DATN-Bao mat VoIP_2

Với những kiến thức lý thuyết và thực nghiệm được lĩnh hội từ các thầy cô, bạn bè và sự sáng tạo của bản thân nhóm trong quá trình thực hiện đồ án “Bảo mật hệ thống VoIP”, nhóm thực hiệ

PHẦN A: GIỚI THIỆU

LỜI CẢM ƠN

Qua thời gian học tập tại trường Đại học Sư phạm Kỹ thuật TPHCM, nhóm

thực hiện đề tài được học hỏi và tiếp thu nhiều kiến thức mới từ sự chỉ bảo tận tình

của quý Thầy Cô và sự giúp đỡ của bạn bè Đây là khoảng thời gian đầy ý nghĩa đối

với nhóm

Để hoàn thành Đồ Án Tốt Nghiệp đúng thời hạn nhóm thực hiện đồ án xin

chân thành cảm ơn Ths Phan Thanh Toản, người đã tận tình hướng dẫn và đưa ra

những lời khuyên quý báu để đồ án của nhóm hoàn thành đúng thời hạn Đồng thời

nhóm thực hiện đồ án cũng xin cảm ơn các thầy, cô trong bộ môn Viễn Thông thuộc

khoa Điện – Điện tử trường Đại học Sư Phạm Kỹ Thuật TP Hồ Chí Minh đã truyền

đạt những kiến thức quý báu trong quá trình học tập tại trường

Để quyển đồ án này hoàn thành còn có sự hỗ trợ và đóng góp không nhỏ từ

phía gia đình và tập thể lớp 071170 về phương diện vật chất lẫn tinh thần và nhóm

thực hiện đồ án vô cùng trân trọng và biết ơn với những sự đóng góp đó

Tuy nhiên, do thời gian và kiến thức có hạn nên đồ án chắc chắn không thể

tránh khỏi những thiếu sót, nhóm thực hiện đề tài rất mong được sự đóng góp ý kiến

của các thầy, các cô và toàn thể các bạn Một lần nữa xin cảm ơn tất cả mọi người

với lòng biết ơn chân thành và sâu sắc nhất!

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT

Họ và tên sinh viên: Nguyễn Duy Khang MSSV: 07117025

Ngành: Công Nghệ Điện Tử Viễn Thông

1) Cơ sở ban đầu:

Kiến thức về hệ thống viễn thông và mạng máy tính

- Các thông tin quan trọng về VoIP

- Kiến thức về bảo mật hệ thống mạng

- Kiến thức về nguyên lý hoạt động các tổng đài, điện thoại

- Kiến thức về cấu tạo, nguyên lý hoạt động các thiết bị mạng: router,

switch, hub, firewall

2) Nội dung các phần thuyết minh và tính toán:

- Thuật ngữ VoIP, các giao thức VoIP

- Các cơ chế bảo mật và các lỗ hổng bảo mật

- Các mối đe dọa tấn công mạng VoIP

- Các kiểu tấn công vào mạng VoIP

- Các giải pháp ngăn chặn các cuộc tấn công VoIP

- Các công nghệ nâng cao độ bảo mật mạng VoIP

3) Các bản vẽ:

4) Giáo viên hướng dẫn: ThS Phan Thanh Toản

5) Ngày giao nhiệm vụ: 27/9/2011

6) Ngày hoàn thành nhiệm vụ: 5/2/2012

Giáo viên hướng dẫn Ngày….tháng năm 2012

PHAN THANH TOẢN

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Tp Hồ Chí Minh, tháng năm 2012

Giáo viên hướng dẫn

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

Tp Hồ Chí Minh, tháng năm 2012

Giáo viên phản biện

LỜI NÓI ĐẦU

Ngày nay với sự phát triển chóng mặt của công nghệ viễn thông đã và đang mang lại những lợi ích cho người dùng Một trong những công nghệ được nhắc đến nhiều đó là VoIP là một công nghệ thoại qua mạng Internet Với chi phí thấp và sự mềm dẻo trong kiến trúc là những lợi thế rất lớn của VoIP đối với người dùng nói chung và các doanh nghiệp nói riêng Cũng vì lý do đó mà VoIP đang trở thành một công nghệ rất phổ biến Tuy nhiên, để thiết lập một hệ thống VoIP thì bên cạnh việc xem xét nó về mặt chất lượng dịch vụ (QoS) thì cũng cần phải tính đến bảo mật cho

hệ thống VoIP Việc tích hợp các dịch vụ thoại, dữ liệu, video… trên cùng một hạ tầng mạng IP đã mang đến nhiều nguy cơ tiềm ẩn về bảo mật Không chỉ do mạng

IP là một mạng công cộng có nguy cơ bị tấn công rất lớn mà bản thân các giao thức VoIP cũng có những nguy cơ về bảo mật

Xuất phát từ những ý tưởng đó nhóm thực hiện đề tài xin chọn hướng nghiên

cứu với tên gọi đề tài là Bảo Mật Hệ Thống VoIP, trong giới hạn của đề tài nhóm

chỉ thực hiện những nghiên cứu như sau:

Chương 1: Tổng Quan Hệ Thống VoIP - Trong chương này nhóm thực

hiện đề tài nghiên cứu tổng quan hệ thống VoIP, các thành phần cơ bản và nguyên

lý làm việc của hệ thống VoIP

Chương 2: Các Giao Thức Báo Hiệu Trong VoIP - Nghiên cứu về các

giao thức báo hiệu thường dùng trong mạng VoIP đó là giao thức H323 và giao thức SIP

Chương 3: Các Mối Đe Dọa Đối Với Hệ Thống VoIP - Nghiên cứu về các

mối đe dọa trong giao thức SIP, giao thức H323 và các mối đe dọa trong môi trường mạng IP

Chương 4: Các Giải Pháp Bảo Mật Cho Hệ Thống VoIP – Trong chương

này nhóm thực hiện đề tài nghiên cứu về các giao thức bảo mật cho hệ thống VoIP trong các giao thức SIP, giao thức H323 và giao thức bảo mật hệ thống VoIP trong môi trường mạng IP như IPSec, VPN, Vlan …

Chương 5: Mô Phỏng Tấn Công và Bảo Mật Cho Hệ Thống VoIP –

Trong chương này nhóm thực hiện đề tài sẽ tiến hành xây dựng mô hình mạng và tiến hành mô phỏng về cách thức tấn công nghe lén trong hệ thống VoIP

Chương 6: Kết Luận Và Hướng Phát Triển Của Đề Tài – Trong chương

này nhóm thực hiện đề tài tiến hành kết luận những việc đã làm và chưa làm được của đề tài, đồng thời nhóm thực hiện đề tài nêu ra các hướng phát triển của đề tài

