It’s not an exaggeration lớn say that tunneling protocols make the difference between hassle-free, secure B2B commerce và absolute chaos. These essential tools create secure “tunnels” that contain encrypted data as it passes across Virtual Private Networks (VPNs).
Bạn đang xem: Bảo vệ mạng khỏi các cuộc tấn công liên quan đến tấn công qua mạng PPTP (PPTP-based Attacks)
In theory, they wrap up confidential information, keeping it safe from prying eyes. But that’s not always the case, and some common protocols have proved khổng lồ be insufficient to ensure adequate protection.
Let’s look at one of those obsolete protocols: PPTP. The Point-to-Point Tunneling Protocol isn’t widely seen as a viable option by security experts these days, và with good reason. However, because it comes built into many Windows versions, it’s still regularly used by businesses on their internal & client-facing networks.
Don’t be like those businesses. Instead, there are plenty of reasons to look far beyond PPTP and choose a genuinely secure protocol that protects you & your clients’ data. Let’s find out what these reasons are.
PPTP: Some quick background
PPTP was created in the 1990s by engineers from Microsoft, Ascend & a group of di động telecommunications providers such as Nokia. With high-speed internet expanding & e-commerce becoming mainstream, Microsoft wanted lớn provide Windows users with a basic tool for encrypting their data, & that’s pretty much what the team created.
Just lượt thích its predecessor PPP, PPTP works by creating data packets which size the basis of the actual tunnel. It couples this packet creation process with authentication systems to lớn ensure that legitimate traffic is transmitted across networks. And it uses a khung of encryption lớn scramble the data held by the packets.
PPTP acquired an official RFC specification (RFC 2637) in 1999, & it’s worth referring back to lớn that for technical details. But to put things simply, it operates at Data Layer 2, và employs General Routing Encapsulation (GRE) as its packet creation system. Packets use IP port 47 và TCP port 1723, và the encryption standard used is Microsoft’s own MPPE.
Microsoft designed the protocol khổng lồ function in everyday Windows environments, with a low footprint and high speeds. As a result, PPTP is surprisingly simple lớn set up on internal VPNs, and it gained a huge following among small & medium-sized enterprises in the 2000s. Some of them still rely on PPTP, but that’s not a smart move. Here’s why.
What security flaws have been identified with PPTP?
Almost from the very start of its life, PPTP has been bugged by allegations that it simply isn’t secure, và one man is primarily responsible for this reputation. In 1998, security analyst Bruce Schneier published an important paper on PPTP, and it made grisly reading for users. Or at least it should have.
According to Schneier, the protocol’s weakest point was its Challenge/Response Authentication Protocol (CHAP), closely followed by its RC4-based MPPE encryption.
Working with Mudge of tin tặc collective L0pht Heavy Industries, Schneier found that the hashing algorithms used in PPTP implementations were shockingly easy to crack. This could facilitate a range of eavesdropping attacks, with intruders tracking every user as they navigated corporate networks.
Problems with CHAP went deeper. As Schneier found, most implementations of PPTP gave attackers the power to pose as official servers, becoming a node for sensitive information.
Thirdly, the analysts found that the quality of PPTP’s MPPE encryption was very low, with keys that could be broken fairly easily, và a variety of ways for network managers to lớn improperly configure systems — leading khổng lồ even worse vulnerabilities.
These issues didn’t go unanswered. In fact, Microsoft updated PPTP (PPTP Version 2), which is the most common version used with Windows packages released since 2000. Again, Schneier took a look at the update, and found a few serious weaknesses.
While CHAP related problems had been addressed, Schneier judged that passwords remained a chip core vulnerability, leaving users at risk from password-guessing attacks. According to lớn the analysts, this meant that the protocol was fundamentally as secure as the passwords chosen by users. In other words, its security was based on praying to avoid human error, not using the latest encryption standards.
As a result, this meant that Schneier couldn’t “recommend Microsoft PPTP for applications where security is a factor.”
Do these issues make PPTP a no-go for enterprise security?
Since the introduction of the PPTP update, these security flaws have only become more alarming. Microsoft hasn’t chosen to lớn invest in further updates, và the world of cybercrime has moved on quickly, with off-the-shelf password hacking and eavesdropping tools that people in 1998 could only dream about.
