Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
Đỗ Văn Mạnh
BẢO MẬT TRONG VOIP
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Nghanh: Điên tƣ – Viên thông
HA NỘI - 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
Đỗ Văn Mạnh
BẢO MẬT TRONG VOIP
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Nghanh: Điên tƣ – Viên thông
Cán bộ hƣớng dẫn: PGS.TS. Nguyên Kim Giao
HA NỘI - 2010
LỜI CẢM ƠN
Trƣớc hết em xin gửi tới PGS .TS. Nguyên Kim Giao lời cảm ơn chân thành và
long biết ơn sâu sắc! Thây đã trực tiếp hƣớng dẫn, chỉ bảo tận tình trong suốt quá trình
em làm khoa luận.
Em xin chân thanh cam ơn cac thây cô giáo trong phong thực tập hê thống viên
thông, các thây cô đa tao điêu kiên cho em mƣơn thiêt bi va chi bao tân tinh giup em
hoàn thành các bài lab trong khoa luận.
Em cũng xin chân thành cảm ơn các thây cô giáo trong Trƣờng Đại học Công Nghê
- Đại học Quốc Gia Hà Nội đã hết long dạy bảo, giúp đỡ em trong những năm học Đại
Học, giúp em co những kiến thức và kinh nghiêm quý báu trong chuyên môn và cuộc
sống. Những hành trang đo là một tài sản vô giá, giúp cho em tới đƣợc những thành công
trong tƣơng lai.
Cuối cùng, em xin cảm ơn những ngƣời thân trong gia đình và bạn bè đã giúp đỡ,
động viên em hoàn thành khoa luận.
Hà Nội, tháng 05 năm 2010
Sinh viên
Đỗ Văn Mạnh
TOM TẮT NÔI DUNG KHOA LUÂN
Khóa luân tập trung tim hiêu cơ ban vê bảo mật trong VoIP vơi nhƣng đăc điêm ,
giao thƣc va nhƣng yêu câu. Co kèm theo phân thực nghiêm và demo cuộc tấn công
trong VoIP.
Trên cơ sơ cai nhin tông quan về VoIP , khoa luận nghiên cứu cu thê cac ky thuât
đƣợc ứng dụng trong mạng VoIP nhƣ : Mô hình phân lớp mạng VoIP tham chiếu mô
hình OSI, chông giao thƣc sƣ dung cho VoIP , đăc biêt quan tâm đên hai giao thƣc bao
hiêu H.323 và SIP đƣợc sử dụng trong mạng VoIP. Một vấn đề quan trọng của khoa luận
nghiên cứu về bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các nguy cơ tấn công và từ
đo co những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP.
Trong phân thực nghiêm, khoa luận trình bày cách cấu hình các thiết bị Cisco trong
một mạng VoIP cơ sở, khoa luận cũng đƣa ra một mô hình mạng VoIP dựa trên một
mạng LAN đƣợc ứng dụng từ phân mềm do 3CX cung cấp. Ngoài ra khoa luận con
demo một cuộc tấn công trong VoIP.
MỤC LỤC
Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP .............................................................. 1
1.1. Mạng điên thoại truyền thống và kỹ thuật chuyển mạch kênh [2], [4] .............. 1
1.1.1. Sơ lƣợc về phát triển mạng điên thoại truyền thống .................................. 1
1.1.2. Kỹ thuật chuyển mạch kênh ...................................................................... 2
1.2. Tổng quan vê VOIP [2], [3], [4] ....................................................................... 3
1.2.1. Kỹ thuật chuyển mạch goi ........................................................................ 3
1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP................................................. 4
1.2.3. Các ứng dụng của VoIP ............................................................................. 6
1.2.4. Các yêu câu phát triển VoIP ...................................................................... 7
1.2.5. Mô hình mạng VoIP điển hình và các thành phân ...................................... 7
1.2.6. Các cấu hình mạng VoIP ........................................................................... 9
Chƣơng 2. MÔ HÌNH KIẾN TRÚC PHÂN TẤNG VÀ CÁC GIAO THỨC TRONG
MẠNG VOIP [2], [4], [1], [10] .................................................................................. 13
2.1. Lớp vật lý và lớp liên kết dữ liêu (Link & Physical Layer) [4] ....................... 13
2.2. Lớp mạng ...................................................................................................... 14
2.2.1. Giao thức IP ........................................................................................... 15
2.2.2. Giao thức ICMP ..................................................................................... 19
2.3. Tâng giao vận ................................................................................................ 19
2.3.1. Giao thức UDP ....................................................................................... 20
2.3.2. Giao thức TCP ........................................................................................ 20
2.3.3. Giao thức SCTP [10] .............................................................................. 23
2.4. Lớp ứng dụng ................................................................................................ 25
2.4.1. Giao thức RTP [10] ................................................................................. 26
2.4.2. Giao thức RTCP [10] .............................................................................. 29
Chƣơng 3. MẠNG VOIP VƠI CÁC GIAO THỨC BÁO HIÊU H .323/SIP .............. 32
3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5] ........................................................ 32
3.1.1. Thành phân mạng VoIP với chuẩn H.323 ................................................ 32
3.1.2. Chồng giao thức H.323 ........................................................................... 36
3.1.3. Các thủ tục báo hiêu và xử lý cuộc gọi VoIP-H.323 ................................ 45
3.1.4. Nhận xét về mạng VoIP-H.323................................................................ 51
3.2. Mạng VoIP với giao thức báo hiêu SIP [1], [4], [7] ........................................ 51
3.2.1. Các thành phân co trong mạng VoIP - SIP ............................................... 51
3.2.2. Địa chỉ SIP ............................................................................................. 53
3.2.3. Các dịch vụ cung cấp bởi SIP ................................................................. 54
3.2.4. Bản tin trong SIP .................................................................................... 54
3.2.5. Cuộc gọi SIP........................................................................................... 59
3.3. Cuộc gọi liên mạng [1] .................................................................................. 62
3.3.1. Cuộc gọi liên mạng SIP – H.323 ............................................................. 62
3.3.2. Cuộc gọi liên mạng VoIP - PSTN ............................................................ 65
Chƣơng 4. LỖ HỔNG VÀ HỖ TRỢ BẢO MẬT TRONG VOIP .............................. 71
4.1. Lỗ hổng trong VoIP ........................................................................................ 71
4.1.1. Lỗ hổng đối với hê thống H.323 ............................................................. 71
4.1.2. Lỗ hổng đối với hê thống SIP ................................................................. 73
4.1.3. Lỗ hổng do mạng và mô trƣờng .............................................................. 75
4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP ..................... 79
4.2. Hỗ trợ bảo mật trong H.323 và SIP ................................................................ 82
4.2.1. Hỗ trợ bảo mật cho H.323 ....................................................................... 82
4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP ....................................................... 91
4.3.1. VLAN..................................................................................................... 94
4.3.2. VPN........................................................................................................ 95
4.3.3. Firewall .................................................................................................. 98
4.3.4. NAT (Network Address Translation) ....................................................... 99
4.3.5. Một số chú ý khi sử dụng NAT và firewall trong hê thống VoIP ............ 100
4.3.6. Một số giải pháp cho vấn đề firewall .................................................... 101
4.3.7. Giải pháp cho NAT ............................................................................... 104
4.3.8. NIDS (Network Intrusion Detection System) ........................................ 106
4.3.8. HIDS (Host-based Intrusion Detection System) .................................... 107
Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIẾT BỊ CISCO , TRIÊN KHAI MÔ
HÌNH VOIP TRONG MẠNG LAN VÀ DEMO TẤN CÔNG TRONG VOIP ......... 109
5.1. Cấu hình VoIP mô hình phong thƣc hanh ..................................................... 109
5.1.1. Câu hinh giao thƣc măc đinh cua Gateway ........................................... 109
5.1.2. Câu hinh vơi giao thƣc SIP ................................................................... 114
5.2. Câu hinh VoIP vơi giao thƣc H.323 co Gatekeeper ...................................... 117
5.2.1. Các câu lênh dùng trong cấu hinh mô hinh nay ..................................... 117
5.2.2. Thƣc hiên va kêt qua ............................................................................. 119
5.3. Thiêt lâp mang VoIP trong môt mang LAN ................................................. 122
5.3.1. Giơi thiêu va yêu câu cua hê thông ....................................................... 122
5.3.2. Cài đặt và đăng ký ................................................................................ 123
5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến .................. 131
KẾT LUẬN ............................................................................................................. 133
BẢNG CAC TỪ VIÊT TẮT
Kí hiêu viết
tắt
Viết đây đủ Ý nghĩa
ACELP Algebraic Code Excited
Linear Prediction
Bô ma hoa dƣ đoan tuyên tinh kich
đông băng ma
ACK Acknowledgment Bản tin báo nhận
ADPCM Adaptive Differential
Pulse Code Modulation
Điêu chê xung ma vi sai thich nghi
ATM Asynchronous Transfer
Mode
Chế độ truyền không đồng bộ
BES Back-End Server
CAC Call Admission Control Điêu khiên thu nap cuôc goi
CAS Channel Associated
Signaling
Báo hiêu kênh liên kết
CCS Common Channel
Signaling
Báo hiêu kênh chung
CDR Call Detail Record
CQ Custom queuing Hàng đợi tùy chỉnh
DTMF Dual-Tone
MultiFrequency
Báo hiêu đa tân Dual -Tone
GK Gatekeeper Thành phân điều khiển trong mạng
H.323
GW Gateway Thiêt bi chuyên kêt nôi hai mang khac
nhau
ICMP Internet Control Message Giao thƣc ban tin điêu khiên internet hô
Protocol trơ cho giao thƣc IP
IETF Internet Engineering Task
Force
Môt tô chƣc Viên thông quôc tê . Lƣc
lƣơng chuyên phu trach ky thuât kêt nôi
mạng.
IP Internet Protocol Giao thức Internet
IPv4 IP version 4 Giao thức Internet phiên bản 4
IPv6 IP version 6 Giao thức Internet phiên bản 6
ISDN Integrated Services Digital
Network
Mạng tích hợp dịch vụ số
ISUP ISDN User Part Phân ngƣời dùng ISDN
ITU-T International
Telecommunication
Union-
Telecommunication
Standardization Sector
Hiêp hội viên thông quốc tế
- Tổ chức chuẩn chuẩn hoa các kỹ thuật
Viên thông.
IUA ISDN User Adapter Bộ chuyển đổi ngƣời dùng ISDN
LAN Local Area Network Mạng cục bộ
M2PA MTP L2 Peer-to-Peer
Adapter
Bộ chuyển đổi bản tin lớp 2 ngang hàng
M2UA MTP2 User Adapter Bộ chuyển đổi ngƣời dùng MTP2
M3UA MTP3 User Adapter Bộ chuyển đổi ngƣời dùng MTP3
MC Multipoint Controller Bô phân điêu khiên đa điêm
MCU Multipoint Control Unit Đơn vi điêu khiên đa điêm
MG Media Gateway Thiết bị chuyển đổi thông tin đa phƣơng
tiên giữa các mạng khác nhau
MGC Media Gateway Controller Điêu khiên Media gateway
MGCP Media Gateway Control
Protocol
Giao thƣc điêu khiên Media gateway
MP Multipoint Processor Bô xƣ ly đa điêm
OSI Open System Interference Mô hinh tham chiêu mang
PABX Private Automatic Branch
Exchange
Tông đai ca nhân tƣ đông
PBX Private Branch Exchange Tông đai ca nhân
PCM Pulse Code Modulation Kỹ thuật điêu chê xung ma
POTS Plain old telephone
service
Dịch vụ điên thoại phát triển đâu tiên và
là hê thông điên thoại analog
PQ Priority queuing Hàng đợi ƣu tiên
PSTN Public Switch Telephone
Network
Mạng điên thoại công cộng
QoS Quality of Service Chất lƣợng dịch vụ
RAS Register Admission Status Kênh báo hiêu giữa gatekeeper và đâu
cuối H.323
RSVP Resource Reservation
Protocol
Giao thƣc đinh trƣơc nguôn tai nguyên
RTCP Real Time Control
Protocol
Giap thức điều khiển thời gian thực
RTP Real Time Protocol Giap thức thời gian thực
SAP Session Announcement
Protocol
Giao thức thông báo phiên
SCN Switched Circuit Network Mạng chuyển mạch kênh
SCP Signal Control Point Điểm điều khiển báo hiêu
SCTP Stream Control
Transmission Protocol
Giao thức truyền điều khiển luồng
SDP Session Description
Protocol
Giao thƣc mô tƣ phiên
SDP Session Description
Protocol
Giao thức mô tả phiên
SGCP Simple Gateway control
protocol
Giao thƣc điêu khiên gateway đơn gian
SIP Session Initiation Protocol Giao thức thiết lập phiên
SNMP Simple Network
Management Protocol
Giao thức quản trị mạng đơn giản
SS7 SignalingSystem No.7 Hê thống báo hiêu số 7
TCP Transmission Control
Protocol
Giao thức điều khiển truyền thông tin
ToS Type of Service Kiểu dịch vụ
UA User Agent Tác nhận ngƣời dùng
UDP User Datagram Protocol Giao thức Datagram ngƣời dùng
VoIP Voice over IP Công nghê truyền thoại trên mạng IP
WAN Wide Area Network Mạng diên rộng
WFQ Weighted fair queuing Hàng đợi cân băng trọng số
Bảo mật trong VoIP
1
Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP
1.1. Mạng điện thoại truyền thống va kỹ thuật chuyển mạch kênh [2], [4]
1.1.1. Sơ lƣợc về phát triển mạng điện thoại truyền thống
Điên thoại đã đƣợc sử dụng hàng trăm năm nay. Trong giai đoạn này có nhiều sự
thay đổi đáng kể về công nghê, thiết bị cho mạng điên thoại. Ngày nay VoIP là công
nghê đang phát triển mạch mẽ. Tuy nhiên, điều quan trọng là xem xét từ các công nghê
trong quá khứ để có cái nhìn chung nhất về lộ trình phát triển của hê thống điên thoại.
Một hê thống điên thoại gồm co bốn thành thành phân cơ bản:
Một điên thoại co chức năng chuyển đổi từ tiếng noi sang tín hiêu điên và
ngƣợc lại.
Một hay nhiều trung tâm chuyển mạch và quản lý mạng điên thoại.
Hê thống truyền dẫn kết nối từ thuê bao đến các tổng đài.
Hê thống truyền dẫn kết nối giữa các tổng đai với nhau.
Một thuê bao kết nối đến mạng điên thoại theo ba cách:
Sử dụng đƣờng dây nối trực tiếp từ máy điên thoại vào mạng điên thoại.
Kết nối với mạng điên thoại thông qua truy cập song vô tuyến.
Kết nối theo phƣơng thức VoIP.
Dịch vụ điên thoại Public Switched Telephone Network (PSTN) là loại hình dịch
vụ điên thoại đã phát triển hàng trăm năm nay. PSTN cung cấp cả hai dịch vụ thoại, dịch
vụ thoại tƣơng tự POTS và dịch vụ tích hợp số ISDN.
POTS là dịch vụ điên thoại phổ biến đâu tiên trên toàn thế giới. POTS cung cấp
một kết nối song công (full-duplex) tới thuê bao trên đƣơng thuê bao analog.
Ngoài viêc cung cấp dịch vụ đảm bảo cho cuộc gọi POTS con cung cấp nhiều
dịch vụ mở rộng khác nhƣ là: Dịch vụ tƣ vấn hỗ trợ từ xa, dịch vụ chuyển
hƣớng cuộc goi, dịch vụ hội nghị và nhiều dịch vụ khác.
ISDN là hƣớng phát triển ứng dụng kỹ thuật số của PSTN. Với sự phát triển của
kỹ thuật số, tiếng noi đã đƣợc số hoa với tốc độ 64kbps. Mạng ISDN cung cấp
cả dịch vụ truyền dữ liêu và dịch vụ thoại. ISDN định nghĩa 2 phƣơng thức truy
cập:
▪ Giao diên truy cập tốc độ cơ bản (BRI) cung cấp 2 kênh B tốc độ 64kbps và
1 kênhh D tốc độ 16kbps. Kênh B là kênh dùng để truyền tín hiêu thoại
PCM 64kbps. Kênh D dùng để truyền các bản tin báo hiêu và co thể dùng
truyền dữ liêu với tốc độ cho phép đến 9,6kbps.
Bảo mật trong VoIP
2
▪ Giao diên truy cập tốc độ sơ cấp (PRI). Ở Bắc Mỹ PRI cung cấp 23 kênh B
tốc độ 64Kbps và một kênh D tốc độ 64kbps truyền trên đƣờng T1. Theo
chuẩn Châu Âu PRI cung cấp 30 kênh B tốc độ 64kbps và 1 kênh D tốc độ
64kbps. Tại giao diên truy cập này kênh D đƣợc sử dụng để truyền tải các
bản tin báo hiêu cho các kênh thoại mà no không đƣợc hỗ trợ để truyền dữ
liêu. Sử dụng giao diên PRI đặc trƣng cho kết nối đến các tổng đài cá nhân
(PBXs), các router, các gateway sử dụng trong mạng LAN hay truy cập
dial-up modem.
1.1.2. Kỹ thuật chuyển mạch kênh
Hình 1. Mô hình mạng PSTN
Mạng PSTN sử dụng kỹ thuật chuyển mạch kênh để chuyển mạch cuộc gọi. Hay
còn gọi là mạng chuyển mạch kênh. Từ khi kỹ thuật số phát triển, tất cả các tổng đài điên
thoại đều là tổng đài số. Tín hiêu thoại đƣợc số hóa với tốc độ 64kbps. Với kỹ thuật
chuyển mạch kênh thông tin cuộc gọi là trong suốt. Một kênh thoại 64kbps đƣợc dành
riêng cho cuộc gọi trong suốt quá trình diên ra cuộc gọi, nó chỉ bị ngắt khi một trong hai
thuê bao dập máy.
Kỹ thuật chuyển mạch kênh co những ƣu điểm, nhƣợc điểm và những vấn đề tồn
tại.
Ƣu điểm
Chuyển mạch kênh sử dụng kênh dành riêng nên co độ trê cố định, thấp đảm
bảo tính thời gian thực của cuộc đàm thoại.
Thông tin cuộc gọi đƣợc đảm bảo truyền liên tục không bị ngắt quãng.
Thiết bị của kỹ thuật chuyển mạch kênh đơn giản, co tính ổn định cao, chống
nhiêu tốt.
Bảo mật trong VoIP
3
Nhƣợc điểm
Kênh vẫn đƣợc duy trì cho cuộc gọi mặc dù cuộc gọi tạm ngƣng.
Hiêu suất truyền dẫn thấp đối với lƣu lƣợng theo từng nhóm, điều này chứng
minh kỹ thuật chuyển mạch kênh sử dụng băng thông không kiêu quả.
Co tốc độ không đổi do đo không hỗ trợ tốc độ dữ liêu thay đổi.
Các vấn đề tồn tại của chuyển mạch kênh
Nhiều phiên dữ liêu co hiêu quả thấp.
Tốc độ cấp phát phiên phải đủ lớn tƣơng ứng với thời gian trê cân thiết. Khả
năng cấp phát này ngƣng lại khi kênh không co gì để gửi.
Chuyển mạch kênh đoi hỏi phải thiêt lâp cuộc gọi nhiều khi không cân thiết.
Nếu các bản tin ngắn hơn thời gian thiêt lâp cuộc gọi thì chuyển mạch kênh là
không hiêu quả.
1.2. Tổng quan vê VOIP [2], [3], [4]
Với sự phát triển lớn mạch của internet và xu hƣớng hội tụ công nghê của mạng
NGN. Các cuộc đàm thoại đã đƣợc truyền trên đƣờng truyền chung với các cuộc gọi dữ
liêu dựa trên cơ sở hạ tâng của mạng IP.
Hình 2. Mô hình mạng điện thoại hội tụ IP
1.2.1. Kỹ thuật chuyển mạch gói
Trong kỹ thuật chuyển mạch goi các bản tin đƣợc chia thành nhiều goi và đƣợc
đong goi theo các chuẩn quy định, trong mỗi goi co đây đủ các thông tin giúp cho viêc
định tuyến đƣờng đi của goi tin đến đích. Trong chuyển mạch goi các bản tin tƣơng tác
với các nút mạng. Các goi tin độc lập với nhau về đƣờng đi, các goi tin đến đích không
theo một thứ tự quy đi nh. Kỹ thuật chuyển mạch goi cũng nhƣ kỹ thuật chuyển mạch
Bảo mật trong VoIP
4
kênh, no cũng co những ƣu điêm và những nhƣơc điểm.
Ƣu điêm
Tính mềm dẻo trong định tuyến, trong viêc thay đổi băng thông. Chuyển mạch
goi không cố định các kênh truyền thông hay các tuyến vì vậy hiêu suất sử dụng
đƣờng truyền rất cao, tận dụng tối đa hiêu năng đƣờng truyền.
Với một chồng các giao thức đi kèm, chuyển mạch goi co chế độ ƣu tiên cho
các ứng dụng khác nhau theo các mức khác nhau. Điêu nay cung la cơ sơ đê
phát triển mạng VoIP.
Khả năng cung cấp nhiều dịch vụ thoại và phi thoại.
Nhƣợc điểm
Độ trê thay đổi tùy thuộc vào từng tuyến và từng thời gian truyền thông tin.
Chuyển mạch goi thực hiên dựa trên cơ chế cố gắng tối đa vì vậy kho thỏa mãn
đƣợc chất lƣợng dịch vụ.
Các goi tin đến không theo thứ tự rất dê gây ra mất mát dữ liêu, tăng thời gian
xử lý dẫn đến trê truyền dẫn tăng lên.
1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP
1.2.2.1. Ƣu điêm của VOIP
Hiên nay hâu hết các nhà cung cấp dịch vụ internet cũng nhƣ các công ty viên
thông đang đƣa vào khai thác sử dụng một hê thống mạng hội tụ IP. VOIP là một trong
những dịch vụ đo và no đem lại nhiều thuận lợi.
Hiêu quả sử dụng băng thông cao hơn: VoIP chia sẻ băng thông giữa nhiều
kênh logic. Co thể thay đổi băng thông dê dang tùy vào chất lƣợng dịch vụ cung
cấp, để thay đổi chất lƣợng cuộc gọi.
Giảm chi phí cho cuộc gọi: Đây là ƣu điểm nổi bật của VoIP so với điên thoại
đƣờng dài thông thƣờng. Chi phí cho cuộc gọi đƣờng dài chỉ băng chi phí cho
viêc truy cập Internet. Một giá cƣớc chung sẽ thực hiên đƣợc với mạng Internet
và do đo tiết kiêm đáng kể các dịch vụ thoại và fax. VoIP sử dụng cơ sở hạ tâng
mạng internet, nên hiêu quả sƣ dụng các thiết bị chia sẻ tăng nên. Đồng thời kỹ
thuật nén thoại sử dụng các chuẩn nén mới, làm giảm tốc độ xuống thấp hơn
nhiều so với tốc độ 64kbps của PSTN. Cơ chế phát hiên khoảng lặng làm giảm
băng thông sử dung.
Khả năng tích hợp nhiêu chức năng: Do viêc thiết kế cơ sở hạ tâng tích hợp nên
co khả năng hỗ trợ tất cả các hình thức thông tin cho phép chuẩn hoa tốt hơn và
Bảo mật trong VoIP
5
giảm tổng số thiết bị. Các tín hiêu báo hiêu, thoại và cả số liêu đều đƣợc truyên
trên cùng mạng IP. Tích hợp đa dịch vụ sẽ tiết kiêm chi phí đâu tƣ nhân lực, chi
phí xây dựng cơ sơ ha tâng các mạng riêng lẻ.
Hỗ trợ truy cập vào các thiết bị thông tin hiên đại.
Thống nhất: Vì con ngƣời là nhân tố quan trọng nhƣng cũng dê sai lâm nhất
trong một mạng viên thông, mọi cơ hội để hợp nhất các thao tác, loại bỏ các
điểm sai sot và thống nhất các điểm thanh toán sẽ rất co ích. Trong các tổ chức
kinh doanh, sự quản lý trên cơ sở SNMP (Simple Network Management
Protocol) có thể đƣợc cung cấp cho cả dịch vụ thoại và dữ liêu sử dụng VoIP.
Viêc sử dụng thống nhất giao thức IP cho tất cả các ứng dụng hứa hẹn giảm bớt
phức tạp và tăng cƣờng tính mềm dẻo. Các ứng dụng liên quan nhƣ dịch vụ
danh bạ và dịch vụ an ninh mạng có thể đƣợc chia sẻ dê dàng hơn.
Tính mềm dẻo trong viêc sử dụng các thiết bị đâu cuối. Co rất nhiều cách lựa
chọn các thiết bị đâu cuối cho VoIP. Chỉ cân một phân mềm trên máy PC cũng
co thể thực hiên cuôc goi VoIP. Co thể dùng IP phone, hay các thiết bị đâu cuôi
hô trơ VoIP khác.
1.2.2.2. Nhƣơc điểm của VoIP
Bên cạnh những ƣu điểm vƣợt trội thì VoIP vẫn con tồn tại nhiều nhƣợc điểm cân
nghiên cứu và khắc phục.
Chất lƣợng dịch vụ chƣa cao: Các mạng số liêu vốn dĩ không phải xây dựng với
mục đích truyền thoại thời gian thực, vì vậy khi truyền thoại qua mạng số liêu
cho chất lƣợng cuộc gọi thấp. Sở dĩ nhƣ vậy là vì goi tin truyền trong mạng co trê
thay đổi trong phạm vi lớn, khả năng mất mát thông tin trong mạng hoàn toàn co
thể xảy ra. Một yếu tố làm giảm chất lƣợng thoại nữa là kỹ thuật nén để tiết kiêm
đƣờng truyền. Nếu nén xuống dung lƣợng càng thấp thì kỹ thuật nén càng phức
tạp, cho chất lƣợng không cao và đặc biêt là thời gian xử lý sẽ lâu, gây trê.
Một nhƣợc điểm khác của VoIP là vấn đề tiếng vọng. Nếu nhƣ trong mạng thoại,
độ trê thấp nên tiếng vọng không ảnh hƣởng nhiều, thì trong mạng IP do trê lớn
nên tiếng vọng ảnh hƣởng nhiều đến chất lƣợng thoại. Vì vậy, tiếng vọng là một
vấn đề cân phải giải quyết trong VoIP.
Vấn đề bảo mật trong VoIP: Voice là một loại dữ liêu quan trọng mà lại truyền
trên mạng IP co tính chất rộng khắp. Chịu sự tấn công của những kẻ phá hoại là
không thể tránh khỏi. Mạng VoIP con rất nhiều kẽ hở mà các nhà cung cấp dịch
vụ mạng cân khắc phục. Vấn đề này sẽ đƣợc tìm hiểu rõ hơn trong chƣơng 4.
Bảo mật trong VoIP
6
1.2.3. Các ứng dụng của VoIP
Sự phát triển mạng VoIP không thể độc lập tách rời hoàn toàn với mạng PSTN, no
đƣợc xây dựng để hoạt động song song cùng tôn tai vơi mạng PSTN vì phân lớn khách
hàng trên thế giới sử dụng dịch vụ PSTN và hê thống cơ sở hạ tâng PSTN không thể dê
dàng bị phá vỡ. Mục đích của các nhà cung cấp dịch vụ VoIP mong muốn tạo ra một
mạng điên thoại với chi phí thấp hơn, vận hành tốt hơn nhƣng vẫn đảm bảo chất lƣợng
gân nhƣ PSTN. Và đƣa ra các giải pháp kỹ thuật để kết nối với mạng PSTN. Mạng điên
thoại này co thể dùng cho mọi nhu câu đàm thoại. Chất lƣợng âm thanh cũng co thể biến
đổi tùy theo ứng dụng. Ngoài ra với khả năng của internet, VoIP sẽ cung cấp thêm nhiều
tính năng tiên ích mới.
Một số các ứng dụng của VoIP sẽ đƣợc đề cập cụ thể dƣới đây.
Thoại thông minh: Điên thoại thông thƣơ ng chỉ co một số chức năng cơ bản
phục vụ cho cuộc đàm thoại. Trong những năm gân đây, ngƣời ta đã cố gắng
phát triển điên thoại thông minh, đâu tiên là các điên thoại để bàn sau đo là đến
các server. Giữa mạng máy tính và mạng điên thoại vốn tồn tại một mối liên hê.
Sự phát triển rộng khắp của internet đã tạo ra một bƣớc đột phá mơ i. Internet
gop phân tăng tính thông minh cho mạng điên thoại toàn câu. Internet cung cấp
giám sát và điều khiển các cuộc thoại một cách tiên lợi hơn. Với những bộ vi xử
lý siêu tốc, những CPU thông minh khả năng giám sát các cuộc gọi thông qua
mạng Internet tốt hơn rất nhiều.
Dịch vụ thoại Web: Sự ra đời của WWW (World Wide Web) đã tạo ra một cuộc
cách mạng trong các quan hê giao dịch thƣơng mại, giữa khách hàng với doanh
nghiêp và ngƣợc lại. Dịch vụ điên thoại Web hay bấm số (click to dial) cho
phép các nhà doanh nghiêp co thể đƣa thêm các phím bấm lên trang Web để kết
nối tới hê thống điên thoại của họ, tức là đƣa thêm các kênh trực tiếp từ các
trang web vào hê thống điên thoại. Các trang web đang là điểm dừng lý tƣởng
của hâu hết ngƣơi sƣ dung internet trên thế giới, các trang web là một thế giới
ảo cung cấp đây đủ những thông tin cân thiết cho mọi ngƣời.
Truy cập các trung tâm tư vấn: Dịch vụ này cho phép một khách hàng có câu
hỏi về một sản phẩm đƣợc chào hàng qua internet đƣợc các nhân viên của công
ty trả lời trực tuyến, viêc này gop phân thúc đẩy mạnh mẽ thƣơng mại điên tử.
Dịch vụ fax qua IP: Internet không chỉ đƣợc mở rộng cho thoại mà con cho
dịch vụ fax. Dịch vụ internet faxing sẽ tiết kiêm đƣợc chi phí và cả kênh thoại
khi gửi fax với số lƣợng lớn, đặc biêt là gửi ra nƣớc ngoài. Dich vụ này sẽ
Bảo mật trong VoIP
7
chuyển trực tiếp từ PC qua kêt nối internet. Một trong những dịch vụ fax nổi
tiếng là comfax.
Dịch vụ tính cước cho phía bị gọi: Để thực hiên đƣợc dịch vụ này cân co một
PC kết nối internet và chƣơng trình phân mềm điều khiển nhƣ Quicknet`s
Technology –Internet Phone JACK chạy trên môi trƣờng Windows.
1.2.4. Các yêu cầu phát triển VoIP
Để tồn tại và pháp triển bền vững các nhà khai thác dịch vụ VoIP cân quan tâm đến
một số vấn đề về chất lƣợng, tính bảo mật… Cụ thể nhƣ sau:
Chất lƣợng thoại phải tƣơng đƣơng hoặc hơn mạng PSTN và các mạng điên
thoại khác.
Mạng IP cơ bản phải đáp ứng đƣợc các tiêu chí hoạt động khắt khe gồm: giảm
tối thiểu viêc từ chối cuộc gọi, mất mát goi và mất liên lạc, ngắt quãng trong
đàm thoại. Điều này đoi hỏi ngay cả khi mạng bị nghẽn hoặc khi co nhiều
ngƣời dùng cùng sử dụng chung nguồn tài nguyên của mạng tại một thời điểm.
Tín hiêu báo hiêu phải co khả năng tƣơng tác với các mạng khác để không gây
ra sự thay đổi khi chuyển giao giữa các mạng.
Liên kết các dịch vụ PSTN/VoIP bao gồm các gateway giữa các môi trƣờng
mạng thoại và mạng dữ liêu.
Quản lý hê thống an toàn, địa chỉ hoa và thanh toán phải đƣợc cung cấp, tốt
nhất là hợp nhất đƣợc với hê thống hỗ trợ hoạt động PSTN.
Từ khi ra đời VoIP đã đƣợc triển khai trên thực tế kiểm nghiêm và đã co nhƣng cải
tiến về công nghê, về các chuẩn giao thức phong phú, các nhà khai thác VoIP đang dân
khẳng định chất lƣợng dịch vụ của mình.
1.2.5. Mô hình mạng VoIP điển hình va các thanh phần
Từ khi ra đời đến nay, dịch vụ VoIP đã đƣợc nhiều tổ chức viên thông trên thế giới
quan tâm và phát triển các giao thức đi kèm. Co nhiều chuẩn mỗi chuẩn phù hợp cho một
loại giao thức đƣợc định nghĩa. Mỗi một chuẩn lại co mô hình mạng riêng và các thiết bị
phù hợp cho chuẩn đo. Nghiên cứu sâu vào từng chuẩn sẽ dành cho phân sau của khoa
luận. Trong phân này chỉ đƣa ra mô hình tổng quát nhất với mục đích giới thiêu sơ qua
về mô hình mạng VoIP. Các giao thức báo hiêu cơ bản trong VoIP.
H.323 giao thức báo hiêu đƣợc định nghĩa bởi ITU_T. H.323 định nghĩa một
kiến trúc phân phối cho viêc thiết lập các ứng dụng đa phƣơng tiên bao gồm cả
VoIP.
Bảo mật trong VoIP
8
SIP đƣợc định nghĩa trong IETF RFC 2543. SIP định nghĩa kiến trúc phân phối
cho viêc thiết lập các ứng dụng đa phƣơng tiên bao gồm VoIP.
MGCP đƣợc định nghĩa trong IETF RFC 2705. MGCP định nghĩa một kiến
trúc tập trung hoa cho viêc thiết lập các ứng dụng đa phƣơng tiên bao gồm
VoIP.
Megaco/H248 là giao thức điều khiển gateway.
Mô hình mạng VoIP tổng quát.
Hình 3. Mô hình mạng VoIP tổng quát
Hình trên cho ta mô hình tông quat với những yếu tố phổ biến nhất trong mạng
VoIP, cụ thể về các thiết bị nhƣ sau:
Telephone: Telephone co thể là các điên thoại IP (IP phone), các phân mềm hỗ
trợ hoạt động nhƣ một điên thoại đƣợc cài trên PC, hoặc là những điên thoại
truyền thống (tƣơng tự hay ISDN).
Gateway: Gateway liên kết mạng VoIP với mạng điên thoại truyền thống.
Thƣờng sử dụng các router hỗ trợ voice. Gateway cung cấp một số chức năng
sau:
Trên một giao diên gateway đƣợc cắm đƣờng dây điên thoại. Gateway kết
nối tới PSTN và thông tin với bất kỳ điên thoại nào trên thế giới.
Trên một giao diên khác, gateway kết nối tới mạng IP và thông tin với bất kỳ
máy tính nào trên thế giới.
Bảo mật trong VoIP
9
Gateway thu tín hiêu điên thoại chuẩn, số hoa (nếu tín hiêu chƣa đƣợc số
hóa), nén, đong goi sử dụng IP, và định tuyến goi tin đến đích thông qua
mạng IP.
