Đảm bảo an ninh cho hệ thống VOIP di động

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ DANH MỤC CÁC TỪ VIẾT TẮT Từ viết VoIP Voice over Internet Protocol Thoại trên giao thức Internet PSTN Public Switching Telephon

Trang 1

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN

Trang 2

MỤC LỤC

DANH MỤC CÁC HÌNH 3

DANH MỤC CÁC BẢNG 5

DANH MỤC CÁC TỪ VIẾT TẮT 6

MỞ ĐẦU 7

CHƯƠNG I: TỔNG QUAN VỀ VOIP VÀ VẤN ĐỀ ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 8

1.1 Tổng quan về VoIP: 8

1.1.1 Lợi ích của VoIP: 10

1.1.2 Những tồn tại của VoIP: 11

1.1.3 Cấu hình của mạng VoIP: 12

1.1.4 Một số giao thức trong VoIP: 17

1.2 Nguy cơ đối với hệ thống VoIP di động: 29

1.2.1 Các mối đe dọa đối với hệ thống VoIP: 29

1.2.2 Một số phương thức tấn công mạng VoIP: 30

1.3 Những nhu cầu về đảm bảo an ninh đối với hệ thống VoIP di động: 43

CHƯƠNG II: GIẢI PHÁP ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 45

2.1 Đảm bảo an ninh cho thông tin thiết lập cuộc gọi sử dụng TLS (Transport Layer Security): 46

2.1.1 Khả năng đảm bảo an ninh của TLS: 46

2.1.2 Quá trình bắt tay của TLS: 48

2.1.3 Thuật toán sử dụng trong quản lý trao đổi khóa và xác thực cho TLS: 50 2.2 Đảm bảo an ninh cho dữ liệu thoại sử dụng SRTP (Secure Real-time Transport Protocol): 57

2.2.1 Cấu trúc của gói dữ liệu SRTP: 57

2.2.2 Khả năng đảm bảo an ninh của SRTP: 57

2.2.3 Thuật toán sử dụng trong quản lý trao đổi khóa và xác thực cho SRTP: 61

CHƯƠNG III: XÂY DỰNG MÔ HÌNH ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 72

3.1 Cấu hình phần cứng, phần mềm: 72

3.1.1 Mô hình sơ đồ thiết bị triển khai: 72

3.1.2 Chuẩn bị phần cứng và phần mềm cài đặt: 73

3.2 Ứng dụng đảm bảo an ninh cho cuộc gọi VoIP từ các thiết bị di động: 78

3.2.1 Cuộc gọi VoIP ở chế độ không có bảo mật: 79

3.2.2 Cuộc gọi VoIP sử dụng TLS bảo mật cho SIP: 81

3.2.3 Cuộc gọi VoIP sử dụng SRTP mã hóa cho RTP: 82

Trang 3

KẾT LUẬN 86

DANH MỤC TÀI LIỆU THAM KHẢO 87

DANH MỤC CÁC HÌNH Hình 1.1 Lưu lượng thoại VoIP 9

Hình 1.2 Các Terminal của mạng IP có thể giao tiếp với các Telephone trong mạng SCN thông qua Gateway 10

Hình 1.3 Cấu hình của mạng VoIP 13

Hình 1.4 Cấu trúc gói tin RTP 18

Hình 1.5 Cấu trúc gói tin RTCP 20

Hình 1.6: Kiến trúc SIP 21

Hình 1.7 Sự hoạt động của trường hợp Proxy Mode 25

Hình 1.8 Sự hoạt động của trường hợp Redirect Mode 26

Hình 1.9: Call Flow của hệ thống 27

Hình 1.10: Luồng trao đổi thông thường 31

Hình 1.11: Luồng trao đổi bị tấn công DDoS 31

Hình 1.12: Tấn công DoS làm ngừng hoạt động của điện thoại IP 32

Hình 1.13: Máy tính tấn công ARP Spoofing 38

Hình 1.14: Tấn công ARP Spoofing làm đổi hướng ARP 39

Hình 2.1: Lớp bảo mật TLS cho giao thức SIP 47

Hình 2.2: Quá trình bắt tay giữa Client và Server 49

Hình 2.3: Dữ liệu lớp trên đóng gói bởi TLS/SSL 50

Hình 2.4: Cấu trúc gói tin SRTP 57

Hình 2.5: Lớp bảo mật SRTP cho giao thức RTP 58

Hình 2.6: Lược đồ mã hóa RTP payload sử dụng AES chế độ CTR 59

Hình 2.7: Xác thực gói SRTP 60

Hình 2.8: Cửa sổ trượt dùng để chống tấn công lặp gói 61

Hình 3.1: Mô hình sơ đồ triển khai hệ thống 73

Hình 3.2: Thông tin tổng đài FreePBX 73

Hình 3.3: Thông tin cấu hình user 74

Hình 3.4: Lựa chọn cài đặt bảo mật cho user 75

Hình 3.5: Cấu hình giao thức vận chuyển 76

Hình 3.6: Cấu hình phương thức mã hóa cho đa phương tiện 77

Hình 3.7: Phần mềm bắt gói tin Wireshark 78

Hình 3.8: Thực hiện cuộc gọi từ User 1002 đến User 1003 78

Hình 3.9: Thông tin cuộc gọi Wireshark bắt được 79

Hình 3.10: Thông tin của SIP ở chế độ không có bảo mật 80

Hình 3.11: Thông tin Voice mà RTP truyền bị Wireshark bắt được 81

Hình 3.12: Thông tin của SIP đã được mã hóa bởi TLS 82

Hình 3.13: Nội dung cuộc gọi vẫn không được mã hóa nếu chỉ dùng TLS 82

Trang 4

Hình 3.14: Thông tin tín hiệu cuộc gọi nếu chỉ dùng SRTP 84 Hình 3.15: Nội dung cuộc gọi đƣợc mã hóa bởi SRTP 85

Trang 5

DANH MỤC CÁC BẢNG

Bảng 1.1: Chức năng các thành phần của kiến trúc SIP 22

Bảng 1.2: Các yêu cầu SIP 23

Bảng 1.3: Các đáp ứng SIP 24

Bảng 1.4: Các cấp độ mà cấu trúc VoIP có thể bị tấn công 30

Bảng 2.1: Tổ hợp Khóa-khối-vòng 62

Trang 6

DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết

VoIP Voice over Internet Protocol Thoại trên giao thức Internet PSTN Public Switching Telephone Network Mạng điện thoại chuyển mạch

công cộng SCN Switching Circuit Network Mạng chuyển mạch gói

RTP Realtime Transport Protocol Giao thức truyền tải thời gian

thực SRTP Secure Realtime Transport Protocol Giao thức truyền tải thời gian

thực an toàn SIP Session Initiation Protocol Giao thức tạo phiên

RTCP Realtime Transport Control Protocol Giao thức điều khiển truyền

tải thời gian thực ETSI European Telecommunications

Telecommunications

Công nghệ truyền thông không dây số cải tiến IETF Internet Engineer Task Force Tổ chức quản lý kỹ thuật DoS Denial of Service Tấn công từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ

phân tán DNS Domain Name System Hệ thống phân giải tên miền SSL Secure Socket Layers Lớp bảo mật lỗ hổng

SRTP Secure Realtime Transport Protocol Giao thức bảo mật tầng giao

vận thời gian thực TLS Transport Layer Security Giao thức bảo mật gói tin

tầng giao vận DHCP Dynamic Host Configuration Protocol Giao thức cấu hình động máy

chủ PBX Private Branch eXchange Tổng đài nhánh riêng

Trang 7

MỞ ĐẦU

Hiện nay chúng ta có thể thấy được sự phát triển của công nghệ mạng điện thoại trên toàn thế giới, cùng với đó là Internet cũng ngày càng được phổ biến rộng rãi Sự ra đời của truyền thoại qua giao thức Internet, Voice over Internet Protocol (VoIP), đã làm bộc lộ rõ những hạn chế của mạng điện thoại thông thường như chất lượng dịch vụ không cao, tài nguyên sử dụng còn hạn chế… VoIP là công nghệ truyền thoại dựa trên giao thức của mạng Internet VoIP hiện nay đang ngày càng phát triển và dần thay thế mạng điện thoại truyền thống PSTN (Public Switched Telephone Network), vì ngoài việc thực hiện cuộc gọi thoại, VoIP còn truyền dữ liệu trên cơ sở mạng truyền dữ liệu

Ngoài ra, trong những năm gần đây còn đánh dấu sự phát triển của điện thoại di động, đặc biệt là thế hệ điện thoại thông minh Smartphone Người dùng điện thoại di động hiện nay hướng tới sử dụng các ứng dụng để ngoài việc nghe, gọi, còn có thể truyền tải dữ liệu như hình ảnh, video…

Cùng với sự phát triển của VoIP là vấn đề bảo mật cho hệ thống này Hiện nay có rất nhiều hệ thống VoIP không được bảo mật, thông tin gửi đi không được mã hóa, dẫn đến việc bị tấn công làm lộ, làm mất dữ liệu Do đó, việc làm thế nào để đảm bảo an ninh cho hệ thống VoIP, đặc biệt là hệ thống VoIP di động là hết sức quan trọng

Việc đảm bảo an ninh cho hệ thống VoIP di động cũng có nhiều phương pháp Trong nội dung luận văn sẽ tập trung vào các phương pháp đảm bảo an ninh cho những giao thức của hệ thống VoIP, và ứng dụng các phương pháp này trong quá trình thiết lập tổng đài cũng như khi thực hiện các cuộc gọi từ thiết bị di động

Trang 8

CHƯƠNG I: TỔNG QUAN VỀ VOIP VÀ VẤN ĐỀ ĐẢM BẢO

AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG

1.1 Tổng quan về VoIP:

Trong những bước phát triển của ngành viễn thông những năm gần đây, điện thoại IP được đánh giá là một bước tiến quan trọng về công nghệ Hiện nay điện thoại IP đang là một mối quan tâm lớn trong bối cảnh phát triển mạnh mẽ của ngành viễn thông

