bedieuratchilachanh
New Member
Tải Bảo Mật Trong VoIP
LỜI MỞ ĐẦU
Như ta đã thấy với sự phát triển của mạng chuyển mạch gói IP cùng với
sự hội nhập mạnh mẽ vào nền kinh tế của khu vực và thế giới. Và một trong
những yếu tố quan trọng để có thể cạch tranh được đó là chi phí thấp. Cũng vì
lý do đó mà VoIP đang trở thành một công nghệ rất phổ biến với chi phí thấp
và cấu trúc mềm dẻo đáp ứng được nhu cầu của người sử dụng. Tuy nhiên, để
thiết lập một hệ thống VoIP thì ngoài chất lượng dịch vụ (QoS) thì cũng cần
phải tính đến bảo mật cho hệ thống VoIP. Việc tích hợp các dịch vụ thoại, dữ
liệu, video, trên cùng một hạ tầng mạng IP đã mang đến nhiều nguy cơ tiềm
ẩn về bảo mật. Không chỉ do mạng IP là một mạng công cộng, nguy cơ bị tấn
công rất lớn mà bản thân các giao thức VoIP cũng có những nguy cơ về bảo
mật.
Xuất phát từ những ý nghĩ trên mà em quyết định chọn đề tài “Bảo Mật
Trong VoIP”. Trong giới hạn đề tài, em chỉ tìm hiểu về lý thuyết bảo mật cho
hệ thống VoIP. Nội dung của đề tài bao gồm tìm hiểu về kiến trúc và các giao
thức của các mạng VoIP cụ thể, từ đó phân tích những lỗ hổng trong mạng
VoIP và các công nghệ để khắc phục các lỗ hổng đó. Nội dung luận văn được
chia thành 3 chương:
Chương 1: Tổng Quan Trong Mạng VoIP
Chương 2: Công Nghệ Trong VoIP
Chương 3: Bảo Mật Trong VoIP
Trong quá trình nghiên cứu đề tài này, do kiến thức và kinh nghiệm của
em còn hạn chế vì vậy không tránh được những thiếu sót, rất mong được sự
nhận xét và góp ý của Thầy Cô cùng bạn bè.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
413 Thực thể yêu cầu quá lớn
414 URL yêu cầu quá lớn
415 Không hỗ trợ loại media
420 Mở rộng sai
480 Không sẵn có
481 Cuộc gọi hay sự trao đổi không tồn
tại
482 Vòng lặp được phát hiện
483 Quá nhiều hop
484 Địa chỉ không hoàn thành
485 Mơ hồ
486 Đang bận
Lỗi Server 500 Lỗi server bên trong
501 Không thực thi
502 Gateway lỗi
503 Dịch vụ không có sẵn
504 Gateway timeout
505 Phiên bản SIP không hỗ trợ
Lỗi toàn cầu 600 Bận ở mọi nơi
603 Từ chối
604 Không tồn tại ở mọi nơi
606 Không chấp nhận
Bảng 2-5: Các đáp ứng của SIP
2.2.6 Các giao thức vận chuyển trong SIP.
SIP có thể sử dụng UDP và TCP. Khi được gửi trên UDP hay TCP,
nhiều sự giao dịch SIP có thể được mang trên một kết nối TCP đơn lẻ hay
gói dữ liệu UDP. Gói dữ liệu UDP (bao gồm tất cả các tiêu đề) thì không vượt
quá đơn vị truyền dẫn lớn nhất MTU (Maximum Transmission Unit) nếu
Bảo mật trong VoIP
34
MTU được định nghĩa hay không vượt quá 1500 byte nếu MTU không được
định nghĩa.
2.2.6.1 UDP
UDP là giao thức tầng vận chuyển không có điều khiển tắc nghẽn. Nó
được dùng để vận chuyển bản tin SIP vì đơn giản và thích hợp với các ứng
dụng thời gian thực. Các bản tin SIP thường có kích thước nhỏ hơn MTU
(Message Transport Unit). Nếu bản tin lớn thì phải dùng TCP, vì lý do này mà
SIP không có chức năng chia nhỏ gói.
Hình 2.12 (a): Trao đổi bản tin SIP bằng UDP
2.2.6.2 TCP
TCP là giao thức ở tầng vận chuyển đáng tin cậy do có điều khiển tắc
nghẽn, hơn nữa nó có thể vận chuyển gói tin có kích thước bất kỳ. Nhược
điểm của nó là tăng độ trễ.
Bảo mật trong VoIP
35
Hình 2.12(b): Vận chuyển bản tin SIP bằng TCP
Để tăng cường tính bảo mật thì còn có những giao thức bổ sung để vận
chuyển bản tin SIP như TLS, SRTP.
2.2.7 So sánh H.323 và SIP
SIP và H.323 được phát triển với những mục đích khác nhau bởi các tổ
chức khác nhau. H.323 được phát triển bởi ITU-T từ theo PSTN, dùng mã hóa
nhị phân và dùng lại một phần báo hiệu ISDN. SIP được IETF phát triển dựa
trên mạng Internet, dùng một số giao thức và chức năng của mạng Internet.
Hệ thống mã hóa: SIP là giao thức text-based (text dạng ASCII) giống
như HTTP trong khi đó H.323 dùng các bản tin mã hóa nhị phân. Mã hóa nhị
phân giúp giảm kích thước bản tin nhưng nó phức tạp hơn dạng text bình
thường. Ngược lại các bản tin text dễ dàng tạo ra, lưu lại, kiểm tra và không
cần bất cứ một tool nào để biên dịch nó, điều này làm cho SIP thân thiện với
môi trường Internet và các nhà phát triển web. Bản tin SIP có cấu trúc ABNF,
(Augmented Backus-Naur Form) còn bản tin H.323 ASN.1 không có cấu trúc.
H.323 chỉ có chức năng báo hiệu, SIP có thêm khả năng thông tin về
trạng thái của user (presense and Instant message) vì SIP sử dụng địa chỉ URI.
Điều này là thế mạnh của SIP và hầu hết các dịch vụ ngày nay dùng SIP nhiều
hơn so với H.323. SIP được hỗ trợ bởi thiết bị của các nhà cung cấp dich vụ
và đang dần thay thế H.323. SIP cũng được các hãng di động sử dụng như
giao thức báo hiệu cuộc gọi.
Bảo mật trong VoIP
36
Tính cước: SIP muốn có thông tin tính cước phải ở trong quá trình báo
hiệu cuộc gọi để phát hiện ra thời điểm kết thúc cuộc gọi. Còn với H.323, tại
thời điểm khởi tạo và kết thúc cuộc gọi, các thông tin tính cước nằm trong các
bản tin ARQ/DRQ. Với trường hợp cuộc gọi báo hiệu trực tiếp, EP thông báo
cho GK thời điểm bắt đầu và kết thúc cuộc gọi bằng bản tin RAS.
Về mức độ bảo mật: SIP có nhiều hỗ trợ bảo mật đảm bảo mã hóa,
chứng thực dùng certificate, toàn vẹn bản tin end-to-end. Bản thân SIP không
phát triển những hỗ trợ này mà nó thừa hưởng từ các giao thức hỗ trợ bảo mật
của Internet như TLS và S/MIME. Còn H.323 thì xây dựng H.235 cho chứng
thực và mã hóa.
Các thiết bị SIP còn hạn chế về việc trao đổi khả năng. Còn các thiết bị
trong mạng H.323 có khả năng trao đổi khả năng và thương lượng mở kênh
nào (audio, thoại, video hay dữ liệu).
H.323 và SIP cùng tồn tại và có chức năng tương tự như nhau. SIP
được hỗ trợ DNS và URL ngay từ đầu còn H.323 thì không. Tương tự như
vậy H.323 hỗ trợ hội nghị truyền hình với khái niệm MCU ngay từ đầu thì với
SIP chức năng đó được phát triển sau gọi là “focus”.
SIP ban đầu dùng UDP, sau đó dùng TCP. Còn với H.323 thì ban đầu
không dùng UDP nhưng bây giờ đã có hỗ trợ thêm UDP.
Ưu điểm của từng giao thức:
H.323 dùng thay thế một phần trong hệ thống PSTN và chiếm lĩnh thị
trường hội nghị truyền hình. Đối với những bộ phận chỉ dùng chức năng báo
hiệu (thiết lập và kết thúc) cuộc gọi, không dùng hết những ưu điểm nổi trội
của SIP thì không cần thay thế H.323 bằng SIP.
SIP hiện tại vẫn chưa hỗ trợ hội nghị truyền hình. Điểm mạnh của nó
hiện tại vẫn là một giao thức đơn giản, dựa trên kiến trúc Internet.
2.2.8 Giao thức vận chuyển trong VoIP
Giao thức thời gian thực Real-time Protocol (RTP) được ra đời do tổ
chức IETF đề xuất, nó đảm bảo cơ chế vận chuyển và giám sát cách
truyền thông thời gian thực trên mạng IP. RTP có hai thành phần:
- Bản thân RTP mang chức năng vận chuyển, cung cấp các thông tin về
các gói tin thoại.
Bảo mật trong VoIP
37
- Giao thức điều khiển thời gian thực RTCP (Real-time Control
Protocol) mang chức năng giám sát và đánh giá chất lượng truyền tin.
2.2.8.1 RTP
Một cuộc thoại thông thường được chia thành các phiên báo hiệu cuộc
gọi, điều khiển cuộc gọi, thỏa thuận cách truyền thông và phiên hội
thoại. Vị trí của RTP nằm trong phiên hội thoại.
Cách thức truyền tiếng nói qua mạng IP: Qua phiên thoả thuận phương
thức truyền thông, các bên tham gia hội thoại tiến hành mở hai cổng UDP kề
nhau, cổng chẵn cho truyền tiếng nói (RTP), cổng lẻ cho truyền các thông tin
trạng thái để giám sát (RTCP). Thông thường, hai cổng được chọn mặc định
là 5004 và 5005.
Tại phía phát, tiếng nói được điều chế thành dạng số hoá, qua bộ
CODEC được nén thành các gói tin để truyền đi. Khi đi xuống tầng UDP/IP,
mỗi gói tin được gắn với một header tương ứng. Header này có kích thước 40
byte, cho biết địa chỉ IP nguồn, địa chỉ IP đích, cổng tương ứng, header RTP
và các thông tin khác:
Hình 2.13: Gói RTP
Chẳng hạn như ta sử dụng G.723.1 thì mỗi payload có kích thước 24
byte, như vậy phần dữ liệu cho mỗi gói tin chỉ chiếm 37,5%.
Header RTP cho biết cách mã hóa được sử dụng cho gói tin
này, chỉ mục gói, nhãn thời gian của nó và các thông tin quan trọng khác. Từ
các thông tin này ta có thể xác định ràng buộc giữa gói tin với thời gian.
Header RTP gồm 2 phần :
Phần cố định dài 12 byte.
Phần mở rộng để người sử dụng có thể đưa thêm các thông tin khác.
Header RTP cho mỗi gói tin có dạng :
Bảo mật trong VoIP
38
0
0 1 2 3 4 5 6 7 8 9 1 2 3
1
0 4 5
2
06 7 8 9 1 2 3 4
3
05 6 7 8 9 1
T1527560-97
V = 2 P X CC M PT Sequence number
Timestamp
Synchronization Source (SSRC) identifier
Contributing Source (CSRC) identifiers
Hình 2.14: Cấu trúc header của RTP
Các gói được sắp xếp lại theo đúng thứ tự thời gian thực ở bên nhận
rồi được giả...
Download miễn phí Bảo Mật Trong VoIP
LỜI MỞ ĐẦU
Như ta đã thấy với sự phát triển của mạng chuyển mạch gói IP cùng với
sự hội nhập mạnh mẽ vào nền kinh tế của khu vực và thế giới. Và một trong
những yếu tố quan trọng để có thể cạch tranh được đó là chi phí thấp. Cũng vì
lý do đó mà VoIP đang trở thành một công nghệ rất phổ biến với chi phí thấp
và cấu trúc mềm dẻo đáp ứng được nhu cầu của người sử dụng. Tuy nhiên, để
thiết lập một hệ thống VoIP thì ngoài chất lượng dịch vụ (QoS) thì cũng cần
phải tính đến bảo mật cho hệ thống VoIP. Việc tích hợp các dịch vụ thoại, dữ
liệu, video, trên cùng một hạ tầng mạng IP đã mang đến nhiều nguy cơ tiềm
ẩn về bảo mật. Không chỉ do mạng IP là một mạng công cộng, nguy cơ bị tấn
công rất lớn mà bản thân các giao thức VoIP cũng có những nguy cơ về bảo
mật.
Xuất phát từ những ý nghĩ trên mà em quyết định chọn đề tài “Bảo Mật
Trong VoIP”. Trong giới hạn đề tài, em chỉ tìm hiểu về lý thuyết bảo mật cho
hệ thống VoIP. Nội dung của đề tài bao gồm tìm hiểu về kiến trúc và các giao
thức của các mạng VoIP cụ thể, từ đó phân tích những lỗ hổng trong mạng
VoIP và các công nghệ để khắc phục các lỗ hổng đó. Nội dung luận văn được
chia thành 3 chương:
Chương 1: Tổng Quan Trong Mạng VoIP
Chương 2: Công Nghệ Trong VoIP
Chương 3: Bảo Mật Trong VoIP
Trong quá trình nghiên cứu đề tài này, do kiến thức và kinh nghiệm của
em còn hạn chế vì vậy không tránh được những thiếu sót, rất mong được sự
nhận xét và góp ý của Thầy Cô cùng bạn bè.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
hiều dài413 Thực thể yêu cầu quá lớn
414 URL yêu cầu quá lớn
415 Không hỗ trợ loại media
420 Mở rộng sai
480 Không sẵn có
481 Cuộc gọi hay sự trao đổi không tồn
tại
482 Vòng lặp được phát hiện
483 Quá nhiều hop
484 Địa chỉ không hoàn thành
485 Mơ hồ
486 Đang bận
Lỗi Server 500 Lỗi server bên trong
501 Không thực thi
502 Gateway lỗi
503 Dịch vụ không có sẵn
504 Gateway timeout
505 Phiên bản SIP không hỗ trợ
Lỗi toàn cầu 600 Bận ở mọi nơi
603 Từ chối
604 Không tồn tại ở mọi nơi
606 Không chấp nhận
Bảng 2-5: Các đáp ứng của SIP
2.2.6 Các giao thức vận chuyển trong SIP.
SIP có thể sử dụng UDP và TCP. Khi được gửi trên UDP hay TCP,
nhiều sự giao dịch SIP có thể được mang trên một kết nối TCP đơn lẻ hay
gói dữ liệu UDP. Gói dữ liệu UDP (bao gồm tất cả các tiêu đề) thì không vượt
quá đơn vị truyền dẫn lớn nhất MTU (Maximum Transmission Unit) nếu
Bảo mật trong VoIP
34
MTU được định nghĩa hay không vượt quá 1500 byte nếu MTU không được
định nghĩa.
2.2.6.1 UDP
UDP là giao thức tầng vận chuyển không có điều khiển tắc nghẽn. Nó
được dùng để vận chuyển bản tin SIP vì đơn giản và thích hợp với các ứng
dụng thời gian thực. Các bản tin SIP thường có kích thước nhỏ hơn MTU
(Message Transport Unit). Nếu bản tin lớn thì phải dùng TCP, vì lý do này mà
SIP không có chức năng chia nhỏ gói.
Hình 2.12 (a): Trao đổi bản tin SIP bằng UDP
2.2.6.2 TCP
TCP là giao thức ở tầng vận chuyển đáng tin cậy do có điều khiển tắc
nghẽn, hơn nữa nó có thể vận chuyển gói tin có kích thước bất kỳ. Nhược
điểm của nó là tăng độ trễ.
Bảo mật trong VoIP
35
Hình 2.12(b): Vận chuyển bản tin SIP bằng TCP
Để tăng cường tính bảo mật thì còn có những giao thức bổ sung để vận
chuyển bản tin SIP như TLS, SRTP.
2.2.7 So sánh H.323 và SIP
SIP và H.323 được phát triển với những mục đích khác nhau bởi các tổ
chức khác nhau. H.323 được phát triển bởi ITU-T từ theo PSTN, dùng mã hóa
nhị phân và dùng lại một phần báo hiệu ISDN. SIP được IETF phát triển dựa
trên mạng Internet, dùng một số giao thức và chức năng của mạng Internet.
Hệ thống mã hóa: SIP là giao thức text-based (text dạng ASCII) giống
như HTTP trong khi đó H.323 dùng các bản tin mã hóa nhị phân. Mã hóa nhị
phân giúp giảm kích thước bản tin nhưng nó phức tạp hơn dạng text bình
thường. Ngược lại các bản tin text dễ dàng tạo ra, lưu lại, kiểm tra và không
cần bất cứ một tool nào để biên dịch nó, điều này làm cho SIP thân thiện với
môi trường Internet và các nhà phát triển web. Bản tin SIP có cấu trúc ABNF,
(Augmented Backus-Naur Form) còn bản tin H.323 ASN.1 không có cấu trúc.
H.323 chỉ có chức năng báo hiệu, SIP có thêm khả năng thông tin về
trạng thái của user (presense and Instant message) vì SIP sử dụng địa chỉ URI.
Điều này là thế mạnh của SIP và hầu hết các dịch vụ ngày nay dùng SIP nhiều
hơn so với H.323. SIP được hỗ trợ bởi thiết bị của các nhà cung cấp dich vụ
và đang dần thay thế H.323. SIP cũng được các hãng di động sử dụng như
giao thức báo hiệu cuộc gọi.
Bảo mật trong VoIP
36
Tính cước: SIP muốn có thông tin tính cước phải ở trong quá trình báo
hiệu cuộc gọi để phát hiện ra thời điểm kết thúc cuộc gọi. Còn với H.323, tại
thời điểm khởi tạo và kết thúc cuộc gọi, các thông tin tính cước nằm trong các
bản tin ARQ/DRQ. Với trường hợp cuộc gọi báo hiệu trực tiếp, EP thông báo
cho GK thời điểm bắt đầu và kết thúc cuộc gọi bằng bản tin RAS.
Về mức độ bảo mật: SIP có nhiều hỗ trợ bảo mật đảm bảo mã hóa,
chứng thực dùng certificate, toàn vẹn bản tin end-to-end. Bản thân SIP không
phát triển những hỗ trợ này mà nó thừa hưởng từ các giao thức hỗ trợ bảo mật
của Internet như TLS và S/MIME. Còn H.323 thì xây dựng H.235 cho chứng
thực và mã hóa.
Các thiết bị SIP còn hạn chế về việc trao đổi khả năng. Còn các thiết bị
trong mạng H.323 có khả năng trao đổi khả năng và thương lượng mở kênh
nào (audio, thoại, video hay dữ liệu).
H.323 và SIP cùng tồn tại và có chức năng tương tự như nhau. SIP
được hỗ trợ DNS và URL ngay từ đầu còn H.323 thì không. Tương tự như
vậy H.323 hỗ trợ hội nghị truyền hình với khái niệm MCU ngay từ đầu thì với
SIP chức năng đó được phát triển sau gọi là “focus”.
SIP ban đầu dùng UDP, sau đó dùng TCP. Còn với H.323 thì ban đầu
không dùng UDP nhưng bây giờ đã có hỗ trợ thêm UDP.
Ưu điểm của từng giao thức:
H.323 dùng thay thế một phần trong hệ thống PSTN và chiếm lĩnh thị
trường hội nghị truyền hình. Đối với những bộ phận chỉ dùng chức năng báo
hiệu (thiết lập và kết thúc) cuộc gọi, không dùng hết những ưu điểm nổi trội
của SIP thì không cần thay thế H.323 bằng SIP.
SIP hiện tại vẫn chưa hỗ trợ hội nghị truyền hình. Điểm mạnh của nó
hiện tại vẫn là một giao thức đơn giản, dựa trên kiến trúc Internet.
2.2.8 Giao thức vận chuyển trong VoIP
Giao thức thời gian thực Real-time Protocol (RTP) được ra đời do tổ
chức IETF đề xuất, nó đảm bảo cơ chế vận chuyển và giám sát cách
truyền thông thời gian thực trên mạng IP. RTP có hai thành phần:
- Bản thân RTP mang chức năng vận chuyển, cung cấp các thông tin về
các gói tin thoại.
Bảo mật trong VoIP
37
- Giao thức điều khiển thời gian thực RTCP (Real-time Control
Protocol) mang chức năng giám sát và đánh giá chất lượng truyền tin.
2.2.8.1 RTP
Một cuộc thoại thông thường được chia thành các phiên báo hiệu cuộc
gọi, điều khiển cuộc gọi, thỏa thuận cách truyền thông và phiên hội
thoại. Vị trí của RTP nằm trong phiên hội thoại.
Cách thức truyền tiếng nói qua mạng IP: Qua phiên thoả thuận phương
thức truyền thông, các bên tham gia hội thoại tiến hành mở hai cổng UDP kề
nhau, cổng chẵn cho truyền tiếng nói (RTP), cổng lẻ cho truyền các thông tin
trạng thái để giám sát (RTCP). Thông thường, hai cổng được chọn mặc định
là 5004 và 5005.
Tại phía phát, tiếng nói được điều chế thành dạng số hoá, qua bộ
CODEC được nén thành các gói tin để truyền đi. Khi đi xuống tầng UDP/IP,
mỗi gói tin được gắn với một header tương ứng. Header này có kích thước 40
byte, cho biết địa chỉ IP nguồn, địa chỉ IP đích, cổng tương ứng, header RTP
và các thông tin khác:
Hình 2.13: Gói RTP
Chẳng hạn như ta sử dụng G.723.1 thì mỗi payload có kích thước 24
byte, như vậy phần dữ liệu cho mỗi gói tin chỉ chiếm 37,5%.
Header RTP cho biết cách mã hóa được sử dụng cho gói tin
này, chỉ mục gói, nhãn thời gian của nó và các thông tin quan trọng khác. Từ
các thông tin này ta có thể xác định ràng buộc giữa gói tin với thời gian.
Header RTP gồm 2 phần :
Phần cố định dài 12 byte.
Phần mở rộng để người sử dụng có thể đưa thêm các thông tin khác.
Header RTP cho mỗi gói tin có dạng :
Bảo mật trong VoIP
38
0
0 1 2 3 4 5 6 7 8 9 1 2 3
1
0 4 5
2
06 7 8 9 1 2 3 4
3
05 6 7 8 9 1
T1527560-97
V = 2 P X CC M PT Sequence number
Timestamp
Synchronization Source (SSRC) identifier
Contributing Source (CSRC) identifiers
Hình 2.14: Cấu trúc header của RTP
Các gói được sắp xếp lại theo đúng thứ tự thời gian thực ở bên nhận
rồi được giả...