Gateway sắp xếp lại các goi tin đến và chuyển tiếp cho các điên thoại.
Multipoint control units (MCU): Một MCU đƣợc yêu câu cho các cuộc hội
nghị nhiêu bên. Tất cả các thanh phân của hội nghị đƣợc gửi tới MCU. MCU
xử lý, quản lý tất cả các thành phân của cuộc hội nghị này.
Application server: Application cung cấp dịch vụ XML cơ bản tới IP phone.
Những ngƣời sử dụng IP phone truy cập tới các thƣ mục và cơ sở dữ liêu thông
qua XML application.
Gatekeepers: Gatekeepers là rất hữu ích, nhƣng no là thành phân tùy chọn
trong mạng, co thể co, hoặc co thê không. Gatekeeper cung cấp chức năng đăng
ký, định tuyến và quản lý tất cả đâu cuối (terminals, gateways, và MCUs) trong
một miên mạng nhất định. Gatekeper cung cấp Call Admission Control (CAC).
CAC chuyển đổi số điên thoại hay tên tới địa chỉ IP để giúp định tuyến trong
mạng H.323.
Call agents: Call agents cung câp chƣc năng điều khiển cuộc gọi CAC, điều
khiển băng thông, dịch vụ chuyển đổi địa chỉ tới địa chỉ IP hay giao thức điều
khiển gateway đa phƣơng tiên.
Video endpoint: Video endpoint cung cấp các tính năng video cho ngƣời sử
dụng. Cũng nhƣ thoại cuộc điên thoại video cũng cân co một trung tâm giám
sát các cuộc gọi hội nghị video.
1.2.6. Các cấu hình mạng VoIP
Mạng VoIP cung cấp một số cấu hình cơ bản cho cuộc gọi nhƣ sau:
Cuộc gọi giữa các PCs hoặc giữa các IP phone. Trong cấu hình này cuộc gọi
hoàn toàn truyền trong mạng IP mà không kết nối với mạng ngoài.
`
Terminal
IP
PC
GateKeeper
`
Terminal
PC
Hình 4. Mô hình cuộc gọi giữa các PCs hoặc giữa các IP phone
Bảo mật trong VoIP
10
Cuộc gọi giữa một đâu cuối VoIP trong mạng IP sang một đâu cuối trong mạng
PSTN. Cuộc gọi tiến hành từ một máy tính đa phƣơng tiên tới một thuê bao cố
định PSTN. Tín hiêu thoại đã đƣợc đong goi trong goi IP đƣợc truyền đến
gateway. Tại gateway các goi tin IP đƣợc chuyển đổi thành tín hiêu PCM
64kbps thông thƣờng và truyền tới tổng đài nội hạt của thuê bao bị gọi và từ đo
chuyển tới máy điên thoại bị gọi.
`
IP
PSTN/ISDN
PC
GateKeeper
GateWay
Analog Phone
Terminal
Hình 5. Mô hình cuộc gọi giữa đầu cuối VoIP sang đầu cuối trong mạng PSTN
Cuộc gọi giữa các thuê bao trong mạng PSTN truyền tải thông qua mạng IP.
Tín hiêu PCM 64kbps đƣợc chuyển đổi thành các goi tin IP và ngƣợc lại tại các
gateway. Dịch vụ này hiên nay rất phổ biến tại Viêt Nam do co nhiều nhà cung
cấp. Nhƣ VNPT với 171, Viettel với 178, EVN telecom với 179 …
IP
PSTN/ISDN
GateWay
GateWay
PSTN/ISDN
Gatekeeper GatekeeperAnalog Phone
Analog Phone
Hình 6. Mô hình cuộc gọi giữa các thuê bao trong mạng PSTN thông qua mạng IP
Co hai phƣơng thức điều khiển cuộc gọi: Điều khiển phân tán và điều khiển tâ p
trung. Trong quá khứ tất cả các cuộc gọi đều sử dụng kiến trúc điều khiển tập trung.
Trong đo các điểm đâu cuối đƣợc kiểm soát bởi một tổng đài trung tâm. Mặc dù mô hình
này làm viêc rất tốt cho các cuộc gọi cơ bản, nhƣng no cân cân băng giữa quản lý các
cuộc gọi đơn giản và dịch vụ mới. Quản lý phân tán là một loại hình thích hợp cho các
cuộc thoại đơn giản.
Bảo mật trong VoIP
11
Với những thuận lợi VoIP cho phép cả 2 kiến trúc điêu khiển cuộc gọi là phân tán
và tập trung. Điều này cho phép các công ty xây dựng mạng lƣới đặc trƣng một cách linh
hoạt hơn. Đơn giản hoa quản lý các đâu cuối, tùy thuộc vào các giao thức đƣợc sử dụng.
Điều khiển cuộc gọi phân tán. Mô hình và các bƣớc chi tiết cuộc gọi nhƣ dƣới.
Hình 7. Điều khiển cuộc gọi phân tán
▪ Dƣới đây là 7 bƣớc xử lý quay số và định tuyến cuộc gọi.
1. Sau khi nhận đƣợc tín hiêu yêu câu của thuê bao, đâu tiên R1 phát một
tín hiêu dial-tone
2. Tiếp theo R1 tổng hợp số đƣợc gọi.
3. R1 tìm kiếm số đƣợc gọi trong bảng định tuyến của mình. Theo bảng
định tuyến số đƣợc gọi năm trong vùng quản lý của gateway R2.
4. R1 bắt đâu giai đoạn setup băng cách gửi bản tin thích hợp tới R2.
5. R2 thu bản tin từ R1.
6. R2 tìm kiếm số bị gọi trong bảng định tuyến của mình, theo bảng định
tuyến số đƣợc gọi năm trong cổng voice.
7. R2 gửi tín hiêu ring tới thuê bao qua công voice.
▪ Giám sát cuộc gọi: Trong suốt quá trình diên ra cuộc gọi. Cả R1 và R2 đều
giám sát chất lƣợng cuộc gọi. Nếu một trong hai gateway phát hiên ra chất
lƣợng cuộc gọi không đảm bảo thì no sẽ tự động chấm dứt cuộc gọi. Giám sát
cuộc gọi năm trong giai đoạn thứ 2 của cuộc gọi, giai đoạn duy trì cuộc gọi.
▪ Kết thúc cuộc gọi: Nếu ngƣời gọi kết nối với R1 chấm dứt cuộc gọi, R1 sẽ
gửi thông báo cho R2. Trong chế độ này gateway sẽ khởi tạo quá trình chấm
dứt cuộc gọi.
Bảo mật trong VoIP
12
Điều khiển cuộc gọi tâp trung. Mô hình và quá trình cuộc gọi xảy ra.
Hình 8. Điều khiển cuộc gọi tập trung
▪ Quá trình quay số và định tuyến:
1. Sau khi nhận đƣợc tín hiêu off-hook của thuê bao, R1 gửi một request
tới call Agent của no.
2. Call Agent phát dial-tone và thu các số từ ngƣời gọi.
3. R1 chuyển 1 số đƣợc thu tới call Agent. Theo phƣơng thƣc One by one.
4. Call Agent tìm kiếm số đƣợc gọi trong bảng định tuyến cuộc gọi của
mình.
5. Call Agent gửi bản tin tới R2 yêu câu cuộc gọi thông qua cổng kết nối
với điên thoại.
▪ Giám sát cuộc gọi: Trong suốt quá trình gọi R1 và R2 giám sát chất lƣợng
cuộc gọi. Nếu một gateway phát hiên chất lƣợng cuộc gọi không đảm bảo,
no sẽ gửi bản tin đến call Agent. Call Agent sẽ chấm dứt cuộc gọi.
▪ Kết thúc cuộc gọi: Nếu một bên chấm dƣ t cuộc gọi thì gateway sẽ gửi bản
tin đến Call Agent. Call Agent thông báo đến hai gateway bản tin chấm dứt
cuộc gọi, giải phong tài nguyên cuộc gọi.
Kêt luân
Chƣơng này đã xem xét một cách tổng quát về các thành phân và cuộc gọi VoIP .
Nhƣng chƣơng sau của khoa luận sẽ đi sâu nghiên cứu tƣng mô hình với từng giao thức
cụ thể đƣợc sử dụng trong mạng VoIP.
Bảo mật trong VoIP
13
Chƣơng 2. MÔ HÌNH KIÊN TRÚC PHÂN TẤNG VA CAC GIAO THỨC
TRONG MẠNG VOIP [2], [4], [1], [10]
Mạng VoIP đƣợc xây dựng trên nền tảng tham chiếu chuẩn mô hình OSI. Mạng
VoIP co mô hình kiến trúc phân tâng nhƣ sau.
Hình 9. Mô hình kiến trúc phân tầng của VoIP
2.1. Lớp vật lý va lớp liên kết dữ liệu (Link & Physical Layer) [4]
Lớp vật lý tƣơng ứng vơi lớp vật lý của mô hình OSI. Trong mô hình tham chiếu
OSI cũng nhƣ trong mô hình mạng internet, lớp vật lý là lớp thấp nhất chịu trách nhiêm
truyền tín hiêu trên các đâu cuối mạng. Co thể điểm qua một số chức năng của lớp vật lý
nhƣ sau:
Định nghĩa các phân cứng đặc biêt. Cung cấp các môi trƣờng truyền dẫn nhƣ:
truyền trên môi trƣờng co dây, môi trƣờng không dây , truyền qua cap quang
hay cap đồng.
Mã hóa tín hiêu. Lớp vật lý co chức năng mã hoa tín hiêu sao cho phù hợp với
môi trƣờng truyền dẫn.
Truyền và thu tín hiêu tại các đâu cuối mạng.
Lớp liên kết dữ liêu là phân lớp thứ hai trong mô hình OSI. Lớp liên kết dữ liêu
đảm bảo truyền dữ liêu tin cậy giữa các đâu cuối cạnh nhau. Lớp liên kết dữ liêu đƣợc
chia làm hai phân lớp con là: Điều khiển liên kết logic (LLC) và điều khiển truy cập
(MAC). Giao thức tâng liên kết dữ liêu định nghĩa khuôn dạng đơn vị dữ liêu cho trao
đổi giữa các nút ở mỗi đâu của đƣờng truyền. Công viêc của giao thức tâng liên kết dữ
liêu khi gửi và nhận frame bao gồm: Phát hiên lỗi, truyền lại, điều khiển lƣu lƣợng và
truy cập ngẫu nhiên. Giao thức tâng liên kết dữ liêu co thể cung cấp những dịch vụ sau:
Đong goi dữ liêu và truy cập đƣờng truyền: Đong goi các goi dữ liêu lớp 3
thành các frame và chuyển xuống cho lớp vật lý. Một frame bao gồm phân dữ
Bảo mật trong VoIP
14
liêu và phân header của lớp 2 thƣờng là địa chỉ nguồn và địa chỉ vật lý và các
trƣờng đồng bộ, sửa lỗi. Lớp liên kêt dƣ liêu cung cấp chức năng điều khiển
truy cập khi nhiều đâu cuối sử dụng chung đƣờng truyền vật lý.
Kiểm soát lƣu lƣợng: Kiểm soát lƣu lƣợng đảm bảo cho các bộ đêm của các đâu
cuối không tràn, không xảy ra tắc nghẽn trên đƣờng truyền. Đảm bảo không
mất mát bản tin, nâng cao hiêu suất truyền tin.
Phát hiên lỗi và sửa lỗi: Nguyên nhân dữ liêu bị lỗi co thể do tín hiêu bị suy hao
hay nhiêu điên từ. Trong các frame dữ liêu lớp mạng co một trƣờng giúp cho
bên nhận phát hiên và co thể sửa đƣợc các lỗi đơn giản. Các phƣơng pháp phát
hiên và sửa lỗi co thể là: CRC, checksum, chẵn lẻ hay hamming. Đối với
Ethernet sử dụng CRC 32.
2.2. Lớp mạng
Lớp mạng là lớp thứ 3 trong mô hình tham chiếu OSI. Lớp mạng cung cấp những
giao thức lớp mạng nhăm đảm bảo truyền dữ liêu giữa các trạm không kề nhau sao cho
không co lỗi. Giao thức lớp mạng trong mô hình OSI chỉ ra cơ chế đánh địa chỉ cho goi
tin nhăm đong goi dữ liêu lớp transport và truyền đến đích. Cơ chế đong goi lớp mạng
cho phép nội dung của no đƣợc truyền tới đích trong các mạng LAN hoặc WAN với
lƣợng thông tin overhead là tối thiểu.
Lớp mạng thực hiên 4 nhiêm vụ chính sau:
Đánh địa chỉ cho goi tin, do vậy các goi tin co thể di chuyển đƣợc trong mạng.
Tất cả các host trong mạng đều đƣợc cung cấp một địa chỉ IP duy nhất. Địa chỉ
lớp mạng là địa chỉ logic, địa chỉ IPv4 hoặc địa chỉ IPv6. Địa chỉ IPv4 co 32 bit
và địa chỉ IPv6 là 128 bit.
Thực hiên phân mảnh và đong goi các segment của lớp transport rồi chuyển
xuống cho lớp datalink.
Định tuyến: Đây là chức năng rất quan trọng đối với lớp mang . Định tuyến là
tìm đƣờng đi cho goi tin trên mạng để đến đƣợc đích. Định tuyến sẽ tìm đƣờng
đi tối ƣu cho goi tin. Co nhiều giao thức định tuyến cho go i tin trong internet
nhƣ: RIP, OSPF, IGRP ...
Giải đong goi: Thực hiên khi goi tin đến đích, tại đây dữ liêu sẽ đƣợc giải đong
goi và gửi các segment lên lớp transport.
Trong mạng internet lớp mạng sử dụng giao thức IP để thực hiên chức năng của
mình.
Bảo mật trong VoIP
15
2.2.1. Giao thức IP
Là một giao thức không hƣớng kết nối. Dữ liêu IP đƣợc gọi là các datagram sử
dụng cơ chế phân phát tốt nhất (best-effort). Không co cơ chế truyền tin cậy, và IP không
phụ thuộc vào phƣơng tiên truyền dẫn hay noi cách khác no độc lập với phƣơng tiên
truyền dẫn.
Truyền không tin cậy là các goi tin IP không co khả năng quản lý, khôi phục,
truyền lai các goi tin trong quá trình truyền thông giữa nguồn và đích. Chính vì vậy viêc
quản lý, khôi phục và truyền lại goi tin bị lỗi không năm trên lớp network.
Mỗi goi tin IP chứa địa chỉ nguồn và đích, dựa vào đo dữ liêu đƣợc truyền tới đích.
Dữ liêu co thể truyền đến đích theo nhiều đƣờng khác nhau tạo ra sự mềm dẻo linh hoạt
trong các dịch vụ mạng internet.
2.2.1.1. Giao thức IPv4
Giao thức IPv4 đƣợc thiết kế nhƣ một giao thức với thông tin overhead nhỏ, no chỉ
cung cấp chức năng cân thiết để chuyển goi tin từ nguồn tới đích thông qua mạng LAN
hoặc WAN.
Khuôn dạng của header IPv4 nhƣ sau:
Hình 10. Khuôn dạng gói tin IPv4
Chiều dài của goi tin IPv4 là bội của 4 byte. Trƣơng header của goi tin IPv4 co
chiều dài 20 byte chia thành các trƣờng khác nhau. Chức năng cụ thể của tƣng trƣờng
nhƣ sau:
Trƣờng Version: Co chiêu dài 4 bit chỉ phiên bản của giao thức. Ở IPv4 có giá
trị 0100.
Header length: Co độ dài 4 bit, chỉ độ dài của phân tiêu đề của goi tin IPv4.
Type of service: Co chiều dài 8 bit. Chỉ ra các kiểu khác nhau của goi tin IP.
Bảo mật trong VoIP
16
Căn cứ vào các thông tin ở trƣờng này mà Router co thể co cơ chê ƣu tiên trong
quá trình chuyển tiếp goi tin. Đối với dịch vụ VoIP trƣờng này là rất quan trọng,
no là cơ sở để các giao thức thời gian thực hoạt động. Trƣờng này co 8 bit dƣới
đây:
1 2 3 4 5 6 7 8
Precedence D T R Reserves
▪ Precedence: 3bit, chỉ ra quyền ƣu tiên của datagram, co giá trị thay đổi từ 0
(goi tin bình thƣờng) đến 7 (goi tin kiểm soát mạng).
▪ D: 1 bit, chỉ ra độ trê yêu câu của datagram. D = 0 goi tin co độ trê bình
thƣơng, D = 1 goi tin co độ trê thấp.
▪ T: 1 bít, chỉ thông lƣợng yêu câu của goi tin. T = 0 thông lƣợng bình thƣờng,
T = 1 thông lƣợng cao.
▪ R: 1bit, chỉ độ tin cậy của goi tin. R = 0 độ tin cậy bình thƣờng, R = 1 độ tin
cậy cao.
▪ Reserves: 2 bit, là các bít dự trữ.
Total Length: Chiều dài 16 bit, chỉ độ dài toàn bộ goi tin, kể cả phân tiêu đề. Co
giá trị tối đa là 65535. Các host chỉ co khả năng xử lý goi tin co độ dài 576 byte
gồm 512 byte dữ liêu và 64 byte tiêu đề.
Identification: Dài 16 bit. Cùng với các tham số (địa chỉ nguồn, địa chỉ đích)
tham số này dùng để chỉ ra tính duy nhất của một datagram khi no con tồn tại
trong mạng,
Flag: Dài 3 bít. Dùng để điều khiển phân đoạn và tái lắp ghép goi dƣ liêu.
Trƣờng này co bit O, bit DF, bit MF.
▪ Bit 0: Luôn co giá trị = 0.
▪ Bit 1: DF. Nếu DF = 0 co phân đoạn, nếu DF = 1 không phân đoạn.
▪ Bit 2: MF. MF = 0 chỉ mảnh cuối cung, nếu MF = 1 không phải mảnh cuối
cùng.
Fragment Offset: Dài 13 bit. Chỉ rõ vị trí của đoạn ở trong datagram tính theo
đơn vị 64 bit.
Time to Live: Dài 8 bit. Chỉ ra thời gian tồn tại của goi tin trên mạng (đơn vị
giây). Thời gian này đƣợc gán bởi nơi gửi và giá trị giảm đi 1 khi đi qua một
router. Giá trị giảm đi 1 tại mỗi router với mục đích giới hạn thời gian tồn tại
của goi tin và không để xảy ra hiên tƣợng lặp vô hạn của goi tin làm tốn băng
thông đƣờng truyền.
Bảo mật trong VoIP
17
Protocol: Dài 8 bit chỉ ra giao thức tâng trên kế tiếp sẽ nhận dữ liêu ở trạm đích.
Ví dụ: TCP co giá trị trƣờng Protocol là 6, UDP co giá trị trƣờng Protocol là 17
Header Checksum: Dài 16 bit. Kiểm lỗi phân header của goi tin theo phƣơng
pháp CRC .
Source Address: Dài 32 bit. Địa chỉ IP của host nguồn.
Destination Address: Dài 32 bit. Địa chỉ IP của host đích.
Options: Co độ dài thay đổi. Khai báo các lựa chọn do ngƣời gửi yêu câu.
Padding: Co độ dài thay đổi. Đảm bảo độ dài của header luôn là bội của 32 bit.
Data: Phân dữ liêu của lớp trên. Co độ dài thay đổi và bội số của 8 bit và tối đa
là 65535 byte.
Địa chỉ IPv4
Địa chỉ IPv4 co kích thƣớc 32 bit đƣợc chia làm 4 nhóm, mỗi nhom khi đƣợc biểu
diên sẽ đƣợc phân cách nhau bởi một dấu chấm. Dạng địa chỉ IPv4 co thể biểu diên dƣới
hai hình thức. Biểu diên băng số hê thập phân hoặc hê cơ số 2. Địa chỉ IPv4 gồm 2 phân,
phân đâu là network ID và phân sau là host ID.
Địa chỉ IPv4 đƣợc chia thành 3 loại:
Địa chỉ unicast. Là địa chỉ đƣợc gán cho các host.
Địa chỉ multicast. Là địa chỉ đƣợc gán cho một nhom các host.
Địa chỉ broadcast. Là địa chỉ đƣợc gán cho tất cả các host trong một miền
mạng.
Địa chỉ IPv4 đƣợc chia thành 5 lớp. A, B, C, D, E.
Hình 11. Lớp địa chỉ IPv4
Lớp A co 8 bit trong phân net ID và 24 bit trong phân host ID, đƣợc sử dụng
cho các mạng co số lƣợng host lớn.
Bảo mật trong VoIP
18
Lớp B co 16 bit trong phân net ID và 16 bit trong phân host ID, đƣợc sử dụng
cho các mạng co số lƣợng host trung bình.
Lớp C co 24 bit trong phân net ID và 8 bit trong phân host ID, đƣợc sử dụng
cho các mạng co số lƣợng host it.
Lớp D dành cho mục đích multicast.
Lớp E đƣợc dùng cho mục đích nghiên cứu.
Một địa chỉ IPv4 mà trong phân host ID toàn băng 0 thì đo là địa chỉ mạng, trong
phân host ID toàn băng 1 thì đo là địa chỉ broadcast.
2.2.1.2. Giao thức IPv6
Với sự ra đời của nhiều loại hình dịch vụ mới, số lƣợng các thiết bị trong mạng cân
đánh địa chỉ là rất lơn thì số lƣợng địa chỉ IPv4 là không đáp ứng đƣợc. Ngoài ra, do sự
phát triển của Internet bảng định tuyến của router không ngừng lớn lên và khả năng định
tuyến đã bộc lộ hạn chế. Yêu câu nâng cao chất lƣợng dịch vụ và bảo mật đƣợc đặt ra.
IETF đã nghiên cứu và phát triển giao thức IPv6, nó là giao thức mới đƣợc kế thừa đặc
điểm chính của IPv4 và co nhiều cải tiến để khắc phục những hạn chế:
Tăng kích thƣớc địa chỉ từ 32 bit lên 128 bit.
Phạm vi định tuyến đa điểm: giao thức này hỗ trợ phƣơng thức truyền mới
―anycasting‖. Phƣơng thức này sử dụng để gửi các goi tin đến một nhom xác
định.
Phân tiêu đề của IPv6 đƣợc đơn giản hoa hơn IPv4. Điều đo cho phép xử lý goi
tin nhanh hơn. IPv6 cung cấp cơ chế nhận thực linh hoạt. Ngoài ra, IPv6 còn
cung cấp một số tiêu đề phụ cho phép giao thức IPv6 co thể sử dụng một cách
mềm dẻo hơn hẳn so với IPv4.
Khuôn dạng header của gói tin IPv6
Hình 12. Phần header của goi tin IPv6
Version: 4 bit. Co giá trị 0110, chỉ phiên bản IPv6.
Traffic class: 8 bit. Chỉ số xác định mức đô ƣu tiên.
Bảo mật trong VoIP
19
Flow label: 20 bit. Xác định các goi dữ liêu đƣợc ƣu tiên trên đƣờng truyền nếu
xảy ra tranh chấp. Thƣờng đƣợc sử dụng cho các dịch vụ đoi hỏi chất lƣợng
dịch vụ cao hay thời gian thực.
Payload length: 16 bit. Chỉ ra độ dài phân dữ liêu không tính phân tiêu đề.
Next header: 8 bit. Chỉ rõ kiểu của header giao thức lớp trên.
Hop limit: 8 bit. Quy định thời gian tồn tại của datagram trên mạng.
Source address: 128 bit. Địa chỉ của host nguồn.
Destination address: 128 bit. Địa chỉ của host đích.
2.2.2. Giao thức ICMP
Giao thức IP là giao thức không hƣớng kết nối và không an toàn. Bên cạnh IP con
có các giao thức khác hỗ trợ chức năng điều khiển và định tuyến. Giao thức ICMP là một
trong số đo. ICMP gửi các thông điêp về các vấn đề, tình trạng xảy ra trong môi trƣờng
mạng.
Khuôn dạng bản tin ICMP
0 7 8 15 16 31
Type Code Checksum
Thông tin thêm
Các bản tin ICMP đƣợc xác định nhờ vào trƣờng code. Co các loại bản tin ICMP
sau:
Bản tin vọng và bản tin đáp ứng vong.
Bản tin Time Stamp và trả lời Time Stamp.
Bản tin không gặp đích.
Bản tin quench source.
Bản tin định hƣớng lại.
Bản tin báo tham số co lỗi.
2.3. Tầng giao vận
Tâng giao vận năm trên lớp 4 của mô hình tham chiếu OSI. Cung cấp dịch vụ
truyền thông giữa các tiến trình ứng dụng chạy trên các máy tính khác nhau. Tâng giao
vận của internet co 2 giao thức quan trọng TCP và UDP. Ngoài ra để phù hợp với các
dịch vụ truyền thời gian thực trong lớp giao vận con co giao thức SCTP.
Lớp transport có một số nhiệm vụ
Cho phép nhiều ứng dụng truyên thông qua mạng tại cùng một thời điểm, trên
Bảo mật trong VoIP
20
cùng một thiết bị.
Đảm bảo dữ liêu đƣợc nhận tin cậy khi sử dụng giao thức TCP, sắp xếp đúng
goi tin cho từng loại ứng dụng khác nhau.
Cung cấp cơ chế truyền lại trong trƣờng hợp goi tin bị mất hoặc lỗi trong quá
trình truyền từ nguồn tới đích.
Chức năng của lớp transport
Đảm bảo duy trì các kết nối riêng biêt giữa các ứng dụng khác nhau trên host
nguồn và đích.
Thực hiên phân mảnh tại nguồn và co cơ chế quản lý các goi tin này.
Ghép các mảnh dữ liêu tại đích để tạo thành luồng dữ liêu ứng dụng trƣớc khi
đẩy lên lớp ứng dụng.
Co khả năng nhận diên các ứng dụng khác nhau. Điều này giúp cho lớp
transport co thể khởi tạo, duy trì, bảo dƣỡng và kết thúc nhiều ứng dụng khác
nhau trên cùng một thiết bị.
2.3.1. Giao thức UDP
UDP là giao thức đơn giản, không hƣớng kết nối, đƣợc mô tả trong RFC 768. UDP
co trƣờng header chỉ co 8 byte. Vì vậy UDP cung cấp ít các thông tin điều khiển. UDP
không co cơ chế truyền tin cậy, không co khả năng điều khiển luồng và không co cơ chế
truyền lại. Xử lý lỗi phải đƣợc xử lý bởi các giao thức lơp cao hơn.
Header của UDP gồm 8 byte chỉ co 4 trƣờng: Chỉ số cổng nguồn, chỉ số cổng đích,
chiều dài goi tin và kiểm lỗi băng trƣờng checksum.
Trên mang UDP thích hợp cho các ứng dụng nhậy với trê nhƣ: Voice, game online,
video, TFTP, DNS…
Trong mạng VoIP, UDP đƣợc sử dụng kết hợp với giao thức RTP của lớp trên đam
bảo tính thời gian thực trong truyền thoại. Tín hiêu thoại sau khi đƣợc mã hóa đƣợc đong
gói sẽ thêm phân header của RTP sau đo chuyển xuống lớp 4 sƣ dụng UDP để đảm bảo
độ trê cho tín hiêu thoại.
Hình 13. Khuôn dạng gói tin UDP
2.3.2. Giao thức TCP
Bảo mật trong VoIP
21
TCP là giao thức hƣớng kết nối và tin cậy, đƣợc mô tả trong RFC 793. TCP thực
hiên phân mảnh goi tin tại nguồn và trƣớc khi gửi goi tin xuống lớp network no chèn
thêm môt số thông tin điều khiển gọi là TCP header. Mỗi segment của TCP có 20 byte
header.
TCP cung cấp các chức năng:
Truyền tin cậy với cơ chế ARQ, mỗi bản tin co số trình tự phát và trình tự thu
riêng.
Cung cấp thứ tự chính xác của các segment với cơ chế sắp xếp lại segments tại
đích. Co cơ chế loại bỏ các bản tin kep.
Cung cấp điểu khiển luồng để kiểm soát tắc nghẽn băng phƣơng pháp sử dụng
cửa sổ trƣợt.
Trong mạng giao thức TCP thích hợp cho các ứng dụng cân đảm bảo sự tin cậy và
không yêu câu thời gian thực nhƣ: Web, mail, truyền file.
Trong mạng VoIP, TCP đƣợc sử dụng để truyền các bản tin báo hiêu nhƣ: H.225,
H.245 vì các bản tin báo hiêu cân độ chính xác cao.
Header va ý nghĩa của các trƣờng trong phần header TCP:
Hình 14. Khuôn dạng bản tin TCP
Source Port và Destination Port: Chỉ số cổng nguôn và chỉ số cổng đích của
mỗi ứng dụng. Mỗi ứng dụng sẽ co chỉ số công nguồn và chi sô công đích khác
nhau. Cổng nguồn và đích đều co 16 bit do vậy co thể tạo đƣợc 65535 cổng
khác nhau.
Sequence number: Dài 32 bit. Đƣợc sử dụng nhăm đồng bộ dữ liêu truyền giữa
nguồn và đích và sắp sếp chính xác dữ liêu tại đích.
Acknowledgement number: Dài 32 bit. Chỉ số này đƣợc gửi đến host nguồn.
Thông báo cho host nguồn biết là đã nhận tốt byte thứ n và mong muốn nhận
Bảo mật trong VoIP
22
đƣợc byte n + 1 trong lân truyền tiếp theo.
Windows: Dài 16 bit, đƣợc sử dụng để điều khiển luồng. Đích nhận goi tin căn
cứ vào tài nguyên của mình co thể gửi thông tin về cƣa sô trƣơt (slidding
windows) cho nguồn, yêu câu nguồn gửi dữ liêu kích thƣớc phù hợp.
Hlen: Dài 4 bit. Cho biết chiều dài phân header của bản tin TCP.
Reserved: Dài 6 bit. Là bit dự trữ chƣa đƣợc sử dụng, đƣợc gán giá trị băng 0.
Code bit: Dài 6 bit. Chứa các cờ điều khiển nhƣ: URG, ACK, PSH, RST, SYN,
FIN.
Checksum: Dài 16 bit. Dùng đê kiểm lỗi, sử dụng CRC 16.
Urgent Point: Dài 16 bit. Là con trỏ trỏ tới số hiêu tuân tự của byte đi sau dữ
liêu chuẩn, cho bên nhận biết đƣợc độ dài của dữ liêu.
Option: Co độ dài thay đổi, trong đo khai báo các lựa chọn của ngƣời dùng.
Padding: Dài 8 bit. Đảm bảo phân tiêu đề của TCP luôn là bội của 32 byte.
TCP data: Là phân dữ liêu của lớp trên, co giá trị tối đa là 536 byte, giá trị này
co thể thay đổi nhờ vào khai báo trong phân option.
Trong một phiên TCP co 3 pha: Khởi tạo kết nối, truyền tin và hủy kết nối. TCP
thực hiên kết nối với thủ tục bắt tay 3 bƣớc.
Khởi tạo kết nối:
1. Nguồn gửi bản tin SYN kèm theo sequence number đến đích để thiết lập kết
nối.
2. Đích gửi bản tin SYN chứa tham số ACK để khẳng định quá trình nhận dữ
liêu tốt tơi nguồn. Bản tin này cũng chứa chỉ số sequence number và chỉ số này
đƣợc sinh ra ngẫu nhiên.
3. Khi nguồn nhận đƣợc bản tin SYN kèm theo ACK no sẽ gửi bản tin thiết lập
tới đích.
Hình 15. Khởi tạo phiên TCP
Truyền tin: Sau khi thiết lập thông qua 3 bƣớc trên, nguồn và đích thực hiên
truyền dữ liêu kèm theo các thông tin điều khiển chứa trong header của TCP.
Bảo mật trong VoIP
23
Kết thúc phiên truyền: Khi không con nhu câu truyền dữ liêu nữa, host sẽ gửi
cơ FIN để kết thúc phiên truyền dữ liêu giữa hai host. Sau khi kết thúc phiên
truyền dữ liêu, kết nối end-to-end giƣa nguồn và đích sẽ đƣợc giải phong.
Hình 16. Kết thúc phiên truyền dữ liệu
2.3.3. Giao thức SCTP [10]
SCTP cũng nhƣ TCP và UDP là một giao thức tâng giao vận. SCTP đƣợc thiết kế
để thay thế cho TCP/UDP khi truyền báo hiêu SS7 qua mạng internet. Ban đâu SCTP chỉ
đƣợc thiết kế với mục đích trên nhƣng ngày nay SCTP đã đƣợc sử dụng rộng rãi và no
đƣợc xem nhƣ một thế hê tiếp theo của giao thức TCP. SCTP là giao thức hƣớng kết nối
và tin cậy, đồng thời SCTP con đảm bảo tính thời gian thực cho dữ liêu không giống nhƣ
TCP. SCTP cung cấp các chức năng sau:
Hỗ trợ đa luồng: Các bản tin độc lập với nhau trên một liên kết SCTP. Mỗi bản
tin đƣợc gán cho một luồng riêng. Tất cả các bản tin trong một luồng đƣợc nhận
theo đúng thứ tự bên gửi đã đánh dâu. Mỗi dữ liêu của mỗi luồng sẽ đƣợc nhận
chính xác mà không bị lẫn lộn với các luồng khác. Với hỗ trợ đa luồng SCTP hỗ
trợ các ứng dụng liên quan đến hợp kênh dữ liêu nhƣ: Thoại, video trên mỗi
đƣờng liên kết giữa hai đâu cuối.
Liên kết đa điêm: Giữa hai đâu cuối trong quá trình thiết lập liên kết co thể xác
định liên kết đa điểm. Co nhiều giao diên sẽ cho phép dữ liêu gửi theo địa chỉ
khác khi xảy ra lỗi. Giao thức TCP không thể thực hiên đƣợc viêc này.
Hƣơng bản tin: Trong TCP, dữ liêu đƣợc gửi giữa hai đâu cuối là luồng các byte.
Nếu cân thiết các ứng dụng phải làm chức năng định dạng khung cho bản tin.
SCTP bản tin đƣợc giữ nguyên định dạng, bản tin không bị thay đổi ở hai đâu
cuối. UDP cũng cung cấp dịch vụ hƣơng bản tin nhƣng không tin cậy.
Nhận bản tin không theo thứ tự: Giao thức TCP, tất cả các bản tin đƣợc nhận
theo đứng thứ tự bên gửi. Đối với SCTP, cung cấp cơ chế nhận bản tin không
theo thứ tự (giữa các luồng song song với nhau).
Quy định thời gian sống của bản tin: SCTP co một tùy chọn cho phép xác định
thời gian sống của bản tin. No cho phép ƣng dụng truyền tin xác định khoảng
Bảo mật trong VoIP
24
thời gian mà bản tin con co ích. Nếu thời gian sống của bản tin không con
SCTP co thể hủy bỏ bản tin hoặc dừng viêc cố gắng gửi no vào mạng. Viêc này
giúp tiết kiêm băng thông trách tắc nghẽn trên đƣờng truyền.
Syn cookie: SCTP khởi tạo liên kết băng thủ tục bắt tay bốn bƣớc với viêc sử
dụng cookie co dấu hiêu định trƣớc.
Khả năng kiểm soát lỗi mạnh: Với TCP và UDP trƣờng checksum chỉ co 16 bit.
Con SCTP trƣờng này lên tới 32 bit.
Khuôn dạng bản tin SCTP:
Hình 17. Khuôn dạng gói tin SCTP
Source port: Dài 16 bit, chỉ số cổng nguồn của ứng dụng.
Destination port: Dài 16 bit, chỉ số cổng đích của ứng dụng.
Verification tag: 32 bit, thẻ xác minh. Ngƣời nhận sử dụng thẻ này để xác minh
tính hợp lê của ngƣời gửi goi SCTP này.
Checksum: 32 bit. Sử dụng để kiểm lỗi và sƣa lỗi bản tin SCTP.
Chunk: Co độ dài biến đổi. Chunk là một đơn vị thông tin đƣợc dùng trong goi
SCTP. Chunk chứa chunk header và chunk data:
Hình 18. Khuôn dang Chunk
▪ Chunk type: 8 bit. Định nghĩa kiểu thông tin chứa trong chunk data. Có 20
kiểu chunk đƣợc định nghĩa trong RFC 2690.
▪ Chunk flags: 8 bit. Đƣợc sử dụng phụ thuộc vào các kiểu chunk khác nhau.
▪ Chunk length: 16 bit. Chỉ độ dài của trƣờng chunk.
▪ Chunk data: Độ dài thay đổi. Trƣờng chứa dữ liêu của gói SCTP, kiểu dƣ
liêu đƣợc định nghĩa trong chunk type.
Giao thức SCTP thực hiên thiết lập một liên kết băng thủ tục bắt tay 4 bƣớc, và hủy
Bảo mật trong VoIP
25
bỏ một liên kết trong 3 bƣớc.
So sánh tính năng dịch vụ của SCTP, TCP va UDP
Services/Features SCTP TCP UDP
Hƣớng liên kết Có Có Không
Song công Có Có Có
Tin cậy Có Có Không
Tin cậy cục bộ Tùy chọn Không Không
Nhận dữ liêu co thứ tự Có Có Không
Nhận dữ liêu không co thứ tự Có Không Có
Điều khiển luồng Có Có Không
Điều khiển tắc nghẽn Có Có Không
Cơ chế ECN Có Có Không
Selective ACKs Có Tùy chọn Không
Hƣớng bản tin Có Không có
Tìm lại đƣờng MTU Có Có Không
Phân mảnh PDU tâng ứng dụng Có Có Không
Đọc các PDU tâng ứng dụng Có Có Không
Đa luồng Có Không Không
Chống tấn công tràn SYN Có Không Không
Kết nối half-closed Không Có Không
Kiểm tra dữ liêu tới đích Có Có Không
2.4. Lớp ứng dụng
Lớp ứng dụng trong mạng VoIP là tâng liên quan trực tiếp đến ngƣời dùng. Tâng
ứng dụng chứa một loạt các giao thức phục vụ cho ứng dụng voice.
Các giao thức báo hiêu: H.323, SIP, MGCP, Megaco/H.248.
Các giao thức truyền tin thời gian thực: RTP, RTCP, RSVP.
Các chuẩn nén thoại, video: G.711, G.722, G.723.1, G.728, G.729, H.261,
H.263.
Các giao thức báo hiêu sẽ đƣợc trình bày cụ thể trong chƣơng sau. Trong chƣơng
này chỉ trình bày chi tiết về các giao thức hỗ trợ truyền tin thời gian thực.
Bảo mật trong VoIP
26
2.4.1. Giao thức RTP [10]
RTP là giao thức đƣơ c xây dựng nhăm cung cấp khả năng truyền tải các dữ liêu
yêu câu thời gian thực nhƣ: Thoại, video trên các dịch vụ mạng multicast hay unicast.
RTP do tổ chức IETF đề xuất, no đảm bảo các cơ chế vận chuyển và giám sát phƣơng
thức truyền thông thời gian thực trên mạng. RTP đƣợc thiết kế chủ yếu cho viêc truyền
nhiều đối tƣợng, nhƣng nó vẫn có thể đƣợc sử dụng để truyền cho một đối tƣợng. RTP có
thể truyền tải một chiều nhƣ dịch vụ video theo yêu câu cũng nhƣ các dịch vụ trao đổi
qua lại nhƣ điên thoại Internet.
Các gói tin truyền trên mạng Internet có trê và jitter không dự đoán đƣợc. Nhƣng
các ứng dụng đa phƣơng tiên yêu câu một thời gian thích hợp khi truyền các dữ liêu và
phát lại. RTP cung cấp các cơ chế bảo đảm thời gian, số thứ tự và các cơ chế khác liên
quan đến thời gian. Băng các cơ chế này RTP cung cấp sự truyền tải dữ liêu thời gian
thực giữa các đâu cuối qua mạng.
Bản thân RTP không cung cấp một cơ chế nào cho viêc bảo đảm phân phối kịp thời
các dữ liêu tới các trạm mà nó dựa trên các dịch vụ của tâng thấp hơn để thực hiên điều
này. RTP cũng không đảm bảo viêc truyền các gói theo đúng thứ tự. Tuy nhiên, số thứ tự
trong RTP header cho phép bên thu xây dựng lại đúng thứ tự các gói của bên phát.
Giao thức RTP không tự cung cấp khả năng giám sát và điều khiển mà phải nhờ sự
hỗ trợ từ giao thức RCTP co chức năng giám sát và điều khiển chất lƣợng truyền tin.
RTP thƣờng kết hợp với giao thức tâng giao vận là UDP để tận dụng tính ƣu viêt về
thời gian của UDP. Qua tiến hành thỏa thuận phƣơng thức truyền thông, các bên tham
gia hội thoại mở 2 cổng UDP kề nhau, cổng chẵn cho truyền goi tin RTP, cổng lẻ cho
phép truyền thông tin giám sa t RTCP. Thông thƣờng hai cổng đƣợc chọn mặc định là
5004 và 5005. Sở dĩ UDP đƣợc sử dụng làm thủ tục truyền tải cho RTP bởi 2 lý do:
▪ Thứ nhất, RTP đƣợc thiết kế chủ yếu cho viêc truyền tin đa đối tƣợng, các
kết nối co định hƣớng, co báo nhận không đáp ứng tốt điều này.
▪ Thứ hai, đối với dữ liêu thời gian thực, độ tin cậy không quan trọng băng
truyền đúng theo thời gian. Hơn nữa, sự tin cậy trong TCP là do cơ chế báo
phát lại, không thích hợp cho RTP. Ví dụ khi mạng bị tắc nghẽn một số goi
co thể mất, chất lƣợng dịch vụ dù thấp nhƣng vẫn co thể chấp nhận đƣợc.
Nếu thực hiên viêc phát lại thì sẽ gây nên độ trê rất lớn dấn đến chất lƣợng
thấp và gây ra sự tắc nghẽn của mạng.
Một chức năng khác của RTP là xác định nguồn: Cho phép phía thu biết đƣợc dữ
Bảo mật trong VoIP
27
liêu đến từ đâu. Ví dụ trong hôi nghi nhiêu bên, từ thông tin nhận dạng nguồn một ngƣời
sử dụng có thể biết đƣợc ai đang nói.
RTP chỉ cung cấp các dịch vụ phổ thông nhất cho hâu hết các ứng dụng truyền
thông hội nghị đa phƣơng tiên. Mỗi một ứng dụng cụ thể đều có thể thêm vào RTP các
dịch vụ mới sao cho phù hợp với các yêu câu của nó. Các khả năng mở rộng này đƣợc
mô tả trong một profile đi kèm. Profile này còn chỉ ra các mã tƣơng ứng sử dụng trong
trƣờng PT (Payload Type) của phân tiêu đề RTP ứng với các loại tải trọng mang trong
gói.
Các dong phƣơng thức truyền thông RTP co thể mã hoa thành mật mã dùng các
khoa, viêc mã hoa đảm bảo cho viêc thông tin trên mạng đƣợc an toàn hơn.
RTP header co 2 phân, phân cố định và phân mở rộng, cấu trúc này tạo sự linh hoạt
cho ngƣời dùng khi sử dụng các ứng dụng khác nhau.
Phần cố định:
Hình 19. Khuôn dạng bản tin RTP header cô đinh
Version: Dài 2 bit. Cho biết phiên bản của RTP.
Padding: Dài 1 bit. Nếu bit này đƣợc đăt, sẽ co thêm một vài byte thêm vào cuối
goi dữ liêu. Các byte này không phải là thông tin, chúng đƣợc thêm vào nhăm
mục đích:
▪ Phục vụ cho một vài thuật toán mã hoa thông tin cân kích thƣớc goi cố định.
▪ Dùng để cách ly goi RTP trong trƣờng hợp co nhiều goi tin đƣợc mang trong
cùng một đơn vị dữ liêu của giao thức tâng dƣới.
Extention: Dài 1 bit. Nếu bit này đƣợc đặt thì goi tin RTP co thêm phân header
mở rộng.
Contributing Source Count: Dài 4 bit. Chỉ số lƣợng các thành phân nhận dạng
nguồn CSRC năm trong phân header goi tin. Số này lớn hơn 1 nếu các goi tin
đến từ nhiều nguồn.
Marker: Dài 1bit. Co vai tro thay đổi tùy theo từng trƣờng hợp cụ thể, đƣợc chỉ
ra trong profile đi kèm.
Bảo mật trong VoIP
28
Payload Type: Dài 7 bit. Chỉ ra loại tải tin mang trong gói tin. Các mã sử dụng
trong trƣờng này ứng với các loại tải trọng đƣợc quy định trong một profile đi
kèm.
Sequence Number: Dài 16 bit. Chỉ ra số thứ tự của gói RTP. Chỉ số này đƣợc sử
dụng để bên nhận phát hiên sự mất goi tin và giúp cho viêc khôi phục các goi
tin bị mất. Giá trị khởi đâu của trƣờng này là ngẫu nhiên.
Time stamp: Dài 32 bit. Chỉ ra thời điểm lấy mẫu của octet đâu tiên trong goi
RTP. Thời điểm này đƣợc lấy từ một đồng hồ tăng đều đặn và tuyến tính theo
thời gian để cho phép viêc đồng bộ và tính toán độ jitter. Tân số đồng hồ này
không cố định, tùy thuộc vào loại tải trọng. Giá trị khởi đâu đƣợc chọn ngẫu
nhiên. Một vài goi RTP co thể mang cùng một giá trị ―tem thời gian‖. Nếu gói
dữ liêu đƣợc phát ra đều đặn thì ―tem thời gian‖ đƣợc tăng một cách đều đặn.
Trong trƣờng hợp khác thì giá trị ―tem thời gian‖ tăng không đều. ―Tem thời
gian‖ tăng dân theo thời gian đối với mọi gói. Sau khi nhận đƣợc gói dữ liêu,
bên thu sử dụng các ―tem thời gian‖ này nhăm khôi phục thời gian gốc để chạy
các dữ liêu này với tốc độ thích hợp. Ngoài ra, nó còn đƣợc sử dụng để đồng bộ
các dòng dữ liêu khác nhau (chẳng hạn nhƣ giữa hình và tiếng). Tuy nhiên RTP
không thực hiên đồng bộ mà các ứng dụng phía trên sẽ thực hiên sự đồng bộ
này. ―Tem thời gian‖ là thành phân thông tin quan trọng nhất trong các ứng
dụng thời gian thực.
Synchronization Source Identifier: Dài 32 bit. Chỉ ra nguồn đồng bộ của gói
RTP, số này đƣợc chọn ngẫu nhiên. Trong môt phiên RTP có thể có nhiều hơn
một nguồn đồng bộ. Mỗi một nguồn phát ra một luồng các gói RTP. Bên thu
nhóm các gói của cùng một nguồn đồng bộ lại với nhau để phát lại tín hiêu thời
gian thực.
Contributing Source Identifier: Chiêu dài thay đổi từ 0 – 15 phân, mỗi phân 32
bit. Chỉ ra nhƣng nguồn đong gop thông tin vào phân tải trọng của goi RTP.
Giúp bên thu nhận biết đƣợc goi tin này mang thông tin của những nguồn nào.
Chức năng này rất cân thiết cho các cuộc thoại hội nghị.
Phần header mở rộng:
Co độ dài thay đổi. Sự tồn tại phụ thuộc vào bit Extension của phân cố định.
Bảo mật trong VoIP
29
Hình 20. Header RTP mở rộng
16 bit đâu tiên đƣợc sử dụng với mục đích riêng cho từng ứng dụng đƣợc định
nghĩa bởi profile đi kem. Thƣờng đƣợc dùng để phân biêt các loại header mở
rộng.
Length: Dài 16 bit. Giá trị chiều dài phân header mở rộng tính theo đơn vị 32
bit, không bao gồm 32 bit đâu tiên của phân header mở rộng.
Thực tế RTP đƣợc thực hiên chủ yếu trong các ứng dụng mà tại các mức ứng dụng
này, có các cơ chế khôi phục lại gói bị mất, điều khiển tắc nghẽn.
Mạng Internet hiên nay vân chƣa thể đáp ứng đƣợc đây đủ các yêu câu của các dịch
vụ thời gian thực. Các dịch vụ RTP yêu câu băng thông cao có thể làm giảm chất lƣợng
các dịch vụ khác trong mạng đến mức nghiêm trọng. Trong quá trình triển khai phải chú
ý đến giới hạn băng thông sử dụng của các ứng dụng trong mạng.
2.4.2. Giao thức RTCP [10]
Giao thức RTCP hỗ trợ cho RTP co chức năng điều khiển, kiểm soát bản tin RTP.
Giao thức RTCP dựa vào viêc truyền đê u đặn các goi điều khiển tới tất cả các ngƣời
tham gia vào phiên truyền. RTCP cũng sử dụng các dịch vụ của giao thức UDP qua một
cổng độc lập với RTP. Các dịch vụ mà RTCP cung cấp là:
Giám sát chất lƣợng và điều khiển tắc nghẽn: Đây là chức năng cơ bản của
RTCP. No cung cấp thông tin phản hồi tới một ứng dụng về chất lƣợng phân
phối dữ liêu. Thông tin điều khiển này rất hữu ích cho các bộ phát, bộ thu và
giám sát. Bộ phát co thể điều chỉnh cách thức truyền dữ liêu dựa trên các thông
báo phản hồi của bộ thu. Bộ thu co thể xác định đƣợc tắc nghẽn là cục bộ, từng
phân hay toàn bộ. Ngƣời quản trị mạng co thể đánh giá đƣợc hiêu suất mạng.
Xác định nguồn: Trong các goi RTP, các nguồn đƣợc xác định bởi các số ngẫu
nhiên co độ dài 32 bit, các số này không thuận tiên đối với ngƣời sử dụng. RTCP
cung cấp thông tin nhận dạng nguồn cụ thể hơn ở dạng văn bản. No co thể bao
gồm tên ngƣời sử dụng, số điên thoại, địa chỉ e-mail và các thông tin khác.
Đồng bộ môi trƣờng: Các thông báo của bộ phát RTCP chứa thông tin để xác
định thời gian và nhãn thời gian RTP tƣơng ứng. Chúng co thể đƣợc sử dụng để
Bảo mật trong VoIP
30
đồng bộ giữa âm thanh với hình ảnh.
Điều chỉnh thông tin điều khiển: Các goi RTCP đƣợc gửi theo chu kỳ giữa
những ngƣời tham gia. Khi số lƣợng ngƣời tham gia tăng lên, cân phải cân băng
giữa viêc nhận thông tin điều khiển mới nhất và hạn chế lƣu lƣợng điều khiển.
Để hỗ trợ một nhom ngƣời sử dụng lớn, RTCP phải cấm lƣu lƣợng điều khiển
rất lớn đến từ các tài nguyên khác của mạng. RTP chỉ cho phép tối đa 5% lƣu
lƣợng cho điều khiển toàn bộ lƣu lƣợng của phiên làm viêc. Điều này đƣợc
thực hiên băng cách điều chỉnh tốc độ phát của RTCP theo số lƣợng ngƣời tham
gia. Mỗi ngƣời tham gia một phiên truyền RTP phải gửi định kỳ các goi RTCP
đến tất cả những ngƣời khác cũng tham gia phiên truyền. Nhờ vậy mà co thể
theo dõi đƣợc số ngƣời tham gia.
Gói RTCP góp phân làm tăng tăc nghẽn mạng. Băng thông yêu câu bởi RTCP là
5% tổng số băng thông phân bổ cho phiên. Khoảng thời gian trung bình giữa các gói
RTCP đƣợc đặt tối thiểu là 5s.
Khuôn dạng gói tin RTCP
Hình 21. Khuôn dạng RTCP
Version: 2 bit. Chỉ phiên bản của giao thức RTCP, giá trị này giống phân verson
trong RTP.
Padding: 1bit. Khi bit đƣợc đặt phân cuối goi RTCP co thêm một số byte không
phải là thông tin điều khiển. Các byte này thêm vào làm mục đích khác.
Count: 5 bit. Giá trị từ 0 - 31, giá trị các khối trong goi RTCP.
Length: 16 bit. Chỉ ra chiều dài của goi RCTP bao gồm cả heaer và padding.
Đơn vị là một từ 32 bit.
Data: Chứa các bản tin điều khiển.
Type: 8 bit. Chỉ kiểu của bản tin điều khiển.
Bảo mật trong VoIP
31
Bảng 1. Các kiểu bản tin điều khiển
Type Mô tả
192 FIR, full INTRA-frame request.
193 NACK,negative acknowledgement.
200 SR (sender report), chứa các thông tin thống kê liên quan tới kết quả truyền
nhƣ tỷ lê tổn hao, số gói dữ liêu bị mất, khoảng trê.
201 RR (receiver report). Chứa các thông tin thống kê liên quan đến kết quả nhận.
202 SDES (source description). Thông số mô tả nguồn.
203 BYE (goodbye). Kết thúc tham gia vào phiên truyền.
204 APP (application defined). Cho phép truyền các dữ liêu ứng dụng
205 RTPFB (Generic RTP Feedback). Phản hồi RTP chung.
206 PSFB (Payload-specific). Chỉ loại tải đặc biêt.
207 XR (RTCP extension). RTCP mở rộng.
Kêt luân
Trong chƣơng nay đa nghiên cƣu mô hinh phân tâng cua VoIP tham chiêu đên mô
hình OSI. Vơi cac giao thƣc quan trong đong vai tro then chốt ở các lớp trong mô hình.
Bảo mật trong VoIP
32
Chƣơng 3. MẠNG VOIP VƠI CAC GIAO THƢC BAO HIÊU H.323/SIP
Trong chƣơng một của khoa luận đã đề cập đến một mô hình tổng quan về mạng
VoIP. Trên thực tế, từ khi dịch vụ mạng VoIP hình thành và phát triển các tổ chức quốc tế
và các nhà khai thác dich vụ mạng luôn tìm kiếm các công cụ khai thác mạng hiêu quả
nhât. Dựa trên các bộ giao thức báo hiêu khác nhau, mô hình mạng VoIP cũng thay đổi
theo với các chuẩn phù hợp với các giao thức đo. Trong chƣơng này của khoa luận sẽ
trình bày chi tiết về mô hình mạng với các chuẩn đƣợc ứng dụng.
3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5]
Khi đề cập đến thoại IP, tiêu chuẩn quốc tế thƣờng đề cập đến là H.323. Giao thức
H.323 đƣợc phát triển bởi ITU_T, H.323 cung cấp nền tảng kỹ thuật cho truyền thông đa
phƣơng tiên nhƣ: Audio thời gian thực, video và thông tin dữ liêu qua mạng chuyển
mạch goi, bao gồm internet.
H.323 phiên bản đâu tiên đƣợc ITU_T đƣa ra vào năm 1996. Trong quá trình phát
triển H.323 đã đƣợc nâng cấp và sửa đổi để ngày càng hoàn thiên. Các phiên bản muộn
hơn của H.323 đƣợc đƣa ra vào các năm: H.323 v1 năm 1998, H.323 v2 năm 1999,
H.323 v3 năm 2000, H.323 v4 năm 2003, H.323 v5 năm 2005, H.323 v6 năm 2006.
Đi kèm theo chuẩn H.323 là một chồng các giao bao gồm chức năng thiết lập, điều
khiển, quản lý thông tin đa phƣơng tiên và quản lý băng thông, ngoài ra con cung cấp các
giao diên giữa LAN và các mạng khác.
3.1.1. Thành phần mạng VoIP với chuẩn H.323
Hình 22. Mô hình mạng VoIP với chuẩn H.323
Bảo mật trong VoIP
33
Hình 22 chỉ ra các thành phân của một hê thống mang H .323. Bao gồm: Thiết bị
đâu cuối (terminal), gateway, gatekeepers, và đơn vị điều khiển đa điểm (MCU).
3.1.1.1. Terminals
Hình 23. Thiết bị đầu cuối H.323
Một đâu cuối H.323 phải co một đơn vị điều khiển hê thống (system control unit),
bộ phát đa phƣơng tiên (media transmission), bộ codec, một giao diên mạng. Các nhu
câu tùy chọn bao gồm bộ video codec và dữ liêu ứng dụng.
Những chức năng và khả năng bên trong phạm vi của thiết bị đâu cuối H.323 :
System Control Unit: Cung cấp chức năng điều khiển cuộc gọi RAS, H.225 và
H.245, khả năng trao đổi, nhắn tin, và tín hiêu lênh cho hoạt động tốt của thiết
bị đâu cuối.
Media Transmission: Định dạng các dữ liêu đƣợc truyền nhƣ: Audio, video,
dong điều khiển và các bản tin trên giao diên mạng. Media Transmission cũng
thu audio, video, dữ liêu, dong điều khiển và các bản tin từ giao diên mạng.
Audio Codec: Bô Mã hoa và giải mã các tín hiêu audio. Chức năng thực hiên bao
gồm mã hoa và giải mã tiếng noi theo chuân G.711 và chuyển đổi giữa luât µ và
luật a. Con hỗ trợ các luật mã hoa tùy chọn G.722, G.723.1, G.728, và G.729.
Network interface: Giao diên mạng cơ bản cung cấp khả năng kết nối end
-to-end và các giao thức TCP, UDP.
Video Code: Thành phân tùy chọn, nếu đƣợc hỗ trợ thì no co khả năng mã hóa
và giải mã các chuẩn video nhƣ: H.261, QCIF.
Data Channel: Hỗ trợ các ứng dụng giống nhƣ truy cập cơ sở dữ liêu, truyền
file, đƣợc đề cập trong T.120.
Bảo mật trong VoIP
34
3.1.1.2. Gateway
Gateway thực hiên viêc kết nối mạng VoIP-H.323 với các mạng khác ví dụ PSTN.
Cung cấp chuyển đổi giữa các dạng audio, video và dữ liêu cũng nhƣ các giao thức trong
quá trình thiết lập, duy tri và kết thúc cuộc gọi ở cả hai phía mang H.323 và SCN.
Thành phân Gateway sẽ không cân thiết nêu VoIP – H.323 không kết nối với một
mạng khác. Vì vậy các điểm đâu cuối chuân H.323 co thể liên lạc trực tiếp không thông
qua kết nối với một Gateway. Gateway hoạt động nhƣ một terminal hay MCU trên mạng
VoIP và nhƣ SCN terminal hay MCU trên mạng SCN.
Hình 24. Giao diện liên kết gateway
Có 3 loại gateway:
Singnalling Gateway (SG): Cung cấp chức năng báo hiêu giữa mạng IP và
mạng SCN. Là phân tử trung gian chuyển đổi báo hiêu trong mạng IP với báo
hiêu trong SCN.
Media Gateway (MG): Cung cấp phƣơng tiên để thực hiên chức năng chuyển
đổi mã hoa giữa mạng IP và mạng SCN.
Media Gateway Controler (MGC): Kết nối MG, SG và Gatekeeper. Xƣ lý cuộc
gọi cho Gatekeeper, điều khiển MG nhận thông tin báo hiêu từ SG và thông tin
báo hiêu IP từ Gatekeeper.
3.1.1.3. Gatekeeper
Gatekeeper là một thành phân tùy chọn trong mạng, nếu Gatekeeper tồn tại trong
mạng thì no cung cấp chức năng quản lý viêc đăng ký, chấp nhận, lƣu giữ trạng thái của
các đâu cuối cũng nhƣ Gateway. No tham gia vào viêc quản lý vùng, xử lý, báo hiêu
cuộc gọi.
Khi Gatekeeper co mặt trong mạng thì chức năng của no đƣợc chia thành hai
nhóm: nhóm chức năng băt buôc và nhom chức năng không bắt buộc.
Bảo mật trong VoIP
35
Chức năng bắt buộc của Gatekeeper:
Chức năng dịch địa chỉ: Gatekeeper sẽ thực hiên viêc chuyển đổi từ một địa chỉ
hình thức (dạng tên gọi) của các thiết bị đâu cuối và gateway sang địa chỉ
truyền dẫn thực trong mạng (địa chỉ IP). Chuyển đổi này dựa trên bảng đối
chiếu địa chỉ đƣợc cập nhật thƣờng xuyên băng bản tin đăng ký dịch vụ của các
đâu cuối. Cụ thể là: Chuyển đổi từ địa chỉ E.164 (số) sang tên gọi H.323 và
ngƣợc lại. Chuyển đổi từ tên gọi H.323 sang địa chỉ IP để truyền hoặc nhận các
bản tin H.225.
Điều khiển truy cập: Gatekeeper cho phép một truy cập mạng LAN băng cách
sử dụng các bản tin RAS (ARQ/ACF/ARJ). Viêc điều khiển này dựa trên sự
cho phép cuộc gọi, băng thông hoặc các thông số khác do nhà sản xuất quy
định.
Điều khiển băng thông:Quản lý băng thông cung cấp cho điểm cuối và đảm bảo
băng thông duy trì cuộc gọi băng cách sử dụng bản tin RAS (BRQ /BCF /BRJ).
Quản lý miền mạng: Một miền là một nhóm các đâu cuối H.323, các Gateway,
MCU đƣợc quản lý bởi một Gatekeeper. Trong một miền có tối thiểu một đâu
cuối H.323, mỗi miền chỉ có duy nhất một Gatekeeper. Một miền hoàn toàn có
thể độc lập với cấu trúc mạng, bao gồm nhiều mạng đƣợc kết nối với nhau.
Thông qua các chức năng: Dịch địa chỉ, điều khiển truy cập, điều khiển độ rộng
băng tân, Gatekeeper cung cấp khả năng quản lý miền.
Chức năng không bắt buộc của Gatekeeper:
Điều khiển báo hiêu cuộc gọi: Gatekeeper co thể lựa chọn giữa hai phƣơng
thức điều khiển để báo hiêu cuộc gọi. Một là kết hợp với kênh báo hiêu trực tiếp
giữa các đâu cuối để hoàn thành báo hiêu cuộc gọi. Hai là sử dụng các kênh báo
hiêu của no để xử lý báo hiêu cuộc gọi, theo phƣơng thức này thì Gatekeeper sẽ
không phải giám sát báo hiêu trên kênh H.225.
Hạn chế truy cập: Gatekeeper sử dụng kênh báo hiêu RAS để từ chối một cuộc
gọi của một thiết bị đâu cuối khi nhận thấy co lỗi trong viêc đăng ký.
Quản lý băng thông: Gatekeeper có thể từ chối một yêu câu kết nối của một đâu
cuối khi no nhận thấy không đủ băng thông.
Quản lý cuộc gọi: Một ví dụ cụ thể về chức năng này của Gatekeeper là nó lƣu
danh sách tất cả các cuộc gọi H.323 hƣớng đi đang thực hiên để chỉ thị các thuê
bao bị gọi nào đang bận và cung cấp thông tin cho chức năng quản lý độ rộng
băng thông.
Bảo mật trong VoIP
36
3.1.1.4. Đơn vi điêu khiên đa điêm ( MCU )
MCU là một điểm cuối trong mạng, nó cung cấp khả năng điều khiển và quản lý
nhiều thiết bị đâu cuối cùng tham gia vào một liên kết đa điểm (multipoint conference),
với vai trò của ngƣời chủ tọa. MCU bao gồm một MC (Multipoimt Controller) bắt buộc
phải có và một MP (Multipoint Processor) có thể có hoặc không. MC và MP là các thành
phân của MCU nhƣng có thể chúng không tồn tại trong một thiết bị độc lập mà đƣợc
phân tán trong các thiết bị khác.
Multipoint control (MC): Hỗ trợ cuộc đàm thoại giữa ba hoặc nhiều hơn các
điểm đâu cuối trong một cuộc hội thoại đa điểm. Nhiêm vụ của MC là điều tiết
khả năng audio, video, data giữa các thiết bị đâu cuối theo giao thức H.245.
Chức năng MC co thể tồn tại trong terminal, Gateway, Gatekeeper hoặc MCU.
Multipoint processor (MP): Chức năng thu audio, video hay dong dữ liêu rồi
phân phối cho các thành phân trong cuộc đàm thoại.
3.1.1.5. H.323 Proxy Server
H.323 Proxy server hoạt động trên lớp ứng dụng. Proxy server co thể do tìm đích
của cuộc gọi và thực thi kết nối nếu no đƣợc yêu câu. Proxy hỗ trợ các chức năng sau:
Cung cấp dịch vụ đảm bảo QoS cho các đâu cuối băng cách sử dụng giao thức
RSVP.
Hỗ trợ khả năng định tuyến cho dong lƣu lƣợng H.323 từ luồng dữ liêu bình
thƣờng qua ứng dụng định tuyến đặc biêt.
Một Proxy server co khả năng chuyển đổi địa chỉ mạng, cho phép nút H.323
triển khai trong mạng với địa chỉ riêng của mình.
Proxy co thể đƣợc triển khai cùng với firewall nhăm cung cấp tính bảo mật cho
cuộc gọi H.323.
3.1.2. Chồng giao thức H.323
Hình 25. Kiến trúc phân tầng của H.323
Bảo mật trong VoIP
37
Chồng giao thức H.323 dựa trên một vài giao thức đƣợc biểu diên trên hình 25.
Các giao thức báo hiêu và điều khiển gồm: RAS, H.225, H.245.
3.1.2.1. RAS signaling
RAS cung cấp điều khiển trƣớc cuộc gọi trong mạng H.323 co tồn tại Gatekeeper
và một vùng dịch vụ (do Gatekeeper đo quản lý). RAS đƣợc thiết lập giữa các thiết bị
đâu cuối và Gatekeeper qua mạng IP. Kênh RAS đƣợc mở trƣớc khi các kênh khác đƣợc
thiết lập và độc lập với các kênh điều khiển cuộc gọi và media khác. Báo hiêu RAS đƣợc
xem là ít tin cậy vì no đƣợc truyền trên UDP. Bởi vì các bản tin RAS đƣợc truyền trên
kênh không tin cậy nên chúng phải đƣợc đặt một khoảng thời gian timeout và số lân phát
lại khi không nhận đƣợc hồi âm. Một điểm cuối hoặc Gatekeeper không thể đáp ứng lại
một yêu câu trong thời gian timeout thì nó phải trả lại băng bản tin RIP (Request in
Progress) để cho biết nó đang xử lý yêu câu. Khi nhận đƣợc bản tin RIP, thời gian
timeout và số lân phát lại đƣợc khởi động lại. RAS thực hiên một số chức năng: Tìm
kiếm Gatekeeper, đăng ký, định vị điểm cuối, admissions và các chức năng khác.
Hình 26. Các bản tin RAS
Bảo mật trong VoIP
38
Tìm kiếm Gatekeeper
Tìm kiếm Gatekeeper co thể đƣợc thực hiên thủ công hoặc tự động, mà một thiết bị
đâu cuối tìm kiếm Gatekeeper để no thực hiên đăng ký. Trong quá trình thủ công, điểm
cuối đƣợc cấu hình cùng địa chỉ IP của Gatekeeper, và vì vậy no sẽ đăng ký trực tiếp.
Nhƣng chỉ với một Gatekeeper định trƣớc. Trong phƣơng thức tự động cho phép một
điểm cuối không nhất thiết biết trƣớc Gatekeeper của no, no tìm kiếm Gatekeeper của no
thông qua bản tin multicast. Địa chỉ multicast tìm kiếm Gatekeeper là 224.0.1.41, với
trên cổng UDP 1718. Trong tìm kiếm tự động một đâu cuối sẽ gửi bản tin multicast
Gatekeeper Request (GRQ). Gatekeeper chấp nhận sẽ gửi bản tin Gatekeeper Confirm
(GCF) và không chấp nhận sẽ gửi bản tin Gatekeeeper Reject (GRJ).
Hình 27. Tìm kiếm Gatekeeper
Đăng ký với Gatekeeper
Đăng ký cho phép các Gateway, các điểm cuối và MCU tham gia vào một miền
dịch vụ do Gatekeeper quản lý và thông tin tới Gatekeeper địa chỉ IP và địa chỉ bí danh
của no. Tiến trình này thực hiên sau khi tiến trình tìm kiếm Gatekeeper thành công. Các
bản tin RAS dƣới đây đƣợc dùng để tiến hành đăng ký và hủy đăng ký :
Registration Request (RRQ): Gửi từ một điểm cuối tới địa chỉ kênh RAS của
Gatekeeper. Địa chỉ này đƣợc xác định trong quá trình tìm Gatekeeper.
Registration Confirm (RCF): Gửi từ Gatekeeper để xác nhận cho phép một
điểm cuối đƣợc đăng ký.
Registration Reject (RRJ): Gửi từ một điểm cuối hoặc Gatekeeper không chấp
nhận đăng ký.
Unregister Request (URQ): Gửi từ một điểm cuối hoặc Gatekeeper để hủy bỏ
đăng ký đã tồn tại.
Bảo mật trong VoIP
39
Unregister Confirm (UCF): Gửi từ một điểm cuối hoặc Gatekeeper chấp nhận
hủy bỏ đăng ký.
Unregister Reject (URJ): Chỉ thị răng điểm cuối chƣa đƣợc đăng ký.
Các thủ tục đƣợc minh họa ở hình 28.
Hình 28. Điểm cuối đăng ký, điểm cuối và Gatekeeper hủy đăng ký
Định vị điểm cuối
Các điểm cuối và Gatekeeper sử dụng endpoint Location để co đƣợc những thông
tin khác khi chỉ co thông tin bí danh đƣợc chỉ ra. Bản tin định vị đƣợc gửi tới địa chỉ
kênh RAS của Gatekeeper hoặc gửi quảng bá tới địa chỉ multicast tìm kiếm Gatekeeper.
Các điển cuối và Gatekeeper co thể chứa một hoặc nhiều địa chỉ E.164 bên ngoài miền
dịch vụ theo yêu câu. Co thể sử dụng ba bản tin sau để xác định vị trí điểm cuối:
Location Request (LRQ): Gửi bởi điểm cuối hay Gatekeeper để đạt đƣợc thông
tin cho một hay nhiều địa chỉ dạng E.164.
