Bảo Mật Hệ Thống VoIP    i    PHẦN A: GIỚI THIỆU Giới Thiệu    Bảo Mật Hệ Thống VoIP    ii  LỜI CẢM ƠN   Qua thời gian học tập trường Đại học Sư phạm Kỹ thuật TPHCM, nhóm thực đề tài học hỏi tiếp thu nhiều kiến thức từ bảo tận tình q Thầy Cơ giúp đỡ bạn bè Đây khoảng thời gian đầy ý nghĩa nhóm Để hồn thành Đồ Án Tốt Nghiệp thời hạn nhóm thực đồ án xin chân thành cảm ơn Ths Phan Thanh Toản, người tận tình hướng dẫn đưa lời khuyên quý báu để đồ án nhóm hồn thành thời hạn Đồng thời nhóm thực đồ án xin cảm ơn thầy, cô môn Viễn Thông thuộc khoa Điện – Điện tử trường Đại học Sư Phạm Kỹ Thuật TP Hồ Chí Minh truyền đạt kiến thức quý báu trình học tập trường Để đồ án hồn thành cịn có hỗ trợ đóng góp khơng nhỏ từ phía gia đình tập thể lớp 071170 phương diện vật chất lẫn tinh thần nhóm thực đồ án vô trân trọng biết ơn với đóng góp Tuy nhiên, thời gian kiến thức có hạn nên đồ án chắn khơng thể tránh khỏi thiếu sót, nhóm thực đề tài mong đóng góp ý kiến thầy, tồn thể bạn Một lần xin cảm ơn tất người với lòng biết ơn chân thành sâu sắc nhất! Nhóm thực đề tài Nguyễn Duy Khang Phan Quốc Tuấn Lời Cảm Ơn    Bảo Mật Hệ Thống VoIP  BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HỒ CHÍ MINH   iii  CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc QUYẾT ĐỊNH GIAO ĐỀ TÀI   Họ tên sinh viên: Ngành: Nguyễn Duy Khang MSSV: 07117025 Phan Quốc Tuấn MSSV: 07117073 Công Nghệ Điện Tử Viễn Thông Tên đề tài: BẢO MẬT HỆ THỐNG VoIP 1) Cơ sở ban đầu: Kiến thức hệ thống viễn thơng mạng máy tính - Các thơng tin quan trọng VoIP - Kiến thức bảo mật hệ thống mạng - Kiến thức nguyên lý hoạt động tổng đài, điện thoại - Kiến thức cấu tạo, nguyên lý hoạt động thiết bị mạng: router, switch, hub, firewall 2) Nội dung phần thuyết minh tính tốn: - Thuật ngữ VoIP, giao thức VoIP - Các chế bảo mật lỗ hổng bảo mật - Các mối đe dọa công mạng VoIP - Các kiểu công vào mạng VoIP - Các giải pháp ngăn chặn công VoIP - Các công nghệ nâng cao độ bảo mật mạng VoIP 3) Các vẽ: 4) Giáo viên hướng dẫn: ThS Phan Thanh Toản 5) Ngày giao nhiệm vụ: 27/9/2011 6) Ngày hoàn thành nhiệm vụ: 5/2/2012 Giáo viên hướng dẫn Ngày….tháng năm 2012 Chủ nhiệm môn PHAN THANH TOẢN Quyết Định Giao Đề Tài    Bảo Mật Hệ Thống VoIP    iv  NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Tp Hồ Chí Minh, tháng năm 2012 Giáo viên hướng dẫn Nhận Xét Của Giáo Viên Hướng Dẫn    Bảo Mật Hệ Thống VoIP    v    NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Tp Hồ Chí Minh, tháng năm 2012 Giáo viên phản biện Nhận Xét Của Giáo Viên Phản Biện    Bảo Mật Hệ Thống VoIP    vi    LỜI NÓI ĐẦU Ngày với phát triển chóng mặt cơng nghệ viễn thông mang lại lợi ích cho người dùng Một công nghệ nhắc đến nhiều VoIP cơng nghệ thoại qua mạng Internet Với chi phí thấp mềm dẻo kiến trúc lợi lớn VoIP người dùng nói chung doanh nghiệp nói riêng Cũng lý mà VoIP trở thành công nghệ phổ biến Tuy nhiên, để thiết lập hệ thống VoIP bên cạnh việc xem xét mặt chất lượng dịch vụ (QoS) cần phải tính đến bảo mật