Có các mối đe dọa phức tạp nhằm vào hệ thống, tuy nhiên, VoIP đưa ra lỗ hổng mới, từ thiết bị người dùng cuối, chẳng hạn như máy điện thoại IP, điện thoại mềm, truyền thông không dây, thiết bị tín hiệu, chẳng hạn như H.323 gatekeeper, máy chủ ủy quền SIP. Các cuộc tấn công bao gồm các cuộc tấn công DoS đơn giản nhằm mục đích sẵn sàng tiêu huỷ một số tài nguyên, dịch vụ, không trung thực danh tính, chẳng hạn như thực hiện cuộc gọi điện thoại, v.v…
Vấn đề bảo mật của VoIP là phức tạp, mặc dù có một số cơ chế bảo mật, nhưng vẫn còn các vấn đề khác mà không thể dễ dàng giải quyết bằng các
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
phương pháp bảo mật truyền thống. Trong các bước khác nhau của VoIP, có mối đe dọa tấn công khác nhau:
(1). Sau khi dữ liệu giọng nói được số hóa và nén, nó sẽ được gửi vào mạng bằng cáp, hoặc bằng cách truy cập không dây với một mạng có dây. Truy cập không dây đưa ra các lỗ hổng bảo mật mới của VoIP. Các tiêu chuẩn giao thức chính trong mạng không dây IEEE 802.11b. IEEE 802.11b có một số cơ chế bảo mật, chẳng hạn như mã hóa với WEP, sử dụng SSID để kiểm soát truy cập, sử dụng quan trọng trong xác thực, v.v... Mặc dù 802.11b có một số cơ chế bảo mật, nhưng có những lỗ hổng với mỗi cơ chế, chẳng hạn như 802.11b sử dụng WEP để mã hóa tin nhắn chuyển giao, có nhiều vấn đề bảo mật với WEP. Một số công cụ (chẳng hạn như AirSnort, WEPCrack) có sẵn cho kẻ tấn công có thể để bẻ các khóa WEP bằng cách phân tích lưu lượng truy cập; Vấn đề với SSID là người sử dụng thường không thay đổi SSID mặc định, điều này cho phép cơ hội cho kẻ tấn công, điểm truy cập không dây có thể bị mất tín hiệu vì nó phát sóng trên không khí; chính trao đổi cũng không được đảm bảo.
(2). Sau khi dữ liệu thoại được gửi vào mạng, dữ liệu giọng nói có mối đe dọa tấn công tương tự như gói dữ liệu khác trên mạng. Hiện nay, có một số phương pháp để bảo đảm an ninh mạng, chẳng hạn như bằng cách cài đặt tường lửa để kiểm soát truy cập vào mạng, sử dụng danh sách kiểm soát truy cập để kiểm soát nguồn của gói tin, bằng cách sử dụng NAT để ẩn mạng nội bộ từ bỏ mạng tin cậy, sử dụng mã hóa để bảo vệ toàn vẹn dữ liệu, v.v… Những phương pháp này thực hiện bảo vệ mạng đến mức độ nào đó, nhưng vì những đặc tính đặc biệt của VoIP, nên các phương pháp này không đủ mạnh để bảo đảm cho mạng VoIP. Kể từ khi các giao thức báo hiệu trong VoIP sử dụng cổng động, chẳng hạn như H.323, vì vậy, bức tường lửa lọc gói tin không phải là một giải
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
pháp tốt, vì nó cần để mở và đóng cổng tự động, hơn nữa, kể từ khi H.323 sử dụng địa chỉ IP nhúng, nó không có thể viết lại bởi NAT.
(3). Các gói tin bằng giọng nói sẽ được gửi đến hệ thống máy chủ VoIP sau khi họ đi ra khỏi mạng. Hệ thống máy chủ VoIP là thành phần quan trọng trong VoIP, và cũng có một điểm yếu trong hệ thống VoIP. Vì hầu hết các hệ thống VoIP được thiết kế trên nền tảng mở, chẳng hạn như Unix, Windows server, v.v…, tường lửa được sử dụng để bảo vệ máy chủ, như mô tả ở trên, từ khi VoIP cần tới việc để tự động mở cổng, thì sự phức tạp của tường lửa tăng thêm, bên cạnh đó, nếu có một số lỗi với hệ điều hành cơ bản, hệ điều hành riêng sẽ dễ dàng hơn để bị tấn công. Mặc dù có phần mềm chống virus và các bản vá lỗi hệ thống có thể được sử dụng để bảo vệ hệ điều hành cơ bản, nhưng hệ thống VoIP vẫn còn chia sẻ rủi ro cùng với nó.
(4). Trong VoIP, có một số thiết bị chính chịu trách nhiệm quan trọng trong hoạt động VoIP, chẳng hạn như cổng, gatekeeper, máy chủ, thiết lập điện thoại IP. Trong hầu hết các trường hợp, chúng không được bảo vệ, đây là một cơ hội rõ ràng cho kẻ tấn công để tấn công độc hại, chẳng hạn như bằng cách nhìn thấy một đăng nhập người dùng đến máy chủ, nhớ mật khẩu của người sử dụng, sau đó sử dụng mật khẩu của thành viên này để đăng nhập và thực hiện cuộc gọi khác.
Trên đây là một mô tả chung vấn đề an ninh hiện nay trong VoIP, trong thực tế, còn có nhiều cuộc tấn công khác.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Chƣơng II: GIẢI PHÁP BẢO MẬT VOIP SỬ DỤNG CHUẨN H.235[4]