Dịch vụ điện thoại IP được xây dựng trên công nghệ VoIP Đây là một công nghệ rất mới nhưng thu hút được rất nhiều sự quan tâm của các nhà khai thác và nhà sản xuất VoIP được đánh giá là một bước đột phá trong công nghệ, nó sẽ là cơ sở

để xây dựng một mạng tích hợp thực sự giữa thoại và số liệu Đây là một hướng phát triển tất yếu của mạng viễn thông

Do các ưu điểm giá thành rẻ và có nhiều dịch vụ mở rộng, điện thoại IP đã

và đang tạo ra một thị trường rộng lớn gồm mọi đối tượng sử dụng gồm các thuê bao, các doanh nghiệp, các tổ chức và cơ quan nhà nước

Để hiểu vấn đề này, chúng ta xem xét hệ thống điện thoại truyền thống, điển

hình là PSTN (Public Switching Telephone Network: Mạng thoại chuyển mạch công

cộng) Đó là kiểu mạng chuyển mạch kênh SCN (Switching Circuit Network) và

được phát triển lên từ mạng analog, nghĩa là để thiết lập một cuộc gọi, cần phải có một kênh truyền riêng và giữ kênh truyền cho đến chừng nào cuộc nói chuyện kết thúc Kiểu truyền thông như vậy không tận dụng một cách có hiệu quả băng thông hiện có, công suất giới hạn là 64kbit/s/kênh và thực hiện 30 cuộc điện thoại trên một đường E1

Trang 9

Hình 1.1 Lưu lượng thoại VoIP

Vậy VoIP khác với hệ thống điện thoại truyền thống thế nào? Tiếng nói thay

vì được truyền qua mạng chuyển mạch kênh, thì lại được truyền qua mạng chuyển mạch gói phát triển lên từ mạng số, điển hình là mạng IP Tiếng nói được số hoá, đóng gói, rồi được truyền đi như là các gói tin thông thường được truyền trên mạng

IP Dung lượng truyền dẫn được tất cả các thông tin chia sẻ và bằng cách đó băng thông được sử dụng có hiệu quả hơn mà không cần phải cung cấp cho từng kênh riêng lẻ Mỗi kênh hoặc mỗi đường trung kế cung cấp nhiều khả năng ứng dụng như

số liệu, thoại, fax và hội nghị video Dễ dàng thấy công nghệ thoại này ưu điểm hơn hẳn công nghệ thoại truyền thống ở chỗ nó tận dụng được triệt để tài nguyên hệ thống, dẫn đến một điều chắc chắn là chi phí cho cuộc gọi được giảm đáng kể, đặc biệt là những cuộc gọi ở khoảng cách địa lý rất xa hiện nay vẫn còn quá đắt đỏ trong mạng điện thoại chuyển mạch kênh

Nhưng như vậy không phải là điều dễ dàng Ta biết rằng thoại là một ứng dụng mang tính thời gian thực, nghĩa là yêu cầu dòng tiếng nói phải được truyền đi tới phía nhận một cách gần như tức thì Trong mạng chuyển mạch kênh điều đó là đơn giản vì mỗi cuộc thoại không phải chia sẻ với các ứng dụng khác, đường truyền nói chung luôn được đảm bảo thông giữa hai đầu dây, hiếm khi xảy ra những trục trặc như tắc nghẽn hay bị mất thông tin Còn với mạng chuyển mạch gói như IP thì sao? Mạng IP được xem như là mạng truyền số liệu, nghĩa là thông tin dữ liệu tới đích không có yêu cầu về mặt thời gian thực Vả lại trên mạng IP, do đường truyền được chia sẻ bởi nhiều ứng dụng, hoặc bản thân các gói tin tiếng nói lại đi theo nhiều con đường khác nhau tới đích, tình trạng tắc nghẽn, trễ, mất dữ liệu thường xuyên xảy ra Những điều đó nếu không được giải quyết tốt sẽ gây ảnh hưởng rất lớn đến chất lượng tiếng nói nhận được Đây là vấn đề hết sức quan trọng trong công nghệ VoIP

Ngoài ra mạng IP và mạng chuyển mạch kênh còn có thể giao tiếp với nhau thông qua Gateway, cho phép một đầu cuối ở mạng này có thể thoại với một đầu cuối của mạng kia (hình 1.2), mà vẫn trong suốt đối với người sử dụng, sự phát triển này đem lại khả năng tích hợp nhiều dịch vụ của hai loại mạng với nhau

Trang 10

Hình 1.2 Các Terminal của mạng IP có thể giao tiếp với các Telephone trong

mạng SCN thông qua Gateway

1.1.1 Lợi ích của VoIP:

- Giảm cước phí truyền thông Đặc biệt là các cuộc gọi đường dài cũng như tận dụng hiệu quả hơn tài nguyên giải thông đường truyền Đây là yếu tố quan trọng nhất thúc đẩy sự phát triển của công nghệ VoIP

- Hợp nhất hóa Hệ thống mạng chuyển mạch kênh rất phức tạp, cần phải có một đội ngũ nhân viên vận hành và giám sát hoạt động của nó Với một cơ sở hạ tầng tích hợp các phương thức truyền thông cho phép hệ thống được chuẩn hóa tốt hơn, hoạt động hiệu quả hơn và giảm tổng số thiết bị, nhân lực cần thiết Điều này cũng làm giảm thiểu sai sót trên hệ thống hiện thời

- Sử dụng công nghệ thoại trên IP đem lại nhiều lợi ích thiết thực cho các nhà truyền tải:

+ Triệt và nén im lặng: Được sử dụng khi có khoảng nghỉ ngơi trong cuộc nói chuyện Khoảng nghỉ này có thể lên tới 50-60% một cuộc gọi Vì thế, ta có thể tiết kiệm được giải thông tiêu tốn, nhất là với hội thoại nhiều người Không giống như mạng chuyển mạch kênh, VoIP triệt im lặng qua các liên kết toàn cầu tại các điểm đầu cuối Mạng IP thích hợp cho việc ghép kênh, giảm bớt giải thông tiêu thụ toàn mạng Sự triệt im lặng và bù nén làm cũng tăng hiệu quả sử dụng mạng

- Chia sẻ thuận lợi:

+ Đặc trưng của mạng IP là chia sẻ tài nguyên mạng Các kênh truyền thông không được tạo ra cố định và riêng biệt như trong mạng chuyển mạch kênh,

mà nó được dùng chung cho nhiều ứng dụng khác

Trang 11

+ Các dịch vụ tiên tiến: Tạo thuận lợi cho việc triển khai và phát triển các dịch vụ mới trong môi trường mạng IP cho các ứng dụng truyền thống Đây là

ưu thế do công nghệ mới mang lại

+ Tách biệt thoại và điều khiển luồng: Trong thoại truyền thống, luồng báo hiệu truyền tải trên mạng tách biệt với luồng thông tin truyền Ta phải duyệt tất cả các chuyển mạch trung gian để thiết lập kênh truyền Trong khi đó, việc gửi gói tin trên mạng không yêu cầu thiết lập, điều khiển cuộc gọi Ta có thể tập trung trên chức năng cuộc gọi

1.1.2 Những tồn tại của VoIP:

- Thiếu sự bảo đảm về chất lượng dịch vụ (QoS)

- Thiếu giao thức chuẩn

- Tính tương tác giữa công nghệ mới với công nghệ truyền thống và các dịch

- Quá trình điều khiển cuộc gọi phải trong suốt đối với người sử dụng Người dùng không cần biết kỹ thuật nào được sử dụng để thực hiện dịch vụ

- Cung cấp các cơ chế quản lý hệ thống, an toàn, địa chỉ hóa và thanh toán Tốt nhất là ta hợp nhất được với các hệ thống hỗ trợ hoạt động PSTN

- Trong tương lai, truyền thông sẽ là sự kết hợp giữa kỹ thuật chuyển mạch kênh truyền thống với công nghệ chuyển mạch gói qua mạng IP Sự hội tụ của hai kiến trúc mạng hoàn toàn khác biệt nhau này là điều tất yếu, sẽ diễn ra sớm hay muộn còn tùy thuộc vào nhiều nhân tố, nhưng có hai yếu tố quan trọng nhất là:

+ Giao thức chuẩn hóa

+ Các chính sách liên mạng phù hợp

Từ các yếu tố này, các tổ chức viễn thông, các nhà sản xuất phải thực sự thống nhất với nhau về các giao thức chuẩn, bao gồm chuẩn báo hiệu cuộc gọi, mã hoá, chuẩn truyền đa phương thức và tín hiệu Sự chấp nhận các chuẩn này sẽ cho

Trang 12

phép nhiều hãng có thể cùng chung sống và hoạt động được với nhau, đảm bảo tính tương thích giữa các sản phẩm Hiện tại, đối với VoIP, một số giao thức chuẩn được các tổ chức quốc tế công nhận: RTP, RTCP, SIP

1.1.3 Cấu hình của mạng VoIP:

Theo các ngiên cứu của ETSI, cấu hình chuẩn của mạng VoIP có thể bao gồm các phần tử sau:

- Thiết bị đầu cuối kết nối với mạng IP

- Thiết bị đầu cuối kết nối với mạng chuyển mạch kênh

Trong các kết nối khác nhau cấu hình mạng có thể thêm hoặc bớt một số phần tử trên

Cấu hình chung của mạng VoIP gồm các phần tử Gatekeeper, Gateway, các thiết bị đầu cuối thoại và máy tính Mỗi thiết bị đầu cuối giao tiếp với một Gatekeeper và giao tiếp này giống với giao tiếp giữa thiết bị đầu cuối và Gateway Mỗi Gatekeeper sẽ chịu trách nhiệm quản lý một vùng, nhưng cũng có thể nhiều Gatekeeper chia nhau quản lý một vùng trong trường hợp một vùng có nhiều Gatekeeper

