Embed Size (px)
Citation preview
LUẬN VĂN TỐT NGHIỆP 2013
Trang 1
NHIỆM VỤ THỰC HIỆN KHÓA LUẬN TỐT NGHIỆP
Họ tên SV: Lê Đăng Luận MSSV: 09910050
Họ tên SV: Trần Thị Như Quỳnh MSSV: 09910073
Chuyên ngành: Sư phạm kỹ thuật Công nghệ thông tin.
Tên đề tài:
MỘT SỐ VẤN ĐỀ BẢO MẬT TRONG VOIP
Nội Dung Thực Hiện:
Lý thuyết:
- Tìm hiểu tổng quan về hệ thống VoIP.
- Tìm hiểu các giao thức sử dụng trong VoIP.
- Giới thiệu lí thuyết về các mối đe dọa và tấn công mà hacker có thể
dùng để xâm nhập vào hệ thống.
- Nghiên cứu các lỗ hỗng ảnh hưởng đến hệ thống VoIP.
- Xác định các cơ chế bảo mật cho hệ thống.
Thực hành:
- Thực hiện các cuộc tấn công cơ bản mà hacker dùng để xâm nhập
vào hệ thống (tấn công nghe lén, tấn công DoS,…)
- Từ các cuộc tấn công đó, xây dựng cơ chế bảo mật phù hợp đảm
bảo hệ thống được an toàn (xây dựng firewall, cấu hình chứng thực
TLS,…)
Thời gian thực hiện: 04/03/2013 – 18/06/2013
Chữ ký của SV:
Chữ ký của SV:
TP.HCM, Ngày 18 tháng 06 năm 2013
GIẢNG VIÊN HƯỚNG DẪN
ĐH SƯ PHẠM KĨ THUẬT TP.HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
LUẬN VĂN TỐT NGHIỆP 2013
Trang 2
LỜI CẢM ƠN
Để hoàn thành được luận văn này, đầu tiên nhóm thực hiện xin được
gửi lời cảm ơn đến Ban Giám Hiệu, Quý Thầy Cô trong trường và đặc biệt
là Thầy Cô trong khoa Công Nghệ Thông Tin Trường Đại Học Sư Phạm
Kỹ Thuật TP.HCM đã tận tình chỉ dẫn, truyền đạt kiến thức cũng như tạo
điều kiện thuận lợi cho nhóm thực hiện trong suốt quá trình học tập vừa
qua.
Đặt biệt nhóm thực hiện xin chân thành cảm ơn Thầy ĐINH CÔNG
ĐOAN đã tận tình hướng dẫn, quan tâm theo dõi và động viên để nhóm
thực hiện hoàn thành tốt luận văn này.
Ngoài ra, nhóm thực hiện cũng xin gửi lời cảm ơn đến tất cả các bạn
cùng khóa và người thân xung quanh đã giúp đỡ về vật chất và tinh thần để
nhóm đạt được thành tích như ngày hôm nay.
NHÓM THỰC HIỆN
LUẬN VĂN TỐT NGHIỆP 2013
Trang 3
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
TP HCM, ngày tháng năm
Ký tên
LUẬN VĂN TỐT NGHIỆP 2013
Trang 4
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
TP HCM, ngày tháng năm
Ký tên
LUẬN VĂN TỐT NGHIỆP 2013
Trang 5
LỜI NÓI ĐẦU
Với sự phát triển của mạng chuyển mạch gói IP cùng với sự hội nhập mạnh mẽ
vào nền kinh tế của khu vực và thế giới. Cùng với chất lượng dịch vụ ổn định, chi
phí thấp cho các cuộc gọi trong nước cũng như ngoài nước thì khả năng cạnh tranh
trong lĩnh vực truyền thông là một yếu tố quan trọng. Do đó VoIP trở thành một
công nghệ rất phổ biến với chi phí thấp và cấu trúc mềm dẻo đáp ứng được nhu cầu
người sử dụng. Tuy nhiên, để thiết lập một hệ thống VoIP ngoài chất lượng dịch vụ
thì vấn đề bảo mật cho hệ thống VoIP cũng là một yếu tố quan trọng không kém.
Việc tích hợp các dịch vụ thoại, dữ liệu, video,… trên cùng một hạ tầng mạng IP đã
mang đến nhiều nguy cơ tiềm ẩn về bảo mật. Không chỉ do mạng IP là một mạng
công cộng, nguy cơ tấn công lớn mà bản thân các giao thức VoIP cũng có những
nguy cơ về bảo mật.
Từ những vấn đề đó, với kiến thức đã học tại trường và được sự hướng dẫn tận
tình của thầy ĐINH CÔNG ĐOAN, nhóm sinh viên quyết định thực hiện đề tài:
“Một số vấn đề bảo mật trong VoIP”.
Do thời gian và kiến thức chuyên môn còn hạn chế nên trong quá trình thực
hiện luận văn không thể tránh được những thiếu sót nhất định. Nhóm thực hiện rất
mong sự giúp đỡ cũng như các ý kiến đóng góp của Thầy Cô và các bạn để luân văn
được hoàn thiện hơn.
NHÓM THỰC HIỆN
LUẬN VĂN TỐT NGHIỆP 2013
Trang 6
MỤC LỤC
LỜI CẢM ƠN ............................................................................................................. 2
MỞ ĐẦU ............................................................................................................... 13
1. LÍ DO CHỌN ĐỀ TÀI. .................................................................................... 14
1.1. Lí Do Khách Quan. .................................................................................... 14
1.2. Lí Do Chủ Quan. ........................................................................................ 14
2. GIỚI HẠN ĐỀ TÀI. .......................................................................................... 14
3. MỤC ĐÍCH NGHIÊN CỨU. ............................................................................ 15
3.1. Mục Đích Trước Mắt. ................................................................................ 15
3.2. Mục Đích Cụ Thể. ...................................................................................... 15
3.3. Mục Đích Lâu Dài. ..................................................................................... 15
4. THỂ THỨC NGHIÊN CỨU. ............................................................................ 15
4.1. Dàn Ý Chi Tiết. .......................................................................................... 15
4.2. Đối Tượng Nghiên Cứu ............................................................................. 16
4.3. Phương Pháp Nghiên Cứu .......................................................................... 16
4.4. Phương Tiện Nghiên Cứu .......................................................................... 17
NỘI DUNG ........................................................................................................... 18
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG VOIP ....................................................... 19
1.1 Giới Thiệu ........................................................................................................... 19
1.1.1. Giới Thiệu Về Mạng VoIP .......................................................................... 19
1.1.2. Ưu Và Nhược Điểm Của Mạng VoIP ........................................................ 20
1.2 Mối Quan Hệ Giữa VoIP Với Thông Tin Liên Lạc ............................................ 22
1.2.1. Mối Quan Hệ Giữa VoIP Và Truyền Thông........................................... 22
1.2.2. Mối Quan Hệ Giữa VoIP Và Giao Tiếp IP ............................................. 23
1.3 Những Nguy Cơ Và Thách Thức Trong Bảo Mật VoIP ..................................... 23
CHƯƠNG 2: KIẾN TRÚC VÀ CÁC GIAO THỨC TRONG MẠNG VOIP ......... 25
2.1. Kiến Trúc Và Các Thành Phần VoIP ............................................................. 25
LUẬN VĂN TỐT NGHIỆP 2013
Trang 7
2.1.1. Kiến Trúc Mạng VoIP ............................................................................. 25
2.1.2. Những Thành Phần Trong Mạng VoIP ................................................... 31
2.2. Các Giao Thức Trong VoIP ........................................................................... 33
2.2.1. Các Giao Thức Báo Hiệu Trong VoIP (Signaling Protocol). ................. 33
2.2.2. Giao Thức Media Transport .................................................................... 62
2.2.3. Các Giao Thức Khác Sử Dụng Trong Voip ............................................ 73
CHƯƠNG 3: CÁC MỐI ĐE DỌA VÀ SỰ TẤN CÔNG TRONG VOIP. .............. 75
3.1. Định Nghĩa Về Các Mối Đe Dọa Và Tấn Công Trong Voip ......................... 75
3.2. Sự Gián Đoạn Dịch Vụ (Service Disruption): ............................................... 78
3.3. Các Tấn Công Liên Quan Đến Dịch Vụ Điện Thoại. .................................... 80
3.4. Tấn Công Từ Chối Dịch Vụ. .......................................................................... 81
3.5. Tấn Công Kiểu Quấy Rối ( Annoyance (SPIT)). ........................................... 83
3.6. Truy Cập Trái Phép ( Unauthorized Access). ................................................ 84
3.7. Nghe Trộm ( Eavesdropping). ....................................................................... 88
3.8. Giả Mạo. ......................................................................................................... 91
3.9. Gian Lận ( Fraud). .......................................................................................... 92
CHƯƠNG 4: CÁC LỖ HỔNG TRONG BẢO MẬT VOIP ..................................... 95
4.1. Lỗ Hổng Do Mạng Và Môi Trường. .............................................................. 95
4.1.1 Tấn Công Từ Chối Dịch Vụ (Dos) VoIP ................................................. 95
4.1.2 Một Sô Cách Tấn Công Chặn Và Cướp Cuộc Gọi ................................ 101
4.1.3 Các Tấn Công Liên Quan Đến Dịch Vụ Điện Thoại ............................. 104
4.1.4 Lỗ Hổng Với IP Phone Và Softphone ................................................... 105
4.2. Lỗ Hổng Đối Với SIP .................................................................................. 106
4.3. Lỗ Hổng Về Bảo Mật Đối Với Hệ Thống H.323 ......................................... 109
CHƯƠNG 5: CÁC CƠ CHẾ BẢO MẬT TRONG VoIP ....................................... 112
5.1. Cơ Chế Bảo Vệ Tín Hiệu ............................................................................. 112
5.1.1. Cơ Chế Bảo Vệ Đối Với SIP ................................................................ 112
5.1.2. Bảo Mật Đối Với Tầng Vận Chuyển .................................................... 114
LUẬN VĂN TỐT NGHIỆP 2013
Trang 8
5.1.3. S/MIME................................................................................................. 117
5.1.4. IPSec ..................................................................................................... 118
5.2. Cơ Chế Bảo Vệ Trong Truyền Thông .......................................................... 120
5.2.1. SRTP ..................................................................................................... 120
5.2.2. SRTCP................................................................................................... 120
5.3. Cơ Chế Quản Lí Khóa .................................................................................. 122
5.3.1. MIKEY .................................................................................................. 122
5.3.2. SRTP Security Descriptions .................................................................. 123
CHƯƠNG 6: CẤU HÌNH VÀ BẢO MẬT HỆ THỐNG VOIP ............................. 124
6.1. Mô Hình VoIP .............................................................................................. 124
6.2. Cài Đặt Và Cấu Hình ................................................................................... 124
6.2.1. Cài Đặt Chương Trình .......................................................................... 124
6.2.2.Tiến Hành Tấn Công Và Đưa Ra Biện Pháp Ngăn Chặn Tấn Công. .... 126
KẾT LUẬN ............................................................................................................. 135
TÀI LIỆU THAM KHẢO ....................................................................................... 136
LUẬN VĂN TỐT NGHIỆP 2013
Trang 9
DANH MỤC HÌNH VẼ
Hình 2.1: Truyền thông P2P giữa 2 máy trạm .......................................................... 26
Hình 2.2: VoIP trong mạng doanh nghiệp ................................................................ 28
Hình 2.3: Các thành phần cơ bản trong mạng VoIP ................................................. 31
Hình 2.4: Hệ thống tín hiệu SS7 quy định trong RFC 2719 ..................................... 34
Hình 2.5: Các thành phần của H.323 ........................................................................ 34
Hình 2.6: Sơ đồ khối thiết bị đầu cuối H.323 ........................................................... 36
Hình 2.7: Hình ảnh Gateway ..................................................................................... 37
Hình 2.8: Hình ảnh Gatekeper .................................................................................. 37
Hình 2.9: Giao thức báo hiệu H323 .......................................................................... 40
Hình 2.10: Q931 trong thiết lập cuộc gọi .................................................................. 44
Hình 2.11: Cấu trúc luồng media giữa các thiết bị đầu cuối. .................................... 46
Hình 2.12:Thiết lập cuộc gọi trong H323 ................................................................. 46
Hình 2.13: Giao tiếp UAC và UA ............................................................................. 52
Hình 2.14: Giao tiếp qua SIP Proxy .......................................................................... 54
Hình 2.15: Quá trình đăng kí..................................................................................... 55
Hình 2.16: Quy trình gọi redirection ......................................................................... 56
Hình 2.17: Các thành phần chính của MGCP ........................................................... 58
Hình 2.18: Sử dụng Multicast trong truyền dữ liệu đa phương tiện. ........................ 64
Hình 2.19: Phần cố định của đơn vị dữ liệu RTP ..................................................... 66
Hình 2.20: Phần mở rộng cấu trúc dữ liệu RTP ........................................................ 68
Hình 2.21: Cấu trúc gói tin RTCP ............................................................................ 72
Hình 3.1. Các điểm có thể bị ảnh hưởng khi bị tấn công DoS.................................. 79
Hình 3.2. Các mục tiêu tấn công của DoS ................................................................ 79
Hình 3.3. Kiểm tra lỗi SIP Fooding .......................................................................... 83
Hình 3.4: Các vị trí có thể xảy ra truy cập trái phép ................................................. 84
Hình 3.5. Dò mật khẩu bằng tấn công từ điển .......................................................... 88
Hình 3.6: Dùng Wireshark để xem lưu lượng mạng ................................................. 89
LUẬN VĂN TỐT NGHIỆP 2013
Trang 10
Hình 3.8: Tấn công hệ thống VoIP dùng các gói độc hại (Poisoning). .................... 90
Hình 4.1: Tấn công DoS ............................................................................................ 96
Hình 4.2: Tấn công Ping of Death ............................................................................ 96
Hình 4.3: Tấn công SYN flood ................................................................................. 97
Hình 4.4: Tấn công Smurf ......................................................................................... 98
Hình 4.5: Tấn công DDoS ......................................................................................... 98
Hình 4.6: Tấn công man in the middle .................................................................... 102
Hình 4.7: Tấn công bằng bản tin đăng ký ............................................................... 107
Hình 4.8: Giả dạng Proxy ........................................................................................ 108
Hình 5.1: Chứng thực cho đăng kí thiết bị, bắt đầu và chấm dứt cuộc gọi. ............ 113
Hình 5.2: TLS handshake được định nghĩa trong RFC 4346 ................................. 115
Hình 5.3: Sử dụng SIPS .......................................................................................... 116
Hình 5.4: Bảo mật thông điệp SIP sử dụng IPSec .................................................. 119
Hình 5.5: Định dạng của gói tin SRTCP ................................................................. 121
Hình 6.1: Mô hình LAB VOIP ................................................................................ 124
Hình 6.2: Giao diện đồ họa CentOS 5.8 ................................................................. 125
Hình 6.3: Giao diện PhonerLite .............................................................................. 126
Hình 6.4: Chọn mạng thực hiện nghe lén. .............................................................. 127
Hình 6.5: Bắt gói tin khi bắt đầu cuộc gọi .............................................................. 127
Hình 6.6: Xem nội dung cuộc hội thoại (1) ............................................................ 128
Hình 6.7: Xem nội dung cuộc hội thoại (2) ............................................................ 128
Hình 6.8: Xác định miền địa chỉ IP cần thực hiện tấn công ................................... 129
Hình 6.9: Tấn công bằng các gói ARP. ................................................................... 129
Hình 6.10: Xem nội dung nghe lén ......................................................................... 130
Hình 6.11: Kiểm tra số lượng gói ping được. ......................................................... 134
LUẬN VĂN TỐT NGHIỆP 2013
Trang 11
DANH MỤC BẢNG BIỂU
Bảng 2.1: Các gói trong MGCP ................................................................................ 59
Bảng 2.2: Thông tin các gói được hỗ trợ bởi Gateway ............................................. 61
Bảng 2.3: Giá trị của trường Packet Type ................................................................. 72
LUẬN VĂN TỐT NGHIỆP 2013
Trang 12
CÁC TỪ VIẾT TẮT
VOIP: Voice Over IP
ITU: International Telecommunication Union
PBX: Private Branch eXchange
PSTN: Public Switched Telephone Service
RFC: Request For Comments
RTP: Real-time Transport Protocol
SCTP: Stream Control Transmission Protocol
SIP: Session Initiation Protocol
SDP: Session Description Protocol
SHA: Secure Hash Algorithm
SRTP: Secure Real-time Transport Protocol
TCP: Transmission Control Protocol.
TLS: Transport Layer Security.
MIKEY: Multimedia Internet KEYing.
S/MINE: Secure Multipurpose Internet Mail Extensions.
QoS: Quality of Service.
MGCP: Media Gateway Control Protocol.
Mở đầu 2013
Trang 13
MỞ ĐẦU
Mở đầu 2013
Trang 14
1. LÍ DO CHỌN ĐỀ TÀI.
1.1. Lí Do Khách Quan.
Với sự phát triển nhảy vọt của mạng chuyển mạch gói IP, nó mang lại
cho chúng ta những dịch vụ mới đa dạng và hữu ích. Đặc biệt là chất lượng
các dịch vụ viễn thông được cải thiện hơn rất nhiều so với trước kia. Có
một dịch vụ mà hiện nay nhiều người dùng quan tâm với ưu điểm dễ sử
dụng và chi phí thấp, đó là dịch vụ truyền thoại qua Internet (VoIP: Voice
over Internet Protocol).
Tuy nhiên, để thiết lập một hệ thống VoIP ngoài việc đòi hỏi về chất
lượng dịch vụ phải tốt thì vấn đề an toàn cho hệ thống cũng cần được quan
tâm. Việc tích hợp các dịch vụ thoại, video, dữ liệu trên cùng một hạ tầng
mạng IP đã mang đến nhiều nguy cơ về bảo mật cho hệ thống. Các yêu cầu
đặt ra cho VoIP không chỉ vì mạng IP là một mạng công cộng, có nguy cơ
bị tấn công cao, mà bản thân các giao thức VoIP cũng cần đảm bảo về vấn
đề bảo mật. Xuất phát từ vấn đề này, nhóm chúng tôi quyết định chọn đề
tài “Một số vấn đề bảo mật trong VoIP”.
1.2. Lí Do Chủ Quan.
Nhóm chúng tôi thực hiện đề tài nhằm mục đích tìm hiểu thêm những
kiến thức mới trong ngành Mạng máy tính. Để từ đó có thêm kiến thức
phục vụ cho quá trình học cũng như có ích cho công việc sau khi tốt nghiệp
ra trường.
2. GIỚI HẠN ĐỀ TÀI.
Đề tài “Một số vấn đề bảo mật trong VoIP” được nhóm chúng tôi lựa
chọn để thực hiện khóa luận. Trong đề tài này, nhóm chúng tôi sẽ tìm hiểu
về kiến trúc và các giao thức của mạng VoIP, xác định các mối đe dọa đối
với hệ thống từ đó phân tích các điểm yếu, các lỗ hổng, cuối cùng đưa ra
các giải pháp để giải quyết các vấn đề về bảo mật trong mạng VoIP.
Mở đầu 2013
Trang 15
3. MỤC ĐÍCH NGHIÊN CỨU.
3.1. Mục Đích Trước Mắt.
Nhằm mục đích tiếp thu những kiến thức mới để nâng cao trình độ phục vụ
cho công việc khi ra trường. Thông qua đó tạo được tác phong nghiên cứu
khoa học, năng lực tư duy và biết lập kế hoạch tạo tiền đề tốt cho quá trình
nghiên cứu sau này.
3.2. Mục Đích Cụ Thể.
Mục đích cụ thể nhóm nghiên cứu sẽ giải quyết các vấn đề sau:
- Giới thiệu nội dung.
- Cài đặt và cấu hình dịch vụ.
3.3. Mục Đích Lâu Dài.
Về lâu dài, đồ án có thể làm tài liệu cho các sinh viên chuyên ngành
cũng như ai yêu thích công nghệ thông tin.
4. THỂ THỨC NGHIÊN CỨU.
4.1. Dàn Ý Chi Tiết.
Phần mở đầu
1. Lý do chọn đề tài.
2. Giới hạn đề tài.
3. Mục đích nghiên cứu.
4. Thể thức nghiên cứu.
Phần nội dung
Chương 1: Tổng quan về mạng VoIP
1. Giới thiệu về mạng VoIP.
2. Mối quan hệ giữa VoIP với thông tin liên lạc.
3. Những nguy cơ và thách thức trong bảo mật VoIP
Chương 2: Kiến trúc và các giao thức trong mạng VoIP
1. Kiến trúc và các thành phần VoIP.
2. Các giao thức trong VoIP.
Mở đầu 2013
Trang 16
Chương 3: Các mối đe dọa và sự tấn công trong VoIP.
1. Định nghĩa về các mối đe dọa và tấn công trong VoIP
2. Sự gián đoạn dịch vụ (Service Disruption)
3. Các tấn công liên quan đến dịch vụ điện thoại.
4. Tấn công từ chối dịch vụ.
5. Tấn công kiểu quấy rối ( Annoyance (SPIT)).
6. Truy cập trái phép ( Unauthorized Access).
7. Nghe lén ( Eavesdropping).
8. Giả mạo ( Masquerading).
9. Gian lận ( Fraud).
Chương 4: Các lỗ hổng trong bảo mật VoIP
1. Lỗ hổng do mạng và môi trường.
2. Lỗ hổng đối với SIP.
3. Lỗ hổng về bảo mật đối với hệ thống H.323.
Chương 5: Các cơ chế bảo mật trong VoIP
1. Cơ chế bảo vệ tín hiệu.
2. Cơ chế bảo vệ trong truyền thông.
3. Cơ chế quản lí khóa
Chương 6: Cấu hình và bảo mật hệ thống VoIP.
1. Mô hình VoIP.
2. Cài đặt và cấu hình.
Phần kết luận – đề nghị.
Phụ lục.
4.2. Đối Tượng Nghiên Cứu
Đối tượng nghiên cứu: hệ thống Asterisk 1.8, các phần mềm thực hiện
tấn công như Sivus, Cain &Abel.
4.3. Phương Pháp Nghiên Cứu
Mở đầu 2013
Trang 17
- Phương pháp tham khảo tài liệu: thu thập các tài liệu liên quan, phục vụ
cho quá trình nghiên cứu.
- Phương pháp tổng kết kinh nghiệm: thu thập các ý kiến, các phương
pháp của thầy (cô) giảng dạy bộ môn chuyên ngành, kết hợp với những
kinh nghiệm của bản thân rồi đúc kết để đưa vào bài báo cáo này.
4.4. Phương Tiện Nghiên Cứu
- Máy tính
- Các tài liệu
- Các phần mềm hổ trợ
Nội dung 2013
Trang 18
NỘI DUNG
Chương 1 2013
Trang 19
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG VOIP
1.1 Giới Thiệu
1.1.1. Giới Thiệu Về Mạng VoIP
- VoIP (Voice over Internet Protocol) là công cụ truyền tải các cuộc liên lạc
thoại trên giao thức Internet hay còn gọi là giao thức IP. Công nghệ VoIP bắt
đầu từ năm 1995 khi công ty VocalTel đưa ra một phần mền điện thoại
Internet đầu tiên chạy trên máy tính cá nhân giống như điện thoại PC ngày
nay sử dụng card âm thanh, loa..Phần mềm này gọi là Internet Phone. Một
khuyết điểm khi đó là không có mạng dải rộng, phầm mềm sử dụng modem
do đó chất lượng thoại kém hơn nhiều so với điện thoại thông thường. Tuy
nhiên phần mềm này đã trở nên nổi tiếng đánh dấu một mốc quan trọng của
việc ra đời điện thoại IP.
- Vào năm 1998 theo thống kê lưu lượng thoại IP chiếm xấp xỉ 1% tổng lưu
lượng thoại của Mỹ. Các nhà sản xuất thiết bị cố gắng nghiên cứu cho ra các
thiết bị cho phép thông tin được truyền từ điện thoại thông thường sang PC
và từ điện thoại sang điện thoại. Vào năm 2000 một số nhà sản xuất như
Cisco và Lucent đã đưa ra thiết bị có khả năng định tuyến và chuyển mạch
lưu lượng thoại, do đó lưu lượng thoại IP đã tăng lên hơn 3% tổng lưu lượng
thoại ở Mỹ. Ngày nay các vấn đề liên quan đến chất lượng của dịch vụ VoIP
đã được giải quyết đáng kể, lưu lượng VoIP được giành quyền ưu tiên so với
các loại lưu lượng khác như dữ liệu để đảm bảo chất lượng cuộc gọi.
- Vậy VoIP là gì ?
Voice over Internet Protocol (VoIP) là một công nghệ cho phép truyền
giọng nói (tín hiệu thoại) sử dụng giao thức mạng Internet Protocol (IP),
trên cơ sở hạ tầng sẵn có của mạng Internet. VoIP còn được biết đến với các
tên như: điện thoại IP, điện thoại internet, Boardband Telephony,…
Chương 1 2013
Trang 20
1.1.2. Ưu Và Nhược Điểm Của Mạng VoIP
VoIP ra đời nhằm khai thác tính hiệu quả của các mạng truyền số liệu,
khai thác tính linh hoạt trong phát triển các ứng dụng mới của giao thức IP và
áp dụng trên một mạng toàn cầu là mạng Internet. Các tiến bộ của công nghệ
mang đến cho điện thoại IP những ưu điểm sau:
Ưu điểm:
Giảm chi phí cuộc gọi: ưu điểm nổi bật của điện thoại IP so với các
dịch vụ điện thoại thông thường là khả năng cung cấp các cuộc gọi
đường dài giá rẻ với chất lượng chấp nhận được. Nếu dịch vụ điện thoại
IP được triển khai thì chi phí cho một cuộc gọi đường dài chỉ tương
đương với chi phí truy cập Internet.
Tích hợp mạng thoại, mạng số liệu và mạng báo hiệu: Trong điện thoại
IP, tín hiệu thoại, số liệu và ngay cả báo hiệu đều có thể đi trên cùng
một mạng IP. Điều này sẽ tiết kiệm được chi phí đầu tư để xây dựng
những mạng riêng rẻ.