For instance, studies have found that brute-forcing PPTP encryption has become almost trivially simple. At Defcon 2012, hacking group Cloud
Cracker showed that MS-CHAPv2 (the updated CHAP for PPTP) could easily be gamed. There is no need lớn employ an array of powerful computers, và the process doesn’t take long. Sure, it requires technical knowledge, but that’s not in short supply among cybercriminals.
But what does this mean for small businesses who are using PPTP in their security environments?
In some circumstances, there may be ways lớn enhance the security of existing PPTP implementations. For instance, you could switch from MS-CHAP lớn EAP-TLS (Extensible Authentication Protocol). This uses Public Key Infrastructure (PKI) to lớn authenticate data via a certificate-based system.
PKI isn’t for everyone. Making the switch may entail taking a performance hit, & PKI is too cumbersome for some remote working situations. Moreover, why take the risk? Instead, as Schneier and Cloud
Cracker recommend, it makes sense to lớn look at other tunneling protocols to lớn base your VPN around. Và it means that you may have khổng lồ sacrifice ease of use for security.
Finding the right alternative to lớn PPTP
Thankfully, the insecurity of PPTP has stimulated the development of protocols that offer much better protection against external threats. You may well have come across some of these tools when using consumer-based VPNs, but they are just as applicable lớn business environments.
Open
VPN is a popular choice. Offering 256-bit SSL encryption (compared khổng lồ PPTP’s 128-bit encryption), Open
VPN is almost impossible khổng lồ crack, as far as we know. However, it doesn’t fit seamlessly into Windows, Linux or mac
OS systems và will require some configuration. It often helps to bring in specialists to vì chưng this properly, as mistakes can compromise the whole venture from the start.
Aside from Open
VPN, some businesses use a mixture of IPSec và L2TP. Another Microsoft creation, this combination is much easier khổng lồ implement off-the-shelf, and current PPTP users should find it fairly familiar. It’s not quite as secure as Open
VPN, but much safer than PPTP and it’s pretty quick as well.
Finally, companies that rely on remote working và mobile devices may want to kiểm tra out IKEv2. It’s not the most common protocol, but IKEv2 is extremely flexible, automatically reconnecting if encryption is interrupted. Based on IPSec, it’s pretty secure and very fast when used with Android & i
OS devices.
Xem thêm: Cách Định Dạng Bảng Tính Trong Excel 2016, Chỉnh Sửa Và Định Dạng Bảng Tính
All of this means that there are viable alternatives for those who rely on PPTP. Given the vital need lớn safeguard customer data and the ever-present danger of cyberattacks, there’s no excuse lớn use obsolete technology, & plenty of upsides for businesses who take a proactive security approach.
LỜI MỞ ĐẦUNhư ta vẫn thấy cùng với sự cách tân và phát triển của mạng đưa mạch gói IP cùng vớisự hội nhập trẻ trung và tràn đầy năng lượng vào nền kinh tế tài chính của khu vực và thay giới. Cùng một trongnhững yếu ớt tố đặc biệt quan trọng để rất có thể cạch tranh được đó là chi tiêu thấp. Cũng vìlý do này mà Vo
IP đang biến đổi một công nghệ rất phổ cập với giá thành thấpvà kết cấu mềm dẻo đáp ứng nhu cầu được nhu cầu của tín đồ sử dụng. Tuy nhiên, đểthiết lập một hệ thống Vo
IP thì ngoài chất lượng dịch vụ (Qo
S) thì cũng cầnphải tính đến bảo mật cho khối hệ thống Vo
IP. Việc tích hợp những dịch vụ thoại, dữliệu, video, trên cùng một hạ tầng mạng IP đã mang về nhiều nguy hại tiềmẩn về bảo mật. Không chỉ do mạng IP là một mạng công cộng, nguy cơ tiềm ẩn bị tấncông rất cao mà phiên bản thân các giao thức Vo
IP cũng đều có những nguy hại về bảomật.Xuất phát từ phần lớn ý suy nghĩ trên cơ mà em ra quyết định chọn chủ đề “Bảo Mật
Trong Vo
IP”. Trong số lượng giới hạn đề tài, em chỉ khám phá về định hướng bảo mật chohệ thống Vo
IP. Câu chữ của đề tài bao hàm tìm đọc về kiến trúc và những giaothức của những mạng Vo
IP rứa thể, từ kia phân tích hồ hết lỗ hổng vào mạng
Vo
IP và các technology để xung khắc phục những lỗ hổng đó. Ngôn từ luận văn đượcchia thành 3 chương:Chương 1: Tổng quan Trong Mạng Vo
IPChương 2: technology Trong Vo
IPChương 3: bảo mật Trong Vo
IPTrong vượt trình nghiên cứu và phân tích đề tài này, do kiến thức và kỹ năng và tay nghề củaem còn hạn chế vì vậy không tránh được những thiếu sót, rất ý muốn được sựnhận xét cùng góp ý của Thầy Cô cùng các bạn bè.