Trong vùng quản lý của các Gatekeeper, các tín hiệu báo hiệu có thể được chuyển tiếp qua một hoặc nhiều Gatekeeper Do đó các Gatekeeper phải có khả năng trao đổi các thông tin với nhau khi cuộc gọi liên quan đến nhiều Gatekeeper

Trang 13

Telephone PC

Hình 1.3 Cấu hình của mạng VoIP

Chức năng của các phần tử trong mạng nhƣ sau:

1.1.3.1 Thiết bị đầu cuối:

Thiết bị đầu cuối là một nút cuối trong cấu hình của mạng VoIP Nó có thể đƣợc kết nối với mạng IP sử dụng một trong các giao diện truy nhập Một thiết bị đầu cuối có thể cho phép một thuê bao trong mạng IP thực hiện cuộc gọi tới một thuê bao khác trong mạng chuyển mạch kênh Các cuộc gọi đó sẽ đƣợc Gatekeeper

mà thiết bị đầu cuối hoặc thuê bao đã đăng ký giám sát

Một thiết bị đầu cuối có thể gồm các khối chức năng sau:

- Chức năng đầu cuối: Thu và nhận các bản tin;

- Chức năng bảo mật kênh truyền tải: đảm bảo tính bảo mật của kênh truyền tải thông tin kết nối với thiết bị đầu cuối

- Chức năng bảo mật kênh báo hiệu: đảm bảo tính bảo mật của kênh báo hiệu kết nối với thiết bị đầu cuối

- Chức năng xác nhận: thiết lập đặc điểm nhận dạng khách hàng, thiết bị hoặc phần tử mạng, thu nhập các thông tin dùng để xác định bản tin báo hiệu hay bản tin chứa thông tin đã đƣợc truyền hoặc nhận chƣa

- Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

- Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về

sự kiện ( truy nhập, cảnh báo ) và tài nguyên

Trang 14

- Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được sử dụng ra thiết bị ngoại vi

1.1.3.2 Mạng truy nhập IP:

Mạng truy nhập IP cho phép thiết bị đầu cuối, Gateway, Gatekeeper truy nhập vào mạng IP thông qua cơ sở hạ tầng sẵn có Sau đây là một vài loại giao diện truy nhập IP được sử dụng trong cấu hình chuẩn của mạng VoIP:

1.1.3.3 Gatekeeper:

Gatekeeper là phần tử của mạng chịu trách nhiệm quản lý việc đăng ký, chấp nhận và trạng thái của các thiết bị đầu cuối và Gateway Gatekeeper có thể tham gia vào việc quản lý vùng, xử lý cuộc gọi và báo hiệu cuộc gọi Nó xác định đường dẫn

để truyền báo hiệu cuộc gọi và nội dung đối với mỗi cuộc gọi Gatekeeper có thể bao gồm các khối chức năng sau:

- Chức năng chuyển đổi địa chỉ E.164 ( Số E.164 là số điện thoại tuân thủ theo cấu trúc và kế hoạch đánh số được mô tả trong khuyến nghị E.164 của Liên minh viễn thông quốc tế ITU) : chuyển đổi địa chỉ E.164 sang địa chỉ IP và ngược lại để truyền các bản tin, nhận và truyền địa chỉ IP để truyền các bản tin, bao gồm cả

Trang 15

- Chức năng tính cước: thu thập thông tin để tính cước

- Chức năng điều chỉnh tốc độ và giá cước: xác định tốc độ và giá cước

- Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

- Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

- Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được sử dụng ra thiết bị ngoại vi

1.1.3.4 Gateway:

Gateway là một phần tử không nhất thiết phải có trong một giao tiếp H.323

Nó đóng vai trò làm phần tử cầu nối và chỉ tham gia vào một cuộc gọi khi có sự chuyển tiếp từ mạng H.323 ( ví dụ như mạng LAN hay mạng Internet) sang mạng phi H.323 ( ví dụ mạng chuyển mạch kênh hay PSTN) Một Gateway có thể kết nối vật lý với một hay nhiều mạng IP hay với một hay nhiều mạng chuyển mạch kênh Một Gateway có thể bao gồm: Gateway báo hiệu, Gateway truyền tải kênh thoại, Gateway điều khiển truyền tải kênh thoại Một hay nhiều chức năng này có thể thực hiện trong một Gatekeeper hay một Gateway khác

- Gateway báo hiệu SGW: cung cấp kênh báo hiệu giữa mạng IP và mạng chuyển mạch kênh Gateway báo hiệu là phần tử trung gian chuyển đổi giữa báo hiệu trong mạng IP ( ví dụ H.323) và báo hiệu trong mạng chuyển mạch kênh (ví dụ R2, CCS7) Gateway báo hiệu có các chức năng sau:

+ Chức năng kết cuối các giao thức điều khiển cuộc gọi

+ Chức năng kết cuối báo hiệu từ mạng chuyển mạch kênh: phối hợp hoạt động với các chức năng báo hiệu của Gateway điều khiển truyền tải kênh thoại

+ Chức năng báo hiệu: chuyển đổi báo hiệu giữa mạng IP với báo hiệu mạng chuyển mạch kênh khi phối hợp hoạt động với Gateway điều khiển truyền tải kênh thoại

+ Chức năng giao diện mạng chuyển mạch gói: kết cuối mạng chuyển mạch gói

Trang 16

+ Chức năng bảo mật kênh báo hiệu: đảm bảo tính bảo mật của kênh báo hiệu kết nối với thiết bị đầu cuối

+ Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

+ Chức năng ghi các bản tin sử dụng: xác định hoặc ghi lại các thông tin về sự kiện (truy nhập, cảnh báo) và tài nguyên

+ Chức năng báo cáo các bản tin sử dụng: báo cáo các bản tin đã được

sử dụng ra thiết bị ngoại vi

- Gateway truyền tải kênh thoại MGM: cung cấp phương tiện để thực hiện chức năng chuyển đổi mã hoá Nó sẽ chuyển đổi giữa các mã hoá trong mạng IP với các mã hoá truyền trong mạng chuyển mạch kênh Gateway truyền tải kênh thoại bao gồm các khối chức năng sau:

+ Chức năng chuyển đổi địa chỉ kênh thông tin: cung cấp địa chỉ IP cho các kênh thông tin truyền và nhận

+ Chức năng chuyển đổi luồng: chuyển đổi giữa các luồng thông tin giữa mạng IP và mạng chuyển mạch kênh bao gồm việc chuyển đôỉ mã hoá và triệt tiếng vọng

+ Chức năng dịch mã hoá: định tuyến các luồng thông tin giữa mạng

mã hoá tín hiệu mã đa tần DTMF Chức năng chuyển đổi kênh thông tin giữa mạng

IP và mạng chuyển mạch kênh cũng có thể thu nhập thông tin về lưu lượng gói và chất lượng kênh đối với mỗi cuộc gọi để sử dụng trong việc báo cáo chi tiết và điều khiển cuộc gọi

+ Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

Trang 17

- Gateway điều khiển truyền tải kênh thoại MGWC: đóng vai trò phần tử kết nối giữa Gateway báo hiệu và Gatekeeper Nó cung cấp chức năng xử lý cuộc gọi cho Gateway, điều khiển Gateway truyền tải kên thoại, nhận thông tin báo hiệu của mạng chuyển mạch kênh từ Gateway báo hiệu và thông tin báo hiệu của mạng IP từ Gatekeeper Gateway điều khiển truyền tải kênh thoại bao gồm các chức năng sau:

+ Chức năng truyền và nhận các bản tin

+ Chức năng xác nhận: thiết lập các đặc điểm nhận dạng của người sử dụng, thiết bị hoặc các phần tử mạng

+ Chức năng điều khiển cuộc gọi: lưu giữ các trạng thái cuộc gọi của Gateway Chức năng này bao gồm tất cả các điều khiển kết nối logic của Gateway

+ Chức năng báo hiệu: chuyển đổi giữa báo hiệu mạng IP và báo hiệu mạng chuyển mạch kênh trong quá trình phối hợp hoạt động với Gateway báo hiệu

+ Chức năng quản lý: giao tiêp với hệ thống quản lý mạng

1.1.4 Một số giao thức trong VoIP:

1.1.4.1 Giao thức RTP và RTCP:

a Real-time Transport Protocol (RTP):

RTP được coi như một giao thức truyền từ đầu cuối đến đầu cuối (end to end) phục vụ truyền dữ liệu thời gian thực như audio và video RTP thực hiện việc quản lý về thời gian truyền dữ liệu và nhận dạng dữ liệu được truyền Nhưng RTP không cung cấp bất cứ một cơ chế nào đảm bảo thời gian truyền và cũng không cung cấp bất cứ một cơ chế nào giám sát chất lượng dịch vụ Sự giám sát và đảm bảo về thời gian truyền dẫn cũng như chất lượng dịch vụ được thực hiện nhờ hai giao thức RTCP và RSVP

Tương tự như các giao thứ truyền dẫn khác, gói tin RTP (RTP packet) bao gồm hai phần là header (phần mào đầu) và data (dữ liệu) Nhưng không giống như các giao thức truyền dẫn khác là sử dụng các trường trong header để thực hiện các

Trang 18

chức năng điều khiển, RTP sử dụng một cơ chế điều khiển độc lập trong định dạng của gói tin RTCP để thực hiện các chức năng này

Cấu trúc gói tin RTP:

Hình 1.4 Cấu trúc gói tin RTP

- Version (2 bit): version của RTP (hiện tại là version 2)