Location confirm (LCF): Gửi bởi Gatekeeper và chứa địa chỉ kênh báo hiêu
cuộc gọi hoặc địa chỉ kênh RAS của chính no hay điểm cuối đƣợc yêu câu.
Location Reject (LRJ): Gửi bởi Gatekeeper, để thông báo từ chối yêu câu của
LRQ khi yêu câu của điểm cuối là không đăng ký hoặc tài nguyên không co
sẵn.
Bảo mật trong VoIP
40
Admission
Bản tin admission giữa các điểm cuối và Gatekeeper cung cấp cơ sở cho điều khiển
thiết lập cuộc gọi và băng thông. Gatekeepr cho phép truy cập vào mạng H.323 băng
cách xác nhận hay từ chối một yêu câu admission. Một yêu câu admission bao gồm các
băng thông yêu câu, mà Gatekeeper co thể rút gọn sự xác nhận. Các bản tin nhƣ sau:
Admission Request (ARQ): Gửi bởi điểm cuối để thiết lập cuộc gọi
Admission Confirm (ACF): Cho phép thiết lập cuộc gọi. Bản tin này co chứa
địa chỉ IP của thiết bị đƣợc gọi hay gatekeeper và cho phép gatekeeper nguồn
thiết lập cuộc gọi.
Admission Reject (ARJ): Không cho phép điểm cuối thiết lập cuộc gọi
Thông tin trạng thái
Gatekeeper co thể sử dụng kênh RAS để co đƣợc thông tin trạng thái từ một điểm
cuối. Ta co thể sử dụng thông tin này để theo dõi trạng thái online hay offline của điểm
cuối trong tình trạng mạng bị lỗi. Chu kỳ của bản tin thăm do trạng thái là 10 giây. Trong
suốt cuộc gọi, Gatekeeper cũng co thể yêu câu điểm cuối gửi định kỳ thông tin trạng thái.
Ba bản tin sau đây co thể cung cấp thông tin trạng thái trên kênh RAS:
Information Request (IRQ): Đƣợc gửi từ Gatekeeper tới điểm cuối yêu câu
cung cấp thông tin trạng thái.
Information Request Response (IRR): Đƣợc gửi từ điểm cuối tới Gatekeeper
trả lời cho bản tin IRQ. Bản tin này cũng đƣợc gửi theo chu kỳ.
Status Enpuiry Sent: Điểm cuối hoặc Gatekeeper co thể gửi bản tin này tới
điểm cuối khác để xác thực trạng thái cuộc gọi.
Điều khiển băng thông
Các điểm cuối sử dụng các bản tin RAS để yêu câu thay đổi băng thông trong suốt
quá trình cuộc gọi. Các bản tin điều khiển băng thông nhƣ sau:
Bandwidth Request (BRQ): Đƣợc gửi bởi điểm cuối tới Gatekeeper để yêu câu
tăng hoặc giảm băng thông cho cuộc gọi.
Bandwidth Confirm (BCF): Đƣợc gửi bởi Gatekeeper trả lời chấp nhận viêc
yêu câu thay đổi băng thông.
Bandwidth Reject (BRJ): Đƣợc gửi bởi Gatekeeper trả lời từ chối yêu câu thay
đổi băng thông (gửi đi, nếu băng thông yêu câu hiên không co sẵn).
Kết thúc cuộc gọi
Trƣớc khi kết thúc cuộc gọi, thiết bị đâu cuối dừng hết mọi kết nối và đong các
Bảo mật trong VoIP
41
kênh logic la i. Sau đo no sẽ ngắt phiên H.245 và gửi tín hiêu RLC trên kênh báo hiêu
cuộc gọi. Nếu không có Gatekeeper thì cuộc gọi sẽ đƣợc hủy, con nếu co Gatekeeper thì
những bản tin sau sẽ đƣợc sử dụng truyền trên kênh RAS để kết thúc cuộc gọi:
Disengage Request (DRQ): Gửi bởi thiêt bi đâu cuối hoặc Gatekeeper để yêu
câu kết thúc cuộc gọi.
Disengage Confirm (DCF): Gửi bởi thiêt bi đâu cuối hoặc Gatekeeper để chấp
nhận kết thúc cuộc gọi.
Disengage Reject (DRJ): Gửi bơi thiêt bi đâu cuối hoặc Gatekeeper thông báo
không chấp nhận kết thúc cuộc gọi.
3.1.2.2. Giao thức điều khiển báo hiệu cuộc gọi (H.225)
Giao thức H.225 dùng để thiết lập liên kêt giữa các điểm cuối H.323, thông qua
liên kết đo các dữ liêu thời gian thực sẽ đƣợc truyền đi.
Quá trình báo hiêu cuộc gọi đƣợc bắt đâu bởi bản tin Setup đƣợc gửi đi trên kênh
báo hiêu H.225. Theo sau bản tin này là một chuỗi các bản tin phục vụ cho quá trình thiết
lập cuộc gọi. H.225 sử dụng các bản tin báo hiêu Q.931. Một kênh điều khiển cuộc gọi
tin cậy đƣợc thiết lập dựa trên giao thức TCP/IP tại cổng 1720. Đây là cổng khởi tạo bản
tin điều khiển cuộc gọi Q.931 giữa hai điểm cuối với mục đích kết nối, bảo trì và ngắt kết
nối cuộc gọi.
Các bản tin Q.931 và Q.932 thƣờng đƣợc sử dụng trong báo hiêu cuộc gọi VoIP:
Setup: Đƣợc gửi từ thực thể H.323 chủ gọi để cố gắng thiết lập kết nối tới thực
thể H.323 bị gọi qua cổng 1720 TCP/IP.
Call Proceeding: Thực thể bị gọi gửi bản tin này tới thực thể chủ gọi để thông
báo răng thủ tục thiết lập đã đƣợc khởi tạo.
Alerting: Gửi từ thực thể bị gọi, thông báo chuông bên bị gọi bắt đâu rung.
Connect: Đƣợc gửi từ thực thể bị gọi thông báo đã trả lời cuộc gọi. Bản tin
connect co thể chứa địa chỉ truyền vận UDP/IP cho tín hiêu điều khiển H.245.
Release Complete: Đƣợc gửi bởi điểm cuối để khởi tạo ngắt kết nối, bản tin chỉ
thị cuộc gọi đang đƣợc giải phong. Bản tin này chỉ co thể gửi đi nếu kênh báo
hiêu cuộc gọi đƣợc mở hoặc đang hoạt động.
Facility: Đây là một bản tin Q.932 dùng để yêu câu hoặc phúc đáp các dịch vụ
bổ sung. No cũng đƣợc dùng để cảnh báo răng một cuộc gọi sẽ đƣợc định tuyến
trực tiếp hay thông qua Gatekeeper.
Bảo mật trong VoIP
42
Các bản tin trong quá trình thiết lập cuộc gọi
Hình 29. Báo hiệu thiết lập cuộc gọi
Các kênh báo hiêu cuộc gọi đƣợc định tuyến theo một trong hai phƣơng thức:
Gatekeeper định tuyến báo hiêu cuộc gọi và báo hiêu cuộc gọi trực tiếp giữa hai điểm
cuối.
Thứ nhất là các bản tin báo hiêu cuộc gọi giữa hai điểm cuối đƣợc định tuyến
thông qua gatekeeper (hình 30).
Thứ hai là các bản tin báo hiêu cuộc gọi đƣợc gửi trực tiếp giữa hai điểm cuối
(hình 31).
Hình 30. Gatekeeper định tuyến báo hiệu cuộc gọi giữa hai điểm cuối
Bảo mật trong VoIP
43
Hình 31. Báo hiệu cuộc gọi trực tiếp giữa hai điểm cuối
Cả hai phƣơng thức này đều sử dụng các kết nối giống nhau với cùng mục đích,
dạng bản tin đƣợc sử dụng cũng giống nhau, các bản tin thiết lập báo hiêu đƣợc trao đổi
trên kênh RAS của Gatekeeper, sau đo tới trao đổi bản tin báo hiêu cuộc gọi trên kênh
báo hiêu cuộc gọi. Tiêp theo thiết lập kênh điều khiển H.245.
Trong phƣơng thức Gatekeeper định tuyến các bản tin thì Gatekeeper có thể đong
kênh báo hiêu cuộc gọi khi viêc thiết lập cuộc gọi hoàn thành hoặc vẫn duy trì kênh này
để hỗ trợ các dịch vụ bổ sung. Chỉ có Gatekeeper mới có thể đong kênh báo hiêu cuộc
gọi, nhƣng khi Gateway tham gia vào cuộc gọi thì các kênh này không đƣợc phép đong.
3.1.2.3. Giao thức điều khiển cuộc gọi H.245
Giao thức điều khiển H.245 dùng để thực hiên viêc giám sát các hoạt động của các
thực thể H.323. Chức năng H.245 là thiết lập các kênh logic cho viêc truyền audio, video,
data và thông tin kênh điều khiển. Giữa hai điểm cuối đƣợc thiết lập một kênh H.245 cho
một cuộc gọi. Kênh điều khiển tin cậy đƣợc tạo trên nền IP với cổng TCP đƣợc cấp phát
động. H.245 co khả năng giám sát các hoạt động của các thực thể H.323 bao gồm: Trao
đổi khả năng của các đâu cuối, đong mở các kênh logic, điều khiển luông, quyết định
chủ tơ và chỉ thị khác.
Trao đổi khả năng: Bao gồm các bản tin đảm bảo trao đổi khả năng giữa hai
điểm cuối. Bản tin chỉ khả năng truyền và khả năng nhận của thiết bị đâu cuối
về audio, video, data tới một phân của thiết bị đâu cuối. Với audio, trao đổi khả
năng bao gồm chuyển mã tiếng giống nhƣ: G.729, G.728, G.711, G.723, G.722.
Thƣơng lƣợng chủ tớ: Thủ tục này đƣợc sử dụng để xác định chủ, tớ trong một
cuộc gọi. Quan hê này đƣợc tồn tại trong suốt cuộc gọi và đƣợc sử dụng để giải
quyết xung đột giữa các điểm cuối. Luật chủ tớ cũng đƣợc sử dụng khi cả hai
điểm cuối co yêu câu giống nhau tại cùng một thời gian.
Bảo mật trong VoIP
44
Round-Trip Delay: Xác định thời gian trê giữa phía phát và phía thu. Dựa vào
thông số này để xác định trạng thái hoạt động của kết nối.
Báo hiêu trên kênh logic: Để thực hiên viêc mở và đong các kênh logic (nó
mang audio, video và thông tin dữ liêu). Các kênh này đƣợc thiết lập trƣớc khi
thông tin đƣợc truyền trên đo. Báo hiêu này co thể thiết lập kênh đơn hƣớng
hoặc song hƣớng. Sau khi kênh logic thiết lập thành công, cổng UDP cho kênh
truyền thông RTP đƣợc mở từ phía nhận tới phía phát. Khi sử dụng định tuyến
qua Gatekeeper thì Gatekeeper sẽ chuyển hƣớng luồng RTP băng cách cung
cấp địa chỉ UDP/IP thực của thiết bị đâu cuối. Luồng RTP sẽ truyền trực tiếp
giữa hai thiết bị đâu cuối với nhau.
Nếu trong mạng co sự tồn tại của Gatekeeper thì viêc định tuyến kênh H.245 sẽ
thực hiên theo hai cách: Thông qua Gatekeeper hoặc kênh điều khiển H.245 đƣợc thiết
lập trực tiếp giữa hai điểm cuối. Tùy chọn này phụ thuộc vào Gatekeeper.
Hình 29. Kênh H.245 được thiết lập thông qua Gatekeeper
Hình 30. Kênh H.245 được thiết lập trực tiếp
Bảo mật trong VoIP
45
3.1.3. Các thủ tục báo hiệu va xử lý cuộc gọi VoIP-H.323
Cuộc gọi trong H.323 đƣợc chia thành 5 giai đoạn:
Giai đoạn 1: Thiết lập cuộc gọi giữa hai điêm cuối. Trong cuộc gọi VoIP thiết
lập cuộc gọi đƣợc thực hiên theo hai cách: Thiết lập trực tiếp giữa các điểm
cuối hoặc thiết lập cuộc gọi thông qua Gatekeeper. Thiết lập cuộc gọi co thể
phân ra các trƣờng hợp sau:
Báo hiêu trực tiếp giữa hai điểm cuối, trong mạng không tồn tại Gatekeeper.
Cả hai điểm cuối đều đăng ký với một Gatekeeper.
Chỉ co điểm cuối chủ gọi đăng ký với Gatekeeper.
Hai điểm cuối đăng ký với hai Gatekeeper.
Thiết lập cuộc gọi thông qua Gateway.
Giai đoạn 2: Thiết lập kênh điều khiển và trao đổi khả năng. Các điểm cuối
thiết lập kênh điều khiển H.245. Bản tin đâu tiên đƣợc trao đổi giữa các điểm
cuối là TerminalCapabilitySet để các bên thông báo cho nhau khả năng làm
viêc của mình. Mỗi một điểm cuối đều co đặc tính riêng noi lên khả năng về chế
độ mã hoa, truyền, nhận và giải mã các tín hiêu đa dịch vụ. Kênh điều khiển co
thể do bên thuê bao bị gọi thiết lập sau khi no nhận đƣợc bản tin Set-up hoặc do
thuê bao chủ gọi thiết lập khi no nhận đƣợc bản tin Alerting hoặc Call-
-Proceeding. Trong trƣờng hợp không nhận đƣợc bản tin Connect hoặc điểm
cuối gửi Release Complete, thì kênh điều khiển H.245 sẽ đƣợc giải phong.
Giai đoạn 3: Thiết lập kênh thông tin truyền thông tín hiêu audio, video, data.
Sau khi thực hiên xong giai đoạn 2 và các kênh logic đã đƣợc mở để truyền tín
hiêu băng giao thức RTP và RTCP.
Giai đoạn 4: Dịch vụ cuộc gọi. Ở giai đoạn này cuộc gọi co thể thực hiên một số
dịch vụ nhƣ: Thay đổi băng thông, giám sát trạng thái hoạt động, hội nghị đặc
biêt và các dịch vụ bổ sung.
Giai đoạn 5: Kết thúc cuộc gọi. Khi một điêm cuối muốn kết thúc một cuộc gọi
no thực hiên nhƣ sau:
Dừng truyền các tín hiêu audio, video, dữ liêu sau đo đong tất cả các kênh
logic phục vụ cho cuộc gọi.
Truyền bản tin H.245 EndSessionComand trên kênh điều khiển H.245 để
báo cho thuê bao đâu kia biết no muốn kết thúc cuộc gọi. Sau đo no dừng
truyền các bản tin H.245 và đong kênh điều khiển H.245.
Chờ nhận bản tin EndSessionCommand từ phía đâu kia và đong kênh H.245.
Nếu kênh báo hiêu cuộc gọi đang mở thì no sẽ truyền đi bản tin
Bảo mật trong VoIP
46
Release -Comlete sau đo đong kênh báo hiêu.
Trong cuộc gọi không co sự tham gia của Gatekeeper thì điểm cuối chỉ cân thực
hiên các thủ tu c nhƣ trên là xong. Nhƣng nếu trong cuộc gọi co sự tham gia của
Gatekeeper thì ngoài thực hiên các thủ tục trên điểm cuối con phải thực hiên các hoạt
động giải phong băng tân với Gatekeeper thông qua bản tin RAS (DRQ /DCF).
Các giai đoạn của một cuộc gọi trong từng trƣờng hợp cụ thể co thể khác nhau.
Dƣới đây là một số cuộc gọi thƣờng xảy ra trong mạng VoIP-H.323.
3.1.3.1. Cuộc gọi không có sự tham gia của Gatekeeper
Đây là cuộc gọi đơn giản, các thủ tục đƣợc thực hiên trực tiếp giữa hai điểm cuối
H.323. Do không co mặt Gatekeeper nên để thực hiên kết nối trực tiếp các đâu cuối phải
biết chích xác địa chỉ của phía bị gọi mà không phải là bí danh.
Trên hình biểu diên các bƣớc thiêt lâp cuộc gọi.
Hình 31. Thiết lập cuộc gọi không có mặt Gatekeeper
1. Phía gọi sẽ khởi tạo một phiên H.225. Mở một kết nối TCP trên cổng 1720 cho
các bản tin Q.931.
2. Thủ tục Setup dựa trên bản tin Q.931 tạo một kênh báo hiêu cuộc gọi giữa hai
điểm cuối. Bản tin Setup đƣợc bên gọi gửi đến điêm cuối bị gọi.
3. Điểm cuối mở kênh điều khiển H.245. H.245 cung cấp chức năng đàm phán
khả năng và thay đổi các kênh logic.
4. Các kênh logic đƣơc mở phục vụ cho một phiên RTP.
5. Khi các kênh logic đã đƣợc mở. Các điểm đâu cuối sẽ truyền thông tin của mình
qua các kênh logic này.
Bảo mật trong VoIP
47
6. Khi một đâu cuối co nhu câu chấm dứt cuộc gọi no sẽ gửi bản tin End Session
-Command đến đâu cuối kia. Và chờ nhận đƣợc phản hồi từ đâu cuối kia. Sau
khi nhận đƣợc phản hồi no sẽ gửi bản tin Release Complete để hoàn thành kết
thúc cuộc gọi.
3.1.3.2. Cuộc gọi giữa hai điểm đầu cuối đăng ký chung một Gatekeeper
3.1.3.2.1. Định tuyến các kênh báo hiệu va điêu khiển không thông qua gatekeeper
Trong cuộc gọi loại này mặc dù co tồn tại Gatekeeper, các điểm đâu cuối vẫn phải
thực hiên đây đủ các thủ tục tìm kiếm, đăng ký với gatekeeper thông qua kênh báo hiêu
RAS, nhƣng khi định tuyến các kênh báo hiêu H.255 và kênh điều khiển cuộc gọi H.245
thì các điêm cuối thực hiên trực tiếp với nhau.
Một ví dụ về cuộc gọi cho trƣờng hợp này đƣợc biểu diên ở hình 32.
Ban đâu điểm đâu cuối gọi sẽ thực hiên khởi tạo các bản tin admission để thông
báo cho Gatekeerper về cuộc gọi. Các bản tin Admission (ARQ/ACF) đƣợc gửi thông
qua kênh RAS. Sau khi nhận đƣợc trả lời ACF từ Gatekeeper, (trong bản tin ACF co địa
chỉ kênh báo hiêu) phía chu gọi căn cứ vào địa chỉ này gửi bản tin setup tới phía bị gọi.
Nếu chấp nhận cuộc gọi, phía bị gọi sẽ thực hiên thông báo cho Gatekeeper của no thông
qua bản tin RAS. Gatekeeper cũng cung cấp cho phía bị gọi địa chỉ kênh báo hiêu, sau
đo phía bị gọi gửi bản tin Alerting và bản tin Connect tới chủ gọi, thông báo hoàn thành
thiết lập cuộc gọi. Bƣớc tiếp theo các đâu cuối sẽ mở kênh điều khiển H.245. Các bản tin
H.245 sẽ đƣợc gửi và xác nhận bởi hai đâu cuối để thực hiên một số chức năng điều
khiển nhƣ: Thƣơng lƣợng chủ tớ, trao đổi khả năng, mở kênh logic. Lúc này các kênh
logic phục vụ cho truyền dữ liêu cuộc gọi đã đƣợc mở, hai bên đâu cuối bắt đâu truyền
các thông tin của ngƣời dùng. Trong suốt quá trình của cuộc gọi kênh điều khiển H.245
vẫn tồn tại, no thực hiên giám sát và cung cấp các dịch vụ mà đâu cuối yêu câu. Khi một
đâu cuối co nhu câu chấm dứt cuộc gọi, no sẽ gửi bản tin End SessionCommand đến đâu
cuối kia và đợi nhận trả lời từ đâu cuối kia, sau đo no sẽ gửi tiếp bản tin Release
-Complete và đong các kênh điều khiển để hoàn tất cuộc gọi. Trong cuộc gọi co mặt của
Gatekeeper, vì vậy để hoàn tất kết thúc cuộc gọi thì các điểm đâu cuối và G atekeeper
phải thực hiên quá trình giải phong băng thông qua cặp bản tin (DRQ/DCF).
Bảo mật trong VoIP
48
Hình 32. Cuộc gọi có mặt của Gatekeeper nhưng không tham gia định tuyến
3.1.3.2.2. Định tuyến các kênh báo hiệu thông qua Gatekeeper
Trong cuộc gọi này các bƣớc thực hiên tƣơng tự nhƣ cuộc gọi ở phân trên nhƣng ở
cuộc gọi này mọi thông tin báo hiêu đều phải thông qua Gatekeeper. Ban đâu, đâu cuối
gọi sẽ thực hiên thông báo với Gatekeeper thông qua kênh RAS băng bản tin (ARQ
-/ACF). Khi nhận đƣợc ACF co chứa địa chỉ kênh báo hiêu của Gatekeeper, phía chủ gọi
sẽ căn cứ vào địa chỉ này gửi bản tin Setup tới Gatekeeper. Sau đo Gatekeeper sẽ gửi
Setup tới phía bị gọi. Nếu phía bị gọi chấp nhận cuộc gọi, no sẽ trao đổi ARQ/ACF với
Gatekeeper. Nếu nhận đƣợc ARJ thì phía bị gọi sẽ gửi bản tin Release Complete tới
Gatekeeper. Tiếp theo đâu cuôi bị gọi sẽ gửi các bản tin Alerting và bản tin Connect tới
chủ gọi thông qua gatekeeper để báo hiêu hoàn thành thiết lâp cuộc gọi. Sau khi cuôc goi
đƣơc thiêt lâp, các bƣớc thiết lập kênh điều khiển cũng nhƣ duy trì và kết thúc cuộc gọi
tƣơng tự nhƣ cuộc gọi phân tích ở phân trên.
Bảo mật trong VoIP
49
Hình 33. Báo hiệu cuộc gọi được định tuyến thông qua một gatekeeper
3.1.3.3. Cuộc gọi của hai đầu cuối ở hai miên mang khac nhau
Trên thực tế hê thống mạng VoIP-H.323 đƣợc phát triển với nhiều khu vực, mỗi
khu vực đƣợc gọi là các miên (zone), mỗi miên co một Gatekeeper kiểm soát các điểm
cuối. Nhƣ vậy cuộc gọi giữa các đâu cuối thuộc hai vùng khác nhau sẽ thiết lập các kênh
báo hiêu thông qua hai Gatekeeper mà no đăng ký.
Hình 34. Mạng VoIP – H.323 với nhiều vùng dịch vụ
Bảo mật trong VoIP
50
Hình 35. Thiêt lâp cuộc gọi giữa hai điểm cuối thuộc hai vùng dịch vụ
Trong trƣờng hợp này ban đâu cuộc gọi đƣợc khởi tạo và kênh báo hiêu chỉ đƣợc
định tuyến bởi Gatekeeper 1, nhƣng Gatekeeper 2 muốn sử dụng Gatekeeper định tuyến
kênh báo hiêu nên nó gửi địa chỉ kênh báo hiêu cuộc gọi của no trong bản tin ARJ(7).
Điểm cuối bị gọi gửi bản tin Facility(8) tới Gatekeeper 1 để yêu câu setup lại cuộc gọi.
Gatekeeper 1 gửi lại bản tin setup (10) tới Gatekeeper 2. Gatekeeper 2 gửi bản tin setup
(11) tới điểm cuối 2. Điểm cuối 2 gửi khởi tạo ARQ /ACF cùng Gatekeeper 2. Điểm
cuối 2 sẽ gửi tiếp bản tin Connect (15) chứa địa chỉ kênh điều khiển H.245 của no tới
Gatekeeper 2. Gatekeeper 2 gửi bản tin Connect (16) tới Gatekeeper 1 chứa địa chỉ kênh
H.245 của điểm cuối 2 hoặc địa chỉ kênh H.245 của chính no tùy thuộc vào chọn chế độ
định tuyến kênh H.245. Gatekeeper 1 sẽ gửi bản tin Connect (17) tới điểm cuối 1. Sau đo
kênh điều khiển H.245 sẽ đƣợc mở để thực hiên các chức năng điều khiển. Sau khi
H.245 mở kênh logic, hai điểm cuối bắt đâu truyền thông tin của ngƣời dùng. Khi một
điểm cuối co nhu câu chấm dứt cuộc gọi thì no thực hiên các thủ tục chấm dứt cuộc gọi
nhƣ chỉ ra ở phân trên.
Bảo mật trong VoIP
51
3.1.4. Nhận xét về mạng VoIP-H.323
Mạng H.323 là một hê thống lai ghép đƣợc xây dựng bởi thành phân trung tâm
gatekeepers thông minh, MCUs thông minh và các đâu cuối kém thông minh . Mặc dù
chuân H.323 đã đƣợc phát triển, cải tiến qua nhiều phiên bản nó vẫn con một số mặt tồn
tại nhƣ: Thời gian thiết lập cuộc gọi nhiêu, quá nhiều chức năng phụ thuộc vào
gatekeeper.
3.2. Mạng VoIP với giao thức báo hiệu SIP [1], [4], [7]
SIP là giao thức báo hiêu lớp ứng dụng đƣợc dùng để khởi tạo, duy trì và kết thúc
một phiên truyền thông đa phƣơng tiên. Phiên truyền thông đa phƣơng tiên bao gồm
điên thoại internet, các cuộc hội nghị và các ứng dụng tƣơng tự khác nhƣ: audio, video,
data. SIP hỗ trợ các phiên truyền thông unicast và multicast giống nhƣ cuộc gọi
point-to-point và mutipoint. SIP là một giao thức luân phiên đƣợc phát triển bơi IETF ,
phiên bản đâu tiên đƣợc đề cập trong RFC 3261, SIP đƣợc phổ biến vào năm 1999. SIP
là một giao thức dựa vào cấu trúc của giao thức trao đổi thông tin của web là HTTP.
SIP hoạt động dựa trên nguyên lý của phiên mời gọi (invitation). Thông qua
invitation, SIP khởi tạo một phiên hay tham gia vào một phiên đã đƣợc khởi tạo. Biểu
diên một phiên đƣợc mô tả một hay hai phƣơng thức, bao gồm SAP đƣợc định nghĩa
trong RFC 2947. SIP sử dụng các giao thức khác của IETF để định nghĩa một vài phân
bổ trợ cho VoIP và phiên truyền thông đa phƣơng tiên, ví dụ nhƣ: URLs cho viêc đánh
địa chỉ, DNS cho dịch vụ định vị và Telephony Routing over IP (TRIP) cho định tuyến
cuộc gọi.
SIP hỗ trợ ngƣời dùng di động và thuê bao điên thoại trong mạng thông minh (IN)
thông qua viêc ánh xạ tên và dịch vụ chuyển hƣớng. Ngƣời dùng di động đƣợc cấp phát
một địa chỉ nhận dạng trong một phiên no đƣợc định nghĩa bởi số hay tên duy nhất của
thuê bao đo. SIP đƣơc phát triển với rất nhiều tính năng, no co khả năng hoạt động độc
lập và cũng co khả năng kết hợp với các giao thức báo hiêu khác để thực hiên một cuộc
gọi liên mạng co nhiều giao thức.
Nghiên cứu giao thức SIP khoa luận tập trung quan tâm một số vấn đề về mạng
VoIP - SIP sẽ đƣợc trình bày chi tiết dƣới đây.
3.2.1. Các thanh phần có trong mạng VoIP - SIP
SIP là giao thức peer-to-peer. Mỗi một phía của một phiên đƣợc gọi là UAs. Một
UA chứa hai thành phân chức năng.
User Agent Client (UAC): Một ứng dụng client tạo một yêu câu SIP. Hoạt động
Bảo mật trong VoIP
52
nhƣ một agent của ngƣời gọi.
User Agent Server (UAS): Một ứng dụng server thu nhận yêu câu và đáp ứng
lại yêu câu của bên gọi. Hoạt động nhƣ là một đâu cuối bị gọi.
Thông thƣờng một SIP-UA co thể đảm nhận chức năng là một UAC hoặc là một
UAS trong suốt một phiên, nhƣng không đồng thời là hai chức năng trong cùng một
phiên giống nhau. Chức năng của UA phụ thuộc vào no co là UA yêu câu hay UA đáp
ứng. Trong một kiến trúc chuẩn, các thành phân vật lý của một mạng SIP đƣợc nhom lại
thành hai loại: SIP user agent va SIP server .
Hình 36. Các thành phần của SIP
3.2.1.1. SIP User agents
SIP User agents bao gồm các thiết bị:
IP telephone: Hoạt động nhƣ một UAS hoặc UAC trong một phiên cơ bản. Các
phân mềm điên thoại và hê thống điên thoại IP của Cisco khởi tạo một yêu câu
và đáp ứng yêu câu.
Gateway: Hoạt động nhƣ một UAS hoặc một UAC cung cấp các chƣc năng
điều khiển cuộc gọi. Gateway cung cấp nhiều dịch vụ, thông thƣờng là chức
năng chuyển đổi giữa user agent và các đâu cuối khác loại. Chức năng này bao
gồm chuyển đổi các định dạng và các thủ tục truyền thông. Một Gateway
chuyển đổi các tín hiêu audio, video và thực hiên khởi tạo, kết thúc cuộc gọi
trong cả mạng IP và mạng SCN.
Bảo mật trong VoIP
53
3.2.1.2. SIP server
SIP server bao gồm một số loại sau:
Proxy server: Là một thiết bị trung gian nhận các SIP request từ một client sau
đo chuyển yêu câu của client tới một SIP server kế tiếp trong mạng. Server kế
tiếp co thể là một Proxy server khác hay là một UAS. Một Proxy server thực
hiên các chức năng nhƣ: Nhận thực, giới hạn quyền, điểu khiển truy cập, định
tuyến, truyền các request một cách đảm bảo và chức năng bảo mật trong mạng.
Redirect server: Chấp nhận một SIP request và gửi redirect reponse trở lại
client chứa địa chỉ của server kế tiếp. Redirect server co thể không chấp nhận
cuộc gọi, không xử lý các cuộc gọi hay chuyển hƣớng các SIP request.
Registrar server: Là server nhận bản tin SIP REGISTER yêu câu và cập nhật
thông tin từ bản tin request vào ―location database‖ năm trong Location server.
Xử lý các yêu câu đăng ký của một UA. Một Registrar server thƣờng định xứ
cùng một miền với Redirect server, Proxy server và Location server.
Location server: Cung cấp các giải pháp địa chỉ tới một Proxy server hay
Redirect server. Môt Location server là một thiết bị phân giải địa chỉ. Location
server thƣờng sử dụng các công cụ để thực hiên bài toán về địa chỉ nhƣ: Finger,
rwhois, Lightweight Direcoty Access protocol (LDAP). Một Registrar server
co thể trở thành một modul hay một hê thống con của một Location server;
Registrar server có thể đáp ứng một phân cho một cơ sở dữ liêu của Location
server mà no liên kết.
3.2.2. Địa chỉ SIP
Ngƣời dùng trong mạng SIP đƣợc định nghĩa bởi một địa chỉ SIP. Địa chỉ SIP đƣợc
gọi là SIP Universal Resource Locators (URLs), no co dạng giống nhƣ dạng một địa chỉ
mail và no đƣợc định dạng: userID@host. Phân userID co thể là tên hay là số điên thoại
của ngƣời dùng, phân host chứa tên miền hay một địa chỉ mạng IP. Môt số ví dụ địa chỉ
SIP
Các thiết bị trong mạng phải đăng ký cho mình một địa chỉ SIP với Registrar server.
Để co đƣợc một địa chỉ SIP của một đâu cuối khác, UA sử dụng nhiều phƣơng thức nhƣ:
Tra bảng co trong host, tìm kiếm DNS, ENUM, finger, rwhois, hay LDAP.
Bảo mật trong VoIP
54
3.2.3. Các dịch vụ cung cấp bởi SIP
Để thực hiên khởi tạo, duy tri và kết thúc một phiên truyền thông đa phƣơng tiên,
SIP cung cấp năm dịch vụ sau: Userlocation servises, user capabilities servises, user
availability services, call setup services, call handling services. Chi tiết các dịch vụ đƣợc
trình bày dƣới đây.
User location servises: Các bên tham gia cuộc gọi co thể di chuyển từ một tới
vài hê thống trong một thời gian. Vì vậy SIP phải linh hoạt trong viêc xác định
vị trí của các user để phục vụ cho cuộc gọi. SIP hỗ trợ các giải pháp đánh địa
chỉ, ánh xạ tên và chuyển hƣớng cuộc gọi cho viêc định vị các điểm cuối.
User capabilities servises: Dịch vụ xác định khả năng cho phép của môi trƣờng
truyền thông của một điểm đích. SIP xác định khả năng ở mức thấp nhất của
các dịch vụ thông thƣờng giữa các điểm cuối thông qua phiên SDP. Các cuộc
hội thoại đƣợc thiết lập chỉ sử dụng những năng lực media mà đƣợc hỗ trợ bởi
tất cả các điểm cuối.
User capabilities servises: Dịch vụ này xác định khả năng sẵn sàng của điểm
cuối.
Call setup services: Dịch vụ thiết lập cuộc gọi giữa các thành phân của cuộc gọi.
Nếu cuộc gọi co thể thực hiên đƣợc, SIP sẽ khởi tạo một phiên giữa các đâu
cuối. SIP cũng hỗ trợ những thay đổi giữa cuộc gọi, giống nhƣ viêc thêm một
thành phân vào một cuộc hội nghị nhiều bên, hay thay đặc tính của một phƣơng
tiên truyền thông.
Call handling services: Dịch vụ này cho phép xử lý viêc chuyển giao và chấm
dứt cuộc gọi. SIP hỗ trợ viêc chuyển giao từ một điểm cuối tới một điểm cuối
khác trong mạng. Trong thời gian của cuộc gọi chuyển giao, SIP chỉ cân thiết
lập một phiên giữa bên đƣợc chuyển giao và một điểm cuối mới (điểm cuối này
đƣợc xác định bởi bên chuyển giao), chấm dứt phiên giữa bên đƣợc chuyển
giao và bên chuyển giao. Vào cuối cuộc gọi, SIP chấm dứt các phiên giữa tất cả
các bên.
3.2.4. Bản tin trong SIP
Trong một phiên hoạt động của SIP tồn tại hai loại bản tin: Bản tin Request đƣợc
gửi bởi client, và bản tin Response đƣợc gửi từ servers. Tất cả các bản tin đều chứa phân
header và phân thân bản tin. SIP là một giao thức text cơ bản cùng với cấu trúc bản tin và
trƣờng header đƣợc định nghĩa nhƣ trong HTTP. Bản tin SIP đƣợc gửi trên TCP hay
UDP. Co thể co nhiều bản tin đƣợc mang trong một kết nối TCP hay UDP.
