Giao thức bảo mật h.235 dùng trong hệ thống voip

  • 82 trang
  • file .pdf
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ĐỖ NHƯ LONG
GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG VOIP
LUẬN VĂN THẠC SỸ
Hà Nội 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
ĐẠI HỌC CÔNG NGHỆ
ĐỖ NHƯ LONG
GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG VOIP
Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60 48 15
LUẬN VĂN THẠC SỸ
Người hướng dẫn: PGS.TS Nguyễn Văn Tam
Hà Nội 2011
MỤC LỤC
MỞ ĐẦU
CHƢƠNG I TỔNG QUAN VOIP............................................................................1
1.1 Giới thiệu VoIP.............................................................................................1
1.2 Cấu hình chuẩn của VoIP.............................................................................4
1.3 Mô hình kết nối trong VoIP..........................................................................5
1.4 Đặc điểm của điện thoại VoIP......................................................................5
1.5 Các ứng dụng của VoIP................................................................................7
1.6 Các nguy cơ tấn công vào hệ thống VoIP....................................................8
1.6.1 DoS.....................................................................................................8
1.6.2 Call Hijacking and Interception..........................................................9
1.6.3 Man-in-the-middle..............................................................................9
1.6.4 Tấn công vào các lỗ hổng của mạng và môi trƣờng.........................10
1.6.4.1 DNS(Domain name system)......................................................10
1.6.4.2 ARP............................................................................................10
1.6.5 Spam trong VoIP..............................................................................12
1.7 Một số công nghệ bảo mật sử dụng trong VoIP.........................................12
1.7.1 Mã hóa đối xứng...............................................................................12
1.7.2 Mã hóa bất đối xứng.........................................................................13
1.7.3 Chứng chỉ điện tử.............................................................................14
1.7.3.1 Chữ ký điện tử............................................................................14
1.7.3.2 Chứng chỉ điện tử.......................................................................16
1.7.4 Một số thuật toán nổi tiếng...............................................................17
1.7.4.1 Thuật toán mã hóa đối xứng AES..............................................17
1.7.4.2 Thuật toán mã hóa bất đối xứng Diffie-Hellman.......................22
1.7.5 Hàm Hash.........................................................................................24
CHƢƠNG 2 BẢO MẬT H.235..............................................................................26
2.1 Giao thức báo hiệu cuộc gọi H323..............................................................26
2.1.1 Giới thiệu..........................................................................................26
2.1.2 Các thành phần của một hệ thống H.323.........................................26
2.1.3 Các thành phần của giao thức H.323................................................29
2.1.4 Các thủ tục báo hiệu trong mạng H.323...........................................31
2.2 Bảo mật H.235.............................................................................................34
2.2.1 Giới thiệu............................................................................................34
2.2.2 Giới thiệu về hệ thống sử dụng H.235................................................34
2.2.2.1 Authentication............................................................................34
2.2.2.2 Call establishment security........................................................35
2.2.2.3 Call control security...................................................................35
2.2.2.4 Media stream privacy.................................................................36
2.2.2.5 Trust Elements...........................................................................36
2.2.3 Các thủ tục bảo mật trong cuộc gọi sử dụng H.235............................37
2.2.3.1 Thủ tục thiết lập kết nối.............................................................37
2.2.3.2 Thủ tục và báo hiệu H.245.........................................................40
2.2.3.3 Thủ tục kết nối đa điểm..............................................................42
2.2.3.4 Thủ tục mã hóa luồng dữ liệu kênh truyền thông......................42
2.2.4 Các thủ tục xác thực trong cuộc gọi sử dụng H.235...........................49
2.2.4.1 Cơ chế xác thực Baseline security profile..................................49
2.2.4.2 Cơ chế xác thực Signature security profile................................54
CHƢƠNG 3 THỰC NGHIỆM...............................................................................58
3.1 Giới thiệu phần mềm Xcall.........................................................................58
3.1.1 Tổng quan hệ thống............................................................................58
3.1.2 Thiết kế chƣơng trình..........................................................................58
3.1.3 Class Diagram.....................................................................................59
3.1.4 Giao diện chƣơng trình.......................................................................60
3.2 Giới thiệu chƣơng trình Wireshark.............................................................61
3.3 Khảo sát cuộc gọi VoIP thực tế...................................................................62
3.3.1 Đối với cuộc gọi không sử dụng giao thức bảo mật H.235................62
3.3.2 Trƣờng hợp sử dụng H.235.................................................................63
KẾT LUẬN
BẢNG KÝ HIỆU CÁC CHỨ VIẾT TẮT
3DES Triple DES
A
AES Advanced Encryption Standard
ASN.1 Abstract Syntax Notation Number 1
ATM Asynchronous Transfer Mode
C
CA Certificate authority
CBC Cipher Block Chaining
D
DES Data Encryption Standard
DoS Denial-of-Service
DH Diffie Hellman
E
EP End Point
EOFB Enhanced OFB mode
ETSI European Telecommunications Standards Institute
G
GK GateKeeper
H
HMAC Hashed MAC
I
IP Internet Protocol
IPSEC Internet Protocol Secutiry
ISP Internet Service Provider
ITSP Internet Telephony Service Provider
ITU International Telecommunication Union
L
LAN Local Area Network
M
MAC Medium Access Control
MCU Multipoint control unit
MD5 Message Digest 5
N
NIST National Institude of Standards and Technology
P
PSTN Public Switched Telephone Network
Q
QoS Quality of Service
R
RAS Remote Access Services
RC4 Rivest Cipher 4
RC5 Rivest Cipher 5
RFC Request For Comment
RSA Rivest,Shamir and Adleman
RTP Real Time Transport Protocol
RTCP RTP Control Protocol
S
SHA Secure Hash Algorithm
T
TCP Transmission Control Protocol
TLS Transport Layer Security
U
UDP User Datagram Protocol
V
VoIP Voice over IP
W
WAN Wide Area Network
DANH MỤC BẢNG
Bảng 1.1 ARP cache của A............................................................................................. 11