MỤC LỤC

PHẦN A: GIỚI THIỆU i

LỜI CẢM ƠN ii

QUYẾT ĐỊNH GIAO ĐỀ TÀI iii

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN iv

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN v

LỜI NÓI ĐẦU vi

LIỆT KÊ HÌNH xiii

LIỆT KÊ BẢNG xvi

THUẬT NGỮ VIẾT TẮT xvii

TÓM TẮT ĐỒ ÁN xxii

ABSTRACT xxiii

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG VoIP 1

1.1 Giới Thiệu 1

1.2 Khái niệm về VoIP 1

1.2.1 Thoại qua Internet Protocol là gì 1

1.2.2 Các thành phần của mạng VoIP 1

1.2.3 Các kiểu mô hình kết nối 2

1.3 Nguyên lý làm việc của VoIP 2

1.3.1 Lấy mẫu 3

1.3.2 Lượng tử hóa 3

1.3.3 Mã hóa 4

1.3.4 Nén giọng nói 4

1.4 Ưu nhược điểm của mạng VoIP 4

1.4.1 Ưu điểm mạng VoIP 4

1.4.2 Nhược điểm mạng VoIP 5

CHƯƠNG 2: CÁC GIAO THỨC BÁO HIỆU TRONG VoIP 7

2.1 Giao thức H.323 7

2.1.1 Tổng quan về giao thức H.323 7

2.1.2 Các thành phần chính của giao thức H.323 7

2.1.2.1 Terminal 7

2.1.2.2 Gateway 8

2.1.2.3 Gakekeeper (GK) 8

2.1.2.4 Đơn vị điều khiển liên kết đa điểm Multipoint Control Unit –

MCU 10

2.1.2.5 H.323 Zone 11

2.1.3 Các kênh điều khiển trong H.323 12

2.1.3.1 Báo hiệu H.225 RAS (Registration, Admissions and Status) 12

2.1.3.2 Báo hiệu điều khiển cuộc gọi H.225 13

2.1.3.3 Giao thức báo hiệu điều khiển cuộc gọi H.245 14

2.1.4 Các thủ tục báo hiệu trong H.323 15

2.1.4.1 Thiết lập cuộc gọi 15

2.1.4.2 Thiết lập kênh điều khiển 16

2.1.4.3 Thiết lập kênh truyền thông 17

2.1.4.4 Dịch vụ cuộc gọi 17

2.1.4.5 Kết thúc cuộc gọi 17

2.2 Giao thức Session Initiation Protocol - SIP 19

2.2.1 Tổng quan về giao thức SIP 19

2.2.1.1 Sự phát triển của giao thức SIP 19

2.2.1.2 Khái niệm về giao thức SIP 20

2.2.2 Kiến trúc giao thức SIP 21

2.2.2.1 Các thành phần trong mạng SIP 21

2.2.2.2 Các loại bản tin sử dụng trong mạng SIP 24

2.2.2.3 Các loại phiên kết nối người dùng trong mạng SIP 26

2.2.2.3.1 Phiên kết nối giữa hai đầu cuối có sự tham gia của Server 26

2.2.2.3.2 Phiên kết nối giữa hai đầu cuối không có sự tham gia của

Server 27

2.3 So sánh hai giao thức SIP và H323 28

2.4 Giao thức vận chuyển RTP và RTCP 31

2.4.1 Giao thức RTP 31

2.4.2 Cấu trúc gói tin RTP 32

2.4.3 Giao thức RTCP 33

2.4.4 Cấu trúc gói tin RTCP 35

CHƯƠNG 3: CÁC MỐI ĐE DỌA ĐỐI VỚI HỆ THỐNG VoIP 36

3.1 Mối đe dọa trong giao thức SIP 36

3.1.1 Chiếm quyền đăng kí 36

3.1.2 IP Spoofing – Call Fraud 37

3.1.3 Giả dạng Proxy 37

3.1.4 Message Tampering 38

3.1.5 Kết thúc session 38

3.2 Mối đe dọa trong giao thức H.323 38

3.2.1 Can thiệp về thông tin tính cước 38

3.2.2 Cuộc gọi trực tiếp 39

3.2.3 Giả dạng đầu cuối 39

3.2.4 Giả dạng GK 39

3.3 Mối đe dọa trong môi trường mạng 40

3.3.1 ARP - Address Resolution Protocol 40

3.3.2 DoS – Denial of Service Tấn công từ chối dịch vụ 43

3.3.2.1 Tấn công chiếm hết băng thông kết nối tới Server 43

3.3.2.2 Tấn công nhằm làm cạn kiệt nguồn tài nguyên của Server 43

3.3.2.3 DDoS - Distributed DoS 44

3.3.2.4 Spam VoIP 44

CHƯƠNG 4: CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG VoIP 46

4.1 Bảo mật cho giao thức H.323 46

4.1.1 H235 version 2 46

4.1.2 Annex D – Baseline security profile 46

4.1.3 Annex E – Signature security profile 47

4.1.4 Annex F- Signature hybird security profile 48

4.2 Bảo mật cho giao thức SIP 48

4.2.1 TLS trao đổi khóa và bảo mật cho các gói tin báo hiệu 48

4.2.2 SRTP Bảo mật cho gói tin thoại/video 50

4.2.3 Replay protection 51

4.2.4 S/MIME: Chứng thực bản tin 51

4.3 Các mô hình bảo mật cho hệ thống VoIP 53

4.3.1 Network Address Translation - NAT 53

4.3.2 Firewalls 54

4.3.3 Intrusion Detection System- IDS 56

4.3.4 VPN IPSEC 59

4.3.5 VLAN 65

CHƯƠNG 5: MÔ PHỎNG TẤN CÔNG VÀ BẢO MẬT HỆ THỐNG VoIP 68

5.1 Mô phỏng tấn công VoIP trong mạng LAN 68

5.1.1 Tấn công nghe lén VoIP trong mạng LAN và ghi âm cuộc gọi 68

5.1.2 Tấn công DoS từ một máy tấn công đến mục tiêu là Trixbox 72

5.2 Mô phỏng bảo mật trong hệ thống VoIP 76

5.2.1 Xây dựng mạng VoIP và thực hiện cuộc gọi VoIP 76

5.2.2 Thực trạng mạng VoIP khi chưa được bảo mật bằng VPN IPSEC 77

5.2.3 Giải pháp bảo mật cho mạng VoIP dựa trên công nghệ VPN IP SEC 79 5.2.4 Thực trạng mạng sau khi áp dụng bảo mật bằng công nghệ VPN IPSEC 80

