Bảo mật VoIP

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	70
Dung lượng	2,18 MB

Nội dung

Dịch vụ điện thoại IP là dịch vụ ứng dụng cao cấp cho phép truyền tải các cuộc đàm thoại sử dụng hạ tầng mạng IP.

LỜI NÓI ĐẦU Ngày nay, công nghệ viễn thông đã đạt được những thành tựu to lớn. Sự phát triển của kỹ thuật số, kỹ thuật phần cứng và công nghệ thông tin đã đem lại cho người sử dụng nhiều dịch vụ mới đa dạng và phong phú. Một trong những dịch vụ đó là VoIP (Voice over Internet Protocol) - truyền thoại qua internet. Chi phí thấp và sự linh hoạt trong kiến trúc là những lợi thế rất lớn của VoIP đối với người dùng nói chung và các doanh nghiệp nói riêng so với phương thức điện thoại truyền thống. Tuy nhiên, để thiết lập một hệ thống VoIP thì ngoài việc xem xét về mặt chất lượng dịch vụ (QoS) thì cũng cần phải tính đến an toàn cho hệ thống VoIP. Việc tích hợp các dịch vụ thoại, dữ liệu, video trên cùng một hạ tầng mạng IP đã mang đến nhiều nguy cơ tiềm tàng về an toàn. Các yêu cầu bảo mật mới đặt ra cho VoIP không chỉ vì mạng IP là một mạng công cộng, có nguy cơ bị tấn công cao, mà còn vì bản thân các giao thức VoIP cũng tiềm ẩn những nguy cơ về bảo mật. Xuất phát từ những ý nghĩ trên mà em đã quyết định chọn đề tài “ Bảo mật VoIP”. Trong giới hạn đề tài, em chỉ tìm hiểu lý thuyết bảo mật cho hệ thống VoIP. Nội dung của đề tài bao gồm tìm hiểu về kiến trúc và các giao thức các mạng VoIP cụ thể, từ đó phân tích những điểm yếu về bảo mật trong mạng VoIP và các giải pháp khắc phục các điểm yếu đó. Nội dung đồ án của em được chia thành ba chương: Chương I : Tổng quan VoIP Chương II: Các bộ giao thức của VoIP Chương III: Các kỹ thuật bảo mật cho VoIP 1 Với những thách thức đặt ra cho vấn đề an toàn mạng VoIP và các giải pháp khắc phục, đồ án nghiên cứu: “ Bảo mật VoIP” của em được thực hiện dưới sự chỉ dẫn tận tình của thầy giáo, thạc sỹ Phạm Minh Nghĩa. Qua đề tài này, em xin đuợc gửi lời cảm ơn chân thành nhất đến thầy giáo, thạc sỹ Phạm Minh Nghĩa đã hướng dẫn cho em những ý tưởng nghiên của về bảo mật VoIP, giúp em có những kiến thức và kinh nghiệm quý báu khi tiếp tục sự nghiệp của một kỹ sư điện tử viễn thông thực sự trong tương lai. Hà Nội, tháng 04 năm 2010 Sinh viên: Trần Văn Hoàn 2 CHƯƠNG I: TỔNG QUAN VoIP Dịch vụ điện thoại IP là dịch vụ ứng dụng cao cấp cho phép truyền tải các cuộc đàm thoại sử dụng hạ tầng mạng IP. Nguyên tắc VoIP gồm việc số hoá tín hiệu giọng nói, nén tín hiệu đã số hoá, chia tín hiệu thành các gói và truyền những gói số liệu này trên nền IP. Đến nơi nhận, các gói số liệu được ghép lại, giải mã ra tín hiệu analog để phục hồi âm thanh. Trong dịch vụ điện thoại IP có thể có sự tham gia của 3 loại đối tượng cung cấp dịch vụ như sau: - Nhà cung cấp Internet ISP - Nhà cung cấp dịch vụ điện thoại Internet ITSP - Nhà cung cấp dịch vụ trong mạng chuyển mạch kênh Để có thể sử dụng được dịch vụ điện thoại IP, người sử dụng cần thông qua mạng Internet và các chương trình ứng dụng cho điện thoại IP. Trong khi các nhà cung cấp dịch vụ Internet cung cấp sự truy cập Internet cho khách hàng của họ thì các nhà cung cấp dịch vụ điện thoại ITSP cung cấp dịch vụ điện thoại IP cho khách hàng bằng cách sử dụng các chương trình ứng dụng dùng cho điện thoại IP. Có thể nói rằng dịch vụ truy cập Internet cung cấp bởi các ISP chưa đủ để cung cấp dịch vụ điện thoại IP. Người sử dụng cần phải truy nhập vào nhà cung cấp dịch vụ điện thoại IP khi sử dụng điện thoại IP. Họ không thể gọi hoặc nhận các cuộc đàm thoại thông qua dịch vụ điện thoại IP nếu chỉ có truy nhập vào mạng Internet. Để phục vụ cho việc truyền thông giữa những người sử dụng trên các máy tính đầu cuối của mạng Internet, các công ty phần mềm đã cung cấp các trương trình ứng dụng dùng cho điện thoại IP thực hiện vai trò của ITSP. Đối với người sử dụng trên mạng chuyển mạch kênh, họ sẽ truy nhập vào ISP hoặc ITSP thông qua các điểm truy nhập trong mạng chuyển mạch kênh. VoIP dựa trên sự kết hợp của mạng chuyển mạch kênh và chuyển mạch gói là mạng IP. Mỗi loại mạng có những đặc điểm khác biệt nhau. 3 Trong mạng chuyển mạch kênh một kênh truyền dẫn dành riêng được thiết lập giữa hai thiết bị đầu cuối thông qua một hay nhiều nút chuyển mạch trung gian. Dòng thông tin truyền trên kênh này là dòng bit truyền liên tục theo thời gian. Băng thông của kênh dành riêng được đảm bảo và cố định trong quá trình liên lạc (64Kbps đối với mạng điện thoại PSTN), và độ trễ thông tin là rất nhỏ chỉ cỡ thời gian truyền thông tin trên kênh. Khác với mạng chuyển mạch kênh, mạng chuyển mạch gói (Packet Switching Network) sử dụng hệ thống lưu trữ rồi truyền tại các nút mạng. Thông tin được chia thành các gói, mỗi gói được thêm các thông tin điều khiển cần thiết cho quá trình truyền như là địa chỉ nơi gửi, địa chỉ nơi nhận . Các gói thông tin đến nút mạng được xử lý và lưu trữ trong một thời gian nhất định rồi mới được truyền đến nút tiếp theo sao cho việc sử dụng kênh có hiệu quả cao nhất. Trong mạng chuyển mạch gói không có kênh dành riêng nào được thiết lập, băng thông của kênh logic giữa hai thiết bị đầu cuối thường không cố định, và độ trễ thông tin lớn hơn mạng chuyển mạch kênh rất nhiều. Áp dụng VoIP có thể khai thác tính hiệu quả của các mạng truyền số liệu, khai thác tính linh hoạt trong phát triển các ứng dụng mới của giao thức IP. Nhưng VoIP cũng phức tạp và đòi hỏi giải quyết nhiều vấn đề. 1.1. Điện thoại IP .1.11. Giới thiệu Trong mạng thoại truyền thống, tín hiệu thoại có tần số nằm trong khoảng (0.3 - 3.4) KHz được lấy mẫu với tần số 8KHz theo định lý lấy mẫu Nyquist. Các mẫu tín hiệu thoại được lượng tử hoá với 8bit/mẫu và được truyền với tốc độ 64KHz đến mạng chuyển mạch sau đó được truyền tới đích. ở bên nhận, dòng số 64 Kbps này được giải mã để cho ra tín hiệu thoại tương tự. 4 Thực chất thoại qua mạng IP (Voice over IP - VoIP) cũng không hoàn toàn khác hẳn mạng thoại truyền thống. Đầu tiên tín hiệu thoại cũng được số hoá, nhưng sau đó thay vì truyền qua mạng PSTN, chúng sẽ được nén xuống tốc độ thấp, đóng gói và chuyển lên mạng IP. Tại bên nhận, các gói tin này được giải nén thành các luồng PCM 64 Kb truyền đến thuê bao bị gọi. Sự khác nhau chính là mạng truyền dẫn và khuôn dạng thông tin dùng để truyền dẫn. Trên hình 1.2 đưa ra ví dụ về một cuộc gọi VoIP: Giả sử thuê bao A muốn gọi đến thuê bao B. Thuê bao A quay số điện thoại của thuê bao B. Mạng PSTN có nhiệm vụ phân tích địa chỉ và kết nối đến gateway1. Tại đây địa chỉ của B lại được phân tích và gateway 1 xác định được thuê bao B được kiểm soát bởi gateway2. Nó sẽ thiết lập một phiên liên kết với gateway2. Các thông tin báo hiệu mà gateway1 nhận được từ PSTN sẽ được chuyển đổi thích hợp sang dạng gói và truyền đến gateway2. Tại gateway2, các gói tin lại được chuyển đổi ngược lại và truyền sang mạng PSTN. Mạng PSTN có nhiệm vụ định tuyến cuộc gọi đến thuê bao B. Các thông tin trả lời sẽ được chuyển đổi ngược lại qua gateway2 đến gateway1. 