Các kỹ thuật bảo mật cho VoIP
LỜI NĨI ĐẦU Ngày nay, cơng nghệ viễn thơng đạt thành tựu to lớn Sự phát triển kỹ thuật số, kỹ thuật phần cứng công nghệ thông tin đem lại cho người sử dụng nhiều dịch vụ đa dạng phong phú Một dịch vụ VoIP (Voice over Internet Protocol) - truyền thoại qua internet Chi phí thấp linh hoạt kiến trúc lợi lớn VoIP người dùng nói chung doanh nghiệp nói riêng so với phương thức điện thoại truyền thống Tuy nhiên, để thiết lập hệ thống VoIP ngồi việc xem xét mặt chất lượng dịch vụ (QoS) cần phải tính đến an tồn cho hệ thống VoIP Việc tích hợp dịch vụ thoại, liệu, video hạ tầng mạng IP mang đến nhiều nguy tiềm tàng an toàn Các yêu cầu bảo mật đặt cho VoIP khơng mạng IP mạng cơng cộng, có nguy bị cơng cao, mà cịn thân giao thức VoIP tiềm ẩn nguy bảo mật Xuất phát từ ý nghĩ mà em định chọn đề tài “ Bảo mật VoIP” Trong giới hạn đề tài, em tìm hiểu lý thuyết bảo mật cho hệ thống VoIP Nội dung đề tài bao gồm tìm hiểu kiến trúc giao thức mạng VoIP cụ thể, từ phân tích điểm yếu bảo mật mạng VoIP giải pháp khắc phục điểm yếu Nội dung đồ án em chia thành ba chương: Chương I : Tổng quan VoIP Chương II: Các giao thức VoIP Chương III: Các kỹ thuật bảo mật cho VoIP Với thách thức đặt cho vấn đề an toàn mạng VoIP giải pháp khắc phục, đồ án nghiên cứu: “ Bảo mật VoIP” em thực dẫn tận tình thầy giáo, thạc sỹ Phạm Minh Nghĩa Qua đề tài này, em xin đuợc gửi lời cảm ơn chân thành đến thầy giáo, thạc sỹ Phạm Minh Nghĩa hướng dẫn cho em ý tưởng nghiên bảo mật VoIP, giúp em có kiến thức kinh nghiệm quý báu tiếp tục nghiệp kỹ sư điện tử viễn thông thực tương lai Hà Nội, tháng 04 năm 2010 Sinh viên: Trần Văn Hoàn CHƯƠNG I: TỔNG QUAN VoIP Dịch vụ điện thoại IP dịch vụ ứng dụng cao cấp cho phép truyền tải đàm thoại sử dụng hạ tầng mạng IP Nguyên tắc VoIP gồm việc số hố tín hiệu giọng nói, nén tín hiệu số hố, chia tín hiệu thành gói truyền gói số liệu IP Đến nơi nhận, gói số liệu ghép lại, giải mã tín hiệu analog để phục hồi âm Trong dịch vụ điện thoại IP có tham gia loại đối tượng cung cấp dịch vụ sau: - Nhà cung cấp Internet ISP - Nhà cung cấp dịch vụ điện thoại Internet ITSP - Nhà cung cấp dịch vụ mạng chuyển mạch kênh Để sử dụng dịch vụ điện thoại IP, người sử dụng cần thông qua mạng Internet chương trình ứng dụng cho điện thoại IP Trong nhà cung cấp dịch vụ Internet cung cấp truy cập Internet cho khách hàng họ nhà cung cấp dịch vụ điện thoại ITSP cung cấp dịch vụ điện thoại IP cho khách hàng cách sử dụng chương trình ứng dụng dùng cho điện thoại IP Có thể nói dịch vụ truy cập Internet cung cấp ISP chưa đủ để cung cấp dịch vụ điện thoại IP Người sử dụng cần phải truy nhập vào nhà cung cấp dịch vụ điện thoại IP sử dụng điện thoại IP Họ gọi nhận đàm thoại thông qua dịch vụ điện thoại IP có truy nhập vào mạng Internet Để phục