Bạn đã xem trước đôi mươi trang tư liệu Bảo Mật vào Vo
IP, giúp thấy tài liệu hoàn chỉnh bạn click vào nút download ở trên
hiều nhiều năm 413 Thực thể yêu thương cầu quá lớn 414 URL yêu cầu quá rộng 415 Không hỗ trợ loại truyền thông 420 mở rộng sai 480 không sẵn bao gồm 481 Cuộc điện thoại tư vấn hoặc sự hội đàm không lâu dài 482 Vòng lặp được phát hiện 483 không ít hop 484 Địa chỉ không xong 485 Mơ hồ nước 486 Đang bận Lỗi hệ thống 500 Lỗi server bên trong 501 Không xúc tiến 502 Gateway lỗi 503 Dịch vụ không tồn tại sẵn 504 Gateway timeout 505 Phiên phiên bản SIP không cung ứng Lỗi thế giới 600 Bận ở đa số nơi 603 khước từ 604 ko tồn trên ở phần đông nơi 606 Không đồng ý Bảng 2-5: Các thỏa mãn nhu cầu của SIP 2.2.6 các giao thức di chuyển trong SIP. SIP hoàn toàn có thể sử dụng UDP cùng TCP. Khi được giữ hộ trên UDP hoặc TCP, nhiều sự giao dịch SIP hoàn toàn có thể được mang trên một kết nối TCP lẻ tẻ hoặc gói dữ liệu UDP. Gói tài liệu UDP (bao gồm toàn bộ các tiêu đề) thì không vượt quá đơn vị truyền dẫn lớn số 1 MTU (Maximum Transmission Unit) nếu bảo mật thông tin trong Vo
IP 34 MTU được khái niệm hoặc ko vượt thừa 1500 byte ví như MTU ko được định nghĩa. 2.2.6.1 UDP UDP là giao thức tầng vận chuyển không có điều khiển tắc nghẽn. Nó được dùng để làm vận chuyển bản tin SIP vì đơn giản và thích phù hợp với các ứng dụng thời hạn thực. Các bản tin SIP thông thường có kích thước nhỏ hơn MTU (Message Transport Unit). Nếu bản tin béo thì bắt buộc dùng TCP, vì tại sao này nhưng SIP không có tác dụng chia bé dại gói. Hình 2.12 (a): Trao đổi phiên bản tin SIP bởi UDP 2.2.6.2 TCP TCP là giao thức ở tầng vận chuyển an toàn và đáng tin cậy do có điều khiển và tinh chỉnh tắc nghẽn, không chỉ có vậy nó hoàn toàn có thể vận gửi gói tin có kích cỡ bất kỳ. Nhược điểm của nó là tăng cường độ trễ. Bảo mật trong Vo
IP 35 Hình 2.12(b): Vận chuyển phiên bản tin SIP bởi TCP Để tăng tốc tính bảo mật thông tin thì còn có những giao thức bổ sung cập nhật để vận chuyển phiên bản tin SIP như TLS, SRTP. 2.2.7 đối chiếu H.323 với SIP SIP và H.323 được phát triển với hồ hết mục đích khác nhau bởi các tổ chức khác nhau. H.323 được cách tân và phát triển bởi ITU-T từ bỏ theo PSTN, dùng mã hóa nhị phân và cần sử dụng lại một trong những phần báo hiệu ISDN. SIP được IETF trở nên tân tiến dựa bên trên mạng Internet, dùng một vài giao thức và tác dụng của mạng Internet. Hệ thống mã hóa: SIP là giao thức text-based (text dạng ASCII) hệt như HTTP trong lúc đó H.323 cần sử dụng các phiên bản tin mã hóa nhị phân. Mã hóa nhị phân giúp giảm kích thước bản tin nhưng mà nó phức tạp hơn dạng text bình thường. Trái lại các bạn dạng tin text tiện lợi tạo ra, lưu lại, chất vấn và ko cần bất kể một tool nào nhằm biên dịch nó, điều này tạo cho SIP thân mật với môi trường thiên nhiên Internet và những nhà cách tân và phát triển web. Bản tin SIP có kết cấu ABNF, (Augmented Backus-Naur Form) còn phiên bản tin H.323 ASN.1 không tồn tại cấu trúc. H.323 chỉ có tính năng báo hiệu, SIP gồm thêm khả năng thông tin về tinh thần của user (presense and Instant message) bởi SIP sử dụng add URI. Điều này là thế mạnh của SIP và phần nhiều các dịch vụ ngày nay dùng SIP nhiều hơn thế so cùng với H.323. SIP được hỗ trợ bởi thiết bị của những nhà cung ứng dich vụ và đang dần thay thế sửa chữa H.323. SIP cũng được các thương hiệu di động thực hiện như giao thức đánh tiếng cuộc gọi. Bảo mật trong Vo
