ĐẠI HỌC THÁI NGUYÊN ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Trịnh Việt Hùng NGHIÊN CỨU GIẢI PHÁP BẢO MẬT CHO THOẠI INTERNET VOIP Chuyên ngành: Khoa học máy tính Mã số: 60 48 01 LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH CNTT Thái Nguyên – 2011 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn I LỜI CẢM ƠN! Trước hết em xin gửi tới thầy giáo TS Phạm Thanh Giang – Viện Khoa học công nghệ, lời cảm ơn chân thành sâu sắc trực tiếp hướng dẫn, bảo tận tình suốt trình em làm luận văn Em xin chân thành cảm ơn thầy cô giáo Viện Khoa học công nghệ, Trường Đại học Thái Nguyên, Khoa đào tạo sau đại học – Trường Đại học công nghệ Thông tin truyền thông Thái Nguyên hết lòng dạy bảo, giúp đỡ em năm học học tập nghiên cứu, giúp em có kiến thức kinh nghiệm quý báu chun mơn sống Những hành trang tài sản vô giá nâng bước cho em tới với thành công tương lai Cuối cùng, em xin cảm ơn người thân gia đình bạn bè giúp đỡ, tạo điều kiện tốt để em hoàn thành luận văn Thái Nguyên, tháng 10 năm 2011 Học viên Trịnh Việt Hùng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn II MỤC LỤC Trang LỜI CẢM ƠN! I MỤC LỤC II DANH MỤC CÁC TỪ VIẾT TẮT IV DANH MỤC CÁC BẢNG VI MỞ ĐẦU: TỔNG QUAN VỀ VOIP CHƢƠNG CÔNG NGHỆ VOIP 1.1 Khái niệm VoIP 1.2 Lợi ích hạn chế VoIP 1.2.1 Lợi ích VoIP 1.2.2 Hạn chế VoIP 1.3 Các thành phần hệ thống VoIP 1.4 Các giao thức VoIP 1.4.1 Giao thức H.323 1.4.1.1 Báo hiệu RAS 1.4.1.2 Báo hiệu điểu khiển gọi H.225 11 1.4.1.3 Giao thức H.245 12 1.4.2 Giao thức Session Initiation Protocol (SIP) 13 1.4.2.1 Các thành phần mạng SIP 14 1.4.2.2 Mối liên hệ thành phần mạng SIP 15 1.4.2.3 Các phương thức SIP 17 1.4.2.4 Các bước đăng ký thực gọi SIP 18 1.4.2.5 Bảo mật SIP 19 CHƢƠNG BẢO MẬT THÔNG TIN TRONG VOIP 22 2.1 Các vấn đề bảo mật thông tin VoIP 22 2.1.1 Tấn công từ chối dịch vụ (DoS) 22 2.1.2 Quấy rối (Annoyance SPIT) 24 2.1.3 Truy nhập trái phép (Unauthorized Access) 24 2.1.4 Nghe trộm (Eavesdropping) 24 2.1.5 Giả mạo (Masquerading) 25 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn III 2.1.6 Gian lận (Fraud) 25 2.2 Các giải pháp bảo mật VoIP 25 2.2.1 Nhu cầu bảo mật 25 2.2.2 Bảo vệ tín hiệu 26 2.2.2.1 Bảo vệ tín hiệu qua SIP 26 2.2.2.2 Bảo vệ tín hiệu TLS/SSL 34 2.2.3 Bảo vệ liệu thoại 38 2.2.3.1 Giao thức SRTP (Secure Real-time Transport Protocol) 38 2.2.3.2 Giao thức bảo vệ liệu IPSec 42 CHƢƠNG CÀI ĐẶT, XÂY DỰNG MƠ HÌNH BẢO MẬT CHO HỆ THỐNG VOIP 48 3.1.Phần mềm open source Asterisk 48 3.1.1 Lịch sử đời Asterisk 48 3.1.2 Ứng dụng uyển chuyển Asterisk 49 3.1.3 Các thành phần Asterisk 50 3.1.3.1 Cấu trúc Asterisk 50 3.1.3.2 Tính Asterisk 51 3.1.3.3 Các giao thức VoIP Asterisk hỗ trợ 54 3.1.3.4 Các định dạng file 55 3.1.4 Cách thức cài đặt Asterisk 57 3.1.5 Giải pháp bảo mật Asterisk 58 3.2 Xây dựng mơ hình thử nghiệm 60 3.2.1 Mô hình Asterisk server nhiều Client 60 3.2.2.Mơ hình nhiều Server nhiều Client 62 3.2.2.1 Cấu hình Asterisk Server cho SIP Client 62 3.2.2.2 Cấu hình Softphone 63 3.2.2.3 Cấu hình SPA3102 64 3.2.2.4 Cấu hình giao tiếp Asterisk Server : 64 KẾT LUẬN VÀ DỰ KIẾN KẾ HOẠCH 66 TÀI LIỆU THAM KHẢO 67 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn IV DANH MỤC CÁC TỪ VIẾT TẮT Kí hiệu Viết đầy đủ viết tắt ATM HIPS Asynchronous Transfer Mode Host intrusion protection software Ý nghĩa