5.3 Cách phòng chống tấn công nghe lén VoIP trong mạng Lan 82

5.3.1 Giới thiệu mô hình mạng 82

5.3.2 Thực trạng mạng VoIP trong Lan khi chưa áp dụng bảo mật bằng ARP tĩnh 84

5.3.3 Áp dụng bảo mật mạng LAN bằng phương pháp ARP tĩnh 91

5.3.4 Ưu điểm và hạn chế của phương pháp bảo mật ARP tĩnh 95

CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 96

6.1 Những việc đã thực hiện 96

6.2 Những việc chưa thực hiện 97

6.3 Hướng phát triển đề tài 97

PHỤ LỤC A: Mô Phỏng Tấn Công VoIP Trong Mạng LAN 98

A.1 Tấn công nghe lén VoIP trong mạng LAN và ghi âm cuộc gọi 103

A.2 Tấn công DoS từ một máy tấn công đến mục tiêu là Trixbox 107

PHỤ LỤC B: Cấu Hình Cuộc Gọi Trong Mô Phỏng Bảo Mật Nghe Lén 111

PHỤ LỤC C: Xây Dựng Mô Hình Bảo Mật VoIP Ứng Dụng VPN-IPSec 116

TÀI LIỆU THAM KHẢO 123

LIỆT KÊ HÌNH

Hình 1.1: Quá trình lấy mẫu 3

Hình 1-2: Quá trình lượng tử hóa 3

Hình 2-1: Các thành phần của H.323 7

Hình 2-2: Báo hiệu trực tiếp 10

Hình 2-3: Báo hiệu thông qua GK 10

Hình 2-4: H.323 Zone 11

Hình 2-5: Quá trình kết thúc cuộc gọi có sự tham gia của GK 18

Hình 2-6: Kết thúc cuộc gọi bắt đầu từ GK 19

Hình 2-7: Kiến trúc mạng báo hiệu SIP 21

Hình 2.8: Chức năng của Proxy server 23

Hình 2-9: Chức năng của Redirect Server 23

Hình 2-10: Quá trình trao đổi bản tin 25

Hình 2-11: Kết nối có sự tham gia của server 26

Hình 2-12: Kết nối không có sự tham gia của server 27

Hình 2-13: Vị trí giao thức RTP trong mô hình TCP-IP 32

Hình 2-14: Cấu trúc gói tin RTP 32

Hình 2-15: Sự truyền nhận các gói RTP và RTCP 34

Hình 2-16: Cấu trúc gói tin RTCP 35

Hình 3-1: Tấn công bằng bản tin đăng ký 36

Hình 3-2: Giả dạng Proxy 37

Hình 3-3: ARP spoofing 41

Hình 3-4: ARP redirection 42

Hình 3-5: Tấn công DoS phân tán 44

Hình 4-1: Các lớp bảo mật hỗ trợ cho các giao thức của SIP 48

Hình 4-2: Quá trình bắt tay giữa client và server trong SSL 49

Hình 4-3: Dữ liệu lớp trên đóng gói bởi TLS/SSL 50

Hình 4-4: Chống ghi lại bằng Sliding Window 51

Hình 4-5: Quá trình gửi bản tin của S/MIME 52

Hình 4-6: Điện thoại IP phía sau NAT và Firewall 54

Hình 4-7: Vị trí của IDS trong hệ thống 56

Hình 4-8: Mạng bảo mật theo kiểu NIDS 57

Hình 4-9: Mạng bảo mật theo kiểu HIDS 59

Hình 4-10: Tổng quan VPN 60

Hình 4-11: Client-to-LAN VPN 60

Hình 4-12: LAN-to-LAN VPN 61

Hình 4-13: So sánh IP header của Tunnel mode và Transport mode 62

Hình 4-14: Cấu trúc L2PT 63

Hình 4-15: Chứng thực và mã hóa của AH và ASP 64

Hình 4-16: Cấu trúc gói IPsec ở transport mode 64

Hình 4-17: Cấu trúc gói IPsec ở tunnel mode 65

Hình 4-18: VLAN 66

Hình 4-19: VLAN phân theo chức năng 66

Hình 5-1: Mô hình tấn công VoIP trong mạng LAN 68

Hình 5-2: Giao diện của Wireshark 69

Hình 5-3: Chọn Interface để tiến hành bắt gói 69

Hình 5-4: Quá trình cuộc gọi diễn ra giữa hai điện thoại đầu cuối 70

Hình 5-5: Vào chế độ phân tích cuộc gọi trong Wireshark 70

Hình 5-6: Các cuộc gọi đã diễn ra 71

Hình 5-7: Quá trình phân tích thông tin thoại 71

Hình 5-8: Quá trình bắt tay giữa hai đầu cuối dùng giao thức SIP 72

Hình 5-9: Giao diện của Digital Blaster 72

Hình 5-10: Thiết lập quá trình tấn công DOS 73

Hình 5-11: Phân tích gói tin của tấn công DOS 74

Hình 5-12: Nội dung gói tin của cuộc tấn công DOS 74

Hình 5-13: Giao diện web của Trixbox trước khi xảy ra cuộc tấn công DOS 75

Hình 5-14: Giao diện web của Trixbox sau khi xảy ra cuộc tấn công DOS 75

Hình 5-15: Mô hình mạng triển khai xây dựng 76

Hình 5-16: Mô hình mạng VoIP có sự hiện diện của Attacker 77

Hình 5-17: Mô hình mô phỏng trên GNS3 77

Hình 5-18: Các gói tin khi chưa được bảo mật 78

Hình 5-19: Cuộc nói chuyện đang được Attacker ghi âm 79

Hình 5-20: Các gói tin sau khi được bảo mật bằng VPN 80

Hình 5-21: Cửa sổ ghi âm cuộc gọi của phần mềm Cain & Abel 81

Hình 5-22: Mô hình mạng tấn công trong Lan của Attacker 82

Hình 5-23: Mô hình mạng xây dựng trong phần mềm mô phỏng GNS3 82

Hình 5-23: Máy đầu cuối 1 đang gọi tới máy đầu cuối 2 86

Hình 5-24: Chuông báo có cuộc gọi ở máy đầu cuối 2 87

Hình 5-25: Tool Cain & Abel đang thực hiện đầu độc ARP (ARP Ponsoning) của hai máy tính đầu cuối .87

Hình 5-26: Phân tích các gói tin SIP 88

Hình 5-27: Wireshark phân tích các gói tin RTP 89

Hình 5-28: Cuộc gọi đang được ATTACKER ghi âm 90

Hình 5-29: Bảng ARP máy 1 trước và sau tấn công 90

Hình 5-30: Bảng ARP máy 2 trước và sau tấn công 91

Hình 5-31: Đặt ARP tĩnh cho máy đầu cuối 1 91

Hình 5-32: Đặt ARP tĩnh cho máy đầu cuối 2 92

Hình 5-33: Cain & Abel đầu độc ARP không thành công 93

Hình5-34: Wireshark không bắt được các gói tin VoIP 94

Hình 5-35: Attacker không thể ghi âm cuộc nói chuyện của hai máy đầu cuối 94

LIỆT KÊ BẢNG

Bảng 2-1: Các bản tin RAS 13

Bảng 2-2: Ý nghĩa cấu trúc các bản tin H245 15

Bảng 2-3: Bảng so sánh SIP và H323 30

Bảng 4-1: Baseline security profile 47

Bảng 4-2: Signature security profile 47

Bảng 4-3: Các hỗ trợ bảo mật cho SIP 48

ASN.1 Abstract Syntax Notation Number 1 Phiên bản chú giải cú

CCITT Consultative Committee for International

Telephone and Telegraph

Ủy ban tư vấn quốc tế điện tín và điện thoại

B

C

CAM Content Addressable Memory Bộ nhớ nội dung địa chỉ

CDR Call Detail Record Bản ghi chi tiết cuộc gọi

CPIM The Common Presence and Instant Message

CPU Control Proccessing Unit Bộ điều khiển xử lý

CRC Cyclic Redundancy Check Kiểm tra độ dư vòng

D

DDoS Distributed Denial-of-Service Từ chối dịch vụ kiểu

phân tán

DH Diffie Hellman Thuật toán thỏa thuận

khóa

E

EAP Extensible Authentication Protocol Giao thức chứng thực có

khả năng mở rộng

ESP Encapsuating Security Payload Đóng gói bảo mật tải dữ

IP PBX IP Private Exchange Branch Tổng đài IP

ISDN Integrated Services Digital Network Mạng số liên kết dịch vụ

ITU-T International Telecomunication Union Tổ chức viễn thông quốc

MIC Message Integrity Check Kiểm tra tính nguyên

vẹn của tin báo

MIKEY Multimedia Internet Keying Khóa Internet đa truyền

thông

MIME Multipurpose Internet Extension Sự mở rộng thư tín

Internet đa năng MTU Maximum Transmission Unit Bộ truyền dẫn cực đại

N

NAPT Network Address Port Translation

NAT Network Address Translation Phân giải địa chỉ mạng

O

OSI Open System Interconnection Hệ thống liên kết nối mở

P

PKI Public Key Infrastructure Phương thức mã hóa

công khai PPP Point to Point Protocol Giao thức điểm-điểm

PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm

SIP Session Initiation Protocol Giao thức khởi tạo phiên

SNMP Simple Network Management Protocol Giao thức quản lý mạng

SSL Secure Socket Layer Lớp ổ cắm bảo mật

SSRC Synchronization Source RC Nguồn đồng bộ RC

STUN Simple Traversal of UDP Through NAT Thiết lập UDP thông qua

NAT

T

TCP Transmission Control Protocol Giao thức điều khiển

truyền dẫn TEK Traffic Encryption Keying Khóa mã hóa lưu lượng

TKIP Temportal Key Integrity Protocol

TURN Traversal Using Relay NAT Chuyển dịch sử dụng

NAT chuyển tiếp

U

UDP User Datagram Protocol Giao thức gói dữ liệu

rộng

TÓM TẮT ĐỒ ÁN

VoIP là một trong những dịch vụ đang phát triển nhanh nhất của mạng Internet và đang dần thay thế thoại truyền thống Tuy nhiên những vấn đề gặp phải khi chuyển từ thoại truyền thống sang VoIP là vấn đề về chất lượng dịch vụ và tính bảo mật, bởi vì mạng Internet thường tồn tại những mối nguy hiểm và rủi ro hơn so với mạng thoại truyền thống