5 Sau khi cuộc gọi được thiết lập, các gateway có nhiệm vụ chuyển đổi giữa các gói tin thoại trên mạng IP và các luồng PCM truyền trên mạng PSTN . Hình 1.1 - Điện thoại IP Ngoài cấu hình “phone to phone” ở trên, dịch vụ thoại IP còn cho phép các PC ( Personal Computer ) có trang bị hệ thống thoại trong các mạng LAN có thể trao đổi với nhau(cấu hình PC to PC) và với các thuê bao điện thoại trong mạng PSTN(cấu hình PC to phone hay phone to PC) như trong hình 1.2. 1.1.2. Lợi ích của điện thoại IP Công nghệ VoIP sẽ đem lại những lợi ích chủ yếu sau: Giảm chi phí: Một giá cước chung sẽ thực hiện được với mạng Internet và do đó tiết kiệm đáng kể các dịch vụ thoại và fax. Người ta ước tính có khoảng 70% các cuộc gọi đến Châu Á là để gửi fax, phần lớn trong số đó có thể 6 được thay thế bởi FoIP (Fax over IP). Sự chia sẽ chi phí thiết bị và thao tác giữa những người sử dụng thoại và dữ liệu cũng tăng cường hiệu quả sử dụng mạng bởi lẽ dư thừa băng tần trên mạng của người này có thể được sử dụng bởi một người khác. Đơn giản hoá: Một cơ sở hạ tầng tích hợp hỗ trợ tất cả các hình thức thông tin cho phép chuẩn hoá tốt hơn và giảm tổng số thiết bị. Cơ sở hạ tầng kết hợp này có thể hỗ trợ việc tối ưu hoá băng tần động. Thống nhất: Vì con người là nhân tố quan trọng nhưng cũng dễ sai lầm nhất trong một mạng viễn thông, mọi cơ hội để hợp nhất các thao tác, loại bỏ các điểm sai sót và thống nhất các điểm thanh toán sẽ rất có ích. Trong các tổ chức kinh doanh, sự quản lí trên cơ sở SNMP (Simple Network Management Protocol) có thể được cung cấp cho cả dịch vụ thoại và dữ liệu sử dụng VoIP. Việc sử dụng thống nhất giao thức IP cho tất cả các ứng dụng hứa hẹn giảm bớt phức tạp và tăng cường tính mềm dẻo. Các ứng dụng liên quan như dịch vụ danh bạ và dịch vụ an ninh mạng có thể được chia sẻ dễ dàng hơn. Nâng cao ứng dụng: Thoại và fax chỉ là các ứng dụng khởi đầu cho VoIP, các lợi ích trong thời gian dài hơn được mong đợi từ các ứng dụng đa phương tiện (multimedia) và đa dịch vụ. Chẳng hạn các giải pháp thương mại Internet có thể kết hợp truy cập Web với việc truy nhập trực tiếp đến một nhân viên hỗ trợ khách hàng . 1.1.3. Ưu điểm và nhược điểm của điện thoại IP Về mặt kỹ thuật điện thoại IP có những ưu điểm và nhược điểm sau: Ưu điểm: 7 - Thông tin thoại trước khi đưa lên mạng IP sẽ được nén xuống dung lượng thấp (tuỳ theo kỹ thuật nén), vì vậy sẽ làm giảm được lưu lượng mạng. - Trong trường hợp cuộc gọi ở mạng chuyển mạch kênh một kênh vật lí sẽ được thiết lập và duy trì giữa hai bên cho đến khi một trong hai bên huỷ bỏ liên kết. Như vậy, trong khoảng thời gian không có tiếng nói, tín hiệu thoại vẫn được lấy mẫu, lượng tử hoá và truyền đi. Vì vậy, hiệu suất đường truyền sẽ không cao. Đối với điện thoại Internet có các cơ chế để phát hiện khoảng lặng (khoảng thời gian không có tiếng nói) nên sẽ làm tăng hiệu suất mạng. Nhược điểm: - Nhược điểm chính của điện thoại qua mạng IP chính là chất lượng dịch vụ. Các mạng số liệu vốn dĩ không phải xây dựng với mục đích truyền thoại thời gian thực, vì vậy khi truyền thoại qua mạng số liệu cho chất lượng cuộc gọi thấp và không thể xác định trước