Khả năng mở rộng: Nếu như các hệ tổng đài thường là các hệ thống
kín, rất khó để thêm vào đó những tính năng mới. Chính tính mềm dẻo
đó mang lại cho dịch vụ điện thoại IP khả năng mở rộng dễ dàng hơn so
với điện thoại truyền thống.
Không cần thông tin điều khiển để thiết lập kênh truyền vật lý: Gói
thông tin trong mạng IP truyền đến đích mà không cần một sự thiết lập
kênh nào. Gói chỉ cần mang địa chỉ của nơi nhận cuối cùng là thông tin
đó có thể đến được đích. Do vậy, việc điều khiển cuộc gọi trong mạng
IP chỉ cần tập trung vào chức năng cuộc gọi mà không cần phải tập
trung vào chức năng thiết lập kênh.
Quản lí băng thông: Trong điện thoại chuyển mạch kênh, tài nguyên
băng thông cung cấp cho một cuộc liên lạc là cố định, nhưng trong điện
thoai IP việc phân chia tài nguyên cho các cuộc thoại linh hoạt hơn
Chương 1 2013
Trang 21
nhiều. Khi một cuộc liên lạc diễn ra, nếu lưu lượng của mạng thấp,
băng thông giành cho liên lạc sẽ cho chất lượng thoại tốt nhất có thể.
Tuy nhiên, nếu lưu lượng mạng cao, mạng sẽ hạn chế băng thông của
từng cuộc gọi ở mức duy trì chất lượng thoại chấp nhận được nhằm
phục vụ cùng lúc nhiều người gọi nhất. Đây là một yếu tố làm tăng hiệu
quả sử dụng của điện thoại IP.
Nhiều tính năng dịch vụ: Tính linh hoạt của mạng IP cho phép tạo ra
nhiều tính năng mới trong dịch vụ thoại.
Khả năng Multimedia: Trong một “cuộc gọi” người sử dụng có thể vừa
nói chuyện vừa sử dụng các dịch vụ khác như truyền file, chia sẻ dữ
liệu hay xem hình ảnh của người nói chuyện bên kia.
Nhược điểm
Kỹ thuật phức tạp: Truyền tín hiệu theo thời gian thực hiện trên mạng
chuyển mạch gói là rất khó thực hiện do mất gói trong mạng là không
thể tránh được và độ trễ không cố định của các gói thông tin khi truyền
trên mạng. Để có một dịch vụ thoại chấp nhận được, cần thiết phải có
một kĩ năng nén tín hiệu đạt được những yêu cầu khắc khe: tỉ số nén
lớn (để giảm tốc độ bit xuống), có khả năng suy đoán và tạo lại thông
tin của các gói bị thất lạc….Tốc độ xử lí của các bộ Codec phải đủ
nhanh để không làm cuộc đàm thoại bị gián đoạn. Đồng thời cơ sở hạ
tầng của mạng cũng cần được nâng cấp lên các công nghệ mới như
Frame Relay, ATM,.. để có tốc độ cao hơn và cơ chế thực hiện chức
năng QoS (Quality of Service – Chất lượng dịch vụ). Điều này làm cho
việc thực hiện điện thoại IP trở nên phức tạp và khó thực hiện trong
những năm trước đây.
Vấn đề bảo mật: mạng Internet là một mạng có tính rộng khắp và hỗn
hợp. Trong đó có rất nhiều máy tính khác nhau cùng các dịch vụ khác
nhau cùng sử dụng chung một cơ sở hạ tầng. Do vậy, không có gì đảm
Chương 1 2013
Trang 22
bảo rằng thông tin liên quan đến cá nhân cũng như số liên lạc truy nhập
sử dụng dịch vụ của người dùng được giữ bí mật.
Ngoài ra VoIP có thể gặp những vấn đề như không thể sử dụng được
dịch vụ khi cúp điện, không thể kết nối đến các dịch vụ khẩn cấp như:
cấp cứu, báo cháy,…
1.2 Mối Quan Hệ Giữa VoIP Với Thông Tin Liên Lạc
1.2.1. Mối Quan Hệ Giữa VoIP Và Truyền Thông.
– Công nghệ VoIP bản chất dựa trên mạng chuyển mạch gói nhằm thay thế
công cụ truyện thoại cũ thông qua mạng chuyển mạch kênh.
– Trong mạng chuyển mạch kênh một kênh truyền dẫn dành riêng được
thiết lập giữa hai thiết bị đầu cuối thông qua một hay nhiều nút chuyển
mạch trung gian. Băng thông của kênh dành riêng được đảm bảo và cố
định trong quá trình liên lạc (64Kbps đối với mạng điện thoại PSTN), và
độ trễ thông tin là rất nhỏ.
– Một đặc tính cơ bản của mạng chuyển mạch kênh là phân chia các gói tín
hiệu và các gói dữ liệu. Trong VoIP các phương tiện truyền thông tín hiệu
được truyền đi bằng cách sử dụng cùng một môi trường vật lý. Trong
mạng chuyển mạch kênh, truy cập được giới hạn với các tổ chức chính
phủ hoặc thương mại nơi có nguồn lực về tài chính nhằm duy trùy cơ sở
hạ tầng của họ.
– Để bắt đầu một cuộc tấn công trong mạng chuyển mạch kênh, kẻ tấn công
có thể truy cập đến một yếu tố mạng cốt lõi, chẳng hạn như điểm chuyển
tín hiệu STP. Chi phí của việc sở hữu một STP hay Service Switching
Point (SSP) và các liên kết nối đến circuit-switched network vào khoảng
hàng trăm ngàn đô la, trong khi truy cập vào một mạng VoIP chỉ tốn 1
phần nhỏ của chi phí.
– Một mô hình kinh doanh phổ biến cho các mạng điện thoại cố định
truyền thống hoặc PSTN là dựa trên thời gian kết nối .Thuê bao phải trả
Chương 1 2013
Trang 23
chi phí bởi việc sử dụng nhiều cuộc gọi, hóa đơn cao hơn.Mặc dù, thời
gian gần đây, cả hai nhà cung cấp dịch vụ viễn thông cố định và di động
đã thiết lập kế hoạch hàng tháng với các cuộc gọi không giới hạn cho một
khoản phí cố định. Với sự ra đời của VoIP chi phí cho các cuộc gọi
đường dài giảm. Các dịch vụ quốc tế có thể được cung cấp với chi phí
thấp hơn bởi một nhà cung cấp dịch vụ VoIP hoặc một nhà cung cấp dịch
vụ đương nhiệm cung cấp VoIP.
– Mạng viễn thông là một phần quan trọng của cơ sở hạ tầng quốc gia và
cần phải duy trì các yêu cầu về tính sẵn sàng cao, bảo mật và chất lượng
dịch vụ. Độ tin cậy của mạng viễn thông ngày càng được nhìn qua lăng
kính của an ninh quốc gia và cân nhắc về an toàn công cộng, đó cũng là
một nhiệm vụ kinh tế và chính trị.
1.2.2. Mối Quan Hệ Giữa VoIP Và Giao Tiếp IP
– Giao tiếp IP được thực hiện bằng cách sử dụng giao thức IPv4 hoặc IPv6
để hỗ trợ các ứng dụng email, web, hoặc telephony. Chi phí khi sử dụng
mạng VoIP là ít tốn kém hơn so với PSTN, mạng IP được xem như một
cơ sở hạ tầng chuyển tiếp gói đơn giản trong đó các máy chủ ứng dụng và
các thiết bị đầu cuối được duy trì.
– Các giao thức truyền thông hoạt động ở các lớp khác nhau. Trong truyền
thông IP, cả 2 kết nối UDP và TCP ở tầng vận chuyển là có sẵn. Mất gói
tin là có thể và do đó các giao thức như TCP được sử dụng để đảm bảo độ
tin cậy trong thông tin liên lạc.
– Ngoài ra việc truy cập Internet là một phần quan trọng trong cở sở hạ
tầng của các quốc gia, do đó yêu cầu duy trì tính sẵn sàng cao, an ninh và
chất lượng dịch vụ.
1.3 Những Nguy Cơ Và Thách Thức Trong Bảo Mật VoIP
Để hiểu được vấn đề bảo mật trong VoIP, trước tiên bạn cần phân tích các
mối đe dọa liên quan, ảnh hưởng đến hệ thống bảo mật của mình. Các phân tích
Chương 1 2013
Trang 24
cần xác định các tác động của những rủi ro tiềm năng có thể thực hiện được nếu
mạng không được đảm bảo.
Chi phí bảo mật cũng là nguyên nhân cho những chi phí trực tiếp liên quan
đến việc phân tích những sự cố và phục hồi cho hệ thống. Mặt dù không có sự
cố nào, chất lượng sản phẩm không đạt được kết quả tốt hoặc giá chi phí dịch
vụ tăng và chu kì sống của các sản phẩm thông qua các bản vá lỗi, được cập
nhật và nâng cấp thường xuyên.
Chương 2 2013
Trang 25
CHƯƠNG 2: KIẾN TRÚC VÀ CÁC GIAO THỨC TRONG
MẠNG VOIP
2.1. Kiến Trúc Và Các Thành Phần VoIP
2.1.1. Kiến Trúc Mạng VoIP
– Để hiểu rõ các nguyên tắc tấn công cũng như các giải pháp bảo vệ mạng
khỏi bị tấn công, chúng ta cần hiểu rõ kiến trúc cũng như hoạt động của
một hệ thống VoIP.
– Thông thường trong các mạng doanh nghiệp, có 2 loại kiến trúc VoIP chủ
yếu:
Kiến trúc Hybrid-IP: tổng đài PBX hỗ trợ kết nối IP
Kiến trúc All-IP: tổng đài PBX sẽ được thay thế bởi các thành phần
như SIP proxy, H.323 gatekeeper hoặc là call manager.
– Các kiến trúc mạng VoIP có nhiều điểm tương đồng với cả hai mạng
Legacy telephony networks và Traditional IP networks. Qua đây chúng ta
thấy được: các đặc điểm, thiết kế mạng, các thành phần chức năng và các
nguyên tắc triển khai được rút ra từ mạng truyền thống như PSTN
telephony, peer to peer communications, và Enterprise IP Network. Tất cả
những ý tưởng về VoIP peer to peer được rút ra từ hệ thống Legacy
Networks.
– Sau đây, chúng ta sẽ tìm hiểu tổng quan một số kiến trúc được sử dụng phổ
biến nhất trong VoIP:
VoIP trong mạng điện thoại IP Peer to Peer:
Kiến trúc đơn giản trong hệ thống VoIP này bao gồm một kết nối
trực tiếp giữa điện thoại VoIP, một kết nối Peer to Peer. Peer to
Peer (P2P): một mạng lưới thông tin liên lạc không phụ thuộc vào
máy chủ tập trung. Mạng P2P khó giám sát bởi vì nó có thể được
mã hóa từ đầu đến cuối, để bảo vệ khỏi bị nghe trộm bằng cách sử
dụng các công nghệ giám sát từ truyền thông IP.
Chương 2 2013
Trang 26
Trong các mạng P2P, các bên giao tiếp có thể che giấu tên bằng
cách sử dụng các dịch vụ nặc danh. Trong một mạng ẩn danh, các
bộ định tuyến chuyển tiếp các gói tin khác nhau thành những dòng
thông tin liên lạc bán ngẫu nhiên, làm cho rất khó khăn để tập trung
các gói liên quan lại với nhau, có khả năng mã hóa đồng thời. Mạng
P2P có thể được thực hiện với các giao thức chuẩn như P2P SIP
hoặc các giao thức độc quyền như Skype
Tất cả các Soft Phone mà không bị ràng buộc bởi máy chủ tập
trung có thể được thiết lập một mạng P2P đơn giản. Hình thức đơn
giản nhất của mạng VoIP P2P là một kết nối trực tiếp giữa hai điểm
cuối được kích hoạt bằng giọng nói có thể là máy tính cá nhân (PC)
dựa trên địa chỉ IP. Nếu 2 thiết bị được cài đặt phần mềm hỗ trợ
VoIP, và hai bên biết được địa chỉ IP của nhau, giữa chúng có thể
tạo một kết nối VoIP trực tiếp.
Hình 2.1: Truyền thông P2P giữa 2 máy trạm
Một trong những vấn đề chính đối với mạng VoIP P2P xuất phát từ
những hạn chế về địa chỉ IP kết hợp với DHCP và trong một số
trường hợp NAT. Nếu các bên khác trong truyền thông không có
địa chỉ IP Public nhưng dựa trên một số địa chỉ IP được cấp phát
động được cung cấp bởi các nhà cung cấp, do đó để có thể liên lạc
Chương 2 2013
Trang 27
được với nhau thì cần biết trước địa chỉ IP, vì vậy gây khó khăn khi
bắt đầu một kết nối.
Một khó khăn nữa đó là việc sử dụng các thiết bị di động: một thiết
bị sẽ thay đổi nhà cung cấp dịch vụ và địa chỉ IP mỗi khi di chuyển.
Điều quan trọng là các địa chỉ IP không đáng tin cậy được sử dụng
gây khó khăn trong truyền thông cũng như các vấn đề về bảo mật.
VoIP trong mạng doanh nghiệp
VoIP được áp dụng trong các mạng doanh nghiệp chủ yếu vì các
lợi ích thu được từ việc giảm sự phức tạp của cơ sở hạ tầng mạng
và những lợi thế được tích lũy từ các ứng dụng, nâng cao chất
lượng sử dụng VoIP. Với việc sử dụng VoIP, doanh nghiệp cũng
làm giảm chi phí bằng cách thực hiện hầu hết hoặc tất cả các dịch
vụ thuê bao tại các trang web của công ty.
Trong khi đó, trong các mạng của người tiêu dùng, người dùng có
thể sử dụng bất kì ứng dụng nào mà họ muốn. Doanh nghiệp
thường chịu trách nhiệm về các thông tin liên lạc nội bộ và đối với
bên thứ ba bên ngoài mạng lưới của công ty. Nguy cơ bảo mật
thông tin trong doanh nghiệp sẽ bị đe dọa nếu nó cho phép bất cứ
một thành viên nào kết nối với bất cứ ai bên ngoài tổ chức mà
không có bất kì chứng thực nào từ các bên giao tiếp. Từ việc thiếu
kiểm soát này thì kiến trúc Client/Server sẽ dễ dàng quản lí hơn rất
nhiều để theo dõi và kiểm soát.
Chương 2 2013
Trang 28
Hình 2.2: VoIP trong mạng doanh nghiệp
Khi một mạng VoIP được xây dựng, tương tự như các IP
Communication khác, VoIP trong một môi trường doanh nghiệp
bao gồm perimeter defenses, gateways, servers và client. Perimeter
defenses như một Firewall đảm bảo rằng chỉ có thông tin liên lạc đã
được phê duyệt được thực hiện giữa các thiết bị thông tin liên lạc
đã được xác thực.
VoIP trong Carrier Networks
Một Carrier Network thường cung cấp băng thông rất cao trong các
mối liên kết giữa các mạng nằm ở các vị trí khác nhau. Một nhà
cung cấp dịch vụ có thể cung cấp kết nối cho cả hai công ty dịch vụ
điện thoại ở địa phương và quốc tế và các công ty dịch vụ Internet.
Đồng thời nó có thể cung cấp dịch vụ cho nhiều khách hàng của
doanh nghiệp trên phạm vi toàn cầu, ngoài ra có thể cung cấp các
kết nối với mạng chuyển mạch kênh và mạng chuyển mạch gói.
Chương 2 2013
Trang 29
VoIP trong kiến trúc Service Provider
Service provider cho VoIP bao gồm ba nhóm khác nhau. Nhóm đầu
tiên hội tụ các nhà cung cấp dịch vụ viễn thông, người đóng gói các
truy cập cố định với một dịch vụ bổ sung cho VoIP. Nhóm thứ hai
là các nhà cug cấp dịch vụ Internet (ISP), những người có thể cung
cấp dịch vụ VoIP cho khách hàng của họ, cung cấp dịch vụ đầy đủ
bao gồm việc xác định khách hàng cũng như các thiết bị đầu cuối.
Một ISP có thể cung cấp truy cập VoIP như một dịch vụ tiện ích để
truy cập băng thông rộng, tương tự như cách cung cấp các dịch vụ
Email. Các dịch vụ VoIP cũng có thể bao gồm quyền truy cập vào
điện thoại PSTN thông qua Gateway. Nhóm thứ ba bao gồm các
nhà cung cấp dịch vụ dựa trên Internet, họ tổ chức các dịch vụ
VoIP từ xa, không cần quan tâm đến cơ sở hạ tầng cần thiết cho các
kết nối.
Kiến trúc Softswitch
Một Softswitch đề cập đến một thực thể logic hỗ trợ tín hiệu trong
NGN/VOIP của kiến trúc VoIP. Một Softswitch là một mạng VoIP
cho phép nhiều thành phần tham gia (ví dụ: một bộ định tuyến tích
hợp nhiều yếu tố chức năng được sử dụng trong kiến trúc điển hình
VoIP). Việc phân phối các chức năng đã làm có thể đơn giản hóa
các thiết bị chuyển mạch và việc thực hiện trở nên hiệu quả hơn.
Ý tưởng đằng sau kiến trúc softswitch là sự tách biệt của việc
chuyển đổi vật lí của điện thoại từ các hệ thống logic. Để thúc đẩy
khả năng tương tác giữa các nhà cung cấp khác nhau, kiến trúc
Softswitch chia ra 4 chức năng chính:transport, call control and
signaling, service and application, and management. Trong đó:
Transport chịu trách nhiệm thiết lập kết nối các cuộc gọi, báo hiệu
và các phương tiện truyền thông (media), bao gồm cả vận chuyển
Chương 2 2013
Trang 30
có IP và không IP. Media gateway controller hoạt động điều khiển
cuộc gọi và tín hiệu đồng thời có trách nhiệm thiết lập các kết nối
truyền thông. Máy chủ ứng dụng (Applicatioon Server ) và các tính
năng tiện ích khác nhau được thực hiện bởi Service và Application.
Management cung cấp các thuê bao, dịch vụ và có thể thực hiện với
các giao thức quản lí như Simple Network Management (SNMP).
Tuy nhiên trong thực tế một Softswitch có thể thực hiện tất cả các
tính năng này.
Internet Protocol Multimedia Subsystem (IMS).
IMS mở rộng cách tiếp cận của Softswitch vào việc xây dựng một
kiến trúc chuẩn cho các ứng dụng đa phương tiện. IMS là một kiến
trúc quan trọng để thực hiện việc truy cập các mạng di động. Thiết
bị di động luôn luôn kết nối với các thiết bị có chứa một tập hợp
các tính năng và ứng dụng bao gồm máy ảnh, tin nhắn, email,…Với
VoIP được tích hợp trong các thiết bị di động, các nhà khai thác
điện thoại di động yêu cầu về việc kiểm soát lưu lượng thoại. IMS
áp dụng các công nghệ kết nối không dây như WIFI và WiMAX,
ngoài ra nó IMS còn hỗ trợ các mô hình kinh doanh cho di động và
các hệ thống cố định.
Lựa chọn IMS là hợp lí bới vì nó được thiết kế cho các thiết bị di
động, chuyển vùng, thanh toán và giám sát các dịch vụ. IMS là một
kiến trúc cho các nhà vận hành muốn cung cấp kết nối IP đáng tin
cậy và an toàn cho người sử dụng điện thoại di động ở bất cứ nơi
nào.
Các giao thức sử dụng trong IMS được quy định bởi IETF, các giao
thức quan trọng bao gồm: SIP, RTP, Diameter, IPv6 và IPSec. IMS
có thể thực thi việc xác thực người sử dụng và thiết bị. Khi xác
Chương 2 2013
Trang 31
thực thành công thiết bị có thể truy cập với đầy đủ các ứng dụng và
tính năng và có thể duy trì kiểm soát các dịch vụ.
2.1.2. Những Thành Phần Trong Mạng VoIP
Hiểu biết về các thành phần và cách sử dụng trong mạng VoIP giúp bạn
hiểu, lựa chọn và triển khai công nghệ VoIP. Sau đây là các thành phần
mạng có sẵn trong VoIP:
Hình 2.3: Các thành phần cơ bản trong mạng VoIP
Thiết bị đầu cuối (Terminals).
Một điện thoại VoIP hay một thiết bị đầu cuối được sử dụng để bắt
đầu và nhận cuộc gọi. Một Softphone là một phần dựa trên VoIP được
thực hiện chạy trên máy tính để bàn hoặc trên bất kì một nền tảng chuẩn
công nghiệp bao gồm PDA và Mobile Phone. Phần mềm VoIP cũng có
thể chạy trên thiết bị Hard phone.
Quản lí cuộc gọi (Call Management).
Một người quản lí cuộc gọi có trách nhiệm chứng thực người dùng,
chịu trách nhiệm dịch số điện thoại vào không gian địa chỉ VoIP. Tên
gọi khác của chức năng quản lí cuộc gọi như gatekeeper hoặc registrar.
Đây là thành phần quan trọng trong cấu trúc H.323, đây là điểm trung
tâm cho tất cả các cuộc gọi trong vùng thuộc nó quản lí và cung cấp các
dịch vụ tới các điểm cuối.
Chương 2 2013
Trang 32
Một vùng là sự tập hợp của Call Management và các điểm cuối. Nếu
mạng tồn tại nhiều Call Management thì sẽ được thiết lập thành nhiều
vùng và mỗi vùng sẽ do một Call Management quản lí. Việc thông tin
giữa các Call Management sẽ được thực hiện thông qua các bản tin giao
tiếp xác định vị trí đầu cuối trong quá trình thiết lập cuộc gọi. Đây là một
phần tùy chọn trong cấu trúc của H.323
Signaling Server / Gateway
Một cổng tín hiệu chịu trách nhiệm cho việc định tuyến các gói tín
hiệu truyền đến máy chủ một cách chính xác. Trong mạng VoIP P2P,
máy chủ đích là một thiết bị đầu cuối và các hoạt động diễn ra như một
máy chủ. Trong mạng VoIP giành cho doanh nghiệp, gateway hoặc
server có thể là IP-PBX. Trong mạng VoIP được thực hiện bởi các nhà
cung cấp dịch vụ mạng, chức năng của cổng tín hiệu được thực hiện
trong một Softswitch. Ở đây, Gateway đóng vai trò chuyển đổi các giao
thức trong việc thiết lập và kết thúc các cuộc gọi, chuyển đổi các định
dạng dữ liệu giữa các mạng khác nhau.
Media Server / Gateway
Trong một số kiến trúc VoIP, các phương tiện truyền thông được kết
nối trực tiếp với các thiết bị đầu cuối theo cơ chế định tuyến của mạng
IP. Một Media Gateway chịu trách nhiệm kiểm soát các dòng phương
tiện truyền thông và nó cũng chịu trách nhiệm chuyển đổi từ một giao
thức hoặc codec sang một giao thức khác.
Session border elements
Session border elements thì rất khó để xác định, có trách nhiệm kiểm
soát các kết nối. Một Session border elements đơn giản nhất là 1 bức
tường lửa, một cổng ứng dụng. Một số chức năng trong Session border
elements bao gồm signaling và media gateway operations, chức năng
tường lửa, chức năng NAT và thậm chí cả mã hóa hay hỗ trợ VPN.
Chương 2 2013
Trang 33
2.2. Các Giao Thức Trong VoIP
2.2.1. Các Giao Thức Báo Hiệu Trong VoIP (Signaling Protocol).
Công nghệ VoIP là công nghệ truyền tín hiệu thoại trên nền IP, chính vì thế
mà hệ thống VoIP phải được hỗ trợ các giao thức được sử dụng trên mạng
Internet và phải có kiến trúc thích ứng với kiến trúc mạng IP. Trong PSTN,
Signaling được sử dụng để xác định các bên gọi hoặc các kênh được sử dụng
bởi các dòng phương tiện truyền thông.
a. Giao thức SS7, Q.931 và Sigtran
– Giao thức sử dụng để truyền tín hiệu giữa các mạng với nhau trong PSTN
được gọi là hệ thống tín hiệu #7 hay còn gọi là SS7 trong đó bao gồm một
bộ các giao thức liên quan.
– SS7 là một giao thức chuyển mạch gói. SS7 bao gồm các lớp cơ bản bắt
đầu từ các lớp vật lí MTP1, lớp liên kết MTP2 và lớp mạng MTP3 và các
giao thức ứng dụng như ISUP (ISDN User Part), TCAP (Transaction
Capabilities Application Part) và SCCP (Signaling Connection Control
Part). Signaling là một phần của SS7 được thực hiện trong lớp MTP3,
ISUP và TCAP. Trong các chức năng của ISDN, Q.931 cũng được sử
dụng để truyền tín hiệu.
– Sigtran là một mô hình chức năng cho phép IP kết nối với SS7, Sigtran
hoạt động ở lớp MTP1 thông qua 3 giao thức. Bởi vì các yêu cầu cao về
chất lượng dịch vụ trong PSTN, Sigtran cũng có yêu cầu về độ tin cậy rất
cao và do đó đòi hỏi băng thông tốt và chịu đựng rất ít va chạm trên
mạng.
Chương 2 2013
Trang 34
Hình 2.4: Hệ thống tín hiệu SS7 quy định trong RFC 2719
b. Giao thức H.323
– Giao thức H.323 là chuẩn do ITU-T phát triển cho phép truyền thông đa
phương tiện qua các hệ thống dựa trên mạng chuyển mạch gói,ví dụ như
Internet. Nó được ITU_T ban hành lần đầu tiên vào năm 1996 và gần đây
nhất là năm 1998. H.323 là chuẩn riêng cho các thành phần mạng, các
giao thức và các thủ tục cung cấp các dịch vụ thông tin multimedia như :
audio thời gian thực, video và thông tin dữ liệu qua các mạng chuyển
mạch gói, bao gồm các mạng dựa trên giao thức IP.
– Các thành phần trong mạng H323
Hình 2.5: Các thành phần của H.323
Chương 2 2013
Trang 35
1. Thiết bị đầu cuối H.323
Các thiết bị nằm ngoài phạm vi khuyến nghị H.323
Thiết bị vào ra Video.
Thiết bị vào ra Audio.
Thiết bị vào ra số liệu.
Giao diện mạng LAN.
Giao diện người sử dụng.