Những vấn đề liên quan đến bảo mật được trình bày như bảo mật cho các giao thức VoIP, bảo mật cơ sở hạ tầng mạng và các dịch vụ mạng VoIP Đồ án nghiên cứu phân tích các kiểu tấn công thường xảy ra trong mạng như các loại hình tấn công và mức độ nguy hiểm, sau đó là các đề xuất giải pháp bảo mật nhằm giải quyết các kiểu tấn công như các giải pháp về xác thực người dùng, các giải pháp về

mã hóa để tăng khả năng xác thực chống lại tấn công đánh cắp các thông tin và cuộc gọi

Ngoài ra đồ án cũng tiến hành mô phỏng các cuộc tấn công xảy ra trong mạng VoIP như tấn công DoS và tấn công nghe lén các thông tin trong mạng, đây là những kiểu tấn công phổ biến và cũng gây nhiều nguy hiểm cho mạng VoIP Bên cạnh việc mô phỏng các kiểu tấn công, nhóm thực hiện đồ án cũng tìm hiểu nghiên cứu để tiến hành mô phỏng một số công nghệ bảo mật như VPN IPSEC và thiết lập bảng ARP tĩnh để bảo vệ mạng VoIP trước các kiểu tấn công thường xảy ra trong mạng từ đó giúp mạng nâng cao độ bảo mật và an toàn hơn khi hoạt động trong môi trường mạng Lan và mạng Internet

VoIP với những ưu điểm nổi trội đang trở thành một công nghệ thoại đầy tiềm năng trong hiện tại và tương lai, vì vậy yếu tố về bảo mật là vô cùng quan trọng để mạng có thể đạt được sự tin cậy đối với khách hàng sử dụng Với những kiến thức lý thuyết và thực nghiệm được lĩnh hội từ các thầy cô, bạn bè và sự sáng

tạo của bản thân nhóm trong quá trình thực hiện đồ án “Bảo mật hệ thống VoIP”,

nhóm thực hiện đồ án hy vọng rằng đồ án sẽ đóng góp một phần nhỏ bé vào kho tàng kiến thức chung về mạng VoIP nói chung và khía cạnh về bảo mật mạng VoIP nói riêng

ABSTRACT

Voice over IP is one of the quickest developing Internet services and slowly replaces traditional telephony However, while moving telephony to the public IP platform broadens its service capabilities, some security problems may occur It is because the amount of threats existing in Internet network is much bigger than in case of traditional telephone networks

The issues about security are researched as security for VoIP protocols, infrastructure and services of VoIP network The analyst in some attacks that occuring routine in VoIP network like kind of attacks and dangerous level of them And then, the solutions is proposed to handle attacks as the solutions about indentified user, encryption in order to raise security, against the risks and threats in call eavesdrop, call hijack of VoIP network

In addtion, the DoS simulation and man in the middle attack simulation are carried out They are popular attacks and causing many threats and dangers to VoIP network Besides, the simulations in secure solutions as VPN IPSEC and set up static ARP table modulation are also carried out The secure solutions are simulated

to raise safe, secure level for VoIP system when working in Lan and Internet network

VoIP with many advantages is getting become potential telephony technology now and in feature, so secure issues are so important for VoIP in order to get the trust from clients With theory and experience knowledge that be studied, digested from teachers and friends along with the creation of personal during the time carry out

“VoIP system security” project, hoping this project will contribute to knowledge in VoIP field in general and knowledge in VoIP Security im particular

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG VoIP

1.1 Giới Thiệu

Ngày nay mạng điện thoại công cộng đã tồn tại khắp nơi trên thế giới, chất lượng hoàn hảo nhưng giá thành vẫn còn khá cao nhất là cước phí dành cho điện thoại đường dài và khả năng tận dụng băng thông của nó vẫn còn thấp, do lưu lượng

dữ liệu phát triển nhanh hơn lưu lượng thoại nên cần nghiên cứu việc truyền tín hiệu thoại trên mạng dữ liệu từ đó dẫn đến sự ra đời của VoIP

VoIP là truyền thông tin thoại bằng cách sử dụng giao thức Internet (IP), nó đặc biệt hấp dẫn bởi giá thành thấp Điện thoại chất lượng tốt qua IP đã trở thành một bước chính dẫn đến sự hội tụ công nghệ truyền thông dữ liệu, thoại và video

Sự mềm dẻo của việc mang các bản tin báo hiệu và thoại trên Internet đã được thực

tế chứng minh

1.2 Khái niệm về VoIP

1.2.1 Thoại qua Internet Protocol là gì ?

VoIP nghĩa là bên gửi sẽ truyền dẫn lưu lượng thoại dưới dạng gói thông qua mạng IP để đến được bên nhận, có nhiều thuật ngữ để mô tả như thoại trên giao thức Internet, điện thoại IP, điện thoại dải rộng (Broadband telephony)…

Công nghệ VoIP cũng không hoàn toàn khác với điện thoại thông thường Đầu tiên, tín hiệu thoại được số hóa, nhưng sau đó thay vì truyền trên mạng PSTN qua các trường chuyển mạch, tín hiệu thoại sẽ được nén xuống tốc độ thấp rồi thực hiện đóng gói và truyền qua mạng IP Tại bên thu, các luồng thoại sẽ được giải nén thành các luồng PCM 64 rồi truyền tới thuê bao bị gọi

Có 3 loại gateway là:

• Gateway truyền tải kênh thoại

• Gateway điều khiển truyền tải kênh thoại

• Gateway báo hiệu

Gatekeeper: có thể xem Gatekeeper như là bộ não của hệ thống mạng điện thoại IP Nó cung cấp chức năng quản lý cuộc gọi một cách tập trung và một số các dịch vụ quan trọng khác như nhận dạng các đầu cuối và gateway, quản lý băng thông, chuyển đổi địa chỉ (từ địa chỉ IP sang địa chỉ E.164 và ngược lại), đăng ký hay tính cước Mỗi Gatekeeper sẽ quản lý một vùng bao gồm các đầu cuối đã đăng

ký, nhưng cũng có thể nhiều Gatekeeper cùng quản lý một vùng trong trường hợp một vùng có nhiều Gatekeeper

1.2.3 Các kiểu mô hình kết nối

• Phone to Phone: gọi giữa 2 máy điện thoại Nếu 2 máy cùng thuộc một tổng đài thì không cần thông qua mạng IP Nếu 2 máy nằm ở các mạng khác nhau thì phải sử dụng các Gateway chuyển tiếp vào mạng IP

• PC to Phone: gọi giữa PC và Phone Cần có ít nhất một Gateway chuyển tiếp

• PC to PC: gọi giữa PC và PC Trong trường hợp này thì cuộc gọi hoàn toàn nằm trong mạng IP, không cần sử dụng Gateway

