BẢO MẬT TRONG VOIP

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Văn Mạnh

BẢO MẬT TRONG VOIP

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Nghành: Điệ n tƣ̉ – Viễ n thông

HÀ NỘI - 2010

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Văn Mạnh

BẢO MẬT TRONG VOIP

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Cán bộ hƣớng dẫn: PGS.TS. Nguyễ n Kim Giao

Nghành: Điệ n tƣ̉ – Viễ n thông HÀ NỘI - 2010

LỜI CẢM ƠN

Trƣớc hết em xin gửi tới PGS .TS. Nguyễ n Kim Giao lời cảm ơn chân thành và lòng biết ơn sâu sắc! Thầ y đã trực tiếp hƣớng dẫn, chỉ bảo tận tình trong suốt quá trình

em làm khóa luận.

Em xin chân thà nh cả m ơn cá c thầ y cô giáo trong phòng thực tập hệ thống viễn

thông, các thầy cô đã tạ o điề u kiệ n cho em mƣợ n thiế t bị và chỉ bả o tậ n tì nh giú p em hoàn thành các bài lab trong khóa luận.

Em cũng xin chân thành cảm ơn các thầy cô giáo trong Trƣờng Đại học Công Nghệ

- Đại học Quốc Gia Hà Nội đã hết lòng dạy bảo, giúp đỡ em trong những năm học Đại

Học, giúp em có những kiến thức và kinh nghiệm quý báu trong chuyên môn và cuộc

sống. Những hành trang đó là một tài sản vô giá, giúp cho em tới đƣợc những thành công trong tƣơng lai.

Cuối cùng, em xin cảm ơn những ngƣời thân trong gia đình và bạn bè đã giúp đỡ,

động viên em hoàn thành khó a luận.

Hà Nội, tháng 05 năm 2010

Sinh viên

Đỗ Văn Mạnh

TÓM TẮT NỘ I DUNG KHÓ A LUẬ N

Khóa luậ n tập trung tì m hiể u cơ bả n về bảo mật trong VoIP vớ i nhƣ̃ ng đặ c điể m ,

giao thƣ́ c và nhƣ̃ ng yêu cầ u. Có kèm theo phần thực nghiệm và demo cuộc tấn công

trong VoIP.

Trên cơ sở cá i nhì n tổ ng quan về VoIP , khóa luận nghiên cứ u cụ thể cá c kỹ thuậ t

đƣợc ứng dụng trong mạng VoIP nhƣ : Mô hình phân lớp mạng VoIP tham chiếu mô

hình OSI, chồ ng giao thƣ́ c sƣ̉ dụ ng cho VoIP , đặ c biệ t quan tâm đế n hai giao thƣ́ c bá o

hiệu H.323 và SIP đƣợc sử dụng trong mạng VoIP. Một vấn đề quan trọng của khóa luận

nghiên cứu về bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các nguy cơ tấn công và từ

đó có những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP.

Trong phần thực nghiệm, khóa luận trình bày cách cấu hình các thiết bị Cisco trong

một mạng VoIP cơ sở, khóa luận cũng đƣa ra một mô hình mạng VoIP dựa trên một

mạng LAN đƣợc ứng dụng từ phần mềm do 3CX cung cấp. Ngoài ra khóa luận còn

demo một cuộc tấn công trong VoIP.

MỤC LỤC

Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP .............................................................. 1

1.1. Mạng điện thoại truyền thống và kỹ thuật chuyển mạch kênh [2], [4] .............. 1

1.1.1. Sơ lƣợc về phát triển mạng điện thoại truyền thống .................................. 1

1.1.2. Kỹ thuật chuyển mạch kênh ...................................................................... 2

1.2. Tổng quan về VOIP [2], [3], [4] ....................................................................... 3

1.2.1. Kỹ thuật chuyển mạch gói ........................................................................ 3

1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP................................................. 4

1.2.3. Các ứng dụng của VoIP ............................................................................. 6

1.2.4. Các yêu cầu phát triển VoIP ...................................................................... 7

1.2.5. Mô hình mạng VoIP điển hình và các thành phần ...................................... 7

1.2.6. Các cấu hình mạng VoIP ........................................................................... 9 Chƣơng 2. MÔ HÌNH KIẾN TRÚC PHÂN TẤNG VÀ CÁC GIAO THỨC TRONG MẠNG VOIP [2], [4], [1], [10] .................................................................................. 13

2.1. Lớp vật lý và lớp liên kết dữ liệu (Link & Physical Layer) [4] ....................... 13

2.2. Lớp mạng ...................................................................................................... 14

2.2.1. Giao thức IP ........................................................................................... 15

2.2.2. Giao thức ICMP ..................................................................................... 19

2.3. Tầng giao vận ................................................................................................ 19

2.3.1. Giao thức UDP ....................................................................................... 20

2.3.2. Giao thức TCP ........................................................................................ 20

2.3.3. Giao thức SCTP [10] .............................................................................. 23

2.4. Lớp ứng dụng ................................................................................................ 25

2.4.1. Giao thức RTP [10] ................................................................................. 26

2.4.2. Giao thức RTCP [10] .............................................................................. 29 Chƣơng 3. MẠNG VOIP VỚI CÁC GIAO THỨC BÁO HIỆU H .323/SIP .............. 32

3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5] ........................................................ 32

3.1.1. Thành phần mạng VoIP với chuẩn H.323 ................................................ 32

3.1.2. Chồng giao thức H.323 ........................................................................... 36

3.1.3. Các thủ tục báo hiệu và xử lý cuộc gọi VoIP-H.323 ................................ 45

3.1.4. Nhận xét về mạng VoIP-H.323................................................................ 51

3.2. Mạng VoIP với giao thức báo hiệu SIP [1], [4], [7] ........................................ 51

3.2.1. Các thành phần có trong mạng VoIP - SIP ............................................... 51

3.2.2. Địa chỉ SIP ............................................................................................. 53

3.2.3. Các dịch vụ cung cấp bởi SIP ................................................................. 54

3.2.4. Bản tin trong SIP .................................................................................... 54

3.2.5. Cuộc gọi SIP........................................................................................... 59

3.3. Cuộc gọi liên mạng [1] .................................................................................. 62

3.3.1. Cuộc gọi liên mạng SIP – H.323 ............................................................. 62

3.3.2. Cuộc gọi liên mạng VoIP - PSTN ............................................................ 65 Chƣơng 4. LỖ HỔNG VÀ HỖ TRỢ BẢO MẬT TRONG VOIP .............................. 71

4.1. Lỗ hổng trong VoIP ........................................................................................ 71

4.1.1. Lỗ hổng đối với hệ thống H.323 ............................................................. 71

4.1.2. Lỗ hổng đối với hệ thống SIP ................................................................. 73

4.1.3. Lỗ hổng do mạng và mô trƣờng .............................................................. 75

4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP ..................... 79

4.2. Hỗ trợ bảo mật trong H.323 và SIP ................................................................ 82

4.2.1. Hỗ trợ bảo mật cho H.323 ....................................................................... 82

4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP ....................................................... 91

4.3.1. VLAN..................................................................................................... 94

4.3.2. VPN........................................................................................................ 95

4.3.3. Firewall .................................................................................................. 98

4.3.4. NAT (Network Address Translation) ....................................................... 99

4.3.5. Một số chú ý khi sử dụng NAT và firewall trong hệ thống VoIP ............ 100

4.3.6. Một số giải pháp cho vấn đề firewall .................................................... 101

4.3.7. Giải pháp cho NAT ............................................................................... 104

4.3.8. NIDS (Network Intrusion Detection System) ........................................ 106

4.3.8. HIDS (Host-based Intrusion Detection System) .................................... 107 Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIẾT BỊ CISCO , TRIỂ N KHAI MÔ HÌNH VOIP TRONG MẠNG LAN VÀ DEMO TẤN CÔNG TRONG VOIP ......... 109

5.1. Cấu hình VoIP mô hình phò ng thƣ̣ c hà nh ..................................................... 109

5.1.1. Cấ u hì nh giao thƣ́ c mặ c đị nh củ a Gateway ........................................... 109

5.1.2. Cấ u hì nh vớ i giao thƣ́ c SIP ................................................................... 114

5.2. Cấ u hì nh VoIP vớ i giao thƣ́ c H.323 có Gatekeeper ...................................... 117

5.2.1. Các câu lệnh dùng trong cấu hì nh mô hì nh nà y ..................................... 117

5.2.2. Thƣ̣ c hiệ n và kế t quả ............................................................................. 119

5.3. Thiế t lậ p mạ ng VoIP trong mộ t mạ ng LAN ................................................. 122

5.3.1. Giớ i thiệ u và yêu cầ u củ a hệ thố ng ....................................................... 122

5.3.2. Cài đặt và đăng ký ................................................................................ 123

5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến .................. 131 KẾT LUẬN ............................................................................................................. 133

BẢNG CÁC TỪ VIẾT TẮT

Kí hiệu viết Viết đầy đủ Ý nghĩa

tắt

ACELP Algebraic Code Excited Bộ mã hó a dƣ̣ đoá n tuyế n tí nh kí ch

Linear Prediction độ ng bằ ng mã

ACK Acknowledgment Bản tin báo nhận

ADPCM Adaptive Differential Điề u chế xung mã vi sai thí ch nghi

Pulse Code Modulation

ATM Asynchronous Transfer Chế độ truyền không đồng bộ

Mode

Back-End Server BES

CAC Call Admission Control Điề u khiể n thu nạ p cuộ c gọ i

CAS Channel Associated Báo hiệu kênh liên kết

Signaling

CCS Common Channel Báo hiệu kênh chung

Signaling

Call Detail Record CDR

CQ Custom queuing Hàng đợi tùy chỉnh

DTMF Dual-Tone Báo hiệu đa tần Dual -Tone

MultiFrequency

GK Gatekeeper

Thành phần điều khiển trong mạng H.323

GW Gateway

Thiế t bị chuyể n kế t nố i hai mạ ng khá c nhau

ICMP Internet Control Message Giao thƣ́ c bả n tin điề u khiể n internet hỗ

Protocol trợ cho giao thƣ́ c IP

IETF Internet Engineering Task Mộ t tổ chƣ́ c Viễ n thông quố c tế . Lƣ̣ c

Force

lƣợ ng chuyên phụ trá ch kỹ thuậ t kế t nố i mạng.

IP Internet Protocol Giao thức Internet

IPv4 IP version 4 Giao thức Internet phiên bản 4

IPv6 IP version 6 Giao thức Internet phiên bản 6

ISDN Integrated Services Digital Mạng tích hợp dịch vụ số

Network

ISUP ISDN User Part Phần ngƣời dùng ISDN

ITU-T International Hiệp hội viễn thông quốc tế

Telecommunication - Tổ chức chuẩn chuẩn hóa các kỹ thuật Union- Viễn thông. Telecommunication

Standardization Sector

IUA ISDN User Adapter Bộ chuyển đổi ngƣời dùng ISDN

LAN Local Area Network Mạng cục bộ

M2PA MTP L2 Peer-to-Peer Bộ chuyển đổi bản tin lớp 2 ngang hàng

Adapter

M2UA MTP2 User Adapter Bộ chuyển đổi ngƣời dùng MTP2

M3UA MTP3 User Adapter Bộ chuyển đổi ngƣời dùng MTP3

MC Multipoint Controller Bộ phậ n điề u khiể n đa điể m

MCU Multipoint Control Unit Đơn vị điề u khiể n đa điể m

MG Media Gateway

Thiết bị chuyển đổi thông tin đa phƣơng tiện giữa các mạng khác nhau

MGC Media Gateway Controller Điề u khiể n Media gateway

MGCP Media Gateway Control Giao thƣ́ c điề u khiể n Media gateway

Protocol

Multipoint Processor Bộ xƣ̉ lý đa điể m MP

Open System Interference Mô hì nh tham chiế u mạ ng OSI

PABX Private Automatic Branch Tổ ng đà i cá nhân tƣ̣ độ ng

Exchange

Private Branch Exchange Tổ ng đà i cá nhân PBX

Pulse Code Modulation Kỹ thuật điề u chế xung mã PCM

POTS Plain old telephone Dịch vụ điện thoại phát triển đầu tiên và

service là hệ thố ng điệ n thoại analog

PQ Priority queuing Hàng đợi ƣu tiên

PSTN Public Switch Telephone Mạng điện thoại công cộng

Network

Quality of Service Chất lƣợng dịch vụ QoS

Register Admission Status Kênh báo hiệu giữa gatekeeper và đầu RAS

cuối H.323

RSVP Resource Reservation Giao thƣ́ c đị nh trƣớ c nguồ n tà i nguyên

Protocol

RTCP Real Time Control Giap thức điều khiển thời gian thực

Protocol

RTP Real Time Protocol Giap thức thời gian thực

SAP Session Announcement Giao thức thông báo phiên

Protocol

SCN Switched Circuit Network Mạng chuyển mạch kênh

SCP Signal Control Point Điểm điều khiển báo hiệu

SCTP Stream Control Giao thức truyền điều khiển luồng

Transmission Protocol

SDP Session Description Giao thƣ́ c mô tƣ̉ phiên

Protocol

SDP Session Description Giao thức mô tả phiên

Protocol

SGCP Simple Gateway control Giao thƣ́ c điề u khiể n gateway đơn giả n

protocol

SIP Session Initiation Protocol Giao thức thiết lập phiên

SNMP Simple Network Giao thức quản trị mạng đơn giản

Management Protocol

SS7 SignalingSystem No.7 Hệ thống báo hiệu số 7

TCP Transmission Control Giao thức điều khiển truyền thông tin

Protocol

ToS Type of Service Kiểu dịch vụ

UA User Agent Tác nhận ngƣời dùng

UDP User Datagram Protocol Giao thức Datagram ngƣời dùng

VoIP Voice over IP Công nghệ truyền thoại trên mạng IP

WAN Wide Area Network Mạng diện rộng

WFQ Weighted fair queuing Hàng đợi cân bằng trọng số

Bảo mật trong VoIP

Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP

1.1. Mạng điện thoại truyền thống và kỹ thuật chuyển mạch kênh [2], [4]

1.1.1. Sơ lƣợc về phát triển mạng điện thoại truyền thống

Điện thoại đã đƣợc sử dụng hàng trăm năm nay. Trong giai đoạn này có nhiều sự

thay đổi đáng kể về công nghệ, thiết bị cho mạng điện thoại. Ngày nay VoIP là công

nghệ đang phát triển mạch mẽ. Tuy nhiên, điều quan trọng là xem xét từ các công nghệ

trong quá khứ để có cái nhìn chung nhất về lộ trình phát triển của hệ thống điện thoại.

Một hệ thống điện thoại gồm có bốn thành thành phần cơ bản:  Một điện thoại có chức năng chuyển đổi từ tiếng nói sang tín hiệu điện và

ngƣợc lại.

 Một hay nhiều trung tâm chuyển mạch và quản lý mạng điện thoại.  Hệ thống truyền dẫn kết nối từ thuê bao đến các tổng đài.  Hệ thống truyền dẫn kết nối giữa các tổng đà i với nhau.

Một thuê bao kết nối đến mạng điện thoại theo ba cách:  Sử dụng đƣờng dây nối trực tiếp từ máy điện thoại vào mạng điện thoại.  Kết nối với mạng điện thoại thông qua truy cập sóng vô tuyến.  Kết nối theo phƣơng thức VoIP.

Dịch vụ điện thoại Public Switched Telephone Network (PSTN) là loại hình dịch

vụ điện thoại đã phát triển hàng trăm năm nay. PSTN cung cấp cả hai dịch vụ thoại, dịch

vụ thoại tƣơng tự POTS và dịch vụ tích hợp số ISDN.

 POTS là dịch vụ điện thoại phổ biến đầu tiên trên toàn thế giới. POTS cung cấp một kết nối song công (full-duplex) tới thuê bao trên đƣờ ng thuê bao analog.

Ngoài việc cung cấp dịch vụ đảm bảo cho cuộc gọi POTS còn cung cấp nhiều

dịch vụ mở rộng khác nhƣ là: Dịch vụ tƣ vấn hỗ trợ từ xa, dịch vụ chuyển



hƣớng cuộc gọ i, dịch vụ hội nghị và nhiều dịch vụ khác. ISDN là hƣớng phát triển ứng dụng kỹ thuật số của PSTN. Với sự phát triển của kỹ thuật số, tiếng nói đã đƣợc số hóa với tốc độ 64kbps. Mạng ISDN cung cấp

cả dịch vụ truyền dữ liệu và dịch vụ thoại. ISDN định nghĩa 2 phƣơng thức truy cập: ▪ Giao diện truy cập tốc độ cơ bản (BRI) cung cấp 2 kênh B tốc độ 64kbps và 1 kênhh D tốc độ 16kbps. Kênh B là kênh dùng để truyền tín hiệu thoại

PCM 64kbps. Kênh D dùng để truyền các bản tin báo hiệu và có thể dùng truyền dữ liệu với tốc độ cho phép đến 9,6kbps.

1

Bảo mật trong VoIP

▪ Giao diện truy cập tốc độ sơ cấp (PRI). Ở Bắc Mỹ PRI cung cấp 23 kênh B tốc độ 64Kbps và một kênh D tốc độ 64kbps truyền trên đƣờng T1. Theo chuẩn Châu Âu PRI cung cấp 30 kênh B tốc độ 64kbps và 1 kênh D tốc độ

64kbps. Tại giao diện truy cập này kênh D đƣợc sử dụng để truyền tải các

bản tin báo hiệu cho các kênh thoại mà nó không đƣợc hỗ trợ để truyền dữ

liệu. Sử dụng giao diện PRI đặc trƣng cho kết nối đến các tổng đài cá nhân (PBXs), các router, các gateway sử dụng trong mạng LAN hay truy cập

dial-up modem.

1.1.2. Kỹ thuật chuyển mạch kênh

Hình 1. Mô hình mạng PSTN

Mạng PSTN sử dụng kỹ thuật chuyển mạch kênh để chuyển mạch cuộc gọi. Hay

còn gọi là mạng chuyển mạch kênh. Từ khi kỹ thuật số phát triển, tất cả các tổng đài điện

thoại đều là tổng đài số. Tín hiệu thoại đƣợc số hóa với tốc độ 64kbps. Với kỹ thuật

chuyển mạch kênh thông tin cuộc gọi là trong suốt. Một kênh thoại 64kbps đƣợc dành

riêng cho cuộc gọi trong suốt quá trình diễn ra cuộc gọi, nó chỉ bị ngắt khi một trong hai

thuê bao dập máy.

Kỹ thuật chuyển mạch kênh có những ƣu điểm, nhƣợc điểm và những vấn đề tồn

tại.

Ƣu điểm  Chuyển mạch kênh sử dụng kênh dành riêng nên có độ trễ cố định, thấp đảm

bảo tính thời gian thực của cuộc đàm thoại.

 Thông tin cuộc gọi đƣợc đảm bảo truyền liên tục không bị ngắt quãng.  Thiết bị của kỹ thuật chuyển mạch kênh đơn giản, có tính ổn định cao, chống

nhiễu tốt.

2

Bảo mật trong VoIP

Nhƣợc điểm  Kênh vẫn đƣợc duy trì cho cuộc gọi mặc dù cuộc gọi tạm ngƣng.  Hiệu suất truyền dẫn thấp đối với lƣu lƣợng theo từng nhóm, điều này chứng

minh kỹ thuật chuyển mạch kênh sử dụng băng thông không kiệu quả.

 Có tốc độ không đổi do đó không hỗ trợ tốc độ dữ liệu thay đổi.

Các vấn đề tồn tại của chuyển mạch kênh  Nhiều phiên dữ liệu có hiệu quả thấp.  Tốc độ cấp phát phiên phải đủ lớn tƣơng ứng với thời gian trễ cần thiết. Khả

năng cấp phát này ngƣng lại khi kênh không có gì để gửi.

 Chuyển mạch kênh đòi hỏi phải thiế t lậ p cuộc gọi nhiều khi không cần thiết. Nếu các bản tin ngắn hơn thời gian thiế t lậ p cuộc gọi thì chuyển mạch kênh là

không hiệu quả.

1.2. Tổng quan về VOIP [2], [3], [4]

Với sự phát triển lớn mạch của internet và xu hƣớng hội tụ công nghệ của mạng

NGN. Các cuộc đàm thoại đã đƣợc truyền trên đƣờng truyền chung với các cuộc gọi dữ

liệu dựa trên cơ sở hạ tầng của mạng IP.

Hình 2. Mô hình mạng điện thoại hội tụ IP

1.2.1. Kỹ thuật chuyển mạch gói

Trong kỹ thuật chuyển mạch gói các bản tin đƣợc chia thành nhiều gói và đƣợc

đóng gói theo các chuẩn quy định, trong mỗi gói có đầy đủ các thông tin giúp cho việc

định tuyến đƣờng đi của gói tin đến đích. Trong chuyển mạch gói các bản tin tƣơng tác với các nút mạng. Các gói tin độc lập với nhau về đƣờng đi, các gói tin đến đích không theo một thứ tự quy đị nh. Kỹ thuật chuyển mạch gói cũng nhƣ kỹ thuật chuyển mạch

3

Bảo mật trong VoIP

kênh, nó cũng có những ƣu điể m và những nhƣợ c điểm.

Ƣu điể m  Tính mềm dẻo trong định tuyến, trong việc thay đổi băng thông. Chuyển mạch gói không cố định các kênh truyền thông hay các tuyến vì vậy hiệu suất sử dụng

đƣờng truyền rất cao, tận dụng tối đa hiệu năng đƣờng truyền.

 Với một chồng các giao thức đi kèm, chuyển mạch gói có chế độ ƣu tiên cho các ứng dụng khác nhau theo các mức khác nhau. Điề u nà y cũ ng là cơ sở để

phát triển mạng VoIP.

 Khả năng cung cấp nhiều dịch vụ thoại và phi thoại.

Nhƣợc điểm  Độ trễ thay đổi tùy thuộc vào từng tuyến và từng thời gian truyền thông tin.  Chuyển mạch gói thực hiện dựa trên cơ chế cố gắng tối đa vì vậy khó thỏa mãn

đƣợc chất lƣợng dịch vụ.

 Các gói tin đến không theo thứ tự rất dễ gây ra mất mát dữ liệu, tăng thời gian

xử lý dẫn đến trễ truyền dẫn tăng lên.

1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP

1.2.2.1. Ƣu điể m của VOIP

Hiện nay hầu hết các nhà cung cấp dịch vụ internet cũng nhƣ các công ty viễn

thông đang đƣa vào khai thác sử dụng một hệ thống mạng hội tụ IP. VOIP là một trong

những dịch vụ đó và nó đem lại nhiều thuận lợi.

 Hiệu quả sử dụng băng thông cao hơn: VoIP chia sẻ băng thông giữa nhiều kênh logic. Có thể thay đổi băng thông dễ dàng tùy vào chất lƣợng dịch vụ cung

cấp, để thay đổi chất lƣợng cuộc gọi.

 Giảm chi phí cho cuộc gọi: Đây là ƣu điểm nổi bật của VoIP so với điện thoại đƣờng dài thông thƣờng. Chi phí cho cuộc gọi đƣờng dài chỉ bằng chi phí cho

việc truy cập Internet. Một giá cƣớc chung sẽ thực hiện đƣợc với mạng Internet và do đó tiết kiệm đáng kể các dịch vụ thoại và fax. VoIP sử dụng cơ sở hạ tầng

mạng internet, nên hiệu quả sƣ̉ dụng các thiết bị chia sẻ tăng nên. Đồng thời kỹ thuật nén thoại sử dụng các chuẩn nén mới, làm giảm tốc độ xuống thấp hơn nhiều so với tốc độ 64kbps của PSTN. Cơ chế phát hiện khoảng lặng làm giảm băng thông sử dụ ng.

 Khả năng tích hợp nhiề u chức năng: Do việc thiết kế cơ sở hạ tầng tích hợp nên có khả năng hỗ trợ tất cả các hình thức thông tin cho phép chuẩn hóa tốt hơn và

4

Bảo mật trong VoIP

giảm tổng số thiết bị. Các tín hiệu báo hiệu, thoại và cả số liệu đều đƣợc truyề n

trên cùng mạng IP. Tích hợp đa dịch vụ sẽ tiết kiệm chi phí đầu tƣ nhân lực, chi phí xây dựng cơ sở hạ tầ ng các mạng riêng lẻ.  Hỗ trợ truy cập vào các thiết bị thông tin hiện đại.  Thống nhất: Vì con ngƣời là nhân tố quan trọng nhƣng cũng dễ sai lầm nhất trong một mạng viễn thông, mọi cơ hội để hợp nhất các thao tác, loại bỏ các

điểm sai sót và thống nhất các điểm thanh toán sẽ rất có ích. Trong các tổ chức

kinh doanh, sự quản lý trên cơ sở SNMP (Simple Network Management

Protocol) có thể đƣợc cung cấp cho cả dịch vụ thoại và dữ liệu sử dụng VoIP.

Việc sử dụng thống nhất giao thức IP cho tất cả các ứng dụng hứa hẹn giảm bớt

phức tạp và tăng cƣờng tính mềm dẻo. Các ứng dụng liên quan nhƣ dịch vụ

danh bạ và dịch vụ an ninh mạng có thể đƣợc chia sẻ dễ dàng hơn.

 Tính mềm dẻo trong việc sử dụng các thiết bị đầ u cuối. Có rất nhiều cách lựa chọn các thiết bị đầ u cuối cho VoIP. Chỉ cần một phần mềm trên máy PC cũng

có thể thực hiện cuộ c gọ i VoIP. Có thể dùng IP phone, hay các thiết bị đầ u cuố i

hỗ trợ VoIP khác.

1.2.2.2. Nhƣợ c điểm của VoIP

Bên cạnh những ƣu điểm vƣợt trội thì VoIP vẫn còn tồn tại nhiều nhƣợc điểm cần

nghiên cứu và khắc phục.

 Chất lƣợng dịch vụ chƣa cao: Các mạng số liệu vốn dĩ không phải xây dựng với mục đích truyền thoại thời gian thực, vì vậy khi truyền thoại qua mạng số liệu

cho chất lƣợng cuộc gọi thấp. Sở dĩ nhƣ vậy là vì gói tin truyền trong mạng có trễ

thay đổi trong phạm vi lớn, khả năng mất mát thông tin trong mạng hoàn toàn có

thể xảy ra. Một yếu tố làm giảm chất lƣợng thoại nữa là kỹ thuật nén để tiết kiệm

đƣờng truyền. Nếu nén xuống dung lƣợng càng thấp thì kỹ thuật nén càng phức

tạp, cho chất lƣợng không cao và đặc biệt là thời gian xử lý sẽ lâu, gây trễ.  Một nhƣợc điểm khác của VoIP là vấn đề tiếng vọng. Nếu nhƣ trong mạng thoại, độ trễ thấp nên tiếng vọng không ảnh hƣởng nhiều, thì trong mạng IP do trễ lớn nên tiếng vọng ảnh hƣởng nhiều đến chất lƣợng thoại. Vì vậy, tiếng vọng là một vấn đề cần phải giải quyết trong VoIP.

 Vấn đề bảo mật trong VoIP: Voice là một loại dữ liệu quan trọng mà lại truyền trên mạng IP có tính chất rộng khắp. Chịu sự tấn công của những kẻ phá hoại là

không thể tránh khỏi. Mạng VoIP còn rất nhiều kẽ hở mà các nhà cung cấp dịch vụ mạng cần khắc phục. Vấn đề này sẽ đƣợc tìm hiểu rõ hơn trong chƣơng 4.

5

Bảo mật trong VoIP

1.2.3. Các ứng dụng của VoIP

Sự phát triển mạng VoIP không thể độc lập tách rời hoàn toàn với mạng PSTN, nó

đƣợc xây dựng để hoạt động song song cùng tồ n tạ i vớ i mạng PSTN vì phần lớn khách hàng trên thế giới sử dụng dịch vụ PSTN và hệ thống cơ sở hạ tầng PSTN không thể dễ

dàng bị phá vỡ. Mục đích của các nhà cung cấp dịch vụ VoIP mong muốn tạo ra một

mạng điện thoại với chi phí thấp hơn, vận hành tốt hơn nhƣng vẫn đảm bảo chất lƣợng

gần nhƣ PSTN. Và đƣa ra các giải pháp kỹ thuật để kết nối với mạng PSTN. Mạng điện

thoại này có thể dùng cho mọi nhu cầu đàm thoại. Chất lƣợng âm thanh cũng có thể biến

đổi tùy theo ứng dụng. Ngoài ra với khả năng của internet, VoIP sẽ cung cấp thêm nhiều

tính năng tiện ích mới.

Một số các ứng dụng của VoIP sẽ đƣợc đề cập cụ thể dƣới đây.  Thoại thông minh: Điện thoại thông thƣờ ng chỉ có một số chức năng cơ bản phục vụ cho cuộc đàm thoại. Trong những năm gần đây, ngƣời ta đã cố gắng

phát triển điện thoại thông minh, đầu tiên là các điện thoại để bàn sau đó là đến

các server. Giữa mạng máy tính và mạng điện thoại vốn tồn tại một mối liên hệ.

Sự phát triển rộng khắp của internet đã tạo ra một bƣớc đột phá mớ i. Internet

góp phần tăng tính thông minh cho mạng điện thoại toàn cầu. Internet cung cấp

giám sát và điều khiển các cuộc thoại một cách tiện lợi hơn. Với những bộ vi xử

lý siêu tốc, những CPU thông minh khả năng giám sát các cuộc gọi thông qua

mạng Internet tốt hơn rất nhiều.

 Dịch vụ thoại Web: Sự ra đời của WWW (World Wide Web) đã tạo ra một cuộc cách mạng trong các quan hệ giao dịch thƣơng mại, giữa khách hàng với doanh

nghiệp và ngƣợc lại. Dịch vụ điện thoại Web hay bấm số (click to dial) cho

phép các nhà doanh nghiệp có thể đƣa thêm các phím bấm lên trang Web để kết

nối tới hệ thống điện thoại của họ, tức là đƣa thêm các kênh trực tiếp từ các

trang web vào hệ thống điện thoại. Các trang web đang là điểm dừng lý tƣởng

của hầu hết ngƣờ i sƣ̉ dụ ng internet trên thế giới, các trang web là một thế giới ảo cung cấp đầy đủ những thông tin cần thiết cho mọi ngƣời.

 Truy cập các trung tâm tư vấn: Dịch vụ này cho phép một khách hàng có câu hỏi về một sản phẩm đƣợc chào hàng qua internet đƣợc các nhân viên của công ty trả lời trực tuyến, việc này góp phần thúc đẩy mạnh mẽ thƣơng mại điện tử.  Dịch vụ fax qua IP: Internet không chỉ đƣợc mở rộng cho thoại mà còn cho dịch vụ fax. Dịch vụ internet faxing sẽ tiết kiệm đƣợc chi phí và cả kênh thoại

khi gửi fax với số lƣợng lớn, đặc biệt là gửi ra nƣớc ngoài. Dich vụ này sẽ

6

Bảo mật trong VoIP

chuyển trực tiếp từ PC qua kế t nối internet. Một trong những dịch vụ fax nổi

tiếng là comfax.

 Dịch vụ tính cước cho phía bị gọi: Để thực hiện đƣợc dịch vụ này cần có một PC kết nối internet và chƣơng trình phần mềm điều khiển nhƣ Quicknet`s

Technology –Internet Phone JACK chạy trên môi trƣờng Windows.

1.2.4. Các yêu cầu phát triển VoIP

Để tồn tại và pháp triển bền vững các nhà khai thác dịch vụ VoIP cần quan tâm đến

một số vấn đề về chất lƣợng, tính bảo mật… Cụ thể nhƣ sau:

 Chất lƣợng thoại phải tƣơng đƣơng hoặc hơn mạng PSTN và các mạng điệ n

thoại khác.

 Mạng IP cơ bản phải đáp ứng đƣợc các tiêu chí hoạt động khắt khe gồm: giảm tối thiểu việc từ chối cuộc gọi, mất mát gói và mất liên lạc, ngắt quãng trong đàm thoại. Điều này đòi hỏi ngay cả khi mạng bị nghẽn hoặc khi có nhiều

ngƣời dùng cùng sử dụng chung nguồn tài nguyên của mạng tại một thời điểm.  Tín hiệu báo hiệu phải có khả năng tƣơng tác với các mạng khác để không gây

ra sự thay đổi khi chuyển giao giữa các mạng.

 Liên kết các dịch vụ PSTN/VoIP bao gồm các gateway giữa các môi trƣờng

mạng thoại và mạng dữ liệu.

 Quản lý hệ thống an toàn, địa chỉ hóa và thanh toán phải đƣợc cung cấp, tốt

nhất là hợp nhất đƣợc với hệ thống hỗ trợ hoạt động PSTN.

Từ khi ra đời VoIP đã đƣợc triển khai trên thực tế kiểm nghiệm và đã có nhƣ̃ ng cải

tiến về công nghệ, về các chuẩn giao thức phong phú, các nhà khai thác VoIP đang dần

khẳng định chất lƣợng dịch vụ của mình.

1.2.5. Mô hình mạng VoIP điển hình và các thành phần

Từ khi ra đời đến nay, dịch vụ VoIP đã đƣợc nhiều tổ chức viễn thông trên thế giới

quan tâm và phát triển các giao thức đi kèm. Có nhiều chuẩn mỗi chuẩn phù hợp cho một loại giao thức đƣợc định nghĩa. Mỗi một chuẩn lại có mô hình mạng riêng và các thiết bị

phù hợp cho chuẩn đó. Nghiên cứu sâu vào từng chuẩn sẽ dành cho phần sau của khóa luận. Trong phần này chỉ đƣa ra mô hình tổng quát nhất với mục đích giới thiệu sơ qua về mô hình mạng VoIP. Các giao thức báo hiệu cơ bản trong VoIP.

 H.323 giao thức báo hiệu đƣợc định nghĩa bởi ITU_T. H.323 định nghĩa một kiến trúc phân phối cho việc thiết lập các ứng dụng đa phƣơng tiện bao gồm cả

VoIP.

7

Bảo mật trong VoIP

 SIP đƣợc định nghĩa trong IETF RFC 2543. SIP định nghĩa kiến trúc phân phối

cho việ c thiết lập các ứng dụng đa phƣơng tiện bao gồm VoIP.

 MGCP đƣợc định nghĩa trong IETF RFC 2705. MGCP định nghĩa một kiến trúc tập trung hóa cho việc thiết lập các ứng dụng đa phƣơng tiện bao gồm

VoIP.

 Megaco/H248 là giao thức điều khiển gateway.

Mô hình mạng VoIP tổng quát.

Hình 3. Mô hình mạng VoIP tổng quát

Hình trên cho ta mô hình tổ ng quá t với những yếu tố phổ biến nhất trong mạng

VoIP, cụ thể về các thiết bị nhƣ sau:

 Telephone: Telephone có thể là các điện thoại IP (IP phone), các phần mềm hỗ trợ hoạt động nhƣ một điện thoại đƣợc cài trên PC, hoặc là những điện thoại

truyền thống (tƣơng tự hay ISDN).

 Gateway: Gateway liên kết mạng VoIP với mạng điện thoại truyền thống. Thƣờng sử dụng các router hỗ trợ voice. Gateway cung cấp một số chức năng sau:  Trên một giao diện gateway đƣợc cắm đƣờng dây điện thoại. Gateway kết

nối tới PSTN và thông tin với bất kỳ điện thoại nào trên thế giới.

 Trên một giao diện khác, gateway kết nối tới mạng IP và thông tin với bất kỳ

máy tính nào trên thế giới.

8

Bảo mật trong VoIP

 Gateway thu tín hiệu điện thoại chuẩn, số hóa (nếu tín hiệu chƣa đƣợc số hóa), nén, đóng gói sử dụng IP, và định tuyến gói tin đến đích thông qua mạng IP.

 Gateway sắp xếp lại các gói tin đến và chuyển tiếp cho các điện thoại.

 Multipoint control units (MCU): Một MCU đƣợc yêu cầu cho các cuộc hội nghị nhiề u bên. Tất cả các thà nh phầ n của hội nghị đƣợc gửi tới MCU. MCU

xử lý, quản lý tất cả các thành phần của cuộc hội nghị này.

 Application server: Application cung cấp dịch vụ XML cơ bản tới IP phone. Những ngƣời sử dụng IP phone truy cập tới các thƣ mục và cơ sở dữ liệu thông

qua XML application.

 Gatekeepers: Gatekeepers là rất hữu ích, nhƣng nó là thành phần tùy chọn trong mạng, có thể có, hoặc có thể không. Gatekeeper cung cấp chức năng đăng ký, định tuyến và quản lý tất cả đầu cuối (terminals, gateways, và MCUs) trong

một miề n mạng nhất định. Gatekeper cung cấp Call Admission Control (CAC).

CAC chuyển đổi số điện thoại hay tên tới địa chỉ IP để giúp định tuyến trong

mạng H.323.

 Call agents: Call agents cung cấ p chƣ́ c năng điều khiển cuộc gọi CAC, điều khiển băng thông, dịch vụ chuyển đổi địa chỉ tới địa chỉ IP hay giao thức điều

khiển gateway đa phƣơng tiện.

 Video endpoint: Video endpoint cung cấp các tính năng video cho ngƣời sử dụng. Cũng nhƣ thoại cuộc điện thoại video cũng cần có một trung tâm giám

sát các cuộc gọi hội nghị video.

1.2.6. Các cấu hình mạng VoIP

Mạng VoIP cung cấp một số cấu hình cơ bản cho cuộc gọi nhƣ sau:  Cuộc gọi giữa các PCs hoặc giữa các IP phone. Trong cấu hình này cuộc gọi

hoàn toàn truyền trong mạng IP mà không kết nối với mạng ngoài.

Hình 4. Mô hình cuộc gọi giữa các PCs hoặc giữa các IP phone

9

Bảo mật trong VoIP

 Cuộc gọi giữa một đầu cuối VoIP trong mạng IP sang một đầu cuối trong mạng PSTN. Cuộc gọi tiến hành từ một máy tính đa phƣơng tiện tới một thuê bao cố định PSTN. Tín hiệu thoại đã đƣợc đóng gói trong gói IP đƣợc truyền đến

gateway. Tại gateway các gói tin IP đƣợc chuyển đổi thành tín hiệu PCM

64kbps thông thƣờng và truyền tới tổng đài nội hạt của thuê bao bị gọi và từ đó

chuyển tới máy điện thoại bị gọi.

Hình 5. Mô hình cuộc gọi giữa đầu cuối VoIP sang đầu cuối trong mạng PSTN  Cuộc gọi giữa các thuê bao trong mạng PSTN truyền tải thông qua mạng IP. Tín hiệu PCM 64kbps đƣợc chuyển đổi thành các gói tin IP và ngƣợc lại tại các

gateway. Dịch vụ này hiện nay rất phổ biến tại Việt Nam do có nhiều nhà cung

cấp. Nhƣ VNPT với 171, Viettel với 178, EVN telecom với 179 …

Hình 6. Mô hình cuộc gọi giữa các thuê bao trong mạng PSTN thông qua mạng IP

Có hai phƣơng thức điều khiển cuộc gọi: Điều khiển phân tán và điều khiển tậ p trung. Trong quá khứ tất cả các cuộc gọi đều sử dụng kiến trúc điều khiển tập trung. Trong đó các điểm đầ u cuối đƣợc kiểm soát bởi một tổng đài trung tâm. Mặc dù mô hình này làm việc rất tốt cho các cuộc gọi cơ bản, nhƣng nó cần cân bằng giữa quản lý các

cuộc gọi đơn giản và dịch vụ mới. Quản lý phân tán là một loại hình thích hợp cho các cuộc thoại đơn giản.

10

Bảo mật trong VoIP

Với những thuận lợi VoIP cho phép cả 2 kiến trúc điề u khiển cuộc gọi là phân tán

và tập trung. Điều này cho phép các công ty xây dựng mạng lƣới đặc trƣng một cách linh hoạt hơn. Đơn giản hóa quản lý các đầu cuối, tùy thuộc vào các giao thức đƣợc sử dụng.  Điều khiển cuộc gọi phân tán. Mô hình và các bƣớc chi tiết cuộc gọi nhƣ dƣới.

Hình 7. Điều khiển cuộc gọi phân tán

▪ Dƣới đây là 7 bƣớc xử lý quay số và định tuyến cuộc gọi.

1. Sau khi nhận đƣợc tín hiệu yêu cầu của thuê bao, đầu tiên R1 phát một

tín hiệu dial-tone

2. Tiếp theo R1 tổng hợp số đƣợc gọi.

3. R1 tìm kiếm số đƣợc gọi trong bảng định tuyến của mình. Theo bảng

định tuyến số đƣợc gọi nằm trong vùng quản lý của gateway R2.

4. R1 bắt đầu giai đoạn setup bằng cách gửi bản tin thích hợp tới R2.

5. R2 thu bản tin từ R1.

6. R2 tìm kiếm số bị gọi trong bảng định tuyến của mình, theo bảng định

tuyến số đƣợc gọi nằm trong cổng voice.

7. R2 gửi tín hiệu ring tới thuê bao qua cổ ng voice.

▪ Giám sát cuộc gọi: Trong suốt quá trình diễn ra cuộc gọi. Cả R1 và R2 đều giám sát chất lƣợng cuộc gọi. Nếu một trong hai gateway phát hiện ra chất lƣợng cuộc gọi không đảm bảo thì nó sẽ tự động chấm dứt cuộc gọi. Giám sát cuộc gọi nằm trong giai đoạn thứ 2 của cuộc gọi, giai đoạn duy trì cuộc gọi. ▪ Kết thúc cuộc gọi: Nếu ngƣời gọi kết nối với R1 chấm dứt cuộc gọi, R1 sẽ gửi thông báo cho R2. Trong chế độ này gateway sẽ khởi tạo quá trình chấm dứt cuộc gọi.

11

Bảo mật trong VoIP

 Điều khiển cuộc gọi tậ p trung. Mô hình và quá trình cuộc gọi xảy ra.

Hình 8. Điều khiển cuộc gọi tập trung

▪ Quá trình quay số và định tuyến:

1. Sau khi nhận đƣợc tín hiệu off-hook của thuê bao, R1 gửi một request

tới call Agent của nó.

2. Call Agent phát dial-tone và thu các số từ ngƣời gọi.

3. R1 chuyển 1 số đƣợc thu tới call Agent. Theo phƣơng thƣ́ c One by one.

4. Call Agent tìm kiếm số đƣợc gọi trong bảng định tuyến cuộc gọi của

mình.

5. Call Agent gửi bản tin tới R2 yêu cầu cuộc gọi thông qua cổng kết nối

với điện thoại.

▪ Giám sát cuộc gọi: Trong suốt quá trình gọi R1 và R2 giám sát chất lƣợng cuộc gọi. Nếu một gateway phát hiện chất lƣợng cuộc gọi không đảm bảo,

nó sẽ gửi bản tin đến call Agent. Call Agent sẽ chấm dứt cuộc gọi.

▪ Kết thúc cuộc gọi: Nếu một bên chấm dƣ́ t cuộc gọi thì gateway sẽ gửi bản tin đến Call Agent. Call Agent thông báo đến hai gateway bản tin chấm dứt cuộc gọi, giải phóng tài nguyên cuộc gọi.

Kế t luậ n

Chƣơng này đã xem xét một cách tổng quát về các thành phần và cuộc gọi VoIP .

Nhƣ̃ ng chƣơng sau của khó a luận sẽ đi sâu nghiên cứu tƣ̀ ng mô hình với từng giao thức

cụ thể đƣợc sử dụng trong mạng VoIP.

12

Bảo mật trong VoIP

Chƣơng 2. MÔ HÌNH KIẾN TRÚC PHÂN TẤNG VÀ CÁC GIAO THỨC

TRONG MẠNG VOIP [2], [4], [1], [10]

Mạng VoIP đƣợc xây dựng trên nền tảng tham chiếu chuẩn mô hình OSI. Mạng

VoIP có mô hình kiến trúc phân tầng nhƣ sau.

Hình 9. Mô hình kiến trúc phân tầng của VoIP

2.1. Lớp vật lý và lớp liên kết dữ liệu (Link & Physical Layer) [4]

Lớp vật lý tƣơng ứng vớ i lớp vật lý của mô hình OSI. Trong mô hình tham chiếu OSI cũng nhƣ trong mô hình mạng internet, lớp vật lý là lớp thấp nhất chịu trách nhiệm

truyền tín hiệu trên các đầu cuối mạng. Có thể điểm qua một số chức năng của lớp vật lý

nhƣ sau:

 Định nghĩa các phần cứng đặc biệt. Cung cấp các môi trƣờng truyền dẫn nhƣ: truyền trên môi trƣờng có dây, môi trƣờng không dây , truyền qua cá p quang

hay cá p đồng.

 Mã hóa tín hiệu. Lớp vật lý có chức năng mã hóa tín hiệu sao cho phù hợp với

môi trƣờng truyền dẫn.

 Truyền và thu tín hiệu tại các đầu cuối mạng.

Lớp liên kết dữ liệu là phân lớp thứ hai trong mô hình OSI. Lớp liên kết dữ liệu đảm bảo truyền dữ liệu tin cậy giữa các đầu cuối cạnh nhau. Lớp liên kết dữ liệu đƣợc

chia làm hai phân lớp con là: Điều khiển liên kết logic (LLC) và điều khiển truy cập (MAC). Giao thức tầng liên kết dữ liệu định nghĩa khuôn dạng đơn vị dữ liệu cho trao đổi giữa các nút ở mỗi đầu của đƣờng truyền. Công việc của giao thức tầng liên kết dữ liệu khi gửi và nhận frame bao gồm: Phát hiện lỗi, truyền lại, điều khiển lƣu lƣợng và truy cập ngẫu nhiên. Giao thức tầng liên kết dữ liệu có thể cung cấp những dịch vụ sau:  Đóng gói dữ liệu và truy cập đƣờng truyền: Đóng gói các gói dữ liệu lớp 3 thành các frame và chuyển xuống cho lớp vật lý. Một frame bao gồm phần dữ

13

Bảo mật trong VoIP

liệu và phần header của lớp 2 thƣờng là địa chỉ nguồn và địa chỉ vật lý và các

trƣờng đồng bộ, sửa lỗi. Lớp liên kế t dƣ̃ liệ u cung cấp chức năng điều khiển truy cập khi nhiều đầu cuối sử dụng chung đƣờng truyền vật lý.

 Kiểm soát lƣu lƣợng: Kiểm soát lƣu lƣợng đảm bảo cho các bộ đệm của các đầu cuối không tràn, không xảy ra tắc nghẽn trên đƣờng truyền. Đảm bảo không

mất mát bản tin, nâng cao hiệu suất truyền tin.

 Phát hiện lỗi và sửa lỗi: Nguyên nhân dữ liệu bị lỗi có thể do tín hiệu bị suy hao hay nhiễu điện từ. Trong các frame dữ liệu lớp mạng có một trƣờng giúp cho

bên nhận phát hiện và có thể sửa đƣợc các lỗi đơn giản. Các phƣơng pháp phát

hiện và sửa lỗi có thể là: CRC, checksum, chẵn lẻ hay hamming. Đối với

Ethernet sử dụng CRC 32.

2.2. Lớp mạng

Lớp mạng là lớp thứ 3 trong mô hình tham chiếu OSI. Lớp mạng cung cấp những

giao thức lớp mạng nhằm đảm bảo truyền dữ liệu giữa các trạm không kề nhau sao cho

không có lỗi. Giao thức lớp mạng trong mô hình OSI chỉ ra cơ chế đánh địa chỉ cho gó i

tin nhằm đóng gói dữ liệu lớp transport và truyền đến đích. Cơ chế đóng gói lớp mạng

cho phép nội dung của nó đƣợc truyền tới đích trong các mạng LAN hoặc WAN với

lƣợng thông tin overhead là tối thiểu.

Lớp mạng thực hiện 4 nhiệm vụ chính sau:  Đánh địa chỉ cho gói tin, do vậy các gói tin có thể di chuyển đƣợc trong mạng. Tất cả các host trong mạng đều đƣợc cung cấp một địa chỉ IP duy nhất. Địa chỉ

lớp mạng là địa chỉ logic, địa chỉ IPv4 hoặc địa chỉ IPv6. Địa chỉ IPv4 có 32 bit

và địa chỉ IPv6 là 128 bit.

 Thực hiện phân mảnh và đóng gói các segment của lớp transport rồi chuyển

xuống cho lớp datalink.

 Định tuyến: Đây là chức năng rất quan trọng đối với lớp mạ ng . Định tuyến là tìm đƣờng đi cho gói tin trên mạng để đến đƣợc đích. Định tuyến sẽ tìm đƣờng

đi tối ƣu cho gói tin. Có nhiều giao thức định tuyến cho gó i tin trong internet nhƣ: RIP, OSPF, IGRP ...

 Giải đóng gói: Thực hiện khi gói tin đến đích, tại đây dữ liệu sẽ đƣợc giải đóng

gói và gửi các segment lên lớp transport.

Trong mạng internet lớp mạng sử dụng giao thức IP để thực hiện chức năng của

mình.

14

Bảo mật trong VoIP

2.2.1. Giao thức IP

Là một giao thức không hƣớng kết nối. Dữ liệu IP đƣợc gọi là các datagram sử

dụng cơ chế phân phát tốt nhất (best-effort). Không có cơ chế truyền tin cậy, và IP không phụ thuộc vào phƣơng tiện truyền dẫn hay nói cách khác nó độc lập với phƣơng tiện

truyền dẫn.

Truyền không tin cậy là các gói tin IP không có khả năng quản lý, khôi phục,

truyền lạ i các gói tin trong quá trình truyền thông giữa nguồn và đích. Chính vì vậy việc quản lý, khôi phục và truyền lại gói tin bị lỗi không nằm trên lớp network.

Mỗi gói tin IP chứa địa chỉ nguồn và đích, dựa vào đó dữ liệu đƣợc truyền tới đích.

Dữ liệu có thể truyền đến đích theo nhiều đƣờng khác nhau tạo ra sự mềm dẻo linh hoạt

trong các dịch vụ mạng internet.

2.2.1.1. Giao thức IPv4

Giao thức IPv4 đƣợc thiết kế nhƣ một giao thức với thông tin overhead nhỏ, nó chỉ

cung cấp chức năng cần thiết để chuyển gói tin từ nguồn tới đích thông qua mạng LAN

hoặc WAN.

Khuôn dạng của header IPv4 nhƣ sau:

Hình 10. Khuôn dạng gói tin IPv4

Chiều dài của gói tin IPv4 là bội của 4 byte. Trƣờ ng header của gói tin IPv4 có

chiều dài 20 byte chia thành các trƣờng khác nhau. Chức năng cụ thể của tƣ̀ ng trƣờng nhƣ sau:

 Trƣờng Version: Có chiề u dài 4 bit chỉ phiên bản của giao thức. Ở IPv4 có giá

trị 0100.

 Header length: Có độ dài 4 bit, chỉ độ dài của phần tiêu đề của gói tin IPv4.  Type of service: Có chiều dài 8 bit. Chỉ ra các kiểu khác nhau của gói tin IP.

15

Bảo mật trong VoIP

Căn cứ vào các thông tin ở trƣờng này mà Router có thể có cơ chế ƣu tiên trong

quá trình chuyển tiếp gói tin. Đối với dịch vụ VoIP trƣờng này là rất quan trọng, nó là cơ sở để các giao thức thời gian thực hoạt động. Trƣờng này có 8 bit dƣới

1 2

3

4 5

7 8

6

đây:

Precedence D T Reserves R

▪ Precedence: 3bit, chỉ ra quyền ƣu tiên của datagram, có giá trị thay đổi từ 0

(gói tin bình thƣờng) đến 7 (gói tin kiểm soát mạng).

▪ D: 1 bit, chỉ ra độ trễ yêu cầu của datagram. D = 0 gói tin có độ trễ bình

thƣờ ng, D = 1 gói tin có độ trễ thấp.

▪ T: 1 bít, chỉ thông lƣợng yêu cầu của gói tin. T = 0 thông lƣợng bình thƣờng,

T = 1 thông lƣợng cao.

▪ R: 1bit, chỉ độ tin cậy của gói tin. R = 0 độ tin cậy bình thƣờng, R = 1 độ tin

cậy cao.

▪ Reserves: 2 bit, là các bít dự trữ.

 Total Length: Chiều dài 16 bit, chỉ độ dài toàn bộ gói tin, kể cả phần tiêu đề. Có giá trị tối đa là 65535. Các host chỉ có khả năng xử lý gói tin có độ dài 576 byte

gồm 512 byte dữ liệu và 64 byte tiêu đề.

 Identification: Dài 16 bit. Cùng với các tham số (địa chỉ nguồn, địa chỉ đích)

tham số này dùng để chỉ ra tính duy nhất của một datagram khi nó còn tồn tại

trong mạng,

 Flag: Dài 3 bít. Dùng để điều khiển phân đoạn và tái lắp ghép gói dƣ̃ liệu.

Trƣờng này có bit O, bit DF, bit MF. ▪ Bit 0: Luôn có giá trị = 0. ▪ Bit 1: DF. Nếu DF = 0 có phân đoạn, nếu DF = 1 không phân đoạn. ▪ Bit 2: MF. MF = 0 chỉ mảnh cuối cù ng, nếu MF = 1 không phải mảnh cuối

cùng.

 Fragment Offset: Dài 13 bit. Chỉ rõ vị trí của đoạn ở trong datagram tính theo

đơn vị 64 bit.

 Time to Live: Dài 8 bit. Chỉ ra thời gian tồn tại của gói tin trên mạng (đơn vị giây). Thời gian này đƣợc gán bởi nơi gửi và giá trị giảm đi 1 khi đi qua một

router. Giá trị giảm đi 1 tại mỗi router với mục đích giới hạn thời gian tồn tại của gói tin và không để xảy ra hiện tƣợng lặp vô hạn của gói tin làm tốn băng thông đƣờng truyền.

16

Bảo mật trong VoIP

 Protocol: Dài 8 bit chỉ ra giao thức tầng trên kế tiếp sẽ nhận dữ liệu ở trạm đích. Ví dụ: TCP có giá trị trƣờng Protocol là 6, UDP có giá trị trƣờng Protocol là 17  Header Checksum: Dài 16 bit. Kiểm lỗi phần header của gói tin theo phƣơng

pháp CRC .

 Source Address: Dài 32 bit. Địa chỉ IP của host nguồn.  Destination Address: Dài 32 bit. Địa chỉ IP của host đích.  Options: Có độ dài thay đổi. Khai báo các lựa chọn do ngƣời gửi yêu cầu.  Padding: Có độ dài thay đổi. Đảm bảo độ dài của header luôn là bội của 32 bit.  Data: Phần dữ liệu của lớp trên. Có độ dài thay đổi và bội số của 8 bit và tối đa

là 65535 byte.

Địa chỉ IPv4

Địa chỉ IPv4 có kích thƣớc 32 bit đƣợc chia làm 4 nhóm, mỗi nhóm khi đƣợc biểu diễ n sẽ đƣợc phân cách nhau bởi một dấu chấm. Dạng địa chỉ IPv4 có thể biểu diễn dƣới

hai hình thức. Biểu diễn bằng số hệ thập phân hoặc hệ cơ số 2. Địa chỉ IPv4 gồm 2 phầ n,

phần đầu là network ID và phần sau là host ID.

Địa chỉ IPv4 đƣợc chia thành 3 loại:  Địa chỉ unicast. Là địa chỉ đƣợc gán cho các host.  Địa chỉ multicast. Là địa chỉ đƣợc gán cho một nhóm các host.  Địa chỉ broadcast. Là địa chỉ đƣợc gán cho tất cả các host trong một miền

mạng.

Địa chỉ IPv4 đƣợc chia thành 5 lớp. A, B, C, D, E.

Hình 11. Lớp địa chỉ IPv4

 Lớp A có 8 bit trong phần net ID và 24 bit trong phần host ID, đƣợc sử dụng

cho các mạng có số lƣợng host lớn.

17

Bảo mật trong VoIP

 Lớp B có 16 bit trong phần net ID và 16 bit trong phần host ID, đƣợc sử dụng

cho các mạng có số lƣợng host trung bình.

 Lớp C có 24 bit trong phần net ID và 8 bit trong phần host ID, đƣợc sử dụng

cho các mạng có số lƣợng host í t.  Lớp D dành cho mục đích multicast.  Lớp E đƣợc dùng cho mục đích nghiên cứu.

Một địa chỉ IPv4 mà trong phần host ID toàn bằng 0 thì đó là địa chỉ mạng, trong

phần host ID toàn bằng 1 thì đó là địa chỉ broadcast.

2.2.1.2. Giao thức IPv6

Với sự ra đời của nhiều loại hình dịch vụ mới, số lƣợng các thiết bị trong mạng cần

đánh địa chỉ là rất lớ n thì số lƣợng địa chỉ IPv4 là không đáp ứng đƣợc. Ngoài ra, do sự

phát triển của Internet bảng định tuyến của router không ngừng lớn lên và khả năng định tuyến đã bộc lộ hạn chế. Yêu cầu nâng cao chất lƣợng dịch vụ và bảo mật đƣợc đặt ra.

IETF đã nghiên cứu và phát triển giao thức IPv6, nó là giao thức mới đƣợc kế thừa đặc

điểm chính của IPv4 và có nhiều cải tiến để khắc phục những hạn chế:

 Tăng kích thƣớc địa chỉ từ 32 bit lên 128 bit.  Phạm vi định tuyến đa điểm: giao thức này hỗ trợ phƣơng thức truyền mới ―anycasting‖. Phƣơng thức này sử dụng để gửi các gói tin đến một nhóm xác

định.

 Phần tiêu đề của IPv6 đƣợc đơn giản hóa hơn IPv4. Điều đó cho phép xử lý gói tin nhanh hơn. IPv6 cung cấp cơ chế nhận thực linh hoạt. Ngoài ra, IPv6 còn

cung cấp một số tiêu đề phụ cho phép giao thức IPv6 có thể sử dụng một cách

mềm dẻo hơn hẳn so với IPv4.

Khuôn dạng header của gói tin IPv6

Hình 12. Phần header của gó i tin IPv6

 Version: 4 bit. Có giá trị 0110, chỉ phiên bản IPv6.  Traffic class: 8 bit. Chỉ số xác định mức độ ƣu tiên.

18

Bảo mật trong VoIP

 Flow label: 20 bit. Xác định các gói dữ liệu đƣợc ƣu tiên trên đƣờng truyền nếu xảy ra tranh chấp. Thƣờng đƣợc sử dụng cho các dịch vụ đòi hỏi chất lƣợng dịch vụ cao hay thời gian thực.

 Payload length: 16 bit. Chỉ ra độ dài phần dữ liệu không tính phần tiêu đề.  Next header: 8 bit. Chỉ rõ kiểu của header giao thức lớp trên.  Hop limit: 8 bit. Quy định thời gian tồn tại của datagram trên mạng.  Source address: 128 bit. Địa chỉ của host nguồn.  Destination address: 128 bit. Địa chỉ của host đích.

2.2.2. Giao thức ICMP

Giao thức IP là giao thức không hƣớng kết nối và không an toàn. Bên cạnh IP còn

có các giao thức khác hỗ trợ chức năng điều khiển và định tuyến. Giao thức ICMP là một

trong số đó. ICMP gửi các thông điệp về các vấn đề, tình trạng xảy ra trong môi trƣờng mạng.

Khuôn dạng bản tin ICMP

0 7 8 15 16 31

Type Code Checksum

Thông tin thêm

Các bản tin ICMP đƣợc xác định nhờ vào trƣờng code. Có các loại bản tin ICMP

sau:

 Bản tin vọng và bản tin đáp ứng vọ ng.  Bản tin Time Stamp và trả lời Time Stamp.  Bản tin không gặp đích.  Bản tin quench source.  Bản tin định hƣớng lại.  Bản tin báo tham số có lỗi.

2.3. Tầng giao vận

Tầng giao vận nằm trên lớp 4 của mô hình tham chiếu OSI. Cung cấp dịch vụ truyền thông giữa các tiến trình ứng dụng chạy trên các máy tính khác nhau. Tầng giao vận của internet có 2 giao thức quan trọng TCP và UDP. Ngoài ra để phù hợp với các

dịch vụ truyền thời gian thực trong lớp giao vận còn có giao thức SCTP.

Lớp transport có một số nhiệm vụ  Cho phép nhiều ứng dụng truyề n thông qua mạng tại cùng một thời điểm, trên

19

Bảo mật trong VoIP

cùng một thiết bị.

 Đảm bảo dữ liệu đƣợc nhận tin cậy khi sử dụng giao thức TCP, sắp xếp đúng

gói tin cho từng loại ứng dụng khác nhau.

 Cung cấp cơ chế truyền lại trong trƣờng hợp gói tin bị mất hoặc lỗi trong quá

trình truyền từ nguồn tới đích.

Chức năng của lớp transport  Đảm bảo duy trì các kết nối riêng biệt giữa các ứng dụng khác nhau trên host

nguồn và đích.

 Thực hiện phân mảnh tại nguồn và có cơ chế quản lý các gói tin này.  Ghép các mảnh dữ liệu tại đích để tạo thành luồng dữ liệu ứng dụng trƣớc khi

đẩy lên lớp ứng dụng.

 Có khả năng nhận diện các ứng dụng khác nhau. Điều này giúp cho lớp transport có thể khởi tạo, duy trì, bảo dƣỡng và kết thúc nhiều ứng dụng khác

nhau trên cùng một thiết bị.

2.3.1. Giao thức UDP

UDP là giao thức đơn giản, không hƣớng kết nối, đƣợc mô tả trong RFC 768. UDP

có trƣờng header chỉ có 8 byte. Vì vậy UDP cung cấp ít các thông tin điều khiển. UDP

không có cơ chế truyền tin cậy, không có khả năng điều khiển luồng và không có cơ chế

truyền lại. Xử lý lỗi phải đƣợc xử lý bởi các giao thức lớ p cao hơn.

Header của UDP gồm 8 byte chỉ có 4 trƣờng: Chỉ số cổng nguồn, chỉ số cổng đích,

chiều dài gói tin và kiểm lỗi bằng trƣờng checksum.

Trên mạ ng UDP thích hợp cho các ứng dụng nhậy với trễ nhƣ: Voice, game online,

video, TFTP, DNS…

Trong mạng VoIP, UDP đƣợc sử dụng kết hợp với giao thức RTP của lớp trên đả m

bảo tính thời gian thực trong truyền thoại. Tín hiệu thoại sau khi đƣợc mã hóa đƣợc đóng

gói sẽ thêm phần header của RTP sau đó chuyển xuống lớp 4 sƣ̉ dụng UDP để đảm bảo độ trễ cho tín hiệu thoại.

Hình 13. Khuôn dạng gói tin UDP

2.3.2. Giao thức TCP

20

Bảo mật trong VoIP

TCP là giao thức hƣớng kết nối và tin cậy, đƣợc mô tả trong RFC 793. TCP thực

hiện phân mảnh gói tin tại nguồn và trƣớc khi gửi gói tin xuống lớp network nó chèn thêm mộ t số thông tin điều khiển gọi là TCP header. Mỗi segment của TCP có 20 byte

header.

TCP cung cấp các chức năng:  Truyền tin cậy với cơ chế ARQ, mỗi bản tin có số trình tự phát và trình tự thu

riêng.

 Cung cấp thứ tự chính xác của các segment với cơ chế sắp xếp lại segments tại

đích. Có cơ chế loại bỏ các bản tin ké p.

 Cung cấp điểu khiển luồng để kiểm soát tắc nghẽn bằng phƣơng pháp sử dụng

cửa sổ trƣợt.

Trong mạng giao thức TCP thích hợp cho các ứng dụng cần đảm bảo sự tin cậy và

không yêu cầu thời gian thực nhƣ: Web, mail, truyền file.

Trong mạng VoIP, TCP đƣợc sử dụng để truyền các bản tin báo hiệu nhƣ: H.225,

H.245 vì các bản tin báo hiệu cần độ chính xác cao.

Header và ý nghĩa của các trƣờng trong phần header TCP:

Hình 14. Khuôn dạng bản tin TCP

 Source Port và Destination Port: Chỉ số cổng nguồ n và chỉ số cổng đích của mỗi ứng dụng. Mỗi ứng dụng sẽ có chỉ số cổ ng nguồn và chỉ số cổ ng đích khác nhau. Cổng nguồn và đích đều có 16 bit do vậy có thể tạo đƣợc 65535 cổng khác nhau.

 Sequence number: Dài 32 bit. Đƣợc sử dụng nhằm đồng bộ dữ liệu truyền giữa

nguồn và đích và sắp sếp chính xác dữ liệu tại đích.

 Acknowledgement number: Dài 32 bit. Chỉ số này đƣợc gửi đến host nguồn. Thông báo cho host nguồn biết là đã nhận tốt byte thứ n và mong muốn nhận

21

Bảo mật trong VoIP

đƣợc byte n + 1 trong lần truyền tiếp theo.

 Windows: Dài 16 bit, đƣợc sử dụng để điều khiển luồng. Đích nhận gói tin căn cứ vào tài nguyên của mình có thể gửi thông tin về cƣ̉ a sổ trƣợ t (slidding

windows) cho nguồn, yêu cầu nguồn gửi dữ liệu kích thƣớc phù hợp.

 Hlen: Dài 4 bit. Cho biết chiều dài phần header của bản tin TCP.  Reserved: Dài 6 bit. Là bit dự trữ chƣa đƣợc sử dụng, đƣợc gán giá trị bằng 0.  Code bit: Dài 6 bit. Chứa các cờ điều khiển nhƣ: URG, ACK, PSH, RST, SYN,

FIN.

 Checksum: Dài 16 bit. Dùng để kiểm lỗi, sử dụng CRC 16.  Urgent Point: Dài 16 bit. Là con trỏ trỏ tới số hiệu tuần tự của byte đi sau dữ

liệu chuẩn, cho bên nhận biết đƣợc độ dài của dữ liệu.

 Option: Có độ dài thay đổi, trong đó khai báo các lựa chọn của ngƣời dùng.  Padding: Dài 8 bit. Đảm bảo phần tiêu đề của TCP luôn là bội của 32 byte.  TCP data: Là phần dữ liệu của lớp trên, có giá trị tối đa là 536 byte, giá trị này

có thể thay đổi nhờ vào khai báo trong phần option.

Trong một phiên TCP có 3 pha: Khởi tạo kết nối, truyền tin và hủy kết nối. TCP

thực hiện kết nối với thủ tục bắt tay 3 bƣớc.

 Khởi tạo kết nối:

1. Nguồn gửi bản tin SYN kèm theo sequence number đến đích để thiết lập kết

nối.

2. Đích gửi bản tin SYN chứa tham số ACK để khẳng định quá trình nhận dữ

liệu tốt tớ i nguồn. Bản tin này cũng chứa chỉ số sequence number và chỉ số này

đƣợc sinh ra ngẫu nhiên.

3. Khi nguồn nhận đƣợc bản tin SYN kèm theo ACK nó sẽ gửi bản tin thiết lập

tới đích.

Hình 15. Khởi tạo phiên TCP

 Truyền tin: Sau khi thiết lập thông qua 3 bƣớc trên, nguồn và đích thực hiện truyền dữ liệu kèm theo các thông tin điều khiển chứa trong header của TCP.

22

Bảo mật trong VoIP

 Kết thúc phiên truyền: Khi không còn nhu cầu truyền dữ liệu nữa, host sẽ gửi cờ FIN để kết thúc phiên truyền dữ liệu giữa hai host. Sau khi kết thúc phiên truyền dữ liệu, kết nối end-to-end giƣ̃ a nguồn và đích sẽ đƣợc giải phóng.

Hình 16. Kết thúc phiên truyền dữ liệu

2.3.3. Giao thức SCTP [10]

SCTP cũng nhƣ TCP và UDP là một giao thức tầng giao vận. SCTP đƣợc thiết kế

để thay thế cho TCP/UDP khi truyền báo hiệu SS7 qua mạng internet. Ban đầu SCTP chỉ đƣợc thiết kế với mục đích trên nhƣng ngày nay SCTP đã đƣợc sử dụng rộng rãi và nó

đƣợc xem nhƣ một thế hệ tiếp theo của giao thức TCP. SCTP là giao thức hƣớng kết nối

và tin cậy, đồng thời SCTP còn đảm bảo tính thời gian thực cho dữ liệu không giống nhƣ

TCP. SCTP cung cấp các chức năng sau:

 Hỗ trợ đa luồng: Các bản tin độc lập với nhau trên một liên kết SCTP. Mỗi bản tin đƣợc gán cho một luồng riêng. Tất cả các bản tin trong một luồng đƣợc nhận theo đúng thứ tự bên gửi đã đánh dấu. Mỗi dữ liệu của mỗi luồng sẽ đƣợc nhận

chính xác mà không bị lẫn lộn với các luồng khác. Với hỗ trợ đa luồng SCTP hỗ

trợ các ứng dụng liên quan đến hợp kênh dữ liệu nhƣ: Thoại, video trên mỗi

đƣờng liên kết giữa hai đầu cuối.

 Liên kết đa điể m: Giữa hai đầu cuối trong quá trình thiết lập liên kết có thể xác định liên kết đa điểm. Có nhiều giao diện sẽ cho phép dữ liệu gửi theo địa chỉ

khác khi xảy ra lỗi. Giao thức TCP không thể thực hiện đƣợc việc này.

 Hƣớ ng bản tin: Trong TCP, dữ liệu đƣợc gửi giữa hai đầu cuối là luồng các byte. Nếu cần thiết các ứng dụng phải làm chức năng định dạng khung cho bản tin.

SCTP bản tin đƣợc giữ nguyên định dạng, bản tin không bị thay đổi ở hai đầu cuối. UDP cũng cung cấp dịch vụ hƣớ ng bản tin nhƣng không tin cậy.

 Nhận bản tin không theo thứ tự: Giao thức TCP, tất cả các bản tin đƣợc nhận theo đứng thứ tự bên gửi. Đối với SCTP, cung cấp cơ chế nhận bản tin không

theo thứ tự (giữa các luồng song song với nhau).

 Quy định thời gian sống của bản tin: SCTP có một tùy chọn cho phép xác định thời gian sống của bản tin. Nó cho phép ƣ́ ng dụng truyền tin xác định khoảng

23

Bảo mật trong VoIP

thời gian mà bản tin còn có ích. Nếu thời gian sống của bản tin không còn

SCTP có thể hủy bỏ bản tin hoặc dừng việc cố gắng gửi nó vào mạng. Việc này giúp tiết kiệm băng thông trách tắc nghẽn trên đƣờng truyền.

 Syn cookie: SCTP khởi tạo liên kết bằng thủ tục bắt tay bốn bƣớc với việc sử

dụng cookie có dấu hiệu định trƣớc.

 Khả năng kiểm soát lỗi mạnh: Với TCP và UDP trƣờng checksum chỉ có 16 bit.

Còn SCTP trƣờng này lên tới 32 bit.

Khuôn dạng bản tin SCTP:

Hình 17. Khuôn dạng gói tin SCTP

 Source port: Dài 16 bit, chỉ số cổng nguồn của ứng dụng.  Destination port: Dài 16 bit, chỉ số cổng đích của ứng dụng.  Verification tag: 32 bit, thẻ xác minh. Ngƣời nhận sử dụng thẻ này để xác minh

tính hợp lệ của ngƣời gửi gói SCTP này.