vụ cho việc truyền thông người sử dụng máy tính đầu cuối mạng Internet, cơng ty phần mềm cung cấp trương trình ứng dụng dùng cho điện thoại IP thực vai trò ITSP Đối với người sử dụng mạng chuyển mạch kênh, họ truy nhập vào ISP ITSP thông qua điểm truy nhập mạng chuyển mạch kênh VoIP dựa kết hợp mạng chuyển mạch kênh chuyển mạch gói mạng IP Mỗi loại mạng có đặc điểm khác biệt Trong mạng chuyển mạch kênh kênh truyền dẫn dành riêng thiết lập hai thiết bị đầu cuối thông qua hay nhiều nút chuyển mạch trung gian Dịng thơng tin truyền kênh dịng bit truyền liên tục theo thời gian Băng thông kênh dành riêng đảm bảo cố định trình liên lạc (64Kbps mạng điện thoại PSTN), độ trễ thông tin nhỏ cỡ thời gian truyền thông tin kênh Khác với mạng chuyển mạch kênh, mạng chuyển mạch gói (Packet Switching Network) sử dụng hệ thống lưu trữ truyền nút mạng Thơng tin chia thành gói, gói thêm thơng tin điều khiển cần thiết cho trình truyền địa nơi gửi, địa nơi nhận Các gói thơng tin đến nút mạng xử lý lưu trữ thời gian định truyền đến nút cho việc sử dụng kênh có hiệu cao Trong mạng chuyển mạch gói khơng có kênh dành riêng thiết lập, băng thông kênh logic hai thiết bị đầu cuối thường không cố định, độ trễ thông tin lớn mạng chuyển mạch kênh nhiều Áp dụng VoIP khai thác tính hiệu mạng truyền số liệu, khai thác tính linh hoạt phát triển ứng dụng giao thức IP Nhưng VoIP phức tạp đòi hỏi giải nhiều vấn đề 1Điện thoại IP 1.1.1 Giới thiệu Trong mạng thoại truyền thống, tín hiệu thoại có tần số nằm khoảng (0.3 - 3.4) KHz lấy mẫu với tần số 8KHz theo định lý lấy mẫu Nyquist Các mẫu tín hiệu thoại lượng tử hoá với 8bit/mẫu truyền với tốc độ 64KHz đến mạng chuyển mạch sau truyền tới đích bên nhận, dịng số 64 Kbps giải mã tín hiệu thoại tương tự Thực chất thoại qua mạng IP (Voice over IP - VoIP) khơng hồn tồn khác hẳn mạng thoại truyền thống Đầu tiên tín hiệu thoại số hố, sau thay truyền qua mạng PSTN, chúng nén xuống tốc độ thấp, đóng gói chuyển lên mạng IP Tại bên nhận, gói tin giải nén thành luồng PCM 64 Kb truyền đến thuê bao bị gọi Sự khác mạng truyền dẫn khn dạng thơng tin dùng để truyền dẫn Trên hình 1.2 đưa ví dụ gọi VoIP: Giả sử thuê bao A muốn gọi đến thuê bao B Thuê bao A quay số điện thoại thuê bao B Mạng PSTN có nhiệm vụ phân tích địa kết nối đến gateway1 Tại địa B lại phân tích gateway xác định thuê bao B kiểm soát gateway2 Nó thiết lập phiên liên kết với gateway2 Các thông tin báo hiệu mà gateway1 nhận từ PSTN chuyển đổi thích hợp sang dạng gói truyền đến gateway2 Tại gateway2, gói tin lại chuyển đổi ngược lại truyền sang mạng PSTN Mạng PSTN có nhiệm vụ định tuyến gọi đến thuê bao B Các thông tin trả lời chuyển đổi ngược lại qua gateway2 đến gateway1 Sau gọi thiết lập, gateway có nhiệm vụ chuyển đổi gói tin thoại mạng IP luồng PCM truyền