được. Sở dĩ như vậy là vì gói tin truyền trong mạng có trễ thay đổi trong phạm vi lớn, khả năng mất mát thông tin trong mạng hoàn toàn có thể xẩy ra. Một yếu tố làm giảm chất lượng thoại nữa là kỹ thuật nén để tiết kiệm đường truyền. Nếu nén xuống dung lượng càng thấp thì kỹ thuật nén càng phức tạp, cho chất lượng không cao và đặc biệt là thời gian xử lí sẽ lâu, gây trễ. - Một nhược điểm khác của điện thoại IP là vấn đề tiếng vọng. Nếu như trong mạng thoại, do trễ ít nên tiếng vọng không ảnh hưởng nhiều thì trong mạng IP, do trễ lớn nên tiếng vọng ảnh hưởng nhiều đến chất lượng thoại. Vì vậy, tiếng vọng là một vấn đề cần phải giải quyết trong điện thoại IP. 8 .1.2. Kết nối mạng VoIP Hình 1.2 mô tả các thành phần cơ bản của mạng phục vụ cho dịch vụ thoại qua Internet. H.323 Gatekeeper PPP Access Server VoIP-H.323 Gateway DNS Server M¹ng chuyÓn m¹ch kªnh IP Network H.323 Terminal M¹ng chuyÓn m¹ch kªnh Telephone Hub Router PBX H.323 Terminal Telephone Hình 1.2 Các phần tử cơ bản của mạng VoIP Về cơ bản có thể chia cấu trúc kết nối trong các ứng dụng dịch vụ thoại Internet thành ba loại: - Kết nối PC-PC - Kết nối PC-Máy thoại - Kết nối Máy thoại-Máy thoại 1.2.1. Kết nối PC-PC Khi thực hiện kết nối PC với PC về mặt hình thức có thể chia làm hai loại: - Kết nối thông qua mạng LAN hoặc một mạng IP. - Kết nối giữa một PC trong mạng IP này với một PC trong mạng IP khác thông qua mạng PSTN . 1.2.2. Kết nối PC-Máy thoại Đối với các kết nối PC và máy thoại, do có sự chuyển tiếp từ mạng Internet sang mạng SCN nên bao giờ cũng có sự tham gia của Gateway. Sau đây là một số tình huống kết nối một PC và một máy thoại: Một mạng LAN/Một nhà quản trị vùng 9 Đây là kết nối giữa một đầu cuối IP và một máy điện thoại. Trong đó mạng LAN có cấu trúc đơn giản nhất gồm một Gateway, một Gatekeeper và các đầu cuối IP tạo thành một phần mạng LAN . Trong trường hợp này các đầu cuối IP và Gateway muốn hoạt động đều đăng ký với Gatekeeper và mọi báo hiệu để thực hiện cuộc gọi đều do Gatekeeper điều khiển. Hai mạng LAN/Một Gatekeeper/Một nhà quản trị vùng. Trong trường hợp này các phần tử H.323 nằm trong hai mạng LAN nhưng cuộc gọi chỉ do một Gatekeeper giữ vai trò làm nhà quản trị vùng điều khiển . Cấu hình này thích hợp cho việc xây dựng mạng của một công ty. Hai mạng LAN/Hai Gatekeeper/Một nhà quản trị vùng. Trong trường hợp này các phần tử H.323 nằm trong hai mạng LAN. Về đặc điểm thì nó gần giống với trường hợp trên, nhưng nhờ có Gatekeeper thứ hai nên mỗi mạng LAN có một Gatekeeper điều khiển. Nhờ đó phương thức điều khiển sẽ mềm dẻo hơn cho phép nhà quản trị vùng điều khiển lưu lượng trong các mạng LAN và lưu lượng chuyển giao giữa chúng. Toàn bộ báo hiệu cuộc gọi do Gatekeeper nối trực tiếp với đầu cuối IP đóng vai trò làm nhà quản trị vùng điều khiển. Hai mạng LAN/Hai nhà quản trị vùng/Có kết nối trực tiếp với nhau. Trường hợp này thực hiện kết nối có liên quan đến hai mạng LAN do hai nhà quản trị mạng khác nhau quản lý . Trao đổi bản tin báo hiệu cuộc gọi giữa chúng thông qua kênh báo hiệu nối trực tiếp giữa hai hai Gatekeeper. Hai mạng LAN/Hai nhà quản trị vùng/Kết nối thông qua Gatekeeper trung gian Trong trường hợp kết nối có liên quan đến hai mạng LAN mà các Gatekeeper của chúng không có kênh báo hiệu nối trực tiếp với nhau 10 [...]