Bảng 1.2 Các tham số của AES...................................................................................... 19
Bảng 1.3 S-Box............................................................................................................... 20
Bảng 2.1 OID anti-spamming......................................................................................... 48
Bảng 2.2 Baseline security profile.................................................................................. 49
Bảng 2.3 Signature security profile................................................................................. 54
DANH MỤC HÌNH VẼ
Hình 1.1 Mạng chuyển mạch kênh................................................................................. 2
Hình 1.2 Mạng chuyển mạch gói.................................................................................... 3
Hình 1.3 Cấu hình của VoIP........................................................................................... 4
Hình 1.4 Mô hình kết nối trong VoIP............................................................................. 5
Hình 1.5 Tấn công từ chối dịch vụ phân tán................................................................... 8
Hình 1.6 Tấn công từ chối dịch vụ nội bộ...................................................................... 9
Hình 1.7 ARP Spoofing.................................................................................................. 10
Hình 1.8 ARP redirection............................................................................................... 11
Hình 1.9 Mã hóa đối xứng.............................................................................................. 12
Hình 1.0 Mã hóa bất đối xứng........................................................................................ 14
Hình 1.11 Khóa riêng ký toàn bộ văn bản...................................................................... 15
Hình 1.12 Khóa riêng ký vào hàm Hash......................................................................... 15
Hình 1.13 Dùng khóa công khai để bên nhận mã hóa thông báo................................... 15
Hình 1.14 Quá trình mã hóa và giải mã AES................................................................. 18
Hình 1.15 SubBytes........................................................................................................ 19
Hình 1.16 ShiftRows...................................................................................................... 20
Hình 1.17 MixColumns.................................................................................................. 21
Hình 1.18 AddRoundKey............................................................................................... 22
Hình 1.19 Mô hình Diffie Hellman................................................................................ 23
Hình 1.20 Hoạt động của một hàm băm......................................................................... 24
Hình 1.21 Hàm băm HMAC-SHA1............................................................................... 25
Hình 2.1 Các thành phần H.323...................................................................................... 26
Hình 2.2 Cấu trúc của một đầu cuối H.323.................................................................... 27
Hình 2.3 Kết nối giữa một điểm cuối H.323 và một điểm cuối không phải H.323........ 28
Hình 2.4 Kiến trúc phân tầng H.323............................................................................... 30
Hình 2.5 Cuộc gọi trong H.323...................................................................................... 31
Hình 2.6 Thiết lập cuộc gọi H.323................................................................................. 32
Hình 2.7 Thủ tục H.235.................................................................................................. 37
Hình 2.8 Thành phần ClearToken................................................................................... 39
Hình 2.9 Trường EncytionSync...................................................................................... 42
Hình 2.10 Mã hóa luồng dữ liệu..................................................................................... 43
Hình 2.11 Giải mã luồng dữ liệu...................................................................................... 43
Hình 2.12 Cập nhật khóa................................................................................................. 44
Hình 2.13 Mã hóa CBC.................................................................................................... 45
Hình 2.14 Giải mã CBC................................................................................................... 45
Hình 2.15 Kĩ thuật Ciphertext Stealing........................................................................... 46
Hình 2.16 Định dạng gói RTP dành cho anti spamming................................................ 47
Hình 2.17 Quá trình tính toán xác thực ở bên gửi........................................................... 51
Hình 2.18 Quá trình xác thực bên nhận.......................................................................... 53
Hình 2.19 Quá trình tính toán giá trị xác thực bên gửi, sử dụng chữ ký điện tử............. 55
Hình 2.20 Quá trình xác thực ở bên nhận....................................................................... 57
Hình 3.1 Tổng quan hệ thống......................................................................................... 58
Hình 3.2 Tương tác giữa các module.............................................................................. 58
Hình 3.3 Class Diagram.................................................................................................. 59
Hình 3.4 Biểu đồ sequence huỷ cuộc gọi....................................................................... 60
Hình 3.5 Giao diện chương trình Xcall.......................................................................... 60
Hình 3.6 Chương trình Wireshark.................................................................................. 61
Hình 3.7 Bản tin Setup.................................................................................................... 62
Hình 3.8 Giải nén gói tin RTP........................................................................................ 63
Hình 3.9 Bản tin Setup H.235.......................................................................................... 63
Hình 3.10 Bản tin Connect H.235.................................................................................... 64
Hình 3.11 Bản OpenLogicalChannel H.235................................................................... 64
Hình 3.12 Giải nén gói tin RTP H.235........................................................................... 65
1
CHƢƠNG 1 TỔNG QUAN VOIP
1. 1 Giới thiệu VoIP [1], [12], [16]
Định nghĩa về VOIP: VoIP (viết tắt của Voice over Internet Protocol, nghĩa
là Truyền giọng nói trên giao thức IP) là công nghệ truyền tiếng nói của con người
(thoại) qua mạng thông tin sử dụng bộ giao thức TCP/IP. Nó sử dụng các gói dữ
liệu IP (trên mạng LAN, WAN, Internet) với thông tin được truyền tải là mã hoá
của âm thanh – Theo wikipedia.
