ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Văn Mạnh BẢO MẬT TRONG VOIP KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Nghnh: Điệ n tƣ̉ – Viễ n thông H NỘI - 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Văn Mạnh BẢO MẬT TRONG VOIP KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Nghnh: Điệ n tƣ̉ – Viễ n thông Cán bộ hƣớng dẫn: PGS.TS. Nguyễ n Kim Giao H NỘI - 2010 LỜI CẢM ƠN Trƣớc hết em xin gửi tới PGS .TS. Nguyễ n Kim Giao lời cảm ơn chân thành và lng biết ơn sâu sắc! Thầ y đã trực tiếp hƣớng dẫn, chỉ bảo tận tình trong suốt quá trình em làm kha luận. Em xin chân thà nh cả m ơn cá c thầ y cô giáo trong phng thực tập h thống vin thông, các thy cô đã tạ o điề u kiệ n cho em mƣợ n thiế t bị và chỉ bả o tậ n tì nh giú p em hoàn thành các bài lab trong kha luận. Em cũng xin chân thành cảm ơn các thy cô giáo trong Trƣờng Đại học Công Ngh - Đại học Quốc Gia Hà Nội đã hết lng dạy bảo, giúp đỡ em trong những năm học Đại Học, giúp em c những kiến thức và kinh nghim quý báu trong chuyên môn và cuộc sống. Những hành trang đ là một tài sản vô giá, giúp cho em tới đƣợc những thành công trong tƣơng lai. Cuối cùng, em xin cảm ơn những ngƣời thân trong gia đình và bạn bè đã giúp đỡ, động viên em hoàn thành khó a luận. Hà Nội, tháng 05 năm 2010 Sinh viên Đỗ Văn Mạnh TM TẮT NỘ I DUNG KHÓ A LUẬ N Khóa luậ n tập trung tì m hiể u cơ bả n về bảo mật trong VoIP vớ i nhƣ̃ ng đặ c điể m, giao thƣ́ c và nhƣ̃ ng yêu cầ u. C kèm theo phn thực nghim và demo cuộc tấn công trong VoIP. Trên cơ sở cá i nhì n tổ ng quan về VoIP , kha luận nghiên cứu cụ thể cá c kỹ thuậ t đƣợc ứng dụng trong mạng VoIP nhƣ : Mô hình phân lớp mạng VoIP tham chiếu mô hình OSI, chồ ng giao thƣ́ c sƣ̉ dụ ng cho VoIP , đặ c biệ t quan tâm đế n hai giao thƣ́ c bá o hiu H.323 và SIP đƣợc sử dụng trong mạng VoIP. Một vấn đề quan trọng của kha luận nghiên cứu về bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các nguy cơ tấn công và từ đ c những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP. Trong phn thực nghim, kha luận trình bày cách cấu hình các thiết bị Cisco trong một mạng VoIP cơ sở, kha luận cũng đƣa ra một mô hình mạng VoIP dựa trên một mạng LAN đƣợc ứng dụng từ phn mềm do 3CX cung cấp. Ngoài ra kha luận cn demo một cuộc tấn công trong VoIP. MỤC LỤC Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP 1 1.1. Mạng đin thoại truyền thống và kỹ thuật chuyển mạch kênh [2], [4] 1 1.1.1. Sơ lƣợc về phát triển mạng đin thoại truyền thống 1 1.1.2. Kỹ thuật chuyển mạch kênh 2 1.2. Tổng quan về VOIP [2], [3], [4] 3 1.2.1. Kỹ thuật chuyển mạch gi 3 1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP 4 1.2.3. Các ứng dụng của VoIP 6 1.2.4. Các yêu cu phát triển VoIP 7 1.2.5. Mô hình mạng VoIP điển hình và các thành phn 7 1.2.6. Các cấu hình mạng VoIP 9 Chƣơng 2. MÔ HÌNH KIẾN TRÚC PHÂN TẤNG VÀ CÁC GIAO THỨC TRONG MẠNG VOIP [2], [4], [1], [10] 13 2.1. Lớp vật lý và lớp liên kết dữ liu (Link & Physical Layer) [4] 13 2.2. Lớp mạng 14 2.2.1. Giao thức IP 15 2.2.2. Giao thức ICMP 19 2.3. Tng giao vận 19 2.3.1. Giao thức UDP 20 2.3.2. Giao thức TCP 20 2.3.3. Giao