Chế độ truyền không đồng Phần mềm bảo vệ Host Internet Key Exchange Trao đổi khóa Internet Protocol Giao thức Internet IPv4 IP version Giao thức Internet phiên IPv6 IP version Giao thức Internet phiên IKE IP ISDN ISUP Integrated Services Digital Network ISDN User Part Mạng tích hợp dịch vụ số Phần người dùng ISDN International ITU-T Telecommunication Union- Hiệp hội viễn thông quốc tế - Bộ Telecommunicatio phận chuẩn viễn thông Standardization Sector IUA ISDN User Adapter Bộ chuyển đổi người dùng ISDN Bộ chuyển đổi tin lớp M2PA MTP L2 Peer-to-Peer Adapter M2UA MTP2 User Adapter Bộ chuyển đổi người dùng MTP2 M3UA MTP3 User Adapter Bộ chuyển đổi người dùng MTP3 MTP Message Tranfer Part Phần truyền tin Personal computer Máy tính cá nhân Pulse-Code Modulation Bộ mã hóa mã xung PC PCM PSTN QoS Public Switch Telephone Network Quality of Service Số hóa Trung tâm Học liệu – Đại học Thái Nguyên ngang hàng Mạng điện thoại công cộng Chất lượng dịch vụ http://www.lrc-tnu.edu.vn V Báo hiệu đăng kí, cấp phép, thông RAS Register Admission Status RTCP Real Time Control Protocol Giao thức điều khiển thời gian thực RTP Real Time Protocol Giap thức thời gian thực RTP Real Time Protocol Giao thức thời gian thực SAP Session Announcement Protocol Giao thức thông báo phiên SCCP SCP SCTP Signaling Connection Control Part Signal Control Point Stream Control Transmission Protocol tin trạng thái Phần điều khiển kết nối báo hiệu Điểm điều khiển báo hiệu Giao thức truyền điều khiển luồng SDP Session Description Protocol Giao thức mô tả phiên SIP Session Initiation Protocol Giao thức thiết lập phiên SNMP Simple Network Management Protocol Giao thức quản trị mạng đơn giản SS7 Signaling System No.7 Hệ thống báo hiệu số SSP Switch Service Point Điểm dịch vụ chuyển mạch STP Signal Tranfer Point Điểm truyền báo hiệu SUA SCCP User Adapter Bộ chuyển đổi người dùng SCCP TCAP Transaction Capabilities Application Part Phần ứng dụng cung cấp giao dịch TCP Transmission Control Protocol Giao thức điều khiển truyền thông tin ToS Type of Service Kiểu dịch vụ TUP Telephone User Part Phần người dùng điện thoại UDP User Datagram Protocol Giao thức Datagram người dùng VoIP Voice over IP Công nghệ truyền thoại mạng IP Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn VI DANH MỤC CÁC BẢNG Trang Hình 1.1 - Các thành phần hệ thống VoIP Hình 1.2 - Giao thức báo hiệu H.323 Hình 1.3 - Q.931 thiết lập gọi 12 Hình 1.4 - Cấu trúc luồng media đầu cuối 13 Hình 1.5 - Chức Proxy, Redirect Server mạng SIP 16 Hình 1.6 - Chức Location, Registrar Server mạng SIP 17 Hình 1.7 - Đăng ký gọi .18 Hình 1.8 - Thực gọi 18 Hình 2.1- Cách thức cơng từ DoS .23 Hình 2.2 - Các thành phần hệ thống VoIP 23 Hình 2.3 - Cài đặt phân tách gọi SIP 27 Hình 2.4 - Yêu cầu REGISTER (đăng ký) 28 Hình 2.5 - Yêu cầu REGISTER bị chỉnh sửa Hacker 29 Hình 2.6 - Lừa đảo đăng ký SIP sử dụng sinh tin nhắn SiVuS 30 Hình 2.7 - Tổng quan cơng chiếm quyền đăng ký 31 Hình 2.8 - Các bước gói dịng phương tiện truyền thơng VoiIP, sử dụng Ethereal 32 Hình 2.9 - Kiểu cơng lừa đảo ARP .33 Hình 2.10 - Cấu trúc giao thức SSL .34 Hình 2.11 – Giao thức SSL TLS 37 Hình 2.12 - Phần cố định đơn vị liệu RTP 39 Hình 2.15 – Mơ hình bảo vệ gói liệu .44 Hình 2.16 – Mơ hình ESP 44 Hình 2.17 – Mơ hình chứng thực AH .45 Hình 2.18 - Trao