7. Kết cấu của đề tài:
2.4.4. Kết nối hai tổng đài Asterisk
Giả sử một công ty có hai chi nhánh tại 2 địa điểm khác nhau, một ở Hà Nội, một ở thành phố Hồ Chí Minh. Tại mỗi chi nhánh đều có một tổng đài Asterisk. Và yêu cầu của công ty đặt ra là tất cả các extension ở trong tổng đài Asterisk này có thể liên lạc được với tất cả các extension trong tổng đài Asterisk kia. Một trong những giải pháp để giải quyết vấn đề này là sử dụng một đường SIP Trunk.
Mô hình hệ thống của công ty như sau:
Việc cấu hình đường trunk như sau:
Trên giao diện web FreePBX của tổng đài 192.168.100.231 vào menu
Connectivity Trunk Chọn Add SIP Trunk
SIP Trunk Chi nhánh Hà Nội IP: 192.168.100.232 Chi nhánh Tp Hồ Chí Minh IP: 192.168.100.231 Extension 500 501 … 5XX Extension 200 201 … 2XX
Hình 2.19: SIP Trunk hai tổng đài
Sau khi điền đầy đủ thông tin Submit Changes.
Vẫn trên giao diện web vào menu ConnectivityOutbound Routes.
Hình 2.22: Outbound Routes (231)
Tên đường Trunk mới tạo ở trên
Extensions của tổng đài 192.168.100.232
Làm tương tự cho tổng đài 192.168.100.232
Tên đường Trunk mới tạo ở trên
Extensions của tổng đài 192.168.100.231
Hình 2.24: Outbound Routes (232)
Chỉnh sửa file extension.conf cho phép các extension có thể gọi được với nhau thông qua đường Trunk đã tạo ở trên.
Tại tổng đài 192.168.100.231, thêm câu lệnh sau vào file extension.conf: Exten => _5XX,1,Dial(SIP/to_232/${EXTEN})
Tương tự với tổng đài 192.168.100.232:
Exten => _2XX,1,Dial(SIP/to_231/${EXTEN})
Thông qua đường Trunk này những extension 2XX của tổng đài 192.168.100.231 đã có thể liên lạc với những extension 5XX của tổng đài 192.168.100.232 và ngược lại.
Lợi ích của phương pháp này sẽ được phát huy tối đa trong việc phát triển mở rộng quy mô của mạng VoIP. Ví dụ một công ty đã có sẵn hệ thống tổng đài VoIP với một tổng đài IP PBX được cài đặt sẵn, đặc điểm của những tổng đài này là chi phí cao, số extension bị hạn chế, tổng đài càng có nhiều extension thì chi phí càng cao. Và khi công ty phát triển mở rộng quy mô thì sẽ tốn kém thêm rất nhiều chi phí cho việc mua thêm tổng đài IP PBX được cài đặt sẵn,tuy nhiên chỉ với một chi phí thấp công ty có thể tự xây dựng được một tổng đài IP PBX và với phương pháp SIP Trunk này thì công ty có thể tích hợp tổng đài công ty tự xây dựng với hệ thống tổng đài sẵn có của công ty, từ đó vừa đáp ứng được yêu cầu mở rộng vừa tiết kiệm đươc rất nhiều chi phí cho công ty.
CHƯƠNG 3: KẾT QUẢ ĐẠT ĐƯỢC 3.1. Cấu hình softphone đăng kí tới tổng đài
Đầu tiên, tải chương trình softphone X-Lite tại địa chỉ
http://www.counterpath.com/x-lite-download.html. Sau đó tiến hành cài đặt như một phần mềm bình thường.
Quá trình cấu hình softphone X-Lite cho các clients như sau:
Vào menu SoftphoneAccount Settings Cửa sổ SIP Account (Hình 3.2) xuất hiện và cần khai báo các thông số:
Account Name: tên của account
User ID: extension muốn gán cho account này.
Domain: Địa chỉ của tổng đài Asterisk.