IP 36 Tính cước: SIP hy vọng có thông tin tính cước đề xuất ở trong quy trình báo hiệu cuộc call để phát hiện ra thời điểm xong cuộc gọi. Còn với H.323, tại thời điểm khởi tạo nên và chấm dứt cuộc gọi, các thông tin tính cước phía bên trong các bản tin ARQ/DRQ. Với trường phù hợp cuộc gọi thông báo trực tiếp, EP thông báo cho GK thời điểm bước đầu và kết thúc cuộc call bằng phiên bản tin RAS. Về mức độ bảo mật: SIP có rất nhiều hỗ trợ bảo mật bảo đảm mã hóa, xác thực dùng certificate, toàn vẹn bản tin end-to-end. Bản thân SIP không trở nên tân tiến những hỗ trợ này mà lại nó thừa hưởng từ những giao thức cung ứng bảo mật của mạng internet như TLS cùng S/MIME. Còn H.323 thì chế tạo H.235 cho xác nhận và mã hóa. Những thiết bị SIP còn tinh giảm về bài toán trao thay đổi khả năng. Còn các thiết bị vào mạng H.323 có chức năng trao đổi khả năng và bàn bạc mở kênh làm sao (audio, thoại, clip hay dữ liệu). H.323 cùng SIP thuộc tồn tại với có chức năng tương tự như nhau. SIP được cung ứng DNS cùng URL ngay từ trên đầu còn H.323 thì không. Tương tự như như vậy H.323 cung cấp hội nghị truyền họa với có mang MCU ngay từ trên đầu thì cùng với SIP tính năng đó được cách tân và phát triển sau điện thoại tư vấn là “focus”. SIP ban đầu dùng UDP, tiếp nối dùng TCP. Còn cùng với H.323 thì ban sơ không sử dụng UDP nhưng bây giờ đã có cung ứng thêm UDP. Ưu điểm của từng giao thức: H.323 dùng cố thế một trong những phần trong hệ thống PSTN và chỉ chiếm lĩnh thị phần hội nghị truyền hình. Đối với những bộ phận chỉ dùng kĩ năng báo hiệu (thiết lập cùng kết thúc) cuộc gọi, không sử dụng hết những điểm mạnh nổi trội của SIP thì ko cần thay thế sửa chữa H.323 bởi SIP. SIP hiện tại vẫn chưa cung cấp hội nghị truyền hình. Điểm mạnh của nó hiện tại vẫn là một trong giao thức 1-1 giản, dựa trên kiến trúc Internet. 2.2.8 Giao thức tải trong Vo
IP Giao thức thời gian thực Real-time Protocol (RTP) được thành lập và hoạt động do tổ chức IETF đề xuất, nó đảm bảo cơ chế vận tải và đo lường và tính toán phương thức truyền thông media thời gian thực bên trên mạng IP. RTP có hai thành phần: - bạn dạng thân RTP mang tác dụng vận chuyển, cung ứng các tin tức về các gói tin thoại. Bảo mật trong Vo
IP 37 - Giao thức điều khiển thời gian thực RTCP (Real-time Control Protocol) mang tác dụng giám sát và đánh giá unique truyền tin. 2.2.8.1 RTP Một cuộc thoại thông thường được phân thành các phiên đánh tiếng cuộc gọi, điều khiển và tinh chỉnh cuộc gọi, thỏa thuận phương thức truyền thông và phiên hội thoại. địa điểm của RTP phía trong phiên hội thoại. Phương pháp truyền tiếng chia sẻ mạng IP: Qua phiên thoả thuận cách thức truyền thông, các bên gia nhập hội thoại triển khai mở hai cổng UDP kề nhau, cổng chẵn cho truyền ngôn ngữ (RTP), cổng lẻ mang đến truyền các thông tin trạng thái để giám sát và đo lường (RTCP). Thông thường, nhì cổng được chọn mặc định là 5004 và 5005. Trên phía phát, tiếng nói được pha trộn thành dạng số hoá, qua bộ CODEC được nén thành các gói tin nhằm