An toàn VoIP: Các tấn công và giải pháp

14:34 | 03/10/2010 | GIẢI PHÁP KHÁC
Công nghệ truyền tiếng nói trên nền giao thức IP (VoIP) đang được triển khai rộng rãi do tính mềm dẻo và hiệu quả về giá thành của nó. Bởi vậy, đảm bảo an toàn cho công nghệ VoIP cũng được đặc biệt quan tâm. Bài báo này giới thiệu các giao thức VoIP và những vấn đề an toàn liên quan tới quá trình ứng dụng công nghệ này.

1. Các giao thức VoIP
Khi sử dụng VoIP, người dùng nhập vào số cần gọi -  đó có thể là một số trên bàn phím điện thoại hoặc một đồng hồ chỉ dẫn tài nguyên phổ dụng (URI) và sau đó một quá trình trao đổi gói tin sẽ được thực hiện dựa trên “giao thức chuyển tín hiệu” VoIP. Khi phía được gọi trả lời, tín hiệu tiếng nói được số hoá và được phân mảnh thành một luồng các gói tin để truyền đi dựa trên “giao thức vận tải”.
Giao thức chuyển tín hiệu
Các hệ thống VoIP hiện hành sử dụng giao thức độc quyền sở hữu hoặc một trong hai chuẩn là H.323 và giao thức khởi hoạt phiên (SIP).
- Giao thức H.323 là một tập hợp các giao thức được khuyến cáo bởi Ban tiêu chuẩn viễn thông -  Liên minh viễn thông quốc tế (ITU-T), bao gồm một họ các giao thức được sử dụng để khởi lập cuộc gọi, kết thúc cuộc gọi, đăng ký, xác thực và các chức năng khác.
- Giao thức SIP là một giao thức chuyên dụng của IETS để tạo ra, sửa đổi và kết thúc các phiên đơn phát (unicast) hoặc đa phát (multicast). SIP là giao thức dựa trên văn bản và có thể truyền các dạng tải tin khác nhau với các phép mã hoá khác nhau. SIP hỗ trợ cả UDP và TCP làm các giao thức vận tải.
Giao thức vận tải
Đa số các triển khai VoIP sử dụng Giao thức thời gian thực (RTP) để vận tải các liên lạc truyền thông trong thực tế hiện nay (tiếng nói hay hình ảnh chẳng hạn). RTP là giao thức chuyên dụng của IETF theo chuẩn RFC 3550 và RFC 3551. Nó là một giao thức đơn giản chạy trên đỉnh của UDP và vì thế có sự phân phát “hiệu ứng tốt nhất”, nhưng không đảm bảo phân phát tất cả các gói tin vì tính chất thời gian thực của các luồng tin là quan trọng hơn so với tính tin cậy của vận tải. Giao thức kiểm soát vận tải thời gian thực (RTCP) được sử dụng đồng thời với RTP, nhưng để làm việc thì không đòi hỏi đến các luồng RTP, RTCP được sử dụng trước hết để thu thập dữ liệu vì tính hiệu quả và chất lượng của kết nối. Các thông báo RTCP di chuyển trên cùng một tuyến như RTP và cho biết các thông tin như độ trễ, độ trệch và sự mất mát gói tin.
2. Các cơ chế phòng thủ
Phần này tập trung vào việc phân tích các cơ chế bảo vệ gắn kết với các giao thức VoIP cùng với những điểm mạnh và điểm yếu của chúng.
Cơ chế phòng thủ chuyển tín hiệu
-  H.235 là khung an toàn cung cấp khả năng xác thực, bảo mật và toàn vẹn có cùng giao diện với giao thức trao đổi khoá để hỗ trợ những phiên liên lạc phân tán của các hệ thống dựa trên H.323. Một số thông báo, thủ tục, cấu trúc và thuật toán được khuyến cáo bởi H.235 bảo đảm an toàn của việc chuyển tín hiệu, kiểm soát và các liên lạc trong môi trường truyền thông theo kiến trúc H.323. Một thiết lập H.323 điển hình nhờ sử dụng H.235 tốn thời gian xấp xỉ 300 ms phụ thuộc vào cài đặt.
H.235 cung cấp an toàn cho liên lạc từ đầu cuối đến đầu cuối, cũng như hỗ trợ an toàn đơn phát và đa phát. Tuy nhiên, nó không đáp ứng tốt đối với các liên lạc Internet và đòi hỏi mức cao hơn về độ phức tạp cài đặt so với SIP.
