- Để triền khai thử nghiệm, cần một hệ thống mạng, kết nối với hai máy tính.
- Cài đặt các phần mềm mã nguồn mở: H323 Phone, GNU Gatekeeper và Wireshark trên máy tính.
3.2.1 H323 Phone
H323Phone là một H.323 softphone miễn phí, có thể được sử dụng để thực hiện hoặc nhận cuộc gọi thông qua Internet.
Nó tương thích với tất cả các nhà cung cấp dịch vụ VoIP và hỗ trợ giao thức H.323.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Tương thích với các hệ điều hành: Windows 98/Me/2000/XP/2003/Vista
- Hỗ trợ công việc đằng sau NAT / Firewall (STUN được sử dụng) G.711, iLBC codec.
- Voice Activity Detection (làm giảm lưu lượng truy cập dữ liệu được gửi trong thời gian im lặng).
- Tự động điều chỉnh bộ đệm Jitter.
- Âm DTMF (có thể được tích hợp với thư thoại hoặc giai điệu khác điều khiển hệ thống).
- Đăng ký với gatekeeper hoặc các công trình thông qua cổng.
- Gọi lại số cuối cùng.
- Lịch sử của 10 số đã gọi mới nhất.
- Danh sách người sử dụng quay số nhanh chóng.
3.2.2 GNU Gatekeeper
Gatekeeper GNU là một dự án mã nguồn mở mà thực hiện một gatekeeper H.323. Gatekeeper cung cấp dịch vụ kiểm soát cuộc gọi đến thiết bị đầu cuối H.323 và là một phần không thể thiếu của hầu hết các cài đặt hội nghị điện thoại hoặc video được dựa trên các tiêu chuẩn H.323.
Theo tiêu chuẩn H.323, một gatekeeper sẽ cung cấp các dịch vụ sau:
- Dịch địa chỉ.
- Điều khiển đăng nhập.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Quản lý Khu.
- Điều khiển cuộc gọi tín hiệu.
- Cho phép gọi.
- Quản lý băng thông.
- Quản lý cuộc gọi.
Gatekeeper GNU thực hiện tất cả các chức năng và một số tính năng bổ sung. Đối với việc xử lý giao thức và mã hóa và giải mã các thông điệp, nó sử dụng thư viện H323Plus.
3.2.3 Wireshark
- Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau.
Các giao thức được hỗ trợ bởi WireShark: Có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ.
- Thân thiện với người dùng:
- Giá rẻ: Wireshark là một sản phẩm miễn phí GPL.
- Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.
- Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Một trong các vấn đề phổ biến nhất là mất kết nối mạng. Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin.
3.3 Demo.
3.3.1 Truyền trực tiếp và bắt gói tin.
- Kích hoạt biểu tượng H.323 Phone ở máy gọi và máy nhận cuộc gọi
- Nhập IP cua máy nhận cuộc gọi
- Kích chuột vào nút Call
H.323Phone máy gọi H.323Phone máy nhận cuộc gọi
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Trên máy nhận cuộc gọi, chọn Answer, cuộc gọi bắt đầu giữa 2 máy tính. Kêt thúc, một trong hai bên chọn Cancel
- Mở Wireshark, chọn Capture/Interfaces…, chọn giao diện muốn sử dụng sau đó chọn Start, quá trình bắt gói tin bắt đầu
H.3-2. Giao diện chính của Wireshark đang bắt gói tin
- Dừng bắt gói tin chọn Capture/Stop, sau đó lưu hình ảnh gói tin với tên “Truc tiep”.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
H.3-3. Đồ thị truyền gói tin đã được bắt.
3.3.2 Truyền với chuẩn bảo mật H.235 qua GNU Gatekeeper.
Đầu tiên ta kích hoạt GNU Gatekeeper.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Tiếp theo mở H.323 Phone ở máy gọi và máy nhận cuộc gọi, trên giao diện H.323 của máy gọi, ta chọn Setup, nhập đia chỉ gnugk vào Gatekeeper address (127.0.0.1), sau đó chọn Apply/OK. Quá trình thực hiện tiếp theo tương tự như gọi trực tiếp (đã trình bày ở trên). Hình ảnh gói tin lưu với tên “Qua GNU”.
H.3-5. Giao diện chính của Wireshark đang bắt gói tin truyền qua GNU gatekeeper.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
H.3-6. Đồ thị truyền gói tin đã được bắt truyền qua GNU gatekeeper.
Qua việc thử nghiệm quá trình truyền âm thanh qua hệ thống VoIP với hai quá trình truyền trực tiếp và truyền qua GNU gatekeeper có cơ chế bảo mật của H.235 thì:
- Dữ liệu trực tiếp: thông tin không mã nên các mảng UDP bắt được bình thường (294 byte).
