Mạng IP là m ạng sử dụng chung toàn cầu do vậy có rất nhiều mối đe doạ đến vấn đ c an ninh cho các dữ liệu truyền trên đó. Hình 4.1 cho ta thấy tổng quan về khả năng m at an ninh khi trao đổi thông tin trên m ạng IP
Hình 4.1: Khả năng mất an ninh trên m ạng IP
63
4.1.1 Dị nil n g h ĩa m ối đ e d ọ a
Nhiều mối đe dọa tới một hệ thống kỹ thuật điện thoại IP đồtig nhất lới những hệ thong khác dược nối tới Internet. Chúng bao gồm tính dễ bị tổn thương của tầng mạng, cùa hệ điều hành hoặc cùa những dịch vụ khác. N hững mối de doạ phân tích ở đây quan tâm những mô hình một đơn vị và giao thức giữa những thành phần của H.323, hệ thống kỹ thuật diện thoại IP.
Mô hình đơn vị dựa vào sự ký tên của người dùng. Bất cứ ai muốn sử dụng dịch vụ kỹ Ihuật điện thoại phải dược đăng ký. Tài khoản được làm theo khoảng thời gian thực hiện các cuộc gọi. Mối de dọa chính tới hệ Ihống kỹ thuật điện thoại là những người không được đăng ký (gọi là phreaking).
' , • y
Các phân sau được làm đê phân tích những môi de dọa có thê : • Sự thao tác của dữ liệu kế toán
• Trực tiếp gọi mà không sử dụng một GK • Sự giả danh của mộl HP
• Sự giả danh của một GK về phía một GK thứ hai • Sự giả danh của BES
Một sự tấn công cỏ thể từ những người dùng được ủy quyền lẫn không hợp pháp (không được uỷ quyên). M ôi người ký tên có một người điêu tra lý lịch được sir dụng bởi phần mềm của nó (EP hoặc thiết bị đâu cuối) tương tác với những thực thê của hệ tliống.
4 .1 .2 T h a o tá c c ủ a d ữ liêu kế to á n•
Mỗi cuộc gọi được liệt kê GK điều hành các cuộc gọi. N ó có trách nhiệm với dữ liệu kế toán thu nhặt và truyền tới BES. BES tập hựp và cất giữ dữ liệu này để xử lý sau. Cấu trúc dữ liệu cho (lũ liệu kế toán đirực gọi là bàn ghi chi tiết (CDR). CDR pliãi sử dụng hữu ích, chứa dựng ít nhất các thông tin smi:
• Khoảng thời gian gọi: Gồm có thời gian bál đầu và thời gian kết (liúc cuộc gọi, GK phát sinh giá trị này.
• CallID: Là một người điều tra lý lịch duy nhất toàn cầu gán cho mỗi cuộc gọi. Mọi dữ liệu gọi liên quan được chỉ sô hóa, giá trị này cũng được phát sinh bởi GK.
• UserlD: Là m ột người điều tra lý lịch duy nhất toàn cầu cho mỗi người dùng ủy quyền. Giá trị này được định nghĩa vào thời gian của sự đăng ký.
CDR được gửi trên kết nối giữa một GK và BES. c ỏ m ột sự tấn công dựa vào dữ liệu của CDR. N ó thực hiện tấn công và nhằm để sửa đổi giá trị của giá trị khoảng thời gian gọi trong CDR. Một kè tấn công phải có những truy nhập tới gỏi dữ liệu gửi giữa BES và GK. Nó chặn các gói dữ liệu trên dường từ GK tới BES, thay đổi giá trị cùa tnrờng chứa đựng khoảng tlìời gian của cuộc gọi và chuyển tiếp gói dừ liệu tới BES. ỉ)ièu này có thê tránh được bởi sự chứng thực thực thể.
4.1.3 Cọi trực tiếp
Ke toán dựa vào việc tất cả các cuộc gọi đều định tuyến qua GK. Tuy nhicn, mỗi đầu cuối VoIP có khả năng gợi trực liếp mà không có sự sử dụng một GK. liP phải biết dịa chỉ IP của nơi đến, để có thể bắt đầu một cuộc gọi tới nó. Trong trường hợp này, GK không đoán nhận được khi một cuộc gọi được bắt đầu. Bởi vậy, các cuộc gọi đó không thể tính toán. Sự nhận ra các thành phân của m ột hệ thông kỹ thuật điện thoại VoIP bởi một số kiểu của sự nhận biết việc đó không tương ứng tới IP nào đó không dược giúp đỡ. Từ khi đó giao thông RTP luôn luôn được gửi trực tiếp từ một EP tới EP khác. Chỉ duy nhất một cuộc gọi bình thường được nhận để xác định địa chỉ IP đó. EF định vị trên một mạng con trực tiếp bởi vậy nó có thể gọi trực tiếp lẫn nhau. Ngăn ngừa sự lạm dụng trên những mạng lớn hơn, các cổng vào chỉ cho phép các cuộc gọi có tín hiệu từ các GK chuyển qua ứng dụng.