Password: mật khẩu của extension.
Display name: Tên của người dùng.
Authorization name: Tên chứng thực cho extension. Sau khi khai báo đầy đủ thông tin OK.
3.2. Thực hiện cuộc gọi giữa các extension cùng tổng đài
Extension 200 gọi điện đến extension 201
Extension 200 quay số 201.
Do hai extension 200 và 201 đều kết nối tới tổng đài Asterisk nên tổng đài xác định được địa chỉ của extension 201.
Thông qua giao thức SIP, tổng đài báo hiệu với extension 201.
Extension 200 và 201 được báo hiệu sẽ kết nối để thiết lập kênh thoại với nhau. Tin hiệu thoại sẽ được truyền qua mạng IP theo giao thức RTP.
3.3 Thực hiện cuộc gọi từ các extension ra ngoài mạng PSTN
Extension 200 gọi điện đến số 0904141205
Hình 3.5: Gọi từ extension ra PSTN
Extension 200 quay số 0904141205.
Tổng đài Asterisk nhận được số 0904141205
Tổng đài Asterisk kết nối với Gateway (Gateway sử dụng số 0946803080) qua đường SIP Trunk.
Gateway gọi điện tới số 0904141205 theo phương thức gọi PSTN thông thường.
Kênh thoại được thiết lập theo hướng: Extension 200 tổng đài Asterisk Gateway mạng PSTN 0904141205.
3.4. Thực hiện cuộc gọi mạng PSTN vào tổng đài Asterisk
Số 0904141205 gọi điện tới extension 200
Số 0904141205 ở ngoài mạng PSTN gọi điện tới extension 200 trong tổng đài Asterisk như sau:
Số 0904141205 gọi tới số 0946803080 để kết nối tới Gateway.
Số 0904141205 sẽ nghe lời chào: “Trường đại học Lạc Hồng xin kính chào quý khách, xin vui lòng nhấn số nội bộ hoặc nhấn số 0 để gặp trực tiếp nhân viên tư vấn, xin cảm ơn ”
Số 0904141205 tiếp tục quay số 200 để gọi tới extension 200.
Gateway nhận được số 200
Gateway kết nối với tổng đài Asterisk để thiết lập kết nối.
Tổng đài Asterisk kết nối với extension 200 để thiết lập kênh thoại.
Kênh thoại được thiết lập theo hướng: 0904141205 mạng PSTN Gateway tổng đài Asterisk extension 200.
3.5. Thực hiện cuộc gọi giữa các extension thông qua đường Trunk
Extension 200 tại tổng đài 192.168.100.231 gọi điện đến extension 500 của tổng đài 192.168.100.232.
Extension 200 quay số 500
Do extension 500 không cùng một tổng đài với extension 200, nhưng với đường SIP Trunk đã thiết lập, tổng đài 192.168.100.231 đã dùng extension user_Dung (extension được sử dụng để đăng kí với tổng đài 192.168.100.232 thông qua đường Trunk) đại diện cho extension 200 để thực hiện cuộc gọi với extension 500.
Thông qua đường Trunk, tổng đài xác định được địa chỉ của extension 500.
Thông qua giao thức SIP, tổng đài báo hiệu với extension 500.
Extension user_Dung (đại diện cho extension 200) và 500 được báo hiệu sẽ kết nối để thiết lập kênh thoại với nhau. Tin hiệu thoại sẽ được truyền qua mạng IP theo giao thức RTP.
3.4. Để lại tin nhắn thoại Voicemail
Hộp thư thoại (Voicemail) sẽ được kích hoạt khi máy bận hoặc không nghe máy trong vòng 30 giây.
Extension 200 quay số 201.
Do hai extension 200 và 201 đều kết nối tới tổng đài Asterisk nên tổng đài xác định được địa chỉ của extension 201.
Thông qua giao thức SIP, tổng đài báo hiệu với extension 201.
