Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban MỤC LỤC MỤC LỤC .1 DANH MỤC HÌNH ẢNH .4 DANH MỤC BẢNG BIỂU .6 THUẬT NGỮ VIẾT TẮT .7 LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ VoIP 10 1.1 Lịch sử phát triển 10 1.2 Giới thiệu chung VoIP .10 1.3 Các hình thức kết nối 12 1.4 Các thành phần mạng VoIP 14 1.5 Các định nghĩa thành phần VoIP 16 1.6 Các lợi ích VoIP .17 1.7 Ưu, nhược điểm công nghệ VoIP 17 CHƯƠNG CÁCH THỨC HOẠT ĐỘNG CỦA VoIP 20 2.1 Tổng quan cách thức hoạt động VoIP .20 2.2 Cách thức hoạt động .21 2.3 Các nhân tố ảnh hưởng tới VoIP 24 2.3.1 Trễ (Delay) .24 2.3.2 Sự biến thiên độ trễ (Jitter) 24 2.3.3 Mất gói 24 CHƯƠNG CÁC GIAO THỨC TRONG VoIP 25 3.1 Các giao thức truyền tải VoIP .25 3.1.1 Giao thức IP 25 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban 3.1.2 Giao thức TCP/IP 26 3.1.3 Giao thức UDP .27 3.1.4 Giao thức RTP/RTCP 27 3.2 Các giao thức báo hiệu VoIP 28 3.2.1 Giao thức H.323 .28 3.2.2 Giao thức SIP 36 3.2.3 So sánh H.323 SIP 42 CHƯƠNG TÍNH BẢO MẬT TRONG VoIP 44 4.1 Nhu cầu bảo mật 44 4.1.1 Tính tồn vẹn 44 4.1.2 Tính bí mật .44 4.1.3 Tính xác thực 44 4.1.4 Tính sẵn sàng 44 4.2 Những vấn đề bảo mật mà VoIP gặp phải 45 4.2.1 Nghe nén gọi 45 4.2.2 Truy cập trái phép(unauthorized access attack) 45 4.2.3 Caller ID spoofing 45 4.3 Một số cách công chặn gọi .46 4.3.1 Tấn công Replay 46 4.3.2 Tấn công tràn đệm 46 4.3.3 Tấn công man in the middle 46 4.3.4 Chặn đánh cắp gọi 47 4.3.5 Đầu độc DNS 47 4.3.6 Đánh lừa (ARP Spoofing) 48 4.3.7 Tấn công đánh lừa đầu cuối VoIP (Roque VoIP Endpoint Attack) 48 Tìm hiểu công nghệ VoIP GV Nguyễn Tiến Ban 4.3.8 Chiếm quyền đăng ký (Registration Hijacking) 49 4.3.9 Giả mạo ủy nhiệm 49 4.3.10 Lừa tính phí 49 4.3.11 Xáo trộn thông điệp 49 4.4 Hướng khắc phục biện pháp giải 49 4.4.1 VLAN 49 4.4.2 VPN .51 4.4.3 IP Security 52 4.4.4 Firewalls .54 4.4.5 NAT .54 4.4.6 Share-key (khoá dùng chung) 56 4.4.7 Public-Key Cryptography (Mật mã chìa khố-cơng cộng) 57 4.4.8 IDS (Intrusion Detection) 58 4.5 Bảo vệ thiết bị VoIP .59 CHƯƠNG ỨNG DỤNG VOIP TRONG THỰC TẾ 60 5.1 Các ứng dụng OTT .60 5.2 Tổng đài Voip, điện thoại Voip, Softphone 60 TỔNG KẾT 61 TÀI LIỆU THAM KHẢO .62 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban DANH MỤC HÌNH ẢNH Hình 1: Cơng nghệ VoIP sống 12 Hình 2: Kiểu kết nối PC to Phone .13 Hình 3: Kiểu kết nối Phone to Phone 14 Hình 4: Kiểu kết nối PC to PC 14 Hình 5: Các phân lớp mạng VoIP 15 Hình 6: Tiếng vọng (echo) thoại VoIP 19 Hình 1: Triển khai giọng nói sử dụng IP 20 Hình 1: Các thành phần mạng H.323 .33 Hình 2: Mơ tả hai bước đầu .34 Hình 3: Gửi thơng điệp cài đặt 34 Hình 4: Gửi thơng điệp call proceeding 35 Hình 5: Gửi thông điệp Alerting Connect 35 Hình 6: Trao đổi thơng điệp H.245 36 Hình 7: Proxy server 37 Hình 8: Redirect server 38 Hình 9: Thiết lập gọi với Redirect Server 39 Hình 10: Thiết lập gọi SIP với Proxy Server 40 Hình 1: VLAN 50 Hình 2: Mơ hình Client-to-LAN-VPN 51 Hình 3: Cấu trúc L2PT 52 Hình 4: Chứng thực mã hóa AH ASP .53 Hình 5: Cấu trúc gói IPsec transport mode 53 Hình 6: Cấu trúc gói IPsec tunnel mode 54 Hình 7: Quá trình thay đổi địa NAT 55 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Hình 8: Vị trí IDS hệ thống 58 Tìm hiểu công nghệ VoIP GV Nguyễn Tiến Ban DANH MỤC BẢNG BIỂU Bảng 1: So sánh hai giao thức H.323 SIP .43 Bảng 1: Mô tả cấp độ mà cấu trúc VoIP bị cơng .46 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban THUẬT NGỮ VIẾT TẮT Kí hiệu ADPM CPU DNS DSP