1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên Cứu Triển Khai Giải Pháp Bảo Vệ Thông Tin Thoại Trên Nền Mạng IP Sử Dụng Asterisk Và Linphone (Luận Văn Thạc Sĩ)

51 6 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 51
Dung lượng 1,42 MB

Nội dung

Nghiên Cứu Triển Khai Giải Pháp Bảo Vệ Thông Tin Thoại Trên Nền Mạng IP Sử Dụng Asterisk Và Linphone (Luận Văn Thạc Sĩ) MỤC LỤC i CÁC KÝ HIỆU, CHỮ VIẾT TẮT iii LỜI MỞ ĐẦU 1 Chương 1 TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP (VoIP) 2 1.1. Hệ thống thông tin thoại trên nền mạng IP 2 1.1.1. Tổng quan về mạng VoIP 2 1.1.1.1. Ưu điểm của mạng VoIP 2 1.1.1.2. Nhược điểm của mạng VoIP 3 1.1.1.3. Các kiểu kết nối đầu cuối trong mạng VoIP 3 1.1.2. Mô hình kiến trúc tổng quan của mạng VoIP 4 1.1.3. Quá trình thiết lập cuộc gọi 5 1.1.4. Các nhân tố ảnh hưởng đến chất lượng của mạng VoIP 6 1.2. Các giao thức báo hiệu (Signaling Protocol) 7 1.2.1. Giao thức báo hiệu SIP (Session Initiation Protocol) 7 1.2.1.1. Các loại bản tin SIP 8 1.2.1.2. Mô tả cuộc gọi SIP 12 1.2.1.3. Các thành phần trong mạng SIP 14 1.2.2. Giao thức báo hiệu H.323 16 1.2.2.1. Các thành phần chính trong mạng H.323 17 1.2.2.2. Giao thức H.225 19 1.2.2.3. Giao thức H.245 20 1.3. Các giao thức truyền tải (Media Protocols) 20 1.3.1. RTP (Real-time Protocol) 20 1.3.2. RTCP (RTP Control Protocol) 21 Chương 2 GIẢI PHÁP BẢO VỆ CHO HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP 24 2.1. Các nguy cơ mất an toàn và một số tấn công thường gặp 24 2.1.1. Các nguy cơ mất an toàn từ môi trường mạng Internet 24 2.1.1.1. Tấn công nghe lén (Sniffing) 24 2.1.1.2. ARP – Address Resolution Protocol 25 2.1.1.3. Spam VoIP (SPIT) 26 2.1.1.4. DoS - Denial of Service 26 2.1.1.5. DDoS – Distribute DoS 28 2.1.2. Điểm yếu bảo mật trong giao thức SIP 30 2.2. Giải pháp bảo vệ hệ thống thông tin thoại cho hệ thống VoIP 31 2.2.1. Giải pháp bảo vệ giao thức báo hiệu SIP (SIPS) 32 2.2.2. Giải pháp bảo vệ giao thức truyền tải 35 2.2.2.1 SRTP (Secure Real-time Transport Protocol) 36 2.2.2.2 SRTCP (Secure RTCP) 38 2.2.3. Một số giải pháp nâng cao độ an toàn cho hệ thống VoIP 39 2.2.3.1. Firewall 39 2.2.3.2. DNSSEC (DNS Security Extensions) 40 2.2.3.3. IDS (Intrusion Detection System) 41 2.3. Bảo vệ hệ thống thông tin thoại sử dụng Asterisk và Linphone 42 2.3.1. Bộ phần mềm mã nguồn mở Asterisk 42 2.3.1.1. Kiến trúc của Asterisk 44 2.3.1.2. Cơ chế bảo mật của Asterisk 45 2.3.1.3. Các dịch vụ cơ bản của Asterisk 47 2.3.2. Bộ phần mềm mã nguồn mở Linphone 47 2.3.2.1. Kiến trúc hệ thống của Linphone 48 2.3.2.2. Ưu điểm bảo mật của Linphone 50 Chương 3 TRIỂN KHAI HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP SỬ DỤNG ASTERISK VÀ LINPHONE 53 3.1 Mô hình hệ thống 53 3.2 Quá trình cài đặt 53 3.3 Nhận xét độ an toàn 58 VoIP (Voice over Internet Protocol - truyền giọng nói trên giao thức IP) là công nghệ truyền thông tin thoại qua mạng Internet. Công nghệ này bản chất là dựa trên chuyển mạch gói nhằm phát triển công nghệ truyền thoại cũ dùng chuyển mạch kênh. Nó nén thông tin thoại thành các gói IP và sau đó truyền qua mạng Internet, vì thế nó có thể cung cấp các cuộc gọi miễn phí hoặc giúp làm giảm chi phí cuộc gọi đến mức thấp nhất. Giải pháp VoIP ngày càng được phổ biến bởi sự linh hoạt, tiện