Tuy nhiên trong vòng 30 giây extension 201 không trả lời nên hộp thư thoại của extension 201 được kích hoạt.
Extension 200 sẽ nghe lời chào để lại lời nhắn của extension 201 và có thể để lại lời nhắn hoặc kết thúc cuộc gọi.
3.5. Truy cập vào hộp thư thoại
Người dùng quay số 333 để truy cập vào hộp thư thoại
Sau khi truy cập vào hộp thư thoại, người dùng sẽ được nghe các tùy chọn sau:
Nhấn phím 1: Nghe tin nhắn mới Nhấn phím 2: Thay đổi thư mục
Nhấn phím 0: Thư mục tin nhắn mới Nhấn phím 1: Thư mục tin nhắn cũ
Nhấn phím 2: Làm việc với thư mục tin nhắn Nhấn phím 3: Thư mục tin nhắn gia đình Nhấn phím 4: Thư mục tin nhắn bạn bè Nhấn phím #: Hủy bỏ
Nhấn phím 3: Tùy chọn cao cấp Nhấn phím 1: Gửi hồi âm
Nhấn phím 2: Nghe tin nhắn kèm theo số điện thoại của người gửi.
Nhấn phím 3: Để lại lời nhắn. Nhấn phím *: Trở về menu chính. Nhấn phím 4: Phát lại tin nhắn trước đó. Nhấn phím 5: Đọc lại tin nhắn hiện tại. Nhấn phím 6: Phát tin nhắn kế tiếp. Nhấn phím 7: Xóa tin nhắn đang phát.
Nhấn phím 8: Chuyển tin nhắn đến một hộp thư khác. Nhấn phím 9: Để lưu lại tin nhắn trong một thư mục. Nhấn phím 0: Những tùy chọn liên quan đến hộp thư:
Nhấn phím 1: Ghi âm lại lời nhắn thông báo sự vắng mặt. Nhấn phím 2: Ghi âm lại lời nhắn thông báo khi đang bận. Nhấn phím 3: Ghi âm lại tên người dùng.
Nhấn phím 4: Thay đổi mật khẩu. Nhấn phím *: Trở về menu chính. Nhấn phím *: Hướng dẫn trợ giúp. Nhấn phím #: Thoát khỏi hộp thư thoại.
3.6. Tham gia vào một cuộc hội thoại Conference Call
Người dùng quay số 999 để tham gia vào phòng hội thoại 12345 Nhập mật khẩu của phòng hội thoại Ghi âm tên người dùng Bấm nút # để bắt đầu tham gia vào phòng hội thoại.
3.7. Đánh giá hệ thống
Nhằm đánh giá một cách khách quan về hệ thống tổng đài Asterisk, nhóm nghiên cứu đã tiến hành cài đặt thử nghiệm hệ thống tổng đài trên server: IBM eServer x3500 với các thông số như sau:
IBM eServer x3500
CPU 1.995 GHz
Loại CPU Intel(R) Xeon(R) CPU E5335 @ 2.00GHz Bộ nhớ RAM 12.00 GB
Ổ cứng 832.75 GB
Hãng sản xuất IBM
Trong điều kiện cơ sở hạ tầng hạn hẹp, nhóm mới chỉ thử nghiệm hệ thống tổng đài trong môi trường mạng LAN 100Mbps với 50 extension và thực hiện 25 cuộc gọi đồng thời. Kết quả thử nghiệm như sau:
Bảng 3.1: Thông số server
Hình 3.14: Memory usage Hình 3.12: Network usage
3.8. Những vấn đề về bảo mật cần cân nhắc trong VOIP 3.8.1. Lỗ Hổng Bảo Mật trong Hệ thống VoIP.
3.8.1.1. Tấn công phát lại (Replay attack):
Tấn công replay là phương thức mà kẻ tấn công sẽ tiến hành lắng nghe trên đường truyền của nạn nhân, khi nạn nhân tiến hành trao đổi các thông tin quan trọng như password thì kẻ tấn công sẽ chặn các gói tin đó lại. Các gói tin bị bắt không bị kẻ tấn công thay đổi nội dung mà giữ nguyên đợi đến một thời gian thích hợp nào đó sẽ gửi gói tin đi giả dạng như nó được gửi từ máy của nạn nhân.