Bảo mật trong VoIP
55
3.2.4.1. Bản tin request
Co sau loại bản tin request đặc trƣng cho một phiên liên lac SIP. Các bản request
đƣợc đề cập đến nhƣ là những phƣơng thức cho phép User agents và các server trong
mạng định vị, mời, và quản lý các cuộc gọi. Cụ thể các bản tin nhƣ sau:
INVITE
Phƣơng thức INVITE đƣợc dùng để thiết lập phiên truyền thông giữa các User
agent. Hoặc thay đổi các đặc tính của phiên đã tồn tại trƣớc đo. Một bản tin INVITE luôn
co phân thân bản tin chứa thông tin của ngƣời gọi. Thân của bản tin co thể chƣa các
thông tin khác nhƣ thông tin về chất lƣợng dịch vụ hoặc là thông tin bảo mật. INVITE
không chƣa thông tin media. Ví dụ dƣới đây là một bản tin INVITE cùng với thân bản
tin là bản tin SDP.
INVITE sip:[email protected];user=phone SIP/2.0
Via: SIP/2.0/UDP salzburg.edu.at:5060;branch=z9hG4bK1d32hr4
Max-Forwards:70
To: <sip:[email protected];user=phone>
From: Christian Doppler <sip:[email protected]>
;tag=817234
Call-ID: [email protected]
CSeq: 1 INVITE
Subject: Train Timetables
Contact: sip:[email protected]
Content-Type: application/sdp
Content-Length: 151
v=0
o=doppler 2890842326 2890844532 IN IP4 salzburg.edu.at
s=Phone Call
c=IN IP4 50.61.72.83
t=0 0
SIP Request Messages 73
m=audio 49172 RTP/AVP 0
a=rtpmap:0 PCMU/8000
Bảo mật trong VoIP
56
ACK
Bản tin ACK đƣợc gửi sau khi đã nhận đƣợc bản tin response cuối cùng của bản tin
INVITE. ACK xác nhận bản tin response cuối cùng của bản tin INVITE . Thân bản tin
ACK co thể chứa bản tin SDP nếu nhƣ bản tin INVITE không chứa bản tin SDP. ACK
cũng co thể không chứa bản tin SDP nếu bản tin INVITE đã chứa SDP. ACK không thể
chỉnh sửa đƣợc mô tả media đƣợc gửi đi bởi bản tin INVITE. Bản tin ACK co thể xác
nhận cho các bản tin reponse khác nhau. Nếu là bản tin reponse 2xx thì ACK là
end-to-end, nhƣng nếu bản tin response cuối cùng là bản tin khác thì ACK là một
hop-by-hop cơ bản.
Một ví dụ về bản tin ACK co chứa SDP.
ACK sip:[email protected] SIP/2.0
Via: SIP/2.0/TCP 128.5.2.1:5060;branch=z9hG4bK1834
Max-Forwards:70
To: Marquis de Laplace <sip:[email protected]>;tag=90210
From: Nathaniel Bowditch <sip:[email protected]>;tag=887865
Call-ID: [email protected]
CSeq: 3 ACK
Content-Type: application/sdp
Content-Length: 143
v=0
o=bowditch 2590844326 2590944532 IN IP4 salem.ma.us
s=Bearing
c=IN IP4 salem.ma.us
t=0 0
m=audio 32852 RTP/AVP 0
a=rtpmap:0 PCMU/8000
CANCEL
Bản tin CANCEL cho phép client và server hủy một request, ví dụ nhƣ INVITE.
No không ảnh hƣởng tới request đã hoàn thành trƣớc đo mà server đã gửi response. Một
bản tin CANCEL hop-by-hop không co phân thân bản tin.
CANCEL sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP 10.downing.gb:5060
;branch=z9hG4bK3134134
Bảo mật trong VoIP
57
Max-Forwards:70
To: Isaac Newton <sip:[email protected]>
From: Rene Descartes <sip:[email protected]>;tag=034323
Call-ID: [email protected]
CSeq: 32156 CANCEL
Content-Length: 0
OPPTION
UA sử dụng request này để truy vấn tới server về khả năng của no. Bản tin co thể
chứa phân thân bản tin. Dạng bản tin nhƣ sau:
OPTIONS sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP cavendish.kings.cambridge.edu.uk
;branch=z9hG4bK1834
Max-Forwards:70
To: <sip:[email protected]>
From: J.C. Maxwell <sip:[email protected]>
;tag=34
Call-ID: [email protected]
CSeq: 1 OPTIONS
Content-Length: 0
REGISTER
Một client sử sụng REGISTER dùng để thông báo cho một SIP server địa chỉ liên
lạc dạng URI của no.
REGISTER sip:registrar.athens.gr SIP/2.0
Via: SIP/2.0/UDP 201.202.203.204:5060;branch=z9hG4bK313
Max-Forwards:70
To: sip:[email protected]
From: <sip:[email protected]>;tag=543131
Call-ID: 2000-July-07-23:59:[email protected]
CSeq: 1 REGISTER
Contact: sip:[email protected]
Contact: mailto:[email protected]
Content-Length: 0
Bảo mật trong VoIP
58
BYE
Là bản tin dùng để kết thúc một phiên media đã đƣợc thiết lập. Trong điên thoại no
giống nhƣ bản tin Release. Bản tin này chỉ đƣợc gửi bởi một bên tham gia cuộc gọi. Một
Proxy server hay một bên thứ 3 không co quyền gửi bản tin này. Bản tin BYE là dạng
end-to-end.
BYE sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP port443.hotmail.com:5060;branch=z9hG4bK312bc
Max-Forwards:70
To: <sip:[email protected]>;tag=63104
From: <sip:[email protected]>;tag=9341123
Call-ID: [email protected]
CSeq: 47 BYE
Content-Length: 0
3.2.4.2. Bản tin response
Bản tin response đƣợc gửi đáp lại các bản tin request. Các bản tin response chỉ thị
trạng thái thành công hay lỗi. Các bản tin response đƣợc chia thành các lớp với các ý
nghĩa khác nhau.
1xx: information: Là các bản tin đáp ứng tạm thời. Chỉ định răng các request
vẫn đang đƣợc response. Ví dụ nhƣ: bản tin đang thực hiên kết nối (100), bản
tin đang đổ chuông (180).
2xx: Successful: Chỉ thị các yêu câu kích hoạt và thành công. Ví dụ: Bản tin
báo thành công (200), bản tin chấp nhận (202).
3xx: Redirection: Ví dụ nhƣ: Bản tin chuyển vĩnh viên (301), bản tin chuyển
tạm thời 302.
4xx: Client error: Bản tin báo lỗi tới phía client. Chỉ thị bản tin request không
thể hoàn thành đƣợc. Ví dụ nhƣ: Bản tin không tìm kiếm đƣợc (400), bản tin do
tìm vòng (482).
5xx: Server failure: Bản tin báo lỗi ở phía server. Chỉ thị răng request là hoàn
toàn khả thi nhƣng server lỗi không thể hoàn thành đƣợc request. Ví dụ nhƣ:
Bản tin không thể thực hiên (501), bản tin Gateway lỗi (502).
6xx: Global falure: Bản tin báo lỗi toàn bộ. Chỉ thị răng request không thể thực
hiên băng bất kỳ cách nào. Vi dụ: (600) bận ở khắp nơi, (606) bản tin báo không
chấp nhận.
Bảo mật trong VoIP
59
3.2.5. Cuộc gọi SIP
3.2.5.1. Cuộc gọi với thiết lập trực tiếp
Khi một UA nhận đƣợc địa chỉ của một điểm cuối khác từ thông tin lƣu trữ hoặc có
khả năng tìm, phân giải địa chỉ băng một số cơ chê. UAC co thể khởi tạo một phiên với
thủ tục setup cuộc gọi trực tiếp (UAC-to-UAC). Setup trực tiếp là nhanh nhất và rất hiêu
quả trong thủ tục setup cuộc gọi. Tuy nhiên, setup trực tiếp co một vài bất lợi. No dựa
vào thông tin lƣu trữ hoặc các cơ chế bên trong để phân giải địa chỉ, nó hoàn toàn co thể
bị lỗi khi đich là một mobile. Cuộc gọi với thủ tục setup trực tiếp gồm các bƣớc nhƣ sau:
1. UAC khởi tạo phiên băng cách gửi một bản tin mời (INVITE) tới UAS của
ngƣời nhận. Bản tin bao gồm mô tả điểm cuối của UAC và thông tin SDP.
2. Nếu UAS của phía nhận xác định chấp nhận đƣợc các thông số cuộc gọi, no
sẽ gửi bản tin reponses tới UAC. Bản tin trying (100) và bản tin Ring (180) chỉ thị
UAS đang cố gắng báo rung chuông cho ngƣời dùng.
3. Sau khi nhận đƣợc response cuối cùng thông báo thành công. UAC sẽ xác
nhận băng bản tin ACK.
4. Sau khi thiết lập phiên xong. UAC và UAS truyền tất cả các thông tin ngƣời
dùng băng giao thức RTP trên UDP.
5. Khi một bên co nhu câu chấm dứt cuộc gọi no sẽ gửi bản tin BYE và đợi bản
tin response 200 của phía bên kia để hoàn thành kết thúc cuộc gọi.
Hình 37. Cuộc gọi đươc thiêt lâp trực tiếp
Bảo mật trong VoIP
60
3.2.5.2. Cuộc gọi với thiết lập cuộc gọi thông qua Proxy server
Thủ tục thiết lập cuộc gọi qua Proxy server là trong suốt tới một UA. Proxy server
nhận và chuyển tiếp bản tin mời tới UA đích. Proxy server sẽ điều khiển cuộc gọi tập
trung, quản lý thiêt lâp cuộc gọi, co khả năng câp nhât địa chỉ của UA một cách chính
xác. Trong trƣờng hợp này UA không cân học địa chỉ giao vận của UA đích. Sử dụng
Proxy server cũng co bất lợi là co quá nhiều bản tin thông qua Proxy server và UA phụ
thuộc hoàn toàn vào Proxy server, nếu Proxy server bị lỗi UA không thể hoàn thành thiết
lập cuộc gọi. Khi một Proxy server đƣợc sử dụng cuộc gọi đƣợc thực hiên nhƣ sau:
1. UAC từ phía khởi phát cuộc gọi sẽ gửi đi bản tin INVITE tới Proxy server.
2. Proxy server truy vấn Location server để xác đi nh đƣờng đi đến đích và lây
địa chỉ IP của đích.
3. Proxy server gửi một bản tin mời INVITE tới UAS của ngƣời nhận.
4. Nếu UAS xác định chấp nhận các thông số của cuộc gọi, no sẽ gửi bản tin
respond tới Proxy server. Bản tin 100, 180, 200.
5. Proxy server sẽ gửi bản tin response tới UAC. Các bản tin 100, 180, 200.
6. UAC sẽ gửi một bản tin xác nhận ACK tới Proxy server.
7. Proxy server chuyển tiếp ACK tới UAS của phía nhận.
8. Sau khi hoàn thành thiết lập cuộc gọi. UAS và UAC trao đổi thông tin của
ngƣời dùng băng giao thức RTP trên UDP.
9. Khi một ngƣời dùng muốn chấm dứt cuộc gọi, thì UA của ngƣời dùng đo sẽ
gửi bản tin BYE tới UA kia và đợi bản tin respond 200 để hoàn thành kết thúc
phiên gọi.
Hình 38. Thiết lập cuộc gọi thông qua Proxy server
Bảo mật trong VoIP
61
3.2.5.3. Cuộc gọi với thiết lập cuộc gọi thông qua Redirect server
Một Reditrect server đƣợc lâ p trình để tìm kiếm các điểm cuối trong mạng. Thay
cho viêc chuyển tiếp một bản tin mời tới UAS, Redirect server trả lại cho UAC địa chỉ
giao vận của điểm đích và UAC tiếp tục thực hiên lại cuộc gọi. sử dụng một Redirect
server thuận lợi hơn sử dụng một Proxy server tuy nhiên chúng ta co thể thấy một
Redirect server thực hiên công viêc ít hơn nhiều so với một Proxy server. Trong cuộc gọi
sử dụng Redirect server các UA phải thực hiên một khối lƣợng công viêc nhiều hơn
trong trƣờng hợp sử dụng Proxy server. Quá trình thực hiên cuộc gọi nhƣ sau:
1. UAC của phía ngƣời gọi sẽ gƣi bản tin mời (INVITE) tới Redirect server.
2. Redirect server truy vấn Location server để co địa chỉ IP của bên nhận.
3. Redirect server gửi bản tin ―moved‖ tới UAC cùng với địa chỉ IP của phía
nhận.
4. UAC gửi bản tin mời trực tiếp đến UAS.
5. UAS gửi các bản tin responds trực triếp tới UAC. Các bản tin 100, 180, 200.
6. UAC xác nhận băng bản tin ACK.
7. UAC và UAS trao đổi thông tin của ngƣời dùng trên giao thức RTP và UDP.
8. Khi một ngƣời dùng muốn chấm dứt cuộc gọi, thì UA của ngƣời dùng đo sẽ
gửi bản tin BYE tới UA kia và đợi bản tin respond 200 để hoàn thành kết thúc
phiên gọi.
Hình 39. Thiết lập cuộc gọi thông qua Redirect server
Bảo mật trong VoIP
62
3.3. Cuộc gọi liên mạng [1]
Sự phát triển của VoIP đã kéo theo hàng loạt các giao thức phục vụ cho no và hiên
tại đã và đang tồn tại nhiều chuẩn VoIP, mỗi chuẩn ứng với chùm các giao thức Báo hiêu
dành riêng cho nó.
Trong một hê thống viên thông, vấn đề đặt ra là sự liên kết giữa các chuẩn trong
cùng mạng VoIP và sự liên kết giữa mạng VoIP với mạng SCN nhƣ thế nào để ngƣời
dùng co thể thuận tiên nhất trong thông tin liên lạc của mình.
3.3.1. Cuộc gọi liên mạng SIP – H.323
Hiên nay các nhà cung cấp mạng VoIP đang co những giải pháp linh hoạt trong xây
dựng các kiến trúc mạng VoIP dựa trên các giao thức báo hiêu nhƣ: H.323 [International
Telecommunications Union (ITU)—T Recommendation H.323], Media Gateway
Control Protocol (MGCP), và giao thức khởi tạo phiên SIP. H.323 và SIP thƣờng đƣợc
so sánh và tƣơng phản với nhau. Trong phân này của khoa luận sẽ nghiên cứu cuôc gọi
liên mạng SIP – H.323. Để phục vụ nhu câu của khách hàng, một khách hàng sử dụng
H.323 co thể liên lạc đƣợc với một khách hàng sử dụng SIP.
Mỗi giao thức cung cấp những ƣu điểm và nhƣợc điểm riêng trong một mạng VoIP.
H.323 phát triển rất sơm và đƣợc sử dụng rộng rãi. Hiên nay giao thức SIP đang ngày
càng phổ biến bởi sự kết hợp dê dàng với voice và các dịch vụ internet cơ bản. SIP tồn tại
cùng H.323 là rất quan trọng tạo ra sự lớn mạnh của mạng VoIP và hỗ trợ những ứng
dụng mới triển khai trên cơ sở báo hiêu SIP.
Hình 40. Mô hình liên mạng H.323 – SIP
Bảo mật trong VoIP
63
Các cuộc gọi từ một H.323 Gateway đƣợc định tuyến thông qua một mạng H.323
sử dụng H.323 gatekeeper và SIP Gateway sử dụng SIP redirect hay Cisco SIP Proxy
server để định tuyến cho cuộc gọi.
SIP/H.323 Gateway chuyển đổi báo hiêu giữa SIP và H.323 trong đo co chuyển đổi
địa chỉ, chuyển đổi các mã hóa audio, video. Trong giai đoạn thiết lập cuộc gọi, các
thông tin đƣợc truyền trên kênh của H.245 phải đƣợc chuyển đổi sang dạng thông tin của
SDP.
Chuyển đổi địa chỉ
H.323 và SIP co khuôn dạng địa chỉ khác nhau. Để định tuyến đƣợc trong từng
miền mạng thì Gateway phải thực hiên chuyển đổi địa chỉ. Một số ví dụ chuyển đổi từ
SIP to H.323.
SIP-―sip:[email protected] ‖ chuyển tới H.323.
H.323-{h323-ID=‖sip:[email protected]‖;
url-ID = ‖sip:[email protected]‖, email-ID = ―[email protected]‖ }.
SIP - ―sip:+1-212-555-1212:[email protected];user=phone‖ chuyển tới
H323.
H.323-{e164=‖12125551212‖,h323-ID=‖sip:+1-212-555-1212:1234@gatew-
ay.com‖,
url-ID=‖sip:+1-212-555-1212:[email protected]‖,
imail-ID=―+1-212-555-1212:[email protected]‖ }.
Chi tiết cuộc liên mạng H.323 – SIP đƣợc trình bày trong RFC 4123.
Ví dụ chi tiết một cuộc gọi từ H.323 tơi SIP
Trong ví dụ này, một đâu cuối H.323 gọi một SIP UA thông qua một H.323/SIP
Gateway. Gateway truyền báo hiêu giữa các giao thức báo hiêu nhƣng cho phép truyền
goi media trực tiếp giữa hai điểm đâu cuối. Các bƣớc thực hiên thiết lập cuộc gọi cụ thể
nhƣ sau:
1. Đâu cuối H.323 gửi đến Gatekeeper bản tin thông báo về cuộc gọi với bản tin
ARQ và gatekeeper trả lời băng bản tin ACF chứa địa chỉ kênh H.225 của
gatekeeper trên RAS.
2. Đâu cuối H.323 gửi bản tin setup đến Gatekeeper trên kênh H.225 theo địa
chỉ nhận đƣợc ở trên.
3. Gatekeeper nhận đƣợc bản tin và phân tích trƣờng địa chỉ của bản tin, no
nhận thấy đây là cuộc gọi ngoài mạng nên no sẽ gửi bản tin setup đến Gateway.
4. Gateway thực hiên trao đổi ARQ với Gatekeeper.
5. Tại Gateway các bản tin setup sẽ đƣợc chuyển đổi thành các bản tin INTIVE
Bảo mật trong VoIP
64
trong SIP, vơi các chuyển đổi về địa chỉ, về khuôn dạng bản tin, hay thân bản tin .
Sau đo Gateway gửi bản tin mời INVITE đến Proxy server của đâu cuối SIP.
6. Proxy server chuyển tiếp bản tin đến đúng đâu cuối mình quản lý.
7. Đâu cuối SIP gửi bản tin báo thiết lập thành công đến Gateway thông qua
Proxy server. Các bản tin: 180, 200.
8. Tại Gateway các bản tin 180 và 200 sẽ đƣợc chuyển đổi thành các bản tin
Alerting và Connect. Rồi gửi đến đâu cuối H.323 thông qua Gatekeeper.
9. Đâu cuối H.323 và Gateway thực hiên các thủ tục trên kênh H.245 nhƣ: Xác
định chủ tớ, thiết đặt khả năng đâu cuối... và quan trọng là mở các kênh logic phục
vụ cho truyền dữ liêu thông qua Gatekeeper.
10. Gateway gửi bản tin ACK đến SIP-UA để xác nhận hoàn thành thiết lập cuộc
gọi. Một kênh logic giữa hai đâu cuôi đƣợc mở cho truyền thông tin ngƣời dùng.
Hình 41. Chi tiết cuộc gọi từ H323 tơi SIP
Bảo mật trong VoIP
65
Trong một liên mạng H.323/SIP cũng co thể không tồn tại Gatekeeper hoặc không
tồn tại Proxy server và lúc đo các thủ tục giữa hai đâu cuối sẽ thực hiên chỉ thông qua
Gateway.
3.3.2. Cuộc gọi liên mạng VoIP - PSTN
VoIP ra đời và phát triển sau PSTN, VoIP co nhiều ƣu điểm. Nhƣng VoIP không thể
tồn tại độc lập mà no phải cùng tồn tại với PSTN. Vấn đề liên mạng VoIP và PSTN là rất
quan trọng. Vấn đề quan trọng nhất trong liên mạng VoIP và PSTN là chuyển đổi báo
hiêu, chuyển đổi các dạng địa chỉ và định tuyến trên hai mạng. Trong phân này của khoa
luận sẽ đi tìm hiểu về các giao thức chuyển đổi báo hiêu và giao thức mapping địa chỉ.
3.3.2.1. Giao thức SIGTRAN [9]
Năm 1999 một nhom làm viêc của IETF đƣợc thành lập để xây dựng một kiến trúc
cho truyền dữ liêu báo hiêu thời gian thực qua mạng IP để co thể tận dụng đƣợc những
ƣu điểm về mặt băng thông rộng của mạng IP. SIGTRAN đã đƣợc nhom làm viêc này
xây dựng trở thành một chồng giao thức phục vụ cho mục đích trên.
Thông thƣờng SIGTRAN đƣợc sử dụng để truyền báo hiêu trong suốt giữa SG –
MGC và SG - SG. Nhƣng SG cũng co thể đƣợc sử dụng để truyền báo hiêu giữa MGC –
MGC và MGC – MG.
Chồng giao thức SIGTRAN bao gồm giao thức truyền điều khiển dòng SCTP và
một số các lớp thích ứng với ngƣời sử dụng (SUA, IUA, M3UA, M2UA, M2PA, V5UA).
Với mô hình này SIGTRAN cung cấp đây đủ các chức năng báo hiêu của ss7 trên mạng
IP.
Hình 42. Mô hình chồng giao thức SIGTRAN
Bảo mật trong VoIP
66
SIGTRAN định nghĩa 6 lớp thích ứng:
1. M2UA cung cấp các dịch vụ của MTP2 trong tình huống client – server nhƣ
SG tới MG. Ngƣời sử dụng là MTP3
2. M2PA cung cấp các dịch vụ của MTP2 trong tình huống peer – to – peer nhƣ
các kết nối SG –SG Ngƣời sử dụng là MTP3.
3. M3UA cung cấp các dịch vụ của MTP3 trong cả tình huống client-server
(SG to MGC) và peer-to-peer. Ngƣời sử dụng là SCCP and/or ISUP, TUP.
4. SUA cung cấp các dịch vụ của SCCP trong kiến truc peer-to-peer nhƣ SG tơi
IP SCP.
5. IUA cung cấp các dịch vụ của ISDN Data Link Layer (LAPD). Ngƣời sử
dụng là thực thể ISDN lớp 3 (Q.931).
6. V5UA cung cấp các dịch vụ của giao thức V.5.2.
Lớp M2UA
M2UA là giao thức định nghĩa bởi IETF cho phép truyền các bản tin báo hiêu lớp
ngƣời sử dụng MTP2 ( ví dụ nhƣ MTP3) qua mạng IP sử dụng giao thức SCTP. M2UA
cung cấp các dịch vụ cho lớp ngƣời sử dụng của no tƣơng tự nhƣ các dịch vụ do MTP2
cung cấp cho MTP3. M2UA co các mục đích sau:
Cung cấp một cơ chế cho phép truyền bản tin báo hiêu lớp ngƣời sử dụng của
MTP2 qua mạng IP sử dụng giao thức SCTP.
Tập trung lƣu lƣợng SS7 từ các link SS7 cách xa nhau về một điểm tập trung
trên mạng.
Băng viêc sử dụng M2UA, một vài điểm báo hiêu có thể hợp nhất thành một
điểm báo hiêu tập trung. Đổi lại, các điểm báo hiêu này khi đo co thể đƣợc đặt
gân các thành phân mạng khác hơn. Khi đo, viêc truyền báo hiêu giữa các
thành phân này sẽ là truyền qua các kênh dành riêng, do vậy sẽ giảm chi phí cho
viêc xây dựng các điểm trung để truyền báo hiêu.
Lớp M2PA
M2PA cho phép các lớp MTP3 ngang hàng của các SG co thể liên lạc trực tiếp với
nhau. Thực chất, no mở rộng mạng SS7 sang mạng IP. No co chức năng sau:
Duy trì hoạt động liên tục giữa các thực thể ngang hàng MTP3 giao tiếp với
nhau qua mạng IP.
Mặt cắt giao diên MTP2/MTP3, cho phép quản lý các phiên truyền dẫn SCTP
và lƣu lƣợng thay cho MTP2 link.
Thông báo những thay đổi trạng thái phục vụ cho mục đích quản lý điều hành.
Bảo mật trong VoIP
67
Lớp M3UA
M3UA là giao thức hỗ trợ cho viêc truyền dẫn các bản tin báo hiêu MTP3 (ví dụ
nhƣ ISUP, SCCP) qua mạng IP sử dụng giao thức truyền dẫn SCTP. Về chức năng hoạt
động, M3UA tƣơng tự nhƣ M2UA. Giao thức này đƣợc sử dụng ở giao tiếp giữa SG và
MGC hay các IP SCP bên phía mạng IP. M3UA cho phép dịch vụ lớp MTP3 co thể đƣợc
cung cấp bởi một MGC năm trong mạng IP, do vậy no mở rộng mạng báo hiêu SS7 sang
phía mạng IP.
Lớp SUA
SUA là giao thức hỗ trợ truyền dẫn các bản tin lớp SCCP qua mạng IP sử dụng giao
thức SCTP. No cho phép truy nhập tới các lớp ứng dụng (ví dụ nhƣ TCAP) tại IP SCP
thông qua SG. Kiến trúc mạng sử dụng SUA cho phép một SG co thể kết nối đến nhiều
IP SCP. Các IP SCP không cân phải co lớp MTP3 cục bộ, do vậy không đoi hỏi phải co
địa chỉ SS7 point code riêng. SUA hỗ trợ các chức năng sau:
Truyền dẫn các bản tin SCCP (TCAP, MAP, INAP...).
Hỗ trợ dịch vụ không kết nối SCCP.
Hỗ trợ dịch vụ hƣớng kết nối SCCP.
Quản lý các phiên truyền dẫn của SCTP giữa SG và một hay nhiều nút báo hiêu
phía mạng IP.
Phân tán các nút báo hiêu phía mạng IP.
Thông báo về các thay đổi trạng thái phục vụ cho mục đích quản lý.
Lớp IUA và V5UA
IUA cung cấp dịch vụ của lớp ISDN Data Link. Con V5UA cung cấp dịch vụ của
giao thức V.5.2.
Trong mô hình SIGTRAN giao thức truyền tải (SCTP) đã trình bày ở chƣơng 2.
Giao thức SIGTRAN là giao thức mới ứng dụng cho mạng NGN, no cho phép các
nút mạng phía IP giao tiếp với các nút mạng SS7 nhăm nâng cao hiêu suất sử dụng và
phối hợp hoạt động giữa PSTN và VoIP.
3.3.2.2. Thực hiện cuộc gọi VoIP – PSTN
Trong môt liên mang VoIP – PSTN moi thu tuc chuyên đôi se đƣơc thƣc hiên tai
gateway. Trong môt liên mang VoIP – PSTN vân đê chuyên đôi bao hiêu la quan trong
nhât. Sao cho tƣ môt thông tin bao hiêu cua mang PSTN co thể chuyển đổi thành thông
tin bao hiêu cua VoIP để truyền trên mạng IP . Cuôc goi trong môt liên mang VoIP –
Bảo mật trong VoIP
68
PSTN thƣơng xay ra 3 trƣơng hơp:
Cuôc goi tƣ đâu cuôi VoIP đên đâu cuôi PSTN . Cuôc goi loai nay la đơn gian
nhât.
Cuôc goi tƣ đâu cuôi PSTN đên đâu cuôi VoIP.
Cuôc goi giƣa hai đâu cuôi mang PSTN thông qua mang IP .
Trong phân nay khoa luận chỉ nghiên cứu cuộc gọi giữa SIP và PSTN .
3.3.2.21. Cuôc goi tƣ đâu cuôi SIP đên đâu cuôi PSTN
Hình 43. Cuôc goi giưa SIP tơi PSTN
Trong cuôc goi nay không tôn tai Proxy server hay Redirect server. Môt SIP-UA
gọi đến một telephone thông qua PSTN Gateway. Đâu cuối SIP thực hiên goi sô bên bi
gọi trong bản tin SIP. Tại gateway các bản tin SIP đƣợc chuyển đổi sang bản tin SS7 và
ngƣơc lai. Chi tiêt cac bƣơc cua cuôc goi nhƣ sau:
Bảo mật trong VoIP
69
1. Đâu cuối SIP sẽ quay sô goi đên môt thuê bao trong mang PSTN, Sô goi đƣơc
goi trong bản tin INVITE gửi đến PSTN gateway .
2. Gateway chyên đôi ban tin INVITE sang ban tin ISUP IAM , và truyền bản
tin IAM nay đên tông đai kê tiêp trong mang PSTN. Trong hình 43 tông đai kê tiêp
này chính là tổng đài cá nhân của thuê bao PSTN. Tông đai cua thuê bao bi goi se
gƣi tin hiêu chuông đên thuê bao bi goi.
3. Telephone Switch gƣi ban tin ACM đên gateway bao cho gateway biêt đang
chuyên tin hiêu rung chuông đên thuê bao.
4. Bản tin ACM sẽ đƣợc gateway chuyển đổi thành bản tin 180. Bản tin 180 này
chƣa phân SDP chi ro công RTP se sƣ dung đê truyên audio đên tƣ PSTN.
5. Tƣ luc nhân đƣơc ban tin 180 SIP-UA thu cac goi RTP đƣơc gƣi tƣ gateway.
6. Cuôc goi thanh công khi thuê bao bi goi nhâc ông nghe . Lúc này telephone
gƣi ban tin ANM tơi gateway. Bản tin này đƣợc chuyển thành bản tin 200, báo hiêu
công trên gateway săn sang cho cuôc goi.
7. Sau khi thuê bao SIP tra lơi băng bản tin ACK thì luông RTP đƣơc thiêt lâp
hai chiêu giƣa gateway va SIP – UA truyền tải tín hiêu nhận đƣợc từ mạng PSTN.
8. Khi thuê bao SIP dâp may, no sẽ gửi bản tin BEY đên PSTN Gateway.
9. Bản tin BEY đƣợc gateway chuyển đổi sang bản tin REL đến tổng đài PSTN
để hủy bỏ kết nối. Sau khi Gateway gƣi ban tin 200 và nhận đƣợc tin RLC từ tổng
đai, cuôc goi chinh thƣc châm dƣt.
3.3.2.2.2. Cuôc goi tƣ đâu cuôi mang PSTN đên đâu cuôi SIP
Trong cuôc goi loai nay sƣ chuyên đôi bao hiêu giƣa hai mang vân đƣơc tiên hanh
bơi gateway. Phía mạng PSTN là một tổng đài ISDN , vơi giao thƣc bao hiêu đƣơc sƣ
dụng là Q.931. Cụ thể cuộc goi nhƣ sau:
1. Tông đai ISDN gƣi ban tin setup co chƣa thông tin vê cuôc goi tơi gateway .
2. Gateway chuyên đôi cac thông tin trong ban tin setup sang ban tin INVITE va
đƣơc gƣi tơi Proxy server. Trong cuôc goi nay co măt cua Proxy server đê đinh vi
đâu cuôi trong mang SIP .
3. Proxy server phai truy vấn Location server đê nhân đƣơc đia chi dang SIP
của thuê bao đƣợc gọi.
4. Sau khi nhân đƣơc kêt qua tra lơi cua Locatinon server, proxy server gƣi ban
tin INVITE đên đâu cuôi SIP căn cƣ vao đia chi no mơi đat đƣơc .
5. Đâu cuối SIP sau khi nhận đƣợc bản tin INVITE no sẽ gửi các bản tin 180 và
200 đến Proxy server. Proxy server chuyên tiêp cac ban tin nay đên Gateway
Bảo mật trong VoIP
70
6. Tại Gateway ban tin 180 đƣơc chuyên đôi sang ban tin alterting va ban tin
200 đƣơc chuyên đôi sang ban tin Connect.
7. Sau khi nhân đƣơc ban tin 200 tƣ Proxy server Gateway se xac nhân băng ban
tin ACK trƣc tiêp đên SIP – UA .
8. Sau khi gửi bản tin ACK môt kênh logic đƣơc mơ giữa SIP – UA và
Gateway, môt kênh thoai giƣa tông đai ISDN đên Gateway cung đƣơc mơ .
Hình 44. thiêt lâp cuôc goi tư đâu cuôi PSTN đên đâu cuôi SIP
Kêt luân
Trong chƣơng nay nghiên cƣu hai mô hinh mang VoIP vơi hai giao thƣc bao hiêu
H.323 và SIP. Mô ta cu thê cac cuôc goi trong tƣng mô hinh mang va cac cuôc goi liên
mạng.
Bảo mật trong VoIP
71
Chƣơng 4. LỖ HỔNG VA HỖ TRỢ BẢO MẬT TRONG VOIP
4.1. Lỗ hổng trong VoIP
Viêc thoại và dữ liêu hội tụ trên cùng một đƣờng truyền với bất kỳ giao thức nào
đƣợc sử dụng là một vấn đề đối với các kỹ sƣ bảo mật và các nhà quản trị. Hê quả của
vấn đề hội tụ này là các mạng chính co thể bị tấn công, kiến trúc viên thông thông tin của
các tổ chức sẽ co thể gặp phải rủi ro nguy hiểm.
Mô tả các cấp độ mà cấu trúc VoIP co thể bị tấn công:
Điểm yếu Mô tả
Cấu trúc IP Điểm yếu này liên quan đến các hê thống sử dụng mạng chuyển
mạch goi, no làm ảnh hƣởng đến cấu trúc hoạt động VoIP.
Hê điều hành Các thiết bị VoIP kế thừa điểm yếu của hê điều hành và các
firmware mà chúng chạt trên đo (windows và linux)
Cấu hình Cấu hình mặc định của các thiết bị VoIP luôn co những dịch vụ dƣ
thừa. Các port của các dịch vụ thừa này trở thành điểm yếu cho các
tấn công DoS, tràn bộ đêm hoặc tránh sự xác thực…
Mức ứng dụng Các công nghê mới con non yếu co thể bị tấn công bẻ gãy hoặc mất
điều khiển đối với các dịch vụ.
4.1.1. Lỗ hổng đối với hệ thống H.323
Do H.323 sử dụng phƣơng thức chứng thực tƣơng đối chắc chắn giữa các thành
phân H.323 và là giao thức co hỗ trợ bảo mật (H.235) nên luồng dữ liêu rất bảo mật. Tuy
vậy cũng co một vài lỗ hổng, nghiêm trọng nhất là tràn bộ đêm do no dùng định dạng
bản tin ASN.1, dê dàng bị DoS.
4.1.1.1. Can thiệp vao thông tin tính cƣớc
GK là nơi quản lý cuộc gọi, no co chức năng tập trung thông tin tính cƣớc và gửi về
cho BES, BES lƣu giữ thông tin này và gọi là CDR (Call Detail Record), thông tin này
tối thiểu phải gồm co:
Thời gian cuộc gọi: thời gian bắt đâu và kết thúc cuộc gọi, do GK theo dõi.
CallID: mỗi cuộc gọi co 1 giá trị duy nhất khác nhau do GK tạo ra.
UserID: duy nhất cho mỗi user đƣợc cấp quyền, giá trị này xác định tại thời
điểm đăng ký.
Bảo mật trong VoIP
72
CDR đƣợc gửi từ GK tới BES, do đo co thể chặn các goi này, sửa thông tin thời
gian cuộc gọi. Để khắc phục phải chứng thực giữa GK và BES đồng thời phải đảm bảo
toàn vẹn dữ liêu.
4.1.1.2. Cuộc gọi trực tiếp
Tính cƣớc dựa trên viêc cuộc gọi đƣợc định tuyến thông qua GK. Tuy nhiên, đâu
cuối trong mạng H.323 co khả năng gọi trực tiếp mà không thông qua GK miên là no
biết đƣợc địa chỉ IP của ngƣời bị gọi.
Traffic RTP luôn đƣợc gửi trực tiếp giữa các đâu cuối, do đo chỉ cân 1 cuộc gọi là
co thể xác định đƣợc địa chỉ IP của bên bị gọi. Để khắc phục thì gateway chỉ cho phép
thông tin báo hiêu từ GK đi qua.
4.1.1.3. Giả dạng đầu cuối
Để khởi tạo cuộc gọi, EP phải tiến hành 3 bƣớc: đăng ký, xin chấp nhận cuộc gọi
(Call Admission) và Q.931 thiết lập cuộc gọi. Quá trình đăng ký và xin chấp nhận cuộc
gọi sử dụng bản tin RAS truyền qua UDP. Do đo, không co một phiên thực sự nào dành
cho bản tin RAS, kẻ tấn công co thể chèn các bản tin này vào. Thông tin báo hiêu thực sự
dùng bản tin Q.931 và đƣợc vận chuyển thông qua TCP.
Giả dạng EP trong giai đoạn đăng ký, sau đo kẻ giả dạng co thể thực hiên tất cả các
dịch vụ mà một user đƣợc phân quyền co. Kiểu giả dạng này thành công nếu user bị giả
dạng không đăng ký vào thời điểm giả dạng và nếu UserID là một IP thì chỉ co user trong
cùng mạng mới co thể giả dạng đƣợc.
Tấn công trong giai đoạn xin chấp nhận cuộc gọi, cũng phải cùng mạng mới tấn
công đƣợc vì phải biết đƣợc UserID của user muốn giả dạng.
Tấn công băng các bản tin Q.931. Các bản tin Q.931 đƣợc xác định băng trƣờng
CallID nên giá trị này phải hợp lê. CallID đƣợc sinh ra trong quá trình xin chấp nhận
cuộc gọi vì vậy kẻ tấn công hoàn toàn co đƣợc vì cuộc gọi đã đƣợc cho phép. Nhƣng nếu
giá trị CallID đã đƣợc dùng thì tấn công không thành công.
Bỏ qua giai đoạn xin chấp nhận cuộc gọi, dùng preGranted ARQ cho một nhom
user, GK không thể phát hiên ra và sẽ thiết lập cuộc gọi bình thƣờng. Chứng thực co thể
ngăn chặn đƣợc kiểu tấn công này.
Các kiểu tấn công trên chỉ co thể thực hiên khi không co các biên pháp bảo mật. Nếu
chứng thực đƣợc dùng thì độ bảo mật phụ thuộc vào độ phức tạp của password
Bảo mật trong VoIP
73
4.1.1.4. Giả dạng Gatekeeper
Giả dạng một băng một GK khác: GK giả mạo chấp nhận yêu câu thiết lập cuộc gọi
do không co hỗ trợ bảo mật cho Q.931. Co thể ngăn chặn băng cách thông tin cho GK về
toàn bộ GK co trong mạng. Thông thƣờng thì các GK đăng ký với BES nên 1 GK co thể
lấy thông tin và địa chỉ IP khi đăng ký với BES.
4.1.1.5. Giả dạng BES
BES chỉ giao tiếp với GK băng 1 giao thức client-server riêng. Co thể tấn công
băng cách chặn 1 bản tin từ GK tới BES, sau đo thay đổi một số trƣờng nhƣ password
của EP.
4.1.2. Lỗ hổng đối với hệ thống SIP
SIP là một giao thức mới lại không co tích hợp công cụ bảo mật nào trong no nên
no co một số vấn đề về bảo mật. Tuy nhiên, theo khuyến nghị khuyên nên dùng các lớp
dƣới để bổ sung tính bảo mật cho SIP. Mặt khác là giao thức text-based nên cân dùng
TLS để mã hoa.
4.1.2.1. Chiếm quyền đăng ký (Registration Hijacking)
Bản tin đăng ký thƣờng đƣợc vận chuyển băng giao thức UDP (không đƣợc tin
cậy), hơn nữa các yêu câu đăng ký không cân phải đƣợc chứng thực bởi SIP registrars,
hoặc nếu co chứng thực thì cũng chỉ băng MD5 để mã hoa user name và password (MD5
là một thuật toán mã hoa yếu).
Cách tấn công:
Tìm một địa chỉ IP đã đƣợc đăng kí. (Đối với các user trong mạng dê dàng biết
đƣợc cấu trúc địa chỉ trong mạng, con với những user ngoài mạng thì dùng kĩ thuật
social engineering hay tool để quét ra địa chỉ của toàn mạng). Nếu co yêu câu chứng
thực thì co thể đoán password hoặc dùng kiểu từ điển. Đối với tấn công kiểu từ điển thì
mất thời gian do phải thử nhiều lân.
Gửi một yêu câu đăng kí đặc biêt co kí tự ―*‖ để xoa hết ràng buộc cho các địa chỉ
SIP bị gọi.
Gửi bản tin yêu câu đăng kí thứ hai chứa địa chỉ SIP của kẻ tấn công.
Bảo mật trong VoIP
74
Hình 47. Tấn công bằng bản tin đăng ký
Một kiểu cƣớp quyền đăng kí khác là dùng tool chặn và thêm vào yêu câu đăng kí
khi no đƣợc gửi từ một UA và server đăng ký. Kiểu tấn công này ít phổ biến hơn.
4.1.2.2. Giả dạng proxy
Kẻ tấn công dùng một proxy để chặn cuộc gọi từ UA đến proxy bên phía bị gọi.
Cách tấn công này co thể lấy đƣợc tất cả bản tin SIP và do vậy co toàn quyền điều khiển
cuộc gọi.
Kiểu tấn công:
Chèn proxy giả vào băng DNS spoofing, ARP cache spoofing hay đơn giản chỉ là
thay đổi địa chỉ proxy cho SIP phone.
Hình 48. Giả dạng proxy
Bảo mật trong VoIP
75
4.1.2.3. Message Tempering
Đây là kiểu tấn công chặn và thêm vào các goi mà các thành phân của SIP trao đổi
với nhau.
Co thể dùng các cách sau để chặn goi:
Cƣớp quyền đăng ký
Giả dạng proxy
Tấn công một trong các thành phân tin cậy trong mạng
Co thể dùng S/MIME (chứng thực và mã hoa văn bản) nhƣng nếu nhƣ văn bản ở
dạng plaintext thì kẻ tấn công vẫn co thể lấy đƣợc thông tin định tuyến.
4.1.2.4. Kết thúc session
Quan sát các thông số trong 1 session nhƣ ―To‖ và ―From‖ sau đo chèn bản tin
―BYE‖ hay re-INVITE để kết thúc cuộc gọi. Cách tấn công này co thể làm chuyển
hƣớng cuộc gọi. Kiểu tấn công này rất kho phong chống vì các trƣờng nhƣ địa chỉ đích
cân gửi đi ở dạng plaintext để cho phép định tuyến.
4.1.3. Lỗ hổng do mạng va mô trƣờng
VoIP đƣợc truyền qua cùng môi trƣờng vậy lý (router, Switch và firewall) với các
dịch vụ IP khác nên co thể bị ảnh hƣởng. Do đo xảy ra một số cách tấn công nhƣ: tấn
công reply, tấn công tràn bộ đêm, và các lỗ hổng trong DNS, ARP….
4.1.3.1. Tấn công replay
Tấn công replay là tấn công chủ động hƣớng về nghi thức. Đặc trƣng của ngƣời tấn
công này giành đƣợc goi dữ liêu gửi hoặc nhận đến host. Anh ta sửa đổi chúng và sử
dụng lại để truy cập vào một số dịch vụ nào đo. Một ví dụ tƣơng ứng với loại thoại IP là
ngƣời tấn công đạt đƣợc trong tay các goi dữ liêu gửi từ một user co quyền để thiết lập
cuộc gọi và gửi lại chúng sau khi đã sửa đổi địa chỉ IP nguồn. No co thể bị ngăn chặn
băng cách thực thi hai dịch vụ bảo mật: nhận thực thể ngang hàng (peer enity
authencation) và tính toán vẹn dữ liêu (data intergrity).
4.1.3.2. Tấn công tran bộ đệm
Đây là phƣơng thức tấn công phổ biến, là kết quả chính của viêc phát triển phân
mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là co một vài lênh không kiểm
tra đâu vào dữ liêu. Chúng đƣợc ứng dụng đặt biêt để xâu chuỗi xử lý các lênh. Quá trình
xâm nhập với nhiều đâu vào, các lênh hay là các chƣơng trình co khả năng làm cho bộ
nhớ hê thống bị viết đè lên. Nội dung của bộ nhớ này co thể bắt đâu hoặc quay trở lại địa
Bảo mật trong VoIP
76
chỉ của các chƣơng trình con.
Trƣờng hợp xấu nhất ngƣời tấn công co thể thêm vào đoạn code nguy hiểm để
cung cấp cho anh ta các quyền quản lý của hê thống. Biên pháp đối pho là hủy tất cả các
code ―yếu‖, chính các lỗ hổng nhận thức đƣợc chứa trong các hê thống hoạt động và các
chƣơng trình ngôn ngữ.
4.1.3.3. DNS (Domain Name System)
Một hồ sơ DNS A đƣợc sử dụng cho viêc chứa các domain hay hostname ánh xạ
thành địa chỉ IP. Trong hê thống VoIP, DNS co chức năng phân giải địa chỉ đích của đâu
cuối hay cho phép gateway đăng ký với server hay GK băng hostname. Do là một giao
thức thành phân của mạng internet nên DNS không co sự bảo mật nào (nhƣ chứng thực,
mã hoa…).
SIP tạo ra viêc sử dụng rộng rãi hồ sơ SRV để xác định các dịch vụ SIP nhƣ là SIP
ủy quyền và đăng nhập. Các hồ sơ SRV thƣờng bắt đâu với gạch dƣới
(_sip.tcpserver.udp.domain.com) và chứa thông tin về miêu tả dịch vụ, vận chuyển, host
và thông tin khác. Các hồ sơ SRV cho phép ngƣời quản lý sử dụng một vài user cho một
domain, để di chuyển dịch vụ từ host đến host, và để bổ nhiêm một vài host nhƣ là các
server chính cho các dịch vụ.
Một ngƣời co mục đích tấn công, sẽ cố gắng đâu độc DNS hay tấn công giả mạo, sẽ
thay thế giá trị lƣu trữ hồ sơ DNS A, SRV với các bản tin mà trỏ đến các server của
ngƣời tấn công. Điều này co thể đƣợc hoàn thành băng cách bắt đâu dời vùng từ DNS
server của ngƣời tấn công đến DNS server nạn nhân, băng cách yêu câu server DNS nạn
nhân phân tích thiết bị mạng trong domain của ngƣời tấn công. Server DNS nạn nhân
không những chấp nhận yêu câu hồ sơ mà con chấp nhận và chứa các hồ sơ mà server
tấn công co.
Ví dụ nhƣ viêc thêm vào hồ sơ A cho www.attacker.com, server DNS nạn nhân co
thể nhận đƣợc hồ sơ giả là www.yourbank.com. Nạn nhân hƣớng đến
www.yourbank.com sẽ bị chuyển hƣớng lại đến www.attacker.com trang web mà hồ sơ
giả đƣợc lƣu trữ. SIP URL thay thế cho địa chỉ website, và vấn đề tƣơng tự cũng gặp phải
trong môi trƣờng VoIP.
Những đe dọa này dựa vào sự vắng mặt của bảo đảm nhận thực của ngƣời tạo ra
yêu câu. Các tấn công trong loại này cố gắng tìm kiếm để phá hoại tính toàn vẹn của dữ
liêu đàm thoại. Các thảm họa này chỉ ra răng viêc cân thiết phải bảo mật dịch vụ để co
khả năng nhận biết thực thể tạo ra yêu câu và để kiểm tra nội dung của thông điêp và
Bảo mật trong VoIP
77
điều khiển các luồng không bị biến đổi khi phát.
4.1.3.4. ARP – Address Resolution Protocol
ARP là giao thức Ethernet cơ bản. Do no không co cơ chế chứng thực các truy vấn
và hồi đáp truy vấn nên co thể lợi dụng no để tấn công mạng VoIP. Một vài kỹ thuật hay
công cụ hiên tại cho phép bất kỳ user nào co thể tìm ra lƣu lƣợng mạng trên mạng bởi vì
ARP không co điều khoản cho câu hỏi nhận thực và câu hỏi trả lời. Thêm vào đo hâu hết
các hê thống hoạt động cập nhật bộ nhớ cache của no khi mà nhận một lời đáp ARP, bất
chấp no đƣợc gửi đi từ một yêu câu thực tế hay không.
Hình 49. Đánh lừa ARP (đầu độc cache)
Trong số những tấn công này, chuyển hƣớng ARP, đánh lừa ARP, đánh cắp ARP và
đâu độc cache ARP là các phƣơng pháp để phá hoại quá trình ARP bình thƣờng. Các
dạng này thƣờng xuyên đƣợc xen kẽ hoặc xáo trộn nhau. Dành cho mục đích của chƣơng
này, co thể xem đâu độc cache ARP và đánh lừa ARP nhƣ là cùng một quá trình. Sử dụng
các công cụ tùy thích co thể nhƣ là ettercap, cain, dsnif và các thiết bị IP co hại sẽ co thể
đánh lừa thiết bị IP thông thƣờng băng cách gửi một đáp ứng ARP không yêu câu đến
host mục tiêu. Một đáp ứng ARP giả chứa địa chỉ phân cứng của thiết bị bình thƣờng và
địa chỉ IP của thiết bị co ý đồ xấu. Trong hình 49, B là máy tính tấn công. Khi A
broadcast một câu hỏi ARP cho địa chỉ IP của C, B – ngƣời tấn công đáp ứng câu hỏi để
chỉ ra răng địa chỉ IP (10.1.1.2) liên quan đến địa chỉ MAC của B
(AB:AC:AD:AE:AF:FF). Các goi giả sử gửi từ A đến C sẽ đƣợc thay thế gửi đến B. A
sẽ hiểu lâm răng địa chỉ MAC của B tƣơng ứng với địa chỉ IP của C. Thực tế, B co thể
đâu độc cache ARP của A mà không cân đợi một yêu câu ARP từ hê thống windows
(9x/NT/2k), các mục ARP tĩnh đƣợc viết đè lên khi có một trả lời câu hỏi đƣợc nhận bất
Bảo mật trong VoIP
78
chấp co hay không câu hỏi đƣợc phát. Mục này sẽ đƣợc giữ cho đến khi chúng hết hạn
hoặc mục mới thay thế.
Hình 50. Tấn công chuyển hướng ARP
Chuyển hƣớng ARP co thể hoạt động hai chiều và thiết bị đánh lừa co thể đƣa vào
ở giữa của cuộc đàm thoại giữa hai thiết bị IP trên mạng chuyển mạch (xem hình 50).
Vì tất cả lƣu lƣợng IP giữa ngƣời gửi thực và ngƣời nhận thực bây giờ đều đi qua
thiết bị của ngƣời tấn công, thật bình thƣờng để cho ngƣời tấn công tìm ra lƣu lƣợng sử
dụng băng công cụ tùy thích nhƣ là ethereal hay tcpdump. Bất kỳ thông tin nào không
đƣợc mã hoa (bao gồm email, username, password và lƣu lƣợng web) co thể bị chặn
đứng và bị xem.
Sự chặn đứng này co khả năng tác động mạnh đến lƣu lƣợng VoIP. Các công cụ
miên phí nhƣ là vomit hay rtpsnif, cũng nhƣ là các công cụ công cộng nhƣ là VoIP Crack,
cho phép chặn đứng và mã hoa lƣu lƣợng VoIP. Các nội dung chiếm đƣợc co thể bao
gồm thoại, báo hiêu, thông tin tính cƣớc, đa phƣơng tiên và số PIN. Đàm thoại qua nội
mạng IP co thể bị chặn và ghi âm lại khi sử dụng kỹ thuật này.
Trong các thủ tục giới hạn lỗi do thao tác ARP, ngƣời quản lý phải thực thi các
công cụ phân mềm để giám sát viêc ánh xạ địa chỉ IP thành địa chỉ MAC. Ở lớp mạng,
ánh xạ địa chỉ MAC/IP co thể đƣợc mật mã tĩnh trên switch, tuy nhiên no thƣờng xuyên
không đƣợc quản lý tốt. Các rủi ro của viêc mã hoa lƣu lƣợng VoIP co thể đƣợc giới hạn
bởi thực thi mật mã. Sử dụng viêc mật mã hoa media, các cuộc đàm thoại giữa hai đâu
Bảo mật trong VoIP
79
cuối IP phải đƣợc sử dụng cùng một dạng mật mã hoa. Trong môi trƣờng bảo mật cao thì
các tổ chức cân phải đảm bảo cùng một phƣơng thức mật mã trong bộ codec IP.
Một hậu quả của kiểu tấn công chuyển hƣớng ARP là sự quá tải của Switch do
bảng CAM (Content Addressable Memory), bảng co kích thƣớc cố định, bị tràn.
Hãng Cisco co phát triển DAI (Dynamic ARP Inspection) trên dong Switch
Catalyst 6500 để phong chống các nguy cơ tấn công spoofing lớp 2 và lớp 3, trong đó có
chống tấn công chuyển hƣớng ARP. Hãng Avaya sử dụng giải pháp Media Encryption,
mã hoa băng AES, để trách viêc thông tin bị giải mã khi bị nghe trộm.
4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP
Dịch vụ internet là một chƣơng trình chạy trên một host máy tính chờ đợi một kết
nối từ khách hàng. Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn
công trực tiếp và chủ động. Ngƣời tấn công không co ý định ăn cắp một cái gì cả. Anh ta
chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhƣng không phải lúc nào dịch vụ
không đƣợc tiếp cận là nguyên nhân của tấn công DoS. No co thể là nguyên nhân của
cấu hình sai cũng nhƣ là nguyên nhân của viêc sử dụng sai.
Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụ này co
thể gặp phân nào một số hậu quả kho khăn, ví dụ nhƣ một shop trực tuyến.
Một tấn công DoS co thể là một trong ba loại sau đây:
Đe dọa vật lý hoặc thay đổi các thành phân mạng.
Đe dọa hay thay đổi cấu hình thông tin.
Giới hạn hay không thể khôi phục nguồn tài nguyên.
Các sửa đổi một phân kiến trúc phân cứng của hê thống đƣợc xem nhƣ là truy cập
đến vùng của no. Một ngƣời tấn công chỉ co thể cố gắng phá hủy các phân cứng vật lý
thông qua làm đổi hƣớng phân mềm. Một tấn công DoS trên internet co thể chỉ là loại
thứ hai hay thứ ba. Sự thay đổi cấu hình thông tin cân phải truy cập đến host máy tính.
Điều này ám chỉ răng ngƣời tấn công đƣợc tiếp cận, quản lý hê thống khi xâm phạm hê
thống. Cách thức tấn công dê nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn nhƣ
băng thông dành cho dịch vụ internet. Biến thể của tấn công DoS đƣợc gọi là tấn công từ
chối phân bổ của dịch vụ DoS (DDoS).
Tấn công DoS co thể ảnh hƣởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của
tấn công DoS co thể làm giảm chất lƣợng dịch vụ hoặc nặng hơn co thể làm mất dịch vụ.
Bảo mật trong VoIP
80
Ta co các loại tấn công nhƣ sau:
DDoS (Distributed denial-of-service): Đây là kiểu tấn công mà các goi tin làm
tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, đƣợc mô tả trong
hình 51 và hình 52.
`
firewall
Hình 51. Mô hình truy cập internet tiêu biểu
Các luồng traffic trao đổi bình thƣờng giữa các host và server bên trong và ngoài
mạng. Hình 52 cho thấy sự tấn công luồng traffic IP trực tiếp từ giao diên của firewall.
`
firewall
` `
`
`
Hình 52. Tấn công DoS phân tán
Bảo mật trong VoIP
81
Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đã biến mất
trên internet trong vài giờ khi các server của họ bị làm tràn với hàng trăm ngàn yêu câu
từ các trang web khác. Điều này làm suy giảm băng thông và các server CPU không thể
xử lý nổi.
DoS (Denial of Service): Điều kiên tấn công DoS xảy ra khi thiết bị ở trong
mạng nội bộ là cái đích của viêc làm tràn ngập các goi, dẫn đến mất liên lạc
giữa các phân trong cấu trúc mạng liên quan đến thiết bị đo. Cũng giống nhƣ
DdoS ở trên, các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên
CPU. Ví dụ: một vài điên thoại IP sẽ ngừng hoạt động nếu chúng nhận các goi
tin UDP lớn hơn 65534 bytes ở port 5060.
Hình 53. Tấn công DoS trong mạng nội bộ
Viêc kiểm tra tính toàn vẹn và kể cả viêc mã hoa cũng không thể ngăn chặn những
tấn công này. Đặc tính của tấn công DoS và DDoS là đơn giản băng cách gửi một lƣợng
lớn các goi tin đến máy nạn nhân. Mặc dù các goi tin này co đƣợc đăng ký với server hay
không, nguồn địa chỉ IP là thật hay giả, hoặc đƣợc mã hoa với một key không co thật đi
nữa thì viêc tấn công vẫn co thể xảy ra.
Tấn công DoS thật kho để chống lại bởi vì VoIP cũng chỉ là một trong những dịch
vụ trên mạng IP, no cũng dê bị tấn công nhƣ các dịch vụ trên mạng IP khác. Hơn nữa tấn
công DoS co ảnh hƣởng đặc biêt tới các dịch vụ nhƣ VoIP và các dịch vụ thời gian thực
khác, bởi vì các dịch vụ này rất ―nhạy cảm‖ với trạng thái mạng. Virus và worm năm
trong danh sách gây nên tấn công DoS hay DDoS dựa trên viêc tăng lƣu lƣợng mạng mà
chúng tạo ra băng cách tái tạo và nhân bản.
Bảo mật trong VoIP
82
4.2. Hỗ trợ bảo mật trong H.323 va SIP
Do các điểm yếu bảo mật tồn tại trong bản thân của H.323 và SIP, ngƣời ta đƣa ra
các hỗ trợ bảo mật cho các giao thức này. Tùy vào yêu câu khả năng của mạng mà áp
dụng các hỗ trợ bảo mật này.
4.2.1. Hỗ trợ bảo mật cho H.323
4.2.1.1. H.235 ver 2
H.235v2 là một khuyến nghị của ITU-T, hỗ trợ tính năng bảo mật cho H.323 về
chứng thực và đảm bảo tính riêng tƣ.
Chứng thực: Quá trình chứng thực là xác định các bên tham gia cuộc gọi là ai. Có
hai phƣơng thức chứng thực là khóa chia sẻ và khóa công khai dựa vào chứng chỉ.
Chứng thực có thể là đơn hƣớng hay song hƣớng. Quá trình này thƣờng diên ra giữa EP
và Gateway hoặc GK.
H.235 cũng sử dụng các giao thức khác hỗ trợ bảo mật nhƣ IPsec và TLS. Để
chứng thực cuộc gọi, kênh điều khiển cuộc gọi (H.245) phải đƣợc bảo mật vì những
thông tin truyền trên kênh này bao gồm các bản tin thỏa thuận các thuật toán mã hóa và
khóa mã hóa.
H.235v2 gồm có các profile:
4.2.1.2. Base-line security profile
EP và GK dùng chung một khóa mật cho mã hoa, khoa này đƣợc lƣu trong BES.
Khi EP đăng ký với GK thì GK yêu câu khóa mật từ BES, dùng no để xác định các bản
tin đƣợc gửi từ EP và tính toán ra thẻ bài cho các bản tin mà GK gửi đến EP. Các thẻ bài
này là các giá trị đƣợc tính toán bởi thuật toán đi cùng bản tin kết hợp với khóa mật. Thẻ
bài sau khi đƣợc tính toán sẽ đính vào bản tin. EP sẽ xác thực bản tin từ GK băng khóa
mật.
Phƣơng thức chứng thực này hoạt động hop-by-hop. Tại mỗi hop, thông tin chứng
thực đƣợc xác nhận và tính lại.
Chức năng của dạng profile này chia làm 2 phân:
Phân cho báo hiêu cuộc gọi (H.225 và H.245): đây là chức năng chính, đảm bảo
chứng thực và toàn vẹn dữ liêu.
Phân mã hoa thoại: đây là chức năng tùy chọn.
Bảo mật trong VoIP
83
Đặc điểm RAS H225 H245 RTP
Chứng
thực
HMAC-SHA1-96
Password
HMAC-SHA1-96
Password
HMAC-SHA1-96
Password
Toàn vẹn HMAC-SHA1-96
Password
HMAC-SHA1-96
Password
HMAC-SHA1-96
Password
Điều
khiển
truy nhập
168 bit
3DES
Quản lý
khóa
Subscription-based
password
Subscription-based
password/Diffie
Hellman
Intergrated H.235
Hình 54. H.235 Annex D Baseline security profile
4.2.1.3. Signature profile
Profile này dùng chữ ký số và không cân chỗ lƣu khoa mật nên giải pháp này linh
động và thích hợp hơn. Phƣơng pháp chứng thực cho user là băng chứng chỉ, quá trình
xác thực certificate giúp tránh bị tấn công theo kiểu man-in-the-middle-attack. Phƣơng
thức này con đảm bảo tính chất không thể chối cãi.
Đặc điểm RAS H225 H245
Chứng thực SHA1/MD5
Digital signature
SHA1/MD5
Digital signature
SHA1/MD5
Digital
signature
Toàn vẹn SHA1/MD5
Digital signature
SHA1/MD5
Digital signature
SHA1/MD5
Digital
signature
Quản lý khóa Certificate
allocation
Certificate allocation
Hình 55: H.235 Annex E: Signature profile
Bảo mật trong VoIP
84
4.2.1.4. Hybird Security Profile (H.235 Annex F)
Profile này là kết hợp giữa H.325 Annex D và H.235 Annex E. Chứng chỉ và chữ
ký số dùng để chứng thực, đảm bảo toàn vẹn và chống chối bỏ trong quá trình bắt tay
giữa các thành phân trong H.323. Cuộc gọi trong giải pháp này phải đƣợc định tuyến qua
GK.
4.2.1.5. H.235 Annex G
Profile này hỗ trợ SRTP và MIKEY.
SRTP: là phƣơng thức hỗ trợ bảo mật cho RTP, no cung cấp khả năng chứng
thực, sự tin cậy và chống replay attack.
MIKEY: do SRTP không co một cơ chế quản lý khoa nên phải dùng MIKEY,
một cơ chế quản lý khoa độc lập, để hỗ trợ.
4.2.1.6. H.235 Annex H
Khi EP tìm kiếm và đăng ký với GK trên kênh RAS, khóa thỏa thuận sẽ đƣợc quản
lý và bảo mật băng giải thuật DH trong các bản tin GRQ, GCF.
4.2.1.7. H.235 Annex I
Áp dụng cho kiểu định tuyến trực tiếp giữa hai EP. GK lúc này đong vai tro phân
phối khóa băng thẻ bài. Có một thẻ bài chứa khoa mã hoa cho ngƣời gọi và một thẻ cho
ngƣời bị gọi, ngoài ra còn có một thẻ mang khóa phiên, xác định phiên kết nối.
4.2.2. Hỗ trợ bảo mật cho giao thức SIP
Để bảo mật các dịch vụ SIP, IETF phát triển ba giao thức TLS, S/MIME và SRTP
là những lớp hỗ trợ bảo mật thêm vào cho các giao thức của SIP chứ không phải hoàn
toàn là một giao thức bảo mật.
Bảo mật trong VoIP
85
Hình 56. Các lớp bảo mật hỗ trợ cho các giao thức của SIP
Công cụ bảo mật Phƣơng thức chứng thực Tính tin cậy Toàn vẹn
S/MIME PKI Có Có
TLS PKI Có Có
HTTP Digest Pre-shared key Không Không
Hình 57. Các hỗ trợ bảo mật cho SIP
4.2.2.1. TLS: Trao đổi khóa và bảo mật cho các gói tin báo hiệu
TLS dựa trên SSL ver 3, chuẩn hóa bởi IETF. TLS cung cấp một kênh bảo mật,
trong suốt giữa hai đâu cuối. ―Trong suốt‖ ở đây co nghĩa là dữ liêu đi qua kênh này
không bị thay đổi, và nó cho phép các giao thức chạy trên TCP cũng co thể chạy trên
TLS. Vì vậy, TLS năm ngay phía trên giao thức TCP và dƣới SIP hay nói cách khác là
SIP đƣợc mã hóa bởi TLS và truyền qua kết nối TCP.
Nhìn chung, TLS đƣợc chọn để bảo mật các bản tin báo hiêu của SIP. SDU
(Service Data Unit) từ lớp trên đƣợc mã hoa trƣớc khi truyền đi, con phía bên kia PDU
(Protocol Data Unit) đƣợc giải mã và chuyển lên lớp bên trên. Hai phía đều phải có
chứng chỉ hợp lê do CA (Certificate Authority) cấp cho quá trình bắt tay của TLS.
Chứng chỉ và trao đổi khóa
Quá trình bắt tay giữa client và server nhăm thƣơng lƣợng các thuật toán bảo vê dữ
liêu và tạo một số khóa mật mã dùng bởi các thuật toán này.
Bản tin ClientHello và ServerHello trao đổi danh sách các thuật toán sẽ sử
dụng.
Chứng chỉ của server và khoa công khai đƣợc chứa trong bản tin chứng chỉ.
Khi client nhận bản tin chứng chỉ, no sẽ co khoa công khai và dùng khoa này để
Bảo mật trong VoIP
86
mã hoa một khoa mật Pre-Master do no tự tạo ra và gửi kèm theo bản tin
ClientKeyExchange tới server. Trong khi đo, KDF (Key Derivation Function)
sẽ tạo ra một master key từ khoa mật Pre-Master.
Phía server, bản tin ClientKeyExchange đƣợc giải mã băng khoa riêng của
server, co đƣợc khoa mật Pre-Master và dùng cùng KDF để tạo ra master key.
Client dùng master key tạo ra tạo ra MAC (Message Authentication Code) của
toàn bộ bản tin mà no nhận đƣợc từ server trƣớc đo rồi gửi kèm theo bản tin
Finished tới server.
Server dùng master key tạo ra một MAC của toàn bộ bản tin mà no nhận đƣợc
từ client trƣớc đo rồi gửi kèm theo bản tin Finished tới server.
Cả client và server kiểm tra tính toàn vẹn của giá trị MAC với các bản tin chúng
đã gửi. Nếu đúng thì cả hai co chung Khoa mật Master.
Hình 58. Quá trình bắt tay giữa client và server trong SSL
Bảo mật trong VoIP
87
Hình 59. Dữ liệu lớp trên đóng gói bởi TLS/SSL
4.2.2.2. SRTP(Secure Real-time Transport Protocol): Bảo mật cho gói tin
thoại/video
SRTP là giao thức phát triển hỗ trợ cho RTP để mã hóa, chứng thực bản tin, chống
nghe lén. Nó năm giữa lớp ứng dụng RTP và lớp vận chuyển RTP. SRTP cũng co SRTCP,
hỗ trợ các chức năng bảo mật cho RTCP. SRTP mã hóa các gói thoại dùng AES, thuật
toán mã hoa dùng khoa đối xứng và có khả năng nén RTP header. Phân tải RTP đƣợc mã
hoa sau đo đong goi vào trong goi SRTP.
Nhƣợc điểm: mất thời gian xử lý hơn nên co thể tăng trê.
Điều quan trọng nhất trong SRTP là sự an toàn của khoa trao đổi giữa hai bên bao
gồm: địa chỉ IP, số port UDP, SSRC (Synchronization Source RC). Cài đặt khóa cho tất
cả các máy điên thoại thì quá phức tạp, vì vậy RTP và SRTP nên ở chung một lớp hơn là
hai lớp tách biêt.
MIKEY (Multimedia Internet Keying)
Là một giải pháp quản lý khóa. Nó có ba cách vận chuyển và thiết lập khóa mã hóa
TEK (Traffic Encryption Keying): preshared key, public key và DH (Diffie Hellman).
Với preshared key, public key thì khoa đƣợc đƣa tới ngƣời nhận một cách an toàn, còn
với DH thì khoa đƣợc sinh ra dựa trên các giá trị trao đổi giữa hai bên.
SDP Security Descriptions
SDP Security Descriptions là thuộc tính mới của SDP, dùng để báo hiêu và thƣơng
Bảo mật trong VoIP
88
lƣợng các thông số mã hóa cho luồng SRTP, gồm: bộ mật mã, thông số khóa, thông số
phiên cho luồng unicast.
a=crypto: <tag> <crypto-suite> <key params> [<session-params>]
Trong đo:
<tag>: số thập phân, nhận dạng thuộc tính crypto
<crypto - suit> thuật toán chứng thực và mã hoa
<key-params> phƣơng thức và thông tin khoa thực sự
<session-params > thông số tùy chọn chỉ giao thức vận chuyển
Thuộc tính này chỉ hạn chế cho các luồng unicast, các dịch vụ bên dƣới của giao
thức vận chuyển (IPsec, TLS, S/MIME) bảo đảm cho thuộc tính này của SRTP.
Ngoài TLS và SRTP còn phải có các thuật toán khác hỗ trợ chứng thực user,
xác thực chứng chỉ, trao đổi khóa mã hóa.
4.2.2.3. Bảo đảm sự tin cậy
Sự tin cậy đƣợc bảo đảm băng cách mã hóa tải mà chỉ co ngƣời có khóa mới đọc
đƣợc.
Hình 60. Mã hóa trong SRTP
Giá trị khởi tạo ban đâu + khóa = 128 bit block Bi,j (giá trị khởi tạo ban đâu đƣợc
tính băng 48 bit chỉ số gói, 32 bit SSRC, 112 bit salting key dịch trái và XOR). Mỗi một
block 128 bit này XOR với 1 block plaintext RTP để tạo ra 1 block cipher text.
Bảo mật trong VoIP
89
4.2.2.4. Chứng thực bản tin
Toàn vẹn bản tin đƣợc đảm bảo nhờ hàm hash.
Hình 61. Chứng thực gói SRTP
HMAC-SHA1 băm header và phân tải với khóa mật. Giá trị này là thẻ chứng thực
của ngƣời gửi. Ngƣời nhận cũng tính toán tƣơng tự và so sánh với thẻ, nếu không đúng
thì chứng thực thất bại và gói bị bỏ.
4.2.2.5. Replay Protection
ROC và sliding window đƣợc dùng để chống ghi lén. 16 bit số thứ tự trong header
và 32 bit ROC trong bảng mật mã tạo thành 48 bit, là chỉ số của gói. Chỉ số goi đƣợc mã
hóa cùng với các thông số khác để tạo các chuỗi khóa.
Hình 12. Chống ghi lại bằng Sliding Window
Chỉ số gói nhận đƣợc phải năm trong phạm vi của sliding window và bit Received
tƣơng ứng phải là thứ tự gói xử lý tiếp theo, nếu không gói sẽ bị hủy. Nếu kẻ tấn công
Bảo mật trong VoIP
90
chọn một số ngẫu nhiên, kích thƣớc cửa số là 64 thì 99% (1-64/216
) gói bị hủy.
4.2.2.6. S/MIME: Chứng thực bản tin
S/MIME mã hóa băng khoa công khai, đong goi theo định dạng MIME. Cung cấp
các dịch vụ bảo mật cho các ứng dụng bản tin (HTTP, SIP) nhƣ: chứng thực, toàn vẹn
bản tin, không chối cãi (nếu dùng chữ ký số), an toàn dữ liêu (do đƣợc mã hóa).
SIP gồm có header và phân bản tin SDP. Phân bản tin SDP đƣợc mã hóa băng
S/MIME, tuy nhiên các trƣờng trong header nhƣ To, From, Call-ID, Cseq và Contact là
cân thiết đối với các thành phân trung gian nhƣ SIP proxy server, firewall, UAS để thiết
lập một cuộc gọi đƣợc yêu câu nên nó phải ở dạng plaintext.
Hình 63. Quá trình gửi bản tin của S/MIME
Quá trình trao đổi khóa và bản tin giữa hai hệ thống:
Bản tin gốc đƣợc băm băng một thuật toán băm, nếu không co quá trình này thì
Bảo mật trong VoIP
91
sẽ mất nhiều thời gian xử lý hơn khi ký số vì bản tin quá dài.
Alice ký bản tin đƣợc băm băng thuật toán chữ ký số và đính chữ ký đo kèm
theo bản tin gốc.
Một session key đƣợc sinh ra ngẫu nhiên để mã hoa bản tin, chứng chỉ và chữ
ký băng một thuật toán mã hoa.
Key session đƣợc mã hoa băng public key của Bob dùng thuật toán mã hoa
public key, rồi đính kèm bản tin đã đƣợc mã hoa.
Phía bên nhận, dùng private key của Bob và cùng thuật toán mã hoa để giải mã
ra session key.
Dùng session key vừa giải mã đƣợc giải mac cho bản tin, chứng chỉ và chữ ký
số.
Bob kiểm tra xem bản tin co phải gửi từ Alice không và no co bị thay đổi khi
truyền không băng cách:
- Dùng thuật toán băm nhƣ bƣớc 1
- Bob xác nhận chứng chỉ của Alice là hợp lê
- Dùng thuật toán trong bƣớc 2, giá trị băm đƣợc ký bởi public key của Alice.
- Chữ ký đƣợc so sánh với chữ ký nhận đƣợc, nếu không đúng thì bản tin đã bị
can thiêp.
4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP
Cơ sở của cấu trúc bảo mật hiện hanh.
Chúng ta bắt đâu quá trình bảo mật cấu trúc VoIP băng cách xem lại các cấu trúc
bảo mật hiên hành. viêc các thành phân VoIP hoạt động với dữ liêu mạng là một cơ hội
tốt để xem lại và bổ sung các chính sách bảo mật hiên co, cũng nhƣ cấu trúc và quá trình
xử lý của chúng.
Hình bên dƣới mô tả các thành phân cấu trúc bảo mật.
Bảo mật trong VoIP
92
Hình 64. Các thành phần cấu trúc bảo mật
Interface giữa dữ liêu và thoại với mạng bên ngoài đƣợc mô tả băng những vong
tron từ 1 đến 6. Thêm vào đo, dữ liêu và thoại chia sẻ interface với giao diên vật lý và
Social. Interface từ data mạng bao gồm VPN, điên thoại và modem, các loại web và dịch
vụ mail điên tử, các kết nối từ các công ty con bên ngoài thông qua đƣờng WAN. Các kỹ
thuật bảo mật nhƣ là Firewall, IDS và ACLs hữu dụng cho những Interface này.
Interface từ 7 đến 9 mô tả ứng với admin, user và các tổ chức kết nối mạng.
Interface 10 đến 12 là những interface giữa phân vật lý với dữ liêu và thoại. Gân
đây, một số vấn đề xảy ra trong khu vực này, kết quả là làm mất dữ liêu quan trọng
Cuối cùng interface 13 miêu tả VLAN (Virtual LAN) interface.
Viêc liêt kê các danh sách này thực ra cũng không cân thiết, nhƣng no cũng chỉ cho
chúng ta biết nơi mà viêc thực hiên bảo mật đạt hiêu quả nhất. Mục đích của phân này là
giúp chúng ta củng cố lại các khái niêm với nhiều thành phân mà bạn đƣợc yêu câu đảm
bảo trên mạng VoIP/data.
Phƣơng pháp va chính sách bảo mật
Từ lợi ích của thông tin liên lạc, yêu câu đảm bảo hê thống mạng và bao gồm cả cơ
sở kiến trúc thông tin liên lạc. Quá trình bảo mật hội tụ mạng VoIP/Data bắt đâu băng sự
đƣa ra, sự bổ sung, sự liên lạc hiêu quả của các chính sách bảo mật. Một chính sách khi
đƣợc viết ra, thì cũng cân thêm một khoảng thời gian để đƣa ra thảo luận. Một chính
sách có những ƣu điểm thuận lợi đƣợc xây dựng dựa trên hê thống báo cáo của một tổ
chức nào đo cân phải đảm bảo các tiêu chuẩn về chất lƣợng, tính tin cậy, tính toàn diên.
Bảo mật trong VoIP
93
Khi đạt đƣợc điều này, viêc bảo mật thông tin trở nên dê dàng đối với ngƣời quản trị
cũng nhƣ gánh nặng về kỹ thuật, và thêm nhiều thuận lợi khác nữa.
Viêc đề ra chính sách là một bƣớc quan trọng tiến đến viêc chuẩn hoa các hoạt
động tổ chức kinh doanh. Chính sách của tổ chức là phƣơng tiên truyền tải quản lý đảm
bảo các vấn đề bảo mật IT, đồng thời cũng làm sang rõ đối với các bên cộng tác, liên
quan hoặc những ngƣời co trách nhiêm. Những chính sách đề ra phải thiết lập các chuẩn
cho viêc bảo vê tài nguyên thông tin băng cách đƣa ra các chƣơng trình quản lý, những
nguyên tắc cơ bản, những định nghĩa, những hƣớng dẫn cho mọi ngƣời bên trong tổ
chức. Mục tiêu chính của chính sách bảo mật là ngăn chặn những hành vi co thể dẫn tới
nguy hiểm.
Không co một quá trình tốt nhất cho sự phát triển các chính sách bảo mật. Những
quá trình này phụ thuộc vào các biến nhƣ kích thƣớc, tuổi và vị trí của tổ chức đo, sự
điều chỉnh tác động của tổ chức, tính nhạy cảm của tổ chức về các nguy cơ.
Vậy ta tìm hiểu thế nào là chính sách tốt ?
Bất chấp điểm xuất phát, sự phát triển của những chính sách kia là một quá trình
lặp lại, chính sách đâu tiên đƣợc loại bỏ. Các tài liêu các chính sách bảo mật phác thảo
đƣợc đánh giá an toàn dựa trên một số đặc trƣng:
- Phạm vi của tài liêu co thích hợp?
- Áp dụng chính sách đối với những ai?
- Thông tin của tổ chức đƣợc định nghĩa toàn diên?
- Chính sách này co phù hợp với chỉ thị, hƣớng dẫn của tổ chức, co phù hợp với
luật pháp hay không?
- Và con nhiều điều kiên khác nữa…
Những hƣớng dẫn, những chính sách, những thủ tục co hiêu quả cho viêc bảo vê hê
thống mạng của bạn:
- Chính sách điều khiển truy cập
- Chính sách quản lý tài khoản
- Chính sách sẵn sàng
- Chính sách quản lý cấu hình và những thủ tục
- Chính sách quản lý tƣờng lửa (Firewall)
- Chính sách mã hóa chung
- Chính sách điều khiển truy cập Internet
- Chính sách giáo dục và ý thức an toàn Internet
Bảo mật trong VoIP
94
- Chính sách do tìm xâm nhập
- Chính sách quản lý mật khẩu
- Chính sách tài khoản ngƣời dùng
- Chính sách ngăn ngừa virus
…
Tuy nhiên, kết quả của sự thi hành các chính sách bảo mật trên lại là quá trình khác.
4.3.1. VLAN
Sự tích hợp thoại, dữ liêu và video trên cùng một mạng làm cho sự bảo mật của hê
thống VoIP cũng bị ảnh hƣởng bởi các dịch vụ khác. Để có thể giải quyết đƣợc vấn đề
này ta tách biêt về luận lý giữa các dịch vụ băng VLAN.
Hình 65. VLAN
Lợi ích của VLAN:
Giảm lƣu lƣợng broadcast và multicast vì chỉ có các máy trong cùng một VLAN
mới có thể thông tin đƣợc với nhau. VLAN đƣợc cấu hình trên switch.
VLAN dê dàng quản lý, giúp quản lý thiết bị một cách tập trung. VLAN có thể sắp
xếp và quản lý các PC hay softphone dựa vào chức năng, lớp dịch vụ, tốc độ kết nối hoặc
những tiêu chuẩn khác.
Giảm delay và jitter, do đo cải thiên QoS.
Hê thống VoIP có thể bị ảnh hƣởng bởi sự thiếu bảo mật của các dịch vụ khác của
mạng dữ liêu.
Bảo mật trong VoIP
95
Hình 66. VLAN phân theo chức năng
VLAN góp phân trong bảo mật hê thống VoIP. Lƣu lƣợng giữa các VLAN đƣợc
đảm bảo (trừ khi sử dụng router). Nó làm giảm các broadcast lƣu lƣợng trên mạng mà
điên thoại phải nhận.
Quản lý lƣu lƣợng băng VLAN giúp cho lƣu lƣợng SNMP và syslog không bị
nhiêu với dữ liêu, dê dàng hơn trong viêc quản lý mạng.
VLAN còn làm giảm nguy cơ DoS. Do muốn liên lạc giữa các VLAN thì phải đi
qua lớp mạng, các lƣu lƣợng này sẽ bị lọc bởi các ACL trên lớp mạng.
Để bảo đảm an toàn cho lƣu lƣợng tại lớp 2 thì cân hạn chế quyền truy cập băng
cổng console của Switch băng cách sử dụng những phƣơng pháp chứng thực mạng nhƣ
RADIUS hay AAA.
4.3.2. VPN
Công nghê VPN cung cấp một phƣong thức giao tiếp an toàn giữa các mạng riêng
dựa trên hạ tâng mạng công cộng (Internet). VPN thƣờng đƣợc dùng để kết nối các văn
phòng, chi nhánh với nhau, các ngƣời dùng từ xa về văn phong chính. Công nghê này có
thể triển khai dùng các giải pháp sau: Frame Relay, ATM hay Leased line.
Các giao thức và thuật toán đƣợc dùng trong VPN bao gồm DES (Data Encryption
Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE).
Có hai loại kết nốit VPN:
- Client – to – LAN
Bảo mật trong VoIP
96
- LAN – to – LAN
Hình 67. Client-to-LAN VPN
Công nghê VPN dựa trên kỹ thuật đƣờng hâm (tunneling). Kỹ thuật này bao gồm
đong goi, truyền đi, giải mã, định tuyến. VPN có ba loại: Point – to – Point Tunneling
Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), IPsec.
4.3.2.1. Point – to – Point Tunneling Protocol
Đây là một giao thức phát triển bởi Microsoft, làm viêc ở lớp 2 trong mô hình OSI.
PPTP đong goi frame PPP vào gói IP băng cách sử dụng GRE (General Routing
Encapsulation).Các hình thức đảm bảo sự bảo mật gồm: chứng thực, mã hóa dữ liêu, lọc
gói PPTP.
PPTP dùng các giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver 1 và ver 2),
PAP, trong đo MS-CHAP ver2 và EAP-TLS đƣợc xem là bảo mật nhất vì cả VPN server
và VPN client đều chứng thực lẫn nhau. Tải trong PPP frame đƣợc mã hóa băng RSA
(Rivest, Shamir and Adleman), RC4 (Rivest Cipher 4).
Trong MS-CHAP ver1 giá trị băm của LAN và của Windows NT đƣợc sinh ra dựa
trên cùng một password và đƣợc gửi song song từ client đến server. Vì giá trị LAN
manager hash đƣợc bảo mật kém nên các chƣơng trình bẻ password có thể tấn công
đƣợc, khi đã biết đƣợc giá trị băm của LAN, có thể dùng no để tìm ra giá trị của
Windows NT. MS-CHAP ver 2 khắc phục đƣợc lỗi trên nhờ dùng cơ chế mã hóa.
RSA và RC4 cũng co các điểm yếu do khóa mã hóa dựa trên password của user và
cả client và server đều dùng chung khóa mã hóa.
4.3.2.2. Layer 2 Tunneling Protocol
L2TP là giao thức chuẩn của IETF (RFC 2661). Khác với PPTP, L2TP có thể chạy
trên nhiều chuyển mạch khác nhau nhƣ X.25, Frame Relay, ATM, nhƣng thƣờng thì
L2TP đong goi PPP frame trong L2TP frame và dùng UDP để truyền đi (không dùng
Bảo mật trong VoIP
97
GRE). Dùng UDP tốt hơn cho các dịch vụ thời gian thực.
Bản thân L2TP không đảm bảo bảo mật, nó cân các giao thức vận chuyển bên dƣới
làm điều này. Điều này đƣợc thực hiên qua viêc bảo mật trong PPP hoặc dùng IPsec.
Hình 68. Cấu trúc L2PT
4.3.2.3. IP Security
Với đặc điểm là dê bị bắt gói trong mạng IP nên yêu câu mã hóa là cân thiết cho hê
thống VoIP. IPsec có thể bảo mật thông tin của EP và luồng dữ liêu. IPsec là tập giao
thức phát triển bởi IETF, bảo mật ở lớp IP.
IPSec bao gồm 4 thành phân: thành phân mã hoa (Encryption), trao đổi khóa
(Security Association), đảm bảo toàn vẹn dữ liêu (Data Integrity) và kiểm tra nguồn gốc
dữ liêu (Origin Authentication).
IPsec gồm hai giao thức: Authenticaion Header (AH) và Encapsulating Security
Payload (ESP).
AH: chứng thực data và chống replay, dùng giao thức IP số 51
ESP: dùng giao thức IP số 50
ESP chỉ mã hóa và chứng thực trên goi ban đâu (không có header), còn AH thì
chứng thực toàn bộ gói (có header) và không mã hóa.
Bảo mật trong VoIP
98
Hình 69. Chứng thực và mã hóa của AH và ASP
IPsec gồm 2 mode:
Tunnel mode: tạo thêm một IP header mới gồm một địa chỉ nguồn và một địa
chỉ đích (co thể khác với địa chỉ nguồn và địa chỉ đích trong goi IP). ESP chứng
thực và mã hoa trên goi IP, con AH chứng thực thêm một phân của header mới.
Transport mode: ESP mã hoa và chứng thực goi IP (không co phân header), AH
thì co chứng thực thêm một phân header mới.
Hình 70. Cấu trúc gói IPsec ở transport mode
Hình 71. Cấu trúc gói IPsec ở tunnel mode
Trong quá trình thiết lập kết nối, VPN client và VPN server sẽ thƣơng lƣợng thuật
toán mã hoa đƣợc sử dụng trong số các thuật toán sau: DES, MD5, SHA, DH
Security Association (SA) thƣờng đƣợc quản lý bời IKE. SA thƣờng có thể dùng
pre-shared key, mã hóa RSA hoặc chữ ký số. IPsec chứng thực băng shared secret và
certificate, bảo mật hơn so với PPTP chứng thực băng password của user.
4.3.3. Firewall
Bảo mật trong VoIP
99
Đong vai tro rất quan trọng trong viêc bảo mật mạng dữ liêu khỏi những tấn công
từ bên ngoài. Một số loại firewall cơ bản sau có thể bảo vê dữ liêu ở các lớp khác nhau
trong mô hình OSI:
Packet filtering firewall
Circiut level gateway firewall
Personal firewall
Chức năng cơ bản của firewall đƣợc thiết kế không phải dành cho các ứng dụng
thời gian thực nhƣ VoIP nên viêc thiết lập firewall cho hê thống VoIP sẽ làm cho hê
thống phức tạp hơn ở một số quá trình: port động trunking, thủ tục thiết lập cuộc gọi.
Ngoài ra, firewall còn có nhiêm vụ điều khiển luồng thoại và dữ liêu. Nếu không
cài đặt firewall thì tất cả các lƣu lƣợng đến và đi từ IP phone đều phải đƣợc cho phép vì
RTP dùng port UDP động, và nhƣ vậy thì tất cả các port UDP đều phải mở, thiếu bảo mật.
Vì vậy, IP phone thƣờng đặt sau firewall để tất cả các lƣu lƣợng đều đƣợc kiểm soát mà
không cân phải mở tất cả các port UDP firewall đƣợc sử dụng để cách ly về mặt luận
lý giữa thoại và dữ liêu.
4.3.4. NAT (Network Address Translation)
Là kỹ thuật mà địa chỉ nguồn hay địa chỉ đích thay đổi khi đi qua thiết bị có chức
năng NAT, cho phép nhiều host trong mạng nội bộ dùng chung một địa chỉ IP để đi ra
mạng bên ngoài.
Ngoài one-to-one mapping thì còn có many-to-one mapping hay còn gọi là NAPT
(Network Address Port Translation).
NAT có 4 chính sách:
Full: tất cả các yêu câu từ cùng các host bên trong (địa chỉ IP và port) đƣợc ánh
xạ tới cùng một IP hay port đại diên bên ngoài, vì vậy bất kỳ một host bên ngoài
co thể gửi goi tới 1 host bên trong nếu biết địa chỉ đƣợc ánh xạ đo.
Restricted: chỉ cho phép 1 host bên ngoài với IP X gửi goi cho host mạng bên
trong nếu host của mạng bên trong đã gửi tới IP X một goi trƣớc đo.
Port restricted: Giống Restricted one nhƣng co thêm port. Chính sách này đƣợc
sử dụng để co thể dùng chung một địa chỉ IP đại diên bên ngoài.
Symmetric: tất cả các request từ cùng 1 IP hay port đến 1 đích nào đo đƣợc ánh
xạ đi băng 1 IP đại diên, nếu đi tới 1 đích khác thì no sẽ đi băng IP đại diên khác
Chỉ co những host bên ngoài nhận đƣợc goi thì mới gửi goi ngƣợc trở lại các
host bên trong đƣợc.
Bảo mật trong VoIP
100
Hình 72. Quá trình thay đổi địa chỉ trong NAT
Lợi ích của NAT:
Giảm bớt số IP cân dùng băng cách sử dụng chung 1 IP đại diên để đi ra bên ngoài.
Với viêc sử dụng chung 1 IP đại diên để đi ra bên ngoài nhƣ vậy thì mọi lƣu lƣợng muốn
truy nhập vào mạng bên trong thì phải qua NAT, bảo mật hơn.
4.3.5. Một số chú ý khi sử dụng NAT và firewall trong hệ thống VoIP
Ảnh hưởng đến QoS:
Viêc thiết lập firewall và NAT gây ra trêvà jitter, làm giảm QoS. Về bản chất, muốn
cải thiên QoS thì quá trình xử lý gói khi qua firewall phải nhanh, mà khả năng xử lý gói
của firewall lại phụ thuộc vào năng lực của CPU. CPU xử lý gói chậm là do: header của
gói thoại phức tạp hơn goi IP bình thƣờng nên thời gian xử lý lâu hơn; số lƣợng gói RTP
quá lớn có thể làm firewall CPU bị qua tải.
Cuộc gọi tới:
Khi một có một cuộc gọi tới thì các lƣu lƣợng báo hiêu tới đi qua firewall, cân phải
mở một số port, điều này có thể gây nguy hiểm.
Với NAT điều này càng kho khăn vì NAT dùng port động, mà một host bên ngoài
chỉ có thể gọi cho 1 host năm sau NAT nếu biết chính xác địa chỉ IP và port của nó.
Voice Stream:
RTP dùng port động (1024-65534), còn RTPC quản lý luồng thoại băng một port
ngẫu nhiên, khó mà đồng bộ port của RTP và RTPC. Nếu cả hai host đều năm sau NAT
thì càng kho khăn.
NAT chỉ ánh xạ địa chỉ bên trong và địa chỉ đại diên đi ra bên ngoài trong 1 khoảng
thời gian t(s). Nếu kết nối bị đứt hay không co lƣu lƣợng đi qua NAT trong t(s) thì ánh xạ
này sẽ biến mất.
Nếu dùng TCP thì khi kết nối TCP kết thúc thì cuộc gọi cũng kết thúc. Nếu dùng
Bảo mật trong VoIP
101
UDP thì không nhận biết đƣợc vì UDP là phi kết nối. Nếu sử dụng VAD thì có khả năng
thông tin kết nối bị xoa trƣớc khi cuộc gọi thật sự kết thúc.
Mã hóa:
Viêc mã hoa giúp đảm bảo tính toàn vẹn dữ liêu nhƣng ta cũng gặp một số vấn đề
với nó khi sử dụng NAT và firewall:
Firewall sẽ chặn các goi co header đƣợc mã hóa.
NAT dấu đi IP bên trong với mạng bên ngoài nên phƣơng pháp chứng thực ESP
và AH của Ipsec là không hợp lê.
4.3.6. Một số giải pháp cho vấn đề firewall
4.3.6.1. DMZ (Demititarized Zone)
DMZ là vùng trung gian giữa mạng tin cậy bên trong và mạng bên ngoài nhƣ
Internet, là giải pháp ngăn ngừa sự tƣơng tác trực tiếp giữa ngƣời bên trong và bên ngoài
hê thống, đƣợc xây dựng với mục đích làm cho hê thống an toàn hơn. Co hai cấu hình
thƣờng thấy là DMZ một firewall và DMZ đƣợc đặt giữa hai firewall nhƣ hình vẽ.
Hình 73. Kiến trúc DMZ và một firewall
Bảo mật trong VoIP
102
Hình 74. Vùng DMZ nằm giữa hai firewall
H.323 gatekeeper hay SIP proxy đƣợc đặt trong vùng DMZ có thể đƣợc giải quyết
đƣợc vấn đề port động, chỉ cân cấu hình firewall sao cho đâu cuối có thể liên lạc đƣợc
với gatekeper/proxy. Nhƣ vậy, vấn đề port động vẫn có thể khắc phục đƣợc bên ngoài
firewall mà vẫn năm trong vùng an toàn.
4.3.6.2. ALG (Application Level Gateway)
ALG là giải pháp cho vấn đề firewall/NAT trong mô hình doanh nghiêp. ALG là
một phân mềm cài đặt trên firewall. Nó cho phép một ứng dụng đƣợc yêu câu co đƣợc
phép không, giúp cho những ứng dụng đuợc cho phép trong hê thống đƣợc quản lý một
cách dê dàng.
Firewall có tích hợp ALG có khả năng phân tích và nhận biết các giao thức báo
hiêu SIP/H.323 và đong/mở các port một cách linh động băng cách đọc các bản tin báo
hiêu SIP/H.323.
Hình 75. Hoạt động của ALG
Bảo mật trong VoIP
103
Khi co cài đặt NAT thì ALG cân phải mở gói thoại và sửa lại thông tin header cho
tƣơng ứng với địa chỉ IP của mạng nội bộ hay IP bên ngoài đối với lƣu lƣợng đi ra. Vấn
đề của NAT đƣợc giải quyết khi ALG thay thế địa chỉ IP của mạng nội bộ băng IP của
chính ALG, không những thế nó còn ánh xạ lƣu lƣợng RTP đến những port mà ALG có
thể đọc và chuyển đến đúng các ứng dụng bên trong.
Giải pháp này đoi hỏi phải nâng cấp phân mềm hoặc thay thế hê thống
firewall/NAT cũ. Hơn nữa, tất cả các lƣu lƣợng thoại đều đƣợc định tuyến qua ALG nên
khi lƣu lƣợng tăng lên thì nhu câu các port cho RTP và RTPC không đủ. Vì vậy mặc dù
đâu cuối có port thích hợp để thực hiên cuộc gọi nhƣng cuộc gọi vẫn bị ALG từ chối.
Nhược điểm của ALG:
ALG tốn kém do phải nâng cấp khi chuẩn thay đổi.
ALG xử lý các gói thoại thì gây ra trê và jitter, khi số lƣợng cuộc gọi tăng lên co
thể gây nghẽn mạng.
ALG đƣợc cài đặt trên firewall nên có thể làm firewall mất ổn định.
4.3.6.3. Middlebox Communication (MIDCOM)
ALG đƣợc cài đặt trên firewall nên có thể gây trê và nghẽn. MIDCOM là giải pháp
giải quyết vấn đề của ALG băng cách đƣa các chức năng của ALG vào một thiết bị năm
ngoài firewall gọi là Midcom agent. Thƣờng thiết bị này là H.323 gatekeeper/SIP proxy
năm trong vùng DMZ vì đây là thành phân đáng tin cậy và có tham gia vào quá trình
điều khiển phiên kết nối. Các thiết bị này bây giờ có thể phân tích lƣu lƣợng VoIP và ra
lênh cho firewall mở/đong các port dựa trên yêu câu báo hiêu thông qua giao thức
MIDCOM.
Hình 76. Hệ thống dùng Middlebox Com
Bảo mật trong VoIP
104
Giải pháp này có thể tăng tính linh động và giảm chi phí nâng cấp mạng. Ngoài ra
còn cải tiến hơn về mặt hoạt động vì tách rời viêc phân tích và chặn gói.
Nhược điểm của MIDCOM:
Phải cấu hình cho firewall để Midcom agent điều khiển nó.
Midcom agent phải đƣợc bảo vê an toàn vì nó có khả năng điều khiển firewall,
nếu kẻ tấn công nắm đƣợc quyền điều khiển Midcom agent thì có thể mở bất cứ
port nào trên firewall, nên phải đặt thêm một firewall thứ 2 để bảo vê nó.
4.3.6.4. Session Border Controller
Ngoài giải pháp ALG và MIDCOM, giải pháp SBC (Session Border Controller)
cũng đƣợc phát triển dành cho doanh nghiêp. SBC thƣờng đặt trong vùng DMZ và cung
cấp các chức năng sau:
Firewall/NAT: SBC có thể hoạt động nhƣ một thiết bị NAT hay firewall hay kết
hợp với firewall trong cùng DMZ. SBC có thể mở các lỗ (pinhole) để cho lƣu
lƣợng báo hiêu và thoại đi qua. Cho phép lƣu lƣợng báo hiêu và lƣu lƣợng thoại
nhận và chuyển tới các thiết bị năm sau firewall và NAT tạo biên của mạng mà
không cân phải nâng cấp firewall hay thiết bị.
Điều khiển chấp nhận cuộc gọi: SBC điều khiển các cuộc gọi báo hiêu qua
mạng, có thể từ chối cuộc gọi khi cân thiết, vì vậy có thể bảo vê mạng khỏi tấn
công DoS. Điều khiển chấp nhận cuộc gọi có thể đảm bảo các thỏa thuận về
mức độ dịch vụ, nhƣ vậy thuê bao có thể đảm bảo tốc độ kết nối trong giới hạn
của mạng đƣờng trục.
Ngoài ra, SBC còn có các chức năng khác:
QoS: Đảm bảo tài nguyên mạng cho thiết lập cuộc gọi và các dịch vụ cuộc gọi
khẩn.
Báo hiêu liên mạng: báo hiêu giữa H.323 và SIP.
4.3.7. Giải pháp cho NAT
4.3.7.1. STUN (Simple Traversal of UDP through N)
Cho phép các ứng dụng nhận biết sự có mặt và các loại NAT và firewall giữa nó và
Internet. Có thể xác định địa chỉ IP đi ra bên ngoài do NAT tạo ra. Giải pháp này đoi hỏi
client phải hỗ trợ STUN.
STUN nhận biết NAT băng cách gửi các bản tin binding request đến STUN server
yêu câu địa chỉ và số cổng dùng để truyền và nhận lƣu lƣợng. STUN server hồi đáp cho
STUN client băng bản tin binding response mang thông tin địa chỉ IP đi ra bên ngoài và
Bảo mật trong VoIP
105
số port của NAT. Các thông tin này sẽ dùng thiết lập bản tin thiết lập cuộc gọi.
Thực tế thì rất ít sản phẩm hỗ trợ STUN nên giải pháp này không đƣợc phổ biến.
4.3.7.2. TURN (Traversal Using Relay NAT)
TURN là giao thức cho phép một thiết bị năm sau NAT/firewall nhận dữ liêu qua
TCP/UDP, bổ sung cho hạn chế của STUN là có thể sử dụng đƣợc NAT đối xứng vì
TURN năm trên đƣờng báo hiêu.
STUN không năm trên đƣờng báo hiêu cuộc gọi nên khi sử dụng NAT đối xứng,
NAT sẽ ánh xạ cho lƣu lƣợng đi ra một địa chỉ khác, đối với lƣu lƣợng bên ngoài đi vào
cũng tƣơng tự.
4.3.7.3. ICE (Interactive Connectivity Establishment)
Các giải pháp STUN và TURN đều có những thuận lợi và hạn chế riêng. IETF đã
phát triển một giải pháp khác là ICE. Nó không phải là một giao thức mà nó là một phân
làm viêc cùng với STUN hay TURN, cho phép client khảo sát tìm ra cách thông tin với
bên ngoài. Các ICE client sẽ trao đổi thông tin (IP private và public kể cả khi có sự thay
đổi) và thƣơng lƣợng tìm ra các con đƣờng có thể kết nối giữa chúng và chọn con đƣờng
có chất lƣợng tốt nhất (trê và jitter thấp nhất).
4.3.7.4. Đƣờng hầm
Giải pháp này giải quyết vấn đề firewall/NAT băng cách tạo đƣờng hâm cho báo
hiêu và cả lƣu lƣợng thoại đi qua firewall/NAT. Giải pháp này đoi hỏi một server trong
mạng nội bộ và một ở mạng bên ngoài. Hai server này sẽ tạo ra một đƣờng hâm mang tất
cả lƣu lƣợng SIP, đƣờng hâm này thƣờng không cân mã hóa.
Hình 77. Hoạt động của Tunneling
Bảo mật trong VoIP
106
Ngoài ra con co ƣu điểm là thay đổi ít nhất chính sách bảo mật sẵn có. Tuy nhiên
nó sẽ gây trê trên lƣu lƣợng thoại, làm giảm chất lƣợng cuộc gọi.
4.3.8. NIDS (Network Intrusion Detection System)
NIDS là hê thống giám sát tất cả các lƣu lƣợng trong mạng. NIDS là thiết bị thụ
động, lƣu lƣợng không đi qua no, mà no chỉ lấy tất cả các gói trên mạng để phân tích.
Nếu co lƣu lƣợng không bình thƣờng bản thân nó sẽ phát cảnh báo cho ngƣời quản trị
mạng biết.
Hình 78. Vị trí của NIDS trong hệ thống
Hoạt động của IDS:
IDS theo dõi tất cả những trạng thái bình thƣờng của hê thống và do đo phát hiên ra
những tấn công bất thƣờng vào hê thống. Kiến trúc của nó gồm Call State Fact Base,
chứa các trạng thái điều khiển và các biến trạng thái, cho phép theo dõi tiến trình của
cuộc gọi. Thông tin trạng thái đƣợc cập nhật từ Event Distributor. Attack Scenarino
chứa những kiểu tấn công đã biết.
IDS quản lý sự thay đổi trạng thái của các goi đƣợc phân tích băng chức năng Call
basis. Tất cả gói của một cuộc gọi đƣợc phân thành một nhóm, rồi lại chia thành các
nhóm nhỏ dựa trên loại giao thức, rồi đƣa vào các bộ máy phân tích khác nhau, các bộ
máy này đƣợc đồng bộ băng các tham số chung và các sự kiên nội bộ. Event Destributor
cũng phân loại các gói nhận đƣợc cho Attack Scenarino.
Các gói từ Event Destributor và thông tin trạng thái từ Attack Scenarino/ Call State
Fact Base đƣợc đƣa đến Analysis Engine. Khi có sự bất thƣờng nào về giao thức hay
trùng với một kiểu tấn công biết trƣớc thì IDS sẽ bật cờ cảnh báo cho ngƣời quản trị phân
tích thêm.
Bảo mật trong VoIP
107
Hình 79. Cấu trúc bên trong của thiết bị NIDS
4.3.8. HIDS (Host-based Intrusion Detection System)
Hê thống phát hiên xâm nhập Host(HIDS) là một ứng dụng hoạt động dựa trên
thông tin đƣợc tập hợp từ những máy tính riêng lẻ. Điểm lợi thế này cho phép HIDS
phân tích các hoạt động trên các host để theo dõi với mức độ chi tiết cao hơn. No co thể
xác định quá trình hoặc user nào liên quan đến các hoạt động phá hoại. Hơn nữa, không
giống nhƣ NIDS, HIDS co thể phát hiên ra tấn công trên một máy bởi vì chúng co thể
truy cập trực tiếp hoặc theo dõi các file dữ liêu và quá trình hê thống nhắm tới những tấn
công này.
Cách khác, HIDS co thể dùng những nguồn thông tin theo hai kiểu, kiểm soát vận
hành hê thống và nhật ký hê thống. Viêc kiểm soát hê điều hành hình thành ở mức trong
cùng của hê điều hành (nhân), bởi vậy nhật ký hê thống bảo vê tốt hơn và chi tiết hơn.
Hâu hết các phân mềm HDIS, thiết lập một file ―kiểm kê số‖ và những thuộc tính
của chúng. Viêc sử dụng những kiểm kê này nhƣ một đƣờng mốc cho viêc theo dõi sự
thay đổi của hê thống. ―Kiểm kê‖ thông thƣờng là một file chứa đựng các file kiểm tra cá
nhân và các thƣ mục riêng đƣợc mã hoa băng thuật toán MD5.
Bảo mật trong VoIP
108
Sự giám sát HIDS đặc biêt quan trọng đối với phƣơng tiên truyền thông VoIP,
proxy, registration server và nên xem xét các phân khởi đâu của viêc thiết lập goi. Thật
vậy, những nhà cung cấp nhƣ Cisco thậm chí đang làm cài đặt mặc định cho phân này
vào thiết bị của họ.
Tuy nhiên HDIS không thể ngăn chặn tấn công DoS cũng nhƣ không thể phát hiên
các cuộc do quét mạng. HIDS cân tài nguyên trên host để hoạt động.
Kết Luận:
Trong chƣơng này đã nghiên cứu bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các
nguy cơ tấn công và từ đo co những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP.