dụng và chi phí quản lý cũng như bảo trì hệ thống rất thấp. Tuy nhiên, bên cạnh những lợi ích mà VoIP mang lại, người dùng cũng phải đối mặt với rất nhiều nguy cơ mất an toàn khi sử dụng hệ thống này. Điển hình là các tấn công từ mạng Internet như đánh cắp dữ liệu, nghe lén, mạo danh,… Do đó, cần phải triển khai các giải pháp bảo vệ thông tin thoại trên nền mạng IP (VoIP). Một trong những giải pháp đó là dùng hệ thống VoIP sử dụng Asterisk và Linphone. Asterisk và Linphone là hai bộ phần mềm mã nguồn mở được cung cấp miễn phí và tương thích với khá nhiều thiết bị phần cứng. Trong đó, Asterisk thực hiện chức năng là một tổng đài điện thoại (PBX) cung cấp đầy đủ tính năng một tổng đài điện thoại thương mại, cũng như hỗ trợ rất nhiều giao thức VoIP như SIP, H.323,… Đặc biệt, Asterisk còn hỗ trợ thêm các giao thức an toàn như SIPS, SRTP,... để nâng cao độ an toàn của hệ thống. Linphone là một phần mềm mã nguồn mở và hỗ trợ nhiều giao thức bảo mật nên có độ an toàn cao và tương thích với nhiều hệ thống VoIP. Hơn hết Linphone có thể triển khai trên rất nhiều môi trường như Windows, Linux, IOS, Android,…

Viện Công Nghệ Thông Tin Và Truyền Thông ĐẠI HỌC BÁCH KHOA HÀ NỘI Luận Văn Thạc Sĩ Nghiên Cứu Triển Khai Giải Pháp Bảo Vệ Thông Tin Thoại Trên Nền Mạng IP Sử Dụng Asterisk Và Linphone Nguyen Thanh Long Ha Noi, 2023 i MỤC LỤC MỤC LỤC i CÁC KÝ HIỆU, CHỮ VIẾT TẮT iv LỜI MỞ ĐẦU Chương TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP (VoIP) 1.1 Hệ thống thông tin thoại mạng IP 1.1.1 Tổng quan mạng VoIP 1.1.1.1 Ưu điểm mạng VoIP 1.1.1.2 Nhược điểm mạng VoIP 1.1.1.3 Các kiểu kết nối đầu cuối mạng VoIP 1.1.2 Mơ hình kiến trúc tổng quan mạng VoIP 1.1.3 Quá trình thiết lập gọi 1.1.4 Các nhân tố ảnh hưởng đến chất lượng mạng VoIPLỗi! Thẻ đánh dấu không được xác định 1.2 Các giao thức báo hiệu (Signaling Protocol)Lỗi! Thẻ đánh dấu không được xác định 1.2.1 Giao thức báo hiệu SIP (Session Initiation Protocol)Lỗi! đánh dấu không được xác định Thẻ 1.2.1.1 Các loại tin SIP Lỗi! Thẻ đánh dấu không được xác định 1.2.1.2 Mô tả gọi SIP Lỗi! Thẻ đánh dấu không được xác định 1.2.1.3 Các thành phần mạng SIPLỗi! Thẻ đánh dấu không được xác định 1.2.2 Giao thức báo hiệu H.323Lỗi! Thẻ đánh dấu không được xác định 1.2.2.1 Các thành phần mạng H.323Lỗi! Thẻ đánh dấu không được xác định 1.2.2.2 Giao thức H.225 Lỗi! Thẻ đánh dấu không được xác định 1.2.2.3 Giao thức H.245 Lỗi! Thẻ đánh dấu không được xác định 1.3 Các giao thức truyền tải (Media Protocols) 1.3.1 RTP (Real-time Protocol) 1.3.2 RTCP (RTP Control Protocol) Chương GIẢI PHÁP BẢO VỆ CHO HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP 10 ii 2.1 Các nguy an tồn số cơng thường gặp 10 2.1.1 Các nguy an tồn từ mơi trường mạng Internet 10 2.1.1.1 Tấn công nghe (Sniffing) 10 2.1.1.2 ARP – Address Resolution Protocol 11 2.1.1.3 Spam VoIP (SPIT) 12 2.1.1.4 DoS - Denial of Service 12 2.1.1.5 DDoS – Distribute DoS 14 2.1.2 Điểm yếu bảo mật giao thức SIP 16 2.2 Giải pháp bảo vệ hệ thống thông tin thoại cho hệ thống VoIP 17 2.2.1 Giải pháp bảo vệ giao thức báo hiệu SIP (SIPS) 18 2.2.2 Giải pháp bảo vệ giao thức truyền tải 21 2.2.2.1 SRTP (Secure Real-time Transport Protocol) 22 2.2.2.2 SRTCP (Secure RTCP) 24 2.2.3 Một số giải pháp nâng cao độ an toàn cho hệ thống