 Checksum: 32 bit. Sử dụng để kiểm lỗi và sƣ̉ a lỗi bản tin SCTP.  Chunk: Có độ dài biến đổi. Chunk là một đơn vị thông tin đƣợc dùng trong gói

SCTP. Chunk chứa chunk header và chunk data:

Hình 18. Khuôn dạ ng Chunk

▪ Chunk type: 8 bit. Định nghĩa kiểu thông tin chứa trong chunk data. Có 20

kiểu chunk đƣợc định nghĩa trong RFC 2690.

▪ Chunk flags: 8 bit. Đƣợc sử dụng phụ thuộc vào các kiểu chunk khác nhau. ▪ Chunk length: 16 bit. Chỉ độ dài của trƣờng chunk. ▪ Chunk data: Độ dài thay đổi. Trƣờng chứa dữ liệu của gói SCTP , kiểu dƣ̃

liệu đƣợc định nghĩa trong chunk type.

Giao thức SCTP thực hiện thiết lập một liên kết bằng thủ tục bắt tay 4 bƣớc, và hủy

24

Bảo mật trong VoIP

bỏ một liên kết trong 3 bƣớc.

So sánh tính năng dịch vụ của SCTP, TCP và UDP

Services/Features SCTP TCP UDP

Hƣớng liên kết Có Không Có

Song công Có Có Có

Tin cậy Có Không Có

Tùy chọn Không Tin cậy cục bộ Không

Nhận dữ liệu có thứ tự Có Không Có

Nhận dữ liệu không có thứ tự Không Có Có

Điều khiển luồng Có Không Có

Điều khiển tắc nghẽn Có Không Có

Cơ chế ECN Có Không Có

Selective ACKs Tùy chọn Không Có

Hƣớng bản tin Không có Có

Tìm lại đƣờng MTU Có Không Có

Phân mảnh PDU tầng ứng dụng Có Không Có

Đọc các PDU tầng ứng dụng Có Không Có

Đa luồng Không Không Có

Chống tấn công tràn SYN Không Không Có

Kết nối half-closed Không Có Không

Kiểm tra dữ liệu tới đích Có Không Có

2.4. Lớp ứng dụng

Lớp ứng dụng trong mạng VoIP là tầng liên quan trực tiếp đến ngƣời dùng. Tầng

ứng dụng chứa một loạt các giao thức phục vụ cho ứng dụng voice.

 Các giao thức báo hiệu: H.323, SIP, MGCP, Megaco/H.248.  Các giao thức truyền tin thời gian thực: RTP, RTCP, RSVP.  Các chuẩn nén thoại, video: G.711, G.722, G.723.1, G.728, G.729, H.261,

H.263.

Các giao thức báo hiệu sẽ đƣợc trình bày cụ thể trong chƣơng sau. Trong chƣơng

này chỉ trình bày chi tiết về các giao thức hỗ trợ truyền tin thời gian thực.

25

Bảo mật trong VoIP

2.4.1. Giao thức RTP [10]

RTP là giao thức đƣợ c xây dựng nhằm cung cấp khả năng truyền tải các dữ liệu

yêu cầu thời gian thực nhƣ: Thoại, video trên các dịch vụ mạng multicast hay unicast. RTP do tổ chức IETF đề xuất, nó đảm bảo các cơ chế vận chuyển và giám sát phƣơng

thức truyền thông thời gian thực trên mạng. RTP đƣợc thiết kế chủ yếu cho việc truyền

nhiều đối tƣợng, nhƣng nó vẫn có thể đƣợc sử dụng để truyền cho một đối tƣợng. RTP có

thể truyền tải một chiều nhƣ dịch vụ video theo yêu cầu cũng nhƣ các dịch vụ trao đổi

qua lại nhƣ điện thoại Internet.

Các gói tin truyền trên mạng Internet có trễ và jitter không dự đoán đƣợc. Nhƣng

các ứng dụng đa phƣơng tiện yêu cầu một thời gian thích hợp khi truyền các dữ liệu và

phát lại. RTP cung cấp các cơ chế bảo đảm thời gian, số thứ tự và các cơ chế khác liên

quan đến thời gian. Bằng các cơ chế này RTP cung cấp sự truyền tải dữ liệu thời gian thực giữa các đầu cuối qua mạng.

Bản thân RTP không cung cấp một cơ chế nào cho việc bảo đảm phân phối kịp thời

các dữ liệu tới các trạm mà nó dựa trên các dịch vụ của tầng thấp hơn để thực hiện điều

này. RTP cũng không đảm bảo việc truyền các gói theo đúng thứ tự. Tuy nhiên, số thứ tự

trong RTP header cho phép bên thu xây dựng lại đúng thứ tự các gói của bên phát.

Giao thức RTP không tự cung cấp khả năng giám sát và điều khiển mà phải nhờ sự

hỗ trợ từ giao thức RCTP có chức năng giám sát và điều khiển chất lƣợng truyền tin.

RTP thƣờng kết hợp với giao thức tầng giao vận là UDP để tận dụng tính ƣu việt về

thời gian của UDP. Qua tiến hành thỏa thuận phƣơng thức truyền thông, các bên tham

gia hội thoại mở 2 cổng UDP kề nhau, cổng chẵn cho truyền gói tin RTP, cổng lẻ cho

phép truyền thông tin giám sá t RTCP. Thông thƣờng hai cổng đƣợc chọn mặc định là

5004 và 5005. Sở dĩ UDP đƣợc sử dụng làm thủ tục truyền tải cho RTP bởi 2 lý do:

▪ Thứ nhất, RTP đƣợc thiết kế chủ yếu cho việc truyền tin đa đối tƣợng, các

kết nối có định hƣớng, có báo nhận không đáp ứng tốt điều này.

▪ Thứ hai, đối với dữ liệu thời gian thực, độ tin cậy không quan trọng bằng truyền đúng theo thời gian. Hơn nữa, sự tin cậy trong TCP là do cơ chế báo

phát lại, không thích hợp cho RTP. Ví dụ khi mạng bị tắc nghẽn một số gói có thể mất, chất lƣợng dịch vụ dù thấp nhƣng vẫn có thể chấp nhận đƣợc. Nếu thực hiện việc phát lại thì sẽ gây nên độ trễ rất lớn dấn đến chất lƣợng

thấp và gây ra sự tắc nghẽn của mạng.

Một chức năng khác của RTP là xác định nguồn: Cho phép phía thu biết đƣợc dữ

26

Bảo mật trong VoIP

liệu đến từ đâu. Ví dụ trong hộ i nghị nhiề u bên, từ thông tin nhận dạng nguồn một ngƣời

sử dụng có thể biết đƣợc ai đang nói.

RTP chỉ cung cấp các dịch vụ phổ thông nhất cho hầu hết các ứng dụng truyền thông hội nghị đa phƣơng tiện. Mỗi một ứng dụng cụ thể đều có thể thêm vào RTP các

dịch vụ mới sao cho phù hợp với các yêu cầu của nó. Các khả năng mở rộng này đƣợc

mô tả trong một profile đi kèm. Profile này còn chỉ ra các mã tƣơng ứng sử dụng trong

trƣờng PT (Payload Type) của phần tiêu đề RTP ứng với các loại tải trọng mang trong

gói.

Các dòng phƣơng thức truyền thông RTP có thể mã hóa thành mật mã dùng các

khóa, việc mã hóa đảm bảo cho việc thông tin trên mạng đƣợc an toàn hơn.

RTP header có 2 phần, phần cố định và phần mở rộng, cấu trúc này tạo sự linh hoạt

cho ngƣời dùng khi sử dụng các ứng dụng khác nhau.

Phần cố định:

Hình 19. Khuôn dạng bản tin RTP header cố đị nh

 Version: Dài 2 bit. Cho biết phiên bản của RTP.  Padding: Dài 1 bit. Nếu bit này đƣợc đặ t, sẽ có thêm một vài byte thêm vào cuối gói dữ liệu. Các byte này không phải là thông tin, chúng đƣợc thêm vào nhằm

mục đích: ▪ Phục vụ cho một vài thuật toán mã hóa thông tin cần kích thƣớc gói cố định. ▪ Dùng để cách ly gói RTP trong trƣờng hợp có nhiều gói tin đƣợc mang trong

cùng một đơn vị dữ liệu của giao thức tầng dƣới.

 Extention: Dài 1 bit. Nếu bit này đƣợc đặt thì gói tin RTP có thêm phần header

mở rộng.

 Contributing Source Count: Dài 4 bit. Chỉ số lƣợng các thành phần nhận dạng nguồn CSRC nằm trong phần header gói tin. Số này lớn hơn 1 nếu các gói tin

đến từ nhiều nguồn.

 Marker: Dài 1bit. Có vai trò thay đổi tùy theo từng trƣờng hợp cụ thể, đƣợc chỉ

ra trong profile đi kèm.

27

Bảo mật trong VoIP

 Payload Type: Dài 7 bit. Chỉ ra loại tải tin mang trong gói tin. Các mã sử dụng trong trƣờng này ứng với các loại tải trọng đƣợc quy định trong một profile đi kèm.

 Sequence Number: Dài 16 bit. Chỉ ra số thứ tự của gói RTP. Chỉ số này đƣợc sử dụng để bên nhận phát hiện sự mất gói tin và giúp cho việc khôi phục các gói

tin bị mất. Giá trị khởi đầu của trƣờng này là ngẫu nhiên.

 Time stamp: Dài 32 bit. Chỉ ra thời điểm lấy mẫu của octet đầu tiên trong gói RTP. Thời điểm này đƣợc lấy từ một đồng hồ tăng đều đặn và tuyến tính theo

thời gian để cho phép việc đồng bộ và tính toán độ jitter. Tần số đồng hồ này

không cố định, tùy thuộc vào loại tải trọng. Giá trị khởi đầu đƣợc chọn ngẫu

nhiên. Một vài gói RTP có thể mang cùng một giá trị ―tem thời gian‖. Nếu gói

dữ liệu đƣợc phát ra đều đặn thì ―tem thời gian‖ đƣợc tăng một cách đều đặn. Trong trƣờng hợp khác thì giá trị ―tem thời gian‖ tăng không đều. ―Tem thời

gian‖ tăng dần theo thời gian đối với mọi gói. Sau khi nhận đƣợc gói dữ liệu,

bên thu sử dụng các ―tem thời gian‖ này nhằm khôi phục thời gian gốc để chạy

các dữ liệu này với tốc độ thích hợp. Ngoài ra, nó còn đƣợc sử dụng để đồng bộ

các dòng dữ liệu khác nhau (chẳng hạn nhƣ giữa hình và tiếng). Tuy nhiên RTP

không thực hiện đồng bộ mà các ứng dụng phía trên sẽ thực hiện sự đồng bộ

này. ―Tem thời gian‖ là thành phần thông tin quan trọng nhất trong các ứng

dụng thời gian thực.

 Synchronization Source Identifier: Dài 32 bit. Chỉ ra nguồn đồng bộ của gói RTP, số này đƣợc chọn ngẫu nhiên. Trong mộ t phiên RTP có thể có nhiều hơn

một nguồn đồng bộ. Mỗi một nguồn phát ra một luồng các gói RTP. Bên thu

nhóm các gói của cùng một nguồn đồng bộ lại với nhau để phát lại tín hiệu thời

gian thực.

 Contributing Source Identifier: Chiề u dài thay đổi từ 0 – 15 phần, mỗi phần 32 bit. Chỉ ra nhƣ̃ ng nguồn đóng góp thông tin vào phần tải trọng của gói RTP. Giúp bên thu nhận biết đƣợc gói tin này mang thông tin của những nguồn nào.

Chức năng này rất cần thiết cho các cuộc thoại hội nghị.

Phần header mở rộng:

Có độ dài thay đổi. Sự tồn tại phụ thuộc vào bit Extension của phần cố định.

28

Bảo mật trong VoIP

Hình 20. Header RTP mở rộng

 16 bit đầu tiên đƣợc sử dụng với mục đích riêng cho từng ứng dụng đƣợc định nghĩa bởi profile đi kè m. Thƣờng đƣợc dùng để phân biệt các loại header mở

rộng.

 Length: Dài 16 bit. Giá trị chiều dài phần header mở rộng tính theo đơn vị 32

bit, không bao gồm 32 bit đầu tiên của phần header mở rộng.

Thực tế RTP đƣợc thực hiện chủ yếu trong các ứng dụng mà tại các mức ứng dụng

này, có các cơ chế khôi phục lại gói bị mất, điều khiển tắc nghẽn.

Mạng Internet hiện nay vẫ n chƣa thể đáp ứng đƣợc đầy đủ các yêu cầu của các dịch

vụ thời gian thực. Các dịch vụ RTP yêu cầu băng thông cao có thể làm giảm chất lƣợng

các dịch vụ khác trong mạng đến mức nghiêm trọng. Trong quá trình triển khai phải chú

ý đến giới hạn băng thông sử dụng của các ứng dụng trong mạng.

2.4.2. Giao thức RTCP [10]

Giao thức RTCP hỗ trợ cho RTP có chức năng điều khiển, kiểm soát bản tin RTP.

Giao thức RTCP dựa vào việc truyền đề u đặn các gói điều khiển tới tất cả các ngƣời

tham gia vào phiên truyền. RTCP cũng sử dụng các dịch vụ của giao thức UDP qua một

cổng độc lập với RTP. Các dịch vụ mà RTCP cung cấp là:

 Giám sát chất lƣợng và điều khiển tắc nghẽn: Đây là chức năng cơ bản của RTCP. Nó cung cấp thông tin phản hồi tới một ứng dụng về chất lƣợng phân

phối dữ liệu. Thông tin điều khiển này rất hữu ích cho các bộ phát, bộ thu và

giám sát. Bộ phát có thể điều chỉnh cách thức truyền dữ liệu dựa trên các thông báo phản hồi của bộ thu. Bộ thu có thể xác định đƣợc tắc nghẽn là cục bộ, từng

phần hay toàn bộ. Ngƣời quản trị mạng có thể đánh giá đƣợc hiệu suất mạng.  Xác định nguồn: Trong các gói RTP, các nguồn đƣợc xác định bởi các số ngẫu nhiên có độ dài 32 bit, các số này không thuận tiện đối với ngƣời sử dụng. RTCP cung cấp thông tin nhận dạng nguồn cụ thể hơn ở dạng văn bản. Nó có thể bao gồm tên ngƣời sử dụng, số điện thoại, địa chỉ e-mail và các thông tin khác.  Đồng bộ môi trƣờng: Các thông báo của bộ phát RTCP chứa thông tin để xác định thời gian và nhãn thời gian RTP tƣơng ứng. Chúng có thể đƣợc sử dụng để

29

Bảo mật trong VoIP

đồng bộ giữa âm thanh với hình ảnh.

 Điều chỉnh thông tin điều khiển: Các gói RTCP đƣợc gửi theo chu kỳ giữa những ngƣời tham gia. Khi số lƣợng ngƣời tham gia tăng lên, cần phải cân bằng

giữa việc nhận thông tin điều khiển mới nhất và hạn chế lƣu lƣợng điều khiển.

Để hỗ trợ một nhóm ngƣời sử dụng lớn, RTCP phải cấm lƣu lƣợng điều khiển

rất lớn đến từ các tài nguyên khác của mạng. RTP chỉ cho phép tối đa 5% lƣu

lƣợng cho điều khiển toàn bộ lƣu lƣợng của phiên làm việc. Điều này đƣợc

thực hiện bằng cách điều chỉnh tốc độ phát của RTCP theo số lƣợng ngƣời tham

gia. Mỗi ngƣời tham gia một phiên truyền RTP phải gửi định kỳ các gói RTCP

đến tất cả những ngƣời khác cũng tham gia phiên truyền. Nhờ vậy mà có thể

theo dõi đƣợc số ngƣời tham gia.

Gói RTCP góp phần làm tăng tắ c nghẽn mạng. Băng thông yêu cầu bởi RTCP là 5% tổng số băng thông phân bổ cho phiên. Khoảng thời gian trung bình giữa các gói

RTCP đƣợc đặt tối thiểu là 5s.

Khuôn dạng gói tin RTCP

Hình 21. Khuôn dạng RTCP

 Version: 2 bit. Chỉ phiên bản của giao thức RTCP, giá trị này giống phần verson

trong RTP.

 Padding: 1bit. Khi bit đƣợc đặt phần cuối gói RTCP có thêm một số byte không

phải là thông tin điều khiển. Các byte này thêm vào làm mục đích khác.

 Count: 5 bit. Giá trị từ 0 - 31, giá trị các khối trong gói RTCP.  Length: 16 bit. Chỉ ra chiều dài của gói RCTP bao gồm cả heaer và padding.

Đơn vị là một từ 32 bit.

 Data: Chứa các bản tin điều khiển.  Type: 8 bit. Chỉ kiểu của bản tin điều khiển.

30

Bảo mật trong VoIP

Bảng 1. Các kiểu bản tin điều khiển

Mô tả Type

192 FIR, full INTRA-frame request.

193 NACK,negative acknowledgement.

SR (sender report), chứa các thông tin thống kê liên quan tới kết quả truyền 200 nhƣ tỷ lệ tổn hao, số gói dữ liệu bị mất, khoảng trễ.

201 RR (receiver report). Chứa các thông tin thống kê liên quan đến kết quả nhận.

202 SDES (source description). Thông số mô tả nguồn.

203 BYE (goodbye). Kết thúc tham gia vào phiên truyền.

204 APP (application defined). Cho phép truyền các dữ liệu ứng dụng

205 RTPFB (Generic RTP Feedback). Phản hồi RTP chung.

206 PSFB (Payload-specific). Chỉ loại tải đặc biệt.

207 XR (RTCP extension). RTCP mở rộng.

Kế t luậ n

Trong chƣơng nà y đã nghiên cƣ́ u mô hì nh phân tầ ng củ a VoIP tham chiế u đế n mô

hình OSI. Vớ i cá c giao thƣ́ c quan trọ ng đó ng vai trò then chốt ở các lớp trong mô hình.

31

Bảo mật trong VoIP

Chƣơng 3. MẠNG VOIP VỚ I CÁ C GIAO THƢ́ C BÁ O HIỆ U H.323/SIP

Trong chƣơng một của khóa luận đã đề cập đến một mô hình tổng quan về mạng

VoIP. Trên thực tế, từ khi dịch vụ mạng VoIP hình thành và phát triển các tổ chức quốc tế và các nhà khai thác dich vụ mạng luôn tìm kiếm các công cụ khai thác mạng hiệu quả

nhấ t. Dựa trên các bộ giao thức báo hiệu khác nhau, mô hình mạng VoIP cũng thay đổi

theo với các chuẩn phù hợp với các giao thức đó. Trong chƣơng này của khóa luận sẽ

trình bày chi tiết về mô hình mạng với các chuẩn đƣợc ứng dụng.

3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5]

Khi đề cập đến thoại IP, tiêu chuẩn quốc tế thƣờng đề cập đến là H.323. Giao thức

H.323 đƣợc phát triển bởi ITU_T, H.323 cung cấp nền tảng kỹ thuật cho truyền thông đa

phƣơng tiện nhƣ: Audio thời gian thực, video và thông tin dữ liệu qua mạng chuyển

mạch gói, bao gồm internet.

H.323 phiên bản đầu tiên đƣợc ITU_T đƣa ra vào năm 1996. Trong quá trình phát

triển H.323 đã đƣợc nâng cấp và sửa đổi để ngày càng hoàn thiện. Các phiên bản muộn

hơn của H.323 đƣợc đƣa ra vào các năm: H.323 v1 năm 1998, H.323 v2 năm 1999,

H.323 v3 năm 2000, H.323 v4 năm 2003, H.323 v5 năm 2005, H.323 v6 năm 2006.

Đi kèm theo chuẩn H.323 là một chồng các giao bao gồm chức năng thiết lập, điều

khiển, quản lý thông tin đa phƣơng tiện và quản lý băng thông, ngoài ra còn cung cấp các

giao diện giữa LAN và các mạng khác.

3.1.1. Thành phần mạng VoIP với chuẩn H.323

Hình 22. Mô hình mạng VoIP với chuẩn H.323

32

Bảo mật trong VoIP

Hình 22 chỉ ra các thành phần của một hệ thống mạ ng H .323. Bao gồm: Thiết bị

đầu cuối (terminal), gateway, gatekeepers, và đơn vị điều khiển đa điểm (MCU).

3.1.1.1. Terminals

Hình 23. Thiết bị đầu cuối H.323

Một đầu cuối H.323 phải có một đơn vị điều khiển hệ thống (system control unit),

bộ phát đa phƣơng tiện (media transmission), bộ codec, một giao diện mạng. Các nhu

cầu tùy chọn bao gồm bộ video codec và dữ liệu ứng dụng.

Những chức năng và khả năng bên trong phạm vi của thiết bị đầu cuối H.323 :  System Control Unit: Cung cấp chức năng điều khiển cuộc gọi RAS, H.225 và H.245, khả năng trao đổi, nhắn tin, và tín hiệu lệnh cho hoạt động tốt của thiết

bị đầu cuối.

 Media Transmission: Định dạng các dữ liệu đƣợc truyền nhƣ: Audio, video, dòng điều khiển và các bản tin trên giao diện mạng. Media Transmission cũng

thu audio, video, dữ liệu, dòng điều khiển và các bản tin từ giao diện mạng.  Audio Codec: Bộ Mã hóa và giải mã các tín hiệu audio. Chức năng thực hiện bao gồm mã hóa và giải mã tiếng nói theo chuẩ n G.711 và chuyển đổi giữa luậ t µ và

luật a. Còn hỗ trợ các luật mã hóa tùy chọn G.722, G.723.1, G.728, và G.729.  Network interface: Giao diện mạng cơ bản cung cấp khả năng kết nối end

-to-end và các giao thức TCP, UDP.

 Video Code: Thành phần tùy chọn, nếu đƣợc hỗ trợ thì nó có khả năng mã hóa

và giải mã các chuẩn video nhƣ: H.261, QCIF.

 Data Channel: Hỗ trợ các ứng dụng giống nhƣ truy cập cơ sở dữ liệu, truyền

file, đƣợc đề cập trong T.120.

33

Bảo mật trong VoIP

3.1.1.2. Gateway

Gateway thực hiện việc kết nối mạng VoIP-H.323 với các mạng khác ví dụ PSTN.

Cung cấp chuyển đổi giữa các dạng audio, video và dữ liệu cũng nhƣ các giao thức trong quá trình thiết lập, duy trì và kết thúc cuộc gọi ở cả hai phía mạ ng H.323 và SCN.

Thành phần Gateway sẽ không cần thiết nế u VoIP – H.323 không kết nối với một

mạng khác. Vì vậy các điểm đầu cuối chuẩ n H.323 có thể liên lạc trực tiếp không thông

qua kết nối với một Gateway. Gateway hoạt động nhƣ một terminal hay MCU trên mạng VoIP và nhƣ SCN terminal hay MCU trên mạng SCN.

Hình 24. Giao diện liên kết gateway

Có 3 loại gateway:  Singnalling Gateway (SG): Cung cấp chức năng báo hiệu giữa mạng IP và mạng SCN. Là phần tử trung gian chuyển đổi báo hiệu trong mạng IP với báo

hiệu trong SCN.

 Media Gateway (MG): Cung cấp phƣơng tiện để thực hiện chức năng chuyển

đổi mã hóa giữa mạng IP và mạng SCN.

 Media Gateway Controler (MGC): Kết nối MG, SG và Gatekeeper. Xƣ̉ lý cuộc gọi cho Gatekeeper, điều khiển MG nhận thông tin báo hiệu từ SG và thông tin

báo hiệu IP từ Gatekeeper.

3.1.1.3. Gatekeeper

Gatekeeper là một thành phần tùy chọn trong mạng, nếu Gatekeeper tồn tại trong mạng thì nó cung cấp chức năng quản lý việc đăng ký, chấp nhận, lƣu giữ trạng thái của

các đầu cuối cũng nhƣ Gateway. Nó tham gia vào việc quản lý vùng, xử lý, báo hiệu cuộc gọi.

Khi Gatekeeper có mặt trong mạng thì chức năng của nó đƣợc chia thành hai

nhóm: nhóm chức năng bắ t buộ c và nhóm chức năng không bắt buộc.

34

Bảo mật trong VoIP

Chức năng bắt buộc của Gatekeeper:  Chức năng dịch địa chỉ: Gatekeeper sẽ thực hiện việc chuyển đổi từ một địa chỉ hình thức (dạng tên gọi) của các thiết bị đầu cuối và gateway sang địa chỉ

truyền dẫn thực trong mạng (địa chỉ IP). Chuyển đổi này dựa trên bảng đối

chiếu địa chỉ đƣợc cập nhật thƣờng xuyên bằng bản tin đăng ký dịch vụ của các

đầu cuối. Cụ thể là: Chuyển đổi từ địa chỉ E.164 (số) sang tên gọi H.323 và

ngƣợc lại. Chuyển đổi từ tên gọi H.323 sang địa chỉ IP để truyền hoặc nhận các

bản tin H.225.

 Điều khiển truy cập: Gatekeeper cho phép một truy cập mạng LAN bằng cách sử dụng các bản tin RAS (ARQ/ACF/ARJ). Việc điều khiển này dựa trên sự

cho phép cuộc gọi, băng thông hoặc các thông số khác do nhà sản xuất quy

định.

 Điều khiển băng thông:Quản lý băng thông cung cấp cho điểm cuối và đảm bảo băng thông duy trì cuộc gọi bằng cách sử dụng bản tin RAS (BRQ /BCF /BRJ).  Quản lý miền mạng: Một miền là một nhóm các đầu cuối H.323, các Gateway, MCU đƣợc quản lý bởi một Gatekeeper. Trong một miền có tối thiểu một đầu

cuối H.323, mỗi miền chỉ có duy nhất một Gatekeeper. Một miền hoàn toàn có

thể độc lập với cấu trúc mạng, bao gồm nhiều mạng đƣợc kết nối với nhau.

Thông qua các chức năng: Dịch địa chỉ, điều khiển truy cập, điều khiển độ rộng

băng tần, Gatekeeper cung cấp khả năng quản lý miền.

Chức năng không bắt buộc của Gatekeeper:  Điều khiển báo hiệu cuộc gọi: Gatekeeper có thể lựa chọn giữa hai phƣơng thức điều khiển để báo hiệu cuộc gọi. Một là kết hợp với kênh báo hiệu trực tiếp

giữa các đầu cuối để hoàn thành báo hiệu cuộc gọi. Hai là sử dụng các kênh báo

hiệu của nó để xử lý báo hiệu cuộc gọi, theo phƣơng thức này thì Gatekeeper sẽ

không phải giám sát báo hiệu trên kênh H.225.

 Hạn chế truy cập: Gatekeeper sử dụng kênh báo hiệu RAS để từ chối một cuộc

gọi của một thiết bị đầu cuối khi nhận thấy có lỗi trong việc đăng ký.

 Quản lý băng thông: Gatekeeper có thể từ chối một yêu cầu kết nối của một đầu

cuối khi nó nhận thấy không đủ băng thông.

 Quản lý cuộc gọi: Một ví dụ cụ thể về chức năng này của Gatekeeper là nó lƣu danh sách tất cả các cuộc gọi H.323 hƣớng đi đang thực hiện để chỉ thị các thuê

bao bị gọi nào đang bận và cung cấp thông tin cho chức năng quản lý độ rộng

băng thông.

35

Bảo mật trong VoIP

3.1.1.4. Đơn vị điề u khiể n đa điể m ( MCU )

MCU là một điểm cuối trong mạng, nó cung cấp khả năng điều khiển và quản lý

nhiều thiết bị đầu cuối cùng tham gia vào một liên kết đa điểm (multipoint conference), với vai trò của ngƣời chủ tọa. MCU bao gồm một MC (Multipoimt Controller) bắt buộc

phải có và một MP (Multipoint Processor) có thể có hoặc không. MC và MP là các thành

phần của MCU nhƣng có thể chúng không tồn tại trong một thiết bị độc lập mà đƣợc

phân tán trong các thiết bị khác.

 Multipoint control (MC): Hỗ trợ cuộc đàm thoại giữa ba hoặc nhiều hơn các điểm đầ u cuối trong một cuộc hội thoại đa điểm. Nhiệm vụ của MC là điều tiết

khả năng audio, video, data giữa các thiết bị đầu cuối theo giao thức H.245.

Chức năng MC có thể tồn tại trong terminal, Gateway, Gatekeeper hoặc MCU.  Multipoint processor (MP): Chức năng thu audio, video hay dòng dữ liệu rồi

phân phối cho các thành phần trong cuộc đàm thoại.

3.1.1.5. H.323 Proxy Server

H.323 Proxy server hoạt động trên lớp ứng dụng. Proxy server có thể dò tìm đích

của cuộc gọi và thực thi kết nối nếu nó đƣợc yêu cầu. Proxy hỗ trợ các chức năng sau:  Cung cấp dịch vụ đảm bảo QoS cho các đầu cuối bằng cách sử dụng giao thức

RSVP.

 Hỗ trợ khả năng định tuyến cho dòng lƣu lƣợng H.323 từ luồng dữ liệu bình

thƣờng qua ứng dụng định tuyến đặc biệt.

 Một Proxy server có khả năng chuyển đổi địa chỉ mạng, cho phép nút H.323

triển khai trong mạng với địa chỉ riêng của mình.

 Proxy có thể đƣợc triển khai cùng với firewall nhằm cung cấp tính bảo mật cho

cuộc gọi H.323.

3.1.2. Chồng giao thức H.323

Hình 25. Kiến trúc phân tầng của H.323

36

Bảo mật trong VoIP

Chồng giao thức H.323 dựa trên một vài giao thức đƣợc biểu diễn trên hình 25.

Các giao thức báo hiệu và điều khiển gồm: RAS, H.225, H.245.

3.1.2.1. RAS signaling

RAS cung cấp điều khiển trƣớc cuộc gọi trong mạng H.323 có tồn tại Gatekeeper

và một vùng dịch vụ (do Gatekeeper đó quản lý). RAS đƣợc thiết lập giữa các thiết bị

đầu cuối và Gatekeeper qua mạng IP. Kênh RAS đƣợc mở trƣớc khi các kênh khác đƣợc

thiết lập và độc lập với các kênh điều khiển cuộc gọi và media khác. Báo hiệu RAS đƣợc xem là ít tin cậy vì nó đƣợc truyền trên UDP. Bởi vì các bản tin RAS đƣợc truyền trên

kênh không tin cậy nên chúng phải đƣợc đặt một khoảng thời gian timeout và số lần phát

lại khi không nhận đƣợc hồi âm. Một điểm cuối hoặc Gatekeeper không thể đáp ứng lại

một yêu cầu trong thời gian timeout thì nó phải trả lại bằng bản tin RIP (Request in

Progress) để cho biết nó đang xử lý yêu cầu. Khi nhận đƣợc bản tin RIP, thời gian timeout và số lần phát lại đƣợc khởi động lại. RAS thực hiện một số chức năng: Tìm

kiếm Gatekeeper, đăng ký, định vị điểm cuối, admissions và các chức năng khác.

Hình 26. Các bản tin RAS

37

Bảo mật trong VoIP

Tìm kiếm Gatekeeper

Tìm kiếm Gatekeeper có thể đƣợc thực hiện thủ công hoặc tự động, mà một thiết bị

đầu cuối tìm kiếm Gatekeeper để nó thực hiện đăng ký. Trong quá trình thủ công, điểm cuối đƣợc cấu hình cùng địa chỉ IP của Gatekeeper, và vì vậy nó sẽ đăng ký trực tiếp.

Nhƣng chỉ với một Gatekeeper định trƣớc. Trong phƣơng thức tự động cho phép một

điểm cuối không nhất thiết biết trƣớc Gatekeeper của nó, nó tìm kiếm Gatekeeper của nó

thông qua bản tin multicast. Địa chỉ multicast tìm kiếm Gatekeeper là 224.0.1.41, với

trên cổng UDP 1718. Trong tìm kiếm tự động một đầu cuối sẽ gửi bản tin multicast

Gatekeeper Request (GRQ). Gatekeeper chấp nhận sẽ gửi bản tin Gatekeeper Confirm

(GCF) và không chấp nhận sẽ gửi bản tin Gatekeeeper Reject (GRJ).

Hình 27. Tìm kiếm Gatekeeper

Đăng ký với Gatekeeper

Đăng ký cho phép các Gateway, các điểm cuối và MCU tham gia vào một miền

dịch vụ do Gatekeeper quản lý và thông tin tới Gatekeeper địa chỉ IP và địa chỉ bí danh

của nó. Tiến trình này thực hiện sau khi tiến trình tìm kiếm Gatekeeper thành công. Các

bản tin RAS dƣới đây đƣợc dùng để tiến hành đăng ký và hủy đăng ký :

 Registration Request (RRQ): Gửi từ một điểm cuối tới địa chỉ kênh RAS của

Gatekeeper. Địa chỉ này đƣợc xác định trong quá trình tìm Gatekeeper.

 Registration Confirm (RCF): Gửi từ Gatekeeper để xác nhận cho phép một

điểm cuối đƣợc đăng ký.

 Registration Reject (RRJ): Gửi từ một điểm cuối hoặc Gatekeeper không chấp

nhận đăng ký.

 Unregister Request (URQ): Gửi từ một điểm cuối hoặc Gatekeeper để hủy bỏ

đăng ký đã tồn tại.

38

Bảo mật trong VoIP

 Unregister Confirm (UCF): Gửi từ một điểm cuối hoặc Gatekeeper chấp nhận

hủy bỏ đăng ký.

 Unregister Reject (URJ): Chỉ thị rằng điểm cuối chƣa đƣợc đăng ký.

Các thủ tục đƣợc minh họa ở hình 28.

Hình 28. Điểm cuối đăng ký, điểm cuối và Gatekeeper hủy đăng ký

Định vị điểm cuối

Các điểm cuối và Gatekeeper sử dụng endpoint Location để có đƣợc những thông

tin khác khi chỉ có thông tin bí danh đƣợc chỉ ra. Bản tin định vị đƣợc gửi tới địa chỉ

kênh RAS của Gatekeeper hoặc gửi quảng bá tới địa chỉ multicast tìm kiếm Gatekeeper.

Các điển cuối và Gatekeeper có thể chứa một hoặc nhiều địa chỉ E.164 bên ngoài miền dịch vụ theo yêu cầu. Có thể sử dụng ba bản tin sau để xác định vị trí điểm cuối:

 Location Request (LRQ): Gửi bởi điểm cuối hay Gatekeeper để đạt đƣợc thông

tin cho một hay nhiều địa chỉ dạng E.164.

 Location confirm (LCF): Gửi bởi Gatekeeper và chứa địa chỉ kênh báo hiệu cuộc gọi hoặc địa chỉ kênh RAS của chính nó hay điểm cuối đƣợc yêu cầu.  Location Reject (LRJ): Gửi bởi Gatekeeper, để thông báo từ chối yêu cầu của LRQ khi yêu cầu của điểm cuối là không đăng ký hoặc tài nguyên không có sẵn.

39

Bảo mật trong VoIP

Admission

Bản tin admission giữa các điểm cuối và Gatekeeper cung cấp cơ sở cho điều khiển

thiết lập cuộc gọi và băng thông. Gatekeepr cho phép truy cập vào mạng H.323 bằng cách xác nhận hay từ chối một yêu cầu admission. Một yêu cầu admission bao gồm các

băng thông yêu cầu, mà Gatekeeper có thể rút gọn sự xác nhận. Các bản tin nhƣ sau:

 Admission Request (ARQ): Gửi bởi điểm cuối để thiết lập cuộc gọi  Admission Confirm (ACF): Cho phép thiết lập cuộc gọi. Bản tin này có chứa địa chỉ IP của thiết bị đƣợc gọi hay gatekeeper và cho phép gatekeeper nguồn

thiết lập cuộc gọi.

