Các kiến trúc giao thức

Một phần của tài liệu Giải pháp bảo vệ thông tin VOIP trên mạng Internet Intranet (Trang 67)

Tất cả các giao thức VoIP đều là những giao thức cùa lớp ứng dụng. Những giao tlìức V oĩP ở trên lớp IP, giao thức Internet.... N hững giao thức V olP không giới hạn sử dụng bất kỳ giao thức lớp chuyển vận xác định nào, như TCP hoặc ƯDP. Bởi vì chúng là những giao thức lớp chuyên vận được sử dụng trong Internet tới một phạm vi lớn.

Hình 4.2: Kiến trúc giao thức

Nhìn vào H.323 ở phía trên bên trái ta thấy ở ngoài các giao thức được bao gồm: phân quan trọng nhât của năm giao thức là H.255.0, bao gồm cả RAS (Registration Admission Status: sự đăng ký, kênh thu nạp và trạng thái) lẫn Ọ.931, và H.245. Những phân chính cùa kiến trúc 11.323 là gatekeeper, EP và M CU s (M ultipoint Control Unit: những đơn vị hội nghị nhiều điểm). RAS chỉ rõ cấu trúc thông báo, những lệnh và những tlnì tục, như đăng ký của EP tới gatekeeper, để được sử dụng các thiết bị dầu

cuối và gatekeepers. Trong Q.931 thông điệp gọi báo hiệu và các thủ tục được chỉ rõ. Trong mỗi phiên họp H.323, một kênh điêu khiên H.245 được tạo ra.

Vỏ bọc cùa H.450.X và những dịch vụ kỹ thuật điện thoại bổ sung có thể được cung cấp trong kiến trúc H.323. H.235 chỉ rõ khung an toàn cho H.323 và những hệ thông khác dùng điều khiển nền tảng H.245.

SIP và MGCP không cung cấp hoặc yêu cầu những giao thức riêng biệt. Nó phải được sử dụng ở giữa các phần tử mạng khác nhau.

Phương tiện truyền thông thực tế ví như âm thanh cần sử dụng mã hóa thích hợp trước. Những dòng âm thanh được mã hoá sau đó được đi qua lớp ứng dụng khác, giao thức RTP (Real - Tim e Transport Protocol: thù tục chuyên vận thời gian thực) sau đó

1ÌÓ được đi qua ƯDP và được sử dụng để chuyển những dòng thông tin mang tính thời

具 ,一 丫 、 7

gian thực qua Internet. RTCP cung câp thông tin trạng thái và điêu khiên việc sử dụng của RTP.

Hai cách để cung cấp sự an toàn cho VoIP:

/ r ~

1) Các cơ chê găn săn của các giao thức VoIP;

2) Sử dụng m ở rộng, ứng dụng (ví dụ: TLS: Transport Layer Security) hoặc những giao thức ờ tầng mạng (ví dụ: IPSEC).

4.2.1 H.323 của ITU - T

Địa chỉ của H.323 dựa vào địa chỉ chuyên chờ, được bao gồm địa chỉ mạng và định danh TSAP. Trong trường hợp địa chỉ mạng chuyên trở TCP / IP bảng dịa chi IP và cổng TCP. H.323 sử dụng ba kiểu kênh khác nhau, kênh kết nối gọi, kênh điều •» %

t

khiên gọi và kênh phương tiện truyên thông, phụ thuộc vào kiêu thông tin sẽ được

Ẫ 、 • ,

chuyên. Những kênh phương tiện truyên thông trực tiêp thông thường được định tiiycn giữa những người tham gia của một cuộc gọi nhưng cả kênh điều khiển gọi lẫn kênh kết nối gọi có thể bị định tuyến qua gatekeeper hoặc trực tiếp giữa những người tham gia được chọn bởi gatekeeper. Một gatekeeper có thể hoặc không thể có mặt trong những vùng khác nhau của Internet [8].

Kênh kết nối gọi được bảo đảm ở TLS (TCP - cổng 1300). Trong thiết lập kết

t f * \ *

nôi, kênh kêt nôi gọi được m ở đâu tiên không có gatekeeper. Nêu có gatekeeper thì kênh được mờ đầu tiên là kênh RAS với gatekeeper đó. Trong kênh RAS, cơ chế chứng thực phải được sử dụng nhưng không mã hóa thông tin truyền giữa thiết bị cuối và gatekeeper. Sau khi các thủ tục thiết lập kết nổi kênh điều khiển gọi H.245 được mở có sử dụng đảm bảo an toàn nếu có thoả thuận. Thông tin trên kênh phương tiện truyền thông bao gồm khoá mã hóa được chuyển qua kênh điều khiển gọi H.245 [8],

69

Hình 4.3: Kiến trúc mạng FI.323

Chứng thực

Có hai kiểu sự chứng thực có thể được dùng :

1) Trên nền mã hóa đối xứng mà không yêu cầu tiếp xúc trước giữa các thực thể truyền thông.