3.8.1.2. Tấn công từ chối dịch vụ (DoS):
Kiểu tấn công từ chối dịch vụ là kiểu tấn công nhằm vào hệ thống server, làm chúng không còn khả năng đáp ứng yêu cầu của client do có quá nhiều yêu cầu, và vì vậy làm serverbị đứng máy hoặc mất kết nối.
Về bản chất, kẻ tấn công chiếm dụng tài nguyên như băng thông, bộ nhớ, CPU,… của máy chủ làm chúng không có khả năng xử lý dịch vụ. Kiểu tấn công này có thể ảnh hưởng đến tất cả các dịch vụ trong mạng IP trong đó có VoIP. Hậu quả là nó có thể làm giảm chất lượng cuộc gọi hoặc nặng hơn có thể làm mất kết nối trên toàn bộ hệ thống tổng đài.
3.8.1.3. Tấn công ARP
ARP là giao thức Ethernet cơ bản. Do nó không có cơ chế chứng thực các truy vấn và hồi đáp truy vấn nên có thể lợi dụng nó để tấn công mạng VoIP. Những kiểu tấn công thường gặp là: ARP spoofing, ARP redirection.
ARP spoofing
Khi A quảng bá truy vấn ARP để tìm địa chỉ MAC của C trên mạng, B sẽ hồi đáp là địa chỉ IP 10.1.1.2 thuộc về nó (MAC: AB:AC:AD:AE:AF:FF).Như vậy,
gói tin từ A tới C sẽ được chuyển tới B. Như vậy, với cách tấn công này người bị hại khi gọi đến C sẽ bị chuyển sang máy của kẻ tấn công và như thế các thông tin của A đều bị B biết được.
Địa chỉ IP Địa chỉ vật lý
10.1.1.1 AA:BB:CC:DD:EE:FF
10.1.1.2 AB:AC:AD:AE:AF:FF
Bảng 3.2: ARP cache của A
ARP redirection.
Với kiểu tấn công như trên thì tất cả thông tin trao đổi giữa A và C đều đi qua B. Những thông tin không được mã hóa sẽ bị nghe trộm. Trong trường hợp này kẻ tấn công cũng ít khi bị phát hiện nếu không cài phần mềm theo dõi bảng ánh xạ giữa địa chỉ IP và MAC.
10.1.1.100 AB:AC:AD:AE:AF:FF B 10.1.1.1 AA:BB:CC:DD:EE:FF A 10.1.1.2 AA:BB:CC:DD:EE:00 C To: 10.1.1.2 Hình 3.15: ARP spoofing Hình 3.16: ARP redirection
3.8.1.4. Lỗ hổng với IP phone và Softphone
Tấn công Ip phone/softphone xảy ra rất thường xuyên do giá cả rẻ và dễ dàng mua một IP phone và thiết lập nhiều kiểu tấn công. Những lỗ hổng chính:
DoS: nhiều IP phone của Cisco bị khởi động lại do bị DoS. Các HTTP request cũng có thể kết thúc một cuộc gọi.
Truy nhập bất hợp pháp: có thể cấu hình phone như là man-in-the- middle-attack proxy để lấy quyền truy nhập tới tất cả luồng báo hiệu và luồng dữ liệu.
Tấn công vào giao thức IP phone cài đặt: Khi sử dụng SIP cho IP phone, có thể gửi yêu cầu CANCEL hay BYE để DoS một trong hai IP phone.
Worm, virus, và các đoạn mã độc: các softphone thường bị virus từ môi trường IP. Có thể khắc phục bằng cách tách mạng thoại và mạng dữ liệu một cách luận lý ra riêng. Nhưng dùng hệ thống softphone không phù hợp với mục đích chia tách này.