 Admission Reject (ARJ): Không cho phép điểm cuối thiết lập cuộc gọi

Thông tin trạng thái

Gatekeeper có thể sử dụng kênh RAS để có đƣợc thông tin trạng thái từ một điểm cuối. Ta có thể sử dụng thông tin này để theo dõi trạng thái online hay offline của điểm

cuối trong tình trạng mạng bị lỗi. Chu kỳ của bản tin thăm dò trạng thái là 10 giây. Trong

suốt cuộc gọi, Gatekeeper cũng có thể yêu cầu điểm cuối gửi định kỳ thông tin trạng thái.

Ba bản tin sau đây có thể cung cấp thông tin trạng thái trên kênh RAS:

 Information Request (IRQ): Đƣợc gửi từ Gatekeeper tới điểm cuối yêu cầu

cung cấp thông tin trạng thái.

 Information Request Response (IRR): Đƣợc gửi từ điểm cuối tới Gatekeeper

trả lời cho bản tin IRQ. Bản tin này cũng đƣợc gửi theo chu kỳ.

 Status Enpuiry Sent: Điểm cuối hoặc Gatekeeper có thể gửi bản tin này tới

điểm cuối khác để xác thực trạng thái cuộc gọi.

Điều khiển băng thông

Các điểm cuối sử dụng các bản tin RAS để yêu cầu thay đổi băng thông trong suốt

quá trình cuộc gọi. Các bản tin điều khiển băng thông nhƣ sau:

 Bandwidth Request (BRQ): Đƣợc gửi bởi điểm cuối tới Gatekeeper để yêu cầu

tăng hoặc giảm băng thông cho cuộc gọi.

 Bandwidth Confirm (BCF): Đƣợc gửi bởi Gatekeeper trả lời chấp nhận việc

yêu cầu thay đổi băng thông.

 Bandwidth Reject (BRJ): Đƣợc gửi bởi Gatekeeper trả lời từ chối yêu cầu thay

đổi băng thông (gửi đi, nếu băng thông yêu cầu hiện không có sẵn).

Kết thúc cuộc gọi

Trƣớc khi kết thúc cuộc gọi, thiết bị đầu cuối dừng hết mọi kết nối và đóng các

40

Bảo mật trong VoIP

kênh logic lạ i. Sau đó nó sẽ ngắt phiên H.245 và gửi tín hiệu RLC trên kênh báo hiệu

cuộc gọi. Nếu không có Gatekeeper thì cuộc gọi sẽ đƣợc hủy, còn nếu có Gatekeeper thì những bản tin sau sẽ đƣợc sử dụng truyền trên kênh RAS để kết thúc cuộc gọi:

 Disengage Request (DRQ): Gửi bởi thiế t bị đầu cuối hoặc Gatekeeper để yêu

cầ u kết thúc cuộc gọi.

 Disengage Confirm (DCF): Gửi bởi thiế t bị đầu cuối hoặc Gatekeeper để chấp

nhận kết thúc cuộc gọi.

 Disengage Reject (DRJ): Gửi bở i thiế t bị đầu cuối hoặc Gatekeeper thông báo

không chấp nhận kết thúc cuộc gọi.

3.1.2.2. Giao thức điều khiển báo hiệu cuộc gọi (H.225)

Giao thức H.225 dùng để thiết lập liên kế t giữa các điểm cuối H.323, thông qua

liên kết đó các dữ liệu thời gian thực sẽ đƣợc truyền đi.

Quá trình báo hiệu cuộc gọi đƣợc bắt đầu bởi bản tin Setup đƣợc gửi đi trên kênh

báo hiệu H.225. Theo sau bản tin này là một chuỗi các bản tin phục vụ cho quá trình thiết

lập cuộc gọi. H.225 sử dụng các bản tin báo hiệu Q.931. Một kênh điều khiển cuộc gọi

tin cậy đƣợc thiết lập dựa trên giao thức TCP/IP tại cổng 1720. Đây là cổng khởi tạo bản

tin điều khiển cuộc gọi Q.931 giữa hai điểm cuối với mục đích kết nối, bảo trì và ngắt kết

nối cuộc gọi.

Các bản tin Q.931 và Q.932 thƣờng đƣợc sử dụng trong báo hiệu cuộc gọi VoIP:  Setup: Đƣợc gửi từ thực thể H.323 chủ gọi để cố gắng thiết lập kết nối tới thực

thể H.323 bị gọi qua cổng 1720 TCP/IP.

 Call Proceeding: Thực thể bị gọi gửi bản tin này tới thực thể chủ gọi để thông

báo rằng thủ tục thiết lập đã đƣợc khởi tạo.

 Alerting: Gửi từ thực thể bị gọi, thông báo chuông bên bị gọi bắt đầu rung.  Connect: Đƣợc gửi từ thực thể bị gọi thông báo đã trả lời cuộc gọi. Bản tin connect có thể chứa địa chỉ truyền vận UDP/IP cho tín hiệu điều khiển H.245.  Release Complete: Đƣợc gửi bởi điểm cuối để khởi tạo ngắt kết nối, bản tin chỉ thị cuộc gọi đang đƣợc giải phóng. Bản tin này chỉ có thể gửi đi nếu kênh báo hiệu cuộc gọi đƣợc mở hoặc đang hoạt động.

 Facility: Đây là một bản tin Q.932 dùng để yêu cầu hoặc phúc đáp các dịch vụ bổ sung. Nó cũng đƣợc dùng để cảnh báo rằng một cuộc gọi sẽ đƣợc định tuyến

trực tiếp hay thông qua Gatekeeper.

41

Bảo mật trong VoIP

Các bản tin trong quá trình thiết lập cuộc gọi

Hình 29. Báo hiệu thiết lập cuộc gọi

Các kênh báo hiệu cuộc gọi đƣợc định tuyến theo một trong hai phƣơng thức:

Gatekeeper định tuyến báo hiệu cuộc gọi và báo hiệu cuộc gọi trực tiếp giữa hai điểm

cuối.

 Thứ nhất là các bản tin báo hiệu cuộc gọi giữa hai điểm cuối đƣợc định tuyến

thông qua gatekeeper (hình 30).

 Thứ hai là các bản tin báo hiệu cuộc gọi đƣợc gửi trực tiếp giữa hai điểm cuối

(hình 31).

Hình 30. Gatekeeper định tuyến báo hiệu cuộc gọi giữa hai điểm cuối

42

Bảo mật trong VoIP

Hình 31. Báo hiệu cuộc gọi trực tiếp giữa hai điểm cuối

Cả hai phƣơng thức này đều sử dụng các kết nối giống nhau với cùng mục đích,

dạng bản tin đƣợc sử dụng cũng giống nhau, các bản tin thiết lập báo hiệu đƣợc trao đổi

trên kênh RAS của Gatekeeper, sau đó tới trao đổi bản tin báo hiệu cuộc gọi trên kênh

báo hiệu cuộc gọi. Tiế p theo thiết lập kênh điều khiển H.245.

Trong phƣơng thức Gatekeeper định tuyến các bản tin thì Gatekeeper có thể đóng

kênh báo hiệu cuộc gọi khi việc thiết lập cuộc gọi hoàn thành hoặc vẫn duy trì kênh này

để hỗ trợ các dịch vụ bổ sung. Chỉ có Gatekeeper mới có thể đóng kênh báo hiệu cuộc

gọi, nhƣng khi Gateway tham gia vào cuộc gọi thì các kênh này không đƣợc phép đóng.

3.1.2.3. Giao thức điều khiển cuộc gọi H.245

Giao thức điều khiển H.245 dùng để thực hiện việc giám sát các hoạt động của các

thực thể H.323. Chức năng H.245 là thiết lập các kênh logic cho việc truyền audio, video,

data và thông tin kênh điều khiển. Giữa hai điểm cuối đƣợc thiết lập một kênh H.245 cho

một cuộc gọi. Kênh điều khiển tin cậy đƣợc tạo trên nền IP với cổng TCP đƣợc cấp phát

động. H.245 có khả năng giám sát các hoạt động của các thực thể H.323 bao gồm: Trao

đổi khả năng của các đầu cuối, đóng mở các kênh logic, điều khiển luồ ng, quyết định

chủ tớ và chỉ thị khác.

 Trao đổi khả năng: Bao gồm các bản tin đảm bảo trao đổi khả năng giữa hai điểm cuối. Bản tin chỉ khả năng truyền và khả năng nhận của thiết bị đầu cuối về audio, video, data tới một phần của thiết bị đầu cuối. Với audio, trao đổi khả năng bao gồm chuyển mã tiếng giống nhƣ: G.729, G.728, G.711, G.723, G.722.  Thƣơng lƣợng chủ tớ: Thủ tục này đƣợc sử dụng để xác định chủ, tớ trong một cuộc gọi. Quan hệ này đƣợc tồn tại trong suốt cuộc gọi và đƣợc sử dụng để giải quyết xung đột giữa các điểm cuối. Luật chủ tớ cũng đƣợc sử dụng khi cả hai điểm cuối có yêu cầu giống nhau tại cùng một thời gian.

43

Bảo mật trong VoIP

 Round-Trip Delay: Xác định thời gian trễ giữa phía phát và phía thu. Dựa vào

thông số này để xác định trạng thái hoạt động của kết nối.

 Báo hiệu trên kênh logic: Để thực hiện việc mở và đóng các kênh logic (nó mang audio, video và thông tin dữ liệu). Các kênh này đƣợc thiết lập trƣớc khi

thông tin đƣợc truyền trên đó. Báo hiệu này có thể thiết lập kênh đơn hƣớng

hoặc song hƣớng. Sau khi kênh logic thiết lập thành công, cổng UDP cho kênh

truyền thông RTP đƣợc mở từ phía nhận tới phía phát. Khi sử dụng định tuyến

qua Gatekeeper thì Gatekeeper sẽ chuyển hƣớng luồng RTP bằng cách cung

cấp địa chỉ UDP/IP thực của thiết bị đầu cuối. Luồng RTP sẽ truyền trực tiếp

giữa hai thiết bị đầu cuối với nhau.

Nếu trong mạng có sự tồn tại của Gatekeeper thì việc định tuyến kênh H.245 sẽ

thực hiện theo hai cách: Thông qua Gatekeeper hoặc kênh điều khiển H.245 đƣợc thiết lập trực tiếp giữa hai điểm cuối. Tùy chọn này phụ thuộc vào Gatekeeper.

Hình 29. Kênh H.245 được thiết lập thông qua Gatekeeper

Hình 30. Kênh H.245 được thiết lập trực tiếp

44

Bảo mật trong VoIP

3.1.3. Các thủ tục báo hiệu và xử lý cuộc gọi VoIP-H.323

Cuộc gọi trong H.323 đƣợc chia thành 5 giai đoạn:  Giai đoạn 1: Thiết lập cuộc gọi giữa hai điể m cuối. Trong cuộc gọi VoIP thiết lập cuộc gọi đƣợc thực hiện theo hai cách: Thiết lập trực tiếp giữa các điểm

cuối hoặc thiết lập cuộc gọi thông qua Gatekeeper. Thiết lập cuộc gọi có thể

phân ra các trƣờng hợp sau:  Báo hiệu trực tiếp giữa hai điểm cuối, trong mạng không tồn tại Gatekeeper.  Cả hai điểm cuối đều đăng ký với một Gatekeeper.  Chỉ có điểm cuối chủ gọi đăng ký với Gatekeeper.  Hai điểm cuối đăng ký với hai Gatekeeper.  Thiết lập cuộc gọi thông qua Gateway.

 Giai đoạn 2: Thiết lập kênh điều khiển và trao đổi khả năng. Các điểm cuối thiết lập kênh điều khiển H.245. Bản tin đầu tiên đƣợc trao đổi giữa các điểm

cuối là TerminalCapabilitySet để các bên thông báo cho nhau khả năng làm

việc của mình. Mỗi một điểm cuối đều có đặc tính riêng nói lên khả năng về chế

độ mã hóa, truyền, nhận và giải mã các tín hiệu đa dịch vụ. Kênh điều khiển có

thể do bên thuê bao bị gọi thiết lập sau khi nó nhận đƣợc bản tin Set-up hoặc do

thuê bao chủ gọi thiết lập khi nó nhận đƣợc bản tin Alerting hoặc Call-

-Proceeding. Trong trƣờng hợp không nhận đƣợc bản tin Connect hoặc điểm

cuối gửi Release Complete, thì kênh điều khiển H.245 sẽ đƣợc giải phóng.  Giai đoạn 3: Thiết lập kênh thông tin truyền thông tín hiệu audio, video, data. Sau khi thực hiệ n xong giai đoạn 2 và các kênh logic đã đƣợc mở để truyền tín

hiệu bằ ng giao thức RTP và RTCP.

 Giai đoạn 4: Dịch vụ cuộc gọi. Ở giai đoạn này cuộc gọi có thể thực hiện một số dịch vụ nhƣ: Thay đổi băng thông, giám sát trạng thái hoạt động, hội nghị đặc

biệt và các dịch vụ bổ sung.

 Giai đoạn 5: Kết thúc cuộc gọi. Khi một điể m cuối muốn kết thúc một cuộc gọi

nó thực hiện nhƣ sau:  Dừng truyền các tín hiệu audio, video, dữ liệu sau đó đóng tất cả các kênh

logic phục vụ cho cuộc gọi.

 Truyền bản tin H.245 EndSessionComand trên kênh điều khiển H.245 để báo cho thuê bao đầu kia biết nó muốn kết thúc cuộc gọi. Sau đó nó dừng

truyền các bản tin H.245 và đóng kênh điều khiển H.245.

 Chờ nhận bản tin EndSessionCommand từ phía đầu kia và đóng kênh H.245.  Nếu kênh báo hiệu cuộc gọi đang mở thì nó sẽ truyền đi bản tin

45

Bảo mật trong VoIP

Release -Comlete sau đó đóng kênh báo hiệu.

Trong cuộc gọi không có sự tham gia của Gatekeeper thì điểm cuối chỉ cần thực hiện các thủ tụ c nhƣ trên là xong. Nhƣng nếu trong cuộc gọi có sự tham gia của

Gatekeeper thì ngoài thực hiện các thủ tục trên điểm cuối còn phải thực hiện các hoạt

động giải phóng băng tần với Gatekeeper thông qua bản tin RAS (DRQ /DCF).

Các giai đoạn của một cuộc gọi trong từng trƣờng hợp cụ thể có thể khác nhau.

Dƣới đây là một số cuộc gọi thƣờng xảy ra trong mạng VoIP-H.323.

3.1.3.1. Cuộc gọi không có sự tham gia của Gatekeeper

Đây là cuộc gọi đơn giản, các thủ tục đƣợc thực hiện trực tiếp giữa hai điểm cuối

H.323. Do không có mặt Gatekeeper nên để thực hiện kết nối trực tiếp các đầu cuối phải

biết chích xác địa chỉ của phía bị gọi mà không phải là bí danh.

Trên hình biểu diễn các bƣớc thiế t lậ p cuộc gọi.

Hình 31. Thiết lập cuộc gọi không có mặt Gatekeeper

1. Phía gọi sẽ khởi tạo một phiên H.225. Mở một kết nối TCP trên cổng 1720 cho

các bản tin Q.931.

2. Thủ tục Setup dựa trên bản tin Q.931 tạo một kênh báo hiệu cuộc gọi giữa hai

điểm cuối. Bản tin Setup đƣợc bên gọi gửi đến điể m cuối bị gọi.

3. Điểm cuối mở kênh điều khiển H.245. H.245 cung cấp chức năng đàm phán

khả năng và thay đổi các kênh logic.

4. Các kênh logic đƣợ c mở phục vụ cho một phiên RTP. 5. Khi các kênh logic đã đƣợc mở. Các điểm đầu cuối sẽ truyền thông tin của mình

qua các kênh logic này.

46

Bảo mật trong VoIP

6. Khi một đầu cuối có nhu cầu chấm dứt cuộc gọi nó sẽ gửi bản tin End Session -Command đến đầu cuối kia. Và chờ nhận đƣợc phản hồi từ đầu cuối kia. Sau khi nhận đƣợc phản hồi nó sẽ gửi bản tin Release Complete để hoàn thành kết

thúc cuộc gọi.

3.1.3.2. Cuộc gọi giữa hai điểm đầu cuối đăng ký chung một Gatekeeper

3.1.3.2.1. Định tuyến các kênh báo hiệu và điề u khiển không thông qua gatekeeper

Trong cuộc gọi loại này mặc dù có tồn tại Gatekeeper, các điểm đầu cuối vẫn phải thực hiện đầy đủ các thủ tục tìm kiếm, đăng ký với gatekeeper thông qua kênh báo hiệu

RAS, nhƣng khi định tuyến các kênh báo hiệu H.255 và kênh điều khiển cuộc gọi H.245

thì các điể m cuối thực hiện trực tiếp với nhau.

Một ví dụ về cuộc gọi cho trƣờng hợp này đƣợc biểu diễn ở hình 32.

Ban đầu điểm đầu cuối gọi sẽ thực hiện khởi tạo các bản tin admission để thông

báo cho Gatekeerper về cuộc gọi. Các bản tin Admission (ARQ/ACF) đƣợc gửi thông

qua kênh RAS. Sau khi nhận đƣợc trả lời ACF từ Gatekeeper, (trong bản tin ACF có địa

chỉ kênh báo hiệu) phía chủ gọi căn cứ vào địa chỉ này gửi bản tin setup tới phía bị gọi.

Nếu chấp nhận cuộc gọi, phía bị gọi sẽ thực hiện thông báo cho Gatekeeper của nó thông

qua bản tin RAS. Gatekeeper cũng cung cấp cho phía bị gọi địa chỉ kênh báo hiệu, sau

đó phía bị gọi gửi bản tin Alerting và bản tin Connect tới chủ gọi, thông báo hoàn thành

thiết lập cuộc gọi. Bƣớc tiếp theo các đầu cuối sẽ mở kênh điều khiển H.245. Các bản tin

H.245 sẽ đƣợc gửi và xác nhận bởi hai đầu cuối để thực hiện một số chức năng điều

khiển nhƣ: Thƣơng lƣợng chủ tớ, trao đổi khả năng, mở kênh logic. Lúc này các kênh

logic phục vụ cho truyền dữ liệu cuộc gọi đã đƣợc mở, hai bên đầu cuối bắt đầu truyền

các thông tin của ngƣời dùng. Trong suốt quá trình của cuộc gọi kênh điều khiển H.245

vẫn tồn tại, nó thực hiện giám sát và cung cấp các dịch vụ mà đầu cuối yêu cầu. Khi một

đầu cuối có nhu cầu chấm dứt cuộc gọi, nó sẽ gửi bản tin End SessionCommand đến đầu

cuối kia và đợi nhận trả lời từ đầu cuối kia, sau đó nó sẽ gửi tiếp bản tin Release -Complete và đóng các kênh điều khiển để hoàn tất cuộc gọi. Trong cuộc gọi có mặt của

Gatekeeper, vì vậy để hoàn tất kết thúc cuộc gọi thì các điểm đầu cuối và G atekeeper phải thực hiện quá trình giải phóng băng thông qua cặp bản tin (DRQ/DCF).

47

Bảo mật trong VoIP

Hình 32. Cuộc gọi có mặt của Gatekeeper nhưng không tham gia định tuyến

3.1.3.2.2. Định tuyến các kênh báo hiệu thông qua Gatekeeper

Trong cuộc gọi này các bƣớc thực hiện tƣơng tự nhƣ cuộc gọi ở phần trên nhƣng ở

cuộc gọi này mọi thông tin báo hiệu đều phải thông qua Gatekeeper. Ban đầu, đầu cuối

gọi sẽ thực hiện thông báo với Gatekeeper thông qua kênh RAS bằng bản tin (ARQ

-/ACF). Khi nhận đƣợc ACF có chứa địa chỉ kênh báo hiệu của Gatekeeper, phía chủ gọi sẽ căn cứ vào địa chỉ này gửi bản tin Setup tới Gatekeeper. Sau đó Gatekeeper sẽ gửi

Setup tới phía bị gọi. Nếu phía bị gọi chấp nhận cuộc gọi, nó sẽ trao đổi ARQ/ACF với Gatekeeper. Nếu nhận đƣợc ARJ thì phía bị gọi sẽ gửi bản tin Release Complete tới Gatekeeper. Tiếp theo đầu cuố i bị gọi sẽ gửi các bản tin Alerting và bản tin Connect tới chủ gọi thông qua gatekeeper để báo hiệu hoàn thành thiết lập cuộc gọi. Sau khi cuộ c gọ i

đƣợ c thiế t lậ p, các bƣớc thiết lập kênh điều khiển cũng nhƣ duy trì và kết thúc cuộc gọi

tƣơng tự nhƣ cuộc gọi phân tích ở phần trên.

48

Bảo mật trong VoIP

Hình 33. Báo hiệu cuộc gọi được định tuyến thông qua một gatekeeper

3.1.3.3. Cuộc gọi của hai đầu cuối ở hai miề n mạ ng khá c nhau

Trên thực tế hệ thống mạng VoIP-H.323 đƣợc phát triển với nhiều khu vực, mỗi

khu vực đƣợc gọi là các miề n (zone), mỗi miề n có một Gatekeeper kiểm soát các điểm

cuối. Nhƣ vậy cuộc gọi giữa các đầu cuối thuộc hai vùng khác nhau sẽ thiết lập các kênh

báo hiệu thông qua hai Gatekeeper mà nó đăng ký.

Hình 34. Mạng VoIP – H.323 với nhiều vùng dịch vụ

49

Bảo mật trong VoIP

Hình 35. Thiế t lậ p cuộc gọi giữa hai điểm cuối thuộc hai vùng dịch vụ

Trong trƣờng hợp này ban đầ u cuộc gọi đƣợc khởi tạo và kênh báo hiệu chỉ đƣợc

định tuyến bởi Gatekeeper 1, nhƣng Gatekeeper 2 muốn sử dụng Gatekeeper định tuyến

kênh báo hiệu nên nó gửi địa chỉ kênh báo hiệu cuộc gọi của nó trong bản tin ARJ(7).

Điểm cuối bị gọi gửi bản tin Facility(8) tới Gatekeeper 1 để yêu cầu setup lại cuộc gọi.

Gatekeeper 1 gửi lại bản tin setup (10) tới Gatekeeper 2. Gatekeeper 2 gửi bản tin setup

(11) tới điểm cuối 2. Điểm cuối 2 gửi khởi tạo ARQ /ACF cùng Gatekeeper 2. Điểm cuối 2 sẽ gửi tiếp bản tin Connect (15) chứa địa chỉ kênh điều khiển H.245 của nó tới

Gatekeeper 2. Gatekeeper 2 gửi bản tin Connect (16) tới Gatekeeper 1 chứa địa chỉ kênh H.245 của điểm cuối 2 hoặc địa chỉ kênh H.245 của chính nó tùy thuộc vào chọn chế độ định tuyến kênh H.245. Gatekeeper 1 sẽ gửi bản tin Connect (17) tới điểm cuối 1. Sau đó kênh điều khiển H.245 sẽ đƣợc mở để thực hiện các chức năng điều khiển. Sau khi

H.245 mở kênh logic, hai điểm cuối bắt đầu truyền thông tin của ngƣời dùng. Khi một

điểm cuối có nhu cầu chấm dứt cuộc gọi thì nó thực hiện các thủ tục chấm dứt cuộc gọi nhƣ chỉ ra ở phần trên.

50

Bảo mật trong VoIP

3.1.4. Nhận xét về mạng VoIP-H.323

Mạng H.323 là một hệ thống lai ghép đƣợc xây dựng bởi thành phần trung tâm

gatekeepers thông minh, MCUs thông minh và các đầu cuối kém thông minh . Mặc dù chuẩ n H.323 đã đƣợc phát triển, cải tiến qua nhiều phiên bản nó vẫn còn một số mặt tồn

tại nhƣ: Thời gian thiết lập cuộc gọi nhiề u, quá nhiều chức năng phụ thuộc vào

gatekeeper.

3.2. Mạng VoIP với giao thức báo hiệu SIP [1], [4], [7]

SIP là giao thức báo hiệu lớp ứng dụng đƣợc dùng để khởi tạo, duy trì và kết thúc

một phiên truyền thông đa phƣơng tiện. Phiên truyền thông đa phƣơng tiện bao gồm

điện thoại internet, các cuộc hội nghị và các ứng dụng tƣơng tự khác nhƣ: audio, video,

data. SIP hỗ trợ các phiên truyền thông unicast và multicast giống nhƣ cuộc gọi

point-to-point và mutipoint. SIP là một giao thức luân phiên đƣợc phát triển bở i IETF , phiên bản đầu tiên đƣợc đề cập trong RFC 3261, SIP đƣợc phổ biến vào năm 1999. SIP

là một giao thức dựa vào cấu trúc của giao thức trao đổi thông tin của web là HTTP.

SIP hoạt động dựa trên nguyên lý của phiên mời gọi (invitation). Thông qua

invitation, SIP khởi tạo một phiên hay tham gia vào một phiên đã đƣợc khởi tạo. Biểu

diễn một phiên đƣợc mô tả một hay hai phƣơng thức, bao gồm SAP đƣợc định nghĩa

trong RFC 2947. SIP sử dụng các giao thức khác của IETF để định nghĩa một vài phần

bổ trợ cho VoIP và phiên truyền thông đa phƣơng tiện, ví dụ nhƣ: URLs cho việc đánh

địa chỉ, DNS cho dịch vụ định vị và Telephony Routing over IP (TRIP) cho định tuyến

cuộc gọi.

SIP hỗ trợ ngƣời dùng di động và thuê bao điện thoại trong mạng thông minh (IN)

thông qua việc ánh xạ tên và dịch vụ chuyển hƣớng. Ngƣời dùng di động đƣợc cấp phát

một địa chỉ nhận dạng trong một phiên nó đƣợc định nghĩa bởi số hay tên duy nhất của

thuê bao đó. SIP đƣợ c phát triển với rất nhiều tính năng, nó có khả năng hoạt động độc

lập và cũng có khả năng kết hợp với các giao thức báo hiệu khác để thực hiện một cuộc gọi liên mạng có nhiều giao thức.

Nghiên cứu giao thức SIP khó a luận tập trung quan tâm một số vấn đề về mạng

VoIP - SIP sẽ đƣợc trình bày chi tiết dƣới đây.

3.2.1. Các thành phần có trong mạng VoIP - SIP

SIP là giao thức peer-to-peer. Mỗi một phía của một phiên đƣợc gọi là UAs. Một

UA chứa hai thành phần chức năng.

 User Agent Client (UAC): Một ứng dụng client tạo một yêu cầu SIP. Hoạt động

51

Bảo mật trong VoIP

nhƣ một agent của ngƣời gọi.

 User Agent Server (UAS): Một ứng dụng server thu nhận yêu cầu và đáp ứng

lại yêu cầu của bên gọi. Hoạt động nhƣ là một đầu cuối bị gọi.

Thông thƣờng một SIP-UA có thể đảm nhận chức năng là một UAC hoặc là một

UAS trong suốt một phiên, nhƣng không đồng thời là hai chức năng trong cùng một

phiên giống nhau. Chức năng của UA phụ thuộc vào nó có là UA yêu cầu hay UA đáp

ứng. Trong một kiến trúc chuẩn, các thành phần vật lý của một mạng SIP đƣợc nhóm lại

thành hai loại: SIP user agent và SIP server .

Hình 36. Các thành phần của SIP

3.2.1.1. SIP User agents

SIP User agents bao gồm các thiết bị:  IP telephone: Hoạt động nhƣ một UAS hoặc UAC trong một phiên cơ bản. Các

phần mềm điện thoại và hệ thống điện thoại IP của Cisco khởi tạo một yêu cầu và đáp ứng yêu cầu.

 Gateway: Hoạt động nhƣ một UAS hoặc một UAC cung cấp các chƣ́ c năng điều khiển cuộc gọi. Gateway cung cấp nhiều dịch vụ, thông thƣờng là chức năng chuyển đổi giữa user agent và các đầu cuối khác loại. Chức năng này bao gồm chuyển đổi các định dạng và các thủ tục truyền thông. Một Gateway

chuyển đổi các tín hiệu audio, video và thực hiện khởi tạo, kết thúc cuộc gọi trong cả mạng IP và mạng SCN.

52

Bảo mật trong VoIP

3.2.1.2. SIP server

SIP server bao gồm một số loại sau:  Proxy server: Là một thiết bị trung gian nhận các SIP request từ một client sau đó chuyển yêu cầu của client tới một SIP server kế tiếp trong mạng. Server kế

tiếp có thể là một Proxy server khác hay là một UAS. Một Proxy server thực

hiện các chức năng nhƣ: Nhận thực, giới hạn quyền, điểu khiển truy cập, định

tuyến, truyền các request một cách đảm bảo và chức năng bảo mật trong mạng.  Redirect server: Chấp nhận một SIP request và gửi redirect reponse trở lại client chứa địa chỉ của server kế tiếp. Redirect server có thể không chấp nhận

cuộc gọi, không xử lý các cuộc gọi hay chuyển hƣớng các SIP request.

 Registrar server: Là server nhận bản tin SIP REGISTER yêu cầu và cập nhật thông tin từ bản tin request vào ―location database‖ nằm trong Location server. Xử lý các yêu cầu đăng ký của một UA. Một Registrar server thƣờng định xứ

cùng một miền với Redirect server, Proxy server và Location server.

 Location server: Cung cấp các giải pháp địa chỉ tới một Proxy server hay Redirect server. Mộ t Location server là một thiết bị phân giải địa chỉ. Location

server thƣờng sử dụng các công cụ để thực hiện bài toán về địa chỉ nhƣ: Finger,

rwhois, Lightweight Direcoty Access protocol (LDAP). Một Registrar server

có thể trở thành một modul hay một hệ thống con của một Location server;

Registrar server có thể đáp ứng một phần cho một cơ sở dữ liệu của Location

server mà nó liên kết.

3.2.2. Địa chỉ SIP

Ngƣời dùng trong mạng SIP đƣợc định nghĩa bởi một địa chỉ SIP. Địa chỉ SIP đƣợc

gọi là SIP Universal Resource Locators (URLs), nó có dạng giống nhƣ dạng một địa chỉ

mail và nó đƣợc định dạng: userID@host. Phần userID có thể là tên hay là số điện thoại

của ngƣời dùng, phần host chứa tên miền hay một địa chỉ mạng IP. Mộ t số ví dụ địa chỉ SIP

sip:dovanmanh@coltech.vnu.edu.vn

sip:0972999109@171.171.171.1

Các thiết bị trong mạng phải đăng ký cho mình một địa chỉ SIP với Registrar server. Để có đƣợc một địa chỉ SIP của một đầu cuối khác, UA sử dụng nhiều phƣơng thức nhƣ:

Tra bảng có trong host, tìm kiếm DNS, ENUM, finger, rwhois, hay LDAP.

53

Bảo mật trong VoIP

3.2.3. Các dịch vụ cung cấp bởi SIP

Để thực hiện khởi tạo, duy trì và kết thúc một phiên truyền thông đa phƣơng tiện,

SIP cung cấp năm dịch vụ sau: Userlocation servises, user capabilities servises, user availability services, call setup services, call handling services. Chi tiết các dịch vụ đƣợc

trình bày dƣới đây.

 User location servises: Các bên tham gia cuộc gọi có thể di chuyển từ một tới vài hệ thống trong một thời gian. Vì vậy SIP phải linh hoạt trong việc xác định

vị trí của các user để phục vụ cho cuộc gọi. SIP hỗ trợ các giải pháp đánh địa

chỉ, ánh xạ tên và chuyển hƣớng cuộc gọi cho việc định vị các điểm cuối.  User capabilities servises: Dịch vụ xác định khả năng cho phép của môi trƣờng truyền thông của một điểm đích. SIP xác định khả năng ở mức thấp nhất của

các dịch vụ thông thƣờng giữa các điểm cuối thông qua phiên SDP. Các cuộc hội thoại đƣợc thiết lập chỉ sử dụng những năng lực media mà đƣợc hỗ trợ bởi

tất cả các điểm cuối.

 User capabilities servises: Dịch vụ này xác định khả năng sẵn sàng của điểm

cuối.

 Call setup services: Dịch vụ thiết lập cuộc gọi giữa các thành phần của cuộc gọi. Nếu cuộc gọi có thể thực hiện đƣợc, SIP sẽ khởi tạo một phiên giữa các đầu

cuối. SIP cũng hỗ trợ những thay đổi giữa cuộc gọi, giống nhƣ việc thêm một

thành phần vào một cuộc hội nghị nhiều bên, hay thay đặc tính của một phƣơng

tiện truyền thông.

 Call handling services: Dịch vụ này cho phép xử lý việc chuyển giao và chấm dứt cuộc gọi. SIP hỗ trợ việc chuyển giao từ một điểm cuối tới một điểm cuối

khác trong mạng. Trong thời gian của cuộc gọi chuyển giao, SIP chỉ cần thiết

lập một phiên giữa bên đƣợc chuyển giao và một điểm cuối mới (điểm cuối này

đƣợc xác định bởi bên chuyển giao), chấm dứt phiên giữa bên đƣợc chuyển

giao và bên chuyển giao. Vào cuối cuộc gọi, SIP chấm dứt các phiên giữa tất cả các bên.

3.2.4. Bản tin trong SIP

Trong một phiên hoạt động của SIP tồn tại hai loại bản tin: Bản tin Request đƣợc gửi bởi client, và bản tin Response đƣợc gửi từ servers. Tất cả các bản tin đều chứa phần header và phần thân bản tin. SIP là một giao thức text cơ bản cùng với cấu trúc bản tin và

trƣờng header đƣợc định nghĩa nhƣ trong HTTP. Bản tin SIP đƣợc gửi trên TCP hay UDP. Có thể có nhiều bản tin đƣợc mang trong một kết nối TCP hay UDP.

54

Bảo mật trong VoIP

3.2.4.1. Bản tin request

Có sá u loại bản tin request đặc trƣng cho một phiên liên lạ c SIP. Các bản request

đƣợc đề cập đến nhƣ là những phƣơng thức cho phép User agents và các server trong mạng định vị, mời, và quản lý các cuộc gọi. Cụ thể các bản tin nhƣ sau:

INVITE

Phƣơng thức INVITE đƣợc dùng để thiết lập phiên truyền thông giữa các User

agent. Hoặc thay đổi các đặc tính của phiên đã tồn tại trƣớc đó. Một bản tin INVITE luôn có phần thân bản tin chứa thông tin của ngƣời gọi. Thân của bản tin có thể chƣ́ a các

thông tin khác nhƣ thông tin về chất lƣợng dịch vụ hoặc là thông tin bảo mật. INVITE

không chƣ́ a thông tin media. Ví dụ dƣới đây là một bản tin INVITE cùng với thân bản

tin là bản tin SDP.

INVITE sip:411@salzburg.at;user=phone SIP/2.0 Via: SIP/2.0/UDP salzburg.edu.at:5060;branch=z9hG4bK1d32hr4

Max-Forwards:70

To:

From: Christian Doppler

;tag=817234

Call-ID: 12-45-A5-46-F5@salzburg.edu.at

CSeq: 1 INVITE

Subject: Train Timetables

Contact: sip:c.doppler@salzburg.edu.at

Content-Type: application/sdp

Content-Length: 151

v=0 o=doppler 2890842326 2890844532 IN IP4 salzburg.edu.at

s=Phone Call c=IN IP4 50.61.72.83 t=0 0 SIP Request Messages 73 m=audio 49172 RTP/AVP 0

a=rtpmap:0 PCMU/8000

55

Bảo mật trong VoIP

ACK

Bản tin ACK đƣợc gửi sau khi đã nhận đƣợc bản tin response cuối cùng của bản tin

INVITE. ACK xác nhận bản tin response cuối cùng của bản tin INVITE . Thân bản tin ACK có thể chứa bản tin SDP nếu nhƣ bản tin INVITE không chứa bản tin SDP. ACK

cũng có thể không chứa bản tin SDP nếu bản tin INVITE đã chứa SDP. ACK không thể

chỉnh sửa đƣợc mô tả media đƣợc gửi đi bởi bản tin INVITE. Bản tin ACK có thể xác

nhận cho các bản tin reponse khác nhau. Nếu là bản tin reponse 2xx thì ACK là

end-to-end, nhƣng nếu bản tin response cuối cùng là bản tin khác thì ACK là một

hop-by-hop cơ bản.

Một ví dụ về bản tin ACK có chứa SDP.

ACK sip:laplace@mathematica.org SIP/2.0

Via: SIP/2.0/TCP 128.5.2.1:5060;branch=z9hG4bK1834 Max-Forwards:70

To: Marquis de Laplace ;tag=90210

From: Nathaniel Bowditch ;tag=887865

Call-ID: 152-45-N-32-23-W@128.5.2.1

CSeq: 3 ACK

Content-Type: application/sdp

Content-Length: 143

v=0

o=bowditch 2590844326 2590944532 IN IP4 salem.ma.us

s=Bearing

c=IN IP4 salem.ma.us

t=0 0

m=audio 32852 RTP/AVP 0

a=rtpmap:0 PCMU/8000

CANCEL

Bản tin CANCEL cho phép client và server hủy một request, ví dụ nhƣ INVITE. Nó không ảnh hƣởng tới request đã hoàn thành trƣớc đó mà server đã gửi response. Một bản tin CANCEL hop-by-hop không có phần thân bản tin.

CANCEL sip:i.newton@cambridge.edu.gb SIP/2.0

Via: SIP/2.0/UDP 10.downing.gb:5060 ;branch=z9hG4bK3134134

56

Bảo mật trong VoIP

Max-Forwards:70

To: Isaac Newton From: Rene Descartes ;tag=034323

Call-ID: 42@10.downing.gb

CSeq: 32156 CANCEL

Content-Length: 0

OPPTION

UA sử dụng request này để truy vấn tới server về khả năng của nó. Bản tin có thể

chứa phần thân bản tin. Dạng bản tin nhƣ sau:

OPTIONS sip:user@carrier.com SIP/2.0

Via: SIP/2.0/UDP cavendish.kings.cambridge.edu.uk

;branch=z9hG4bK1834 Max-Forwards:70

To:

From: J.C. Maxwell

;tag=34

Call-ID: 9352812@cavendish.kings.cambridge.edu.uk

CSeq: 1 OPTIONS

Content-Length: 0

REGISTER

Một client sử sụng REGISTER dùng để thông báo cho một SIP server địa chỉ liên

lạc dạng URI của nó.

REGISTER sip:registrar.athens.gr SIP/2.0

Via: SIP/2.0/UDP 201.202.203.204:5060;branch=z9hG4bK313

Max-Forwards:70

To: sip:euclid@athens.gr From: ;tag=543131

Call-ID: 2000-July-07-23:59:59.1234@201.202.203.204 CSeq: 1 REGISTER Contact: sip:euclid@parthenon.athens.gr Contact: mailto:euclid@geometry.org

Content-Length: 0

57

Bảo mật trong VoIP

BYE

Là bản tin dùng để kết thúc một phiên media đã đƣợc thiết lập. Trong điện thoại nó

giống nhƣ bản tin Release. Bản tin này chỉ đƣợc gửi bởi một bên tham gia cuộc gọi. Một Proxy server hay một bên thứ 3 không có quyền gửi bản tin này. Bản tin BYE là dạng

end-to-end.

BYE sip:info@hypotenuse.org SIP/2.0

Via: SIP/2.0/UDP port443.hotmail.com:5060;branch=z9hG4bK312bc

Max-Forwards:70

To: ;tag=63104

From: ;tag=9341123

Call-ID: 34283291273@port443.hotmail.com

CSeq: 47 BYE Content-Length: 0

3.2.4.2. Bản tin response

Bản tin response đƣợc gửi đáp lại các bản tin request. Các bản tin response chỉ thị

trạng thái thành công hay lỗi. Các bản tin response đƣợc chia thành các lớp với các ý

nghĩa khác nhau.

 1xx: information: Là các bản tin đáp ứng tạm thời. Chỉ định rằng các request vẫn đang đƣợc response. Ví dụ nhƣ: bản tin đang thực hiện kết nối (100), bản

tin đang đổ chuông (180).

 2xx: Successful: Chỉ thị các yêu cầu kích hoạt và thành công. Ví dụ: Bản tin

báo thành công (200), bản tin chấp nhận (202).

 3xx: Redirection: Ví dụ nhƣ: Bản tin chuyển vĩnh viễn (301), bản tin chuyển

tạm thời 302.

 4xx: Client error: Bản tin báo lỗi tới phía client. Chỉ thị bản tin request không thể hoàn thành đƣợc. Ví dụ nhƣ: Bản tin không tìm kiếm đƣợc (400), bản tin dò tìm vòng (482).

 5xx: Server failure: Bản tin báo lỗi ở phía server. Chỉ thị rằng request là hoàn toàn khả thi nhƣng server lỗi không thể hoàn thành đƣợc request. Ví dụ nhƣ: Bản tin không thể thực hiện (501), bản tin Gateway lỗi (502).

 6xx: Global falure: Bản tin báo lỗi toàn bộ. Chỉ thị rằng request không thể thực hiện bằng bất kỳ cách nào. Vi dụ: (600) bận ở khắp nơi, (606) bản tin báo không

chấp nhận.

58

Bảo mật trong VoIP

3.2.5. Cuộc gọi SIP

3.2.5.1. Cuộc gọi với thiết lập trực tiếp

Khi một UA nhận đƣợc địa chỉ của một điểm cuối khác từ thông tin lƣu trữ hoặc có khả năng tìm, phân giải địa chỉ bằng một số cơ chế . UAC có thể khởi tạo một phiên với

thủ tục setup cuộc gọi trực tiếp (UAC-to-UAC). Setup trực tiếp là nhanh nhất và rất hiệu

quả trong thủ tục setup cuộc gọi. Tuy nhiên, setup trực tiếp có một vài bất lợi. Nó dựa

vào thông tin lƣu trữ hoặc các cơ chế bên trong để phân giải địa chỉ, nó hoàn toàn có thể bị lỗi khi đí ch là một mobile. Cuộc gọi với thủ tục setup trực tiếp gồm các bƣớc nhƣ sau:

1. UAC khởi tạo phiên bằng cách gửi một bản tin mời (INVITE) tới UAS của

ngƣời nhận. Bản tin bao gồm mô tả điểm cuối của UAC và thông tin SDP.

2. Nếu UAS của phía nhận xác định chấp nhận đƣợc các thông số cuộc gọi, nó

sẽ gửi bản tin reponses tới UAC. Bản tin trying (100) và bản tin Ring (180) chỉ thị UAS đang cố gắng báo rung chuông cho ngƣời dùng.

3. Sau khi nhận đƣợc response cuối cùng thông báo thành công. UAC sẽ xác

nhận bằng bản tin ACK.

4. Sau khi thiết lập phiên xong. UAC và UAS truyền tất cả các thông tin ngƣời

dùng bằng giao thức RTP trên UDP.

5. Khi một bên có nhu cầu chấm dứt cuộc gọi nó sẽ gửi bản tin BYE và đợi bản

tin response 200 của phía bên kia để hoàn thành kết thúc cuộc gọi.

Hình 37. Cuộc gọi đượ c thiế t lậ p trực tiếp

59

Bảo mật trong VoIP

3.2.5.2. Cuộc gọi với thiết lập cuộc gọi thông qua Proxy server

Thủ tục thiết lập cuộc gọi qua Proxy server là trong suốt tới một UA. Proxy server

nhận và chuyển tiếp bản tin mời tới UA đích. Proxy server sẽ điều khiển cuộc gọi tập trung, quản lý thiế t lậ p cuộc gọi, có khả năng cậ p nhậ t địa chỉ của UA một cách chính

xác. Trong trƣờng hợp này UA không cần học địa chỉ giao vận của UA đích. Sử dụng

Proxy server cũng có bất lợi là có quá nhiều bản tin thông qua Proxy server và UA phụ

thuộc hoàn toàn vào Proxy server, nếu Proxy server bị lỗi UA không thể hoàn thành thiết

lập cuộc gọi. Khi một Proxy server đƣợc sử dụng cuộc gọi đƣợc thực hiện nhƣ sau:

1. UAC từ phía khởi phát cuộc gọi sẽ gửi đi bản tin INVITE tới Proxy server.

2. Proxy server truy vấn Location server để xác đị nh đƣờng đi đến đích và lấ y

địa chỉ IP của đích.

Proxy server gửi một bản tin mời INVITE tới UAS của ngƣời nhận.

3. 4. Nếu UAS xác định chấp nhận các thông số của cuộc gọi, nó sẽ gửi bản tin

respond tới Proxy server. Bản tin 100, 180, 200.

5. Proxy server sẽ gửi bản tin response tới UAC. Các bản tin 100, 180, 200.

6. UAC sẽ gửi một bản tin xác nhận ACK tới Proxy server.

Proxy server chuyển tiếp ACK tới UAS của phía nhận. 7.

Sau khi hoàn thành thiết lập cuộc gọi. UAS và UAC trao đổi thông tin của 8.

ngƣời dùng bằng giao thức RTP trên UDP.

9. Khi một ngƣời dùng muốn chấm dứt cuộc gọi, thì UA của ngƣời dùng đó sẽ

gửi bản tin BYE tới UA kia và đợi bản tin respond 200 để hoàn thành kết thúc

phiên gọi.

Hình 38. Thiết lập cuộc gọi thông qua Proxy server

60

Bảo mật trong VoIP

3.2.5.3. Cuộc gọi với thiết lập cuộc gọi thông qua Redirect server

Một Reditrect server đƣợc lậ p trình để tìm kiếm các điểm cuối trong mạng. Thay

cho việc chuyển tiếp một bản tin mời tới UAS, Redirect server trả lại cho UAC địa chỉ giao vận của điểm đích và UAC tiếp tục thực hiện lại cuộc gọi. sử dụng một Redirect

server thuận lợi hơn sử dụng một Proxy server tuy nhiên chúng ta có thể thấy một

Redirect server thực hiện công việc ít hơn nhiều so với một Proxy server. Trong cuộc gọi

sử dụng Redirect server các UA phải thực hiện một khối lƣợng công việc nhiều hơn

trong trƣờng hợp sử dụng Proxy server. Quá trình thực hiện cuộc gọi nhƣ sau:

1. UAC của phía ngƣời gọi sẽ gƣ̉ i bản tin mời (INVITE) tới Redirect server.

2. Redirect server truy vấn Location server để có địa chỉ IP của bên nhận.

3. Redirect server gửi bản tin ―moved‖ tới UAC cùng với địa chỉ IP của phía

nhận. 4. UAC gửi bản tin mời trực tiếp đến UAS.

5. UAS gửi các bản tin responds trực triếp tới UAC. Các bản tin 100, 180, 200.

6. UAC xác nhận bằng bản tin ACK.

7. UAC và UAS trao đổi thông tin của ngƣời dùng trên giao thức RTP và UDP.

8. Khi một ngƣời dùng muốn chấm dứt cuộc gọi, thì UA của ngƣời dùng đó sẽ

gửi bản tin BYE tới UA kia và đợi bản tin respond 200 để hoàn thành kết thúc

phiên gọi.

Hình 39. Thiết lập cuộc gọi thông qua Redirect server

61

Bảo mật trong VoIP

3.3. Cuộc gọi liên mạng [1]

Sự phát triển của VoIP đã kéo theo hàng loạt các giao thức phục vụ cho nó và hiện

tại đã và đang tồn tại nhiều chuẩn VoIP, mỗi chuẩn ứng với chùm các giao thức Báo hiệu dành riêng cho nó.

Trong một hệ thống viễn thông, vấn đề đặt ra là sự liên kết giữa các chuẩn trong

cùng mạng VoIP và sự liên kết giữa mạng VoIP với mạng SCN nhƣ thế nào để ngƣời

dùng có thể thuận tiện nhất trong thông tin liên lạc của mình.

3.3.1. Cuộc gọi liên mạng SIP – H.323

Hiện nay các nhà cung cấp mạng VoIP đang có những giải pháp linh hoạt trong xây

dựng các kiến trúc mạng VoIP dựa trên các giao thức báo hiệu nhƣ: H.323 [International

Telecommunications Union (ITU)—T Recommendation H.323], Media Gateway

Control Protocol (MGCP), và giao thức khởi tạo phiên SIP. H.323 và SIP thƣờng đƣợc so sánh và tƣơng phản với nhau. Trong phần này của khóa luận sẽ nghiên cứu cuộ c gọi

liên mạng SIP – H.323. Để phục vụ nhu cầu của khách hàng, một khách hàng sử dụng

H.323 có thể liên lạc đƣợc với một khách hàng sử dụng SIP.

Mỗi giao thức cung cấp những ƣu điểm và nhƣợc điểm riêng trong một mạng VoIP.

H.323 phát triển rất sớ m và đƣợc sử dụng rộng rãi. Hiện nay giao thức SIP đang ngày

càng phổ biến bởi sự kết hợp dễ dàng với voice và các dịch vụ internet cơ bản. SIP tồn tại

cùng H.323 là rất quan trọng tạo ra sự lớn mạnh của mạng VoIP và hỗ trợ những ứng

dụng mới triển khai trên cơ sở báo hiệu SIP.

Hình 40. Mô hình liên mạng H.323 – SIP

62

Bảo mật trong VoIP

Các cuộc gọi từ một H.323 Gateway đƣợc định tuyến thông qua một mạng H.323

sử dụng H.323 gatekeeper và SIP Gateway sử dụng SIP redirect hay Cisco SIP Proxy server để định tuyến cho cuộc gọi.

SIP/H.323 Gateway chuyển đổi báo hiệu giữa SIP và H.323 trong đó có chuyển đổi

địa chỉ, chuyển đổi các mã hóa audio, video. Trong giai đoạn thiết lập cuộc gọi, các

thông tin đƣợc truyền trên kênh của H.245 phải đƣợc chuyển đổi sang dạng thông tin của

SDP.

Chuyển đổi địa chỉ

H.323 và SIP có khuôn dạng địa chỉ khác nhau. Để định tuyến đƣợc trong từng

miền mạng thì Gateway phải thực hiện chuyển đổi địa chỉ. Một số ví dụ chuyển đổi từ

SIP to H.323.

 SIP-―sip:j.doe@big.com ‖ chuyển tới H.323.

H.323-{h323-ID=‖sip:j.doe@big.com‖; url-ID = ‖sip:j.doe@big.com‖, email-ID = ―j.doe@big.com‖ }.  SIP - ―sip:+1-212-555-1212:1234@gateway.com;user=phone‖ chuyển tới

H323.

H.323-{e164=‖12125551212‖,h323-ID=‖sip:+1-212-555-1212:1234@gatew- ay.com‖, url-ID=‖sip:+1-212-555-1212:1234@gateway.com‖, imail-ID=―+1-212-555-1212:1234@big.com‖ }.

Chi tiết cuộc liên mạng H.323 – SIP đƣợc trình bày trong RFC 4123.

Ví dụ chi tiết một cuộc gọi từ H.323 tớ i SIP

Trong ví dụ này, một đầu cuối H.323 gọi một SIP UA thông qua một H.323/SIP

Gateway. Gateway truyền báo hiệu giữa các giao thức báo hiệu nhƣng cho phép truyền

gói media trực tiếp giữa hai điểm đầu cuối. Các bƣớc thực hiện thiết lập cuộc gọi cụ thể

nhƣ sau:

1. Đầu cuối H.323 gửi đến Gatekeeper bản tin thông báo về cuộc gọi với bản tin ARQ và gatekeeper trả lời bằng bản tin ACF chứa địa chỉ kênh H.225 của

gatekeeper trên RAS. 2. Đầu cuối H.323 gửi bản tin setup đến Gatekeeper trên kênh H.225 theo địa chỉ nhận đƣợc ở trên.

3. Gatekeeper nhận đƣợc bản tin và phân tích trƣờng địa chỉ của bản tin, nó

nhận thấy đây là cuộc gọi ngoài mạng nên nó sẽ gửi bản tin setup đến Gateway. 4. Gateway thực hiện trao đổi ARQ với Gatekeeper. 5. Tại Gateway các bản tin setup sẽ đƣợc chuyển đổi thành các bản tin INTIVE

63

Bảo mật trong VoIP

trong SIP, vớ i các chuyển đổi về địa chỉ, về khuôn dạng bản tin, hay thân bản tin .

Sau đó Gateway gửi bản tin mời INVITE đến Proxy server của đầu cuối SIP. Proxy server chuyển tiếp bản tin đến đúng đầu cuối mình quản lý. 6.

7. Đầu cuối SIP gửi bản tin báo thiết lập thành công đến Gateway thông qua

Proxy server. Các bản tin: 180, 200.

8. Tại Gateway các bản tin 180 và 200 sẽ đƣợc chuyển đổi thành các bản tin

Alerting và Connect. Rồi gửi đến đầu cuối H.323 thông qua Gatekeeper.

9. Đầu cuối H.323 và Gateway thực hiện các thủ tục trên kênh H.245 nhƣ: Xác

định chủ tớ, thiết đặt khả năng đầu cuối... và quan trọng là mở các kênh logic phục

vụ cho truyền dữ liệu thông qua Gatekeeper.

10. Gateway gửi bản tin ACK đến SIP-UA để xác nhận hoàn thành thiết lập cuộc

gọi. Một kênh logic giữa hai đầu cuố i đƣợc mở cho truyền thông tin ngƣời dùng.

Hình 41. Chi tiết cuộc gọi từ H323 tớ i SIP

64

Bảo mật trong VoIP

Trong một liên mạng H.323/SIP cũng có thể không tồn tại Gatekeeper hoặc không

tồn tại Proxy server và lúc đó các thủ tục giữa hai đầu cuối sẽ thực hiện chỉ thông qua Gateway.

3.3.2. Cuộc gọi liên mạng VoIP - PSTN

VoIP ra đời và phát triển sau PSTN, VoIP có nhiều ƣu điểm. Nhƣng VoIP không thể

tồn tại độc lập mà nó phải cùng tồn tại với PSTN. Vấn đề liên mạng VoIP và PSTN là rất

quan trọng. Vấn đề quan trọng nhất trong liên mạng VoIP và PSTN là chuyển đổi báo hiệu, chuyển đổi các dạng địa chỉ và định tuyến trên hai mạng. Trong phần này của khóa

luận sẽ đi tìm hiểu về các giao thức chuyển đổi báo hiệu và giao thức mapping địa chỉ.

3.3.2.1. Giao thức SIGTRAN [9]

Năm 1999 một nhóm làm việc của IETF đƣợc thành lập để xây dựng một kiến trúc

cho truyền dữ liệu báo hiệu thời gian thực qua mạng IP để có thể tận dụng đƣợc những ƣu điểm về mặt băng thông rộng của mạng IP. SIGTRAN đã đƣợc nhóm làm việc này

xây dựng trở thành một chồng giao thức phục vụ cho mục đích trên.

Thông thƣờng SIGTRAN đƣợc sử dụng để truyền báo hiệu trong suốt giữa SG –

MGC và SG - SG. Nhƣng SG cũng có thể đƣợc sử dụng để truyền báo hiệu giữa MGC –

MGC và MGC – MG.

Chồng giao thức SIGTRAN bao gồm giao thức truyền điều khiển dòng SCTP và

một số các lớp thích ứng với ngƣời sử dụng (SUA, IUA, M3UA, M2UA, M2PA, V5UA).

Với mô hình này SIGTRAN cung cấp đầy đủ các chức năng báo hiệu của ss7 trên mạng

IP.

Hình 42. Mô hình chồng giao thức SIGTRAN

65

Bảo mật trong VoIP

SIGTRAN định nghĩa 6 lớp thích ứng:

1. M2UA cung cấp các dịch vụ của MTP2 trong tình huống client – server nhƣ SG tới MG. Ngƣời sử dụng là MTP3

2. M2PA cung cấp các dịch vụ của MTP2 trong tình huống peer – to – peer nhƣ

các kết nối SG –SG Ngƣời sử dụng là MTP3.

3. M3UA cung cấp các dịch vụ của MTP3 trong cả tình huống client-server

(SG to MGC) và peer-to-peer. Ngƣời sử dụng là SCCP and/or ISUP, TUP.

4. SUA cung cấp các dịch vụ của SCCP trong kiến trú c peer-to-peer nhƣ SG tớ i

IP SCP.

5. IUA cung cấp các dịch vụ của ISDN Data Link Layer (LAPD). Ngƣời sử

dụng là thực thể ISDN lớp 3 (Q.931).

6. V5UA cung cấp các dịch vụ của giao thức V.5.2.

Lớp M2UA

M2UA là giao thức định nghĩa bởi IETF cho phép truyền các bản tin báo hiệu lớp

ngƣời sử dụng MTP2 ( ví dụ nhƣ MTP3) qua mạng IP sử dụng giao thức SCTP. M2UA

cung cấp các dịch vụ cho lớp ngƣời sử dụng của nó tƣơng tự nhƣ các dịch vụ do MTP2

cung cấp cho MTP3. M2UA có các mục đích sau:

 Cung cấp một cơ chế cho phép truyền bản tin báo hiệu lớp ngƣời sử dụng của

MTP2 qua mạng IP sử dụng giao thức SCTP.

 Tập trung lƣu lƣợng SS7 từ các link SS7 cách xa nhau về một điểm tập trung

trên mạng.

 Bằng việc sử dụng M2UA, một vài điểm báo hiệu có thể hợp nhất thành một điểm báo hiệu tập trung. Đổi lại, các điểm báo hiệu này khi đó có thể đƣợc đặt

gần các thành phần mạng khác hơn. Khi đó, việc truyền báo hiệu giữa các

thành phần này sẽ là truyền qua các kênh dành riêng, do vậy sẽ giảm chi phí cho

việc xây dựng các điểm trung để truyền báo hiệu.

Lớp M2PA

M2PA cho phép các lớp MTP3 ngang hàng của các SG có thể liên lạc trực tiếp với

nhau. Thực chất, nó mở rộng mạng SS7 sang mạng IP. Nó có chức năng sau:

 Duy trì hoạt động liên tục giữa các thực thể ngang hàng MTP3 giao tiếp với

nhau qua mạng IP.

 Mặt cắt giao diện MTP2/MTP3, cho phép quản lý các phiên truyền dẫn SCTP

và lƣu lƣợng thay cho MTP2 link.

 Thông báo những thay đổi trạng thái phục vụ cho mục đích quản lý điều hành.

66

Bảo mật trong VoIP

Lớp M3UA

M3UA là giao thức hỗ trợ cho việc truyền dẫn các bản tin báo hiệu MTP3 (ví dụ

nhƣ ISUP, SCCP) qua mạng IP sử dụng giao thức truyền dẫn SCTP. Về chức năng hoạt động, M3UA tƣơng tự nhƣ M2UA. Giao thức này đƣợc sử dụng ở giao tiếp giữa SG và

MGC hay các IP SCP bên phía mạng IP. M3UA cho phép dịch vụ lớp MTP3 có thể đƣợc

cung cấp bởi một MGC nằm trong mạng IP, do vậy nó mở rộng mạng báo hiệu SS7 sang

phía mạng IP.

Lớp SUA

SUA là giao thức hỗ trợ truyền dẫn các bản tin lớp SCCP qua mạng IP sử dụng giao

thức SCTP. Nó cho phép truy nhập tới các lớp ứng dụng (ví dụ nhƣ TCAP) tại IP SCP

thông qua SG. Kiến trúc mạng sử dụng SUA cho phép một SG có thể kết nối đến nhiều

IP SCP. Các IP SCP không cần phải có lớp MTP3 cục bộ, do vậy không đòi hỏi phải có địa chỉ SS7 point code riêng. SUA hỗ trợ các chức năng sau:

 Truyền dẫn các bản tin SCCP (TCAP, MAP, INAP...).  Hỗ trợ dịch vụ không kết nối SCCP.  Hỗ trợ dịch vụ hƣớng kết nối SCCP.  Quản lý các phiên truyền dẫn của SCTP giữa SG và một hay nhiều nút báo hiệu

phía mạng IP.

 Phân tán các nút báo hiệu phía mạng IP.  Thông báo về các thay đổi trạng thái phục vụ cho mục đích quản lý.

Lớp IUA và V5UA

IUA cung cấp dịch vụ của lớp ISDN Data Link. Còn V5UA cung cấp dịch vụ của

giao thức V.5.2.

Trong mô hình SIGTRAN giao thức truyền tải (SCTP) đã trình bày ở chƣơng 2.

Giao thức SIGTRAN là giao thức mới ứng dụng cho mạng NGN, nó cho phép các nút mạng phía IP giao tiếp với các nút mạng SS7 nhằm nâng cao hiệu suất sử dụng và

phối hợp hoạt động giữa PSTN và VoIP.

3.3.2.2. Thực hiện cuộc gọi VoIP – PSTN

Trong mộ t liên mạ ng VoIP – PSTN mọ i thủ tụ c chuyể n đổ i sẽ đƣợ c thƣ̣ c hiệ n tạ i gateway. Trong mộ t liên mạ ng VoIP – PSTN vấ n đề chuyể n đổ i bá o hiệ u là quan trọ ng

nhấ t. Sao cho tƣ̀ mộ t thông tin bá o hiệ u củ a mạ ng PSTN có thể chuyển đổi thành thông

tin bá o hiệ u củ a VoIP để truyền trên mạng IP . Cuộ c gọ i trong mộ t liên mạ ng VoIP –

67

Bảo mật trong VoIP

PSTN thƣờ ng xả y ra 3 trƣờ ng hợ p:

 Cuộ c gọ i tƣ̀ đầ u cuố i VoIP đế n đầ u cuố i PSTN . Cuộ c gọ i loạ i nà y là đơn giả n

nhấ t.

 Cuộ c gọ i tƣ̀ đầ u cuố i PSTN đế n đầ u cuố i VoIP.  Cuộ c gọ i giƣ̃ a hai đầ u cuố i mạ ng PSTN thông qua mạ ng IP .

Trong phầ n nà y khó a luận chỉ nghiên cứu cuộc gọi giữa SIP và PSTN .

3.3.2.21. Cuộ c gọ i tƣ̀ đầ u cuố i SIP đế n đầ u cuố i PSTN

Hình 43. Cuộ c gọ i giữ a SIP tớ i PSTN

Trong cuộ c gọ i nà y không tồ n tạ i Proxy server hay Redirect server. Mộ t SIP-UA gọi đến một telephone thông qua PSTN Gateway. Đầu cuối SIP thực hiện gói số bên bị

gọi trong bản tin SIP. Tại gateway các bản tin SIP đƣợc chuyển đổi sang bản tin SS7 và ngƣợ c lạ i. Chi tiế t cá c bƣớ c củ a cuộ c gọ i nhƣ sau:

68

Bảo mật trong VoIP

1. Đầu cuối SIP sẽ quay số gọ i đế n mộ t thuê bao trong mạ ng PSTN, Số gọ i đƣợ c

gói trong bản tin INVITE gửi đến PSTN gateway . 2. Gateway chyể n đổ i bả n tin INVITE sang bả n tin ISUP IAM , và truyền bản

tin IAM nà y đế n tổ ng đà i kế tiế p trong mạ ng PSTN. Trong hình 43 tổ ng đà i kế tiế p

này chính là tổng đài cá nhân của thuê bao PSTN. Tổ ng đà i củ a thuê bao bị gọ i sẽ

gƣ̉ i tí n hiệ u chuông đế n thuê bao bị gọ i.

3. Telephone Switch gƣ̉ i bả n tin ACM đế n gateway bá o cho gateway biế t đang

chuyể n tí n hiệ u rung chuông đế n thuê bao.

4. Bản tin ACM sẽ đƣợc gateway chuyển đổi thành bản tin 180. Bản tin 180 này

chƣ́ a phầ n SDP chỉ rõ cổ ng RTP sẽ sƣ̉ dụ ng để truyề n audio đế n tƣ̀ PSTN.

5. Tƣ̀ lú c nhậ n đƣợ c bả n tin 180 SIP-UA thu cá c gó i RTP đƣợ c gƣ̉ i tƣ̀ gateway.

6. Cuộ c gọ i thà nh công khi thuê bao bị gọ i nhấ c ố ng nghe . Lúc này telephone gƣ̉ i bả n tin ANM tớ i gateway. Bản tin này đƣợc chuyển thành bản tin 200, báo hiệu

cổ ng trên gateway sẵ n sà ng cho cuộ c gọ i.

7. Sau khi thuê bao SIP trả lờ i bằ ng bản tin ACK thì luồ ng RTP đƣợ c thiế t lậ p

hai chiề u giƣ̃ a gateway và SIP – UA truyền tải tín hiệu nhận đƣợc từ mạng PSTN.

8. Khi thuê bao SIP dậ p má y, nó sẽ gửi bản tin BEY đế n PSTN Gateway.

9. Bản tin BEY đƣợc gateway chuyển đổi sang bản tin REL đến tổng đài PSTN

để hủy bỏ kết nối. Sau khi Gateway gƣ̉ i bả n tin 200 và nhận đƣợc tin RLC từ tổng

đà i, cuộ c gọ i chí nh thƣ́ c chấ m dƣ́ t.

3.3.2.2.2. Cuộ c gọ i tƣ̀ đầ u cuố i mạ ng PSTN đế n đầ u cuố i SIP

Trong cuộ c gọ i loạ i nà y sƣ̣ chuyể n đổ i bá o hiệ u giƣ̃ a hai mạ ng vẫ n đƣợ c tiế n hà nh

bở i gateway. Phía mạng PSTN là một tổng đài ISDN , vớ i giao thƣ́ c bá o hiệ u đƣợ c sƣ̉

dụng là Q.931. Cụ thể cuộc gọ i nhƣ sau:

1. Tổ ng đà i ISDN gƣ̉ i bả n tin setup có chƣ́ a thông tin về cuộ c gọ i tớ i gateway .

2. Gateway chuyể n đổ i cá c thông tin trong bả n tin setup sang bả n tin INVITE và

đƣợ c gƣ̉ i tớ i Proxy server. Trong cuộ c gọ i nà y có mặ t củ a Proxy server để đị nh vị đầ u cuố i trong mạ ng SIP .

Proxy server phả i truy vấn Location server để nhậ n đƣợ c đị a chỉ dạ ng SIP

Sau khi nhậ n đƣợ c kế t quả trả lờ i củ a Locatinon server, proxy server gƣ̉ i bả n

3. của thuê bao đƣợc gọi. 4. tin INVITE đế n đầ u cuố i SIP căn cƣ́ và o đị a chỉ nó mớ i đạ t đƣợ c.

5. Đầu cuối SIP sau khi nhận đƣợc bản tin INVITE nó sẽ gửi các bản tin 180 và

200 đến Proxy server. Proxy server chuyể n tiế p cá c bả n tin nà y đế n Gateway

69

Bảo mật trong VoIP

6. Tại Gateway bả n tin 180 đƣợ c chuyể n đổ i sang bả n tin alterting và bả n tin

200 đƣợ c chuyể n đổ i sang bả n tin Connect. 7. Sau khi nhậ n đƣợ c bả n tin 200 tƣ̀ Proxy server Gateway sẽ xá c nhậ n bằ ng bả n

tin ACK trƣ̣ c tiế p đế n SIP – UA .

8. Sau khi gửi bản tin ACK mộ t kênh logic đƣợ c mở giữa SIP – UA và

Gateway, mộ t kênh thoạ i giƣ̃ a tổ ng đà i ISDN đế n Gateway cũ ng đƣợ c mở .

Hình 44. thiế t lậ p cuộ c gọ i từ đâu cuố i PSTN đế n đầ u cuố i SIP

Kế t luậ n

Trong chƣơng nà y nghiên cƣ́ u hai mô hì nh mạ ng VoIP vớ i hai giao thƣ́ c bá o hiệ u H.323 và SIP. Mô tả cụ thể cá c cuộ c gọ i trong tƣ̀ ng mô hì nh mạ ng và cá c cuộ c gọ i liên mạng.

70

Bảo mật trong VoIP

Chƣơng 4. LỖ HỔNG VÀ HỖ TRỢ BẢO MẬT TRONG VOIP

4.1. Lỗ hổng trong VoIP

Việc thoại và dữ liệu hội tụ trên cùng một đƣờng truyền với bất kỳ giao thức nào đƣợc sử dụng là một vấn đề đối với các kỹ sƣ bảo mật và các nhà quản trị. Hệ quả của

vấn đề hội tụ này là các mạng chính có thể bị tấn công, kiến trúc viễn thông thông tin của

các tổ chức sẽ có thể gặp phải rủi ro nguy hiểm.

Mô tả các cấp độ mà cấu trúc VoIP có thể bị tấn công:

Điểm yếu Mô tả

Cấu trúc IP Điểm yếu này liên quan đến các hệ thống sử dụng mạng chuyển

mạch gói, nó làm ảnh hƣởng đến cấu trúc hoạt động VoIP.

Hệ điều hành Các thiết bị VoIP kế thừa điểm yếu của hệ điều hành và các

firmware mà chúng chạt trên đó (windows và linux)

Cấu hình Cấu hình mặc định của các thiết bị VoIP luôn có những dịch vụ dƣ

thừa. Các port của các dịch vụ thừa này trở thành điểm yếu cho các

tấn công DoS, tràn bộ đệm hoặc tránh sự xác thực…

Mức ứng dụng Các công nghệ mới còn non yếu có thể bị tấn công bẻ gãy hoặc mất

điều khiển đối với các dịch vụ.

4.1.1. Lỗ hổng đối với hệ thống H.323

Do H.323 sử dụng phƣơng thức chứng thực tƣơng đối chắc chắn giữa các thành

phần H.323 và là giao thức có hỗ trợ bảo mật (H.235) nên luồng dữ liệu rất bảo mật. Tuy

vậy cũng có một vài lỗ hổng, nghiêm trọng nhất là tràn bộ đệm do nó dùng định dạng

bản tin ASN.1, dễ dàng bị DoS.

4.1.1.1. Can thiệp vào thông tin tính cƣớc

GK là nơi quản lý cuộc gọi, nó có chức năng tập trung thông tin tính cƣớc và gửi về

cho BES, BES lƣu giữ thông tin này và gọi là CDR (Call Detail Record), thông tin này tối thiểu phải gồm có:

 Thời gian cuộc gọi: thời gian bắt đầu và kết thúc cuộc gọi, do GK theo dõi.  CallID: mỗi cuộc gọi có 1 giá trị duy nhất khác nhau do GK tạo ra.  UserID: duy nhất cho mỗi user đƣợc cấp quyền, giá trị này xác định tại thời

điểm đăng ký.

71

Bảo mật trong VoIP

CDR đƣợc gửi từ GK tới BES, do đó có thể chặn các gói này, sửa thông tin thời

gian cuộc gọi. Để khắc phục phải chứng thực giữa GK và BES đồng thời phải đảm bảo toàn vẹn dữ liệu.

4.1.1.2. Cuộc gọi trực tiếp

Tính cƣớc dựa trên việc cuộc gọi đƣợc định tuyến thông qua GK. Tuy nhiên, đầu

cuối trong mạng H.323 có khả năng gọi trực tiếp mà không thông qua GK miễn là nó

biết đƣợc địa chỉ IP của ngƣời bị gọi.

Traffic RTP luôn đƣợc gửi trực tiếp giữa các đầu cuối, do đó chỉ cần 1 cuộc gọi là

có thể xác định đƣợc địa chỉ IP của bên bị gọi. Để khắc phục thì gateway chỉ cho phép

thông tin báo hiệu từ GK đi qua.

4.1.1.3. Giả dạng đầu cuối

Để khởi tạo cuộc gọi, EP phải tiến hành 3 bƣớc: đăng ký, xin chấp nhận cuộc gọi

(Call Admission) và Q.931 thiết lập cuộc gọi. Quá trình đăng ký và xin chấp nhận cuộc

gọi sử dụng bản tin RAS truyền qua UDP. Do đó, không có một phiên thực sự nào dành

cho bản tin RAS, kẻ tấn công có thể chèn các bản tin này vào. Thông tin báo hiệu thực sự

dùng bản tin Q.931 và đƣợc vận chuyển thông qua TCP.

Giả dạng EP trong giai đoạn đăng ký, sau đó kẻ giả dạng có thể thực hiện tất cả các

dịch vụ mà một user đƣợc phân quyền có. Kiểu giả dạng này thành công nếu user bị giả

dạng không đăng ký vào thời điểm giả dạng và nếu UserID là một IP thì chỉ có user trong

cùng mạng mới có thể giả dạng đƣợc.

Tấn công trong giai đoạn xin chấp nhận cuộc gọi, cũng phải cùng mạng mới tấn

công đƣợc vì phải biết đƣợc UserID của user muốn giả dạng.

Tấn công bằng các bản tin Q.931. Các bản tin Q.931 đƣợc xác định bằng trƣờng

CallID nên giá trị này phải hợp lệ. CallID đƣợc sinh ra trong quá trình xin chấp nhận

cuộc gọi vì vậy kẻ tấn công hoàn toàn có đƣợc vì cuộc gọi đã đƣợc cho phép. Nhƣng nếu giá trị CallID đã đƣợc dùng thì tấn công không thành công.

Bỏ qua giai đoạn xin chấp nhận cuộc gọi, dùng preGranted ARQ cho một nhóm user, GK không thể phát hiện ra và sẽ thiết lập cuộc gọi bình thƣờng. Chứng thực có thể ngăn chặn đƣợc kiểu tấn công này.

Các kiểu tấn công trên chỉ có thể thực hiện khi không có các biện pháp bảo mật. Nếu

chứng thực đƣợc dùng thì độ bảo mật phụ thuộc vào độ phức tạp của password

72

Bảo mật trong VoIP

4.1.1.4. Giả dạng Gatekeeper

Giả dạng một bằng một GK khác: GK giả mạo chấp nhận yêu cầu thiết lập cuộc gọi

do không có hỗ trợ bảo mật cho Q.931. Có thể ngăn chặn bằng cách thông tin cho GK về toàn bộ GK có trong mạng. Thông thƣờng thì các GK đăng ký với BES nên 1 GK có thể

lấy thông tin và địa chỉ IP khi đăng ký với BES.

4.1.1.5. Giả dạng BES

BES chỉ giao tiếp với GK bằng 1 giao thức client-server riêng. Có thể tấn công bằng cách chặn 1 bản tin từ GK tới BES, sau đó thay đổi một số trƣờng nhƣ password

của EP.

4.1.2. Lỗ hổng đối với hệ thống SIP

SIP là một giao thức mới lại không có tích hợp công cụ bảo mật nào trong nó nên

nó có một số vấn đề về bảo mật. Tuy nhiên, theo khuyến nghị khuyên nên dùng các lớp

dƣới để bổ sung tính bảo mật cho SIP. Mặt khác là giao thức text-based nên cần dùng

TLS để mã hóa.

4.1.2.1. Chiếm quyền đăng ký (Registration Hijacking)

Bản tin đăng ký thƣờng đƣợc vận chuyển bằng giao thức UDP (không đƣợc tin

cậy), hơn nữa các yêu cầu đăng ký không cần phải đƣợc chứng thực bởi SIP registrars,

hoặc nếu có chứng thực thì cũng chỉ bằng MD5 để mã hóa user name và password (MD5

là một thuật toán mã hóa yếu).

Cách tấn công:

Tìm một địa chỉ IP đã đƣợc đăng kí. (Đối với các user trong mạng dễ dàng biết

đƣợc cấu trúc địa chỉ trong mạng, còn với những user ngoài mạng thì dùng kĩ thuật

social engineering hay tool để quét ra địa chỉ của toàn mạng). Nếu có yêu cầu chứng

thực thì có thể đoán password hoặc dùng kiểu từ điển. Đối với tấn công kiểu từ điển thì

mất thời gian do phải thử nhiều lần.

Gửi một yêu cầu đăng kí đặc biệt có kí tự ―*‖ để xóa hết ràng buộc cho các địa chỉ

SIP bị gọi.

Gửi bản tin yêu cầu đăng kí thứ hai chứa địa chỉ SIP của kẻ tấn công.

73

Bảo mật trong VoIP

Hình 47. Tấn công bằng bản tin đăng ký

Một kiểu cƣớp quyền đăng kí khác là dùng tool chặn và thêm vào yêu cầu đăng kí

khi nó đƣợc gửi từ một UA và server đăng ký. Kiểu tấn công này ít phổ biến hơn.

4.1.2.2. Giả dạng proxy

Kẻ tấn công dùng một proxy để chặn cuộc gọi từ UA đến proxy bên phía bị gọi.

Cách tấn công này có thể lấy đƣợc tất cả bản tin SIP và do vậy có toàn quyền điều khiển

cuộc gọi.

Kiểu tấn công:

Chèn proxy giả vào bằng DNS spoofing, ARP cache spoofing hay đơn giản chỉ là

thay đổi địa chỉ proxy cho SIP phone.

Hình 48. Giả dạng proxy

74

Bảo mật trong VoIP

4.1.2.3. Message Tempering

Đây là kiểu tấn công chặn và thêm vào các gói mà các thành phần của SIP trao đổi

với nhau.

Có thể dùng các cách sau để chặn gói:  Cƣớp quyền đăng ký  Giả dạng proxy  Tấn công một trong các thành phần tin cậy trong mạng

Có thể dùng S/MIME (chứng thực và mã hóa văn bản) nhƣng nếu nhƣ văn bản ở

dạng plaintext thì kẻ tấn công vẫn có thể lấy đƣợc thông tin định tuyến.

4.1.2.4. Kết thúc session

Quan sát các thông số trong 1 session nhƣ ―To‖ và ―From‖ sau đó chèn bản tin

―BYE‖ hay re-INVITE để kết thúc cuộc gọi. Cách tấn công này có thể làm chuyển

hƣớng cuộc gọi. Kiểu tấn công này rất khó phòng chống vì các trƣờng nhƣ địa chỉ đích

cần gửi đi ở dạng plaintext để cho phép định tuyến.

4.1.3. Lỗ hổng do mạng và mô trƣờng

VoIP đƣợc truyền qua cùng môi trƣờng vậy lý (router, Switch và firewall) với các

dịch vụ IP khác nên có thể bị ảnh hƣởng. Do đó xảy ra một số cách tấn công nhƣ: tấn

công reply, tấn công tràn bộ đệm, và các lỗ hổng trong DNS, ARP….

4.1.3.1. Tấn công replay

Tấn công replay là tấn công chủ động hƣớng về nghi thức. Đặc trƣng của ngƣời tấn

công này giành đƣợc gói dữ liệu gửi hoặc nhận đến host. Anh ta sửa đổi chúng và sử

dụng lại để truy cập vào một số dịch vụ nào đó. Một ví dụ tƣơng ứng với loại thoại IP là

ngƣời tấn công đạt đƣợc trong tay các gói dữ liệu gửi từ một user có quyền để thiết lập

cuộc gọi và gửi lại chúng sau khi đã sửa đổi địa chỉ IP nguồn. Nó có thể bị ngăn chặn bằng cách thực thi hai dịch vụ bảo mật: nhận thực thể ngang hàng (peer enity authencation) và tính toán vẹn dữ liệu (data intergrity).

4.1.3.2. Tấn công tràn bộ đệm

Đây là phƣơng thức tấn công phổ biến, là kết quả chính của việc phát triển phần mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là có một vài lệnh không kiểm

tra đầu vào dữ liệu. Chúng đƣợc ứng dụng đặt biệt để xâu chuỗi xử lý các lệnh. Quá trình xâm nhập với nhiều đầu vào, các lệnh hay là các chƣơng trình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên. Nội dung của bộ nhớ này có thể bắt đầu hoặc quay trở lại địa

75

Bảo mật trong VoIP

chỉ của các chƣơng trình con.

Trƣờng hợp xấu nhất ngƣời tấn công có thể thêm vào đoạn code nguy hiểm để

cung cấp cho anh ta các quyền quản lý của hệ thống. Biện pháp đối phó là hủy tất cả các code ―yếu‖, chính các lỗ hổng nhận thức đƣợc chứa trong các hệ thống hoạt động và các

chƣơng trình ngôn ngữ.

4.1.3.3. DNS (Domain Name System)

Một hồ sơ DNS A đƣợc sử dụng cho việc chứa các domain hay hostname ánh xạ thành địa chỉ IP. Trong hệ thống VoIP, DNS có chức năng phân giải địa chỉ đích của đầu

cuối hay cho phép gateway đăng ký với server hay GK bằng hostname. Do là một giao

thức thành phần của mạng internet nên DNS không có sự bảo mật nào (nhƣ chứng thực,

mã hóa…).

SIP tạo ra việc sử dụng rộng rãi hồ sơ SRV để xác định các dịch vụ SIP nhƣ là SIP ủy quyền và đăng nhập. Các hồ sơ SRV thƣờng bắt đầu với gạch dƣới

(_sip.tcpserver.udp.domain.com) và chứa thông tin về miêu tả dịch vụ, vận chuyển, host

và thông tin khác. Các hồ sơ SRV cho phép ngƣời quản lý sử dụng một vài user cho một

domain, để di chuyển dịch vụ từ host đến host, và để bổ nhiệm một vài host nhƣ là các

server chính cho các dịch vụ.

Một ngƣời có mục đích tấn công, sẽ cố gắng đầu độc DNS hay tấn công giả mạo, sẽ

thay thế giá trị lƣu trữ hồ sơ DNS A, SRV với các bản tin mà trỏ đến các server của

ngƣời tấn công. Điều này có thể đƣợc hoàn thành bằng cách bắt đầu dời vùng từ DNS

server của ngƣời tấn công đến DNS server nạn nhân, bằng cách yêu cầu server DNS nạn

nhân phân tích thiết bị mạng trong domain của ngƣời tấn công. Server DNS nạn nhân

không những chấp nhận yêu cầu hồ sơ mà còn chấp nhận và chứa các hồ sơ mà server

tấn công có.

Ví dụ nhƣ việc thêm vào hồ sơ A cho www.attacker.com, server DNS nạn nhân có thể nhận đƣợc hồ sơ giả là www.yourbank.com. Nạn nhân hƣớng đến www.yourbank.com sẽ bị chuyển hƣớng lại đến www.attacker.com trang web mà hồ sơ

giả đƣợc lƣu trữ. SIP URL thay thế cho địa chỉ website, và vấn đề tƣơng tự cũng gặp phải trong môi trƣờng VoIP.

Những đe dọa này dựa vào sự vắng mặt của bảo đảm nhận thực của ngƣời tạo ra yêu cầu. Các tấn công trong loại này cố gắng tìm kiếm để phá hoại tính toàn vẹn của dữ

liệu đàm thoại. Các thảm họa này chỉ ra rằng việc cần thiết phải bảo mật dịch vụ để có khả năng nhận biết thực thể tạo ra yêu cầu và để kiểm tra nội dung của thông điệp và

76

Bảo mật trong VoIP

điều khiển các luồng không bị biến đổi khi phát.

4.1.3.4. ARP – Address Resolution Protocol

ARP là giao thức Ethernet cơ bản. Do nó không có cơ chế chứng thực các truy vấn và hồi đáp truy vấn nên có thể lợi dụng nó để tấn công mạng VoIP. Một vài kỹ thuật hay

công cụ hiện tại cho phép bất kỳ user nào có thể tìm ra lƣu lƣợng mạng trên mạng bởi vì

ARP không có điều khoản cho câu hỏi nhận thực và câu hỏi trả lời. Thêm vào đó hầu hết

các hệ thống hoạt động cập nhật bộ nhớ cache của nó khi mà nhận một lời đáp ARP, bất chấp nó đƣợc gửi đi từ một yêu cầu thực tế hay không.

Hình 49. Đánh lừa ARP (đầu độc cache)

Trong số những tấn công này, chuyển hƣớng ARP, đánh lừa ARP, đánh cắp ARP và

đầu độc cache ARP là các phƣơng pháp để phá hoại quá trình ARP bình thƣờng. Các

dạng này thƣờng xuyên đƣợc xen kẽ hoặc xáo trộn nhau. Dành cho mục đích của chƣơng

này, có thể xem đầu độc cache ARP và đánh lừa ARP nhƣ là cùng một quá trình. Sử dụng

các công cụ tùy thích có thể nhƣ là ettercap, cain, dsnif và các thiết bị IP có hại sẽ có thể

đánh lừa thiết bị IP thông thƣờng bằng cách gửi một đáp ứng ARP không yêu cầu đến

host mục tiêu. Một đáp ứng ARP giả chứa địa chỉ phần cứng của thiết bị bình thƣờng và

địa chỉ IP của thiết bị có ý đồ xấu. Trong hình 49, B là máy tính tấn công. Khi A

broadcast một câu hỏi ARP cho địa chỉ IP của C, B – ngƣời tấn công đáp ứng câu hỏi để chỉ ra rằng địa chỉ IP (10.1.1.2) liên quan đến địa chỉ MAC của B (AB:AC:AD:AE:AF:FF). Các gói giả sử gửi từ A đến C sẽ đƣợc thay thế gửi đến B. A

sẽ hiểu lầm rằng địa chỉ MAC của B tƣơng ứng với địa chỉ IP của C. Thực tế, B có thể đầu độc cache ARP của A mà không cần đợi một yêu cầu ARP từ hệ thống windows (9x/NT/2k), các mục ARP tĩnh đƣợc viết đè lên khi có một trả lời câu hỏi đƣợc nhận bất

77

Bảo mật trong VoIP

chấp có hay không câu hỏi đƣợc phát. Mục này sẽ đƣợc giữ cho đến khi chúng hết hạn

hoặc mục mới thay thế.

Hình 50. Tấn công chuyển hướng ARP

Chuyển hƣớng ARP có thể hoạt động hai chiều và thiết bị đánh lừa có thể đƣa vào

ở giữa của cuộc đàm thoại giữa hai thiết bị IP trên mạng chuyển mạch (xem hình 50).

Vì tất cả lƣu lƣợng IP giữa ngƣời gửi thực và ngƣời nhận thực bây giờ đều đi qua

thiết bị của ngƣời tấn công, thật bình thƣờng để cho ngƣời tấn công tìm ra lƣu lƣợng sử

dụng bằng công cụ tùy thích nhƣ là ethereal hay tcpdump. Bất kỳ thông tin nào không

đƣợc mã hóa (bao gồm email, username, password và lƣu lƣợng web) có thể bị chặn

đứng và bị xem.

Sự chặn đứng này có khả năng tác động mạnh đến lƣu lƣợng VoIP. Các công cụ

miễn phí nhƣ là vomit hay rtpsnif, cũng nhƣ là các công cụ công cộng nhƣ là VoIP Crack,

cho phép chặn đứng và mã hóa lƣu lƣợng VoIP. Các nội dung chiếm đƣợc có thể bao gồm thoại, báo hiệu, thông tin tính cƣớc, đa phƣơng tiện và số PIN. Đàm thoại qua nội

mạng IP có thể bị chặn và ghi âm lại khi sử dụng kỹ thuật này.

Trong các thủ tục giới hạn lỗi do thao tác ARP, ngƣời quản lý phải thực thi các công cụ phần mềm để giám sát việc ánh xạ địa chỉ IP thành địa chỉ MAC. Ở lớp mạng, ánh xạ địa chỉ MAC/IP có thể đƣợc mật mã tĩnh trên switch, tuy nhiên nó thƣờng xuyên

không đƣợc quản lý tốt. Các rủi ro của việc mã hóa lƣu lƣợng VoIP có thể đƣợc giới hạn

bởi thực thi mật mã. Sử dụng việc mật mã hóa media, các cuộc đàm thoại giữa hai đầu

78

Bảo mật trong VoIP

cuối IP phải đƣợc sử dụng cùng một dạng mật mã hóa. Trong môi trƣờng bảo mật cao thì

các tổ chức cần phải đảm bảo cùng một phƣơng thức mật mã trong bộ codec IP.

Một hậu quả của kiểu tấn công chuyển hƣớng ARP là sự quá tải của Switch do

bảng CAM (Content Addressable Memory), bảng có kích thƣớc cố định, bị tràn.

Hãng Cisco có phát triển DAI (Dynamic ARP Inspection) trên dòng Switch

Catalyst 6500 để phòng chống các nguy cơ tấn công spoofing lớp 2 và lớp 3, trong đó có

chống tấn công chuyển hƣớng ARP. Hãng Avaya sử dụng giải pháp Media Encryption, mã hóa bằng AES, để trách việc thông tin bị giải mã khi bị nghe trộm.

4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP

Dịch vụ internet là một chƣơng trình chạy trên một host máy tính chờ đợi một kết

nối từ khách hàng. Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn

công trực tiếp và chủ động. Ngƣời tấn công không có ý định ăn cắp một cái gì cả. Anh ta chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhƣng không phải lúc nào dịch vụ

không đƣợc tiếp cận là nguyên nhân của tấn công DoS. Nó có thể là nguyên nhân của

cấu hình sai cũng nhƣ là nguyên nhân của việc sử dụng sai.

Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụ này có

thể gặp phần nào một số hậu quả khó khăn, ví dụ nhƣ một shop trực tuyến.

Một tấn công DoS có thể là một trong ba loại sau đây:  Đe dọa vật lý hoặc thay đổi các thành phần mạng.  Đe dọa hay thay đổi cấu hình thông tin.  Giới hạn hay không thể khôi phục nguồn tài nguyên.

Các sửa đổi một phần kiến trúc phần cứng của hệ thống đƣợc xem nhƣ là truy cập

đến vùng của nó. Một ngƣời tấn công chỉ có thể cố gắng phá hủy các phần cứng vật lý

thông qua làm đổi hƣớng phần mềm. Một tấn công DoS trên internet có thể chỉ là loại

thứ hai hay thứ ba. Sự thay đổi cấu hình thông tin cần phải truy cập đến host máy tính. Điều này ám chỉ rằng ngƣời tấn công đƣợc tiếp cận, quản lý hệ thống khi xâm phạm hệ

thống. Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn nhƣ băng thông dành cho dịch vụ internet. Biến thể của tấn công DoS đƣợc gọi là tấn công từ chối phân bổ của dịch vụ DoS (DDoS).

Tấn công DoS có thể ảnh hƣởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của

tấn công DoS có thể làm giảm chất lƣợng dịch vụ hoặc nặng hơn có thể làm mất dịch vụ.

79

Bảo mật trong VoIP

Ta có các loại tấn công nhƣ sau:  DDoS (Distributed denial-of-service): Đây là kiểu tấn công mà các gói tin làm tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, đƣợc mô tả trong

hình 51 và hình 52.

Hình 51. Mô hình truy cập internet tiêu biểu

Các luồng traffic trao đổi bình thƣờng giữa các host và server bên trong và ngoài

mạng. Hình 52 cho thấy sự tấn công luồng traffic IP trực tiếp từ giao diện của firewall.

Hình 52. Tấn công DoS phân tán

80

Bảo mật trong VoIP

Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đã biến mất

trên internet trong vài giờ khi các server của họ bị làm tràn với hàng trăm ngàn yêu cầu từ các trang web khác. Điều này làm suy giảm băng thông và các server CPU không thể

xử lý nổi.

 DoS (Denial of Service): Điều kiện tấn công DoS xảy ra khi thiết bị ở trong mạng nội bộ là cái đích của việc làm tràn ngập các gói, dẫn đến mất liên lạc

giữa các phần trong cấu trúc mạng liên quan đến thiết bị đó. Cũng giống nhƣ

DdoS ở trên, các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên

CPU. Ví dụ: một vài điện thoại IP sẽ ngừng hoạt động nếu chúng nhận các gói

tin UDP lớn hơn 65534 bytes ở port 5060.

Hình 53. Tấn công DoS trong mạng nội bộ

Việc kiểm tra tính toàn vẹn và kể cả việc mã hóa cũng không thể ngăn chặn những

tấn công này. Đặc tính của tấn công DoS và DDoS là đơn giản bằng cách gửi một lƣợng

lớn các gói tin đến máy nạn nhân. Mặc dù các gói tin này có đƣợc đăng ký với server hay

không, nguồn địa chỉ IP là thật hay giả, hoặc đƣợc mã hóa với một key không có thật đi

nữa thì việc tấn công vẫn có thể xảy ra.

Tấn công DoS thật khó để chống lại bởi vì VoIP cũng chỉ là một trong những dịch

vụ trên mạng IP, nó cũng dễ bị tấn công nhƣ các dịch vụ trên mạng IP khác. Hơn nữa tấn công DoS có ảnh hƣởng đặc biệt tới các dịch vụ nhƣ VoIP và các dịch vụ thời gian thực khác, bởi vì các dịch vụ này rất ―nhạy cảm‖ với trạng thái mạng. Virus và worm nằm trong danh sách gây nên tấn công DoS hay DDoS dựa trên việc tăng lƣu lƣợng mạng mà chúng tạo ra bằng cách tái tạo và nhân bản.

81

Bảo mật trong VoIP

4.2. Hỗ trợ bảo mật trong H.323 và SIP

Do các điểm yếu bảo mật tồn tại trong bản thân của H.323 và SIP, ngƣời ta đƣa ra

các hỗ trợ bảo mật cho các giao thức này. Tùy vào yêu cầu khả năng của mạng mà áp

dụng các hỗ trợ bảo mật này.

4.2.1. Hỗ trợ bảo mật cho H.323

4.2.1.1. H.235 ver 2

H.235v2 là một khuyến nghị của ITU-T, hỗ trợ tính năng bảo mật cho H.323 về

chứng thực và đảm bảo tính riêng tƣ.

Chứng thực: Quá trình chứng thực là xác định các bên tham gia cuộc gọi là ai. Có

hai phƣơng thức chứng thực là khóa chia sẻ và khóa công khai dựa vào chứng chỉ.

Chứng thực có thể là đơn hƣớng hay song hƣớng. Quá trình này thƣờng diễn ra giữa EP

và Gateway hoặc GK.

H.235 cũng sử dụng các giao thức khác hỗ trợ bảo mật nhƣ IPsec và TLS. Để

chứng thực cuộc gọi, kênh điều khiển cuộc gọi (H.245) phải đƣợc bảo mật vì những

thông tin truyền trên kênh này bao gồm các bản tin thỏa thuận các thuật toán mã hóa và

khóa mã hóa.

H.235v2 gồm có các profile:

4.2.1.2. Base-line security profile

EP và GK dùng chung một khóa mật cho mã hóa, khóa này đƣợc lƣu trong BES.

Khi EP đăng ký với GK thì GK yêu cầu khóa mật từ BES, dùng nó để xác định các bản

tin đƣợc gửi từ EP và tính toán ra thẻ bài cho các bản tin mà GK gửi đến EP. Các thẻ bài

này là các giá trị đƣợc tính toán bởi thuật toán đi cùng bản tin kết hợp với khóa mật. Thẻ

bài sau khi đƣợc tính toán sẽ đính vào bản tin. EP sẽ xác thực bản tin từ GK bằng khóa mật.

Phƣơng thức chứng thực này hoạt động hop-by-hop. Tại mỗi hop, thông tin chứng

thực đƣợc xác nhận và tính lại.

Chức năng của dạng profile này chia làm 2 phần:  Phần cho báo hiệu cuộc gọi (H.225 và H.245): đây là chức năng chính, đảm bảo

chứng thực và toàn vẹn dữ liệu.

 Phần mã hóa thoại: đây là chức năng tùy chọn.

82

Bảo mật trong VoIP

Đặc điểm RAS H225 H245 RTP

HMAC-SHA1-96 HMAC-SHA1-96 HMAC-SHA1-96

Chứng thực Password Password Password

HMAC-SHA1-96 HMAC-SHA1-96 Toàn vẹn HMAC-SHA1-96

Password Password Password

168 bit 3DES

Điều khiển truy nhập

Intergrated H.235 lý

Subscription-based password Quản khóa

Subscription-based password/Diffie Hellman

Hình 54. H.235 Annex D Baseline security profile

4.2.1.3. Signature profile

Profile này dùng chữ ký số và không cần chỗ lƣu khóa mật nên giải pháp này linh

động và thích hợp hơn. Phƣơng pháp chứng thực cho user là bằng chứng chỉ, quá trình

xác thực certificate giúp tránh bị tấn công theo kiểu man-in-the-middle-attack. Phƣơng

thức này còn đảm bảo tính chất không thể chối cãi.

Đặc điểm RAS H225 H245

SHA1/MD5 SHA1/MD5 SHA1/MD5 Chứng thực

Digital signature Digital signature

Digital signature

SHA1/MD5 SHA1/MD5 SHA1/MD5 Toàn vẹn

Digital signature Digital signature

Digital signature

Certificate allocation

Quản lý khóa Certificate allocation

Hình 55: H.235 Annex E: Signature profile

83

Bảo mật trong VoIP

4.2.1.4. Hybird Security Profile (H.235 Annex F)

Profile này là kết hợp giữa H.325 Annex D và H.235 Annex E. Chứng chỉ và chữ ký số dùng để chứng thực, đảm bảo toàn vẹn và chống chối bỏ trong quá trình bắt tay

giữa các thành phần trong H.323. Cuộc gọi trong giải pháp này phải đƣợc định tuyến qua

GK.

4.2.1.5. H.235 Annex G

Profile này hỗ trợ SRTP và MIKEY.  SRTP: là phƣơng thức hỗ trợ bảo mật cho RTP, nó cung cấp khả năng chứng

thực, sự tin cậy và chống replay attack.

 MIKEY: do SRTP không có một cơ chế quản lý khóa nên phải dùng MIKEY,

một cơ chế quản lý khóa độc lập, để hỗ trợ.

4.2.1.6. H.235 Annex H

Khi EP tìm kiếm và đăng ký với GK trên kênh RAS, khóa thỏa thuận sẽ đƣợc quản

lý và bảo mật bằng giải thuật DH trong các bản tin GRQ, GCF.

4.2.1.7. H.235 Annex I

Áp dụng cho kiểu định tuyến trực tiếp giữa hai EP. GK lúc này đóng vai trò phân

phối khóa bằng thẻ bài. Có một thẻ bài chứa khóa mã hóa cho ngƣời gọi và một thẻ cho

ngƣời bị gọi, ngoài ra còn có một thẻ mang khóa phiên, xác định phiên kết nối.

4.2.2. Hỗ trợ bảo mật cho giao thức SIP

Để bảo mật các dịch vụ SIP, IETF phát triển ba giao thức TLS, S/MIME và SRTP

là những lớp hỗ trợ bảo mật thêm vào cho các giao thức của SIP chứ không phải hoàn

toàn là một giao thức bảo mật.

84

Bảo mật trong VoIP

Hình 56. Các lớp bảo mật hỗ trợ cho các giao thức của SIP

Công cụ bảo mật Phƣơng thức chứng thực Tính tin cậy Toàn vẹn

Có PKI Có S/MIME

Có PKI Có TLS

Pre-shared key Không Không HTTP Digest

Hình 57. Các hỗ trợ bảo mật cho SIP

4.2.2.1. TLS: Trao đổi khóa và bảo mật cho các gói tin báo hiệu

TLS dựa trên SSL ver 3, chuẩn hóa bởi IETF. TLS cung cấp một kênh bảo mật,

trong suốt giữa hai đầu cuối. ―Trong suốt‖ ở đây có nghĩa là dữ liệu đi qua kênh này

không bị thay đổi, và nó cho phép các giao thức chạy trên TCP cũng có thể chạy trên

TLS. Vì vậy, TLS nằm ngay phía trên giao thức TCP và dƣới SIP hay nói cách khác là

SIP đƣợc mã hóa bởi TLS và truyền qua kết nối TCP.

Nhìn chung, TLS đƣợc chọn để bảo mật các bản tin báo hiệu của SIP. SDU (Service Data Unit) từ lớp trên đƣợc mã hóa trƣớc khi truyền đi, còn phía bên kia PDU

(Protocol Data Unit) đƣợc giải mã và chuyển lên lớp bên trên. Hai phía đều phải có chứng chỉ hợp lệ do CA (Certificate Authority) cấp cho quá trình bắt tay của TLS.

Chứng chỉ và trao đổi khóa

Quá trình bắt tay giữa client và server nhằm thƣơng lƣợng các thuật toán bảo vệ dữ

liệu và tạo một số khóa mật mã dùng bởi các thuật toán này.

 Bản tin ClientHello và ServerHello trao đổi danh sách các thuật toán sẽ sử

dụng.

 Chứng chỉ của server và khóa công khai đƣợc chứa trong bản tin chứng chỉ.  Khi client nhận bản tin chứng chỉ, nó sẽ có khóa công khai và dùng khóa này để

85

Bảo mật trong VoIP

mã hóa một khóa mật Pre-Master do nó tự tạo ra và gửi kèm theo bản tin

ClientKeyExchange tới server. Trong khi đó, KDF (Key Derivation Function) sẽ tạo ra một master key từ khóa mật Pre-Master.

 Phía server, bản tin ClientKeyExchange đƣợc giải mã bằng khóa riêng của server, có đƣợc khóa mật Pre-Master và dùng cùng KDF để tạo ra master key.  Client dùng master key tạo ra tạo ra MAC (Message Authentication Code) của toàn bộ bản tin mà nó nhận đƣợc từ server trƣớc đó rồi gửi kèm theo bản tin

Finished tới server.

 Server dùng master key tạo ra một MAC của toàn bộ bản tin mà nó nhận đƣợc

từ client trƣớc đó rồi gửi kèm theo bản tin Finished tới server.

 Cả client và server kiểm tra tính toàn vẹn của giá trị MAC với các bản tin chúng

đã gửi. Nếu đúng thì cả hai có chung Khóa mật Master.

Hình 58. Quá trình bắt tay giữa client và server trong SSL

86

Bảo mật trong VoIP

Hình 59. Dữ liệu lớp trên đóng gói bởi TLS/SSL

4.2.2.2. SRTP(Secure Real-time Transport Protocol): Bảo mật cho gói tin

thoại/video

SRTP là giao thức phát triển hỗ trợ cho RTP để mã hóa, chứng thực bản tin, chống

nghe lén. Nó nằm giữa lớp ứng dụng RTP và lớp vận chuyển RTP. SRTP cũng có SRTCP,

hỗ trợ các chức năng bảo mật cho RTCP. SRTP mã hóa các gói thoại dùng AES, thuật

toán mã hóa dùng khóa đối xứng và có khả năng nén RTP header. Phần tải RTP đƣợc mã

hóa sau đó đóng gói vào trong gói SRTP.

Nhƣợc điểm: mất thời gian xử lý hơn nên có thể tăng trễ.

Điều quan trọng nhất trong SRTP là sự an toàn của khóa trao đổi giữa hai bên bao

gồm: địa chỉ IP, số port UDP, SSRC (Synchronization Source RC). Cài đặt khóa cho tất

cả các máy điện thoại thì quá phức tạp, vì vậy RTP và SRTP nên ở chung một lớp hơn là

hai lớp tách biệt.

MIKEY (Multimedia Internet Keying)

Là một giải pháp quản lý khóa. Nó có ba cách vận chuyển và thiết lập khóa mã hóa TEK (Traffic Encryption Keying): preshared key, public key và DH (Diffie Hellman).

Với preshared key, public key thì khóa đƣợc đƣa tới ngƣời nhận một cách an toàn, còn với DH thì khóa đƣợc sinh ra dựa trên các giá trị trao đổi giữa hai bên.

SDP Security Descriptions

SDP Security Descriptions là thuộc tính mới của SDP, dùng để báo hiệu và thƣơng

87

Bảo mật trong VoIP

lƣợng các thông số mã hóa cho luồng SRTP, gồm: bộ mật mã, thông số khóa, thông số

phiên cho luồng unicast.

a=crypto: []

Trong đó:

 : số thập phân, nhận dạng thuộc tính crypto  thuật toán chứng thực và mã hóa  phƣơng thức và thông tin khóa thực sự  thông số tùy chọn chỉ giao thức vận chuyển

Thuộc tính này chỉ hạn chế cho các luồng unicast, các dịch vụ bên dƣới của giao

thức vận chuyển (IPsec, TLS, S/MIME) bảo đảm cho thuộc tính này của SRTP.

Ngoài TLS và SRTP còn phải có các thuật toán khác hỗ trợ chứng thực user,

xác thực chứng chỉ, trao đổi khóa mã hóa.

4.2.2.3. Bảo đảm sự tin cậy

Sự tin cậy đƣợc bảo đảm bằng cách mã hóa tải mà chỉ có ngƣời có khóa mới đọc

đƣợc.

Hình 60. Mã hóa trong SRTP

Giá trị khởi tạo ban đầu + khóa = 128 bit block Bi,j (giá trị khởi tạo ban đầu đƣợc tính bằng 48 bit chỉ số gói, 32 bit SSRC, 112 bit salting key dịch trái và XOR). Mỗi một block 128 bit này XOR với 1 block plaintext RTP để tạo ra 1 block cipher text.

88

Bảo mật trong VoIP

4.2.2.4. Chứng thực bản tin

Toàn vẹn bản tin đƣợc đảm bảo nhờ hàm hash.

Hình 61. Chứng thực gói SRTP

HMAC-SHA1 băm header và phần tải với khóa mật. Giá trị này là thẻ chứng thực của ngƣời gửi. Ngƣời nhận cũng tính toán tƣơng tự và so sánh với thẻ, nếu không đúng

thì chứng thực thất bại và gói bị bỏ.

4.2.2.5. Replay Protection

ROC và sliding window đƣợc dùng để chống ghi lén. 16 bit số thứ tự trong header

và 32 bit ROC trong bảng mật mã tạo thành 48 bit, là chỉ số của gói. Chỉ số gói đƣợc mã

hóa cùng với các thông số khác để tạo các chuỗi khóa.

Hình 12. Chống ghi lại bằng Sliding Window

Chỉ số gói nhận đƣợc phải nằm trong phạm vi của sliding window và bit Received

tƣơng ứng phải là thứ tự gói xử lý tiếp theo, nếu không gói sẽ bị hủy. Nếu kẻ tấn công

89

Bảo mật trong VoIP

chọn một số ngẫu nhiên, kích thƣớc cửa số là 64 thì 99% (1-64/216) gói bị hủy.

4.2.2.6. S/MIME: Chứng thực bản tin

S/MIME mã hóa bằng khóa công khai, đóng gói theo định dạng MIME. Cung cấp các dịch vụ bảo mật cho các ứng dụng bản tin (HTTP, SIP) nhƣ: chứng thực, toàn vẹn

bản tin, không chối cãi (nếu dùng chữ ký số), an toàn dữ liệu (do đƣợc mã hóa).

SIP gồm có header và phần bản tin SDP. Phần bản tin SDP đƣợc mã hóa bằng

S/MIME, tuy nhiên các trƣờng trong header nhƣ To, From, Call-ID, Cseq và Contact là cần thiết đối với các thành phần trung gian nhƣ SIP proxy server, firewall, UAS để thiết

lập một cuộc gọi đƣợc yêu cầu nên nó phải ở dạng plaintext.

Hình 63. Quá trình gửi bản tin của S/MIME

Quá trình trao đổi khóa và bản tin giữa hai hệ thống:  Bản tin gốc đƣợc băm bằng một thuật toán băm, nếu không có quá trình này thì

90

Bảo mật trong VoIP

sẽ mất nhiều thời gian xử lý hơn khi ký số vì bản tin quá dài.

 Alice ký bản tin đƣợc băm bằng thuật toán chữ ký số và đính chữ ký đó kèm

theo bản tin gốc.

 Một session key đƣợc sinh ra ngẫu nhiên để mã hóa bản tin, chứng chỉ và chữ

ký bằng một thuật toán mã hóa.

 Key session đƣợc mã hóa bằng public key của Bob dùng thuật toán mã hóa

public key, rồi đính kèm bản tin đã đƣợc mã hóa.

 Phía bên nhận, dùng private key của Bob và cùng thuật toán mã hóa để giải mã

ra session key.

 Dùng session key vừa giải mã đƣợc giải mac cho bản tin, chứng chỉ và chữ ký

số.

 Bob kiểm tra xem bản tin có phải gửi từ Alice không và nó có bị thay đổi khi

truyền không bằng cách: - Dùng thuật toán băm nhƣ bƣớc 1 - Bob xác nhận chứng chỉ của Alice là hợp lệ - Dùng thuật toán trong bƣớc 2, giá trị băm đƣợc ký bởi public key của Alice. - Chữ ký đƣợc so sánh với chữ ký nhận đƣợc, nếu không đúng thì bản tin đã bị

can thiệp.

4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP

 Cơ sở của cấu trúc bảo mật hiện hành.

Chúng ta bắt đầu quá trình bảo mật cấu trúc VoIP bằng cách xem lại các cấu trúc

bảo mật hiện hành. việc các thành phần VoIP hoạt động với dữ liệu mạng là một cơ hội

tốt để xem lại và bổ sung các chính sách bảo mật hiện có, cũng nhƣ cấu trúc và quá trình

xử lý của chúng.

Hình bên dƣới mô tả các thành phần cấu trúc bảo mật.

91

Bảo mật trong VoIP

Hình 64. Các thành phần cấu trúc bảo mật

Interface giữa dữ liệu và thoại với mạng bên ngoài đƣợc mô tả bằng những vòng

tròn từ 1 đến 6. Thêm vào đó, dữ liệu và thoại chia sẻ interface với giao diện vật lý và

Social. Interface từ data mạng bao gồm VPN, điện thoại và modem, các loại web và dịch

vụ mail điện tử, các kết nối từ các công ty con bên ngoài thông qua đƣờng WAN. Các kỹ

thuật bảo mật nhƣ là Firewall, IDS và ACLs hữu dụng cho những Interface này.

Interface từ 7 đến 9 mô tả ứng với admin, user và các tổ chức kết nối mạng.

Interface 10 đến 12 là những interface giữa phần vật lý với dữ liệu và thoại. Gần

đây, một số vấn đề xảy ra trong khu vực này, kết quả là làm mất dữ liệu quan trọng

Cuối cùng interface 13 miêu tả VLAN (Virtual LAN) interface.

Việc liệt kê các danh sách này thực ra cũng không cần thiết, nhƣng nó cũng chỉ cho

chúng ta biết nơi mà việc thực hiện bảo mật đạt hiệu quả nhất. Mục đích của phần này là

giúp chúng ta củng cố lại các khái niệm với nhiều thành phần mà bạn đƣợc yêu cầu đảm

bảo trên mạng VoIP/data.

 Phƣơng pháp và chính sách bảo mật

Từ lợi ích của thông tin liên lạc, yêu cầu đảm bảo hệ thống mạng và bao gồm cả cơ sở kiến trúc thông tin liên lạc. Quá trình bảo mật hội tụ mạng VoIP/Data bắt đầu bằng sự

đƣa ra, sự bổ sung, sự liên lạc hiệu quả của các chính sách bảo mật. Một chính sách khi

đƣợc viết ra, thì cũng cần thêm một khoảng thời gian để đƣa ra thảo luận. Một chính sách có những ƣu điểm thuận lợi đƣợc xây dựng dựa trên hệ thống báo cáo của một tổ chức nào đó cần phải đảm bảo các tiêu chuẩn về chất lƣợng, tính tin cậy, tính toàn diện.

92

Bảo mật trong VoIP

Khi đạt đƣợc điều này, việc bảo mật thông tin trở nên dễ dàng đối với ngƣời quản trị

cũng nhƣ gánh nặng về kỹ thuật, và thêm nhiều thuận lợi khác nữa.

Việc đề ra chính sách là một bƣớc quan trọng tiến đến việc chuẩn hóa các hoạt động tổ chức kinh doanh. Chính sách của tổ chức là phƣơng tiện truyền tải quản lý đảm

bảo các vấn đề bảo mật IT, đồng thời cũng làm sang rõ đối với các bên cộng tác, liên

quan hoặc những ngƣời có trách nhiệm. Những chính sách đề ra phải thiết lập các chuẩn

cho việc bảo vệ tài nguyên thông tin bằng cách đƣa ra các chƣơng trình quản lý, những

nguyên tắc cơ bản, những định nghĩa, những hƣớng dẫn cho mọi ngƣời bên trong tổ

chức. Mục tiêu chính của chính sách bảo mật là ngăn chặn những hành vi có thể dẫn tới

nguy hiểm.

Không có một quá trình tốt nhất cho sự phát triển các chính sách bảo mật. Những

quá trình này phụ thuộc vào các biến nhƣ kích thƣớc, tuổi và vị trí của tổ chức đó, sự điều chỉnh tác động của tổ chức, tính nhạy cảm của tổ chức về các nguy cơ.

Vậy ta tìm hiểu thế nào là chính sách tốt ?

Bất chấp điểm xuất phát, sự phát triển của những chính sách kia là một quá trình

lặp lại, chính sách đầu tiên đƣợc loại bỏ. Các tài liệu các chính sách bảo mật phác thảo

đƣợc đánh giá an toàn dựa trên một số đặc trƣng: - Phạm vi của tài liệu có thích hợp? - Áp dụng chính sách đối với những ai? - Thông tin của tổ chức đƣợc định nghĩa toàn diện? - Chính sách này có phù hợp với chỉ thị, hƣớng dẫn của tổ chức, có phù hợp với

luật pháp hay không?

- Và còn nhiều điều kiện khác nữa…

Những hƣớng dẫn, những chính sách, những thủ tục có hiệu quả cho việc bảo vệ hệ

thống mạng của bạn:

- Chính sách điều khiển truy cập - Chính sách quản lý tài khoản - Chính sách sẵn sàng - Chính sách quản lý cấu hình và những thủ tục - Chính sách quản lý tƣờng lửa (Firewall) - Chính sách mã hóa chung - Chính sách điều khiển truy cập Internet - Chính sách giáo dục và ý thức an toàn Internet

93

Bảo mật trong VoIP

- Chính sách dò tìm xâm nhập - Chính sách quản lý mật khẩu - Chính sách tài khoản ngƣời dùng - Chính sách ngăn ngừa virus …

Tuy nhiên, kết quả của sự thi hành các chính sách bảo mật trên lại là quá trình khác.

4.3.1. VLAN

Sự tích hợp thoại, dữ liệu và video trên cùng một mạng làm cho sự bảo mật của hệ

thống VoIP cũng bị ảnh hƣởng bởi các dịch vụ khác. Để có thể giải quyết đƣợc vấn đề

này ta tách biệt về luận lý giữa các dịch vụ bằng VLAN.

Hình 65. VLAN Lợi ích của VLAN:

Giảm lƣu lƣợng broadcast và multicast vì chỉ có các máy trong cùng một VLAN

mới có thể thông tin đƣợc với nhau. VLAN đƣợc cấu hình trên switch.

VLAN dễ dàng quản lý, giúp quản lý thiết bị một cách tập trung. VLAN có thể sắp

xếp và quản lý các PC hay softphone dựa vào chức năng, lớp dịch vụ, tốc độ kết nối hoặc

những tiêu chuẩn khác.

Giảm delay và jitter, do đó cải thiện QoS.

Hệ thống VoIP có thể bị ảnh hƣởng bởi sự thiếu bảo mật của các dịch vụ khác của

mạng dữ liệu.

94

Bảo mật trong VoIP

Hình 66. VLAN phân theo chức năng

VLAN góp phần trong bảo mật hệ thống VoIP. Lƣu lƣợng giữa các VLAN đƣợc đảm bảo (trừ khi sử dụng router). Nó làm giảm các broadcast lƣu lƣợng trên mạng mà

điện thoại phải nhận.

Quản lý lƣu lƣợng bằng VLAN giúp cho lƣu lƣợng SNMP và syslog không bị

nhiễu với dữ liệu, dễ dàng hơn trong việc quản lý mạng.

VLAN còn làm giảm nguy cơ DoS. Do muốn liên lạc giữa các VLAN thì phải đi

qua lớp mạng, các lƣu lƣợng này sẽ bị lọc bởi các ACL trên lớp mạng.

Để bảo đảm an toàn cho lƣu lƣợng tại lớp 2 thì cần hạn chế quyền truy cập bằng

cổng console của Switch bằng cách sử dụng những phƣơng pháp chứng thực mạng nhƣ

RADIUS hay AAA.

4.3.2. VPN

Công nghệ VPN cung cấp một phƣong thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thƣờng đƣợc dùng để kết nối các văn

phòng, chi nhánh với nhau, các ngƣời dùng từ xa về văn phòng chính. Công nghệ này có thể triển khai dùng các giải pháp sau: Frame Relay, ATM hay Leased line.

Các giao thức và thuật toán đƣợc dùng trong VPN bao gồm DES (Data Encryption

Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE).

Có hai loại kết nốit VPN:

- Client – to – LAN

95

Bảo mật trong VoIP

- LAN – to – LAN

Hình 67. Client-to-LAN VPN

Công nghệ VPN dựa trên kỹ thuật đƣờng hầm (tunneling). Kỹ thuật này bao gồm

đóng gói, truyền đi, giải mã, định tuyến. VPN có ba loại: Point – to – Point Tunneling

Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), IPsec.

4.3.2.1. Point – to – Point Tunneling Protocol

Đây là một giao thức phát triển bởi Microsoft, làm việc ở lớp 2 trong mô hình OSI.

PPTP đóng gói frame PPP vào gói IP bằng cách sử dụng GRE (General Routing

Encapsulation).Các hình thức đảm bảo sự bảo mật gồm: chứng thực, mã hóa dữ liệu, lọc

gói PPTP.

PPTP dùng các giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver 1 và ver 2),

PAP, trong đó MS-CHAP ver2 và EAP-TLS đƣợc xem là bảo mật nhất vì cả VPN server

và VPN client đều chứng thực lẫn nhau. Tải trong PPP frame đƣợc mã hóa bằng RSA

(Rivest, Shamir and Adleman), RC4 (Rivest Cipher 4).

Trong MS-CHAP ver1 giá trị băm của LAN và của Windows NT đƣợc sinh ra dựa

trên cùng một password và đƣợc gửi song song từ client đến server. Vì giá trị LAN

manager hash đƣợc bảo mật kém nên các chƣơng trình bẻ password có thể tấn công

đƣợc, khi đã biết đƣợc giá trị băm của LAN, có thể dùng nó để tìm ra giá trị của Windows NT. MS-CHAP ver 2 khắc phục đƣợc lỗi trên nhờ dùng cơ chế mã hóa.

RSA và RC4 cũng có các điểm yếu do khóa mã hóa dựa trên password của user và

cả client và server đều dùng chung khóa mã hóa.

4.3.2.2. Layer 2 Tunneling Protocol

L2TP là giao thức chuẩn của IETF (RFC 2661). Khác với PPTP, L2TP có thể chạy trên nhiều chuyển mạch khác nhau nhƣ X.25, Frame Relay, ATM, nhƣng thƣờng thì L2TP đóng gói PPP frame trong L2TP frame và dùng UDP để truyền đi (không dùng

96

Bảo mật trong VoIP

GRE). Dùng UDP tốt hơn cho các dịch vụ thời gian thực.

Bản thân L2TP không đảm bảo bảo mật, nó cần các giao thức vận chuyển bên dƣới

làm điều này. Điều này đƣợc thực hiện qua việc bảo mật trong PPP hoặc dùng IPsec.

Hình 68. Cấu trúc L2PT

4.3.2.3. IP Security

Với đặc điểm là dễ bị bắt gói trong mạng IP nên yêu cầu mã hóa là cần thiết cho hệ

thống VoIP. IPsec có thể bảo mật thông tin của EP và luồng dữ liệu. IPsec là tập giao thức phát triển bởi IETF, bảo mật ở lớp IP.

IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), trao đổi khóa

(Security Association), đảm bảo toàn vẹn dữ liệu (Data Integrity) và kiểm tra nguồn gốc

dữ liệu (Origin Authentication).

IPsec gồm hai giao thức: Authenticaion Header (AH) và Encapsulating Security

Payload (ESP).

 AH: chứng thực data và chống replay, dùng giao thức IP số 51  ESP: dùng giao thức IP số 50

ESP chỉ mã hóa và chứng thực trên gói ban đầu (không có header), còn AH thì

chứng thực toàn bộ gói (có header) và không mã hóa.

97

Bảo mật trong VoIP

Hình 69. Chứng thực và mã hóa của AH và ASP

 IPsec gồm 2 mode:  Tunnel mode: tạo thêm một IP header mới gồm một địa chỉ nguồn và một địa chỉ đích (có thể khác với địa chỉ nguồn và địa chỉ đích trong gói IP). ESP chứng

thực và mã hóa trên gói IP, còn AH chứng thực thêm một phần của header mới.  Transport mode: ESP mã hóa và chứng thực gói IP (không có phần header), AH

thì có chứng thực thêm một phần header mới.

Hình 70. Cấu trúc gói IPsec ở transport mode

Hình 71. Cấu trúc gói IPsec ở tunnel mode

Trong quá trình thiết lập kết nối, VPN client và VPN server sẽ thƣơng lƣợng thuật

toán mã hóa đƣợc sử dụng trong số các thuật toán sau: DES, MD5, SHA, DH

Security Association (SA) thƣờng đƣợc quản lý bời IKE. SA thƣờng có thể dùng pre-shared key, mã hóa RSA hoặc chữ ký số. IPsec chứng thực bằng shared secret và certificate, bảo mật hơn so với PPTP chứng thực bằng password của user.

4.3.3. Firewall

98

Bảo mật trong VoIP

Đóng vai trò rất quan trọng trong việc bảo mật mạng dữ liệu khỏi những tấn công

từ bên ngoài. Một số loại firewall cơ bản sau có thể bảo vệ dữ liệu ở các lớp khác nhau trong mô hình OSI:

 Packet filtering firewall  Circiut level gateway firewall  Personal firewall

Chức năng cơ bản của firewall đƣợc thiết kế không phải dành cho các ứng dụng

thời gian thực nhƣ VoIP nên việc thiết lập firewall cho hệ thống VoIP sẽ làm cho hệ

thống phức tạp hơn ở một số quá trình: port động trunking, thủ tục thiết lập cuộc gọi.

Ngoài ra, firewall còn có nhiệm vụ điều khiển luồng thoại và dữ liệu. Nếu không

cài đặt firewall thì tất cả các lƣu lƣợng đến và đi từ IP phone đều phải đƣợc cho phép vì

RTP dùng port UDP động, và nhƣ vậy thì tất cả các port UDP đều phải mở, thiếu bảo mật. Vì vậy, IP phone thƣờng đặt sau firewall để tất cả các lƣu lƣợng đều đƣợc kiểm soát mà không cần phải mở tất cả các port UDP  firewall đƣợc sử dụng để cách ly về mặt luận lý giữa thoại và dữ liệu.

4.3.4. NAT (Network Address Translation)

Là kỹ thuật mà địa chỉ nguồn hay địa chỉ đích thay đổi khi đi qua thiết bị có chức

năng NAT, cho phép nhiều host trong mạng nội bộ dùng chung một địa chỉ IP để đi ra

mạng bên ngoài.

Ngoài one-to-one mapping thì còn có many-to-one mapping hay còn gọi là NAPT

(Network Address Port Translation).

NAT có 4 chính sách:

 Full: tất cả các yêu cầu từ cùng các host bên trong (địa chỉ IP và port) đƣợc ánh xạ tới cùng một IP hay port đại diện bên ngoài, vì vậy bất kỳ một host bên ngoài

có thể gửi gói tới 1 host bên trong nếu biết địa chỉ đƣợc ánh xạ đó.

 Restricted: chỉ cho phép 1 host bên ngoài với IP X gửi gói cho host mạng bên

trong nếu host của mạng bên trong đã gửi tới IP X một gói trƣớc đó.

 Port restricted: Giống Restricted one nhƣng có thêm port. Chính sách này đƣợc

sử dụng để có thể dùng chung một địa chỉ IP đại diện bên ngoài.

 Symmetric: tất cả các request từ cùng 1 IP hay port đến 1 đích nào đó đƣợc ánh xạ đi bằng 1 IP đại diện, nếu đi tới 1 đích khác thì nó sẽ đi bằng IP đại diện khác  Chỉ có những host bên ngoài nhận đƣợc gói thì mới gửi gói ngƣợc trở lại các host bên trong đƣợc.

99

Bảo mật trong VoIP

Hình 72. Quá trình thay đổi địa chỉ trong NAT Lợi ích của NAT:

Giảm bớt số IP cần dùng bằng cách sử dụng chung 1 IP đại diện để đi ra bên ngoài.

Với việc sử dụng chung 1 IP đại diện để đi ra bên ngoài nhƣ vậy thì mọi lƣu lƣợng muốn

truy nhập vào mạng bên trong thì phải qua NAT, bảo mật hơn.

4.3.5. Một số chú ý khi sử dụng NAT và firewall trong hệ thống VoIP

 Ảnh hưởng đến QoS: Việc thiết lập firewall và NAT gây ra trễvà jitter, làm giảm QoS. Về bản chất, muốn

cải thiện QoS thì quá trình xử lý gói khi qua firewall phải nhanh, mà khả năng xử lý gói

của firewall lại phụ thuộc vào năng lực của CPU. CPU xử lý gói chậm là do: header của

gói thoại phức tạp hơn gói IP bình thƣờng nên thời gian xử lý lâu hơn; số lƣợng gói RTP

quá lớn có thể làm firewall CPU bị qua tải.

 Cuộc gọi tới:

Khi một có một cuộc gọi tới thì các lƣu lƣợng báo hiệu tới đi qua firewall, cần phải

mở một số port, điều này có thể gây nguy hiểm.

Với NAT điều này càng khó khăn vì NAT dùng port động, mà một host bên ngoài

chỉ có thể gọi cho 1 host nằm sau NAT nếu biết chính xác địa chỉ IP và port của nó.

 Voice Stream:

RTP dùng port động (1024-65534), còn RTPC quản lý luồng thoại bằng một port

ngẫu nhiên, khó mà đồng bộ port của RTP và RTPC. Nếu cả hai host đều nằm sau NAT thì càng khó khăn.

NAT chỉ ánh xạ địa chỉ bên trong và địa chỉ đại diện đi ra bên ngoài trong 1 khoảng thời gian t(s). Nếu kết nối bị đứt hay không có lƣu lƣợng đi qua NAT trong t(s) thì ánh xạ

này sẽ biến mất.

Nếu dùng TCP thì khi kết nối TCP kết thúc thì cuộc gọi cũng kết thúc. Nếu dùng

100

Bảo mật trong VoIP

UDP thì không nhận biết đƣợc vì UDP là phi kết nối. Nếu sử dụng VAD thì có khả năng

thông tin kết nối bị xóa trƣớc khi cuộc gọi thật sự kết thúc.

 Mã hóa:

Việc mã hóa giúp đảm bảo tính toàn vẹn dữ liệu nhƣng ta cũng gặp một số vấn đề

với nó khi sử dụng NAT và firewall:

 Firewall sẽ chặn các gói có header đƣợc mã hóa.  NAT dấu đi IP bên trong với mạng bên ngoài nên phƣơng pháp chứng thực ESP

và AH của Ipsec là không hợp lệ.

4.3.6. Một số giải pháp cho vấn đề firewall

4.3.6.1. DMZ (Demititarized Zone)

DMZ là vùng trung gian giữa mạng tin cậy bên trong và mạng bên ngoài nhƣ

Internet, là giải pháp ngăn ngừa sự tƣơng tác trực tiếp giữa ngƣời bên trong và bên ngoài

hệ thống, đƣợc xây dựng với mục đích làm cho hệ thống an toàn hơn. Có hai cấu hình

thƣờng thấy là DMZ một firewall và DMZ đƣợc đặt giữa hai firewall nhƣ hình vẽ.

Hình 73. Kiến trúc DMZ và một firewall

101

Bảo mật trong VoIP

Hình 74. Vùng DMZ nằm giữa hai firewall

H.323 gatekeeper hay SIP proxy đƣợc đặt trong vùng DMZ có thể đƣợc giải quyết

đƣợc vấn đề port động, chỉ cần cấu hình firewall sao cho đầu cuối có thể liên lạc đƣợc với gatekeper/proxy. Nhƣ vậy, vấn đề port động vẫn có thể khắc phục đƣợc bên ngoài

firewall mà vẫn nằm trong vùng an toàn.

4.3.6.2. ALG (Application Level Gateway)

ALG là giải pháp cho vấn đề firewall/NAT trong mô hình doanh nghiệp. ALG là

một phần mềm cài đặt trên firewall. Nó cho phép một ứng dụng đƣợc yêu cầu có đƣợc

phép không, giúp cho những ứng dụng đuợc cho phép trong hệ thống đƣợc quản lý một

cách dễ dàng.

Firewall có tích hợp ALG có khả năng phân tích và nhận biết các giao thức báo

hiệu SIP/H.323 và đóng/mở các port một cách linh động bằng cách đọc các bản tin báo

hiệu SIP/H.323.

Hình 75. Hoạt động của ALG

102

Bảo mật trong VoIP

Khi có cài đặt NAT thì ALG cần phải mở gói thoại và sửa lại thông tin header cho

tƣơng ứng với địa chỉ IP của mạng nội bộ hay IP bên ngoài đối với lƣu lƣợng đi ra. Vấn đề của NAT đƣợc giải quyết khi ALG thay thế địa chỉ IP của mạng nội bộ bằng IP của

chính ALG, không những thế nó còn ánh xạ lƣu lƣợng RTP đến những port mà ALG có

thể đọc và chuyển đến đúng các ứng dụng bên trong.

Giải pháp này đòi hỏi phải nâng cấp phần mềm hoặc thay thế hệ thống

firewall/NAT cũ. Hơn nữa, tất cả các lƣu lƣợng thoại đều đƣợc định tuyến qua ALG nên

khi lƣu lƣợng tăng lên thì nhu cầu các port cho RTP và RTPC không đủ. Vì vậy mặc dù

đầu cuối có port thích hợp để thực hiện cuộc gọi nhƣng cuộc gọi vẫn bị ALG từ chối.

Nhược điểm của ALG:  ALG tốn kém do phải nâng cấp khi chuẩn thay đổi.  ALG xử lý các gói thoại thì gây ra trễ và jitter, khi số lƣợng cuộc gọi tăng lên có

thể gây nghẽn mạng.

 ALG đƣợc cài đặt trên firewall nên có thể làm firewall mất ổn định.

4.3.6.3. Middlebox Communication (MIDCOM)

ALG đƣợc cài đặt trên firewall nên có thể gây trễ và nghẽn. MIDCOM là giải pháp

giải quyết vấn đề của ALG bằng cách đƣa các chức năng của ALG vào một thiết bị nằm

ngoài firewall gọi là Midcom agent. Thƣờng thiết bị này là H.323 gatekeeper/SIP proxy

nằm trong vùng DMZ vì đây là thành phần đáng tin cậy và có tham gia vào quá trình

điều khiển phiên kết nối. Các thiết bị này bây giờ có thể phân tích lƣu lƣợng VoIP và ra

lệnh cho firewall mở/đóng các port dựa trên yêu cầu báo hiệu thông qua giao thức

MIDCOM.

Hình 76. Hệ thống dùng Middlebox Com

103

Bảo mật trong VoIP

Giải pháp này có thể tăng tính linh động và giảm chi phí nâng cấp mạng. Ngoài ra

còn cải tiến hơn về mặt hoạt động vì tách rời việc phân tích và chặn gói.

Nhược điểm của MIDCOM:

 Phải cấu hình cho firewall để Midcom agent điều khiển nó.  Midcom agent phải đƣợc bảo vệ an toàn vì nó có khả năng điều khiển firewall, nếu kẻ tấn công nắm đƣợc quyền điều khiển Midcom agent thì có thể mở bất cứ port nào trên firewall, nên phải đặt thêm một firewall thứ 2 để bảo vệ nó.

4.3.6.4. Session Border Controller

Ngoài giải pháp ALG và MIDCOM, giải pháp SBC (Session Border Controller)

cũng đƣợc phát triển dành cho doanh nghiệp. SBC thƣờng đặt trong vùng DMZ và cung

cấp các chức năng sau:

 Firewall/NAT: SBC có thể hoạt động nhƣ một thiết bị NAT hay firewall hay kết hợp với firewall trong cùng DMZ. SBC có thể mở các lỗ (pinhole) để cho lƣu

lƣợng báo hiệu và thoại đi qua. Cho phép lƣu lƣợng báo hiệu và lƣu lƣợng thoại

nhận và chuyển tới các thiết bị nằm sau firewall và NAT tạo biên của mạng mà

không cần phải nâng cấp firewall hay thiết bị.

 Điều khiển chấp nhận cuộc gọi: SBC điều khiển các cuộc gọi báo hiệu qua mạng, có thể từ chối cuộc gọi khi cần thiết, vì vậy có thể bảo vệ mạng khỏi tấn

công DoS. Điều khiển chấp nhận cuộc gọi có thể đảm bảo các thỏa thuận về

mức độ dịch vụ, nhƣ vậy thuê bao có thể đảm bảo tốc độ kết nối trong giới hạn

của mạng đƣờng trục.

Ngoài ra, SBC còn có các chức năng khác:  QoS: Đảm bảo tài nguyên mạng cho thiết lập cuộc gọi và các dịch vụ cuộc gọi

khẩn.

 Báo hiệu liên mạng: báo hiệu giữa H.323 và SIP.

4.3.7. Giải pháp cho NAT

4.3.7.1. STUN (Simple Traversal of UDP through N)

Cho phép các ứng dụng nhận biết sự có mặt và các loại NAT và firewall giữa nó và Internet. Có thể xác định địa chỉ IP đi ra bên ngoài do NAT tạo ra. Giải pháp này đòi hỏi client phải hỗ trợ STUN.

STUN nhận biết NAT bằng cách gửi các bản tin binding request đến STUN server

yêu cầu địa chỉ và số cổng dùng để truyền và nhận lƣu lƣợng. STUN server hồi đáp cho STUN client bằng bản tin binding response mang thông tin địa chỉ IP đi ra bên ngoài và

104

Bảo mật trong VoIP

số port của NAT. Các thông tin này sẽ dùng thiết lập bản tin thiết lập cuộc gọi.

Thực tế thì rất ít sản phẩm hỗ trợ STUN nên giải pháp này không đƣợc phổ biến.

4.3.7.2. TURN (Traversal Using Relay NAT)

TURN là giao thức cho phép một thiết bị nằm sau NAT/firewall nhận dữ liệu qua

TCP/UDP, bổ sung cho hạn chế của STUN là có thể sử dụng đƣợc NAT đối xứng vì

TURN nằm trên đƣờng báo hiệu.

STUN không nằm trên đƣờng báo hiệu cuộc gọi nên khi sử dụng NAT đối xứng, NAT sẽ ánh xạ cho lƣu lƣợng đi ra một địa chỉ khác, đối với lƣu lƣợng bên ngoài đi vào

cũng tƣơng tự.

4.3.7.3. ICE (Interactive Connectivity Establishment)

Các giải pháp STUN và TURN đều có những thuận lợi và hạn chế riêng. IETF đã

phát triển một giải pháp khác là ICE. Nó không phải là một giao thức mà nó là một phần

làm việc cùng với STUN hay TURN, cho phép client khảo sát tìm ra cách thông tin với

bên ngoài. Các ICE client sẽ trao đổi thông tin (IP private và public kể cả khi có sự thay

đổi) và thƣơng lƣợng tìm ra các con đƣờng có thể kết nối giữa chúng và chọn con đƣờng

có chất lƣợng tốt nhất (trễ và jitter thấp nhất).

4.3.7.4. Đƣờng hầm

Giải pháp này giải quyết vấn đề firewall/NAT bằng cách tạo đƣờng hầm cho báo

hiệu và cả lƣu lƣợng thoại đi qua firewall/NAT. Giải pháp này đòi hỏi một server trong

mạng nội bộ và một ở mạng bên ngoài. Hai server này sẽ tạo ra một đƣờng hầm mang tất

cả lƣu lƣợng SIP, đƣờng hầm này thƣờng không cần mã hóa.

Hình 77. Hoạt động của Tunneling

105

Bảo mật trong VoIP

Ngoài ra còn có ƣu điểm là thay đổi ít nhất chính sách bảo mật sẵn có. Tuy nhiên

nó sẽ gây trễ trên lƣu lƣợng thoại, làm giảm chất lƣợng cuộc gọi.

4.3.8. NIDS (Network Intrusion Detection System)

NIDS là hệ thống giám sát tất cả các lƣu lƣợng trong mạng. NIDS là thiết bị thụ

động, lƣu lƣợng không đi qua nó, mà nó chỉ lấy tất cả các gói trên mạng để phân tích.

Nếu có lƣu lƣợng không bình thƣờng bản thân nó sẽ phát cảnh báo cho ngƣời quản trị

mạng biết.

Hình 78. Vị trí của NIDS trong hệ thống

Hoạt động của IDS:

IDS theo dõi tất cả những trạng thái bình thƣờng của hệ thống và do đó phát hiện ra

những tấn công bất thƣờng vào hệ thống. Kiến trúc của nó gồm Call State Fact Base,

chứa các trạng thái điều khiển và các biến trạng thái, cho phép theo dõi tiến trình của

cuộc gọi. Thông tin trạng thái đƣợc cập nhật từ Event Distributor. Attack Scenarino

chứa những kiểu tấn công đã biết.

IDS quản lý sự thay đổi trạng thái của các gói đƣợc phân tích bằng chức năng Call basis. Tất cả gói của một cuộc gọi đƣợc phân thành một nhóm, rồi lại chia thành các

nhóm nhỏ dựa trên loại giao thức, rồi đƣa vào các bộ máy phân tích khác nhau, các bộ máy này đƣợc đồng bộ bằng các tham số chung và các sự kiện nội bộ. Event Destributor cũng phân loại các gói nhận đƣợc cho Attack Scenarino.

Các gói từ Event Destributor và thông tin trạng thái từ Attack Scenarino/ Call State

Fact Base đƣợc đƣa đến Analysis Engine. Khi có sự bất thƣờng nào về giao thức hay

trùng với một kiểu tấn công biết trƣớc thì IDS sẽ bật cờ cảnh báo cho ngƣời quản trị phân tích thêm.

106

Bảo mật trong VoIP

Hình 79. Cấu trúc bên trong của thiết bị NIDS

4.3.8. HIDS (Host-based Intrusion Detection System)

Hệ thống phát hiện xâm nhập Host(HIDS) là một ứng dụng hoạt động dựa trên

thông tin đƣợc tập hợp từ những máy tính riêng lẻ. Điểm lợi thế này cho phép HIDS

phân tích các hoạt động trên các host để theo dõi với mức độ chi tiết cao hơn. Nó có thể

xác định quá trình hoặc user nào liên quan đến các hoạt động phá hoại. Hơn nữa, không

giống nhƣ NIDS, HIDS có thể phát hiện ra tấn công trên một máy bởi vì chúng có thể

truy cập trực tiếp hoặc theo dõi các file dữ liệu và quá trình hệ thống nhắm tới những tấn

công này.

Cách khác, HIDS có thể dùng những nguồn thông tin theo hai kiểu, kiểm soát vận

hành hệ thống và nhật ký hệ thống. Việc kiểm soát hệ điều hành hình thành ở mức trong cùng của hệ điều hành (nhân), bởi vậy nhật ký hệ thống bảo vệ tốt hơn và chi tiết hơn.

Hầu hết các phần mềm HDIS, thiết lập một file ―kiểm kê số‖ và những thuộc tính

của chúng. Việc sử dụng những kiểm kê này nhƣ một đƣờng mốc cho việc theo dõi sự thay đổi của hệ thống. ―Kiểm kê‖ thông thƣờng là một file chứa đựng các file kiểm tra cá nhân và các thƣ mục riêng đƣợc mã hóa bằng thuật toán MD5.

107

Bảo mật trong VoIP

Sự giám sát HIDS đặc biệt quan trọng đối với phƣơng tiện truyền thông VoIP,

proxy, registration server và nên xem xét các phần khởi đầu của việc thiết lập gói. Thật vậy, những nhà cung cấp nhƣ Cisco thậm chí đang làm cài đặt mặc định cho phần này

vào thiết bị của họ.

Tuy nhiên HDIS không thể ngăn chặn tấn công DoS cũng nhƣ không thể phát hiện

các cuộc dò quét mạng. HIDS cần tài nguyên trên host để hoạt động.

Kết Luận:

Trong chƣơng này đã nghiên cứu bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các

nguy cơ tấn công và từ đó có những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP.

108

Bảo mật trong VoIP

Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIẾT BỊ CISCO, TRIỂ N KHAI

MÔ HÌ NH VOIP TRONG MẠ NG LAN VÀ DEMO TẤN CÔNG TRONG VOIP [6], [11]

5.1. Cấu hình VoIP mô hình phòng thực hành

Hình 80. Mô hì nh bà i lab 1

Trong mô hình hình 80 sử dụng 2 router 2801 trên phò ng thƣ̣ c tậ p hệ thố ng v iễ n

thông, đóng vai trò là 2 Gateway hỗ trợ VoIP. Thiết bị đầu cuối sử dụng 2 máy tính có cài

đặt phần mềm Cisco IP Communication. Để sử dụng phần mềm Cisco IP

Communication hoạt động nhƣ một ephone phải cài đặt gói quản lý CME(Call Manager

Express) cho router.

5.1.1. Cấ u hì nh giao thƣ́ c mặ c đị nh củ a Gateway

5.1.1.1. Các câu lệnh trong bài lab

Cấu hình giao diện cho router  Router(config)# interface fastethernet 0/0. Lệnh chọn giao diện fastethernet.  Router(config-if)#ip address ip-address subnetmask. Lệnh cấu hình địa chỉ IP

và subnetmask cho giao diện fastethernet 0/0.

 Router(config-if)#no shutdown. Lệnh chuyể n giao diện sang chế độ online.  Router(config-if)#exit. Lệ nh nà y thoá t khỏ i mode cấ u hì nh cho giao diệ n f0/0.  Router(config)#interface serial 0/0. Chọn giao diện cổng serial 0/0.  Router(config-if)#ip address ip-address subnetmask. Lệnh cấu hình địa chỉ IP

và subnetmask cho cổng serial 0/0.

 Router(config)#clockrate 6400. Lệnh cấu hình xung clock cho cổng serial 0/0.

Cấ u hì nh đị nh tuyế n cho Gateway

Có nhiều giao thức định tuyến khác nhau có thể đƣợc chọn để định đƣờng đi cho

gói tin. Trong bà i lab nà y sẽ cấ u hì nh đị nh tuyế n vớ i giao thƣ́ c RIP.

 Router(config)#router rip. Chọn giao thức định tuyến RIP.

109

Bảo mật trong VoIP

 Router(config-router)#network net-ip-address. Khai bá o cá c mạ ng mà router kế t nố i trƣ̣ c tiế p, để thông qua các mạng đó RIP sẽ họ c đƣợ c mạng khác không kế t nố i trƣ̣ c tiế p vớ i router. Trong mộ t router có thể có nhiề u kế t nố i trƣ̣ c tiế p,

nên khi dù ng giao thƣ́ c RIP thì phải khai báo đầy đủ các kết nối trực tiếp này.

 Router(config-router)#exit. Thoát khỏi mode cấu hình định tuyến.

Cấu hình quản lý ephone

Muốn cấu hình quản lý một cisco CME phone, có thể cấu hình rất nhiều tham số đầy đủ để một phone hoạt động và hiển thị đầy đủ các hiện thị giờ, bí danh, tên, hay các

kiểu chuông... Dƣới đây là một số câu lệnh cơ bản để hỗ trợ CME phone đăng ký và

quản lý CME phone.

 Router(config)#tftp-server flash:P00307020300.bin. lệnh đặt gói quản lý

P00307020300.bin làm tftp-server. Gói hỗ trợ quản lý CME.

 Router(config)#telephony-service. Lệnh này chọ n chế độ cấu hình dịch vụ là

telephone.

 Router(config-telephony)#max-ephones digit. Lệnh đặt số IP phone tối đa

đƣợc hỗ trợ bởi Gateway.

 Router(config-telephony)#max-dn digit.  Router(config-telephony)#load 7960 P0030700300. Lệnh này cho phép chọn loại IP phone là 7960 và tải kiểu firmware mà ephone dùng để đăng ký với

Gateway.

 Router(config-telephony)#ip source-address ip-address : 2000. Lệnh này chỉ

ra địa chỉ IP và cổng của router mà tại đó ephone sẽ đăng ký.

 Router(config-telephony)#create cnf-files. Lệnh cho phép cấu hình file XML.  Router(config-telephony)#secondary-dialtone 9. Lệnh này để tạo một âm

khác khi ấn số 9 gọi ra ngoài mạng.

 Router(config-telephony)#timeouts interdigit digit. Lệnh thiết lập thời gian

timeout giữa các lần nhấn số liên tiếp. Đơn vị thời gian tính bằng giây.

 Router(config-telephony)#timeouts ringing digit. Lệnh thiết lập thời gian ring chuông cho phép. Nếu quá thời gian trên mà bên kia không nhấc máy thì cuộc gọi chấm dứt.

 Router(config-telephony)#date-format dd-mm-yy. Lệnh đặt kiểu hiển thị thời

gian trên ephone.

 Router(config-telephony)#exit. Kế t thú c mode telephone-service.  Router(config)#ephone-dn 1 dual-line. Tạo một đƣờng điện thoại với hai dây.

110

Bảo mật trong VoIP

 Router(config-ephone-dn)#number ephone-number. Thiết lập số điện thoại cho ephone. Số điện thoại có thể theo quy tắc E.164. Có chiều dài từ 3 đến 5 số.  Router(config-ephone-dn)#name name. Lệnh này cho phép đặt tên thay cho số

điện thoại.

 Router(config)#ephone 1. Cấu hình cổng giao diện vật lý cho ephone.  Router(config-ephone)#mac-address MAC. Khai báo địa chỉ MAC của máy

tính cài đặt ephone.

 Router(config-ephone)#type 7960. Chọn loại IP phone là loại 7960.  Router(config-ephone)#button 1:1.  Router(config-ephone)#exit. Kế t thú c mode.

Cấu hình Dial-peer cho Cisco CME Phones  Router(config)# voice service voip. Lệ nh cấ u hì nh và chỉ rõ loại hình dịch vụ

voice là voip.

 Router(config-voi-serv)# allow-connections h323 to sip. Lệnh cho phép một đầ u cuố i H.323 có thể kết nối đƣợc với một đầu cuối SIP trong mô hình IP – to

IP Gateway.

 Router(config-voi-serv)#exit.  Router(config)# dial-peer voice tag Peer type. Lệ nh đị nh nghĩ a mộ t dial - peer cụ thể. Giá trị tag thay đổ i tƣ̀ 1 đến 2147483647. Peer type bao gồ m có POST,

VoIP, VoFR, VoATM, đây là nhƣ̃ ng kiể u kế t nố i . Kiể u POST kế t nố i đế n

(PSTN, PBX, telephone, and fax) hay là cá c WAN riêng sƣ̉ dụ ng VoIP, VoFR,

VoATM. Trong bà i lab nà y kiể u ta dù ng là VoIP.

 Router(config-dial-peer)#destination-pattern [+] string [T]. Lệ nh xá c đị nh đí ch cho cuộ c gọ i dial-peer, mộ t dã y số đầ u hoặ c mộ t số đầ y đủ kiể u E.164.  Router(config-dial-peer)#session target ipv4:ipaddress. Lệ nh c hỉ ra địa chỉ

của dial-peer mà tạ i đó cuộ c gọ i đƣợ c nhậ n.

 Router(config-dial-peer)# dtmf-relay type-channel. Lệ nh nà y cho phé p chọ n phƣơng thƣ́ c mạ ng thông tin bá o hiệ u dtmf. Router cisco hỗ trợ cá c phƣơng

thƣ́ c mạng dtmf nhƣ hì nh dƣớ i đây.

Hình 81. Các phương thức mạng thông tin dtmf

111

Bảo mật trong VoIP

 Router(config-dial-peer)# codec g711ulaw. Lệ nh chỉ ra chuẩ n mã hó a voice .

Trong router cisco hỗ trợ nhiề u chuẩ n mã hó a:

Hình 82. Các chuẩn mã hóa router cisco hỗ trợ

 Router(config-dial-peer)# no vad. Không cho phé p tự độ ng dò tìm voice trong

các cuộ c gọ i dial-peer.

 Router(config-dial-peer)#end. Cấ u hình xong và thoát khỏi mode cấu hình.

5.1.1.2. Thƣ̣ c hiệ n và kế t quả

Thƣ̣ c hiệ n cấ u hì nh và cài đặt phần mềm Cisco IP Communicator trên cá c PC để nó

là các soft-phone.

Thƣ̣ c hiệ n cấ u hì nh cho hai router đó ng vai trò hai gateway quả n lý cá c soft-phone.

Router 2801 trên phò ng thƣ̣ c tậ p điệ n tƣ̉ viễ n thông không có cổ ng serial vì thế ta thay

cổ ng serial bằ ng cổ ng fastethernet 0/1. Tƣ́ c là kế t nố i hai router bằ ng cổ ng f0/1.

Trên giao diệ n f0/0 của gateway 1 cấ u hì nh đị a chỉ IP: 192.168.3.1. Giao diệ n nà y

kế t nố i trƣ̣ c tiế p đế n PC cà i phầ n mề m Cisco IP C ommunicator. PC có đị a chỉ IP :

192.169.3.2. Số củ a soft-phone là 101.

Trên giao diệ n f0/0 của gateway 2 cấ u hì nh đị a chỉ IP: 192.168.1.3. Giao diệ n nà y

. PC có đị a chỉ I P:

kế t nố i vớ i mộ t PC khá c có cà i phầ n mề m Cisco IP communicator 192.168.1.4. Số củ a soft-phone là 202.

Giao diệ n f1/0 của gateway 1 cấ u hì nh đị a chỉ IP: 192.168.2.1. Giao diệ n f1/0 của

gateway 2 cấ u hì nh đị a chỉ IP: 192.168.2.2.

Dƣớ i đây là mộ t số kế t quả cấ u hì nh. Bằ ng cá ch sƣ̉ dụ ng cá c lệ nh show và debug

để thấy đƣợc sự hoạt động của mạng.

112

Bảo mật trong VoIP

Hình 83. Kế t quả show run của voice gateway 2

Trong kế t qu ả show run này có một số lệ nh cung cấ p cá c dị nh vụ tiệ n í ch cho

ephone nhƣ: Transfer cuộ c gọ i, hiể n thị ngà y giờ , dịch vụ chọn nhạc chuông báo hiệu...

Trong mô hì nh cơ bả n nà y nế u giao thƣ́ c không đƣợ c chỉ ra thì gateway mặc định

sƣ̉ dụ ng giao thƣ́ c H.323 low, Tƣ́ c H.323 version 1. Cũng có thể cấu hình giao thƣ́ c khá c

bằ ng cá ch chỉ rõ giao thƣ́ c trong phầ n dial-peer.

Lệnh show h323 gateway, cho ta biế t trạ ng thá i cá c bả n tin đƣợ c gƣ̉ i và nhậ n trong cuộ c gọ i. Trên hình 84 các bản tin H.225 đƣợ c chỉ ra. Ở đây chỉ rõ số bả n tin n hậ n, số

bản tin gửi và số bản tin bị lỗi.

113

Bảo mật trong VoIP

Hình 84. Kết quả lệnh show h323 gateway

Trong cuộ c gọ i nà y báo hiệ u trƣ̣ c tiế p giƣ̃ a hai Gateway đó ng vai trò là hai đầ u cuố i,

quá trình thiết lập cuộc gọi trực tiếp giống nhƣ hình 31(phầ n 3.1.3.1 trang 46).

Sau khi đã thiế t lậ p cấ u hì nh đầy đủ cho cá c Gateway và PC, kế t quả nhậ n đƣợ c khi

kế t nố i cá c cuộ c gọ i hình 85. Do thƣ̣ c hiệ n trên hai router thậ t vớ i khoả ng cá ch ngắ n và

đƣờ ng truyề n chỉ có tí n hiệ u voice nên chấ t lƣợ ng thoạ i rấ t tố t.

Giao diệ n ephone khi đã kế t nố i nhƣ sau:

PC 2 PC 1

Hình 85. Giao diệ n cá c soft-phone khi đã kế t nố i thà nh công

5.1.2. Cấ u hì nh vớ i giao thƣ́ c SIP

114

Bảo mật trong VoIP

Trong mô hì nh trên hình 80 ta có thể chọ n giao thƣ́ c SIP và cấ u hì nh cho cá c

SIP-UA. Vớ i cá c câu lệ nh chỉ ra dƣớ i đây . Các câu lệ nh cấ u hì nh giao diệ n và quả n lý ephone nhƣ phần 5.1.1.1 trang 108 đã nói rõ.

Cấ u hì nh chọ n giao thƣ́ c SIP trong dial-peer  Router(config)# dial-peer voice tag voip. Lệ nh nà y nhƣ nó i ở phần 5.1.1.1, để

vào một dial-peer cụ thể . Trong bài lab này ta cấu hình chọn kiểu voip.  Router(config-dial-peer)#session target ipv4:ipaddress. Đị a chỉ giao diệ n

quản lý CME của bên bị gọi.

 Router(config-dial-peer)#session protocol sipv2. Lệ nh chỉ ra giao thƣ́ c sƣ̉

dụng là SIP phiên bản 2.

 Router(config-dial-peer)#dtmf-relay sip-notify. Chọn hình thức mang thông

tin dtmf trên thông bá o củ a sip.

 Router(config-dial-peer)#codec g711ulaw. Chọn kiểu mã hóa thoại vớ i chuẩ n

64kbps.

 Router(config-dial-peer)#no vad.  Router(config-dial-peer)#exit. Kế t thú c mode.

Cấ u hì nh cho SIP – UA  Router(config)# sip-ua. Chọn mode cấu hình cho các UA.  Router(config-sip-ua)# registrar dns:manh.com.vn. thƣ̣ c hiệ n đăn g ký vớ i

domain name.

 Router(config-sip-ua)# registrar ipv4:ipadress. Đị a chỉ nhậ n cuộ c gọ i.  Router(config-sip-ua)# retry register 10. Lệ nh nà y chỉ ra số bả n tin register

mà gateway nên gƣ̉ i trong mộ t phiên. Giá trị này thay đổi từ 1 – 10

 Router(config-sip-ua)# timers register 500. Xét thời gian đợi của sip – UA đợ i

trƣớ c khi gƣ̉ i tiế p register requests.

 Router(config-sip-ua)# retry invite 3. Số bả n tin invite mà UA nên gƣ̉ i trong

mộ t phiên. Ở đây chọn giá trị 3.

 Router(config-sip-ua)# retry register 3. Số bả n tin re gister mà UA nên gƣ̉ i

trong mộ t phiên. Ở đây chọn giá trị 3.

 Router(config-sip-ua)#exit.

Tiế n hà nh cấ u hì nh trên hai router bằ ng cá c câu lệ nh ở trên . Các giao diện và các

đị a chỉ nhƣ chỉ ra ở phầ n 5.1.1 trang 108.

Sƣ̉ dụ ng câu lệnh show và debug để kiểm tra kế t quả cấ u hì nh. Dƣớ i đây là trí ch

mộ t đoạ n củ a lệ nh show run, đoạ n cấ u hì nh dial-peer sƣ̉ dụ ng giao thƣ́ c SIP.

115

Bảo mật trong VoIP

!

dial-peer voice 400 voip destination-pattern 4..

session protocol sipv2

session target ipv4:192.169.2.2

dtmf-relay cisco-rtp

codec g711ulaw

no vad

!

sip-ua

no redirection

retry invite 2 retry bye 2

!

Sƣ̉ dụ ng lệ nh show sip-ua statistics ta có thể thấ y đƣợ c số lƣợ ng cá c bả n tin đƣợ c

gƣ̉ i, số bản tin gƣ̉ i thà nh công và số bả n tin không gƣ̉ i thà nh công trong mộ t phiên SIP .

Hình 86. Kết quả show sip-ua statistics

116

Bảo mật trong VoIP

Sƣ̉ dụ ng câu lệnh debug ccsip messages cho ta cá c bả n tin SIP trong quá trì nh

thiế t lậ p cuộ c gọ i cũ ng nhƣ trong cuộ c gọ i và kết thúc cuộc gọi . Dƣớ i đây là minh họ a mộ t bả n tin response 200.

Hình 87. Bản tin SIP 200

5.2. Cấ u hì nh VoIP vớ i giao thƣ́ c H.323 có Gatekeeper

Trong bà i lab nà y sẽ đi sâu xem xé t và cấ u hình cụ thể một mô hình mạng VoIP có

sử dụng giao thức báo hiệu H.323 và có mặt của Gatekeeper. Nhƣ đã chỉ ra trong phầ n lý

thuyế t, Gatekeeper là thà nh phầ n tù y chọ n trong mạ ng VoIP nhƣng nó đó ng mộ t vai trò

rấ t quan trọ ng trong hệ thống mạng VoIP . Nế u trong mạ ng có mặ t củ a G atekeeper thì

các đầu cuối H.323 phải tuân thủ đầy đủ các thủ tục với Gatekeeper.

5.2.1. Các câu lệnh dùng trong cấ u hì nh mô hì nh nà y

5.2.1.1. Cấ u hì nh cho Gateway H .323

Trong mô hì nh củ a bà i lab nà y cá c Gateway cũ ng nố i trƣ̣ c tiế p vớ i cá c PC có cà i đặ t cá c soft-phone. Vì vậy việc cấu hình các giao diện, cấ u hì nh quả n lý CME, cấ u hì nh đị nh tuyế n vớ i cá c câu lệ nh nhƣ trì nh bà y trong bà i lab thƣ́ nhấ t. Ở đây chỉ đƣa ra nhƣ̃ ng câu lệ nh để cấ u hì nh cho Gateway thƣ̣ c hiệ n việ c nhậ n vù ng củ a gakeeper và đăng ký trong miề n quả n lý bở i Gatekeeper.

117

Bảo mật trong VoIP

Cấ u hình giao diện liên kết với G akeeper

Giao diệ n nà y phả i là giao diệ n kế t nố i trƣ̣ c tiế p đế n cá c thiế t bị đầ u cuố i.  Router(config)# interface fastethernet 0/0. Truy nhậ p và o giao diệ n kế t nố i

vớ i gatekeeper. Ở đây chọn giao diện f0/0.

 Router(config-if)#h323-gateway voip interface. Khai bá o giao diệ n f 0/0 trở

thành giao diện H.323 – Gateway.

 Router(config-if)#h323-gateway voip id domain-name-gatekeeper ip-address Ras-port. Lệ nh nà y chỉ ra ID và đị a chỉ IP củ a Gatekeeper mà Gateway đăng

ký. Trong đó domain-name là tên domain của Gatekeeper mà Gateway đăng ký.

Ip-address là địa chỉ IP của giao diện trên Gatekeeper của vùng quản lý mà

gateway đăng ký . Ras-port là chỉ số cổng kênh RAS , chỉ số cổng mặc định là

1718.

 Router(config-if)#h323-gateway voip h323-id [gateway name]. Lệ nh cho phép cấu hình ID cho thƣ̣ c thể H.323 đăng ký cù ng vớ i Gatekeeper. Gatekeeper

thƣ̀ a nhậ n Gateway căn cƣ́ và o ID nà y.

 Router(config-if)#h323-gateway voip tech-prefix 1#. Đăng ký mộ t tiề n tố

điệ n thoạ i.

 Router(config-if)#h323-gateway voip bind srcaddr [ip-address]. Lệ nh chỉ ra nguồ n củ a gó i H.323. Đị a chỉ nà y chí nh là đị a chỉ giao diệ n củ a Gateway đang

làm việc, tƣ́ c là đị a chỉ củ a giao diệ n f0/0.

Cấ u hì nh dial-peer  Router(config)# dial-peer voice tag (Peer type). Lệ nh nà y chỉ ra mộ t k ênh

cuộ c gọ i cụ thể .

 Router(config-dial-peer)#destination-pattern [+] string [T]. Lệ nh xá c đị nh đí ch cho cuộ c gọ i dial-peer, mộ t dã y số đầ u hoặ c mộ t số đầ y đủ kiể u E.164.  Router(config-dial-peer)#session target ras. Chọn phiên làm việ c vớ i kênh

báo hiệu RAS.

5.2.1.2. Cấ u hì nh cho Gatekeeper

 Router(config)# gatekeeper. Lệ nh gọ i đế n mode củ a gatekeeper để thƣ̣ c hiệ n

các cấu hình chức năng cho gatekeeper.

 Router(config-gk)# zone local zone-name domain-name [ras-ip-address] [port]. Trong đó zone-name chỉ tên của G atekeeper do ngƣờ i quả n trị đặ t cho

nó. Domain name là tên domain của G atekeeper. [ras-ip-address] là thành phầ n tù y chọ n, chỉ ra địa chỉ IP của giao diệ n mà cá c điể m cuố i H.323 hoặ c cá c

118

Bảo mật trong VoIP

gateway liên lạ c vớ i Gatekeeper. [port-RAS] cũng là thành phần tùy chọn , chỉ

ra chỉ số cổ ng củ a kênh bá o hiệ u RAS . Giá trị cổng thay đổi từ 1 – 65535 và 1719. Ví dụ : Router(config-gk)# zone local cổ ng mặ c đị nh củ a nó là

gk-zone2.com com 192.168.6.1 1719.

 Router(config-gk)#zone remote zone-name domain-name ip-address [port]. Trong đó zone-name là tên của một vù ng ngoà i nà o đó . Domain-name là tên

domain củ a mộ t vù ng xa . Ip-address là địa chỉ IP của vùng remote . [port] là

thành phần tùy chọn, có giá trị mặc định là 1719. Mộ t gatekeeper có thể có rấ t

nhiều zone-remote. Ví dụ : Router(config-gk)#zone remote gk-zone1.com

com 192.168.4.1 1719.

 Router(config-gk)# zone prefix gatekeeper-name e164-prefix. Lệ nh đƣa cá c tiề n tố và o danh sá ch vù ng củ a G atekeeper. Ví dụ: Router(config-gk)# zone

prefix gk-zone1.com 4..

 Router(config-gk)#no shutdown. Chuyể n trạ ng thá i cho G atekeeper sang

trạng thái online.

Nhƣ̃ ng câu lệnh trên là cơ bản để một Gatekeeper hoạt động trong một mạng VoIP.

5.2.2. Thƣ̣ c hiệ n và kế t quả

Hình 88. Mô hì nh bà i lab 2

Trong mô hì nh trên tồ n tạ i 3 miề n mạng với 3 Gatekeeper quả n lý . Các router R1

R4, R6 đó ng vai trò là các Gateway, kế t nố i trƣ̣ c tiế p vớ i các PC có cà i soft-phone bằ ng

119

Bảo mật trong VoIP

giao diệ n fast ethernet 0/0. R2, R3, R5 đó ng vai trò là cá c G atekeeper quả n lý 3 miề n

mạng. Các Gateway và Gatekeeper đƣợ c cấ u hì nh theo cá c câu lệ nh đã chỉ ra ở trên.

Trong mô hì nh nà y chọ n cá c router 7200 đó ng vai trò là cá c gatekeeper . Chỉ có

dòng router 7200 trở lên mớ i hỗ trợ chƣ́ c năng gatekeeper.

Quá trình thực hiện tìm G atekeeper thƣ̣ c hiệ n bằ ng cặ p bả n tin GRQ /GCF. Quá

trình đăng ký với gatekeeper của Gateway thƣ̣ c hiệ n bằ ng cặ p bả n tin RRQ/RCF. Khi

thƣ̣ c hiệ n mộ t cuộ c gọ i end-to-end giƣ̃ a hai đầ u cuố i H .323 của hai miềm mạng khác nhau, thì quá trình setup cuộc gọi đƣợc thực hiện theo sơ đồ hình 59. Trong sơ đồ này

các bản tin báo hiệu H .225 sẽ đƣợ c gƣ̉ i trƣ̣ c tiế p giƣ̃ a 2 Gateway mà không thông qua

Gatekeeper. Có thể thấy đƣợc điều này thông qua lệnh show gatekeeper performance

stats trên hình 92. Trên hình 92 các bản tin mà Gatekeeper thƣ̣ c hiệ n không có cá c bả n

tin bá o hiệ u H.225. Gatekeeper trong bà i lab nà y chỉ có nhiệ m vụ quả n lý điể m cuố i củ a mình và có nhiệm vụ định tuyến cho các cuộc gọi. Sau khi Gatekeeper nhậ n đƣợ c bả n tin

ARQ củ a đầ u cuố i H.323 thông bá o về cuộ c gọ i, nó sẽ gửi lại bản tin ACF để thông báo

cho điể m cuố i biế t đƣợ c đị a chỉ kênh bá o hiệ u củ a điể m cuố i đí ch. Điể m cuố i H.323 sẽ

căn cƣ́ và o đị a chỉ kênh H.225 vƣ̀ a nhậ n đƣợ c để thiế t lậ p cuộ c gọ i trƣ̣ c tiế p đế n phí a đầ u

cuố i bị gọ i.

Các kênh điều khiển H.245 cũng đƣợc truyề n trƣ̣ c tiế p giƣ̃ a cá c Gateway. Khi kế t

thúc cuộ c gọ i, do có mặ t củ a Gatekeeper cá c điể m cuố i phả i thƣ̣ c hiệ n giả i phó ng kênh

vớ i Gatekeeper bằ ng bản tin DRQ/DCF.

Hình 89. Setup cuộ c gọ i

Dƣớ i đây là mộ t số kế t quả thu đƣợ c tƣ̀ lệ nh show

120

Bảo mật trong VoIP

Hình 90. Kế t quả show Gatekeeper calls

Hình 91. Kế t quả show Gatekeeper

Hình 92. Kết quả của lệnh show performance stats

121

Bảo mật trong VoIP

5.3. Thiế t lậ p mạng VoIP trong một mạng LAN

5.3.1. Giớ i thiệ u và yêu cầ u củ a hệ thố ng

Hiệ n nay có nhiều nhà cung cấp đã đƣa ra các phần mềm hỗ trợ, để tạo ra các tổng đà i IP mề m. Kèm theo nhiề u phầ n mề m đó ng vai trò là cá c soft-phone. 3CX là nhà cung

cấ p phầ n mề m 3CX rấ t đƣợ c ƣa chuộ ng hiệ n nay. 3CX cung cấ p phầ n mề m cho các máy

tính chạy hệ điều hành windows trở thà nh cá c tổ ng đà i hoặ c cá c soft-phone.

Hệ thống Điện thoại 3CX chạy trên Windows là một hệ thống IP PBX bằng phần mềm thay thế cho các hệ thống PBX / PABX bằng phần cứng truyền thống. IP PBX của

3CX đƣợc phát triển riêng cho Microsoft Windows và đƣợc dựa trên chuẩn SIP – dễ

dàng hơn trong việc quản lý mà cho phép bạn sử dụng bất kỳ điện thoại SIP nào (phần

cứng hoặc phần mềm). Hệ thống IP PBX /PABX bằng phần mềm cung cấp nhiều lợi ích:  Không cần đƣờng dây điện thoại riêng – các điện thoại sử dụng mạng máy tính  Cấu hình và theo dõi hệ thống dễ dàng thông qua giao diện trên web  Chi phí mua thấp hơn rất nhiều so với hệ thống PBX / PABX bằng phần cứng  Loại bỏ việc chạy dây điện thoại nên việc chuyển văn phòng dễ dàng hơn  Có thể chọn nhiều loại điện thoại phần cứng chuẩn SIP thay vì phải dùng cố

định một nhà sản xuất

 Nghe & Gọi qua đƣờng PSTN (điện thoại thông thƣờng) bằng Gateways  Giảm chi phí gọi đƣờng dài và giữa các văn phòng với nhau

Ở đây ta không bàn đến cuộc gọi dùng điệ n thoạ i cƣ́ ng hay cuộ c gọ i ra mạ ng

PSTN. Vì để thực hiện nó cần các thiết bị hỗ trợ khác . Trong phầ n nà y chỉ đề cập đến

việ c sƣ̉ dụ ng hệ thố ng điệ n thoạ i 3CX để tạ o ra mộ t mạ ng VoIP sƣ̉ dụ ng cá c soft-phone

đƣợ c cà i trên cá c PC trong mộ t mạ ng LAN. Mô hì nh nà y rấ t hƣ̃ u ích cho cá c phò ng ban

và doanh nghiệ p.

Yêu cầ u củ a hệ thố ng:  Tồ n tạ i mộ t mạ ng LAN, có kết nối internet.  Có phần mềm 3CXPhoneSystem8.0 và 3CXPhone4. Hai phầ n mề m nà y chú ng

ta có thể download hoà n toàn miễn phí tại trang web: www.3cx.vn.

 Mộ t má y tính có bộ nhớ RAM tối thiểu 1 Gigabyte và CPU tối thiểu Pentium 4, dùng để cài phần mềm 3CXPhoneSystem8.0, để biến máy tính đó thành một tổ ng đà i IP PBX.

 Các máy trong mạng LAN cài đặt phần mềm 3CXPhone4, nó là những

các thiết bị nghe gọi nhƣ : tai nghe và

soft-phone. Các má y tí nh cầ n trang bị microphone.

122

Bảo mật trong VoIP

5.3.2. Cài đặt và đăng ký

Cài đặt 3CXPhoneSystem8.0  Sau khi download phầ n mề m 3CXPhoneSystem8.0 từ web www.3cx.vn ta tiế n hành cài đặt trên máy có cấu hình yêu cầu nhƣ trên . Các bƣớc cài đặt sẽ đƣợc

chỉ rõ trong lúc chúng ta cài . Chú ý tại bƣớc cài ở hình 93. Sau đây là một số

bƣớc chính cần chú ý :

Hình 93. Bước cần chú ý khi cài 3CXPhoneSystem8.0

 Bƣớc tiếp theo tạo ra hệ thống IP PBX hoặc khôi phục lại hệ thống, hình 94.

Hình 94. Giao diệ n để đăng ký và thiế t lậ p IP PBX

123

Bảo mật trong VoIP

 Bƣớ c tiế p theo là bƣớ c chọ n số chƣ̃ số trong số phone củ a hệ thố ng IP PBX ,

hình 95. Ở đây IP PBX hỗ trợ tƣ̀ 2 đến 5 chƣ̃ số .

Hình 95. Chọn số chữ số của hệ thống tổng đài

 Bƣớc tiế p theo là bƣớ c đăng ký SIP domain cho IP PBX.

Hình 96. Khai bá o SIP domain cho IP PBX

124

Bảo mật trong VoIP

 Bƣớ c tiế p theo là khai bá o SMTP và mail server.

Hình 97. Khai báo SMTP mail

 Bƣớ c tiế p theo là đăng ký username và p assword để logon và o 3CX IP PBX

bằ ng cổ ng console.

Hình 98. Đăng ký để login vào PBX bằng cổng console

125

Bảo mật trong VoIP

 Bƣớ c tiế p là ta cấ u hì nh các số phone cho cá c softphone. Trong cấ u hì n h để quản lý các soft phone, cầ n yêu cầ u nhậ p đầ y đủ cá c thông số để IP PBX quả n lý. Chú ý địa chỉ mac viết liề n nhau. Tại bƣớc này ta có thể cấu hình cho tấ t cả

các số cung cấ p cho mộ t LAN.

Hình 99. Cấ u hì nh quả n lý các soft-phone

 Tiế p theo chọn nhà cung cấp VoIP.

Hình 100. Chọn nhà cung cấp VoIP

126

Bảo mật trong VoIP

 Tiếp theo nhập ID xác thực, mật khẩu và số tài khoản của bạn.

Hình 101. Nhập xác thực, mật khẩu và số tài khoản của bạn.

 Đăng ký online vớ i 3CX và kế t thú c cấ u hình.

Hình 102. Đăng ký online

127

Bảo mật trong VoIP

Cài đặt và đăng ký 3CXPhone4

 Việ c cà i đặ t khá đơn giả n chỉ cầ n chọ n next là xong , sau khi cà i đặ t xong

soft-phone có giao diệ n nhƣ hì nh

Hình 103. Giao diệ n sau khi cà i đặt 3CXPhone4

 Nhƣ ta thấ y trên giao diệ n VoIP phone chƣa đƣợ c đăng ký , cầ n tiế n hà nh đăng

ký cho VoIP phone, hình 104.

Hình 104. Giao diệ n đăng ký vớ i IP PBX

128

Bảo mật trong VoIP

 Sau khi đăng ký thà nh công có giao diệ n sau, hình 105.

Hình 105. Giao diệ n đã kế t nố i đượ c vớ i IP PBX

Quản lý IP PBX

Chúng ta có thể hoàn toàn quản lý đƣợc IP PBX tạ i má y chủ cà i phần mề m

3CXPhoneSystem8.0 khi login và o cổ ng console vớ i username và password đã đăng ký

ở trên hình 98. Sau khi đăng nhậ p giao diệ n web quả n lý IP PBX đƣợ c chỉ ra ở hình 106 .

129

Bảo mật trong VoIP

Hình 106. Giao diệ n quả n lý củ a IP PBX

Trong giao diệ n nà y ta thấ y tổ ng đà i IP PBX đó có nhiề u ƣ́ ng dụ ng và nó có đầ y đủ

tính năng nhƣ một tổng đài . Đây là mộ t phầ n mề m rấ t nhiề u chƣ́ c năng nên trong khóa

luậ n không nghiên cƣ́ u kỹ về nó , mà chỉ quan tâm đến phần quản lý các soft-phone trong

mạng LAN. Các thông số đăng ký, trạng thái của thuê bao đƣợc lƣu trong tƣ̀ ng danh mục

đƣợc đánh số theo số phone nhƣ hình 106. Khi một soft-phone kí ch hoạ t nó sẽ có trạ ng

thái kế t nố i biể u thị đã đƣợ c đăng ký (Registered). Còn các soft-phone không hoạ t độ ng

(hoặc chƣa đăng ký), thì trạng thái biểu thị chƣa đăng ký (Not Registered) nhƣ hình 106.

Hình 107 là kết quả thực hiện thành công cuộc gọi giữa thuê bao có số 100 và thuê

bao có số 102. Chấ t lƣợ ng cuộ c gọ i VoIP khá tố t, vì thực hiện trong LAN này có băng

thông khá thoả i má i và khoả ng cá ch không đá ng kể nên độ trễ rấ t thấ p .

130

Bảo mật trong VoIP

PC1-van manh PC2-van thao

Hình 107. Hiể n thị kế t quả kế t nố i thà nh cuộ c gọ i giữ a 2 soft-phone

Yêu cầ u cơ sở hạ tầ ng đơn giả n, chấ t lƣợ ng cuộ c gọ i VoIP lạ i khá tố t nên sƣ̉ dụ ng mô hì nh VoIP trong LAN sẽ là sự lựa chọn cho cá c phòng ban hay cơ quan có mộ t mạ ng

LAN.

5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến

Phần Demo này đƣợc viết bằng chƣơng trình flash, đƣợc thực hiện với mục đích

chính là mô tả một cách chi tiết và trực quan một trong những kiểu tấn công đơn giản nhƣng phổ biến. Đó là kiểu tấn công ARP Spoofing

Tuy đã cố gắng nhƣng phần Demo này mới chỉ mô tả về quá trình tấn công nhƣng vẫn chƣa mô tả cụ thể đƣợc các giải pháp chống lại kiểu tấn công này. Sau đây là giao diện của phần Demo.

131

Bảo mật trong VoIP

Kế t luậ n

Trong chƣơng này, qua thực nghiệm cấu hình VoIP cơ bản trên thiết bị CISCO, triển khai mô hình VoIP trong mạng LAN và demo cuộc tấn công trong VoIP. Đã làm rõ những vấn đề trong phần lý thuyết còn tồn tại, thấy đƣợc yếu điểm dễ bị tấn công trong VoIP. Đƣa ra một số mô hình VoIP ứng dụng trong thực tế.

132

Bảo mật trong VoIP

KẾT LUẬN

Do thờ i gian có hạ n cũ ng nhƣ kinh nghiệ m thƣ̣ c tiễ n chƣa nhiề u nên khóa luậ n chỉ

mớ i giải quyết đƣợc các vấn đề sau:

Lý thuyết

 Chỉ ra những ƣu điểm, nhƣợ c điể m củ a VoIP và so sá nh VoIP vớ i cá c mạ ng

điệ n thoạ i truyề n thố ng khá c.

 Nghiên cƣ́ u cá c mô hì nh mạ ng VoIP vớ i cá c chuẩ n giao thƣ́ c khá c nhau. Cụ thể

là với hai giao thức H.323/SIP.

 Chỉ ra các yếu tố ảnh hƣởng đế n chấ t lƣợ ng dị ch vụ VoIP và đƣa ra cá c giả i

pháp nâng cao chất lƣợng dịch vụ VoIP.

Thƣ̣ c nghiệ m

 Thiế t lậ p mạng VoIP trong phòng thực tậ p hệ thố ng viễ n thông vớ i cá c thiế t bị

của cisco.

 Thiế t lậ p mô hì nh mạ ng VoIP trong mộ t mạng LAN với phần mề m 3CX.  Thiế t lậ p mạ ng VoIP – H.323 có sử dụng thiết bị gatekeeper bằ ng phầ n mề m

mô phỏ ng dynamips.

Sau khi hoàn thành nội dung khó a luận này, em đã học hỏi đƣợc rất nhiều và đã

chắp nối khá tốt các kiến thức đƣợc học trên lớp về mạng viễn thông. Nó giúp em phát

triển phƣơng pháp luận, cách đặt vấn đề và giải quyết vấn đề.

Em xin chân thành cảm ơn!

133

Bảo mật trong VoIP

TÀI LIỆU THAM KHẢO

Tài liệu tiế ng Anh:

[1] Alan B.Johnson. SIP Understanding The Session Initiation Protocol. Artech

House.

[2] CCNP: Optimizing Converged Networks V5.0. Cisco.

[3] Cisco - Cisco Voice Over IP CVOICE Student Guide V4.2(2004)

[4] Jonathan Davidson, James Peters, Manoj Bhatia, Satish Kalidindi,

Sudipto Mukherjee. Voice over IP Fundamentals, 2nd Edition. Cisco Press.

[5] McGraw.Hill. Session.Initiation.Protocol.SIP.Jun.2008.

[6] Michael E. Flannagan & Jason Sinclair. Congifguring Cisco Voice Over IP.

[7] RFC 3261. SIP - Session Initiation Protocol.

[8] T-REC-H.323-200606-I!!PDF-E.

Tài liệu tiếng Việt

[9] Đỗ Thành Chung. SIGTRAN (Signalling Transport). Trung tâm ƢDCN mớ i-Việ n

KHKT Bƣu điệ n.

Tài liệu từ các website

[10] Http://www.networksorcery.com/enp/protocol.

[11] Http://www.3cx.com.vn

134