Hệ thống voip an toàn với chuẩn bảo mật h 235

Nó sử dụng các gói dữ liệu IP trên mạng LAN, WAN, Internet với thông tin được truyền tải là mã hoá của âm thanh thay vì đường dây điện thoại analog truyền thống, nó cho phép mọi người th

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

Lâm Anh Bình

HỆ THỐNG VOIP

AN TOÀN VỚI CHUẨN BẢO MẬT H.235

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên – 2012

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn

LỜI CẢM ƠN

Luận văn này được hoàn thành tại trường Đại học Công nghệ Thông tin và Truyền thông - Đại học Thái Nguyên Dưới sự hướng dẫn của PGS.TS Nguyễn Văn Tam Tác giả xin bày tỏ lòng biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam, người đã tận tình giúp đỡ, hướng dẫn tác giả hoàn thành luận văn này

Với tình cảm chân thành và lòng biết ơn sâu sắc, cho phép tôi gửi lời cảm

ơn đến các thầy cô giáo trong trường Đại học Công nghệ Thông tin và Truyền thông - Đại học Thái Nguyên, các Thầy giáo của Viện Công nghệ Thông tin, Viện Khoa học và Công nghệ Việt Nam đã tham gia quản lý, giảng dậy và giúp

đỡ tác giả trong suốt quá trình học tập, nghiên cứu và làm luận văn

Tôi xin chân thành cảm ơn sự ủng hộ, động viên giúp đỡ của Ban giám hiệu và các đồng nghiệp Trường Trung cấp nghề Cao Bằng

Xin chân thành cảm ơn anh chị em học viên lớp CAO HỌC K9A đã giúp

đỡ, động viên, khích lệ tác giả trong quá trình học tập và nghiên cứu

Trong quá trình nghiên cứu, do khả năng có hạn và kinh nghiệm thực tế còn ít nên không tránh khỏi thiếu sót Kính mong sự chỉ dẫn và góp ý của các thầy giáo, các bạn đồng nghiệp để công trình nghiên cứu tiếp theo được tốt hơn

Thái Nguyên, tháng 11 năm 2012

Lâm Anh Bình LỜI CAM ĐOAN

Tôi xin cam đoan đề tài của này là do chính bản thân Tôi thực hiện, với sự hướng dẫn của PGS.TS Nguyễn Văn Tam Các dữ liệu, thông tin được thu thập

từ những nguồn hợp pháp, nội dung nghiên cứu và kết quả trong đề tài này là trung thực