mạng PSTN Hình 1.1 - Điện thoại IP Ngồi cấu hình “phone to phone” trên, dịch vụ thoại IP cho phép PC ( Personal Computer ) có trang bị hệ thống thoại mạng LAN trao đổi với nhau(cấu hình PC to PC) với thuê bao điện thoại mạng PSTN(cấu hình PC to phone hay phone to PC) hình 1.2 1.2Lợi ích điện thoại IP Công nghệ VoIP đem lại lợi ích chủ yếu sau: Giảm chi phí: Một giá cước chung thực với mạng Internet tiết kiệm đáng kể dịch vụ thoại fax Người ta ước tính có khoảng 70% gọi đến Châu Á để gửi fax, phần lớn số thay FoIP (Fax over IP) Sự chia chi phí thiết bị thao tác người sử dụng thoại liệu tăng cường hiệu sử dụng mạng lẽ dư thừa băng tần mạng người sử dụng người khác Đơn giản hoá: Một sở hạ tầng tích hợp hỗ trợ tất hình thức thơng tin cho phép chuẩn hố tốt giảm tổng số thiết bị Cơ sở hạ tầng kết hợp hỗ trợ việc tối ưu hố băng tần động Thống nhất: Vì người nhân tố quan trọng dễ sai lầm mạng viễn thông, hội để hợp thao tác, loại bỏ điểm sai sót thống điểm tốn có ích Trong tổ chức kinh doanh, quản lí sở SNMP (Simple Network Management Protocol) cung cấp cho dịch vụ thoại liệu sử dụng VoIP Việc sử dụng thống giao thức IP cho tất ứng dụng hứa hẹn giảm bớt phức tạp tăng cường tính mềm dẻo Các ứng dụng liên quan dịch vụ danh bạ dịch vụ an ninh mạng chia sẻ dễ dàng Nâng cao ứng dụng: Thoại fax ứng dụng khởi đầu cho VoIP, lợi ích thời gian dài mong đợi từ ứng dụng đa phương tiện (multimedia) đa dịch vụ Chẳng hạn giải pháp thương mại Internet kết hợp truy cập Web với việc truy nhập trực tiếp đến nhân viên hỗ trợ khách hàng 1.3Ưu điểm nhược điểm điện thoại IP Về mặt kỹ thuật điện thoại IP có ưu điểm nhược điểm sau: Ưu điểm: - Thông tin thoại trước đưa lên mạng IP nén xuống dung lượng thấp (tuỳ theo kỹ thuật nén), làm giảm lưu lượng mạng - Trong trường hợp gọi mạng chuyển mạch kênh kênh vật lí thiết lập trì hai bên hai bên huỷ bỏ liên kết Như vậy, khoảng thời gian khơng có tiếng nói, tín hiệu thoại lấy mẫu, lượng tử hố truyền Vì vậy, hiệu suất đường truyền không cao Đối với điện thoại Internet có chế để phát khoảng lặng (khoảng thời gian khơng có tiếng nói) nên làm tăng hiệu suất mạng Nhược điểm: - Nhược điểm điện thoại qua mạng IP chất lượng dịch vụ Các mạng số liệu khơng phải xây dựng với mục đích truyền thoại thời gian thực, truyền thoại qua mạng số liệu cho chất lượng gọi thấp xác định trước Sở dĩ gói tin truyền mạng có trễ thay đổi phạm vi lớn, khả mát thông tin mạng hồn tồn xẩy Một yếu tố làm giảm chất lượng thoại kỹ thuật nén để tiết kiệm đường truyền Nếu nén xuống dung lượng thấp kỹ thuật nén phức tạp, cho chất lượng không cao đặc biệt thời gian xử lí lâu, gây trễ - Một nhược điểm khác điện thoại IP vấn đề tiếng vọng Nếu mạng thoại, trễ nên tiếng vọng khơng ảnh hưởng nhiều mạng IP, trễ lớn nên tiếng vọng ảnh hưởng nhiều đến