cho hệ thống VoIP Việc tích hợp dịch vụ thoại, liệu, video… hạ tầng mạng IP mang đến nhiều nguy tiềm ẩn bảo mật Không mạng IP mạng cơng cộng có nguy bị cơng lớn mà thân giao thức VoIP có nguy bảo mật Xuất phát từ ý tưởng nhóm thực đề tài xin chọn hướng nghiên cứu với tên gọi đề tài Bảo Mật Hệ Thống VoIP, giới hạn đề tài nhóm thực nghiên cứu sau: Chương 1: Tổng Quan Hệ Thống VoIP - Trong chương nhóm thực đề tài nghiên cứu tổng quan hệ thống VoIP, thành phần nguyên lý làm việc hệ thống VoIP Chương 2: Các Giao Thức Báo Hiệu Trong VoIP - Nghiên cứu giao thức báo hiệu thường dùng mạng VoIP giao thức H323 giao thức SIP Chương 3: Các Mối Đe Dọa Đối Với Hệ Thống VoIP - Nghiên cứu mối đe dọa giao thức SIP, giao thức H323 mối đe dọa môi trường mạng IP Chương 4: Các Giải Pháp Bảo Mật Cho Hệ Thống VoIP – Trong chương nhóm thực đề tài nghiên cứu giao thức bảo mật cho hệ thống VoIP giao thức SIP, giao thức H323 giao thức bảo mật hệ thống VoIP môi trường mạng IP IPSec, VPN, Vlan … Chương 5: Mô Phỏng Tấn Công Bảo Mật Cho Hệ Thống VoIP – Trong chương nhóm thực đề tài tiến hành xây dựng mơ hình mạng tiến hành mơ cách thức công nghe hệ thống VoIP Chương 6: Kết Luận Và Hướng Phát Triển Của Đề Tài – Trong chương nhóm thực đề tài tiến hành kết luận việc làm chưa làm đề tài, đồng thời nhóm thực đề tài nêu hướng phát triển đề tài Lời Nói Đầu    Bảo Mật Hệ Thống VoIP vii   MỤC LỤC PHẦN A: GIỚI THIỆU i LỜI CẢM ƠN ii QUYẾT ĐỊNH GIAO ĐỀ TÀI iii NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN iv NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN v LỜI NÓI ĐẦU vi LIỆT KÊ HÌNH xiii LIỆT KÊ BẢNG xvi THUẬT NGỮ VIẾT TẮT xvii TÓM TẮT ĐỒ ÁN xxii ABSTRACT xxiii CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG VoIP 1.1 Giới Thiệu 1.2 Khái niệm VoIP 1.2.1 Thoại qua Internet Protocol 1.2.2 Các thành phần mạng VoIP 1.2.3 Các kiểu mơ hình kết nối 1.3 Nguyên lý làm việc VoIP 1.3.1 Lấy mẫu 1.3.2 Lượng tử hóa 1.3.3 Mã hóa 1.3.4 Nén giọng nói 1.4 Ưu nhược điểm mạng VoIP 1.4.1 Ưu điểm mạng VoIP 1.4.2 Nhược điểm mạng VoIP CHƯƠNG 2: CÁC GIAO THỨC BÁO HIỆU TRONG VoIP 2.1 Giao thức H.323 2.1.1 Tổng quan giao thức H.323 2.1.2 Các thành phần giao thức H.323 2.1.2.1 Terminal Mục Lục    Bảo Mật Hệ Thống VoIP viii   2.1.2.2 Gateway 2.1.2.3 Gakekeeper (GK) 2.1.2.4 Đơn vị điều khiển liên kết đa điểm Multipoint Control Unit – MCU 10 2.1.2.5 H.323 Zone 11 2.1.3 Các kênh điều khiển H.323 12 2.1.3.1 Báo hiệu H.225 RAS (Registration, Admissions and Status) 12 2.1.3.2 Báo hiệu điều khiển gọi H.225 13 2.1.3.3 Giao thức báo hiệu điều khiển gọi H.245 14 2.1.4 Các thủ tục báo hiệu H.323 15 2.1.4.1 Thiết lập gọi 15 2.1.4.2 Thiết lập kênh điều khiển 16 2.1.4.3 Thiết lập kênh truyền thông 17 2.1.4.4 Dịch vụ gọi 17 2.1.4.5 Kết thúc gọi 17 2.2 Giao thức Session Initiation Protocol - SIP 19 2.2.1 Tổng quan giao thức SIP 19 2.2.1.1 Sự phát triển giao thức SIP 19 2.2.1.2 Khái niệm giao thức SIP 20 2.2.2 Kiến trúc giao thức SIP 21 2.2.2.1 Các thành phần mạng SIP 21 