1.3 Nguyên lý làm việc của VoIP

Khi nói vào ống nghe giọng nói sẽ tạo ra tín hiệu điện từ đó là những tín hiệu tương tự (Analog) Tín hiệu tương tự được chuyển sang tín hiệu số (Digital) dùng thuật toán đặc biệt để chuyển đổi Sau đó giọng nói được số hóa sẽ được đóng vào gói tin và gửi đi trên mạng IP

Số hóa tín hiệu Analog: có 4 bước liên quan đến quá trình số hóa (Digitizing) một tín hiệu tương tự (Analog):

• Lấy mẫu (Sampling)

• Lượng tử hóa (Quantization)

• Mã hóa (Encoding)

• Nén giọng nói (Voice Compression)

1.3.1 Lấy mẫu (Sampling)

Hình 1-1: Quá trình lấy mẫu

Tín hiệu âm thanh trên mạng điện thoại có phổ năng lượng đạt đến 10Khz Tuy nhiên, hầu hết năng lượng đều tập trung ở phần phổ tần thấp Do đó để tiết kiệm băng trong trong các hệ thống truyền được ghép kênh theo FDM và TDM Các kênh điện thoại thường giới hạn băng tần trong khoảng từ 0.3Khz-3.4Khz tuy nhiên trong thực tế thì sẽ có một ít năng lượng nhiễu có tần số cao hơn 3.4Khz có thể lên đến 4Khz Như vậy theo lý thuyết Nyquist thì tốc độ lấy mẫu là 8000 mẫu với tần

số lấy mẫu là 4Khz và thực hiện trong 1 giây với khoảng cách giữa mỗi mẫu là 125 micro giây

1.3.2 Lượng tử hóa

Hình 1-2: Quá trình lượng tử hóa

Là quá trình tiếp theo của việc lấy mẫu, nó được biểu diễn chính xác cho mỗi mẫu được lấy Mỗi mẫu có thể được gán cho mỗi giá trị số, tương ứng với mỗi biên

độ của mẫu.sau khi thực hiện giới hạn tương ứng với biên độ của dải mẫu sẽ tiến hành so sánh các mẫu với các mức lượng tử và gán vào mức xấp xỉ với nó Sau đó giá trị gán được dùng trong hệ thống truyền

1.3.4 Nén giọng nói

Kỹ thuật mã hóa PCM 64Khz hiện hành là phương pháp được chuẩn hóa, nhưng có vài phương pháp mã hóa khác được sử dụng trong những ứng dụng đặc biệt Các phương pháp này thực hiện mã hóa tiếng nói với tốc độ nhỏ hơn tốc độ của PCM nhờ đó tận dụng được khả năng hệ thống truyền dẫn số

Một số mã hóa tiếng nói tốc độ thấp như sau:

• CVSD :kỹ thuật này là một dẫn xuất của điều chế Delta, trong đó một bit đơn dùng để mã hóa mỗi mẫu PAM hoặc lớn hơn hoặc nhỏ hơn mẫu trước đó Vì không hạn chế bởi 8 bit, mã hóa có thể họat đông ở tốc độ khác nhau vào khỏang 20 Kbps

• ADPCM( Adaptive Differential PCM): kỹ thuật này là một dẫn xuất của PCM chuẩn, ở đó sự khác biệt giữa các mẫu liên tiếp nhau được mã hóa, thay

vì tất cả các mẫu điều được mã hóa để truyền trên đường dây CCITT có đề nghị một chuẩn ADPCM 32 Kbps, 24 Kbps, 16Kbps cho mã hóa tiếng nói

• Chuẩn PCM thì cũng được biết như chuẩn ITU G.711

Tốc độ G.711: 64 Kps=(2*4 kHz)*8 bit/mẫu

Tốc độ G.726: 32 Kps=(2*4 kHz)*4 bit/mẫu

Tốc độ G.726: 24 Kps=(2*4 kHz)*3 bit/mẫu

Tốc độ G.726: 16 Kps=(2*4 kHz)*2 bit/mẫu

1.4 Ưu nhược điểm của mạng VoIP

1.4.1 Ưu điểm mạng VoIP

Nhiều cuộc gọi hơn với băng thông nhỏ hơn và sử dụng băng thông hiệu

kênh phân chia theo thời gian thống kê STDM (chỉ sử dụng dải thông khi cần đến, khi sử dụng xong sẽ tự động giải phóng dải thông) Tất cả nội dung như thoại, văn bản, video, các chương trình máy tính hoặc dạng thông tin khác, truyền qua mạng lưới dạng gói được định trực tiếp tới đích bởi lộ trình khác nhau, chia sẻ tài nguyên một cách có hiệu quả

Giảm chi phí cuộc gọi: ưu điểm nổi bật nhất của điện thoại IP so với dịch vụ

điện thoại hiện tại là khả năng cung cấp những cuộc gọi đường dài giá rẻ với chất lượng chấp nhận được Nguyên nhân dẫn đến chi phí thấp như vậy là do tín hiệu thoại được truyền tải trong mạng IP có khả năng sử dụng kênh hiệu quả cao Đồng thời, kỹ thuật nén thoại tiên tiến giảm tốc độ bit từ 64 Kbps xuống thấp tới 8 Kbps (theo tiêu chuẩn nén thoại G.729A của ITU-T) kết hợp với tốc độ xử lý nhanh của các bộ vi xử lý ngày nay cho phép việc truyền tiếng nói theo thời gian thực là có thể thực hiện được với lượng tài nguyên băng thông thấp hơn nhiều so với kỹ thuật cũ

Khả năng mở rộng (Scalability): nếu như các hệ tổng đài thường là những

hệ thống kín, rất khó để thêm vào đó những tính năng thì các thiết bị trong mạng Internet thường có khả năng thêm vào những tính năng mới Chính tính mềm dẻo

đó mang lại cho dịch vụ điện thoại IP khả năng mở rộng dễ dàng hơn so với điện thoại truyền thống

Sự hiện diện phổ biến của mạng IP: hiện nay tất cả máy tính cá nhân và

máy chủ trong Internet, Web đều sử dụng giao thức IP chính vì vậy mạng IP trở thành một nền tảng thuận lợi cho việc phát triển lưu lượng thoại

Tích hợp mạng thoại, mạng số liệu và mạng báo hiệu: trong điện thoại IP

tín hiệu thoại, số liệu và ngay cả báo hiệu đều có thể cùng đi trên cùng một mạng

IP Điều này sẽ tiết kiệm được chi phí đầu tư để xây dựng những mạng riêng rẽ

1.4.2 Nhược điểm mạng VoIP

Chất lượng dịch vụ: nhược điểm chính của mạng VoIP chính là chất lượng

dịch vụ, các mạng số liệu không phải xây dựng với mục đích truyền thoại thời gian thực vì vậy truyền thoại qua mạng số liệu cho chất lượng của cuộc gọi thấp vì có thể xảy ra hiện tượng trễ gói tin hoặc mất gói tin Ngoài ra còn một yếu tố làm giảm chất lượng thoại đó là kỹ thuật nén để tiết kiệm băng thông đường truyền, nếu nén xuống dung lượng càng thấp thì kỹ thuật nén càng phức tạp và cho chất lượng thoại không cao

Vấn đề tiếng vọng: như trong mạng PSTN do trễ ít nên tiếng vọng không

ảnh hưởng nhiều thì trong mạng IP trễ lớn nên tiếng vọng ảnh hưởng đến chất lượng thoại

Vấn đề bảo mật: mạng Internet là một mạng có tính rộng khắp và hỗn hợp

(Hetorogenous network) trong đó có rất nhiều loại máy tính khác nhau cùng các dịch vụ khác nhau cùng sử dụng chung một cơ sở hạ tầng Do vậy không có gì đảm bảo rằng thông tin liên quan đến cá nhân cũng như số liên lạc truy nhập sử dụng dịch vụ của người dùng được giữ bí mật

