Nội dung của đề tài bao gồm tìm hiểu về kiến trúc và các giao thức của các mạng VoIP cụ thể, từ đó phân tích những lỗ hổng trong mạng VoIP và các công nghệ để khắc phục các lỗ hổng đó. Nội dung đồ án được chia thành 3 chương.
Bảo mật VoIP LỜI MỞ ĐẦU Như ta thấy với phát triển mạng chuyển mạch gói IP với hội nhập mạnh mẽ vào kinh tế khu vực giới Và yếu tố quan trọng để cạch tranh chi phí thấp Cũng lý mà VoIP trở thành cơng nghệ phổ biến với chi phí thấp cấu trúc mềm dẻo đáp ứng nhu cầu người sử dụng Tuy nhiên, để thiết lập hệ thống VoIP ngồi chất lượng dịch vụ (QoS) cần phải tính đến bảo mật cho hệ thống VoIP Việc tích hợp dịch vụ thoại, liệu, video,… hạ tầng mạng IP mang đến nhiều nguy tiềm ẩn bảo mật Không mạng IP mạng công cộng, nguy bị công lớn mà thân giao thức VoIP có nguy bảo mật Xuất phát từ ý nghĩ mà em định chọn đề tài “Bảo Mật Trong VoIP” Trong giới hạn đề tài, em tìm hiểu lý thuyết bảo mật cho hệ thống VoIP Nội dung đề tài bao gồm tìm hiểu kiến trúc giao thức mạng VoIP cụ thể, từ phân tích lỗ hổng mạng VoIP cơng nghệ để khắc phục lỗ hổng Nội dung luận văn chia thành chương: Chương 1: Tổng Quan Trong Mạng VoIP Chương 2: Công Nghệ Trong VoIP Chương 3: Bảo Mật Trong VoIP Trong trình nghiên cứu đề tài này, kiến thức kinh nghiệm em cịn hạn chế khơng tránh thiếu sót, mong nhận xét góp ý Thầy Cơ bạn bè Hải Phòng, ngày tháng năm 2010 Sinh viên Trần Mạnh Tuyên Bảo mật VoIP Chương 1: TỔNG QUAN TRONG MẠNG VoIP 1.1 Giới thiệu chung VoIP VoIP (Voice over Internet Protocol) công nghệ cho phép truyền thoại sử dụng giao thức mạng IP, sở hạ tầng sẵn có mạng Internet VoIP công nghệ viễn thông quan tâm không nhà khai thác, nhà sản xuất mà với người sử dụng dịch vụ Hình 1.1: Mơ hình truyền thoại qua IP VoIP dựa kết hợp mạng chuyển mạch kênh chuyển mạch gói mạng IP Mỗi loại mạng có đặc điểm khác biệt Trong mạng chuyển mạch kênh kênh truyền dẫn dành riêng thiết lập hai thiết bị đầu cuối thông qua hay nhiều nút chuyển mạch trung gian Dịng thơng tin truyền kênh dịng bít truyền liên tục theo thời gian Băng thông kênh dành riêng đảm bảo cố định trình liên lạc (64Kbps mạng điện thoại PSTN), độ trễ thông tin nhỏ cỡ thông thời gian truyền thông tin kênh Khác với mạng chuyển mạch kênh, mạng chuyển mạch gói (Packet Switching Network) sử dụng hệ thống lưu trữ Bảo mật VoIP truyền nút mạng Thông tin chia thành gói, gói thêm thơng tin điều khiển cần thiết cho trình truyền địa nơi gửi, địa nơi nhận… Các gói thông tin đến nút mạng sử lý lưu trữ thời gian định truyền đến nút cho việc sử dụng kênh có hiệu Trong mạng chuyển mạch gói khơng có kênh dành riêng thiết lập, băng thông kênh logic hai thiết bị đầu cuối thường không cố định, độ trễ thông tin thường lớn mạng chuyển mạch gói nhiều Ngun tắc VoIP gồm việc số hóa tín hiệu giọng nói, nén tín hiệu số hóa, chia tín hiệu thành gói truyền gói số liệu IP Đến nơi nhận, gói số liệu ghép lại, giải mã tín hiệu analog để phục hồi âm VoIP cho phép thực gọi dùng máy tính qua mạng liệu internet VoIP chuyển đổi tín hiệu thoại từ điện thoại tương tự analog vào tín hiệu số digital trước truyền qua internet, sau chuyển đổi ngược lại đầu nhận Khi tạo gọi VoIP dùng điện thoại với điều hợp, nghe âm mời gọi, quay số xảy sau tiến trình VoIP thể cho phép tạo gọi trực tiếp từ máy tính dùng loại điện thoại tương ứng hay dùng microphone VoIP cho phép tạo gọi đường dài qua mạng liệu IP có sẵn thay truyền qua mạng PSTN (public switched telephone network) Ngày nhiều công ty thực giải pháp VoIP họ để giảm chi phí cho gọi đường dài nhiều chi nhánh xa Áp dụng VoIP khai thác tính hiệu mạng truyền số liệu, khai thác tính linh hoạt phát triển ứng dụng giao thức IP Tuy nhiên để thực ứng dụng bảo