Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP

Việc tích hợp các mạng truyền số liệu truyền thống với hạ tầng

mạng Internet được các nhà nghiên cứu đặc biệt quan tâm. Việc tích hợp

mạng điện thoại PSTN truyền thống với mạng Internet cũng không nằm

ngoài mục đích đó. Với những ưu thế như chi phí thấp, sự mềm dẻo về mặt

kiến trúc VoIP ngày càng trở nên phổ biến hơn đối với người sử dụng, là thị

trường tiềm năng đối với các nhà khai thác. Tuy nhiên khi xây dựng một

hệ thống VoIP ngoài việc xem xét tới chất lượng dịch vụ, còn phải đặc biệt

quan tâm tới khía cạnh bảo mật của hệ thống VoIP. Việc tích hợp các dịch

vụ thoại, dữ liệu, video. trên cùng một hạ tầng mạng IP chứa đựng nhiều

nguy cơ tiềm ẩn về bảo mật. Trong bài báo này, chúng tôi xây dựng một

phần mềm VoIP dựa trên mã nguồn mở OpenH323 cho phép liên lạc giữa

2 máy tính trong mạng LAN có áp dụng giao thức bảo mật H.235 sử dụng

giao thức báo hiệu H.323.

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 1

Trang 1

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 2

Trang 2

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 3

Trang 3

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 4

Trang 4

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 5

Trang 5

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 6

Trang 6

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 7

Trang 7

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 8

Trang 8

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 9

Trang 9

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP trang 10

Trang 10

Tải về để xem bản đầy đủ

pdf 12 trang duykhanh 9420
Bạn đang xem 10 trang mẫu của tài liệu "Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP

Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP
 Service) có thể ảnh hưởng tới
bất kỳ dịch vụ dựa trên mạng IP nào, do đó VoIP không phải là ngoại lệ. Tác động
của một cuộc tấn công DoS có thể dẫn tới sự xuống cấp các dịch vụ cho tới việc
mất mát toàn bộ dịch vụ.
  Chặn cuộc gọi và nghe lén: là phương thức mà kẻ tấn công có thể theo dõi
các báo hiệu, luồng dữ liệu giữa 2 điểm thiết bị đầu cuối VoIP, nhưng không có khả
năng sửa đổi dữ liệu. Chặn cuộc gọi thành công tương tự như nghe lén, trong đó
hội thoại có thể bị đánh cắp, ghi lại, phát lại. Một kẻ tấn công có thể đánh chặn và
lưu trữ những dữ liệu này để sử dụng chúng vào những mục đích khác nhau.
  Maninthemiddle: Các chương trình phân tích gói tin như Network monitor,
Sniffer Pro... thường được các nhà quản trị mạng dùng để quản trị hệ thống, theo
dõi, giám sát, chẩn đoán cũng như khắc phục sự cố của mạng. Lợi dụng những ưu
điểm của các chương trình phân tích gói tin đó các hacker tận dụng chúng để ăn
cắp các thông tin như username, password hoặc các thông tin quan trọng của hệ
thống. Đối với kiểu tấn công này người sử dụng không hề biết mình bị tấn công vì
tiến trình làm việc giữa máy gửi và nhận diễn ra hoàn toàn bình thường.
 Trong bài báo này, chúng tôi xây dựng một phần mềm VoIP áp dụng giao
thức bảo mật H.235 và sử dụng giao thức báo hiệu H.323. Chúng tôi tiến hành thực
nghiệm cuộc gọi giữa 2 máy tính trong mạng LAN với 2 trường hợp có sử dụng và
không sử dụng giao thức bảo mật H.235. Trong quá trình thực nghiệm, chúng tôi
sử dụng phần mềm Wireshark để chặn bắt gói tin giữa 2 máy tính trong 2 trường
hợp kể trên để thấy rõ được sự khác biệt bảo mật khi có sử dụng và không sử dụng
giao thức bảo mật H.235 trong hệ thống VoIP.
2. Nội dung nghiên cứu
2.1. Các khái niệm cơ bản
 H.323 [8] là chuẩn quốc tế về hội thoại trên mạng được đưa ra bởi hiệp hội
viễn thông quốc tế ITU (International Telecommunication Union). Nó qui định các
 113
 Đỗ Như Long, Bùi Hải Đăng và Vũ Xuân Bảo
thành phần, các giao thức sử dụng, các thủ tục cho phép truyền các dữ liệu đa
phương tiện (âm thanh, hình ảnh) và số liệu thời gian thực thông qua mạng IP mà
không quan tâm tới chất lượng dịch vụ (QoS). Các đầu cuối của các hãng khác nhau
có thể giao tiếp được với nhau nếu các đầu cuối này tuân theo chuẩn H.323. Một
hệ thống H.323 bao gồm có 4 thành phần chính cho việc truyền tin trên mạng đó
là : Terminal, Gateway, Gatekeeper, MCU(Multipoint control unit).
 Các thành phần của giao thức H.323
  Giao thức báo hiệu cuộc gọi H.225 [3]: H.225 RAS, H.225.0 Call Signalling.
  Giao thức điều khiển cuộc gọi H.245 [9].
  Giao thức truyền tải thông tin đa phương tiện RTP/RTCP [2].
  Các chuẩn mã hóa audio: G.711, G.722, G.728, G.729.
  Các chuẩn mã hóa video : H.261, H.263.
 Hình 1. Các thành phần H.323
 H.235 [4,5,6,7] là chuẩn về bảo mật dành cho hội thoại qua mạng sử dụng giao
thức báo hiệu H.323 được đưa ra bởi hiệp hội liên minh viễn thông quốc tế ITU
(International Telecommunication Union). H.235 mô tả những cơ sở và kĩ thuật bảo
mật được tận dụng cho những thiết bị đầu cuối đa phương tiện H.3xx. H.235 cung
cấp khả năng dàn xếp dịch vụ, nó liên quan đến khả năng hệ thống, yêu cầu của
ứng dụng và đặc tả về ràng buộc của cách thức bảo mật. Nó hỗ trợ những thuật
toán mã hóa khác nhau và những tùy chọn thích hợp với những mục đích khác nhau
114
 Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP
(Ví dụ như độ dài khóa).
2.2. Giới thiệu về hệ thống khi sử dụng giao thức bảo mật H.235
 Một hệ thống khi sử dụng giao thức bảo mật H.235 sẽ bao gồm các tính năng
sau:
 Authentication (xác thực) Quá trình xác thực nhằm mục đích kiểm tra
đối tượng đang trao đổi thông tin là ai. Quá trình này có thể được hoàn thành bằng