2) Cỏ ưu tiên nào đó để chia sẻ bí mật. ở kiểu thứ hai này cách để xác nhận có thể hoặc đổi xứng hoặc bất đối xứng [8].

Cơ chế chứng thực khác có thể được sử dụng như “ Kết nối dựa trên 1PSEC”, “ TLS ”,

Mã ềtoá

Mã hóa có thê được làm trong lớp RTP (xem hình 2) được sử dụng dê tru yên các dòng thông tin. Có thể mã hóa từng gói cơ sở, có nghĩa là có thể mã hoá từng gói tin của ứng dụng.

4.2.2 SIP của IETF

SIP là một giao thức cho văn bản, tương lự như H TTP và SMTP, cho khởi đầu phiên họp trao đôi giữa những người dùng. Bao gôm những phiên họp như tiêng nói, hình à nil, tán chuyện, những trò chơi tương tác,...[6].

Hình 4.4: Kiến trúc mạng SIP

Chứng thực

Tất cả cơ chế chứng thực mà SIP cung cấp dựa trên yêu cầu-đáp ứng. Tồn tại ba khả năng là :

1) Chứng thực cơ sở;

2) Chấp nhận sự chứng thực;

3) Chứng th ự c PGP (Pretty Good Privacy).

Như kiến trúc Clinet - Server, truyền thông dựa vào những yêu cầu và sự ứng đáp.\ t Ngoài những yêu câu, trong SIP cũng có thê xác nhận những ứng đáp.

Mã hóa

Những khả năng mã hóa của SIP rất bị giới hạn. Chi có thể mã hóa PGP nội dung tiêu đề thông điệp.

4.2.3 MGCP / MEGACO / H.248 của IETF và ITU - T

Cách tiếp cận của M GCP / M EGACO / H.248 để chứng thực và mã hóa là sáng sủa và trung thực. IPSEC phải được sử dụng để chứng thực và sự mã hóa các kết nối giao thức. IKE cần phải sử dụng để cung cấp những tùy chọn tốt hơn. Những khóa mã

7 y t r r

hóa cho các công vào phương tiện truyên thông đê mã hóa những kêt nôi phương tiện truyền thông cung cấp bởi điều khiển cổng phương tiện qua kết nối giao thức an toàn IPS EC, tức là những kết nối truyền thống không được mã hóa qua IPSEC [ 12].

71 Media Gateway Conừx»! Media Gateway Controller Hình 4.5: Kiến trúc mạng M GCP / MECÌACO

4.3 Những yêu cầu an toàn cho VoIP

4.3.1 Định nghĩa những phần tử cơ bản và chìa khoá của một hệ thống VoIPVoIP là một dạng khác của kỹ thuật điện thoại, những gói tiếng nói số được VoIP là một dạng khác của kỹ thuật điện thoại, những gói tiếng nói số được truyền bởi việc sử dụng Internet toàn cầu. Địa chỉ của các gói dựa vào giao thức Internet (IP).

needed at some phase of a call Hình 4.6: Hệ thống VoIP đơn giàn

/ •» f \ \

Một hệ thông V oIP phô biên gôm có những phân tử chính sau : - Người tham gia vào một cuộc gọi (người gọi và người được gọi);

- Các thiết bị đầu cuối (ví dụ: điện thoại IP, máy tính cá nhân) được sử dụng để bắt đầu và nhận các cuộc gọi;

- Các cổng nối và các máy chủ tham chiếu tới tất cả các loại thiết bị trung gian cần trong thời gian một cuộc gọi;

- Phương tiện truyền thông: cổng kết nổi liên kết dữ liệu và những thiết bị đầu cuối khác nhau, từ đây hình thành đường truyền thông End to End cho những gói VoIP đi qua.

Lưu lượng VoIP, nghĩa là các gói VoIP, có thể được phân loại vào trong báo hiệu gọi, điều khiển gọi, và phương tiện truyền thông. Phụ thuộc vào giao thức và

* X t y

những chính sách sử dụng VoIP, truyên thông này có thê sử dụng một kênh hoặc nhiêu kênh khác nhau. N hững kênh là những kết nối TCP/UDP giữa hai phần tử mạng. Các kênh khác nhau của cổng TCP bắt nguồn từ một phần tử m ạng tới một phần tử khác và địa chi mạng, địa chỉ IP thông thường là như nhau. Trên quan điểm về an toàn thì tất cả thông tin truyền cần được giữ an toàn tức là xác nhận và mã hóa.

