3.5.1. Giải pháp “Khu phi quân sự”- DMZ bổ trợ cho bức tường lửa
DMZ là vùng trung gian giữa mạng tin cậy bên trong và mạng bên ngoài như Internet, là giải pháp ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống, được xây dựng với mục đích làm cho hệ thống an toàn hơn. Có hai cấu hình thường thấy là DMZ một firewall và DMZ được đặt giữa hai firewall như hình vẽ.
Hình 3- 10: Vùng DMZ nằm giữa hai firewall
H.323 gatekeeper hay SIP proxy được đặt trong vùng DMZ có thể được giải quyết được vấn đề port động, chỉ cần cấu hình firewall sao cho đầu cuối có thể liên lạc được với gatekeper/proxy. Như vậy, vấn đề port động vẫn có thể khắc phục được bên ngoài firewall mà vẫn nằm trong vùng an toàn.
a. ALG (Application Level Gateway)
ALG là giải pháp cho vấn đề firewall/NAT trong mô hình doanh nghiệp. ALG là một phần mềm cài đặt trên firewall. Nó cho phép một ứng dụng được yêu cầu có được phép không, giúp cho những ứng dụng đuợc cho phép trong hệ thống được quản lý một cách dễ dàng.
Firewall có tích hợp ALG có khả năng phân tích và nhận biết các giao thức báo hiệu SIP/H.323 và đóng/mở các port một cách linh động bằng cách đọc các bản tin báo hiệu SIP/H.323.
Khi có cài đặt NAT thì ALG cần phải mở gói thoại và sửa lại thông tin header cho tương ứng với địa chỉ IP của mạng nội bộ hay IP bên ngoài đối với lưu lượng đi ra. Vấn đề của NAT được giải quyết khi ALG thay thế địa chỉ IP của mạng nội bộ bằng IP của chính ALG, không những thế nó còn ánh xạ lưu lượng RTP đến những port mà ALG có thể đọc và chuyển đến đúng các ứng dụng bên trong.
Hình 3- 11: Hoạt động của ALG
Giải pháp này đòi hỏi phải nâng cấp phần mềm hoặc thay thế hệ thống firewall/NAT cũ. Hơn nữa, tất cả các lưu lượng thoại đều được định tuyến qua ALG nên khi lưu lượng tăng lên thì nhu cầu các port cho RTP và RTPC không đủ. Vì vậy mặc dù đầu cuối có port thích hợp để thực hiện cuộc gọi nhưng cuộc gọi vẫn bị ALG từ chối.
Nhược điểm của ALG:
- ALG tốn kém do phải nâng cấp khi chuẩn thay đổi.
- ALG xử lý các gói thoại thì gây ra trễ và jitter, khi số lượng cuộc gọi tăng lên có thể gây nghẽn mạng.
- ALG được cài đặt trên firewall nên có thể làm firewall mất ổn định.
b. Middlebox Communication (MIDCOM)
ALG được cài đặt trên firewall nên có thể gây trễ và nghẽn. MIDCOM là giải pháp giải quyết vấn đề của ALG bằng cách đưa các chức năng của ALG vào một thiết bị nằm ngoài firewall gọi là Midcom agent. Thường thiết bị này là H.323 gatekeeper/SIP proxy nằm trong vùng DMZ vì đây là thành phần đáng tin cậy và có tham gia vào quá trình điều khiển phiên kết nối. Các thiết bị này bây giờ có thể phân tích lưu lượng VoIP và ra lệnh cho firewall mở/đóng các port dựa trên yêu cầu báo hiệu thông qua giao thức MIDCOM.
Giải pháp này có thể tăng tính linh động và giảm chi phí nâng cấp mạng. Ngoài ra còn cải tiến hơn về mặt hoạt động vì tách rời việc phân tích và chặn gói.
Nhược điểm của MIDCOM:
- Phải cấu hình cho firewall để Midcom agent điều khiển nó.
- Midcom agent phải được bảo vệ an toàn vì nó có khả năng điều khiển firewall, nếu kẻ tấn công nắm được quyền điều khiển Midcom agent thì có thể mở bất cứ port nào trên firewall, nên phải đặt thêm một firewall thứ 2 để bảo vệ nó..
Hình 3- 12: Hệ thống dùng Middlebox Com
c. Session Border Controller
Ngoài giải pháp ALG và MIDCOM, giải pháp SBC (Session Border Controller) cũng được phát triển dành cho doanh nghiệp. SBC thường đặt trong vùng DMZ và cung cấp các chức năng sau:
Firewall/NAT: SBC có thể hoạt động như một thiết bị NAT hay firewall hay kết hợp với firewall trong cùng DMZ. SBC có thể mở các lỗ (pinhole) để cho lưu lượng báo hiệu và thoại đi qua. Cho phép lưu lượng báo hiệu và lưu lượng thoại nhận và
chuyển tới các thiết bị nằm sau firewall và NAT tạo biên của mạng mà không cần phải nâng cấp firewall hay thiết bị.
