoặc bit To Strong gói IP, cũng giống như là ngườiđứng giữa (man-in-the-middle) hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối,người tấn công có thể sẽ phá vỡ chất lượng dịch vụ của mạng VoIP Do lưu lượngthoại phụ thuộc vào lưu lượng dữ liệu nên về căn bản, kẻ tấn công có thể trì hoãnviệc phân phát các gói thoại

Sự tiêm các gói VoIP (VoIP packet Injection): tức là gửi các gói VoIP giảmạo đến điểm cuối, thêm vào đoạn thoại hay nhiễu hay khoảng lặng vào hoạt độngthoại Ví dụ khi RTP được dung mà không có sự xác thực của gói RTCP ( và cảkhông có sự lấy mẫu của SSRC), kẻ tấn công có thể tiêm thêm các gói RTCP vàonhóm multicast với SSCR khác, mà điều này có thể làm tăng số lượng nhóm theohàm mũ

Tấn công DoS vào các dịch vụ bổ xung (DoS against supplementaryservices): khởi đầu tấn công DoS là chống lại các dịch vụ mạng khác mà dịch vụVoIP có mối liên hệ ( ví dụ: DHCP, DNS, BOOTP) Ví dụ trong mạng mà đầu cuốiVoIP dựa vào địa chỉ đăng ký DHCP, làm mất khả năng của DHCP server ngănchặn điểm cuối lấy được địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch

vụ VoIP

Tràn ngập các gói điều khiển: (Control Packet Flood) : làm tràn ngập VoIPserver hoặc đầu cuối với những gói điều khiển cuộc gọi không rõ nguồn gốc (ví dụtrong H.323, các gói GRQ, RRQ, URQ sẽ được gửi đến UDP/1719) Mục đích của

kẻ tấn công là làm suy yếu thiết bị hệ thống hoặc tài nguyên mạng Do đó không thểdung các dịch vụ VoIP Bất kể các port mở trong tiến trình cuộc gọi và VoIP serverlien quan có thể trở thành mục tiêu của kiểu tấn công DoS này

Tấn công DoS Wireless (Wireless DoS) cách này sẽ tấn công vào đầu cuốiVoIP Wireless bằng cách gửi những frame 802.11 hoặc 802.1X để ngắt các kết nối

Ví dụ tấn công Message Integrity sẽ làm cho access point cách ly các trạm khi nónhận 2 frame không hợp lệ trong vòng 60 giây Dẫn đến mất kết nối này trong vòng

Gói tin không hợp lệ (Invalid Packet DoS): gửi đến VoIP server và đầu cuốinhững gói không hợp lệ để khai thác hệ điều hành thiết bị và TCP/IP để thực hiện từchối dịch vụ CVEs Theo sự mô tả của CAN-2002-0880, dùng jolt có thể bẻ gãyCisco IP phone và sự phân đoạn thong thường dựa trên các phương thức DoS khác.

Sự thực thi giao thức VoIP (VoIP Protocol Implementation) : gửi đến serverVoIP hoặc đầu cuối những gói tin không hợp lệ để có thể khai thác những điểm yếutrong sự thực thi giao thức VoIP và tạo nên tấn công DoS Ví dụ, CVE-2001-00546

đề cập đến việc sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA củaWindow CAN-2004-0056 sử dụng các gói H.323 như trên để khai thác điểm yếucủa Nortel BCM Nếu như không thường xuyên cập nhập phần mềm một cách hợp

lý thì sẽ tăng rủi ro cho hệ thống

Packet of Death DoS: làm tràn ngập VoIP server hoặc đầu cuối với nhữnggói hoặc những phân đoạn TCP, UDP, ICMP ngẫu nhiên nhằm làm suy hao CPUthiết bị cũng như băng thông, phiên TCP… Ví dụ khi gửi một số lượng gói TCP với

sự ưu tiên phân phát Trong quá trình tràn ngập này làm tăng sự xử lý, can thiệp vàotải so với khả năng của hệ thống nhận, để xử lý lưu lượng thật, và kết quả ban đầu làlàm trì hoãn lưu lượng, sau cùng là đập vỡ hoàn toàn lưu lượng