GSM HTTP IEFT IP IPv4 IPv6 ISDN ISUP ITU-T IUA LAN LLC MAC MC MCU MGCP MIPS MP MTP M2UA M2PA M3UA OSI PAM PBX PC PCM Tên đầy đủ Adaptive Differential Pulse Code Modulation Central Processing Unit Domain Name System Digita Signalling Proccessor Global System for Mobie Ý nghĩa Điều chế xung mã vi sai thích nghi Đơn vị xử lý trung tâm Hệ thống phân giải tên miền Bộ xử lý tín hiệu số Hệ thống toàn cấu cho điện thoại di động Hypertext Tranfer Protocol Giao thức chuyển siêu văn Internet Engineering Task Force Tổ chức viễn thông quốc tế - Lực lượng chuyên phụ trách kỹ thuật kết nối mạng Internet Protocol Giao thức Internet IP version Giao thức Internet phiên IP version Giao thức Internet phiên Integrated Service Digital Mạng dịch vụ tích hợp số Network ISDN User Part Phần người dùng ISDN International Telecommunication Hiệp hội viễn thông quốc tế - Tổ Union - Telecommunication chức chuẩn hóa kỹ thuật viễn Standardization Sector thơng ISDN User Adapter Bộ chuyển đổi người dùng ISDN Local Area Network Mạng vùng cục Logic Link Control Điều khiển liên kết logic Media Access Control Điều khiển truy nhập môi trường Multipoint Controller Bộ phận điều khiển đa điểm Multipoint Control Unit Đơn vị điều khiển đa điểm Media Gateway Control Protocol Giao thức điều khiển Media Getway Millions of Instruction per Đơn vị thời gian (triệu/giây) second Multipoint Processor Bộ xử lý đa điểm Message Tranfer Part Phần truyền tin MTP2 User Adapter Bộ chuyển đổi người dùng MTP2 MTP L2 Peer-to-Peer Adapter Bộ chuyển đổi tin lớp ngang hàng MTP3 User Adapter Bộ chuyển đổi người dùng MTP3 Open System Interference Mơ hình tham chiếu mạng Pulse Amplitude Modulation Điều biên dạng xung Private Branche Xchange Tổng đài chi nhánh riêng Personnal Computer Máy tính cá nhân Pulse-Code Modulation Bộ mã hóa mã xung Tìm hiểu cơng nghệ VoIP PSTN QoS RAS RSVP RTP RTCP SAP SCN SCP SCCP SCTP SDP SIP SS7 SSP STP SUA TCAP TCP TUP UA UAC UAS UDP VoIP VPN WAN GV Nguyễn Tiến Ban Public Switch Telephone Mạng điện thoại công cộng Network Quality of Service Chất lượng dịch vụ Register Admission Status Báo hiệu đăng kí, cấp phép, thơng tin trạng thái Reservation Protocol Giao thức định trước nguồn tài nguyên Real-Time Transport Protocol Giao thức truyền thời gian thực Real-Time Transport Control Giao thức điều khiển truyền thời Protocol gian thực Session Announcement Protocol Giao thức thông báo phiên Switching Network Mạng chuyển mạch kênh Signal Control Point Điểm điều khiển báo hiệu Signaling Connection Control Phần điều khiển kết nối báo hiệu Part Stream Control Transmission Giao thức truyền điều khiển luồng Protocol Session Description Protocol Giao thức mô tả phiên Session Initiation Protocol Giao thức thiết lập phiên Signaling System No.7 Hệ thống báo hiệu số Switch Service Point Điểm dịch vụ chuyển mạch Signal Tranfer Point Điểm truyền báo hiệu SCCP User Adapter Bộ chuyển đổi người dùng SCCP Transaction Capabilities Phần ứng dụng cung cấp giao dịch Application Part Transmission Control Protocol Giao thức điều khiển truyền thông tin Telephone User Part Phần người dùng điện thoại User Agent Đại diện người sử dụng User Agent Client Đại diện người sử dụng khách hàng User Agent Server Đại diện người sử dụng máy chủ User Datagram Protocol Giao thức Datagram người dùng Voice over Internet Protocol Công nghệ truyền thoại mạng IP Virtual Private Network Mạng riêng ảo Wide Area Network Mạng băng rộng Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban LỜI NÓI ĐẦU VoIP công nghệ truyền thoại qua mạng IP VoIP đời bước đột phá lớn lĩnh vực viễn thông thừa hưởng ưu điểm mà mạng IP đem lại VoIP trở thành công nghệ phổ biến nhờ đáp ứng tốt yêu cầu chất lượng dịch vụ, giá thành, số lượng tích hợp dịch vụ thoại phi thoại, an tồn bảo mật thơng tin Ở Việt Nam cơng nghệ VoIP nhà khai thác dịch vụ viễn thông áp dụng cho gọi đường dài nước quốc tế như: Dịch vụ 171 VNPT, 178 Viettel, 179 EVN VoIP đem lại nhiều lợi năm gần năm tới VoIP hướng phát triển hợp lý có nhiều triển vọng nhà khai thác dịch vụ viễn thông Việt Nam Trong giới hạn đề tài, nhóm 10 tìm hiểu VoIP Nội dung đề tài bao gồm tìm hiểu tổng quan giao thức mạng VoIP cụ thể, từ phân tích lỗ hổng mạng VoIP công nghệ để khắc phục lỗ hổng Nội dung chia thành chương CHƯƠNG 1: TỔNG QUAN VỀ VOIP CHƯƠNG 2: CÁCH THỨC HOẠT ĐỘNG CỦA VOIP CHƯƠNG 3: CÁC GIAO THỨC TRONG VOIP CHƯƠNG 4: TÍNH BẢO MẬT TRONG VOIP CHƯƠNG 5: ỨNG DỤNG VOIP TRONG THỰC TẾ Mỗi thành viên nhóm phần cơng cơng việc dựa theo bảng phân công công việc ghi rõ nội dung phần Do thời gian hạn chế, nội dung tiểu luận khơng tránh khỏi thiếu sót, nhóm mong nhận nhận xét góp ý thầy bạn Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban CHƯƠNG TỔNG QUAN VỀ VoIP 1.1 Lịch sử phát triển Công nghệ viễn thông gần có nhiều thay đổi lớn, chuyển mạch kênh dần có xu hướng chuyển hoạt động chuyển mạch gói Sự đời điện thoại IP gây ý mạnh mẽ có khả trở thành tảng cho mạng thoại sử dụng công nghệ chuyển mạch gói VoIP phát triển từ năm 90 kỷ trước VoIP đời bước đột phá lớn lĩnh vực viễn thông, VoIP thừa hưởng ưu điểm mà mạng IP đem lại Công nghệ VoIP từ đời đến đƣợc nghiên cứu, phát triển để ngày đáp ứng tốt yêu cầu chất lượng dịch vụ, giá thành, số lượng tích hợp dịch vụ thoại phi thoại, an tồn bảo mật thơng tin Hiện chưa thể thay hoàn tồn mạng điện thoại chuyển mạch cơng cộng (PSTN) cơng nghệ VoIP cịn nhiều phức tạp bên giao thức chạy tảng IP Tuy nhiên gần giao thức cho báo hiệu gọi điều khiển thiết bị chuẩn hóa, gần đạt đến mơi trường có tính liên kết hoạt động cao Giao thức điều khiển truyền thông (MGCP) trở thành tiêu chuẩn thức, cải tiến thừa nhận gần phiên H.323 tạo điều kiện thuận lợi kết hợp giao thức khác để tạo giải pháp cho hệ thống truyền thoại hồn chỉnh đặc tính kết nối ngang cấp cho mạng gói Giao thức khởi tạo phiên (SIP) xem giao thức báo hiệu hệ thống chuyển mạch mềm 1.2 Giới thiệu chung VoIP VoIP (viết tắt Voice over Internet Protocol, nghĩa Truyền giọng nói giao thức IP) cơng nghệ truyền tiếng nói người (thoại) qua mạng máy tính sử dụng giao thức TCP/IP Nó sử dụng gói liệu IP (trên mạng LAN, WAN, Internet) với thông tin truyền tải mã hoá âm VoIP thường biết đến số tên khác như: điện thoại Internet, điện thoại IP, điện thoại dải rộng ( Broadband Telephony) Công nghệ chất dựa chuyển mạch gói, nhằm thay cơng nghệ truyền thoại cũ dùng chuyển mạch kênh Nó nén (ghép) nhiều kênh thoại đường truyền tín hiệu, tín hiệu truyền qua mạng Internet, giảm 10 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Server DNS nạn nhân chấp nhận yêu cầu hồ sơ mà chấp nhận chứa hồ sơ mà server cơng có Vì việc thêm vào hồ sơ A cho www.Attacker.com, server DNS nạn nhân nhận hồ sơ giả www.yourbank.com Nạn nhân vô tội bị hướng đến chuyển hướng lại đến attacker.com Trang web mà bất mà thời điểm muốn truy cập yourbank.com Trang web mà hồ sơ giả lưu trữ SIP URL thay cho địa website, vấn đề tương tự gặp phải môi trường VoIP Các loại đe doạ dựa