i ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN VÀ TRUYỀN THƠNG Lâm Anh Bình HỆ THỐNG VOIP AN TOÀN VỚI CHUẨN BẢO MẬT H.235 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên – 2012 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Tai ngay!!! Ban co the xoa dong chu nay!!! ii LỜI CẢM ƠN Luận văn hồn thành trường Đại học Cơng nghệ Thông tin Truyền thông - Đại học Thái Nguyên Dưới hướng dẫn PGS.TS Nguyễn Văn Tam Tác giả xin bày tỏ lòng biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam, người tận tình giúp đỡ, hướng dẫn tác giả hoàn thành luận văn Với tình cảm chân thành lịng biết ơn sâu sắc, cho phép gửi lời cảm ơn đến thầy cô giáo trường Đại học Công nghệ Thông tin Truyền thông - Đại học Thái Nguyên, Thầy giáo Viện Công nghệ Thông tin, Viện Khoa học Công nghệ Việt Nam tham gia quản lý, giảng dậy giúp đỡ tác giả suốt trình học tập, nghiên cứu làm luận văn Tôi xin chân thành cảm ơn ủng hộ, động viên giúp đỡ Ban giám hiệu đồng nghiệp Trường Trung cấp nghề Cao Bằng Xin chân thành cảm ơn anh chị em học viên lớp CAO HỌC K9A giúp đỡ, động viên, khích lệ tác giả trình học tập nghiên cứu Trong trình nghiên cứu, khả có hạn kinh nghiệm thực tế cịn nên khơng tránh khỏi thiếu sót Kính mong dẫn góp ý thầy giáo, bạn đồng nghiệp để cơng trình nghiên cứu tốt Thái Nguyên, tháng 11 năm 2012 Tác giả Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn iii Lâm Anh Bình LỜI CAM ĐOAN Tơi xin cam đoan đề tài thân Tơi thực hiện, với hướng dẫn PGS.TS Nguyễn Văn Tam Các liệu, thông tin thu thập từ nguồn hợp pháp, nội dung nghiên cứu kết đề tài trung thực Thái Nguyên, tháng 11 năm 2012 Tác giả Lâm Anh Bình Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn iv MỤC LỤC MỤC LỤC iv DANH MỤC CÁC CHỮ VIẾT TẮT vi DANH MỤC CÁC BẢNG viii DANH MỤC CÁC HÌNH ix MỞ ĐẦU NỘI DUNG Chương I: TỔNG QUAN VỀ BẢO MẬT CHO HỆ THỐNG VoIP[4] 1.1 Hệ thống VoIP gì? 1.2 VoIP làm việc nào? 1.3 Tiêu chuẩn giao thức VoIP 1.3.1 Tiêu chuẩn VoIP 1.3.2 Giao thức VoIP 1.4 Vấn đề an ninh VoIP 21 Chương II: GIẢI PHÁP BẢO MẬT VOIP SỬ DỤNG CHUẨN H.235[4] 24 2.1 Vấn đề an ninh mối đe dọa đến VoIP 24 2.1.1 Vấn đề an ninh VoIP 24 2.1.2 Các mối đe dọa đến VoIP 25 2.2 Các chuẩn H.323 H.235 28 2.2.1 Chuẩn H.323 28 2.2.2 Chuẩn H.235 36 2.3 Phương thức đảm bảo anh ninh H.235 VoIP 38 Chương III: TRIỂN KHAI THỬ NGHIỆM 47 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn v 3.1 Phương pháp thử nghiệm truyền thơng VoIP an tồn 47 3.2 Những yếu tố cần thiết 47 3.2.1 H323 Phone 47 3.2.2 GNU Gatekeeper 48 3.2.3 Wireshark 49 3.3 Demo 50 3.3.1 Truyền trực tiếp bắt gói tin 50 3.3.2 Truyền với chuẩn bảo mật H.235 qua GNU Gatekeeper 52 KẾT LUẬN 55 TÀI LIỆU THAM KHẢO 57 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn vi DANH MỤC CÁC CHỮ VIẾT TẮT Stt Chữ viết tắt Diễn giải Ý nghĩa AES Advanced Encryption System Hệ thống mã hóa nâng cao ARC Admission Confirm Xác nhận nhập ARJ Admission Reject Từ chối nhập ARP Address resolution protocol Giao thức phân giải địa ARQ Admission Request Yêu cầu nhập ATM Asynchronous Transfer Mode Phương thức truyền không đồng BCF Bandwidth Confirm Xác nhận băng thông BRJ Bandwidth Reject Từ chối băng thông BRQ Bandwidth Request Yêu cầu băng thông 10 DoS Denial of Service Từ chối dịch vụ 11 ETSI European Telecommunications Standards Institute Viện Tiêu chuẩn Viễn thông châu Âu 12 HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn 13 IETF Internet Engineering Task Force Tổ chức làm nhiệm vụ kỹ thuật Internet 14 IP Internet Protocol Giao thức Liên mạng 15 ISDN Integrated Service Digital Network Dịch vụ tích hợp mạng kỹ thuật số 16 ITU International Telecommunication Union Liên minh Viễn thông quốc tế Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn vii 17 MAC Media Access Control Kiểm sốt truy cập phương tiện truyền thơng 18 MGCP Media Gateway Control Protocol Giao thức điều khiển cổng đa phương tiện 19 NAT Network address translation Dịch địa mạng 20 PBX Private Branch Exchange Tổng đài Nhánh Riêng 21 PSTN Public Switched Telephone Network Mạng điện thoại chuyển mạch kênh 22 QoS Quality of Service Chất lượng dịch vụ 23 RAS Remote Access Services Dịch vụ truy cập từ xa 24 RR Receive Report Nhận báo cáo 25 RTCP Real Time Control Protocol Giao thức điều khiển thời gian thực 26 RTP Real Time Transport Protocol Giao thức thời gian thực 27 SDES Source Description Items Mục Mô tả nguồn 28 SDP Session Description Protocol Giao thức mô tả phiên 29 SIP Session Initiation Protocol Giao thức phiên khởi đầu 30 SR Sender Report Gửi báo cáo 31 TCP Transmission Control Protocol Giao thức điều khiển truyền vận 32 TIA Telecommunications Industry Hiệp hội Công nghiệp Viễn Association thông 33 TLS Transport layer security An ninh lớp vận chuyển 34 UA User Agents Đại diện người dùng 35 UAC User Agent Client Đại diện người dùng khách 36 UAS User Agent Server Đại diện người dùng chủ 37 UDP User Datagram Protocol Giao thức gói liệu người dùng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn viii 38 VoIP Voice over Internet Protocol Truyền tiếng nói qua giao thức Internet DANH MỤC CÁC BẢNG Bảng 2-1 Cơ sở bảo mật hồ sơ H.235 v2 Phụ lục D 41 Bảng 2-2 Chữ ký bảo mật hồ sơ cá nhân H.235 v2 Phụ lục E 42 Bảng 2-3 Thoại tùy chọn mã hóa H.235 v2 Phụ lục D 44 Bảng 2-4 Kết hợp hồ sơ cá nhân H.235 v2 Phụ lục F 45 Bảng 2-5 Tăng cường sở hồ sơ cá nhân H.235 32 Phụ lục D 46 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn ix DANH MỤC CÁC HÌNH H.1-1 Q trình lưu chuyển giữ liệu giọng nói điểm cuối H.1-2 Giao thức tín hiệu VoIP H.1-3 RTP liệu gói tin IP H.1-4 Cổng H.323/PSTN 13 H.1-5.Vùng H.323 14 H.1-6 Kiến trúc mạng SIP 17 H.1-7 Kiến trúc MGCP 20 H.2-1 Kiến trúc mạng H.323 29 H.2-2 Các giao thức hỗ trợ H.323 30 H.2-3 Cuộc gọi H.323 33 H.2-4 Thiết lập gọi vùng nội 33 H.2-6 Thiết lập gọi vùng 34 H.2-5 Hủy kết nối gọi 36 H.2-6 Phạm vi H.235 38 H.3-1 Giao diện H.323 Phone gọi trực tiếp 50 H.3-2 Giao diện Wireshark bắt gói tin 51 H.3-3 Đồ thị truyền gói tin bắt 52 H.3-4 Giao