- Padding (1 bit): có vai trò như bit cờ được sử dụng để đánh dấu khi có một

số byte được chèn vào trong gói

- Extension (1 bit): cũng có vai trò như một bit cờ được sử dụng để đánh dấu khi có header mở rộng tiếp theo header cố định

- CSRC count (4 bit): chỉ rõ số lượng của CSRC (contributing source)

- Marker (1 bit): có vai trò như một bit cờ, trạng thái của nó được phụ thuộc vào trường payload type

- Payload Type (7 bit): chỉ rõ loại thông tin được chứa trong các gói

- Sequence Number (16 bit): cung cấp số thứ tự của các gói Cách này như một cơ chế giúp bên thu có thể thu đúng thứ tự các gói tin, nhận ra gói tin bị mất

- Time-stamp (32 bit): là tham số đánh dấu thời điểm byte đầu tiên được lấy mẫu trong gói RTP Giá trị time-stamp khởi đầu là ngẫu nhiên, các gói RTP phát đi liên tiếp có thể có cũng giá trị time-stemp nếu chúng cùng được phát đi một lúc

- Syschronisation source (SSRC) identifier: số nhận dạng nguồn của gói dữ liệu Nếu ứng dụng muốn truyền dữ liệu có nhiều dạng khác nhau trong cùng một thời điểm (ví dụ là tín hiệu audio và video) thì sẽ có những phiên truyền riêng cho mỗi dạng dữ liệu Sau đó ứng dụng sẽ tập hợp các gói tin có cùng nhận dạng SSRC

Số nhận dạng này được gán một cách ngẫu nhiên

- Contribute source (CSRC) identifer (độ dài thay đổi): tại một điểm đích nào

đó mà những tín hiệu audio đến đích cần trộn lại với nhau thì giá trị CSRC sẽ là tập

Trang 19

hợp tất cả các giá trị SSRC của các nguồn mà gửi tín hiệu đến điểm đích đó Trường CSRC có thể chứa tối đa là 15 số nhận dạng nguồn SSRC

- Extension header (độ dài thay đổi): chứa các thông tin thểm của gói RTP

b Real-time Transport Control Protocol (RTCP)

Mặc dù RTP là một giao thức độc lập nhưng thường được hỗ trợ bởi giao thức RTCP RTCP trả về nguồn các thông tin về sự truyền thông và các thành phần đích Giao thức điều khiển này cho phép gửi về các thông số về bên thu và tự thích nghi với bên phát cho phù hợp vời bên phát Mỗi người tham gia một phiên truyền RTP phải gửi định kỳ các gói RTCP tới tất cả những người khác cũng tham gia phiên truyền Tuỳ theo mục đích mà RTCP thực hiện 4 chức năng:

- RTCP cung cấp một sự phản hồi chất lượng của dữ liệu Các thông tin đó giúp cho ứng dụng thực hiện chức năng điều khiển luồng và quản lý tắc nghẽn

- RTCP cung cấp sự nhận dạng mà được sử dụng để tập hợp các kiểu dữ liệu khác nhau (ví dụ audio và video) Điều này là cần thiết vì khả năng này không được RTP cung cấp

- Nhờ việc định kỳ gửi các gói tin RTCP mà mỗi phiên truyền có thể theo dõi được số người tham gia RTP không thể sử dụng được cho mục đích này khi một ai

đó không gửi dữ liệu mà chỉ nhận từ những người khác

- Cuối cùng là một chức năng lựa chọn cho phép có thêm thông tin về những người tham gia vào phiên truyền

Tuỳ thuộc vào giao thức RTP được sử dụng cho loại dữ liệu nào mà RTCP cung cấp các thông báo điều khiển khác nhau Có 4 loại thông báo điều khiển chính được giao thức RTCP cung cấp là:

- Sender report (SR): thông báo này chứa các thông tin thống kê liên quan đến kết quả truyền như tỷ lệ tổn hao, số gói dữ liệu bị mất, khoảng trễ Các thông báo này phát ra từ phía phát trong một phiên truyền thông

- Receiver report (RR): thông báo này chứa các thông tin thống kê liên quan đến kết quả nhận giữa các điểm cuối Các thông báo này được phát ra từ phía thu trong một phiên truyền thông

- Source description (SDES): thông báo bao gồm các thông số mô tả nguồn như tên, vị trí,

- Application (APP): thông báo cho phép truyền các dữ liệu ứng dụng

Cấu trúc gói tin RTCP

Trang 20

Hình 1.5 Cấu trúc gói tin RTCP

- Version (2 bit): version RTP hiện tại (version 2)

- Padding (1 bit): có chức năng như một bit cờ chỉ rõ xem trong gói có các byte được chèn thêm hay không

- Report counter (5 bit): số thông báo chứa trong gói

- Packet type (8 bit): xác định loại thông báo của gói (SR hoặc RR hoặc APP)

- Length (16 bit): chỉ rõ độ dài của gói

- Report (độ dài thay đổi): chứa các thông báo chi tiết

1.1.4.1 Giao thức SIP:

a Giới thiệu SIP:

Giao thức khởi đầu phiên (Session Initiation Protocol) là giao thức báo hiệu

được dùng để thiết lập, duy trì và kết thúc các cuộc gọi Nó được đưa ra bởi IETF Một cuộc gọi bao gồm một số thành viên tham gia hội thoại, trao đổi thông tin bằng hình thức đa phát đáp hoặc đơn phát đáp với phương thức truyền thông có thể là dữ liệu, tiếng nói hay hình ảnh SIP là một giao thức điều khiển tầng ứng dụng, độc lập với với các giao thức khác Đây là giao thức khả mở, hỗ trợ các dịch vụ ánh xạ tên

và các dịch vụ gián tiếp một cách trong suốt Vì thế nó cho phép thi hành một cách đầy đủ các dịch vụ trên ISDN, mạng thoại thông minh và hỗ trợ các cuộc gọi di động của người có địa chỉ không cố định

SIP cung cấp các khả năng sau:

- Định vị người dùng: cho phép xác định vị trí người dùng tiến hành hội thoại

- Xác định phương thức giao tiếp và các tham số tương ứng cho hội thoại

- Xác định những người sẵn sàng tham gia hội thoại

- Thiết lập các tham số cần thiết cho cuộc gọi, giống như Q.931

- Điều khiển cuộc gọi: bao gồm cả quá trình truyền và kết thúc cuộc gọi

Trang 21

SIP là một phần trong bộ giao thức chuẩn cho truyền dòng tin đa phương thức do IETF đưa ra như RSVP (giao thức giữ trước tài nguyên), RTP, RTSP (phân phối dòng tin đa phương thức), SAP (giao thức thông báo phiên), SDP (giao thức

mô tả phiên), nhưng nó hoạt động độc lập với các giao thức trên Ta cũng có thể kết hợp SIP với các giao thức báo hiệu và thiết lập cuộc gọi khác

Hiện tại ngoài SIP được phát triển bởi IETF còn có H.323 phát triển bởi ITU mang đầy đủ dáng vẻ của một giao thức báo hiệu Cả SIP và H.323 đều định nghĩa các cơ chế chọn đường, báo hiệu cuộc gọi cũng như khả năng chuyển đổi, điều khiển và các dịch vụ bổ sung

SIP là giao thức mới hứa hẹn tính khả mở, linh hoạt và dễ dàng Sự linh hoạt của SIP cho phép máy phục vụ liên kết với các máy phục vụ khác bên ngoài để xác định người sử dụng hay chính sách chọn đường, vì thế nó không trói buộc chỉ những người trong cùng một vùng Thêm vào đó, để duy trì tính khả mở, các máy phục vụ SIP có thể duy trì các thông tin trạng thái hoặc chuyển tiếp yêu cầu

Trang 22

Bảng 1.1: Chức năng các thành phần của kiến trúc SIP

SIP là một giao thức Client-Server có nghĩa là các yêu cầu tạo ra từ một thực thể gửi (như Client) và gửi đến một thực thể nhận (như Server) để xử lý chúng SIP cho phép hệ thống đầu cuối bao gồm giao thức Client và Server (gọi chung là Server đại diện người sử dụng) Các Server đại diện người sử dụng nói chung trả lời các yêu cầu trên cơ sở trao đổi của con người hoặc một vài kiểu đầu vào khác Hơn nữa SIP yêu cầu có thể duyệt qua nhiều Proxy Server, mỗi trong chúng nhận một yêu cầu và gửi nó theo bước nhảy đến Server tiếp theo, nó có thể là một Proxy Server khác hoặc Server đại diện người sử dụng cuối cùng Một Server có thể đóng vai trò Server trung gian (Redirect Server), hoặc Client có thể liên lạc với nó trực tiếp Chưa có giao thức phân biệt giữa Proxy Server và Redirect Server và Server đại diện người sử dụng; một Client hoặc Proxy Server không có cách nào để biết ai

mà chúng đang truyền thông với Sự phân biệt chỉ ở chức năng: một Proxy Server hoặc Redirect Server không được nhận hoặc không nhận một yêu cầu, nơi mà Server đại diện người sử dụng là có thể Điều này giống với mô hình giao thức trao

đổi siêu văn bản HTTP (Hypertext Transfer Protocol) của các Client, các Server

gốc và Proxy Server Một máy chủ có thể đóng vai trò cho Client và Server cho các yêu cầu giống nhau Một kết nối được xây dựng bằng cách đưa ra một yêu cầu INVITE và loại bỏ bởi đưa ra một yêu cầu BYE

c Các bản tin SIP

SIP là giao thức dạng text sử dụng bộ ký tự ISO 10646 trong mã hóa UTF-8 Điều này tạo cho SIP tính linh hoạt và mở rộng, dễ dàng thi hành các ngôn ngữ lập trình cấp cao như Java, Tcl, Perl Cú pháp của nó gần giống với giao thức HTTP,