Điều khiển chấp nhận cuộc gọi: SBC điều khiển các cuộc gọi báo hiệu qua mạng, có thể từ chối cuộc gọi khi cần thiết, vì vậy có thể bảo vệ mạng khỏi tấn công DoS. Điều khiển chấp nhận cuộc gọi có thể đảm bảo các thỏa thuận về mức độ dịch vụ, như vậy thuê bao có thể đảm bảo tốc độ kết nối trong giới hạn của mạng đường trục.
Ngoài ra, SBC còn có các chức năng khác:
- QoS: đảm bảo tài nguyên mạng cho thiết lập cuộc gọi và các dịch vụ cuộc gọi khẩn.
- Báo hiệu liên mạng: báo hiệu giữa H.323 và SIP.
3.5.2. Giải pháp đường viền bổ trợ cho NAT
a. STUN (Simple Traversal of UDP through NAT) (adsbygoogle = window.adsbygoogle || []).push({});
Cho phép các ứng dụng nhận biết sự có mặt và các loại NAT và firewall giữa nó và Internet. Có thể xác định địa chỉ IP đi ra bên ngoài do NAT tạo ra. Giải pháp này đòi hỏi client phải hỗ trợ STUN.
STUN nhận biết NAT bằng cách gửi các bản tin binding request đến STUN server yêu cầu địa chỉ và số cổng dùng để truyền và nhận lưu lượng. STUN server hồi đáp cho STUN client bằng bản tin binding response mang thông tin địa chỉ IP đi ra bên ngoài và số port của NAT. Các thông tin này sẽ dùng thiết lập bản tin thiết lập cuộc gọi.
Thực tế thì rất ít sản phẩm hỗ trợ STUN nên giải pháp này không được phổ biến.
b. TURN (Traversal Using Relay NAT)
TURN là giao thức cho phép một thiết bị nằm sau NAT/firewall nhận dữ liệu qua TCP/UDP, bổ sung cho hạn chế của STUN là có thể sử dụng được NAT đối xứng vì TURN nằm trên đường báo hiệu.
STUN không nằm trên đường báo hiệu cuộc gọi nên khi sử dụng NAT đối xứng, NAT sẽ ánh xạ cho lưu lượng đi ra một địa chỉ khác, đối với lưu lượng bên ngoài đi vào cũng tương tự.
c. ICE (Interactive Connectivity Establishment)
Các giải pháp STUN và TURN đều có những thuận lợi và hạn chế riêng. IETF đã phát triển một giải pháp khác là ICE.
ICE không phải là một giao thức mà nó là một phần làm việc cùng với STUN hay TURN, cho phép client khảo sát tìm ra cách thông tin với bên ngoài. Các ICE client sẽ trao đổi thông tin (IP private và public kể cả khi có sự thay đổi) và thương lượng tìm ra các con đường có thể kết nối giữa chúng và chọn con đường có chất lượng tốt nhất (trễ và jitter thấp nhất).
d. Đường hầm
Giải pháp này giải quyết vấn đề firewall/NAT bằng cách tạo đường hầm cho báo hiệu và cả lưu lượng thoại đi qua firewall/NAT. Giải pháp này đòi hỏi một server trong mạng nội bộ và một ở mạng bên ngoài. Hai server này sẽ tạo ra một đường hầm mang tất cả lưu lượng SIP, đường hầm này thường không cần mã hóa.
Giải pháp này có ưu điểm là thay đổi ít nhất chính sách bảo mật sẵn có. Tuy nhiên nó sẽ gây trễ trên lưu lượng thoại, làm giảm chất lượng cuộc gọi.
3.5.3. Hệ thống phát hiện xâm nhập IDS
IDS là hệ thống giám sát tất cả các lưu lượng trong mạng. IDS là thiết bị thụ động, lưu lượng không đi qua nó, mà nó chỉ lấy tất cả các gói trên mạng để phân tích. Nếu có lưu lượng không bình thường bản thân nó sẽ phát cảnh báo cho người quản trị mạng biết.
Hình 3- 14: Vị trí của IDS trong hệ thống
Hoạt động của IDS:
IDS theo dõi tất cả những trạng thái bình thường của hệ thống và do đó phát hiện ra những tấn công bất thường vào hệ thống. Kiến trúc của nó gồm Call State Fact Base, chứa các trạng thái điều khiển và các biến trạng thái, cho phép theo dõi tiến trình của cuộc gọi. Thông tin trạng thái được cập nhật từ Event Distributor. Attack Scenarino chứa những kiểu tấn công đã biết.