thức SCTP [10] 23 2.4. Lớp ứng dụng 25 2.4.1. Giao thức RTP [10] 26 2.4.2. Giao thức RTCP [10] 29 Chƣơng 3. MẠNG VOIP VI CÁC GIAO THỨC BÁO HIU H .323/SIP 32 3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5] 32 3.1.1. Thành phn mạng VoIP với chuẩn H.323 32 3.1.2. Chồng giao thức H.323 36 3.1.3. Các thủ tục báo hiu và xử lý cuộc gọi VoIP-H.323 45 3.1.4. Nhận xét về mạng VoIP-H.323 51 3.2. Mạng VoIP với giao thức báo hiu SIP [1], [4], [7] 51 3.2.1. Các thành phn c trong mạng VoIP - SIP 51 3.2.2. Địa chỉ SIP 53 3.2.3. Các dịch vụ cung cấp bởi SIP 54 3.2.4. Bản tin trong SIP 54 3.2.5. Cuộc gọi SIP 59 3.3. Cuộc gọi liên mạng [1] 62 3.3.1. Cuộc gọi liên mạng SIP – H.323 62 3.3.2. Cuộc gọi liên mạng VoIP - PSTN 65 Chƣơng 4. LỖ HỔNG VÀ HỖ TRỢ BẢO MẬT TRONG VOIP 71 4.1. Lỗ hổng trong VoIP 71 4.1.1. Lỗ hổng đối với h thống H.323 71 4.1.2. Lỗ hổng đối với h thống SIP 73 4.1.3. Lỗ hổng do mạng và mô trƣờng 75 4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP 79 4.2. Hỗ trợ bảo mật trong H.323 và SIP 82 4.2.1. Hỗ trợ bảo mật cho H.323 82 4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP 91 4.3.1. VLAN 94 4.3.2. VPN 95 4.3.3. Firewall 98 4.3.4. NAT (Network Address Translation) 99 4.3.5. Một số chú ý khi sử dụng NAT và firewall trong h thống VoIP 100 4.3.6. Một số giải pháp cho vấn đề firewall 101 4.3.7. Giải pháp cho NAT 104 4.3.8. NIDS (Network Intrusion Detection System) 106 4.3.8. HIDS (Host-based Intrusion Detection System) 107 Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIẾT BỊ CISCO , TRIỂ N KHAI MÔ HÌNH VOIP TRONG MẠNG LAN VÀ DEMO TẤN CÔNG TRONG VOIP 109 5.1. Cấu hình VoIP mô hình phò ng thƣ̣ c hà nh 109 5.1.1. Cấ u hì nh giao thƣ́ c mặ c định củ a Gateway 109 5.1.2. Cấ u hì nh vớ i giao thƣ́ c SIP 114 5.2. Cấ u hì nh VoIP vớ i giao thƣ́ c H.323 c Gatekeeper 117 5.2.1. Các câu lnh dùng trong cấu hì nh mô hì nh nà y 117 5.2.2. Thƣ̣ c hiệ n và kế t quả 119 5.3. Thiế t lậ p mạ ng VoIP trong mộ t mạ ng LAN 122 5.3.1. Giớ i thiệ u và yêu cầ u củ a hệ thố ng 122 5.3.2. Cài đặt và đăng ký 123 5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến 131 KẾT LUẬN 133 BẢNG CC TỪ VIT TẮT Kí hiu viết tắt Viết đy đủ Ý nghĩa ACELP Algebraic Code Excited Linear Prediction Bộ mã hó a dƣ̣ đoá n tuyế n tí nh kí ch độ ng bằ ng mã ACK Acknowledgment Bản tin báo nhận ADPCM Adaptive Differential Pulse Code Modulation Điề u chế xung mã vi sai thí ch nghi ATM Asynchronous Transfer Mode Chế độ truyền không đồng bộ BES Back-End Server CAC Call Admission Control Điề u khiể n thu nạ p cuộ c gọ i CAS Channel Associated Signaling Báo hiu kênh liên kết CCS Common Channel Signaling Báo hiu kênh chung CDR Call Detail Record CQ Custom queuing Hàng đợi tùy chỉnh DTMF Dual-Tone MultiFrequency Báo hiu đa tn Dual -Tone GK Gatekeeper Thành phn điều khiển trong mạng H.323 GW Gateway Thiế t bị chuyể n kế t nố i hai mạ ng khá c nhau ICMP Internet Control Message Giao thƣ́ c bả n tin điề u khiể n internet hỗ Protocol trợ cho giao thƣ́ c IP IETF Internet Engineering Task Force Mộ t tổ chƣ́ c Viễ n thông quố c tế . Lƣ̣ c lƣợ ng chuyên phụ trá ch kỹ thuậ t kế t nố i mạng. IP Internet Protocol Giao thức Internet IPv4 IP version 4 Giao thức Internet phiên bản 4 IPv6 IP version 6 Giao thức Internet phiên bản 6 ISDN Integrated Services Digital Network Mạng tích hợp dịch vụ số ISUP ISDN User Part Phn ngƣời dùng ISDN ITU-T International Telecommunication Union- Telecommunication Standardization Sector Hip hội vin thông quốc tế - Tổ chức chuẩn chuẩn ha các kỹ thuật Vin thông. IUA ISDN User Adapter Bộ chuyển đổi ngƣời dùng ISDN LAN Local Area Network Mạng cục bộ M2PA MTP L2 Peer-to-Peer Adapter Bộ chuyển đổi bản tin lớp 2 ngang hàng M2UA MTP2 User Adapter Bộ chuyển đổi ngƣời dùng MTP2 M3UA MTP3 User Adapter Bộ chuyển đổi ngƣời dùng MTP3 MC Multipoint Controller Bộ phậ n điề u khiể n đa điể m MCU Multipoint Control Unit Đơn vị điề u khiể n đa điể m MG Media Gateway Thiết bị chuyển đổi thông tin đa phƣơng tin giữa các mạng khác nhau MGC Media Gateway Controller Điề u khiể n Media gateway MGCP Media Gateway Control Protocol Giao thƣ́ c điề u khiể n Media gateway MP Multipoint Processor Bộ xƣ̉ lý đa điể m OSI Open System Interference Mô hì nh tham chiế u mạ ng PABX Private Automatic Branch Exchange Tổ ng đà i cá nhân tƣ̣ độ ng PBX Private Branch Exchange Tổ ng đà i cá nhân PCM Pulse Code Modulation Kỹ thuật điề u chế xung mã POTS Plain old telephone service Dịch vụ đin thoại phát triển đu tiên và là hệ thố ng điệ n thoại analog PQ Priority queuing Hàng đợi ƣu tiên PSTN Public Switch Telephone Network Mạng đin thoại công cộng QoS Quality of Service Chất lƣợng dịch vụ RAS Register Admission Status Kênh báo hiu giữa gatekeeper và đu cuối H.323 RSVP Resource Reservation Protocol Giao thƣ́ c đị nh trƣớ c nguồ n tà i nguyên RTCP Real Time Control Protocol Giap thức điều khiển thời gian thực RTP Real Time Protocol Giap thức thời gian thực SAP Session Announcement Protocol Giao thức thông báo phiên [...]... mạng VoIP Các giao thức báo hiệu cơ bản trong VoIP  H.323 giao thức báo hiệu đƣợc định nghĩa bởi ITU_T H.323 định nghĩa một kiến trúc phân phối cho việc thiết lập các ứng dụng đa phƣơng tiện bao gồm cả VoIP 7 Bảo mật trong VoIP  SIP đƣợc định nghĩa trong IETF RFC 2543 SIP định nghĩa kiến trúc phân phối cho viêc thiết lập các ứng dụng đa phƣơng tiện bao gồm VoIP ̣  MGCP đƣợc định nghĩa trong. .. mạng VoIP Mạng VoIP cung cấp một số cấu hình cơ bản cho cuộc gọi nhƣ sau:  Cuộc gọi giữa các PCs hoặc giữa các IP phone Trong cấu hình này cuộc gọi hoàn toàn truyền trong mạng IP mà không kết nối với mạng ngoài PC ` PC IP Terminal ` Terminal GateKeeper Hình 4 Mô hình cuộc gọi giữa các PCs hoặc giữa các IP phone 9 Bảo mật trong VoIP  Cuộc gọi giữa một đầu cuối VoIP trong mạng IP sang một đầu cuối trong. .. tổng quát về các thành phần và cuộc gọi VoIP Nhƣng chƣơng sau của khoa luận sẽ đi sâu nghiên cứu tƣng mô hình với từng giao thức ̃ ́ ̀ cụ thể đƣợc sử dụng trong mạng VoIP 12 Bảo mật trong VoIP Chƣơng 2 MÔ HÌNH KIẾN TRÚC PHÂN TẤNG VÀ CÁC GIAO THỨC TRONG MẠNG VOIP [2], [4], [1], [10] Mạng VoIP đƣợc xây dựng trên nền tảng tham chiếu chuẩn mô hình OSI Mạng VoIP có mô hình kiến trúc phân tầng nhƣ... tất cả các host trong một miền mạng Địa