Các phần tử nằm trong phạm vi khuyến nghị H.323
Bộ mã hoá và giải mã Video.
Bộ mã hoá và giải mã Audio.
Bộ đệm nhận dữ liệu.
Khối điều khiển hệ thống.
Khối điều khiển theo chuẩn H.245
Sử dụng kênh điều khiển H.245 để mang các bản tin điều khiển
điểm - điểm điều khiển hoạt động của thực thể H.323 đó bao gồm :
khả năng trao đổi, mở và đóng các kênh logic, các yêu cầu chế độ hoạt
động thích hợp, điều khiển luồng bản tin, phát các lệnh và các chỉ thị.
Điều khiển báo hiệu cuộc gọi
Sử dụng báo hiệu cuộc gọi theo khuyến nghị H.225 để thiết lập
một kết nối giữa hai đầu cuối H.323. Kênh báo hiệu cuộc gọi độc lập
với kênh RAS và kênh điều khiển H.245. Trong hệ thống không có
Gatekeeper thì kênh báo hiệu cuộc gọi được thiết lập giữa hai đầu
cuối H.323 tham gia cuộc gọi. Còn trong hệ thống có Gatekeeper thì
kênh báo hiệu cuộc gọi được thiết lập giữa các đầu cuối và
Gatekeeper hoặc giữa hai đầu cuối với nhau, việc lựa chọn phương án
thiết lập kênh báo hiệu cuộc gọi như thế nào là do Gatekeeper quyết
định.
Chương 2 2013
Trang 36
Chức năng báo hiệu RAS
Sử dụng các bản tin H.225 để thực hiện : đăng ký, cho phép dịch
vụ, thay đổi băng thông, trạng thái, các thủ tục tách rời giữa các đầu
cuối và Gatekeeper.
Hình 2.6: Sơ đồ khối thiết bị đầu cuối H.323
2. Gateway
Gateway là phần tử không nhất thiết phải có trong một giao tiếp
của các phần tử H.323, nó đóng vai trò làm phần tử cầu nối và chỉ
tham gia vào một cuộc gọi khi có sự chuyển tiếp từ mạng H.323 (ví
dụ như mạng LAN hoặc Internet) sang mạng phi H.323 ( như
PSTN). Gateway thực hiện một số chức năng như :
Chuyển đổi giữa các dạng khung truyền dẫn.
Chuyển đổi giữa các thủ tục giao tiếp.
Chuyển đổi giữa các dạng mã hoá khác nhau của các luồng tín
hiệu hình ảnh cũng như âm thanh.
Thực hiện việc thiết lập và xoá cuộc gọi ở cả phía mạng LAN
cũng như phía mạng chuyển mạch kênh.
Chương 2 2013
Trang 37
Hình 2.7: Hình ảnh Gateway
3. Gatekeeper
Có thể xem gatekeeper như là bộ não của hệ thống mạng điện
thoại IP. Trong mạng H.323 chúng được gọi là gatekeeper, trong
mạng SIP các server được gọi là SIP server.
Hình 2.8: Hình ảnh Gatekeper
Gatekeeper là một thành phần quan trọng trong mạng H.323.
Gatekeeper hoạt động như một bộ chuyển mạch ảo. Gatekeeper có các
chức năng điều khiển cuộc gọi các điểm cuối như đánh địa chỉ; cho
phép và xác nhận các đầu cuối H.323, các gateway; quản lý băng
thông; tính cước cuộc gọi; ngoài ra nó còn có thể cung cấp khả năng
định tuyến cuộc gọi. Gatekeeper quản lý băng thông nhờ khả năng
Chương 2 2013
Trang 38
cho phép hay không cho phép các cuộc gọi xảy ra. Khi số cuộc gọi đã
vượt qua một ngưỡng nào đó thì nó sẽ từ chối tất cả các cuộc gọi
khác. Ngoài ra gatekeeper còn có thể cung cấp khả năng định tuyến
báo hiệu.
Mặc dù vậy, gatekeeper là thành phần tuỳ chọn trong mạng H.323.
Tuy nhiên nếu trong mạng có gatekeeper thì các thiết bị đầu cuối và
các Gateway phải sử dụng các thủ tục của gatekeeper. Các chức năng
của một gatekeeper được phân biệt làm 2 loại là các chức năng bắt
buộc và các chức năng không bắt buộc
Các chức năng bắt buộc của Gatekeeper :
Chức năng dịch địa chỉ: Gatekeeper sẽ thực hiện việc chuyển đổi
từ một địa chỉ hình thức (dạng tên gọi) của các thiết bị đầu cuối và
gateway sang địa chỉ truyền dẫn thực trong mạng (địa chỉ IP).
Chuyển đổi này dựa trên bảng đối chiếu địa chỉ được cập nhật
thường xuyên bằng bản tin đăng ký dịch vụ của các đầu cuối.
Điều khiển truy nhập: Gatekeeper sẽ chấp nhận một truy nhập
mạng LAN bằng cách sử dụng các bản tin H.225.0 là ARQ/ACF/ARJ
. Việc điều khiển này dựa trên độ rộng băng tần và đăng ký dịch vụ
hoặc các thông số khác do nhà sản xuất qui định. Đây cũng có thể là
một thủ tục rỗng có nghĩa là chấp nhận mọi yêu cầu truy nhập của
các thiết bị đầu cuối.
Điều khiển độ rộng băng tần: Gatekeeper hỗ trợ việc trao đổi các
bản tin H.225.0 là BRQ/BCF/BRJ để điều khiển độ rộng băng tần
của một cuộc gọi. Đây cũng có thể là một thủ tục rỗng có nghĩa là nó
chấp nhận mọi yêu cầu về sự thay đổi độ rộng băng tần.
Điều khiển miền: một miền (zone) là một nhóm các đầu cuối H.323
(Tx), gateway (GW), MCU được quản lý bởi 1 gatekeeper (GK).
Trong một miền có tối thiểu một đầu cuối H.323, mỗi miền chỉ có
Chương 2 2013
Trang 39
duy nhất một gatekeeper. Một miền hoàn toàn có thể độc lập với cấu
trúc mạng, bao gồm nhiều mạng được kết nối với nhau qua các router
(R). Thông qua các chức năng ở trên: dịch địa chỉ, điều khiển truy
nhập, điều khiển độ rộng băng tần, gatekeeper cung cấp khả năng
quản lý miền.
Các chức năng không bắt buộc của Gatekeeper
Điều khiển báo hiệu cuộc gọi: Gatekeeper có thể lựa chọn giữa hai
phương thức điều khiển báo hiệu cuộc gọi là: nó kết hợp với kênh
báo hiệu trực tiếp giữa các đầu cuối để hoàn thành báo hiệu cuộc gọi
hoặc chỉ sử dụng các kênh báo hiệu của nó để xử lý báo hiệu cuộc
gọi. Khi chọn phương thức định tuyến báo hiệu cuộc gọi trực tiếp
giữa các đầu cuối, thì gatekeeper sẽ không phải giám sát báo hiệu
trên kênh H.225.0.
Hạn chế truy nhập: Gatekeeper có thể sử dụng báo hiệu trên kênh
H.225.0 để từ chối một cuộc gọi của một thiết bị đầu cuối khi nhận
thấy có lỗi trong việc đăng ký. Những nguyên nhân từ chối bao gồm:
một Gateway hoặc đầu cuối đăng ký hạn chế gọi đi mà lại cố gắng
thực hiện một cuộc gọi đi và ngược lại hoặc một đầu cuối đăng ký
hạn chế truy nhập trong những giờ nhất định.
Giám sát độ rộng băng tần - Gatekeeper có thể hạn chế một lượng
nhất định các đầu cuối H.232 cùng một lúc sử dụng mạng. Nó có thể
thông qua kênh báo hiệu H.225.0 từ chối một cuộc gọi do không có
đủ băng tần để thực hiện cuộc gọi. Việc từ chối này cũng có thể xảy
ra khi một đầu cuối đang hoạt độngyêu cầu thêm độ rộng băng. Đây
có thể là một thủ tục rỗng nghĩa là tất cả mọi yêu cầu truy nhập đều
được đồng ý.
Giám sát cuộc gọi: Một thí dụ cụ thể về chức năng này của
Gatekeeper là nó lưu danh sách tất cả các cuộc gọi H.323 hướng đi
Chương 2 2013
Trang 40
đang thực hiện để chỉ thị các thuê bao bị gọi nào đang bận và cung
cấp thông tin cho chức năng quản lý độ rộng băng tần.
4. Khối điều khiển đa điểm
Khối điều khiển đa điểm (MCU) được sử dụng khi một cuộc gọi
hay hội nghị cần giữ nhiều kết nối hoạt động. Do có một số hữu hạn
các kết nối đồng thời, nên các MCU giám sát sự thoả thuận giữa các
đầu cuối và sự kiểm tra mọi đầu cuối về tính năng mà chúng có thể
cung cấp cho hội nghị hoặc cuộc gọi. Các MCU gồm hai phần: Bộ
điều khiển đa điểm (MC) và Bộ xử lý đa điểm (MP).
Bộ điều khiển đa điểm có trách nhiệm trong việc thoả thuận và
quyết định khả năng của các đầu cuối. Trong khi đó bộ xử lý đa điểm
được sử dụng để xử lý multimedia, các luồng trong suốt quá trình của
một hội nghị hoặc một cuộc gọi đa điểm.
Giao thức H323
Hình 2.9: Giao thức báo hiệu H323
Giao thức H.323 được chia làm 3 phần chính:
Báo hiệu H.225 RAS (Registration, Admissions, and Status): báo
hiệu giữa thiết bị đầu cuối với H.323 gatekeeper trước khi thiết lập
cuộc gọi.
Chương 2 2013
Trang 41
Báo hiệu H.225 Q.931 sử dụng để kết nối, duy trì và hủy kết nối
giữa hai đầu cuối.
Báo hiệu H.245 sử dụng để thiết lập phiên truyền media sử dụng
giao thức RTP.
Báo hiệu RAS
Báo hiệu RAS cung cấp điều khiển tiền cuộc gọi trong mạng H.323
có tồn tại gatekeeper và một vùng dịch vụ (do gatekeeper đó quản lý).
Kênh RAS được thiết lập giữa các thiết bị đầu cuối và gatekeeper qua
mạng IP. Kênh RAS được mở trước khi các kênh khác được thiết lập
và độc lập với các kênh điều khiển cuộc gọi và media khác. Báo hiệu
này được truyền trên UDP cho phép đăng kí, chấp nhận, thay đổi băng
thông, trạng thái và hủy.
Báo hiệu RAS chia làm các loại sau:
Tìm kiếm Gatekeeper: việc này có thể được thực hiện thủ công
hoặc tự động cho phép xác định gatekeeper mà thiết bị đầu cuối
đăng kí (để có thể sử dụng dịch vụ sau này); bao gồm:
Gatekeeper Request (GRQ): bản tin multicast gửi bởi thiết bị
đầu cuối để tìm gatekeeper.
Gatekeeper Confirm (GCF): bản tin thông báo địa chỉ kênh
RAS của gatekeeper cho thiết bị đầu cuối.
Gatekeeper Reject (GRJ): báo cho thiết bị đầu cuối biết rằng
đã gatekeeper từ chối.
Đăng kí: cho phép gateway, thiết bị đầu cuối và MCU tham gia
vào một vùng dịch vụ do gatekeeper quản lý và thông báo cho
gatekeeper về địa chỉ và bí danh của nó; bao gồm:
Registration Request (RRQ): được gửi từ thiết bị đầu cuối tới
địa chỉ kênh RAS của gatekeeper.
Chương 2 2013
Trang 42
Registration Confirm (RCF): được gửi bởi gatekeeper để xác
nhận cho phép việc đăng kí bởi bản tin RRQ.
Registration Reject (RRJ): không chấp nhận đăng kí của thiết
bị
Unregister Request (URQ): được gửi bới thiết bị đầu cuối để
hủy đăng kí với gatekeeper trước đó và được trả lời bằng
Unregister Confirm (UCF) và Unregister Reject (URJ) (tương
tự như trên).
Xác định vị trí thiết bị đầu cuối: Thiết bị đầu cuối và gatekeeper
sử dụng bản tin này để lấy thêm thông tin khi chỉ có thông tin ví
danh được chỉ ra. Bản tin này được gửi thông qua địa chỉ kênh
RAS của gatekeeper hoặc multicast. Loại bản tin này bao gồm:
Location Request (LRQ): được gửi để yêu cầu thông tin về
thiết bị đầu cuối, gatekeeper, hay địa chỉ E.164.
Location Confirm (LCF): được gửi bởi gatekeeper chức các
kênh báo hiệu cuộc gọi hay địa chỉ kênh RAS của nó hay thiết
bị đầu cuối đã yêu cầu.
Bandwidth Confirm (BCF): chấp nhận thay đổi yêu cầu bởi
thiết bị đầu cuối.
Bandwidth Reject (BRJ): không chấp nhận thay đổi yêu cầu
bởi thiết bị đầu cuối.
Hủy kết nối: Khi muốn kết thúc cuộc gọi thì trước hết thiết bị
đầu cuối dừng hết mọi kết nối và đóng hết các kênh logic lại. Sau
đó, nó sẽ ngắt phiên H.245 và gửi tín hiệu RLC trên kênh báo
hiệu cuộc gọi. Ở bước này, nếu không có gatekeeper thì cuộc gọi
sẽ được hủy còn nếu không thì các bản tin sau sẽ được gửi trên
kênh RAS để kết thúc cuộc gọi:
Chương 2 2013
Trang 43
Disengage Request (DRQ): Gửi bởi thiết bị đầu cuối hay
gatekeeper để kết thúc cuộc gọi.
Disengage Confirm (DCF): Gửi bởi thiết bị đầu cuối hay
gatekeeper để chấp nhận bản tin DRQ trước đó.
Disengage Reject (DRJ): Được gửi bởi thiết bị đầu cuối hoặc
gatekeeper thông báo không chấp nhận yêu cầu DRQ.
Báo hiệu điểu khiển cuộc gọi H.225
Trong mạng H.323, chức năng điều khiển cuộc gọi dựa trên cơ
sở giao thức H.323 với việc sử dụng bản tin báo hiệu Q.931. Một
kênh điều khiển cuộc gọi được tạo ra dựa trên giao thức TCP/IP với
cổng 1720. Cổng này thiết lập các bản tin điều khiển cuộc gọi giữa
hai thiết bị đầu cuối với mục đích thiết lập, duy trì và kết thúc cuộc
gọi. H.225 cũng sử dụng bản tin Q.932 cho các dịch vụ bổ sung.
Các bản tin Q.931 và Q.932 thường được sử dụng trong mạng
H.323:
Setup: Được gửi từ thực thể H.323 chủ gọi để cố gắng thiết lập
kết nối tới thực thể H.323 bị gọi qua cổng 1720 TCP.
Call Proceeding: thực thể bị gọi gửi bản tin này tới thực thể chủ
gọi để chỉ thị rằng thủ tục thiết lập cuộc gọi đã được khởi tạo.
Alerting: Được gửi từ thực thể bị gọi tới thực thể chủ gọi để chỉ
thị rằng chuông bên đích bắt đầu rung.
Connect: Được gửi từ thực thể bị gọi để thông báo rằng bên bị gọi
đã trả lời cuộc gọi. Bản tin Connnect có thể mang địa chỉ truyền
vận UDP/IP.
Release Complete: Được gửi bởi một đầu cuối khởi tạo ngắt kết
nối, nó chỉ thị rằng cuộc gọi đang bị giải phóng. Bản tin này chỉ
Chương 2 2013
Trang 44
có thể được gửi đi nếu kênh báo hiệu cuộc gọi được mở hoặc
đang hoạt động.
Facility: Đây là một bản tin Q.932 dùng để yêu cầu hoặc phúc
đáp các dịch vụ bổ sung. Nó cũng được dùng để cảnh báo rằng
một cuộc gọi sẽ được định tuyến trực tiếp hay thông qua GK.
Các bản tin trong quá trình thiết lập cuộc gọi như sau:
Hình 2.10: Q931 trong thiết lập cuộc gọi
1. Thiết bị đầu cuối H.323 gửi bản tin Setup yêu cầu thiết lập cuộc
gọi. Giả sử ở đây bản tin được gửi tới Gatekeeper (thiết lập cuộc
gọi thông qua Gatekeeper).
2. Gatekeeper sẻ gửi trả lại bản tin Call Proceeding nhằm thông
báo cho phía gọi rằng: Thiết bị này đang thực hiện thiết lập cuộc
gọi.
3. Khi đầu cuối bị gọi rung chuông, Gatekeeper sẽ gửi bản tin
Alerting về đầu cuối gọi thông báo về trạng thái này.
4. Khi người được gọi nhấc máy, bản tin Connect sẽ được gửi tới
đầu cuối gọi thông báo cuộc gọi đã được thiết lập.
5. Cuộc gọi được thực hiện
Chương 2 2013
Trang 45
Giao thức H.245
Chức năng H.245 là thiết lập các kênh logic để truyền audio,
video, data và các thông tin kênh điều khiển. Giữa hai thiết bị đầu
cuối được thiết lập một kênh H.245 cho một cuộc gọi. Kênh điều
khiển này được tạo dựa trên TCP gán động port. Chức năng điều
khiển của kênh H.245 là thương lượng về một số thông số sau:
Bộ mã hóa tiếng nói sẽ được sử dụng ở hai phía. Lấy ví dụ, chuẩn
mã hóa tiếng nói và tốc độ bit tương ứng như sau: G.729 - 8 kbps,
G.728 - 16 kbps, G.711 - 64 kbps, G.723 - 5.3 hay 6.3 kbps,
G.722 - 48, 56, và 64 kbps…
Thương lượng về Chủ/tớ giữa hai thiết bị đầu cuối: xác lập vai trò
của các thiết bị trong khi thực hiện cuộc gọi tránh hiện tượng
xung đột.
Round-Trip Delay: xác định độ trễ giữa phía phát và phía thu.
Dựa vào thông số này để xác định kết nối vẫn hoạt động.
Báo hiệu trên kênh logic để thực hiện việc mở và đóng các kênh
logic. Các kênh này được thiết lập trước khi thông tin được truyền
đên đó. Báo hiệu này có thể thiết lập kênh đơn hướng hoặc song
hướng. Sau khi kênh logic đã được thiết lập, cổng UDP cho kênh
media RTP được truyền từ phía nhận tới phía phát. Khi sử dụng
một hình định tuyến qua Gatekeeper thì Gatekeeper sẽ chuyển
hướng luồng RTP bằng cách cung cấp địa chỉ UDP/IP thực của
thiết bị đầu cuối. Luồng RTP sẽ truyền trực tiếp giữa hai thiết bị
đầu cuối với nhau.
Mỗi kênh media – sử dụng RTP để truyền thời gian thực - sẽ có
một kênh phản hồi về chất lượng dịch vụ QoS theo chiều ngược lại
giúp phía phát kiểm soát được luồng media truyền đi và có những
điều chỉnh phù hợp.
Chương 2 2013
Trang 46
Hình 2.11: Cấu trúc luồng media giữa các thiết bị đầu cuối.
Thiết lập cuộc gọi H.323
Hình 2.12:Thiết lập cuộc gọi trong H323
Trước hết cả hai phải được đăng ký tại thiết bị điều khiển cổng kết nối
Đầu cuối A gửi yêu cầu tới thiết bị điều khiển cổng kết nối đề nghị
thiết lập cuộc gọi.
Chương 2 2013
Trang 47
Thiết bị điều khiển cổng nối gửi cho đầu A thông tin cần thiết về đầu
cuối B.
Đầu cuối A gửi bản tin SETUP tới đầu cuối B.
Đầu cuối B trả lời bằng bản tin Call Proceeding và đồng thời liên lạc
với thiết bị điều khiển cổng nối để xác nhận quyền thiết lập cuộc gọi.
Đầu cuối B gửi bản tin cảnh báo và kết nối.
Hai đầu cuối trao đổi một số bản tin H.245 để xác định chủ tớ, khả
năng xử lý của đầu cuối và thiết lập kết nối RTP.
Đây là trường hợp cuộc gọi điểm điểm đơn giản nhất, khi mà báo
hiệu cuộc gọi không được định tuyến tới thiết bị điều khiển cổng
nối. H.323 hỗ trợ nhiều kịch bản thiết lập cuộc gọi khác.
4. Một cuộc gọi trải qua các bước như sau:
Thiết lập cuộc gọi.
Khởi tạo truyền thông và trao đổi khả năng.
Thiết lập kênh truyền thông nghe nhìn.
Dịch vụ cuộc gọi.
Kết thúc cuộc gọi.
Giai đoạn 1 - Thiết lập cuộc gọi
Trong giai đoạn này các phần tử trao đổi với nhau các bản tin được
định nghĩa trong khuyến cáo H.225.0 theo một trong các thủ tục được
trình bày sau đây.
Cả hai thiết bị đầu cuối đều không đăng ký với Gatekeeper: Hai thiết
bị đầu cuối trao đổi trực tiếp với nhau.
Cả hai thuê bao đều đăng ký tới một Gatekeeper: Có 2 tình huống
xảy ra là Gatekeeper chọn phương thức truyền báo hiệu trực tiếp
giữa 2 thuê bao hoặc báo hiệu cuộc gọi được định tuyến qua
Gatekeeper.
Chương 2 2013
Trang 48
Chỉ có một trong 2 thuê bao có đăng ký với Gatekeeper: Báo hiệu
cuộc gọi được truyền trực tiếp giữa hai thuê bao. Khi cuộc gọi đó có
sự chuyển tiếp từ mạng PSTN sang mạng LAN hoặc ngược lại thì
phải thông qua Gateway. Về cơ bản có thể phân biệt cuộc gọi qua
Gateway thành 2 loại: cuộc gọi từ một thuê bao điện thoại vào mạng
LAN và cuộc gọi từ một thuê bao trong mạng LAN ra một thuê bao
trong mạng thoại PSTN.
Giai đoạn 2 - Thiết lập kênh điều khiển
Trong giai đoạn 1, sau khi trao đổi tín hiệu thiết lập cuộc gọi, các
đầu cuối sẽ thiết lập kênh điều khiển H.245. Kênh điều khiển này có
thể do thuê bao bị gọi hoặc thuê bao gọi thiết lập. Trong trường hợp
không nhận được tín hiệu kết nối hoặc một đầu cuối gửi tín hiệu kết
thúc thì kênh điều khiển H.245 sẽ bị đóng.
Giai đoạn 3 - Thiết lập kênh truyền thông ảo
Sau khi trao đổi khả năng (tốc độ nhận tối đa, phương thức mã
hóa) và xác định master-slaver trong giao tiếp trong giai đoạn 2, thủ
tục điều khiển kênh H.245 sẽ thực hiện việc mở kênh logic (H.225)
để truyền thông tin. Sau khi mở kênh logic thì mỗi đầu cuối truyền tín
hiệu để xác định thông số truyền.
Giai đoạn 4 - Dịch vụ
Độ rộng băng tần: Độ rộng băng tầng của một cuộc gọi được
Gatekeeper thiết lập trong thời gian thiết lập trao đổi. Một đầu cuối
phải chắc chắn rằng tổng tất cả luồng truyền/nhận âm thanh và hình
ảnh đều phải nằm trong độ rộng băng tần đã thiết lập.
Trạng thái: Để giám sát trạng thái hoạt động của đầu cuối,
Gatekeeper liên tục trao đổi tín hiệu với các đầu cuối do nó kiểm
soát. Khoảng thời gian đều đặn giữa các lần trao đổi lớn hơn 10 giây
và giá trị này do nhà sản xuất quyết định.
Chương 2 2013
Trang 49
Trong khoảng thời gian diễn ra cuộc gọi, một đầu cuối hoặc
Gatekeeper có thể đều đặn hỏi trạng thái từ đầu cuối bên kia bằng
cách gửi tín hiệu yêu cầu. Đầu cuối nhận được tín hiệu sẽ đáp trả
trạng thái hiện thời.
Giai đoạn 5: Kết thúc cuộc gọi
Một thiết bị đầu cuối có thể kết thúc cuộc gọi theo các bước của
thủ tục sau:
Dừng truyền luồng tín hiệu video khi kết thúc truyền một ảnh,
sau đó đóng tất cả các kênh logic phục vụ truyền video.
Dừng truyền dữ liệu và đóng tất cả các kênh logic dùng để
truyền dữ liệu.
Dừng truyền audio sau đó đóng tất cả các kênh logic dùng để
truyền audio.
Truyền tín hiệu trên kênh điều khiển H.245 để báo cho thuê bao
đầu kia biết nó muốn kết thúc cuộc gọi. Sau đó nó dừng
truyền các bản tin H.245 và đóng kênh điều khiển H.245.
Nó sẽ chờ nhận tín hiệu kết thúc từ thuê bao đầu kia và sẽ đóng
kênh điều khiển H.245.
Nếu kênh báo hiệu cuộc gọi đang mở, thì nó sẽ truyền đi tín
hiệu ngắt sau đó đóng kênh báo hiệu.
Nó cũng có thể kết thúc cuộc gọi theo các thủ tục sau: Một đầu
cuối nhận tín hiệu kết thúc mà trước đó nó không truyền đi tín hiệu
yêu cầu, nó sẽ lần lượt thực hiện các bước từ 1 đến 6 ở trên chỉ bỏ
qua bước 5. Trong một cuộc gọi không có sự tham gia của
Gatekeeper thì chỉ cần thực hiện các bước từ 1 đến 6. Nhưng trong
cuộc gọi có sự tham gia của Gatekeeper thì cần có hoạt động giải
phóng băng tần. Vì vậy sau khi thực hiện các bước từ 1 đến 6,
mỗi đầu cuối sẽ truyền tín hiệu tới Gatekeeper. Sau đó
Chương 2 2013
Trang 50
Gatekeeper sẽ có tín hiệu đáp trả. Sau đó đầu cuối sẽ không gửi tín
hiệu tới Gatekeeper nữa và khi đó cuộc gọi kết thúc.