VoIP 25 2.2.3.1 Firewall 25 2.2.3.2 DNSSEC (DNS Security Extensions) 26 2.2.3.3 IDS (Intrusion Detection System) 27 2.3 Bảo vệ hệ thống thông tin thoại sử dụng Asterisk Linphone 28 2.3.1 Bộ phần mềm mã nguồn mở Asterisk 28 2.3.1.1 Kiến trúc Asterisk 30 2.3.1.2 Cơ chế bảo mật Asterisk 31 2.3.1.3 Các dịch vụ Asterisk 33 2.3.2 Bộ phần mềm mã nguồn mở Linphone 33 2.3.2.1 Kiến trúc hệ thống Linphone 34 2.3.2.2 Ưu điểm bảo mật Linphone 36 Chương TRIỂN KHAI HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP SỬ DỤNG ASTERISK VÀ LINPHONE 39 3.1 Mơ hình hệ thống 39 3.2 Quá trình cài đặt 39 3.3 Nhận xét độ an toàn 44 KẾT LUẬN 45 TÀI LIỆU THAM KHẢO 46 iii CÁC KÝ HIỆU, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Ý nghĩa AES Advance Encryption Standard Chuẩn mã hóa tiên tiến ARP Address Resolution Protocol Giao thức phân giải địa DOS Denial of Service Tấn công từ chối dịch vụ DDOS Distribute DOS Tấn công DOS quy mô lớn DNS Domain Name System Hệ thống phân giải tên miền DSP Digital Signal Processor Cơng nghệ xử lý tín hiệu số EP End Point Thiết bị cuối HTTP Hypertext Transfer Protocol Giao thức trao đổi thông tin website IETF Internet Engineering Task Force Tổ chức quản lý kỹ thuật IP Internet Protocol ITU-T International Telecommunication Giao thức Internet Union Tiêu chuẩn viễn thông – – Thuộc tổ chức viễn thông quốc tế Telecommunication Standardization Sector LAN Local Area Network Mạng cục MAC Media Access Control Điều khiển truy cập môi trường MCU Multipoint Control Unit Đơn vị điều khiển đa điểm PBX Private Branch Exchange Tổng đài nhánh riêng PSTN Public Switched Telephone Mạng điện thoại chuyển mạch Network công cộng RAS Registration Admission Status Trạng thái công nhận đăng ký RTP Real Time Protocol Giao thức truyền tải thời gian thực iv RTCP Real Time Control Protocol Giao thức điều khiển truyền tải thời gian thực SDP Session Description Protocol Giao thức mô tả phiên SIP Session Initiation Protocol Giao thức khởi tạo phiên SIPS Secure Protocol SNMP Simple Network Management Giao thức quản lý Session Initiation Giao thức khởi tạo phiên an toàn Protocol mạng TCP/IP SPIT Spam Over Internet Telephony Hiện tượng nhiều gọi không mong muốn hệ thống VoIP SRTP Secure Real Time Protocol Giao thức truyền tải thời gian thực an toàn TCP Transmission Control Protocol Giao thức điều khiển truyền vận TLS Transport Layer Security Bảo mật tầng giao vận UA User Agent Thiết bị đầu cuối giao thức SIP UDP User Datagram Protocol Giao thức truyền liệu VoIP Voice over Internet Protocol Truyền giọng nói giao thức IP ZRTP Zimmermann RTP Giao thức thỏa thuận khóa Zimmermann v LỜI MỞ ĐẦU VoIP (Voice over Internet Protocol - truyền giọng nói giao thức IP) cơng nghệ truyền thông tin thoại qua mạng Internet Công nghệ chất dựa chuyển mạch gói nhằm phát triển công nghệ truyền thoại cũ dùng chuyển mạch kênh Nó nén thơng tin thoại thành gói IP sau truyền qua mạng Internet, cung cấp gọi miễn phí giúp làm giảm chi phí gọi đến mức thấp Giải pháp VoIP ngày phổ biến linh hoạt, tiện dụng chi phí quản lý bảo trì hệ thống thấp Tuy nhiên, bên cạnh lợi ích mà VoIP mang lại, người dùng phải đối mặt với nhiều nguy an tồn sử dụng hệ thống Điển hình công từ mạng Internet đánh cắp liệu, nghe lén, mạo danh,… Do đó, cần phải triển khai giải pháp bảo vệ thông tin thoại mạng IP (VoIP) Một giải pháp dùng hệ thống VoIP sử dụng Asterisk Linphone Asterisk Linphone hai phần mềm mã nguồn mở cung cấp miễn phí tương thích với nhiều thiết bị phần cứng Trong đó, Asterisk thực chức tổng đài điện thoại (PBX) cung cấp đầy đủ tính tổng đài điện thoại thương mại, hỗ trợ nhiều giao thức VoIP SIP, H.323,… Đặc biệt, Asterisk hỗ trợ thêm giao thức an toàn SIPS, SRTP, để nâng cao độ an toàn hệ thống Linphone phần mềm mã nguồn mở hỗ trợ nhiều giao thức bảo mật nên có độ an tồn cao tương thích với nhiều hệ thống VoIP Hơn hết Linphone triển khai nhiều môi trường Windows, Linux, IOS, Android,… Chương TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP (VoIP) 1.1 Hệ thống thông tin thoại mạng IP 1.1.1 Tổng quan mạng VoIP VoIP - Voice over Internet Protocol công nghệ cho phép truyền thoại sử dụng giao thức mạng IP sở hạ tầng sẵn có mạng internet VoIP công nghệ quan tâm không nhà khai thác, nhà sản xuất mà với người sử dụng dịch vụ VoIP cho phép tạo gọi dùng kết nối băng thơng rộng thay dùng đường dây điện thoại tương tự (analog) Nhiều dịch vụ VoIP cho phép bạn gọi người khác dùng loại dịch vụ, nhiên có dịch vụ cho phép gọi người khác dùng số điện thoại số nội bộ, đường dài, di động, quốc tế Nguyên tắc hoạt động VoIP bao gồm việc số hố tín hiệu tiếng nói, thực việc nén tín hiệu số, chia nhỏ gói cần truyền gói tin qua mạng Khi tới nơi nhận gói tin ráp lại theo thứ tự tin, giải mã tín hiệu tương tự phục hồi lại tiếng nói ban đầu Chuyển đổi Analog - Digital Endpoint Nén liệu thoại RTP UDP Packet Chuyển đổi Digital - Analog Giải Nén liệu thoại RTP UDP Packet Hình 1.1 Quá trình xử lý liệu VoIP 1.1.1.1 Ưu điểm mạng VoIP Giảm chi phí dịch vụ đường dài: Đây ưu điểm bật mạng VoIP so với điện thoại thông thường Chi phí gọi chi phí truy cập Internet Các kỹ thuật nén thoại tiên tiến giúp sử dụng tối ưu băng thơng Khả mở rộng nâng cao ứng dụng: Ngoài ứng dụng thoại fax, mạng VoIP cịn mở nhiều tính dịch vụ thoại thông qua ứng dụng đa phương tiện truyền hình ảnh, liệu,… Ngồi mạng mở rộng cách dễ dàng Quản lý băng thông: Khi gọi diễn ra, lưu lượng mạng thấp băng thơng dành cho gọi cho chất lượng tốt nhất, lưu lượng mạng cao băng thơng dành cho gọi trì mức trung bình để đáp ứng cho nhiều người Điều làm tăng hiệu sử dụng điện thoại IP Tối ưu hệ thống: Vì truyền tin qua Internet nên có nhiều gọi khơng chiếm hết tồn kênh truyền gọi thơng thường Từ người dùng sử dụng tối đa tài nguyên hệ thống, kết hợp việc thoại với việc truyền file, mail, web,… 1.1.1.2 Nhược điểm mạng VoIP Kỹ thuật phức tạp: Truyền tín hiệu theo thời gian thức mạng chuyển mạch gói khó thực nên xảy tượng gói có độ trễ truyền tin mạng Để đạt chất lượng dịch vụ ổn định cần phải đạt yêu cầu như: Tỉ số nén lớn, có khả suy đốn tạo lại thơng tin gói bị thất lạc, tốc độ xử lý Codec,… Vấn đề bảo mật: Do sử dụng mạng Internet nên nguy an toàn từ mã độc hacker cao Các kẻ cơng ngăn chặn việc truyền liệu, nghe thực ăn cắp thông tin,… 1.1.1.3 Các kiểu kết nối đầu cuối mạng VoIP Computer to Computer: người dùng cần sử dụng chung dịch vụ VoIP, có thiết bị hỗ trợ hội thoại khơng giới hạn Mơ hình thường công ty, tổ chức, cá nhân sử dụng đáp ứng nhu cầu liên lạc mà không cần tổng đài nội Computer to Phone: Cần phải có tài khoản phần mềm nhà cung cấp Với dịch vụ máy PC kết nối với điện thoại phạm vi cho phép nhà c ung cấp, người gọi bị tính cước phí dựa lưu lượng gọi Chất lượng gọi phụ thuộc vào kết nối Internet dịch vụ nhà cung cấp Phone to Phone: Cần IP Phone, thoại truyền thông qua mạng IP 1.1.2 Mơ hình kiến trúc tổng quan mạng VoIP Mơ hình kiến trúc tổng quan VoIP Hình 1.2 Mơ hình kiến trúc tổng quan VoIP Hình cho ta thấy mơ hình tổng qt với yếu tố phổ biến mạng VoIP, cụ thể bao gồm: ‒ Telephone: Telephone IP Phone, softphone điện thoại truyền thống ‒ Gateway: Liên kết mạng VoIP với mạng điện thoại thông thường, xử lý gói tin chuyển gói tin cho điện thoại ‒ MCU (Multipoint control units): Dùng để hội thoại nhiều bên, MCU quản lý thành phần tham gia gọi ‒ Application Server: Cung cấp dịch vụ cho IP phone ‒ Gatekeepers: Cung cấp chức đăng ký, định tuyến quản lý thiết bị đầu cuối ‒ Call Agents: Cung cấp chức điều khiển gọi, quản lý băng thông,… ‒ Video endpoint: Cung cấp tính video cho người sử dụng 1.1.3 Quá trình thiết lập gọi Hình 1.3 Quá trình thiết lập gọi mạng VoIP Trong mơ hình có hai thành phần mạng VoIP: ‒ IP Phone: Là thiết bị giao diện đầu cuối người dùng với mạng VoIP Cấu tạo IP Phone gồm hai thành phần chính: + Thành phần báo hiệu mạng VoIP: Thường sử dụng giao thức SIP + Thành phần truyền tải media: Sử dụng giao thức RTP để truyền tải luồng media theo thời gian thực điều khiển giao thức RTCP ‒ VoIP Server: Là đầu não điều khiển hoạt động mạng Chức server tùy thuộc vào giao thức báo hiệu sử dụng thường có chức chung định tuyến, đăng kí xác thực người dùng, dịch địa chỉ,… Quá trình xử lý liệu: VoIP chuyển đổi tín hiệu giọng nói thơng qua mơi trường Internet Do vậy, trước hết giọng nói phải chuyển thành dãy bit kỹ thuật số đóng gói để truyền tải qua mạng cuối chuyển lại thành tín hiệu âm đến người sử dụng Tiến trình hoạt động VoIP thông qua hai bước: Asterisk gửi yêu cầu liên lạc với user B Asterisk user B xác thực thông qua chứng thư cấp Hai user A B xác thực liên lạc với thơng qua khóa phiên * SRTP Hình 2.24 SRTP Asterisk SRTP Asterisk nằm module res/res_srtp.c, module dùng để gọi hàm SRTP từ thư viện libSRTP Mỗi phiên SRTP Asterisk hỗ trợ bảo mật sau: ‒ Giá trị SSRC để xác định khởi tạo phiên SRTP ‒ Khóa bí mật khởi tạo người dùng gửi cho server SDP ‒ Sử dụng AES-128 để mã hóa ‒ Sử dụng HMAC-SHA1 để xác thực Từ gói tin RTP ban đầu, sau qua hàm SRTP_PROTECT (), gói tin mã hóa thêm phần thơng tin xác thực để thành gói SRTP 32 Gói tin SRTP giải mã hàm SRTP_UNPROTECT(), biến gói SRTP thành gói RTP xác thực gói tin 2.3.1.3 Các dịch vụ Asterisk Voicemail (hộp thư thoại): Đây tính cho phép hệ thống nhận thông điệp tin nhắn thoại, máy điện thoại khai báo hệ thống Asterisk cho phép khai báo thêm chức hộp thư thoại Mỗi số điện thoại bận hay “vùng phủ sóng” hệ thống asterisk định hướng trực tiếp gọi đến hộp thư thoại tương ứng khai báo trước Voicemail cung cấp cho người sử dụng nhiều tính lựa chọn như: Password xác nhận truy cập vào hộp thư thoại, gửi mail báo có thơng điệp Call Forwarding (chuyển gọi): Chức cho phép chuyển gọi đến hay nhiều số máy điện thoại định trước Một số trường hợp cần chuyển gọi như: Chuyển gọi bận, chuyển gọi không trả lời, chuyển gọi tức thời, chuyển gọi với thời gian định