cách trao đổi khóa công khai (publickey) dựa trên chứng nhận điện tử (certificate),
hoặc là trao đổi 1 khóa chung (share secret) giữa các bên tham gia. Nó có thể là
mật khẩu (password) hoặc là một phần thông tin nào đó đã được trao đổi.
 H.235 mô tả giao thức trao đổi chứng nhận điện tử (certificate), chứng nhận
điện tử đưa ra một sự bảo đảm cho người kiểm tra rằng: người gửi chứng nhận điện
tử là ai. Mục đích đằng sau chứng nhận điện tử là xác thực người sử dụng thiết
bị đầu cuối chứ không đơn thuần là xác thực thiết bị đầu cuối về mặt vật lý. Sử
dụng chứng nhận điện tử, giao thức xác thực(authentication) này chứng tỏ được
rằng người nhận sở hữu khóa bí mật (private key) tương ứng với khóa công khai
(public key) chứa trong chứng nhận điện tử. Cách xác thực này giúp chống lại kiểu
tấn công maninthemiddle.
 Call establishment security (Bảo mật báo hiệu cuộc gọi  H.225) Có
2 lý do thúc đẩy việc thiết lập kênh bảo mật. Thứ nhất là xác thực đơn giản trước
khi chấp nhận cuộc gọi. Thứ hai là để cấp phép cuộc gọi. Nhiệm vụ của kênh H.225
trong trường hợp này là cung cấp các kĩ thuật bảo mật mà đầu cuối có thể đáp ứng,
xác nhận các kĩ thuật bảo mật đó và trao đổi chứng chỉ điện tử.
 Call control security (Bảo mật kênh điều khiển cuộc gọi H.245) Kênh
điều khiển cuộc gọi được bảo mật để cung cấp bảo đảm cho kênh truyền thông sau
đó. Kênh H.245 được bảo vệ sử dụng những kĩ thuật bảo mật đã được trao đổi trước
đó. Bản tin H.245 được sử dụng để báo hiệu thuật toán mã hóa và khóa đã được mã
hóa sử dụng trong kênh chia sẻ, kênh media. Trong hội nghị đa điểm, nhiều khóa
khác nhau được sử dụng cho nhiều luồng với mỗi điểm đầu cuối. Nó đảm bảo an
toàn đối với mỗi điểm đầu cuối trong hội nghị.
 Media stream privacy (Bảo mật kênh truyền thông) Khuyến nghị này
mô tả bảo mật truyền thông cho luồng dữ liệu đa phương tiện truyền trên mạng
chuyển mạnh gói.
 Bước đầu tiên trong việc đạt được bảo mật truyền thông là sự cung cấp có
đảm bảo của một kênh điều khiển, dựa trên đó để đặt một khóa mã hóa và thiết lập
những kênh logic sẽ mang những luồng dữ liệu truyền thông đã được mã hóa. Vì
vậy, khi hoạt động trong một hội nghị có đảm bảo, các đầu cuối tham gia có thể sử
dụng một kênh H.245 đã được mã hóa. Theo cách đó, thuật toán mã hóa được lựa
chọn và khóa mã hóa đưa vào trong bản tin H.245 Open Logical Channel được
 115
 Đỗ Như Long, Bùi Hải Đăng và Vũ Xuân Bảo
bảo vệ.
 Dữ liệu đã được mã hóa được truyền trong các kênh logic phải nằm trong kiểu
được đặc tả bởi Open Logical Channel. Thông tin trong phần header gửi đi không
được mã hóa. Sự bảo mật của dữ liệu dựa trên cơ sở mã hóa endtoend.
2.3. Thực nghiệm
2.3.1. Giới thiệu phần mềm Xcall
 * Tổng quan hệ thống
 Hình 2. Tổng quan hệ thống
  XCall Application: Là một ứng dụng H.323 client đơn giản được xây dựng
dựa trên bộ thư viện mã nguồn mở Open H.323, cho phép thực hiện các cuộc gọi
bảo mật giữa 2 điểm đầu cuối.
  Open H.323 : Bộ thư viện mã nguồn mở được viết bằng ngôn ngữ lập trình
C++, cung cấp các giao diện cần thiết cho việc thiết lập một hệ thống VoIP sử
dụng giao thức H.323 làm giao thức báo hiệu.
  Codecs: Bộ mã hóa và giải mã tín hiệu audio. Tín hiệu audio trước khi truyền
đi phải được mã hóa, bên nhận sau khi nhận được tín hiệu phải tiến hành giải mã
trước khi phát ra loa.
  RTP: Thư viện được tích hợp sẵn trong bộ thư viện mã nguồn mở OpenH.323,
làm nhiệm vụ vận chuyển tín hiệu audio giữa các điểm đầu cuối.
 Các chức năng chính của XCall:
  Gọi điểm  điểm giữa 2 client
  Bảo mật cuộc gọi sử dụng giao thức H.235
 * Thiết kế chương trình
 Chương trình bao gồm 6 module chính tương tác với nhau:
  XCall: đây là module ứng dụng bao gồm giao diện của phần mềm và xử
lý nghiệp vụ của phần mềm, XCall giao tiếp với OpenH.323 thông qua đối tượng
H.323Endpoint.
116
 Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP
 Hình 3. Tương tác giữa các module
  OpenH.323 : đây là module lõi của hệ thống thực hiện các chức năng như:
Quản lý các cuộc gọi H.323, trao đổi các khóa bảo mật sử dụng giao thức H.235,
thu, phát, mã hóa và giải mã tín hiệu âm thanh. Module này bao gồm các module
con như: Module thu tín hiệu âm thanh (Recorder), module phát tín hiệu âm thanh
(Player), module mã hóa giải mã (Codecs) và module thực hiện chức năng vận
chuyển tín hiệu giữa các đầu cuối (RTP).
  Recorder: Giao tiếp với thiết bị microphone để thu tín hiệu âm thanh và
chuyển cho khối mã hóa.
  Codecs: Thực hiện chức năng mã hóa tín hiệu âm thanh trước khi truyền đi
và giải mã sau khi nhận được.
  Player: Phát âm thanh ra loa.
 * Class diagram
 Hình 4. Class Diagram
 117
 Đỗ Như Long, Bùi Hải Đăng và Vũ Xuân Bảo
 * Giao diện chương trình
 Hình 5. Giao diện chương trình Xcall
2.3.2. Giới thiệu chương trình Wireshark
 Hình 6. Chương trình Wireshark
 Wireshark là một chương trình bắt gói tin trên mạng. Nó sẽ cố gắng bắt tất
cả các gói tin và hiển thị thông tin chi tiết nhất có thể. Mục đích của việc sử dụng
118
 Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP
Wireshark có thể là:
  Quản trị mạng: kiểm tra các lỗi trên mạng
  Bảo mật hệ thống: kiểm tra các lỗi về bảo mật
  Phát triển hệ thống: gỡ rối hoạt động của giao thức
  Các đối tượng khác: học về các giao thức nội tại của mạng
2.4. Kết quả thảo luận
 Như chúng tôi đã trình bày ở trên, vấn đề bảo mật trong hệ thống VoIP là rất
quan trọng. Trong phần thực nghiệm cuộc gọi được tiến hành trong thực tế là cuộc
gọi trong mạng LAN giữa 2 PC sử dụng phần mềm Xcall hỗ trợ G711 gọi trực tiếp
cho nhau. Phần mềm wireshark chạy trên máy bị gọi bắt được các bản tin trao đổi
giữa 2 máy. Chúng tôi tiến hành thực nghiệm trong 2 trường hợp hệ thống VoIP có
sử dụng giao thức bảo mật H.235 và không sử dụng giao thức bảo mật H.235.
2.4.1. Đối với cuộc gọi khi không sử dụng giao thức bảo mật H.235
 Hai máy trao đổi các bản tin H.225 mà không kèm theo trường Token chứa
khóa
 Hình 7. Bản tin Setup
 Sau khi trao đổi xong các bản tin điều khiển và mở kênh truyền thông, các
gói tin RTP mang thông tin thoại sẽ được truyền đi giữa 2 PC. Wireshark cũng bắt
được các gói tin này và có khả năng giải nén cũng như nghe lại. Như vậy, khi không
sử dụng H.235, thông tin truyền đi không được mã hóa và có thể bị nghe lén.
 119
 Đỗ Như Long, Bùi Hải Đăng và Vũ Xuân Bảo
 Hình 8. Giải nén gói tin RTP
2.4.2. Trường hợp sử dụng H.235
  Máy gọi gửi cho máy nhận bản tin Setup có thông số DH trong trường token.
 Hình 9. Bản tin Setup H.235
  Máy bị gọi nhận được bản tin Setup sẽ chọn thông số DH phù hợp nhất và
gửi lại nó cho bên gọi.
120
 Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP
 Hình 10. Bản tin Connect H.235
  Hai bên sau đó sẽ trao đổi các bản tin H.245 về các thông số như audio,
video CODEC, master/slave. Sau đó, điểm cuối là master sẽ gửi đi bản tin mở
kênh có kèm theo khóa phiên (đã được mã hóa bởi khóa chung DH) trong trường
encrytionSync.
 Hình 11. Bản tin OpenLogicalChannel H.235
  Sau khi mở kênh thoại, các gói tin sau đó sẽ được mã hóa bằng khóa và thuật
toán trao đổi trước đó. Lúc này Wireshark cũng bắt được các bản tin trao đổi giữa
2 PC. Tuy nhiên khi giải nén các gói tin RTP chỉ nhận được các tín hiệu vô nghĩa.
3. Kết luận
 Với những ưu thế như chi phí thấp, sự mềm dẻo về mặt kiến trúc VoIP ngày
càng trở nên phổ biến hơn đối với người sử dụng, là thị trường tiềm năng đối với
các nhà khai thác. Tuy nhiên, khi xây dựng một hệ thống VoIP ngoài việc xem xét
tới chất lượng dịch vụ, còn phải đặc biệt quan tâm tới khía cạnh bảo mật của hệ
thống VoIP. Việc tích hợp các dịch vụ thoại, dữ liệu, video.... trên cùng một hạ tầng
 121
 Đỗ Như Long, Bùi Hải Đăng và Vũ Xuân Bảo
 Hình 12. Giải nén gói tin RTP H.235
mạng IP đã mang đến nhiều nguy cơ tiềm ẩn về bảo mật.
 Trong bài báo này, chúng tôi đã xây dựng một phần mềm VoIP có khả năng
thực hiện cuộc gọi thoại giữa 2 máy tính trong một mạng LAN áp dụng giao thức
báo hiệu H.323 và sử dụng giao thức bảo mật H.235. Tuy nhiên, hiện tại phần mềm
chỉ hỗ trợ thoại giữa 2 máy tính trong mạng LAN. Trong thời gian tới chúng tôi sẽ
xây dựng phần mềm hỗ trợ thoại đa điểm hội nghị và thoại trên internet.
 REFERENCES
[1] Ths. Nguyễn Trọng Minh, 2010. Giáo trình Kỹ thuật chuyển mạch 1, Học viện
 Công nghệ bưu chính viễn thông, tr.1040.
[2] IETF, 1996. RFC 1889 A Transport Protocol for RealTime Applications(RTP),
 Lawrence Berkeley National Laboratory, Internet Engineering Task Force  IETF,
 pp.1039.
[3] ITUT, 2009. Recommendation H.225.0, Call signalling protocols and media
 stream packetization for packetbased multimedia communication systems, Inter
 national Telecommunication Union, pp.847.
[4] ITUT, 2000. Recommendation H.235  Security and encryption for Hseries
 (H.323 and other H.245based) multimedia terminals, International Telecommu
 nication Union, pp.521, 3245, 4873.
[5] ITUT, 2005. Recommendation H235.0  H.323 security: Framework for secu
 rity in Hseries (H.323 and other H.245based) multimedia systems. International
 Telecommunication Union, pp.924.
122
 Giao thức bảo mật H.235 sử dụng trong hệ thống mạng VOIP
[6] ITUT, 2005. Recommendation H235.1  H323 security : Baseline security profile.
 International Telecommunication Union, pp.517.
[7] ITUT, 2005. Recommendation H235.2  H323 security : Signature security pro
 file. International Telecommunication Union, pp.719.
[8] ITUT, 2009. Reconmendation H.323 Visual telephone systems and equipment
 for local area networks which provide a nonguaranteend quality of service. Inter
 national Telecommunication Union, pp.1447, 5170, 81129.
[9] ITUT, 2009. Recommendation H.245 Control protocol for multimedia commu
 nication. International Telecommunication Union, pp.810, 79122.
[10] P. Mehta and S. Udani, 2001. “Overview of Voice over IP”, Technical Report
 MSCIS0131. Department of Computer Information Science, University of Penn
 sylvania, pp.58, 2628.
[11] D. Richard Kuhn, Thomas J. Walsh, Steffen Fries, 2005. Security Considera
 tions for Voice Over IP Systems. National Institute of Standards and Technol
 ogy(NIST), pp.1937, 5268.
[12] Thomas Porter, 2006. Practical VoIP Security. Syngress Publishing, Inc,
 Canada, pp.123143, 239261.
 ABSTRACT
 Using seairity protocols H.235 in VOIP network system
 The integration between traditional data communication network and inter
net infrastructure is especially regarded by many researchers. Also the integration
between traditional PSTN telephone network and internet network is also within
these purposes. It have many advantages such as: low cost, users are more and more
familiar with flexibility of VoIP architecture, the potential market for operators. Nev
ertheless, when building the aVoIP system not only considers the quality of service
but also pay special attention to security aspects of VoIP systems. The integration
of voice services, data, video .... on the same IP network infrastructure has encom
passed many potential security risk issues. In this study, we develop a VoIP software
based on open source OpenH323 allows communication between twocomputers on
the LAN can apply security protocols H.235 uses H.323 signaling protocol.
 123

File đính kèm:

  • pdfgiao_thuc_bao_mat_h_235_su_dung_trong_he_thong_mang_voip.pdf