SIP terminal Hỗ trợ truyền thông hai chiều thời gian thực với

các thực thể SIP khác Cũng giống như H.323 Terminal, chứa UAC

PS (Proxy Server) Liên lạc một hay nhiều client hay server kề với

nó, chuyển yêu cầu cuộc gọi đi xa hơn Chứa UAC và UAS

RS (Redirect Server) Trả về địa chỉ người dùng khi được yêu cầu

LS (Location Server) Cung cấp thông tin về địa chỉ có thể có của người

gọi cho Redirect và Proxy Server Nó có thể nằm chung với SIP Server

Trang 23

cho phép dùng lại mã và đơn giản hóa sự liên kết của các máy phục vụ SIP với các máy phục vụ Web

Thông điệp SIP được chia làm hai loại:

SIP-message = Request | Response

Yêu cầu (Request)

Một tiêu đề yêu cầu SIP có cấu trúc :

Method Request URI SIP version

Trong đó, SIP định nghĩa 6 yêu cầu cơ bản:

INVITE Mời thành viên tham gia hội thoại

ACK Yêu cầu xác nhận đã nhận được đáp ứng chấp nhận (OK)

cho yêu cầu INVITE

OPTIONS Hỏi khả năng của máy phục vụ SIP

BYE Yêu cầu giải phóng cuộc gọi

CANCEL

Hủy bỏ yêu cầu sắp được thực hiện với cùng giá trị trong các trường Call-ID, To, From, CSeq của yêu cầu đó bằng cách ngừng quá trình tìm kiếm, báo hiệu

REGISTER Đăng ký danh sách địa chỉ liên hệ của người dùng với máy

phục vụ

Bảng 1.2: Các yêu cầu SIP

Trường Request-URI có khuôn dạng theo SIP URL và có thể được ghi lại trong trường hợp máy phục vụ ủy quyền, trường SIP Version chỉ phiên bản SIP được sử dụng (hiện tại là bản SIP/2.0)

Đáp ứng (Response)

Đáp ứng bản tin SIP dựa trên sự chấp nhận và dịch các yêu cầu Chúng dùng

để chỉ thị cuộc gọi thành công hay thất bại, bao gồm cả trạng thái của server

Các đáp ứng SIP có tiêu đề theo khuôn dạng sau:

SIP version Status code Reason phrase

Phiên bản SIP/2.0 đưa ra bảng mã mở rộng và chức năng tương ứng cho các

đáp ứng được mô tả dưới đây:

Trang 24

1xx Tìm kiếm , báo hiệu, sắp hàng đợi

2xx Thành công

3xx Chuyển tiếp yêu cầu

4xx Lỗi phía người dùng 5xx Lỗi phía máy phục vụ 6xx Lỗi chung: đường đây đang bận, từ chối,…

Bảng 1.3: Các đáp ứng SIP

Ngoài ra, thành phần tùy chọn Reason phrase chú thích mã trả về tương ứng

là đáp ứng gì.

d Hoạt động của SIP

Quá trình định vị tới máy phục vụ SIP

Khi một người (UAC) muốn gửi yêu cầu kết nối tới một người khác thì yêu cầu được gửi tới PS hoặc gửi địa chỉ và cổng cho trường Request-URI với cổng mặc định là 5060 và giao thức vận chuyển là UDP và sau đó là TCP Quá trình tìm kiếm địa chỉ máy phục vụ SIP diễn ra như sau: UAC gửi yêu cầu tới máy phục vụ tương ứng, máy phục vụ lấy thông tin trong trường Request-URI để lấy được địa chỉ cần tìm:

- Nếu trường host trong Request-URI là địa chỉ IP thì UAC sẽ liên lạc với máy phục vụ qua địa chỉ này, nếu không thì nhảy sang bước tiếp theo

- UAC hỏi địa chỉ IP của máy phục vụ qua máy phục vụ tên miền (Domain

Name System Server) DNS Server trả về một danh sách tương ứng thông tin đăng

và To đều theo khuôn dạng SIP URL Trường CSeq lưu thông tin về phương thức

sử dụng trong phiên đó

Trang 25

Lời mời SIP

Đây là hoạt động diễn ra thường xuyên nhất, INVITE mời thành viên tham gia hội thoại, đáp ứng chấp nhận là 200 (OK) Thông điệp này còn chứa thành phần

mô tả phiên (SDP) và phương thức tiến hành trao đổi ứng với phiên đó Trong trường hợp máy phục vụ ủy quyền như hình 1.7

Hình 1.7 Sự hoạt động của trường hợp Proxy Mode

1 Proxy Server (PS) tiếp nhận lời mời

2 PS tra cứu thông tin ở dịch vụ định vị ngoài SIP

3 PS nhận về thông tin để tạo ra địa chỉ chính xác

4 PS tạo lại INVITE trong trường Request-URI và chuyển tiếp

5 UAS của người được gọi cảnh báo tới

6 PS nhận đáp ứng chấp nhận 200 OK

7 PS trả về kết quả thành công cho người gọi

8 Người gọi gửi thông báo xác nhận ACK

9 Yêu cầu xác nhận được chuyển tiếp qua PS

Trường hợp máy phục vụ gián tiếp (RS) như hình 1.8:

Trang 26

Hình 1.8 Sự hoạt động của trường hợp Redirect Mode

Sự khác biệt với PS là ở chỗ, RS không chuyển tiếp yêu cầu mà nó gửi trả về cho UAC, UAC gửi lời mời trực tiếp với trường Request-URI được xây dựng lại

Trang 27

e Mô hình một cuộc gọi SIP điển hình

Hình 1.9: Call Flow của hệ thống

Hình trên mô tả các quá trình diễn ra cho một cuộc gọi SIP điển hình qua 16 bước

- Bước 1: Người sử dụng ở UA 1 muốn kết nối tới người được gọi Khi đó

phần mềm UA chạy trên UA1 sẽ tạo một yêu cầu INVITE và gửi đến proxy Địa chỉ của proxy đã được cấu hình trước trên chương trình

- Bước 2: Proxy tiếp nhận được yêu cầu của sofpthone nhờ listen trên port

20050/UDP lập tức trả lời bằng một đáp ứng 100 (TRYING) nhằm yêu cầu client chờ kết nối Sau đó qua bước 3

- Bước 3: Proxy xem xét yêu cầu INVITE, xác định host mà ở đó người

được gọi đang login vào, chuyển tiếp yêu cầu INVITE đến đó

- Bước 4: UA 2 trả lời cho proxy bằng đáp ứng 100 (TRYING)

- Bước 5: UA 2 gởi đáp ứng 180 (RINGING) về cho proxy để báo rằng

đang đổ chuông

- Bước 6: Proxy chuyển tiếp 180(RINGING) về UA 1

Trang 28

- Bước 7: UA 1 nhận được 180(RINGING) lập tức tự phát âm hiệu ringback

tone dạng color ring dựa vào cấu hình nhạc chuông được thiết lập sẳn

- Bước 8: gười được gọi ở UA 2 nhấc máy UA 2 thông báo cho proxy tín

hiệu nhấc máy bằng 200 (OK)

- Bước 9: Proxy chuyển tiếp 200(OK) cho UA 1

- Bước 10: UA 1 gửi yêu cầu ACK cho proxy nhằm confirm rằng nó đã nhận

được tín hiệu 200 (OK)

- Bước 11: Proxy chuyển tiếp ACK tới UA 2

- Bước 12: UA 1 tạo RTP stream với UA 2 và bắt đầu truyền voice

- Bước 13, 14: Giả sử người gọi ở UA 1 gác máy trước UA 1 tạo yêu cầu

BYE và gửi đến UA 2 thông qua proxy

- Bước 15, 16: UA 2 nhận được yêu cầu BYE của UA 1, nó trả lời bằng đáp

ứng 200 (OK), đồng thời kết thúc cuộc gọi

f Đánh giá SIP

SIP là giao thức đề cử được tổ chức IETF đưa ra Nó ra đời với mục đích đơn giản hóa cơ chế báo hiệu và điều khiển cuộc gọi cho VoIP SIP là giao thức dạng text, các lệnh SIP có cấu trúc đơn giản để các thiết bị đầu cuối dễ dàng phân tích và sửa đổi

- Ưu điểm của SIP:

+ Tính mở rộng một cách tự nhiên của giao thức cho phép dễ dàng định nghĩa và thi hành trong tương lai

+ Cho phép tạo các thiết bị đầu cuối một cách đơn giản và dễ dàng mà vẫn đảm bảo chi phí thấp

- Nhược điểm của SIP:

+ SIP là giao thức rất mới, cần được tiếp tục hoàn thiện

+ Nó chỉ đề cập tới một phạm vi hẹp trong toàn bộ phiên truyền thông nên cần phải được kết hợp với các giao thức khác trong quá trình xây dựng một hệ thống hoàn chỉnh

+ Khả năng giao tiếp với mạng chuyển mạch kênh kém

Trang 29

1.2 Nguy cơ đối với hệ thống VoIP di động:

Vì VoIP dựa trên kết nối Internet nên nó có những điểm yếu với bất kỳ mối

đe dọa và các vấn đề gì mà máy tính của bạn phải đối mặt Công nghệ này cũng là một công nghệ mới, vì vậy có nhiều tranh cãi về những tấn công có thể xảy ra, VoIP

có thể cũng bị tấn công bởi virus và mã nguy hiểm khác Các kẻ tấn công có thể chặn việc truyền thông, nghe trộm và thực hiện các tấn công giả mạo bằng việc thao túng ID và làm hỏng dịch vụ của bạn Các hành động tiêu tốn lượng lớn các tài nguyên mạng như tải file, chơi chò trơi trực tuyến… cũng ảnh hưởng đến dịch vụ VoIP

