HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I - - TIỂU LUẬN CUỐI KỲ INTERNET VÀ GIAO THỨC Đề tài: “TÌM HIỂU VỀ VoIP VÀ MỘT SỐ VẤN ĐỀ BẢO MẬT TRONG VoIP” Giảng viên: PGS.TS.Nguyễn Tiến Ban MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH THUẬT NGỮ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ VoIP 1.1 Lịch sử phát triển 1.2 Giới thiệu chung VoIP 10 1.3 Các thành phần mạng VoIP 13 1.4 Các hình thức kết nối 16 1.5 Ưu, nhược điểm công nghệ VoIP 18 1.6 Yêu cầu phát triển chất lượng VoIP 20 1.7 Những khó khăn triển khai dịch vụ 21 1.8 Xu hướng phát triển 21 CHƯƠNG KIẾN TRÚC VÀ CÁCH THỨC HOẠT ĐỘNG TRONG VoIP 23 2.1 Kiến Trúc Mạng VoIP 23 2.1.1 Mơ hình kiến trúc phân tầng VoIP 23 2.1.2 Các kiến trúc phổ biến VoIP 25 2.2 Cách thức hoạt động VoIP 29 CHƯƠNG CÁC GIAO THỨC TRONG VoIP 32 3.1 3.1.1 Các giao thức truyền tải VoIP 32 Giao thức IP 32 3.1.2 Giao thức TCP/IP 33 3.1.3 Giao thức UDP 34 3.1.4 Giao thức RTP/RTCP 34 3.2 Các giao thức báo hiệu VoIP 35 3.2.1 Giao thức H.323 35 3.2.2 Giao thức SIP 45 3.2.3 So sánh H.323 SIP 49 CHƯƠNG CÁC MỐI ĐE DỌA VÀ SỰ TẤN CÔNG TRONG VOIP 50 4.1 Định Nghĩa Về Các Mối Đe Dọa Và Tấn Công Trong VoIP 50 4.2 Các công liên quan đến dịch vụ điện thoại 52 4.3 Tấn công từ chối dịch vụ (DoS) 52 4.4 Tấn công kiểu quấy rối 53 4.5 Truy cập trái phép ( Unauthorized Access) 54 4.6 Nghe trộm (Eavesdropping) 55 4.7 Giả mạo 57 4.8 Gian Lận ( Fraud) 58 CHƯƠNG 5: CÁC LỖ HỔNG VÀ CƠ CHẾ BẢO MẬT TRONG VOIP 60 5.1 Các lỗ hổng VoIP 60 5.1.1 Lỗ hổng mạng môi trường 60 5.1.2 Lỗ hổng SIP 67 5.1.3 Lỗ hổng bảo mật hệ thống H.323 69 5.2 Cơ chế bảo mật VoIP 71 5.2.1 Cơ chế bảo vệ tín hiệu 72 5.2.2 Cơ chế quản lí khóa 77 5.3 Một số chế công nghệ bảo mật khác 79 5.3.1 VLAN 79 5.3.2 VPN 80 5.3.3 Firewalls 82 5.3.4 NAT 82 5.3.5 IDS (Intrusion Detection) 84 TỔNG KẾT 86 TÀI LIỆU THAM KHẢO 87 DANH MỤC HÌNH ẢNH Hình 1: Mơ hình chung kết nối VoIP 10 Hình 2: Mơ hình thành phần VoIP 13 Hình 3: Sơ đồ hệ thống VoIP Gateway 14 Hình 4: Kiểu kết nối PC to Phone 16 Hình 5: Kiểu kết nối Phone to Phone 17 Hình 6: Kiểu kết nối PC to PC 18 Hình 7: Tiếng vọng (echo) thoại VoIP 20 Hình 1: Mơ hình tham chiếu OSI so với mơ hình mạng VoIP 23 Hình 2: Truyền thông P2P máy trạm 26 Hình 3: Triển khai giọng nói sử dụng IP 31 Hình 1: Các thành phần mạng H.323 35 Hình 2: Thiết lập báo hiệu H.323 trực tiếp thiết bị đầu cuối 42 Hình 3: Thiết lập báo hiệu H.323 định tuyến qua Gatekeeper 43 Hình 4: Thiết lập kết nối vùng dịch vụ 44 Hình 5: Thiết lập gọi với Redirect Server 47 Hình 6: Thiết lập gọi SIP với Proxy Server 48 Hình 1: Các vị trí xảy truy cập trái phép 54 Hình 2: Dùng Wireshark để xem lưu lượng mạng 56 Hình 3: ARP poisoning attack 57 Hình 1: Tấn cơng DoS 61 Hình 2: Tấn công Ping of Death 61 Hình 3: Tấn công SYN flood 62 Hình 4: Tấn cơng man in the middle 65 Hình 5: Tấn cơng tin đăng ký 68 Hình 6: Giả dạng Proxy 69 Hình 7: Chứng thực cho đăng kí thiết bị, bắt đầu chấm dứt gọi 73 Hình 10: VLAN 80 Hình 11: Mơ hình Client-to-LAN-VPN 81 Hình 12: Cấu trúc L2PT 82 Hình 13: Vị trí IDS hệ thống 84 Hình 14: Cấu trúc bên thiết bị IDS 85 THUẬT NGỮ VIẾT TẮT Kí hiệu ADPM CPU DNS DoS DDoS DSP GSM HTTP IEFT IP IPv4 IPv6 ISDN ISUP ITU-T IUA LAN LLC MAC MC MCU MGCP MIPS MP MTP M2UA M2PA M3UA OSI PAM PBX Tên đầy đủ Adaptive Differential Pulse Code Modulation Central Processing Unit Domain Name System Denial of Service Distributed Denial of Service