Thái Nguyên, tháng 11 năm 2012

Lâm Anh Bình

MỤC LỤC

MỤC LỤC iv

DANH MỤC CÁC CHỮ VIẾT TẮT vi

DANH MỤC CÁC BẢNG viii

DANH MỤC CÁC HÌNH ix

MỞ ĐẦU 1

NỘI DUNG 3

Chương I: TỔNG QUAN VỀ BẢO MẬT CHO HỆ THỐNG VoIP[4] 3

1.1 Hệ thống VoIP là gì? 3

1.2 VoIP làm việc như thế nào? 4

1.3 Tiêu chuẩn và giao thức VoIP 7

1.3.1 Tiêu chuẩn VoIP 7

1.3.2 Giao thức VoIP 7

1.4 Vấn đề an ninh của VoIP 21

Chương II: GIẢI PHÁP BẢO MẬT VOIP SỬ DỤNG CHUẨN H.235[4] 24

2.1 Vấn đề an ninh hiện nay và các mối đe dọa đến VoIP 24

2.1.1 Vấn đề an ninh hiện nay trong VoIP 24

2.1.2 Các mối đe dọa đến VoIP 25

2.2 Các chuẩn H.323 và H.235 28

2.2.1 Chuẩn H.323 28

2.2.2 Chuẩn H.235 36

2.3 Phương thức đảm bảo anh ninh của H.235 đối với VoIP 38

Chương III: TRIỂN KHAI THỬ NGHIỆM 47

3.1 Phương pháp thử nghiệm truyền thông VoIP an toàn 47

3.2 Những yếu tố cần thiết 47

3.2.1 H323 Phone 47

3.2.2 GNU Gatekeeper 48

3.2.3 Wireshark 49

3.3 Demo 50

3.3.1 Truyền trực tiếp và bắt gói tin 50

3.3.2 Truyền với chuẩn bảo mật H.235 qua GNU Gatekeeper 52

KẾT LUẬN 55

TÀI LIỆU THAM KHẢO 57

DANH MỤC CÁC CHỮ VIẾT TẮT

1 AES Advanced Encryption System Hệ thống mã hóa nâng cao

2 ARC Admission Confirm Xác nhận nhập

3 ARJ Admission Reject Từ chối nhập

4 ARP Address resolution protocol Giao thức phân giải địa chỉ

5 ARQ Admission Request Yêu cầu nhập

6 ATM Asynchronous Transfer Mode Phương thức truyền không

đồng bộ

7 BCF Bandwidth Confirm Xác nhận băng thông

8 BRJ Bandwidth Reject Từ chối băng thông

9 BRQ Bandwidth Request Yêu cầu băng thông

10 DoS Denial of Service Từ chối dịch vụ

11 ETSI

European Telecommunications Standards Institute

Viện Tiêu chuẩn Viễn thông châu Âu

12 HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn

bản

13 IETF Internet Engineering Task

Force

Tổ chức làm nhiệm vụ kỹ thuật về Internet

14 IP Internet Protocol Giao thức Liên mạng

15 ISDN Integrated Service Digital

Network

Dịch vụ tích hợp mạng kỹ thuật số

16 ITU International

Telecommunication Union

Liên minh Viễn thông quốc

tế

17 MAC Media Access Control Kiểm soát truy cập phương

tiện truyền thông

18 MGCP Media Gateway Control

Protocol

Giao thức điều khiển cổng

đa phương tiện

19 NAT Network address translation Dịch địa chỉ mạng

20 PBX Private Branch Exchange Tổng đài Nhánh Riêng

21 PSTN Public Switched Telephone

Network

Mạng điện thoại chuyển mạch kênh

22 QoS Quality of Service Chất lượng dịch vụ

23 RAS Remote Access Services Dịch vụ truy cập từ xa

24 RR Receive Report Nhận báo cáo

25 RTCP Real Time Control Protocol Giao thức điều khiển thời

gian thực

26 RTP Real Time Transport Protocol Giao thức thời gian thực

27 SDES Source Description Items Mục Mô tả nguồn

28 SDP Session Description Protocol Giao thức mô tả phiên

29 SIP Session Initiation Protocol Giao thức phiên khởi đầu

33 TLS Transport layer security An ninh lớp vận chuyển

34 UA User Agents Đại diện người dùng

35 UAC User Agent Client Đại diện người dùng khách

36 UAS User Agent Server Đại diện người dùng chủ

37 UDP User Datagram Protocol Giao thức gói dữ liệu người

dùng

38 VoIP Voice over Internet Protocol Truyền tiếng nói qua giao

thức Internet

DANH MỤC CÁC BẢNG

Bảng 2-1 Cơ sở bảo mật hồ sơ H.235 v2 Phụ lục D 41

Bảng 2-2 Chữ ký bảo mật hồ sơ cá nhân của H.235 v2 Phụ lục E 42

Bảng 2-3 Thoại tùy chọn mã hóa H.235 v2 Phụ lục D 44

Bảng 2-4 Kết hợp hồ sơ cá nhân H.235 v2 Phụ lục F 45

Bảng 2-5 Tăng cường cơ sở hồ sơ cá nhân H.235 32 Phụ lục D 46

DANH MỤC CÁC HÌNH

H.1-1 Quá trình lưu chuyển giữ liệu giọng nói giữa các điểm cuối 6

H.1-2 Giao thức tín hiệu VoIP 7

H.1-3 RTP dữ liệu trong gói tin IP 9

H.1-4 Cổng H.323/PSTN 13

H.1-5.Vùng H.323 14

H.1-6 Kiến trúc mạng SIP 17

H.1-7 Kiến trúc MGCP 20

H.2-1 Kiến trúc mạng H.323 29

H.2-2 Các giao thức hỗ trợ H.323 30

H.2-3 Cuộc gọi H.323 33

H.2-4 Thiết lập cuộc gọi vùng nội bộ 33

H.2-6 Thiết lập cuộc gọi giữa các vùng 34

H.2-5 Hủy kết nối cuộc gọi 36

H.2-6 Phạm vi H.235 38

H.3-1 Giao diện H.323 Phone gọi trực tiếp 50

H.3-2 Giao diện chính của Wireshark đang bắt gói tin 51

H.3-3 Đồ thị truyền gói tin đã được bắt 52

H.3-4 Giao diện GNU Gatekeeper 52

H.3-5 Giao diện chính của Wireshark đang bắt gói tin truyền qua GNU

gatekeeper 53 H.3-6 Đồ thị truyền gói tin đã được bắt truyền qua GNU gatekeeper 54

MỞ ĐẦU

VoIP (Voice over Internet Protocol) là công nghệ truyền tiếng nói của con

người qua mạng thông tin sử dụng bộ giao thức TCP/IP Nó sử dụng các gói dữ liệu IP (trên mạng LAN, WAN, Internet) với thông tin được truyền tải là mã hoá của âm thanh

Công nghệ này bản chất là dựa trên chuyển mạch gói, nhằm thay thế công nghệ truyền thoại cũ dùng chuyển mạch kênh Nó nén nhiều kênh thoại trên một đường truyền tín hiệu, và những tín hiệu này được truyền qua mạng Internet, vì thế có thể giảm giá thành

Tại Việt Nam các dịch vụ như gọi 171 (VNPT), 177 (SPT), 178 (Viettel),

175 (VISHIPEL) đều là các dịch vụ sử dụng phương thức này

VoIP ngày càng được sử dụng rộng dãi và phổ biến hơn Nó giúp cho đơn

vị giảm chi phí, mở rộng dịch vụ đến những khu vực xa, tăng cơ hội sản xuất dịch vụ, v.v… Bên cạnh những lợi thế này, VoIP cũng đưa ra vấn đề an ninh

Trên thực tế, không mấy đơn vị chú tâm đến tính an toàn của hệ thống VoIP mà mình đang có, mặc dù khi đường truyền dữ liệu và tiếng nói hội tụ với nhau thì rủi ro về bảo mật là rất cao

Đa số người dùng hiện nay khi triển khai hệ thống VoIP chủ yếu quan tâm đến chất lượng của hệ thống như: chất lượng giọng nói, độ trễ, khả năng tương tác Đó là những yếu tố quan trọng khi một đơn vị cân nhắc chuyển hệ thống truyền thông truyền thống của mình sang hệ thống VoIP

Nhưng một số tổ chức an ninh đã cảnh báo về những sự nguy hiểm của một hệ thống VoIP không được bảo đảm an ninh, và các nhà phân tích cũng

khuyên rằng: Nếu không có sự quan tâm đúng mức đối với sự an toàn của hệ thống VoIP thì các đơn vị không nên sử dụng hệ thống này vì nó chứa nhiều rủi

Luận văn gồm: Phần mở đầu; Phần nội dung: Phần kết luận Bố cục như sau:

Phần mở đầu

Nêu lý do chọn đề tài và bố cục luận văn

Phần nội dung

Chương I: Tổng quan về bảo mật cho hệ thống VoIP

Chương II: Giải pháp bảo mật VoIP sử dụng chuẩn H.235

Chương III: Triển khai thử nghiệm truyền thông VoIP an toàn

Phần kết luận

NỘI DUNG Chương I: TỔNG QUAN VỀ BẢO MẬT CHO HỆ THỐNG VoIP[4]