vào vắng mặt bảo đảm nhận thực người tạo yêu cầu Các cơng loại cố gắng tìm kiếm để phá hoại tính tồn vẹn liệu đàm thoại.Các thảm hoạ việc cần thiết phải bảo mật dịch vụ để có khả nhận thực thể tạo yêu cầu để kiểm tra nội dung thông điệp điều khiển luồng không bị biến đổi phát 4.3.6 Đánh lừa (ARP Spoofing) ARP giao thức sở Ethernet ARP khơng có điều khoản cho câu hỏi nhận thực câu hỏi trả lời Thêm vào đó, ARP giao thức stateless, hầu hết hệ thống hoạt động cập nhật cache mà nhận lời đáp ARP, bất chấp gởi từ yêu cầu thực tế hay không Trong số công này, chuyển hướng ARP, đánh lừa ARP, đánh cắp ARP đầu độc cache ARP phương pháp để phá hoại trình ARP bình thường Sử dụng cơng cụ tuỳ thích Ettercap, Cain, Dsnif, thiết bị IP có hại đánh lừa thiết bị IP thơng thường cách gởi đáp ứng ARP không yêu cầu đến host mục tiêu Một đáp ứng ARP giả chứa địa phần cứng thiết bị bình thường địa IP thiết bị có ý đồ xấu 4.3.7 Tấn công đánh lừa đầu cuối VoIP (Roque VoIP Endpoint Attack) Giả mạo đầu cuối EP giao tiếp với dịch vụ VoIP cách dựa đánh cắp hay ước đoán nhận dạng, uỷ nhiệm truy cập mạng Ví dụ, đánh lừa đầu cuối EP sử dụng jack khơng bảo vệ hay tự động đăng ký thoại VoIP để vào mạng Ước chừng mật mã sử dụng để giả dạng 48 Tìm hiểu công nghệ VoIP GV Nguyễn Tiến Ban đầu cuối hợp pháp Việc quản lí tài khoản khơng chặt chẽ gia tăng nguy việc lợi dụng 4.3.8 Chiếm quyền đăng ký (Registration Hijacking) Cướp đăng ký xảy người công mạo nhận UA có giá trị để giữ thay đăng ký với địa công guye Các công nguyên nhân việc tất gọi đến gởi đến người công 4.3.9 Giả mạo ủy nhiệm Giả mạo uỷ nhiệm xảy người công đánh lừa uỷ nhiệm (proxy) việc truyền thông với proxy giả Nếu người công thành công việc giả mạo uỷ nhiệm, truy cập vào tất thơng điệp SIP 4.3.10.Lừa tính phí VoIP sử dụng server VoIP để đặt việc tính phí bất hợp pháp gọi qua PSTN Ví dụ, điều khiển truy cập khơng đầy đủ cho phép thiết bị giả đặt phí gọi cách gởi yêu cầu VoIP đến ứng dụng tiến hành gọi Các server VoIP bị hack thủ tục để tiến hành gọi miễn phí đến đích bên ngồi 4.3.11.Xáo trộn thơng điệp Bắt giữ, sửa đổi, đặt để không xác thực gói VoIP đến đầu cuối Các cơng xảy qua việc đánh cắp đăng nhập, giả mạo uỷ nhiệm, hay công thành phần VoIP thực mà tiến hành thông điệp SIP hay H.323, Server Proxy, Registration, Media gateway, hay tường lửa 4.4 Hướng khắc phục biện pháp giải Các công nghệ bảo mật giải pháp tối ưu góp phần giải vấn đề mạng VoIP Khi đưa nhu cầu bảo mật cho thiết bị VoIP, phần mơ tả vài cơng nghệ có sẵn để đảm bảo tính tồn vẹn,tính bí mật, tính chứng thực 4.4.1 VLAN 49 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Sự tích hợp thoại, liệu video mạng làm cho bảo mật hệ thống VoIP bị ảnh hưởng dịch vụ khác Để giải vấn đề ta tách biệt luận lý dịch vụ VLAN Lợi ích VLAN:  Giảm lưu lượng broadcast multicast có máy VLAN thơng tin với VLAN cấu hình switch  VLAN dễ dàng quản lý, giúp quản lý thiết bị cách tập trung VLAN xếp quản lý PC hay Softphone dựa vào chức năng, lớp dịch vụ, tốc độ kết nối tiêu chuẩn khác  Giảm delay jitter, cải thiện QoS  VLAN góp phần bảo mật hệ thống VoIP Lưu lượng VLAN đảm bảo (trừ sử dụng router) Nó làm giảm broadcast lưu lượng mạng mà điện thoại phải nhận Quản lý lưu lượng VLAN giúp cho lưu lượng SNMP syslog không bị nhiễu với liệu, dễ dàng việc quản lý mạng VLAN làm giảm nguy DoS Do muốn liên lạc VLAN phải qua lớp mạng, lưu lượng bị lọc ACL lớp mạng  Để bảo đảm an toàn cho lưu lượng lớp cần hạn chế quyền truy cập cổng