Digita Signalling Proccessor Global System for Mobie Ý nghĩa Điều chế xung mã vi sai thích nghi Đơn vị xử lý trung tâm Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ phân tán Bộ xử lý tín hiệu số Hệ thống toàn cấu cho điện thoại di động Hypertext Tranfer Protocol Giao thức chuyển siêu văn Internet Engineering Task Force Tổ chức viễn thông quốc tế - Lực lượng chuyên phụ trách kỹ thuật kết nối mạng Internet Protocol Giao thức Internet IP version Giao thức Internet phiên IP version Giao thức Internet phiên Integrated Service Digital Mạng dịch vụ tích hợp số Network ISDN User Part Phần người dùng ISDN International Telecommunication Hiệp hội viễn thông quốc tế - Tổ Union - Telecommunication chức chuẩn hóa kỹ thuật viễn Standardization Sector thông ISDN User Adapter Bộ chuyển đổi người dùng ISDN Local Area Network Mạng vùng cục Logic Link Control Điều khiển liên kết logic Media Access Control Điều khiển truy nhập môi trường Multipoint Controller Bộ phận điều khiển đa điểm Multipoint Control Unit Đơn vị điều khiển đa điểm Media Gateway Control Protocol Giao thức điều khiển Media Getway Millions of Instruction per Đơn vị thời gian (triệu/giây) second Multipoint Processor Bộ xử lý đa điểm Message Tranfer Part Phần truyền tin MTP2 User Adapter Bộ chuyển đổi người dùng MTP2 MTP L2 Peer-to-Peer Adapter Bộ chuyển đổi tin lớp ngang hàng MTP3 User Adapter Bộ chuyển đổi người dùng MTP3 Open System Interference Mô hình tham chiếu mạng Pulse Amplitude Modulation Điều biên dạng xung Private Branche Xchange Tổng đài chi nhánh riêng PC PCM PSTN QoS RAS RSVP RTP RTCP SAP SCN SCP SCCP SCTP SDP SIP SS7 SSP STP SUA TCAP TCP TUP UA UAC UAS UDP VoIP VPN WAN Personnal Computer Pulse-Code Modulation Public Switch Telephone Network Quality of Service Register Admission Status Máy tính cá nhân Bộ mã hóa mã xung Mạng điện thoại công cộng Chất lượng dịch vụ Báo hiệu đăng kí, cấp phép, thơng tin trạng thái Reservation Protocol Giao thức định trước nguồn tài nguyên Real-Time Transport Protocol Giao thức truyền thời gian thực Real-Time Transport Control Giao thức điều khiển truyền thời Protocol gian thực Session Announcement Protocol Giao thức thông báo phiên Switching Network Mạng chuyển mạch kênh Signal Control Point Điểm điều khiển báo hiệu Signaling Connection Control Phần điều khiển kết nối báo hiệu Part Stream Control Transmission Giao thức truyền điều khiển luồng Protocol Session Description Protocol Giao thức mô tả phiên Session Initiation Protocol Giao thức thiết lập phiên Signaling System No.7 Hệ thống báo hiệu số Switch Service Point Điểm dịch vụ chuyển mạch Signal Tranfer Point Điểm truyền báo hiệu SCCP User Adapter Bộ chuyển đổi người dùng SCCP Transaction Capabilities Phần ứng dụng cung cấp giao dịch Application Part Transmission Control Protocol Giao thức điều khiển truyền thông tin Telephone User Part Phần người dùng điện thoại User Agent Đại diện người sử dụng User Agent Client Đại diện người sử dụng khách hàng User Agent Server Đại diện người sử dụng máy chủ User Datagram Protocol Giao thức Datagram người dùng Voice over Internet Protocol Công nghệ truyền thoại mạng IP Virtual Private Network Mạng riêng ảo Wide Area Network Mạng băng rộng LỜI NĨI ĐẦU VoIP cơng nghệ truyền thoại qua mạng IP VoIP đời bước đột phá lớn lĩnh vực viễn thông thừa hưởng ưu điểm mà mạng IP đem lại VoIP trở thành công nghệ phổ biến nhờ đáp ứng tốt yêu cầu