MEDIA

Hình 4.7: Phân loại luồng thông tin khác biệt cần trong VoIP 4.3.2 Những đặc trưng an toàn của VoIP

- Trong VoIP, những gói chưa được mã hóa, những thứ m ột kè tấn công cần sẽ láy những gói thích hợp để phân tích gói. Gói này có thể m ang những thông tin liên quan đến các máy tính chuyên dụng, ví dụ như mạng cục bộ của một tập đoàn. Trong kỹ thuật điện thoại truyền thống, kỹ thuật điện thoại di động điều nàỵ bị loại trừ, kẻ tấn công thay vào điều đó là cần có thiết bị đặc biệt, hơn nữa cần có kết nối vật lý tới một dây, được sử dụng trong thời gian gọi.

- Trong một mạng LA N, những người sir dụng VoIP đều được đổi như nhau, (dược nôi tới mạng LAN) hoặc thiết bị âm thanh của máy tính cá nhân của họ để gọi và nhận các cuộc gọi. Như vậy một người không chính thức tham gia cuộc gọi có thế lấy cắp các gói tin của cuộc gọi vì chúng được nối tới mạng LAN.

- Internet được xem như không an toàn. Những mạng chuyển mạch không phải là hoàn toàn an toàn nhưng người ta lại không lo lắng nhiều về điều đó.

73 4.3.3 Yêu cầu an toàn chức năng

- Thông tin trao đổi giữa những người tham gia một cuộc gọi cần phải được giữ hí mật và những thông tin như vậy không thể tới bất kỳ thành viên thứ ba nào.

Nêu không cẩn thận những thành viên thứ ha có thể sử dụng thông tin mà chúng có dược để nghe trộm cuộc nói chuyện.

- Chi nhà cung cấp dịch vụ cần có sự truy nhập tới thông tin thống kê và thông tin như vậy cần phải được bảo vệ chống lại sự tấn công từ những thành viên thứ ba.

4.3.4 Yêu cầu an toàn kỹ thuật

Những yêu cầu an toàn cần được đưa ra và phải được hỗ trợ của tất cả các giao thức VoIP

- Tất cả các kết nối giữa các phần tử mạng cần được mã hóa;

- EP của tất cả các kết nối cần luôn luôn được xác nhận bởi hai cách để ngăn ngừa người bên trong, ờ giữa tấn công;

- Chứng íhực người dùng End to End cân phải được cung câp ở lìhững thiêt bị đâu cuối;

- Cả máy trạm và m áy chủ cần phải được bảo vệ chống lại sự tấn công.

4.4 Những ràng buộc an toàn ciía VoIP

Những ràng buộc an toàn là những lý do tại sao các yêu cầu an loàn không thể đạt được tất cả hoặc trong những điều kiện đặc biệt, trong truyền thông VoIP. Những ràng buộc an toàn có thể do thiết kê chưa hoàn chỉnh của các giao thức VoIP hoặc do thực hiện không đầy đù những điều đó. Và kiến trúc nằm bên dưới của bản thân Internet cũng bị giới hạn. Có nhiều phần của cơ sở hạ tầng m ạng, như firew alls...an toàn 1PSEC gác công vào sử dụng NAT, được sử dụng đê bô sung an toàn. Chức Iìăiìg

của những thiết bị này và những sự hạn chế của chúng cũng cần phải dược tính đến trong thiết kế các giao thức.

t f \ 1 \

Có the thây răng sự an toàn có thê được thực hiện ở nhiêu mức. Ba mức khác nhau có thể được xác định: Sự an toàn mức liên kết, sự an toàn các gói và Sự an toàn của các trường trong một gói. Trong mỗi mức, sự lựa chọn có thể là tất cả thông tin hoặc bộ phận của thông tin phụ thuộc vào mức độ yêu cầu an toàn cùa thông tin truyền. 4.4.1 Tính nhạy cảm trễ của VoIP

Sự khó chịu chung khi sử dụng truyền tiếng nói qua - IP là vấn đề chất lirợng của dịch vụ. Trê trong cuộc nói chuyện mà nhiêu người dùng VoIP gặp phải là sự lo láng bất ổn cùa việc chuyển gói trong Internet [13].

Đòi hỏi để hoàn toàn an toàn cho kết nối End to End là toàn bộ đường dần, như

tất cả các thiết bị và những mối liên kết giữa chúng được bảo vệ chống lại sự tấn công [8]. Một hệ quả của điều này là tất cả các thiết bị phải thực hiện chứng thực lẫn nhau. Chửng thực cơ sờ là mã khóa công khai chỉ có nghĩa cho sự chứng thực quy mô mạng lớn làm cho nó có thể an toàn để phân phối chìa khóa một cách tương đối dễ dàng xuyên qua các mạng không an toàn.