console Switch cách sử dụng phương pháp chứng thực mạng RADIUS hay AAA Hình 1: VLAN 50 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban 4.4.2 VPN Công nghệ VPN cung cấp phương thức giao tiếp an toàn mạng riêng dựa hạ tầng mạng công cộng (Internet) VPN thường dùng để kết nối văn phòng, chi nhánh với nhau, người dùng từ xa văn phòng Cơng nghệ triển khai dùng giải pháp sau:  Frame Relay, ATM hay Leased Line  Các giao thức thuật toán dùng VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) Internet key Exchange (IKE) Có hai loại kết nối VPN: - Client – to – LAN - LAN – to – LAN 4.4.2.1 Client – to – LAN VPN Công nghệ VPN dựa kỹ thuật đường hầm (tunneling) Kỹ thuật bao gồm đóng gói, truyền đi, giải mã, định tuyến VPN có ba loại: Point – to –Point Tunneling Protocol (PPTP), Layer Tunneling Protocol (L2TP), IPsec Hình 2: Mơ hình Client-to-LAN-VPN a) Point – to – Point Tunneling Protocol Đây giao thức phát triển Microsoft, làm việc lớp mơ hình OSI PPTP đóng gói frame PPP vào gói IP cách sử dụng GRE (General Routing Encapsulation) Các hình thức đảm bảo bảo mật gồm: Chứng thực, mã hóa liệu, lọc gói PPTP 51 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban PPTP dùng giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver ver 2), PAP, MS-CHAP ver2 EAP-TLS xem bảo mật VPN server VPN client chứng thực lẫn Tải PPP frame mã hóa RSA (Rivest, Shamir and Adleman), RC4 (Rivest Cipher 4) Trong MS-CHAP ver1 giá trị băm LAN Windows NT sinh dựa password gửi song song từ client đến server Vì giá trị LAN manager hash bảo mật nên chương trình bẻ password cơng được, biết giá trị băm LAN, dùng để tìm giá trị Windows NT MS-CHAP ver khắc phục lỗi nhờ dùng chế mã hóa RSA RC4 có điểm yếu khóa mã hóa dựa password user client server dùng chung khóa mã hóa b) Layer Tunneling Protocol L2TP giao thức chuẩn IETF (RFC 2661) Khác với PPTP, L2TP chạy nhiều chuyển mạch khác X.25, Frame Relay, ATM, thường L2TP đóng gói PPP frame L2TP frame dùng UDP để truyền (không dùng GRE) Dùng UDP tốt cho dịch vụ thời gian thực Bản thân L2TP không đảm bảo bảo mật, cần giao thức vận chuyển bên làm điều Điều thực qua việc bảo mật PPP dùng Ipsec Hình 3: Cấu trúc L2PT 4.4.3 IP Security Với đặc điểm dễ bị bắt gói mạng IP nên yêu cầu mã hóa cần thiết cho hệ thống VoIP IPsec bảo mật thơng tin EP luồng liệu IPsec tập giao thức phát triển IETF, bảo mật lớp IP IPSec bao gồm thành phần: thành phần mã hóa (Encryption), trao đổi khóa (Security Association), đảm bảo toàn vẹn liệu (Data Integrity) kiểm tra nguồn gốc liệu (Origin Authentication) IPsec gồm hai giao thức: Authenticaion Header (AH) Encapsulating Security Payload (ESP) 52 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban - AH: chứng thực data chống replay, dùng giao thức IP số 51 - ESP: dùng giao thức IP số 50 ESP mã hóa chứng thực gói ban đầu (khơng có header), cịn AH chứng thực tồn gói (có header) khơng mã hóa Hình 4: Chứng thực mã hóa AH ASP IPsec gồm mode:  Tunnel mode: tạo thêm IP header gồm địa nguồn địa đích (có thể khác với địa nguồn địa đích gói IP) ESP chứng thực mã hóa gói IP, AH chứng thực thêm phần header  Transport mode: ESP mã hóa chứng thực gói IP (khơng có phầnheader), AH có chứng thực thêm phần header Hình 5: Cấu trúc gói IPsec transport mode 53 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Hình 6: Cấu trúc gói IPsec tunnel mode Trong trình thiết lập kết nối, VPN client VPN server thương lượng thuật tốn mã hóa sử dụng số thuật toán sau: DES, MD5, SHA, DH Security Association (SA) thường quản lý bời IKE SA thường dùng pre-shared key, mã hóa RSA chữ ký số IPsec chứng thực shared secret certificate, bảo mật so với PPTP chứng thực password user 4.4.4 Firewalls Đóng vai trị quan trọng việc bảo mật mạng liệu khỏi công từ bên ngồi Một số loại firewall sau bảo vệ liệu lớp khác mơ hình OSI:  Packet filtering firewall  Circiut level gateway firewall  Personal firewall Chức firewall thiết kế dành cho ứng dụng thời gian thực VoIP nên việc thiết lập firewall cho hệ thống VoIP làm cho hệ thống phức tạp số trình: port động trunking, thủ tục thiết lập gọi Ngoài ra, firewall cịn có nhiệm vụ điều khiển luồng thoại liệu 4.4.5 NAT Là kỹ thuật mà địa nguồn hay địa đích thay đổi qua thiết bị có chức NAT, cho phép nhiều host mạng nội dùng chung địa IP để mạng bên ngồi Ngồi one-to-one mapping cịn có many-to-one mapping hay cịn gọi NAPT (Network Address Port Translation) 4.4.5.1 Quá trình thay đổi địa NAT 54 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Hình 7: Quá trình thay đổi địa NAT NAT có sách:  Full: tất yêu cầu từ host bên (địa IP port) ánh xạ tới IP hay port đại diện bên ngồi, host bên ngồi gửi gói tới host bên biết địa ánh xạ  Restricted: cho phép host bên ngồi với IP X gửi gói cho host mạng bên host mạng bên gửi tới IP X gói trước  Port restricted: Giống Restricted one có thêm port Chính sách sử dụng để dùng chung địa IP đại diện bên  Symmetric: tất request từ IP hay port đến đích ánh xạ IP đại diện, tới đích khác IP đại diện khác 4.4.5.2 Lợi ích NAT Giảm bớt số IP cần dùng cách sử dụng chung IP đại diện để bên Với việc sử dụng chung IP đại diện để bên ngồi lưu lượng muốn truy nhập vào mạng bên phải qua NAT, bảo mật 4.4.5.3 Một số ý sử dụng NAT firewall hệ thống VoIP  Ảnh hưởng đến QoS Việc thiết lập firewall NAT gây trễvà jitter, làm giảm QoS Về chất, muốn cải thiện QoS trình xử lý gói qua firewall phải nhanh, mà khả xử lý gói firewall lại phụ thuộc vào lực CPU CPU xử lý gói chậm do: Header gói thoại phức tạp gói IP bình thường nên thời gian xử lý lâu hơn; số lượng gói RTP lớn làm firewall CPU bị qua tải 55 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban  Cuộc gọi tới Khi có gọi tới lưu lượng báo hiệu tới qua firewall, cần phải mở số port, điều gây nguy hiểm Với NAT điều khó khăn NAT dùng port động, mà host bên ngồi gọi cho host nằm sau NAT biết xác địa IP port  Voice Stream RTP dùng port động (1024-65534), RTPC quản lý luồng thoại port ngẫu nhiên, khó mà đồng port RTP RTPC Nếu hai host nằm sau NAT khó khăn NAT ánh xạ địa bên địa đại diện bên khoảng thời gian t(s) Nếu kết nối bị đứt hay khơng có lưu lượng qua NAT t(s) ánh xạ biến Nếu dùng TCP kết nối TCP kết thúc gọi kết thúc Nếu dùng UDP khơng nhận biết UDP phi kết nối Nếu sử dụng VAD có khả thơng tin kết nối bị xóa trước gọi thật kết thúc  Mã hóa Việc mã hóa giúp đảm bảo tính tồn vẹn liệu ta gặp số vấn đề với sử dụng NAT firewall: - Firewall chặn gói có header mã hóa - NAT dấu IP bên với mạng bên nên phương pháp chứng thực ESP AH Ipsec khơng hợp lệ 4.4.6 Share-key (khố dùng chung) Những cách tiếp cận Chìa khóa- Dùng chung: Một cách tiếp cận tới chứng thực hệ thống mà người gửi người nhận chia sẻ mật bí mật ( đơi tham chiếu tới chìa khóa- dùng chung) mà bên thứ ba Chúng ta sử dụng mật dùng chung để mã hóa nội dung thơng điệp truyền liệu mã hóa tới người nhận Trong trường hợp này, u cầu riêng tư đề cập khơng bên thứ ba đánh liệu vận chuyển nhìn nội dung thơng báo