Khi cần sử dụng cổng kết nối dung lượng lớn để kết nối mạng
PSTN, người ta sẽ sử dụng giao thức cổng đơn giản (SGCP :
Simple Gateway Control Protocol) và giao thức điều khiển cổng
phương tiện (MGCP: Media Gateway Control Protocol) để thay thế
giao thức cho cổng kết nối H.323. Các hệ thống điều khiển cuộc gọi
này có vẻ hiệu quả hơn, đáp ứng nhu cầu của các nhà cung cấp cỡ lớn.
c. Giao thức SIP
Tổng quan về giao thức SIP
SIP – Session Initiation Protocol là giao thức dạng text (text-base
protocol), nó dựa vào các lệnh được phát ra bởi một bộ chuyển mạch mềm và
đáp ứng để hoàn tất các giao tác. SIP là một giao thức điều khiển tầng ứng
dụng, được thiết kế và phát triển bởi tổ chức IETF. SIP được thiết kế dựa
trên mục đích: dễ sử dụng, sự mềm dẻo khi áp dụng nó được mô ta chi tiết
nhất bởi RFC 2543. SIP được sử dụng để khởi tạo, thay đổi và kết thúc các
phiên (là một tập hợp các bên gửi và bên nhận giao tiếp với nhau) với một
hoặc nhiều bên tham gia vào.
Các phiên giao dịch đa truyền thông bao gồm: âm thanh, hình ảnh, số liệu
và nhiều người có thể tham gia trong các phiên này. Giao thức SIP cho phép
những người tham gia tùy ý. Những phiên giao dịch đa truyền thông này có
thể truyền qua multicast, unicast hoặc kết hợp hai phương thức truyền trên.
SIP không phụ thuộc vào một giao thức vận chuyển đặc biệt nào, nhưng
sử dụng phổ biến trên thực tế là UDP, nó tạo điều kiện dễ dàng để giải thích
các điều kiện lỗi tại các server. Các lệnh được gửi đến chỉ sổ cổng mặc định
là 5060. Các lệnh của SIP cũng có thể gửi đến bất cứ port mở nào trong
endpoint hay trong softswitch, nếu như nơi gửi biết trước chỉ số port. SIP
cũng có thể thực hiện qua một giao thức kết nối tin cậy giống như TCP,
Chương 2 2013
Trang 51
nhưng điều này không phổ biến trên thực tế. Nếu dùng TCP thì các yêu cầu
và các đáp ứng của cùng một giao tác phải được vận chuyển qua cùng một
cầu nối TCP (socket). Việc vân chuyển SIP qua giao thức SCTP cũng được
đề nghị.
SIP được thiết kế theo mô hình Internet. SIP là một giao thức báo hiệu
hướng end-to-end, điều này có nghĩa tát cả mọi thông tin đều được lưu trên
end-device (ngoại trừ các thông tin liên quan đến định tuyến các thông điệp
của SIP). Thông tin về trạng thái cũng được lưu trên end-device. Vì thế, triển
khai mạng theo hướng này sẽ không gây ra hiện tượng một điểm gặp sự cố
gây ra sự cố trên toàn mạng. Tuy nhiên, cái giá phải trả cho việc triển khai
theo mô hình này là sự phân tán của mạng và chi phí cao cho việc mở rộng
và nâng cấp mạng.
Một thực thể SIP được định danh bằng một SIP URL. Một URL có định
sạng như sau: username@domain-name, bao gồm phần tên người sử dụng và
phần tên miền được phân cách bằng kí tự @. Ví dụ: [email protected]
Các thành phần chính của giao thức SIP
User agent
Các endpoint trên mạng Internet sử dụng SIP để tìm lẫn nhau và đàm
phán các đặc điểm của phiên gọi là user agent. User agent thông
thường nằm trên PC dưới dạng một ứng dụng. User agent thường
được ám chỉ tới như là User Agent Server (UAS) và User Agent
Client (UAC). Mỗi user agent có một UAC và một UAS.
UAC là một phần của user agent chịu trách nhiệm gởi yêu cầu và đón
nhận các thông tin trả lời.
Chương 2 2013
Trang 52
UAS là một phần của user agent chịu trách nhiệm nhận các yêu cầu và
trả lời cho các yêu cầu đó.
Hình 2.13: Giao tiếp UAC và UA
Quá trình diễn ra:
1) UAC giử thông điệp khởi tạo INVITE tới UAS.
2) UAS gửi lại một đáp ứng tạm thời (mã 100) tới UAC.
3) UAS đồng thời sau đó cũng báo hiệu lại mình đang rung chuông (mã
180) tới UAC.
4) UAS gửi thông báo trạng thái có thể trì hoãn trả lời cuộc gọi cho đến khi
chúng đã phục vụ cho các cuộc gọi đang xếp hàng (mã 182).
5) Tương tư như bước 4.
6) Báo hiệu yêu cầu đã được thực hiện thành công (mã 200).
7) UAC xác nhận lại bằng cách gửi qua UAS một xung ACK. Lúc này kết
nối đã thành công và có thể truyền dữ liệu qua lại.
Proxy Server
Proxy server là một thực thể rất quan trọng trong kiến trúc mạng SIP.
Nó thực hiện chức năng định tuyến cho các invitation session tùy
Chương 2 2013
Trang 53
thuộc vào vị trí của bên được mời, chứng thực và nhiều chức năng
quan trọng khác. User agent có thể gửi thông điệp tới proxy server.
Nhiệm vụ quan trọng nhất của một proxy server là hướng các session
invitation đến gần bên được gọi hơn. Các session invitation thường sẽ
đi qua nhiều proxy server cho đến khi nó tìm ra proxy server biết vị trí
thực sự của bên được gọi. Proxy đó sẽ chuyển tiếp session invitation
đó trực tiếp đến bên được gọi và bên được gọi sau đó sẽ quyết định
việc chấp nhận hay từ chối session invitation đó.
Có hai loại SIP proxy server: Stateful và Stateless
Stateless proxy server:
Stateless proxy server: là một proxy đơn gian, nó chỉ chuyển
thông điệp. Stateless proxy server không quan tâm về việc thông
điệp đó thuộc về transaction nào.
Stateless proxy đơn giản nhưng nhanh hơn stateful proxy server.
Nó có thể được sử dụng như một bộ cân bằng tải đơn giản, một
bộ chuyển đổi thông điệp hay một bộ định tuyến. Điểm yếu của
stateless proxy server là nó không thể hiểu sự truyền lại của
thông điệp hay thực hiện các chức năng định tuyến phức tạp.
Stateful proxy server:
Stateful proxy server phức tạp hơn stateless proxy server. Khi
nhận được yêu cầu, stateful proxy server sẽ tạo ra một trạng thái
và giữ trạng thái đó cho đến khi transaction kết thúc. Bởi vì có
một số transaction đặc biệt như INVITE .. tồn tại trong thời gian
rất dài (cho đến khi bên được gọi quyết định chấp nhận hay từ
chối yêu cầu thiết lập cuộc gọi) và stateful proxy server duy trì
trạng thái đó cho đến khi transaction kết thúc, cho nên hiệu suất
của stateful proxy server bị hạn chế.
Chương 2 2013
Trang 54
Stateful proxy server có thể hiểu được sự truyền lại vì nó biết
được điều này từ trạng thái transaction nếu nó đã nhận được
thông điệp tương tự. Hơn nữa, stateful proxy server có thể thực
hiện các phương pháp phức tạp trong việc tìm kiếm bên được
gọi.
Uer Agent
Client
(UAC)
SIP ProxyUser Agent
Server
(UAS)
Location Server
1. INVITE
2. 100/Trying
3. [email protected] ?
5. INVITE
6. 100/Trying
7. 180/Ringing
8. 180/Ringing9. 200/OK
10. 200/OK
11. ACK [email protected]
Hình 2.14: Giao tiếp qua SIP Proxy
Quá trình diễn ra:
1) Một thông điệp INVITE thì được gửi tới [email protected] , nhưng sẽ tìm tới
proxy server sip.acme.com.
2) Proxy server ngay lập tức đáp lại và gửi trả lại một đáp ứng tạm thời.
3) Proxy server sẽ tìm location của bob.
4) Dịch vụ Location trả lại location hiện tại của bob có địa chỉ SIP là
5) Proxy server tạo ra một thông điệp INVITE gửi tới UAS ở lab.acme.com.
6) UAS gửi lại cho proxy server một đáp ứng tạm thời.
7) Sau đó UAS báo hiệu máy đang rung chuông.
Chương 2 2013
Trang 55
8) Proxy server sẽ forward mã 180 mà UAS gửi tới cho UAC.
9) UAS báo hiệu cho proxy server là yêu cầu đã thực hiện thành công.
10) Proxy server sẽ forward lại tín hiệu đó cho UAC.
11) UAC xác nhận bằng cách gửi lại tín hiệu ACK. Kết nối thành công
Hầu hết các SIP proxy ngày nay là stateful proxy. Thông thường mỗi công
ty, đang sử dụng mô hình quản trị trung tâm, sẽ cần có proxy server riêng và
được sử dụng bởi tất cả các user agent. Ta nhận thấy proxy server định tuyển
được cuộc gọi.
Registrar
Hình 2.15: Quá trình đăng kí.
Registrar là một thực thể đặc biệt trong kiến trúc mạng SIP. Thông
thường nó chỉ là một thực thể logic. Nó nhận các thông tin đăng ký của
người dùng, trích ra phần mang thông tin về vị trí hiện tại của họ (trong
trường hợp này thông tin bao gồm địa chỉ IP, số hiệu cổng, và tên người
dùng) và lưu thông tin vào một cơ sở dữ liệu định vị của nó. Mục đích
của cơ sở dữ liệu định vị là dùng để ánh xạ [email protected] thành
[email protected]:5060. Cơ sở dữ liệu định vị này được dùng bởi proxy
server của công ty B. Khi proxy server nhận được thông điệp mời bob
tham gia cuộc gọi theo định dạng SIP như [email protected], nó sẽ tìm kiếm
Chương 2 2013
Trang 56
trong cơ sở dữ liệu. Nó tìm ra thông tin của [email protected] sau đó gửi
thông điệp mời đến địa chỉ đó.
Mỗi thông tin đăng ký sẽ có một thời gian tồn tại nhất định. Trường
expires header hoặc thông số exprie sẽ quyết định thời gian tồn tại của
một hồ sơ đăng ký trong cơ sở dữ liệu định vị. User agent phải làm tươi
thông tin đăng ký đó trong thời gian nó còn hiệu lực. Nếu không nó sẽ bị
hết hạn và tài khoản user sẽ không còn hiệu lực.
Redirect server
Redirect server là một thực thể nhận vào một yêu cầu và trả lời lại
cho yêu cầu đó thông tin về danh sách các địa chỉ hiện tại của người
dùng cụ thể. Redirect server nhận các thông điệp yêu cầu và tìm kiếm
thông tin về người nhận yêu cầu đó trong cơ sở dữ liệu định vị, được tạo
ra bởi registrar. Sau đó nó sẽ tạo ra một danh sách các vị trí hiện tại của
người dùng và gửi thông tin đó về đó về cho người gửi yêu cầu trên. Sau
đó, người gửi sẽ trích thông tin từ danh sách các địa chỉ đó và tạo ra
thông điệp yêu cầu mới để gửi trực tiếp cho bên nhận
User Agent
Client
(UAC)
Redirect
Server
Location
Service
User Agent
Server
1. INVITE
[email protected] 2. bob
@acme.com ?
3. 3573572
@gw.telco.com
4. 302/
Moved temporarily
contact@3573572
@gw.telco.com
5. ACK
6. INVITE [email protected]
7. 200/OK
8. ACK
Hình 2.16: Quy trình gọi redirection
1) Ban đầu, một thông điệp SIP INVITE gửi tới [email protected], nhưng nó
phải tìm redirection server sip.acme.com.
Chương 2 2013
Trang 57
2) Redirection server sẽ đi tìm vị trí của bob.
3) Dịch vụ Location trả lại vị trí hiện tại của bpb có địa chỉ là
4) Redirection server tìm thấy địa chỉ và trả về cho UAC.
5) UAC xác nhận bằng cách gửi tín hiệu ACK cho redirection server.
6) UAC sẽ gửi thông điệp INVITE trực tiếp đến gw.telco.com.
7) UAS báo lại yêu cầu kết nối đã thành công.
8) UAC gửi tìn hiệu ACK tới UAS.
d. Giao thức RSTP
Real Time Streaming Protocol (RSTP) được quy định bởi IETF trong
RFC 2326. RTSP thiết lập và điều khiển các truyền thông dòng như video và
audio. RTSP là một giao thức tương tự như HTTP. RTSP là một giao thức
phi kết nối, mặc dù nó có thể sử dụng TCP trong suốt quá trình gửi tin nhắn
trên một hoặc nhiều kết nối. RTSP là một giao thức 2 chiều, có nghĩa cả máy
khách và máy chủ có thể gửi tin nhắn cho nhau.
e. Giao thức SDP
Session Description Protocols (SDP) được định nghĩa bởi IETF trong
RFC 2327. Mục đích của SDP là việc trao đổi các khả năng truyền thông và
những đặc tính mong muốn của các bên giao tiếp. SDP có thể được sử dụng
trong kết nối với nhiều giao thức báo hiệu khác nhau và các giao thức điều
khiển media gateway. Mô tả các phiên làm việc trong SDP được thể hiện dựa
trên danh sách các biến và các thông số trong SDP.
f. Giao thức MGCP
Tổng quan về MGCP
MGCP – Media Gateway Control Protocol. MGCP cho phép điều khiển
các gateway thông qua các thành phần điều khiển bên ngoài mạng. Nó sử
dụng mô hình kết nối tương tự như SGCP dựa trên các kết nối cơ bản giữa
Chương 2 2013
Trang 58
thiết bị đầu cuối và gateway. Các kết nối có thể là kết nối điểm-điểm hoặc
kết nối đa điểm.
MGCP phiên bản đầu tiên là sự kết hợp của hai giao thức: SGCP và
IPDP(Internet Protocol Device Control). MGCP thích hợp cho việc triển khai
các hệ thống mạng IP Telephony có mức độ thay đổi về kích thước lớn và
chỉ phục vụ cho VoIP.
Các thành phần chính của MGCP
Giao thức MGCP có 3 thành phần chính sau: Đầu cuối, Gateway và Call
Agent.
SS7
IMT
PRI
Call Agent Call Agent
PSTN
PSTN
MGCP/H.248/Megaco
RTP
Hình 2.17: Các thành phần chính của MGCP
Đầu cuối: Là điểm kết nối giữa mạng gói và mạng điện thoại truyền
thống. Có thể là vật lý, ví dụ như đầu cuối là một giao tiếp trên gateway có
kết nối tới PSTN. Có thể là luận lý (đầu cuối ảo) nằm trong các server truyền
thông được tạo dưới sự điều khiển của các phần mềm.
Gateway: Chịu trách nhiệm biên dịch tín hiệu âm thanh từ dạng analog
hay digital sang một vài dạng nén kỹ thuật số nào đó. Gateway chỉ tương tác
với Call Agent. Vì vậy nó chỉ liên kết với một Call Agent tại một thời điểm
Call Agent: Thành phần xử lý trung tâm, đóng vai trò như một đại diện
báo hiệu và bộ xử lý cuộc gọi.
Chương 2 2013
Trang 59
Các gói của gateway truyền thông
- MGCP đặc tả các loại endpoint và các gói sự kiện mong đợi hổ trợ bởi
mỗi loại. Một gói là một danh sách các sự kiện và tín hiệu được yêu
cầu cho hoạt động thích hợp của loại endpoint. Ví dụ một gói có thể
nhóm các sự kiện hay tín hiệu liên quan đến gateway đường thoại
chính (trunk) và gói khác có thể nhóm các sự kiện hay tín hiệu liên
quan đến một tuyến truy cập analog. Các sự kiện được thông báo với
thông điệp NTFY, và các yên của sự kiện được cấu hình từ một tên
gói tùy chọn, được tách biệt bởi một dấu gạch xiên (/) với tên của sự
kiện thực.
- Dưới đây sẽ là danh sách các gói khác nhau đã được định nghĩa cho
giao thức này.
Tên gói Tên viết tắt
Gói Generic Media G
Gói DTMF D
Gói MF M
Gói Trunk T
Gói Line L
Gói Handset H
Gói RTP R
Gói Network Access Server N
Gói Announcement Server A
Gói Script Script
Bảng 2.1: Các gói trong MGCP
Chương 2 2013
Trang 60
Các yêu cầu cho mỗi sự kiện:
Việc mô tả sự kiện, tín hiệu người sử dụng thực tế được phát và kết quả
được quan sát bởi người sử dụng. Ví dụ một sự kiện có thể là sự chuyển
đổi offhook. Sự kiện này xuất hiện khi người dùng bắt đầu offhook và
nhận tone quay số.
Định nghĩa các đặc tính của sự kiện, như tần số và biên độ của các tính
hiệu thoại.
Thời gian tồn tại của một sự kiện: Các tín hiệu được phân chia thành các
dạng sau này tùy thuộc vào đáp ứng và hoạt động được yêu cầu:
Offhook (OO): Như kết quả của một sự kiện, các tín hiệu này được áp
dụng cho đến khi chúng ta tắt nó.
Time-out (TO): Sau khi được sử dụng, tín hiệu này vẫn tồn tại cho tới
khi chúng được tắt hay cho đến khi Time-out xảy ra trên một báo hiệu,
khoảng thời gian cụ thể.
Brief (BR): Thời gian tồn tại tín hiệu là ngắn và ngưng cho riêng nó.
Mỗi gói chứa một chuỗi các báo hiệu và các sự kiện đặc biệt.
Bảng dưới đây là thông tin chi tiết về các gói được hổ trợ bởi
Gateway. Với các gói G,D,T,N,R là những gói đã được định nghĩa ở trên.
Lệnh Mã lệnh
CreateConnection CRCX
ModifyConnection MDCX
DeleteConnection DLCX
NotificationRequest RQNT
Notify NTFY
Chương 2 2013
Trang 61
AuditEnpoint AUEP
AuditConnection AUCX
ReStartInProgress RSIP
MoveConnection MDCX
(MOVE)
EnpointConfiguration EPCP
Bảng 2.2: Thông tin các gói được hỗ trợ bởi Gateway
Thiết lập cuộc gọi và kết thúc
Một connection dưới MGCP được tạo ra theo các bước đơn giản
sau:
Call Agent yêu cầu gateway đầu tiên tạo ra một connection trên
endpoint đầu tiên. Gateway phân phối tài nguyên cho connection này và
đáp ứng lệnh thông qua cung cấp một mô tả phiên dưới dạng các thông số
được mã hóa theo SDP. Mô tả phiên này chứa tất cả các thông số cần
thiết cho thành phần thứ ba chuyển gói, chẳng hạn như địa chỉ IP, port.
Sau đó Call Agent yêu cầu gateway thứ hai tạo ra một connection trên
endpoint thứ hai. Lệnh này mang mô tả phiên được cung cấp bởi gateway
thứ nhất. Gateway này phân phối tài nguyên cho cầu nối này và đáp ứng
lệnh bằng cách mô tả phiên của nó. Call Agent dùng lệnh sửa đổi kết nối
để cung cấp mô tả phiên thứ hai cho endpoint thứ nhất. Một khi điều này
thực hiện việc truyền tin có thể thực hiện theo hai hướng. Một khhi đã
thiết lập kết nối, các thông số kết nối có thể sửa đổi bất cứ lúc nào bằng
một lệnh sửa đổi kết nối. Call Agent có thể xóa bỏ một connection bằng
cách truyền cho gateway một lệnh xóa kết nối, gateway cũng có thể thông
Chương 2 2013
Trang 62
báo cho Call Agent rằng một connection không thể duy trì và phát ra một
thông điệp xóa kết nối đến Call Agent.
g. Giao thức SGCP (Simple Gateway Control Protocol)
Giao thức này cho phép các thành phần điều khiển cuộc gọi có thể điều
khiển kết nối giữa trung kế, các thiết bị đầu cuối và gateway. Các thành
phần điều khiển được gọi là call Agent. SGCP được sử dụng để thiết lập,
duy trì và giải phóng các cuộc gọi qua mạng IP. Call Agent thực hiện các
chức năng báo hiệu cuoc65goi5 và gateway thực hiện chức năng truyền tín
hiệu âm thanh. SGCP cung cấp năm lệnh điều khiển chính:
Notification Request: yêu cầu gateway phát các tín hiệu nhấc máy, đặt
máy và các tin hiệu quay số DTMF.
Notify: gateway sử dụng lệnh này để thông báo với Call Agent về các
tín hiệu được phát hiện ở trên.
Create Connection: Call Agent yêu cấu khởi tạo kết nối giũa các đầu
liên lạc trong gateway.
Modify Connection: Call Agent dùng lệnh này để tahy đổi các thông
số về kết nối đã thiết lập. lệnh này cũng có thể dùng các điều khiển
luồng cho các gói tin RTP đi từ gateway này sang gateway khác.
Delete Connection: Call Agent sử dụng lệnh này để giái phóng các kết
nối đã thiết lập.
Năm lệnh trên đây điều khiển gateway và thông báo cho call agent về
các sự kiện xảy ra. Mỗi lệnh hay yêu cầu bao gồm các thông số cụ thể
cần thiết để thực thi các phiên làm việc.
2.2.2. Giao Thức Media Transport
a. Giao thức RTP (Real Time Transport Protocol)
Trong những ứng dụng truyền thông đa phương tiện, yêu cầu đảm bảo khắt
khe về thời gian thực. Việc các gói tin đến không liên tục, đều đặn làm cho
Chương 2 2013
Trang 63
chất lượng hình ảnh, âm thanh thu được thấp có thể gây ra méo tiếng, vấp
hình. Để áp ứng những yêu cầu này, giao thức truyền tải thời gian thực ra đời.
Giao thức RTP được được đưa ra và đặc tả trong RFC 3550.
Giới thiệu về giao thức RTP
Giao thức RTP (Real-time transport protocol), cung cấp các hàm phục vụ
việc truyền tải dữ liệu “end to end” cho các ứng dụng thời gian thực, qua các
mạng multicast hay qua mạng unicast. Các dịch vụ này bao gồm:
Sự phân loại tải: payload type identification.
Đánh số thứ tự: sequence numbering.
Đánh dấu thời gian phát, đồng bộ hoá.
Theo dõi quá trình truyền tải: delivery monitoring.
Hoạt động của RTP được hỗ trợ bởi một thủ tục khác là RCTP để nhận các
thông tin phản hồi về chất lượng truyền dẫn và các thông tin về thành phần
tham dự các phiên hiện thời. RTP là một giao thức dựa trên giao thức IP tạo ra
các hỗ trợ để truyền tải các dữ liệu yêu cầu thời gian thực với các yêu cầu:
Liên tục: Các gói tin phải được sắp xếp theo đúng thứ tự khi chúng
đến bên nhận, các gói đến có thể không theo thứ tự và nếu gói tin bị
mất thì bên nhận phải dò tìm hay bù lại sự mất các gói tin này.
Sự đồng bộ trong các phương thức truyền thông: Các khoảng lặng
trong tiếng nói được triệt và nén lại để giảm thiểu băng thông cần
thiết, tuy nhiên khi đến bên nhận, thời gian giữa các khoảng lặng này
phải được khôi phục một cách chính xác.
Sự đồng bộ giữa các phương thức truyền thông: Có thể tín hiệu thoại
sử dụng một phương thức truyền thông trong khi tín hiệu video lại sử
dụng một phương thức truyền thông khác, các tín hiệu tiếng và hình
phải được đồng bộ một cách chính xác, gọi là sự đồng bộ tiếng - hình.
Chương 2 2013
Trang 64
Sự nhận diện phương thức truyền tải: Trong Internet, thông thường
cần thay đổi sự mã hoá cho phương thức truyền tải (payload) trên
hành trình truyền để hiệu chỉnh thay đổi độ rộng băng thông sẵn sàng
hoặc đủ khả năng cho người dùng mới kết nối vào nhóm. Một vài cơ
chế cần được sử dụng để nhận diện sự mã hoá cho mỗi gói đến.
Các dịch vụ cung cấp bởi RTP
Đa phát đáp thân thiện: (multicast – friendly): RTP và RTCP là kỹ thuật đa
phát đáp, cung cấp khả năng mở rộng cuộc hội thoại nhiều bên. Trên thực tế,
chúng được thiết kế để có thể hoạt động trong cả các nhóm đa phát đáp nhỏ,
phù hợp cho các cuộc điện đàm ba bên. Khi đó, sẽ tồn tại 1 nguồn phát và
nhiều nguồn thu, một máy chủ xuất luồng dữ liệu thời gian thực đến rất nhiều
máy khách. Nếu ta sử dụng truyền unicast, tải trọng tác động lên máy chủ rất
lớn. Trong khi đó, nếu mạng có hỗ trợ truyền multicast, ta chỉ việc xuất một
luồng duy nhất từ máy chủ tới một địa chỉ multicast. Sau đó tại các nốt mạng,
luồng dữ liệu sẽ được nhân lên và chuyển tiếp tới những địa chỉ đích. Đối với
các nhóm lớn, chúng sử dụng đa phát đáp quảng bá (broadcasting).
Hình 2.18: Sử dụng Multicast trong truyền dữ liệu đa phương tiện.
Độc lập thiết bị: RTP cung cấp các dịch vụ cần thiết chung cho phương thức
truyền thông thời gian thực nói chung như thoại, video hay bất kì một bộ mã
hoá, giải mã cụ thể nào có sự định nghĩa các phương thức mã hoá và giải mã
riêng bằng các thông tin tiêu đề và định nghĩa.
Chương 2 2013
Trang 65
Các bộ trộn và chuyển đổi: Các bộ trộn là thiết bị nắm giữ phương thức
truyền thông từ một vài người sử dụng riêng lẻ, để trộn hoặc nối chúng vào các
dòng phương thức truyền thông chung, chuyển đổi chúng vào khuôn dạng
khác và gửi nó ra. Các bộ chuyển đổi có ích cho sự thu nhỏ băng thông yêu
cầu của dòng số liệu từ dòng số liệu chung trước khi gửi vào từng kết nối băng
thông hẹp hơn mà không yêu cầu nguồn phát RTP thu nhỏ tốc độ bit của nó.
Điều này cho phép các bên nhận kết nối theo một liên kết nhanh để vẫn nhận
được truyền thông chất lượng cao. RTP hỗ trợ cả các bộ trộn và cả các bộ
chuyển đổi.
Mã hoá thành mật mã: Các dòng phương thức truyền thông RTP có thể
mã hoá thành mật mã dùng các khoá, việc mã hoá đảm bảo cho việc
thông tin trên mạng được an toàn hơn.
Các gói tin truyền trên mạng Internet có trễ và jitter không dự đoán được.
Nhưng các ứng dụng đa phương tiện yêu cầu một thời gian thích hợp khi
truyền các dữ liệu và phát lại. RTP cung cấp các cơ chế bảo đảm thời
gian, số thứ tự và các cơ chế khác liên quan đến thời gian. Bằng các cơ
chế này RTP cung cấp sự truyền tải dữ liệu thời gian thực giữa các đầu
cuối qua mạng.
Bản thân RTP không cung cấp một cơ chế nào cho việc bảo đảm phân
phối kịp thời các dữ liệu tới các trạm mà nó dựa trên các dịch vụ của tầng
thấp hơn để thực hiện điều này. RTP cũng không đảm bảo việc truyền
các gói theo đúng thứ tự. Tuy nhiên, số thứ tự trong RTP header cho
phép bên thu xây dựng lại đúng thứ tự các gói của bên phát.
Hoạt động của RTP được hỗ trợ bởi một giao thức khác là RTCP để nhận
các thông tin phản hồi về chất lượng truyền dẫn và các thông tin về thành
phần tham dự các phiên hiện thời. Không giống như các giao thức khác
là sử dụng các trường trong header để thực hiện các chức năng điều
Chương 2 2013
Trang 66
khiển, RTP sử dụng một cơ chế điều khiển độc lập trong định dạng của
gói tin RTCP để thực hiện các chức năng này.
Cấu trúc gói tin RTP
RTP header bao gồm một phần cố định có ở mọi gói RTP và một phần
mở rộng phục vụ cho các mục đích nhất định.
Phần cố định:
Hình 2.19: Phần cố định của đơn vị dữ liệu RTP
Version (2 bits): Chỉ ra version của RTP, hiện nay là version 2.
Padding (1 bit): Nếu bit này được đặt, sẽ có thêm một vài octets thêm
vào cuối gói dữ liệu. Các octets này không phải là thông tin, chúng
được thêm vào để nhằm mục đích:
Phục vụ cho một vài thuật toán mã hoá thông tin cần kích thước
của gói cố định.
Dùng để cách ly các gói RTP trong trường hợp có nhiều gói
thông tin được mang trong cùng một đơn vị dữ liệu của giao thức
ở tầng dưới.
Extension (1 bit): nếu bit này được đặt, thì theo sau phần header cố
định sẽ là một header mở rộng.
Chương 2 2013
Trang 67
Contributing Sources Count (4 bits): số lượng các thành phần nhận
dạng nguồn CSRC nằm trong phần header gói tin. Số này lớn hơn 1
nếu các gói tin RTP đến từ nhiều nguồn.
Marker (1 bit): mang ý nghĩa khác nhau, tuỳ theo từng trường hợp
cụ thể, được chỉ ra trong profile đi kèm.
Payload Type (7 bits): chỉ ra loại tải trọng mang trong gói. Các mã
sử dụng trong trường này ứng với các loại tải trọng được quy định
trong một profile đi kèm.
Sequence Number (16 bits): mang số thứ tự của gói RTP. Số này
được tăng thêm 1 sau mỗi gói RTP được gửi đi. Có thể được sử dụng
để phát hiện được sự mất gói và khôi phục mất gói tại đầu thu. Giá trị
khởi đầu của trường này là ngẫu nhiên.
Time stamp (tem thời gian, 32 bits): Phản ánh thời điểm lấy mẫu
của octet đầu tiên trong gói RTP. Thời điểm này được lấy từ một
đồng hồ tăng đều đặn và tuyến tính theo thời gian để cho phép việc
đồng bộ và tính toán độ jitter. Tần số đồng hồ này không cố định, tuỳ
thuộc vào loại tải trọng. Giá trị khởi đầu được chọn ngẫu nhiên. Một
vài gói RTP có thể mang cùng một giá trị “Tem thời gian” nếu như
chúng được phát đi cùng lúc về mặt logic. Nếu gói dữ liệu được phát
ra đều đặn thì “tem thời gian” được tăng một cách đều đặn. Trong
trường hợp khác thì giá trị “tem thời gian” tăng không đều.
“Tem thời gian” là thành phần thông tin quan trọng nhất trong các
ứng dụng thời gian thực. Người gửi thiết lập các “tem thời gian”
ngay thời điểm octet đầu tiên của gói được lấy mẫu. “Tem thời gian”
tăng dần theo thời gian đối với mọi gói. Sau khi nhận được gói dữ
liệu, bên thu sử dụng các “tem thời gian” này nhằm khôi phục thời
gian gốc để chạy các dữ liệu này với tốc độ thích hợp. Ngoài ra, nó
còn được sử dụng để đồng bộ các dòng dữ liệu khác nhau (chẳng hạn
Chương 2 2013
Trang 68
như giữa hình và tiếng). Tuy nhiên RTP không thực hiện đồng bộ mà
các ứng dụng phía trên sẽ thực hiện sự đồng bộ này.
Synchronization Source Identifier (SSRC, 32 bits): chỉ ra nguồn
đồng bộ của gói RTP, số này được chọn ngẫu nhiên. Trong 1 phiên
RTP có thể có nhiều hơn một nguồn đồng bộ. Mỗi một nguồn phát ra
một luồng RTP. Bên thu nhóm các gói của cùng một nguồn đồng bộ
lại với nhau để phát lại tín hiệu thời gian thực.
Contributing Source Identifier (CSRC, từ 0-15 mục, mỗi mục 32
bits): chỉ ra những nguồn đóng góp thông tin vào phần tải trọng của
gói. Giúp bên thu nhận biết được gói tin này mang thông tin của
những nguồn nào.
Phần mở rộng: có độ dài thay đổi. Sự tồn tại phụ thuộc vào bit
Extension của phần cố định.
Hình 2.20: Phần mở rộng cấu trúc dữ liệu RTP
16 bit đầu tiên được sử dụng với mục đích riêng cho từng ứng dụng
được định nghĩa bởi profile. Thường được dùng để phân biệt các loại
header mở rộng.
Length (16 bits): giá trị chiều dài phần header mở rộng tính theo đơn
vị 32 bit, không bao gồm 32 bit đầu tiên của phần header mở rộng.
Cơ chế mở rộng của RTP cho phép các ứng dụng riêng lẻ của giao
thức RTP thực hiện được với những chức năng mới đòi hỏi những
thông tin thêm vào phần header của gói. Cơ chế này được thiết kế để
một vài ứng dụng có thể bỏ qua phần header mở rộng này (mà vẫn
Chương 2 2013
Trang 69
không ảnh hưởng tới hoạt động) trong khi một số ứng dụng khác lại
có thể sử dụng được phần đó.
- Bộ phận nhận dạng tải xác định kiểu định dạng của tải tin cũng như
cách mã hoá và nén. Từ các bộ phận định dạng này, các ứng dụng phía
thu biết cách phân tích và chạy các dòng dữ liệu tải tin. Tại một thời
điểm bất kỳ trong quá trình truyền tin, các bộ phát RTP chỉ có thể gửi
một dạng của tải tin cho dù dạng của tải tin có thể thay đổi trong thời
gian truyền (thay đổi để thích ứng với sự tắc nghẽn của mạng).
- Một chức năng khác của RTP là xác định nguồn: cho phép phía thu biết
được dữ liệu đến từ đâu. Ví dụ trong thoại hội nghị, từ thông tin nhận
dạng nguồn một người sử dụng có thể biết được ai đang nói.
- RTP được cố tình để cho không hoàn thiện. Nó chỉ cung cấp các dịch
vụ phổ thông nhất cho hầu hết các ứng dụng truyền thông hội nghị đa
phương tiện. Mỗi một ứng dụng cụ thể đều có thể them vào RTP các
dịch vụ mới sao cho phù hợp với các yêu cầu của nó. Các khả năng mở
rộng này được mô tả trong một profile đi kèm. Profile này còn chỉ ra
các mã tương ứng sử dụng trong trường PT (Payload Type) của phần
tiêu đề RTP ứng với các loại tải trọng mang trong gói.
- RTP nằm ở phía trên UDP, sử dụng các chức năng ghép kênh và kiểm
tra của UDP. Sở dĩ UDP được sử dụng làm thủ tục truyền tải cho RTP
là bởi vì 2 lý do:
Thứ nhất, RTP được thiết kế chủ yếu cho việc truyền tin đa đối tượng,
các kết nối có định hướng, có báo nhận không đáp ứng tốt điều này.
Thứ hai, đối với dữ liệu thời gian thực, độ tin cây không quan trọng
bằng truyền đúng theo thời gian. Hơn nữa, sự tin cậy trong TCP là do
cơ chế báo phát lại, không thích hợp cho RTP. Ví dụ khi mạng bị tắc
nghẽn một số gói có thể mất, chất lượng dịch vụ dù thấp nhưng vẫn có
Chương 2 2013
Trang 70
thể chấp nhận được. Nếu thực hiện việc phát lại thì sẽ gây nên độ trễ
rất lớn cho chất lượng thấp và gây ra sự tắc nghẽn của mạng.
- Thực tế RTP được thực hiện chủ yếu trong các ứng dụng mà tại các
mức ứng dụng này có các cơ chế khôi phục lại gói bị mất, điều khiển
tắc nghẽn.
- Mạng Internet hiện nay vẫn chưa thể đáp ứng được đầy đủ các yêu cầu
của các dịch vụ thời gian thực. Các dịch vụ RTP yêu cầu băng thông
cao có thể làm giảm chất lượng các dịch vụ khác trong mạng đến mức
nghiêm trọng. Trong quá trình triển khai phải chú ý đến giới hạn băng
thông sử dụng của các ứng dụng trong mạng.
b. Giao thức RTCP (Real-time Transport Control Protocol)
- RTCP là giao thức hỗ trợ cho RTP cung cấp các thông tin phản hồi về
chất lượng truyền dữ liệu. Các dịch vụ mà RTCP cung cấp là:
Chức năng của RTCP:
Giám sát chất lượng và điều khiển tắc nghẽn: Đây là chức năng cơ
bản của RTCP. Nó cung cấp thông tin phản hồi tới một ứng dụng về
chất lượng phân phối dữ liệu. Thông tin điều khiển này rất hữu ích
cho các bộ phát, bộ thu và giám sát. Bộ phát có thể điều chỉnh cách
thức truyền dữ liệu dựa trên các thông báo phản hồi của bộ thu. Bộ
thu có thể xác định được tắc nghẽn là cục bộ, từng phần hay toàn bộ.
Người quản lý mạng có thể đánh giá được hiệu suất mạng.
Xác định nguồn: Trong các gói RTP, các nguồn được xác định bởi
các số ngẫu nhiên có độ dài 32 bít, các số này không thuận tiện đối
với người sử dụng. RTCP cung cấp thông tin nhận dạng nguồn cụ thể
hơn ở dạng văn bản. Nó có thể bao gồm tên người sử dụng, số điện
thoại, địa chỉ e-mail và các thông tin khác.
Chương 2 2013
Trang 71
Đồng bộ môi trường: Các thông báo của bộ phát RTCP chứa thông
tin để xác định thời gian và nhãn thời gian RTP tương ứng. Chúng có
thể được sử dụng để đồng bộ giữa âm thanh với hình ảnh.
Điều chỉnh thông tin điều khiển: Các gói RTCP được gửi theo chu
kỳ giữa những người tham dự. Khi số lượng người tham dự tăng lên,
cần phải cân bằng giữa việc nhận thông tin điều khiển mới nhất và
hạn chế lưu lượng điều khiển. Để hỗ trợ một nhóm người sử dụng
lớn, RTCP phải cấm lưu lượng điều khiển rất lớn đến từ các tài
nguyên khác của mạng. RTP chỉ cho phép tối đa 5% lưu lượng cho
điều khiển toàn bộ lưu lượng của phiên làm việc. Điều này được thực
hiện bằng cách điều chỉnh tốc độ phát của RTCP theo số lượng người
tham dự. Mỗi người tham gia một phiên truyền RTP phải gửi định kỳ
các gói RTCP đến tất cả những người khác cũng tham gia phiên
truyền. Nhờ vậy mà có thể theo dõi được số người tham gia.
- Gói RTCP góp phần làm tăng nghẽn mạng. Băng thông yêu cầu bởi
RTCP là 5% tổng số băng thông phân bổ cho phiên. Khoảng thời gian
trung bình giữa các gói RTCP được đặt tối thiểu là 5s.
Các loại thông báo điều khiển chính được RTCP cung cấp là:
SR (Sender Report): chứa các thông tin thống kê liên quan tới kết
quả truyền như tỷ lệ tổn hao, số gói dữ liệu bị mất, khoảng trễ. Các
thông báo này phát ra từ phía phát trong 1 phiên truyền thông.
RR (Receiver Report): Chứa các thông tin thống kê liên quan tới
kết quả nhận, được phát từ phía thu trong 1 phiên truyền thông.
SDES (Source Description): thông số mô tả nguồn (tên, vị trí…)
APP (Application): cho phép truyền các dữ liệu ứng dụng
BYE: chỉ thị sự kết thúc tham gia vào phiên truyền.
Chương 2 2013
Trang 72
- Giá trị của trường PT (Packet Type) ứng với mỗi loại gói được liệt kê
trong bảng sau.
Bảng 2.3: Giá trị của trường Packet Type
- Mỗi gói thông tin RTCP bắt đầu bằng 1 phần tiêu đề cố định giống như
gói RTP thông tin. Theo sau đó là các cấu trúc có chiều dài thay đổi theo
loại gói nhưng luôn bằng số nguyên lần 32 bit. Các gói thông tin RTCP
có thể gộp lại với nhau thành các hợp gói (compound packet) để truyền
xuống lớp dưới mà không phải chèn thêm các bit cách ly. Số lượng gói
trong hợp gói tuỳ thuộc vào chiều dài đơn vị dữ liệu lớp dưới.
- Mọi gói RTCP đều phải được truyền, ngay cả khi chỉ có một gói duy
nhất. Khuôn dạng hợp gói được đề xuất như sau:
Hình 2.21: Cấu trúc gói tin RTCP
Chương 2 2013
Trang 73
Encription Prefix (32 bit): Được dành khi hợp gói cần mã hoá. Giá
trị trong trường này cần tránh trùng với 32 bit đầu tiên trong gói
RTP
Gói đầu tiên trong hợp gói luôn là SR hoặc RR. Nếu không thu
nhận thông tin, hoặc hợp gói chỉ có một gói BYE thì một gói RR
rỗng được dẫn đầu trong hợp gói.
Nếu số lượng các nguồn lớn hơn 31 (không vừa trong một gói SR
hoặc RR) thì các gói RR thêm vào sẽ theo sau gói thống kê đầu
tiên. Việc bao gồm gói thống kê (RR hoặc SR) trong mỗi hợp gói
nhằm thông tin thường xuyên về chất lượng thu của những người
tham gia. Việc gửi hợp gói đi được tiến hành một cách đều đặn và
thường xuyên theo khả năng cho phép của băng thông.
Trong hợp gói có gói SDES nhằm thông báo về nguồn phát.
Các gói APP nằm ở vị trí bất kỳ trong hợp gói.
Gói BYE nằm ở vị trí cuối cùng.
2.2.3. Các Giao Thức Khác Sử Dụng Trong Voip
Hầu hết các giao thức trong VoIP thuộc lớp ứng dụng. Một thể hiện đầy
đủ của các chức năng trong VoIP phụ thuộc vào giao thức vận chuyển và các
giao thức khác chịu trách nhiệm cung cấp các dịch vụ hỗ trợ cần thiết. VoIP
phụ thuộc vào các giao thức hỗ trợ không phải giao thức trong VoIP, bao
gồm:
a. IPv4 và IPv6
IPv4 và IPv6 chứa nhiều giao thức được chỉ định bởi IETF, bổ sung mới
nhất bao gồm Mobile IPv4, Mobile IPv6 và IPSec. UDP là một trong những
giao thức IP và là giao thức truyền tải đáng tin cậy, TCP là một giao thức
đảm bảo độ tin cậy cho các dòng tin nhắn.
Chương 2 2013
Trang 74
b. SCTP
SCTP được cung cấp bởi IETF trong RFC 2960, cung cấp các dịch vụ
tương tự như TCP.
c. TLS
Là giao thức dùng để chứng thực và mã hóa, đây là một phương thức mã
hóa chuẩn dùng để mã hóa bất kì một kết nối TCP. Ban đầu TLS được phát
triển bởi Netscape, bước đầu được sử dụng để mã hóa lưu lượng truy cập
HTTP. TLS cuối cùng được điều chỉnh bởi IETF với những thay đổi nhỏ so
với SSL3 và đã trở thành một tiêu chuẩn Internet đã được chấp nhận sử dụng
trên nhiều ứng dụng khác nhau. Và SSL2, SSL3 vẫn được sử dụng rộng rãi
trong các trình duyệt web.
Chương 3 2013
Trang 75
CHƯƠNG 3: CÁC MỐI ĐE DỌA VÀ SỰ TẤN CÔNG TRONG
VOIP.
3.1. Định Nghĩa Về Các Mối Đe Dọa Và Tấn Công Trong Voip
- Để nắm rõ sự khác biệt giữa các thuật ngữ mối đe dọa, tấn công, và lỗ
hổng, chúng ta cần phải thiết lập các định nghĩa thích hợp trong phạm vi
bảo mật VoIP. Thông thường, con người sử dụng các thuật ngữ mối đe dọa
và lỗ hổng thay thế cho nhau để xác định các nguy cơ liên quan đến tài
nguyên mạng, dịch vụ, hoặc tương tác người dùng.
NSA đã định nghĩa mối đe dọa như sau:
Mối đe dọa có nghĩa là những khả năng hay mục đích của một tác
nhân đe dọa, tác động xấu đến hệ thống tự động, cơ sở, hoặc hoạt
động của hệ điều hành đang làm việc. Đây là một hành vi tiềm ẩn ảnh
hưởng đến quá trình bảo mật.
Có hai cách phổ biến để xác định các mối đe dọa với một mạng hoặc
hệ thống cá nhân. Phương pháp đầu tiên là xem xét các nguyên nhân
có thể gây ra của mối đe dọa đó là gì? Những đối tượng có thể đe dọa
hệ thống cơ sở hạ tầng hoặc các hoạt động của bạn? Phương pháp
thứ hai là để tìm kiếm các đe dọa đó là mối đe dọa của những gì,
hoặc làm thế nào có thể tấn công đe dọa mạng? Phương pháp tiếp cận
đầu tiên sẽ cho những kẻ tấn công, trong khi phương pháp thứ hai sẽ
cho thấy hoạt động của việc đe dọa.
NSA định nghĩa tấn công như sau:
Một nỗ lực để vượt qua kiểm soát an ninh trên máy tính. Các cuộc tấn
công có thể thay đổi, tách ra, hoặc từ chối dữ liệu. Một cuộc tấn công
thành công sẽ phụ thuộc vào lỗ hổng của hệ thống máy tính và hiệu
quả của biện pháp đối phó hiện có. Một cuộc tấn công có thể hoạt
động dẫn đến sự thay đổi dữ liệu, hoặc thụ động dẫn đến việc phát
hành dữ liệu. Lưu ý: Thực tế là một cuộc tấn công được thực hiện
Chương 3 2013
Trang 76
không nhất thiết có nghĩa là nó sẽ thành công. Mức độ thành công phụ
thuộc vào các lỗ hổng của hệ thống hoặc các hoạt động và hiệu quả
của các biện pháp đối phó hiện tại.
Mối đe dọa và tấn công có thể là chủ động hoặc bị động, tùy thuộc
vào việc thực hiện (tấn công) của các mối đe dọa đòi hỏi thay đổi hệ
thống hoặc mạng.
RFC 3067 định nghĩa một lỗ hổng như sau:
Một thiếu sót hay điểm yếu trong thiết kế của hệ thống, việc triển
khai, hoặc quá trình hoạt động và quản lý có thể được khai thác để
xâm phạm vào các chính sách trong hệ thống bảo mật.
Lỗ hổng có thể tồn tại trong các đặc điểm kỹ thuật cấu hình, phần
mềm, kiến trúc, hoặc các hoạt động xử lý của mạng, cho phép các
cuộc tấn công có thể thực hiện thành công. Loại bỏ một lỗ hổng liên
quan đến việc cài đặt một bản vá (cập nhật, chỉnh sửa, hoặc cách giải
quyết) hoặc cấu hình lại hệ thống. Loại bỏ lỗ hổng (và các cuộc tấn
công) không có nghĩa là các mối đe dọa được loại bỏ bởi vì lỗ hổng
mới và các cuộc tấn công có thể xuất hiện trở lại.
- Các mối đe dọa trong VoIP:
Tháng 8/2006, S. Niccolini đã gửi một bản thảo lên IETF trình
bày các mối đe dọa đối với VoIP. Trước đó, VOIPSA đã phân loại các
mối đe dọa VoIP và các cuộc tấn công. Mặt khác, các mối đe dọa được
liệt kê trong IETF "VoIP Security Threats" là mối đe dọa cần được xem
xét trong việc thiết kế giao thức. Phiên bản đầu tiên của IETF liệt kê các
loại mối đe dọa như sau:
Đánh chặn và sửa đổi các mối đe dọa
Mối đe dọa làm gián đoạn dịch vụ
Mối Đe dọa để lạm dụng dịch vụ
Chương 3 2013
Trang 77
Mối đe dọa xã hội
Phân loại mối đe dọa trong IETF: các mối đe dọa dựa trên các thông số
kỹ thuật của các giao thức có thể được cải tiến để giảm thiểu tác động
của một cuộc tấn công và do đó không xem xét các vấn đề liên quan đến
việc hỗ trợ cơ sở hạ tầng, chẳng hạn như các nền tảng hệ điều hành và
cấu hình mạng.
Các mối đe dọa liên quan đến VoIP được chia thành các loại sau:
Gây gián đoạn và quấy rối dịch vụ: Kẻ tấn công (attacker) cố gắng
phá dịch vụ VoIP bao gồm các mức: hệ thống quản trị, hệ thống dự
phòng, hệ thống truy nhập và điều khiển.Việc tấn công vào từ các
thành phần mạng gồm có routers, máy chủ DNS, SIP proxy hoặc các
phần điều phối phiên (secssion). Phương thức tấn công có thể từ xa,
không nhất thiết phải truy nhập trực tiếp, thông qua việc lợi
dụng các lỗ hổng của giao thức dùng trong VoIP, lỗi của hệ thống.
Một hình thức quấy rối gọi là SPIT (spam through Internet telephony
– tạm dịch là gọi điện quấy rối thông qua Internet).
Nghe trộm và phân tích dữ liệu trên đường truyền: Kẻ tấn công
(attacker) sẽ tìm cách thu thập các thông tin nhạy cảm để chuẩn bị
cho các tấn công ở mức độ sâu hơn. Trong VoIP (hoặc trong các ứng
dụng đa phương tiện trên Internet) kẻ tấn công có khả năng giám
sát các dòng tín hiệu hoặc dữ liệu không được mã hóa, không được
bảo vệ trao đổi giữa các người dùng. Phương thức này là lắng nghe,
lưu trữ, phân tích các gói tin hay giải mã thời gian thực trên đường
truyền có thể là chủ động hoặc bị động. Mục đích của các Attacker là
các thông tin nhạy cảm như thông tin thẻ tín dụng, các thông tin mật
khẩu khác,…
Giả mạo và đánh lừa: Kẻ tấn công có thể giả người sử dụng, thiết bị
hoặc thậm chí là dịch vụ để xâm nhập vào hệ thống mạng, dịch
Chương 3 2013
Trang 78
vụ, các thành phần trong hệ thống hay lấy cắp thông tin. Kẻ tấn công
giả mạo thường sử dụng các thông tin giả mạo, truy nhập trái phép
thậm trí là gây ra lỗi và xâm nhập khi hệ thống bị gián đoạn. Mục
tiêu của tấn công giả mạo là người dùng, thiết bị, các thành phần
mạng. Một ví dụ đơn giản là tấn công ARP như đầu độc DNS, trỏ địa
chỉ mục tiêu sang địa chỉ khác mà hacker đã định trước. Người dùng
hoàn toàn không hề biết mình đang truy nhập vào hệ thống khác.
Truy nhập trái phép: Là khả năng xâm nhập vào dịch vụ, hệ thống
chức năng, thành phần mạng một cách không chính thống. Attacker
có thể xâm nhập thông qua các lỗ hổng như tràn bộ đệm, cấu hình
mặc định, mức bảo vệ kém có thể bẻ gãy.Ví dụ kẻ tấn công lợi dụng
lỗ hổng vào SIP proxy sau đó chèn các đoạn tín hiệu vào các dòng dữ
liệu rồi lại chuyển tiếp làm thay đổi thông tin ban đầu.
Gian lận: Khả năng này xảy ra khi kẻ tấn công đã có một quyền gì
đó trong hệ thống có thể là do các tấn công khác mang lại. Sau đó kẻ
tấn công có thể lợi dụng quyền hạn có được vào mục đích cá nhân
như ăn trộm cước, ăn trộm dịch vụ… Đây là một vấn đề rất được
quan tâm đối với các nhà cung câp dịch vụ các nhà phân phối.
3.2. Sự Gián Đoạn Dịch Vụ (Service Disruption):
Việc tấn công làm gián đoạn dịch vụ có thể là do tấn công từ chối dịch
vụ DoS. Trong tấn công DoS có hai loại chính là DoS thông thường và
DDoS – DoS phân tán, khi bị tấn công này thì rất íthệ thống có khả năng
chống đỡ được. Hình dưới đây cho thấy các dịch vụ trong VoIP có thể bị
gián đoạn khi bị tấn công DoS
Chương 3 2013
Trang 79
Hình 3.1. Các điểm có thể bị ảnh hưởng khi bị tấn công DoS
Tấn công DoS có thể thực hiện vào bất cứ thành phần nào của hệ thống.