Bảo mật trong VoIP
109
Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIÊT BỊ CISCO, TRIÊN KHAI
MÔ HINH VOIP TRONG MANG LAN VÀ DEMO TẤN CÔNG TRONG VOIP
[6], [11]
5.1. Cấu hình VoIP mô hình phong thực hanh
Router 2801
Gateway 2Gateway 1
Router 2801
F0/1: 192.169.2.1 F0/1: 192.169.2.2
192.169.1.2
F0/0
192.169.1.1F0/0
192.169.3.1
192.169.3.2
Soft-phone Soft-phone
Ng i ngNg i ng
Hình 80. Mô hinh bai lab 1
Trong mô hình hình 80 sử dụng 2 router 2801 trên phong thƣc tâp hê thông v iên
thông, đong vai trò là 2 Gateway hỗ trợ VoIP. Thiết bị đâu cuối sử dụng 2 máy tính co cài
đặt phân mềm Cisco IP Communication. Để sử dụng phân mềm Cisco IP
Communication hoạt động nhƣ một ephone phải cài đặt goi quản lý CME(Call Manager
Express) cho router.
5.1.1. Câu hinh giao thƣc măc đinh cua Gateway
5.1.1.1. Các câu lệnh trong bai lab
Cấu hình giao diện cho router
Router(config)# interface fastethernet 0/0. Lênh chọn giao diên fastethernet.
Router(config-if)#ip address ip-address subnetmask. Lênh cấu hình địa chỉ IP
và subnetmask cho giao diên fastethernet 0/0.
Router(config-if)#no shutdown. Lênh chuyên giao diên sang chê đô online.
Router(config-if)#exit. Lênh nay thoat khoi mode câu hinh cho giao diên f0/0.
Router(config)#interface serial 0/0. Chọn giao diên cổng serial 0/0.
Router(config-if)#ip address ip-address subnetmask. Lênh cấu hình địa chỉ IP
và subnetmask cho cổng serial 0/0.
Router(config)#clockrate 6400. Lênh cấu hình xung clock cho cổng serial 0/0.
Câu hinh đinh tuyên cho Gateway
Co nhiều giao thức định tuyến khác nhau co thể đƣợc chọn để định đƣờng đi cho
goi tin. Trong bai lab nay se câu hinh đinh tuyên vơi giao thƣc RIP.
Router(config)#router rip. Chọn giao thức định tuyến RIP.
Bảo mật trong VoIP
110
Router(config-router)#network net-ip-address. Khai bao cac mang ma router
kêt nôi trƣc tiêp, để thông qua các mạng đo RIP se hoc đƣơc mạng khác không
kêt nôi trƣc tiêp vơi router . Trong môt router co thê co nhiêu kêt nôi trƣ c tiêp,
nên khi dung giao thƣc RIP thi phải khai báo đây đủ các kết nối trực tiếp này.
Router(config-router)#exit. Thoát khỏi mode cấu hình định tuyến.
Cấu hình quản lý ephone
Muốn cấu hình quản lý một cisco CME phone, co thể cấu hình rất nhiều tham số
đây đủ để một phone hoạt động và hiển thị đây đủ các hiên thị giờ, bí danh, tên, hay các
kiểu chuông... Dƣới đây là một số câu lênh cơ bản để hỗ trợ CME phone đăng ký và
quản lý CME phone.
Router(config)#tftp-server flash:P00307020300.bin. lênh đặt goi quản lý
P00307020300.bin làm tftp-server. Goi hỗ trợ quản lý CME.
Router(config)#telephony-service. Lênh này chon chế độ cấu hình dịch vụ là
telephone.
Router(config-telephony)#max-ephones digit. Lênh đặt sô IP phone tối đa
đƣợc hỗ trợ bởi Gateway.
Router(config-telephony)#max-dn digit.
Router(config-telephony)#load 7960 P0030700300. Lênh này cho phép chọn
loại IP phone là 7960 và tải kiểu firmware mà ephone dùng để đăng ký với
Gateway.
Router(config-telephony)#ip source-address ip-address : 2000. Lênh này chỉ
ra địa chỉ IP và cổng của router mà tại đo ephone sẽ đăng ký.
Router(config-telephony)#create cnf-files. Lênh cho phép cấu hình file XML.
Router(config-telephony)#secondary-dialtone 9. Lênh này để tạo một âm
khác khi ấn số 9 gọi ra ngoài mạng.
Router(config-telephony)#timeouts interdigit digit. Lênh thiết lập thời gian
timeout giữa các lân nhấn số liên tiếp. Đơn vị thời gian tính băng giây.
Router(config-telephony)#timeouts ringing digit. Lênh thiết lập thời gian ring
chuông cho phép. Nếu quá thời gian trên mà bên kia không nhấc máy thì cuộc
gọi chấm dứt.
Router(config-telephony)#date-format dd-mm-yy. Lênh đặt kiểu hiển thị thời
gian trên ephone.
Router(config-telephony)#exit. Kêt thuc mode telephone-service.
Router(config)#ephone-dn 1 dual-line. Tạo một đƣờng điên thoại với hai dây.
Bảo mật trong VoIP
111
Router(config-ephone-dn)#number ephone-number. Thiết lập số điên thoại
cho ephone. Số điên thoại co thể theo quy tắc E.164. Co chiều dài từ 3 đến 5 số.
Router(config-ephone-dn)#name name. Lênh này cho phép đặt tên thay cho số
điên thoại.
Router(config)#ephone 1. Cấu hình cổng giao diên vật lý cho ephone.
Router(config-ephone)#mac-address MAC. Khai báo địa chỉ MAC của máy
tính cài đặt ephone.
Router(config-ephone)#type 7960. Chọn loại IP phone là loại 7960.
Router(config-ephone)#button 1:1.
Router(config-ephone)#exit. Kêt thuc mode.
Cấu hình Dial-peer cho Cisco CME Phones
Router(config)# voice service voip. Lênh câu hinh và chỉ rõ loại hình dịch vụ
voice la voip.
Router(config-voi-serv)# allow-connections h323 to sip. Lênh cho phép một
đâu cuôi H.323 co thể kết nối đƣợc với một đâu cuối SIP trong mô hình IP – to
IP Gateway.
Router(config-voi-serv)#exit.
Router(config)# dial-peer voice tag Peer type. Lênh đinh nghia môt dial - peer
cụ thể. Giá trị tag thay đôi tƣ 1 đến 2147483647. Peer type bao gôm co POST,
VoIP, VoFR, VoATM, đây la nhƣng kiêu kêt nôi . Kiêu POST kêt nôi đên
(PSTN, PBX, telephone, and fax) hay la cac WAN riêng sƣ dung VoIP, VoFR,
VoATM. Trong bai lab nay kiêu ta dung la VoIP.
Router(config-dial-peer)#destination-pattern [+] string [T]. Lênh xac đinh
đich cho cuôc goi dial-peer, môt day sô đâu hoăc môt sô đây đu kiêu E.164.
Router(config-dial-peer)#session target ipv4:ipaddress. Lênh c hỉ ra địa chỉ
của dial-peer ma tai đo cuôc goi đƣơc nhân.
Router(config-dial-peer)# dtmf-relay type-channel. Lênh nay cho phep chon
phƣơng thƣc mang thông tin bao hiêu dtmf. Router cisco hô trơ cac phƣơng
thƣc mạng dtmf nhƣ hinh dƣơi đây.
Hình 81. Các phương thức mạng thông tin dtmf
Bảo mật trong VoIP
112
Router(config-dial-peer)# codec g711ulaw. Lênh chi ra chuân ma hoa voice .
Trong router cisco hô trợ nhiêu chuân ma hoa:
Hình 82. Các chuẩn mã hóa router cisco hỗ trơ
Router(config-dial-peer)# no vad. Không cho phep tự đông do tìm voice trong
các cuôc goi dial-peer.
Router(config-dial-peer)#end. Câu hình xong và thoát khỏi mode cấu hình.
5.1.1.2. Thƣc hiên va kêt qua
Thƣc hiên câu hinh va cài đặt phân mềm Cisco IP Communicator trên cac PC đê no
là các soft-phone.
Thƣc hiên câu hinh cho hai router đong vai tro hai gateway quan ly cac soft-phone.
Router 2801 trên phong thƣc tâp điên tƣ viên thông không co công serial vì thế ta thay
công serial băng công fastethernet 0/1. Tƣc la kêt nôi hai router băng công f0/1.
Trên giao diên f0/0 của gateway 1 câu hinh đia chi IP: 192.168.3.1. Giao diên nay
kêt nôi trƣc tiêp đê n PC cai phân mêm Cisco IP C ommunicator. PC co đia chi IP :
192.169.3.2. Sô cua soft-phone la 101.
Trên giao diên f0/0 của gateway 2 câu hinh đia chi IP: 192.168.1.3. Giao diên nay
kêt nôi vơi môt PC khac co cai phân mêm Cisco IP communicator . PC co đia chi I P:
192.168.1.4. Sô cua soft-phone la 202.
Giao diên f1/0 của gateway 1 câu hinh đia chi IP: 192.168.2.1. Giao diên f1/0 của
gateway 2 câu hinh đia chi IP: 192.168.2.2.
Dƣơi đây la môt sô kêt qua câu hinh. Băng cach sƣ dung cac lênh show và debug
để thấy đƣợc sự hoạt động của mạng.
Bảo mật trong VoIP
113
Hình 83. Kêt qua show run của voice gateway 2
Trong kêt qu ả show run này co một số lê nh cung câp cac dinh vu tiên ich cho
ephone nhƣ: Transfer cuôc goi, hiên thi ngay giơ, dịch vụ chọn nhạc chuông báo hiêu...
Trong mô hinh cơ ban nay nêu giao thƣc không đƣơc chi ra thi gateway mặc định
sƣ dung giao thƣc H.323 low, Tƣc H.323 version 1. Cũng co thể cấu hình giao thƣc khac
băng cach chi ro giao thƣc trong phân dial-peer.
Lênh show h323 gateway, cho ta biêt trang thai cac ban tin đƣơc gƣi va nhân trong
cuôc goi. Trên hình 84 các bản tin H.225 đƣơc chi ra. Ở đây chi ro sô ban tin n hân, sô
bản tin gửi và số bản tin bị lỗi.
Bảo mật trong VoIP
114
Hình 84. Kết quả lệnh show h323 gateway
Trong cuôc goi nay bao hiêu trƣc tiêp giƣa hai Gateway đong vai tro la hai đâu cuôi,
quá trình thiết lập cuộc gọi trực tiếp giống nhƣ hình 31(phân 3.1.3.1 trang 46).
Sau khi đa thiêt lâp câu hinh đây đu cho cac Gateway va PC, kêt qua nhân đƣơc khi
kêt nôi cac cuôc goi hình 85. Do thƣc hiên trên hai router thât vơi khoang cach ngăn va
đƣơng truyên chi co tin hiêu voice nên chât lƣơng thoai rât tôt.
Giao diên ephone khi đa kêt nôi nhƣ sau:
PC 2 PC 1
Hình 85. Giao diên cac soft-phone khi đa kêt nôi thanh công
5.1.2. Câu hinh vơi giao thƣc SIP
Bảo mật trong VoIP
115
Trong mô hinh trên hình 80 ta co thê cho n giao thƣc SIP va câu hinh cho cac
SIP-UA. Vơi cac câu lênh chi ra dƣơi đây . Các câu lênh câu hinh giao diê n va quan ly
ephone nhƣ phần 5.1.1.1 trang 108 đã noi rõ.
Câu hinh chon giao thƣc SIP trong dial-peer
Router(config)# dial-peer voice tag voip. Lênh nay nhƣ noi ơ phần 5.1.1.1, để
vào một dial-peer cu thê. Trong bài lab này ta cấu hình chọn kiểu voip.
Router(config-dial-peer)#session target ipv4:ipaddress. Đia chi giao diên
quản lý CME của bên bị gọi.
Router(config-dial-peer)#session protocol sipv2. Lênh chi ra giao thƣc sƣ
dụng là SIP phiên bản 2.
Router(config-dial-peer)#dtmf-relay sip-notify. Chọn hình thức mang thông
tin dtmf trên thông bao cua sip.
Router(config-dial-peer)#codec g711ulaw. Chọn kiểu mã hoa thoại vơi chuân
64kbps.
Router(config-dial-peer)#no vad.
Router(config-dial-peer)#exit. Kêt thuc mode.
Câu hinh cho SIP – UA
Router(config)# sip-ua. Chọn mode cấu hình cho các UA.
Router(config-sip-ua)# registrar dns:manh.com.vn. thƣc hiên đăn g ky vơi
domain name.
Router(config-sip-ua)# registrar ipv4:ipadress. Đia chi nhân cuôc goi.
Router(config-sip-ua)# retry register 10. Lênh nay chi ra sô ban tin register
mà gateway nên gƣi trong môt phiên. Giá trị này thay đổi từ 1 – 10
Router(config-sip-ua)# timers register 500. Xét thời gian đợi của sip – UA đơi
trƣơc khi gƣi tiêp register requests.
Router(config-sip-ua)# retry invite 3. Sô ban tin invite ma UA nên gƣi trong
môt phiên. Ở đây chọn giá trị 3.
Router(config-sip-ua)# retry register 3. Sô ban tin re gister ma UA nên gƣi
trong môt phiên. Ở đây chọn giá trị 3.
Router(config-sip-ua)#exit.
Tiên hanh câu hinh trên hai router băng cac câu lênh ơ trên . Các giao diên và các
đia chi nhƣ chi ra ơ phân 5.1.1 trang 108.
Sƣ dung câu lênh show và debug để kiểm tra kêt qua câu hinh. Dƣơi đây la trich
môt đoan cua lênh show run, đoan câu hinh dial-peer sƣ dung giao thƣc SIP .
Bảo mật trong VoIP
116
!
dial-peer voice 400 voip
destination-pattern 4..
session protocol sipv2
session target ipv4:192.169.2.2
dtmf-relay cisco-rtp
codec g711ulaw
no vad
!
sip-ua
no redirection
retry invite 2
retry bye 2
!
Sƣ dung lênh show sip-ua statistics ta co thê thây đƣơc sô lƣơng cac ban tin đƣơc
gƣi, sô bản tin gƣi thanh công va sô ban tin không gƣi thanh công trong môt phiên SIP .
Hình 86. Kết quả show sip-ua statistics
Bảo mật trong VoIP
117
Sƣ dung câu lênh debug ccsip messages cho ta cac ban tin SIP trong qua trinh
thiêt lâp cuôc goi cung nhƣ trong cuôc goi và kết thúc cuộc gọi . Dƣơi đây là minh hoa
môt ban tin response 200.
Hình 87. Bản tin SIP 200
5.2. Câu hinh VoIP vơi giao thƣc H.323 có Gatekeeper
Trong bai lab nay se đi sâu xem xet va câu hình cụ thể một mô hình mạng VoIP co
sử dụng giao thức báo hiêu H.323 và co mặt của Gatekeeper. Nhƣ đa chi ra trong phân ly
thuyêt, Gatekeeper la thanh phân tuy chon trong mang VoIP nhƣng no đong môt vai tro
rât quan trong trong hê thống mạng VoIP . Nêu trong mang co măt cua G atekeeper thi
các đâu cuối H.323 phải tuân thủ đây đủ các thủ tục với Gatekeeper.
5.2.1. Các câu lệnh dung trong câu hinh mô hinh nay
5.2.1.1. Câu hinh cho Gateway H .323
Trong mô hinh cua bai lab na y cac Gateway cung nôi trƣc tiêp vơi cac PC co cai
đăt cac soft-phone. Vì vậy viêc cấu hình các giao diên, câu hinh quan ly CME, câu hinh
đinh tuyên vơi cac câu lênh nhƣ trinh bay trong bai lab thƣ nhât. Ở đây chỉ đƣa ra nhƣng
câu lênh đê câu hinh cho Gateway thƣc hiên viêc nhân vung cua gakeeper va đăng ky
trong miên quan ly bơi Gatekeeper.
Bảo mật trong VoIP
118
Câu hình giao diện liên kết với Gakeeper
Giao diên nay phai la giao diên kêt nôi trƣc tiêp đên cac thiêt bi đâu cuôi.
Router(config)# interface fastethernet 0/0. Truy nhâp vao giao diên kêt nôi
vơi gatekeeper. Ở đây chọn giao diên f0/0.
Router(config-if)#h323-gateway voip interface. Khai bao giao diên f 0/0 trơ
thành giao diên H.323 – Gateway.
Router(config-if)#h323-gateway voip id domain-name-gatekeeper ip-address
Ras-port. Lênh nay chi ra ID va đia chi IP cua Gatekeeper ma Gateway đăng
ký. Trong đo domain-name là tên domain của Gatekeeper mà Gateway đăng ký.
Ip-address là địa chỉ IP của giao diên trên Gatekeeper của vùng quản lý mà
gateway đăng ky . Ras-port là chỉ số cổng kênh RAS , chỉ số cổng mặc định là
1718.
Router(config-if)#h323-gateway voip h323-id [gateway name]. Lênh cho
phép cấu hình ID cho thƣc thê H.323 đăng ky cung vơi Gatekeeper. Gatekeeper
thƣa nhân Gateway căn cƣ vao ID nay.
Router(config-if)#h323-gateway voip tech-prefix 1#. Đăng ky môt tiên tô
điên thoai.
Router(config-if)#h323-gateway voip bind srcaddr [ip-address]. Lênh chi ra
nguôn cua goi H.323. Đia chi nay chinh la đia chi giao diên cua Gateway đang
làm viêc, tƣc la đia chi cua giao diên f0/0.
Câu hinh dial-peer
Router(config)# dial-peer voice tag (Peer type). Lênh nay chi ra môt k ênh
cuôc goi cu thê.
Router(config-dial-peer)#destination-pattern [+] string [T]. Lênh xac đinh
đich cho cuôc goi dial-peer, môt day sô đâu hoăc môt sô đây đu kiêu E.164.
Router(config-dial-peer)#session target ras. Chọn phiên làm viê c vơi kênh
báo hiêu RAS.
5.2.1.2. Câu hinh cho Gatekeeper
Router(config)# gatekeeper. Lênh goi đên mode cua gatekeeper đê thƣc hiên
các cấu hình chức năng cho gatekeeper .
Router(config-gk)# zone local zone-name domain-name [ras-ip-address]
[port]. Trong đo zone-name chỉ tên của Gatekeeper do ngƣơi quan tri đăt cho
no. Domain name là tên domain của G atekeeper. [ras-ip-address] là thành
phân tuy chon, chỉ ra địa chỉ IP của giao diên ma cac điêm cuôi H.323 hoăc cac
Bảo mật trong VoIP
119
gateway liên lac vơi Gatekeeper. [port-RAS] cũng là thành phân tùy chọn , chỉ
ra chi sô công cua kênh bao hiêu RAS . Giá trị cổng thay đổi từ 1 – 65535 và
công măc đinh cua no la 1719. Ví dụ : Router(config-gk)# zone local
gk-zone2.com com 192.168.6.1 1719.
Router(config-gk)#zone remote zone-name domain-name ip-address [port].
Trong đo zone-name là tên của một vù ng ngoai nao đo. Domain-name là tên
domain cua môt vung xa . Ip-address là địa chỉ IP của vùng remote . [port] là
thành phân tùy chọn, co giá trị mặc định là 1719. Môt gatekeeper co thê co rât
nhiều zone-remote. Ví dụ : Router(config-gk)#zone remote gk-zone1.com
com 192.168.4.1 1719.
Router(config-gk)# zone prefix gatekeeper-name e164-prefix. Lênh đƣa cac
tiên tô vao danh sach vung cua G atekeeper. Ví dụ: Router(config-gk)# zone
prefix gk-zone1.com 4..
Router(config-gk)#no shutdown. Chuyên trang thai cho G atekeeper sang
trạng thái online.
Nhƣng câu lênh trên là cơ bản để một Gatekeeper hoạt động trong một mạng VoIP.
5.2.2. Thƣc hiên va kêt qua
Gateway R1
Router 2801
Gatekeeper R2
Gatekeeper R3 Gateway R4
Gatekeeper R5
Gateway R6
Switch 2
Switch 1
Switch 3
Soft-phone
Soft-phone
Soft-phone
Router
7200
Router
2801
Router
2650
Router
7200
Router
7200
Hình 88. Mô hinh bai lab 2
Trong mô hinh trên tôn tai 3 miên mạng với 3 Gatekeeper quan ly . Các router R1
R4, R6 đong vai tro la các Gateway, kêt nôi trƣc tiêp vơi các PC co cai soft-phone băng
Bảo mật trong VoIP
120
giao diên fast ethernet 0/0. R2, R3, R5 đong vai tro la cac G atekeeper quan ly 3 miên
mạng. Các Gateway và Gatekeeper đƣơc câu hinh theo cac câu lênh đa chi ra ơ trên.
Trong mô hinh nay chon cac router 7200 đong vai tro la cac gatekeeper . Chỉ co
dong router 7200 trơ lên mơi hô trơ chƣc năng gatekeeper .
Quá trình thực hiên tìm G atekeeper thƣc hiên băng căp ban tin GRQ /GCF. Quá
trình đăng ký với gatekeeper của Gateway thƣc hiên băng căp ban tin RRQ/RCF. Khi
thƣc hiên môt cuôc goi end-to-end giƣa hai đâu cuôi H .323 của hai miềm mạng khác
nhau, thì quá trình setup cuộc gọi đƣợc thực hiên theo sơ đồ hình 59. Trong sơ đô này
các bản tin báo hiêu H .225 sẽ đƣơc gƣi trƣc tiêp giƣa 2 Gateway ma không thông qua
Gatekeeper. Co thể thấy đƣợc điều này thông qua lênh show gatekeeper performance
stats trên hình 92. Trên hình 92 các bản tin mà Gatekeeper thƣc hiên không co cac ban
tin bao hiêu H.225. Gatekeeper trong bai lab nay chi co nhiêm vu quan ly điêm cuôi cua
mình và co nhiêm vụ định tuyến cho các cuộc gọi. Sau khi Gatekeeper nhân đƣơc ban tin
ARQ cua đâu cuôi H.323 thông bao vê cuôc goi, no sẽ gửi lại bản tin ACF để thông báo
cho điêm cuôi biêt đƣơc đia chi kênh bao hiêu cua điêm cuôi đich. Điêm cuôi H.323 sẽ
căn cƣ vao đia chi kênh H.225 vƣa nhân đƣơc đê thiêt lâp cuôc goi trƣc tiêp đên phia đâu
cuôi bi goi.
Các kênh điều khiển H.245 cũng đƣợc truyên trƣc tiêp giƣa cac Gateway. Khi kêt
thúc cuôc goi, do co măt cua Gatekeeper cac điêm cuôi phai thƣc hiên giai phong kênh
vơi Gatekeeper băng bản tin DRQ/DCF.
Hình 89. Setup cuôc goi
Dƣơi đây la môt sô kêt qua thu đƣơc tƣ lênh show
Bảo mật trong VoIP
121
Hình 90. Kêt qua show Gatekeeper calls
Hình 91. Kêt qua show Gatekeeper
Hình 92. Kết quả của lệnh show performance stats
Bảo mật trong VoIP
122
5.3. Thiêt lâp mạng VoIP trong một mạng LAN
5.3.1. Giơi thiêu va yêu câu cua hê thông
Hiên nay co nhiều nhà cung cấp đã đƣa ra các phân mềm hỗ trợ, để tạo ra các tổng
đai IP mêm. Kèm theo nhiêu phân mêm đong vai tro la cac soft-phone. 3CX la nha cung
câp phân mêm 3CX rât đƣơc ƣa chuông hiên nay. 3CX cung câp phân mêm cho các máy
tính chạy hê điều hành windows trơ thanh cac tông đai hoăc cac soft-phone.
Hê thống Điên thoại 3CX chạy trên Windows là một hê thống IP PBX băng phân
mềm thay thế cho các hê thống PBX / PABX băng phân cứng truyền thống. IP PBX của
3CX đƣợc phát triển riêng cho Microsoft Windows và đƣợc dựa trên chuẩn SIP – dê
dàng hơn trong viêc quản lý mà cho phép bạn sử dụng bất kỳ điên thoại SIP nào (phân
cứng hoặc phân mềm). Hê thống IP PBX /PABX băng phân mềm cung cấp nhiều lợi ích:
Không cân đƣờng dây điên thoại riêng – các điên thoại sử dụng mạng máy tính
Cấu hình và theo dõi hê thống dê dàng thông qua giao diên trên web
Chi phí mua thấp hơn rất nhiều so với hê thống PBX / PABX băng phân cứng
Loại bỏ viêc chạy dây điên thoại nên viêc chuyển văn phong dê dàng hơn
Có thể chọn nhiều loại điên thoại phân cứng chuẩn SIP thay vì phải dùng cố
định một nhà sản xuất
Nghe & Gọi qua đƣờng PSTN (điên thoại thông thƣờng) băng Gateways
Giảm chi phí gọi đƣờng dài và giữa các văn phong với nhau
Ở đây ta không bàn đến cuộc gọi dùng điên thoai cƣ ng hay cuôc goi ra mang
PSTN. Vì để thực hiên no cân các thiết bị hỗ trợ khác . Trong phân nay chỉ đề cập đến
viêc sƣ dung hê thông điên thoai 3CX đê tao ra môt mang VoIP sƣ dung cac soft-phone
đƣơc cai trên cac PC trong môt mang LAN. Mô hinh nay rât hƣu ich cho cac phong ban
và doanh nghiêp.
Yêu câu cua hê thông:
Tôn tai môt mang LAN , co kết nối internet.
Co phân mềm 3CXPhoneSystem8.0 và 3CXPhone4. Hai phân mêm nay chung
ta co thê download hoan toàn miên phí tại trang web: www.3cx.vn.
Môt may tính co bộ nhớ RAM tối thiểu 1 Gigabyte và CPU tối thiểu Pentium 4,
dùng để cài phân mềm 3CXPhoneSystem8.0, để biến máy tính đo thành một
tông đai IP PBX.
Các máy trong mạng LAN cài đặt phân mềm 3CXPhone4, no là những
soft-phone. Các may tinh cân trang bi các thiết bị nghe gọi nhƣ : tai nghe va
microphone.
Bảo mật trong VoIP
123
5.3.2. Cai đặt va đăng ký
Cai đặt 3CXPhoneSystem8.0
Sau khi download phân mêm 3CXPhoneSystem8.0 từ web www.3cx.vn ta tiên
hành cài đặt trên máy co cấu hình yêu câu nhƣ trên . Các bƣớc cài đặt sẽ đƣợc
chỉ rõ trong lúc chúng ta cài . Chú ý tại bƣớc cài ở hình 93. Sau đây là một số
bƣớc chính cân chú ý :
Hình 93. Bước cần chú ý khi cài 3CXPhoneSystem8.0
Bƣớc tiếp theo tạo ra hê thống IP PBX hoặc khôi phục lại hê thống, hình 94.
Hình 94. Giao diên đê đăng ky va thiêt lâp IP PBX
Bảo mật trong VoIP
124
Bƣơc tiêp theo la bƣơc chon sô chƣ sô trong sô phone cua hê thông IP PBX ,
hình 95. Ở đây IP PBX hô trơ tƣ 2 đến 5 chƣ sô.
Hình 95. Chọn số chữ số của hệ thống tổng đài
Bƣớc tiêp theo la bƣơc đăng ky SIP domain cho IP PBX.
Hình 96. Khai bao SIP domain cho IP PBX
Bảo mật trong VoIP
125
Bƣơc tiêp theo la khai bao SMTP va mail server.
Hình 97. Khai báo SMTP mail
Bƣơc tiêp theo la đăng ky username va p assword đê logon vao 3CX IP PBX
băng công console.
Hình 98. Đăng ky để login vào PBX bằng cổng console
Bảo mật trong VoIP
126
Bƣơc tiêp la ta câu hinh các sô phone cho cac softphone. Trong câu hin h đê
quản lý các soft phone, cân yêu câu nhâp đây đu cac thông sô đê IP PBX quan
lý. Chú ý địa chỉ mac viết liên nhau. Tại bƣớc này ta co thể cấu hình cho tât ca
các số cung câp cho môt LAN.
Hình 99. Câu hinh quan ly các soft-phone
Tiêp theo chọn nhà cung cấp VoIP.
Hình 100. Chọn nhà cung cấp VoIP
Bảo mật trong VoIP
127
Tiếp theo nhập ID xác thực, mật khẩu và số tài khoản của bạn.
Hình 101. Nhập xác thực, mật khẩu và số tài khoản của bạn.
Đăng ky online vơi 3CX va kêt thuc câu hình.
Hình 102. Đăng ky online
Bảo mật trong VoIP
128
Cai đặt va đăng ký 3CXPhone4
Viêc cai đăt kha đơn gian chi cân chon next la xong , sau khi cai đăt xong
soft-phone co giao diên nhƣ hinh
Hình 103. Giao diên sau khi cai đặt 3CXPhone4
Nhƣ ta thây trên giao diên VoIP phone chƣa đƣơc đăng ky, cân tiên hanh đăng
ký cho VoIP phone, hình 104.
Hình 104. Giao diên đăng ky vơi IP PBX
Bảo mật trong VoIP
129
Sau khi đăng ky thanh công co giao diên sau, hình 105.
Hình 105. Giao diên đa kêt nôi đươc vơi IP PBX
Quản lý IP PBX
Chúng ta co thể hoàn toàn quản lý đƣợc IP PBX tai may chu cai phân mêm
3CXPhoneSystem8.0 khi login vao công console vơi username va password đa đăng ky
ở trên hình 98. Sau khi đăng nhâp giao diên web quan ly IP PBX đƣơc chi ra ơ hình 106 .
Bảo mật trong VoIP
130
Hình 106. Giao diên quan ly cua IP PBX
Trong giao diên nay ta thây tông đai IP PBX đo co nhiêu ƣng dung va no co đây đu
tính năng nhƣ một tổng đài . Đây la môt phân mêm rât nhiêu chƣc năng nên trong khoa
luân không nghiên cƣu ky vê no, mà chỉ quan tâm đến phân quản lý các soft-phone trong
mạng LAN. Các thông số đăng ký, trạng thái của thuê bao đƣợc lƣu trong tƣng danh mục
đƣợc đánh số theo số phone nhƣ hình 106. Khi một soft-phone kich hoat no se co trang
thái kêt nôi biêu thi đa đƣơc đăng ky (Registered). Con các soft-phone không hoat đông
(hoặc chƣa đăng ký), thì trạng thái biểu thị chƣa đăng ky (Not Registered) nhƣ hình 106.
Hình 107 là kết quả thực hiên thành công cuộc gọi giữa thuê bao co số 100 và thuê
bao co sô 102. Chât lƣơng cuôc goi VoIP kha tôt , vì thực hiên trong LAN này có băng
thông kha thoai mai va khoang cach không đang kê nên đô trê rât thâp .
Bảo mật trong VoIP
131
PC1-van manh PC2-van thao
Hình 107. Hiên thi kêt qua kêt nôi thanh cuôc goi giưa 2 soft-phone
Yêu câu cơ sơ ha tâng đơn gian, chât lƣơng cuôc goi VoIP lai kha tôt nên sƣ dung
mô hinh VoIP trong LAN sẽ là sự lựa chọn cho cac phong ban hay cơ quan co môt mang
LAN.
5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến
Phân Demo này đƣợc viết băng chƣơng trình flash, đƣợc thực hiên với mục đích
chính là mô tả một cách chi tiết và trực quan một trong những kiểu tấn công đơn giản
nhƣng phổ biến. Đo là kiểu tấn công ARP Spoofing
Tuy đã cố gắng nhƣng phân Demo này mới chỉ mô tả về quá trình tấn công nhƣng
vẫn chƣa mô tả cụ thể đƣợc các giải pháp chống lại kiểu tấn công này. Sau đây là giao
diên của phân Demo.
Bảo mật trong VoIP
132
Kêt luân
Trong chƣơng này, qua thực nghiêm cấu hình VoIP cơ bản trên thiết bị CISCO,
triển khai mô hình VoIP trong mạng LAN và demo cuộc tấn công trong VoIP. Đã làm rõ
những vấn đề trong phân lý thuyết con tồn tại, thấy đƣợc yếu điểm dê bị tấn công trong
VoIP. Đƣa ra một số mô hình VoIP ứng dụng trong thực tế.
Bảo mật trong VoIP
133
KÊT LUẬN
Do thơi gian co han cung nhƣ kinh nghiêm thƣc tiên chƣa nhiêu nên khoa luân chỉ
mơi giải quyết đƣợc các vấn đề sau:
Lý thuyết
Chỉ ra những ƣu điểm, nhƣơc điêm cua VoIP va so sanh VoIP vơi cac mang
điên thoai truyên thông khac.
Nghiên cƣu cac mô hinh mang VoIP vơi cac chuân giao thƣc khac nhau. Cụ thể
là với hai giao thức H.323/SIP.
Chỉ ra các yếu tố ảnh hƣởng đế n chât lƣơng dich vu VoIP va đƣa ra cac giai
pháp nâng cao chất lƣợng dịch vụ VoIP .
Thƣc nghiêm
Thiêt lâp mạng VoIP trong phong thực tâp hê thông viên thông vơi cac thiêt bi
của cisco.
Thiêt lâp mô hinh mang VoIP trong môt mạng LAN với phân mêm 3CX.
Thiêt lâp mang VoIP – H.323 co sử dụng thiết bị gatekeeper bă ng phân mêm
mô phong dynamips.
Sau khi hoàn thành nội dung khoa luận này, em đã học hỏi đƣợc rất nhiều và đã
chắp nối khá tốt các kiến thức đƣợc học trên lớp về mạng viên thông. Nó giúp em phát
triển phƣơng pháp luận, cách đặt vấn đề và giải quyết vấn đề.
Em xin chân thành cảm ơn!
Bảo mật trong VoIP
134
TAI LIỆU THAM KHẢO
Tai liệu tiêng Anh:
[1] Alan B.Johnson. SIP Understanding The Session Initiation Protocol. Artech
House.
[2] CCNP: Optimizing Converged Networks V5.0. Cisco.
[3] Cisco - Cisco Voice Over IP CVOICE Student Guide V4.2(2004)
[4] Jonathan Davidson, James Peters, Manoj Bhatia, Satish Kalidindi,
Sudipto Mukherjee. Voice over IP Fundamentals, 2nd Edition. Cisco Press.
[5] McGraw.Hill. Session.Initiation.Protocol.SIP.Jun.2008.
[6] Michael E. Flannagan & Jason Sinclair. Congifguring Cisco Voice Over IP.
[7] RFC 3261. SIP - Session Initiation Protocol.
[8] T-REC-H.323-200606-I!!PDF-E.
Tai liệu tiếng Việt
[9] Đỗ Thành Chung. SIGTRAN (Signalling Transport). Trung tâm ƢDCN mơi-Viên
KHKT Bƣu điên.
Tai liệu từ các website
[10] Http://www.networksorcery.com/enp/protocol.
[11] Http://www.3cx.com.vn