trước IVR (Interactive Voice Reponses – Đàm thoại tương tác): Khi gọi đến tổng đài sử dụng IVR, tùy vào tương tác thuê bao gọi đến, hệ thống Asterisk định hướng gọi theo yêu cầu người gọi Tính dùng để phát lại file, đọc văn có sẵn hệ thống chuyển hướng gọi theo tương tác người dùng Caller ID (hiển thị ID người gọi): Hiển thị thông tin người gọi hệ thống Privacy Manager, Blacklist, Call Parking: Các chức giúp người quản trị quản lý gọi hệ thống Có thể cấm gọi, chuyển hướng gọi cài đặt gọi hệ thống,… 2.3.2 Bộ phần mềm mã nguồn mở Linphone Linphone dự án mã nguồn mở công bố năm 2001 Simon Morlat Đây phần mềm mã nguồn sử dụng SIP Linux, trở nên phổ biến cộng đồng phát triển công nghệ Năm 2010, Simon Jehan Monnier thành lập Belledonne Communications, đơn vị thức sở hữu Linphone Hiện tại, trang web thức phần mềm linphone.org 33 Hình 2.25 Phiên nhất Linphone Linphone cung cấp dịch vụ VoIP giúp người giao tiếp với thông qua video, voice tin nhắn văn môi trường internet Linphone xây dựng dựa SIP, tương thích với hệ thống VoIP sử dụng SIP Trải qua trình phát triển linphone triển khai desktop (Windows, MacOSX, Linux), mobile (IOS, android, Windows phone, Blackberry) 2.3.2.1 Kiến trúc hệ thống Linphone Hình 2.26 Kiến trúc hệ thống Linphone 34 Như hình ta thấy kiến trúc hệ thống Linphone gồm tầng chính: LINPHONE: Đây tầng cao kiến trúc, giao tiếp với giao diện người dùng, thư viện phía build đầy đủ ngôn ngữ để hỗ trợ lập trình viên sử dụng cách dễ dàng để viết ứng dụng hệ điều hành LIBLINPHONE: Nằm vị trí thứ kiến trúc hệ thống, tầng quản lý logic liên quan tới thiết lập gọi gửi tin nhắn Giao thức SIP triển khai tầng này, ngồi cịn có nhiệm vụ làm lớp trung gian nhận cấu hình liên quan tới codecs (bộ mã hoá giải mã video, audio) Tầng cài đặt thiết lập gọi, xử lý gói tin, đọc phân loại đâu tin báo hiệu đâu tin nhắn, đẩy thông báo lên cho tầng cao hiển thị cho người dùng MEDIA STREAMER2: Nằm phía sau tầng LIBLINPHONE, nhiệm vụ tầng mã hoá giải mã liệu, Linphone cung cấp nhiều module để nhà phát triển lựa chọn codecs phù hợp với mục đích sử dụng miễn phí hay trả phí BELLE-SIP: Tầng nằm gần cuối kiến trúc Linphone, quản lý cấu hình gói tin SIP, thực nhiệm vụ liên quan tới phân chia cổng đón nhận gói tin quản lý kết nối, sử dụng giao thức UDP, TCP, TLS để truyền gói tin oRTP: Đây tầng thấp kiến trúc Linphone có nhiệm vụ truyền gói tin theo thời gian thực Ngồi việc phân nhỏ gói tin để truyền đi, tầng cịn có nhiệm vụ đo đạc tỷ lệ gói tin bị để thơng báo lên tầng phía qua đưa giải pháp để thay đổi cấu hình codecs giúp tăng giảm kích thước liệu gửi 35 2.3.2.2 Ưu điểm bảo mật Linphone Hình 2.27 Flexisip Server Linphone sử dụng Flexisip Server để triển khai máy chủ SIP Dịch vụ tương tác với nhiều thiết bị cung cấp tất dịch vụ SIP Ngoài cung cấp dịch vụ máy chủ SIP thơng thường, Flexisip Server cịn hỗ trợ giao thức SIPS có độ bảo mật cao (SIPS trình bày phần 2.2.1 đồ án), có chế xác thực người dùng gửi thông báo đẩy đến người dùng với độ tin cậy cao Khi tạo tài khoản, tài khoản đồng vào sở liệu máy chủ, người dùng cung cấp mã QR URL để tránh giả mạo Để xác thực tính toàn vẹn tập tin, Linphone sử dụng hàm băm mật mã MD5, SHA-256 Hiện nay, SHA-256 đáng giá hàm băm an tồn sử dụng Để mã hóa thơng tin thoại hình ảnh, Linphone