truyền đi. Khi đi xuống tầng UDP/IP, mỗi gói tin được gắn thêm với một header tương ứng. Header này có form size 40 byte, đến biết showroom IP nguồn, địa chỉ cửa hàng IP đích, cổng tương ứng, header RTP và các thông tin khác: Hình 2.13: Gói RTP chẳng hạn như ta sử dụng G.723.1 thì từng payload có form size 24 byte, do vậy phần dữ liệu cho mỗi gói tin chỉ chiếm khoảng chừng 37,5%. Header RTP cho thấy thêm phương thức mã hóa được áp dụng cho gói tin này, chỉ mục gói, nhãn thời gian của nó và các thông tin đặc biệt quan trọng khác. Từ các thông tin này ta hoàn toàn có thể xác định ràng buộc thân gói tin với thời gian. Header RTP tất cả 2 phần : Phần cố định và thắt chặt dài 12 byte. Phần mở rộng để fan sử dụng hoàn toàn có thể đưa thêm các thông tin khác. Header RTP cho từng gói tin gồm dạng : bảo mật thông tin trong Vo
Timestamp
Synchronization Source (SSRC) identifier
Contributing Source (CSRC) identifiers
Hình 2.14: cấu tạo header của RTP các gói được bố trí lại theo như đúng thứ tự thời hạn thực ở mặt nhận rồi được lời giải và phân phát lại. RTP hỗ trợ bề ngoài hội thoại đa điểm một cách rất linh hoạt. Điều này hết sức quan trọng, đặc trưng trong trường hòa hợp số thành viên tham gia hội thoại là nhỏ tuổi để tiết kiệm tài nguyên mạng. Đa phần hội thoại ra mắt dưới bề ngoài phát đa điểm. Nếu có yêu ước phúc đáp giữa hai thành viên thì ta lựa chọn phương pháp hội thoại 1-1 phát đáp. Hình 2.15: Hội thoại nhiều điểm RTP cho phép sử dụng các bộ trộn và cỗ chuyển đổi. Bộ trộn là sản phẩm nhận các luồng tin tức từ vài nguồn có tốc độ truyền khác nhau, trộn chúng lại cùng với nhau cùng chuyển tiếp theo sau một tốc độ khẳng định ở đầu ra. Bộ biến hóa nhận một luồng tin tức ở đầu vào, thay đổi nó thành một khuôn dạng khác ở đầu ra. Những bộ thay đổi có ích cho việc thu nhỏ băng thông theo yêu cầu của dòng số liệu trước lúc gửi vào liên kết băng thông thuôn hơn nhưng không cần yêu cầu nguồn phát RTP thu nhỏ tuổi tốc độ truyền tin của nó. Điều này được cho phép các bên liên kết theo một link nhanh nhưng mà vẫn đảm bảo an toàn truyền thông bảo mật trong Vo
IP 39 unique cao. Những bộ trộn chất nhận được giới hạn đường truyền theo yêu mong hội thoại. 2.2.8.2 RTCP Từ các thông tin cung ứng trong RTP cho từng gói tin, ta có thể giám sát chất lượng truyền ngôn ngữ trong vượt trình diễn ra hội thoại. RTCP phân tích cùng xử lý các thông tin này để tổng hợp thành những thông tin tâm lý rồi giới thiệu các bạn dạng tin bình luận đến tất cả các thành viên. Ta hoàn toàn có thể để điều chỉnh vận tốc truyền số liệu ví như cần, vào khi những bên nhấn khác có thể xác định xem vấn đề unique dịch vụ là toàn cục hay toàn mạng. Đồng thời, nhà thống trị mạng có thể sử dụng các thông tin tổng hợp mang đến việc đánh giá và quản lý chất lượng dịch vụ thương mại trong mạng đó. Kế bên ra, các bên tham gia hoàn toàn có thể trao đổi những mục biểu lộ thành viên như tên, e-mail, số điện thoại và các thông tin khác. Giao thức điều khiển thời gian thực Real-time Control Protocol (RTCP) có nhiệm vụ giám sát và đo lường và review quá trình truyền tin dựa trên việc truyền một cách định kỳ các gói tin điều khiển và tinh chỉnh tới các thành viên thâm nhập hội thoại cùng với cùng cơ chế truyền dữ liệu. RTCP thi hành 4 chức năng chính : cung cấp cơ chế làm phản hồi chất lượng truyền dữ liệu. Bên gửi thống kê quy trình gửi dữ liệu qua phiên bản tin tín đồ gửi cho các thành viên. Mặt nhận cũng tiến hành gửi lại bạn dạng thống kê những thông tin nhận ra qua bạn dạng tin tín đồ nhận. Từ bỏ việc giám sát và đo lường quá trình gửi với nhận giữa các bên, ta rất có thể điều chỉnh lại những thông số quan trọng để tăng unique cho cuộc gọi. Đây là công dụng quan trọng tuyệt nhất của RTCP. Mỗi nguồn cung cấp gói tin RTP được định danh do một tên CNAME (Canonical end-point identifer SDES item). RTCP có nhiệm vụ cho các thành viên biết tên này. Khi có thành viên new tham gia đối thoại thì anh ta yêu cầu được gán cùng với một trường CNAME trong gói tin SDES. Quan tiếp giáp số thành viên gia nhập hội thoại thông qua sự thống kê ở các phiên bản tin. Mang các thông tin thiết lập cấu hình cuộc gọi, các thông tin về bạn dùng. Đây là chức năng tùy chọn. Nó quan trọng hữu ích cùng với việc tinh chỉnh và điều khiển các phiên lỏng, có thể chấp nhận được dễ dàng thêm bớt số thành viên gia nhập hội thoại mà không cần có ràng buộc nào. Bảo mật trong Vo
IP 40 RTCP khái niệm 5 nhiều loại gói tin như bảng dưới: SR Sender Report, bản tin người gửi RR Receiver Report, bạn dạng tin người nhận SDES Source mô tả tìm kiếm items, những mục biểu lộ nguồn BYE Thông báo kết thúc hội thoại APP cung ứng các chức năng đơn lẻ của từng ứng dụng các thông tin được cung ứng gói tin RTCP chất nhận được mỗi thành viên thâm nhập hội thoại giám sát và đo lường được quality truyền tin, số gói tin đang gửi đi, số gói tin nhận được, phần trăm gói tin bị mất, trễ là bao nhiêu…Vì vậy, các thông tin này thường được cập nhật một phương pháp định kỳ và chiếm không quá 5% giải thông cuộc gọi. Bởi thế không những RTP thỏa mãn nhu cầu được yêu thương cầu thời hạn thực cho việc truyền tiếng cốt truyện mạng IP mà lại còn được cho phép ta đo lường và tiến công giá unique truyền tin mang đến Vo
IP. Có nhiều yếu tố ảnh hưởng tới chất lượng dịch vụ (Quality of Service- Qo
S) mang đến Vo
IP nhưng chủ yếu là do 3 vì sao trễ, tỷ lệ gói tin mất và Jitter. Tại mỗi thời điểm diễn ra hội thoại ta đều hoàn toàn có thể quan giáp và đánh giá các tham số này. Mặc dù nhiên, bạn dạng thân RTP chuyển động trên tầng IP mà bản chất mạng IP là đưa mạch gói, vì vậy RTP không can thiệp được cho tới các nguyên nhân trên. Ta ko thể điều khiển và tinh chỉnh được chất lượng dịch vụ qua thoại bên trên IP nhưng mà chỉ đo lường và tính toán và review qua việc thực hiện RTP. Biện pháp khắc phục hiện thời là sử dụng giao thức giữ trước khoáng sản Resource Reservation Protocol (RSVP) mang lại Vo
IP. Bảo mật thông tin trong Vo
IP 41 Chương 3: BẢO MẬT trong Vo
IP 3.1 Vấn đề bảo mật thông tin trong Vo
IP bởi vì Vo
IP dựa trên liên kết internet nên có thể có những điểm yếu kém đối với bất kì mối doạ doạ và những vấn đề gì mà laptop của chúng ta cũng có thể đối mặt. Công nghệ này cũng là một technology mới đề xuất cũng có khá nhiều tranh ôm đồm về phần lớn tấn công hoàn toàn có thể xảy ra, Vo