đổi khóa Internet (IKE) 46 Hình 2.19 - Mơ hình truyền liệu 47 Hình 2.20- Mơ hình Virtual Private Network 47 Hình 3.1 - Mơ hình hệ thống Asterisk 48 Hình 3.2 - Cấu trúc Asterisk .50 Hình 3.3 – Mơ hình chức Asterisk 52 Hình 3.4 – Danh sách file định dạng hỗ trợ Asterisk 55 Hình 3.5 - Màn hình Asterisk .58 Hình 3.6 Mơ hình Server Asterisk .60 Hình 3.7 – Giao diện Asterisk tổng đài PBX .60 Hình 3.8 - Giao diện phần mềm X-Lite 61 Hình 3.9 - Màn hình đăng ký Sip Account .61 Hình 3.10 - Phần mềm X-Lite đăng ký tên Sip server .61 Hình 3.11 - Giao diện thực gọi 62 Hình 3.12 - Mơ hình thử nghiệm hệ thống gọi điện thoại nhiều Server 62 Hình 3.13 – Đăng ký SIP cho Sofphone 63 Hình 3.14 – Đăng ký SIP cho Sofphone 64 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn MỞ ĐẦU: TỔNG QUAN VỀ VOIP Đầu năm 1995 công ty VOCALTEC đưa thị trường sản phẩm phần mềm thực thoại qua Internet giới Sau có nhiều cơng ty tham gia vào lĩnh vực Tháng năm 1996, VOLCALTEC kết hợp với DIALOGIC tung thị trường sản phẩm kết nối mạng PSTN Internet Hiệp hội nhà sản xuất thoại qua mạng máy tính sớm đời thực chuẩn hoá dịch vụ thoại qua mạng Internet Việc truyền thoại qua Internet gây ý lớn năm qua dần ứng dụng rộng rãi thực tế Có thể định nghĩa: Voice over Internet Protocol (VoIP) công nghệ cho phép truyền thoại sử dụng giao thức mạng IP, sở hạ tầng sẵn có mạng Internet VoIP công nghệ viễn thông quan tâm không nhà khai thác, nhà sản xuất mà với người sử dụng dịch vụ VoIP vừa thực gọi thoại mạng điện thoại kênh truyền thống (PSTN) đồng thời truyền liệu sở mạng truyền liệu Như vậy, VoIP tận dụng sức mạnh phát triển vượt bậc mạng IP vốn sử dụng để truyền liệu thơng thường Để hiểu ưu điểm VoIP mang lại, trước hết vào nghiên cứu khác biệt mạng kênh PSTN có với mạng chuyển mạch gói nói chung mạng VoIP nói riêng Kỹ thuật chuyển mạch kênh (Circuit Switching): Một đặc trưng bật kỹ thuật hai trạm muốn trao đổi thông tin với chúng thiết lập “kênh” (circuit) cố định, kênh kết nối trì dành riêng cho hai trạm truyền tin kết thúc Thông tin gọi suốt trình thiết lập gọi tiến hành gồm giai đoạn:  Giai đoạn thiết lập kết nối: Thực chất trình liên kết tuyến trạm mạng thành tuyến (kênh) dành riêng cho gọi Kênh PSTN 64kb/s (do mã hóa PCM có tốc độ lấy mẫu tiếng nói 8kb/s mã hóa bit) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn  Giai đoạn truyền tin: Thông tin gọi suốt Sự suốt thể qua hai yếu tố: thông tin không bị thay đổi truyền qua mạng độ trễ nhỏ  Giai đoạn giải phóng (huỷ bỏ) kết nối: Sau gọi kết thúc, kênh giải phóng để phục vụ cho gọi khác Qua đó, ta nhận thấy mạng chuyển mạch kênh có ưu điểm bật chất lượng đường truyền tốt, ổn định, có độ trễ nhỏ Các thiết bị mạng chuyển mạch kênh đơn giản, có tính ổn định cao, chống nhiễu tốt Nhưng ta không nhắc tới hạn chế phương thức truyền liệu như:  Sử dụng băng thông không hiệu quả: Tính khơng hiệu thể qua hai yếu tố Thứ nhất, độ rộng băng thông cố định 64k/s Thứ hai kênh dành riêng cho gọi định Như vậy, tín hiệu thoại “lặng” (khơng có liệu) kênh khơng chia sẻ cho gọi khác  Tính an tồn: Do tín hiệu thoại gửi ngun đường truyền nên dễ bị nghe trộm Ngoài ra, đường dây th bao hồn tồn bị lợi dụng để ăn trộm cước viễn thông  Khả mở rộng mạng kênh kém: Thứ sở hạ tầng khó nâng cấp tương thích với thiết bị cũ Thứ hai, hạn chế hệ thống báo hiệu vốn sử dụng từ trước khơng có khả tùy biến cao Kỹ thuật chuyển mạch gói (Packet Switching): Trong chuyển mạch gói tin chia thành gói tin (packet), có khn dạng quy định trước Trong gói có chứa thơng tin điều khiển: địa trạm nguồn, địa trạm đích số thứ tự gói tin, … Các thơng tin điều khiển tối thiểu, chứa thông tin mà mạng yêu cầu để định tuyến cho gói tin qua mạng đưa tới đích Tại node tuyến gói tin nhận, nhớ sau chuyển tiếp trạm đích Vì kỹ thuật chuyển mạch gói q trình truyền tin định tuyến động để truyền tin Điều khó khăn chuyển mạch gói việc tập hợp gói tin để tạo tin ban đầu đặc biệt mà gói tin truyền theo nhiều đường khác tới trạm Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn đích Chính lý mà gói tin cần phải đánh dấu số thứ tự, điều có tác dụng, chống lặp, sửa sai truyền lại hiên tượng gói xảy Các ưu điểm chuyển mạch gói:  Mềm dẻo hiệu suất truyền tin cao: Hiệu suất sử dụng đường truyền cao chuyển mạch gói khơng có khái niệm kênh cố định dành riêng, đường truyền node trạm chia sẻ cho để truyền tin, gói tin sếp hàng truyền theo tốc độ nhanh đường truyền  Khả truyền ưu tiên: Chuyển mạch gói cịn thứ tự cho gói để truyền theo mức độ ưu tiên Trong chuyển mạch gói số gọi bị từ chối phải chấp nhận nhược điểm thời gian trễ tăng lên  Khả cung cấp nhiều dịch vụ thoại phi thoại  Thích nghi tốt có lỗi xảy ra: Đặc tính có nhờ khả định tuyến động mạng Bên cạnh ưu điểm mạng chuyển mạch gói bộc lộ nhược điểm như:  Trễ đường truyền lớn: Do qua trạm, liệu lưu trữ, xử lý trước truyền  Độ tin cậy mạng gói không cao, dễ xảy tắc nghẽn, lỗi tin  Tính đa đường gây lặp tin, loop làm tăng lưu lượng mạng không cần thiết  Tính bảo mật đường truyền chung không cao Bên cạnh ưu điểm mà mạng chuyển mạch gói đem lại hạn chế chuyển mạch gói lớn Vậy cơng nghệ VoIP có bật có khắc phục hạn chế mà mạng chuyển mạch gói mang lại hay khơng? Chúng ta tìm hiểu cơng nghệ VoIP Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 53 Voicemail cung cấp cho người sử dụng nhiều tính lựa chọn : password xác nhận truy cập vào hộp thư thoại, gửi mail báo có thông điệp + Call Forwarding (chuyển gọi) Khi không nhà công tác mà người sử dụng không muốn bỏ lỡ tất gọi đến nghĩ đến tính chuyển gọi Đây tính thường sử dụng hệ thống Asterisk Chức cho phép chuyển gọi đến hay nhiều số máy điện thoại định trước Một số trường hợp cần chuyển gọi như: Chuyển gọi bận, chuyển gọi không trả lời, chuyển gọi tức thời, chuyển gọi với thời gian định trước + Caller ID (hiển thị số gọi) Chức hữu dụng gọi đến ta muốn biết xác gọi từ đâu số trường hợp biết họ Ngoài Caller ID chức cho phép xác nhận số thuê bao gọi đến có nghĩa dựa vào caller ID có tiếp nhận hay khơng tiếp nhận gọi từ phía hệ thống Asterisk Ngăn số gọi ý muốn + Automated attendant (chức IVR) Chức tương tác thoại có nhiều ứng dụng thực tế, gọi điện thoại đến quan hay xí nghiệp thuê bao thường nghe thông điệp “Xin chào mừng bạn gọi đến cơng ty chúng tơi Hãy nhấn phím để gặp phịng kinh doanh, phím gặp phịng kỹ thuật…” sau tuỳ vào tương tác thuê bao gọi đến, hệ thống Asteisk định hướng gọi theo mong muốn Khi muốn xem điểm thi, muốn biết tiền cước điện thoại thuê bao, muốn biết tỉ giá Đôla nào, hay kết sổ số… tất mong muốn thực qua chức tương tác thoại + Time and Date Vào thời gian cụ thể gọi định hướng đến số điện thoại hay chức cụ thể khác, ví dụ cơng ty giám đốc muốn cho phép nhân Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 54 viên sử dụng máy điện thoại hành cịn ngồi hạn chế hay khơng cho phép gọi bên + Call Parking Đây chức chuyển gọi có quản lý Có số điện thoại trung gian hai thuê bao gặp thuê bao gọi nhấn vào số điện thoại mà thuê bao chủ gọi chờ từ gặp đàm thoại + Remote call pickup Đây tính cho phép từ máy điện thoại nhận gọi từ máy điện thoại khác rung chuông + Privacy Manager Khi người chủ doanh nghiệp triển khai Asterisk cho hệ thống điện thoại cơng ty lại khơng muốn nhân viên cơng ty gọi ngồi trị chuyện với bạn bè, Asterisk cung cấp tính tiện dụng cho phép số điện thoại lập trình phép gọi đến số máy cố định thơi, cịn số khơng có danh sách định sẵn không thực gọi + Blacklist (Danh sách hộp đen) Blacklist giống Privacy Manager (Quản lý bảo mật) có khác biệt máy điện thoại nằm danh sách khơng gọi đến máy (sử dụng tình trạng hay bị quấy rối điện thoại) 3.1.3.3 Các giao thức VoIP Asterisk hỗ trợ Asterisk hỗ trợ hai giao thức chuẩn giao thức dành riêng cho Asterisk + Inter-Asterisk Exchange (IAX) IAX giao thức chuẩn dành riêng cho Asterisk Nó cung cấp hoạt động liên kết suốt với tường lửa NAT PAT Nó hỗ trợ việc thiết lập, nhận, chuyển gọi đăng ký gọi Với IAX, điện thoại hoàn toàn động Chỉ cần kết nối điện thoại với Asterisk server đâu mạng Internet, chúng đăng ký với PBX chủ định tuyến gọi tức IAX có đoạn mào đầu nhỏ Với bốn byte mào đầu, so sánh với 12 byte mào đầu SIP hay H.323, tin IAX nói nhỏ nhiều Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 55 IAX hỗ trợ xác thực gọi đến Asterisk cung cấp năm phương thức điều khiển truy nhập Ta giới hạn truy cập vào phần dial plan + Session Initiation Protocol (SIP) SIP chuẩn IETF dành cho VoIP Giao thức mô tả chi tiết phần Cấu trúc điều khiển SIP bao gồm SMTP, HTTP, FTP chuẩn khác IETF SIP chạy TCP/IP điều khiển phiên RTP (Real Time Protocol) RTP truyền liệu với phiên VoIP SIP chuẩn thiết yếu VoIP tính đơn giản so sánh với giao thức khác H.323 Giao thức SIP Asterisk hỗ trợ tốt việc giao tiếp thiết bị nhà cung cấp khác nhau, có SNOM Cisco + H.323 H.323 chuẩn ITU dành cho VoIP Trong H.323 sử dụng Asterisk ngày ngày sử dụng Nó dần thay chuẩn đại SIP IAX 3.1.3.4 Các định dạng file Asterisk sử dụng nhiều file khác để lưu trữ liệu âm bao gồm voicemail music on hold Asterisk hỗ trợ nhiều định dạng file file âm khác Các định dạng hỗ trợ bao gồm: Định dạng Mô tả raw Dữ liệu 16bit tuyến tính vox Dữ liệu bit IMA - ADPCM wav File âm tuyến tính 16 bit 8KHz WAV File âm nén GMS 8KHz gsm Dữ liệu nén GMS G723 Định dạng g723 đơn giản với nhãn thời gian Hình 3.4 – Danh sách file định dạng hỗ trợ Asterisk + Dialplan Asterisk: Dialplan trái tim hệ thống asterisk Dialplan cho biết gọi xử lý qua hệ thống asterisk Dialplan bao gồm tập hợp dòng lệnh hay ứng dụng theo trình tự mà hệ thống phải thực để đáp ứng nhu cầu chuyển mạch gọi Để hiểu rõ cấu hình thành cơng hệ thống asterisk điều kiện tiên phải biết dialplan hoạt động Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 56 Dialplan công việc thiết lập cho hoạt động hệ thống định hướng gọi vào hệ thống, danh sách bước hay lệnh liên tục để thực tác vụ mà hệ thống phải thực theo Khác biệt với hệ thống điện thoại truyền thống tất cơng việc cấu hình hệ thống từ phía người sử dụng Hệ thống có hồn chỉnh tốt hay khơng phụ thuộc nhiều vào việc hiểu rõ vào dialplan hay không? Dialplan cấu hình qua tập tin extension.conf, liên quan đến việc cấu hình dialplan có khái niệm cần nắm là: + Extentions: Điện thoại nội + Priorities: Thứ tự thực + Applications: Các ứng dụng + Contexts: Các ngữ cảnh Dialplan tập gồm nhiều extention, gọi tương ứng với extention ứng dụng cho gọi thực extention đơn giản với đích danh cụ thể “101, softphone1” chuỗi so mẫu thực “9xxx.” Ví dụ: exten=>101,1,dial(sip/softphone1,20) exten=>101,2,hangup() “exten=>” giống cho dòng thực dialplan, 101 số điện thoại mà thuê bao quay hay gọi số nội (extention), số priorites tức thứ tự thực lệnh Khi thuê bao quay số 101 đổ chng máy điện thoại ip sip softphone1 vịng 20 giây mà th bao khơng nhấc máy kết thúc gọi Extension thành phần mà asterisk thực theo, kích hoạt có gọi vào extension số mà thuê bao cần gọi Trong ngữ cảnh có nhiều extension Extenstion hạt nhân để hệ thống xác định gọi cần thực Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 57 3.1.4 Cách thức cài đặt Asterisk - Download gói phần mềm: + Asterisk : Gói phần mềm tổng đài + Lipri: Thư viện libpri cung cấp driver cho card giao tiếp trung kế PRI số phần cứng khác Ngay Asterisk không giao tiếp với card PRI nên cài đặt gói số module Asterisk yêu cầu thư viện + Zaptel: Gói zaptel chứa driver cho phần cứng kết giao tiếp với asterisk Digium phân phối, số thư viện cho việc có thực giao tiếp với phần cứng + Asterisk Addons: Là gói phần mềm bao gồm MySQL hỗ trợ cho hồ sơ chi tiết gọi, ứng dụng thẻ gọi Asterisk - Giải nén chúng vào thư mục /usr/src : tar -vxzf asterisk-1.4.12.tar.gz tar -vxzf libpri-1.4.7.tar.gz tar -vxzf zaptel-1.4.7.tar.gz tar -vxzf asterisk-addons-1.4.2.tar.gz - Kiểm tra thư viện cần thiết cho việc cài đặt : Các thư viện bao gồm : bison, bison-devel, ncurses, ncurses-devel, zlib, zlib-devel, openssl, openssl-devel, gnutls-devel, gcc, gcc-c++ Kiểm tra cách dùng lệnh : rpm –q tên_thư_viện Nếu thư viện chưa cài đặt , dùng lệnh : yum install tên_thư_viện để cài đặt - Cài đặt gói Lipri : cd /usr/src/libpri-1.4.7 make make install - Cài đặt gói Zaptel cd /usr/src/zaptel-1.4.7 make make install Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 58 - Cài đặt gói Asterisk cd /usr/src/asterisk-1.4.12 /configure make make install - Cài đặt gói Asterisk Addon : cd /usr/src/asterisk-addons-1.4.2 make make install Khi cài đặt thành công Asterisk hình Linux là: Hình 3.5 - Màn hình Asterisk 3.1.5 Giải pháp bảo mật Asterisk - Chỉ cho phép số IP đăng ký "permit=" & "deny=" sip.conf - Đặt "alwaysauthreject=yes" sip.conf Sẽ chống việc dò extension brute force Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn 59 - Dùng password có độ an tồn cao (ít từ ký tự trở lên, kể số ký tự) cho SIP extension - Chỉ cho phép số IP vào AMI port "permit=" & "deny=" manager.conf - Giới hạn gọi đồng thời từ sip account - Không đăt SIP user trùng SIP password - Secure cho context: Tách riêng nhóm user thuộc context khác nhau, gán dialplan riêng cho context - Kiểm tra & tắt service không cần thiết + Kiểm tra: chkconfig list + Tắt service: service "name" stop + Service không tự start lúc khởi động: chkconfig "name" off + SSH + Chỉ cho số user vào qua SSH: AllowUsers "user" + Không cho SSH user root: PermitRootLogin no + Đổi port 22 mặc định: Port 2000 # /etc/ssh/sshd_config + Sau cấu hình xong, restart ssh: # service sshd restart - Dùng firewall: Cài iptables, APF (Advanced Policy Firewall), BFD(Brute Force Detection) - Secure cho http: Cài đặt mod authen cho apache # mod_auth_mysql # yum install mod_auth_mysql Xác thực user qua mysql password file Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 60 3.2 Xây dựng mô hình thử nghiệm 3.2.1 Mơ hình Asterisk server nhiều Client Hình 3.6 Mơ hình Server Asterisk Các bước cài đặt mơ sau: Bước 1: Cài đặt Asterisk tổng đài PBX Hình 3.7 – Giao diện Asterisk tổng đài PBX Bước 2: Cài đặt máy chủ Asterisk Server Vào thư mục \asterisk\etc Trong tệp tin Sip.conf Extension.conf sửa với nội dung sau: Sip.conf Extension.conf [thanh] [local1] Type = friend Exten=101, 1, Dial(SIP/thanh) Username = Exten=thanh, 1, Dial(SIP/thanh) Secret = 1234 Exten=102, 1, Dial(SIP/khanh) Host = dynamic Exten=khanh, 1, Dial(SIP/khanh) Context = local1 [khanh] Type = friend Username = khanh Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 61 Secret = 1234 Host = 192.168.1.104 Context = local1 Bước 3: Cài đặt phần mềm Softphone X-Lite đăng ký Sip Server Khi cài đặt xong phần mềm X-Lite giao diện phần mềm sau: Hình 3.8 - Giao diện phần mềm X-Lite Để đăng ký Sip Account vào mục Sip Account Settings nhập thơng tin Hình 3.9 - Màn hình đăng ký Sip Account Khi đăng ký Sip Account thành công giao diện phần mềm X-Lite Hình 3.10 - Phần mềm X-Lite đăng ký tên Sip server Bước 4: Thực gọi Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 62 Để thực gọi từ “thanh” đến “khanh” đăng ký Sip.conf Khi gọi cho thanh” ta cần gọi số 101, gọi cho “khanh” ta bấm số 102 Hình 3.11 - Giao diện thực gọi 3.2.2.Mơ hình nhiều Server nhiều Client Hình 3.12 - Mơ hình thử nghiệm hệ thống gọi điện thoại nhiều Server Các phần cứng sử dụng: - PC: + 2PC Asterisk Server cài đặt Asterisk + 2PC Client (Windows): Cài đặt Softphone (X-lite) - Switch - Analog phone - SPA 3102 3.2.2.1 Cấu hình Asterisk Server cho SIP Client Asterisk Server Sip.conf Asterisk Server Sip.conf Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 63 [thanh] Type=friend Username=thanh Secret=1234 Host=dynamic Context = local1 [khanh] Type=friend Username=khanh Secret=1234 Host=dynamic Context = local1 -[spa3102] Type=friend Secret=1234 Host=dynamic Context = local1 Extension.conf -[local1] Exten=101, 1, Dial(SIP/thanh) Exten=thanh, 1, Dial(SIP/thanh) Exten=102, 1, Dial(SIP/khanh) Exten=khanh, 1, Dial(SIP/khanh) Exten=103,1,Dial(SIP/spa3102) 3.2.2.2 Cấu hình Softphone [phuong] Type=friend Username=phuong Secret=1234 Host=dynamic Context = local2 [cuc] Type=friend Username=cuc Secret=1234 Host=dynamic Context = local2 Extension.conf -[local2] Exten=201, 1, Dial(SIP/phuong) Exten= phuong, 1, Dial(SIP/phuong) Exten=202, 1, Dial(SIP/cuc) Exten=cuc, 1, Dial(SIP/cuc) Softphone : Hình 3.13 – Đăng ký SIP cho Sofphone Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 64 Softphone : Hình 3.14 – Đăng ký SIP cho Sofphone 3.2.2.3 Cấu hình SPA3102 Thiết bị SPA3102 dùng để kết nối điện thoại tương tự thông thường vào mạng IP SPA3102 có cổng giao tiếp - Cổng Ethernet nối với máy tính, máy tính sử dụng để cấu hình thơng số cho