chất lượng dịch vụ, giá thành, số lượng tích hợp dịch vụ thoại phi thoại, an tồn bảo mật thơng tin Tuy nhiên, để thiết lập hệ thống VoIP chất lượng dịch vụ vấn đề bảo mật cho hệ thống VoIP yếu tố quan trọng khơng Việc tích hợp dịch vụ thoại, liệu, video,… hạ tầng mạng IP mang đến nhiều nguy tiềm ẩn bảo mật Không mạng IP mạng công cộng, nguy công lớn mà thân giao thức VoIP có nguy bảo mật Nội dung đề tài bao gồm tìm hiểu tổng quan giao thức mạng VoIP cụ thể, từ phân tích lỗ hổng bảo mật mạng VoIP công nghệ để khắc phục lỗ hổng Nội dung chia thành chương CHƯƠNG 1: TỔNG QUAN VỀ VOIP CHƯƠNG 2: KIẾN TRÚC VÀ CÁCH THỨC HOẠT ĐỘNG CỦA VOIP CHƯƠNG 3: CÁC GIAO THỨC TRONG VOIP CHƯƠNG 4: CÁC MỐI ĐE DỌA VÀ SỰ TẤN CÔNG TRONG VOIP CHƯƠNG 5: CÁC LỖ HỔNG VÀ CƠ CHẾ BẢO MẬT TRONG VOIP Mỗi thành viên nhóm phần cơng cơng việc dựa theo bảng phân công công việc ghi rõ nội dung phần Do thời gian kiến thức chun mơn cịn hạn chế nên q trình làm tiểu luận khơng thể tránh thiếu sót định Nhóm thực mong giúp đỡ ý kiến đóng góp Thầy để tiểu luận cuối kỳ hoàn thiện CHƯƠNG TỔNG QUAN VỀ VoIP 1.1 Lịch sử phát triển Cơng nghệ viễn thơng gần có nhiều thay đổi lớn, chuyển mạch kênh dần có xu hướng chuyển hoạt động chuyển mạch gói Sự đời điện thoại IP gây ý mạnh mẽ có khả trở thành tảng cho mạng thoại sử dụng cơng nghệ chuyển mạch gói VoIP phát triển từ năm 90 kỷ trước VoIP đời bước đột phá lớn lĩnh vực viễn thông, VoIP thừa hưởng ưu điểm mà mạng IP đem lại Công nghệ VoIP từ đời đến đƣợc nghiên cứu, phát triển để ngày đáp ứng tốt yêu cầu chất lượng dịch vụ, giá thành, số lượng tích hợp dịch vụ thoại phi thoại, an tồn bảo mật thơng tin Đầu năm 1995 cơng ty VOCALTEC đưa thị trường sản phẩm phần mềm thực thoại qua Internet giới Sau có nhiều cơng ty tham gia vào lĩnh vực Tháng năm 1996, VOLCALTEC kết hợp với DIALOGIC tung thị trường sản phẩm kết nối mạng PSTN Internet Hiệp hội nhà sản xuất thoại qua mạng máy tính sớm đời thực chuẩn hóa dịch vụ thoại qua mạng Internet Việc truyền thoại qua Internet Việc truyền thoại qua Internet gây ý lớn năm qua dần ứng dụng rộng rãi thực tế Ở Việt Nam công nghệ VoIP nhà khai thác dịch vụ viễn thông áp dụng cho gọi đường dài nước quốc tế như: Dịch vụ 171 VNPT, 178 Viettel, 179 EVN VoIP đem lại nhiều lợi năm gần năm tới VoIP hướng phát triển hợp lý có nhiều triển vọng nhà khai thác dịch vụ viễn thông Việt Nam Hiện chưa thể thay hoàn toàn mạng điện thoại chuyển mạch công cộng (PSTN) công nghệ VoIP nhiều phức tạp bên giao thức chạy tảng IP Tuy nhiên gần giao thức cho báo hiệu gọi điều khiển thiết bị chuẩn hóa, gần đạt đến mơi trường có tính liên kết hoạt động cao Giao thức điều khiển truyền thông (MGCP) trở thành tiêu chuẩn thức, cải tiến thừa nhận gần phiên H.323 tạo điều kiện thuận lợi kết hợp giao thức khác để tạo Hình 7: Chứng thực cho đăng kí thiết bị, bắt đầu chấm dứt gọi Triển khai SIP thực thi challenge-authentication mức độ khác nhau,có thể vấn đề bảo mật không tối ưu Những vấn đề tạo hội cho công, chẳng hạn việc bắt đầu kết thúc gọi mà không chứng thực Để đảm bảo công giả mạo thông điệp không lặp lại, challenge authentication nên sử dụng cho tất thông điệp bao gồm việc tạo, chỉnh sửa chấm dứt phiên làm việc Những thông điệp bao gồm INVITE, BYE, ACK REFER Hiện hầu hết sản phẩm hỗ trợ việc xác thực SIP gồm phương thức INVITE REGISTETR b) Những lỗi phổ biến cần tránh triển khai SIP Authentication Cơ chế challenge-authentication