3.1 Nhu c u b o m t.ầ ả ậ
Tr c khi đi vào chi ti t v nh ng công ngh khác nhau đ b o v cho m ng VoIP.ướ ế ề ữ ệ ể ả ệ ạ
B n c n ph i hi u nh ng v n đ và t p h p nh ng nhu c u mà b n đã đ c th y.ạ ầ ả ể ữ ấ ề ậ ợ ữ ầ ạ ượ ấ
Ph n này s phác th o nh ng nhu c u b o m t tiêu bi u.Không ph i là m t danh sáchầ ẽ ả ữ ầ ả ậ ể ả ộ
toàn di n.Nh ng d ch v VoIP đ c bi t có th c n nh ng nhu c u ph :ệ ữ ị ụ ặ ệ ể ầ ữ ầ ụ
Tính toàn v n:ẹ Ng i nh n nên nh n nh ng gói d li u c a ng i kh i t o g i v iườ ậ ậ ữ ữ ệ ủ ườ ở ạ ử ớ
n i dung không có s thay đ i. M t bên th ba c n ph i không có kh năng ch nh s aộ ự ổ ộ ứ ầ ả ả ỉ ử
gói trong quá trình v n chuy n. Đ nh nghĩa này đ c áp d ng m t cách chính xác trongậ ể ị ượ ụ ộ
tr ng h p c a tín hi u VoIP. Tuy nhiên, trong tr ng h p c a ph ng ti n truy nườ ợ ủ ệ ườ ợ ủ ươ ệ ề
thông, s m t mát gói thông th ng có th tha th đ c.ự ấ ườ ể ứ ượ
Tính bí m t:ậ M t hãng th ba không nên có kh năng đ đ c d li u mà đ c d đ nhộ ứ ả ể ọ ữ ệ ượ ự ị
cho ng i nh n.ườ ậ
Tính xác th c:ự Bên g i và bên nh n tín hi u VoIP hay thông đi p truy n thông nênử ậ ệ ệ ề
ch c ch n r ng chúng đang liên l c ngang hàng nhau.ắ ắ ằ ạ
Tính s n sàng:ẵ S b o v t vi c t n công DoS(t ch i d ch v ) đ i v i thi t bự ả ệ ừ ệ ấ ừ ố ị ụ ố ớ ế ị
VoIP nên s n có đ i v i nh ng ng i s d ng liên t c. Nh ng ng i s d ng/nh ngẵ ố ớ ữ ườ ử ụ ụ ữ ườ ử ụ ữ
thi t b có ác tâm ho c có c x không đúng đ n không đ c c p quy n đ phá vế ị ặ ư ử ắ ượ ấ ề ể ỡ
d ch v . Đ làm d u các cu c t n công DoS đòi h i cách x lý lây nhi m đ b o v tàiị ụ ể ị ộ ấ ỏ ử ễ ể ả ệ
nguyên VoIP và b o v m ng IP bên d i.ả ệ ạ ướ
3.2 Các công ngh b o m t.ệ ả ậ
Khi đ a ra nh ng nhu c u b o m t cho nh ng thi t b VoIP, ph n này mô t m t vàiư ữ ầ ả ậ ữ ế ị ầ ả ộ
công ngh có s n đ đ m b o tính toàn v n,tính bí m t, và tính ch ng th c. Nh ngệ ẵ ể ả ả ẹ ậ ứ ự ữ
công ngh bao g m trong ph n này nh sau:ệ ồ ầ ư
Share-key(khóa dùng chung)
Nh ng cách ti p c n Chìa khóa- Dùng chungữ ế ậ
M t cách ti p c n t i s ch ng th c là m t h th ng mà trong đó ng i g i và ng iộ ế ậ ớ ự ứ ự ộ ệ ố ườ ử ườ
nh n chia s m t m t kh u bí m t ( đôi khi tham chi u t i nh m t chìa khóa- dùngậ ẻ ộ ậ ẩ ậ ế ớ ư ộ
chung) mà không đ c bi t đ i v i m t bên th ba.ượ ế ố ớ ộ ứ
Ng i g i tính toán m t hash n i dung thông đi p và n i vào giá tr hash đó v i m tườ ử ộ ộ ệ ố ị ớ ộ