IP cũng rất có thể bị tiến công bởi virut và mã nguy khốn khác, những kể tấn công có thể chặn việc truyền thông, nghe trộm và thực hiện các tấn công hàng fake bằng vấn đề thao túng bấn ID và có tác dụng hỏng dịch vụ của bạn. Các hành động tiêu tốn lượng lớn các tài nguyên mạng như sở hữu file, chơi game trực tuyến…cũng ảnh hưởng đến thương mại dịch vụ Vo
IP. Vo
IP cũng chịu thông thường với những vấn đề bảo mật thông tin vốn có của mạng data. Những cỗ giao thức mới dành riêng của Vo
IP thành lập cũng mang theo nhiều vấn đề khác về tính bảo mật. Nghe nén cuộc gọi: nghe nén qua công nghệ Vo
IP càng có nguy hại cao do có nhiều node bình thường gian trê tuyến phố truyền thân hai fan nghe và tín đồ nhận. Kẻ tấn công có thể nghe nén được cuộc gọi bằng phương pháp tóm lấy những gói IP sẽ lưu thông qua các node trung gian. Có nhiều công vậy miễn giá thành và gồm phí kết phù hợp với các thẻ mạng hỗ trợ chế độ pha tạp giúp tiến hành được các điều này. Truy cập trái phép(unauthorized access attack): kẻ tấn công rất có thể xâm phạm những tài nguyên trên mạng do nguyên nhân chủ quan của những admin. Nếu các mật khẩu khoác định của các gateway cùng switch ko được thay đổi thì kẻ tấn công rất có thể lợi dụng để xâm nhập. Các switch cũ vẫn còn đó dùng telnet để truy vấn từ xa, và clear-text protocol có thể bị khai quật một lúc kẻ tấn công có thể sniff được các gói tin. Với những gateway hay switch sử dụng giao diện web server cho việc tinh chỉnh và điều khiển từ xa thì kẻ tấn công hoàn toàn có thể tóm các dụng chũm kỹ thuật ARP để tóm lấy các gói tin vẫn lưu đưa trong một mạng nội bộ. Caller ID spoofing: caller ID là một dịch vụ được cho phép uer có thể biết được số của người gọi đến. Caller ID spoofing là kỹ thuật mạo danh được cho phép Bảo mật trong Vo
IP 42 chuyển đổi số ID của người gọi là những con số do uer để ra. So với mạng điện thoại cảm ứng thông minh truyền thông, thì việc giả mạo số điện thoại thông minh Vo
IP dễ dàng hơn nhiều, bởi có rất nhiều công cố gắng và website có thể chấp nhận được thực hiện nay điều này. Đặc điểm Đặc tả cấu tạo IP Điểm yếu đuối này tương quan đến các khối hệ thống sử dụng mạng đưa mạch gói, nó làm hình ảnh hướng đến cấu trúc buổi giao lưu của Vo
IP Hệ điều hành những thiết bị Vo
IP thừa kế các điểm yếu của hệ quản lý và các firmware mà lại chúng chạy xe trên đó (windows cùng linux) cấu hình Cấu hình mang định của sản phẩm công nghệ Vo
IP luôn có những dịch vụ thương mại dư thừa. Và các port của các dịch vụ dư quá này trở thành điểm yếu kém cho các tiến công Dos, tràn bộ đệm hoặc kiêng sự chính xác Mức vận dụng Các technology mới còn non yếu rất có thể bị tấn công bẻ gãy hoặc mất điều khiển đối với các dịch vụ. Bảng 3: mô tả những cấp độ mà cấu trúc Vo
IP rất có thể bị tấn công Ngoài những vụ việc trên, Vo
IP còn kế thừa những vấn đề chính trong việc định con đường trên liên kết băng thông rộng. Không giống như các hệ thống điện thoại cảm ứng truyền thông chúng ta cũng có thể gọi cả lúc mất điện. Trong hệ thống Vo
IP, giả dụ mất điện áp nguồn thì Vo
IP cũng ko thể tiến hành được cuộc điện thoại tư vấn . Ở đây cũng có vài vấn đề liên quan đó là các khối hệ thống bảo mật ở nhà hoặc số khẩn cấp có thể không thao tác theo như mong muốn muốn. 3.2 nhu cầu bảo mật trước lúc đi vào cụ thể về những technology khác nhau để bảo vệ cho mạng Vo