1.2.2.2 Một số cách tấn công chặn và cướp cuộc gọi:

a Tấn công Replay:

Tấn công replay là tấn công chủ động hướng về nghi thức Đặc trưng củangười tấn công này giành được gói dữ liệu gởi hoặc nhận đến host Anh ta sửa đổichúng và sử dụng lại để truy cập vào một số dịch vụ nào đó Một ví dụ tương ứngvới loại thoại IP là người tấn công đạt được trong tay các gói dữ liệu gởi từ một user

có quyền để thiết lập cuộc gọi và gởi lại chúng sau khi đã sửa đổi địa chỉ nguồn và

IP Nó có thể bị ngăn chặn bằng cách thực thi hai dịch vụ bảo mật nhận thực thựcthể ngang hàng (peer entity authencation) và tính toàn vẹn dữ liệu (data intergrity)

b Tấn công tràn bộ đệm

36Đây là phương thức tấn công phổ biến Đây là kết quả chính của việc pháttriển phần mềm không đúng lúc Kỹ thuật này lợi dụng trên thực tế là có một vàilệnh không kiểm tra đầu vào dữ liệu Chúng được ứng dụng đặc biệt để xâu chuỗi

xử lý các lệnh Quá trình gia nhập với nhiều đầu vào, các lệnh hay là các chươngtrình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên Nội dung của bộ nhớ này

có thể bắt đầu hoặc quay trở lại địa chỉ của các chương trình subroutine Trườnghợp xấu nhất người tấn công có thể thêm vào đoạn code hiểm để cung cấp cho cácquyền quản lí của hệ thống Biện pháp đối phó là huỷ tất cả các code “yếu”, chínhcác lỗ hỗng nhận thức được chứa trong các hệ thống hoạt động và các chương trìnhngôn ngữ

c Tấn công man in the middle

Trong tấn công man in the middle người tấn công quản lý để cắt đứt kết nốigiữa hai bên gọi Cả hai bên tham gia kết nối này đều nghĩ rằng chúng truyền thôngvới nhau Thực tế, tất cả các dữ liệu được định tuyến qua người tấn công Hacker đãhoàn thành việc truy cập để thay thế các dữ liệu bên trong Hacker có thể đọcchúng, thay đổi chúng hoặc và gửi chúng như là dữ liệu Thực tế hacker được xácđịnh ở vị trí ở giữa của hai bên truyền thông mang lại cho người tấn công tên củahai bên truyền thông Một ví dụ cho tấn công này là thiết lập của việc bảo đảm kếtnối được sử dụng bởi bảo mật lớp dữ liệu Điểm yếu của TLS là nguyên nhân củaviệc thiết lập phiên này Ở đây hai bên truyền thông có thể trao đổi hai khóa Khóanày được đổi có khả năng làm cho người tấn công có thể ở giữa hai bên truyềnthông

d Chặn và đánh cắp cuộc gọi

Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng VoIP, địnhnghĩa nghe lén có nghĩa là một người tấn công có thể giám sát toàn bộ báo hiệuhoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhưng không thể biến đổi dữliệu Đánh cắp cuộc gọi thành công tương tự như việc nghe trộm trên dây nối, cuộcgọi của hai bên có thể bị đánh cắp, ghi lại, và nghe lại mà hai bên không hề biết Rõràng người tấn công mà có thể đánh chặn và chứa dữ liệu này có thể sử dụng dữ liệunày cho mục đích khác phục vụ cho mục đích

e Đầu độc DNS

Một hồ sơ DNS A được sử dụng cho việc chứa các domain hay hostnameánh xạ thành địa chỉ IP SIP tạo ra việc sử dụng rộng rãi hồ sơ SRV để xác định cácdịch vụ SIP như là SIP uỷ quyền và đăng nhập Các hồ sơ SRV thường bắt đầu với