Nâng cấp: Do IP phone có thể cài đặt được thông qua TFTP không bảo mật có thể bị lây nhiễm Trojan.
3.8.1.5. Spam trong VoIP
Spam trong VoIP hay còn có tên là SPIT (Spam over Internet Telephony) là hiện tượng có nhiều cuộc gọi không mong muốn, nó cũng giống như e-mail spam, hầu hết đều với mục đích bán sản phẩm, quảng cáo,… Phương pháp Spam là dùng các đoạn script tự động để thực hiện các cuộc gọi tới nhiều người. Nó cũng có thể thực hiện với mục đích giả dạng các cơ quan tài chính hay thương mại điện tử để lấy thông tin cá nhân.
Khác với email-spam, các cuộc gọi SPIT sẽ được nhận hoặc chuyển sang hộp thư thoại. Nhận SPIT tốn thời gian và có thể gây nghẽn. Cũng như email-spam, ta cần chặn voice spam. Tuy nhiên, chặn SPIT khó khăn hơn rất nhiều vì rất khó phân biệt được cuộc gọi bình thường và cuộc gọi SPIT vì thông tin về người gọi chỉ được tiết lộ một khi cuộc gọi đã được thiết lập và bắt đầu gửi thư thoại.
3.8.2. Một Số Giải Pháp Bảo Mật Cho Hệ Thống VoIP
Có rất nhiều phương pháp bảo mật đang được sử dụng, trong phần này của đồ án chỉ tìm hiểu một số phương pháp tiêu biểu nhất.
3.8.2.1. VLAN
Sự tích hợp thoại, dữ liệu và video trên cùng một mạng làm cho sự bảo mật của hệ thống VoIP cũng bị ảnh hưởng bởi các dịch vụ khác. Để có thể giải quyết được vấn đề này ta tách biệt về luận lý giữa các dịch vụ bằng VLAN
Hình 3.17 là một ví dụ về ứng dụng kỹ thuật VLAN vào việc chia lưu lượng thoại và lưu lượng dữ liệu. Trong đó VLAN 20 được cấu hình cho các PC truyền thông dữ liệu, còn VLAN 150 được cấu hình cho IP Phone truyền thông lưu lượng thoại. Trên hình PC5 được nối với IP Phone, IP Phone được nối với Switch S3, port F0/18 trong S3 được cấu hình cho chế độ thoại. Khi có lưu lượng thoại đi đến S3 thì các lưu lượng thoại sẽ được đánh dấu bởi chỉ số “tag” vào khung lớp 2 sau đó sẽ được chuyển qua port F0/18 đến IP Phone. Còn trong trường hợp lưu lượng dữ liệu bình thường thì không cần đánh chỉ số “tag” vào khung lớp 2 và lúc này IP Phone làm nhiệm vụ chuyển tiếp khung dữ liệu tới các PC.
Lợi ích của VLAN:
VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain). Khi có gói tin quảng bá (broadcast) sẽ được truyền duy nhất trong VLAN tương ứng. Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng.
VLANgiúp quản lý thiết bị một cách tập trung và dễ dàng hơn. VLAN có thể sắp xếp và quản lý các PC hay softphone dựa vào chức năng, lớp dịch vụ, tốc độ kết nối hoặc những tiêu chuẩn khác (như hình 3.18)
Giảm delay và jitter, do đó cải thiện QoS trong VoIP.
VLAN góp phần trong bảo mật hệ thống VoIP. Lưu lượng giữa các VLAN được đảm bảo (trừ khi sử dụng router). Như trong hình trên, các máy tính trong VLAN sinh viên (Student) chỉ có thể liên lạc được với nhau. Máy ở VLAN sinh viên không thể kết nối được với máy tính ở VLAN kỹ sư (Engineering).
VLAN còn làm giảm nguy cơ DoS. Do muốn liên lạc giữa các VLAN thì