diện GNU Gatekeeper 52 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn x H.3-5 Giao diện Wireshark bắt gói tin truyền qua GNU gatekeeper 53 H.3-6 Đồ thị truyền gói tin bắt truyền qua GNU gatekeeper 54 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 44 Bảng 2-3 Tùy chọn mã hóa giọng nói H.235 v2 H.235 v2: kết hợp bảo mật hồ sơ cá nhân Hồ sơ dựa kỹ thuật đối xứng bất đối xứng, kết hợp hồ sơ điều tra chữ ký bảo mật hồ sơ cá nhân Xác thực toàn vẹn tin nhắn bảo đảm giấy chứng nhận chữ ký số (giống hồ sơ an ninh Chữ ký), bắt tay đầu tiên, bí mật chia sẻ (mật khẩu) tạo ra, bí mật sử dụng cách đường sở hồ sơ cá nhân Kể từ hồ sơ dựa sở hạ tầng khóa cơng khai thay chia sẻ bí mật, hồ sơ sử dụng mơi trường lớn Hồ sơ hỗ trợ kết nối an tồn nhanh chóng H.245 đường hầm, kết hợp với tùy chọn mã hóa giọng nói Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 45 Bảng 2-4 Kết hợp hồ sơ cá nhân H.235 v2 H.235 version H.235 v3 có tăng cường nhiều nơi so sánh với v2 H.235, H.235 v3 sử dụng định danh đối tượng cho thuật tốn mã hóa AES để mã hóa tải trọng phương tiện truyền thông, H.235 v3 sử dụng tăng cường Outer Cho dịng thuật tốn mã hóa lại (EOFB) để mã hóa phương tiện truyền thơng, cung cấp hỗ trợ bảo mật tốt hơn, báo cáo lỗi cải thiện - H.235 v3: đường sở tăng cường an ninh hồ sơ cá nhân Trong hồ sơ này, xác thực tính tồn vẹn thơng điệp đảm bảo cách tính tốn giá trị kiểm tra tính tồn vẹn tồn thơng điệp, cách tính tốn kiểm tra tính tồn vẹn phần đặc biệt tin nhắn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 46 Bảng 2-5 Tăng cường sở hồ sơ cá nhân H.235 32 H.323 mô tả bảo mật cho loại thiết bị đầu cuối đơn giản, hồ sơ dựa hồ sơ cá nhân bảo mật mơ tả Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 47 Chƣơng III: TRIỂN KHAI THỬ NGHIỆM TRUYỀN THƠNG VoIP AN TỒN 3.1 Phương pháp thử nghiệm truyền thơng VoIP an tồn Trong chương tác giả trình bày phương án thử nghiệm truyền VoIP Dựa sở lý thuyết trình bày chương chương Áp dụng thực tế với phần mềm mã nguồn mở H.323 Phone, GNU Gatekeeper để thiết lập gọi trực tiếp gọi với chuẩn bảo mật H.235 máy tinh thông qua hệ thống mạng Tiến hành trình truyền âm qua hệ thống VoIP Sử dụng phần mềm Wireshark bắt đồ thị truyền tin trường hợp truyền trực tiếp truyền với chuẩn bảo mật H.235 qua GNU Gatekeeper 3.2 Những yếu tố cần thiết - Để triền khai thử nghiệm, cần hệ thống mạng, kết nối với hai máy tính - Cài đặt phần mềm mã nguồn mở: H323 Phone, GNU Gatekeeper Wireshark máy tính 3.2.1 H323 Phone H323Phone H.323 softphone miễn phí, sử dụng để thực nhận gọi thông qua Internet Nó tương thích với tất nhà cung cấp dịch vụ VoIP hỗ trợ giao thức H.323 Các tính chính: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 48 - Tương thích với hệ điều hành: Windows 98/Me/2000/XP/2003/Vista - Hỗ trợ công việc đằng sau NAT / Firewall (STUN sử dụng) G.711, iLBC codec - Voice Activity Detection (làm giảm lưu lượng truy cập liệu gửi thời gian im lặng) - Tự động điều chỉnh đệm Jitter - Âm DTMF (có