vệ VoIP phức tạp Để gọi điện qua VoIP, người dùng cần có chương trình phần mềm điện thoại SIP điện thoại VoIP dạng phần cứng Có thể gọi điện thoại đến đâu, cho số điện thoại VoIP người dùng số điện thoại bình thường Bảo mật VoIP Hình 1.2: Mơ hình chung kế nối VoIP 1.2 Các đặc tính mạng VoIP 1.2.1 Ưu điểm VoIP đời nhằm khai thác tính hiệu mạng truyền số liệu, khai thác tính linh hoạt phát triển ứng dụng giao thức IP áp dụng mạng toàn cầu mạng Internet Các tiến công nghệ mang đến cho VoIP ưu điểm sau: Giảm chi phí gọi: Ưu điểm bật điện thoại IP so với dịch vụ điện thoại khả cung cấp gọi đường dài giá rẻ với chất lượng chấp nhận Nếu dịch vụ điện thoại IP triển khai chi phí cho gọi đường dài tương đương với chi phí truy nhập Internet Nguyên nhân dẫn đến chi phí thấp tín hiệu thoại truyền tải mạng IP có khả sử dụng kênh hiệu cao Đồng thời, kỹ thuật nén thoại tiên tiến giảm tốc độ bít từ 64Kbps xuống thấp tới 8Kbps kết hợp với tốc độ xử lý nhanh vi xử lý ngày cho phép việc truyền tiếng nói theo thời gian thực thực với lượng tài nguyên băng thông thấp nhiều so với kỹ thuật cũ Khả mở rộng: Nếu hệ tổng đài thường hệ thống kín, khó để thêm vào tính thiết bị Bảo mật VoIP mạng Internet thường có khả thêm vào tính Chính tính mềm dẻo mang lại cho dịch vụ điện thoại IP khả mở rộng dễ dàng so với điện thoại truyền thống Không cần thông tin điều khiển để thiết lập kênh truyền vật lý: Gói thơng tin mạng IP truyền đến đích mà khơng cần thiết lập kênh Gói tin cần mang địa nơi nhận cuối thơng tin đến đích Do vậy, việc điều khiển gọi mạng IP cần tập trung vào chức gọi mà không cần phải tập trung vào chức thiết lập kênh Quản lý băng thông: Trong điện thoại chuyển mạch kênh, tài nguyên băng thông cung cấp cho thoại cố định (một kênh 64Kbps), điện thoại IP việc phân chia tài nguyên cho thoại linh hoạt nhiều Khi liên lạc diễn ra, lưu lượng mạng thấp băng thông dành cho liên lạc cho chất lượng thoại tốt có thể, lưu lượng mạng cao mạng hạn chế băng thơng gọi mức trì chất lượng thoại chấp nhận nhằm phục vụ lúc nhiều người Điểm yếu tố làm tăng hiệu sử dụng điện thoại IP.Việc quản lý băng thông cách tiết kiệm cho phép người ta nghĩ tới dịch vụ cao cấp điện thoại hội nghị, điều mà với công nghệ chuyển mạch cũ khơng thực chi phí cao Nhiều tính dịch vụ: Tính linh hoạt mạng IP cho phép tạo nhiều tính dịch vụ thoại như: Cho biết thông tin người gọi tới hay thuê bao điện thoại IP có nhiều số liên lạc mà cần thiết bị đầu cuối Khả multimedia: Trong gọi người sử dụng vừa nói chuyện vừa sử dụng dịch vụ khác truyền file, chia sẻ liệu, hay xem hình ảnh người nói chuyện bên Sử dụng hiệu quả: Như biết VoIP truyền thoại qua mạng Internet sử dụng giao thức IP, ngày IP giao thức mạng sử dụng rộng rãi có nhiều ứng dụng khai thác sở giao thức mạng IP, VoIP kết hợp sử dụng ứng dụng để nâng cao hiệu Bảo mật VoIP sử dụng mạng Kỹ thuật VoIP sử dụng chủ yếu kết hợp với mạng máy tính tận dụng phát triển công nghệ thông tin để nâng cao hiệu sử dụng, phần mềm hỗ trợ nhiều cho việc khai thác dịch vụ mạng VoIP Công nghệ thông tin phát triển việc khai thác có hiệu quả, xuất nhiều dịch vụ hỗ trợ người sử dụng lĩnh vực 1.2.2 Nhược điểm Kỹ thuật phức tạp: Truyền tín hiệu theo thời gian thực mạng chuyển mạch gói khó thực gói mạng khơng thể tránh độ trễ khơng cố định gói thơng tin truyền mạng Để có dịch vụ thoại chấp nhận cần phải có kỹ thuật nén tín hiệu đạt yêu cầu khắt khe như: Tỉ số nén lớn, có khả suy đốn tạo lại thơng tin gói bị thất lạc…Tốc độ xử lý Codec phải đủ nhanh để không làm đàm thoại bị gián đoạn Đồng thời sở hạ tầng mạng cần nâng cấp lên công nghệ để có tốc độ cao có chế thực chức QoS (Quality of Service) Vấn đề bảo mật: Mạng Internet