chất lượng thoại Vì vậy, tiếng vọng vấn đề cần phải giải điện thoại IP 1.4 Kết nối mạng VoIP Hình 1.2 mơ tả thành phần mạng phục vụ cho dịch vụ thoại qua Internet H.323 Gatekeeper DNS Server M¹ng chun m¹ch kªnh Router Hub IP Network PPP Access Server H.323 Terminal VoIP-H.323 Gateway H.323 Terminal Mạng chuyển mạch kênh Telephone Telephone PBX Hình 1.2 Các phần tử mạng VoIP Về chia cấu trúc kết nối ứng dụng dịch vụ thoại Internet thành ba loại: - Kết nối PC-PC - Kết nối PC-Máy thoại - Kết nối Máy thoại-Máy thoại 1.5Kết nối PC-PC Khi thực kết nối PC với PC mặt hình thức chia làm hai loại: - Kết nối thông qua mạng LAN mạng IP - Kết nối PC mạng IP với PC mạng IP khác thông qua mạng PSTN 1.6Kết nối PC-Máy thoại Đối với kết nối PC máy thoại, có chuyển tiếp từ mạng Internet sang mạng SCN nên có tham gia Gateway Sau số tình kết nối PC máy thoại: Một mạng LAN/Một nhà quản trị vùng Đây kết nối đầu cuối IP máy điện thoại Trong mạng LAN có cấu trúc đơn giản gồm Gateway, Gatekeeper đầu cuối IP tạo thành phần mạng LAN Trong trường hợp đầu cuối IP Gateway muốn hoạt động đăng ký với Gatekeeper báo hiệu để thực gọi Gatekeeper điều khiển Hai mạng LAN/Một Gatekeeper/Một nhà quản trị vùng Trong trường hợp phần tử H.323 nằm hai mạng LAN gọi Gatekeeper giữ vai trò làm nhà quản trị vùng điều khiển Cấu hình thích hợp cho việc xây dựng mạng công ty Hai mạng LAN/Hai Gatekeeper/Một nhà quản trị vùng Trong trường hợp phần tử H.323 nằm hai mạng LAN Về đặc điểm gần giống với trường hợp trên, nhờ có Gatekeeper thứ hai nên mạng LAN có Gatekeeper điều khiển Nhờ phương thức điều khiển mềm dẻo cho phép nhà quản trị vùng điều khiển lưu lượng mạng LAN lưu lượng chuyển giao chúng Toàn báo hiệu gọi Gatekeeper nối trực tiếp với đầu cuối IP đóng vai trị làm nhà quản trị vùng điều khiển Hai mạng LAN/Hai nhà quản trị vùng/Có kết nối trực tiếp với Trường hợp thực kết nối có liên quan đến hai mạng LAN hai nhà quản trị mạng khác quản lý Trao đổi tin báo hiệu gọi chúng thông qua kênh báo hiệu nối trực tiếp hai hai Gatekeeper Hai mạng LAN/Hai nhà quản trị vùng/Kết nối thông qua Gatekeeper trung gian Trong trường hợp kết nối có liên quan đến hai mạng LAN mà Gatekeeper chúng khơng có kênh báo hiệu nối trực tiếp với 10 ...Với thách thức đặt cho vấn đề an toàn mạng VoIP giải pháp khắc phục, đồ án nghiên cứu: “ Bảo mật VoIP? ?? em thực dẫn tận tình thầy giáo, thạc sỹ Phạm Minh Nghĩa Qua... dụng mạng chuyển mạch kênh, họ truy nhập vào ISP ITSP thông qua điểm truy nhập mạng chuyển mạch kênh VoIP dựa kết hợp mạng chuyển mạch kênh chuyển mạch gói mạng IP Mỗi loại mạng có đặc điểm khác... kết nối với phân phối gọi tự động (ACD) Một ưu điểm thoại IP khả kết hợp thoại liệu kênh 16 CHƯƠNG II: CÁC GIAO THỨC TRONG HỆ THỐNG VoIP Để hiểu nguyên tắc công giải pháp bảo vệ mạng khỏi bị