4.1.4 Giả danh Endpoint
Mục này phân tích giao thức H.323 cho sự bắt đầu cuộc gọi. Giá thiết rằng một kè tân công cô găng đóng vai một EP và cho thây những điêu kiện cho một tân công thành công. Bắt đầu m ột cuộc gọi, một EP phải thực hiện qua ba giai đoạn. Ba giai đoạn dó là: Gửi một dăng ký EP, thu nạp cuộc gọi và Q.931 gọi thông báo cài đặt. Quá trình (lãng ký được bao bọc bởi những thông báo RAS, RRỌ và RCF / RRJ. Sự thu nạp cuộc gọi cũng thuộc về giao thức RAS. Những thông báo rõ ràng cho thủ tục là: ARQ, ACF, và ARJ tương ứng. Thủ tục vận chuyển cùa cả hai quá trình đăng ký và quá trình thu nạp cuộc gọi là UDP. Như vậy, không có phiên làm việc thực sự nào giữa EP và GK cho những thông báo RAS. Một kẻ tấn công có thể chèn những gói dừ liệu vào khi kết nối. Báo hiệu cuộc gọi thực sự được thực hiện bởi Q .9 3 1 sử dụng TCP. Kẻ tấn công có thể khởi động sự tấn công của mình trên những giai đoạn khác nhau của giao thức. Có bổn khả năng cho một hành động mạo hiểm:
• Thực hiện toàn bộ quá trình đăng ký
r \ \
• Băt đâu bởi việc gửi yêu câu thu nạp • Đưa ra cài đặt thông báo Q .9 3 1
• Đưa ra cài đặt thông báo Q .931 với preGrantedA RQ cho phép
Kct quả của trường hợp dâu tiên, thực hiện quá trình đăng ký dây dû, là GK chấp nhận kè tấn công như EP giả danh. Kẻ tấn công có thể sử dụng dịch vụ ký tên người sử dụng. Việc này có thể có hai sự ràng buộc: Trước hết, giả danh người dùng không được đăng ký lúc tấn công. Hai là, nếu sử dụng User ID thì hướng tới một địa chỉ IP nhất định, kẻ tấn công phải cư trú trên mạng của EP m à nó giả danh hoặc trên đường dẫn mạng từ EP tới G K . Điều này cần thiết một khi kẻ tấn công muốn thiết lập một cuộc gọi và bởi vậy cần nhận phúc đáp của GK.
f r ,
Nêu kè tân công quyêt định đóng vai một người dùng đã được dăng ký, thì anil ta bỏ qua yêu cầu dăng ký và bắt đầu bằng việc gửi một thông báo yêu cầu thu nạp.
65
Đây là mạo hiểm thứ liai có thể, kỏ tấn công phái sử dụng nhận dạng (U scrll)) cũa người dùng mà anh ta muôn già danh. Kẻ tân công cũng có khả năng nhận những phúc đáp cùa GK. N hư vậy, anh ta phải ở trên cùng mạng C011 cùa người sử dụng hoặc trên dường dẫn mạng.
Khả năng thứ ba cho một tấn công là gửi cài đặt thông báo Q .9 3 1 và bỏ qua những Ihủ tục tiền lệ. Tất cà các thông báo Q .9 3 1 đều được xác định bời CallID cùa họ. Call ID sử dụng phải hợp lệ, CallID được phát sinh trong thời gian thu nạp gọi. Như một hộ quả kẻ tấn công có để lấy nó từ cuộc gọi đã cho phép. Tuy nhiên nếu GK kiểm tra trước tính hợp lệ của CallID xem là dược hay không được sử dụng, sự tấn công sẽ không thành công.
Một ngoại lệ là các mục của danh sách ở trên, pregranted ARQ. Ở đây, các EP* * * t > r
không đòi hỏi sự cho phép của một cuộc gọi trước khi cô găng thiêt lập nó bởi việc gửi một thông báo cài đặt. Trong những từ khác chúng bỏ qua thủ tục thu nạp gọi. ở đây, thật sự không thể xác định GK và cài đặt những yêu cầu tới người dùng tương ứng. Những phương pháp khác, như sự chứng thực, phải được sử dụng.