- Dữ liệu GNU bên trong mảng UDP đã mã mật nên WireShark không nhận biết được nên thông báo lỗi.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
KẾT LUẬN
Luận văn này trình các giao thức chính được sử dụng trong VoIP, làm thế nào để làm việc, cơ chế bảo mật, các lỗ hổng và các cuộc tấn công sang VoIP. Mục tiêu của luận văn này là để giới thiệu các lĩnh vực kỹ thuật trong VoIP, giúp mọi người hiểu thủ tục làm việc VoIP và cơ chế bảo mật trong VoIP, chỉ ra điểm yếu bảo mật trong hệ thống VoIP hiện nay.
Đề tài đã tiến hành thực nghiệm truyền VoIP qua hệ thống mạng, có sự bảo mật của chuẩn bảo mật H.235 và nhận xét về kết quả thực nghiệm.
Mặc dù mỗi giao thức có cơ chế bảo mật, nhưng chưa có giải pháp hoàn hảo trên thế giới, mỗi cơ chế bảo mật có nhược điểm riêng của nó, để khắc phục nhược điểm này, các giao thức sử dụng cơ chế bảo mật khác, và các cơ chế mới cũng sẽ mang lại những vấn đề mới.
VoIP là công nghệ vẫn còn ở giai đoạn đầu, các cuộc tấn công chống lại việc triển khai VoIP đã được mở rộng. Nhiệm vụ bảo vệ VoIP là phức tạp hơn, tạo ra thách thức để cải thiện dịch vụ bảo vệ trên nhiều lĩnh vực, từ thuật toán mã hóa quản lý chủ chốt, từ triển khai phần cứng, thiết kế giao thức phần mềm, từ an ninh mạng cho các thành phần quan trọng cơ bản trong VoIP, cấp phát tài nguyên VoIP, v.v… Như VoIP tăng phổ biến và số lượng người sử dụng, và nhiều tiềm năng sẽ có các cuộc tấn công nhiều hơn. Bên cạnh các lỗ hổng được khai thác trong luận án này, vẫn còn có nhiều lỗ hổng cần được phát hiện trong khu vực quan trọng của VoIP, để ngăn chặn những kẻ tấn công. Vì vậy, nghiên cứu sâu hơn đã được thực hiện trong phạm vi từng khu vực. Hơn nữa, để bảo vệ hệ thống VoIP, chính sách bảo mật tốt là cần thiết. Chính sách bảo mật của VoIP nên bao gồm tất cả VoIP nhu cầu cụ thể. Bảo mật cho một hệ thống VoIP nên
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
bắt đầu với an ninh vững chắc trong hệ thống mạng, tải của hệ thống VoIP nên được phân bổ đúng cách của các thành phần mạng và VoIP để đảm bảo các nguồn lực thích hợp có sẵn, phân tích rủi ro cho từng nhu cầu của các thành phần và quá trình để xác định các các lỗ hổng và các mối đe dọa, sẽ cung cấp các thông tin đó là cần thiết để xác định các biện pháp bảo mật thích hợp. Khi tất cả các giải pháp bảo mật là một “con dao hai lưỡi” nên giữ sự cân bằng giữa an ninh và yêu cầu kinh doanh là rất quan trọng để thực hiện thành công VoIP.
Trong tương lai, các giao thức sẽ được tốt hơn, băng thông sẽ đủ và kinh tế hơn, và an ninh sẽ được tăng cường, tất cả các tính năng này sẽ được nghiên cứu tiếp theo để xây dựng hệ thống VoIP Security và lai cho VoIP sẽ tươi sáng hơn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
TÀI LIỆU THAM KHẢO Tiếng Việt
[1]. Nguyễn Thúc Hải (1997), Mạng máy tính và các hệ thống mở, NXB Giáo dục.
[2]. Trương Đình Hoàng (2011), Nguy cơ và bảo mật cho hệ thống Voice Over IP, Chi hội An toàn Thông tin phía Nam (VNISA phía Nam).
Tiếng Anh
[3]. Eric Weiss (2011), Security Concerns with VoIP,
http://www.sans.org/reading_room/whitepapers/voip/security-concerns- voip_323, ngày 20/9/2011.
[4]. Li Li Gao (2006), Security in VoIP-Current Situation and Necessary Development, Master Thesis, ISY at Linköping Institute of Technology.
[5]. Kaquish Malek, “Annex D,E,F by comparison for H.235“, June, 2001. [6]. Rahul Singhai and Prof. Anirudha Sahoo (2006), VoIP SECURITY,
http://www.it.iitb.ac.in/~rahuls/resources, ngày 11/8/2011.
[7]. Website: http://www.itu.org