BẢO MẬT TRONG VoIP 3.1 Vấn đề bảo mật trong VoIP
3.4.2.2 Laye r2 Tunneling Protocol
L2TP là giao thức chuẩn của IETF (RFC 2661). Khác với PPTP, L2TP có thể chạy trên nhiều chuyển mạch khác nhau như X.25, Frame Relay, ATM, nhưng thường thì L2TP đóng gói PPP frame trong L2TP frame và dùng UDP để truyền đi (không dùng GRE). Dùng UDP tốt hơn cho các dịch vụ thời gian thực.
Bản thân L2TP không đảm bảo bảo mật, nó cần các giao thức vận chuyển bên dưới làm điều này. Điều này được thực hiện qua việc bảo mật trong PPP hoặc dùng IPsec.
Hình 3- 4: Cấu trúc L2PT 3.4.2.3 IP Security
Với đặc điểm là dễ bị bắt gói trong mạng IP nên yêu cầu mã hóa là cần thiết cho hệ thống VoIP. IPsec có thể bảo mật thông tin của EP và luồng dữ liệu. IPsec là tập giao thức phát triển bởi IETF, bảo mật ở lớp IP.
IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), trao đổi khóa (Security Association), đảm bảo toàn vẹn dữ liệu (Data Integrity) và kiểm tra nguồn gốc dữ liệu (Origin Authentication).
IPsec gồm hai giao thức: Authenticaion Header (AH) và Encapsulating Security Payload (ESP).
- AH: chứng thực data và chống replay, dùng giao thức IP số 51 - ESP: dùng giao thức IP số 50
ESP chỉ mã hóa và chứng thực trên gói ban đầu (không có header), còn AH thì chứng thực toàn bộ gói (có header) và không mã hóa.
Hình 3- 5: Chứng thực và mã hóa của AH và ASP
- IPsec gồm 2 mode:
+ Tunnel mode: tạo thêm một IP header mới gồm một địa chỉ nguồn và
một địa chỉ đích (có thể khác với địa chỉ nguồn và địa chỉ đích trong gói IP). ESP chứng thực và mã hóa trên gói IP, còn AH chứng thực thêm một phần của header mới.
+ Transport mode: ESP mã hóa và chứng thực gói IP (không có phần
header), AH thì có chứng thực thêm một phần header mới.
Hình 3- 6: Cấu trúc gói IPsec ở transport mode
Hình 3- 7: Cấu trúc gói IPsec ở tunnel mode
Trong quá trình thiết lập kết nối, VPN client và VPN server sẽ thương lượng thuật toán mã hóa được sử dụng trong số các thuật toán sau: DES, MD5, SHA, DH
Security Association (SA) thường được quản lý bời IKE. SA thường có thể dùng pre-shared key, mã hóa RSA hoặc chữ ký số. IPsec chứng thực bằng shared secret và certificate, bảo mật hơn so với PPTP chứng thực bằng password của user.