Một vấn đề khác của giải pháp dựa trên mã khoá công khai là hai ràng buộc chính. Thứ nhất, hiện nay không yêu cầu cơ sở hạ tầng khóa công khai trải trên toàn cầu‘ Thứ hai là chìa khóa khoá công khai dựa trên những thủ tục chứng thực yêu cầu sử dụng sức mạnh tính toán lớn. Nếu chứng thực được thực hiện ở tại mức liên kết giữa hai BP cùa mỗi liên kếl bất kỳ khi nào, điều này không thành vấn đề. Mã khóa công khai cũng là công cụ tiện lợi cho việc mã hóa các thông báo. Nếu sự mã hóa thực hiện

> X t t

giữa hai EP, việc này không có vân đê gì bởi vì các thiêt bị đủ m ạnh đê tính toán đủ yêu cầu. N hưng nếu m ã hóa các gói cần mã hóa ở bất kỳ thiết bị trung gian nào (ví dụ:

- X •» 〜 t t ^

ờ các Router), điêu này có thê dê dàng trở thành nút cô chai ở thiêt bị trung gian và làm tăng thời gian trễ làm chậm trễ việc truyền các gói VoIP.

4.4.2 X ác đ ịn h d ạ n g th ô n g b á o

SIP, H.323 và những giao thức VoIP khác được sử dụng để bắt đầu những phiên họp, như những phiên họp âm thanh (tiếng). Thông tin đó cần thiết để tạo ra kênh truyền thông giữa hai thực thể, được đặt trong thân của thông báo VolP. Thông tin này bao gồm các địa chi IP. Trong khi NAT được sử dụng địa chỉ nội bộ có thể yêu cầu

' ' /

chuyên sang địa chỉ ngoài tới ứng dụng. Phân thân không phải m ã hóa khi một thiêt bị NAT (lịch chuyển và điều này chấp nhận sự ràng buộc an toàn [13].

t

4.4.3 An toàn End to End, Hop to Hop

Có hai khái niệm khá hay và những cách để thực hiện cả chứng thực lẫn mã hóa. Đó là End to End và Hop to Hop. End to End bao trùm toàn bộ kcl nổi từ nguời gửi đến người nhận. Hop to Họp thay thế bao trùm ít nhất m ột Hop của kết nối. Nó có the bao trùm nhiều bước chuyển khác, nếu như tồn tại nhiều bước chuyển, nếu không thì chưa được bảo đảm an toàn.

NliữttỊỊ lợi thế của an toàn Hop to Iỉop:[9]

- Không cần khoá công khai cho người dùng; - Chi cần cung cấp dịch vụ khóa công khai;

- Các mô hình sự an toàn mạng hiện có đã được thử thách. Giới hạn chính của sự an toàn Hop to Hop:

- Yêu cầu mô hình tin cậy.

Trong an toàn End to End những thông báo được mã hóa hoặc xác nhận hoặc mã hoá và xác nhận suốt dọc đường từ người gửi đến người nhận.

7 5

4.4.4 Những ví dụ thực của vấn đề an toàn

H.32Ỉ

H.235 cung cấp kiến trúc an toàn khá toàn diện cho bộ giao thức H.323. Nó

! r

cung câp một sô lựa chọn khác nhau cho chứng Ihực và cho cả mã hóa. Sử dụng Ï L S

* t » / *

trong định nghĩa săn công 1300 thành lập của kênh kêt nôi gọi một ưu liên. Việc này cần phải được xem xét tới m ột sự ràng buộc từ khi nó đặt sẵn và mọi cư chế an toàn

■» r r \

khác không thê được sử dụng cho kêt nôi đâu liên.

NA 7' và nhánh ngang Firewall

Các ứng dụng H.323 sử dụng năng động những cơ chế truyền thông cho âm thanh, hình ành và dữ liệu, một firewall phải cho phép truyền thông H.323 xuyên qua. Firewall cũng phải có H.323 với m ột uỷ nhiệm H.323, hoặc có khả năng “ Rinh mò” tới% % » » \

kênh điêu khiên đê xác định cơ chê tru yên thông năng động nào đang sử dụng cho

> •»

phiên họp i 1.323 và cho phép cho lưu thông kco dài như kênh điêu khiên tích cực [7].

SĨP [9]

Phần nhảnh

Phân nhánh là trạng thái A gọi tới B và yêu cầu gọi phân nhánh tới BI Và B2, là những thiết bị đầu cuối khác nhau. K ết qủa cần là cả hai thiết bị đầu cuối B 1 lẫn B2 reo (chuông cùng reo). Cơ chế hỏi - đáp sử dụng bên trong SIP không làm việc với phân

Một phần của tài liệu Giải pháp bảo vệ thông tin VOIP trên mạng Internet Intranet (Trang 67)

Tải bản đầy đủ (PDF)

(81 trang)