Chi phí thấp và sự mềm dẻo trong kiến trúc là những lợi thế rất lớn của VoIP đối với người dùng nói chung và các doanh nghiệp nói riêng. Cũng vì lý do đó mà VoIP đang trở thành một công nghệ rất phổ biến. Tuy nhiên, để thiết lập một hệ thống VoIP thì ngoài việc xem xét nó về mặt chất lượng dịch vụ (QoS) thì cũng cần phải tính đến bảo mật cho hệ thống VoIP. Việc tích hợp các dịch vụ thoại, dữ liệu, video, trên cùng một hạ tầng mạng IP đã mang đến nhiều nguy cơ tiềm ẩn về bảo mật. Không chỉ do mạng IP là một mạng công cộng, nguy cơ bị tấn công rất lớn mà bản thân các giao thức VoIP cũng có những nguy cơ về bảo mật.

Xuất phát từ những ý nghĩ trên mà em quyết định chọn đề tài “Voice over IP Security”. Trong giới hạn đề tài, em chỉ tìm hiểu lý thuyết bảo mật cho hệ thống VoIP. Nội dung của đề tài bao gồm tìm hiểu về kiến trúc và các giao thức các mạng VoIP cụ thể, từ đó phân tích những lỗ hổng trong mạng VoIP và các công nghệ để khắc phục các lỗ hổng đó. Nội dung luận văn được chia thành 5 chương:

Chương 1: Tìm hiểu các giao thức VoIP

Chương 2: Một số nguy cơ bị tấn công trong mạng VoIP

Chương 3: Hỗ trợ bảo mật cho mạng H.323 và SIP

Chương 4: Một số công nghệ hỗ trợ bảo mật

Chương 5: Bảo mật cho mạng Vo802.11

[FONT="]MỤC LỤC[FONT="]

MỤC LỤC 5

Chương 1: CÁC GIAO THỨC TRONG HỆ THỐNG VOIP. 1

A - GIAO THỨC H.323

1.1. Tổng quan về giao thức H.323. 1

1.2. Các thành phần chính trong mạng H.323. 1

1.2.1. H.323 Terminal: 1

1.2.2. Gateway. 2

1.2.3. GateKeeper (GK) 2

1.2.4. Mutipoint Control Unit (MCU) 4

1.2.5. H.323 Zone. 4

1.2.6. Bản tin của H.323. 4

1.3. H.225. 5

1.3.1. RAS (Registration, Admission, Status) 5

1.3.2. Q.931. 5

1.4. H.245. 6

1.5. Các thủ tục báo hiệu trong mạng H.323. 6

1.5.1. Thiết lập cuộc gọi 6

1.5.1.a. Cả hai thuê bao đều đăng ký tới một GK 7

1.5.1.b. Hai thuê bao đăng ký với hai GK khác nhau. 7

1.5.2. Thiết lập kênh điều khiển. 9

1.5.3. Thiết lập kênh truyền thông. 10

1.5.4. Dịch vụ cuộc gọi 10

1.5.5. Kết thúc cuộc gọi 10

B- GIAO THỨC SIP

1.6. Kiến trúc của giao thức SIP. 12

1.7. SDP (Session Description Protocol) 14

1.8. Sự trao đổi bản tin cơ bản của SIP. 15

1.8.1. Sự trao đổi bản tin SIP giữa hai đầu cuối SIP. 16

1.8.2. SIP call có sự tham gia của Proxy server 19

1.8.3. SIP registration. 23

1.8.4. SIP presence and instant messaging. 24

1.9. Các giao thức vận chuyển SIP. 28

1.9.1. UDP. 28

1.9.2. TCP. 29

C- SO SÁNH H.323 VÀ SIP

D- CÁC GIAO THỨC VẬN CHUYỂN VOIP

1.10. RTP. 32

1.11. RTCP. 33

Chương 2: LỖ HỔNG TRONG HỆ THỐNG VOIP. 36

2.1. Lỗ hổng đối với SIP. 36

2.1.1. Chiếm quyền đăng kí (Registration Hijacking) 36

2.1.2. Giả dạng proxy. 37

2.1.3. Message Tempering. 38

2.1.4. Kết thúc session. 38

2.2. Lỗ hổng về bảo mật đối với hệ thống H.323. 38

2.2.1. Can thiệp vào thông tin tính cước: 38

2.2.2. Cuộc gọi trực tiếp. 38

2.2.3. Giả dạng đầu cuối 39

2.2.4. Giả dạng GK 39

2.2.5. Giả dạng BES. 39

2.3. Lỗ hổng do mạng và môi trường. 40

2.3.1. DNS (Domain Name System) 40

2.3.2. ARP. 40

2.4. DoS (Denial of Service) 42

2.5. Lỗ hổng với IP phone và Soft phone. 42

2.6. Spam trong VoIP. 42

Chương 3: HỖ TRỢ BẢO MẬT TRONG H.323 VÀ SIP. 44

3.1. Hỗ trợ bảo mật cho H.323. 44

3.1.1. H.235 ver 2. 44

3.1.2. Base-line security profile. 44

3.1.3. Signature profile: 45

3.1.4. Hybird Security Profile (H.235 Annex F) 46

3.1.5. H.235 Annex G 46

3.1.6. H.235 Annex H 46

3.1.7. H.235 Annex I 46

3.2. Hỗ trợ bảo mật cho giao thức SIP. 46

3.2.1. TLS: Trao đổi khóa và bảo mật cho các gói tin báo hiệu. 47

3.2.2. SRTP (Secure Real-time Transport Protocol): Bảo mật cho gói tin thoại/video 49

3.2.3. Bảo đảm sự tin cậy. 50

3.2.4. Chứng thực bản tin. 51

3.2.5. Replay Protection. 51

3.2.6. S/MIME: Chứng thực bản tin. 52

Chương 4: MỘT SỐ KỸ THUẬT HỖ TRỢ BẢO MẬT CHO VOIP. 54

4.1. VLAN 54

4.2. VPN 55

4.2.1. Point – to – Point Tunneling Protocol 56

4.2.2. Layer 2 Tunneling Protocol 56

4.2.3. IP Security. 57

4.3. Firewalls. 58

4.4. NAT (Network Address Translation) 59

4.5. Một số chú ý khi sử dụng NAT và firewall trong hệ thống VoIP. 60

4.6. Một số giải pháp cho vấn đề firewall 61

4.6.1 DMZ (Demilitarized Zone) 61

4.6.2 ALG (Application Level Gateway) 62

4.6.3 Middlebox Communication (MIDCOM) 63

4.6.4 Session Border Controller 63

4.7 Giải pháp cho NAT. 64

4.7.1 STUN (Simple Traversal of UDP through NAT) 64

4.7.2 TURN (Traversal Using Relay NAT) 64

4.7.3 ICE (Interactive Connectivity Establishment) 64

4.7.4 Đường hầm 65

4.8 IDS (Intrusion Detection) 65

CHƯƠNG 5: BẢO MẬT CHO Vo802.11. 68

5.1. SSID 68

5.2. WEP. 68

5.3. Lọc địa chỉ MAC 69

5.4. Mô hình bảo mật WLAN 69

5.5. Đánh giá độ bảo mật của WEP. 71

5.6. 802.1x và EAP. 72

5.7. VPN và 802.11. 72