Hình 3.2. Các mục tiêu tấn công của DoS
Các mục tiêu dễ tấn công và đem lại xác suất thành công cao khi tấn
công. DoS là tấn công vào các thành phần của hệ thống, bao gồm:
Các thành phần mạng :
Thiết bị đầu cuối
Lõi của mạng như signaling gateway,..
Các thiết bị truyền dẫn: routes,…
Các thành phần của ứng dụng và dịch vụ:
Chương 3 2013
Trang 80
Chữ kí.
Phương tiện.
Hệ điều hành
Người quản lí
Hối phiếu
Sự gian lận
Bảo mật
Sự dự phòng
Chiến lược phòng thủ theo chiều sâu “defense in depth” đòi
hỏi VoIP phải được thiết kế và bảo trì các vấn đề an ninh từ máy chủ cho
đến các thiết bị đầu cuối.
3.3. Các Tấn Công Liên Quan Đến Dịch Vụ Điện Thoại.
Viễn thông là một phần của cơ sở hạ tầng quan trọng quốc gia (CNI). Vì
vậy, nhiều luật quốc gia và quốc tế đòi hỏi tính bảo mật, tính toàn vẹn và
tính sẵn sàng của các dịch vụ điện thoại. Trong mạng VoIP, hoạt động
của bất kỳ dịch vụ có thể bị gián đoạn, bị từ chối, hoặc thay đổi. Ví dụ
về các dịch vụ bao gồm thư thoại, người gọi, cuộc gọi quốc tế, số điện
thoại, chờ cuộc gọi, chuyển cuộc gọi, vị trí, tính bảo mật của tín hiệu
hoặc luồng truyền thông, đánh chặn hợp pháp, và các dịch vụ đe dọa.
Ví dụ tấn công đe dọa đối với dịch vụ VoIP và các tính năng bao gồm:
Voicemail: Tấn công một cách đơn giản có thể là đoán mật khẩu hay
brutefore nếu mật khẩu không đủ mạnh. Một số hành động của
attacker là xóa tin nhắn, thay đổi thông tin cá nhân, chuyển cuộc gọi
đến một số khác,…
Caller ID: Các tấn công phổ biến là dùng spoofing ID nhằm
lấy các thông tin cá nhân.
Chương 3 2013
Trang 81
Follow-me service: Attacker sử dụng phương pháp hijack để chen
ngang vào cuộc gọi.
3.4. Tấn Công Từ Chối Dịch Vụ.
Tấn công DoS là kiểu tấn công gửi yêu cầu liên tục với số lượng lớn
đến dịch vụ cần tấn công, có thể là dựa vào lỗi của mục tiêu. Tùy theo
nguồn của các tấn công mà chia thành DoS thông thường và DDoS.
Mục đích là làm cho mục tiêu bị ngưng trệ không có khả năng đáp ứng
dịch vụ được gửi tới. Mức độ nặng có thể khiến hệ thống bị hỏng, cơ sở
dữ liệu bị phá vỡ,…
Các thiết bị VoIP có thể bị tấn công DoS:
Content/protocol layer—SDP, encoded voice, encoded video
Application—H.323, SIP, RTP, RTCP, Radius, Diameter, TTP,
SNMP
Application-level encryption—TLS/SSL
Transport—TCP, SCTP, UDP
Network-level encryption—IPSec
Network—IPv4, IPv6
Link—PPP, AAL3/4, AAL5
Physical—SONET, V.34, ATM, Ethernet
Điều kiện tấn công DoS xảy ra khi thiết bị ở trong mạng nội bộ là cái
đích của việc làm tràn ngập các gói, dẫn đến mất liên lạc giữa các phần
trong cấu trúc mạng liên quan đến thiết bị đó. Các dịch vụ cũng bị bẻ
gãy và làm giảm băng thông, tài nguyên CPU. Ví dụ một vài điện thoại
IP sẽ ngừng hoạt động nếu chúng nhận các gói tin UDP lớn hơn 65534
bytes ở port 5060.
Mục tiêu của cuộc tấn công DoS có thể là những gì xảy ra trong quá
trình truyền tin nhắn, kể cả phạm vi phòng thủ, các SIP proxy, hoặc các
Chương 3 2013
Trang 82
tác nhân người dùng (UA). Các cuộc tấn công có thể bắt nguồn từ một
máy chủ cô lập hoàn toàn hoặc một số máy chủ song song. Cuộc tấn
công cũng có thể được lấy ra từ mạng PSTN hoặc có thể được nhắm
mục tiêu hướng tới một mạng PSTN sau một proxy VoIP. Mục tiêu của
cuộc tấn công cũng có thể là một máy chủ duy nhất, hoặc tấn công có
thể nhắm nhiều mục tiêu cùng một lúc. Kết quả là DoS làm đầy các
nguồn tài nguyên (như lưu trữ có sẵn trong hệ thống thư thoại). Khi
cuộc tấn công nhắm mục tiêu là một thiết bị trung gian, kẻ tấn công
không nhất thiết cần phải biết bất kỳ thiết bị đầu cuối thực sự đằng sau
các cơ sở hạ tầng mạng.
SIP Flooding Attack
Một trong những cuộc tấn công DoS nổi tiếng trong VoIP là việc tiêu
thụ tài nguyên thông qua thông điệp bị làm tràn. Những kẻ tấn công
tạo ra hàng ngàn tin nhắn để gây ảnh hưởng cho hệ thống mạng, thiết
bị hoặc dịch vụ không hoạt động. Hình 3.4 cho thấy một cuộc tấn công
làm tràn SIP trong đó 10.000 thông điệp INVITE được gửi đến điện
thoại của người dùng.
Một trường hợp đặc biệt cho việc làm tràn dựa trên DoS là Distributed
DoS (DDoS). Trong cuộc tấn công DDoS, một số lượng lớn các máy
chủ đang bị tổn hại và kiểm soát bởi một kẻ tấn công để khởi động một
cuộc tấn công nhằm mục tiêu chống lại một dịch vụ. Thông thường,
các chương trình tấn công được tích hợp với các virus và sâu lây
nhiễm. Một mạng lưới các máy đã bị chiếm thường được gọi là botnet,
bởi vì mạng bao gồm các robot phần mềm độc lập, hoặc chương trình.
Chương 3 2013
Trang 83
Hình 3.3. Kiểm tra lỗi SIP Fooding
3.5. Tấn Công Kiểu Quấy Rối ( Annoyance (SPIT)).
- Kiểu tấn công này nhằm đến người dùng làm giảm uy tín của nhà cung cấp
dịch vụ. Việc tấn công này có thể là tự động bằng phần mềm hay bán tự
động. Chẳng hạn tự động gọi đến một số nào đó vào một khoảng thời gian
nhất định, có thể đi kèm nội dung xấu,…Để tránh được việc tấn công này
hệ thống cần có các biện pháp bảo vệ như blacklist,…
- Thư rác trong các hình thức của các cuộc gọi không mong muốn tồn tại
trong mạng PSTN. Đây là những điểm chính dựa trên điện thoại viên. Tuy
nhiên, đây là những hạn chế do gửi thư rác qua PSTN thì tốn kém, đặc biệt
là đối với các chi phí băng thông. Spam qua điện thoại Internet (SPIT) là
Chương 3 2013
Trang 84
việc truyền tải các cuộc gọi không yêu cầu trong mạng VoIP và là một
trường hợp đặc biệt xảy ra trong các dịch vụ email.
3.6. Truy Cập Trái Phép ( Unauthorized Access).
- Đây là kiểu tấn công phổ biến không chỉ đối với hệ thống VoIP. Ba phương
pháp tấn công để lấy thông tin phục vụ cho việc truy nhập trái phép:
Mạo danh (Impersonation)
Tấn công ở mức trung gian, chủ yếu là mạng (Man-in-the-middle
attacks).
Total compromise
Đối với Impersonation: bao gồm ăn trộm mật khẩu, đoán mật
khẩu,…
Đối với Man-in-the-middle attacks: người dùng thực sự không đăng
nhập vào hệ thống nhưng khi họ đăng nhập vào hệ thống kẻ tấn
công nghe trộm ở mức mạng LAN hay tương tự để lấy thông tin
truy nhập hay session khi chưa bị timeout.
Đối với total compromise: attacker có toàn bộ quyền điều khiển và
có thể cài các chương trình gián điệp, virus hay sâu,… vào hệ
thống..
Hình 3.4: Các vị trí có thể xảy ra truy cập trái phép
Chương 3 2013
Trang 85
- Trong bối cảnh thông tin liên lạc VoIP, truy cập trái phép có thể xảy ra
trong các lĩnh vực sau:
Dịch vụ VoIP. Một kẻ tấn công có thể sử dụng lỗ hổng trong dịch
vụ truyền tín hiệu để truy cập trái phép vào mạng VoIP.
Cơ sở hạ tầng VoIP. Một kẻ tấn công có thể khai thác lỗ hổng để
truy cập vào các thành phần mạng VoIP.
VoIP phần tử mạng như tín hiệu và cổng phương tiện truyền
thông, chuyển mạch mềm, các proxy, đăng ký, SBCs, DNS, NTP,
và những chức năng khác.
Thiết bị đầu cuối VoIP.
Hỗ trợ cơ sở hạ tầng.
Yếu tố mạng Giao thông vận tải như bộ định tuyến và chuyển
mạch.
Quản lý và hệ thống quản trị. Một kẻ tấn công có thể truy cập quản
lý hoặc giao diện hành chính và thực hiện nhiệm vụ bằng cách bỏ
qua các điều khiển truy cập hoặc lợi dụng sự thiếu kiểm soát.
Hệ thống hỗ trợ hoạt động.
- Một số điểm có thể để lộ thông tin truy cập:
Cấu hình mặc định các phần mềm (Ví dụ không xóa tài khoản mặc
định, không xóa các phần không cần thiết,…).
Để mật khẩu mặc định.
Không phân quyền truy cập cho các phần có chức năng khác
nhau.
Lỗi xâm nhập qua các dịch vụ: TFTP, FTP, Telnet, RPC.
Các lỗi với quyền của file và thư mục: để quyền thực thi, để quyền
ghi,… đối với những file, thư mục không cần thiết.
Chương 3 2013
Trang 86
- Để chống lại xâm nhập trái phép các phần sau cần được thiết kế và triển
khai cẩn thận :
Application controls
Người sử dụng và thiết bị đăng ký dịch vụ, xác thực và toàn
vẹn thông điệp tín hiệu.
Xác thực và toàn vẹn thông điệp truyền thông.
Network controls
Thực thi kiểm soát thiết bị mạng, bao gồm cả xác minh địa chỉ
MAC và chứng thực port 802.1x . Thực hiện VLAN để cô lập
các thành phần VoIP. Thực thi ACL VLAN
Thực hiện kiểm tra trạng thái cho báo hiệu và dòng phương
tiện truyền thông sử dụng tường lửa VoIP hoặc SBCs
Management
Thực thi kiểm soát truy cập mạng thích hợp trên giao diện quản
lý để hạn chế kết nối từ nguồn gốc có thẩm quyền từ xa.
Thực thi các quyền thích hợp và kiểm soát truy cập dựa trên
vai trò, chức năng quản lý.
Thi hành đăng nhập và kiểm tra các tài khoản người dùng và
quá trình thực hiện quản lý hoặc các chức năng hành chính trên
các thành phần mạng VoIP.
Billing
Thực thi điều khiển để duy trì tính toàn vẹn của Billing
records.
Thực thi điều khiển để duy trì tính bảo mật của Billing records.
Thực thi việc xác thực và kiểm tra ủy quyền để ngăn chặn
những truy cập không được chứng thực .
Chương 3 2013
Trang 87
Thi hành đăng nhập và kiểm toán các tài khoản và các quá
trình người dùng sửa đổi.
Provisioning
Thực thi truy cập mạng thích hợp kiểm soát để hạn chế từ xa
liên kết với các hệ thống dự phòng từ các nguồn trái phép .
Thi hành xác thực và kiểm soát ủy quyền để ngăn chặn truy
cập trái phép để dự phòng chức năng hệ thống từ bên thực thi
trái phép.
Đăng nhập và kiểm tra các tài khoản người dùng và các quá
trình người dùng bắt đầu, thay đổi hoặc xóa các đơn đặt hàng
cho dịch vụ này.
- Một vài ví dụ cho kiểu tấn công này:
Sip Brute Force Attacks
Một trong những phương pháp để truy cập trái phép vào một
dịch vụ VoIP là dò đoán thông tin thuê bao thông qua một cuộc
tấn công cưỡng chế mật khẩu. Trong Triển khai VoIP sử dụng
SIP, yêu cầu đăng ký có thể được sử dụng để đoán mật khẩu.
Chương 3 2013
Trang 88
Hình 3.5. Dò mật khẩu bằng tấn công từ điển
3.7. Nghe Trộm ( Eavesdropping).
- Đây là hình thức tấn công tỏ ra rất hiệu quả khi dữ liệu trên đường truyền
không được mã hóa. Attacker có thể dựa vào các lỗi ARP, bắt gói tin tại các
điểm trung gian như gateway, proxy,…
- Việc nghe trộm có thể chia làm 3 loại:
Traffic analysis (link, network, và transport layers).
Signaling eavesdropping.
Media eavesdropping
- Một vài ví dụ với nghe trộm dùng công cụ Ethereal, Wireshark, Cain & Abel:
Chương 3 2013
Trang 89
Nghe lén Sử dụng Ethereal / Wireshark
Wireshark (phiên bản trước đó được gọi là Ethereal) là một ứng
dụng miễn phí dùng để phân tích lưu lượng mạng và có nhiều tính
năng mạnh mẽ, bao gồm cả phân tích của dòng gói cho SIP, H.323,
và RTP. Khi lưu lượng mạng bị bắt, chương trình cung cấp khả năng
lọc và chọn các cuộc gọi VoIP.
Hình 3.6: Dùng Wireshark để xem lưu lượng mạng
Nghe lén Sử dụng Cain & Abel
Một công cụ mà bạn có thể sử dụng để nắm bắt lưu lượng VoIP là
công cụ Cain & Abel. Công cụ này chủ yếu khai thác dựa trên ARP
poisoning để tấn công MITM, relay SIP hoặc lấy gói tin RTP.
Ngộ độc ARP, còn được gọi là giả mạo ARP, được sử dụng để
chuyển hướng lưu lượng truy cập mạng thông qua máy chủ của kẻ
tấn công để kẻ tấn công có thể hành động như man-in-the-middle
hoặc gây ra một DoS bằng cách thả tất cả các gói frame trong
Ethernet. Cuộc tấn công này có thể chỉ được thực hiện giữa các host
Chương 3 2013
Trang 90
trên một mạng LAN. Trong một cuộc tấn công man-in-the-middle,
kẻ tấn công có thể nghe trộm thông tin liên lạc giữa hai hay nhiều
điểm cuối (host) và thu thập những thông tin nhạy cảm như thông
tin tài khoản (ID người dùng và mật khẩu) và các dòng phương tiện
truyền thông (lưu lượng thoại và video).
Hình 3.7: ARP poisoning attack.
Hình 3.8: Tấn công hệ thống VoIP dùng các gói độc hại (Poisoning).
Chương 3 2013
Trang 91
3.8. Giả Mạo.
- Các cuộc tấn công giả mạo đã xuất hiện từ thời cổ đại. Một ví dụ nổi tiếng
là cuộc chiến thành Troy, trong đó đã giành chiến thắng với việc sử dụng
một tác nhân, con ngựa thành Troy. Về bản chất, quân đội Hy Lạp sử dụng
một thiết bị giả mạo để gia nhập vào thành phố Troy. Một nhóm binh sĩ có
tay nghề cao giấu bên trong con ngựa bằng gỗ.
- Một trường hợp đặc biệt của giả mạo là mạo danh chủ thuê bao. Trong
trường hợp này, kẻ tấn công giả dạng danh tính của mình bằng cách sử
dụng thông tin bắt được trước đó hoặc tiếp cận với một thiết bị liên quan
đến một chủ thuê bao. Thiết bị này phổ biến nhất trong những tấn công vật
lý hoặc điều khiển logic. Các cuộc tấn công là không có giao thức rõ ràng
và có thể được thực hiện trong mạng VoIP sử dụng giao thức truyền tín
hiệu khác, chẳng hạn như H.323.
- Ứng dụng hoặc dịch vụ mạo danh đòi hỏi sự phối hợp của các khía cạnh
khác nhau, bao gồm sự tái tạo của ứng dụng hoặc dịch vụ xem và cảm nhận
và đồng bộ hóa các thông điệp và các sự kiện giữa các thành phần và thiết
bị đầu cuối. Tùy thuộc vào sự phức tạp của ứng dụng hoặc dịch vụ, kẻ tấn
công có thể mạo danh một dịch vụ hoặc một ứng dụng sử dụng các cuộc tấn
công khác nhau, bao gồm cả main in the middle hoặc chuyển hướng lưu
lượng truy cập. Thông thường, kẻ tấn công có thể chiếm quyền kiểm soát
các thành phần cơ bản có hỗ trợ các ứng dụng hoặc lợi dụng các lỗ hổng mà
ảnh hưởng đến việc định tuyến các giao thức báo hiệu.
- Một cuộc tấn công giả mạo khác là thiết bị mạo danh. Những kẻ tấn công
có thể đóng vai một thiết bị như điện thoại, cổng báo hiệu, phương tiện
truyền thông cửa ngõ, máy chủ DNS, người bảo quản SIP, PSAP, hoặc
chuyển mạch mềm để mạo danh một thành phần hoặc một mạng lưới, tùy
thuộc vào thành phần được mạo nhận, và thực hiện các cuộc tấn công nhằm
mục đích để thu thập và xử lý luưu lượng. Ví dụ, một kẻ tấn công có thể
Chương 3 2013
Trang 92
mạo danh một máy chủ DNS cung cấp bản dịch cho SIP URL và chuyển
hướng cuộc gọi đến cho máy chủ kẻ tấn công mục tiêu mong muốn.
3.9. Gian Lận ( Fraud).
- Ngày nay gian lận trực tuyến cũng như gian lận trong VoIP càng trở lên phổ
biến. Việc gian lận này dễ xảy ra ở các bộ phận chuyển giao của dịch vụ.
Trong năm 2004 FBI cho biết tỷ lệ gian lận trực tuyến tăng 64% so với
2003, tổng thiệt hại là 68.14 triệu $. Vấn đề gian lận trong viễn thông cũng
được quan tâm một cách đăc biệt. Vì mạng viễn thông cơ bản tăng trưởng
10%/năm. Gian lận trong viễn thông năm 2003 khiến các nhà cung cấp dịch
vụ thiệt hại đến 35-40 tỷ $. Do đó gian lận rất được quan tâm đến trong
NGN và IMS trong đó có VoIP.
- Gian lận trong VoIP được xem như một thách thức mới cho các nhà cung
cấp dịch vụ do nhiều yếu tố, bao gồm:
Sự phức tạp của công nghệ này làm tăng cơ hội cho sự mâu thuẫn và
giám sát an ninh.
Công nghệ mới, và do đó hạn chế trong vấn đề bảo mật và các lỗ hổng
được đề cập.
Thời gian thị trường duy trì để ngăn chặn nhu cầu cạnh tranh triển khai
kiểm soát bảo mật thích hợp..
Phương pháp thanh toán có thể khác nhau dựa trên nội dung đa phương
tiện, chất lượng dịch vụ, cách sử dụng, hay khuôn khổ khác, trong đó mở
rộng chỗ cho những sai sót.
- Gian lận trong VoIP
Fraud Through Call-Flow Manipulation.
Thông thường, một proxy SIP cho rằng một phiên làm việc giữa hai
người sử dụng đã được thiết lập khi bắt tay ba đường được hoàn thành
( INVITE, OK, tin nhắn ACK).
Chương 3 2013
Trang 93
Một cách để lừa gạt một nhà cung cấp dịch vụ VoIP là bằng cách điều
chỉnh lưu lượng cuộc gọi giữa hai điểm cuối. Nó có thể thiết lập cuộc
gọi giữa hai điểm cuối và tránh phí bằng cách thao tác chuỗi tin nhắn
SIP.
Một cách tiếp cận các nhà cung cấp dịch vụ để bảo vệ chống lại cuộc
tấn công này là để bắt đầu thanh toán khi OK được gửi lại từ người
được gọi. Mặc dù điều này cung cấp một số bảo vệ, nó có thể không
ngăn chặn các cuộc tấn công mới nổi ảnh hưởng đến lưu lượng cuộc
gọi,….
Lừa đảo (Phishing).
Thuật ngữ phishing refers được hiểu là kẻ tấn công gửi thư điện tử
cho người sử dụng không nghi ngờ masqueraded để họ tiết lộ thông
tin bí mật, chẳng hạn như thông tin tài khoản,….
Nội dung của các tin nhắn được định dạng bằng HTML, giúp kẻ tấn
công làm xáo trộn các URL mà người dùng được yêu cầu làm theo để
xác minh thông tin của mình.
Quản lý gian lận
Quản lý gian lận trong VoIP đòi hỏi một cách tiếp cận đa chiều vì sự
phức tạp của công nghệ và sự thay đổi trong những ứng dụng và dịch
vụ. Để chống lại một cách hiệu quả gian lận trong mạng VoIP, các
yêu cầu cần được xem xét:
Kết hợp yêu cầu kiểm soát gian lận trong dịch vụ mới như một
phần của sản phẩm .
Xác định yêu cầu kiểm soát gian lận trong giai đoạn đầu của
một sản phẩm cung cấp để giảm thiểu khả năng mất do gian
lận và giúp tổ chức các hệ thống quản lý gian lận để phát hiện
hành vi vi phạm các yêu cầu quy định. Biện pháp chủ động
Chương 3 2013
Trang 94
này giúp giảm thiểu chi phí liên quan với những nỗ lực, sau đó
để quản lý gian lận dịch vụ tại thời điểm xảy ra.
Triển khai một hệ thống quản lý gian lận VoIP để hỗ trợ trong
việc nhận ra các mô hình hoạt động đáng ngờ. Một số nhà
cung cấp cung cấp gian lận hệ thống quản lí cho VoIP.
Chương 4 2013
Trang 95
CHƯƠNG 4: CÁC LỖ HỔNG TRONG BẢO MẬT VOIP
Ở chương 3, chúng ta đã thảo luận về các mối đe dọa và tấn công trong hệ
thống mạng VoIP. Trong chương này ta sẽ đi xác định và phân tích các lỗ hổng
tạo thuận lợi cho các cuộc tấn công, đe dọa ảnh hưởng đến vấn đề bảo mật trong
hệ thống. Nhằm mục đích hạn chế những lỗ hổng ảnh hưởng cho hệ thống, cách
tốt nhất là loại bỏ các mối đe dọa, phát hiện và đưa ra các biện pháp để sữa chữa
các lỗ hổng, đảm báo tăng tính bảo mật cho hệ thống.
4.1. Lỗ Hổng Do Mạng Và Môi Trường.
4.1.1 Tấn Công Từ Chối Dịch Vụ (Dos) VoIP
- Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn công
trực tiếp và chủ động. Người tấn công không có ý định ăn cắp một cái gì
cả, đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhưng không phải lúc nào
dịch vụ không tiếp cận là nguyên nhân của tấn công DoS, nó có thể là
nguyên nhân của cấu hình sai cũng như là nguyên nhân của việc sử dụng
sai.
- Từ các nguyên nhân trên mà các dịch vụ này có thể gặp một số hậu quả
khó khăn, một tấn công DoS có thể gây ra những đe dọa sau đây:
Đe dọa vật lí hoặc thay đổi các thành phần mạng.
Đe dọa hay thay đổi cấu hình thông tin.
Tiêu thụ khó khăn, giới hạn hay không thể khôi phục nguồn tài
nguyên.
- Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên, chẳng
hạn như băng thông dành cho dịch vụ Internet. Tác động của việc tấn công
sẽ lớn hơn nếu vị trí bị tấn công từ một vài host ở cùng một thời điểm. Các
biến thể của tấn công DoS được gọi là tấn công từ chối phân bổ của dịch
vụ DDoS. Hậu quả của tấn công DoS có thể ảnh hưởng đến tất cả các dịch
Chương 4 2013
Trang 96
vụ trong mạng IP. Hậu quả của tấn công DoS có thể làm giảm chất lượng
dịch vụ hoặc nặng hơn là có thể làm mất dịch vụ.
- DoS: tấn công DoS là dạng tấn công rất phổ biến và cũng rất khó để ngăn
chặn. Kẻ tấn công DoS làm tràn ngập các gói, dẫn đến mất liên lạc giữa
các phần trong cấu trúc mạng liên quan đến thiết bị đó. Do đó các dịch vụ
bị bẻ gãy, làm giảm băng thông và tài nguyên CPU.
Hình 4.1: Tấn công DoS
- Tấn công DoS có nhiều dạng khác nhau là do kẻ tấn công sử dụng các
phương pháp tấn công khác nhau như:
Tấn công Ping of Death: đây là kiểu tấn công DoS lớp 3, kẻ tấn
công sẽ sử dụng lệnh Ping liên tục đến một địa chỉ cố định làm
giảm băng thông, tràn bộ đệm,… khiến cho mạng và thiết bị bị tấn
công giảm tốc độ hoặc ngưng hoạt động.
Hình 4.2: Tấn công Ping of Death
Chương 4 2013
Trang 97
Tấn công SYN flood: đây là một kiểu tấn công DoS ở lớp 4, kẻ
tấn công sử dụng phương pháp “bắt tay 3 bước” của kết nối TCP.
Kẻ tấn công gửi liên tục các gói yêu cầu SYN tới một địa chỉ cố
định như là một VoIP server hoặc một web server…Server này
đáp ứng lại các yêu cầu đó bằng SYN-ACK. Tuy nhiên khi nhận
được đáp ứng trên, kẻ tấn công không gửi ACk báo nhận cho
Server và khi đó các Server ở tình trạng chờ báo nhận và từ chối
bất kì yêu cầu nào từ người sử dụng. Hậu quả của loại tấn công
này là làm các Server ngừng hoạt động và người sử dụng không sử
dụng được dịch vụ.