2.2.2.2 Các loại tin sử dụng mạng SIP 24 2.2.2.3 Các loại phiên kết nối người dùng mạng SIP 26 2.2.2.3.1 Phiên kết nối hai đầu cuối có tham gia Server 26 2.2.2.3.2 Phiên kết nối hai đầu cuối khơng có tham gia Server 27 2.3 So sánh hai giao thức SIP H323 28 2.4 Giao thức vận chuyển RTP RTCP 31 2.4.1 Giao thức RTP 31 2.4.2 Cấu trúc gói tin RTP 32 2.4.3 Giao thức RTCP 33 2.4.4 Cấu trúc gói tin RTCP 35 Mục Lục    Bảo Mật Hệ Thống VoIP ix   CHƯƠNG 3: CÁC MỐI ĐE DỌA ĐỐI VỚI HỆ THỐNG VoIP 36 3.1 Mối đe dọa giao thức SIP 36 3.1.1 Chiếm quyền đăng kí 36 3.1.2 IP Spoofing – Call Fraud 37 3.1.3 Giả dạng Proxy 37 3.1.4 Message Tampering 38 3.1.5 Kết thúc session 38 3.2 Mối đe dọa giao thức H.323 38 3.2.1 Can thiệp thơng tin tính cước 38 3.2.2 Cuộc gọi trực tiếp 39 3.2.3 Giả dạng đầu cuối 39 3.2.4 Giả dạng GK 39 3.3 Mối đe dọa môi trường mạng 40 3.3.1 ARP - Address Resolution Protocol 40 3.3.2 DoS – Denial of Service Tấn công từ chối dịch vụ 43 3.3.2.1 Tấn công chiếm hết băng thông kết nối tới Server 43 3.3.2.2 Tấn công nhằm làm cạn kiệt nguồn tài nguyên Server 43 3.3.2.3 DDoS - Distributed DoS 44 3.3.2.4 Spam VoIP 44 CHƯƠNG 4: CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG VoIP 46 4.1 Bảo mật cho giao thức H.323 46 4.1.1 H235 version 46 4.1.2 Annex D – Baseline security profile 46 4.1.3 Annex E – Signature security profile 47 4.1.4 Annex F- Signature hybird security profile 48 4.2 Bảo mật cho giao thức SIP 48 4.2.1 TLS trao đổi khóa bảo mật cho gói tin báo hiệu 48 4.2.2 SRTP Bảo mật cho gói tin thoại/video 50 4.2.3 Replay protection 51 4.2.4 S/MIME: Chứng thực tin 51 4.3 Các mơ hình bảo mật cho hệ thống VoIP 53 4.3.1 Network Address Translation - NAT 53 Mục Lục    Bảo Mật Hệ Thống VoIP x   4.3.2 Firewalls 54 4.3.3 Intrusion Detection System- IDS 56 4.3.4 VPN IPSEC 59 4.3.5 VLAN 65 CHƯƠNG 5: MÔ PHỎNG TẤN CÔNG VÀ BẢO MẬT HỆ THỐNG VoIP 68 5.1 Mô công VoIP mạng LAN 68 5.1.1 Tấn công nghe VoIP mạng LAN ghi âm gọi 68 5.1.2 Tấn công DoS từ máy công đến mục tiêu Trixbox 72 5.2 Mô bảo mật hệ thống VoIP 76 5.2.1 Xây dựng mạng VoIP thực gọi VoIP 76 5.2.2 Thực trạng mạng VoIP chưa bảo mật VPN IPSEC 77 5.2.3 Giải pháp bảo mật cho mạng VoIP dựa công nghệ VPN IP SEC 79 5.2.4 Thực trạng mạng sau áp dụng bảo mật công nghệ VPN IPSEC 80 5.3 Cách phịng chống cơng nghe VoIP mạng Lan 82 5.3.1 Giới thiệu mơ hình mạng 82 5.3.2 Thực trạng mạng VoIP Lan chưa áp dụng bảo mật ARP tĩnh 84 5.3.3 Áp dụng bảo mật mạng LAN phương pháp ARP tĩnh 91 5.3.4 Ưu điểm hạn chế phương pháp bảo mật ARP tĩnh 95 CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 96 6.1 Những việc thực 96 6.2 Những việc chưa thực 97 6.3 Hướng phát triển đề tài 97 PHỤ LỤC A: Mô Phỏng Tấn Công VoIP Trong Mạng LAN 98 A.1 Tấn công nghe VoIP mạng LAN ghi âm gọi 103 A.2 Tấn công DoS từ máy công đến mục tiêu Trixbox 107 PHỤ LỤC B: Cấu Hình Cuộc Gọi Trong Mơ Phỏng Bảo Mật Nghe Lén 111 PHỤ LỤC C: Xây Dựng Mơ Hình Bảo Mật VoIP Ứng Dụng VPN-IPSec 116 TÀI LIỆU THAM KHẢO 123 Mục Lục