ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TRẦN THANH TÚ ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên – 2014 MỤC LỤC DANH MỤC CÁC HÌNH DANH MỤC CÁC BẢNG DANH MỤC CÁC TỪ VIẾT TẮT MỞ ĐẦU .7 CHƯƠNG I: TỔNG QUAN VỀ VOIP VÀ VẤN ĐỀ ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 1.1 Tổng quan VoIP: 1.1.1 Lợi ích VoIP: 10 1.1.2 Những tồn VoIP: .11 1.1.3 Cấu hình mạng VoIP: 12 1.1.4 Một số giao thức VoIP: .17 1.2 Nguy hệ thống VoIP di động: .29 1.2.1 Các mối đe dọa hệ thống VoIP: 29 1.2.2 Một số phương thức công mạng VoIP: 30 1.3 Những nhu cầu đảm bảo an ninh hệ thống VoIP di động: 43 CHƯƠNG II: GIẢI PHÁP ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG .45 2.1 Đảm bảo an ninh cho thông tin thiết lập gọi sử dụng TLS (Transport Layer Security): 46 2.1.1 Khả đảm bảo an ninh TLS: .46 2.1.2 Quá trình bắt tay TLS: .48 2.1.3 Thuật toán sử dụng quản lý trao đổi khóa xác thực cho TLS:.50 2.2 Đảm bảo an ninh cho liệu thoại sử dụng SRTP (Secure Real-time Transport Protocol): 57 2.2.1 Cấu trúc gói liệu SRTP: .57 2.2.2 Khả đảm bảo an ninh SRTP: 57 2.2.3 Thuật toán sử dụng quản lý trao đổi khóa xác thực cho SRTP: 61 CHƯƠNG III: XÂY DỰNG MƠ HÌNH ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 72 3.1 Cấu hình phần cứng, phần mềm: 72 3.1.1 Mơ hình sơ đồ thiết bị triển khai: 72 3.1.2 Chuẩn bị phần cứng phần mềm cài đặt: 73 3.2 Ứng dụng đảm bảo an ninh cho gọi VoIP từ thiết bị di động: 78 3.2.1 Cuộc gọi VoIP chế độ khơng có bảo mật: 79 3.2.2 Cuộc gọi VoIP sử dụng TLS bảo mật cho SIP: 81 3.2.3 Cuộc gọi VoIP sử dụng SRTP mã hóa cho RTP: 82 KẾT LUẬN .86 DANH MỤC TÀI LIỆU THAM KHẢO 87 DANH MỤC CÁC HÌNH Hình 1.1 Lưu lượng thoại VoIP Hình 1.2 Các Terminal mạng IP giao tiếp với Telephone mạng SCN thông qua Gateway 10 Hình 1.3 Cấu hình mạng VoIP 13 Hình 1.4 Cấu trúc gói tin RTP 18 Hình 1.5 Cấu trúc gói tin RTCP .20 Hình 1.6: Kiến trúc SIP 21 Hình 1.7 Sự hoạt động trường hợp Proxy Mode 25 Hình 1.8 Sự hoạt động trường hợp Redirect Mode .26 Hình 1.9: Call Flow hệ thống .27 Hình 1.10: Luồng trao đổi thơng thường 31 Hình 1.11: Luồng trao đổi bị công DDoS 31 Hình 1.12: Tấn cơng DoS làm ngừng hoạt động điện thoại IP 32 Hình 1.13: Máy tính cơng ARP Spoofing 38 Hình 1.14: Tấn công ARP Spoofing làm đổi hướng ARP 39 Hình 2.1: Lớp bảo mật TLS cho giao thức SIP .47 Hình 2.2: Quá trình bắt tay Client Server 49 Hình 2.3: Dữ liệu lớp đóng gói TLS/SSL 50 Hình 2.4: Cấu trúc gói tin SRTP .57 Hình 2.5: Lớp bảo mật SRTP cho giao thức RTP 58 Hình 2.6: Lược đồ mã hóa RTP payload sử dụng AES chế độ CTR 59 Hình 2.7: Xác thực gói SRTP 60 Hình 2.8: Cửa sổ trượt dùng để chống cơng lặp gói 61 Hình 3.1: Mơ hình sơ đồ triển khai hệ thống 73 Hình 3.2: Thông tin tổng đài FreePBX .73 Hình 3.3: Thơng tin cấu hình user 74 Hình 3.4: Lựa chọn cài đặt bảo mật cho user 75 Hình 3.5: Cấu hình giao thức vận chuyển 76 Hình 3.6: Cấu hình phương thức mã hóa cho đa phương tiện 77 Hình 3.7: Phần mềm bắt gói tin Wireshark .78 Hình 3.8: Thực gọi từ User 1002 đến User 1003 .78 Hình 3.9: Thơng tin gọi Wireshark bắt 79 Hình 3.10: Thơng tin SIP chế độ khơng có bảo mật .80 Hình 3.11: Thơng tin Voice mà RTP truyền bị Wireshark bắt 81 Hình 3.12: Thơng tin SIP mã hóa TLS 82 Hình 3.13: Nội dung gọi khơng mã hóa dùng TLS .82 Hình 3.14: Thơng tin tín hiệu gọi dùng SRTP .84 Hình 3.15: Nội dung gọi mã hóa SRTP 85 DANH MỤC CÁC BẢNG Bảng 1.1: Chức thành phần kiến trúc SIP 22 Bảng 1.2: Các yêu cầu SIP .23 Bảng 1.3: Các đáp ứng SIP .24 Bảng 1.4: Các cấp độ mà cấu trúc VoIP bị cơng 30 Bảng 2.1: Tổ hợp Khóa-khối-vòng 62 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Nghĩa tiếng Việt VoIP Voice over Internet Protocol Thoại giao thức Internet PSTN Public Switching Telephone Network Mạng điện thoại chuyển mạch công cộng SCN Switching Circuit Network Mạng chuyển mạch gói RTP Realtime Transport Protocol Giao thức truyền tải thời gian thực SRTP Secure Realtime Transport Protocol Giao thức truyền tải thời gian thực an toàn Session Initiation Protocol Giao thức tạo phiên RTCP Realtime Transport Control Protocol Giao thức điều khiển truyền tải thời gian thực ETSI European Telecommunications Standards Institute Viện tiêu chuẩn viễn thông Châu Âu ISDN Integrated Services Digital Network Mạng số dịch vụ đa tích hợp GSM Global System for Mobile Hệ thống di động tồn cầu DECT Digital Enhanced Cordless Telecommunications Cơng nghệ truyền thông không dây số cải tiến IETF Internet Engineer Task Force Tổ chức quản lý kỹ thuật DoS Denial of Service Tấn công từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DNS Domain Name System Hệ thống phân giải tên miền SSL Secure Socket Layers Lớp bảo mật lỗ hổng Secure Realtime Transport Protocol Giao thức bảo mật tầng giao vận thời gian thực Transport Layer Security Giao thức bảo mật gói tin tầng giao vận Dynamic Host Configuration Protocol Giao thức cấu hình động máy chủ Private Branch eXchange Tổng đài nhánh riêng SIP SRTP TLS DHCP PBX MỞ ĐẦU Hiện thấy phát triển cơng nghệ mạng điện thoại tồn giới, với Internet ngày phổ biến rộng rãi Sự đời truyền thoại qua giao thức Internet, Voice over Internet Protocol (VoIP), làm bộc lộ rõ hạn chế mạng điện thoại thông thường chất lượng dịch vụ không cao, tài nguyên sử dụng hạn chế… VoIP công nghệ truyền thoại dựa giao thức mạng Internet VoIP ngày phát triển dần thay mạng điện thoại truyền thống PSTN (Public Switched Telephone Network), ngồi việc thực gọi thoại, VoIP truyền liệu sở mạng truyền liệu Ngoài ra, năm gần đánh dấu phát triển điện thoại di động, đặc biệt hệ điện thoại thông minh Smartphone Người dùng điện thoại di động hướng tới sử dụng ứng dụng để việc nghe, gọi, truyền tải liệu hình ảnh, video… Cùng với phát triển VoIP vấn đề bảo mật cho hệ thống Hiện có nhiều hệ thống VoIP khơng bảo mật, thơng tin gửi khơng mã hóa, dẫn đến việc bị công làm lộ, làm liệu Do đó, việc làm để đảm bảo an ninh cho hệ thống VoIP, đặc biệt hệ thống VoIP di động quan trọng Việc đảm bảo an ninh cho hệ thống VoIP di động có nhiều phương pháp Trong nội dung luận văn tập trung vào phương pháp đảm bảo an ninh cho giao thức hệ thống VoIP, ứng dụng phương pháp trình thiết lập tổng đài thực gọi từ thiết bị di động CHƯƠNG I: TỔNG QUAN VỀ VOIP VÀ VẤN ĐỀ ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI ĐỘNG 1.1 Tổng quan VoIP: Trong bước phát triển ngành viễn thông năm gần đây, điện thoại IP đánh giá bước tiến quan trọng công nghệ Hiện điện thoại IP mối quan tâm lớn bối cảnh phát triển mạnh mẽ ngành viễn thông Dịch vụ điện thoại IP xây dựng công nghệ VoIP Đây công nghệ thu hút nhiều quan tâm nhà khai thác nhà sản xuất VoIP đánh giá bước đột phá công nghệ, sở để xây dựng mạng tích hợp thực thoại số liệu Đây hướng phát triển tất yếu mạng viễn thông Do ưu điểm giá thành rẻ có nhiều dịch vụ mở rộng, điện thoại IP tạo thị trường rộng lớn gồm đối tượng sử dụng gồm thuê bao, doanh nghiệp, tổ chức quan nhà nước Để hiểu vấn đề này, xem xét hệ thống điện thoại truyền thống, điển hình PSTN (Public Switching Telephone Network: Mạng thoại chuyển mạch cơng cộng) Đó kiểu mạng chuyển mạch kênh SCN (Switching Circuit Network) phát triển lên từ mạng analog, nghĩa để thiết lập gọi, cần phải có kênh truyền riêng giữ kênh truyền chừng nói chuyện kết thúc Kiểu truyền thơng khơng tận dụng cách có hiệu băng thơng có, cơng suất giới hạn 64kbit/s/kênh thực 30 điện thoại đường E1 Hình 1.1 Lưu lượng thoại VoIP Vậy VoIP khác với hệ thống điện thoại truyền thống nào? Tiếng nói thay truyền qua mạng chuyển mạch kênh, lại truyền qua mạng chuyển mạch gói phát triển lên từ mạng số, điển hình mạng IP Tiếng nói số hố, đóng gói, truyền gói tin thơng thường truyền mạng IP Dung lượng truyền dẫn tất thơng tin chia sẻ cách băng thơng sử dụng có hiệu mà không cần phải cung cấp cho kênh riêng lẻ Mỗi kênh đường trung kế cung cấp nhiều khả ứng dụng số liệu, thoại, fax hội nghị video Dễ dàng thấy công nghệ thoại ưu điểm hẳn công nghệ thoại truyền thống chỗ tận dụng triệt để tài nguyên hệ thống, dẫn đến điều chắn chi phí cho gọi giảm đáng kể, đặc biệt gọi khoảng cách địa lý xa đắt đỏ mạng điện thoại chuyển mạch kênh Nhưng điều dễ dàng Ta biết thoại ứng dụng mang tính thời gian thực, nghĩa yêu cầu dòng tiếng nói phải truyền tới phía nhận cách gần tức Trong mạng chuyển mạch kênh điều đơn giản thoại chia sẻ với ứng dụng khác, đường truyền nói chung ln đảm bảo thơng hai đầu dây, xảy trục trặc tắc nghẽn hay bị thơng tin Còn với mạng chuyển mạch gói IP sao? Mạng IP xem mạng truyền số liệu, nghĩa thông tin liệu tới đích khơng có u cầu mặt thời gian thực Vả lại mạng IP, đường truyền chia sẻ nhiều ứng dụng, thân gói tin tiếng nói lại theo nhiều đường khác tới đích, tình trạng tắc nghẽn, trễ, liệu