thể tích hợp với thư thoại giai điệu khác điều khiển hệ thống) - Đăng ký với gatekeeper công trình thơng qua cổng - Gọi lại số cuối - Lịch sử 10 số gọi - Danh sách người sử dụng quay số nhanh chóng 3.2.2 GNU Gatekeeper Gatekeeper GNU dự án mã nguồn mở mà thực gatekeeper H.323 Gatekeeper cung cấp dịch vụ kiểm soát gọi đến thiết bị đầu cuối H.323 phần thiếu hầu hết cài đặt hội nghị điện thoại video dựa tiêu chuẩn H.323 Theo tiêu chuẩn H.323, gatekeeper cung cấp dịch vụ sau: - Dịch địa - Điều khiển đăng nhập - Kiểm sốt băng thơng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 49 - Quản lý Khu - Điều khiển gọi tín hiệu - Cho phép gọi - Quản lý băng thông - Quản lý gọi Gatekeeper GNU thực tất chức số tính bổ sung Đối với việc xử lý giao thức mã hóa giải mã thơng điệp, sử dụng thư viện H323Plus 3.2.3 Wireshark - Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chuyên nghiệp nghiệp dư đưa nhiều tính để thu hút đối tượng khác Các giao thức hỗ trợ WireShark: Có thể nói khơng có giao thức mà Wireshark hỗ trợ - Thân thiện với người dùng: - Giá rẻ: Wireshark sản phẩm miễn phí GPL - Hỗ trợ: Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở - Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết loại hệ điều hành Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 50 Một vấn đề phổ biến kết nối mạng Chúng ta bỏ qua nguyên nhân kêt nối bị mất, nhìn tượng mức gói tin 3.3 Demo 3.3.1 Truyền trực tiếp bắt gói tin - Kích hoạt biểu tượng H.323 Phone máy gọi máy nhận gọi - Nhập IP cua máy nhận gọi - Kích chuột vào nút Call H.323Phone máy gọi H.323Phone máy nhận gọi H.3-1 Giao diện H.323 Phone gọi trực tiếp Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 51 Trên máy nhận gọi, chọn Answer, gọi bắt đầu máy tính Kêt thúc, hai bên chọn Cancel - Mở Wireshark, chọn Capture/Interfaces…, chọn giao diện muốn sử dụng sau chọn Start, q trình bắt gói tin bắt đầu H.3-2 Giao diện Wireshark bắt gói tin - Dừng bắt gói tin chọn Capture/Stop, sau lưu hình ảnh gói tin với tên “Truc tiep” - Chọn Statistics/IO Graphs để xem đồ thị truyền tin Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 52 H.3-3 Đồ thị truyền gói tin bắt 3.3.2 Truyền với chuẩn bảo mật H.235 qua GNU Gatekeeper Đầu tiên ta kích hoạt GNU Gatekeeper H.3-4 Giao diện GNU Gatekeeper Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 53 - Tiếp theo mở H.323 Phone máy gọi máy nhận gọi, giao diện H.323 máy gọi, ta chọn Setup, nhập đia gnugk vào Gatekeeper address (127.0.0.1), sau chọn Apply/OK Q trình thực tương tự gọi trực tiếp (đã trình bày trên) Hình ảnh gói tin lưu với tên “Qua GNU” H.3-5 Giao diện Wireshark bắt gói tin truyền qua GNU gatekeeper Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 54 H.3-6 Đồ thị truyền gói tin bắt truyền qua GNU gatekeeper Qua việc thử nghiệm trình truyền âm qua hệ thống VoIP với hai trình truyền trực tiếp truyền qua GNU gatekeeper có chế bảo mật H.235 thì: - Dữ liệu trực tiếp: thông tin không mã nên mảng UDP bắt bình thường (294 