mạng có tính rộng khắp hỗn hợp, có nhiều loại máy tính khác nhau, dịch vụ khác sử dụng chung sở hạ tầng Do đảm bảo thơng tin liên quan đến cá nhân số liên lạc truy nhập sử dụng dịch vụ người dùng giữ bí mật Và nguy nghe gọi VoIP cao gói liệu phải chuyển tiếp qua nhiều trạm trung gian trước đến người nghe vấn đề truy cập trái phép, hacker lợi dụng lỗ hổng bảo mật để xâm nhập vào hệ thống mạng Ngồi VoIP gặp vấn đề sử dụng dịch vụ cúp điện, kết nối đến dịch vụ khẩn như: cấp cứu, báo cháy 1.3 Xu hướng phát triển dịch vụ điện thoại IP 1.3.1 Những yêu cầu phát triển VoIP Chất lượng thoại phải ổn định, độ trễ chấp nhận phải so sánh đựợc với chất lượng thoại mạng PSTN mạng có chất lượng phục vụ khác Mạng IP phải đáp ứng tiêu chí hoạt động khắt khe Bảo mật VoIP bao gồm giảm thiểu việc từ chối gọi, mát gói liên lạc Điều địi hỏi mạng bị nghẽn người sử dụng chung tài nguyên mạng lúc Tín hiệu báo hiệu phải có khả tương tác với báo hiệu mạng khác (PSTN) để không gây thay đổi chuyển giao mạng không ảnh hưởng đến hoạt động mạng Quản lý hệ thống an tồn, địa hóa toán phải cung cấp, tốt hợp với hệ thống hỗ trợ hoạt động 1.3.2 Những khó khăn triển khai dịch vụ Vấn đề tiêu chuẩn: Do tiêu chuẩn quốc tế điện thoại IP cịn khơng ngừng phát triển hồn thiện đặc biệt tiêu chuẩn thông tin miền khác nhau, mạng khác v.v…còn thời gian tranh luận ảnh hưởng trực tiếp đến tương thích sản phẩm điện thoại VoIP nhà cung cấp khác Ngoài vấn đề chuyển mạch thuê bao miền khác nhau, vấn đề lộ trình vấn đề tương thích dịch vụ, vấn đề tốn cước phí nhà cung cấp dịch vụ khác chờ đợi Vấn đề mạng truyền tải: Trong mạng Internet xác định trước thay đổi, ảnh hưởng nghiêm trọng đến chất lượng thơng thoại Căn vào tình hình kỹ thuật nói Internet thơng tin điện thoại thời gian thực yêu cầu chất lượng cao tồn nhiều khuyết điểm Vấn đề dung lượng thiết bị: Các nhà sản xuất thiết bị tiếp nhận Internet nhà sản xuất thiết bị cổng mạng cố gắng phát triển với quy mô lớn, từ vài cửa E1 100 cửa E1 Tuy nhiên chất lượng thiết bị cịn cách xa so với sản phẩm viễn thơng 1.3.3 Xu hướng phát triển Hiện mảnh đất hứa hẹn cho VoIP mạng doanh nghiệp Intranet mạng Etranet thương mại Cở sở hạ tầng dựa IP cho phép điều khiển quản lý việc sử dụng dịch vụ cho phép hay không cho phép truy cập dịch vụ Các sản phẩm điện thoại mạng Internet chưa thể đáp ứng yêu cầu chất lượng dịch vụ điện thoại thông thường Bởi vậy, phát triển VoIP Intranet, Etranet hướng phát triển trước mắt Bảo mật VoIP Một xu phát triển khác hứa hẹn xây dựng cổng nối mạng IP mạng thoại VoIP Gateway Những Gateway xây dựng từ tảng PC trở thành hệ thống mạnh có khả điều khiển hàng trăm gọi đồng thời Bởi doanh nghiệp phát triển lượng lớn Gateway nỗ lực giảm chi phí liên quan đến lưu lượng thoại, fax video hội nghị Bảo mật VoIP Chương 2: CÔNG NGHỆ TRONG VoIP Để hiểu nguyên tắc công giải pháp bảo vệ mạng khỏi bị công, cần hiểu rõ kiến trúc hoạt động hệ thống VoIP Chương tìm hiểu rõ kiến trúc trình xử lý tín hiệu giao thức SIP, H.323 giao thức vận chuyển VoIP 2.1 Kiến trúc mạng VoIP 2.1.1 Mơ hình kiến trúc mạng VoIP Hình 2.1 Mơ hình kiến trúc tổng quan mạng VoIP Trong mơ hình có mặt hai thành phần mạng VoIP là: IP Phone (hay gọi SoftPhone): Là thiết bị giao diện đầu cuối phía người dùng với mạng VoIP Cấu tạo IP Phone gồm hai thành phần chính: + Thành phần báo hiệu mạng VoIP: Báo hiệu H.323 sử dụng giao thức TCP hay SIP sử dụng UDP TCP làm giao thức truyền tải Bảo mật VoIP + Thành phần truyền tải media: Sử dụng RTP để truyền luồng media với chất lượng thời gian thực điều khiển theo giao thức RTCP VoIP Server: Chức Server mạng VoIP tùy thuộc vào giao thức báo hiệu sử dụng Nhưng mơ hình chung VoIP Server thực chức sau: + Định tuyến tin báo hiệu mạng VoIP + Đăng kí, xác thực người sử dụng + Dịch địa mạng Nói chung, VoIP Server mạng đầu não huy hoạt động mạng Server tích hợp tất chức (SoftSwitch) nằm tách biệt Server chức khác (Location Server, Registrar Server, Proxy Server,…) 2.1.2 Phương thức hoạt động VoIP chuyển đổi tín hiệu giọng nói thơng qua mơi trường mạng Do vậy, trước hết giọng nói phải chuyển đổi thành dãy bit kỹ thuật số (digital bits) đóng gói thành packet để sau truyền tải qua mạng IP network cuối chuyển lại thành tín hiệu âm đến người nghe Tiến trình hoạt động VoIP thơng qua hai bước: Call setup: trình này, người gọi phải xác định vị trí (thơng qua địa người nhận) yêu cầu kết nối để liên lạc với người nhận Khi địa người nhận xác định tồn proxy server hai người thiết lập kết nối cho trình trao đổi liệu voice Voice data processing: tín hiệu giọng nói (analog) chuyển đổi sang tín hiệu số (digital) nén lại nhằm tiết kiệm đường truyền (bandwidth) sau mã hóa (tính bổ sung nhằm tránh phận tích mạng-sliffer) Các voice samples sau chèn vào gói liệu để vận chuyển mạng Giao thức dùng cho gói voice RTP (real-time transport protocol) Một gói tin RTP có field chứa liệu cần thiết cho việc biên dịch lại gói tin sang tín hiệu voice thiết bị người nghe Các gói tin voice truyền giao thức UDP Ở thiết bị cuối, tiến trình thực ngược lại 10 Bảo mật VoIP Hình 3- 2: VLAN phân theo chức VLAN góp phần bảo mật hệ thống VoIP Lưu lượng VLAN đảm bảo (trừ sử dụng router) Nó làm giảm broadcast lưu lượng mạng mà điện thoại phải nhận Quản lý lưu lượng VLAN giúp cho lưu lượng SNMP syslog không bị nhiễu với liệu, dễ dàng việc quản lý mạng VLAN làm giảm nguy DoS Do muốn liên lạc VLAN phải qua lớp mạng, lưu lượng bị lọc ACL lớp mạng Để bảo đảm an toàn cho lưu lượng lớp cần hạn chế quyền truy cập cổng console Switch cách sử dụng phương pháp chứng thực mạng RADIUS hay AAA 3.4.2 VPN Công nghệ VPN cung cấp phưong thức giao tiếp an toàn mạng riêng dựa hạ tầng mạng công cộng (Internet) VPN thường dùng để kết nối văn phòng, chi nhánh với nhau, người dùng từ xa văn phịng Cơng nghệ triển khai dùng giải pháp sau: Frame Relay, ATM hay Leased line Các giao thức thuật toán dùng VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) Internet key Exchange (IKE) 50 Bảo mật VoIP Có hai loại kết nốit VPN: + Client – to – LAN + LAN – to – LAN Hình 3- 3: Client-to-LAN VPN Công nghệ VPN dựa kỹ thuật đường hầm (tunneling) Kỹ thuật bao gồm đóng gói, truyền đi, giải mã, định tuyến VPN có ba loại: Point – to – Point Tunneling Protocol (PPTP), Layer Tunneling Protocol (L2TP), IPsec 3.4.2.1 Point – to – Point Tunneling Protocol Đây giao thức phát triển Microsoft, làm việc lớp mơ hình OSI PPTP đóng gói frame PPP vào gói IP cách sử dụng GRE (General Routing Encapsulation).Các hình thức đảm bảo bảo mật gồm: chứng thực, mã hóa liệu, lọc gói PPTP PPTP dùng giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver ver 2), PAP, MS-CHAP ver2 EAP-TLS xem bảo mật VPN server VPN client chứng thực lẫn Tải PPP frame mã hóa RSA (Rivest, Shamir and Adleman), RC4 (Rivest Cipher 4) Trong MS-CHAP ver1 giá trị băm LAN Windows NT sinh dựa password gửi song song từ client đến server Vì giá trị LAN manager hash bảo mật nên chương trình bẻ password cơng được, biết giá trị băm LAN, dùng để tìm giá trị Windows NT MS-CHAP ver khắc phục lỗi nhờ dùng chế mã hóa RSA RC4 có điểm yếu khóa mã hóa dựa password user client server dùng chung khóa mã hóa 51 Bảo mật VoIP 3.4.2.2 Layer Tunneling Protocol L2TP giao thức chuẩn IETF (RFC 2661) Khác với PPTP, L2TP chạy nhiều chuyển mạch khác X.25, Frame Relay, ATM, thường L2TP đóng gói PPP frame L2TP frame dùng UDP để truyền (không dùng GRE) Dùng UDP tốt cho dịch vụ thời gian thực Bản thân L2TP khơng đảm bảo bảo mật, cần giao thức vận chuyển bên làm điều Điều thực qua việc bảo mật PPP dùng IPsec Hình 3- 4: Cấu trúc L2PT 3.4.2.3 IP Security Với đặc điểm dễ bị bắt gói mạng IP nên yêu cầu mã hóa cần thiết cho hệ thống VoIP IPsec bảo mật thông tin EP luồng liệu IPsec tập giao thức phát triển IETF, bảo mật lớp IP IPSec bao gồm thành phần: thành phần mã hóa (Encryption), trao đổi khóa (Security Association), đảm bảo toàn vẹn liệu (Data Integrity) kiểm tra nguồn gốc liệu (Origin Authentication) IPsec gồm hai giao thức: Authenticaion Header (AH) Encapsulating Security Payload (ESP) - AH: chứng thực data chống replay, dùng giao thức IP số 51 - ESP: dùng giao thức IP số 50 ESP mã hóa chứng thực gói ban đầu (khơng có header), cịn AH chứng thực tồn gói (có header) khơng mã hóa 52 Bảo mật VoIP Hình 3- 5: Chứng thực mã hóa AH ASP - IPsec gồm mode: + Tunnel mode: tạo thêm IP header gồm địa nguồn địa đích (có thể khác với địa nguồn địa đích gói IP) ESP chứng thực mã hóa gói IP, cịn AH chứng thực thêm phần header + Transport mode: ESP mã hóa chứng thực gói IP (khơng có phần header), AH có chứng thực thêm phần header Hình 3- 6: Cấu trúc gói IPsec transport mode Hình 3- 7: Cấu trúc gói IPsec tunnel mode Trong trình thiết lập kết nối, VPN client VPN server thương lượng thuật tốn mã hóa sử dụng số thuật toán sau: DES, MD5, SHA, DH 53 Bảo mật VoIP Security Association (SA) thường quản lý bời IKE SA thường dùng pre-shared key, mã hóa RSA chữ ký số IPsec chứng thực shared secret certificate, bảo mật so với PPTP chứng thực password user 3.4.3 Firewalls Đóng vai trị quan trọng việc bảo mật mạng liệu khỏi cơng từ bên ngồi Một số loại firewall sau bảo vệ liệu lớp khác mô hình OSI: Packet filtering firewall Circiut level gateway firewall Personal firewall Chức firewall thiết kế dành cho ứng dụng thời gian thực VoIP nên việc thiết lập firewall cho hệ thống VoIP làm cho hệ thống phức tạp số trình: port động trunking, thủ tục thiết lập gọi Ngồi ra, firewall cịn có nhiệm vụ điều khiển luồng thoại liệu Nếu không cài đặt firewall tất lưu lượng đến từ IP phone phải cho phép RTP dùng port UDP động, tất port UDP phải mở, thiếu bảo mật Vì vậy, IP phone thường đặt sau firewall để tất lưu lượng kiểm sốt mà khơng cần phải mở tất port UDP firewall sử dụng để cách ly mặt luận lý thoại liệu 3.4.4 NAT (Network Address Translation) Là kỹ thuật mà địa nguồn hay địa đích thay đổi qua thiết bị có chức NAT, cho phép nhiều host mạng nội dùng chung địa IP để mạng bên ngồi Ngồi one-to-one mapping cịn có many-to-one mapping hay gọi NAPT (Network Address Port Translation) 54 Bảo mật VoIP Hình 3- 8: Quá trình thay đổi địa NAT NAT có sách: - Full: tất yêu cầu từ host bên (địa IP port) ánh xạ tới IP hay port đại diện bên ngồi, host bên ngồi gửi gói tới host bên biết địa ánh xạ - Restricted: cho phép host bên ngồi với IP X gửi gói cho host mạng bên host mạng bên gửi tới IP X gói trước - Port restricted: Giống Restricted one có thêm port Chính sách sử dụng để dùng chung địa IP đại diện bên - Symmetric: tất request từ IP hay port đến đích ánh xạ IP đại diện, tới đích khác IP đại diện khác Chỉ có host bên ngồi nhận gói gửi gói ngược trở lại host bên Lợi ích NAT: Giảm bớt số IP cần dùng cách sử dụng chung IP đại diện để bên Với việc sử dụng chung IP đại diện để bên lưu lượng muốn truy nhập vào mạng bên phải qua NAT, bảo mật 3.4.5 Một số ý sử dụng NAT firewall hệ thống VoIP Ảnh hưởng đến QoS: Việc thiết lập firewall NAT gây trễvà jitter, làm giảm QoS Về chất, muốn cải thiện QoS q trình xử lý gói qua firewall phải nhanh, mà khả xử lý gói firewall lại phụ thuộc vào lực 55 Bảo mật VoIP CPU CPU xử lý gói chậm do: header gói thoại phức tạp gói IP bình thường nên thời gian xử lý lâu hơn; số lượng gói RTP lớn làm firewall CPU bị qua tải Cuộc gọi tới: Khi có gọi tới lưu lượng báo hiệu tới qua firewall, cần phải mở số port, điều gây nguy hiểm Với NAT điều khó khăn NAT dùng port động, mà host bên ngồi gọi cho host nằm sau NAT biết xác địa IP port Voice Stream: RTP dùng port động (1024-65534), cịn RTPC quản lý luồng thoại port ngẫu nhiên, khó mà đồng port RTP RTPC Nếu hai host nằm sau NAT khó khăn NAT ánh xạ địa bên địa đại diện bên khoảng thời gian t(s) Nếu kết nối bị đứt hay lưu lượng qua NAT t(s) ánh xạ biến Nếu dùng TCP kết nối TCP kết thúc gọi kết thúc Nếu dùng UDP khơng nhận biết UDP phi kết nối Nếu sử dụng VAD có khả thơng tin kết nối bị xóa trước gọi thật kết thúc Mã hóa: Việc mã hóa giúp đảm bảo tính tồn vẹn liệu ta gặp số vấn đề với sử dụng NAT firewall: + Firewall chặn gói có header mã hóa + NAT dấu IP bên với mạng bên nên phương pháp chứng thực ESP AH Ipsec không hợp lệ 3.4.6 Share-key (khoá dùng chung) Những cách tiếp cận Chìa khóa- Dùng chung: Một cách tiếp cận tới chứng thực hệ thống mà người gửi người nhận chia sẻ mật bí mật ( đơi tham chiếu tới chìa khóa- dùng chung) mà khơng biết bên thứ ba Người gửi tính tốn hash nội dung thông điệp nối vào giá trị hash với thơng điệp Bên phía nhận thơng điệp, người nhận 56 Bảo mật VoIP tính tốn hash thơng điệp với mật dùng chung Sau so sánh hash tính tốn với giá trị hash mà bổ sung vào thông điệp Nếu chúng phù hợp, tồn vẹn thơng điệp bảo đảm tính xác thực người gửi Bạn sử dụng mật dùng chung để mã hóa nội dung thơng điệp truyền liệu mã hóa tới người nhận Trong trường hợp này, yêu cầu riêng tư đề cập không bên thứ ba đánh liệu vận chuyển nhìn nội dung thơng báo văn gốc Người nhận chạy giải thuật giải mã (sự mở khóa) với mật dùng chung đầu vào tạo lại thơng báo văn gốc Một hệ thống mà có nhiều nguồn liệu gặp phải yêu cầu xác thực việc bảo đảm người gửi sử dụng chìa khóa cho liệu gửi Trong cách tiếp cận chìa khóa- dùng chung, người quản trị phải có chuẩn bị mật bí mật dùng chung Trong hệ thống mà có nhiều cặp người gửi/ nhận, việc đương đầu với chuẩn bị cao Ngồi ra, chìa khóa- dùng chung thỏa hiệp ( stolen/ lost), Mọi thiết bị sử dụng chìa khóa dùng chung cần chuẩn bị với chìa khóa dùng chung 3.4.7 Public-Key Cryptography (Mật mã chìa khố-cơng cộng): Để làm giảm bớt đau đầu cho người quản trị với cách tiếp cận chìa khóa- dùng chung, bạn sử dụng mật mã chìa khóa- cơng cộng Những khái niệm mật mã chìa khóa chung chìa khóa chữ ký số hóa khơng cân đối, mơ tả mục sau đây: Những chìa khóa khơng cân đối: Những cặp chìa khóa khơng cân đối cặp chìa khóa (thơng thường độ dài cố định) tham chiếu tới chìa khóa cơng cộng chìa khóa riêng tư mà có liên quan tốn học đến lẫn Chúng thông thường đại diện hệ mười sáu có đặc trưng sau đây: - Chỉ có chìa khố cơng cộng tương ứng giải mã giữ liệu mà mã hoá với chìa khố riêng tư - Chỉ có cặp chìa khố riêng tư tương ứng giải mã liệu mà mã hố với chìa khố cơng cộng 57 Bảo mật VoIP - Có mối quan hệ một-một chìa khố - Chìa khố riêng tư giữ bí mật, cịn chìa khố cơng cộng chia sẻ với người Đối với chứng thực, người gửi sử dụng chìa khóa riêng tư riêng để mã hóa thơng điệp Thơng điệp giải mã với chìa khóa cơng cộng tương ứng Người nhận giải mã thơng điệp miễn có truy nhập tới chìa khóa cơng cộng người gửi Vì có người gửi biết chìa khóa riêng tư nên buộc phải mã hóa thơng điệp Đối với truyền thơng an tồn, người gửi mã hóa nội dung thơng báo cách sử dụng kỹ thuật mật mã chìa khóa- cơng cộng Anh ta làm điều cách sử dụng chìa khóa cơng cộng người nhận Người nhận sau giải mã thơng điệp với chìa khóa riêng tư tương ứng Bởi người nhận dự định có chìa khóa riêng tư nên giải mã hơng điệp Khơng có bên thứ ba khác giải mã thơng báo này, khơng khác biết chìa khóa riêng tư người nhận Chú ý người gửi phải sử dụng chìa khóa riêng tư để mã hóa thơng điệp cho mục đích chứng thực, mà người nhận phải sử dụng chìa khóa cơng cộng để mã hóa thơng điệp cho truyền thơng an tồn Trong giới thực, pha chứng thực đến Sau người gửi người nhận xác nhận lẫn họ chuyển tới pha truyền thơng an tồn Sự mã hóa sử dụng chìa khóa khơng cân đối tiến trình cường độ cao CPU Bởi vậy, mà bao gồm nhiều liệu, người quản lý nói chung sử dụng mật mã chìa khóa cơng cộng để đàm phán bí mật dùng chung phiên họp Họ dùng ký số chìa khóa cân đối cách sử dụng bí mật dùng chung cho phần lại phiên họp 3.4.8 IDS (Intrusion Detection) IDS hệ thống giám sát tất lưu lượng mạng IDS thiết bị thụ động, lưu lượng khơng qua nó, mà lấy tất gói mạng để phân tích Nếu có lưu lượng khơng bình thường thân phát cảnh báo cho người quản trị mạng biết 58 Bảo mật VoIP Hình 3- 9: Vị trí IDS hệ thống Hoạt động IDS: - IDS theo dõi tất trạng thái bình thường hệ thống phát công bất thường vào hệ thống Kiến trúc gồm Call State Fact Base, chứa trạng thái điều khiển biến trạng thái, cho phép theo dõi tiến trình gọi Thơng tin trạng thái cập nhật từ Event Distributor Attack Scenarino chứa kiểu công biết - IDS quản lý thay đổi trạng thái gói phân tích chức Call basis Tất gói gọi phân thành nhóm, lại chia thành nhóm nhỏ dựa loại giao thức, đưa vào máy phân tích khác nhau, máy đồng tham số chung kiện nội Event Destributor phân loại gói nhận cho Attack Scenarino Các gói từ Event Destributor thơng tin trạng thái từ Attack Scenarino/ Call State Fact Base đưa đến Analysis Engine Khi có bất thường giao thức hay trùng với kiểu công biết trước IDS bật cờ cảnh báo cho người quản trị phân tích thêm 59 Bảo mật VoIP Hình 3- 10: Cấu trúc bên thiết bị IDS 3.5 Bảo vệ thiết bị VoIP Để có tính sẵn sàng thiết bị VoIP, bạn cần phải bảo vệ thiết bị mà lưu lượng âm nguồn hay thiết bị đầu cuối thiết bị phải có khả chống lại cơng, mô tả chi tiết phần đây: Vơ hiệu hố cổng dịch vụ khơng thường sử dụng: Điển hình cổng dịch vụ không thường sử dụng mà mở thiết bị thoại làm cho chúng cơng kích tới khai thác hacker Luyện tập khuyến cáo vơ hiệu hố cổng thiết bị VoIP thiết bị hạ tầng IP (ví dụ switch, routers,…) sau vài điều mà bạn nên làm: Vơ hiệu hố Telnet,TFTP, thiết bị tương tự chúng không sử dụng Nếu bạn sử dụng quản lý mạng đơn giản (SNMP) thiết bị để thu nhặt liệu, nên đặt SNMP chế độ đọc (read-only) Nếu bạn sử dụng quản trị mạng, ln ln sử dụng truy nhập an toàn với giao thức SSL 60 Bảo mật VoIP Vơ hiệu hố cửa không thường sử dụng Layer switches + Sử dụng hệ thống bảo vệ xâm nhập dựa vào Host (HIPS): Bạn sử dụng HIPS để bảo mật cho thiết bị thoại nhân tố xử lý gọi HIPS phần mềm điển hình mà tập hợp thơng tin cách dùng đa dạng rộng rãi tài nguyên thiết bị CPU, login attemp, số lượng ngắn,…Thông tin so sánh chống lại tập hợp quy tắc để xác định phải xâm phạm bảo mật xảy Bằng việc phụ thuộc vào cách định hình tham số, hệ thống lấy hoạt động phịng ngừa, ví dụ kết thúc ứng dụng offending, nhịp độ liệu giới hạn từ người sử dụng địa IP… 61 Bảo mật VoIP THUẬT NGỮ VIẾT TẮT Kí hiệu viết tắt Viết đầy đủ Ý nghĩa ADPM Adaptive Differential Pulse Điều chế xung mã vi sai thích nghi Code Modulation CPU Central Processing Unit Đơn vị xử lý trung tâm DNS Domain Name System Hệ thống phân giải tên miền DSP Digita Signalling Proccessor Bộ xử lý tín hiệu số GSM HTTP IETF IP Global System for Mobie Hệ thống toàn cấu cho điện thoại di động Hypertext Tranfer Protocol Giao thức chuyển siêu văn Tổ chức viễn thông quốc tế Lực lượng chuyên phụ trách kỹ thuật kết nối mạng Internet Engineering Task Force Giao thức Internet Internet Protocol IPv4 IP version Giao thức Internet phiên IPv6 IP version Giao thức Internet phiên ISDN Integrated Service Digital Network ISUP Mạng dịch vụ tích hợp số Phần người dùng ISDN ISDN User Part ITU-T International Hiệp hội viễn thông quốc tế - Tổ Telecommunication Union chức chuẩn hóa kỹ thuật viễn Telecommunication thông Standardization Sector IUA ISDN User Adapter Bộ chuyển đổi người dùng ISDN LAN Local Area Network Mạng vùng cục LLC Logic Link Control Điều khiển liên kết logic MAC Media Access Control Điều khiển truy nhập môi trường MC Multipoint Controller Bộ phận điều khiển đa điểm MCU Multipoint Control Unit MGCP Media Gateway Đơn vị điều khiển đa điểm Giao thức điều khiển Media Getway 62 Bảo mật VoIP Control Protocol MIPS Millions of Instruction per second Đơn vị thời gian (triệu/giây) MP Multipoint Processor Bộ xử lý đa điểm MTP Message Tranfer Part Phần truyền tin M2UA MTP2 User Adapter Bộ chuyển đổi người dùng MTP2 M2PA MTP L2 Peer-to-Peer Adapter Bộ chuyển đổi tin lớp ngang hàng Bộ chuyển đổi người dùng MTP3 M3UA MTP3 User Adapter OSI Open System Interference Mơ hình tham chiếu mạng PAM Pulse Amplitude Modulation Điều biên dạng xung PBX Private Branche Xchange Tổng đài chi nhánh riêng PC Personnal Computer Máy tính cá nhân PCM Pulse-Code Modulation Bộ mã hóa mã xung PSTN Public Switch Telephone Network Mạng điện thoại công cộng QoS Chất lượng dịch vụ Quality of Service RAS Register Admission Status Báo hiệu đăng kí, cấp phép, thơng tin trạng thái RSVP Reservation Protocol Giao thức định trước nguồn tài nguyên RTP Real-Time Transport Protocol Giao thức truyền thời gian thực RTCP Real-Time Transport Control Giao thức điều khiển truyền thời gian Protocol thực SAP Session Announcement Protocol Giao thức thông báo phiên SCN Switching Network Mạng chuyển mạch kênh SCP Signal Control Point Điểm điều khiển báo hiệu SCCP Signaling Connection Control Part Phần điều khiển kết nối báo hiệu SCTP Stream Control Giao thức truyền điều khiển luồng 63 Bảo mật VoIP Transmission Protocol SDP Session Description Protocol Giao thức mô tả phiên SIP Session Initiation Protocol Giao thức thiết lập phiên SS7 Signaling System No.7 Hệ thống báo hiệu số SSP Switch Service Point Điểm dịch vụ chuyển mạch Sigtran Signalling Transport Giao thức truyền báo hiệu SS7 mạng IP STP Signal Tranfer Point Điểm truyền báo hiệu SUA SCCP User Adapter Bộ chuyển đổi người dùng SCCP TCAP Transaction Phần ứng dụng cung cấp giao dịch Capabilities Application Part TCP Transmission Control Giao thức điều khiển truyền thông tin Protocol TUP Telephone User Part Phần người dùng điện thoại UA User Agent Đại diện người sử dụng UAC User Agent Client Đại diện người sử dụng khách hàng UAS User Agent Server Đại diện người sử dụng máy chủ UDP User Datagram Protocol Giao thức Datagram người dùng VoIP Voice over Internet Protocol Công nghệ truyền thoại mạng IP VPN Virtual Private Network WAN Mạng riêng ảo Mạng băng rộng Wide Area Network 64 ... trước tài nguyên Resource Reservation Protocol (RSVP) cho VoIP 40 Bảo mật VoIP Chương 3: BẢO MẬT TRONG VoIP 3.1 Vấn đề bảo mật VoIP Chính VoIP dựa kết nối internet nên có điểm yếu mối đe doạ vấn... thiện QoS Hệ thống VoIP bị ảnh hưởng thiếu bảo mật dịch vụ khác mạng liệu 49 Bảo mật VoIP Hình 3- 2: VLAN phân theo chức VLAN góp phần bảo mật hệ thống VoIP Lưu lượng VLAN đảm bảo (trừ sử dụng... khơng quản lý tốt Các rủi ro việc mã hố lưu lượng VoIP giới hạn thực thi mật mã Sử dụng việc mật mã hoá media, đàm thoại hai đầu cuối IP phải sử dụng dạng mật mã hố Trong mơi trường bảo mật cao tổ