văn gốc Người nhận chạy giải thuật giải mã (sự mở khóa) với mật dùng chung đầu vào tạo lại thông báo văn gốc 56 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Một hệ thống mà có nhiều nguồn liệu gặp phải yêu cầu xác thực việc bảo đảm người gửi sử dụng chìa khóa cho liệu gửi Bạn sử dụng mật dùng chung để mã hóa nội dung thơng điệp truyền liệu mã hóa tới người nhận Trong trường hợp này, u cầu riêng tư đề cập khơng bên thứ ba đánh liệu vận chuyển nhìn nội dung thơng báo văn gốc Người nhận chạy giải thuật giải mã (sự mở khóa) với mật dùng chung đầu vào tạo lại thông báo văn gốc Một hệ thống mà có nhiều nguồn liệu gặp phải yêu cầu xác thực việc bảo đảm người gửi sử dụng chìa khóa cho liệu gửi Trong cách tiếp cận chìa khóa- dùng chung, người quản trị phải có chuẩn bị mật bí mật dùng chung Trong hệ thống mà có nhiều cặp người gửi/ nhận, việc đương đầu với chuẩn bị cao Ngồi ra, chìa khóa- dùng chung thỏa hiệp (stolen/ lost), Mọi thiết bị sử dụng chìa khóa dùng chung cần chuẩn bị với chìa khóa dùng chung 4.4.7 Public-Key Cryptography (Mật mã chìa khố-cơng cộng) Những khái niệm mật mã chìa khóa chung chìa khóa chữ ký số hóa khơng cân đối, mô tả mục sau đây: Những chìa khóa khơng cân đối: Những cặp chìa khóa khơng cân đối cặp chìa khóa (thơng thường độ dài cố định) tham chiếu tới chìa khóa cơng cộng chìa khóa riêng tư mà có liên quan tốn học đến lẫn Chúng thơng thường đại diện hệ mười sáu có đặc trưng sau đây: - Chỉ có chìa khố cơng cộng tương ứng giải mã giữ liệu mà mã hố với chìa khố riêng tư - Chỉ có cặp chìa khố riêng tư tương ứng giải mã liệu mà mã hố với chìa khố cơng cộng - Có mối quan hệ một-một chìa khố - Chìa khố riêng tư giữ bí mật, cịn chìa khố cơng cộng chia sẻ với người - Đối với chứng thực, người gửi sử dụng chìa khóa riêng tư riêng để mã hóa thơng điệp 57 Tìm hiểu cơng nghệ VoIP - GV Nguyễn Tiến Ban Đối với truyền thông an tồn, người gửi mã hóa nội dung thông báo cách sử dụng kỹ thuật mật mã chìa khóa- cơng cộng 4.4.8 IDS (Intrusion Detection) IDS hệ thống giám sát tất lưu lượng mạng IDS thiết bị thụ động, lưu lượng không qua nó, mà lấy tất gói mạng để phân tích Nếu có lưu lượng khơng bình thường thân phát cảnh báo cho người quản trị mạng biết Hình 8: Vị trí IDS hệ thống  Hoạt động IDS: IDS theo dõi tất trạng thái bình thường hệ thống phát công bất thường vào hệ thống Kiến trúc gồm Call State Fact Base, chứa trạng thái điều khiển biến trạng thái, cho phép theo dõi tiến trình gọi Thơng tin trạng thái cập nhật từ Event Distributor Attack Scenarino chứa kiểu công biết IDS quản lý thay đổi trạng thái gói phân tích chức Call basis Tất gói gọi phân thành nhóm, lại chia thành nhóm nhỏ dựa loại giao thức, đưa vào máy phân tích khác nhau, máy đồng tham số chung kiện nội Event Destributor phân loại gói nhận cho Attack Scenarino Các gói từ Event Destributor thông tin trạng thái từ Attack Scenarino/ Call State Fact Base đưa đến Analysis Engine Khi có bất thường giao thức hay 58 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban trùng với kiểu cơng biết trước IDS bật cờ cảnh báo cho người quản trị phân tích thêm 4.5 Bảo vệ thiết bị VoIP Để có tính sẵn sàng thiết bị VoIP, bạn cần phải bảo vệ thiết bị mà lưu lượng âm nguồn hay thiết bị đầu cuối thiết bị phải có khả chống lại công, mô tả chi tiết phần đây: Vơ hiệu hố cổng dịch vụ khơng thường sử dụng: Điển hình cổng dịch vụ không thường sử dụng mà mở thiết bị thoại làm cho chúng cơng kích tới khai thác hacker Luyện tập khuyến cáo