thông đi p. Bên phía nh n đ c thông đi p, ng i nh n cũng tính toán hash thôngệ ậ ượ ệ ườ ậ
đi p v i m t m t kh u dùng chung. Sau đó nó so sánh hash đã đ c tính toán v i giáệ ớ ộ ậ ẩ ượ ớ
tr hash mà đ c b sung vào thông đi p. N u chúng phù h p, s toàn v n c a thôngị ượ ổ ệ ế ợ ự ẹ ủ
đi p đ c b o đ m nh là tính xác th c c a ng i g i.ệ ượ ả ả ư ự ủ ườ ử
B n có th s d ng m t kh u dùng chung đ mã hóa n i dung thông đi p và truy nạ ể ử ụ ậ ẩ ể ộ ệ ề
d li u đã mã hóa t i ng i nh n. Trong tr ng h p này, yêu c u riêng t đ c đữ ệ ớ ườ ậ ườ ợ ầ ư ượ ề
c p không vì bên th ba có th đánh h i d li u đang v n chuy n và có th nhìn n iậ ứ ể ơ ữ ệ ậ ể ể ộ
dung thông báo c a văn b n g c. Ng i nh n ch y gi i thu t gi i mã (s m khóa)ủ ả ố ườ ậ ạ ả ậ ả ự ở
v i m t kh u dùng chung nh m t trong nh ng đ u vào và t o ra l i thông báo vănớ ậ ẩ ư ộ ữ ầ ạ ạ
b n g c.ả ố
M t h th ng mà có nhi u ngu n d li u có th g p ph i yêu c u xác th c b ng vi cộ ệ ố ề ồ ữ ệ ể ặ ả ầ ự ằ ệ
b o đ m r ng m i ng i g i s d ng m t chìa khóa duy nh t cho d li u đ c g i.ả ả ằ ỗ ườ ử ử ụ ộ ấ ữ ệ ượ ử
Trong m t cách ti p c n chìa khóa- dùng chung, ng i qu n tr ph i có s chu n bộ ế ậ ườ ả ị ả ự ẩ ị
đ i v i m t kh u bí m t dùng chung. Trong m t h th ng mà có nhi u c p ng i g i/ố ớ ậ ẩ ậ ộ ệ ố ề ặ ườ ử
nh n, vi c đ ng đ u v i s chu n b có th r t cao.ậ ệ ươ ầ ớ ự ẩ ị ể ấ
Ngoài ra, n u m t chìa khóa- dùng chung đ c th a hi p ( stolen/ lost), M i thi t b sế ộ ượ ỏ ệ ọ ế ị ử
d ng chìa khóa dùng chung c n đ c chu n b v i chìa khóa dùng chung m i.ụ ầ ượ ẩ ị ớ ớ
Public-Key Cryptography
Đ làm gi m b t s đau đ u cho ng i qu n tr v i nh ng cách ti p c n chìa khóa-ể ả ớ ự ầ ườ ả ị ớ ữ ế ậ
dùng chung, b n có th s d ng m t mã chìa khóa- công c ngạ ể ử ụ ậ ộ
Nh ng khái ni m c b n trong m t mã chìa khóa chung là nh ng chìa khóa và nh ngữ ệ ơ ả ậ ữ ữ
ch ký s hóa không cân đ i, đ c mô t trong nh ng m c sau đây:ữ ố ố ượ ả ữ ụ
Nh ng chìa khóa không cân đ iữ ố
Nh ng c p chìa khóa không cân đ i t ng c p là nh ng chìa khóa (thông th ng c a đữ ặ ố ừ ặ ữ ườ ủ ộ
dài c đ nh) đ c tham chi u t i nh chìa khóa công c ng và chìa khóa riêng t mà cóố ị ượ ế ớ ư ộ ư
liên quan toán h c đ n l n nhau. Chúng thông th ng đ c đ i di n trong h m iọ ế ẫ ườ ượ ạ ệ ệ ườ
sáu và có nh ng đ c tr ng sau đây:ữ ặ ư