Hình 4.3: Tấn công SYN flood
Tấn công Smurf: đây là kiểu tấn công DoS, kẻ tấn công sẽ giả
danh địa chỉ của một host trogn một mạng nội bộ để gửi gói tin
quảng bá ICMP yêu cầu đến tất cả các host nội mạng hoặc ngoại
mạng. Khi các host nhận được yêu cầu thì tiến hành trả lời về đúng
địa chỉ thất và khi đó Host bị giả dạng sẽ bị đầy bộ nhớ và CPU
qúa tải.
Chương 4 2013
Trang 98
Hình 4.4: Tấn công Smurf
DDoS (Distributed Denial of Service) : đây là kiểu tấn công DoS
ở quy mô lớn, kẻ tấn công sẽ điều khiển các host gần nó nhất cùng
thực hiện một trong các kiểu tấn công DoS ở trên cùng tấn công
đến một host cố định làm tràn ngập và tê liệt mạng đích từ nhiều
nguồn khác nhau bên ngoài.
Hình 4.5: Tấn công DDoS
Chương 4 2013
Trang 99
- Đối với VoIP tấn công DoS có thể làm cho các dịch vụ VoIP mất đi một
phần hoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc
gọi, ngắt các cuộc gọi hoặc ngăn chặn các dịch vụ tương tự như Voice
mail. Dưới đây là một vài dịch vụ tấn công DoS đối với dịch vụ VoIP.
Tấn công chuyển tiếp các gói VoIP (VoIP packet relay
Attack): bắt và gửi lại các gói VoIP đến điểm cuối, cộng thêm
việc trì hoãn tiến trình cuộc gọi sẽ làm giảm chất lượng cuộc gọi.
Tấn công thay đổi chất lượng dịch vụ (QoS Modification
Attack): thay đổi các trường thông tin điều khiển các giao thức
VoIP riêng biệt trong gói dữ liệu VoIP và từ điểm cuối làm giảm
hoặc từ chối dịch vụ thoại. Ví dụ, nếu một người tấn công đổi thẻ
802.1Q VLAN hoặc bit To Strong trong gói IP, cũng giống như là
người đứng giữa hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối,
người tấn công có thể phá vỡ dịch vụ của mạng VoIP. Do lưu
lượng thoại phục thuộc vào lưu lượng dữ liệu nên về căn bản, kẻ
tấn công có thể trì hoãn việc phân phát các gói thoại.
Tấn công bằng các gói VoIP giả mạo (VoIP packet Injection):
tức là gửi các gói VoIP giả mạo đến điểm cuối, thêm vào đoạn
thoại hay nhiễu hay khoảng lặng vào hoạt động thoại. Ví dụ khi
RTP được dùng mà không có sự xác thực của gói RTCP, kẻ tấn
công có thể tiêm thêm các gói RTCP vào nhóm muticast với SSCR
khác, mà điều này có thể làm tăng thêm số lượng nhóm theo hàm
mũ.
Tấn công DoS vào dịch vụ bổ xung ( DoS against supplementary
services ): khởi đầu tấn công DoS là chống lại các dịch vụ mạng
khác mà dịch vụ VoIP có mối liên hệ (DNS, DHCP, BOOTP). Ví
dụ trong mạng mà đầu cuối VoIP dựa vào địa chỉ đăng kí DHCP,
làm mất khả năng của DHCP Server ngăn chặn điểm cuối lấy được
Chương 4 2013
Trang 100
địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch vụ
VoIP.
Thông điệp giả (Bogus Message DoS): gửi đến VoIP server và
các điểm cuối các giao thức VoIP giả mạo nhằm hủy kết nối hoặc
tình trạng bận ở đầu cuối. Kiểu tấn công này làm cho các phone
phải xử lí message giả và đầu cuối phải thiết lập những kết nối ảo
hoặc làm cho người tham gia cuộc gọi lầm rằng đường dây đăng
bận.
Tràn ngập các gói điều khiển (Control Packet Flood): làm tràn
ngập VoIP server hoặc đầu cuối với những gói điều khiển cuộc goi
không rõ nguồn gốc ( ví dụ trong H.323, các gói GRQ, RRQ, URQ
sẽ được gửi đến UDP/1719). Mục đích của kẻ tấn công là làm suy
yếu thiết bị hệ thống hoặc tài nguyên mạng. Do đó không thể dùng
các dịch vụ VoIP. Bất kể các port mở trong tiến trình cuộc gọi và
VoIP liên quan có thể trở thành mục tiêu của tấn công DoS này.
Sự thực thi giao thức VoIP (VoIP Protocol Implementation):
gửi đến server VoIP hoặc đầu cuối những gói tin không hợp lệ để
có thể khai thác những điểm yếu trong sự thực thi giao thức VoIP
và tạo nên tấn công DoS. Ví dụ, CVE-2001-00546 đề cập đến việc
sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA của
window. Nếu như không cập nhật phần mềm một cách hợp lí thì sẽ
tăng rủi ro cho hệ thống.
Gói tin không hợp lệ (Invalid Packet DoS): gửi đến VoIP server
và đầu cuối những gói không hợp lệ để khai thác hệ điểu hành
thiết bị và TCP/IP để thực hiện từ chối dịch vụ CVEs. Theo sự mô
tả của CAN-2002-0880. Dùng jolt có thể bẻ gãy Cisco IP phone và
sự phân đoạn thông thường dựa trên các phương thức DoS khác.
Chương 4 2013
Trang 101
4.1.2 Một Sô Cách Tấn Công Chặn Và Cướp Cuộc Gọi
Tấn công Replay:
Tấn công replay là tấn công chủ động hướng về nghi thức. Đặc trưng
của cách tấn công này là giành được gói dữ liệu gửi hoặc nhận đến host.
Kẻ tấn công sửa đổi chúng và sử dụng lại để truy cập vào một số dịch vụ
nào đó. Một ví dụ tương ứng với loại thoại IP là kẻ tấn công đạt được
trong tay các gói dữ liệu gửi từ một user có quyền để thiết lập cuộc gọi
và gửi lại chúng sau khi sửa đổi địa chỉ nguồn và IP. Nó có thể ngăn
chặn bằng cách thực thi hai dịch vụ bảo mật chứng thực các thực thể
ngang hàng (peer entity authencation và tính toàn vẹn dữ liệu.
Tấn công tràn bộ đệm
Đây là phương thức tấn công phổ biến. Đây là kết quả chính của
việc phát triển phần mềm không đúng lúc. Kĩ thuật này lợi dụng trên
thực tế là có một vài lệnh không kiểm tra đầu vào dữ liệu. Chúng được
ứng dụng đặc biệt để xâu chuỗi xử lí các lệnh. Quá trình gia nhập với
nhiều đầu vào, các lệnh hay là các chương trình có khả năng làm cho bộ
nhows hệ thống bị viết đè lên. Nội dung của bộ nhớ này có thể bắt đầu
hoặc quay trở lại địa chỉ của các chương trình subroutine. Trường hợp
xấu nhất người tấn công có thể thêm vào đaoạn code hiểm để cung cấp
cho anh ta các quyền quản lí của hệ thống. Biện pháp đối phó là hủy tất
cả các code yếu, chính các lỗ hổng nhận thức được chứa trong các hệ
thống hoạt động và các chương trình ngôn ngữ.
Tấn công man in the middle
Trong tấn công man in the middle người tấn công quản lí để cắt đứt
kết nối giữa hai bên gọi. Cả hai bên tham gia kết nối này đều nghĩ rằng
chúng truyền thông với nhau. Thực tế, tất cả các dữ liệu được địn tuyến
qua người tấn công. Hacker đã hoàn thành việc truy cập để thay thế các
dữ liệu bên trong. Hacker có thể đọc chúng, thay đổi chúng hoặc gửi
Chương 4 2013
Trang 102
chúng. Thực tế Hacker được xác định ở vj trí ở giữa của hai bên truyền
thông mang lại cho người tấn công tên của hai bên truyền thông. Một ví
dụ cho tấn công này là thiết lập của việc đảm báo của việc kết nối được
sử dụng bởi lớp bảo mật dữ liệu. Điểm yếu của TLS là nguyên nhân của
việc thiết lập phiên này. Ở đây hai bên truyền thông có thể trao đổi hai
khóa. Khóa này được đổi có khả năng làm cho người tấn công có thể ở
giữa hai bên truyền thông.
Hình 4.6: Tấn công man in the middle
Chặn và đánh cắp cuộc gọi
Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng
VoIP, định nghĩa nghe lén có nghĩa là một người tấn công có thể giám
sát toàn bộ báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối
VoIP, nhưng không thể biến đổi dữ liệu. Đánh cắp cuộc gọi thành công
tương tự như việc nghe trộm trên dây nối, cuộ gọi của hai bên có thể bị
đánh cắp,ghi lại và nghe lại mà hai bên không hề biết. Rõ ràng người tấn
công có thể chặn và chứa các dữ liệu này có thể sử dụng dữ liệu này để
phục vụ cho mục đích của chính mình.
Chương 4 2013
Trang 103
Đánh lừa ARP ( ARP Spoofing).
ARP là giao thức cơ sở Ithernet. Có thể do nguyên nhân này, thao
tác vào các gói ARP là kĩ thuật tấn công thường thấy trong mạng VoIP.
Một vài kĩ thuật hay công cụ hiện tại cho phép bất kì user nào có thể tìm
ra lưu lượng mạng trên mạng bởi vì ARP không có điều khoản cho câu
hỏi chứng thực và câu hỏi trả lời. Thêm vào đó, ARP là một giao thức
stateless, hầu hết các hệ thống hoạt động cập nhật cache của nó khi mà
nhận một lời đáp ARP, bất chấp nó được gởi đi từ một yêu cầu thực tế
hay không. Trong những tấn công này, chuyển hướng ARP, đánh lừa
ARP, đánh cắp ARP và đầu độc cache ARP là các phương pháp để phá
hoại qua trình ARP bình thường. Trong các mạng VoIP đánh lừa ARP là
cơ sở để kẻ tấn công có thể thực hiện các cách tấn công khác nhau nhằm
mục đích quấy rối người sử dụng hoặc gây thiệt hại cho các nhà cung
cấp dịch vụ:
Tấn công đánh lừa đầu cuối VoIP (Rogue VoIP Endpoint Attack):
giả mạo đầu cuối EP giao tiếp với các dịch vụ VoIP bằng cách dựa
trên các đánh cắp hay ước đoán các nhận dạng, các ủy nhiệm hoặc
các truy cập mạng. Ví dụ, một đánh lừa đầu cuối EP có thể sử dụng
các jack không được bảo vệ hay tự động đăng kí thoại VoIP để có
thể vào mạng. Ước chừng mật mã có thể được sử dụng để giả dạng
như là một đầu cuối hợp pháp. Việc quản lí các tài khoản không
chặt chẽ có thể gia tăng nguy cơ của việc lợi dụng này.
Cướp đăng kí (Registration Hijacking): cướp đăng kí khi một người
tấn công mạo nhận là một UA cố giá trị để giữ và thay thế dăng kí
với địa chỉ của mình. Các tấn công này là nguyên nhân của việc tất
cả các cuộc gọi đến được gửi đến người tấn công.
Gả mạo ủy nhiệm: giả mạo ủy nhiệm xảy ra khi một người tấn công
đánh lừa một ủy nhiệm (proxy) trong việc truyền thông với một
Chương 4 2013
Trang 104
proxy giả. Nếu một người tấn công thành công trong việc giả mạo
ủy nhiệm, anh ta có thể truy cập vào tất cả các thông điệp SIP.
Lừa tính phí: giả mạo đầu cuối VoIP sử dụng server VoIP để đặt
việc tính phí bất hợp pháp cảu cuộc gọi qua PSTN. Ví dụ, các điều
khiển truy cập không đầy đủ có thể cho phép các thiết bị giả đặt phí
của các cuộc gọi bằng cách gửi yêu cầu VoIP đến các ứng dụng
tiến hành cuộc gọi. Các server VoIP có thể bị hack trong các thủ
tục để tiến hành cuộc gọi miễn phí đến đích bên ngoài.
Xáo trộn thông điệp: bắt giữ, sửa đổi và sắp đặt để không xác thực
các gói VoIP đến đầu cuối. Các tấn công này có thể xảy ra thông
qua việc đánh cắp đăng nhập, giả mạo ủy nhiệm, hay tấn công trên
bất kì thành phần VoIP thực nào mà tiến hành các thông điệp SIP
hay H.323, như là server proxy, registration, media gateway, hay
các bức tường lửa.
4.1.3 Các Tấn Công Liên Quan Đến Dịch Vụ Điện Thoại
Để đảm bảo thông suốt trong hệ thống VoIP thì các hệ thống điện thoại
kết nối phải hoạt động một cách thông suốt. Đây cũng có thể là mục tiêu
của attacker. Các dịch vụ liên quan đến dịch vụ này gồm có:
- Voicemail
- Caller ID
- International calling
- Telephone number
- Call waiting
- Call transfer
- Location
- Confidentiality of signaling hoặc media streams
- Lawful intercept
Chương 4 2013
Trang 105
- Emergency services
Ví dụ với:
+ Voicemail: tấn công một cách đơn giản có thể là đoán mật khẩu
hay brutefore nếu mật khẩu không đủ mạnh. Một số hành động của
attacker là xóa tin nhắn, thay đổi thông tin cá nhân, chuyển cuộc
gọi đến một số khác…
+ Caller ID: các tấn công phổ biến là dung spoofing ID nhằm lấy
các thông tin cá nhân.
+ Follow – me service: kẻ tấn công sử dụng phương pháp hijack để
chen ngang vào cuộc gọi.
4.1.4 Lỗ Hổng Với IP Phone Và Softphone
Tấn công IP phone/Softphone xảy ra rất thường xuyên do giá cả rẻ và
dễ dàng mua một IP phone và thiết lập nhiều tấn công. Những lỗ hổng
chính:
- DoS: nhiều IP phone của Cisco bị khởi động lại do bị DoS. Các
HTTP request cũng có thể kết thúc một cuộc gọi.
- Truy cập bất hợp pháp: có thể cấu hình phone như là man-in-
middle-attack proxy để lấy quyền truy cập tới tất cả luồng báo hiệu
và luồng dữ liệu.
- Tẫn công vào giao thức Ip phone cài đặt: khi sử dụng SIP cho IP
phone, có thể gửi yêu cầu CANCEL hay BYE để từ chối một trong
hai IP phone.
- Worm, virus và các đoạn mã độc: các softphone thường bị virus từ
môi trường IP. Có thể khắc phục bằng cách tách mạng thoại và
mạng dữ liệu một cách luận lí ra riêng. Nhưng dùng hệ thống
Softphone không phù hợp với mục đích chia tách này.
Chương 4 2013
Trang 106
- Nâng cấp: do IP phone có thể cài đặt được thông qua TFTP không
bảo mật có thể bị lây nhiễm Trojan.
Spam trong VoIP.
SPIT là hiện tượng có nhiều cuộc gọi không mong muốn. Nguyên
nhân của hiện tượng này giống như các e-mail spam, hầu hết đều với
mục đích bán sản phẩm, quảng cáo,…Phương pháp spam là dùng các
đoạn Script tự động để thực hiện các cuộc gọi tới nhiều người. Nó cũng
có thể thực hiện với mục đích giả dạng các cơ quan tài chính hay
thương mại điện tử để lấy thông tin cá nhân.
Khác với e-mail spam, các cuộc gọi SPIT sẽ được nhận hoặc chuyển
sang họp thư thoại. Nhận SPIT tốn thời gian và có thể gây ngẽn. Cũng
như e-mail spam, ta cần chặn voice spam. Tuy nhiên, chặn SPIT khó
khăn hơn rất nhiều vì rất khó phân biệt được cuộc gội bình thường và
cuộc gọi SPIT vì thông tin về người gọi chỉ được tiết lộ một khi cuộc
gọi đã được thiết lập và bắt đầu gửi thư thoại.
4.2. Lỗ Hổng Đối Với SIP
SIP là một giao thức mới lại không có tích hợp công cụ bảo mật nào
trong nó nên nó có một số vấn đề về bảo mật. Tuy nhiên theo khuyến nghị
khuyên nên dùng ở lớp dưới để bổ sung tính bảo mật cho SIP. Mặt khác là
giao thức text-based nên cần dùng TLS để mã hóa.
Chiếm quyền đăng kí ( Registration Hijacking).
Bản tin đăng kí thường được vận chuyển bằng giao thức UDP (không
được tin cậy), hơn nữa các yêu cầu không cần phải được chứng thực bởi SIP
registrars, hoặc nếu có chứng thực thì cũng chỉ bằng MD5 để mã hóa user
name và password (MD5 là một thuật toán mã hóa yếu).
Cách tấn công:
Tìm một địa chỉ IP đã được đăng kí (đối với các user trong mạng dễ
dàng biết được cấu trúc địa chỉ trong mạng, còn với những user ngoài mạng
Chương 4 2013
Trang 107
thì dùng kĩ thuật social engineering hay tool để quét ra địa chỉ của toàn
mạng). Nếu có yêu cầu chứng thực thì có thể đoán password hoặc dùng kiểu
từ điển. Đối với tấn công kiểu từ điển thì mất thời gian do phải thử nhiều
lần.
Gửi một yêu cầu đăng kí đặc biệt có kí tự “*” để xóa hết ràng buộc cho
các địa chỉ SIP bị gọi.
Gửi bản tin yêu cầu đăng kí thứ hai chứa địa chỉ SIP của kẻ tấn công.
Hình 4.7: Tấn công bằng bản tin đăng ký
Một kiểu cướp quyền đăng kí khác là dùng tool chặn và thêm vào yêu
cầu đăng kí khi nó được gửi từ một UA và server đăng kí. Kiểu tấn công
này ít phổ biến hơn.
Giả dạng proxy.
Kẻ tấn công dùng một proxy để chặn cuộc gọi từ UA đến proxy bên
phía bị gọi. Cách tấn công này có thể lấy được tất cả bản tin SIP và do vậy
có toàn quyền điều khiển cuộc gọi.
Cách tấn công:
Chương 4 2013
Trang 108
Chèn proxy giả vào DNS spoofing, ARP cache spoofing hay đơn giản
chỉ là thay đổi địa chỉ proxy cho SIP phone.
Hình 4.8: Giả dạng Proxy
Message Tempering
Đây là kiểu tấn công chặn và thêm vào các gói mà các thành phần của
SIP trao đổi với nhau.
Có thể dùng các cách sau để chặn gói:
Cướp quyền đăng kí.
Giả dạng proxy.
Tấn công một trong các thành phần tin cậy trong mạng.
Có thể dùng S/MIME (chứng thực và mã hóa văn bản) nhưng nếu như
văn bản ở dạng plaintext thì kẻ tấn công vẫn có thể lấy được thông tin định
tuyến.
Kết thúc Session
Quan sát các thông số trong 1 Session như “TO” và “FROM” sau đó chèn
bản tin “BYE” hay re-INVITE để kết thúc cuộc gọi. Cách tấn công này có
thể làm chuyển hướng cuộc gọi. Kiểu tấn công này rất khó phòng chống vì
các trường như địa chỉ đích cần gửi đi ở dạng plaintext để cho phép định
tuyến.
Chương 4 2013
Trang 109
4.3. Lỗ Hổng Về Bảo Mật Đối Với Hệ Thống H.323
- Do H.323 sử dụng phương thức chứng thực tương đối chắc chắn giữa các
thành phần H.323 và là giao thức hỗ trợ bảo mật (H.235) nên luồng dữ liệu
được bảo mật cao. Tuy vậy cũng có một vài lỗ hổng, nghiêm trọng nhất là
tràn bộ đệm do nó dùng định dạng bản tin ASN.1, dễ dàng bị DoS.
Can thiệp vào thông tin tính cước
- GK là nơi quản lí cuộc gọi, nó có chức năng tập trung thông tin tính
cước và gửi về cho BES, BES lưu giữ thông tin này và gọi là CDR
(Call Detail Record), thông tin này tối thiểu phải gồm có:
Thời gian cuộc gọi: thời gian bắt đầu và kết thúc cuộc gọi, do
GK theo dõi
CallID: mỗi cuộc gọi có 1 giá trị duy nhất khác nhau do GK
tạo ra.
UserID: duy nhất cho mỗi user được cấp quyền, giá trị này xác
định tại thời điểm đăng ký.
- CDR được gửi từ GK tới BES, do đó có thể chặn các gói này, sửa
thông tin thời gian cuộc gọi. Để khắc phục phải chứng thực giữa GK
và BES đồng thời phải đảm bảo toàn vẹn dữ liệu.
Cuộc gọi trực tiếp
- Tính cước dựa trên việc cuộc gọi được định tuyến thông qua GK. Tuy
nhiên, đầu cuối trong mạng H.323 có khả năng gọi trực tiếp mà không
thông qua GK miễn là nó biết được địa chỉ IP của người bị gọi.
- Traffic RTP luôn được gửi trực tiếp giữa các đầu cuối, do đó chỉ cần
một cuộc gọi là có thể xác định được địa chỉ IP của bên bị gọi. Để khắc
phục thì gateway chỉ cho phép thông tin báo hiệu từ GK đi qua.
Chương 4 2013
Trang 110
Giả dạng đầu cuối.
- Để khởi tạo cuộc gọi, EP phải tiến hành 3 bước: đăng kí, xin chấp nhận
cuộc gọi (Call Admission) và Q.931 thiết lập cuộc gọi. Quá trình đăng
kí và xin chấp nhận cuộc gọi sử dụng bản tin RAS truyền qua UDP. Do
đó không có một phiên thực sự nào dành cho bản tin RAS, kẻ tấn công
có thể chèn các bản tin này vào. Thông tin báo hiệu thực sự dùng bản
tin Q.931 và được vận chuyển thông qua TCP.
- Giả dạng EP trong giai đoạn đăng ký, sau đó kẻ giả dạng có thể thực
hiện tất cả các dịch vụ mà một user được phân quyền có. Kiểu giả dạng
này thành công nếu user bị giả dạng không đăng kí vào thời điểm giả
dạng và nếu UserID là một IP thì chỉ có user trong cùng mạng mới có
thể giả dạng được.
- Tấn công trong giai đoạn xin chấp nhận cuộc gọi, cũng phải cùng
mạng mới tấn công được vì phải biết được UserID của user muốn giả
dạng.
- Tấn công bằng các bản tin Q.931. Các bản tin Q.931 được xác định
bằng trường CallID nên giá trị nầy phải hợp lệ. CallID được sinh ra
trong quá trình xin chấp nhận cuộc gọi vì vậy kẻ tấn công hoàn toàn có
được vì cuộc gọi đã được cho phép. Nhưng nếu giá trị CallID đã được
dùng thì tấn công không thành công.
- Bỏ qua giai đoạn xin chấp nhận cuộc gọi, dùng preGranted ARQ cho
một nhóm user, GK không thể phát hiện ra và thiết lập cuộc gọi bình
thường. Chứng thực có thể ngăn chặn được kiểu tấn công này. Các
kiểu tấn công trên chỉ có thể thực hiện khi không có các biện pháp bảo
mật. Nếu chứng thực được dùng thì độ bảo mật phụ thuộc vào độ phức
tạp của password.
Chương 4 2013
Trang 111
Giả dạng GK.
- Giả dạng bằng một GK khác: GK giả mạo chấp nhận yêu cầu thiết lập
cuộc gọi do không có hỗ trợ bảo mật cho Q.931. Có thể ngăn chặn
bằng cách thông tin cho GK về toàn bộ GK có trong mạng. Thông
thường thì các GK đăng kí với BES nên một GK có thể lấy thông tin
và địa chỉ IP khi đăng ký với BES.
Giả dạng BES.
- BES chỉ giao tiếp với GK bằng một giao thức client-server riêng. Có thể
tấn công bằng cách chặn 1 bản tin từ gói GK tới BES, sau đó thay đổi
một số trường như password của EP.
Chương 5 2013
Trang 112
CHƯƠNG 5: CÁC CƠ CHẾ BẢO MẬT TRONG VoIP
5.1. Cơ Chế Bảo Vệ Tín Hiệu
5.1.1. Cơ Chế Bảo Vệ Đối Với SIP
- Một số giao thức có thể được sử dụng để cung cấp tính toàn vẹn và bảo
mật của các thông điệp báo hiệu SIP nhằm chống lại các cuộc tấn công
khác nhau. Bao gồm việc sử dụng các giao thức bảo mật như IPSec,
S/MIME, TLS, DTLS.
- Thông thường, khi sử dụng một thiết bị SIP ví dụ như điện thoại SIP, nó
sẽ được kết nối với một mạng SIP, lấy địa chỉ IP thông qua DHCP, một
file cấu hình thông qua TFTP và thông báo đã sẵn sàng nhận các cuộc gọi
bằng cách đăng kí với SIP registrar. Địa chỉ IP của SIP registrar được phát
hiện nhờ việc sử dụng ba phương pháp. Đầu tiên là lấy tập tin cấu hình từ
quá trình chuyển tập tin TFTP, thứ hai là sử dụng phần host của địa chỉ
trong record (ví dụ: sip:[email protected]), thứ ba là sử dụng
multicast ( ví dụ: sip.mcat.net hoặc 224.0.1.75).
- Quá trình đăng kí là rất quan trọng trình trong an ninh SIP, nếu kẻ tấn
công có thể giả mạo yêu cầu đăng kí vào hệ thống SIP, họ có thể thực hiện
các cuộc tấn công khác nhau chẳng hạn như chuyển hướng cuộc gọi. Do
đó, đăng kí vào hệ thống SIP để chứng thực tránh những tấn công cướp
cuộc gọi. Ngoài ra yêu cầu để bắt đầu cuộc gọi cũng cần được chứng thực
để cung cấp một mức độ bảo vệ chống lại việc bắt đầu các cuộc goij trái
phép và các cuộc tấn công từ chối dịch vụ
a. Chứng thực SIP
- SIP sử dụng giao thức HTTP để cung cấp việc xác thực và bảo vệ các yêu
cầu tín hiệu trong quá trình đăng kí, thời gian bắt đầu và kết thúc của các
phiên làm việc. Thông thường, việc chứng thực SIP có ý nghĩa trong một
phạm vi nhất định. Thông tin của người sử dụng được quản lí bởi một
Domain, tuy nhiên những thông tin này không được ủy quyền đến một
Chương 5 2013
Trang 113
Domain khác trừ khi có sự liên kết đáng tin cậy giữa các Domain này. Ví
dụ về quá trình đăng kí và chứng thực để bắt đầu một cuộc điện thoại giữa
hai bên:
Hình 5.1: Chứng thực cho đăng kí thiết bị, bắt đầu và chấm dứt cuộc gọi.
