Đồ án Bảo mật trong VoIP

ể giám sát toàn bộ báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhưng không thể biến đổi dữ liệu. Đánh cắp cuộc gọi thành công tương tự như việc nghe trộm trên dây nối, cuộc gọi của hai bên có thể bị đánh cắp, ghi lại, và nghe lại mà hai bên không hề biết. Rõ ràng người tấn công mà có thể đánh chặn và chứa dữ liệu này có thể sử dụng dữ liệu này phục vụ cho mục đích khác của anh ta. 4.1.2.5. Đầu độc DNS Một hồ sơ DNS (Domain Name System) A được sử dụng cho việc chứa các domain hay hostname ánh xạ thành địa chỉ IP. SIP tạo ra việc sử dụng rộng rãi hồ sơ SRV để xác định các dịch vụ SIP như là SIP uỷ quyền và đăng nhập. Các hồ sơ SRV thường bắt đầu với gạch dưới (_sip.tcpserver.udp.domain.com) và chứa thông tin về miêu tả dịch vụ, vận chuyển, host, và thông tin khác. Các hồ sơ SRV cho phép người quản lý sử dụng một vài user cho một domain, để di chuyển dịch vụ từ host đến host, và để bổ nhiệm một vài host như là các server chính cho các dịch vụ. Một người có mục đích tấn công, sẽ cố gắng đầu độc DNS hay tấn công giả mạo, sẽ thay thế giá trị lưu trữ hồ sơ DNS A, SRV với các bản tin mà trỏ đến các server của người tấn công. Điều này có thể được hoàn thành bằng cách bắt đầu dời vùng từ DNS server của người tấn công đến DNS server nạn nhân, bằng cách yêu cầu server DNS nạn nhân phân tích thiết bị mạng trong domain của người tấn công. Server DNS nạn nhân không những chấp nhận yêu cầu hồ sơ mà còn chấp nhận và chứa các hồ sơ mà server tấn công có. Ví dụ như việc thêm vào hồ sơ A cho www.Attacker.com, server DNS nạn nhân có thể nhận được hồ sơ giả là www.yourbank.com. Nạn nhận hướng đến yourbank.com sẽ bị chuyển hướng lại đến attacker.com trang web mà hồ sơ giả được lưu trữ. SIP URL thay thế cho địa chỉ website, và vấn đề tương tự cũng gặp phải trong môi trường VoIP. Các loại đe doạ này dựa vào sự vắng mặt của bảo đảm nhận thực của người tạo ra yêu cầu. Các tấn công trong loại này cố gắng tìm kiếm để phá hoại tính toàn vẹn của dữ liệu đàm thoại. Các thảm hoạ này chỉ ra rằng việc cần thiết phải bảo mật dịch vụ để có khả năng nhận biết thực thể tạo ra yêu cầu và để kiểm tra nội dung của thông điệp và điều khiển các luồng không bị biến đổi khi phát. 4.1.2.6. Đánh lừa ARP (ARP Spoofing): ARP (Address Resolution Protocol) là giao thức cơ sở Ethernet. Có lẽ do nguyên nhân này, thao tác vào các gói ARP là kỹ thuật tấn công thường thấy trong mạng VoIP. Một vài kỹ thuật hay công cụ hiện tại cho phép bất kỳ user nào có thể tìm ra lưu lượng mạng trên mạng bởi vì ARP không có điều khoản cho câu hỏi nhận thực và câu hỏi trả lời. Thêm vào đó hầu hết các hệ thống hoạt động cập nhật bộ nhớ cache của nó khi mà nhận một lời đáp ARP, bất chấp nó được gửi đi từ một yêu cầu thực tế hay không. Hình 4.5. Đánh lừa ARP (đầu độc cache) Trong số những tấn công này, chuyển hướng ARP, đánh lừa ARP, đánh cắp ARP và đầu độc cache ARP là các phương pháp để phá hoại quá trình ARP bình thường. Các dạng này thường xuyên được xen kẽ hoặc xáo trộn nhau. Dành cho mục đích của chương này, có thể xem đầu độc cache ARP và đánh lừa ARP như là cùng một quá trình. Sử dụng các công cụ tuỳ thích có thể như là ettercap, Cain, và dsnif, và các thiết bị IP có hại có thể đánh lừa thiết bị IP thông thường bằng cách gửi một đáp ứng ARP không yêu cầu đến host mục tiêu. Một đáp ứng ARP giả chứa địa chỉ phần cứng của thiết bị bình thường và địa chỉ IP của thiết bị có ý đồ xấu. Trong hình 4.5, Ned là máy tính tấn công. Khi SAM broadcast một câu hỏi ARP cho địa chỉ IP của Sally, NED, người tấn công, đáp ứng câu hỏi để chỉ ra rằng địa chỉ IP (10.1.1.2) liên quan đến địa chỉ MAC của Ned ( BA:DB:AD:BA:DB:AD ). Các gói giả sử gửi từ SAM đến Sally sẽ được thay thế gởi đến Ned. Sam sẽ hiểu lầm rằng địa chỉ MAC của Ned tương ứng với địa chỉ IP của Sally. Thực tế, Ned có thể đầu độc cache ARP của Sam mà không cần đợi một yêu cầu ARP từ hệ thống Windows (9x/NT/2k), các mục ARP tĩnh được viết đè lên khi một trả lời câu hỏi được nhận bất chấp có hay không câu hỏi được phát. Mục này sẽ được giữ cho đến khi chúng hết hạn hoặc mục mới thay thế. Hình 4.6. Tấn công chuyển hướng ARP Chuyển hướng ARP có thể hoạt động hai chiều và thiết bị đánh lừa có thể đưa vào ở giữa của cuộc đàm thoại giữa hai thiết bị IP trên mạng chuyển mạch (xem hình 4.6). Vì tất cả lưu lượng IP giữa người gởi thực và người nhận thực bây giờ đều đi qua thiết bị của người tấn công, thật bình thường để cho người tấn công tìm ra lưu lượng sử dụng bằng công cụ tuỳ thích như là Ethereal hay tcpdump. Bất kỳ thông tin nào không được mã hoá (bao gồm email, username và password, và lưu lưọng web) có thể bị chặn đứng và bị xem. Sự chặn đứng này có khả năng tác động mạnh đến lưu lượng VoIP. Các công cụ miễn phí như là vomit hay rtpsnif, cũng như là các công cụ công cộng như là VoIPCrack, cho phép chặn đứng và mã hoá lưu lượng VoIP. Các nội dụng chiếm được có thể bao gồm thoại, báo hiệu và thông tin tính cước, đa phương tiện, số PIN. Đàm thoại qua nội mạng IP có thể bị chặn và ghi âm lại sử dụng kỹ thuật này. Trong các thủ tục giới hạn lỗi do thao tác ARP, người quản lí phải thực thi các công cụ phần mềm để giám sát việc ánh xạ địa chỉ IP thành địa chỉ MAC. Ở lớp mạng, ánh xạ địa chỉ MAC/IP có thể được mật mã tĩnh trên switch, tuy nhiên nó thường xuyên không được quản lý tốt. Các rủi ro của việc mã hoá lưu lượng VoIP có thể được giới hạn bởi thực thi mật mã. Sử dụng việc mật mã hoá media, các cuộc đàm thoại giữa hai đầu cuối IP phải được sử dụng cùng một dạng mật mã hoá. Trong môi trường bảo mật cao thì các tổ chức cần phải đảm bảo cùng một phương thức mật mã trong bộ codec IP. 4.2. CÁC PHƯƠNG THỨC BẢO MẬT [3] 4.2.1. Cơ sở của cấu trúc bảo mật hiện hành Nghiên cứu quá trình bảo mật cấu trúc VoIP bắt đầu bằng cách xem lại các cấu trúc bảo mật hiện hành. Việc các thành phần VoIP hoạt động với dữ liệu mạng là một cơ hội tốt để xem lại và bổ sung các chính sách bảo mật hiện có, cũng như cấu trúc và quá trình xử lý của chúng. Hình bên dưới mô tả các thành phần cấu trúc bảo mật Hình 4.7. Các thành phần cấu trúc bảo mật Interface giữa dữ liệu và thoại với mạng bên ngoài được mô tả bằng những vòng tròn từ 