Ngoài những vấn đề trên ra, VoIP còn kế thừa những vấn đề chính trong việc định tuyến trên kết nối băng thông rộng Không giống như các hệ thống điện thoại truyền thống bạn có thể gọi cả khi mất điện trong hệ thống VoIP, nếu mất nguồn điện thì VoIP cũng không thể thực hiện được cuộc gọi Ở đây cũng có vài vấn đề liên quan đó là các hệ thống bảo mật tại nhà hoặc số khẩn cấp có thể không làm việc theo như mong muốn

1.2.1 Các mối đe dọa đối với hệ thống VoIP:

Việc thoại và dữ liệu hội tụ trên cùng một dây, với bất kỳ giao thức nào được

sử dụng, là một vấn đề đối với các kỹ sư bảo mật và các nhà quản trị Hệ quả của vấn đề hội tụ này là các mạng chính có thể bị tấn công, kiến trúc viễn thông thông tin của các tổ chức sẽ có thể gặp phải rủi ro nguy hiểm Vì vậy việc đảm bảo kiến trúc cho toàn thể mạng VoIP đòi hỏi các kỹ sư quản trị mạng phải có kế hoạch, có kiến thức chi tiết và phải biết phân tích các tình huống trong từng trường hợp cụ thể

Bảng sau mô tả các cấp độ mà cấu trúc VoIP có thể bị tấn công:

Cấu trúc IP Điểm yếu này liên quan đến các hệ thống sử dụng mạng chuyển

mạch gói, nó làm ảnh hưởng đến cấu trúc hoạt động VoIP

Hệ điều hành Các thiết bị VoIP kế thừa các điểm yếu của hệ điều hành và các

firmware mà chúng chạy trên đó (windows và linux) Cấu hình Cấu hình mặc định của thiết bị VoIP luôn có những dịch vụ dư

thừa Và các port của các dịch vụ thừa này trở thành điểm yếu cho các tấn công DoS, tràn bộ đệm hoặc tránh sự xác thực…

Mức ứng dụng Các công nghệ mới còn non yếu có thể bị tấn công bẻ gãy hoặc

mất điều khiển đối với các dịch vụ

Trang 30

Bảng 1.4: Các cấp độ mà cấu trúc VoIP có thể bị tấn công

1.2.2 Một số phương thức tấn công mạng VoIP:

1.2.2.1 Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP

Dịch vụ internet là một chương trình chạy trên một host máy tính chờ đợi một kết nối từ khách hàng Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ Đây là loại tấn công trực tiếp và chủ động Người tấn công không có ý định ăn cắp một cái gì cả Anh ta chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng Nhưng không phải lúc nào dịch vụ không được tiếp cận là nguyên nhân của tấn công DoS

Nó có thể là nguyên nhân của cấu hình sai cũng như là nguyên nhân của việc sử dụng sai

Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụ này có thể gặp phần nào một số hậu quả khó khăn, ví dụ như một shop trực tuyến Một tấn công DoS có thể là một trong ba loại sau đây:

- Đe doạ vật lý hoặc hay thay đổi các thành phần mạng

- Đe doạ hay thay đổi cấu hình thông tin

Tiêu thụ khó khăn, giới hạn hay không thể khôi phục nguồn tài nguyên Các sửa đổi một phần kiến trúc phần cứng của hệ thống được xem như là truy cập đến vùng của nó Một người tấn công chỉ có thể cố gắng phá hủy các phần cứng vật lý thông qua làm đổi hướng phần mềm Một tấn công DoS trên internet có thể chỉ là loại thứ hai hay thứ ba Sự thay đổi cấu hình thông tin cần phải truy cập đến host máy tính Điều này ám chỉ rằng người tấn công được quản lí hệ thống khi xâm phạm hệ thống Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn như băng thông dành cho dịch vụ internet Tác động của việc tấn công sẽ lớn hơn nếu vị trí bị tấn công từ một vài host ở cùng một thời điểm Các biến thể của tấn công DoS được gọi là tấn công từ chối phân bổ của dịch vụ DDoS

Tấn công DoS có thể ảnh hưởng đến tất cả các dịch vụ trong mạng IP Hậu quả của tấn công DoS có thể làm giảm chất lượng dịch vụ hoặc nặng hơn có thể làm mất dịch vụ Ta có các loại tấn công như sau:

- DDoS (Distributed denial-of-service): đây là kiểu tấn công mà các gói tin làm tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, được mô tả trong hình 1.10 và 1.11

Trang 31

Hình 1.10: Luồng trao đổi thông thường

Các luồng traffic trao đổi bình thường giữa các host và server bên trong và ngoài mạng Hình dưới cho thấy sự tấn công luồng traffic IP trực tiếp từ interface của firewall

Hình 1.11: Luồng trao đổi bị tấn công DDoS

Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đã biến mất trên internet trong vài giờ khi các server của họ bị làm tràn với hang trăm ngàn yêu cầu từ các trang web khác Điều này làm suy giảm băng thông và các server CPU không thể xử lý nổi

- DoS (Denial of Service): điều kiện tấn công DoS xảy ra khi thiết bị ở trong mạng nội bộ là cái đích của việc làm tràn ngập các gói, dẫn đến mất liên lạc giữa các phần trong cấu trúc mạng liên quan đến thiết bị đó Cũng giống như DoS ở trên,

Trang 32

các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên CPU Ví dụ một vài điện thoại IP sẽ ngừng hoạt động nếu chúng nhận các gói tin UDP lớn hơn

65534 bytes ở port 5060

Hình 1.12: Tấn công DoS làm ngừng hoạt động của điện thoại IP

Việc kiểm tra tính toàn vẹn và kể cả việc mã hóa cũng không thể ngăn chặn những tấn công này Đặc tính của tấn công DoS và DDoS là đơn giản bằng cách gửi một lượng lớn các gói tin đến máy nạn nhân Mặc dù các gói tin này có được đăng

ký với server hay không, nguồn địa chỉ IP là thật hay giả, hoặc được mã hóa với một key không có thật đi nữa thì việc tấn công vẫn có thể xảy ra

Tấn công DoS thật khó để chống lại bởi vì VoIP cũng chỉ là một trong những dịch vụ trên mạng IP, nó cũng dễ bị tấn công như các dịch vụ trên mạng IP khác Hơn nữa tấn công DoS có ảnh hưởng đặc biệt tới các dịch vụ như VoIP và các dịch

vụ thời gian thực khác, bởi vì các dịch vụ này rất “nhạy cảm” với trạng thái mạng Virus và worm nằm trong danh sách gây nên tấn công DoS hay DDoS dựa trên việc tăng lưu lượng mạng mà chúng tạo ra bằng cách tái tạo và nhân bản

Vậy chúng ta sẽ chống lại tấn công DoS như thế nào? Chúng ta bắt đầu bằng việc tấn công DoS trong mạng nội bộ Ở hình trên thì VLAN 10 ở bên phải không

bị ảnh hưởng phá vỡ dịch vụ bởi VLAN 2 ở bên trái Với minh họa này thì người quản trị bảo mật có thể ngăn cản tấn công DoS bằng cách chia mạng thành nhiều phần Mỗi phần có thể “miễn dịch” với tấn công DoS với các phần còn lại

Điểm mấu chốt của chúng ta là sẽ làm giảm tấn công DoS một cách có hiệu quả Như ta đã biết, trong môi trường VoIP sự chứng thực bền vững ít khi được sử dụng Các thành phần thông điệp phải xử lý chính xác và các thông điệp xử lý có thể là từ người tấn công Thêm vào đó việc xử lý những thông điệp giả sẽ làm suy

Trang 33

kiệt nguồn tài nguyên của server, điều đó dẫn đến tấn công DoS Việc làm tràn ngập các thông điệp đăng ký SIP và H.323 là một ví dụ điển hình Trong trường hợp này server có thể giảm nhẹ các nguy cơ tấn công bằng cách giới hạn số thông điệp đăng

ký mà nó sẽ xử lý trong thời gian cụ thể cho từng địa chỉ cụ thể (chẳng hạn là địa chỉ IP) Và một hệ thống chống xâm nhập (Intrustion Prevention System-IPS) có thể hữu ích trong một số loại tấn công DoS nào đó

Thiết bị này nằm trên đường dữ liệu và giám sát lưu lượng di qua nó Khi có một lưu lượng bất thường được phát hiện, IPS sẽ ngăn chặn lưu lượng bất thường này Một vấn đề nữa mà ta đã thấy với các thiết bị, đặc biệt là trong môi trường yêu cầu lợi ích cao, là việc các thiết bị thỉnh thoảng ngăn chặn các lưu lượng bình thường Mà điều đó cũng có thể xem là một hình thức tấn công DoS

Hơn nữa, các nhà quản trị bảo mật có thể giảm thiểu đến mức tối đa nguy cơ tấn công DoS bởi một điều chắc chắn là điện thoại IP và các server được cập nhật các phiên bản ổn định nhất điển hình là khi một cảnh báo tấn công DoS được công

bố, nhà sản xuất sẽ nhanh chóng vá các lỗi vừa phát hiện

Hệ thống VoIP đòi hỏi đặt ra yêu cầu dịch vụ phải chính xác Dưới đây là một số ví dụ tấn công DoS gây ra có thể làm cho các dịch vụ VoIP mất đi một phần hoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc gọi, ngắt các cuộc gọi hoặc ngăn chặn các dịch vụ tương tự như là voice mail Chú ý là các kiểu tấn công bên dưới này không bao hàm hết nhưng cũng minh họa một vài phiên bản tấn công

Khởi động lại kết nối TLS (TLS Connection Reset): nó không khó để tấn công khởi động lại một kết nối trên kết nối TLS (thường dùng cho báo hiệu bảo mật giữa thoại và gateway)- chỉ cần gửi đúng loại gói thì kết nối TLS sẽ bị khởi động lại, làm gián đoạn kênh báo hiệu giữa điện thoại và call server