cung cấp giao thức SRTP, ZRTP DTLS Các giao thức tùy chọn sử dụng tùy theo nhu cầu người dùng 36 Hình 2.28 Tùy chọn mã hóa linphone * ZRTP (Zimmerman RTP) ZRTP giao thức thỏa thuận khóa (key-agreement) điểm đầu cuối, khóa sử dụng để mã hóa thơng tin truyền điểm gọi VoIP dựa RTP ZRTP sử dụng giao thức trao đổi khóa Diffie-Hellman SRTP để mã hóa liệu Khóa ZRTP khởi tạo riêng theo phiên Bản chất ZRTP độc lập với giao thức báo hiệu sử dụng RTP để trao đổi khóa nên ZRTP sử dụng kết hợp với nhiều giao thức VoIP (SIP, H.323, …) giao thức sử dụng RTP để truyền liệu Cấu trúc gói tin ZRTP miêu tả hình sau: Hình 2.29 Cấu trúc gói tin ZRTP Sequence Number: Là số đếm, tăng lên gói ZRTP gửi Số đếm khởi tạo số ngẫu nhiên Mục đích để ước lượng gói bị để phát gói ZRTP đến khơng thứ tự Magic Cookie ‘ZRTP’: Là chuỗi 32 bit dùng để nhận dạng gói ZRTP có giá trị 0x5a525450 Source Identifier: Là số SSRC luồng ZRTP để thay gói ZRTP 37 ZRTP Message: Dùng để mã hóa tin nhắn, độ dài phụ thuộc vào độ dài tin nhắn CRC: Sử dụng 32 bit CRC để phát lỗi Về phần bảo mật, ZRTP sử dụng chuỗi xác thực ngắn SAS (short authentication string) để xác thực người dùng Để thực xác thực, hai phía người dùng phải đọc to giá trị SAS tính tốn thơng qua kết nối giọng nói thiết lập Nếu giá trị hai đầu cuối kết nối voice thực thể tham gia sử dụng khóa giống để mã hóa Ngồi ra, ZRTP cịn có chế độ “baby duck security” để xác thực q trình trao đổi khóa Diffie-Hellman Tất người dùng tham gia vào liên lạc phải lưu lại khóa bí mật chia sẻ mà sử dụng phiên liên lạc, khóa sử dụng tính tốn khóa chia sẻ phiên liên lạc để nhận giá trị khóa Diffie-Hellman Điều nghĩa có cơng xảy kẻ cơng phải có mặt tất phiên liên lạc phiên liên lạc đầu tiên, q trình gây khó khăn cho kẻ cơng Ngồi ra, Linphone cịn có tính gọi điện nhắn tin nâng cao: Gọi video với chất lượng HD (hỗ trợ codec H.264, H.265 VP8), thực đàm thoại hội nghị, chuyển gọi quản lý nhiều gọi, ghi âm gọi phát lại; thực trị chuyện nhóm, chia sẻ tập tin,… Cung cấp tất dịch vụ điện thoại thông thường Kết luận chương: Dựa sở lý thuyết tìm hiểu chương trước, chương tìm hiểu cơng, nguy an toàn từ mạng Internet điểm yếu giao thức Từ đưa giải pháp bảo mật cho hệ thống VoIP sử dụng SIPS SRTP Tìm hiểu hệ thống VoIP sử dụng Asterisk Linphone Kiến thức chương sở lý thuyết để tiến hành cài đặt hệ thống VoIP sử dụng Asterisk Linphone có triển khai giải pháp bảo mật chương 38 Chương TRIỂN KHAI HỆ THỐNG THÔNG TIN THOẠI TRÊN NỀN MẠNG IP SỬ DỤNG ASTERISK VÀ LINPHONE Từ kết tìm hiểu chương 1, chương Chương triển khai hệ thống thông tin thoại mạng IP sử dụng Asterisk Linphone 3.1 Mơ hình hệ thống Mơ hình: Hình 3.1 Mơ hình hệ thống Mục tiêu: Thiết lập gọi hai máy ảo sử dụng Linphone thông qua Asterisk sử dụng mạng Wifi Bắt gói phân tích gói thực gọi Phần mềm cần thiết: ‒ VMware WorkStation ‒ AsteriskNOW ‒ Linphone ‒ Wireshark 3.2 Quá trình cài đặt Tiến hành cài đặt hệ thống Asterisk 39 Hình 3.2 Hệ thống Asterisk Tiến hành cài đặt Linphone cho máy ảo Hình 3.3 Giao diện Linphone 40 Thiết lập cấu hình hệ thống: Sau cài đặt AsteriskNOW Linphone máy ảo, thiết lập cổng mạng thành cổng NAT để máy ảo máy thật sử dụng mạng Khởi động dịch vụ Asterisk: Hình 3.4 Khởi động dịch vụ Asterisk Vào trình duyệt web truy cập vào địa 192.168.50.137 