M ột ví dụ cho một phư ơng pháp như vậy sẽ hạn chế sự sử dụng cùa pregranted ARQ tới những nhóm nhât định của những người dùng. Sự truy nhập càng được hạn chế cùng tốt. Thuận lợi là nó có thể chỉ sử dụng cho những m ạng IP với sự truy nhập vật lý cứng. M ột cách tăng an toàn khác là sự ràng buộc của U serlD tới những địa chỉ IP. Tuy nhiên, một kẻ tấn công cir trú trên cùng mạng như người sử dụng có thể nghe trộm những thông báo cài đặt. Trong trường hợp này, việc sử dụng một phương pháp chứng thực là không thể ngăn ngừa được tấn công.
Tất cả các phương pháp đề cập cho sự tin cậy chống những cuộc tấn công, không có những cơ chế thực hiện an toàn. Tuy vậy, sự ràng buộc cùa những thông báo quan trọng tới những thuộc lính U serlD , địa chỉ ỈP nguồn và đích làm cho kẻ tấn công gặp nhiều khó khăn hơn. Thậm chí nhiều sự an toàn hơn có thể có bởi việc sử dụng cùa mật khẩu hoặc những bí m ật dùng chung giữa các EP và GK,
Nếu phương pháp chứng thực này ứng dụng với tất cả các thông báo gửi từ một EP tới GK, sự an toàn phụ thuộc vào an toàn cùa mật khẩu. Tấn công sử đụng từ điển là nổi liếng về điểm này. M ật khẩu cần phải càng khó đoán càng tốt. Trong trường hợp này, kết quả của m ột sự tấn công chỉ tin cậy sức mạnh của giải thuật.
4.1.5 Giả d a n h GK
Một cuộc gọi bao gồm tối thiểu hai EP, một hoặc hơn m ột GK và BES. Một EP (EP1) thiết lập cuộc gọi tới EP khác ( EP2). Cuộc gọi được định hướng qua GK đầu tiên ( GK.1). Nếu ẸP2 bị điều khiển bởi một GK khác không phải là cuộc gọi một, GK1 cần chuyển yêu cầu thiết lập cuộc gọi tới GK thứ hai ( GK 2). GK2 sau đó liên lạc với EP2. Yêu cầu thiết lập cuộc gọi nàỵ là thông điệp Q .9 3 1, thông điệp thiết lập. GKỈ tim ra “đường dẫn” của thông điệp thiết lập bởi thông tin với BES. Thông tin phản hồi từ
BES chứa đựng thông tin liên quan tới E P I, EP2 và GK2. Có hai cách đóng vai mộl GK có thể thành công :
• Đóng vai GK thứ hai • Đóng vai BES
Trong cách dầu tiên, chủ ý của tín hiệu phát là GK chấp nhận yêu càu thiết lập cuộc gọi như thể nó đã được gửi bởi một GK hợp lệ. K hông có cơ chế chứng thực trong Q.931 trước khi cuộc gọi thực sự được thiết lập. Điều này thể hiện rằng thông điệp cài đặt đã gửi tới GK nhưng GK không xác định được là nó đến từ m ột EP đã được đăng ký đang đến từ một GK khác. Đây là tình huông không m uôn, khi mà tín hiệu phát chỉ cần gửi m ột thông điệp cài đặt để thiết lập cuộc gọi. Phương pháp đơn giản để chống lại điều này là sẽ thông báo tới GK về tất cả các G K khác trong hệ thống điện thoại. Ví dụ, một GK có thể có tất cả những thông tin và các địa chỉ IP của các G K khác tại thời điểm khởi động của nó khi nó đăng ký với BES. Tuy nhiên, ở đâỵ xuất hiện vấn đề là nếu tín hiệu phát được định vị giữa hai G K hợp lệ, nó sẽ có thể đóng vai một GK hướng về GK khác. N hư vậy, truyền thông giữ a liai GK yêu cầu sự chứng thực lẫn nhau. Hơn nữa, nếu hai GK được định vị tại nhữ ng m ạng khác nhau, thì cần phải có một kiểu ứng dụng “proxy server” chỉ cho phép các cuộc gọi từ những GK ủy quyền để truy nhập sang m ạng khác. H.235v2 cũng hỗ trợ sự toàn vẹn dữ liệu, nó cũng cần thiết cho kết nối. Nó sẽ không đủ đảm bảo chắc chắn về đặc tính của người
* ^ y
gửi thông điệp, nêu nó có khả năng đê thay đôi các trường đơn lè của các thông điệp. Sử dụng giải thuật IIM A C trong H.235v2 cung cấp tất cả sự chứng thực sự tồn tại ngang hàng và sự toàn vẹn dữ liệu. Tuy nhiên, những thuật toán của II.235v2 bị hạn chế bởi giao thức. Không có những lưu tâm tới kiến Irúc an toàn hoặc chìa khóa phát
* w r.
sinh, phân phôi và cập nhật. Đôi với các EP thì không sao cả do chúng được cung câp mật khẩu tại thời điểm xác nhận.
Cách thứ hai là đóng vai một GK chống lại BES. Điều này có thổ giúp cho việc khám phá các UserlD, các địa chỉ IP của các EP, các G K và những mật khẩu của chúng. Vì dữ liệu bí mật này Kết nối sở hữu giữa GK và BES cũng cần được đảm bảo an toàn. Chứng thực sự tồn tại cũng giống như sự riêng biệt là cần thiết. Khá năng khác là chia hai kiến trúc trong các m ạng con. N ếu GK có hai giao diện m ạng nó sẽ không cần những đo đạc từ phần mềm nào khác để giữ an toàn cho kết nối G K - BES. BES ở trên mạng khác khi đó các EP và hai mạng hoàn toàn tách biệt lẫn nhau. Chì GK có thể truy nhập vào cả hai m ạng con. Dù sao sự an toàn TLS cần phải được thực hiện.
4.1.6 Đóng vai BES
BES chỉ truyền thông với các GK. Giao thức được sử dụng là kiểu giao thức khách/chủ (client/server) và nó là giao thức độc quyền. GK yêu cầu thông tin và BES trà lời. Tín hiệu phát được mô tả trước đó (Sự đóng vai của G K gửi tới BES) cũng có thê có hướng khác: tín hiệu phát đóng vai đóng vai là BES.
67
Giả Ihiết rằng không có sự c lì ứng 111 ực lừ B1ỈS tới CÌK, tín hiệu phái với kliả năng chận đứng những thông báo từ GK tới BES có thể gửi một vài dạng dữ liệu tới GK miễn là anh ta tuân tlìủ giao thức. Tín hiệu phát có thể giả mạo nhận biết cùa nó qua việc chặn một thông báo từ GK tới BES và sửa dổi, ví dụ
: trường chứa đựng m ật khẩu cùa EP trong tín hiệu trả lời của BES. Nỏ thậm chí cỏ thể sáng chế ra m ột đặc tính mới cùa EP và điền vào trong các trường trong tín hiệu trà lời với các giá trị tương ứng. Những tín hiệu phát này dẫn tới kết luận GK và BHS cần chứng thực lẫn nhau. N hư trong mục trước các thành phần riêng lẻ của mạng bên trong mội m ạng con của BES và cho các EP giải quyết vấn đề này.
4.2 Các kiến trú c giao thức
Tất cả các giao thức VoIP đều là những giao thức cùa lớp ứng dụng. Những giao tlìức V oĩP ở trên lớp IP, giao thức Internet.... N hững giao thức V olP không giới hạn sử dụng bất kỳ giao thức lớp chuyển vận xác định nào, như TCP hoặc ƯDP. Bởi vì chúng là những giao thức lớp chuyên vận được sử dụng trong Internet tới một phạm vi lớn.
Hình 4.2: Kiến trúc giao thức
Nhìn vào H.323 ở phía trên bên trái ta thấy ở ngoài các giao thức được bao gồm: phân quan trọng nhât của năm giao thức là H.255.0, bao gồm cả RAS (Registration Admission Status: sự đăng ký, kênh thu nạp và trạng thái) lẫn Ọ.931, và H.245. Những phân chính cùa kiến trúc 11.323 là gatekeeper, EP và M CU s (M ultipoint Control Unit: những đơn vị hội nghị nhiều điểm). RAS chỉ rõ cấu trúc thông báo, những lệnh và những tlnì tục, như đăng ký của EP tới gatekeeper, để được sử dụng các thiết bị dầu
cuối và gatekeepers. Trong Q.931 thông điệp gọi báo hiệu và các thủ tục được chỉ rõ. Trong mỗi phiên họp H.323, một kênh điêu khiên H.245 được tạo ra.
Vỏ bọc cùa H.450.X và những dịch vụ kỹ thuật điện thoại bổ sung có thể được cung cấp trong kiến trúc H.323. H.235 chỉ rõ khung an toàn cho H.323 và những hệ thông khác dùng điều khiển nền tảng H.245.
SIP và MGCP không cung cấp hoặc yêu cầu những giao thức riêng biệt. Nó phải được sử dụng ở giữa các phần tử mạng khác nhau.
Phương tiện truyền thông thực tế ví như âm thanh cần sử dụng mã hóa thích hợp trước. Những dòng âm thanh được mã hoá sau đó được đi qua lớp ứng dụng khác, giao thức RTP (Real - Tim e Transport Protocol: thù tục chuyên vận thời gian thực) sau đó
1ÌÓ được đi qua ƯDP và được sử dụng để chuyển những dòng thông tin mang tính thời