Mở rộng thư tín trên Internet đa mục đích/an toàn (S/MIME) dựa trên RFC 3851, có thể cung cấp khả năng bảo mật, toàn vẹn và xác thực từ đầu cuối đến đầu cuối đối với các giao thức ứng dụng như SMTP và SIP. Một thông báo S/MIME dựa trên MINE xác định tập các cơ chế để mã hoá và thể hiện các định dạng thông báo phức tạp như các nội dung đa phương tiện (chẳng hạn âm thanh, hình ảnh) và các ký tự tiếng nước ngoài (ví dụ tiếng Trung Quốc, Hy Lạp) bên trong các giao thức khác như SMTP và SIP. Bổ sung thêm chức năng cho MINE, S/MINE còn kết hợp các chuẩn mật mã khoá công khai (PKCS) để duy trì tính an toàn.
S/MIME đảm bảo tính bí mật cho dữ liệu trong SDP, tính toàn vẹn thông tin bên trong phần SDP của thông báo SIP và xác thực người gửi. Mặc dù S/MIME có khả năng mềm dẻo và cung cấp tính bảo mật, toàn vẹn và xác thực đầu cuối đến đầu cuối, nhưng nó phức tạp hơn khi cài đặt và đòi hỏi có hạ tầng phù hợp (chẳng hạn PKI).
- Kiến trúc an toàn đối với giao thức Internet (IPSec) cung cấp khả năng bảo vệ cho các ứng dụng vận tải sử dụng UDP hay TCP, tuy nhiên trong phần dưới đây chỉ đề cập ảnh hưởng của nó lên SIP.
IPSec cung cấp tính bảo mật, toàn vẹn và xác thực cho sự vận chuyển tín hiệu và các liên lạc bằng cách tạo ra những đường hầm an toàn giữa các điểm đầu cuối. Với SIP, nếu một cuộc gọi cần thiết lập giữa hai điểm đầu cuối và một đường hầm IPSec được tạo ra đối với mỗi liên kết liên lạc thì sẽ có ba đường hầm IPSec và cần đến khoảng 20 giây thời gian để thiết lập cuộc gọi, trong khi liên kết luồng môi trường truyền thông (RTP) sẽ chỉ cần khoảng 10 giây để thiết lập. Nếu các liên kết IPSec được thiết lập thì ở đó sẽ hầu như không có sự chậm trễ trong việc định tuyến các thông báo chuyển tín hiệu.
Cơ chế phòng thủ vận tải
-  Giao thức thời gian thực an toàn (SRTP) là một mô tả sơ lược của RTP được định nghĩa bởi RFC 3711 để cung cấp tính bảo mật, tính toàn vẹn và xác thực thông báo trong môi trường truyền thông (tiếng nói và hình ảnh). SRTP bảo đảm an toàn cho cả các gói tin RTP và các thông báo RTCP. RTCP được sử dụng trước tiên để cung cấp sự phản hồi QoS đến các điểm đầu cuối của phiên liên lạc. Các thông báo RTCP được truyền tách riêng khỏi các thông báo RTP, cho nên cả RTP và RTCP đều cần được bảo vệ trong suốt phiên liên lạc trong môi trường đa phương tiện. Bằng việc sử dụng thuật toán dẫn xuất khoá nguyên thuỷ, SRTP có khả năng tối thiểu hoá tính toán và sử dụng tài nguyên để sinh các khoá mật mã qua cơ chế quản lý khoá ngoài.
Mặc dù SRTP có thể cung cấp tính bảo mật, tính toàn vẹn và xác thực đối với thông báo được truyền đi, nhưng nó không thể duy trì toàn vẹn và xác thực thông báo từ đầu cuối đến đầu cuối cho các liên lạc được truyền từ mạng IP đến mạng PSTN.
- Định dạng của gói tin SRTCP là tương tự như SRTP với hai đầu gói thêm vào. Trong thông báo RTCP, thông tin về phía khởi tạo và các nội dung của thông báo là những thông tin nhạy cảm cần được bảo vệ. Bởi vậy, các đầu gói này được mã hoá. Cơ chế quản lý khoá
Quản lý khoá là thành phần cốt lõi của việc bảo vệ các ứng dụng đa phương tiện trên Internet như VoIP. Hiện tại có nhiều chuẩn quản lý khoá đang được ứng dụng nhưng phần này chỉ tập trung giới thiệu hai giao thức quản lý khoá đang được phổ biến trong các môi trường VoIP là MIKEY và ZRTP.
- Tạo khoá Internet môi trường đa phương tiện (MIKEY) là giao thức quản lý khoá được thiết kế cho các ứng dụng thời gian thực. MIKEY được định nghĩa trong RFC 3830 và được sử dụng để hỗ trợ SRTP. MIKEY phải thực hiện thoả thuận giữa các khoá mật mã và các tham số an toàn đối với một hoặc nhiều giao thức an toàn. Nó cũng cung cấp tính độc lập cho các giao thức liên lạc đặc thù như SIP và H.323. Kiểu bắt tay hai chiều để khởi hoạt nguyên liệu khoá của MIKEY làm cho nó phù hợp với các ứng dụng trong môi trường đa phương tiện thời gian thực.
- ZRTP (Ziemmermann 2008) là một giao thức thoả thuận khoá mật mã khác được sử dụng để hỗ trợ RTP an toàn. Thoả thuận khoá mật mã nhờ sử dụng RTP thay cho định tuyến chuyển tín hiệu là sự khác nhau chính giữa ZRTP và MIKEY, nhằm giúp cho thoả thuận khoá được thực hiện giữa các điểm cuối một cách trực tiếp mà không cần can thiệp vào các đầu cuối trung gian (như các máy uỷ nhiệm SIP) để đưa các thành phần tạo khoá đi qua.
Hạn chế của cả hai giao thức trên là chúng không thể hỗ trợ cho các cuộc gọi được truyền giữa mạng VoIP và mạng PSTN.
3. Tấn công VoIP và giải pháp phòng chống
Những kẻ tấn công điển hình thường đặt mục tiêu đến các hệ thống và các ứng dụng phổ biến như VoIP. Một số điểm yếu của VoIP đã được vạch ra, cho nên những người thiết kế giao thức cần lưu ý đến điều đó khi triển khai VoIP trên bình diện toàn cầu. Phần này phân tích các tấn công lên cơ sở hạ tầng VoIP và những cách tiếp cận đã được chấp nhận để đối phó với các tấn công.
Tấn công từ chối dịch vụ - DoS
Các tấn công DoS có lẽ là mối đe doạ lớn nhất đối với những hệ thống VoIP doanh nghiệp. Các tấn công DoS có thể trực tiếp hướng đến một thành phần mạng bất kỳ để phá vỡ chức năng của hệ thống hay các khả năng hoạt động mạng của thành phần tương ứng như các thiết bị của người dùng, các thành phần chuyển tín hiệu, các thành phần môi trường đa phương tiện, các hệ thống quản lý, các hệ thống an toàn và các hệ thống tính cước phí.
Các giải pháp đối phó với tấn công Dos:
- Giám sát và lọc: Cần phải duy trì các danh sách những người dùng đáng nghi ngờ và từ chối những người dùng đó, không cho thiết lập các phiên liên lạc đáng ngờ.
- Xác thực:  Kiểm tra danh tính của người dùng trước khi chuyển tiếp các thông báo của cá nhân đó.
- Máy uỷ nhiệm không trạng thái: Có thể được sử dụng để thực hiện các biện pháp an toàn khác như xác thực những người dùng, đăng ký bên thứ ba và lọc các nguồn thư rác.
- Thiết kế máy chủ (như CPU, bộ nhớ và kết nối mạng): Là tuyến hàng đầu phòng thủ chống lại các tấn công DoS.
Nghe trộm
Nghe trộm là hành vi cố thử thu thập thông tin nhạy cảm để chuẩn bị cho một tấn công hay khám phá nội dung thông tin. Trong VoIP, đây là một kịch bản mà kẻ tấn công có khả năng giám sát chuyển tín hiệu hoặc các nội dung môi trường đa phương tiện được trao đổi giữa những người dùng để phân tích các liên lạc nhằm chuẩn bị cho các tấn công tương lai khác.
Giải pháp đối phó với tấn công nghe trộm
- Đảm bảo rằng chỉ những người có thẩm quyền mới được truy cập đến các ổ nối dây dẫn.
-  Cài đặt an toàn địa chỉ MAC dựa trên cổng cho điểm mạng dễ bị tổn thương (ví dụ, lên điện thoại miễn phí tiếp tân).
-  Khởi hoạt một thủ tục để quét đều đặn mạng đối với những thiết bị chạy trong giao thức pha tạp không được bảo vệ.
Một giải pháp khác là mã hoá lưu lượng VoIP-  một phương pháp tốt để ngăn chặn nghe trộm. Tuy nhiên, nó làm tăng thêm thông tin phụ trội.
Giả danh
Giả danh là khả năng giả mạo tên một người dùng, thiết bị hay dịch vụ để giành quyền truy cập đến mạng, dịch vụ, thành phần mạng hay thông tin. Các tấn công giả danh có thể được sử dụng để thực hiện gian lận, truy cập trái phép đến thông tin nhạy cảm và thậm chí phá hủy dịch vụ. Trường hợp xấu nhất có thể là những kẻ tấn công giả mạo hay chiếm quyền danh tính của ai đó trong dịch vụ.
Giải pháp đối phó với tấn công giả danh
Một môđun xác thực hiệu quả được kết hợp với mã hoá có thể là giải pháp hiệu quả đối phó với các tấn công giả danh và lừa đảo.
Gian lận cước phí
Gian lận tiền cước là khả năng tạo truy cập trái phép đến các dịch vụ VoIP nhằm chiếm tiền bạc hoặc xâm phạm tính riêng tư. Đối với các nhà cung cấp và chuyển tải viễn thông, đây là một trong những tấn công nguy hại nhất. Gian lận cước phí có thể được thực hiện bằng cách xử lý các thông báo chuyển tín hiệu hay cấu hình các thành phần VoIP, bao gồm các hệ thống tính cước phí.
Giải pháp đối phó với tấn công gian lận cước phí
Các nhà cung cấp dịch vụ VoIP có thể ngăn chặn nạn gian lận cước phí bằng việc cấu hình đúng đắn tường lửa và bảo vệ các cổng. Cần phải liên tục giám sát mạng của mình để biết được ai đang truy cập mạng và với tần suất ra sao, đồng thời biết được ai đang sinh ra dạng lưu lượng đa phương tiện như thế nào.
SPIT
Thư rác VoIP hay còn có tên là thư rác trên điện thoại Internet (SPIT) được coi sẽ là một vấn đề nghiêm trọng đối với các mạng VoIP, thậm chí nghiêm trọng hơn so với vấn đề thư rác của thư điện tử vì bản chất tấn công của nó là đòi hỏi một cơ chế phòng thủ thời gian thực.
Giải pháp đối phó với SPIT
- Sử dụng các câu đố mật mã để cản trở những kẻ gửi thư rác (đặc biệt là những kẻ tấn công DoS).
-  Nghiên cứu và sử dụng các danh sách đen và trắng để làm giảm SPIT. Ở đó bộ lọc thư rác duy trì hai danh sách các địa chỉ, danh sách trắng đối với những người gọi cần đến và danh sách đen đối với những người gọi không cần đến hay người gửi thư rác.
-  Lập danh sách xám cũng là một kỹ thuật hiệu quả để lọc SPIT. Tuy vậy nó chỉ làm việc tốt trong trường hợp mà kẻ gửi thư rác không thay đổi địa chỉ IP và cố thử thiết lập lại cuộc gọi trong một khoảng thời gian nào đó với một tần số gọi nào đó.
-  Xây dựng bộ lọc thư rác VoIP nhờ sử dụng danh tính dựa trên các mạng xã hội mà từ đó người dùng muốn nhận được các cuộc gọi.
- Phát hiện SPIT dựa trên các đặc trưng bất thường của cuộc gọi rác, tức là dựa trên việc nhận dạng những bất thường trong thống kê thông báo chuyển tín hiệu.

Tóm lại, để đảm bảo an toàn mạng VoIP, cần phải có kiến thức cơ sở về các hệ thống VoIP và các công cụ an toàn sẵn có của nó. Do đó, hy vọng rằng bài báo này sẽ cung cấp kiến thức và thông tin bổ ích như thế cho nhiều người đọc là những ai có mối quan tâm đến triển khai và sự an toàn VoIP

Tin cùng chuyên mục

Tin mới