để truy cập vào diện hệ thống: Hình 3.5 Giao diện hệ thống Tiến hành tạo user thực gọi thông qua tổng đài Asterisk 41 Hình 3.6 Hai user thiết lập gọi chưa được mã hóa Hình 3.7 Các gói tin TLS chưa được mã hóa Tiến hành tạo chứng thư thiết lập cài đặt mã hóa SRTP server Asterisk Hình 3.8 Cài đặt mã hóa SRTP TLS Khi hai user thiết lập gọi, sử dụng phần mềm wireshark để bắt gói tin phân tích 42 Hình 3.9 Quá trình liên lạc user Bắt gói tin truyền liệu user sau: Hình 3.10 Các gói tin sử dụng giao thức SRTP Hình 3.11 Các gói tin sử dụng TLS mã hóa Các gói tin bảo mật giao thức SRTP TLSv1 Khi phân tích gói tin nghe tiếng rè, khơng tìm rõ Hình 3.12 Phân tích gói SRTP 43 3.3 Nhận xét độ an toàn Sau triển khai hệ thống VoIP sử dụng Asterisk Linphone, em nhận thấy thống có độ an tồn cao, dễ quản lý sử dụng, chi phí xây dựng hệ thống thấp có khả tùy biến Asterisk Linphone hỗ trợ bảo mật SIPS để bảo vệ tín hiệu báo hiệu SRTP để bảo mật luồng liệu thoại Trên hệ thống Asterisk, TLSv1 sử dụng để bảo mật tín hiệu báo hiệu Đây giao thức đáng tin cậy IETF công bố RFC 5246 TLSv1 tạo nên kết nối an tồn che giấu nội dung thơng tin người dùng Độ an toàn TLS phụ thuộc vào chứng thư cấp, nên sinh chứng thư đảm bảo theo tiêu chuẩn an toàn Để bảo vệ luồng liệu thoại, SRTP phương án tối ưu hệ thống VoIP Asterisk hỗ trợ SRTP với AES-128 HMACSHA1 Cả hai thuật toán mật mã lý thuyết nhiều thời gian cơng Vì người dùng bảo vệ q trình trao đổi khóa SRTP liệu hệ thống VoIP an toàn Tuy nhiên, thuật toán dùng theo chuẩn chung giới nên có khả người dùng nên thay thuật tốn mã hóa thuật tốn mật mã đảm bảo độ an tồn Trong trường hợp này, hệ thống Asterisk Linphone có ưu lớn để thực phần mềm mã nguồn mở Ngồi ra, người dùng nâng cao độ bảo mật cách xây dựng thêm hệ thống hỗ trợ cho VoIP IDS trình bày phần 2.2.3.3 đồ án Kết luận chương: Dựa vào lý thuyết tìm hiểu hai chương trước, chương trình bày trình cài đặt hệ thống VoIP sử dụng Asterisk Linphone Tiến hành cài đặt giải pháp bảo mật nhận xét độ an toàn hệ thống 44 KẾT LUẬN Đồ án đạt kết sau: ‒ Tìm hiểu cách thức hoạt động hệ thống VoIP, giao thức sử dụng hệ thống, cách thiết lập gọi cách truyền liệu hệ thống ‒ Tìm hiểu điểm yếu hệ thống VoIP, nguy an toàn cơng thường gặp hệ thống ‒ Tìm hiểu giao thức bảo mật SIPS, SRTP, ZRTP ‒ Tìm hiểu phần mềm mã nguồn mở Asterisk Linphone ‒ Triển khai cài đặt hệ thống thông tin thoại Asterisk Linphone có sử dụng giải pháp bảo mật 45 TÀI LIỆU THAM KHẢO [4] Leif Madsen, Jared Smith & Jim Van Meggelen, Asterisk: The Future of Telephony, 2005 [5] Peter Thermos & Ari Takanen, Securing VoIP Network: Threats, Vulnerabilities, and Countermeasure, 2007 [6] [7] Boris Pisarčík, Asterisk Security Hardening Guide 1.0, 2012 Vitaly Rozhkov & Viktor Krikun, Asterisk ZRTP Developers Guide, [8] 2008 Bradley Clayton & Barry Irwin & Alfredo Terzoli, Intergrating Secure [9] RTP Into The Open Source VoIP PBX Asterisk, 2014 RFC 3550 RTP: A Transport Protocol for Real – Time Applications [10] RFC 3261 SIP – Session Initiation Protocol [11] RFC 3711 SRTP – The Secure Real-Time Transport Protocol [12] https://www.asterisk.org/ [13] https://www.linphone.org/ [14] https://github.com/ 46

Ngày đăng: 24/06/2023, 15:33

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w