Ch có chìa khóa công c ng t ng ng m i có th gi i mã d li u mà đ c mã hóaỉ ộ ươ ứ ớ ể ả ữ ệ ượ
v i m t chìa khóa riêng t ớ ộ ư
Ch có c p chìa khóa riêng t t ng ng m i có th gi i mã d li u mà đ c mã hóaỉ ặ ư ươ ứ ớ ể ả ữ ệ ượ
v i m t chìa khóa công c ngớ ộ ộ
Có m i quan h m t-m t gi a nh ng chìa khóa.ố ệ ộ ộ ữ ữ
Chìa khóa riêng t đ c gi bí m t, còn chìa khóa công c ng thì đ c chia s v i m iư ượ ữ ậ ộ ượ ẻ ớ ọ
ng i.ườ
Đ i v i s ch ng th c, m t ng i g i có th s d ng chìa khóa riêng t c a riêngố ớ ự ứ ự ộ ườ ử ể ử ụ ư ủ
mình đ mã hóa thông đi p. Thông đi p ch có th đ c gi i mã v i chìa khóa côngể ệ ệ ỉ ể ượ ả ớ
c ng t ng ng. Ng i nh n có th gi i mã thông đi p mi n là anh ta có s truy nh pộ ươ ứ ườ ậ ể ả ệ ễ ự ậ
t i chìa khóa công c ng c a ng i g i. Vì ch có ng i g i m i bi t chìa khóa riêng tớ ộ ủ ườ ử ỉ ườ ử ớ ế ư
nên anh ta bu c ph i mã hóa thông đi p.ộ ả ệ
Đ i v i truy n thông an toàn, m t ng i g i có th mã hóa n i dung thông báo b ngố ớ ề ộ ườ ử ể ộ ằ
cách s d ng k thu t m t mã chìa khóa- công c ng. Anh ta làm đi u này b ng cáchử ụ ỹ ậ ậ ộ ề ằ
s d ng chìa khóa công c ng c a ng i nh n. Ng i nh n sau đó có th gi i mãử ụ ộ ủ ườ ậ ườ ậ ể ả
thông đi p v i chìa khóa riêng t t ng ng. B i vì ng i nh n đã d đ nh có chìaệ ớ ư ươ ứ ở ườ ậ ự ị
khóa riêng t nên anh ta có th gi i mã thông đi p. Không có bên th ba nào khác cóư ể ả ệ ứ
th gi i mã thông báo này, b i vì không ai khác bi t chìa khóa riêng t c a ng iể ả ở ế ư ủ ườ
nh n.ậ
Chú ý r ng ng i g i ph i s d ng chìa khóa riêng t đ mã hóa thông đi p choằ ườ ử ả ử ụ ư ể ệ
nh ng m c đích ch ng th c, trong khi mà ng i nh n ph i s d ng chìa khóa côngữ ụ ứ ự ườ ậ ả ử ụ
c ng đ mã hóa thông đi p cho s truy n thông an toàn. Trong th gi i th c, phaộ ể ệ ự ề ế ớ ự
ch ng th c đ n đ u tiên. Sau khi ng i g i và ng i nh n xác nh n l n nhau thì hứ ự ế ầ ườ ử ườ ậ ậ ẫ ọ
chuy n t i pha truy n thông an toàn.ể ớ ề
S mã hóa s d ng nh ng chìa khóa không cân đ i là m t ti n trình c ng đ cao c aự ử ụ ữ ố ộ ế ườ ộ ủ
CPU. B i v y, khi mà bao g m r t nhi u d li u, nh ng ng i qu n lý nói chung sở ậ ồ ấ ề ữ ệ ữ ườ ả ử
d ng m t mã chìa khóa công c ng đ đàm phán m t bí m t dùng chung duy nh t trênụ ậ ộ ể ộ ậ ấ
phiên h p. H dùng nh ng ký s chìa khóa cân đ i b ng cách s d ng bí m t dùngọ ọ ữ ố ố ằ ử ụ ậ
chung này cho ph n còn l i c a phiên h p.ầ ạ ủ ọ
Ch ký s hóaữ ố