Tấn công chuyển tiếp các gói VoIP (VoIP packet relay Attack): bắt và gửi lại các gói VoIP đến điểm cuối, cộng thêm việc trì hoãn tiến trình cuộc gọi sẽ làm giảm chất lượng cuộc gọi

Đường hầm dữ liệu (data tunneling): không chính xác là một sự tấn công, đúng hơn là tạo một đường hầm dữ liệu xuyên qua cuộc gọi vừa tạo, thực chất đây

là hình thức mới truy cập trái phép modem Việc vận chuyển tín hiệu modem thông qua những gói tin mạng bằng phương pháp điều chế xung mã (PCM-Pulse Code Modulation) để mã hóa các gói hay là bằng cách đặt chúng trong các thông tin header, VoIP có thể được dùng để hỗ trợ cuộc gọi từ modem qua mạng IP Kỹ thuật

Trang 34

này được dùng để bỏ qua hay phá hoại chính sách của modem để bàn và che dấu việc không được phép kết nối dữ liệu Điều này cũng tương tự như khái niệm “IP over HTTP”, một vấn đề kinh điển đối với tất cả các port mở trên firewall từ các nguồn bên trong

Tấn công thay đổi chất lượng dịch vụ (QoS Modification Attack): thay đổi các trường thông tin điều khiển các giao thức VoIP riêng biệt trong gói dữ liệu VoIP và từ điểm cuối làm giảm hoặc từ chối dịch vụ thoại Ví dụ, nếu một người tấn công đổi thẻ 802.1Q VLAN hoặc bit To Strong gói IP, cũng giống như là người đứng giữa (man-in-the-middle) hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối, người tấn công có thể sẽ phá vỡ chất lượng dịch vụ của mạng VoIP Do lưu lượng thoại phụ thuộc vào lưu lượng dữ liệu nên về căn bản, kẻ tấn công có thể trì hoãn việc phân phát các gói thoại

Sự tiêm các gói VoIP (VoIP packet Injection): tức là gửi các gói VoIP giả mạo đến điểm cuối, thêm vào đoạn thoại hay nhiễu hay khoảng lặng vào hoạt động thoại Ví dụ khi RTP được dung mà không có sự xác thực của gói RTCP ( và cả không có sự lấy mẫu của SSRC), kẻ tấn công có thể tiêm thêm các gói RTCP vào nhóm multicast với SSCR khác, mà điều này có thể làm tăng số lượng nhóm theo hàm mũ

Tấn công DoS vào các dịch vụ bổ xung (DoS against supplementary services): khởi đầu tấn công DoS là chống lại các dịch vụ mạng khác mà dịch vụ VoIP có mối liên hệ ( ví dụ: DHCP, DNS, BOOTP) Ví dụ trong mạng mà đầu cuối VoIP dựa vào địa chỉ đăng ký DHCP, làm mất khả năng của DHCP server ngăn chặn điểm cuối lấy được địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch

vụ VoIP

Tràn ngập các gói điều khiển: (Control Packet Flood) : làm tràn ngập VoIP server hoặc đầu cuối với những gói điều khiển cuộc gọi không rõ nguồn gốc (ví dụ trong H.323, các gói GRQ, RRQ, URQ sẽ được gửi đến UDP/1719) Mục đích của

kẻ tấn công là làm suy yếu thiết bị hệ thống hoặc tài nguyên mạng Do đó không thể dung các dịch vụ VoIP Bất kể các port mở trong tiến trình cuộc gọi và VoIP server lien quan có thể trở thành mục tiêu của kiểu tấn công DoS này

Tấn công DoS Wireless (Wireless DoS) cách này sẽ tấn công vào đầu cuối VoIP Wireless bằng cách gửi những frame 802.11 hoặc 802.1X để ngắt các kết nối

Ví dụ tấn công Message Integrity sẽ làm cho access point cách ly các trạm khi nó nhận 2 frame không hợp lệ trong vòng 60 giây Dẫn đến mất kết nối này trong vòng

Trang 35

60 giây Và trong môi trường VoIP thì việc mất dịch vụ trong vòng 60 giây thì không thể chấp nhận được

Thông điệp giả (Bogus Message DoS): gửi đến VoIP server và các điểm cuối các giao thức VoIP giả mạo nhằm hủy kết nối hoặc tình trạng bận ở đầu cuối Kiểu tấn công này làm cho các phone phải xử lý các message giả và các đầu cuối phải thiết lập những kết nối ảo hoặc làm cho người tham gia cuộc gọi lầm rằng đường dây đang bận

Gói tin không hợp lệ (Invalid Packet DoS): gửi đến VoIP server và đầu cuối những gói không hợp lệ để khai thác hệ điều hành thiết bị và TCP/IP để thực hiện từ chối dịch vụ CVEs Theo sự mô tả của CAN-2002-0880, dùng jolt có thể bẻ gãy Cisco IP phone và sự phân đoạn thong thường dựa trên các phương thức DoS khác

Sự thực thi giao thức VoIP (VoIP Protocol Implementation) : gửi đến server VoIP hoặc đầu cuối những gói tin không hợp lệ để có thể khai thác những điểm yếu trong sự thực thi giao thức VoIP và tạo nên tấn công DoS Ví dụ, CVE-2001-00546

đề cập đến việc sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA của Window CAN-2004-0056 sử dụng các gói H.323 như trên để khai thác điểm yếu của Nortel BCM Nếu như không thường xuyên cập nhập phần mềm một cách hợp

lý thì sẽ tăng rủi ro cho hệ thống

Packet of Death DoS: làm tràn ngập VoIP server hoặc đầu cuối với những gói hoặc những phân đoạn TCP, UDP, ICMP ngẫu nhiên nhằm làm suy hao CPU thiết bị cũng như băng thông, phiên TCP… Ví dụ khi gửi một số lượng gói TCP với

sự ưu tiên phân phát Trong quá trình tràn ngập này làm tăng sự xử lý, can thiệp vào tải so với khả năng của hệ thống nhận, để xử lý lưu lượng thật, và kết quả ban đầu là làm trì hoãn lưu lượng, sau cùng là đập vỡ hoàn toàn lưu lượng

1.2.2.2 Một số cách tấn công chặn và cướp cuộc gọi:

a Tấn công Replay:

Tấn công replay là tấn công chủ động hướng về nghi thức Đặc trưng của người tấn công này giành được gói dữ liệu gởi hoặc nhận đến host Anh ta sửa đổi chúng và sử dụng lại để truy cập vào một số dịch vụ nào đó Một ví dụ tương ứng với loại thoại IP là người tấn công đạt được trong tay các gói dữ liệu gởi từ một user

có quyền để thiết lập cuộc gọi và gởi lại chúng sau khi đã sửa đổi địa chỉ nguồn và

IP Nó có thể bị ngăn chặn bằng cách thực thi hai dịch vụ bảo mật nhận thực thực thể ngang hàng (peer entity authencation) và tính toàn vẹn dữ liệu (data intergrity)

b Tấn công tràn bộ đệm

Trang 36

Đây là phương thức tấn công phổ biến Đây là kết quả chính của việc phát triển phần mềm không đúng lúc Kỹ thuật này lợi dụng trên thực tế là có một vài lệnh không kiểm tra đầu vào dữ liệu Chúng được ứng dụng đặc biệt để xâu chuỗi

xử lý các lệnh Quá trình gia nhập với nhiều đầu vào, các lệnh hay là các chương trình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên Nội dung của bộ nhớ này

có thể bắt đầu hoặc quay trở lại địa chỉ của các chương trình subroutine Trường hợp xấu nhất người tấn công có thể thêm vào đoạn code hiểm để cung cấp cho các quyền quản lí của hệ thống Biện pháp đối phó là huỷ tất cả các code “yếu”, chính các lỗ hỗng nhận thức được chứa trong các hệ thống hoạt động và các chương trình ngôn ngữ

c Tấn công man in the middle

Trong tấn công man in the middle người tấn công quản lý để cắt đứt kết nối giữa hai bên gọi Cả hai bên tham gia kết nối này đều nghĩ rằng chúng truyền thông với nhau Thực tế, tất cả các dữ liệu được định tuyến qua người tấn công Hacker đã hoàn thành việc truy cập để thay thế các dữ liệu bên trong Hacker có thể đọc chúng, thay đổi chúng hoặc và gửi chúng như là dữ liệu Thực tế hacker được xác định ở vị trí ở giữa của hai bên truyền thông mang lại cho người tấn công tên của hai bên truyền thông Một ví dụ cho tấn công này là thiết lập của việc bảo đảm kết nối được sử dụng bởi bảo mật lớp dữ liệu Điểm yếu của TLS là nguyên nhân của việc thiết lập phiên này Ở đây hai bên truyền thông có thể trao đổi hai khóa Khóa này được đổi có khả năng làm cho người tấn công có thể ở giữa hai bên truyền thông

d Chặn và đánh cắp cuộc gọi

Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng VoIP, định nghĩa nghe lén có nghĩa là một người tấn công có thể giám sát toàn bộ báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhưng không thể biến đổi dữ liệu Đánh cắp cuộc gọi thành công tương tự như việc nghe trộm trên dây nối, cuộc gọi của hai bên có thể bị đánh cắp, ghi lại, và nghe lại mà hai bên không hề biết Rõ ràng người tấn công mà có thể đánh chặn và chứa dữ liệu này có thể sử dụng dữ liệu này cho mục đích khác phục vụ cho mục đích

e Đầu độc DNS

Một hồ sơ DNS A được sử dụng cho việc chứa các domain hay hostname ánh xạ thành địa chỉ IP SIP tạo ra việc sử dụng rộng rãi hồ sơ SRV để xác định các dịch vụ SIP như là SIP uỷ quyền và đăng nhập Các hồ sơ SRV thường bắt đầu với