vơ hiệu hố cổng thiết bị VoIP thiết bị hạ tầng IP (ví dụ switch, routers,…) sau vài điều mà bạn nên làm: - Vô hiệu hoá Telnet,TFTP, thiết bị tương tự chúng không sử dụng - Nếu bạn sử dụng quản lý mạng đơn giản (SNMP) thiết bị để thu nhặt liệu, nên đặt SNMP chế độ đọc (read-only) - Nếu bạn sử dụng quản trị mạng, ln ln sử dụng truy nhập an tồn với giao thức SSL - Vơ hiệu hố cửa không thường sử dụng Layer switches Sử dụng hệ thống bảo vệ xâm nhập dựa vào Host (HIPS): Bạn sử dụng HIPS để bảo mật cho thiết bị thoại nhân tố xử lý gọi HIPS phần mềm điển hình mà tập hợp thơng tin cách dùng đa dạng rộng rãi tài nguyên thiết bị CPU, login attemp, số lượng ngắn,…Thông tin so sánh chống lại tập hợp quy tắc để xác định phải xâm phạm bảo mật xảy Bằng việc phụ thuộc vào cách định hình tham số, hệ thống lấy hoạt động phịng ngừa, ví dụ kết thúc ứng dụng offending, nhịp độ liệu giới hạn từ người sử dụng địa IP 59 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban CHƯƠNG ỨNG DỤNG VOIP TRONG THỰC TẾ 5.1 Các ứng dụng OTT Ứng dụng OTT (Over-the-top app) thuật ngữ để ứng dụng nội dung âm thanh, video cung cấp tảng Internet không nhà cung cấp quan can thiệp vào Hầu hết ứng dụng OTT sử dụng công nghệ voip để thực gọi như: Zalo, Facebook, Viber, Skype, Telegram 5.2 Tổng đài Voip, điện thoại Voip, Softphone Bên cạnh ứng dụng OTT cơng nghệ Voip cịn ứng dụng để xây dựng hệ thống điện thoại Voip Các thiết bị đầu cuối gateway, điện thoại IP, phần mềm softphone 60 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban TỔNG KẾT Qua việc nghiên cứu VoIP, chúng em thấy hội hướng phát triển tương lai Các dịch vụ VoIP giúp doanh nghiệp có hệ thống tổng đài tư vấn, chăm sóc khách hàng chuyên nghiệp VoIP giúp cho doanh nghiệp giảm chi phí gọi, góp phần phát triền kinh tế, tạo điều kiện để nước ta có sản phẩm có ích đầu tư phát triền hướng Công nghệ Điện thoại VoIP dựa kỹ thuật chuyển mạch gói, thay cơng nghệ truyền thoại cũ dùng chuyển mạch kênh Tương tự cách thức gửi/nhận email, phần mềm hay liệu, VoIP chia nhỏ tín hiệu thoại thành gói liệu để gửi ráp lại trước đến người nghe 61 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban TÀI LIỆU THAM KHẢO https://en.wikipedia.org/wiki/Voice_over_IP https://viblo.asia/p/gioi-thieu-tong-quan-ve-voip-oOVlYBW458W https://vnpro.vn/thu-vien/voip-gom-nhung-thanh-phan-co-ban-nao-2250.html Trần Hoàng, (2010), Giải pháp bảo mật công nghệ VoIP, http://tailieu.vn/xemtailieu/cac-giai-phap-bao-mat-cong-nghe-voip.259896.html, ngày 01 tháng năm 2010 TS Nguyễn Chiến Trinh, PGS TS Nguyễn Tiến Ban, ThS Nguyễn Thị Thu Hằng, Bài giảng Internet giao thức-2014 TS.Hoàng Trọng Minh, ThS Nguyễn Thanh Trà, Bài giảng Báo hiệu điều kiển kết nối-2018 Phạm Minh Tuấn, (2009), Các mối đe dọa công VoIP, http://vnpro.org/forum/showthread.php/Các_mối_đe_dọa_và_tấn_công_trong_ VoIP , tháng năm 2008 62 ... giải cấp bách 18 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Hình 6: Tiếng vọng (echo) thoại VoIP 19 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban CHƯƠNG CÁCH THỨC HOẠT ĐỘNG CỦA VoIP 2.1 Tổng quan... Nam Trong giới hạn đề tài, nhóm 10 tìm hiểu VoIP Nội dung đề tài bao gồm tìm hiểu tổng quan giao thức mạng VoIP cụ thể, từ phân tích lỗ hổng mạng VoIP công nghệ để khắc phục lỗ hổng Nội dung... Hình 7: Quá trình thay đổi địa NAT 55 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban Hình 8: Vị trí IDS hệ thống 58 Tìm hiểu cơng nghệ VoIP GV Nguyễn Tiến Ban DANH MỤC BẢNG BIỂU Bảng