CHƯƠNG 2: CÁC GIAO THỨC BÁO HIỆU TRONG VoIP

2.1 Giao thức H.323

2.1.1 Tổng quan về giao thức H.323

H.323 là giao thức được phát triển bởi ITU-T H.323 ban đầu được sử dụng cho mục đích truyền các cuộc hội thoại đa phương tiện trên các mạng LAN, nhưng sau đó H.323 đã phát triển thành một giao thức truyền tải VoIP trên thế giới

H.323 là một tập giao thức, gồm các giao thức chính:

• H.225: là giao thức báo hiệu thiết lập và giải tỏa cuộc gọi

• H.245: là giao thức điều khiển cho phép các đầu cuối thỏa hiệp kênh và trao đổi khả năng của chúng

• H.235: công cụ bảo mật hỗ trợ cho H.323

Các tính năng của đầu cuối H.323 như:

• H.245: điều khiển sắp xếp sử dụng kênh truyền

• Q.931: báo hiệu và thiết lập cuộc gọi

• RAS: giao thức liên lạc với Gatekeeper

• RTP/RTCP: sắp xếp các gói âm thanh và hình ảnh

2.1.2.2 Gateway

Gateway là thiết bị cho phép kết nối giữa các thiết bị của mạng H.323 và các thiết bị của mạng khác như PSTN hoặc ISDN chức năng chính của Gateway như sau:

• Đóng gói thoại: thực hiện chức năng nhận ra tín hiệu điện của thoại, loại

bỏ tiếng vọng, loại bỏ jitter, nén thoại, đồng bộ đồng hồ và đóng gói thoại

• Báo hiệu điện thoại: giao tiếp với điện thoại, chuyển các chỉ thị báo hiệu thành các thay đổi trạng thái mà giao thức mạng có thể hiểu được

• Giao thức mạng: chuyển giao thức báo hiệu trong mạng điện thoại thành các giao thức báo hiệu trong mạng gói

• Quản lý mạng: quản lý mạng bằng SNMP (Simple Network Management Protocol)

GK đóng vai trò là bộ não trong mô hình mạng H.323

GK cung cấp những chức năng bắt buộc như sau:

• Dịch địa chỉ: dịch từ địa chỉ alias hoặc một số điện thoại ảo của một điểm cuối sang địa chỉ IP tương ứng

• Điều khiển kết nạp (Admission Control): điều khiển việc cho phép hoạt động của các điểm cuối

• Điều khiển băng thông (Bandwidth Control): điều khiển cấp hoặc từ chối cấp một phần băng thông cho các cuộc gọi của các thiết bị trong hệ thống

• Quản lý vùng (Zone Management): thực hiện các chức năng trên với các điểm cuối H.323 đã đăng ký với Gatekeeper (một vùng H.323)

• Ngoài ra, GateKeeper có thể cung cấp các chức năng tuỳ chọn sau:

• Báo hiệu điều khiển cuộc gọi (Call Control Signalling): Gatekeeper có thể nhận và xử lý báo hiệu cuộc gọi để điều khiển hoạt động của các thiết bị đầu cuối

• Điều khiển cho phép cuộc gọi (Call Authorization): Gatekeeper có thể từ chối thực hiện cuộc gọi từ một thiết bị đầu cuối này tới một thiết bị đầu cuối khác

• Quản lý băng thông (Bandwidth Management): chức năng này cho phép Gatekeeper điều khiển lượng băng thông cấp cho một cuộc gọi của một điểm cuối trong hệ thống Việc điều khiển này có thể thực hiện ngay trong khi cuộc gọi đang tiến hành Chức năng này bao gồm cả chức năng điều khiển việc cung cấp băng thông cho các cuộc gọi

• Quản lý cuộc gọi (Call Management): Gatekeeper có thể duy trì một danh sách của các cuộc gọi đang được tiến hành, nhờ đó biết được thiết bị nào đang bận hoặc cung cấp thông tin cho chức năng quản lý băng thông

• Tính cước (Billing): mọi cuộc gọi trong hệ thống có mặt Gatekeeper đều phải thông qua sự quản lý của Gatekeeper, do vậy sẽ rất thuận tiện nếu như Gatekeeper đảm nhận chức năng tính cước dịch vụ

Đầu cuối H.323 sử dụng giao thức RAS (Registration Admission Status) để truyền thông với Gatekeeper và Gatekeeper cũng sử dụng giao thức RAS truyền thông với các Gatekeeper khác

Có hai loại báo hiệu điều khiển cuộc gọi:

• Báo hiệu phương thức thông qua Gatekeeper

• Báo hiệu phương thức trực tiếp

Hình 2-2: Báo hiệu trực tiếp

Hình 2-3: Báo hiệu thông qua GK

2.1.2.4 Đơn vị điều khiển liên kết đa điểm Multipoint Control Unit – MCU

MCU hỗ trợ việc thực hiện các cuộc đàm thoại hội nghị giữa nhiều thiết bị đầu cuối.Trong chuẩn H.323 MCU gồm có các thành phần:

• Thành phần bắt buộc: bộ điều khiển đa điểm MC

• Thành phần tùy chọn: bộ xử lí đa điểm MP

MC và MP là các phần của MCU nhưng chúng có thể không tồn tại trong một thiết bị độc lập mà được phân tán trong các thiết bị khác Ví dụ như một Gateway có thể mang trong nó một MC và một vài MP để thực hiện kết nối tới nhiều thiết bị đầu cuối, một thiết bị đầu cuối có thể mang một bộ MC để có thể thực hiện cùng một lúc nhiều cuộc gọi

MC điều khiển việc liên kết giữa nhiều điểm cuối trong hệ thống bao gồm:

• Xử lý việc đàm phàn giữa các thiết bị đầu cuối để giải quyết một khả năng

xử lí dòng dữ liệu media chung giữa các thiết bị đầu cuối

• Quyết định dòng dữ liệu nào sẽ là dòng dữ liệu multicast

MC không xử lý trực tiếp một dòng dữ liệu media nào Việc xử lý các dòng

dữ liệu sẽ do các MP đảm nhiệm MP sẽ thực hiện việc trộn, chuyển mạch, xử lý cho từng dòng dữ liệu thời gian thực trong cuộc hội nghị

2.1.2.5 H.323 Zone

H.323 Zone là một tập hợp các đầu cuối, Gateway, Multipoint Control Unit (MCU) được điều khiển bởi một GK Một Zone phải có ít nhất một hoặc nhiều đầu cuối, Gateway, đơn vị điều khiển đa điểm MCU và được quản lý bởi một GK duy nhất Hơn nữa, nếu trong một mạng VoIP có nhiều vùng thì các GK của các vùng khác nhau có thể thông tin với nhau để thực hiện các cuộc gọi liên vùng

Hình 2-4: H.323 Zone

2.1.3 Các kênh điều khiển trong H.323

Có nhiều giao thức nhỏ trong tập giao thức H.323 nhưng có 3 giao thức báo hiệu chính thường được sử dụng là:

• Báo hiệu H.225 RAS (Registration, Admissions and Status): báo hiệu giữa thiết bị đầu cuối với H.323 Gatekeeper trước khi thiết lập cuộc gọi

• Báo hiệu H.225 Q.931 sử dụng để kết nối, duy trì và hủy kết nối giữa hai đầu cuối

