Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 81 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
81
Dung lượng
38,35 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ N ộỉ K H O A CÔNG NG HỆ暑 Đào Văn Thành GIẢI PHÁP BẢO VỆ THƠNG TIN VoIP TRÊN MẠNG INTẼRNET/INTRANET Chun ngành: Cơng nghệ Thông tin Mã số: 1.01.10 LUẬN VĂN THẠC s ĩ NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS Nguyễn Văn Tam Hà Nội - / 0 M Ụ C LỤC Trang CÁC TỪ VIÉT T Ắ T MỎ Đ À U CHƯƠNG 1: G íớ l T H IỆ U VẺ TCP/IP 1.1 Kiến trúc mạng 1.1.1 M h in h ị s 丨 .9 1.1.2 Mơ hình mạng TCP / IP 11 1.1.3 Đ ó n g g ó i 12 1.2 Giao thức Internet (IP ) 13 1.2.1 Đ ịa c lìiIP 13 1.2.2 Cấu trúc gói số liệu IP .14 1.2.3 Phân mảnh hợp mảnh 15 1.2.4 Định tuyến IP 16 1.3 Gịao thức gói liệu thuê bao - UD P 16 t.4 G b o thúc TCP 17 1.4.1 Phần tiêu đề TCP .18 1.4.2 Thiết lập kết n ố i 19 1.4.3 Giao (hức kết thúc kết n ố i .20 1.5 Giao thức chuyển vận thòi gian thực RTP 20 1.5.1 Phần tiêu đề RTP .21 1.5.2 Giao thức điều khiển RTCP - RTP 22 CHƯƠNG 2: KỸ THUẬT ĐIỆN THOẠI I P 23 2.1 Các vấn đề co mạng điện th o i 23 2.1.1 Tín hiệu thoại tương tự tín hiệu số .23 2.1.2 CSU/DSƯ 23 2.2 Tổng quan V o IP 24 2.2.1 VoIP 24 2.2.2 Hoạt dộng VolP 24 2.2.3 Thuận lợi sử dụng VoIP 24 2.3 Kỹ thuật điện tlioại 1P .25 2.3.1 Gợi báo hiệu 25 2.3.2 Giao thức bắt đầu gọi Sll.) 26 2.3 H 323 29 CHƯƠNG 3: AN TOÀN TRONG MẠNG IP 39 3.1 Vấn đề an tồn thơng tin 39 3.1.1 An toàn tin cậy 39 3.1.2 Hình thức an to n .40 3.1.3 Sự đe dọa an toàn 41 3.1.4 Tấn công .42 3.1.5 Nhược điểm TCP / IP 45 3.2 Bức tưòng lửa 47 3.2.1 Chiến lược an toàn 48 3.2.2 Kỹ thuật Firewall 49 3.2.3 Kiến trúc F ire w a ll 51 3.3 Mật m ã 54 3.3.1 Chứng thực 54 3.3.2 Hàm băm (hash) 55 3.3.3 Mật mã khoá đối xứ n g 57 3.3.4 Mật mã khố khơng đối xứng 59 3.3.5 Chíĩ ký S ố 61 CHƯƠNG 4: PHÂN TÍCH s ự AN TỒN TRONG VO IP .62 4.1 Phân tích mối đe dọ a 62 4.1.1 Định nghĩa mối đe dọa 63 4.1.2 Thao tác liệu kế toán 63 4.1.3 Gọi trực tiếp 64 4.1.4 Giả danh E ndpoint 64 4.1.5 Giả danh G K 65 4.1.6 Đóng vai BES 66 4.2 Các kiến trúc giao th ứ c 67 4.2.1 H.323 củaỉTƯ - T ••••"■… 68 4.2.2 SIP IE T F .… 69 4.2.3 MGCP / MEGACO / H.248 IETF ITU - T 70 Mục lục 4.3 Nhũng yêu cầu an toàn cho V oIP .11 4.3.1 Định nghĩa phần tử chìa khố hệ thống VoIP 71 4.3.2 Những đặc trưng an toàn VoIP 72 4.3.3 Yêu cầu an toàn chức 73 4.3.4 Yêu cầu an toàn kỹ thuật 73 4.4 Những ràng buộc an toàn V oIP 73 4.4.1 Tính nhạy cảm trễ V oIP 73 4.4.2 Xác định dạng thông bậo .74 4.4.3 An toàn End to End, Hop to Hop 74 4.4.4 Những ví dụ thực cùa vấn đề an toàn .75 4.4.5 Đề xuất giải pháp an toàn cho VoIP 76 4.5 Mơ hình thử nghiệm 77 4.5.1 Chuyển đổi âm IP 77 4.5.2 Sử dụng mã mật cho an ninh VoIP 78 KÉT LUẬN 80 TÀ丨 U Ệ U THAM K H Ả O 81 Mục lục CÁC T Ừ V IÉ T TÁT Viết tắt ARJ ARP ARQ Administrative Domain Automatic Call Distribution Analog to Digital Convert American National Standards Institute Adminssion Reject Address Resolution Protocol Adminssion Request ATM Asynchronous Tranfer Mode BES CBC CDR Back - End Sevice Cipher Block Chaining Call Detail Recorde Channel Service Unit Digital to Analog Convert Disengage Confirm Distribute Denial o f Service Data Encryption Standard Demilitarized Zone Domain Name Server Denial o f Service Disengage Request Digital Signature Standard Data Service Unit Electronic Code Book End Point Fiber Distribute Data Interface File Transfer Protocol Gatekeeper Confimation Gatekeeper Gatekeeper Request Gateway Hashed Message Authentication Code Hypertext Transfer Language AD ACF ADC ANSI csu DAC DCF DD oS des DMZ DNS DoS DRQ DSS DSƯ ECB EP FDDI FPT GCF GK GRQ GW HMAC HTML Tiếng Việt Tiếng Anh Vùng quản trị Xác nhận yêu câu truy nhập Chuyên đôi từ tương tự sang sô Viện tiêu chuẩn quốc gia Mỹ Trừ chôi truy nhập Giao thức giải quyêt địa Yêu câu truy nhập Phương thức truyên dân không đôr Mât mã khôi chuôi Ghi chi tiêt gọi Đơn vi• diclì • vu• kênh Chuyên đôi từ sô sang tương tự Xác nhận không bận Từ chôi phân phôi dịch vụ Tiêu chuân mã liêu Vùng phi quân Hệ thông tên vùng Từ chơi dịch vụ u câu giải phóng Chn tín hiệu sơ Đơn vi dich vu liêu Sách mã điện tử Điêm cuôi Giao diện liệu phân chia quang Giao thức truyên tệp Xác nhân GK Gác công Yêu GK Công vào Mã xác thực thông báo hàm băm Ngôn ngữ siêu văn Các từ viết tắt ISDN IETF 1P ISO LAN MAA MC MCS MCU MDC Integrated Services Digital Network Internet Engineering Task Force Internet Protocol International Standard Orgnazation International Telecommunication Union International Telecommunication Union - Telecommunication Standardization Local Area Network Message Authenticator Algorithm Multipoint Control Multipoint Communications System MultipointControl Unit Media Gateway Controller MGCP Media Gateway Control Protocol MTU NAT OSI Maximun Transmision Unit Network Address Translate Open System Interconnection PSTN Puplic Switch Telephone Network RA§ RRJ RRQ RSA RTCP RTP Registration Admission Status Registration Reject Registration Request Rivest Shamir Adelman Real Time Control Protocol Real-Time Transport Protocol SGCP Simple Gateway Control Protocol SIP TCP TLS UDP URJ ÜRQ VoIP WAN Session Initiation Protocol Transfer Control Protocol Transfer Layer Security User Datagram Protocol Unregister Reject Unregister Request Voice Over IP Wide Area Network ITU ITU-T Mạng sơ dịch vụ tích hợp Nhóm làm việc nghiên cứu Interne Giao thức Internet Tơ chức tiêu chuẩn hố Quốc tể Hiệp hội viễn thông Quốc tế Tiêu chuẩn viễn thông Hiệp hộ viễn thơng Quốc tế Mạng cục Thuật tốn xác thực thông báo Bộ điêu khiên đa diêm Hệ thống liên lạc đa điểm Khôi điêu khiên đa điêm Điêu khiên công truyên thông Giao thức điêu khiên công kêt nôi truyền thông Đơn vị truyên dân cực đại Chuyên đôi địa Kêt nôi hệ thông mở Mạng chuyên mạch diện thoại cơng cộng Tình trạng quản trị đăng ký Từ chôi đăng ký Yêu câu dăng ký Giao thức điêu khiên thời gian thực Giao thức truyền dẫn thời gian thực Giao thức điêu khiên cổng kết nối đơn giản Giáo thức băt đâu phiên họp Giao thức điêu khiên truyên dân An toàn tâng chuyên vận Giao thức gói liệu th bao Từ chơi u câu đăng ký Yêu câu không đăng ký Thoại qua IP Mạng diện rộng A 'ỳ V Các từ vỉct tắt M Ở ĐÀU Xu hướng truyên thông tât cà dịch vụ tích hợp hệ tliơng mạng, từ dịch vụ truyền liệu dạng văn bàn, hình ảnh… đến dịch vụ diện thoại, video, hội thảo qua mạng mang yếu tố thời gian thực Trong thời điểm sử dụng nhiều dịch vụ thông qua đường truyền Dịch vụ điện thoại sử dụng công nghệ IP (VoIP: Voice Over Internet Protocol) áp dụng, khai thác nhiều chắn phát triển mạnh thời gian tới Tại Việt Nam có nhà cung cấp dịch vụ Với lợi cạnh tranh, VoIP cung cấp cho người tiêu dùng dịch vụ thoại với giá hấp dẫn VoIP công nghệ mà tiếng nói chuyển từ mạng chuyển mạch tới qua mạng IP Kỹ thuật điện thoại VoIP việc truyên tiêng nói qua giao thức Internet (IP) Internet nhiêu mạng dược nối với sử dụng giao thức IP Do gói tin tiếng nói dễ bị lấy nên thơng tin bị lộ khơng đảm bảo an ninh ^ f y Để đảm bảo tính bí mật cá nhân trao thông tin khác việc sử / dụng dịch vụ đòi hỏi phải có chê bảo mật cho người thực 、 tham gia đàm thoại có thê hiêu nội dung đàm thoại yêu câu cân thiêt Các giao thức truyên tiêng nói qua IP thực nhiên chưa đủ độ an tồn Hiện có số hãng giới đưa sản phẩm giải vấn đề Tuy nhiên chưa có giài pháp triệt để, với việc sử dụng sản phẩm có sẵn cho việc đảm bảo • » \ z an tồn không đủ tin cậy đôi với thông tin quan trọng (đặc biệt thông tin liên quan đến an ninh quốc gia ) Đe có sản phẩm sử dụng thực tin cậy cần phải hiểu, làm chủ công nghệ đưa giải pháp riêng đảm bảo an toàn cho dịch vụ VoIP Luận văn đề cập đến số kiến thức IP, vấn đề chung * 、 an toàn, đê cập đên lĩnh vực VoIP, nguyên lý bàn, phân tích an tồn cùa VolP từ đề xuất giải pháp an ninh cho VoIP, xây dựng mơ hình đảm bảo an ninh cho VolP mạng IntemeƯIntranet Đóng góp luận văn: Luận văn trình bày tóm tắt lý thuyết mạng IP, kỹ thuật điện thoại IP, giao thức sử dụng cho truyền tiếng nối qua Internet Phân tích nêu nguy an toàn mạng IP nói chung VoIP nói riêng từ đề xuất giải pháp an ninh cho VoIP Đưa mơ hình đảm bảo an ninh cho VoIP mạng Intemet/Intranet Mỏ đầu Cẩu trúc luận văn: Luận bao gồm chương • Chương 1: Một số kiến thức TCP/IP: Chương giới thiệu cácl tóm lược giao thức TCP/IP, UDP, R I P , • Chương 2: Kỹ thuật điện thoại IP: Nêu số vấn đề mạng điệr thoại IP, tổng quan VoIP, Kỹ thuật điện thoại IP / f y • Chương 3: An tồn mạng IP: Chương trình bày sơ vân đê an tồr mạng IP, nêu hai giải pháp an tồn mạng IP ]à tường lửa mật mã • Chương 4: Phân tích an tồn: Chương phân tích số mối đe doạ mấi an tồn cho VoIP, nêu số kiến trúc giao thức sử dụng VoĩP, SC yêu câu, ràng buộc vê an ninh, an tồn VoIP từ đê xt giải pháp cho vân đê an ninh truyên tiêng nói qua IntemeƯIntranet Đê xuât giải pháp an ninh cho VoIP đưa mơ hình an ninh PC to PC sử dụng giải pháp đề xuất K r \ 、 ' % » Do thời gian nghiên cứu có hạn, đề tài mới, tài liệu luận văn cịn nhiều sai sót, mong Thầy cơ, bạn đồng nghiệp góp ý kiến Tơi xin chân thành cám ơn ĩh ầy cô Khoa Công nghệ Đại học Quốc Gia Hà Nội cung cấp cho nhiều kiến thức bản, đặc biệt xin chân thành cảm ơn Phó giáo sư, Tiến sĩ Nguyễn Văn Tam người nhiệt tình hướng dẫn góp nhiều ý kiến q báu giúp tơi hồn thành luận văn Mỏ đầu C huông 1: G IỚ I T H IỆ U V È TC P /IP Vào đầu năm 1973 Internet bắt đầu nghiên cứu với mục tiêu phát triển giao thức cho phép máy tính mạng khác cỏ thể kết nối với Giao thức phát triên nhât, biêt đên sử dụng giao thức TCP/IP Bộ giao thức sở cho nhiều ứng dụng dịch vụ truyền tiếng nói qua Internet Chương trình bày số nội dung kết nối mạng giao thức quan trọng để thực VoIP Bao gồm hai mô hình cho kiến trúc mạng, mơ hình ISO - OSI mơ hình TCP / IP Giới thiệu giao thức IP, giao thức gói liệu người dùng (ƯDP), TCP giao thức truyền đảm bảo thời gian thực (RTP) 1.1 Kiến trú c mạng Mạng máy tính xây dựng để kết nối máy tính với nhau, yêu cầu nhiều phần mềm phức tạp Để làm đơn giản việc thực chương trình úng dụng lớp trừu tượng hóa đưa Những chương trình muốn truy nhập hàm mạng phải qua giao điện Hình 1.1 mơ tả kiến trúc tổng quát TCP(UDP)/ÍP[11] ^ 、1 Telnet FTP SMTP DNS SNMP RIP Transmision Control Protocol (TCP) ARP Ethernet User Datagram Protocol (UDP) ICMP Internet Protocol (IP) Token bus Token FDD! Hình 1.1 Kiến trúc TCP(UDP)/I1) Giói thiệu TCP/IP TCP(UDP)/IP thực chất họ giao thức làm việc với để cung cấp phương tiện truyền thông liên mạng Kiến trúc mạng tiêu biểu phân vào lớp Mỗi lớp đại diện khía cạnh khác hệ thống Truyền thông với lớp khác thực qua giao diện Hỉnh 1.2 mơ tả ví dụ cho săp xêp lớp câu trúc Lớp thấp lớp phần cứng, sở cho mạng máy tính Mọi thứ nối tới phần cứng thuộc lớp Lớp cung cấp kết máy (host) Nó thực việc gửi liệu hai máy tính Nó cung cấp giao diện để truy nhập dịch vụ sử dụng lớp phần cứng cho thao tác Truyền thông hai ứng dụng máy khác yêu cầu sổ loại kênh trình ứng đụng [11] r t r application layer process-to-proœss channel host-to-host connectivity hardware Hình 1.2 : Một mơ hình lớp kiến trúc mạng Có hai mơ hình cho kiến trúc mạng Tiêu chuẩn mơ hình cho nối mạng giao thức ứng dụng phân tán mơ hình từ Tố chức Quốc tế cho tiêu chuẩn hóa (ISO) Tuy nhiên, mơ hình sử dụng Internet giao thức TCP/IP 1.1.1 Mơ hình OSI Năm 1978 tổ chức Tiêu chuẩn hoá Quốc tế (International Standard Organization - ISO) ban hành tập hợp đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc nối kết thiết bị không chủng loại Vào năm 1984, ISO đưa sửa đổi mơ hình gọi mô hỉnh tham chiếu mạng hệ mở (Open Systems Interconnection - OSI) Hệ thống mờ mơ hình ISO Nó rõ tiêu chuẩn ISO/ĨF,C 7498 Giới tbiệu TCP/IP 67 Giả Ihiết khơng có c lì ứng 111ực lừ B1ỈS tới CÌK, tín hiệu phái với kliả chận đứng thông báo từ GK tới BES gửi vài dạng liệu tới GK miễn tuân tlìủ giao thức Tín hiệu phát giả mạo nhận biết cùa qua việc chặn thơng báo từ GK tới BES sửa dổi, ví dụ : trường chứa đựng mật cùa EP tín hiệu trả lời BES Nỏ chí cỏ thể sáng chế m ột đặc tính cùa EP điền vào trường tín hiệu trà lời với giá trị tương ứng Những tín hiệu phát dẫn tới kết luận GK BHS cần chứng thực lẫn Như mục trước thành phần riêng lẻ mạng bên mội mạng BES cho EP giải vấn đề 4.2 Các kiến trú c giao thức Tất giao thức VoIP giao thức cùa lớp ứng dụng Những giao tlìức VoĩP lớp IP, giao thức Internet Những giao thức VolP không giới hạn sử dụng giao thức lớp chuyển vận xác định nào, TCP ƯDP Bởi chúng giao thức lớp chuyên vận sử dụng Internet tới phạm vi lớn Hình 4.2: Kiến trúc giao thức Nhìn vào H.323 phía bên trái ta thấy giao thức bao gồm: phân quan trọng nhât năm giao thức H.255.0, bao gồm RAS (Registration Admission Status: đăng ký, kênh thu nạp trạng thái) lẫn Ọ.931, H.245 Những phân cùa kiến trúc 11.323 gatekeeper, EP M CUs (M ultipoint Control Unit: đơn vị hội nghị nhiều điểm) RAS rõ cấu trúc thông báo, lệnh tlnì tục, đăng ký EP tới gatekeeper, để sử dụng thiết bị dầu P h â n tích s ự an tồn tr o n g V o IP 68 cuối gatekeepers Trong Q.931 thông điệp gọi báo hiệu thủ tục rõ Trong phiên họp H.323, kênh điêu khiên H.245 tạo Vỏ bọc cùa H.450.X dịch vụ kỹ thuật điện thoại bổ sung cung cấp kiến trúc H.323 H.235 rõ khung an toàn cho H.323 hệ thông khác dùng điều khiển tảng H.245 SIP MGCP không cung cấp yêu cầu giao thức riêng biệt Nó phải sử dụng phần tử mạng khác Phương tiện truyền thơng thực tế ví âm cần sử dụng mã hóa thích hợp trước Những dịng âm mã hố sau qua lớp ứng dụng khác, giao thức RTP (Real - Time Transport Protocol: thù tục chun vận thời gian thực) sau 1ÌĨ qua ƯDP sử dụng để chuyển dịng thơng tin mang tính thời 具 , 一 丫 、 gian thực qua Internet RTCP cung câp thông tin trạng thái điêu khiên việc sử dụng RTP Hai cách để cung cấp an toàn cho VoIP: 1) Các chê găn săn giao thức VoIP; 2) Sử dụng mở rộng, ứng dụng (ví dụ: TLS: Transport Layer Security) giao thức tầng mạng (ví dụ: IPSEC) / r ~ 4.2.1 H.323 ITU - T Địa H.323 dựa vào địa chuyên chờ, bao gồm địa mạng định danh TSAP Trong trường hợp địa mạng chuyên trở TCP / IP bảng dịa chi IP cổng TCP H.323 sử dụng ba kiểu kênh khác nhau, kênh kết nối gọi, kênh điều •» % t khiên gọi kênh phương tiện truyên thông, phụ thuộc vào kiêu thơng tin Ẫ 、 • , chun Những kênh phương tiện truyên thông trực tiêp thông thường định tiiycn người tham gia gọi kênh điều khiển gọi lẫn kênh kết nối gọi bị định tuyến qua gatekeeper trực tiếp người tham gia chọn gatekeeper Một gatekeeper khơng thể có mặt vùng khác Internet [8] Kênh kết nối gọi bảo đảm TLS (TCP - cổng 1300) Trong thiết lập kết nôi, kênh kêt nôi gọi mở đâu tiên khơng có gatekeeper Nêu có gatekeeper kênh mờ kênh RAS với gatekeeper Trong kênh RAS, chế chứng thực phải sử dụng khơng mã hóa thơng tin truyền thiết bị cuối gatekeeper Sau thủ tục thiết lập kết kênh điều khiển gọi H.245 mở có sử dụng đảm bảo an tồn có thoả thuận Thơng tin kênh phương tiện truyền thơng bao gồm khố mã hóa chuyển qua kênh điều khiển gọi H.245 [8], t f * \ * P h ân tích s ự an tồn tro n g V o l P 69 Hình 4.3: Kiến trúc mạng FI.323 Chứng thực Có hai kiểu chứng thực dùng : 1) Trên mã hóa đối xứng mà khơng u cầu tiếp xúc trước thực thể truyền thông 2) Cỏ ưu tiên để chia sẻ bí mật kiểu thứ hai cách để xác nhận đổi xứng bất đối xứng [8] Cơ chế chứng thực khác sử dụng “Kết nối dựa 1PSEC”, “ TLS ”, Mã ềtố Mã hóa có thê làm lớp RTP (xem hình 2) sử dụng dê tru n dịng thơng tin Có thể mã hóa gói sở, có nghĩa mã hố gói tin ứng dụng 4.2.2 SIP IETF SIP giao thức cho văn bản, tương lự HTTP SMTP, cho khởi đầu phiên họp trao đôi người dùng Bao gơm phiên họp tiêng nói, hình nil, tán chuyện, trò chơi tương tác, [6] P h â n tích s ự an tồn tr o n g Voli* 70 Hình 4.4: Kiến trúc mạng SIP Chứng thực Tất chế chứng thực mà SIP cung cấp dựa yêu cầu-đáp ứng Tồn ba khả : 1) Chứng thực sở; 2) Chấp nhận chứng thực; 3) Chứng th ự c PGP (Pretty Good Privacy) Như kiến trúc Clinet - Server, truyền thông dựa vào yêu cầu ứng đáp \ t Ngồi u câu, SIP có thê xác nhận ứng đáp Mã hóa Những khả mã hóa SIP bị giới hạn Chi mã hóa PGP nội dung tiêu đề thơng điệp 4.2.3 MGCP / MEGACO / H.248 IETF ITU - T Cách tiếp cận M GCP / MEGACO / H.248 để chứng thực mã hóa sáng sủa trung thực IPSEC phải sử dụng để chứng thực mã hóa kết nối giao thức IKE cần phải sử dụng để cung cấp tùy chọn tốt Những khóa mã hóa cho cơng vào phương tiện trun thơng đê mã hóa kêt nôi phương tiện truyền thông cung cấp điều khiển cổng phương tiện qua kết nối giao thức an toàn IPS EC, tức kết nối truyền thống khơng mã hóa qua IPSEC [ 12] y t r r Ph â n tích s ự an toàn V o IP 71 Media Gateway Controller Media Gateway Conừx»! Hình 4.5: Kiến trúc mạng MGCP / MECÌACO 4.3 Những u cầu an tồn cho VoIP 4.3.1 Định nghĩa phần tử chìa khố hệ thống VoIP VoIP dạng khác kỹ thuật điện thoại, gói tiếng nói số truyền việc sử dụng Internet toàn cầu Địa gói dựa vào giao thức Internet (IP) needed at some phase of a call Hình 4.6: Hệ thống VoIP đơn giàn Ph n tích s ự an tồn tronj» V o IP 72 / •» f \ \ Một hệ thơng VoIP phơ biên gơm có phân tử sau : - Người tham gia vào gọi (người gọi người gọi); - Các thiết bị đầu cuối (ví dụ: điện thoại IP, máy tính cá nhân) sử dụng để bắt đầu nhận gọi; - Các cổng nối máy chủ tham chiếu tới tất loại thiết bị trung gian cần thời gian gọi; - Phương tiện truyền thông: cổng kết liên kết liệu thiết bị đầu cuối khác nhau, từ hình thành đường truyền thơng End to End cho gói VoIP qua Lưu lượng VoIP, nghĩa gói VoIP, phân loại vào báo hiệu gọi, điều khiển gọi, phương Xtiện truyền thông.t Phụ thuộc vào giao thức * y sách sử dụng VoIP, trun thơng có thê sử dụng kênh nhiêu kênh khác N hững kênh kết nối TCP/UDP hai phần tử mạng Các kênh khác cổng TCP bắt nguồn từ phần tử m ạng tới phần tử khác địa chi mạng, địa IP thông thường Trên quan điểm an tồn tất thơng tin truyền cần giữ an toàn tức xác nhận mã hóa MEDIA Hình 4.7: Phân loại luồng thơng tin khác biệt cần VoIP 4.3.2 Những đặc trưng an toàn VoIP - Trong VoIP, gói chưa mã hóa, thứ m ột kè cơng cần láy gói thích hợp để phân tích gói Gói mang thơng tin liên quan đến máy tính chuyên dụng, ví dụ mạng cục tập đoàn Trong kỹ thuật điện thoại truyền thống, kỹ thuật điện thoại di động điều nàỵ bị loại trừ, kẻ cơng thay vào điều cần có thiết bị đặc biệt, cần có kết nối vật lý tới dây, sử dụng thời gian gọi - Trong mạng LAN, người sir dụng VoIP đổi nhau, (dược nôi tới mạng LAN) thiết bị âm máy tính cá nhân họ để gọi nhận gọi Như người khơng thức tham gia gọi lấy cắp gói tin gọi chúng nối tới mạng LAN - Internet xem khơng an tồn Những mạng chuyển mạch khơng phải hồn tồn an tồn người ta lại khơng lo lắng nhiều điều P h â n tích s ự an toàn tron g V o l P 73 4.3.3 Yêu cầu an tồn chức - Thơng tin trao đổi người tham gia gọi cần phải giữ hí mật thơng tin tới thành viên thứ ba Nêu khơng cẩn thận thành viên thứ sử dụng thơng tin mà chúng có dược để nghe trộm nói chuyện - Chi nhà cung cấp dịch vụ cần có truy nhập tới thơng tin thống kê thông tin cần phải bảo vệ chống lại công từ thành viên thứ ba 4.3.4 Yêu cầu an toàn kỹ thuật Những yêu cầu an toàn cần đưa phải hỗ trợ tất giao thức VoIP - Tất kết nối phần tử mạng cần mã hóa; - EP tất kết nối cần luôn xác nhận hai cách để ngăn ngừa người bên trong, cơng; - Chứng íhực người dùng End to End cân phải cung câp lìhững thiêt bị đâu cuối; - Cả máy trạm máy chủ cần phải bảo vệ chống lại công 4.4 Những ràng buộc an tồn ciía VoIP Những ràng buộc an toàn lý yêu cầu an lồn khơng thể đạt tất điều kiện đặc biệt, truyền thông VoIP Những ràng buộc an tồn thiết kê chưa hoàn chỉnh giao thức VoIP thực khơng đầy đù điều Và kiến trúc nằm bên thân Internet bị giới hạn Có nhiều phần sở hạ tầng mạng, firew alls an tồn 1PSEC gác cơng vào sử dụng NAT, sử dụng đê bô sung an tồn Chức Iìăiìg thiết bị hạn chế chúng cần phải dược tính đến thiết kế giao thức t f \ \ Có the thây an tồn có thê thực nhiêu mức Ba mức khác xác định: Sự an tồn mức liên kết, an tồn gói Sự an tồn trường gói Trong mức, lựa chọn tất thơng tin phận thông tin phụ thuộc vào mức độ u cầu an tồn cùa thơng tin truyền 4.4.1 Tính nhạy cảm trễ VoIP Sự khó chịu chung sử dụng truyền tiếng nói qua - IP vấn đề chất lirợng dịch vụ Trê nói chuyện mà nhiêu người dùng VoIP gặp phải lo láng bất ổn cùa việc chuyển gói Internet [13] Địi hỏi để hồn tồn an tồn cho kết nối End to End toàn đường dần, P h â n tích s ự an tồn tron g V o I P 74 tất thiết bị mối liên kết chúng bảo vệ chống lại công [8] Một hệ điều tất thiết bị phải thực chứng thực lẫn Chửng thực sờ mã khóa cơng khai có nghĩa cho chứng thực quy mơ mạng lớn làm cho an tồn để phân phối chìa khóa cách tương đối dễ dàng xuyên qua mạng không an toàn Một vấn đề khác giải pháp dựa mã khố cơng khai hai ràng buộc Thứ nhất, không yêu cầu sở hạ tầng khóa cơng khai trải tồn cầu‘ Thứ hai chìa khóa khố cơng khai dựa thủ tục chứng thực yêu cầu sử dụng sức mạnh tính toán lớn Nếu chứng thực thực mức liên kết hai BP cùa liên kếl nào, điều không thành vấn đề Mã khóa cơng khai cơng cụ tiện lợi cho việc mã hóa thơng báo Nếu mã hóa thực hai EP, việc khơng có vân đê thiêt bị đủ mạnh đê tính tốn đủ u cầu Nhưng mã hóa các〜gói cần mã hóa thiết bị trung gian (ví dụ: Router), điêu có thê dê dàng trở thành nút cô chai thiêt bị trung gian làm tăng thời gian trễ làm chậm trễ việc truyền gói VoIP > - X t X • » t t t ^ 4.4.2 X ác đ ịn h d n g th ô n g b o SIP, H.323 giao thức VoIP khác sử dụng để bắt đầu phiên họp, phiên họp âm (tiếng) Thông tin cần thiết để tạo kênh truyền thơng hai thực thể, đặt thân thông báo VolP Thông tin bao gồm địa chi IP Trong NAT sử dụng địa nội yêu cầu ' ' / chuyên sang địa ngồi tới ứng dụng Phân thân khơng phải mã hóa thiêt bị NAT (lịch chuyển điều chấp nhận ràng buộc an toàn [13] t 4.4.3 An toàn End to End, Hop to Hop Có hai khái niệm hay cách để thực chứng thực lẫn mã hóa Đó End to End Hop to Hop End to End bao trùm toàn kcl từ nguời gửi đến người nhận Hop to Họp thay bao trùm m ột Hop kết nối Nó có the bao trùm nhiều bước chuyển khác, tồn nhiều bước chuyển, khơng chưa bảo đảm an toàn NliữttỊỊ lợi an toàn Hop to Iỉop:[9] - Khơng cần khố cơng khai cho người dùng; - Chi cần cung cấp dịch vụ khóa cơng khai; - Các mơ hình an tồn mạng có thử thách Giới hạn an tồn Hop to Hop: - u cầu mơ hình tin cậy Trong an tồn End to End thơng báo mã hóa xác nhận mã hố xác nhận suốt dọc đường từ người gửi đến người nhận P h â n tích s ự an tồn tr o n g V o í P 75 4.4.4 Những ví dụ thực vấn đề an tồn H.32Ỉ H.235 cung cấp kiến trúc an toàn toàn diện cho giao thức H.323 Nó cung câp sơ lựa chọn khác cho chứng Ihực cho mã hóa Sử dụng ÏL S t » / định nghĩa săn công 1300 thành lập kênh kêt nôi gọi ưu liên Việc cần phải xem xét tới ràng buộc từ đặt sẵn cư chế an tồn khác khơng thê sử dụng cho kêt nôi đâu liên ! r * * ■ » r r \ NA 7' nhánh ngang Firewall Các ứng dụng H.323 sử dụng động chế truyền thông cho âm thanh, hình ành liệu, firewall phải cho phép truyền thơng H.323 xun qua Firewall%cũng phải H.323, có khả “Rinh mị” tới % »có H.323 với m ột»uỷ nhiệm \ kênh điêu khiên đê xác định chê tru yên thông động sử dụng cho phiên họp i 1.323 cho phép cho lưu thơng kco dài kênh điêu khiên tích cực [7] > • » SĨP [9] Phần nhảnh Phân nhánh trạng thái A gọi tới B yêu cầu gọi phân nhánh tới BI Và B2, thiết bị đầu cuối khác Kết qủa cần hai thiết bị đầu cuối B lẫn B2 reo (chuông reo) Cơ chế hỏi - đáp sử dụng bên SIP không làm việc với phân nhánh, chi B rung chuông nơi hỏi - đáp sử dụng Việc sử dụng yêu cầu ký nhận mà khơng có hỏi - đáp giải vấn đề việc yêu cầu sir dụng PKI Đấu lại cơng đạt việc nhớ Call - IDs Dội lại tổn cơng Có tlìổ xảy việc sử dụng htlp đổ chứng thực cho cà yêu cầu phúc dáp Nếu bí mật dùng chung sử dụng hai hướng, kẻ cơng thu Iiỷ nhiệm thư việc phản chiếu thách thức phúc đáp lại yêu cầu Sử dụng bí mật khác m ỗi hướng loại trừ cơng Kiểu cơng khơng cịn ý nghĩa sử dụng PGP để chứng thực Chứng thực nhiều - uỷ nhiệm (Multi-Proxy) Nhiều uỷ nhiệm đư ờng dẫn thách thức người dùng Điều hữu ích cần cho dịch vụ thuê (outsourced) Neu UAC(User Agent Client: Khách hàng đại diện người đùng) chèn uỷ nhiệm thư cho yêu cầu lần cuối, kết hỏi hỏi lại Giải pháp UAC phải tích lũy uỷ nhiệm thư cho tất thách thức tới yêu cầu P h â n tíc h sụ an tồn tron g V o I P 76 Hỗm ch mó hoỏ S mó hóa SIP dựa vào sử dụng PGP Để hiệu quà cần đến PKI Mã hóa khơng bao gồm đầu mục quan trọng (ví dụ To, From) Nen tảng PGP kiến ihức khố cơng khai người nhận Hủy bỏ an toàn Sự hùy bỏ (CANCEL) lệnh SIP huỷ bỏ việc tìm kiếm reọ chng nào, đơn giản kè cơng gửi hủy bỏ cho đích đích nhận đề nghị (IN V IT E ),đích ngăn ngừa từ việc nhận gọi NA T nhánh ngang Firewall Diều quan trọng cho nhánh ngang an tồn SIP báo hiệu phiên họp qua NAT firewall Khi SIP giao thức điêu khiên phiên họp địa IP công TCP xuất thân giao thức Trong mạng nơi mà NAT sử dụng địa m ạng bên yêu cầu chuyển sang địa mạng ngồi tới ứng dụng Thân khơng mã hóa thiết bị NA T chuyển sang điều chịu ràng buộc an loàn Điêu chủ yêu đê SIP thực khó khăn NAT nhánh ngang firewall: MGCP / MEGA CO / H 248 Những vấn đề ràng buộc an toàn M GCP chuẩn liên quan tương tự ràng buộc đề cập H.323 SIP Ngoại trừ sử dụng giao thức ạn toàn đặc biệt IPSEC Nếu IPSEC sử dụng chúng vấn đề an tồn cùa IPSEC xác định ràĩíg buộc an toàn cho M GCP giao thức liên quan 4.4.5 Đề xuất giải pháp an toàn cho VoIP Qua phần trình bày kiến trúc VoIP có, dịch vụ an ninh mà chúng cung cấp, yêu cầu an toàn ràng buộc cho an tồn Từ nhộn thấy cần có giải pháp an toàn hiệu triệt để cho VoIP Giải pháp cung cấp an toàn Hop to Hop dễ thực thực tê, nhà cung cấp dịch vụ cân thiết lập PKI có khơng thuận lợi độ an tồn chưa cao gói VoIP từ Hop tới End từ End tới Hop khơng mã hố dẫn đến an toàn đoạn này, gây nghẽn cổ chai Hop Firewall nhánh ngang N A T có vấn dề lọc, chuyển đổi địa có nhiều trạm kết nơi đơi sử Giải pháp an tồn End to End gói VoIP m ã hoá xác nhận dọc đường từ người gửi đến người nhận giải pháp đảm bảo an toàn cao cho VoIP Ph â n tích s ự an tồn tr o n g V o ỉ P 77 4.5 iMơ hình th nghiệm Chương trình thử nghiệm cho PC to PC Với giải pháp đề xuất dùng mật mã khố bí mật để mã hố tín hiệu âm End to End 4.5.1 Chuyển đổi âm IP Khi truyền tiếng nối qua m ạng IP trình diễn sau: nơi gửi: Tiêng nói từ tín hiệu tương tự (analog) chun đơi sang tín hiệu sơ thống qua ADC sau tạo thành gói tín tin RTP, UDP gói tin chuyển xuống tầng IP (tạo thành gói IP) truyền mạng, hình 5.1 ^ r ? Analog il r Sample and A/D Compress Create Voice Datagram (RTP,UDP) Add IP Header Digital H 5.1: Quá trình chuyển đổi từ tiếng nói sang 11) (nơi gửi) Ở nơi nhộn: Công việc ngược lại bên phát tiếng nói, gỏi tin tiếng nói từ dạng IP bóc phần tiêu đề IP chuyển lên tầng RTP, U D P gói tin giải nén sau chun đơi sang tín hiệu tương tự thông qua DAC tạo lại thành tiếng nói ban đầu hình 5.2 P h â n tích s ự an toàn tr o n g V o I P Process Header (IP) Re-sequence and Buffer Delay(RTP,UDP) Decompress Digital to Analog Analog Ỷ Voice H 5.2: Q uá trình chuyển đổi từ IP sang tiếng nói (ở nơi nhận) 4.5.2 Sử dụng mã m ật cho an ninh VoIP r r * Mã hố khố đơi xứng trình bày chương ,ta thây lợi diêm tốc độ xử lý cao phù hợp cho việc áp dụng cho dịng tín hiệu VolP Những người trao đổi thông tin mật với người có quan hệ từ trước tin cậy trao đổi khoá mật sử dụng cho VoIP vứi trước Có thể sừ dụng m ột kênh an tồn đó, sử dụng mã khố cơng khai dể trao đổi khố mật với nhau, chí qui ước trước việc sử dụng khoá thực gọi yêu cầu đảm bảo bí mật P h â n tích s ự an toàn tro n g V o IP 79 H 5.3: Quá trình truyền âm từ nơi gửi đến nơi nhận Ở nơi gửi: Từ tín hiệu âm (ở dạng tương tự) chuyển đổi sang tín hiệu số chức ADC card âm thanh, tín hiệu số nén lại thơng qua chương trình nén (như G 1,G.728, G729,…)• Tín hiệu sau nén dược mã hố với khố bí mật mà cà bên gửi bên nhận biết Các khung tin dược mã có dộ dài byte Sau mã luồng thông tin chuyển xuống tầng dể tạo gói tin RTP, UDP Các gói tin chuyển xuống tầng IP Ở tầng thông tin tạo thành gói IP để truyền mạng Ở nơi nhận: Các gói tin IP nhận lại chuyển lên tầng TCP/UDP, tầng TCP/UDP gói tin TCP/UDP bóc phần tiêu đề chuyển lên tầng Ổ tầng thông tin giải mã theo khung tin cỏ độ dài định để thu tín hiệu số thành nhận luồng thông tin từ tầng TCP/UDP gửi lên Các luồng tin dược giải mã khung tin với độ dài byte khoá mã bên gửi dã dùng để mã Các luồng tin sau giải mã giải nén chuyển lên tầng Sau giải mã thu luồng tin tín hiệu số âm thanh, tín hiệu số chuyển đổi lại sang tín hiệu âm (tương tự) ban đầu P h â n tích s ự nn tồn tron g V o I P 80 KÉT LUẬN ■ y \ / Trong vài năm trở lại V olP phát triên nhanh đạt nhiêu kêt Vo IP dã trở thành m ột dịch vụ Internet Trên thực tế, VoIP phát triển Việt Nam từ năm 2000 có số nhà cung cấp dịch vụ điện thoại IP cho người sử dụng triển khai nhiều tinh, thành nước Tốc độ phát triển nhanh giới Việt Nam Bên cạnh thuận lợi đem lại hiệu suất sử dụng cao, ổn định, chúng gặp phải vấn đề khó khăn khó tương tác với nhau, chúng khơng tương thích phiên cùa giao thức VoIP H323 hành, khơng tương thích với thiêt bị V oIP, Hơn vân đê an toàn truyên tiêng nói qua Internet chưa có quan tâm thích đáng, nhiêu khả mât an ninh Việc đàm bảo an ninh cho VoIP vân đê quan trọng cân xem xét kỹ đê có giải pháp hợp lý đảm bào an ninh cho thoại quan Internet thoại đòi hỏi bí mật cao kinh doanh, an ninh quốc phịng, Với mục đích tìm hiêu đê đưa giải pháp bảo vệ tôt thông tin VoIP mạng Internet/Intranet luận văn đã: r \ X , • Tìm hiểu kiến trúc thoại qua Internet: Các kiến trúc, chế hoạt động • Tìm hiểu giao thức cho dịch vụ VoIP N hất chuẩn 11323 - chuẩn truyền thơng đa phương tiện Internet • Phân tích nguy đe doạ an tồn thoại Internet Một số giải pháp an toàn chung m ạng InterneƯIntranet cho dịch vụ VoIP từ thấy khả có mât an tồn cho VoIP đê xuât giải pháp an toàn đảm bảo an tồn cho VoIP ‘ r > t * • Bước đầu đưa mơ hình an ninh cho VoIP xây dựng chương trình thử nghiệm bảo vệ thông tin VoIP tốt môi trường Internet/ Intranet Mặc dù đạt số kết ban đầu việc áp dụng mã hố cho an tồn VoIP cịn số vấn đề cần nghiên cứu giải tính tốn mức độ trề có giới hạn cho phép, chế trao đổi khố để đảm bảo bí mật, thuận tiện, Vấn đề an ninh cho VoIP Intemet/Intranet vấn khó cần tiếp lục dầu tư nghiên cứu để đưa giải pháp tổng thể, tốt horn có tính khả thi cao P h â n tích s ự an toàn tr o n g VoU* 81 TÀ丨 LIỆU THAM KHẢO Tài liệu tiếng Việt [1 ] Nguyễn Bình dịch ( 1996) D.R Stinson Mật mã lý thuyết thực hành Học viện Kỹ thuật mật mã [2] Vù Duy Lợi (2002) M ạng truyền số liệu [3] Hạnh Nguyên (2000) Mạng bản, nhà xuất Thống kê Tài liệu tiếng Anh [4] Alfred J Menezcs, Paul c van Oorschot, and Scott A Vanstone Handbook of Applied Cryptography CRC Press LLC, 1997 http://www.cacr.math.uwaterloo.ca/hac/ [5] Daniel Collins Carrier Grade Voice over IP M cGraw-Hill, 2001 [6] IETF, Megaco Protocol version 0.8, RFC2885, 2000, [Referenced: 31.8.2000] http://www.ietf.org/rfc/rfc2885.txt [7] IETF, SIP W orking Group, [Referenced: 26.10.2000] http://www.ietf.org/html.charters/sip-charter.html [8] ITU-T, ITU-T Recommendation H.235 (02/98), Security and encryption for HSeries (H.323 and other H.245-based) multimedia terminals, 1998 [9] Kotha, S., Deploying H.323 Applications ill Cisco Networks, W hite Paper, [Referenced: 2.7.2000] http://www.cisco.com/warp/public/cc/pd/iosw/ioft/mmcm/tech/h323_wp.htm [10] Marcus Goncalves, Protect your WebSite with Firewalls, 1997,Prentice Hall [11] Sidnie Feit (1993) TCP/IP: Architecture, protocol, and inplimentation McCrawMill, inc [12] Rosenberg, J.,Computer Telephony: The Session Initiation Protocol (SIP): A Key component for Internet Telephony June 2000 [13] Rosenberg, J., SIP Security, [Referenced: 8.5.2000] http://www.dynamicsoft.com/resources/pdf/SIP2000-Security.pdf [14] Study Group 15 Call Signaling Protocols and M edia Stream Packetization for Packet-Based M ultimedia Communication Systems Telecommunication Standardization Sector, ITU-T, [15] Tomas Olovsson A Structured Approach to Computer Security Technical Report N ol22, Department o f Computer Engineering Chalmers University o f Technology, 1992 http://w w w ce.chalm ers.se/staff/ulfl/pubs/trl22to.pdf T i liệu th a m k h a o