Các hệ thống VoIP ngày nay sử dụng 2 giao thức báo hiệu chủ yếu là H323
và SIP. Trong phạm vi nghiên cứu của luận văn chỉ đề cập tới giao thức báo hiệu
H323.
H.323 là chuẩn quốc tế về hội thoại trên mạng được đưa ra bởi hiệp hội viễn
thông quốc tế ITU (International Telecommunication Union). Nó qui định các
thành phần, các giao thức sử dụng, các thủ tục cho phép truyền các dữ liệu đa
phương tiện (âm thanh, hình ảnh) và số liệu thời gian thực thông qua mạng IP mà
không quan tâm tới chất lượng dịch vụ (QoS). Các đầu cuối của các hãng khác nhau
có thể giao tiếp được với nhau nếu các đầu cuối này tuân theo chuẩn H.323.
SIP (Session Initiation Protocol) Giao thức Khởi tạo Phiên: là một giao thức
tín hiệu điện thoại IP dùng để thiết lập, sửa đổi và kết thúc các cuộc gọi điện thoại
VOIP. SIP được phát triển bởi IETF(Internet Engineering Task Force- lực lượng
chuyên trách về kỹ thuật liên mạng).
Một ví dụ về chương trình VoIP miễn phí thông dụng cho phép người sử
dụng có thể nói chuyện với nhau qua Internet bằng PC là chức năng Voice Chat của
phần mềm Yahoo Messenger.
Trong dịch vụ VoIP có thể có sự tham gia của 3 loại đối tượng cung cấp
dịch vụ như sau:
- Đơn vị cung cấp Internet ISP.
- Đơn vị cung cấp dịch vụ điện thoại Internet ITSP.
- Đơn vị cung cấp dịch vụ trong mạng chuyển mạch kênh.
Người sử dụng đầu cuối muốn sử dụng được dịch vụ điện thoại IP, họ phải
sử dụng kết hợp mạng Internet và các chương trình ứng dụng cho điện thoại IP.
Các đơn vị cung cấp dịch vụ Internet cung cấp sự việc sử dụng Internet cho khách
hàng của họ thì các đơn vị cung cấp dịch vụ điện thoại ITSP cung cấp dịch vụ điện
thoại IP cho khách hàng bằng cách sử dụng các chương trình ứng dụng dùng cho
điện thoại IP. Chỉ có dịch vụ truy cập Internet cung cấp bởi các đơn vị ISP là chưa
đầy đủ để cung cấp dịch vụ điện thoại IP. Người sử dụng đầu cuối phải đăng nhập
vào đơn vị cung cấp dịch vụ điện thoại IP khi sử dụng điện thoại IP. Việc liên lạc
thông qua dịch vụ điện thoại IP sẽ không thực hiện được nếu người sử dụng chỉ
truy nhập vào mạng Internet. Để phục vụ cho việc đàm thoại giữa những người sử
dụng trên các máy tính đầu cuối của mạng Internet, các công ty phần mềm đã cung
cấp các trương trình ứng dụng dùng cho điện thoại IP thực hiện vai trò của ITSP.
Đối với người sử dụng trên mạng chuyển mạch kênh, họ sẽ truy nhập vào ISP hoặc
ITSP thông qua các điểm truy nhập trong mạng chuyển mạch kênh.
2
VoIP dựa trên sự kết hợp giữa mạng chuyển mạch gói (mạng IP) và mạng
chuyển mạch kênh. Mỗi loại mạng có những đặc điểm khác biệt nhau. Để có thể
hiểu được những ưu điểm khác biệt của VoIP, trước hết chúng ta đi vào nghiên cứu
hai kỹ thuật chuyển mạch cơ bản sử dụng trong VOIP là kỹ thuật chuyển mạch
kênh và kỹ thuật chuyển mạch gói.
Kỹ thuật chuyển mạch kênh (Circuit Switching): Đặc điểm nổi bật của kĩ
thuật chuyển mạch kênh là: một kênh cố định sẽ được thiết lập cho hai đầu cuối khi
chúng có nhu cầu trao đổi thông tin với nhau, kênh này được dành riêng và duy trì
cho tới khi quá trình trao đổi giữa hai đầu cuối kết thúc. Các thông tin trao đổi giữa
hai đầu cuối là trong suốt. Quá trình thiết lập cuộc gọi tiến hành gồm 3 giai đoạn:
 Giai đoạn thiết lập kết nối: Là quá trình kết hợp các tuyến giữa các trạm
trên mạng thành một tuyến (kênh) duy nhất dành riêng cho cuộc gọi.
Kênh này đối với PSTN là 64kb/s (do bộ mã hóa PCM có tốc độ lấy mẫu
tiếng nói 8kb/s và được mã hóa 8 bit).
 Giai đoạn truyền tin: Sau khi kênh được thiết lập các thông tin trao đổi
được truyền đi và các thông tin đó là trong suốt. Sự trong suốt của thông
tin được truyền đi thể hiện qua hai yếu tố: thông tin không bị thay đổi khi
truyền qua mạng và độ trễ nhỏ, độ trễ chỉ cỡ thời gian truyền thông tin
trên kênh.
 Giai đoạn giải phóng (huỷ bỏ) kết nối: Sau khi cuộc gọi kết thúc, kênh sẽ
được giải phóng để phục vụ cho các cuộc gọi khác.
Chất lượng đường truyền tốt, ổn định, có độ trễ nhỏ là những ưu điểm nổi
trội của mạng chuyển mạch kênh. Các thiết bị mạng của chuyển mạch kênh đơn
giản, có tính ổn định cao, chống nhiễu tốt. Tuy nhiên mạng chuyển mạch kênh
cũng tồn tại những hạn chế và nhược điểm sau:
 Lãng phí băng thông: Một kênh 64kb/s luôn được duy trì cho một cuộc
gọi nhất định. Trong tiến trình cuộc gọi khi không có dữ liệu kênh vẫn
được duy trì không chia sẻ được cho các cuộc gọi khác dẫn tới việc lãng
phí băng thông
 Bảo mật: Tín hiệu cuộc đàm thoại được truyền nguyên vẹn nên rất dễ đến
khả năng bị nghe trộm cuộc đàm thoại.
Hình 1.1 Mạng chuyển mạch kênh
3
Kỹ thuật chuyển mạch gói (Packet Switching): Trong kỹ thuật chuyển
mạch gói bản tin sẽ được chia thành các gói tin (packet) có khuôn dạng được quy
định trước. Các gói tin chứa thông tin điều khiển như: số thứ tự gói tin, địa chỉ trạm
nguồn, địa chỉ trạm đích.... Tại mỗi nút mạng trên tuyến các gói tin được nhận, nhớ
và sau đó thì chuyển tiếp tới các nút mạng khác cho tới khi chúng được truyền tới
chạm đích. Điều phức tạp nhất đối với chuyển mạch gói là vấn đề tập hợp các gói
tin để tạo bản tin nguyên bản ban đầu, đặc biệt là khi các gói tin được truyền theo
nhiều con đường khác nhau tới trạm đích. Chính vì lý do trên mà các gói tin cần
phải được đánh dấu số thứ tự, điều này có tác dụng, chống lặp, sửa sai và có thể
truyền lại khi hiên tượng mất gói xảy ra.
Các ưu điểm của chuyển mạch gói:
 Mềm dẻo và hiệu suất truyền tin cao: Hiệu suất sử dụng đường truyền rất
cao vì trong chuyển mạch gói không thiết lập một kênh cố định dành
riêng nào, các đường truyền giữa các node có thể được các trạm cùng chia
sẻ cho việc truyền tin, các gói tin sắp hàng và truyền theo tốc độ rất nhanh
trên đường truyền.
 Khả năng truyền ưu tiên: Trong chuyển mạch gói các gói tin có khả năng
được sắp thứ tự để truyền đi theo mức độ ưu tiên.
 Khả năng cung cấp nhiều dịch vụ thoại và phi thoại.
Bên cạnh những ưu điểm thì mạng chuyển mạch gói cũng bộc lộ những
nhược điểm như:
 Trễ đường truyền lớn: Khi đi qua các trạm, dữ liệu được lưu trữ, xử lý,
sau đó mới được truyền đi tới trạm tiếp theo..
 Độ tin cậy của mạng gói không cao, dễ xảy ra tắc nghẽn, lỗi mất bản tin.
 Tính đa đường có thể gây là lặp bản tin, loop làm tăng lưu lượng mạng
không cần thiết.
 Tính bảo mật trên đường truyền chung là không cao.
Hình 1.2 Mạng chuyển mạch gói
Áp dụng VoIP có thể khai thác tính hiệu quả của các mạng truyền số liệu,
khai thác tính linh hoạt trong phát triển các ứng dụng mới của giao thức IP. Nhưng
VoIP cũng phức tạp và đòi hỏi giải quyết nhiều vấn đề.
4
1.2. Cấu hình chuẩn của VoIP [12]
Cấu hình chuẩn của VoIP theo nghiên cứu của Viện các tiêu chuẩn viễn
thông Châu Âu - ETSI (The European Telecommunications Standards Institute) có
thể bao gồm các phần tử sau:
- Thiết bị đầu cuối kết nối với mạng IP.
- Mạng IP.
- Gateway.
- Gatekeeper.
- Thiết bị đầu cuối kết nối với mạng chuyển mạch kênh.
- Mạng chuyển mạch kênh.
Tùy thuộc vào các kiểu kết nối khác nhau cấu hình mạng có thể thêm hoặc
bớt một số phần tử trên. Trong đó, cấu hình cơ bản của VoIP gồm các phần tử
Gatekeeper, Gateway, các thiết bị đầu cuối thoại và máy tính. Mỗi một thiết bị đầu
cuối sẽ giao tiếp với một Gatekeeper và giao tiếp này giống với giao tiếp giữa thiết
bị đầu cuối và Gateway. Mỗi Gatekeeper sẽ chịu trách nhiệm quản trị một vùng,
tuy nhiên một vùng cũng có thể được quản lý bởi nhiều Gatekeeper.
Trong vùng quản trị của các Gatekeeper, các tín hiệu báo hiệu có thể được
chuyển tiếp qua một hoặc nhiều Gatekeeper. Do đó các Gatekeeper phải có khả
năng trao đổi các thông tin với nhau khi cuộc gọi liên quan đến nhiều Gatekeeper.
Hình 1.3 Cấu hình của VoIP
5
1.3. Mô hình kết nối trong VoIP [12]
Hình 1.4 Mô hình kết nối trong VoIP
Về cơ bản có thể chia thành 4 loại như sau:
- Kết nối PC – PC: Cuộc gọi được thực hiện giữa hai thiết bị VOIP.
- Kết nối PC – Phone: Cuộc gọi được thực hiện khi sử dụng thiết bị
VOIP hay máy tính vào mạng điện thoại thông thường.
- Kết nối Phone – PC: Cuộc gọi được thực hiện từ mạng điện thoại
thông thường đến một số điện thoại VOIP .
- Kết nối Phone – Phone: Cuộc gọi được thực hiện từ một số điện thoại
thông thường vào số điện thoại đặc biệt của nhà cung cấp dịch vụ
VOIP, và thông qua đó để gọi đến mạng điện thoại thông thường khác.
1.4. Đặc điểm của điện thoại VoIP [12], [15], [16]
Mục tiêu của Điện thoại IP nhằm khai thác tính hiệu quả của các mạng
truyền số liệu, khai thác tính linh hoạt trong phát triển các ứng dụng mới của giao
thức IP và nó được áp dụng trên một mạng toàn cầu là mạng Internet. Các tiến bộ
của công nghệ mang đến cho điện thoại IP những ưu điểm sau:
Ƣu điểm:
Tiết kiệm chi phí: Đây là ưu điểm quan trọng nhất của VOIP so với điện
thoại đường dài. Chi phí cho cuộc gọi đường dài chỉ bằng chi phí cho truy nhập
internet. Lý do nằm ở chỗ tín hiệu thoại được truyền tải trong mạng IP có khả
năng sử dụng kênh với hiệu suất rất cao. Hơn nữa, kỹ thuật nén thoại tiên tiến
giảm tốc độ bít từ 64 Kbps xuống thấp tới 8 Kbps (theo tiêu chuẩn nén thoại
G.729A của ITU-T) và tốc độ xử lý nhanh của các bộ vi xử lý ngày nay cho phép
6
việc truyền tiếng nói theo thời gian thực là có thể thực hiện được với lượng tài
nguyên băng thông thấp hơn nhiều so với kỹ thuật cũ.
Một so sánh nhỏ về chi phí phải thanh toán cho một cuộc gọi trong mạng
PSTN và một cuộc gọi trong mạng VOIP như sau: Chi phí phải thanh toán cho
cuộc gọi trong mạng PSTN là chi phí phải bỏ ra để duy trì cho một kênh 64kbps
từ đầu cuối gọi tới đầu cuối bị gọi thông qua một hệ thống các tổng đài. Chi phí
này đối với các cuộc gọi đường dài (liên tỉnh, quốc tế) là khá lớn.
Trong cuộc gọi qua mạng IP, người sử dụng từ mạng PSTN chỉ phải duy trì
kênh 64kbps đến Gateway của nhà cung cấp dịch vụ tại địa phương. Nhà cung cấp
dịch vụ điện thoại IP sẽ nén, đóng gói tín hiệu thoại và gửi chúng đi qua mạng IP
tới Gateway nối tới một mạng điện thoại khác có người liên lạc đầu kia. Chi phí sẽ
được giảm đáng kể do phần lớn kênh truyền 64Kbps đã được thay thế bằng việc
truyền thông tin qua mạng dữ liệu với hiệu suất cao.
Tích hợp đa dịch vụ: Trong một mạng IP tín hiệu thoại, báo hiệu và số
liệu được tích hợp dẫn tới việc giảm chi phí để xây dựng những mạng riêng rẽ.
Thống nhất: Các ứng dụng sử dụng thống nhất giao thức IP sẽ giảm bớt
tính phức tạp và tăng cường tính mềm dẻo. Các ứng dụng liên quan như dịch vụ
an ninh mạng, danh bạ... có thể được chia sẻ một cách dễ dàng.
Khả năng mở rộng (Scalability): Các hệ thống tổng đài PSTN thông
thường là những hệ đóng kín khó có khả năng mở rộng và thêm vào các tính năng
mới, ngược lại các thiết bị trong mạng IP có khả năng mở rộng và thêm vào các
tính năng mới.
Không cần thông tin điều khiển để thiết lập kênh truyền vật lý: Các gói
tin truyền trong mạng IP chỉ cần mang địa chỉ của nơi nhận cuối cùng để truyền
tới đích. Nó không cần phải thiết lập một kênh vật lý riêng cho việc truyền.
Khả năng multimedia: Trong một ―cuộc gọi‖ người sử dụng có thể vừa nói
chuyện vừa sử dụng các dịch vụ khác như truyền file, chia sẻ dữ liệu, hay xem hình
ảnh của người nói chuyện bên kia.
Nhƣợc điểm của VoIP
Kỹ thuật phức tạp: Việc mất gói tin và đỗ trễ không cố định của các
gói tin khi truyền trên mạng chuyển mạch gói là không thể tránh được, do đó
để truyền tín hiệu theo thời gian thực trên mạng chuyển mạch gói đòi hỏi kỹ thuật
rất phức tạp. Yêu cầu cần thiết để có được một dịch vụ thoại chấp nhận được là phải
có một kỹ thuật nén tín hiệu đạt được những đòi hỏi như: tỉ số nén lớn (để giảm
được tốc độ bit xuống), có khả năng tạo lại thông tin của các gói bị thất lạc... Tốc
độ xử lý của các bộ Codec (Coder and Decoder) phải đủ nhanh để không làm cuộc
7
đàm thoại bị gián đoạn.
Vấn đề bảo mật (security): Vấn đề bảo mật trong VoIP rất phức tạp. Đòi hỏi
các kỹ thuật bảo mật tiên tiến để hạn chế tối đa các nguy cơ tấn công vào mạng VoIP
nhằm bảo mật thông tin liên quan tới cá nhân người sử dụng cũng như số liên lạc truy
nhập sử dụng dịch vụ của người dùng.
Chất lƣợng dịch vụ chƣa cao: Chất lượng cuộc gọi khi được truyền qua
mạng IP không được đảm bảo khi trong mạng xảy ra trường hợp tắc nghẽn hoặc có
độ trễ lớn. Tính thời gian thực của tín hiệu thoại đòi hỏi chất lượng truyền dữ liệu
cao và ổn định. Một yếu tố làm giảm chất lượng thoại nữa là kỹ thuật nén để tiết
kiệm đường truyền. Nếu nén xuống dung lượng càng thấp thì kỹ thuật nén càng
phức tạp, cho chất lượng không cao và đặc biệt là thời gian xử lý sẽ lâu, gây trễ.
Vấn đề tiếng vọng: Trong mạng thoại thông thường, do độ trễ thấp nên tiếng
vọng không ảnh hưởng nhiều chất lượng cuộc thoại. Ngược lại, trong mạng IP có
độ trễ lớn nên tiếng vọng ảnh hưởng rất nhiều đến chất lượng thoại.
1.5. Các ứng dụng của VoIP [12], [15], [16]
Dịch vụ thoại qua Internet
Điện thoại VoIP được ứng dụng cho cả những người sử dụng máy tính và
những người sử dụng điện thoại thông thường quay vào gateway. Mạng máy tính
được tích hợp và phát triển bên cạnh mạng điện thoại. Các mạng máy tính và mạng
điện thoại cùng tồn tại ngay trong một cơ cấu, giữa các cơ cấu khác nhau, và trong
mạng rộng WAN. Công nghệ thoại IP không ngay lập tức đe doạ đến mạng điện
thoại toàn cầu mà nó sẽ dần thay thế thoại chuyển mạch kênh truyền thống.
Thoại thông minh
Việc sử dụng Internet đã làm tăng tính thông minh của mạng điện thoại. Các
hệ thống điện thoại truyền thống thực sự hữu hiệu nhờ các tính năng ưu việt như rẻ,
phổ biến, dễ sử dụng. Tuy nhiên nó chỉ có 12 phím điều khiển. Internet đã bù đắp
những hạn chế của mạng điện thoại truyền thống, nó cung cấp phương thức giám
sát và điều khiển cuộc gọi tiện lợi và thông minh hơn.
Dịch vụ tính cƣớc cho bị gọi
Với việc thoại qua Internet đã giúp các nhà khai thác có thể cung cấp dịch
vụ tính cước cho bị gọi đến các khách hàng ở nước ngoài cũng tương tự như
khách hàng trong nước. Khách hàng có thể sử dụng các chương trình phần mềm
để thực hiện cuộc gọi qua Internet thay vì gọi qua mạng truyền thống. Các phần
mềm được sử dụng phổ biến hiện nay như Internet Phone của Vocaltec,
Netmeeting của Microsoft.
Dịch vụ Callback Web
Việc đưa các phím bấm lên trang web để kết nối tới hệ thống điện thoại của
các công ty, doanh nghiệp mang lại lợi ích rất to lớn về mặt kinh doanh. Hệ thống
8
điện thoại nói chung vẫn đang là phương tiện kinh doanh cực kỳ quan trọng đối
với các công ty, doanh nghiệp ở các nước trên thế giới. Chính vì vậy, dịch vụ ―bấm
số‖ (Click to dial) trên web cung cấp một phương thức tiếp cận khách hàng nhanh
chóng, thuận tiện đối với các công ty, doanh nghiệp.
Dịch vụ fax qua IP
Dịch vụ fax qua IP sẽ giúp tiết kiệm được chi phí và kênh thoại cho người
sử dụng, doanh nghiệp và các công ty. Nó đặc biệt tiết kiệm chi phí cho những
người sử dụng thường xuyên gửi nhiều fax ra nước ngoài. Nó sẽ chuyển các bản
fax của người sử dụng từ PC qua kết nối Internet.
1.6 Các nguy cơ tấn công vào hệ thống VoIP [15], [17]
Việc kết hợp thoại và dữ liệu trên cùng một đường truyền, không phụ thuộc
vào các giao thức sử dụng, mà phụ thuộc vào các kỹ sư mạng và nhà quản lý. Một
hệ quả của sự kết hợp này là khi xảy ra một cuộc tấn công mạng lớn, toàn bộ cơ sở
hạ tầng viễn thông sẽ gặp nguy hiểm rất lớn. Việc đảm bảo an ninh cho toàn bộ hạ
tầng VOIP đòi hỏi phải có kế hoạch, sự phân tích và kiến thức chi tiết về an ninh
mạng. Sau đây là các nguy cơ tấn công phổ biến vào mạng điện thoại VoIP.
1.6.1 DoS
Tấn công từ chối dịch vụ (Denial – of – Service) có thể ảnh hưởng tới bất kỳ
dịch vụ dựa trên mạng IP nào, trong đó VOIP không phải là ngoại lệ. Tác động của
một cuộc tấn công DoS có thể dẫn tới sự xuống cấp các dịch vụ cho tới việc mất
mát toàn bộ dịch vụ. Có rất nhiều kiểu tấn công DoS, một kiểu tấn công điển hình
là các gói tin có thể bị được đưa liên tiếp vào bên trong mạng mục tiêu từ nhiều
nguồn khác nhau. Nó được gọi là tấn công từ chối dịch vụ phân tán.
Hình 1.5 Tấn công từ chối dịch vụ phân tán
9
Loại thứ 2 của tấn công từ chối dịch vụ xảy ra khi các thiết bị trong mạng nội
bộ là mục tiêu của một loạt các gói tin. Gián đoạn dịch vụ xảy ra chủ yếu nhằm làm
suy kiệt tài nguyên CPU và băng thông. Ví dụ một vài điện thoại IP sẽ ngừng hoạt
động nếu chúng nhận được gói tin UDP lớn hơn 65534 byte trên cổng 5060.
Hình 1.6 Tấn công từ chối dịch vụ nội bộ
Việc chống lại các cuộc tấn công DoS là tương đối khó khăn, vì VoIP chỉ là
một dịch vụ mạng IP, nó rất dễ dàng bị tấn công như bất cứ một dịch vụ IP nào
khác. Hơn nữa, các cuộc tấn công DoS đặc biệt hiệu quả với các dịch vụ VoIP và
các dịch vụ thời gian thực khác, bởi vì những dịch vụ này đặc biệt nhạy cảm với
trạng thái của mạng.
1.6.2 Call Hijacking and Interception
Việc chặn cuộc gọi và nghe lén là những quan tâm khác trong mạng VoIP.
Là phương thức mà kẻ tấn công có thể theo dõi các báo hiệu, luồng dữ liệu giữa 2
điểm thiết bị đầu cuối VOIP, nhưng không có khả năng sửa đổi dữ liệu. Chặn cuộc
gọi thành công tương tự như nghe lén, trong đó hội thoại có thể bị đánh cắp, ghi lại,
phát lại. Một kẻ tấn công có thể đánh chặn và lưu trữ những dữ liệu này để sử dụng
chúng vào những mục đích khác nhau.
1.6.3 Man-in-the-middle
Các chương trình phân tích gói tin như Network monitor, sniffer Pro...
thường được các nhà quản trị mạng dùng để quản trị hệ thống, theo dõi, giám sát
chẩn đoán cũng như khắc phục sự cố của mạng. Lợi dụng những ưu điểm của các
chương trình phân tích gói tin đó các hacker tận dụng chúng để ăn cắp các thông tin
như username, passwork hoặc là các thông tin quan trọng của hệ thống. Đối với
kiểu tấn công này người sử dụng không hề biết mình bị tấn công vì tiến trình làm
10
việc giữa máy gửi và nhận diễn ra hoàn toàn bình thường. Đây là một dạng tấn
công cực kỳ nguy hiểm và được gọi là Man In The Middle.
1.6.4 Tấn công vào các lỗ hổng của mạng và môi trƣờng
VoIP được truyền qua cùng môi trường vậy lý (router, Switch và firewall)
với các dịch vụ IP khác nên có thể bị ảnh hưởng. VD như: khi gửi nhiều yêu cầu
báo hiệu hay yêu cầu thiết lập cuộc gọi tới gateway, hay IP phone, các thiết bị này
sẽ không thể xử lý tất cả các bản tin, gây ra DoS. DoS rất nguy hiểm vì nó gần như
làm nghẽn mạng và có thể chặn dịch vụ VoIP.
1.6.4.1 DNS (Domain name system)
DNS là dịch vụ hỗ trợ việc dịch từ host name sang địa chỉ IP để có thể tìm
thấy đường đi trên mạng. Trong hệ thống VoIP, DNS có chức năng phân giải địa
chỉ đích của đầu cuối hay cho phép gateway đăng kí với server hay GK bằng host
name.
Do là một giao thức thành phần của mạng Internet nên DNS không có sự bảo
mật nào (như chứng thực, mã hóa,…) vì vậy có một số cách tấn công vào DNS:
- DNS footprint (Sử dụng vùng dữ liệu DNS để truy tìm host name,
subdomain và subnet)
- DoS (dùng SYN flooding DNS server hay truyền đi bảng DNS trống)
- DNS cache poisoning.
1.6.4.2 ARP Address Resolution Protocol giao thức tìm địa chỉ
ARP là giao thức Ethernet cơ bản. Do nó không có cơ chế chứng thực các
truy vấn và hồi đáp truy vấn nên có thể lợi dụng nó để tấn công mạng VoIP. Những
kiểu tấn công thường gặp là: ARP spoofing, ARP redirection.
 ARP spoofing
Hình 1.7 ARP spoofing
11
Khi A quảng bá truy vấn ARP để tìm địa chỉ của C trên mạng, B sẽ hồi đáp
là địa chỉ IP 10.1.1.2 thuộc về nó (MAC: AB:AC:AD:AE:AF:FF). Như vậy, gói
từ A tới C sẽ được chuyển tới B.
Địa chỉ IP Địa chỉ vật lý
10.1.1.1 AA:BB:CC:DD:EE:FF
10.1.1.2 AB:AC:AD:AE:AF:FF
Bảng 1.1 ARP cache của A
 ARP redirection.
Hình 1.8 ARP redirection
Với kiểu tấn công như trên thì tất cả traffic trao đổi giữa A và C đều đi qua B.
Những thông tin không được mã hóa sẽ bị nghe trộm. Trong trường hợp này kẻ tấn
công cũng ít khi bị phát hiện nếu không cài phần mềm theo dõi bảng ánh xạ giữa
địa chỉ IP và MAC.
Hậu quả của kiểu tấn công này là sự quá tải của Switch do bảng CAM
(Content – Addressable Memory), bảng có kích thước cố định, bị tràn.
Hãng Cisco có phát triển DAI (Dynamic ARP Inspection) trên dòng Switch
Catalyst 6500 để phòng chống các nguy cơ tấn công spoofing lớp 2 và lớp 3, trong
đó có ARP spoofing.
Hãng Avaya sử dụng giải pháp Media Encryption, mã hóa bằng AES, để
tránh việc thông tin bị giải mã khi bị nghe trộm.