1 đến 6. Thêm vào đó, dữ liệu và thoại chia sẻ interface với giao diện vật lý và Social. Interface từ data mạng bao gồm VPN (Virtual Private Network), điện thoại và modem, các loại web và dịch vụ mail điện tử, các kết nối từ các công ty con bên ngoài thông qua đường WAN. Các kỹ thuật bảo mật như là Firewall, IDS và ACLs hữu dụng cho những Interface này. Interface từ 7 đến 9 mô tả ứng với admin, user và các tổ chức kết nối mạng Interface 10 đến 12 là những interface giữa phần vật lý với dữ liệu và thoại. Gần đây, một số vấn đề xảy ra trong khu vực này, kết quả là làm mất dữ liệu quan trọng. Cuối cùng interface 13 miêu tả VLAN (Virtual LAN) interface. Việc liệt kê các danh sách này thực ra cũng không cần thiết, nhưng nó cũng cho biết nơi mà việc thực hiện bảo mật đạt hiệu quả nhất. Mục đích của phần này là giúp chúng ta củng cố lại các khái niệm với nhiều thành phần mà bạn được yêu cầu đảm bảo trên mạng VoIP/data. 4.2.1.1. Phương pháp và chính sách bảo mật Từ lợi ích của thông tin liên lạc, yêu cầu đảm bảo hệ thống mạng và bao gồm cả cơ sở kiến trúc thông tin liên lạc. Quá trình bảo mật hội tụ mạng VoIP/Data bắt đầu bằng sự đưa ra, sự bổ sung, sự liên lạc hiệu quả của các chính sách bảo mật. Một chính sách khi được viết ra, thì cũng cần thêm một khoảng thời gian để đưa ra thảo luận. Một chính sách có những ưu điểm thuận lợi được xây dựng dựa trên hệ thống báo cáo của một tổ chức nào đó cần phải đảm bảo các tiêu chuẩn về chất lượng, tính tin cậy, tính toàn diện. Khi đạt được điều này, việc bảo mật thông tin trở nên dễ dàng đối với người quản trị cũng như gánh nặng về kỹ thuật, và thêm nhiều thuận lợi khác nữa. Việc đề ra chính sách là một bước quan trọng tiến đến việc chuẩn hóa các hoạt động tổ chức kinh doanh. Chính sách của tổ chức là phương tiện truyền tải quản lý đảm bảo các vấn đề bảo mật IT, đồng thời cũng làm sáng rõ đối với các bên cộng tác, liên quan hoặc những người có trách nhiệm. Những chính sách đề ra phải thiết lập các chuẩn cho việc bảo vệ tài nguyên thông tin bằng cách đưa ra các chương trình quản lý, những nguyên tắc cơ bản, những định nghĩa, những hướng dẫn cho mọi người bên trong tổ chức. Mục tiêu chính của chính sách bảo mật là ngăn chặn những hành vi có thể dẫn tới nguy hiểm. Bảo mật trong môi trường điện thoại IP bao gồm tất cả các đặc tính an toàn truyền thống cộng thêm các đặc tính an toàn dữ liệu mạng. Thoại IP biến đổi thoại thành dữ liệu, và đặt các gói dữ liệu này vào trong các gói IP. Hoạt động của các hệ thống bên dưới như là IP-PBXs, gateway dễ bị ảnh hưởng bởi những tấn công mà điều đó sẽ làm ảnh hưởng đến những server khác. Sự an toàn về mặt vật lý: Thiết bị IP-PBX phải được khóa trong phòng kín và hạn chế sự truy cập. Loại truy cập này được xác nhận bởi hệ thống xác thực user với một khóa card. Việc truy cập bằng bàn phím là không được phép. Tất cả các phương pháp vào phòng phải cung cấp danh sách user truy nhập vào phòng cùng với tem ngày tháng/thời gian. VLANs: Việc tách thoại và luồng dữ liệu qua VLAN được yêu cầu để ngăn chặn đụng độ broadcast trong VoIP, và bảo vệ dữ liệu mạng khỏi các luồng thoại. Softphones: Softphone trong một môi trường an toàn chứa đựng bất kỳ phần mềm quảng cáo nào đều phải bị cấm. Việc cài đặt softphone cần được kiểm tra trước khi thực thi. Và những phần mềm mà không mã hóa thư người gửi thì không nên sử dụng. Bởi vì softphone là một ứng dụng chạy trên một hệ điều hành, việc bảo mật phụ thuộc nhiều vào tình trạng của hệ điều hành đó, cũng như phụ thuộc vào các chương trình truyền thông khác như email, duyệt web, IM. Mã hóa (Encryption): Tất cả các hệ thống VoIP nên sử dụng một hình thức mã hóa Media Encryption (RTP channel). Các thông tin giữa các thành phần mạng cần phải được mã hóa. Khuyến cáo nên hoàn thành việc mã hóa thoại IP từ đầu cuối đến đầu cuối (end-to-end) để hạn chế mối đe dọa nghe trộm thoại. Đồng thời, tất cả các truy cập đến server cũng như các thành phần mạng phải được mã hóa bằng các giao thức như SSL, SSH. Điều khiển truy cập lớp 2 (layer 2 access control): Giải pháp toàn diện nhất yêu cầu tất cả thiết bị xác thực trên lớp 2 dùng 802.1X trước khi thiết lập cấu hình tại lớp 3 IP. Thêm vào đó, nên xem xét việc cho phép các port an toàn cũng như việc lọc địa chỉ MAC trên switch. Các đặc tính port security trên các thiết bị cung cấp khả năng hạn chế sử dụng port đến một địa chỉ MAC đặc biệt hoặc thiết lập một địa chỉ MAC. Nhìn chung nó khó có thể thực hiện, nhưng với kế hoạch đúng đắn, port security không phải là không làm được. 4.2.2. Các công nghệ bảo mật hiện hành Có rất nhiều phương pháp bảo mật đang được sử dụng, trong phần này của đồ án chỉ tìm hiểu một số phương pháp tiêu biểu nhất. 4.2.2.1. IP Sec IP sec là một giao thức bảo mật đã được chứng tỏ và triển khai rộng rãi, và cung cấp bảo vệ các ứng dụng mà sử dụng UDP hay TCP như là một giao thức vận chuyển, IP sec có thể được sử dụng trong chế độ vận chuyển hay đường hầm để bảo vệ các payload (hàng vận chuyển). IP sec có thể cung cấp sự bí mật, tính toàn vẹn và chứng thực cho các thông điệp báo hiệu và media bằng cách tạo các đường hầm đảm bảo giữa các đầu cuối. Hình 4.8 chỉ cách sử dụng của IP sec trong môi trường SIP. Hình 4.8. SIP với IPsec Trong ví dụ này, Bob cố gắng thiết lập cuộc gọi đến Alice. Để bảo vệ báo hiệu SIP sử dụng IPsec, điện thoại của Bob thiết lập một đường hầm IPsec với proxy tương ứng của nó (domain A). Khi mà đường hầm được thiết lập, các proxy SIP phân tích các thông điệp và chuyển tiếp chúng đến đích thích hợp. Trước khi nó gửi các thông điệp, nó phải thiết lập đường hầm IPsec khác với proxy SIP tương ứng (miền B). Khi đường hầm này được thiết lập, proxy SIP của Alice kiểm tra các thông điệp và chuyển tiếp nó đến điện thoại của Alice. Việc tạo ba đường hầm riêng biệt này có thể mất trung bình khoảng 2.7 giây cho mỗi IP sec liên kết được thiết lập (xấp xỉ 5-6 giây cho toàn bộ đường hầm IPsec. Có thể phải mất 20 giây cho việc thiết lập cuộc gọi (từ Bob đến Alice và ngược lại) khi IP sec end to end được sử dụng. Điều này là khó chấp nhận bởi vì các tổ chức kinh doanh chỉ cho phép thời gian thiết lập cuộc gọi không nên quá 25 ms. Trên một khía cạnh khác, đường dẫn media (RTP) được thiết lập trực tiếp giữa hai đầu cuối, và mất trung bình khoảng 10ms là không đáng kể. Điều này chỉ ra rằng không cần thiết sử dụng IP sec cho các phiên được cấp động, bởi vì thời gian phải mất cho các thông điệp báo hiệu là để đi qua các bước nhảy ở xa là lớn hơn thời gian người dùng có thể chờ cho việc thiết lập cuộc gọi. Nếu các liên kết IPsec đã sẵn sàng được thiết lập, thì hầu như sẽ không có trễ liên kết với các định tuyến thông điệp báo hiệu, ví dụ như VoIP qua các mạng VPN là khả thi. Trong một vài trường hợp các đường hầm IPsec cần được thiết lập lại bởi vì lỗi mạng, phần mềm hay phần cứng hỏng, hoạt động kém, Tổng quát, IPsec có thể thích hợp bảo vệ lưu lượng VoIP giữa các mạng nếu khi mà các đường hầm VoIP được thiết lập trước. Đặc biệt IP sec giữa các site cách biệt vẫn ổn định bởi vì luôn có lưu lượng đi qua và các đường hầm không mất hiệu lực bởi khả năng hoạt động kém. Điều này là không đúng cho điện thoại VoIP mà có thể sử dụng IP sec để bảo vệ các thông điệp báo hiệu và media. Để giải quyết vấn đề này, các thực thi gửi các thông điệp đăng nhập thường xuyên đến các registrar local (đăng ký cục bộ) để duy trì đường hầm IP sec. Có 3 phương pháp dùng trong IPsec, nhưng phương pháp được ứng dụng nhất là PKI. Cấu trúc khóa dùng chung PKI (Public Key Infrastructure) PKI là bộ khung của các chính sách, dịch vụ và phần mềm mã hóa, đáp ứng nhu cầu bảo mật của người sử dụng khi gửi những thông tin quan trọng qua Internet hay các mạng khác. Ở hình dưới, khái niệm khóa bí mật được trình bày, Alice và Bob là 2 bên của phiên truyền thông. Trong trường hợp này cả hai đều có cùng một khóa bí mật. Alice mã hóa văn bản muốn gửi đến Bod bằng khóa bí mật của mình. Khi Bod nhận được văn bản đã mã hóa và giải mã nó với cùng một khóa tương tự. Phương pháp này còn được gọi là Pre-shared key hoặc phương pháp mã hóa đối xứng. Hình 4.9. Phương pháp mã hóa khóa đối xứng Ở phương pháp này tính bảo mật chưa cao do hai người cùng sử dụng một key. Chìa khóa mật mã dùng chung (Public Key Criptography): đảm bảo độ tin cậy đối với các thông tin hoặc các thông điệp bằng cách sử dụng những thuật toán. Hay nói rõ hơn là nó sẽ dùng một chìa khóa để mã hóa dữ liệu và một chìa khóa để giải mã chúng. Trong dịch vụ khóa dùng chung, người sử dụng nhận được phần mềm mã hóa đặc biệt và một cặp chìa khóa, trong đó một khóa là khóa dùng chung (Public key), và một khóa dành riêng (Private key) người sử dụng phải giữ bí mật. Hai chìa khóa có liên hệ mật thiết với nhau sao cho khi khi mã hóa dữ liệu với khóa dùng chung thì ta có thể giải mã lại được bằng khóa dành riêng. Một người sử dụng, ví dụ Alice mã hóa một thông điệp gửi đi bằng chìa khóa công cộng của người nhận là Bob. Khi nhận được thông điệp này Bob sẽ giải mã nó bằng chìa khóa dành riêng cho mình. Với cách đó, vấn đề bảo mật sẽ được nâng cao do mỗi người tự quản lý khóa dành riêng cho mình. Hình 4.10. Phương pháp khóa bất đối xứng 4.2.2.2. Chữ ký số Chữ ký số phục vụ mục đích tương tự như một chữ ký trong thế giới thực để xác nhận một thông điệp hay một mẫu dữ liệu nào đó. Việc sử dụng chữ ký số mang lại một số lợi điểm sau: Khả năng nhận thực: Các hệ thống mật mã hóa công khai cho phép mật mã hóa văn bản với khóa bí mật mà chỉ có người chủ của khóa biết. Để sử dụng chữ ký số thì văn bản không cần phải được mã hóa mà chỉ cần mã hóa hàm băm nhỏ của văn bản đó (thường có độ dài cố định và ngắn hơn văn bản). Khi cần kiểm tra, bên nhận giải mã (với khóa công khai) để lấy lại hàm băm và kiểm tra với hàm băm của văn bản nhận được. Nếu 2 giá trị này khớp nhau thì bên nhận có thể tin tưởng rằng văn bản xuất phát từ người sở hữu khóa bí mật. Tính toàn vẹn Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lập tức bị phát hiện. Quá trình mã hóa sẽ ẩn nội dung của gói tin đối với bên thứ 3 nhưng không ngăn cản được việc thay đổi nội dung của nó. Tính không thể phủ nhận Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình gửi. Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký số với văn bản. Khi có tranh chấp, bên nhận sẽ dùng chữ ký này như một chứng cứ để bên thứ ba giải quyết. Tuy nhiên, khóa bí mật vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể đạt được hoàn toàn. Thực hiện chữ ký số khóa công khai Chữ ký số khóa công khai dựa trên nền tảng mật mã khóa công khai. Để có thể trao đổi thông tin trong môi trường này, mỗi người sử dụng có một cặp khóa: một công khai và một bí mật. Khóa công khai được công bố rộng rãi còn khóa bí mật phải được giữ kín và không thể tìm được khóa bí mật nếu chỉ biết khóa công khai. Sơ đồ tạo và kiểm tra chữ ký số Toàn bộ quá trình gồm 3 thuật toán: Thuật toán tạo khóa. Thuật toán tạo chữ ký số. Thuật toán kiểm tra chữ ký số. Xét ví dụ sau: Bob muốn gửi thông tin cho Alice và muốn Alice biết thông tin đó thực sự do chính Bob gửi. Bob gửi cho Alice bản tin kèm với chữ ký số. Chữ ký này được tạo ra với khóa bí mật của Bob. Khi nhận được bản tin, Alice kiểm tra sự thống nhất giữa bản tin và chữ ký bằng thuật toán kiểm tra sử dụng khóa công cộng của Bob. Bản chất của thuật toán tạo chữ ký đảm bảo nếu chỉ cho trước bản tin, rất khó (gần như không thể) tạo ra được chữ ký của Bob nếu không biết khóa bí mật của Bob. Nếu phép thử cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin thực sự do Bob gửi. Thông thường, Bob không mật mã hóa toàn bộ bản tin với khóa bí mật mà chỉ thực hiện với giá trị băm của bản tin đó. Điều này khiến việc ký trở nên đơn giản hơn và chữ ký ngắn hơn. Tuy nhiên nó cũng làm nảy sinh vấn đề khi 2 bản tin khác nhau lại cho ra cùng một giá trị băm. Đây là điều có thể xảy ra mặc dù xác suất rất thấp. 4.2.2.3. Hệ thống phát hiện xâm nhập mạng (Network Intrusion Detection System) Sử sụng hệ thống phát hiện xâm nhập mạng (NIDS) được thiết kế để cảnh báo cho nhà quản trị khi có những luồng traffic độc hại hay không hợp pháp được phát hiện. Luồng độc hai có thể là virus worm hay các đoạn mã xấu, còn những luồng traffic không hợp pháp khi nó sai lệch với chính sách bảo mật đã đặt ra. NIDS có thể dò tìm trong mạng rộng lớn chỉ với vài nút hoặc vài thiết bị và áp đặt lên trên mạng đó. NIDS được tìm thấy trong hầu hết các thiết bị môi trường mạng hiện nay. Trong môi trường VoIP, NIDS cung cấp thêm một lớp phòng thủ. NIDS phát hiện các hành động đáng ngờ bằng ba cách. Thứ nhất, cộng đồng bảo mật chứa một cơ sở dữ liệu vô cùng lớn về cách tấn công chữ ký riêng biệt. Những chữ ký này được lập trình trên bộ cảm biến NIDS, mà được cập nhật một cách thường xuyên căn bản. Thứ hai, bộ cảm biến NIDS chứa đựng một bộ tiền xử lý mà có thể theo dõi các hành vi bất thường trên mạng. Mặc dù nó không như kiểu tấn công chữ ký, những bất thường này cũng ảnh hưởng lớn đến sự phát hiện của port scan, sự thăm dò phân phối mạng, hình thức tràn bộ đệm mới, tấn công DoS. Thứ ba, tất cả các trang thiết bị NIDS có thể ứng dụng và phát hiện sự sai lệch với các chính sách bảo mật. Sự sai lệch chính sách này bao gồm sự dò tìm dịch vụ mạng không hợp pháp, những ứng dụng chạy trên những port khác thường, như hoạt động của virus Trojan. Đa số các NIDS cấu hình client-to-server. Nhiều thiết bị cảm biến thông thường sẽ báo cáo đến một hay vài bộ điều khiển quản lý. Bộ cảm biến có thể chỉ định các thiết bị, có thể chạy ứng dụng trên host đang chạy ứng dụng khác, hoặc có thể chạy độc lập trong hệ thống riêng ảo. Hình 4.11. Minh họa nguyên lý cơ bản được dùng trong trạm quản lý NIDS Yêu cầu phần cứng của bộ điều khiển quản lý phải chính xác hơn các bộ cảm biến, bởi vì bộ điều khiển quản lý (Manage Control) chịu trách nhiệm về tương quan dữ liệu từ nhiều cảm biến như là lưu trữ, báo động và trực quan hóa. Thường Manage Control bao gồm một bộ cảm biến tổng hợp. NIDS được đặt ở những nơi có thể theo dõi hiệu quả nhất lưu lượng mạng. Điều này không có nghĩa là phải đặt NIDS tại nơi có thể theo dõi hết tất cả các lưu lượng mạng. Bên dưới là ví dụ về mô hình mạng. Mạng này gồm một kết nối Internet, một DMZ (Delimitarized zone- vùng ranh giới) và 3 VLAN nội bộ, cấu hình cho thoại user, workstation,và server. Hình 4.12. Định vị NIDS Trong hình trên, một NIDS được đặt bên ngoài bên cạnh firewall để theo dõi các lưu lượng Internet vào ra. NIDS còn được chỉ định đặt tại switch vùng Voice VLAN và Server VLAN. Ngoài ra còn có một NIDS bổ sung đặt tại vùng DMZ. 4.2.2.4. Hệ thống phát hiện xâm nhập Host (Host-based Intrusion Detection System) Hệ thống phát hiện xâm nhập Host (HIDS) là một ứng dụng hoạt động dựa trên thông tin được tập hợp từ những máy tính riêng lẻ. Điểm lợi thế này cho phép HIDS phân tích các hoạt động trên các host để theo dõi với mức độ chi tiết cao hơn. Nó có thể xác định quá trình hoặc user nào liên quan đến các hoạt động phá hoại. Hơn nữa, không giống như NIDS, HIDS có thể phát hiện ra tấn công trên một máy bởi vì chúng có thể truy cập trực tiếp hoặc theo dõi các file dữ liệu và quá trình hệ thống. Cách khác, HIDS có thể dùng những nguồn thông tin theo hai kiểu, kiểm soát vận hành hệ thống và nhật ký hệ thống. Việc kiểm soát hệ điều hành hình thành ở mức trong cùng của hệ điều hành (nhân), bởi vậy nhật ký hệ thống bảo vệ tốt hơn và chi tiết hơn. Hầu hết các phần mềm HIDS, thiết lập một file “kiểm kê số” và những thuộc tính của chúng. Và việc sử dụng những kiểm kê này như một đường mốc cho việc theo dõi sự thay đổi của hệ thống. “Kiểm kê” thông thường là một file chứa đựng các file kiểm tra cá nhân và các thư mục riêng được mã hóa bằng thuật toán MD5. Sự giám sát HIDS đặc biệt quan trọng đối với phương tiện truyền thông VoIP, proxy, registration server và nên xem xét các phần khởi đầu của việc thiết lập gói. Thật vậy, những nhà cung cấp như Cisco thậm chí đang làm cài đặt mặc định cho phần này vào các thiết bị của họ. Tuy nhiên HIDS không thể ngăn chặn tấn công DoS cũng như không thể phát hiện các cuộc dò quét mạng và HIDS cần tài nguyên trên host để hoạt động. 4.2.2.5. VLAN Việc tách thoại và các luồng dữ liệu đi qua VLAN được khuyến cáo để ngăn chặn dữ liệu mạng ảnh hưởng đến các luồng thoại và ngược lại Ở hình bên dưới, những đường chấm chấm đại diện cho VLAN 2, những đường nét đậm đại diện cho VLAN 1. Server và các trạm làm việc được cô lập dựa trên sự định vị vật lý của họ. Tuy nhiên ta có thể chia VLAN theo cách sau: Hình trên, đường dấu chấm thể hiện cho VLAN 2, đường nét đậm thể hiện cho VLAN 1, đường nét chấm gạch thể hiện cho VLAN 3. VLAN cung cấp một sự an toàn nào đó và nó tạo ra các miền broadcast nhỏ bởi việc phân chia các mạng con. Hậu quả của tấn công DoS có thể được giảm nhẹ bởi việc phân chia hợp lý thoại và dữ liệu chia cắt trong những VLAN riêng biệt. Sự tách riêng lưu lượng mạng yêu cầu các luồng IP phải chuyển qua thiết bị lớp 3, do đó sẽ được kiểm tra tại các mức ACL (Access List). Việc bảo mật softphone trong môi trường VoIP là một thách thức lớn, đặc biệt nếu VLAN được sử dụng như một điều khiển an toàn chính. Nhiều softphone chứa đựng phần mềm quảng cáo làm ảnh hưởng đến thông tin cá nhân người sử dụng. HIDS hay Firewall được sử dụng để hạn chế trong tình huống này bởi vì softphone yêu cầu Firewall mở một số port UDP. Nguyên lý quan trọng nhất trong việc đảm bảo các softphone là nâng cấp hệ điều hành. 4.2.2.6. Firewall Firewall (tường lửa) là một bộ phận không thể thiếu trong bất kỳ cấu trúc bảo mật mạng nào. Firewall phân ranh giới bên trong và bên ngoài, từ mạng tin cậy đến không tin cậy. Và chúng dùng để chia dữ liệu VoIP trong mạng nội bộ. Hai vấn đề quan trọng ảnh hưởng đến thực hiện tường lửa liên quan đến VoIP. Thứ nhất, ranh giới giữa bên trong và bên ngoài, hoặc những mạng tin cậy và những mạng không tin cậy dần dần trở nên khó phân biệt hơn. Thứ hai là đa số tường lửa không đáp ứng đầy đủ những gói và những phiên VoIP, đặc biệt nếu phiên hoặc gói đó được mã hóa. Một tường lửa thực thi kiểm tra các tiêu chuẩn được cấu hình và chỉ cho phép lưu lượng được thừa nhận đi qua. Ví dụ nó có thể kiểm tra tính hợp lệ của địa chỉ IP, header (lớp đầu) của các gói cũng như định dạng của các giao thức. Một vài dịch vụ được thừa nhận đến các well-known port (cổng cho ứng dụng) và sử dụng chúng, được biết như là các giao thức. Một ví dụ là giao thức HTTP, các loại server HTTP điển hình sử dụng port 80 cho hoạt động của chúng. Một khách hàng yêu cầu kết nối đến dịch vụ này phải có những nghi thức đi theo để việc kết nối được chấp nhận. Với tầm quan trọng của tường lửa có thể xác định rõ một mức độ nào đó về những gì thông tin yêu cầu kết nối phải chứa. Những điều kiện này nhằm đảm bảo tính chính xác của nghi thức. Tuy nhiên nó rất tốn thời gian và giảm tốc độ kết nối. Lưu lượng được định tuyến qua tường lửa có thể được ghi vào để phân tích và kiểm tra các khả năng bị xâm phạm hay bị tấn công. Chỉ có các gói dữ liệu khi đi qua tường lửa thì mới bị kiểm tra. Network Firewall: Network Firewall có nhiều khuynh hướng và trạng thái khác nhau. Chúng hạn chế những gói tin từ đơn giản đến phức tạp bao gồm những trạng thái và đặc tính kiểm tra sâu hơn. Ví dụ bạn có thể cấu hình ACLs (Access List) đơn giản trên router để ngăn chặn kẻ tấn công truy cập vào hệ thống. Hình bên dưới chỉ cho ta cách cấu hình router ngăn chặn truy cập không hợp pháp host và user trên mạng Internet. Router có thể cấu hình từ chối tất cả các lưu lượng đi vào từ các host ngoài Internet. Chẳng hạn, một kẻ tấn công cố gắng scan mạng được bảo vệ từ Internet, thì router sẽ đánh rớt tất cả các lưu lượng. Mục đích của việc lọc gói là điều khiển truy cập mạng bằng cách định nghĩa lưu lượng mạng có thể đi qua chúng. Việc lọc gói sẽ kiểm tra lưu lượng đến tại lớp giao vận của mô hình OSI. Ví dụ, việc lọc gói có thể phân tích xem các gói là TCP hay UDP và xem xét chúng có chống lại các quy luật được xác định trước hay không, quá trình này được gọi là ACLs (Access List). Chúng kiểm tra các yếu tố sau: Địa chỉ nguồn Địa chỉ đích Port nguồn Port đích Giao thức Network Address Translation (NAT): Firewall có thể cung cấp các dịch vụ NAT. Chúng có thể dịch địa chỉ IP private sang địa chỉ Public. Địa chỉ private là địa chỉ dùng trong mạng nội bộ, không có ý nghĩa ngoài mạng internet. Địa chỉ public là địa chỉ đơn nhất trên mạng internet và không bị trùng. Hình 4.13 chỉ cách dịch địa chỉ của host trong mạng nội bộ (192.168.1.100) thành địa chỉ IP public (209.165.200.225) khi host này cố gắng truy cập đến trang Cisco.com Hình 4.13. Kỹ thuật NAT Kỹ thuật NAT cũng có nhiều loại khác nhau. Các phương pháp chung nhất là PAT (Port Address Translation) và NAT tĩnh. PAT cho phép nhiều thiết bị trong một phân đoạn mạng có thể biên dịch sang một địa chỉ IP bằng cách kiểm tra thông tin lớp 4 (lớp transport) của gói đó. Hình 4.14 minh họa cách 3 máy khác nhau trong tổ chức mạng biên dịch sang một địa chỉ IP public. Hình 4.14. Kỹ thuật PAT Việc kiểm tra trạng thái kết nối của firewall thông qua giao diện của nó bằng các khảo sát không chỉ nội dung header của gói tin mà cả các lớp ứng dụng thông tin. Điều này được thực hiện để tìm ra sự giao dịch hơn là tìm ra địa chỉ nguồn, đích và những port. Điển hình, firewall theo dõi trạng thái kết nối và duy trì một bảng thông tin ở lớp network và transport. Những Firewall phức tạp thực hiện sự phân tích lớp trên được gọi là deep-packet inspection (kiểm tra chuyên sâu gói tin). Deep Packet Inspection: Một vài ứng dụng yêu cầu việc dùng các gói tin đặc biệt khi chúng đi qua Firewall. Điều này bao gồm các giao thức và các ứng dụng nhúng thông tin địa chỉ IP vào trường dữ liệu hoặc mở kênh động thứ hai gán cho port. Những Firewall phức tạp và những ứng dụng bảo mật như Cisco ASA, Cisco PIX Firewall và Cisco IOS Firewall kiểm tra những ứng dụng nhúng các thông tin địa chỉ cho phép những ứng dụng và các giao thức đề cập trước được hoạt động. Việc kiểm tra ứng dụng, những ứng dụng bảo mật có thể kiểm tra tại các port động và cho phép trao đổi dữ liệu trên port này trong suốt thời gian xảy ra kết nối. Với Deep Packet Inspection, Firewall có thể kiểm tra các trường đặc biệt ở lớp 7 application để bảo vệ chống lại các mối đe dọa bảo mật. VoIP-Aware Firewall Với việc hiểu cơ bản về NAT, mã hóa và kỹ thuật Firewall, thì có thể đánh giá được những thách thức cho việc giữ an toàn lưu lượng mạng VoIP mà không tách các luồng thoại ra khỏi Firewall hay ngăn cản chúng. Vấn đề cơ bản ở đây là: người quản trị Firewall miễn cưỡng mở các port cao (>1024) cho phép các kết nối không kiểm soát được giữa các host bên ngoài và bên trong, và Firewall ghi lại thông tin cần thiết cho lưu lượng báo hiệu VoIP thành công. Trong trường hợp đầu tiên, lưu lượng cuộc gọi, lưu lượng truyền thông và điều khiển truyền thông đi qua các port cao chuyên quyền. Trong trường hợp thứ hai, quy tắc chung trong phần này của bộ giao thức H.323 là thông tin địa chỉ IP và số port được trao đổi trong chuỗi dữ liệu của trường mào đầu kết nối. Dĩ nhiên, SIP và H.323 là hai giao thức riêng biệt, chúng cũng có những yêu cầu khác nhau đối với Firewall. H.323 Firewall Thoại cơ bản cài đặt H.323 yêu cầu các port được chỉ ra trong bảng Bảng 4.16. Thiết lập cuộc gọi cơ bản Một ví dụ được đưa ra trong hình 4.17, ở đây giả thiết có 1 gatekeeper và 2 endpoint Hình 4.17. Thông tin port H.323 Vì H.323 tin cậy trên các port động, việc lọc gói trên Firewall không phải là một giải pháp đặc biệt thuận lợi, trong khi các port lớn hơn 1024 phải được mở cho cuộc gọi diễn ra. Vì vậy, giải pháp Firewall hỗ trợ H.323 là phải tháo dỡ và kiểm tra các gói báo hiệu (H.245, H.225.0) và trạng thái mở các port Firewall cho cả gói điều khiển H.245 và các gói phương tiện truyền thông hai chiều. Hiện nay, các sản phẩm Firewall như Check point, Cisco PIX,... đều có cơ chế hỗ trợ H.323 với khi sử dụng NAT, không NAT mà vẫn đảm bảo tính bảo mật. SIP Firewall Không giống như H.323, cú pháp SIP dựa vào H.323. ASCII được phân tích là kinh tế hơn so với mã hóa đóng gói PDU. Một phiên SIP có thể bị bẻ gãy bởi ba phần tử: định vị người gọi, thiết lập phiên, và vận chuyển truyền thông. Trong ngữ cảnh đi qua Firewall và NAT, vấn đề sơ cấp của SIP liên quan đến xác định địa chỉ IP thật của người dùng cuối mà thường được định vị trong vùng địa chỉ IP private. Không giống như H.323, SIP không nối tiếp các địa chỉ IP và số port bên trong các gói điều khiển. Tuy nhiên như trong trường hợp H.323, SIP khi sử dụng như một ứng dụng VoIP, mở hai chiều phương tiện truyền thông UDP ngẫu nhiên ở các port cao. Các port cao của kênh truyền thông RTP đàm phán trong suốt quá trình thiết lập phiên, duy trì thời gian gọi, và sẽ đóng ngay lập tức sau điểm cuối cùng cuộc gọi. 4.2.2.7. Logging Việc ghi nhận được tạo ra bởi các server, gateway, firewall, proxy, router và switch thường chứa đựng những thông tin liên quan đến an toàn. Nhưng những người quản trị hệ thống bình thường vô tình xóa đi ghi nhận với việc cấu hình và bảo trì lặt vặt khác. Chìa khóa thành công trong việc phân tích những ghi nhận là chấp nhận những công cụ thích hợp cho việc tự động phân tích, báo cáo lại kết quả ghi nhận dữ liệu. Syslog Giao thức syslog cung cấp một sự chuyên chở cho phép các máy gửi những sự kiện thông điệp thông báo băng qua mạng IP đến những người thu gom những sự kiện thông điệp này, được biết như là syslog server. Syslog là một giao thức lẻ được thực hiện trên nhiều nền tảng trước khi giao thức này được thông qua bởi tổ chức IEEE. Những thông điệp syslog sử dụng UDP/514 cho việc chuyên chở, tăng khả năng mất gói, và không được chú ý, điều này tạo sự dễ dàng cho bất cứ ai trong việc làm giả các gói tin, cũng như việc chèn thêm việc ghi nhận sự kiện hay làm tràn ngập server. Vào thời điểm này, syslog không quy định sự mã hóa, vì thế các thông điệp được gửi đến có thể bị lộ với bất kỳ ai trên đường dây. Gần đây một phác thảo được đề xướng mô tả một cơ chế thêm vào nguồn gốc sự chứng thực, tính toàn vẹn thông điệp, sự phát lại, sự chống cự, sự thông báo, sự sắp xếp lại thứ tự và phát hiện ra những syslog bị mất, nhưng điều này thông thường không được thực hiện. Một vài sự thay thế syslog phổ biến có thể dùng TCP cho việc phân phát tin cậy và thêm một số kiểm tra hoặc chữ ký mã hóa cho mỗi sự kiện ghi nhận. Thông điệp syslog có thể được gửi đến ghi nhận cục bộ, điều khiển cục bộ, server syslog từ xa, hay một syslog chuyển tiếp từ xa. Syslog sử dụng tính nghiêm khắc (hay độ ưu tiên) để phân loại những ghi nhận thông điệp quan trọng. Các mức độ ưu tiên bao gồm: 0: Mức khẩn cấp: Hệ thống không dùng được. 1: Báo động: Hành động phải được nắm bắt ngay. 2: Phê bình: Những điều kiện phê bình. 3: Lỗi: Những điều kiện lỗi. 4: Cảnh báo: Những điều kiện cảnh báo. 5: Chú ý: Những điều kiện bình thường mà quan trọng. 6: Thông tin: Những thông báo thông tin. 7: Gỡ lỗi: Gỡ lỗi-những thông báo mức. 4.2.2.8. Các phương pháp xác thực phụ Bảo mật thông tin được định nghĩa ở một số lớp. Cơ sở cho ý tưởng này là tất cả thời gian và địa điểm hay trở ngại vật lý được tạo ra nhằm mục đích ngăn chặn tấn công. 802.1X/EAP và PKI là những lớp rộng lớn, phức tạp mà khi thực hiện và bảo trì cần phải chính xác, kết quả là việc truy cập sẽ an toàn hơn. Có một số biện pháp chi phí không cao, không tốn nhiều sức mà người quản trị có thể đưa ra để hạn chế việc truy nhập mạng đến những thiết bị cho phép. Công cụ MAC (MAC Tool): quy tắc bảo mật cơ bản là các điểm cuối không thể được tin cậy khi nó chưa được kiểm chứng xác thực. Với VoIP, một phương pháp cho chứng thực cho các điện thoại IP là phần cứng hay địa chỉ MAC. MAC là một địa chỉ gồm 6 byte được biểu diễn bằng số HEX. Ba byte đầu đại diện ID nhà cung cấp, ba byte còn lại hình thành một địa chỉ đơn nhất cho bất kỳ mạng nào được nối tới thiết bị. ARP spoofing: Nguyên lý của nó đã được trình bày ở trên. Để hạn chế việc giả mạo ARP này thì những chỉ định về điều khiển an toàn về mặt vật lý và một password tốt là điều kiện tiên quyết cần phải được thực hiện. Port Security: Khi chuẩn 802.1X ra đời, thì không có thiết bị nào hỗ trợ cho nó. Thiết bị không hỗ trợ 802.1X có thể được điều khiển bởi xác thực địa chỉ MAC. Các thiết bị không hỗ trợ 802.1X như máy in và một số điện thoại IP có thể điều tiết bằng cách dùng port security. Và các thiết bị này cần phải được đặt vào trong VLAN. Chương 5 CẤU HÌNH VOIP CƠ BẢN VÀ TRIỂN KHAI TRÊN MẠNG CỤC BỘ ỨNG DỤNG CHO DOANH NGHIỆP NHỎ 5.1. CẤU HÌNH VOIP CƠ BẢN MÔ HÌNH PHÒNG LAP [5] Trong mô hình này sử 2 router 2600 trên phòng Lap (Học viện mạng Bách Khoa Hà Nội), đóng vai trò là 2 Gateway hỗ trợ VoIP. Thiết bị đầu cuối sử dụng 2 máy tính có cài đặt phần mềm Cisco IP Communication. Để sử dụng phần mềm Cisco IP Communication hoạt động như một ephone phải cài đặt gói quản lý CME (Call manger Express) cho các router. 5.1.1. Cấu hình giao thức mặc định của Gateway 5.1.1.1. Một số câu lệnh chính trong bài lab Cấu hình định tuyến cho Gateway Có nhiều giao thức định tuyến khác nhau có thể được chọn để định đường đi cho gói tin. Trong bài lab này sẽ cấu hình định tuyến với giao thức RIP. Router(config)#router rip. Chọn giao thức định tuyến RIP. Router(config-router)#network net-ip-address. Khai báo các mạng mà router kết nối trực tiếp để thông qua các giao diện đó RIP sẽ học được các giao diện khác không kết nối trực tiếp với router. Trong một router có thể có nhiều kết nối trực tiếp, vì vậy khi dùng giao thức RIP thì phải khai báo đầy đủ các kết nối trực tiếp này. Router(config-router)#exit. Thoát khỏi mode cấu hình định tuyến. Cấu hình quản lý ephone Để cấu hình quản lý một cisco CME phone, có thể cấu hình rất nhiều tham số đầy đủ để một phone hoạt động và hiển thị đầy đủ các hiện thị giờ, bí danh, tên, hay các kiểu chuông... Dưới đây là một số câu lệnh cơ bản để hỗ trợ CME phone đăng ký và quản lý CME phone. Router(config)#telephony-service. Lệnh này chọn chế độ cấu hình dịch vụ là telephone. Router(config-telephony)#max-ephones digit. Câu lệnh đặt số IP phone tối đa được hỗ trợ bởi Gateway. Router(config-telephony)#max-dn digit. Router(config-telephony)#ip source-address ipaddress. Lệnh này chỉ ra địa chỉ IP cổng của router mà tại đó ephone sẽ đăng ký. Router(config-telephony)#create cnf-files. Lệnh cho phép cấu hình file XML. Router(config-telephony)#secondary-dialtone 9. Lệnh này để tạo một âm khác khi ấn số 9 gọi ra ngoài mạng. Router(config-telephony)#timeouts interdigit digit. Lệnh thiết đặt thời gian timeout giữa các lần nhấn số liên tiếp. Đợn vị thời gian tính theo giây. Router(config-telephony)#timeouts ringing digit. Lệnh đặt thời gian ring chuông cho phép. Nếu quá thời gian trên mà bên kia không nhấc máy thì cuộc gọi chấm dứt. Router(config-telephony)#date-format dd-mm-yy. Lệnh đặt kiểu hiển thị thời gian trên ephone. Router(config-telephony)#exit. Kết thúc mode telephone service. Router(config)#ephone-dn 1 dual-line. Tạo một đường điện thoại với 2 dây. Router(config-ephone-dn)#number ephone-number. Thiết lập số điện thoại cho ephone. Có chiều dài từ 3 đến 5 số. Router(config-ephone-dn)#name name. Lệnh này cho phép đặt tên thay cho số điện thoại. Router(config)#ephone 1. Cấu hình cổng giao diện vật lý cho ephone. Router(config-ephone)#mac-address MAC. Khai báo địa chỉ mác của máy tính cài đặt ephone. Router(config-ephone)#button 1:1. Router(config-ephone)#exit. Kết thúc mode. Cấu hình Dial-peer cho Cisco CME Phones Router(config)#voice service voip. Lệnh cấu hình và chỉ rõ loại hình dịch vụ voice là voip. Router(config-voi-serv)#allow-connections h323 to sip. Lệnh cho phép một đầu cuối H.323 có thể kết nối được với một đầu cuối SIP trong mô hình IP – to IP Gateway. Router(config-voi-serv)#exit. Router(config)#dial-peer voice tag Peer type. Lệnh định nghĩa một dial - peer cụ thể. Giá trị tag thay đổi từ 1 đến 2147483647. Peer type bao gồm có POST, VoIP, VoFR, VoATM, đây là những kiểu kết nối. Kiểu POST kết nối đến (PSTN, PBX, telephone, and fax) hay là các WAN riêng sử dụng VoIP, VoFR, VoATM. Trong bài lab này kiểu được dùng là VoIP. Router(config-dial-peer)#destination-pattern string. Lệnh xác định đích cho cuộc gọi dial-peer. Router(config-dial-peer)#session target ipv4:ipaddress. Lệnh chỉ ra địa chỉ của cổng router mà tại đó cuộc gọi được nhận. Router(config-dial-peer)#dtmf-relay type-channel. Lệnh này cho phép chọn phương thức mạng thông tin báo hiệu dtmf. Router cisco hỗ trợ các phương thức mang dtmf như hình dưới đây. Hình 5.1. Các phương thức mạng thông tin dtmf Router(config-dial-peer)#codec g711ulaw. Lệnh chỉ ra chuẩn mã hóa voice. Trong router cisco hỗ rất nhiều chuẩn mã hóa: Hình 5.2. Các chuẩn mã hóa router cisco hỗ trợ Router(config-dial-peer)#no vad. Không cho phép tự động dò tìm voice trong các cuộc gọi dial-peer. Router(config-dial-peer)#end. Cấu hình xong và thoát khỏi mode cấu hình. 5.1.1.2. Thực hiện và kết quả Nối 2 router 2600 bởi cáp serial, 2 PC nối với router bằng cáp chéo cross-over và cài đặt phần mềm Cisco Communicator trên các PC để chúng là các soft-phone. Các cổng console của routerA và routerB được nối với một router access 2500 giúp ta có thể config router thông qua telnet thay vì cổng Com. Hình 5.3. RouterA, router B và router Access trong phòng Lap Việc thực hiện cấu hình địa chỉ IP các cổng trên router và PC khá đơn giản nên em xin đi vào cấu hình các phần chính. Router A RA(config)#router rip RA(config-router)#network 172.16.2.0 RA(config-router)#network 172.16.3.0 RA(config-router)#exit RA(config)#telephony-service RA(config-telephony)#max-ephones 3 RA(config-telephony)#max-dn 3 RA(config-telephony)#ip source-address 172.16.3.1 RA(config-telephony)#create cnf-files RA(config-telephony)#secondary-dialtone 9 RA(config-telephony)#timeouts interdigit 20 RA(config-telephony)#timeouts ringing 100 RA(config-telephony)#time-format 24 RA(config-telephony)#date-format dd-mm-yy RA(config-telephony)#exit RA(config)#ephone-dn 1 dual-line RA(config-ephone-dn)#number 101 RA(config-ephone-dn)#name dotuan101 RA(config)#ephone 1 RA(config-ephone)#mac-address 0021.977B.AB93 RA(config-ephone)#button 1:1 RA(config-ephone)#exit RA(config)#voice service voip RA(config-voi-serv)#allow-connections h323 to sip RA(config-voi-serv)#exit RA(config)#dial-peer voice 1 voip RA(config-dial-peer)#destination-pattern 102 RA(config-dial-peer)#session target ipv4:172.16.2.2 RA(config-dial-peer)#dtmf-relay cisco-rtp RA(config-dial-peer)#codec g711ulaw Router(config-dial-peer)#no vad Router(config-dial-peer)#end Router B Thực hiện tương tự router A nhưng với số phone là 102, name: dotuan102, MAC 0021.977A.609E Dưới đây là kết quả cấu hình. Bằng cách sử dụng các lệnh show running-config để thấy được hoàn thành cấu hình router. RA#show running-config hostname RA voice service voip allow-connections h323 to sip interface FastEthernet0/0 ip address 172.16.3.1 255.255.255.0 duplex auto speed auto interface Serial0/1 ip address 172.16.2.1 255.255.255.0 clockrate 64000 dial-peer voice 1 voip destination-pattern 102 session target ipv4:172.16.2.2 dtmf-relay cisco-rtp codec g711ulaw no vad telephony-service max-ephones 3 max-dn 3 ip source-address 172.16.3.1 port 2000 timeouts interdigit 20 timeouts ringing 100 time-format 24 date-format dd-mm-yy secondary-dialtone 9 ephone-dn 1 dual-line number 101 name dotuan101 ephone 1 mac-address 0021.977B.AB93 button 1:1 end RB#show running-config hostname RB voice service voip allow-connections h323 to sip interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto interface Serial0/0 ip address 172.16.2.2 255.255.255.0 dial-peer voice 2 voip destination-pattern 101 session target ipv4:172.16.2.1 dtmf-relay cisco-rtp codec g711ulaw no vad telephony-service max-ephones 3 max-dn 3 ip source-address 172.16.1.1 port 2000 timeouts interdigit 20 timeouts ringing 100 time-format 24 date-format dd-mm-yy secondary-dialtone 9 ephone-dn 1 dual-line number 102 name dotuan102 ephone 2 mac-address 0021.977A.609E button 1:1 end Trong mô hình cơ bản này nếu giao thức không được chỉ ra thì Gateway mặc định sử dụng giao thức H.323 low, tức là H.323 version 1. Sau khi đã thiết lập cấu hình đầy đủ cho các Gateway và các PC, nhận được kết quả khi kết nối các cuộc gọi. Vì thực hiện trên hai router thật với khoảng cách ngắn lại và đường truyền chỉ có tín hiệu voice nên chất lượng thoại rất tốt. Giao diện ephone khi đã kết nối thành công như sau: 5.2. TRIỂN KHAI TRÊN MẠNG CỤC BỘ ỨNG DỤNG CHO DOANH NGHIỆP NHỎ [5],[8],[9] Dựa theo cấu hình cơ bản phần trên đưa ra mô hình triển khai ứng dụng cho doanh nghiệp nhỏ trên mạng cục bộ. Với mô hình cơ bản việc thiết lập tạo cuộc gọi, xác thực ephone number, người gọi đều dựa trên cấu hình mặc định gateway là xác thực theo địa chỉ vật lý MAC, điều này khiến có thể dễ dàng thay đổi để trỏ đến địa chỉ MAC của kẻ tấn công. Phương pháp này là tấn công man in the middle đã được trình bày trong chương 4, kẻ tấn công sẽ là trung gian trong cuộc đàm thoại giữa hai đầu cuối, việc lấy cắp thông tin nghe trộm cuộc gọi bây giờ thật đơn giản. Trong doanh nghiệp mọi thông tin kinh doanh đều tuyệt đối quan trọng, vấn đề bảo mật thông tin cần được ưu tiên hàng đầu. Do đó cần khắc phục những sơ hở trong cấu hình cơ bản VoIP khi đưa vào ứng dụng. Biện pháp đưa ra là sử dụng SIP server. SIP server cung cấp cho mỗi người dùng một tài khoản và mật khẩu truy nhập riêng. Khi thực hiện đăng nhập khởi tạo cuộc gọi, SIP server sẽ xác thực tài khoản, mật khẩu và địa chỉ IP thay vì sử dụng địa chỉ vật lý MAC. Hơn nữa những thông tin này chỉ có thể thay đổi bởi người quản trị. 5.2.1. Mô hình mạng sử dụng SIP server Thiết bị Các PC cài soft phone, 1 PC làm SIP server 3 Router, 2 Switch Softphone: X-lite ( www.counterPath.com ), SIP server: Brekeke Sip server (www.brekeke.com). Mô hình Hình 5.4. Mô hình mạng VoIP sử dụng SIP server 5.2.1.1. Cấu hình các thiết bị PC SIP server: - Đặt địa chỉ cho PC SIP server: 192.168.0.3 - Subnet mask: 255.255.255.0 - Default gateway: 192.168.0.1 Cài SIP server: - Cài phần mềm SIP server sau đó login với user: sa , password: sa - Sau khi login ta sẽ thấy trạng thái của SIP server như sau. Hình 5.5. Login vào SIP server Tiếp theo vào thẻ User Authentication chọn thẻ tiếp theo là New user. Tạo 1 user là: Giamdoc101, password: Giamdoc101 sau đó chọn add. Hình 5.6. Tạo tài khoản user - Tương tự tạo các user khác, sau khi hoàn thành trong phần view user hiển thị các user đã thiết lập: Hình 5.7. Xác nhận tài khoản user Cấu hình cho các PC softphone Đặt địa chỉ cho PC Giamdoc101: - Đặt địa chỉ: 192.168.0.4 - Subnet mask: 255.255.255.0 - Default gateway: 192.168.0.1 Cài Softphone là phần mềm X-lite: - Sau khi cài đặt ta vào phần Sip account setting/add: - Điền các thông tin giống như đã đăng ký trên SIP server (user: Giamdoc101, password: Giamdoc101) - Trong phần Domain đặt địa chỉ IP của SIP server . Sau đó chọn OK. - Sau khi đăng nhập thành công trên softphone ta có thông tin sau: Hình 5.8. Đăng nhập tài khoản trên X-lite Tương tự đặt địa chỉ cho PC Phòng kế toán 103 - Đặt địa chỉ IP: 192.168.0.5 - Subnet mask: 255.255.255.0 - Default gateway: 192.168.0.1 - Cấu hình cho softphone: với user: Phongketoan103, password: Phongketoan103. Tương tự với các PC khác - Đặt địa chỉ IP, subnet mask, default gateway theo mô hình 5.4 Lúc này tại SIP server trong phần Registered Clients các user đã kết nối và được xác thực tài khoản, nếu tài khoản là giả mạo, không trùng khớp với bảng user authentication sẽ không thể registed và thực hiện cuộc gọi. Hình 5.9. Tài khoản đã được đăng kí sau khi xác thực Cấu hình cho các Router Router RA: + Gán địa chỉ interface Ethernet 0/0: 192.168.0.1 Subnet mask: 255.255.255.0 + Gán địa chỉ interface Serial 0/0: 192.168.1.1 Subnet mask: 255.255.255.0 + Sử dụng giao thức định tuyến RIP. Chi tiết: RA(config-if)#interface fastEthernet 0/0 RA(config-if)#ip address 192.168.0.1 255.255.255.0 RA(config-if)#no shutdown RA(config)#interface Serial 0/0 RA(config-if)#ip address 192.168.1.1 255.255.255.0 RA(config-if)#clock rate 64000 RA(config-if)#no shutdown RA(config)#router rip RA(config-router)#network 192.168.1.0 RA(config-router)#network 192.168.0.0 RA(config-router)#end Router RB: + Gán địa chỉ interface Serial 0/0: 192.168.1.2 Subnet mask: 255.255.255.0 + Gán địa chỉ interface Serial 0/1: 192.168.2.1 Subnet mask: 255.255.255.0 + Sử dụng giao thức định tuyến RIP. + Default route: 0.0.0.0 0.0.0.0 s1/0 tạo đường kết nối tới ISP. Chi tiết: RB(config)#interface Serial 0/0 RB(config-if)#ip address 192.168.1.2 255.255.255.0 RB(config-if)#no shutdown RB(config)#interface Serial 0/1 RB(config-if)#ip address 192.168.2.1 255.255.255.0 RB(config-if)#clock rate 64000 RB(config-if)#no shutdown RB(config)#router rip RB(config-router)#network 192.168.1.0 RB(config-router)#network 192.168.2.0 RB(config-router)#end RB(config)#ip route 0.0.0.0 0.0.0.0 s1/0 Router RC: + Gán địa chỉ interface Ethernet 0/0: 192.168.3.1 Subnet mask: 255.255.255.0 + Gán địa chỉ interface Serial 0/0: 192.168.2.2 Subnet mask: 255.255.255.0 + Sử dụng giao thức định tuyến RIP. Chi tiết: RC(config-if)#interface fastEthernet 0/0 RC(config-if)#ip address 192.168.3.1 255.255.255.0 RC(config-if)#no shutdown RC(config)#interface Serial 0/0 RC(config-if)#ip address 192.168.2.2 255.255.255.0 RC(config-if)#no shutdown RC(config)#router rip RC(config-router)#network 192.168.2.0 RC(config-router)#network 192.168.3.0 RC(config-router)#end Thực hiện gọi: - Sau khi các máy đã đăng ký với SIP server, ta có thể thực hiện cuộc gọi. - Ví dụ tại PC Phongketoan103 nhập: Giamdoc101 và gọi thì tại PC Giamdoc101 sẽ nhận được chuông báo và có thể nhấc tổ hợp bắt đầu đàm thoại. Hình 5.10. Cuộc gọi thiết lập thành công Với cơ sở hạ tầng yêu cầu đơn giản, chất lượng cuộc gọi VoIP khá tốt, bảo mật an toàn thông tin được đề cao, nhiều dịch vụ đi kèm như cuộc gọi kèm Video nếu có camera mô hình này sẽ là lựa chọn khá tối ưu ứng dụng cho văn phòng doanh nghiệp nhỏ. KẾT LUẬN Trước hết em xin tóm tắt những vấn đề mà đồ án đã đạt được: Lý thuyết Thế nào là VoIP, chỉ ra những ưu điểm, nhược điểm, các ứng dụng của VoIP. Nghiên cứu các mô hình mạng VoIP với các chuẩn giao thức khác nhau. Cụ thể là nền tảng IP và hai giao thức báo hiệu H.323/SIP. So sánh được sự khác nhau giữa hai giao thức báo hiệu. Nắm rõ phương thức tấn công để xây dựng phương thức bảo mật an toàn thông tin cho cơ quan, doanh nghiệp. Thực nghiệm Thiết lập mạng VoIP cơ bản trong phòng Lap với các thiết bị viễn thông của Cisco. Thiết lập mô hình mạng VoIP sử dụng SIP server để xác thực tài khoản, ngăn sự sửa đổi thông tin cho mục đích xấu. Mô hình này tạo sự an toàn cùng với nhiều tiện lợi như dễ sử dụng, có dịch vụ đi kèm sẽ là lựa chọn khá tối ưu cho doanh nghiệp. Sau khi hoàn thành nội dung đồ án này, em đã có thể nắm vững được nền tảng nguyên lý hoạt động và các phương thức để đảm bảo an toàn thông tin trong VoIP, điều đó thực sự sẽ giúp ích cho em rất nhiều trong công việc sau này cũng như giúp em chắp nối kiến thức đã học trên lớp về mạng viễn thông. Do hạn chế về thời gian, khuôn khổ của đồ án cũng như kinh nghiệm thực tiễn của em chưa nhiều nên không tránh khỏi những sai sót và những nhầm lẫn. Em rất mong được sự góp ý và phê bình của thầy cô và các bạn. Một lần nữa em xin chân thành cảm ơn! MỤC LỤC