byte) - Dữ liệu GNU bên mảng UDP mã mật nên WireShark không nhận biết nên thơng báo lỗi Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 55 KẾT LUẬN Luận văn trình giao thức sử dụng VoIP, làm để làm việc, chế bảo mật, lỗ hổng công sang VoIP Mục tiêu luận văn để giới thiệu lĩnh vực kỹ thuật VoIP, giúp người hiểu thủ tục làm việc VoIP chế bảo mật VoIP, điểm yếu bảo mật hệ thống VoIP Đề tài tiến hành thực nghiệm truyền VoIP qua hệ thống mạng, có bảo mật chuẩn bảo mật H.235 nhận xét kết thực nghiệm Mặc dù giao thức có chế bảo mật, chưa có giải pháp hồn hảo giới, chế bảo mật có nhược điểm riêng nó, để khắc phục nhược điểm này, giao thức sử dụng chế bảo mật khác, chế mang lại vấn đề VoIP cơng nghệ cịn giai đoạn đầu, công chống lại việc triển khai VoIP mở rộng Nhiệm vụ bảo vệ VoIP phức tạp hơn, tạo thách thức để cải thiện dịch vụ bảo vệ nhiều lĩnh vực, từ thuật tốn mã hóa quản lý chủ chốt, từ triển khai phần cứng, thiết kế giao thức phần mềm, từ an ninh mạng cho thành phần quan trọng VoIP, cấp phát tài nguyên VoIP, v.v… Như VoIP tăng phổ biến số lượng người sử dụng, nhiều tiềm có cơng nhiều Bên cạnh lỗ hổng khai thác luận án này, cịn có nhiều lỗ hổng cần phát khu vực quan trọng VoIP, để ngăn chặn kẻ cơng Vì vậy, nghiên cứu sâu thực phạm vi khu vực Hơn nữa, để bảo vệ hệ thống VoIP, sách bảo mật tốt cần thiết Chính sách bảo mật VoIP nên bao gồm tất VoIP nhu cầu cụ thể Bảo mật cho hệ thống VoIP nên Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 56 bắt đầu với an ninh vững hệ thống mạng, tải hệ thống VoIP nên phân bổ cách thành phần mạng VoIP để đảm bảo nguồn lực thích hợp có sẵn, phân tích rủi ro cho nhu cầu thành phần trình để xác định các lỗ hổng mối đe dọa, cung cấp thông tin cần thiết để xác định biện pháp bảo mật thích hợp Khi tất giải pháp bảo mật “con dao hai lưỡi” nên giữ cân an ninh yêu cầu kinh doanh quan trọng để thực thành công VoIP Trong tương lai, giao thức tốt hơn, băng thông đủ kinh tế hơn, an ninh tăng cường, tất tính nghiên cứu để xây dựng hệ thống VoIP Security lai cho VoIP tươi sáng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 57 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Thúc Hải (1997), Mạng máy tính hệ thống mở, NXB Giáo dục [2] Trương Đình Hồng (2011), Nguy bảo mật cho hệ thống Voice Over IP, Chi hội An tồn Thơng tin phía Nam (VNISA phía Nam) Tiếng Anh [3] Eric Weiss (2011), Security Concerns with VoIP, http://www.sans.org/reading_room/whitepapers/voip/security-concernsvoip_323, ngày 20/9/2011 [4] Li Li Gao (2006), Security in VoIP-Current Situation and Necessary Development, Master Thesis, ISY at Linköping Institute of Technology [5] Kaquish Malek, “Annex D,E,F by comparison for H.235“, June, 2001 [6] Rahul Singhai and Prof Anirudha Sahoo (2006), VoIP SECURITY, http://www.it.iitb.ac.in/~rahuls/resources, ngày 11/8/2011 [7] Website: http://www.itu.org http://www.ietf.org Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 58 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn