Phân tích điểm yếu bảo mật trong mạng VoIP và giải pháp khắc phục
MỤC LỤC
Kết nối Máy thoại-Máy thoại
Quản lý băng thông: Trong điện thoại chuyển mạch kênh, tài nguyên băng thông cung cấp cho một cuộc liên lạc là cố định (một kênh 64Kbps) nhưng trong điện thoại IP việc phân chia tài nguyên cho các cuộc thoại linh hoạt hơn nhiều. Ví dụ cho biết thông tin về người gọi tới hay một thuê bao điện thoại IP có thể có nhiều số liên lạc mà chỉ cần một thiết bị đầu cuối duy nhất (Ví dụ như một thiết bị IP Phone có thể có một số điện thoại dành cho công việc, một cho các cuộc gọi riêng tư).
Thoại thông minh
Các mạng máy tính và mạng điện thoại song song tồn tại ngay trong cùng một cơ cấu, giữa các cơ cấu khác nhau, và trong mạng rộng WAN. Công nghệ thoại IP không ngay lập tức đe doạ đến mạng điện thoại toàn cầu mà nó sẽ dần thay thế thoại chuyển mạch kênh truyền thống.
Dịch vụ tính cước cho bị gọi
Bằng việc sử dụng chương trình chẳng hạn Internet PhoneJACK, bạn cũng có thể xử lý các cuộc gọi cũng giống như các xử lý các cuộc gọi khác. Bạn có thể định tuyến các cuộc gọi này tới các nhà vận hành, tới các dịch vụ tự động trả lời, tới các ACD.
Dịch vụ Callback Web
Trong thực tế, hệ thống điện thoại qua Internet và hệ thống điện thoại truyền thống là hoàn toàn như nhau.
CÁC GIAO THỨC TRONG HỆ THỐNG VoIP
Giao thức H323
Trong các phương thức trực tiếp giữa các EP, GK cung cấp địa chỉ cho các EP và hướng các EP vào các kênh báo hiệu cuộc gọi trực tiếp tới các EP đầu kia, sao cho tất cả các thông báo có thể trao đổi trực tiếp giữa 2 EP mà không cần có sự tham gia của GK. Trong phương thức định tuyến qua GK, GK sẽ cung cấp địa chỉ riêng của nó như là một địa chỉ đích cho các EP trong cuộc gọi, nó sẽ nhận tất cả các thông báo báo hiệu cuộc gọi và xử lý định tuyến các báo hiệu cuộc gọi giữa bản thân nó và tất cả các EP trong suốt cuộc gọi.
Giao thức H245
EP phải yêu cầu sự cho phép của GK khi khởi tạo một cuộc gọi. Q.931 là khuyến nghị của ITU-T cho báo hiệu cuộc gọi, làm chức năng thiết lập, duy trì và kết thúc cuộc gọi. Quá trình thỏa thuận này được thực hiện bằng các bản tin RAS (trong call Admission), port 1720 thường được chọn.
Giao thức SIP
SDP không phải là một giao thức lớp vận chuyển, nó không thực sự vận chuyển dữ liệu giữa các client mà nó chỉ thiết lập cấu trúc thông tin về các thuộc tính của luồng dữ liệu, dữ liệu thực sự được truyền đi bởi các giao thức SIP, RTSP hay HTTP. Bản tin SDP mang thông tin về phiên kết nối như nhận dạng phiên kết nối, IP người gửi, người nhận,… Nếu kẻ tấn công bắt được những gói SDP này nó có thể thay đổi giá trị trong các trường rồi gửi đi. Trường Via chứa địa chỉ của người gọi, port well-known của SIP, branch là chuỗi nhận dạng phiên trao đổi, bản tin hồi đáp cho bản tin này phải có cùng chuỗi branch.
So sánh H323 và SIP
H.323 chỉ có chức năng báo hiệu, SIP có thêm khả năng thông tin về trạng thái của user (presense and Instant message) vì SIP sử dụng địa chỉ URI. Tương tự như vậy H.323 hỗ trợ hội nghị truyền hình với khái niệm MCU ngay từ đầu thì với SIP tính năng đó được phát triển sau gọi là “focus”. Đối với những bộ phận chỉ dùng tính năng báo hiệu (thiết lập và kết thúc) cuộc gọi, không dùng hết những ưu điểm nổi trội của SIP thì không cần thay thế H.323 bằng SIP.
Giao thức MGCP
Nếu không có việc bảo vệ này thì sự tấn công tiềm tàng có thể thiết lập các cuộc gọi một cách trái phép hoặc sẽ tiếp tục can thiệp vào các cuộc gọi. Bên cạnh việc sử dụng IPsec, MGCP cho phép các đại lý cuộc gọi cung cấp các cổng với các khoá phiên để có thể được sử dụng để mã hoá các tin nhắn, bảo vệ chống lại việc nghe trộm. Các khoá phiên có thể được chuyển đổi giữa các đại lý cuộc gọi và các cổng bằng cách sử dụng SDP( cf RFC 2327).
MEGACO/H248
Các thông tin RFC 2705 đề cập đến việc sử dụng IPsec( hoặc AH hoặc ESP) để bảo vệ các bản tin MGCP. - Các phương án cuộc gọi đa người sử dụng - Chất lượng dịch vụ và hỗ trợ cho đo lưu lượng. - Báo lỗi trong giao thức, cuộc gọi, dung lượng và lỗi mạng MEGACO có cấu trúc lệnh khá đơn giản, mềm dẻo trong thiết kế, cung cấp các ưu điểm nhằm giảm dung lượng header bản tin, giảm giá thành và độ phức tạp, có khả năng đáp ứng với rất nhiều ứng dụng khác nhau.
KỸ THUẬT BẢO MẬT CHO VoIP
Các điểm yếu về bảo mật Vo IP
Kiểu giả dạng này thành công nếu user bị giả dạng không đăng ký vào thời điểm giả dạng và nếu UserID là một IP thì chỉ có user trong cùng mạng mới có thể giả dạng được. Bản tin đăng ký thường được vận chuyển bằng giao thức UDP (không được tin cậy), hơn nữa các yêu cầu đăng ký không cần phải được chứng thực bởi SIP registrars, hoặc nếu có chứng thực thì cũng chỉ bằng MD5 để mã hóa user name và password (MD5 là một thuật toán mã hóa yếu). (Đối với các user trong mạng dễ dàng biết được cấu trúc địa chỉ trong mạng, còn với những user ngoài mạng thì dùng kĩ thuật social engineering hay tool để quét ra địa chỉ của toàn mạng).
Kỹ thuật bức tường lửa áp dụng cho Vo IP
Chức năng cơ bản của firewall được thiết kế không phải dành cho các ứng dụng thời gian thực như VoIP nên việc thiết lập firewall cho hệ thống VoIP sẽ làm cho hệ thống phức tạp hơn ở một số quá trình: port động trunking, thủ tục thiết lập cuộc gọi. Nếu không cài đặt firewall thì tất cả các lưu lượng đến và đi từ IP phone đều phải được cho phép vì RTP dùng port UDP động, và như vậy thì tất cả các port UDP đều phải mở, thiếu bảo mật. Vì vậy, IP phone thường đặt sau firewall để tất cả các lưu lượng đều được kiểm soát mà không cần phải mở tất cả các port UDP firewall được sử dụng để cách ly về mặt luận lý giữa thoại và dữ liệu.
Kỹ thuật NAT áp dụng cho Vo IP
Full: tất cả các yêu cầu từ cùng các host bên trong (địa chỉ IP và port) được ánh xạ tới cùng một IP hay port đại diện bên ngoài, vì vậy bất kỳ một host bên ngoài có thể gửi gói tới 1 host bên trong nếu biết địa chỉ được ánh xạ đó. Restricted: chỉ cho phép 1 host bên ngoài với IP X gửi gói cho host mạng bên trong nếu host của mạng bên trong đã gửi tới IP X một gói trước đó. Symmetric: tất cả các request từ cùng 1 IP hay port đến 1 đích nào đó được ánh xạ đi bằng 1 IP đại diện, nếu đi tới 1 đích khác thì nó sẽ đi bằng IP đại diện khác Chỉ có những host bên ngoài nhận được gói thì mới gửi gói ngược trở lại các host bên trong được.
Kỹ thuật VPN áp dụng cho Vo IP
PPTP dùng các giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver 1 và ver 2), PAP, trong đó MS-CHAP ver2 và EAP-TLS được xem là bảo mật nhất vì cả VPN server và VPN client đều chứng thực lẫn nhau. Khác với PPTP, L2TP có thể chạy trên nhiều chuyển mạch khác nhau như X.25, Frame Relay, ATM, nhưng thường thì L2TP đóng gói PPP frame trong L2TP frame và dùng UDP để truyền đi (không dùng GRE). IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), trao đổi khóa (Security Association), đảm bảo toàn vẹn dữ liệu (Data Integrity) và kiểm tra nguồn gốc dữ liệu (Origin Authentication).
Một số giải pháp kỹ thuật bổ trợ cho bảo mật Vo IP
H.323 gatekeeper hay SIP proxy được đặt trong vùng DMZ có thể được giải quyết được vấn đề port động, chỉ cần cấu hình firewall sao cho đầu cuối có thể liên lạc được với gatekeper/proxy. Vấn đề của NAT được giải quyết khi ALG thay thế địa chỉ IP của mạng nội bộ bằng IP của chính ALG, không những thế nó còn ánh xạ lưu lượng RTP đến những port mà ALG có thể đọc và chuyển đến đúng các ứng dụng bên trong. - Midcom agent phải được bảo vệ an toàn vì nó có khả năng điều khiển firewall, nếu kẻ tấn công nắm được quyền điều khiển Midcom agent thì có thể mở bất cứ port nào trên firewall, nên phải đặt thêm một firewall thứ 2 để bảo vệ nó.
Các ICE client sẽ trao đổi thông tin (IP private và public kể cả khi có sự thay đổi) và thương lượng tìm ra các con đường có thể kết nối giữa chúng và chọn con đường có chất lượng tốt nhất (trễ và jitter thấp nhất). Không giống như hệ thống mạng có dây thông thường, ở các yếu tố bảo mật về mặt vật lý đã được đảm bảo, trong hệ thống mạng không dây có khả năng bảo mật của lớp vật lý không được đảm bảo như trong mạng có dây, môi trường sóng radio của các AP không bị hạn chế bởi khuôn viên toà nhà.