thường xuyên xảy Những điều khơng giải tốt gây ảnh hưởng lớn đến chất lượng tiếng nói nhận Đây vấn đề quan trọng cơng nghệ VoIP Ngồi mạng IP mạng chuyển mạch kênh giao tiếp với thơng qua Gateway, cho phép đầu cuối mạng thoại với đầu cuối mạng (hình 1.2), mà suốt người sử dụng, phát triển đem lại khả tích hợp nhiều dịch vụ hai loại mạng với 10 Hình 1.2 Các Terminal mạng IP giao tiếp với Telephone mạng SCN thông qua Gateway 1.1.1 Lợi ích VoIP: - Giảm cước phí truyền thơng Đặc biệt gọi đường dài tận dụng hiệu tài nguyên giải thông đường truyền Đây yếu tố quan trọng thúc đẩy phát triển công nghệ VoIP - Hợp hóa Hệ thống mạng chuyển mạch kênh phức tạp, cần phải có đội ngũ nhân viên vận hành giám sát hoạt động Với sở hạ tầng tích hợp phương thức truyền thơng cho phép hệ thống chuẩn hóa tốt hơn, hoạt động hiệu giảm tổng số thiết bị, nhân lực cần thiết Điều làm giảm thiểu sai sót hệ thống thời - Sử dụng công nghệ thoại IP đem lại nhiều lợi ích thiết thực cho nhà truyền tải: + Triệt nén im lặng: Được sử dụng có khoảng nghỉ ngơi nói chuyện Khoảng nghỉ lên tới 50-60% gọi Vì thế, ta tiết kiệm giải thơng tiêu tốn, với hội thoại nhiều người Không giống mạng chuyển mạch kênh, VoIP triệt im lặng qua liên kết toàn cầu điểm đầu cuối Mạng IP thích hợp cho việc ghép kênh, giảm bớt giải thơng tiêu thụ tồn mạng Sự triệt im lặng bù nén làm tăng hiệu sử dụng mạng - Chia sẻ thuận lợi: + Đặc trưng mạng IP chia sẻ tài nguyên mạng Các kênh truyền thông không tạo cố định riêng biệt mạng chuyển mạch kênh, mà dùng chung cho nhiều ứng dụng khác Hình 3.1: Mơ hình sơ đồ triển khai hệ thống 3.1.2 Chuẩn bị phần cứng phần mềm cài đặt: - Server Asterisk: + Cài đặt hệ thống máy ảo Oracle Virtualbox + Cài hệ điều hành Linux Redhat + Cài phần mềm Asterisk 1.8 Trên Server Asterisk cài đặt FreePBX làm tổng đài: Hình 3.2: Thơng tin tổng đài FreePBX Trong FreePBX tiến hành cấu hình user để thực gọi Hình 3.3 cho ta thấy thông số user tên hiển thị (Display name), tên user (SIP alias), thời gian chờ (Ring time), thời gian chờ để chuyển gọi (Call forward ring time)… Hình 3.4 lựa chọn cài đặt user, chế độ bảo mật NAT, chế độ cho tầng vận chuyển (transport): UDP, TCP, TLS, chế độ mã hóa cho thơng tin gọi (encryption): SRTP,ZRTP Hình 3.3: Thơng tin cấu hình user Hình 3.4: Lựa chọn cài đặt bảo mật cho user - Softphone 1: user 1002 + Sử dụng điện thoại Smartphone + Cài phần mềm Linphone + Cấu hình địa IP: 192.168.2.2 - Softphone 2: user 1003 + Sử dụng điện thoại Smartphone + Cài phần mềm Linphone + Cấu hình địa IP: 192.168.2.3 Cấu hình phương thức bảo mật cho User: Hình 3.5: Cấu hình giao thức vận chuyển Hình 3.6: Cấu hình phương thức mã hóa cho đa phương tiện - Máy tính Laptop: + Cài đặt hệ điều hành Microsoft Windows + Cài đặt phần mềm bắt gói tin Wireshark Hình 3.7: Phần mềm bắt gói tin Wireshark 3.2 Ứng dụng đảm bảo an ninh cho gọi VoIP từ thiết bị di động: Sau kết nối với tổng đài đăng ký thành công User 1002 User 1003 cho Softphone Softphone 2, ta tiến hành thực gọi: Hình 3.8: Thực gọi từ User 1002 đến User 1003 Khi gọi tiến hành từ Softphone tới Softphone 2, phần mềm Wireshark bắt thông tin gói tin chuyển từ máy gọi đến máy nhận qua Server Thành phần gói tin bắt gồm có: - Tín hiệu truyền từ máy gọi đến Server - Tín hiệu truyền từ máy Server đến máy nhận gọi - Dữ liệu âm truyền từ máy gọi đến Server - Dữ liệu âm truyền từ máy Server đến máy nhận - Dữ liệu âm truyền từ máy gọi đến máy nhận - Dữ liệu âm truyền từ máy nhận đến máy gọi Hình 3.8 thể thơng tin gọi mà phần mềm Wireshark bắt gọi diễn ra, gồm có giao thức truyền tín hiệu SIP giao thức truyền liệu âm gọi RTP: Hình 3.9: Thơng tin gọi Wireshark bắt 3.2.1 Cuộc gọi VoIP chế độ khơng có bảo mật: Ở chế độ khơng có bảo mật, thơng tin giao thức SIP dễ dàng bị phần mềm Wireshark thấy hình 3.9 Các thơng tin địa gọi đi, địa gọi đến, tên người gọi, tên người nhận,… bị phơi bày Hình 3.10: Thơng tin SIP chế độ khơng có bảo mật Khi gọi thực hiện, Wireshark bắt thông tin liệu âm (voice) mà RTP truyền người gọi người nhận Wireshark giải mã (decode) đoạn âm chạy lại (play) đoạn âm đối thoại Hình 3.11: Thơng tin Voice mà RTP truyền bị Wireshark bắt Như vậy, với chế độ khơng bảo mật gọi VoIP từ người đến người khác nhìn chung dễ bị lộ thông tin, thông tin người dùng lẫn nội dung gọi, với phần mềm bắt gói tin đơn giản sử dụng Wireshark Do đó, người phát triển phần mềm tích hợp vào Server Client chế độ bảo mật để đảm bảo an toàn cho người gọi sử dụng dịch vụ VoIP 3.2.2 Cuộc gọi VoIP sử dụng TLS bảo mật cho SIP: Để thực gọi VoIP sử dụng TLS, trước hết ta phải cấu hình chế độ TLS Asterisk, cụ thể file sip.conf: tlsenable=yes tlsbindaddr=0.0.0.0 tlscertfile=/etc/asterisk/keys/asterisk.pem tlscafile=/etc/asterisk/keys/ca.crt tlscipher=ALL tlsclientmethod=tlsv1 Tiếp ta phải bật chế độ bảo mật TLS FreePBX trình bày hình 3.4 thiết bị di động hình 3.5 Sau chế độ TLS kích hoạt, ta tiến hành thực gọi Khi đó, phần mềm Wireshark cho thấy thơng tin bắt được mã hóa hình 3.11 Gói tin số 15 gói tin gọi yêu cầu INVITE Khi 82 gọi xác lập, Server xóa bỏ gọi kết thúc người gọi: Hình 3.12: Thơng tin SIP mã hóa TLS Tuy nhiên, sử dụng TLS có thơng tin tín hiệu SIP mã hóa, nội dung gọi voice không bảo mật truyền thơng qua RTP: Hình 3.13: Nội dung gọi khơng mã hóa dùng TLS 3.2.3 Cuộc gọi VoIP sử dụng SRTP mã hóa cho RTP: Tương tự với TLS, để sử dụng SRTP mã hóa cho giao thức RTP, ta phải thực cấu hình file sip.conf: 83 type=peer secret=malcolm host=dynamic context=local dtmfmode=rfc2833 disallow=all allow=g722 transport=tls encryption=yes context=local Chế độ mã hóa cho RTP phải bật (encryption=yes), FreePBX thiết bị di động vậy, trình bày hình 3.4 hình 3.6 Hình 3.14 cho thấy Wireshark bắt gói tin với phần payload giao thức RTP mã hóa nhờ sử dụng