Trang 37

gạch dưới(_sip.tcpserver.udp.domain.com) và chứa thông tin về miêu tả dịch vụ, vận chuyển, host, và thông tin khác Các hồ sơ SRV cho phép người quản lý sử dụng một vài user cho một domain, để di chuyển dịch vụ từ host đến host với một ít quan trọng hoá, và để bổ nhiệm một vài host như là các server chính cho các dịch

vụ

Một người có mục đích tấn công, sẽ cố gắng đầu độc DNS hay tấn công giả mạo, sẽ thay thế giá trị lưu trữ hồ sơ DNS A, SSRV, hay NS với các bản tin mà chỉ đến các server của người tấn công Điều này có thể được hoàn thành bằng cách bắt đầu bằng cách dời vùng từ DNS server của người tấn công đến DNS server nạn nhân, bằng cách yêu cầu server DNS nạn nhân phân tích thiết bị mạng trong domain của người tấn công Server DNS nạn nhân không những chấp nhận yêu cầu hồ sơ

mà còn chấp nhận và chứa các hồ sơ mà server tấn công có

Vì vậy việc thêm vào hồ sơ A cho www.Attacker.com, server DNS nạn nhân

có thể nhận được hồ sơ giả là www.yourbank.com Nạn nhận vô tội sẽ bị hướng đến chuyển hướng lại đến attacker.com Trang web mà bất mà bất kỳ thời điểm nào muốn truy cập là yourbank.com Trang web mà hồ sơ giả được lưu trữ SIP URL thay thế cho địa chỉ website, và vấn đề tương tự cũng gặp phải trong môi trường VoIP

Các loại đe doạ này dựa vào sự vắng mặt của bảo đảm nhận thực của người tạo ra yêu cầu Các tấn công trong loại này cố gắng tìm kiếm để phá hoại tính toàn vẹn của dữ liệu đàm thoại.Các thảm hoạ này chỉ ra rằng việc cần thiết phải bảo mật dịch vụ để có khả năng nhận thực thể tạo ra yêu cầu và để kiểm tra nội dung của thông điệp và điều khiển các luồng không bị biến đổi khi phát

f Đánh lừa (ARP Spoofing)

ARP là giao thức cơ sở Ethernet Có lẽ do nguyên nhân này, thao tác vào các gói ARP là kỹ thuật tấn công thường thấy trong mạng VoIP Một vài kỹ thuật hay công cụ hiện tại cho phép bất kỳ user nào có thể tìm ra lưu lượng mạng trên mạng bởi vì ARP không có điều khoản cho câu hỏi nhận thực và câu hỏi trả lời Thêm vào

đó, bởi vì ARP là một giao thức stateless, hầu hết các hệ thống hoạt động cập nhật cache của nó khi mà nhận một lời đáp ARP, bất chấp nó được gởi đi từ một yêu cầu thực tế hay không

Trang 38

Hình 1.13: Máy tính tấn công ARP Spoofing

Trong số những tấn công này, chuyển hướng ARP, đánh lừa ARP, đánh cắp ARP và đầu độc cache ARP là các phương pháp để phá hoại quá trình ARP bình thường Các dạng này thường xuyên được xen kẽ hoặc xáo trộn nhau Dành cho mục đích của chương này, có thể xem đầu độc cache ARP và đánh lừa ARP như là cùng một quá trình Sử dụng các công cụ tuỳ thích có thể như là ettercap, Cain, và dsnif, và các thiết bị IP có hại có thể đánh lừa thiết bị IP thông thường bằng cách gởi một đáp ứng ARP không yêu cầu đến host mục tiêu Một đáp ứng ARP giả chứa địa chỉ phần cứng của thiết bị bình thường và địa chỉ IP của thiết bị có ý đồ xấu Trong hình 1.13, Ned là máy tính tấn công Khi SAM broadcast một câu hỏi ARP cho địa chỉ IP của Sally, NED, người tấn công, đáp ứng câu hỏi để chỉ ra rằng địa chỉ IP (10.1.1.2) liên quan đến địa chỉ MAC của Ned, BA:AD:BA:AD Các gói giả

sử gửi từ SAM đến Sally sẽ được thay thế gởi đến Ned Sam sẽ hiểu lầm rằng địa chỉ MAC của Ned tương ứng với địa chỉ IP của Sally Thực tế, Ned có thể đầu độc cache ARP của Sam mà không cần đợi một yêu cầu ARP từ hệ thống Windows (9x/NT/2k), các mục ARP tĩnh được viết đè lên khi một trả lời câu hỏi được nhận bất chấp có hay không câu hỏi được phát Mục này sẽ được giữ cho đến khi chúng hết hạn hoặc mục mới thay thế

Trang 39

Hình 1.14: Tấn công ARP Spoofing làm đổi hướng ARP

Chuyển hướng ARP có thể hoạt động hai chiều và thiết bị đánh lừa có thể đưa vào ở giữa của cuộc đàm thoại giữa hai thiết bị IP trên mạng chuyển mạch.(xem hình 1.14) Bằng cách định tuyến các gói trên các thiết bị được nhận các gói, việc gài vào này (được biết như là Man/Monkey/Moron trong việc tấn công ở giữa ) có thể vẫn không được nhận ra cho một vài lần Người tấn công có thể định tuyến các gói như mong muốn, dẫn đến như tấn công DoS

Vì tất cả lưu lượng IP giữa người gởi thực và người nhận thực bây giờ đều đi qua thiết bị của người tấn công, thật bình thường để cho người tấn công tìm ra lưu lượng sử dụng các công cụ tuỳ thích như là Ethereal hay tcpdump Bất kỳ thông tin nào không được mã hoá (bao gồm email, username và password, và lưu lưọng web)

có thể bị chặn đứng và bị xem

Sự chặn đứng này có khả năng tác động mạnh đến lưu lượng VoIP Các công

cụ miễn phí như là vomit hay rtpsnif, cũng như là các công cụ công cộng như là VoIPCrack, cho phép chặn đứng và mã hoá lưu lượng VoIP Các nội dụng chiếm được có thể bao gồm thoại, báo hiệu và thông tin tính cước, đa phương tiện, số PIN Đàm thoại qua nội mạng IP có thể bị chặn và ghi âm lại sử dụng kỹ thuật này

Ở đây cũng có một số biến thể của kỹ thuật kể trên Thay cho việc phỏng theo các host, người tấn công có thể phỏng theo gateway Điều này làm cho người tấn công có thể chặn đứng nhiều luồng gói Tuy nhiên, hầu hết kỹ thuật chuyển hướng dựa vào việc lén lút Người tấn công trong các trường hợp này đều hy vọng việc không nhận ra của các user mà chúng mạo nhận Mạo nhận gateway có thể có

Trang 40

kết quả trong các user đề phòng sự có mặt của người tấn công xâm phạm bất ngờ trong mạng

Ở đây cũng có một số biến thể của kỹ thuật kể trên Thay cho việc phỏng theo các host, người tấn công có thể phỏng theo gateway Điều này làm cho người tấn công có thể chặn đứng nhiều luồng gói Tuy nhiên, hầu hết kỹ thuật chuyển hướng dựa vào việc lén lút Người tấn công trong các trường hợp này đều hy vọng việc không nhận ra của các user mà chúng mạo nhận Mạo nhận gateway có thể có kết quả trong các user đề phòng sự có mặt của người tấn công xâm phạm bất ngờ trong mạng

Trong các thủ tục giới hạn lỗi do thao tác ARP, người quản lí phải thực thi các công cụ phần mềm để giám sát việc ánh xạ địa chỉ IP thành địa chỉ MAC Ở lớp mạng, ánh xạ địa chỉ MAC/IP có thể được mật mã tĩnh trên switch, tuy nhiên nó thường xuyên không được quản lý tốt

Các rủi ro của việc mã hoá lưu lượng VoIP có thể được giới hạn bởi thực thi mật mã Sử dụng việc mật mã hoá media, các cuộc đàm thoại giữa hai đầu cuối IP phải được sử dụng cùng một dạng mật mã hoá Trong môi trường bảo mật cao thì các tổ chức cần phải đảm bảo cùng một phương thức mật mã trong bộ codec IP

Tiếp theo là một vài ví dụ thêm vào của các đánh chặn hay ăn cắp cuộc gọi hay tín hiệu Các đe doạ của lớp này khó thực hiện hoàn thành hơn là DoS, kết quả của nó có thể là dữ liệu bị mất hay bị thay đổi Các tấn công DoS, là do nguyên nhân của các phương pháp hoạt động hay sơ xuất, nó làm ảnh hưởng đến chất lượng dịch vụ và thường gây sự không hài lòng đối với user và người quản trị mạng Các tấn công đánh chặn và ăn cắp, thường là các tấn công chủ động với việc đánh cắp dịch vụ, thông tin, hoặc tiền như là mục tiêu tấn công Cần chú ý rằng danh sách này không khái quát hết khía cạnh nhưng cũng bao gồm một vài tấn công cốt lõi

Tấn công đánh lừa đầu cuối VoIP (Roque VoIP Endpoint Attack): Giả mạo đầu cuối EP giao tiếp với các dịch vụ VoIP bằng cách dựa trên các đánh cắp hay ước đoán các nhận dạng, các uỷ nhiệm hoặc các truy cập mạng Ví dụ, một đánh lừa đầu cuối EP có thể sử dụng các jack không được bảo vệ hay tự động đăng ký thoại VoIP để có thể vào mạng Ước chừng mật mã có thể được sử dụng để giả dạng như

là một đầu cuối hợp pháp Việc quản lí các tài khoản không chặt chẽ có thể gia tăng nguy cơ của việc lợi dụng này

Cướp đăng ký (Registration Hijacking): Cướp đăng ký xảy ra khi một người tấn công mạo nhận là một UA có giá trị để giữ và thay thế đăng ký với địa chỉ của

Định dạng
Số trang	87
Dung lượng	2,32 MB