... kia Hạn chế chính của VoIP chính là về bảo mật (security): Mạng Internet là một mạng có tính rộng khắp và hỗn hợp (hetorogenous network) Trong đó có rất nhiều loại máy tính khác nhau cùng các dịch vụ khác nhau cùng sử dụng chung một cơ sở hạ tầng Do vậy không có gì đảm bảo rằng thông tin liên quan đến cá nhân cũng như số liên lạc truy nhập sử dụng dịch vụ của người dùng được giữ bí mật Như vậy, điện thoại... hợp cả thoại và dữ liệu trên cùng một kênh 16 CHƯƠNG II: CÁC GIAO THỨC TRONG HỆ THỐNG VoIP Để hiểu được các nguyên tắc tấn công cũng như các giải pháp bảo vệ mạng khỏi bị tấn công, cần hiểu rõ kiến trúc cũng như hoạt động của hệ thống VoIP Chương này sẽ tìm hiểu rõ các giao thức SIP, H.323 và các giao thức vận chuyển VoIP 2.1 Giao thức H323 2.1.1 Giới thiệu giao thức H323 H.323: là giao thức được phát... mạng LAN, nhưng sau đó H.323 đã phát triển thành 1 giao thức truyền tải VoIP trên thế giới H.323 là một tập giao thức, gồm các giao thức chính: - H.225: là giao thức báo hiệu thiết lập và giải tỏa cuộc gọi - H.245: là giao thức điều khiển cho phép các đầu cuối thỏa hiệp kênh và trao đổi khả năng của chúng - H.235: công cụ bảo mật hỗ trợ cho H.323 2.1.2 Kiến trúc của H323 a H.323 Terminal: Là một PC... v=0 o=bob 2808844564 2808844564 IN IP4 host.biloxi.example.com 33 s= c=IN IP4 host.biloxi.example.com t=0 0 m=audio 49174 RTP/AVP 0 a=rtpmap:0 PCMU/8000 m=video 49170 RTP/AVP 32 a=rtpmap:32 MPV/90000 Bảo mật cho SDP: Bản tin SDP mang thông tin về phiên kết nối như nhận dạng phiên kết nối, IP người gửi, người nhận,… Nếu kẻ tấn công bắt được những gói SDP này nó có thể thay đổi giá trị trong các trường... Control Unit (MCU) được điều khiển bởi một GK Một zone phải có ít nhất một hoặc nhiều đầu cuối, gateway và đơn vị điều khiển đa điểm MCU và được quản lý bởi một GK duy nhất Hơn nữa, nếu trong một mạng VoIP có nhiều vùng, thì các GK của các vùng khác nhau có thể thông tin với nhau để thực hiện các cuộc gọi liên vùng Hình 2-: H.323 Zone f Bản tin của H323 Bản tin của H.323 là ASN.1 (Abstract Syntax Notation... giữ nguyên trong suốt cuộc gọi Trao đổi năng lực: mỗi đầu cuối phải biết được khả năng của nhau bao gồm khả năng truyền và nhận, nếu không nó có thể không chấp nhận cuộc gọi Quản lý kênh luận lý: đảm bảo cho đầu cuối có khả năng nhận và đọc được dữ liệu khi kênh luận lý mở Bản tin OpenLogicalChannel sẽ mô tả loại dữ liệu sẽ truyền 29 2.5 Giao thức SIP 2.5.1 Kiến trúc của SIP Hình 2-9: Kiến trúc báo... đăng ký chứng thực user và đăng ký dịch vụ 31 2.5.2 Giao thức mô tả phiên (SDP) Là giao thức cho phép client chia sẻ thông tin về phiên kết nối cho các client khác Nó đóng một vai trò quan trọng trong VoIP Mô tả SDP: SDP không phải là một giao thức lớp vận chuyển, nó không thực sự vận chuyển dữ liệu giữa các client mà nó chỉ thiết lập cấu trúc thông tin về các thuộc tính của luồng dữ liệu, dữ liệu thực... vì nó chạy trên mạng IP Khách hàng chỉ chấp nhận loại dịch vụ này nếu như nó đưa ra được một chi phí thấp và/hoặc những tính năng vượt trội hơn so với dịch vụ điện thoại hiện tại .1.4 Các ứng dụng của VoIP 1.4.1 Dịch vụ thoại qua Internet Điện thoại Internet không còn chỉ là công nghệ cho giới sử dụng máy tính mà cho cả người sử dụng điện thoại quay vào gateway Dịch vụ này được một số nhà khai thác

Ngày đăng: 28/04/2013, 21:39

Xem thêm

Bảo mật VoIP

Bảo mật VoIP

Quá trình trao đổi bản tin của SIP

Các điểm yếu về bảo mật VoIP