1.1 Hệ thống VoIP là gì?

VoIP (Voice Over Internet Protocol) là công nghệ truyền tiếng nói của con người (thoại) qua mạng thông tin sử dụng bộ giao thức TCP/IP Nó sử dụng các gói dữ liệu IP (trên mạng LAN, WAN, Internet) với thông tin được truyền tải là

mã hoá của âm thanh thay vì đường dây điện thoại analog truyền thống, nó cho phép mọi người thực hiện cuộc gọi điện thoại qua kết nối internet băng thông rộng Ở giai đoạn đầu, VoIP tồn tại như phần mềm, thông tin liên lạc từ máy tính đến máy tính Với sự phát triển của công nghệ mạng, mạng điện thoại IP tăng từ máy tính PC đến IP-PSTN, PSTN-IP, PSTN-PSTN và IP-IP, v.v Đặc điểm chung là sử dụng các mạng IP như là phương tiện truyền dẫn Vì vậy, mạng truyền thống sử dụng mạng chuyển mạch kênh là phương tiện truyền dẫn dần bị phá vỡ

Những lợi ích của việc thực hiện VoIP:

- So sánh với mạng PSTN truyền thống, VoIP có chi phí thấp hơn và đầu

tư về tiền bạc và thời gian ít hơn

- Dễ dàng hơn để tích hợp với dịch vụ và các ứng dụng khác (âm thanh, video, fax, dữ liệu và thông tin đa phương tiện)

- Bằng cách sử dụng các phương tiện truyền thông tiếng nói rẻ hơn - mạng

IP, khách hàng có thể tiết kiệm chi phí

- Làm việc sử dụng của mạng hiện có hiệu quả hơn

- Mở rộng dịch vụ đến các địa điểm từ xa kinh tế hơn

- Tạo cơ hội dịch vụ mới

Ngoại trừ tất cả những lợi ích, VoIP cũng đặt ra một câu hỏi bảo mật mới:

“An ninh cho đầy đủ các dịch vụ trong VoIP”? VoIP dễ bị tấn công hơn bởi đặc tính đặc biệt của nó Vì vậy, ngoài các phương pháp bảo mật tiêu chuẩn cho các mạng dữ liệu, VoIP cần có thêm các cơ chế bảo mật khác

1.2 VoIP làm việc như thế nào?

Voice over IP có thể được xem như tín hiệu thoại được truyền qua mạng

IP Vì vậy, VoIP là một công nghệ, nó được sử dụng để truyền tín hiệu thoại tương tự thông qua mạng IP Đơn giản chỉ cần nói, nó sẽ thực hiện các quy trình

mã hóa, nén, đóng gói, v.v,… Sau khi các dữ liệu thoại được truyền đến đích thông qua mạng, nó sẽ được tái lắp ráp bởi các quy trình ngược lại

Dưới đây là việc hoàn thành truyền tải VoIP

Bước 1: Từ giọng nói đến việc chuyển đổi dữ liệu kỹ thuật số

Dữ liệu giọng nói là dữ liệu tương tự, để truyền dữ liệu tiếng nói trong các gói tin IP, đầu tiên là phải chuyển đổi các dữ liệu tiếng nói từ tín hiệu tương tự vào dòng bit kỹ thuật số Chuẩn mã hóa tiếng nói hiện tại chủ yếu là ITU-T G.711 Dữ liệu nguồn và đích phải sử dụng các thuật toán mã hóa giống nhau, để các dòng bit số hóa có thể được chuyển dữ liệu giọng nói tương tự dễ hiểu Số hóa có thể được thực hiện bởi các công ty điện thoại, nhà cung cấp dịch vụ Internet (ISP), máy tính cá nhân hoặc điện thoại các thiết lập IP

Bước 2: Từ dữ liệu kỹ thuật số đến việc chuyển đổi IP

Sau khi số hoá dữ liệu bằng giọng nói thành nhóm bit, tiếp theo là nén và

mã hóa các gói tin vào khung cụ thể, bằng cách sử dụng các thuật toán phức tạp

Chẳng hạn như nếu người mã hóa sử dụng khung 15ms, sau đó các gói tin đầu tiên 60ms sẽ được chia thành 4 khung và mã hóa theo thứ tự Sau khi mã hóa, 4 khung sẽ được nén vào một gói IP và gửi đến bộ xử lý mạng Các bộ xử lý mạng

sẽ bổ sung thêm tiêu đề điều khiển và tải trọng trong các gói tin giọng nói, và gửi các gói tin giọng nói đến đích thông qua internet Khác với mạng chuyển mạch, mạng IP không dành riêng cho liên kết giữa máy phát và người nhận, tiêu đề điều khiển cung cấp mạng thông tin điều khiển gói tin, tải trọng bao gồm các dữ liệu bằng giọng nói, thời gian chạy và thông tin bổ sung khác Ngoài ra, việc tập hợp có thể được thực hiện bởi các công ty điện thoại, nhà cung cấp dịch vụ Internet (ISP), hoặc bằng các máy tính trên bàn làm việc hoặc các thiết lập điện thoại IP

Bước 3: Truyền

Trong phiên này, toàn bộ mạng sẽ nhận được các gói tin IP từ người gửi

và truyền tải nó đến đích trong một thời gian cụ thể, thời gian có thể là các giá trị khác nhau trong một phạm vi cụ thể, nó phản ánh jitter trong quá trình truyền dẫn mạng Mỗi nút trong mạng kiểm tra thông tin địa chỉ trong dữ liệu IP, và sử dụng thông tin này để gửi dữ liệu tới nút kế tiếp Trong việc truyền tải dữ liệu thông thường, dữ liệu bị mất/hư hỏng và có thể được phát lại, nhưng VoIP là ứng dụng thời gian thực, nên việc điều chỉnh và phát hiện các lỗi là rất cần thiết

Bước 4: Chuyển đổi gói tin IP thành dữ liệu kỹ thuật số

Các thiết bị đích VoIP bắt đầu xử lý các gói tin IP sau khi nhận được nó Một bộ đệm được sử dụng để chứa nhiều gói tin IP Người dùng có thể thay đổi kích thước của bộ đệm, bộ đệm nhỏ tạo ra độ trễ nhỏ, nhưng không thể điều chỉnh jitter lớn Địa chỉ không quan trọng và thông tin điều khiển khác sẽ được

loại bỏ, chỉ có dữ liệu ban đầu có thể được lưu trữ, các dữ liệu ban đầu dành riêng sẽ được gửi đến bộ giải mã, các bộ giải mã sẽ giải mã và giải nén các dữ liệu giọng nói thành dữ liệu âm thanh mới

Bước 5: Chuyển đổi giọng nói kỹ thuật số thành giọng nói tương tự

Các trình điều khiển máy nghe nhạc phương tiện truyền thông lấy mẫu các

dữ liệu thoại và gửi nó cho các card âm thanh, card âm thanh hoạt động với tần

số trung bình

Quá trình này được mô tả như sau:

H.1-1 Quá trình lưu chuyển giữ liệu giọng nói giữa các điểm cuối

1.3 Tiêu chuẩn và giao thức VoIP

1.3.1 Tiêu chuẩn VoIP

Nếu không có một tiêu chuẩn cho thoại qua IP, các sản phẩm từ các nhà cung cấp khác nhau sẽ không tương thích với nhau

Hai cơ quan tiêu chuẩn lớn chi phối việc truyền tải đa phương tiện qua mạng IP là: Liên minh Viễn thông quốc tế (ITU) và Tổ chức làm nhiệm vụ kỹ thuật về Internet (IETF)

Bên cạnh ITU và IETF, có các cơ quan tiêu chuẩn khác như: Viện Tiêu chuẩn Viễn thông châu Âu (ETSI), Hiệp hội Công nghiệp Viễn thông (TIA)

1.3.2 Giao thức VoIP

Có một số các giao thức trong việc cung cấp dịch vụ VoIP Phổ biến nhất được sử dụng ngày nay là các giao thức RTP (Real Time Transport Protocol), H.323, SIP (Session Initiation Protocol) và MGCP (Media Gateway Control Protocol)

Mối quan hệ giữa các giao thức VoIP và các giao thức mạng khác:

H.1-2 Giao thức tín hiệu VoIP

* RTP: Giao thức thời gian thực (RTP - Real Time Protocol)

RTP xác định tiêu chuẩn định dạng gói tin để cung cấp các dữ liệu âm thanh và video qua internet RTP cung cấp dịch vụ điểm cuối cho dữ liệu đa phương tiện, chẳng hạn như âm thanh và video, nó được thiết kế cho hội nghị đa phương tiện ngay từ đầu, nhưng nó được sử dụng cho nhiều loại ứng dụng khác nhau Trong VoIP, RTP là nền tảng của VoIP, RTP được sử dụng để cung cấp các dữ liệu thời gian thoại thực, những cuộc gọi thiết lập và hủy bỏ được thực hiện bởi SIP hoặc H.323 RTP cùng làm việc với giao thức điều khiển thời gian thực (RTCP - Real Time Control Protocol) và được xây dựng trên đầu trang của giao thức gói dữ liệu người dùng (UDP - User Datagram Protocol) Các ứng dụng sử dụng RTP thường không nhạy cảm với việc mất gói tin, nhưng rất nhạy cảm với sự trễ chuyển phát

Các dịch vụ cung cấp bởi RTP bao gồm:

- Nhận dạng loại tải trọng: điều này chỉ ra loại của nội dung đang được chuyển giao

- Số trình tự: được sử dụng để đảm bảo dữ liệu được chuyển giao theo đúng thứ tự và đồng bộ hóa

- Gắn nhãn: chức năng tương tự như số trình tự

- Theo dõi giao tận nơi

RTP cung cấp dán tem thời gian và số trình tự để đảm bảo dữ liệu được chuyển giao trong thời hạn chấp nhận được

Thời gian gắn nhãn: là quan trọng trong RTP Người gửi bộ nhãn thời gian trên các gói tin theo bộ tám đầu tiên trên gói tin Nhãn thời gian tăng thời gian

bao phủ bởi một gói tin Sau khi nhận được gói dữ liệu, dữ liệu được lắp ghép theo thứ tự đúng Nhãn thời gian cũng được sử dụng để đồng bộ hóa, chẳng hạn như đồng bộ hóa dữ liệu âm thanh và video ở định dạng MPEG Một số định dạng video, cấu trúc video có thể được chia nhỏ thành nhiều gói, và một số các gói dữ liệu có thể có một nhãn thời gian, vì vậy chỉ có dấu thời gian là không đủ RTP sử dụng UDP (User Datagram Protocol) để hoàn thành giao vận, UDP không cung cấp các gói dữ liệu theo thứ tự thời gian, do đó, số thứ tự được sử dụng để lắp ráp lại các dữ liệu đến theo thứ tự đúng và cũng được sử dụng để phát hiện dữ liệu bị mất

Nhận dạng loại tải trọng: được sử dụng để chỉ ra những cơ chế được sử dụng để mã hóa/nén dữ liệu, bên nhận sử dụng để lựa chọn cơ chế chính xác để giải mã/giải nén dữ liệu Tại một thời gian, RTP chỉ có thể gửi một loại tải trọng

Chức năng khác là xác định nguồn, nó cho phép bên nhận biết nơi đến của

dữ liệu

Hình dưới đây mô tả các gói tin RTP được đóng gói trong gói tin UDP và

IP

H.1-3 RTP dữ liệu trong gói tin IP

Để cài đặt phiên RTP, ứng dụng định nghĩa một cặp điểm đến: địa chỉ mạng và một cặp cổng Trong phiên đa phương tiện, mỗi phương tiện sử dụng một phiên riêng biệt, do đó RTCP có thể báo cáo chất lượng truyền dẫn riêng

Chẳng hạn như truyền tải dữ liệu âm thanh và video, âm thanh và video sử dụng phiên RTP khác nhau, do đó người nhận có thể chọn có hoặc không nhận được một phương tiện truyền thông

* Giao thức điều khiển thời gian thực (RTCP - Real Time Control Protocol):

RTCP là một giao thức điều khiển, nó hoạt động cùng với RTP RTCP được gửi định kỳ bởi người tham gia để có được thông tin phản hồi về chất lượng truyền dẫn Có năm loại của các gói tin RTCP:

1) RR (Receive Report): Nhận báo cáo Điều này được tạo ra bởi người nhận, nó được sử dụng để báo cáo chất lượng truyền dẫn cho người gửi Các thông báo bao gồm thông tin về số lượng gói tin nhận được cao nhất, bao nhiêu gói dữ liệu bị mất, jitter, và tem thời gian được sử dụng để tính toán sự chậm trễ chuyến đi vòng quanh giữa người gửi và người nhận

2) SR (Sender Report): Người gửi báo cáo Điều này được tạo ra bởi người gửi Nó được sử dụng để đồng bộ hóa các gói tin, tính toán đếm số gói và

số byte gửi

3) SDES (Source Description Items) Mục mô tả nguồn: chứa thông tin để

mô tả các nguồn

4) BYE: được sử dụng để chỉ một sự tham gia đã kết thúc

5) APP: ứng dụng quy định chức năng

RTCP có thể cung cấp các dịch vụ:

- Theo dõi và kiểm soát tắc nghẽn chất lượng dịch vụ (QoS - Quality of Service): Đây là chức năng quan trọng nhất trong RTCP RTCP gửi ý kiến phản

hồi của chất lượng truyền dẫn cho người gửi, người gửi sử dụng thông tin này để điều chỉnh tốc độ truyền dẫn Người nhận có thể xác định tắc nghẽn vùng, khu vực hay toàn cầu Quản trị mạng cũng có thể đánh giá hiệu suất mạng với thông tin này

- Xác định nguồn: Trong các gói tin RTP, xác định nguồn gốc được tạo ngẫu nhiên, số bit là 32 Gói tin RTCP, các thông tin được gọi là "tên chính tắc" được sử dụng trên toàn cầu xác định những người tham gia phiên, các thông tin

có thể bao gồm tên người dùng, số điện thoại, địa chỉ email, v.v…

- Liên truyền thông đồng bộ: RTCP người gửi báo cáo các dấu thời gian RTP tương ứng

- Kiểm soát thông tin rộng: kể từ khi các gói tin RTCP được gửi định kỳ bởi những người tham gia, nếu số lượng người tham gia tăng, điều đó có nghĩa là

sẽ có nhiều RTCP gói tin gửi qua mạng, điều này sẽ dẫn đến nghẽn mạng, để ngăn chặn nghẽn mạng, RTP kiểm soát giới hạn lưu thông, giới hạn này được thực hiện bằng cách điều chỉnh tốc độ phát RTCP

* H.323:

H.323 là giao thức tín hiệu được sử dụng rộng rãi nhất trong VoIP H.323 hoàn toàn có thể quản lý các nguồn tài nguyên có sẵn thông qua gatekeepers Một cách logic, gatekeeper H.323 là một chuyển đổi được sử dụng để cung cấp dịch vụ cơ bản cho đến điểm kết thúc (chẳng hạn như các điện thoại IP) Các dịch vụ bao gồm

- Địch địa chỉ: tên bí danh để dịch địa chỉ mạng

- Kiểm soát đăng nhập điểm cuối: kiểm soát này dựa trên băng thông có sẵn, hạn chế cuộc gọi, hoặc đăng ký đặc quyền, v.v

- Quản lý băng thông và quản lý vùng: tuyến các cuộc gọi từ khởi điểm đến, hoặc cắt đứt các cuộc gọi, cuộc gọi định tuyến bao gồm một số đường dẫn

- Cổng giao tiếp với gatekeeper bằng cách đăng nhập, đăng ký và tình trạng (RAS) để điều chỉnh cuộc gọi

H.323 là một cấu trúc giao thức, giao thức và các tiêu chuẩn làm việc với nhau để cho phép trao đổi các gói tin trên mạng Mỗi giao thức trong H.323 thực hiện một chức năng cụ thể, chẳng hạn như H.261, H.263 và H.264 giải mã video, chúng là phần mềm thuật toán được sử dụng để nén / mã hóa và giải nén / giải

- Gateway: Một gateway H.323 cung cấp kết nối giữa mạng H.323 và mạng không H.323, chẳng hạn như một mạng IP và một mạng chuyển mạch kênh (PSTN - Public Switched Telephone Network) Để có các kết nối khác nhau, nó cần dịch các giao thức và thông tin chuyển giao giữa các mạng khác nhau, chẳng hạn như dịch giữa các dạng khác nhau (H.225, H.221), giữa các thủ tục truyền thông (H.245 H.242), gateway cũng dịch giữa âm thanh và mã video

và thiết lập cuộc gọi hoặc hủy bỏ các cuộc gọi Gateway không cần thiết đối với truyền thông giữa hai thiết bị đầu cuối trong cùng một mạng Các ứng dụng của gateway là:

a) Thiết lập kết nối giữa thiết bị đầu cuối PSTN

b) Thiết lập kết nối với thiết bị đầu cuối H.320 từ xa qua mạng chuyển mạch-mạch ISDN (Integrated Service Digital Network)

c) Thiết lập kết nối với thiết bị đầu cuối H.324 từ xa qua mạng PSTN Hình dưới sau mô tả cổng H.323/PSTN

H.1-4 Cổng H.323/PSTN

- Gatekeepers: được coi như là thành phần quan trọng nhất trong mạng H.323, nó cung cấp các dịch vụ như ủy quyền, địa chỉ và xác thực các thiết bị đầu cuối và các cổng, quản lý băng thông, kế toán, thanh toán và tính phí, gatekeeper cũng có thể cung cấp các dịch vụ định tuyến cuộc gọi

Các chức năng của gatekeeper:

1) Dịch địa chỉ: bằng cách tham chiếu một bảng, dịch địa chỉ giữa các bí danh và địa chỉ giao vận (địa chỉ IP), bảng này được cập nhật với các thông báo đăng ký

2) Kiểm soát đăng nhập: Yêu cầu nhập (ARQ - Admission Request), xác nhận nhập (ARC - Admission Confirm), từ chối nhập (ARJ - Admission Reject) cho phép truy cập vào mạng LAN

3) Kiểm soát băng thông: được dựa trên quản lý băng thông, nó hỗ trợ yêu cầu băng thông (BRQ - Bandwidth Request), xác nhận băng thông (BCF - Bandwidth Confirm) và từ chối băng thông (BRJ - Bandwidth Reject)

4) Quản lý vùng: gatekeeper cung cấp các chức năng trên các thiết bị đầu cuối, cổng, hoặc MCUs đã đăng ký trong khu vực

Vùng H.323 bao gồm thiết bị đầu cuối, cổng, và MCUs như hình sau đây

H.1-5.Vùng H.323

Các chức năng tùy chọn của gatekeeper là:

1) Gọi tín hiệu điều khiển: trong một hội nghị điểm-điểm, gatekeeper có thể xử lý Q.931 tín hiệu điều khiển cuộc gọi hoặc gửi Q.931 tín hiệu trực tiếp đến các thiết bị đầu cuối

2) Gọi ủy quyền: gatekeeper có thể từ chối cuộc gọi từ một thiết bị đầu cuối cụ thể, lý do có thể hạn chế truy cập đến / từ một thiết bị đầu cuối / gateway đặc biệt, hạn chế truy cập trong một thời gian nhất định

3) Quản lý băng thông: nếu băng thông có sẵn mà không đủ, gatekeeper có thể từ chối cuộc gọi từ thiết bị đầu cuối, nếu một thiết bị đầu cuối hoạt động muốn nhiều băng thông, yêu cầu có thể bị từ chối do thiếu băng thông

4) Quản lý cuộc gọi: gatekeeper giữ một danh sách các thiết bị đầu cuối hoạt động, cung cấp thông tin để quản lý băng thông

Một tính năng khác của gatekeeper là khả năng cho các cuộc gọi tuyến Các cuộc gọi có đơn thể được chuyển một cách hiệu quả Gatekeeper chỉ được một cách logic tách ra từ một thiết bị đầu cuối H.323, nhà sản xuất có thể thực hiện chức năng gatekeeper vào cổng hoặc đơn vi kiểm soát đa điểm (MCU - Multipoint Control Units)

* Giao thức phiên khởi đầu: (SIP - Session Initiation Protocol)

SIP là tiêu chuẩn IETF (Internet Engineering Task Force’s) cho hội nghị

đa phương tiện qua IP SIP là một giao thức điều khiển lớp ứng dụng, nó có thể được sử dụng để thiết lập, duy trì và cắt đứt các cuộc gọi giữa hai hay nhiều thiết

bị đầu cuối SIP được thiết kế để cung cấp tín hiệu và dịch vụ quản lý phiên làm việc về gói dữ liệu dựa trên mạng Các dịch vụ được cung cấp bởi SIP:

- Xác định vị trí mục tiêu của các thiết bị đầu cuối: SIP hỗ trợ lập bản đồ phân giải tên địa chỉ, và định tuyến lại cuộc gọi

- Khả năng xác định đa phương tiện của thiết bị đầu cuối: phiên làm việc chỉ có thể được thành lập khi các nguồn tài nguyên cần thiết được đáp ứng bởi

tất cả các thiết bị đầu cuối SIP sử dụng giao thức mô tả phiên (SDP - Session Description Protocol) để xác định "yêu cầu thấp nhất"

- Thiết lập phiên làm việc giữa hai thiết bị đầu cuối: nếu một cuộc gọi có thể được hoàn thành

- Xử lý việc chuyển giao và chấm dứt: Một cuộc gọi có thể được chuyển

từ một nút mục tiêu này sang một nút mục tiêu khác mà không chấm dứt cuộc gọi Các phiên làm việc giữa khởi tạo và nút mục tiêu cũ sẽ được chấm dứt, một phiên làm việc mới sẽ được thiết lập giữa nút khởi tạo và nút mục tiêu mới

SIP bao gồm hai loại thực thể: đại diện người dùng (UA - User Agents) và các mạng máy chủ

- Đại diện người dùng: SIP là một giao thức ngang hàng Các đại diện người dùng bao gồm hai chức năng: User Agent Client (UAC) và User Agent Server (UAS) UAC được sử dụng để bắt đầu cuộc gọi, UAS trả lời cuộc gọi, bằng cách trao đổi yêu cầu và trả lời, đại diện người dùng có thể bắt đầu và cắt các phiên giữa mỗi thực thể khác nhau

- UAC: là một ứng dụng máy khách sử dụng để khởi tạo một SIP yêu cầu

- UAS: là một ứng dụng máy chủ, khi UAS nhận được một yêu cầu, nó liên hệ với người dùng và phản ứng trả lại một với đại diện người dùng trong tên của người dùng

UAC và UAS có thể được đặt trên cùng một thiết bị như điện thoại IP Cuộc gọi SIP có thể được trực tiếp tới UA khác, hoặc chuyển hướng thông qua máy chủ hoặc SIP ủy quyền

- Mạng máy chủ: Có bốn kiểu mạng máy chủ SIP, máy chủ đăng ký, máy chủ vị trí, máy chủ ủy quyền và máy chủ chuyển hướng

+ Máy chủ đăng ký: chấp nhận yêu cầu đăng ký từ một máy khách, cập nhật cơ sở dữ liệu vị trí, cơ sở dữ liệu vị trí được sử dụng để lưu trữ thông tin liên lạc

+ Máy chủ vị trí: lưu trữ vị trí các thiết bị đầu cuối, và cung cấp vị trí một thiết bị đầu cuối cho máy chủ ủy quyền hoặc máy chủ chuyển hướng

+ Máy chủ ủy quyền: xử lý các yêu cầu SIP cho UA nguồn Máy chủ ủy quyền có thể hoạt động như một máy chủ hay một máy khách để tạo ra một yêu cầu trong tên của máy khách Yêu cầu dịch vụ trong nội bộ hoặc thông qua một máy chủ khác Máy chủ chủ ủy quyền sẽ ghi lại một yêu cầu trước khi chuyển tiếp yêu cầu

+ Máy chủ chuyển hướng: chấp nhận yêu cầu SIP từ một máy khách, bản

đồ địa chỉ SIP của cuộc gọi và trả lại địa chỉ cho máy khách Máy chủ chuyển hướng không chuyển tiếp yêu cầu đến các máy chủ khác

Kiến trúc mạng SIP được hiển thị dưới đây

H.1-6 Kiến trúc mạng SIP

SIP có hai loại tin nhắn: Yêu cầu và đáp ứng

- Yêu cầu: gửi từ máy khách đến máy chủ

- Phản ứng: được gửi từ máy chủ tới máy khách

* Media Gateway Control Protocol (MGCP):

MGCP được thiết kế để kết nối các cổng điều khiển phương tiện truyền thông và cổng phương tiện truyền thông Cổng điều khiển phương tiện truyền thông được gọi là đại diện gọi trong MGCP, các cổng phương tiện truyền thông

có thể có các loại khác nhau của các cổng VoIP, máy chủ truy cập mạng, hoặc thoại qua cổng ATM

MGCP là một giao thức chủ/khách, nó sử dụng giao thức khác để thực hiện các chức năng của nó, chẳng hạn như sử dụng giao thức mô tả phiên (SDP - Session Description Protocol)

Trong phiên bản đầu tiên của MGCP, có tám lệnh trao đổi giữa các bộ cổng điều khiển phương tiện truyền thông và cổng phương tiện truyền thông

- Thông báo yêu cầu: từ đại diện gọi đến cổng Lệnh này được sử dụng để yêu cầu cổng truyền thông để thông báo sự kiện điện thoại đặc biệt, nhấc máy, nhạc chuông fax, nhạc modem, đèn flash, tiếp tục giai điệu, v.v…

- Thông báo: từ cổng đến đại diện gọi Lệnh này được sử dụng bởi các cổng vào gửi lại các sự kiện được yêu cầu của các đại diện gọi, các cổng phương tiện truyền thông có thể gửi các sự kiện một hoặc một số thông báo trong một lệnh Tuy nhiên, các sự kiện ngược trở lại bởi cổng phương tiện truyền thông theo thứ tự các đại diện cuộc gọi được gửi đến nó Thiếu sót của lệnh này là nó

sử dụng lệnh thông báo để gửi lại các sự kiện, nhưng nó sẽ hiệu quả hơn để sử dụng RTP để gửi thông tin như vậy

- Tạo kết nối: lệnh này được gửi đi từ đại diện gọi đến cổng để tạo ra một kết nối giữa hai điểm kết thúc Ngoài ra các thông số cần thiết cho cổng để thiết lập kết nối, có các thông số khác, chẳng hạn như QoS, an ninh, băng thông, loại hình dịch vụ, v.v

- Sửa kết nối: từ cuộc gọi đại diện đến cổng Lệnh này được sử dụng bằng cách đại diện gọi đến thành lập một sửa đổi kết nối Đại diện gọi có thể sử dụng lệnh này để thay đổi các thông số, kích hoạt, chấm dứt, thay đổi mã, packetization thời gian, v.v

- Xóa kết nối: từ đại diện gọi đến cổng Lệnh này được sử dụng bởi các đại diện cuộc gọi để xóa một kết nối Nếu kết nối được chấm dứt bởi chính nó, cổng phương tiện truyền thông có thể khai báo một lệnh xóa kết nối đại diện gọi,

và gửi các số liệu thống kê cuộc gọi đến đại diện gọi

- Kiểm tra điểm cuối: từ đại diện cuộc gọi đến cổng, nó được sử dụng để kiểm tra xem nếu là một điểm cuối

- Kiểm tra kết nối: từ đại diện cuộc gọi đến cổng Đại diện gọi sử dụng lệnh này để có được tất cả các thông số của kết nối

- Thực hiện khởi động: từ cổng đến đại diện gọi Cổng đa phương tiện sử dụng lệnh này để báo cáo các đại diện cuộc gọi có thêm một điểm cuối có vấn

đề

Kiến trúc giao thức MGCP được mô tả dưới đây:

H.1-7 Kiến trúc MGCP

Các thành phần quan trọng trong MGCP là cổng đa phương tiện (MG - Media Gateway), chịu trách nhiệm về chuyển đổi thông tin giữa một mạng dựa trên gói tin đến một mạng dựa trên mạch, nó cũng xử lý các dòng phương tiện truyền thông RTP trên mạng IP Có nhiều loại khác nhau của cổng trong VoIP, cổng trung chuyển, cổng khu vực, cổng truy cập, máy chủ truy cập mạng,

- Cổng trung chuyển: là giao diện giữa các mạng điện thoại và mạng VoIP

- Cổng khu vực: cung cấp một giao diện tương tự với mạng VoIP

- Cổng truy cập: cung cấp giao diện PBX (Private Branch Exchange) tương tự hoặc kỹ thuật số cho mạng VoIP

- Máy chủ truy cập mạng: có thể được liên kết với một modem với một mạng điện thoại và cung cấp truy cập mạng tại cùng một thời gian

Cổng điểu khiển đa phương tiện kết hợp với cổng đăng ký đa phương tiện, quản lý và kiểm soát, thực hiện chuyển đổi tín hiệu giữa các mạng khác nhau, chẳng hạn như từ mạng PSTN vào mạng IP

1.4 Vấn đề an ninh của VoIP

Có các mối đe dọa phức tạp nhằm vào hệ thống, tuy nhiên, VoIP đưa ra lỗ hổng mới, từ thiết bị người dùng cuối, chẳng hạn như máy điện thoại IP, điện thoại mềm, truyền thông không dây, thiết bị tín hiệu, chẳng hạn như H.323 gatekeeper, máy chủ ủy quền SIP Các cuộc tấn công bao gồm các cuộc tấn công DoS đơn giản nhằm mục đích sẵn sàng tiêu huỷ một số tài nguyên, dịch vụ, không trung thực danh tính, chẳng hạn như thực hiện cuộc gọi điện thoại, v.v…

Vấn đề bảo mật của VoIP là phức tạp, mặc dù có một số cơ chế bảo mật, nhưng vẫn còn các vấn đề khác mà không thể dễ dàng giải quyết bằng các

phương pháp bảo mật truyền thống Trong các bước khác nhau của VoIP, có mối

đe dọa tấn công khác nhau:

(1) Sau khi dữ liệu giọng nói được số hóa và nén, nó sẽ được gửi vào mạng bằng cáp, hoặc bằng cách truy cập không dây với một mạng có dây Truy cập không dây đưa ra các lỗ hổng bảo mật mới của VoIP Các tiêu chuẩn giao thức chính trong mạng không dây IEEE 802.11b IEEE 802.11b có một số cơ chế bảo mật, chẳng hạn như mã hóa với WEP, sử dụng SSID để kiểm soát truy cập, sử dụng quan trọng trong xác thực, v.v Mặc dù 802.11b có một số cơ chế bảo mật, nhưng có những lỗ hổng với mỗi cơ chế, chẳng hạn như 802.11b sử dụng WEP để mã hóa tin nhắn chuyển giao, có nhiều vấn đề bảo mật với WEP Một số công cụ (chẳng hạn như AirSnort, WEPCrack) có sẵn cho kẻ tấn công có thể để bẻ các khóa WEP bằng cách phân tích lưu lượng truy cập; Vấn đề với SSID là người sử dụng thường không thay đổi SSID mặc định, điều này cho phép cơ hội cho kẻ tấn công, điểm truy cập không dây có thể bị mất tín hiệu vì

nó phát sóng trên không khí; chính trao đổi cũng không được đảm bảo

(2) Sau khi dữ liệu thoại được gửi vào mạng, dữ liệu giọng nói có mối đe dọa tấn công tương tự như gói dữ liệu khác trên mạng Hiện nay, có một số phương pháp để bảo đảm an ninh mạng, chẳng hạn như bằng cách cài đặt tường lửa để kiểm soát truy cập vào mạng, sử dụng danh sách kiểm soát truy cập để kiểm soát nguồn của gói tin, bằng cách sử dụng NAT để ẩn mạng nội bộ từ bỏ mạng tin cậy, sử dụng mã hóa để bảo vệ toàn vẹn dữ liệu, v.v… Những phương pháp này thực hiện bảo vệ mạng đến mức độ nào đó, nhưng vì những đặc tính đặc biệt của VoIP, nên các phương pháp này không đủ mạnh để bảo đảm cho mạng VoIP Kể từ khi các giao thức báo hiệu trong VoIP sử dụng cổng động, chẳng hạn như H.323, vì vậy, bức tường lửa lọc gói tin không phải là một giải

pháp tốt, vì nó cần để mở và đóng cổng tự động, hơn nữa, kể từ khi H.323 sử dụng địa chỉ IP nhúng, nó không có thể viết lại bởi NAT

(3) Các gói tin bằng giọng nói sẽ được gửi đến hệ thống máy chủ VoIP sau khi họ đi ra khỏi mạng Hệ thống máy chủ VoIP là thành phần quan trọng trong VoIP, và cũng có một điểm yếu trong hệ thống VoIP Vì hầu hết các hệ thống VoIP được thiết kế trên nền tảng mở, chẳng hạn như Unix, Windows server, v.v…, tường lửa được sử dụng để bảo vệ máy chủ, như mô tả ở trên, từ khi VoIP cần tới việc để tự động mở cổng, thì sự phức tạp của tường lửa tăng thêm, bên cạnh đó, nếu có một số lỗi với hệ điều hành cơ bản, hệ điều hành riêng

sẽ dễ dàng hơn để bị tấn công Mặc dù có phần mềm chống virus và các bản vá lỗi hệ thống có thể được sử dụng để bảo vệ hệ điều hành cơ bản, nhưng hệ thống VoIP vẫn còn chia sẻ rủi ro cùng với nó

(4) Trong VoIP, có một số thiết bị chính chịu trách nhiệm quan trọng trong hoạt động VoIP, chẳng hạn như cổng, gatekeeper, máy chủ, thiết lập điện thoại IP Trong hầu hết các trường hợp, chúng không được bảo vệ, đây là một cơ hội rõ ràng cho kẻ tấn công để tấn công độc hại, chẳng hạn như bằng cách nhìn thấy một đăng nhập người dùng đến máy chủ, nhớ mật khẩu của người sử dụng, sau đó sử dụng mật khẩu của thành viên này để đăng nhập và thực hiện cuộc gọi khác

Trên đây là một mô tả chung vấn đề an ninh hiện nay trong VoIP, trong thực tế, còn có nhiều cuộc tấn công khác

Chương II: GIẢI PHÁP BẢO MẬT VOIP SỬ DỤNG CHUẨN H.235[4]

2.1 Vấn đề an ninh hiện nay và các mối đe dọa đến VoIP

2.1.1 Vấn đề an ninh hiện nay trong VoIP

Sự phổ biến của VoIP và nâng cao QoS trên mạng IP mang lại cho chúng

ta khả năng mới

- VoIP tối đa hóa khả năng sử dụng của mạng, giảm chi phí và thời gian, cung cấp các cơ hội dịch vụ mới

- VoIP mở rộng dịch vụ đến các địa điểm từ xa với chi phí thấp hơn

- VoIP mang lại cơ hội dịch vụ đa phương tiện mới, chẳng hạn như cuộc gọi dựa trên máy tính, hội nghị đa phương tiện dựa trên web

- Mạng dựa trên IP làm cho nó dễ dàng hơn trong việc thực hiện dịch vụ VoIP

Trong khi VoIP mang lại nhiều lợi ích cho chúng ta, nó cũng đưa ra vấn

đề an ninh ở phía trước Thông thường, một cuộc tấn công VoIP có mục đích phá hủy dịch vụ, ăn cắp dịch vụ hoặc phá hủy sự riêng tư Ví dụ về các cuộc tấn công VoIP

- Tấn công có thể sử dụng xác thực người dùng và các công cụ cho phép

để xâm nhập hệ thống, chia sẻ đặc quyền pháp lý với người sử dụng, ăn cắp thông tin nhạy cảm, hoặc truy cập trái phép vào tài nguyên mạng

- Bằng cách giả mạo IP hoặc chiếm quyền điều khiển phiên, một kẻ tấn công có thể truy cập mạng trong tên của một người sử dụng hợp pháp