- Triển khai SIP có thể thực thi các challenge-authentication ở các mức độ
khác nhau,có thể vấn đề bảo mật sẽ không tối ưu. Những vấn đề này sẽ tạo
cơ hội cho các cuộc tấn công, chẳng hạn như việc bắt đầu hoặc kết thúc
cuộc gọi mà không được chứng thực.
- Để đảm bảo các cuộc tấn công giả mạo các thông điệp không lặp lại,
challenge authentication nên được sử dụng cho tất cả các thông điệp bao
gồm việc tạo, chỉnh sửa và chấm dứt một phiên làm việc. Những thông
điệp này bao gồm INVITE, BYE, ACK và REFER. Hiện nay hầu hết các
sản phẩm được hỗ trợ việc xác thực bởi SIP gồm các phương thức
INVITE và REGISTETR. Trong các cuộc thảo luận của IETF để xem xét
các ý tưởng trong việc bảo vệ các cuộc gọi không bị tấn công, câu trả lời
Chương 5 2013
Trang 114
cuối cùng là tạm thời được gửi bởi giao thức UDP, sử dụng cơ chế mã hóa
để duy trì tính toàn vẹn của các gói tin.
b. Những lỗi phổ biến cần tránh khi triển khai SIP Authentication:
- Cơ chế challenge-authentication cung cấp bảo vệ chống các cuộc tấn công
quay trở lại, một số triển khai SIP mang tính chất yếu và có thể cho phép
một ai đó phát lại thông điệp và truy cập thành công vượt qua các kiểm
soát về bảo mật. Để tránh những cạn bẫy này, yêu cầu nên làm theo các
bước sau:
Tạo chuổi nonce
Hỗ trợ SIP challenge authentication cho các thông điệp SIP khi bắt
đầu, thay đổi hoặc chấm dứt một phiên làm việc.
Tránh sử dụng bộ nhớ đệm hoặc tái sử dụng thông tin xác thực
người dùng.
Sử dụng các giao thức bảo mật mạng hoặc truyền thông để bảo vệ
các thông điệp báo hiệu.
5.1.2. Bảo Mật Đối Với Tầng Vận Chuyển
- Một trong những giao thức hỗ trợ bảo mật ở tầng vận chuyển là TLS (
Transport Layer Security). Giao thức này được định nghĩa trong RFC
4346 và cung cấp khả năng thực hiện chứng thực lẫn nhau (client và
server), đảm bảo sự tin cậy và tính toàn vẹn. Giao thức này gồm có 2 lớp:
TLS Record Protocol và TLS Handshake Protocol.
- TLS Record Protocol nhằm mục đích duy trì một kết nối an toàn giữa 2
điểm kết thúc. TLS Handshake Protocol là nơi lưu trữ các thuộc tính như
bộ mã hóa, khóa mã hóa trong quá trình thực hiện việc chứng thực để kết
nối giữa 2 bên để đảm bảo an toàn bảo mật, được đóng gói trong TLS
Record Protocol.
Chương 5 2013
Trang 115
Hình 5.2: TLS handshake được định nghĩa trong RFC 4346
- TLS được thiết kế để sử dụng trong các giao thức vận chuyển đáng tin cậy
như TCP và SCTP. Điều này cho ta thấy rằng giao thức UDP sẽ không
được sử dụng trong quá trình vận chuyển các gói tin để bảo vệ các thông
điệp SIP.
- SIP sử dụng TLS để cung cấp sự bảo vệ cần thiết chống lại các cuộc tấn
công như nghe trộm, tin nhắn giả mạo,…Khi người dùng thực hiện cuộc
gọi và duy trì ở mức độ riêng tư họ có thể sử dụng SIPS URI (secure SIP
hoặc SIP over TLS) để đảm rằng quá trình vận chuyển của các gói tin
được an toàn, các gói tin được mã hóa để bảo vệ các thông điệp báo hiệu
giữa 2 người dùng. Hình dưới đây cho biết một cuộc gọi đơn giản sử dụng
SIPS, ở đây thì các thông điệp SIP trao đổi với nhau bằng cách sử dụng
TLS.
Chương 5 2013
Trang 116
Hình 5.3: Sử dụng SIPS
- Thông điệp SIPS tương tự như các thông điệp SIP (không mã hóa), được
truyền thông qua giao thức UDP, TCP, SCTP. Sự khác biệt lớn ở chỗ:
Việc truyền các gói tín hiệu bằng TLS, thông qua 2 giao thức UDP và
TCP.
Port của SIPS là 5061
- Khi SIPS được sử dụng, tất cả các thông điệp SIP được vận chuyển thông
qua TLS, cung cấp mức độ bảo vệ thích hợp chống lại các cuộc tấn công
như nghe trộm,…Đồng thời TLS cung cấp các phương tiện để chứng thực
lẫn nhau để bảo vệ chống lại các tấn công “man-in-the middle”. Các bộ
mã được sử dụng trong SIPS là AES sử dụng khóa 128 bit trong CBC
(Cipher Block Chaining) và mã xác thực thông điệp là SHA-1 để cung cấp
tính toàn vẹn cho thông điệp. Một lợi ích khác trong việc sử dụng SIPS là
khả năng trao đổi các khóa mã hóa để mã hóa các dòng phương tiện truyền
thông sử dụng SRTP.
Chương 5 2013
Trang 117
Điểm mạnh và hạn chế trong việc sử dụng TLS:
Điểm mạnh:
Hỗ trợ chứng thực lẫn nhau.
Cung cấp bảo mật và toàn vẹn các gói thông điệp, có thể bảo vệ chống
lại các cuộc tấn công như nghe lén, tin nhắn giả mạo,..
TLS có thể bảo vệ việc trao đổi của các khóa mã hóa.
Cung cấp các giao thức sử dụng rộng rãi trong các ứng dụng intermet.
Tác động không đáng kể so với các giao thức bảo mật khác như
IPSec.
Điểm yếu:
Yêu cầu về cơ sở hạ tầng để thực thi việc xác thực lẫn nhau tại lớp
SSL.
Có thể sử dụng giao thức TCP và SCTP nhưng không dùng UDP, gây
ảnh hưởng đến việc triển khai SIP sử dụng UDP. Triển khia SIP trong
các mạng lưới doanh nghiệp và mạng lưới vận chuyển sử dụng SIP
dùng giao thức UDP.
Dễ bị tấn công DOS, một cuộc tấn công TCP Flood nhằm mục đích
tiêu thụ tài nguyên của hệ thống.
5.1.3. S/MIME
- S/MINE (Secure/Multipurpose Internet Mail Extensions) được định nghĩa
trong RFC 3851, cung cấp việc chứng thực, tin cậy, toàn vẹn cho các ứng
dụng như SMTP và SIP. MINE định nghĩa một tập hợp các cơ chế mã hóa
và thể hiện các định dạng thông điệp phức tạp như đa phương tiện (đồ họa
hoặc clip âm thanh) và các kí tự ngôn ngữ ( Hy Lạp, Trung Quốc,..).
- S/MINE được sử dụng để bảo vệ các headers của thông điệp SIP, cung cấp
sự tin cậy end-to-end, toàn vẹn và xác thực giữa các bên tham gia. Không
giống như TLS và DTLS, S/MINE cung cấp sự bảo mật linh hoạt và chặt
Chương 5 2013
Trang 118
chẽ cho các thông tin của header trong thông điệp SIP. S/MINE cho phép
bạn chọn phần nào cần bảo mật cho thông điệp SIP. Và có thể được dùng
với giao thức UDP và TCP.
Ưu điểm và hạn chế của S/MINE
Ưu điểm:
Được truyền độc lập và có thể sử dụng với giao thức UDP và TCP.
Cung cấp sự linh hoạt trong việc bảo vệ các phần của bản tin SIP.
Cung cấp sự tin cậy , xác thực, toàn vẹn và chống chối bỏ các gói tin.
Hạn chế:
Đòi hỏi nhiều nổ lực để thực hiện vì sự phức tạp của nó và yêu cầu về
cơ sở hạ tầng so với các giao thức khác như TLS và DTLS.
Không triên khai rộng rãi.
Khả năng mở rộng là một vấn đề khó khăn vì nó yêu cầu về cơ sở hạ
tầng PKI.
5.1.4. IPSec
- IPSec là một giao thức bảo mật đã được chứng minh và triển khai rộng rãi,
cung cấp bảo mật cho các ứng dụng sử dụng UDP và TCP để truyền các
gói tin. IPSec có thể được sử dụng trong tunnel hoặc transport mode để
bảo vệ tải trọng của nó. Bởi vì IPSec phổ biến ở mọi nơi, cung cấp bảo
mật , toàn vẹn và xác thực cho các gói tin Signaling và media bằng cách
tạo ra các tunnels an toàn giữa các điểm kết thúc. Hình dưới đây cho thấy
việc sử dụng IPSec trong một môi trường SIP.
Chương 5 2013
Trang 119
Hình 5.4: Bảo mật thông điệp SIP sử dụng IPSec
Ưu điểm và hạn chế của IPSec:
Ưu điểm:
Là giao thức bảo mật phổ biến và được triển khai rộng rãi.
Hoạt động trong các lớp mạng, vì vậy nó có thể hỗ trợ cho các giao
thức UDP, TCP, SIP, RTP.
Cung cấp bảo vệ chống lại các cuộc tấn công như nghe lén, giả mạo
thông điệp , DoS, ….
Cung cấp tính bảo mật, toàn vẹn, xác thực và chống chối bỏ các gói
tin.
Hạn chế:
Yêu cầu về cơ sở hạ tầng, chẳng hạn như PKI.
Thành phần trung gian phải đáng tin cậy.
Đòi hỏi cơ sở hạ tầng để chứng thực, đảm bảo tính toàn vẹn và bảo
mật.
Chương 5 2013
Trang 120
Không quy mô cho các mạng lưới phân phối lớn và các ứng dụng. ví
dụ như trong hội nghị.
5.2. Cơ Chế Bảo Vệ Trong Truyền Thông
5.2.1. SRTP
- Secure Real Time Protocol (SRTP) là một profile trong RTP (IETF RFC
3550) nhằm mục đích cung cấp độ tin cậy, tính toàn vẹn và xác thực trong
media streams, được định nghĩa trong IETF RFC 3711. SRTP được coi là
một trong những cơ chế chuẩn để bảo vệ thời gian thực cho các phương
tiện truyền thông (voice và video) trong các ứng dụng đa phương tiện.
Ngoài việc bảo vệ các gói tin, nó còn cung cấp bảo vệ cho các thông điệp
RCTP.
- Các thông điệp RCTP được truyền độc lập từ các thông điệp RTP và port
riêng cho mỗi giao thức.
- SRTP được tập trung phát triển để có thể cung cấp bảo mật cho các dòng
phương tiện truyền thông, đồng thời duy trì nhưng tính chất quan trọng
này để hỗ trợ mạng có dây và không dây.
5.2.2. SRTCP
- Tương tự như SRTP, các định dạng trong gói SRTCP bao gồm tag chứng
thực, tiêu đề MKI và bổ sung thêm 2 headers: SRTCP index và encrypt-
flag.
- Tag chứng thực, SRTCP index và header encrypt-flag là bắt buộc đối với
SRTCP. Việc xử lí trong SRTCP tương tự như trong RTCP, bao gồm việc
sử dụng các thuật toán mã hóa và độ dài khóa.
- SRTCP cung cấp một số thuộc tính để bảo mật các dòng phương tiện
truyền thông trong truyền thông đa phương tiện.
Định dạng của gói tin SRTCP:
Chương 5 2013
Trang 121
Hình 5.5: Định dạng của gói tin SRTCP
Ưu và nhược điểm của SRTCP:
Ưu điểm:
Cung cấp bảo mật, toàn vẹn và xác thực của các gói thông điệp.
Cung cấp bảo vệ chống lại các cuộc tấn công quay trở lại cho cả RTP
và STCP.
Hỗ trợ AES cho phép tiếp cận và xử lí các gói out-of-order.
Nhược điểm:
Thiếu mã hóa tiêu đề RTP cho phép phân tích lưu lượng truy cập bằng
cách thu thập thông tin từ các header RTP và phần mở rộng.
Không thể duy trì tính xác thực và toàn vẹn cho các thông điệp end-
to-end.
Việc tạo mới và quản lí các khóa tác động đến quá trình xử lí và tiêu
thụ tài nguyên trong hệ thống các nhóm multicast. Điều này là không
Chương 5 2013
Trang 122
mong muốn đối với các thiết bị di động khi tài nguyên cho thiết bị bị
hạn chế.
5.3. Cơ Chế Quản Lí Khóa
5.3.1. MIKEY
- MIKEY ( Multimedia Internet KEYing) được định nghĩa trong IETF RFC
3830 và được phát triển để hỗ trợ trong vấn đề trao đổi khóa cho các giao
thức bảo mật như SRTP và IPSec. Mặc dù SRTP hiện là giao thức chỉ
được hỗ trợ trực tiếp bởi MIKEY, IPSec/ESP cũng có thể được hỗ trợ
bằng cách phát triển từ các profile tương ứng.
- Là một giải pháp quản lí khóa. Nó có 3 cách vận chuyển và thiết lập khóa
mã hóa: Pre-shared secret key (PSK), Public Key encryption (PKE),
Diffie-Hellman (DH):
Pre-shared secret key (PSK), được sử dụng để lấy khóa để mã hóa.
Mặc dù, đây không phải là khả năng mở rộng khi truyền thông trong
nhóm nhưng là cách hiệu quả nhất để xử lí khi truyền khóa.
Public Key encryption (PKE): người sử dụng đầu tiên tạo ra một mã
số ngẫu nhiên, sau đó được gửi đến người dùng từ xa bằng cách sử
dụng khóa công khai để mã hóa .
Diffie-Hellman (DH): được sử dụng để trao đổi khóa trong mạng
peer- to-peer, đòi hỏi sự tồn tại của một cơ sở hạ tầng PKI.
- Cấu trúc và định nghĩa giao thức MIKEY:
Data security protocol: là một giao thức bảo mật được sử dụng để
bảo vệ lưu lượng truy cập thực tế, như IPSec và SRTP.
Data security association (data SA or SA): thông tin cho các giao
thức bảo mật.
Chương 5 2013
Trang 123
TEK-generation key (TGK): một chuỗi bit được thống nhất giữa 2
hoặc nhiều bên. Traffic-generation key, traffic-encrypting keys có thể
được tạo ra mà không cần thông tin gì.
Traffic-encrypting key (TEK): khóa này được sử dụng bởi các giao
thức bảo mật để bảo vệ CS.
Crypto session (CS): luồng dữ liệu 2 chiều được bảo vệ bởi một thể
hiện duy nhất của một giao thức bảo mật. Ví dụ khi SRTP được sử
dụng, CS thường chứa 2 dòng: gồm RTP và RCTP tương ứng.
Crypto session bundle (CSB)
Crypto session ID
Crypto session bundle ID (CSB ID).
5.3.2. SRTP Security Descriptions
- SRTP Security Descriptions không được coi là một giao thức quản lí khóa
chủ chốt như MIKEY mà là một cơ chế để thương lượng các khóa mã hóa
giữa những người dùng trong các phiên làm việc unicast bằng cách sử
dụng truyền thông SRTP.
- Việc trao đổi các dữ liệu tạo khóa, các trường mã hóa được sử dụng bởi
SDP (Session Description Protocol). SDP Security Descriptions là thuộc
tính mới của SDP, dùng để báo hiệu và thương lượng các thông số mã hóa
cho luồng SRTP, gồm: bộ mật mã, thông số khóa, thông số phiên cho
luồng unicast.
a=crypto:<tag> <crypto-suite> <key-params> [<session-params>]
<tag>: số thập phân, nhận dạng thuộc tính crypto
<cryto – suit>: thuật toán chứng thực và mã hóa
<key – params>: phương thức và thông tin khóa thực sự.
<session – params>: thông số tùy chọn chỉ giao thức vận chuyển.
Chương 6 2013
Trang 124
CHƯƠNG 6: CẤU HÌNH VÀ BẢO MẬT HỆ THỐNG VOIP
6.1. Mô Hình VoIP
Hình 6.1: Mô hình LAB VOIP
6.2. Cài Đặt Và Cấu Hình
6.2.1. Cài Đặt Chương Trình
a. Các phần mềm bao gồm:
Hệ điều hành Centos 5.8: dùng làm Asterisk server.
Asterisk phiên bản 1.8.
Softphone: 3CX phone 6, PhonerLite.
b. Tiến hành cài đặt
Cài đặt hệ điều hành CentOS 5.8
Giao diện đồ họa của hệ điều hành CentOS 5.8
Chương 6 2013
Trang 125
Hình 6.2: Giao diện đồ họa CentOS 5.8
Cài đặt Asterisk:
Sau khi cài đặt hệ điều hành CentOS 5. Để có một Asterisk Server
chúng ta thực hiện cài đặt các gói phần mềm sau:
Download Asterisk 1.8.11.0 theo link sau:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/as
terisk- 1.8.11.0.tar.gz
Tiến hành cài đặt Asterisk server: mở Terminal và thực hiện
các dòng lệnh sau:
tar –xzvf asterisk-1.8.11.0.tar.gz.
cd asterisk-1.8.11.0.
./configure –disable-xmldoc.
make menuselect.
make
Chương 6 2013
Trang 126
make install.
make samples.
make config.
Cài đặt PhonerLite
Hình 6.3: Giao diện PhonerLite
6.2.2. Tiến Hành Tấn Công Và Đưa Ra Biện Pháp Ngăn Chặn Tấn Công.
1. Tấn công nghe lén.
Thực hiện nghe lén dùng phần mềm wireshark.
Bước 1: Xác định mạng cần nghe lén
Chương 6 2013
Trang 127
Hình 6.4: Chọn mạng thực hiện nghe lén.
Bước 2: Thực hiện cuộc gọi để bắt gói tin.
Hình 6.5: Bắt gói tin khi bắt đầu cuộc gọi
Chương 6 2013
Trang 128
Bước 3: Ngừng gọi để xem nội dung đoạn hội thoại.
Hình 6.6: Xem nội dung cuộc hội thoại (1)
Hình 6.7: Xem nội dung cuộc hội thoại (2)
Chương 6 2013
Trang 129
Thực hiện nghe lén dùng Cain &Abel.
Bước 1: Xác định địa chỉ IP của máy cần tấn công.
Hình 6.8: Xác định miền địa chỉ IP cần thực hiện tấn công
Bước 2: Tiến hành cuộc gọi, dùng các gói Poisoning để tấn công.
Hình 6.9: Tấn công bằng các gói ARP.
Chương 6 2013
Trang 130
Bước 4: Chọn địa chỉ IP thích hợp để xem đoạn video đã nghe được
Hình 6.10: Xem nội dung nghe lén
2. Cấu hình bảo mật cho hệ thống.
a. Cấu hình Transport Layer Security (TLS)
Trước khi cấu hình các file trong asterisk, ta tạo các chứng chỉ
để hỗ trợ cho việc chứng thực.
Bước 1: Tạo thư mục keys để chứa các thông tin mã hóa.
mkdir /etc/asterisk/keys.
Bước 2: Tạo các file mã hóa
cd /asterisk1.8***/contrib/scripts.
./ast_tls_cert -C 192.168.2.2 -O "My Super Company" -d
/etc/asterisk/keys.
Trong đó: “C” lựa chọn để định nghĩa tên host, tên DNS
hoặc địa chỉ IP
“O” lựa chọn để định nghĩa tên máy (tổ chức).
“d” lựa chọn để chỉ đường dẫn lưu các tập tin
Bước 3: Tạo certificate cho client là thiết bị SIP:
./ast_tls_cert -m client -c /etc/asterisk/keys/ca.crt –k
/etc/asterisk/keys/ca.key -C 192.168.3.6 -O "My Super
Company" -d /etc/asterisk/keys -o 1000.
Chương 6 2013
Trang 131
./ast_tls_cert -m client -c /etc/asterisk/keys/ca.crt –k
/etc/asterisk/keys/ca.key -C 192.168.3.7 -O "My Super
Company" -d /etc/asterisk/keys -o 1001.
Trong thư mục keys sẽ chứa các tập tin sau:
asterisk.crt, asterisk.csr, asterisk.key, asterisk.pem,
1000.crt, 1000.csr, 1000.key, 1000.pem,
1001.crt, 1001.csr, 1001.key, 1001.pem
ca.cfg, ca.crt, ca.key, tmp.cfg.
Bước 4: Cấu hình cho asterisk
Nội dung file sip.conf:
[general]
port=5060
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscafile=/etc/asterisk/keys/ca.crt
tlsenable=yes
tlsbindaddr=0.0.0.0
tlscipher=ALL
tlsclientmethod=tlsv1
[1000]
type=peer
secret=1000
dtmfmode=rfc2833
disallow=all
allow=g722
host=dynamic
context=users
transport=tls
#khai bao tong dai B
[asteriskB]
type=peer
host=192.168.1.3
context=users
dtmfmode=rfc2833
disallow=all
allow=g722
transport=tls
Chương 6 2013
Trang 132
Nội dung file extension.conf:
[general]
static=yes
writeprotect=no
[users]
exten => 1000,1,Set(CHANNEL(secure_bridge_signaling)=1)
exten => 1000,n,Set(CHANNEL(secure_bridge_media)=1)
exten => 1000,1,Dial(SIP/1000)
exten => 1000,n,Hangup()
exten => 1001,1,Set(CHANNEL(secure_bridge_signaling)=1)
exten => 1001,n,Set(CHANNEL(secure_bridge_media)=1)
exten => 1001,1,Dial(SIP/1001)
;exten => 1001,n,Hangup()
exten => _2xxx,1,Dial(SIP/${EXTEN}@asteriskB)
exten => _2xxx,n,Hangup().
Bước 5: Khởi động dịch vụ và tiến hành cuộc gọi
- Service asterisk restart và thực hiện cuộc gọi
- Dùng Cain & Abel để tiến hành nghe lén thông tin cuộc gọi,
tuy nhiên lúc này kẻ tấn công sẽ không đạt được mục đích
nghe lén đặt ra.
b. Dùng firewall để chặn.
Bước 1: Thực hiện stop Firewall và xóa tất cả các rules có sẵn trong file
/etc/sysconfig/iptables. Hoặc dùng các lệnh sau:
iptables –F
iptables –X
iptables –t nat –F
iptables –t nat –X
Chương 6 2013
Trang 133
iptables –t mangle –F
iptables –t mangle –X
iptables –P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT.
Bước 2: Cấu hình giới hạn các gói tin gửi đến máy chủ asterisk bằng dòng
lệnh.
iptables -N security.
iptables -A security -m limit --limit-burst 5 --limit 2/m -j
RETURN
iptables -A security -j DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j
security
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j
security
Note:
- iptables -N security: tạo một chain mới tên security.
- iptables -A security -m limit --limit-burst 5 –limit 2/m –j RETURN –giới
hạn limit-burst ở mức 5 gói, limit là 2 gói / phút, nếu thỏa luật thì trả về
còn không sẽ bị DROP.
- iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j security
giới hạn các gọi ping là 2 gói /phút sau khi đạt tới 5 gói.
Bước 3: Thực hiện thêm các lệnh quản lí các gói ra vào ở máy chủ asterisk.
- iptables -A INPUT -d 192.168.3.0/24 -s 192.168.1.0/24 -p udp -m udp --
dport 5060 -j ACCEPT
- iptables -A INPUT -d 192.168.3.0/24 -s 192.168.1.0/24 -p tcp -m tcp --
dport 5060 -j ACCEPT
- iptables -P INPUT ACCEPT
Chương 6 2013
Trang 134
- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
- iptables -A INPUT -p tcp --dport 22 -j ACCEPT.
Bước 4: Lưu các rules vào file /etc/sysconfig/iptables.
Iptables –save hoặc service iptables save.
Bật iptables: service iptables start
Thực hiện ping từ máy client.
Hình 6.11: Kiểm tra số lượng gói ping được.
Kết luận 2013
Trang 135
KẾT LUẬN
1. Kết Quả Đạt Được.
- Tìm hiểu nội dung cũng như ý nghĩa của hệ thống VoIP, các mối đe dọa
và hình thức tấn công ảnh hưởng đến hệ thống.
- Xác định và thưc hiện các phương thức tấn công mạng VoIP.
- Xác định và hiểu rõ các phương thức tấn công mạng VoIP: tấn công nghe
lén, tấn công từ chối dịch vụ, dùng Brute-force đê đoán mật khẩu người
dùng đầu cuối,..
- Cấu hình thành công Firewall để ngăn chặn các cuộc tấn công vào hệ
thống VoIP.
- Cấu hình thành công SIPS ( Secure SIP) trao đổi thông tin đã được mã
hóa nhằm bảo mật hệ thống chống các cuộc tấn công nghe lén,…
2. Hạn Chế.
Do thời gian và kiến thức chuyên môn còn hạn chế, nên trong quá trình
thực hiện luận văn không thể tránh những thiếu sót nhất định:
Chưa thực hiện hết tất cả các phương thức tấn công áp dụng cho
hệ thống.
Chưa thực hiện hết toàn bộ các phương pháp bảo mật cho hệ
thống.
Chỉ khai thác được những rules cơ bản phục vụ cho vấn đề bảo
mật.
3. Hướng Phát Triển.
Tìm hiểu phương pháp bảo mật tối ưu hơn cho hệ thống.
Xây dựng hệ thống tổng đài quản lí các cuộc gọi.
Xây dựng hệ thống bằng giao diện, dễ sử dụng.
Tài liệu tham khảo 2013
Trang 136
TÀI LIỆU THAM KHẢO
[1] Peter Thermos and Ari Takanen, Securing VoIP networks
[2] David Endler and Mark Collier, Hacking exposed VoIP, 2007
[3] Diễn đàn http://www.asterisk.vn/forum/index.php
[4] Diễn đàn VoIP www.voip-info.org.
[5] Blog http://phonerlite.de/config_en.htm
[6] https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial
