Bạn có thể sử dụng HIPS để bảo mật cho những thiết bị thoại như là
những nhân tố xử lý cuộc gọi. HIPS là phần mềm điển hình mà tập hợp thông
tin về những cách dùng đa dạng rộng rãi của tài nguyên thiết bị như CPU,
login attemp, số lượng ngắn, Thông tin này được so sánh chống lại một tập
hợp các quy tắc để xác định phải chăng một sự xâm phạm bảo mật đã xảy ra.
Bằng việc phụ thuộc vào cách định hình những tham số, những hệ thống này
có thể lấy những hoạt động phòng ngừa, ví dụ như kết thúc ứng dụng offending, nhịp độ dữ liệu giới hạn từ những người sử dụng địa chỉ IP
64 trang |
Chia sẻ: linhlinh11 | Lượt xem: 797 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Đồ án Bảo mật trong VoIP (2), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
cầu chiều dài
413 Thực thể yêu cầu quá lớn
414 URL yêu cầu quá lớn
415 Không hỗ trợ loại media
420 Mở rộng sai
480 Không sẵn có
481 Cuộc gọi hoặc sự trao đổi không tồn
tại
482 Vòng lặp được phát hiện
483 Quá nhiều hop
484 Địa chỉ không hoàn thành
485 Mơ hồ
486 Đang bận
Lỗi Server 500 Lỗi server bên trong
501 Không thực thi
502 Gateway lỗi
503 Dịch vụ không có sẵn
504 Gateway timeout
505 Phiên bản SIP không hỗ trợ
Lỗi toàn cầu 600 Bận ở mọi nơi
603 Từ chối
604 Không tồn tại ở mọi nơi
606 Không chấp nhận
Bảng 2-5: Các đáp ứng của SIP
2.2.6 Các giao thức vận chuyển trong SIP.
SIP có thể sử dụng UDP và TCP. Khi được gửi trên UDP hoặc TCP,
nhiều sự giao dịch SIP có thể được mang trên một kết nối TCP đơn lẻ hoặc
gói dữ liệu UDP. Gói dữ liệu UDP (bao gồm tất cả các tiêu đề) thì không vượt
quá đơn vị truyền dẫn lớn nhất MTU (Maximum Transmission Unit) nếu
Bảo mật trong VoIP
34
MTU được định nghĩa hoặc không vượt quá 1500 byte nếu MTU không được
định nghĩa.
2.2.6.1 UDP
UDP là giao thức tầng vận chuyển không có điều khiển tắc nghẽn. Nó
được dùng để vận chuyển bản tin SIP vì đơn giản và thích hợp với các ứng
dụng thời gian thực. Các bản tin SIP thường có kích thước nhỏ hơn MTU
(Message Transport Unit). Nếu bản tin lớn thì phải dùng TCP, vì lý do này mà
SIP không có chức năng chia nhỏ gói.
Hình 2.12 (a): Trao đổi bản tin SIP bằng UDP
2.2.6.2 TCP
TCP là giao thức ở tầng vận chuyển đáng tin cậy do có điều khiển tắc
nghẽn, hơn nữa nó có thể vận chuyển gói tin có kích thước bất kỳ. Nhược
điểm của nó là tăng độ trễ.
Bảo mật trong VoIP
35
Hình 2.12(b): Vận chuyển bản tin SIP bằng TCP
Để tăng cường tính bảo mật thì còn có những giao thức bổ sung để vận
chuyển bản tin SIP như TLS, SRTP.
2.2.7 So sánh H.323 và SIP
SIP và H.323 được phát triển với những mục đích khác nhau bởi các tổ
chức khác nhau. H.323 được phát triển bởi ITU-T từ theo PSTN, dùng mã hóa
nhị phân và dùng lại một phần báo hiệu ISDN. SIP được IETF phát triển dựa
trên mạng Internet, dùng một số giao thức và chức năng của mạng Internet.
Hệ thống mã hóa: SIP là giao thức text-based (text dạng ASCII) giống
như HTTP trong khi đó H.323 dùng các bản tin mã hóa nhị phân. Mã hóa nhị
phân giúp giảm kích thước bản tin nhưng nó phức tạp hơn dạng text bình
thường. Ngược lại các bản tin text dễ dàng tạo ra, lưu lại, kiểm tra và không
cần bất cứ một tool nào để biên dịch nó, điều này làm cho SIP thân thiện với
môi trường Internet và các nhà phát triển web. Bản tin SIP có cấu trúc ABNF,
(Augmented Backus-Naur Form) còn bản tin H.323 ASN.1 không có cấu trúc.
H.323 chỉ có chức năng báo hiệu, SIP có thêm khả năng thông tin về
trạng thái của user (presense and Instant message) vì SIP sử dụng địa chỉ URI.
Điều này là thế mạnh của SIP và hầu hết các dịch vụ ngày nay dùng SIP nhiều
hơn so với H.323. SIP được hỗ trợ bởi thiết bị của các nhà cung cấp dich vụ
và đang dần thay thế H.323. SIP cũng được các hãng di động sử dụng như
giao thức báo hiệu cuộc gọi.
Bảo mật trong VoIP
36
Tính cước: SIP muốn có thông tin tính cước phải ở trong quá trình báo
hiệu cuộc gọi để phát hiện ra thời điểm kết thúc cuộc gọi. Còn với H.323, tại
thời điểm khởi tạo và kết thúc cuộc gọi, các thông tin tính cước nằm trong các
bản tin ARQ/DRQ. Với trường hợp cuộc gọi báo hiệu trực tiếp, EP thông báo
cho GK thời điểm bắt đầu và kết thúc cuộc gọi bằng bản tin RAS.
Về mức độ bảo mật: SIP có nhiều hỗ trợ bảo mật đảm bảo mã hóa,
chứng thực dùng certificate, toàn vẹn bản tin end-to-end. Bản thân SIP không
phát triển những hỗ trợ này mà nó thừa hưởng từ các giao thức hỗ trợ bảo mật
của Internet như TLS và S/MIME. Còn H.323 thì xây dựng H.235 cho chứng
thực và mã hóa.
Các thiết bị SIP còn hạn chế về việc trao đổi khả năng. Còn các thiết bị
trong mạng H.323 có khả năng trao đổi khả năng và thương lượng mở kênh
nào (audio, thoại, video hay dữ liệu).
H.323 và SIP cùng tồn tại và có chức năng tương tự như nhau. SIP
được hỗ trợ DNS và URL ngay từ đầu còn H.323 thì không. Tương tự như
vậy H.323 hỗ trợ hội nghị truyền hình với khái niệm MCU ngay từ đầu thì với
SIP tính năng đó được phát triển sau gọi là “focus”.
SIP ban đầu dùng UDP, sau đó dùng TCP. Còn với H.323 thì ban đầu
không dùng UDP nhưng bây giờ đã có hỗ trợ thêm UDP.
Ưu điểm của từng giao thức:
H.323 dùng thay thế một phần trong hệ thống PSTN và chiếm lĩnh thị
trường hội nghị truyền hình. Đối với những bộ phận chỉ dùng tính năng báo
hiệu (thiết lập và kết thúc) cuộc gọi, không dùng hết những ưu điểm nổi trội
của SIP thì không cần thay thế H.323 bằng SIP.
SIP hiện tại vẫn chưa hỗ trợ hội nghị truyền hình. Điểm mạnh của nó
hiện tại vẫn là một giao thức đơn giản, dựa trên kiến trúc Internet.
2.2.8 Giao thức vận chuyển trong VoIP
Giao thức thời gian thực Real-time Protocol (RTP) được ra đời do tổ
chức IETF đề xuất, nó đảm bảo cơ chế vận chuyển và giám sát phương thức
truyền thông thời gian thực trên mạng IP. RTP có hai thành phần:
- Bản thân RTP mang chức năng vận chuyển, cung cấp các thông tin về
các gói tin thoại.
Bảo mật trong VoIP
37
- Giao thức điều khiển thời gian thực RTCP (Real-time Control
Protocol) mang chức năng giám sát và đánh giá chất lượng truyền tin.
2.2.8.1 RTP
Một cuộc thoại thông thường được chia thành các phiên báo hiệu cuộc
gọi, điều khiển cuộc gọi, thỏa thuận phương thức truyền thông và phiên hội
thoại. Vị trí của RTP nằm trong phiên hội thoại.
Cách thức truyền tiếng nói qua mạng IP: Qua phiên thoả thuận phương
thức truyền thông, các bên tham gia hội thoại tiến hành mở hai cổng UDP kề
nhau, cổng chẵn cho truyền tiếng nói (RTP), cổng lẻ cho truyền các thông tin
trạng thái để giám sát (RTCP). Thông thường, hai cổng được chọn mặc định
là 5004 và 5005.
Tại phía phát, tiếng nói được điều chế thành dạng số hoá, qua bộ
CODEC được nén thành các gói tin để truyền đi. Khi đi xuống tầng UDP/IP,
mỗi gói tin được gắn với một header tương ứng. Header này có kích thước 40
byte, cho biết địa chỉ IP nguồn, địa chỉ IP đích, cổng tương ứng, header RTP
và các thông tin khác:
Hình 2.13: Gói RTP
Chẳng hạn như ta sử dụng G.723.1 thì mỗi payload có kích thước 24
byte, như vậy phần dữ liệu cho mỗi gói tin chỉ chiếm 37,5%.
Header RTP cho biết phương thức mã hóa được sử dụng cho gói tin
này, chỉ mục gói, nhãn thời gian của nó và các thông tin quan trọng khác. Từ
các thông tin này ta có thể xác định ràng buộc giữa gói tin với thời gian.
Header RTP gồm 2 phần :
Phần cố định dài 12 byte.
Phần mở rộng để người sử dụng có thể đưa thêm các thông tin khác.
Header RTP cho mỗi gói tin có dạng :
Bảo mật trong VoIP
38
0
0 1 2 3 4 5 6 7 8 9 1 2 3
1
0 4 5
2
06 7 8 9 1 2 3 4
3
05 6 7 8 9 1
T1527560-97
V = 2 P X CC M PT Sequence number
Timestamp
Synchronization Source (SSRC) identifier
Contributing Source (CSRC) identifiers
Hình 2.14: Cấu trúc header của RTP
Các gói được sắp xếp lại theo đúng thứ tự thời gian thực ở bên nhận
rồi được giải mã và phát lại.
RTP hỗ trợ hình thức hội thoại đa điểm một cách rất linh hoạt. Điều
này hết sức quan trọng, đặc biệt trong trường hợp số thành viên tham gia hội
thoại là nhỏ để tiết kiệm tài nguyên mạng. Đa phần hội thoại diễn ra dưới hình
thức phát đa điểm. Nếu có yêu cầu phúc đáp giữa hai thành viên thì ta lựa
chọn cách thức hội thoại đơn phát đáp.
Hình 2.15: Hội thoại đa điểm
RTP cho phép sử dụng các bộ trộn và bộ chuyển đổi. Bộ trộn là thiết bị
nhận các luồng thông tin từ vài nguồn có tốc độ truyền khác nhau, trộn chúng
lại với nhau và chuyển tiếp theo một tốc độ xác định ở đầu ra. Bộ chuyển đổi
nhận một luồng thông tin ở đầu vào, chuyển đổi nó thành một khuôn dạng
khác ở đầu ra. Các bộ chuyển đổi có ích cho sự thu nhỏ băng thông theo yêu
cầu của dòng số liệu trước khi gửi vào kết nối băng thông hẹp hơn mà không
cần yêu cầu nguồn phát RTP thu nhỏ tốc độ truyền tin của nó. Điều này cho
phép các bên kết nối theo một liên kết nhanh mà vẫn đảm bảo truyền thông
Bảo mật trong VoIP
39
chất lượng cao. Các bộ trộn cho phép giới hạn băng thông theo yêu cầu hội
thoại.
2.2.8.2 RTCP
Từ các thông tin cung cấp trong RTP cho mỗi gói tin, ta có thể giám sát
chất lượng truyền tiếng nói trong quá trình diễn ra hội thoại. RTCP phân tích
và xử lý các thông tin này để tổng hợp thành các thông tin trạng thái rồi đưa
ra các bản tin phản hồi đến tất cả các thành viên. Ta có thể để điều chỉnh tốc
độ truyền số liệu nếu cần, trong khi các bên nhận khác có thể xác định xem
vấn đề chất lượng dịch vụ là cục bộ hay toàn mạng. Đồng thời, nhà quản lý
mạng có thể sử dụng các thông tin tổng hợp cho việc đánh giá và quản lý chất
lượng dịch vụ trong mạng đó.
Ngoài ra, các bên tham gia có thể trao đổi các mục mô tả thành viên
như tên, e-mail, số điện thoại và các thông tin khác.
Giao thức điều khiển thời gian thực Real-time Control Protocol (RTCP)
có nhiệm vụ giám sát và đánh giá quá trình truyền tin dựa trên việc truyền
một cách định kỳ các gói tin điều khiển tới các thành viên tham gia hội thoại
với cùng cơ chế truyền dữ liệu. RTCP thi hành 4 chức năng chính :
Cung cấp cơ chế phản hồi chất lượng truyền dữ liệu. Bên gửi thống kê
quá trình gửi dữ liệu qua bản tin người gửi cho các thành viên. Bên nhận cũng
tiến hành gửi lại bản thống kê các thông tin nhận được qua bản tin người
nhận. Từ việc giám sát quá trình gửi và nhận giữa các bên, ta có thể điều
chỉnh lại các thông số cần thiết để tăng chất lượng cho cuộc gọi. Đây là chức
năng quan trọng nhất của RTCP.
Mỗi nguồn cung cấp gói tin RTP được định danh bởi một tên CNAME
(Canonical end-point identifer SDES item). RTCP có nhiệm vụ cho các thành
viên biết tên này. Khi có thành viên mới tham gia hội thoại thì anh ta phải
được gán với một trường CNAME trong gói tin SDES.
Quan sát số thành viên tham gia hội thoại thông qua sự thống kê ở các
bản tin.
Mang các thông tin thiết lập cuộc gọi, các thông tin về người dùng. Đây
là chức năng tùy chọn. Nó đặc biệt hữu ích với việc điều khiển các phiên
lỏng, cho phép dễ dàng thêm bớt số thành viên tham gia hội thoại mà không
cần có ràng buộc nào.
Bảo mật trong VoIP
40
RTCP định nghĩa 5 loại gói tin như bảng dưới:
SR Sender Report, bản tin người gửi
RR Receiver Report, bản tin người nhận
SDES Source Description items, các mục mô tả nguồn
BYE Thông báo kết thúc hội thoại
APP Cung cấp các chức năng riêng biệt của từng ứng dụng
Các thông tin được cung cấp gói tin RTCP cho phép mỗi thành viên
tham gia hội thoại giám sát được chất lượng truyền tin, số gói tin đã gửi đi, số
gói tin nhận được, tỷ lệ gói tin bị mất, trễ là bao nhiêuVì vậy, các thông tin
này thường được cập nhật một cách định kỳ và chiếm không quá 5% giải
thông cuộc gọi.
Như vậy không những RTP đáp ứng được yêu cầu thời gian thực cho
việc truyền tiếng nói qua mạng IP mà còn cho phép ta giám sát và đánh giá
chất lượng truyền tin cho VoIP. Có rất nhiều yếu tố ảnh hưởng tới chất lượng
dịch vụ (Quality of Service-
QoS) cho VoIP nhưng chủ yếu là do 3 nguyên nhân trễ, tỷ lệ gói tin
mất và Jitter. Tại mỗi thời điểm diễn ra hội thoại ta đều có thể quan sát và
đánh giá các tham số này.
Tuy nhiên, bản thân RTP hoạt động trên tầng IP mà bản chất mạng IP
là chuyển mạch gói, do vậy RTP không can thiệp được tới các nguyên nhân
trên. Ta không thể điều khiển được chất lượng dịch vụ qua thoại trên IP mà
chỉ giám sát và đánh giá qua việc sử dụng RTP. Biện pháp khắc phục hiện
nay là sử dụng giao thức giữ trước tài nguyên Resource Reservation Protocol
(RSVP) cho VoIP.
Bảo mật trong VoIP
41
Chương 3:
BẢO MẬT TRONG VoIP
3.1 Vấn đề bảo mật trong VoIP
Chính vì VoIP dựa trên kết nối internet nên có thể có những điểm yếu
đối với bất kì mối đe doạ và các vấn đề gì mà máy tính của bạn có thể đối
mặt. Công nghệ này cũng là một công nghệ mới nên cũng có nhiều tranh cãi
về những tấn công có thể xảy ra, VoIP cũng có thể bị tấn công bởi virut và mã
nguy hiểm khác, các kể tấn công có thể chặn việc truyền thông, nghe trộm và
thực hiện các tấn công giả mạo bằng việc thao túng ID và làm hỏng dịch vụ
của bạn. Các hành động tiêu tốn lượng lớn các tài nguyên mạng như tải file,
chơi trò chơi trực tuyếncũng ảnh hưởng đến dịch vụ VoIP.
VoIP cũng chịu chung với các vấn đề bảo mật vốn có của mạng data.
Những bộ giao thức mới dành riêng của VoIP ra đời cũng mang theo nhiều
vấn đề khác về tính bảo mật.
Nghe nén cuộc gọi: nghe nén qua công nghệ VoIP càng có nguy cơ cao
do có nhiều node chung gian trên đường truyền giữa hai người nghe và người
nhận. Kẻ tấn công có thể nghe nén được cuộc gọi bằng cách tóm lấy các gói
IP đang lưu thông qua các node trung gian. Có khá nhiều công cụ miễn phí và
có phí kết hợp với các card mạng hỗ trợ chế độ pha tạp giúp thực hiện được
các điều này.
Truy cập trái phép(unauthorized access attack): kẻ tấn công có thể xâm
phạm các tài nguyên trên mạng do nguyên nhân chủ quan của các admin. Nếu
các mật khẩu mặc định của các gateway và switch không được đổi thì kẻ tấn
công có thể lợi dụng để xâm nhập. Các switch cũ vẫn còn dùng telnet để truy
cập từ xa, và clear-text protocol có thể bị khai thác một khi kẻ tấn công có thể
sniff được các gói tin. Với các gateway hay switch sử dụng giao diện web
server cho việc điều khiển từ xa thì kẻ tấn công có thể tóm các dụng cụ kỹ
thuật ARP để tóm lấy các gói tin đang lưu chuyển trong một mạng nội bộ.
Caller ID spoofing: caller ID là một dịch vụ cho phép uer có thể biết
được số của người gọi đến. Caller ID spoofing là kỹ thuật mạo danh cho phép
Bảo mật trong VoIP
42
thay đổi số ID của người gọi bằng những con số do uer đặt ra. So với mạng
điện thoại truyền thông, thì việc giả mạo số điện thoại VoIP dễ hơn nhiều, bởi
có khá nhiều công cụ và website cho phép thực hiện điều này.
Đặc điểm Đặc tả
Cấu trúc IP Điểm yếu này liên quan đến các hệ thống sử dụng mạng
chuyển mạch gói, nó làm ảnh hướng đến cấu trúc hoạt động
của VoIP
Hệ
điều hành
Các thiết bị VoIP kế thừa các điểm yếu của hệ điều hành và các
firmware mà chúng chạy trên đó (windows và linux)
Cấu hình Cấu hình mặc định của thiết bị VoIP luôn có những dịch vụ dư
thừa. và các port của các dịch vụ dư thừa này trở thành điểm
yếu cho các tấn công Dos, tràn bộ đệm hoặc tránh sự xác thực
Mức
ứng dụng
Các công nghệ mới còn non yếu có thể bị tấn công bẻ gãy hoặc
mất điều khiển đối với các dịch vụ.
Bảng 3: Mô tả các cấp độ mà cấu trúc VoIP có thể bị tấn công
Ngoài những vấn đề trên, VoIP còn kế thừa những vấn đề chính trong
việc định tuyến trên kết nối băng thông rộng. Không giống như các hệ thống
điện thoại truyền thông bạn có thể gọi cả khi mất điện. Trong hệ thống VoIP,
nếu mất nguồn điện thì VoIP cũng không thể thực hiện được cuộc gọi . Ở đây
cũng có vài vấn đề liên quan đó là các hệ thống bảo mật ở nhà hoặc số khẩn
cấp có thể không làm việc theo như mong muốn.
3.2 Nhu cầu bảo mật
Trước khi đi vào chi tiết về những công nghệ khác nhau để bảo vệ cho
mạng VoIP. Bạn cần phải hiểu những vấn đề và tập hợp những nhu cầu mà
bạn đã được thấy. Phần này sẽ phác thảo những nhu cầu bảo mật tiêu biểu.
Không phải là một danh sách toàn diện. Những dịch vụ VoIP đặc biệt có thể
cần những nhu cầu phụ:
Tính toàn vẹn : Người nhận nên nhận những gói dữ liệu của người khởi
tạo gửi với nội dung không có sự thay đổi. Một bên thứ ba cần phải không có
khả năng chỉnh sửa gói trong quá trình vận chuyển. Định nghĩa này được áp
dụng một cách chính xác trong trường hợp của tín hiệu VoIP. Tuy nhiên,
Bảo mật trong VoIP
43
trong trường hợp của phương tiện truyền thông, sự mất mát gói thông thường
có thể tha thứ được.
Tính bí mật: Một hãng thứ ba không nên có khả năng để đọc dữ liệu mà
được dự định cho người nhận.
Tính xác thực: Bên gửi và bên nhận tín hiệu VoIP hay thông điệp
truyền thông nên chắc chắn rằng chúng đang liên lạc ngang hàng nhau.
Tính sẵn sàng: Sự bảo vệ từ việc tấn công DoS(từ chối dịch vụ) đối với
thiết bị VoIP nên sẵn có đối với những người sử dụng liên tục. Những người
sử dụng/những thiết bị có ác tâm hoặc có cư xử không đúng đắn không được
cấp quyền để phá vỡ dịch vụ. Để làm dịu các cuộc tấn công DoS đòi hỏi cách
xử lý lây nhiễm để bảo vệ tài nguyên VoIP và bảo vệ mạng IP bên dưới.
3.3 Một số cách tấn công chặn cuộc gọi
3.3.1 Tấn công Replay
Tấn công replay là tấn công chủ động hướng về nghi thức. Đặc trưng
của người tấn công này giành được gói dữ liệu gởi hoặc nhận đến host. Anh ta
sửa đổi chúng và sử dụng lại để truy cập vào một số dịch vụ nào đó. Một ví
dụ tương ứng với loại thoại IP là người tấn công đạt được trong tay các gói dữ
liệu gởi từ một user có quyền để thiết lập cuộc gọi và gởi lại chúng sau khi đã
sửa đổi địa chỉ nguồn và IP. Nó có thể bị ngăn chặn bằng cách thực thi hai
dịch vụ bảo mật nhận thực thực thể ngang hàng (peer entity authencation) và
tính toàn vẹn dữ liệu (data intergrity).
3.3.2 Tấn công tràn bộ đệm
Đây là phương thức tấn công phổ biến. Đây là kết quả chính của việc
phát triển phần mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là có
một vài lệnh không kiểm tra đầu vào dữ liệu. Chúng được ứng dụng đặc biệt
để xâu chuỗi xử lý các lệnh. Quá trình gia nhập với nhiều đầu vào, các lệnh
hay là các chương trình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên.
Nội dung của bộ nhớ này có thể bắt đầu hoặc quay trở lại địa chỉ của các
chương trình subroutine. Trường hợp xấu nhất người tấn công có thể thêm
vào đoạn code hiểm để cung cấp cho anh ta các quyền quản lí của hệ thống.
Biện pháp đối phó là huỷ tất cả các code “yếu”, chính các lỗ hổng nhận thức
được chứa trong các hệ thống hoạt động và các chương trình ngôn ngữ.
Bảo mật trong VoIP
44
3.3.3 Tấn công man in the middle
Trong tấn công man in the middle người tấn công quản lý để cắt đứt kết
nối giữa hai bên gọi. Cả hai bên tham gia kết nối này đều nghĩ rằng chúng
truyền thông với nhau. Thực tế, tất cả các dữ liệu được định tuyến qua người
tấn công. Hacker đã hoàn thành việc truy cập để thay thế các dữ liệu bên
trong. Hacker có thể đọc chúng, thay đổi chúng hoặc và gửi chúng như là dữ
liệu của anh ta. Thực tế hacker được xác định ở vị trí ở giữa của hai bên
truyền thông mang lại cho người tấn công tên của hai bên truyền thông. Một
ví dụ cho tấn công này là thiết lập của việc bảo đảm kết nối được sử dụng bởi
bảo mật lớp dữ liệu. Điểm yếu của TLS là nguyên nhân của việc thiết lập
phiên này. Ở đây hai bên truyền thông có thể trao đổi hai khóa. Khóa này
được đổi có khả năng làm cho người tấn công có thể ở giữa hai bên truyền
thông.
3.3.4 Chặn và đánh cắp cuộc gọi
Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng VoIP,
định nghĩa nghe lén có nghĩa là một người tấn công có thể giám sát toàn bộ
báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhưng không
thể biến đổi dữ liệu. Đánh cắp cuộc gọi thành công tương tự như việc nghe
trộm trên dây nối, cuộc gọi của hai bên có thể bị đánh cắp, ghi lại, và nghe lại
mà hai bên không hề biết. Rõ ràng người tấn công mà có thể đánh chặn và
chứa dữ liệu này có thể sử dụng dữ liệu này cho mục đích khác phục vụ cho
mục đích của anh ta.
3.3.5 Đầu độc DNS
Một hồ sơ DNS (Domain Name System) A được sử dụng cho việc chứa
các domain hay hostname ánh xạ thành địa chỉ IP. SIP tạo ra việc sử dụng
rộng rãi hồ sơ SRV để xác định các dịch vụ SIP như là SIP uỷ quyền và đăng
nhập. Các hồ sơ SRV thường bắt đầu với gạch dưới
(_sip.tcpserver.udp.domain.com) và chứa thông tin về miêu tả dịch vụ, vận
chuyển, host, và thông tin khác. Các hồ sơ SRV cho phép người quản lý sử
dụng một vài user cho một domain, để di chuyển dịch vụ từ host đến host với
một ít quan trọng hoá, và để bổ nhiệm một vài host như là các server chính
cho các dịch vụ.
Bảo mật trong VoIP
45
Một người có mục đích tấn công, sẽ cố gắng đầu độc DNS hay tấn công
giả mạo, sẽ thay thế giá trị lưu trữ hồ sơ DNS A, SSRV, hay NS với các bản
tin mà chỉ đến các server của người tấn công. Điều này có thể được hoàn
thành bằng cách bắt đầu bằng cách dời vùng từ DNS server của người tấn
công đến DNS server nạn nhân, bằng cách yêu cầu server DNS nạn nhân phân
tích thiết bị mạng trong domain của người tấn công. Server DNS nạn nhân
không những chấp nhận yêu cầu hồ sơ mà còn chấp nhận và chứa các hồ sơ
mà server tấn công có.
Vì vậy việc thêm vào hồ sơ A cho www.Attacker.com, server DNS nạn
nhân có thể nhận được hồ sơ giả là www.yourbank.com. Nạn nhận vô tội sẽ bị
hướng đến chuyển hướng lại đến attacker.com. Trang web mà bất mà bất kỳ
thời điểm nào muốn truy cập là yourbank.com. Trang web mà hồ sơ giả được
lưu trữ. SIP URL thay thế cho địa chỉ website, và vấn đề tương tự cũng gặp
phải trong môi trường VoIP.
Các loại đe doạ này dựa vào sự vắng mặt của bảo đảm nhận thực của
người tạo ra yêu cầu. Các tấn công trong loại này cố gắng tìm kiếm để phá
hoại tính toàn vẹn của dữ liệu đàm thoại.Các thảm hoạ này chỉ ra rằng việc
cần thiết phải bảo mật dịch vụ để có khả năng nhận thực thể tạo ra yêu cầu và
để kiểm tra nội dung của thông điệp và điều khiển các luồng không bị biến
đổi khi phát.
3.3.6 Đánh lừa (ARP Spoofing)
ARP là giao thức cơ sở Ethernet. Có lẽ do nguyên nhân này, thao tác
vào các gói ARP là kỹ thuật tấn công thường thấy trong mạng VoIP. Một vài
kỹ thuật hay công cụ hiện tại cho phép bất kỳ user nào có thể tìm ra lưu lượng
mạng trên mạng bởi vì ARP không có điều khoản cho câu hỏi nhận thực và
câu hỏi trả lời. Thêm vào đó, bởi vì ARP là một giao thức stateless, hầu hết
các hệ thống hoạt động cập nhật cache của nó khi mà nhận một lời đáp ARP,
bất chấp nó được gởi đi từ một yêu cầu thực tế hay không.
Trong số những tấn công này, chuyển hướng ARP, đánh lừa ARP, đánh
cắp ARP và đầu độc cache ARP là các phương pháp để phá hoại quá trình
ARP bình thường. Các dạng này thường xuyên được xen kẽ hoặc xáo trộn
nhau. Dành cho mục đích của chương này, có thể xem đầu độc cache ARP và
đánh lừa ARP như là cùng một quá trình. Sử dụng các công cụ tuỳ thích có
Bảo mật trong VoIP
46
thể như là ettercap, Cain, và dsnif, và các thiết bị IP có hại có thể đánh lừa
thiết bị IP thông thường bằng cách gởi một đáp ứng ARP không yêu cầu đến
host mục tiêu. Một đáp ứng ARP giả chứa địa chỉ phần cứng của thiết bị bình
thường và địa chỉ IP của thiết bị có ý đồ xấu. Ned là máy tính tấn công. Khi
SAM broadcast một câu hỏi ARP cho địa chỉ IP của Sally, NED, người tấn
công, đáp ứng câu hỏi để chỉ ra rằng địa chỉ IP (10.1.1.2) liên quan đến địa
chỉ MAC của Ned, BA:AD:BA:AD. Các gói giả sử gửi từ SAM đến Sally sẽ
được thay thế gởi đến Ned. Sam sẽ hiểu lầm rằng địa chỉ MAC của Ned tương
ứng với địa chỉ IP của Sally. Thực tế, Ned có thể đầu độc cache ARP của Sam
mà không cần đợi một yêu cầu ARP từ hệ thống Windows (9x/NT/2k), các
mục ARP tĩnh được viết đè lên khi một trả lời câu hỏi được nhận bất chấp có
hay không câu hỏi được phát. Mục này sẽ được giữ cho đến khi chúng hết hạn
hoặc mục mới thay thế.
Chuyển hướng ARP có thể hoạt động hai chiều và thiết bị đánh lừa có
thể đưa vào ở giữa của cuộc đàm thoại giữa hai thiết bị IP trên mạng chuyển
mạch. Bằng cách định tuyến các gói trên các thiết bị được nhận các gói, việc
gài vào này (được biết như là Man/Monkey/Moron trong việc tấn công ở giữa
) có thể vẫn không được nhận ra cho một vài lần. Người tấn công có thể định
tuyến các gói như mong muốn, dẫn đến như tấn công DoS.
Vì tất cả lưu lượng IP giữa người gởi thực và người nhận thực bây giờ
đều đi qua thiết bị của người tấn công, thật bình thường để cho người tấn
công tìm ra lưu lượng sử dụng các công cụ tuỳ thích như là Ethereal hay
tcpdump. Bất kỳ thông tin nào không được mã hoá (bao gồm email, username
và password, và lưu lưọng web) có thể bị chặn đứng và bị xem.
Sự chặn đứng này có khả năng tác động mạnh đến lưu lượng VoIP. Các
công cụ miễn phí như là vomit hay rtpsnif, cũng như là các công cụ công cộng
như là VoIPCrack, cho phép chặn đứng và mã hoá lưu lượng VoIP. Các nội
dụng chiếm được có thể bao gồm thoại, báo hiệu và thông tin tính cước, đa
phương tiện, số PIN. Đàm thoại qua nội mạng IP có thể bị chặn và ghi âm lại
sử dụng kỹ thuật này.
Ở đây cũng có một số biến thể của kỹ thuật kể trên. Thay cho việc
phỏng theo các host, người tấn công có thể phỏng theo gateway. Điều này làm
cho người tấn công có thể chặn đứng nhiều luồng gói. Tuy nhiên, hầu hết kỹ
Bảo mật trong VoIP
47
thuật chuyển hướng dựa vào việc lén lút. Người tấn công trong các trường
hợp này đều hy vọng việc không nhận ra của các user mà chúng mạo nhận.
Mạo nhận gateway có thể có kết quả trong các user đề phòng sự có mặt của
người tấn công xâm phạm bất ngờ trong mạng.
Trong các thủ tục giới hạn lỗi do thao tác ARP, người quản lí phải thực
thi các công cụ phần mềm để giám sát việc ánh xạ địa chỉ IP thành địa chỉ
MAC. Ở lớp mạng, ánh xạ địa chỉ MAC/IP có thể được mật mã tĩnh trên
switch, tuy nhiên nó thường xuyên không được quản lý tốt.
Các rủi ro của việc mã hoá lưu lượng VoIP có thể được giới hạn bởi
thực thi mật mã. Sử dụng việc mật mã hoá media, các cuộc đàm thoại giữa hai
đầu cuối IP phải được sử dụng cùng một dạng mật mã hoá. Trong môi trường
bảo mật cao thì các tổ chức cần phải đảm bảo cùng một phương thức mật mã
trong bộ codec IP.
Tiếp theo là một vài ví dụ thêm vào của các đánh chặn hay ăn cắp cuộc
gọi hay tín hiệu. Các đe doạ của lớp này khó thực hiện hoàn thành hơn là
DoS, kết quả của nó có thể là dữ liệu bị mất hay bị thay đổi. Các tấn công
DoS, là do nguyên nhân của các phương pháp hoạt động hay sơ xuất, nó làm
ảnh hưởng đến chất lượng dịch vụ và thường gây sự không hài lòng đối với
user và người quản trị mạng. Các tấn công đánh chặn và ăn cắp, thường là các
tấn công chủ động với việc đánh cắp dịch vụ, thông tin, hoặc tiền như là mục
tiêu tấn công. Cần chú ý rằng danh sách này không khái quát hết khía cạnh
nhưng cũng bao gồm một vài tấn công cốt lõi.
3.3.7 Tấn công đánh lừa đầu cuối VoIP (Roque VoIP Endpoint Attack)
Giả mạo đầu cuối EP giao tiếp với các dịch vụ VoIP bằng cách dựa trên
các đánh cắp hay ước đoán các nhận dạng, các uỷ nhiệm hoặc các truy cập
mạng. Ví dụ, một đánh lừa đầu cuối EP có thể sử dụng các jack không được
bảo vệ hay tự động đăng ký thoại VoIP để có thể vào mạng. Ước chừng mật
mã có thể được sử dụng để giả dạng như là một đầu cuối hợp pháp. Việc quản
lí các tài khoản không chặt chẽ có thể gia tăng nguy cơ của việc lợi dụng này
3.3.8 Cướp đăng ký (Registration Hijacking)
Cướp đăng ký xảy ra khi một người tấn công mạo nhận là một UA có
giá trị để giữ và thay thế đăng ký với địa chỉ của mình. Các tấn công này là
nguyên nhân của việc tất cả các cuộc gọi đến được gởi đến người tấn công.
Bảo mật trong VoIP
48
3.3.9 Giả mạo ủy nhiệm
Giả mạo uỷ nhiệm xảy ra khi một người tấn công đánh lừa một uỷ
nhiệm (proxy) trong việc truyền thông với một proxy giả.. Nếu một người tấn
công thành công trong việc giả mạo uỷ nhiệm, anh ta có thể truy cập vào tất
cả các thông điệp SIP.
3.3.10 Lừa tính phí
Giả mạo đầu cuối VoIP sử dụng server VoIP để đặt việc tính phí bất
hợp pháp của cuộc gọi qua PSTN. Ví dụ, các điều khiển truy cập không đầy
đủ có thể cho phép các thiết bị giả đặt phí của các cuộc gọi bằng cách gởi yêu
cầu VoIP đến các ứng dụng tiến hành cuộc gọi. Các server VoIP có thể bị
hack trong các thủ tục để tiến hành cuộc gọi miễn phí đến đích bên ngoài.
3.3.11 Xáo trộn thông điệp
Bắt giữ, sửa đổi, và sắp đặt để không xác thực các gói VoIP đến đầu
cuối. Các tấn công này có thể xảy ra qua việc đánh cắp đăng nhập, giả mạo uỷ
nhiệm, hay tấn công trên bất kỳ một thành phần VoIP thực nào mà tiến hành
các thông điệp SIP hay H.323, như là server proxy, registration, media
gateway, hay các bức tường lửa.
3.4 Các công nghệ bảo mật
Khi đưa ra những nhu cầu bảo mật cho những thiết bị VoIP, phần này
mô tả một vài công nghệ có sẵn để đảm bảo tính toàn vẹn,tính bí mật, và tính
chứng thực. Các công nghệ này không phải là những giải pháp tối ưu nhưng
nó góp phần giải quyết những vấn đề trong mạng VoIP:
3.4.1 VLAN
Sự tích hợp thoại, dữ liệu và video trên cùng một mạng làm cho sự bảo
mật của hệ thống VoIP cũng bị ảnh hưởng bởi các dịch vụ khác. Để có thể
giải quyết được vấn đề này ta tách biệt về luận lý giữa các dịch vụ bằng
VLAN
Bảo mật trong VoIP
49
Hình 3- 1: VLAN
Lợi ích của VLAN:
- Giảm lưu lượng broadcast và multicast vì chỉ có các máy trong cùng
một VLAN mới có thể thông tin được với nhau. VLAN được cấu hình trên
switch.
- VLAN dễ dàng quản lý, giúp quản lý thiết bị một cách tập trung.
VLAN có thể sắp xếp và quản lý các PC hay softphone dựa vào chức năng,
lớp dịch vụ, tốc độ kết nối hoặc những tiêu chuẩn khác.
- Giảm delay và jitter, do đó cải thiện QoS.
Hệ thống VoIP có thể bị ảnh hưởng bởi sự thiếu bảo mật của các dịch
vụ khác của mạng dữ liệu.
Bảo mật trong VoIP
50
Hình 3- 2: VLAN phân theo chức năng
VLAN góp phần trong bảo mật hệ thống VoIP. Lưu lượng giữa các
VLAN được đảm bảo (trừ khi sử dụng router). Nó làm giảm các broadcast lưu
lượng trên mạng mà điện thoại phải nhận.
Quản lý lưu lượng bằng VLAN giúp cho lưu lượng SNMP và syslog
không bị nhiễu với dữ liệu, dễ dàng hơn trong việc quản lý mạng.
VLAN còn làm giảm nguy cơ DoS. Do muốn liên lạc giữa các VLAN
thì phải đi qua lớp mạng, các lưu lượng này sẽ bị lọc bởi các ACL trên lớp
mạng.
Để bảo đảm an toàn cho lưu lượng tại lớp 2 thì cần hạn chế quyền truy
cập bằng cổng console của Switch bằng cách sử dụng những phương pháp
chứng thực mạng như RADIUS hay AAA.
3.4.2 VPN
Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các
mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thường được
dùng để kết nối các văn phòng, chi nhánh với nhau, các người dùng từ xa về
văn phòng chính. Công nghệ này có thể triển khai dùng các giải pháp sau:
Frame Relay, ATM hay Leased line.
Các giao thức và thuật toán được dùng trong VPN bao gồm DES (Data
Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key
Exchange (IKE).
Bảo mật trong VoIP
51
Có hai loại kết nốit VPN:
+ Client – to – LAN
+ LAN – to – LAN
Hình 3- 3: Client-to-LAN VPN
Công nghệ VPN dựa trên kỹ thuật đường hầm (tunneling). Kỹ thuật này
bao gồm đóng gói, truyền đi, giải mã, định tuyến. VPN có ba loại: Point – to –
Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), IPsec.
3.4.2.1 Point – to – Point Tunneling Protocol
Đây là một giao thức phát triển bởi Microsoft, làm việc ở lớp 2 trong
mô hình OSI. PPTP đóng gói frame PPP vào gói IP bằng cách sử dụng GRE
(General Routing Encapsulation).Các hình thức đảm bảo sự bảo mật gồm:
chứng thực, mã hóa dữ liệu, lọc gói PPTP.
PPTP dùng các giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver 1
và ver 2), PAP, trong đó MS-CHAP ver2 và EAP-TLS được xem là bảo mật
nhất vì cả VPN server và VPN client đều chứng thực lẫn nhau. Tải trong PPP
frame được mã hóa bằng RSA (Rivest, Shamir and Adleman), RC4 (Rivest
Cipher 4).
Trong MS-CHAP ver1 giá trị băm của LAN và của Windows NT được
sinh ra dựa trên cùng một password và được gửi song song từ client đến
server. Vì giá trị LAN manager hash được bảo mật kém nên các chương trình
bẻ password có thể tấn công được, khi đã biết được giá trị băm của LAN, có
thể dùng nó để tìm ra giá trị của Windows NT. MS-CHAP ver 2 khắc phục
được lỗi trên nhờ dùng cơ chế mã hóa.
RSA và RC4 cũng có các điểm yếu do khóa mã hóa dựa trên password
của user và cả client và server đều dùng chung khóa mã hóa.
Bảo mật trong VoIP
52
3.4.2.2 Layer 2 Tunneling Protocol
L2TP là giao thức chuẩn của IETF (RFC 2661). Khác với PPTP, L2TP
có thể chạy trên nhiều chuyển mạch khác nhau như X.25, Frame Relay, ATM,
nhưng thường thì L2TP đóng gói PPP frame trong L2TP frame và dùng UDP
để truyền đi (không dùng GRE). Dùng UDP tốt hơn cho các dịch vụ thời gian
thực.
Bản thân L2TP không đảm bảo bảo mật, nó cần các giao thức vận
chuyển bên dưới làm điều này. Điều này được thực hiện qua việc bảo mật
trong PPP hoặc dùng IPsec.
Hình 3- 4: Cấu trúc L2PT
3.4.2.3 IP Security
Với đặc điểm là dễ bị bắt gói trong mạng IP nên yêu cầu mã hóa là cần
thiết cho hệ thống VoIP. IPsec có thể bảo mật thông tin của EP và luồng dữ
liệu. IPsec là tập giao thức phát triển bởi IETF, bảo mật ở lớp IP.
IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), trao đổi
khóa (Security Association), đảm bảo toàn vẹn dữ liệu (Data Integrity) và
kiểm tra nguồn gốc dữ liệu (Origin Authentication).
IPsec gồm hai giao thức: Authenticaion Header (AH) và Encapsulating
Security Payload (ESP).
- AH: chứng thực data và chống replay, dùng giao thức IP số 51
- ESP: dùng giao thức IP số 50
ESP chỉ mã hóa và chứng thực trên gói ban đầu (không có header), còn
AH thì chứng thực toàn bộ gói (có header) và không mã hóa.
Bảo mật trong VoIP
53
Hình 3- 5: Chứng thực và mã hóa của AH và ASP
- IPsec gồm 2 mode:
+ Tunnel mode: tạo thêm một IP header mới gồm một địa chỉ nguồn và
một địa chỉ đích (có thể khác với địa chỉ nguồn và địa chỉ đích trong gói IP).
ESP chứng thực và mã hóa trên gói IP, còn AH chứng thực thêm một phần
của header mới.
+ Transport mode: ESP mã hóa và chứng thực gói IP (không có phần
header), AH thì có chứng thực thêm một phần header mới.
Hình 3- 6: Cấu trúc gói IPsec ở transport mode
Hình 3- 7: Cấu trúc gói IPsec ở tunnel mode
Trong quá trình thiết lập kết nối, VPN client và VPN server sẽ thương
lượng thuật toán mã hóa được sử dụng trong số các thuật toán sau: DES,
MD5, SHA, DH
Bảo mật trong VoIP
54
Security Association (SA) thường được quản lý bời IKE. SA thường có
thể dùng pre-shared key, mã hóa RSA hoặc chữ ký số. IPsec chứng thực bằng
shared secret và certificate, bảo mật hơn so với PPTP chứng thực bằng
password của user.
3.4.3 Firewalls
Đóng vai trò rất quan trọng trong việc bảo mật mạng dữ liệu khỏi
những tấn công từ bên ngoài. Một số loại firewall cơ bản sau có thể bảo vệ dữ
liệu ở các lớp khác nhau trong mô hình OSI:
Packet filtering firewall
Circiut level gateway firewall
Personal firewall
Chức năng cơ bản của firewall được thiết kế không phải dành cho các
ứng dụng thời gian thực như VoIP nên việc thiết lập firewall cho hệ thống
VoIP sẽ làm cho hệ thống phức tạp hơn ở một số quá trình: port động
trunking, thủ tục thiết lập cuộc gọi.
Ngoài ra, firewall còn có nhiệm vụ điều khiển luồng thoại và dữ liệu.
Nếu không cài đặt firewall thì tất cả các lưu lượng đến và đi từ IP phone đều
phải được cho phép vì RTP dùng port UDP động, và như vậy thì tất cả các
port UDP đều phải mở, thiếu bảo mật. Vì vậy, IP phone thường đặt sau
firewall để tất cả các lưu lượng đều được kiểm soát mà không cần phải mở tất
cả các port UDP firewall được sử dụng để cách ly về mặt luận lý giữa thoại
và dữ liệu.
3.4.4 NAT (Network Address Translation).
Là kỹ thuật mà địa chỉ nguồn hay địa chỉ đích thay đổi khi đi qua thiết
bị có chức năng NAT, cho phép nhiều host trong mạng nội bộ dùng chung
một địa chỉ IP để đi ra mạng bên ngoài.
Ngoài one-to-one mapping thì còn có many-to-one mapping hay còn
gọi là NAPT (Network Address Port Translation).
Bảo mật trong VoIP
55
Hình 3- 8: Quá trình thay đổi địa chỉ trong NAT
NAT có 4 chính sách:
- Full: tất cả các yêu cầu từ cùng các host bên trong (địa chỉ IP và port)
được ánh xạ tới cùng một IP hay port đại diện bên ngoài, vì vậy bất kỳ một
host bên ngoài có thể gửi gói tới 1 host bên trong nếu biết địa chỉ được ánh xạ
đó.
- Restricted: chỉ cho phép 1 host bên ngoài với IP X gửi gói cho host
mạng bên trong nếu host của mạng bên trong đã gửi tới IP X một gói trước
đó.
- Port restricted: Giống Restricted one nhưng có thêm port. Chính sách
này được sử dụng để có thể dùng chung một địa chỉ IP đại diện bên ngoài.
- Symmetric: tất cả các request từ cùng 1 IP hay port đến 1 đích nào đó
được ánh xạ đi bằng 1 IP đại diện, nếu đi tới 1 đích khác thì nó sẽ đi bằng IP
đại diện khác Chỉ có những host bên ngoài nhận được gói thì mới gửi gói
ngược trở lại các host bên trong được.
Lợi ích của NAT:
Giảm bớt số IP cần dùng bằng cách sử dụng chung 1 IP đại diện để đi
ra bên ngoài. Với việc sử dụng chung 1 IP đại diện để đi ra bên ngoài như vậy
thì mọi lưu lượng muốn truy nhập vào mạng bên trong thì phải qua NAT, bảo
mật hơn.
3.4.5 Một số chú ý khi sử dụng NAT và firewall trong hệ thống VoIP.
Ảnh hưởng đến QoS:
Việc thiết lập firewall và NAT gây ra trễvà jitter, làm giảm QoS. Về
bản chất, muốn cải thiện QoS thì quá trình xử lý gói khi qua firewall phải
nhanh, mà khả năng xử lý gói của firewall lại phụ thuộc vào năng lực của
Bảo mật trong VoIP
56
CPU. CPU xử lý gói chậm là do: header của gói thoại phức tạp hơn gói IP
bình thường nên thời gian xử lý lâu hơn; số lượng gói RTP quá lớn có thể làm
firewall CPU bị qua tải.
Cuộc gọi tới:
Khi một có một cuộc gọi tới thì các lưu lượng báo hiệu tới đi qua
firewall, cần phải mở một số port, điều này có thể gây nguy hiểm.
Với NAT điều này càng khó khăn vì NAT dùng port động, mà một host
bên ngoài chỉ có thể gọi cho 1 host nằm sau NAT nếu biết chính xác địa chỉ
IP và port của nó.
Voice Stream:
RTP dùng port động (1024-65534), còn RTPC quản lý luồng thoại
bằng một port ngẫu nhiên, khó mà đồng bộ port của RTP và RTPC. Nếu cả
hai host đều nằm sau NAT thì càng khó khăn.
NAT chỉ ánh xạ địa chỉ bên trong và địa chỉ đại diện đi ra bên ngoài
trong 1 khoảng thời gian t(s). Nếu kết nối bị đứt hay không có lưu lượng đi
qua NAT trong t(s) thì ánh xạ này sẽ biến mất.
Nếu dùng TCP thì khi kết nối TCP kết thúc thì cuộc gọi cũng kết thúc.
Nếu dùng UDP thì không nhận biết được vì UDP là phi kết nối. Nếu sử dụng
VAD thì có khả năng thông tin kết nối bị xóa trước khi cuộc gọi thật sự kết
thúc.
Mã hóa:
Việc mã hóa giúp đảm bảo tính toàn vẹn dữ liệu nhưng ta cũng gặp một
số vấn đề với nó khi sử dụng NAT và firewall:
+ Firewall sẽ chặn các gói có header được mã hóa.
+ NAT dấu đi IP bên trong với mạng bên ngoài nên phương pháp
chứng thực ESP và AH của Ipsec là không hợp lệ.
3.4.6 Share-key (khoá dùng chung)
Những cách tiếp cận Chìa khóa- Dùng chung:
Một cách tiếp cận tới sự chứng thực là một hệ thống mà trong đó người
gửi và người nhận chia sẻ một mật khẩu bí mật ( đôi khi tham chiếu tới như
một chìa khóa- dùng chung) mà không được biết đối với một bên thứ ba.
Người gửi tính toán một hash nội dung thông điệp và nối vào giá trị
hash đó với một thông điệp. Bên phía nhận được thông điệp, người nhận cũng
Bảo mật trong VoIP
57
tính toán hash thông điệp với một mật khẩu dùng chung. Sau đó nó so sánh
hash đã được tính toán với giá trị hash mà được bổ sung vào thông điệp. Nếu
chúng phù hợp, sự toàn vẹn của thông điệp được bảo đảm như là tính xác thực
của người gửi.
Bạn có thể sử dụng mật khẩu dùng chung để mã hóa nội dung thông
điệp và truyền dữ liệu đã mã hóa tới người nhận. Trong trường hợp này, yêu
cầu riêng tư được đề cập không vì bên thứ ba có thể đánh hơi dữ liệu đang
vận chuyển và có thể nhìn nội dung thông báo của văn bản gốc. Người nhận
chạy giải thuật giải mã (sự mở khóa) với mật khẩu dùng chung như một trong
những đầu vào và tạo ra lại thông báo văn bản gốc.
Một hệ thống mà có nhiều nguồn dữ liệu có thể gặp phải yêu cầu xác
thực bằng việc bảo đảm rằng mỗi người gửi sử dụng một chìa khóa duy nhất
cho dữ liệu được gửi.
Trong một cách tiếp cận chìa khóa- dùng chung, người quản trị phải có
sự chuẩn bị đối với mật khẩu bí mật dùng chung. Trong một hệ thống mà có
nhiều cặp người gửi/ nhận, việc đương đầu với sự chuẩn bị có thể rất cao.
Ngoài ra, nếu một chìa khóa- dùng chung được thỏa hiệp ( stolen/ lost),
Mọi thiết bị sử dụng chìa khóa dùng chung cần được chuẩn bị với chìa khóa
dùng chung mới.
3.4.7 Public-Key Cryptography (Mật mã chìa khoá-công cộng):
Để làm giảm bớt sự đau đầu cho người quản trị với những cách tiếp cận
chìa khóa- dùng chung, bạn có thể sử dụng mật mã chìa khóa- công cộng.
Những khái niệm cơ bản trong mật mã chìa khóa chung là những chìa khóa và
những chữ ký số hóa không cân đối, được mô tả trong những mục sau đây:
Những chìa khóa không cân đối:
Những cặp chìa khóa không cân đối từng cặp là những chìa khóa
(thông thường của độ dài cố định) được tham chiếu tới như chìa khóa công
cộng và chìa khóa riêng tư mà có liên quan toán học đến lẫn nhau. Chúng
thông thường được đại diện trong hệ mười sáu và có những đặc trưng sau đây:
- Chỉ có chìa khoá công cộng tương ứng mới có thể giải mã giữ liệu mà
được mã hoá với một chìa khoá riêng tư.
- Chỉ có cặp chìa khoá riêng tư tương ứng mới có thể giải mã dữ liệu
mà được mã hoá với một chìa khoá công cộng.
Bảo mật trong VoIP
58
- Có mối quan hệ một-một giữa những chìa khoá.
- Chìa khoá riêng tư được giữ bí mật, còn chìa khoá công cộng thì được
chia sẻ với mọi người.
Đối với sự chứng thực, một người gửi có thể sử dụng chìa khóa riêng tư
của riêng mình để mã hóa thông điệp. Thông điệp chỉ có thể được giải mã với
chìa khóa công cộng tương ứng. Người nhận có thể giải mã thông điệp miễn
là anh ta có sự truy nhập tới chìa khóa công cộng của người gửi. Vì chỉ có
người gửi mới biết chìa khóa riêng tư nên anh ta buộc phải mã hóa thông
điệp.
Đối với truyền thông an toàn, một người gửi có thể mã hóa nội dung
thông báo bằng cách sử dụng kỹ thuật mật mã chìa khóa- công cộng. Anh ta
làm điều này bằng cách sử dụng chìa khóa công cộng của người nhận. Người
nhận sau đó có thể giải mã thông điệp với chìa khóa riêng tư tương ứng. Bởi
vì người nhận đã dự định có chìa khóa riêng tư nên anh ta có thể giải mã hông
điệp. Không có bên thứ ba nào khác có thể giải mã thông báo này, bởi vì
không ai khác biết chìa khóa riêng tư của người nhận.
Chú ý rằng người gửi phải sử dụng chìa khóa riêng tư để mã hóa thông
điệp cho những mục đích chứng thực, trong khi mà người nhận phải sử dụng
chìa khóa công cộng để mã hóa thông điệp cho sự truyền thông an toàn.
Trong thế giới thực, pha chứng thực đến đầu tiên. Sau khi người gửi và
người nhận xác nhận lẫn nhau thì họ chuyển tới pha truyền thông an toàn.
Sự mã hóa sử dụng những chìa khóa không cân đối là một tiến trình
cường độ cao của CPU. Bởi vậy, khi mà bao gồm rất nhiều dữ liệu, những
người quản lý nói chung sử dụng mật mã chìa khóa công cộng để đàm phán
một bí mật dùng chung duy nhất trên phiên họp. Họ dùng những ký số chìa
khóa cân đối bằng cách sử dụng bí mật dùng chung này cho phần còn lại của
phiên họp.
3.4.8 IDS (Intrusion Detection)
IDS là hệ thống giám sát tất cả các lưu lượng trong mạng. IDS là thiết
bị thụ động, lưu lượng không đi qua nó, mà nó chỉ lấy tất cả các gói trên mạng
để phân tích. Nếu có lưu lượng không bình thường bản thân nó sẽ phát cảnh
báo cho người quản trị mạng biết.
Bảo mật trong VoIP
59
Hình 3- 9: Vị trí của IDS trong hệ thống
Hoạt động của IDS:
- IDS theo dõi tất cả những trạng thái bình thường của hệ thống và do
đó phát hiện ra những tấn công bất thường vào hệ thống. Kiến trúc của nó
gồm Call State Fact Base, chứa các trạng thái điều khiển và các biến trạng
thái, cho phép theo dõi tiến trình của cuộc gọi. Thông tin trạng thái được cập
nhật từ Event Distributor. Attack Scenarino chứa những kiểu tấn công đã biết.
- IDS quản lý sự thay đổi trạng thái của các gói được phân tích bằng
chức năng Call basis. Tất cả gói của một cuộc gọi được phân thành một
nhóm, rồi lại chia thành các nhóm nhỏ dựa trên loại giao thức, rồi đưa vào các
bộ máy phân tích khác nhau, các bộ máy này được đồng bộ bằng các tham số
chung và các sự kiện nội bộ. Event Destributor cũng phân loại các gói nhận
được cho Attack Scenarino.
Các gói từ Event Destributor và thông tin trạng thái từ Attack
Scenarino/ Call State Fact Base được đưa đến Analysis Engine. Khi có sự bất
thường nào về giao thức hay trùng với một kiểu tấn công biết trước thì IDS sẽ
bật cờ cảnh báo cho người quản trị phân tích thêm.
Bảo mật trong VoIP
60
Hình 3- 10: Cấu trúc bên trong của thiết bị IDS
3.5 Bảo vệ các thiết bị VoIP
Để có được tính sẵn sàng của thiết bị VoIP, bạn cần phải bảo vệ những
thiết bị mà lưu lượng âm thanh nguồn hay thiết bị đầu cuối của thiết bị đó
phải có khả năng chống lại các cuộc tấn công, như được mô tả chi tiết ở phần
dưới đây:
Vô hiệu hoá những cổng và những dịch vụ không thường sử dụng:
Điển hình là những cổng hoặc những dịch vụ không thường sử dụng
mà được mở trên các thiết bị thoại làm cho chúng có thể công kích được tới
sự khai thác của hacker. Luyện tập được khuyến cáo là vô hiệu hoá những
cổng hoặc thiết bị của VoIP hoặc thiết bị hạ tầng IP (ví dụ như bộ switch,
routers,) sau đây là một vài điều mà bạn nên làm:
Vô hiệu hoá Telnet,TFTP, và những thiết bị tương tự nếu chúng không
được sử dụng.
Nếu bạn chỉ đang sử dụng quản lý mạng đơn giản (SNMP) trên một
thiết bị để thu nhặt dữ liệu, thì nên đặt SNMP ở chế độ chỉ đọc (read-only).
Nếu bạn đang sử dụng sự quản trị trên nền mạng, thì luôn luôn sử dụng
sự truy nhập an toàn với những giao thức như SSL.
Bảo mật trong VoIP
61
Vô hiệu hoá bất kỳ cửa nào không thường sử dụng trên Layer 2
switches.
+ Sử dụng hệ thống bảo vệ sự xâm nhập dựa vào Host (HIPS):
Bạn có thể sử dụng HIPS để bảo mật cho những thiết bị thoại như là
những nhân tố xử lý cuộc gọi. HIPS là phần mềm điển hình mà tập hợp thông
tin về những cách dùng đa dạng rộng rãi của tài nguyên thiết bị như CPU,
login attemp, số lượng ngắn,Thông tin này được so sánh chống lại một tập
hợp các quy tắc để xác định phải chăng một sự xâm phạm bảo mật đã xảy ra.
Bằng việc phụ thuộc vào cách định hình những tham số, những hệ thống này
có thể lấy những hoạt động phòng ngừa, ví dụ như kết thúc ứng dụng offen-
ding, nhịp độ dữ liệu giới hạn từ những người sử dụng địa chỉ IP
Bảo mật trong VoIP
62
THUẬT NGỮ VIẾT TẮT
Kí hiệu
viết tắt
Viết đầy đủ Ý nghĩa
ADPM
Adaptive Differential Pulse
Code Modulation
Điều chế xung mã vi sai thích nghi
CPU Central Processing Unit Đơn vị xử lý trung tâm
DNS Domain Name System Hệ thống phân giải tên miền
DSP Digita Signalling Proccessor Bộ xử lý tín hiệu số
GSM
Global System for Mobie Hệ thống toàn cấu cho điện thoại di
động
HTTP Hypertext Tranfer Protocol Giao thức chuyển siêu văn bản
IETF
Internet Engineering Task
Force
Tổ chức viễn thông quốc tế -
Lực lượng chuyên phụ trách
kỹ thuật kết nối mạng
IP Internet Protocol Giao thức Internet
IPv4 IP version 4 Giao thức Internet phiên bản 4
IPv6 IP version 6 Giao thức Internet phiên bản 6
ISDN
Integrated Service Digital
Network
Mạng dịch vụ tích hợp số
ISUP ISDN User Part Phần người dùng ISDN
ITU-T
International
Telecommunication Union -
Telecommunication
Standardization Sector
Hiệp hội viễn thông quốc tế - Tổ
chức chuẩn hóa các kỹ thuật viễn
thông
IUA ISDN User Adapter Bộ chuyển đổi người dùng ISDN
LAN Local Area Network Mạng vùng cục bộ
LLC Logic Link Control Điều khiển liên kết logic
MAC Media Access Control Điều khiển truy nhập môi trường
MC Multipoint Controller Bộ phận điều khiển đa điểm
MCU Multipoint Control Unit Đơn vị điều khiển đa điểm
MGCP Media Gateway Giao thức điều khiển Media Getway
Bảo mật trong VoIP
63
Control Protocol
MIPS
Millions of Instruction per
second
Đơn vị thời gian (triệu/giây)
MP Multipoint Processor Bộ xử lý đa điểm
MTP Message Tranfer Part Phần truyền bản tin
M2UA MTP2 User Adapter Bộ chuyển đổi người dùng MTP2
M2PA
MTP L2
Peer-to-Peer Adapter
Bộ chuyển đổi bản tin lớp 2 ngang
hàng
M3UA MTP3 User Adapter Bộ chuyển đổi người dùng MTP3
OSI Open System Interference Mô hình tham chiếu mạng
PAM Pulse Amplitude Modulation Điều biên dạng xung
PBX Private Branche Xchange Tổng đài chi nhánh riêng
PC Personnal Computer Máy tính cá nhân
PCM Pulse-Code Modulation Bộ mã hóa mã xung
PSTN
Public Switch
Telephone Network
Mạng điện thoại công cộng
QoS Quality of Service Chất lượng dịch vụ
RAS Register Admission Status
Báo hiệu đăng kí, cấp phép, thông tin
trạng thái
RSVP Reservation Protocol
Giao thức định trước nguồn tài
nguyên
RTP
Real-Time Transport
Protocol
Giao thức truyền thời gian thực
RTCP
Real-Time Transport Control
Protocol
Giao thức điều khiển truyền thời gian
thực
SAP
Session Announcement
Protocol
Giao thức thông báo phiên
SCN Switching Network Mạng chuyển mạch kênh
SCP Signal Control Point Điểm điều khiển báo hiệu
SCCP
Signaling Connection
Control Part
Phần điều khiển kết nối báo hiệu
SCTP Stream Control Giao thức truyền điều khiển luồng
Bảo mật trong VoIP
64
Transmission Protocol
SDP Session Description Protocol Giao thức mô tả phiên
SIP Session Initiation Protocol Giao thức thiết lập phiên
SS7 Signaling System No.7 Hệ thống báo hiệu số 7
SSP Switch Service Point Điểm dịch vụ chuyển mạch
Sigtran Signalling Transport
Giao thức truyền báo hiệu SS7 trên
mạng IP
STP Signal Tranfer Point Điểm truyền báo hiệu
SUA SCCP User Adapter Bộ chuyển đổi người dùng SCCP
TCAP
Transaction
Capabilities Application Part
Phần ứng dụng cung cấp giao dịch
TCP
Transmission Control
Protocol
Giao thức điều khiển truyền thông tin
TUP Telephone User Part Phần người dùng điện thoại
UA User Agent Đại diện người sử dụng
UAC User Agent Client Đại diện người sử dụng khách hàng
UAS User Agent Server Đại diện người sử dụng máy chủ
UDP User Datagram Protocol Giao thức Datagram người dùng
VoIP Voice over Internet Protocol Công nghệ truyền thoại trên mạng IP
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng băng rộng
Các file đính kèm theo tài liệu này:
- 23.TranManhTuyen_DT1001.pdf