IDS quản lý sự thay đổi trạng thái của các gói được phân tích bằng chức năng Call basis. Tất cả gói của một cuộc gọi được phân thành một nhóm, rồi lại chia thành các nhóm nhỏ dựa trên loại giao thức, rồi đưa vào
các bộ máy phân tích khác nhau, các bộ máy này được đồng bộ bằng các tham số chung và các sự kiện nội bộ. Event Destributor cũng phân loại các gói nhận được cho Attack Scenarino.
Các gói từ Event Destributor và thông tin trạng thái từ Attack
Scenarino/ Call State Fact Base được đưa đến Analysis Engine. Khi có sự
bất thường nào về giao thức hay trùng với một kiểu tấn công biết trước thì IDS sẽ bật cờ cảnh báo cho người quản trị phân tích thêm.
Hình 3-15: Cấu trúc bên trong của thiết bị IDS
3.6. Bảo mật cho VoIP khi truyền qua mạng cục bộ không dây(WLAN) dây(WLAN)
Không giống như hệ thống mạng có dây thông thường, ở các yếu tố bảo mật về mặt vật lý đã được đảm bảo, trong hệ thống mạng không dây có khả năng bảo mật của lớp vật lý không được đảm bảo như trong mạng có dây, môi trường sóng radio của các AP không bị hạn chế bởi khuôn viên toà nhà. Một thiết bị cầm tay với sử dụng anten thích hợp có thể kết nối ở khoảng cách lên tới 300m. Điều này khiến cho mạng WLAN không thể tránh khỏi những nguy cơ tấn công vốn có từ lớp vật lý. Điều này rất nguy hiểm cho các mạng WLAN không sử dụng cơ chế bảo mật nào. Vì thế chúng ta sẽ tìm hiểu sơ qua về một số
phương pháp bảo mật cho mạng không dây cơ bản như SSID, WEP, phương pháp chặn địa chỉ MAC…
a. SSID
Là một chuỗi 32 ký tự xác định vùng roaming của AP trong số nhiều AP. SSID được coi như là một loại password mà không có nó không thể kết nối vào mạng.
AP quảng bá SSID nhiều lần trong 1s nên bất kỳ tool nào cũng có thể đọc được nó. Vì vậy nên đổi SSID khác giá trị mặc định. SSID không phải là một phương pháp bảo mật mạnh nên cần kết hợp với WAP hay WPA.
b. WEP (adsbygoogle = window.adsbygoogle || []).push({});
WEP dùng để chứng thực và mã hóa. Có 4 tùy chọn:
Không dùng WEP
Dùng WEP chỉ để mã hóa
Dùng WEP chỉ để chứng thực
Dùng WEP để mã hóa và chứng thực
WEP mã hóa bằng RC4, khóa 40 bit kết hợp với 24 bit ngẫu nhiên của vector khởi tạo để hình thành chuỗi RC4, sau đó XOR với plain text sẽ tạo ra cipher text.
AP và client phải có cùng khóa WEP. Hầu hết các nhà cung cấp hiện nay dùng.
WEP 128 bit, mạnh hơn, khó khăn hơn đối với việc nghe lén. 128 bit WEP dùng chuỗi 26 kí tự (A-Z và 0-9), mỗi kí tự 4 bit, 26x4=104 bit và 24 bit vector khởi tạo. 256 bit WEP dùng 56 kí tự Hexa.
Có hai cách WEP chứng thực: chứng thực hệ thống mở và khóa chung
Hệ thống mở: thực chất không có quá trình chứng thực diễn ra giữa client và AP. Nó có thể dùng WEP mã hóa luôn dữ liệu.
Khóa chung: Bắt tay 4 bên
AP gửi yêu cầu chứng thực tới client. Client mã hóa yêu cầu bằng khóa chung và gửi lại AP. Nếu AP giải mã thành công thì cho phép kết nối
.
Hình 3- 17: Quá trình bắt tay 4 bên
c. Lọc địa chỉ MAC
Bộ lọc địa chỉ MAC sẽ lọc địa chỉ MAC của các NIC không dây. Cách này không mang hiệu quả cao vì dễ dàng biết được địa chỉ MAC bằng các tool sniff.
d. Mô hình bảo mật WLAN
Có 4 loại tấn công: chặn, giả dạng, thêm thông tin và gián đoạn.
Kiếu tấn công Ảnh hưởng Giải pháp
Interception Tính tin cậy và riêng
tư Mã hóa/giải mã
Fabrication Tính xác thực Chứng thực Modification Tính toàn vẹn
Interruption Tính sẵn sàng Repudiation Không chối cãi
Bảng 3- : Các hình thức tấn công
Hình 3- 18: Kiến trúc WLAN
Hình 3- 19: Kiến trúc WLAN có thêm wireless authentication firewall
Hình 3-20: Đánh giá độ bảo mật của WLAN
WPA dùng TKIP (Temportal Key Integrity Protocol) mã hóa bảo mật hơn so với WEP. TKIP dùng keyhashing (KeyMix) và MIC (Message Integrity Check) phi tuyến, rapid-keying (RaKey) cứ 10.000 gói thì thay đổi khóa.
WPA làm việc ở hai chế độ: preshared key mode và managed mode - Preshared key mode: chỉ cần nhập khóa là có thể truy cập mạng.
- Managed mode: có server chứng thực, có hỗ trợ 802.1x/EAP cho phép (adsbygoogle = window.adsbygoogle || []).push({});
thương lượng thông qua một AP với một server chứng thực, trong đó có mã hóa các phiên trao đổi khóa.
Phần lớn WPA có hỗ trợ các thuật toán như trong WEP, ngoài ra còn có thêm thuật toán mới AES (Advanced Encryption Standard) thay thế cho RC4.
Chứng thực user một cách tập trung. Thuật toán chứng thực có thể là dùng certificate như là EAP-TLS, dùng password như EAP-MD5, smartcard như EAP-SIM.
Hình 3- 21: Quá trình chứng thực 802.1x
EAP-TLS: dùng PKI (Public Key Infrastructure), được hỗ trợ trong Win XP và Win 2000.
EAP-SIM: thiết kế bởi Nokia, chứng thực phần cứng cho chip SIM.
EAP MD5: chứng thực dựa trên user name và password. g. VPN và 802.11
Phần mềm VPN client phải cài đặt trên tất cả các máy trong mạng LAN. Một VPN gateway được đặt giữa AP và WLAN. Một đường hầm mã hóa từ máy tính qua wireless gateway và kết thúc tại VPN gateway. Đường hầm VPN cung cấp chứng thực, tin tưởng và toàn vẹn dữ liệu, không cần đến các công cụ mã hóa khác như WEP nữa.
Giải pháp VPN cho phép người truy nhập từ xa có thể truy nhập mạng. Đường hầm bảo mật bắt đầu từ máy tính của user qua Internet, qua VPN gateway, đến VPN server và đi vào trong mạng.
Chứng thực một chiều nên dễ bị tấn công theo kiểu man-in-the-middle- attack.
Triển khai VPN trong một tổ chức lớn đòi hỏi cài đặt và bảo trì các phần mềm client. Ngoài ra, các nhà cung cấp khác nhau có những giải pháp VPN khác nhau, do đó phải đồng bộ về phần mềm và thiết bị.
KẾT LUẬN
Sau một thời gian tìm hiểu đề tài “Bảo mật VoIP”, em đã hoàn thành đề tài với các nội dung chính sau:
• Tìm hiểu tổng quan về VoIP
• Tìm hiểu các bộ giao thức được sử dụng trong VoIP • Tìm hiểu các kỹ thuật bảo mật cho VoIP
Do hạn chế về kiến thức nên em mới chỉ nêu ra được một số giải pháp bảo mật áp dụng cho mạng VoIP. Mặc dù các giải pháp đề ra ở đây chưa phải là tối ưu nhưng cũng đã giải quyết các vấn đề có bản còn tồn tại trong mạng VoIP hiện nay.
Với những cải tiến về công nghệ bảo mật, đồng thời chất lượng dịch vụ thoại được nâng cao, VoIP sẽ ngày càng được chú ý và hoàn thiện hơn, sẽ bổ xung những dịch vụ mới cùng với sự hiện diện của mạng điện thoại chuyển mạch công cộng PSTN truyền thống.
Đồ án này được hoàn thành đúng hạn là nhờ công lao dạy dỗ của các thầy cô giáo khoa CNTT trường ĐH Phương Đông, đặc biệt là thầy giáo Phạm Minh Nghĩa đã hướng dẫn giúp đỡ em trong quá trình học tập cùng với sự giúp đỡ của gia đình và bè bạn. Em xin gửi lời cảm ơn chân thành tới các thầy cô giáo và gia đình, bạn bè đã giúp đỡ em trong suốt thời gian làm đồ án.
Em xin chân thành cảm ơn
MỤC LỤC
LỜI NÓI ĐẦU...1
CHƯƠNG I: TỔNG QUAN VoIP...3
1.1. Điện thoại IP...4
1.1.1. Giới thiệu...4
1.1.2. Lợi ích của điện thoại IP...6
1.1.3. Ưu điểm và nhược điểm của điện thoại IP...7
1.2. Kết nối mạng VoIP...9