cung cấp bảo vệ chống công quay trở lại, số triển khai SIP mang tính chất yếu cho phép phát lại thông điệp truy cập thành công vượt qua kiểm soát bảo mật Để tránh cạn bẫy này, yêu cầu nên làm theo bước sau:  Tạo chuổi nonce  Hỗ trợ SIP challenge authentication cho thông điệp SIP bắt đầu, thay đổi chấm dứt phiên làm việc  Tránh sử dụng nhớ đệm tái sử dụng thông tin xác thực người dùng 73  Sử dụng giao thức bảo mật mạng truyền thông để bảo vệ thông điệp báo hiệu 5.2.1.2 Bảo mật tầng vận chuyển Một giao thức hỗ trợ bảo mật tầng vận chuyển TLS (Transport Layer Security) Đây dạng giao thức bảo mật (Security Protocol) cung cấp mức độ riêng tư cao, tính tồn vẹn liệu giao tiếp mạng internet cung cấp khả thực chứng thực lẫn (client server Giao thức gồm có lớp: TLS Record Protocol TLS Handshake Protocol TLS Record Protocol nhằm mục đích trì kết nối an toàn điểm kết thúc TLS Handshake Protocol nơi lưu trữ thuộc tính mã hóa, khóa mã hóa q trình thực việc chứng thực để kết nối bên để đảm bảo an tồn bảo mật, đóng gói TLS Record Protocol TLS thiết kế để sử dụng giao thức vận chuyển đáng tin cậy TCP SCTP Điều cho ta thấy giao thức UDP không sử dụng trình vận chuyển gói tin để bảo vệ thông điệp SIP SIP sử dụng TLS để cung cấp bảo vệ cần thiết chống lại công nghe trộm, tin nhắn giả mạo,…Khi người dùng thực gọi trì mức độ riêng tư họ sử dụng SIPS URI (secure SIP SIP over TLS) để đảm trình vận chuyển gói tin an tồn, gói tin mã hóa để bảo vệ thơng điệp báo hiệu người dùng Thông điệp SIPS tương tự thơng điệp SIP (khơng mã hóa), truyền thông qua giao thức UDP, TCP, SCTP Sự khác biệt lớn chỗ:  Việc truyền gói tín hiệu TLS, thơng qua giao thức UDP TCP  Port SIPS 5061 Khi SIPS sử dụng, tất thông điệp SIP vận chuyển thông qua TLS, cung cấp mức độ bảo vệ thích hợp chống lại cơng nghe trộm,…Đồng thời TLS cung cấp phương tiện để chứng thực lẫn để bảo vệ chống lại công “man-in-the middle” Các mã sử dụng SIPS AES sử dụng khóa 128 bit CBC (Cipher Block Chaining) mã xác thực thông điệp SHA-1 để cung cấp tính tồn vẹn cho thơng điệp Một lợi ích khác việc sử dụng SIPS khả 74 trao đổi khóa mã hóa để mã hóa dịng phương tiện truyền thơng sử dụng SRTP Ưu nhược điểm việc sử dụng TLS: - Ưu điểm:  Hỗ trợ chứng thực lẫn  Cung cấp bảo mật toàn vẹn gói thơng điệp, bảo vệ chống lại công nghe lén, tin nhắn giả mạo,  TLS bảo vệ việc trao đổi khóa mã hóa  Cung cấp giao thức sử dụng rộng rãi ứng dụng intermet  Tác động không đáng kể so với giao thức bảo mật khác IPSec - Nhược điểm:  Yêu cầu sở hạ tầng để thực thi việc xác thực lẫn lớp SSL  Có thể sử dụng giao thức TCP SCTP không dùng UDP, gây ảnh hưởng đến việc triển khai SIP sử dụng UDP Triển khia SIP mạng lưới doanh nghiệp mạng lưới vận chuyển sử dụng SIP dùng giao thức UDP  Dễ bị công DOS, cơng TCP Flood nhằm mục đích tiêu thụ tài nguyên hệ thống 5.2.1.3 S/MIME S/MINE (Secure/Multipurpose Internet Mail Extensions) cung cấp việc chứng thực, tin cậy, toàn vẹn cho ứng dụng SMTP SIP MINE định nghĩa tập hợp chế mã hóa thể định dạng thông điệp phức tạp đa phương tiện (đồ họa clip âm thanh) kí tự ngơn ngữ S/MINE sử dụng để bảo vệ headers thông điệp SIP, cung cấp tin cậy end-to-end, toàn vẹn xác thực bên tham gia Không giống TLS, S/MINE cung cấp bảo mật linh hoạt chặt chẽ cho thông tin header thông điệp SIP S/MINE cho phép bạn chọn phần cần bảo mật cho thơng điệp SIP Và dùng với giao thức UDP TCP - Ưu điểm:  Được truyền độc lập sử dụng với giao thức UDP TCP 75  Cung cấp linh hoạt việc bảo vệ phần tin SIP  Cung cấp tin cậy , xác thực, tồn vẹn chống chối bỏ gói tin - Nhược điểm:  Đòi hỏi nhiều nổ lực để thực phức tạp u cầu sở hạ tầng so với giao thức khác TLS  Không triên khai rộng rãi  Khả mở rộng vấn đề khó khăn u cầu sở hạ tầng PKI 5.2.1.4 IPSec IPSec giao thức cung cấp bảo mật cho ứng dụng sử dụng UDP TCP để truyền gói tin IPSec sử dụng tunnel transport mode để bảo vệ tải trọng Bởi IPSec phổ biến nơi, cung cấp bảo mật , toàn vẹn xác thực cho gói tin Signaling media cách tạo tunnels an toàn điểm kết thúc IPsec gồm hai giao thức: Authenticaion Header (AH) Encapsulating Security Payload (ESP) - AH: chứng thực data chống replay, dùng giao thức IP số 51 - ESP: dùng giao thức IP số 50 ESP mã hóa chứng thực gói ban đầu (khơng có header), cịn AH chứng thực tồn gói (có header) khơng mã hóa Tunnel mode: tạo thêm IP header gồm địa nguồn địa đích (có thể khác với địa nguồn địa đích gói IP) ESP chứng thực mã hóa gói IP, cịn AH chứng thực thêm phần header Hình 8: Cấu trúc gói IPsec tunnel mode 76 Transport mode: ESP mã hóa chứng thực gói IP (khơng có phần header), AH có chứng thực thêm phần header Hình 9: Cấu trúc gói IPsec transport mode - Ưu điểm IPSec:  Là giao thức bảo mật phổ biến triển khai rộng rãi  Hoạt động lớp mạng, hỗ trợ cho giao thức UDP, TCP, SIP, RTP  Cung cấp bảo vệ chống lại công nghe lén, giả mạo thông điệp , DoS, …  Cung cấp tính bảo mật, tồn vẹn, xác thực chống chối bỏ gói tin - Nhược điểm:  Yêu cầu sở hạ tầng, chẳng hạn PKI  Thành phần trung gian phải đáng tin cậy  Đòi hỏi sở hạ tầng để chứng thực, đảm bảo tính tồn vẹn bảo mật  Không quy mô cho mạng lưới phân phối lớn ứng dụng ví dụ hội nghị 5.2.2 Cơ chế quản lí khóa 5.2.2.1 MIKEY MIKEY ( Multimedia Internet KEYing) định nghĩa IETF RFC 3830 phát triển để hỗ trợ vấn đề trao đổi khóa cho giao thức bảo mật SRTP IPSec Mặc dù SRTP giao thức hỗ trợ trực tiếp MIKEY, IPSec/ESP hỗ trợ cách phát triển từ profile tương ứng Là giải pháp quản lí khóa Nó có cách vận chuyển thiết lập khóa mã hóa: Pre-shared secret key (PSK), Public Key encryption (PKE), Diffie-Hellman (DH): 77  Pre-shared secret key (PSK), sử dụng để lấy khóa để mã hóa Mặc dù, khả mở rộng truyền thơng nhóm cách hiệu để xử lí truyền khóa  Public Key encryption (PKE): người sử dụng tạo mã số ngẫu nhiên, sau gửi đến người dùng từ xa cách sử dụng khóa cơng khai để mã hóa  Diffie-Hellman (DH): sử dụng để trao đổi khóa mạng peer- topeer, địi hỏi tồn sở hạ tầng PKI  PKI (Public Key Infrastructure): khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người sử dụng gửi thông tin quan trọng qua Internet hay mạng khác 5.2.2.2 SRTP Security Descriptions SRTP Security Descriptions không coi giao thức quản lí khóa chủ chốt MIKEY mà chế để thương lượng khóa mã hóa người dùng phiên làm việc unicast cách sử dụng truyền thông SRTP Việc trao đổi liệu tạo khóa, trường mã hóa sử dụng SDP (Session Description Protocol) SDP Security Descriptions thuộc tính SDP, dùng để báo hiệu thương lượng thông số mã hóa cho luồng SRTP, gồm: mật mã, thơng số khóa, thơng số phiên cho luồng unicast a=crypto: [] : số thập phân, nhận dạng thuộc tính crypto : thuật tốn chứng thực mã hóa : phương thức thơng tin khóa thực : thông số tùy chọn giao thức vận chuyển 5.2.2.3 Chữ ký số Chữ ký số phục vụ mục đích tương tự chữ ký giới thực để xác nhận thông điệp hay mẫu liệu Việc sử dụng chữ ký số mang lại số lợi điểm sau:  Khả nhận thực: Các hệ thống mật mã hóa cơng khai cho phép mật mã hóa văn với khóa bí mật mà có người chủ khóa biết Để sử dụng chữ ký 78 số văn khơng cần phải mã hóa mà cần mã hóa hàm băm nhỏ văn (thường có độ dài cố định ngắn văn bản) Khi cần kiểm tra, bên nhận giải mã (với khóa cơng khai) để lấy lại hàm băm kiểm tra với hàm băm văn nhận Nếu giá trị khớp bên nhận tin tưởng văn xuất phát từ người sở hữu khóa bí mật  Tính tồn vẹn: Cả hai bên tham gia vào q trình thơng tin tin tưởng văn không bị sửa đổi truyền văn bị thay đổi hàm băm thay đổi bị phát Q trình mã hóa ẩn nội dung gói tin bên thứ không ngăn cản việc thay đổi nội dung  Tính khơng thể phủ nhận: Trong giao dịch, bên từ chối nhận văn gửi Để ngăn ngừa khả này, bên nhận yêu cầu bên gửi phải gửi kèm chữ ký số với văn Khi có tranh chấp, bên nhận dùng chữ ký chứng để bên thứ ba giải Tuy nhiên, khóa bí mật bị lộ tính khơng thể phủ nhận khơng thể đạt đƣợc hồn tồn  Thực chữ ký số khóa cơng khai: Chữ ký số khóa cơng khai dựa tảng mật mã khóa cơng khai Để trao đổi thơng tin mơi trường này, người sử dụng có cặp khóa: cơng khai bí mật Khóa cơng khai cơng bố rộng rãi cịn khóa bí mật phải giữ kín khơng thể tìm khóa bí mật biết khóa cơng khai 5.3 Một số chế công nghệ bảo mật khác 5.3.1 VLAN VLAN hay gọi mạng LAN ảo Sự tích hợp thoại, liệu video mạng làm cho bảo mật hệ thống VoIP bị ảnh hưởng dịch vụ khác Để giải vấn đề ta tách biệt luận lý dịch vụ VLAN Lợi ích VLAN:  Giảm lưu lượng broadcast multicast có máy VLAN thơng tin với VLAN cấu hình switch 79  VLAN dễ dàng quản lý, giúp quản lý thiết bị cách tập trung VLAN xếp quản lý PC hay Softphone dựa vào chức năng, lớp dịch vụ, tốc độ kết nối tiêu chuẩn khác  Giảm delay jitter, cải thiện QoS  VLAN góp phần bảo mật hệ thống VoIP Lưu lượng VLAN đảm bảo (trừ sử dụng router) Nó làm giảm broadcast lưu lượng mạng mà điện thoại phải nhận Quản lý lưu lượng VLAN giúp cho lưu lượng SNMP syslog không bị nhiễu với liệu, dễ dàng việc quản lý mạng VLAN làm giảm nguy DoS Do muốn liên lạc VLAN phải qua lớp mạng, lưu lượng bị lọc ACL lớp mạng  Để bảo đảm an tồn cho lưu lượng lớp cần hạn chế quyền truy cập cổng console Switch cách sử dụng phương pháp chứng thực mạng RADIUS hay AAA Hình 10: VLAN 5.3.2 VPN Công nghệ VPN (Virtual Private Network ) cung cấp phương thức giao tiếp an toàn mạng riêng dựa hạ tầng mạng công cộng (Internet) VPN thường dùng để kết nối văn phòng, chi nhánh với nhau, người dùng từ xa văn phịng Cơng nghệ triển khai dùng giải pháp sau:  Frame Relay, ATM hay Leased Line 80  Các giao thức thuật toán dùng VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) Internet key Exchange (IKE) Có hai loại kết nối VPN: Client – to – LAN LAN – to – LAN Công nghệ VPN dựa kỹ thuật đường hầm (tunneling) Kỹ thuật bao gồm đóng gói, truyền đi, giải mã, định tuyến VPN có ba loại: Point – to –Point Tunneling Protocol (PPTP), Layer Tunneling Protocol (L2TP), IPsec Hình 11: Mơ hình Client-to-LAN-VPN + Point – to – Point Tunneling Protocol Đây giao thức phát triển Microsoft, làm việc lớp mơ hình OSI PPTP đóng gói frame PPP vào gói IP cách sử dụng GRE (General Routing Encapsulation) Các hình thức đảm bảo bảo mật gồm: Chứng thực, mã hóa liệu, lọc gói PPTP PPTP dùng giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver ver 2), PAP, MS-CHAP ver2 EAP-TLS xem bảo mật VPN server VPN client chứng thực lẫn Tải PPP frame mã hóa RSA (Rivest, Shamir and Adleman), RC4 (Rivest Cipher 4) Trong MS-CHAP ver1 giá trị băm LAN Windows NT sinh dựa password gửi song song từ client đến server Vì giá trị LAN manager hash bảo mật nên chương trình bẻ password cơng được, biết giá trị băm LAN, dùng để tìm giá trị Windows NT MS-CHAP ver khắc phục lỗi nhờ dùng chế mã hóa RSA RC4 81 có điểm yếu khóa mã hóa dựa password user client server dùng chung khóa mã hóa + Layer Tunneling Protocol L2TP giao thức chuẩn IETF (RFC 2661) Khác với PPTP, L2TP chạy nhiều chuyển mạch khác X.25, Frame Relay, ATM, thường L2TP đóng gói PPP frame L2TP frame dùng UDP để truyền (không dùng GRE) Dùng UDP tốt cho dịch vụ thời gian thực Bản thân L2TP khơng đảm bảo bảo mật, cần giao thức vận chuyển bên làm điều Điều thực qua việc bảo mật PPP dùng Ipsec Hình 12: Cấu trúc L2PT 5.3.3 Firewalls Đóng vai trị quan trọng việc bảo mật mạng liệu khỏi cơng từ bên ngồi Một số loại firewall sau bảo vệ liệu lớp khác mô hình OSI:  Packet filtering firewall  Circiut level gateway firewall  Personal firewall Chức firewall thiết kế dành cho ứng dụng thời gian thực VoIP nên việc thiết lập firewall cho hệ thống VoIP làm cho hệ thống phức tạp số trình: port động trunking, thủ tục thiết lập gọi Ngồi ra, firewall cịn có nhiệm vụ điều khiển luồng thoại liệu 5.3.4 NAT Là kỹ thuật mà địa nguồn hay địa đích thay đổi qua thiết bị có chức NAT, cho phép nhiều host mạng nội dùng chung địa IP để mạng bên ngồi Ngồi one-to-one mapping cịn có many-to-one mapping hay gọi NAPT (Network Address Port Translation) NAT có sách: 82  Full: tất yêu cầu từ host bên (địa IP port) ánh xạ tới IP hay port đại diện bên ngồi, host bên ngồi gửi gói tới host bên biết địa ánh xạ  Restricted: cho phép host bên ngồi với IP X gửi gói cho host mạng bên host mạng bên gửi tới IP X gói trước  Port restricted: Giống Restricted one có thêm port Chính sách sử dụng để dùng chung địa IP đại diện bên  Symmetric: tất request từ IP hay port đến đích ánh xạ IP đại diện, tới đích khác IP đại diện khác  Lợi ích NAT Giảm bớt số IP cần dùng cách sử dụng chung IP đại diện để bên Với việc sử dụng chung IP đại diện để bên ngồi lưu lượng muốn truy nhập vào mạng bên phải qua NAT, bảo mật  Một số ý sử dụng NAT firewall hệ thống VoIP  Ảnh hưởng đến QoS : Việc thiết lập firewall NAT gây trễvà jitter, làm giảm QoS Về chất, muốn cải thiện QoS trình xử lý gói qua firewall phải nhanh, mà khả xử lý gói firewall lại phụ thuộc vào lực CPU CPU xử lý gói chậm do: Header gói thoại phức tạp gói IP bình thường nên thời gian xử lý lâu hơn; số lượng gói RTP lớn làm firewall CPU bị qua tải  Cuộc gọi tới : Khi có gọi tới lưu lượng báo hiệu tới qua firewall, cần phải mở số port, điều gây nguy hiểm Với NAT điều khó khăn NAT dùng port động, mà host bên ngồi gọi cho host nằm sau NAT biết xác địa IP port  Voice Stream : RTP dùng port động (1024-65534), RTPC quản lý luồng thoại port ngẫu nhiên, khó mà đồng port RTP RTPC Nếu hai host nằm sau NAT khó khăn NAT ánh xạ địa bên địa đại diện bên khoảng thời gian t(s) Nếu kết nối bị đứt hay khơng có lưu lượng qua NAT t(s) 83 ánh xạ biến Nếu dùng TCP kết nối TCP kết thúc gọi kết thúc Nếu dùng UDP khơng nhận biết UDP phi kết nối Nếu sử dụng VAD có khả thơng tin kết nối bị xóa trước gọi thật kết thúc  Mã hóa : Việc mã hóa giúp đảm bảo tính tồn vẹn liệu ta gặp số vấn đề với sử dụng NAT firewall: + Firewall chặn gói có header mã hóa + NAT dấu IP bên với mạng bên nên phương pháp chứng thực ESP AH Ipsec không hợp lệ 5.3.5 IDS (Intrusion Detection) IDS hệ thống giám sát tất lưu lượng mạng IDS thiết bị thụ động, lưu lượng không qua nó, mà lấy tất gói mạng để phân tích Nếu có lưu lượng khơng bình thường thân phát cảnh báo cho người quản trị mạng biết Hình 13: Vị trí IDS hệ thống  Hoạt động IDS: IDS theo dõi tất trạng thái bình thường hệ thống phát cơng bất thường vào hệ thống Kiến trúc gồm Call State Fact Base, chứa trạng thái điều khiển biến trạng thái, cho phép theo dõi tiến trình gọi Thơng tin trạng thái cập nhật từ Event Distributor Attack Scenarino chứa kiểu công biết IDS quản lý thay đổi trạng thái gói phân tích chức Call basis Tất gói gọi phân thành nhóm, lại chia thành 84 nhóm nhỏ dựa loại giao thức, đưa vào máy phân tích khác nhau, máy đồng tham số chung kiện nội Event Destributor phân loại gói nhận cho Attack Scenarino Các gói từ Event Destributor thông tin trạng thái từ Attack Scenarino/ Call State Fact Base đưa đến Analysis Engine Khi có bất thường giao thức hay trùng với kiểu cơng biết trước IDS bật cờ cảnh báo cho người quản trị phân tích thêm Hình 14: Cấu trúc bên thiết bị IDS 85 TỔNG KẾT Qua tiểu luận nhóm em tìm hiểu nội dung ý nghĩa hệ thống VoIP, mối đe dọa hình thức cơng ảnh hưởng đến hệ thống Xác định thực phương thức công mạng VoIP, hiểu rõ phương thức công mạng VoIP: công nghe lén, công từ chối dịch vụ, dùng Brute-force đê đoán mật người dùng đầu cuối, Công nghệ Điện thoại VoIP dựa kỹ thuật chuyển mạch gói, thay cơng nghệ truyền thoại cũ dùng chuyển mạch kênh Tương tự cách thức gửi/nhận email, phần mềm hay liệu, VoIP chia nhỏ tín hiệu thoại thành gói liệu để gửi ráp lại trước đến người nghe Các dịch vụ VoIP giúp doanh nghiệp có hệ thống tổng đài tư vấn, chăm sóc khách hàng chuyên nghiệp VoIP giúp cho doanh nghiệp giảm chi phí gọi, góp phần phát triền kinh tế, tạo điều kiện để nước ta có sản phẩm có ích đầu tư phát triền hướng Do thời gian kiến thức chun mơn cịn hạn chế, nên q trình thực tiểu luận khơng thể tránh thiếu sót định, nhóm em mong nhận đóng góp ý kiến thầy để tiểu luận hoàn thiện 86 TÀI LIỆU THAM KHẢO https://en.wikipedia.org/wiki/Voice_over_IP https://viblo.asia/p/gioi-thieu-tong-quan-ve-voip-oOVlYBW458W https://vnpro.vn/thu-vien/voip-gom-nhung-thanh-phan-co-ban-nao-2250.html Trần Hồng, (2010), Giải pháp bảo mật cơng nghệ VoIP, http://tailieu.vn/xemtailieu/cac-giai-phap-bao-mat-cong-nghe-voip.259896.html, ngày 01 tháng năm 2010 TS Nguyễn Chiến Trinh, PGS TS Nguyễn Tiến Ban, ThS Nguyễn Thị Thu Hằng, Bài giảng Internet giao thức-2014 TS.Hoàng Trọng Minh, ThS Nguyễn Thanh Trà, Bài giảng Báo hiệu điều kiển kết nối-2018 Phạm Minh Tuấn, (2009), Các mối đe dọa công VoIP, http://vnpro.org/forum/showthread.php/Các_mối_đe_dọa_và_tấn_công_trong_ VoIP , tháng năm 2008 87 ... ẩn bảo mật Không mạng IP mạng công cộng, nguy công lớn mà thân giao thức VoIP có nguy bảo mật Nội dung đề tài bao gồm tìm hiểu tổng quan giao thức mạng VoIP cụ thể, từ phân tích lỗ hổng bảo mật. .. VÀ CƠ CHẾ BẢO MẬT TRONG VOIP 60 5.1 Các lỗ hổng VoIP 60 5.1.1 Lỗ hổng mạng môi trường 60 5.1.2 Lỗ hổng SIP 67 5.1.3 Lỗ hổng bảo mật hệ thống H.323 69 5.2 Cơ chế bảo mật. .. thoại VoIP nhà cung cấp khác Ngoài vấn đề chuyển mạch thuê bao ccasc miền khác nhau, vấn đề lộ trình vấn đề tương thích dịch vụ, vấn đê tốn cước phí nhà cung cấp dịch vụ khác chờ đợi Vấn đề mạng