SPA3102 hoạt động - Cổng Internet nối với mạng LAN chứa Asterisk PBX máy tính có cài softphone - Cổng Line nối với đường dây điện thoại thông thường - Cổng Phone nối với điện thoại tương tự 3.2.2.4 Cấu hình giao tiếp Asterisk Server : Server : iax.conf -[general] bindport = 4569 bindaddr = 0.0.0.0 [site2] type=friend secret=123 auth=plaintext host=192.168.3.2 context=local2 Extensions.conf : Server Iax.conf -[general] bindport = 4569 bindaddr = 0.0.0.0 [site1] type=friend secret=123 auth=plaintext host=192.168.1.2 context=local1 Extensions.conf Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 65 -[local1] Exten= 201,1,Dial(iax2/site2/201) Exten= 202,1,Dial(iax2/site2/202) -[local2] Exten= 101,1,Dial(iax2/site1/101) Exten= 102,1,Dial(iax2/site1/102) Exten= 103,1,Dial(iax2/site1/103) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 66 KẾT LUẬN VÀ DỰ KIẾN KẾ HOẠCH Qua việc nghiên cứu bảo mật cho thoại Internet VoIP, kết đề tài làm là: Tìm hiểu cơng nghệ VoIP, kiểu cơng từ chối dịch vụ VoIP Từ đưa giải pháp bảo mật cho VoIP Cài đặt mơ hình thử nghiệm tổng đài Asterisk, đưa giải pháp an tồn cho mơ hình cài đặt Đề tài dự kiến nghiên cứu nghiên cứu cho gói Video VoIP, bảo mật cho thiết bị phần cứng, giải pháp tối ưu để giảm độ trễ tín hiệu Nâng cao chất lượng gọi Do hạn chế thời gian, khuôn khổ luận văn kinh nghiệm thực tiễn em chưa nhiều nên khơng tránh khỏi thiếu sót Nên đóng góp thầy bạn khơng giúp luận em có chất lượng cao mà trang bị cho em kiến thức vững vàng nghiên cứu công tác sau Em xin chân thành cảm ơn! Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 67 TÀI LIỆU THAM KHẢO [1] Bách khoa toàn thư mở Wikipedia, (2011), Tổng đài điện thoại nội dùng giao thức Internet , http://vi.wikipedia.org/wiki/Tổng_đài_điện_thoại_IP, ngày 27 tháng năm 2011 [2] Lê Quốc Tồn, (2011), Cấu hình hệ thống Asterisk, http://tailieu.vn/xem-tailieu/cau-hinh-he-thong-asterisk-chuong-4.596474.html, ngày 11 tháng năm 2011 [3] Lê Quốc Toàn, (2011), Cài đặt Asterisk, http://tailieu.vn/xem-tai-lieu/cai-datasterisk-chuong-3.596473.html, ngày 11 tháng năm 2011 [4] Nguyễn Phương Lan, Hoàng Đức Hải, (1998), Lập trình Linux, Nhà xuất Giáo dục [5] Phạm Minh Tuấn, (2009), Các mối đe dọa công VoIP, http://vnpro.org/forum/showthread.php/Các_mối_đe_dọa_và_tấn_công_trong_VoIP , tháng năm 2008 [6] Phạm Thanh Giang, Đào Văn Thành, Nguyễn Văn Tam, (2006), Hệ thống thoại Internet an tồn, Tạp chí Tin học Điều khiển học [7] Phạm Văn Thiều, Phạm Thu Hằng (dịch), (2009), Mật mã, Tái lần thứ nhất, Nhà xuất trẻ [8] Trần Hoàng, (2010), Giải pháp bảo mật công nghệ VoIP, http://tailieu.vn/xem-tailieu/cac-giai-phap-bao-mat-cong-nghe-voip.259896.html, ngày 01 tháng năm 2010 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn ... Các giải pháp bảo mật VoIP 2.2.1 Nhu cầu bảo mật Trước vào chi tiết công nghệ khác để bảo vệ cho mạng VoIP Bạn cần phải hiểu vấn đề tập hợp nhu cầu mà bạn thấy Phần phác thảo nhu cầu bảo mật. .. 25 2.2 Các giải pháp bảo mật VoIP 25 2.2.1 Nhu cầu bảo mật 25 2.2.2 Bảo vệ tín hiệu 26 2.2.2.1 Bảo vệ tín hiệu qua SIP 26 2.2.2.2 Bảo vệ tín hiệu... lây nhiễm để bảo vệ tài nguyên VoIP bảo vệ mạng IP bên 2.2.2 Bảo vệ tín hiệu Khi đưa nhu cầu bảo mật cho thiết bị VoIP, phần mơ tả số cơng nghệ có sẵn để đảm bảo tính tồn vẹn, tính bí mật, tính