SRTP Tuy nhiên, phần thơng tin q trình truyền tín hiệu người gọi người nhận bị phơi bày khơng sử dụng TLS 84 Hình 3.14: Thơng tin tín hiệu gọi dùng SRTP 85 Nội dung gọi mã hóa với việc sử dụng SRTP ta thấy sóng phổ ồn hình 3.15 Đây lí lại có bốn sóng phổ Như vậy, liệu voice truyền tới Server cho thấy lỗ hổng SRTP, đòi hỏi máy chủ phải xác thực Điều không cho phép người dùng sử dụng SRTP để cung cấp bảo mật từ thiết bị đầu tới thiết bị cuối Hình 3.15: Nội dung gọi mã hóa SRTP 86 KẾT LUẬN Qua việc tìm hiểu, VoIP cho thấy tầm quan trọng lĩnh vực công nghệ thông tin truyền thông nay, xu hướng phát triển sau Việc phát triển cơng nghệ VoIP khơng mang tính chất kinh tế, xã hội, mà sản phẩm mang tính chiến lược hồn tồn khả thi đầu tư hướng Với nội dung đưa tìm hiểu phương pháp để đảm bảo an ninh cho hệ thống VoIP di động, luận văn đưa kiến trúc tổng quát giao thức VoIP Luận văn mối đe dọa số phương thức cơng mạng VoIP, từ đề xuất giải pháp để đảm bảo an ninh cho hệ thống VoIP di động Cuối cùng, luận văn xây dựng mơ hình tổng đài VoIP, với hỗ trợ để đảm bảo an ninh cho hệ thống VoIP di động Do hạn chế mặt thời gian kinh nghiệm thực tiễn em nên luận văn nhiều thiếu sót Nếu có điều kiện đầy đủ mặt sở vật chất thời gian, em xây dựng mơ hình hệ thống VoIP lớn hơn, với chế độ đảm bảo an ninh hoàn thiện nữa, đảm bảo an ninh tổng đài VoIP kết nối với Rất mong nhận đóng góp ý kiến thầy cô để luận văn hoàn chỉnh 87 DANH MỤC TÀI LIỆU THAM KHẢO [1] Henry Sinnreich, Alan B Johnston, (2006), Internet Communications Using nd SIP Delivering VoIP and Multimedia Services, edition, Wiley Publishing Inc [2] Peter Thermos, Ari Takanen, (2008), Securing VoIP Networks, Pearson Education Inc [3] Dorgham Sisalem, John Floroiu, Jiri Kuthan, Ulrich Abend, Henning Schulzrinne, (2009), SIP Security, John Wiley & Son Ltd [4].D McGrew, M Naslund, E Carrara, K Norrman, (March 2004), The Secure Real-time Transport Protocol (SRTP), RFC3711 [5] T Dierks, E Rescorla, (August 2008), The Transport Layer Security (TLS) Protocol (Version 1.2), RFC5246 [6] P Zimmermann, A Johnston, Avaya, J Callas, (2011), ZRTP: Media Path Key Agreement for Unicast Secure RTP, RFC6189 [7] Philip J Starcovic, (September 2011), Thesis: USING VOICE OVER INTERNET PROTOCOL TO CREATE TRUE END-TO-END SECURITY ... hệ thống VoIP di động quan trọng Việc đảm bảo an ninh cho hệ thống VoIP di động có nhiều phương pháp Trong nội dung luận văn tập trung vào phương pháp đảm bảo an ninh cho giao thức hệ thống VoIP, ... dọa hệ thống VoIP: 29 1.2.2 Một số phương thức công mạng VoIP: 30 1.3 Những nhu cầu đảm bảo an ninh hệ thống VoIP di động: 43 CHƯƠNG II: GIẢI PHÁP ĐẢM BẢO AN NINH CHO HỆ THỐNG VOIP DI. .. vấn đề bảo mật cho hệ thống Hiện có nhiều hệ thống VoIP khơng bảo mật, thơng tin gửi khơng mã hóa, dẫn đến việc bị công làm lộ, làm liệu Do đó, việc làm để đảm bảo an ninh cho hệ thống VoIP, đặc