• Báo hiệu H.245 sử dụng để thiết lập phiên truyền media sử dụng giao thức RTP

2.1.3.1 Báo hiệu H.225 RAS (Registration, Admissions and Status)

Kênh RAS được thiết lập giữa các thiết bị đầu cuối và Gatekeeper qua mạng

IP Kênh RAS được mở trước khi các kênh khác được thiết lập và độc lập với các kênh điều khiển cuộc gọi và media khác Báo hiệu này được truyền trên UDP cho phép đăng kí, chấp nhận, thay đổi băng thông, trạng thái và hủy phiên kết nối

Báo hiệu RAS được kết nối qua UDP thông qua cổng kết nối port 1719 (unicast) và

1718 (multicast)

Chức năng chính của RAS

• Tìm kiếm Gatekeeper: việc này có thể được thực hiện thủ công hoặc tự động cho phép xác định gatekeeper mà thiết bị đầu cuối đăng kí (để có thể

sử dụng dịch vụ sau này)

• Đăng kí: cho phép Gateway, thiết bị đầu cuối và MCU tham gia vào một vùng dịch vụ do Gatekeeper quản lý và thông báo cho Gatekeeper về địa chỉ và bí danh của nó

• Xác định vị trí thiết bị đầu cuối: thiết bị đầu cuối và Gatekeeper sử dụng bản tin này để lấy thêm thông tin khi chỉ có thông tin bí danh được chỉ ra Bản tin này được gửi thông qua địa chỉ kênh RAS của Gatekeeper hoặc gửi multicast

• Admissions: bản tin giữa các thiết bị đầu cuối và Gatekeeper cung cấp cơ

sở cho việc thiết lập cuộc gọi và điều khiển băng thông sau này Bản tin này bao gồm cả các yêu cầu về băng thông (có thể được thay đổi bởi Gatekeeper)

• Thông tin trạng thái: dùng để lấy thông tin trạng thái của một thiết bị đầu

cuối Ta có thể sử dụng bản tin này để theo dõi trạng thái online hay offline

của thiết bị đầu cuối trong tình trạng mạng bị lỗi Thông thường bản tin này

sẽ được gửi 10 giây một lần Trong quá trình cuộc gọi, Gatekeeper có thể

yêu cầu thiết bị đầu cuối gửi theo chu kì các bản tin trạng thái

• Điều khiển băng thông: dùng để thay đổi băng thông cho cuộc gọi

• Hủy kết nối: khi muốn kết thúc cuộc gọi thì trước hết thiết bị đầu cuối dừng

hết mọi kết nối và đóng hết các kênh logic lại Sau đó, nó sẽ ngắt phiên

H.245 và gửi tín hiệu RLC trên kênh báo hiệu cuộc gọi Ở bước này, nếu

không có Gatekeeper thì cuộc gọi sẽ được hủy còn nếu không thì các bản

tin sẽ được gửi trên kênh RAS để kết thúc cuộc gọi

2.1.3.2 Báo hiệu điều khiển cuộc gọi H.225

Trong mạng H.323, chức năng điều khiển cuộc gọi dựa trên cơ sở giao thức

H.323 với việc sử dụng bản tin báo hiệu Q.931

Một kênh điều khiển cuộc gọi được tạo ra dựa trên giao thức TCP/IP với cổng 1720 Cổng này thiết lập các bản tin điều khiển cuộc gọi giữa hai thiết bị đầu cuối với mục đích thiết lập, duy trì và kết thúc cuộc gọi

• Facility: đây là một bản tin Q.932 dùng để yêu cầu hoặc phúc đáp các dịch vụ bổ sung Nó cũng được dùng để cảnh báo rằng một cuộc gọi sẽ được định tuyến trực tiếp hay thông qua GK

2.1.3.3 Giao thức báo hiệu điều khiển cuộc gọi H.245

Chức năng H.245 là thiết lập các kênh logic để truyền audio, video, data và các thông tin điều khiển Giữa hai thiết bị đầu cuối được thiết lập một kênh H.245 cho một cuộc gọi Kênh điều khiển này được tạo dựa trên TCP gán động port

H.245 là giao thức điều khiển báo hiệu cuộc gọi giữa các EP bao gồm năng lực trao đổi, xác định master-slave, quản lý kênh luận lý Giao thức này được vận chuyển bằng TCP

Xác định master-slave: để tránh xung đột khi cả hai bên đều khởi tạo cùng một cuộc gọi Đầu cuối thỏa thuận vai trò này bằng cách áp dụng theo một cách nào

đó Vai trò này sẽ giữ nguyên trong suốt cuộc gọi

Trao đổi năng lực: mỗi đầu cuối phải biết được khả năng của nhau bao gồm khả năng truyền và nhận, nếu không nó có thể không chấp nhận cuộc gọi

Quản lý kênh luận lý: đảm bảo cho đầu cuối có khả năng nhận và đọc được

dữ liệu khi kênh luận lý mở Bản tin OpenLogicalChannel sẽ mô tả loại dữ liệu sẽ truyền

Bảng 2-2: Ý nghĩa cấu trúc các bản tin H245

Được sử dụng bởi một thiết bị đầu cuối nhận được yêu cầu chế

độ cụ thể của truyền từ một thiết bị đầu cuối Các loại chế độ chung bao gồm VideoMode, AudioMode, DataMode và chế độ

mã hóa Possible replies:Acknowledge, Reject, Release

End Session

Command

Cho biết kết thúc của phiên H.245 Sau khi truyền dẫn, thiết bị đầu cuối sẽ không gửi bất kỳ tin nhắn H.245

2.1.4 Các thủ tục báo hiệu trong H.323

Người ta chia một cuộc gọi làm 5 giai đoạn gồm:

• Bước 1: thiết lập cuộc gọi

• Bước 2: thiết lập kênh điều khiển

• Bước 3: thiết lập kênh thoại ảo

• Bước 4: dịch vụ

• Bước 5: kết thúc cuộc gọi

2.1.4.1 Thiết lập cuộc gọi

Việc thiết lập cuộc gọi sử dụng các bản tin được định nghĩa trong khuyến nghị H.225.0 Có thể xẩy ra 6 trường hợp, đó là:

• Cuộc gọi cơ bản - Cả hai thiết bị đầu cuối đều không đăng ký

• Cả hai thuê bao đều đăng ký tới một Gatekeeper

• Chỉ có thuê bao chủ gọi có đăng ký với Gatekeeper

• Chỉ có thuê bao bị gọi có đăng ký với Gatekeeper

• Hai thuê bao đăng ký với hai Gatekeeper khác nhau

• Thiết lập cuộc gọi qua Gateway

Trong hầu hết giao thức báo hiệu phục vụ các ứng dụng thời gian thực, yêu cầu về ngưỡng thời gian xử lý cho phép (Tout - Time Out) của từng tín hiệu và của

cả quá trình báo hiệu là bắt buộc

Phương thức báo hiệu trực tiếp: quá trình báo hiệu diễn ra nhanh hơn dẫn đến xác xuất thời gian xử lý báo hiệu vượt quá Tout ít, làm cho tỷ lệ lỗi cuộc gọi giảm, hơn nữa việc báo hiệu trực tiếp giúp cho quá trình đồng bộ mạng chính xác Tuy nhiên, ở phương thức này yêu cầu các đầu cuối tham gia vào cuộc gọi phải có

sự tương thích về báo hiệu

Phương thức báo hiệu gián tiếp thông qua Gatekeeper: quá trình báo hiệu diễn ra chậm hơn dẫn đến xác xuất thời gian xử lý báo hiệu vượt quá Tout lớn hơn,

và vì thế tỷ lệ lỗi cuộc gọi cũng nhiều hơn Vì phải thông qua Gatekeeper nên cấu trúc mạng sẽ phức tạp, vấn đề tổ chức và đồng bộ mạng cần phải quan tâm hơn Ở phương thức này báo hiệu thông qua Gatekeeper trung gian vì thế vấn đề tương thích báo hiệu chỉ liên quan đến đầu cuối và Gatekeeper do đó làm tăng khả năng lựa chọn đầu cuối cho người dùng