chỉ IPv4 đƣợc chia thành 5 lớp A, B, C, D, E Hình 11 Lớp địa chỉ IPv4  Lớp A có 8 bit trong phần net ID và 24 bit trong phần host ID, đƣợc sử dụng cho các mạng có số lƣợng host lớn 17 Bảo mật trong VoIP  Lớp B có 16 bit trong phần net ID và 16 bit trong phần host ID, đƣợc sử dụng cho các mạng có số lƣợng host trung bình  Lớp C có 24 bit trong phần net... online, ̣ video, TFTP, DNS… Trong mạng VoIP, UDP đƣợc sử dụng kết hợp với giao thức RTP của lớp trên đam ̉ bảo tính thời gian thực trong truyền thoại Tín hiệu thoại sau khi đƣợc mã hóa đƣợc đóng gói sẽ thêm phần header của RTP sau đó chuyển xuống lớp 4 sƣ dụng UDP để đảm bảo ̉ độ trễ cho tín hiệu thoại Hình 13 Khuôn dạng gói tin UDP 2.3.2 Giao thức TCP 20 Bảo mật trong VoIP TCP là giao thức hƣớng... tiếng vọng không ảnh hƣởng nhiều, thì trong mạng IP do trễ lớn nên tiếng vọng ảnh hƣởng nhiều đến chất lƣợng thoại Vì vậy, tiếng vọng là một vấn đề cần phải giải quyết trong VoIP  Vấn đề bảo mật trong VoIP: Voice là một loại dữ liệu quan trọng mà lại truyền trên mạng IP có tính chất rộng khắp Chịu sự tấn công của những kẻ phá hoại là không thể tránh khỏi Mạng VoIP còn rất nhiều kẽ hở mà các nhà... tìm hiểu rõ hơn trong chƣơng 4 5 Bảo mật trong VoIP 1.2.3 Các ứng dụng của VoIP Sự phát triển mạng VoIP không thể độc lập tách rời hoàn toàn với mạng PSTN, nó đƣợc xây dựng để hoạt động song song cùng tôn tai vơi mạng PSTN vì phần lớn khách ̀ ̣ ́ hàng trên thế giới sử dụng dịch vụ PSTN và hệ thống cơ sở hạ tầng PSTN không thể dễ dàng bị phá vỡ Mục đích của các nhà cung cấp dịch vụ VoIP mong muốn... gian thực trong lớp giao vận còn có giao thức SCTP Lớp transport có một số nhiệm vụ  Cho phép nhiều ứng dụng truyên thông qua mạng tại cùng một thời điểm, trên ̀ 19 Bảo mật trong VoIP cùng một thiết bị  Đảm bảo dữ liệu đƣợc nhận tin cậy khi sử dụng giao thức TCP, sắp xếp đúng gói tin cho từng loại ứng dụng khác nhau  Cung cấp cơ chế truyền lại trong trƣờng hợp gói tin bị mất hoặc lỗi trong quá... cuộc gọi Nếu một trong hai gateway phát hiện ra chất lƣợng cuộc gọi không đảm bảo thì nó sẽ tự động chấm dứt cuộc gọi Giám sát cuộc gọi nằm trong giai đoạn thứ 2 của cuộc gọi, giai đoạn duy trì cuộc gọi ▪ Kết thúc cuộc gọi: Nếu ngƣời gọi kết nối với R1 chấm dứt cuộc gọi, R1 sẽ gửi thông báo cho R2 Trong chế độ này gateway sẽ khởi tạo quá trình chấm dứt cuộc gọi 11 Bảo mật trong VoIP  Điều khiển... Datagram ngƣời dùng VoIP Voice over IP Công nghệ truyền thoại trên mạng IP WAN Wide Area Network Mạng diện rộng WFQ Weighted fair queuing Hàng đợi cân bằng trọng số Bảo mật trong VoIP Chƣơng 1 TỔNG QUAN VỀ MẠNG VOIP 1.1 Mạng điện thoại truyền thống và kỹ thuật chuyển mạch kênh [2], [4] 1.1.1 Sơ lƣợc về phát triển mạng điện thoại truyền thống Điện thoại đã đƣợc sử dụng hàng trăm năm nay Trong giai đoạn . vỡ dịch vụ VoIP 79 4.2. Hỗ trợ bảo mật trong H.323 và SIP 82 4.2.1. Hỗ trợ bảo mật cho H.323 82 4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP 91 4.3.1 nghiên cứu về bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các nguy cơ tấn công và từ đ c những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP. Trong phn