M t ch ký s hóa là m t thu c tính n i dung c a thông đi p và ng i ký c a thôngộ ữ ố ộ ộ ộ ủ ệ ườ ủ
đi p đó. M t ch ký s hóa ph c v m t m c đích t ng t t i m t ch ký trong thệ ộ ữ ố ụ ụ ộ ụ ươ ự ớ ộ ữ ế
gi i th c nó th c s là m t công c đ xác nh n m t thông đi p hay m u d li u nàoớ ự ự ự ộ ụ ể ậ ộ ệ ẩ ữ ệ
đó. Nh ng ch ký s hóa s d ng m t t p h p c a nh ng gi i thu t b sung m t đữ ữ ố ử ụ ộ ậ ợ ủ ữ ả ậ ổ ộ ể
ký tên và đ xác minh.ể
Đ u tiên, m t ch c năng hash đ c ch y qua n i dung c a thông đi p. R i k t quầ ộ ứ ượ ạ ộ ủ ệ ồ ế ả
c a hash đ c thay đ i vào trong m t ch ký s hóa b ng cách s d ng chìa khóaủ ượ ổ ộ ữ ố ằ ử ụ
riêng t c a ng i ký. M t ch ký s hóa đi n hình đ c b sung vào thông báo.ư ủ ườ ộ ữ ố ể ượ ổ
Ng i nh n xác minh ch ký b ng vi c ch y gi i thu t xác minh qua n i dung nguyênườ ậ ữ ằ ệ ạ ả ậ ộ
b n c a thông đi p (lo i tr chính ch ký) và chìa khóa công c ng c a ng i ký.ả ủ ệ ạ ừ ữ ộ ủ ườ
Nh ng ch ký s hóa cung c p s ch ng th c. (Ng i ký ph i có chìa khóa riêng t .)ữ ữ ố ấ ự ứ ự ườ ả ư
Nh ng ch ký s hóa cũng cung c p s toàn v n c a thông đi p, b i vì b t kỳ s thayữ ữ ố ấ ự ẹ ủ ệ ở ấ ự
đ i nào t i n i dung c a thông đi p đang v n chuy n đ u d n đ n m t s th t b iổ ớ ộ ủ ệ ậ ể ề ẫ ế ộ ự ấ ạ
c a gi i thu t xác minh ch ký.ủ ả ậ ữ
Tuy nhiên, m t ch ký s hóa không cung c p s riêng t b i chính b n thân nó. Chộ ữ ố ấ ự ư ở ả ữ
ký đ c b sung vào thông đi p, mà đ c g i đ n văn b n tr ng và có th đ c nhìnượ ổ ệ ượ ử ế ả ố ể ượ
th y khi đang v n chuy n.ấ ậ ể
Ch ng th c và căn c ch ng th cứ ự ứ ứ ự
Bây gi , câu h i đ t ra là chìa khóa công c ng đ c sinh s n nh th nào t i nh ngờ ỏ ặ ộ ượ ả ư ế ớ ữ
ng i nh n có kh năng. Nh ng c p chìa khóa không cân đ i thì ch c ch n đ b o trìườ ậ ả ữ ặ ố ắ ắ ể ả
và đ nh hình. Nh ng ch ng th c đ c đ nh nghĩa là nh m t gi i pháp đ i v i v n đị ữ ứ ự ượ ị ư ộ ả ố ớ ấ ề
phân ph i chìa khóa công c ng.ố ộ
T i th i đi m c a s phát sinh chìa khóa, chìa khóa công c ng c a th c th (g i làạ ờ ể ủ ự ộ ủ ự ể ọ
subject) đ c g i t i căn c ch ng th c (CA). CA xác minh lai l ch c a requestor (cóượ ử ớ ứ ứ ự ị ủ
kh năng là s can thi p b ng tay) và phát hành m t ch ng th c mà kh ng đ nh lai l chả ự ệ ằ ộ ứ ự ẳ ị ị
c a requestor và chìa khóa công c ng c a nóủ ộ ủ
Đi u này ch ng th c r ng nh ng v n đ c a CA bao g m thông tin v căn c c c aề ứ ự ằ ữ ấ ề ủ ồ ề ướ ủ
subject, trong s nh ng th khác, và đ c ký b i CA.ố ữ ứ ượ ở
M i thi t b trong h th ng đ c preprovisioned v i chìa khóa công c ng c a CAỗ ế ị ệ ố ượ ớ ộ ủ
( N u có nhi u CA, chìa khóa công c ng c a m i nhu c u đ c provisioned trên m iế ề ộ ủ ỗ ầ ượ ỗ
thi t b ) và tin c y nh ng ch ng th c đã đ c phát hành b i CA.ế ị ậ ữ ứ ự ượ ở
T i s b t đ u c a vi c thi t l p phiên h p, subject gi i thi u ch ng th c c a nó t iạ ự ắ ầ ủ ệ ế ậ ọ ớ ệ ứ ự ủ ớ
s t ng đ ng c a nó. S t ng đ ng ch y m t gi i thu t xác minh ch ký đ xácự ươ ươ ủ ự ươ ươ ạ ộ ả ậ ữ ể
minh r ng m t CA tin c y đã ra hi u ch ng th c. N u ch ký đ c làm cho có hi uằ ộ ậ ệ ứ ự ế ữ ượ ệ
l c, chìa khóa công c ng và căn c c c a subject (g i là subject name) đ c l u trự ộ ướ ủ ọ ượ ư ữ
c c b .ụ ộ
Nói chung, chìa khóa công c ng c a CA đã tin c y đ c preprovisioned trên nh ngộ ủ ậ ượ ữ
thi t b . M i th c th khác đ c xác nh n b ng ph ng pháp ch ng th c và khôngế ị ọ ự ể ượ ậ ằ ươ ứ ự
yêu c u provisioning b ng tay. Sau nh ng ch ng th c (mà ch a đ ng nh ng chìa khóaầ ằ ữ ứ ự ứ ự ữ
công c ng) đ c truy n lan, s truy n thông gi a nh ng th c th trong h th ng cóộ ượ ề ự ề ữ ữ ự ể ệ ố
th đ c gi an toàn.ể ượ ữ
Nh ng giao th c trên n n khóa công c ngữ ứ ề ộ
M c này quan sát m t s nh ng giao th c b o m t mà s d ng công ngh m t mãụ ộ ố ữ ứ ả ậ ử ụ ệ ậ
chìa khóa- công c ng. Nh ng giao th c này không b h n ch đ i v i cách dùng VoIP.ộ ữ ứ ị ạ ế ố ớ
B n có th s d ng chúng đ b o m t cho nh ng d ch v khác.ạ ể ử ụ ể ả ậ ữ ị ụ
TLS
Giao th c TLS, đ c ch rõ RFC 2246, phát tri n t SSL(secure socket layer). TLSứ ượ ỉ ở ể ừ
d a trên c a nh ng th t c v n chuy n đáng tin c y n m bên d i nh TCP. Trongự ủ ữ ủ ụ ậ ể ậ ằ ướ ư
tinh th n (c a) l p nghi th c, TLS thì đ c l p v i l p ng d ng mà đ t bên trên TLS.ầ ủ ớ ứ ộ ậ ớ ớ ứ ụ ặ
Nh v y, b n có th s d ng TLS v i nh ng d ch v khác v i VoIP. Trong văn c như ậ ạ ể ử ụ ớ ữ ị ụ ớ ả
VoIP, TLS là đi n hình đ c s d ng đ b o m t tín hi u.ể ượ ử ụ ể ả ậ ệ
TLS đ c bao g m hai l p:ượ ồ ớ
Giao th c record. L p m c th p h n mà cung c p s an toàn k t n i và là workhorse.ứ ớ ứ ấ ơ ấ ự ế ố
Nó cung c p s riêng t và s toàn v n.ấ ự ư ự ẹ
Giao th c record s d ng nh ng gi i thu t m t mã cân đ i nh nh ng Tiêu chu n mãứ ử ụ ữ ả ậ ậ ố ư ữ ẩ
hóa d li u và RC4 cho s mã hóa d li u. L p khác mà đ t trên c a l p giao th cữ ệ ự ữ ệ ớ ặ ở ủ ớ ứ
record đàm phán nh ng chìa khóa và gi i thu t s đ c s d ng cho m t k t n i đ cữ ả ậ ẽ ượ ử ụ ộ ế ố ặ
bi t. B n có th s d ng l p giao th c record mà không c n s mã hóa.ệ ạ ể ử ụ ớ ứ ầ ự
Đ toàn v n, m i thông đi p s bao g m m t s ki m tra toàn v n thông đi p b ngể ẹ ỗ ệ ẽ ồ ộ ự ể ẹ ệ ằ
cách s d ng m t keyed MAC. S s d ng nh ng tính toán MAC b o m t cho nh ngử ụ ộ ự ử ụ ữ ả ậ ữ
ch c năng hash nh MD5 và Gi i thu t secure hash (SHA).ứ ư ả ậ
Client layer-l p m c đ cao mà đăt trên l p giao th c record. Nhi u giao th c, nhớ ứ ộ ở ớ ứ ề ứ ư
giao th c b t tay TLS, đ c đ nh nghĩa t i l p client. Giao th c b t tay TLS ch y uứ ắ ượ ị ạ ớ ứ ắ ủ ế
đ c h a h n t i s b t đ u c a phiên h p truy n d li u. Giao th c b t tay TLS cóượ ứ ẹ ạ ự ắ ầ ủ ọ ề ữ ệ ứ ắ
hai ch c năng s c p:ứ ơ ấ
Nó xác nh n s t ng đ ng b ng cách s d ng k thu t m t mã cân đ i hay chìaậ ự ươ ươ ằ ử ụ ỹ ậ ậ ố
khóa- công c ng.ộ
Nó đàm phán m t cách m r ng trên m t c s k t n i, m t gi i thu t mã hóa bí m tộ ở ộ ộ ơ ở ế ố ộ ả ậ ậ
dùng chung và cân đ i. Giao th c b t tay TLS sau đó chuy n xu ng t i l p giao th cố ứ ắ ể ố ớ ớ ứ
record bí m t dùng chung và đàm phán gi i thu t mã hóa. L p giao th c record làm sậ ả ậ ớ ứ ự
mã hóa tr ng t i t i đa th c t .ọ ả ố ự ế
Nh ng giao th c l p client khác bao g m giao th c báo đ ng, s thay đ i vi t mã sữ ứ ớ ồ ứ ộ ự ổ ế ố
giao th c thuy t minh, và giao th c d li u ng d ng.ứ ế ứ ữ ệ ứ ụ
B n có th s d ng TLS trong ki u server-auth hay ki u ch ng th c l n nhau. Trongạ ể ử ụ ể ể ứ ự ẫ
ki u server-auth, client xác nh n lai l ch c a server theo đ ng TLS. Server s d ngể ậ ị ủ ườ ử ụ
m t vài y u t khác ngoài đ xác nh n client. Trong ki u ch ng th c l n nhau, m iộ ế ố ở ể ậ ể ứ ự ẫ ỗ
th c th xác nh n s t ng đ ng c a nó b ng vi c xác minh ch ng ch c a nó.ự ể ậ ự ươ ươ ủ ằ ệ ứ ỉ ủ
Hình 10-1 cho th y lu ng thông đi p gi a m t TLS client và TLS server trong ki uấ ồ ệ ữ ộ ể
ch ng th c l n nhau.ứ ự ẫ
IPsec
Trong khi mà TLS v n hành d a trên TCP, thì IPsec v n hành t i l p IP và cung c p sậ ự ậ ạ ớ ấ ự
b o m t cho gói d li u IP b ng cách s d ng k thu t m t mã chìa khóa- công c ng.ả ậ ữ ệ ằ ử ụ ỹ ậ ậ ộ
IPsec s d ng hai giao th c đ cung c p securityAuthentication Header (AH) vàử ụ ứ ể ấ
Encapsulation Security Payload (ESP).
AH cung c p s ch ng th c và s toàn v n. ESP cung c p s riêng t ngoài s ch ngấ ự ứ ự ự ẹ ấ ự ư ự ứ
th c và s toàn v n b ng vi c mã hóa nh ng ph n c a thông đi p. IPsec có th v nự ự ẹ ằ ệ ữ ầ ủ ệ ể ậ
hành trong hai ki u khác:ể
Ki u v n chuy n:ể ậ ể m t IPsec Header s đ c chèn vào gi a IP header và bên d iộ ẽ ượ ữ ướ
giao th c (TCP/ UDP) header. Trong ki u này ch có payload c a gói d li u IP đ cứ ể ỉ ủ ữ ệ ượ
b o v .ả ệ
Ki u tunnel:ể Toàn b gói IP đ c đóng gói trong gói d li u IP khác. M t IPsecộ ượ ữ ệ ộ
header đ c b sung gi a vòng ngoài và vòng trong IP header. Trong ki u này, toàn bượ ổ ữ ể ộ
gói IP đ c b o v . Ki u này thì đ c s d ng đi n hình khi mà m t thi t b khôngượ ả ệ ể ượ ử ụ ể ộ ế ị
b t bu c gói d li u cung c p s b o m t. Đi u này có th xu t hi n qua m t k t n iắ ộ ữ ệ ấ ự ả ậ ề ể ấ ệ ộ ế ố
m ng riêng o (VPN) ch ng h n.ạ ả ẳ ạ
C hai giao th c IPsec, AH và ESP có th v n hành ho c trong ki u transport ho cả ứ ể ậ ặ ể ặ
trong ki u tunnel. Đ nh d ng c a AH và ESP header là gi ng nhau b t ch p s d ngể ị ạ ủ ố ấ ấ ử ụ
ki u transport hay ki u tunnel.ể ể
Hình 10-2 minh h a s đóng gói c a IPsec trong ki u transport và ki u tunnel ọ ự ủ ể ể
M t giao th c qu n lý khóa riêng bi t g i là s trao đ i khóa Internet (IKE) đ c chộ ứ ả ệ ọ ự ổ ượ ỉ
rõ cho vi c qu n lý nh ng khóa b o m t. IKE s d ng k thu t m t mã khóa- côngệ ả ữ ả ậ ử ụ ỹ ậ ậ
c ng đ đàm phán m t khóa ch ng th c, giao th c b o m t ( AH hay ESp), băm gi iộ ể ộ ứ ự ứ ả ậ ả
thu t, và mã hóa gi i thu t.ậ ả ậ
SRTP
Giao th c v n chuy n th i gian th c an toàn (SRTP), đ c đ nh nghĩa RFC 3711, làứ ậ ể ờ ự ượ ị ở
m t profile c a giao th c v n chuy n th i gian th c (RTP). SRTP cung c p s toànộ ủ ứ ậ ể ờ ự ấ ự
v n, tính xác th c, và s b o v riêng t t i l u thông RTP và t i đi u khi n l uẹ ự ự ả ệ ư ớ ư ớ ề ể ư
thông cho RTP, RTCP (giao th c đi u khi n v n chuy n th i gian th c)ứ ề ể ậ ể ờ ự
SRTP không ch rõ nh ng chìa khóa đ c trao đ i gi a ng i g i và ng i nh n nhỉ ữ ượ ổ ữ ườ ử ườ ậ ư
th nào. Nh ng h th ng qu n lý chìa khóa thì n m bên ngoài ph m vi c a SRTP.ế ữ ệ ố ả ằ ạ ủ
Trong tr ng h p c a VoIP, giao th c báo hi u có th trao đ i nh ng khóa tr c khiườ ợ ủ ứ ệ ể ổ ữ ướ
SRTP th c hi n. N u b n s d ng giao th c báo hi u cho s trao đ i khóa, b n c nự ệ ế ạ ử ụ ứ ệ ự ổ ạ ầ
b o m t nó b ng cách s d ng TLS, IPsec hay nh ng ph ng ti n t ng t , ng cả ậ ằ ử ụ ữ ươ ệ ươ ự ượ
l i, nh ng chìa khóa mà SRTP s d ng có th b ph i bày ra cho hackers.ạ ữ ử ụ ể ị ơ
3.3 B o v các thi t b Voice.ả ệ ế ị
Đ có đ c tính s n sàng c a thi t b VoIP, b n c n ph i b o v nh ng thi t b màể ượ ẵ ủ ế ị ạ ầ ả ả ệ ữ ế ị
l u l ng âm thanh ngu n hay thi t b đ u cu i c a thi t b đó ph i có kh năngư ượ ồ ế ị ầ ố ủ ế ị ả ả
ch ng l i các cu c t n công, nh đ c mô t chi ti t ph n d i đây:ố ạ ộ ấ ư ượ ả ế ở ầ ướ
Vô hi u hóa nh ng c ng và nh ng d ch v không th ng s d ngệ ữ ổ ữ ị ụ ườ ử ụ
Đi n hình là nh ng c ng ho c nh ng d ch v không th ng s d ng mà đ c m trênể ữ ổ ặ ữ ị ụ ườ ử ụ ượ ở
các thi t b tho i, làm cho chúng có th công kích đ c t i s khai thác c a hacker.ế ị ạ ể ượ ớ ự ủ
Luy n t p đ c khuy n cáo là vô hi u hóa nh ng c ng ho c thi t b c a VoIP hay làệ ậ ượ ế ệ ữ ổ ặ ế ị ủ
thi t b h t ng IP (ví d nh là b switch, routers,…) sau đây là m t vài đi u mà b nế ị ạ ầ ụ ư ộ ộ ề ạ
nên làm:
Vô hi u hóa Telnet, TFTP, và nh ng thi t b t ng t n u chúng không đ c s d ng.ệ ữ ế ị ươ ự ế ượ ử ụ
N u b n ch đang s d ng qu n lý m ng đ n gi n (SNMP) trên m t thi t b đ thuế ạ ỉ ử ụ ả ạ ơ ả ộ ế ị ể
nh t d li u, thì nên đ t SNMP ch đ ch đ c(read-only)ặ ữ ệ ặ ở ế ộ ỉ ọ
N u b n đang s d ng s qu n tr trên n n m ng, thì luôn luôn s d ng s truy nh pế ạ ử ụ ự ả ị ề ạ ử ụ ự ậ
an toàn v i nh ng giao th c nh SSL.ớ ữ ứ ư
Vô hi u hóa b t kỳ c ng nào không th ng s d ng trên Layer 2 switches.ệ ấ ổ ườ ử ụ
S d ng h th ng b o v s xâm nh p d a vào Host (HIPS): ử ụ ệ ố ả ệ ự ậ ự
B n có th s d ng HIPS đ b o m t cho nh ng thi t b tho i nh là nh ng nhân tạ ể ử ụ ể ả ậ ữ ế ị ạ ư ữ ố
x lý cu c g i. HIPS là ph n m m đi n hình mà t p h p thông tin v nh ng cáchử ộ ọ ầ ề ể ậ ợ ề ữ
dùng đa d ng r ng rãi c a tài nguyên thi t b nh CPU, login attemp, s l ng ng t,ạ ộ ủ ế ị ư ố ượ ắ
vân vân. Thông tin này đ c so sánh ch ng l i m t t p h p nh ng quy t c đ xác đ nhượ ố ạ ộ ậ ợ ữ ắ ể ị
ph i chăng m t s xâm ph m b o m t đã x y ra. B ng vi c ph thu c vào cách đ nhả ộ ự ạ ả ậ ả ằ ệ ụ ộ ị
hình nh ng tham s , nh ng h th ng này có th l y nh ng ho t đ ng phòng ng a víữ ố ữ ệ ố ể ấ ữ ạ ộ ừ
d nh là k t thúc ng d ng offending, nh p đ - d li u gi i h n t nh ng ng i sụ ư ế ứ ụ ị ộ ữ ệ ớ ạ ừ ữ ườ ử
d ng/ đ a ch IP , vân vân.ụ ị ỉ
3.4 K ho ch và chính sách b o m t.ế ạ ả ậ