2.1.4.2 Thiết lập kênh điều khiển

Khi kết thúc giai đoạn 1 tức là cả chủ gọi lẫn bị gọi đã hoàn thành việc trao đổi các bản tin thiết lập cuộc gọi, thì các đầu cuối sẽ thiết lập kênh điều khiển H.245

Bản tin đầu tiên được trao đổi giữa các đầu cuối là terminalCapabilitySet để các bên thông báo cho nhau khả năng làm việc của mình Mỗi một thiết bị đầu cuối đều có đặc tính riêng nói lên khả năng chế độ mã hoá, truyền, nhận và giải mã các tín hiệu đa dịch vụ Kênh điều khiển này có thể do thuê bao bị gọi thiết lập sau khi

nó nhận được bản tin Set-up hoặc do thuê bao chủ gọi thiết lập khi nó nhận được bản tin Alerting hoặc Call Proceeding Trong trường hợp không nhận được bản tin

Connect hoặc một đầu cuối gửi Release Complete, thì kênh điều khiển H.245 sẽ được giải phóng

2.1.4.3 Thiết lập kênh truyền thông

Sau khi trao đổi khả năng (tốc độ nhận tối đa, phương thức mã hoá ) và xác định quan hệ master-slave trong giao tiếp ở giai đoạn 2, thủ tục điều khiển kênh H.245 sẽ thực hiện việc mở kênh logic để truyền số liệu Các kênh này là kênh H.225 Sau khi mở kênh logic để truyền tín hiệu là âm thanh và hình ảnh thì mỗi đầu cuối truyền tín hiệu sẽ truyền đi một bản tin h2250 Maximunskewindication để xác định thông số truyền

Thay đổi chế độ hoạt động: trong giai đoạn này các thiết bị đầu cuối có thể thực hiện thủ tục thay đổi cấu trúc kênh, thay đổi khả năng và chế độ truyền cũng như nhận (chế độ truyền và nhận là thông báo và ghi nhận của các đầu cuối để xác định khả năng làm việc giữa chúng)

Phân phối các địa chỉ luồng dữ liệu: trong chế độ một địa chỉ, một đầu cuối

sẽ mở một kênh logic tới MCU hoặc một đầu cuối khác Địa chỉ của các kênh chứa trong bản tin OpenLogicalChannel và OpenLogicalChannelAck.Trong chế độ địa chỉ nhóm, địa chỉ nhóm sẽ được xác định bởi MC và được truyền tới các đầu cuối trong bản tin CommunicationModeCommand Một đầu cuối sẽ báo cho MC việc

mở một kênh logic với địa chỉ nhóm thông qua bản tin OpenLogicalChannel và MC

sẽ truyền bản tin đó tới tất cả các đầu cuối trong nhóm

2.1.4.4 Dịch vụ cuộc gọi

Có một số dịch vụ cuộc gọi được thực hiện trên mạng H.323 như: thay đổi

độ rộng băng tần, giám sát trạng thái hoạt động, hội nghị đặc biệt, các dịch vụ bổ sung

2.1.4.5 Kết thúc cuộc gọi

Một thiết bị đầu cuối có thể kết thúc cuộc gọi theo các bước của thủ tục sau:

• Dừng truyền luồng tín hiệu video khi kết thúc truyền hình ảnh, sau đó giải phóng tất cả các kênh logic phục vụ truyền video

• Dừng truyền dữ liệu và đóng tất cả các kênh logic dùng để truyền dữ liệu

• Dừng truyền audio sau đó đóng tất cả các kênh logic dùng để truyền audio

Truyền bản tin H.245 EndSessionCommand trên kênh điều khiển H.245 để

báo cho thuê báo đầu kia biết nó muốn kết thúc cuộc gọi Sau đó nó dừng truyền các bản tin H.245 và đóng kênh điều khiển H.245 Nó sẽ chờ nhận bản tin

EndSessionCommand từ thuê bao đầu kia và sẽ đóng kênh điều khiển H.245 Nếu

kênh báo hiệu cuộc gọi đang mở, thì nó sẽ truyền đi bản tin ReleaseComplete sau

đó đóng kênh báo hiệu

Nó cũng có thể kết thúc cuộc gọi theo các thủ tục sau đây: một đầu cuối nhận

bản tin EndSessionCommand mà trước đó nó không truyền đi bản tin này, thì nó sẽ

lần lượt thực hiện các bước từ 1 đến 6 ở trên chỉ bỏ qua bước 5

DRQ (3)

DCF (4)

EndSessionCommand (1) EndSessionCommand (1)

Release Complete (2)

DRQ (3) DCF (4)

Kªnh b¸o hiÖu RAS

Kªnh b¸o hiÖu cuéc gäi

Kªnh ®iÒu khiÓn H.245

Hình 2-5: Quá trình kết thúc cuộc gọi có sự tham gia của GK

• Thiết bị đầu cuối kết thúc cuộc gọi có sự tham gia của GK

Trong một cuộc gọi không có sự tham gia của GK thì chỉ cần thực hiện các bước 1 đến 6 Trong cuộc gọi có sự tham gia của GK thì cần có hoạt động giải phóng băng tần Vì vậy, sau khi thực hiện các bước từ 1 đến 6 mỗi đầu cuối sẽ truyền đi bản tin DRQ(3) tới GK, sau đó GK sẽ trả lời bằng bản tin DCF(4) Sau khi gởi DRQ, đầu cuối sẽ không gởi bản tin IRR tới GK nữa và khi đó cuộc gọi kết thúc

• Thủ tục kết thúc cuộc gọi do GK thực hiện

Đầu tiên, GK gởi bản tin DRQ tới đầu cuối Khi nhận được bản tin này, đầu cuối sẽ lần lượt thực hiện các bước từ 1 đến 6, sau đó trả lời GK bằng bản tin DCF Thuê bao đầu kia khi nhận được bản tin EndSessionCommand sẽ thực hiện thủ tục giải phóng cuộc gọi giống trường hợp đầu cuối chủ động kết thúc cuộc gọi Nếu cuộc gọi là một hội nghị thì GK sẽ gởi DRQ tới tất cả các đầu cuối tham gia hội nghị

Release Complete (2)

DRQ (3) DCF (4)

Kªnh b¸o hiÖu RAS Kªnh b¸o hiÖu cuéc gäi Kªnh ®iÒu khiÓn H.245

Chó ý: Gatekeeper 1 vμ Gatekeeper 2 cã thÓ lμ mét Gatekeeper

Hình 2-6: Kết thúc cuộc gọi bắt đầu từ GK

2.2 Giao thức Session Initiation Protocol - SIP

2.2.1 Tổng quan về giao thức SIP

2.2.1.1 Sự phát triển của giao thức SIP

Đầu tiên SIP chỉ đơn thuần là một giao thức dùng để thiết lập phiên quảng bá cho Internet (từ giữa đến cuối thập kỉ 90) SIP được phát triển bởi SIP Working Group trong IETF, phiên bản đầu tiên được ban hành vào tháng 3 năm 1999 trong tài liệu RFC 2543 Sau đó SIP trải qua nhiều thay đổi và cải tiến, phiên bản mới nhất hiện nay được ban hành trong IETF RFC 3261 RFC 3261 hoàn toàn tương thích ngược với RFC 2543, do đó các hệ thống thực thi theo RFC 2543 hoàn toàn

có thể sử dụng với các hệ thống theo RFC 3261