IP. Bạn phải hiểu những vụ việc và tập hòa hợp những nhu yếu mà bạn đã được thấy. Phần này đang phác thảo những nhu cầu bảo mật tiêu biểu. Không phải là một danh sách toàn diện. Những dịch vụ thương mại Vo
IP đặc trưng có thể cần những nhu mong phụ: Tính trọn vẹn : fan nhận nên nhận những gói dữ liệu của fan khởi chế tạo gửi cùng với nội dung không có sự cầm đổi. Một bên thứ ba rất cần phải không có khả năng chỉnh sửa gói trong quy trình vận chuyển. Định nghĩa này được áp dụng một cách đúng mực trong trường thích hợp của biểu đạt Vo
IP. Tuy nhiên, bảo mật trong Vo
IP 43 vào trường vừa lòng của phương tiện đi lại truyền thông, sự mất mát gói thông thường có thể tha lắp thêm được. Tính bí mật: Một hãng sản xuất thứ tía không nên có công dụng để đọc tài liệu mà được dự định cho những người nhận. Tính xác thực: mặt gửi và mặt nhận dấu hiệu Vo
IP tốt thông điệp truyền thông media nên chắc chắn rằng rằng bọn chúng đang liên lạc ngang hàng nhau. Tính sẵn sàng: Sự đảm bảo từ việc tiến công Do
S(từ chối dịch vụ) so với thiết bị Vo
IP đề xuất sẵn có đối với những người sử dụng liên tục. Những người sử dụng/những thiết bị gồm ác tâm hoặc có cư xử không chính xác không được cấp quyền nhằm phá vỡ lẽ dịch vụ. Để làm cho dịu những cuộc tấn công Do
S đòi hỏi cách xử trí lây lây nhiễm để bảo đảm tài nguyên Vo
IP và bảo đảm an toàn mạng IP mặt dưới. 3.3 một trong những cách tiến công chặn cuộc điện thoại tư vấn 3.3.1 Tấn công trả lời Tấn công replay là tấn công chủ động nhắm tới nghi thức. Đặc trưng của người tấn công này giành được gói tài liệu gởi hoặc nhận đến host. Anh ta sửa đổi chúng và thực hiện lại để truy vấn vào một trong những dịch vụ làm sao đó. Một ví dụ tương ứng với một số loại thoại IP là người tiến công đạt được vào tay những gói tài liệu gởi xuất phát từ một user có quyền để tùy chỉnh cuộc hotline và nhờ cất hộ lại chúng sau khi đã sửa đổi địa chỉ nguồn với IP. Nó hoàn toàn có thể bị ngăn chặn bằng cách thực thi hai thương mại dịch vụ bảo mật nhấn thực thực thể ngang hàng (peer entity authencation) với tính trọn vẹn dữ liệu (data intergrity). 3.3.2 tấn công tràn cỗ đệm Đây là phương thức tấn công phổ biến. Đây là tác dụng chính của việc phát triển ứng dụng không đúng lúc. Kỹ thuật này tận dụng trên thực tế là tất cả một vài ba lệnh ko kiểm tra đầu vào dữ liệu. Bọn chúng được ứng dụng quan trọng đặc biệt để xâu chuỗi xử lý những lệnh. Quá trình gia nhập với tương đối nhiều đầu vào, những lệnh tuyệt là những chương trình có công dụng làm cho bộ nhớ hệ thống bị viết đè lên. Câu chữ của bộ lưu trữ này gồm thể bắt đầu hoặc tảo trở lại địa chỉ của các chương trình subroutine. Trường đúng theo xấu nhất fan tấn công có thể thêm vào đoạn code hiểm để cung cấp cho anh ta những quyền quản lí của hệ thống. Phương án đối phó là huỷ toàn bộ các code “yếu”, chính các lỗ hổng thừa nhận thức được chứa trong số hệ thống vận động và những chương trình ngôn ngữ. Bảo mật thông tin trong Vo
IP 44 3.3.3 tiến công man in the middle Trong tấn công man in the middle fan tấn công quản lý để cắt đứt liên kết giữa hai bên gọi. Cả hai bên tham gia liên kết này phần đa nghĩ rằng chúng media với nhau. Thực tế, tất cả các dữ liệu được định tuyến đường qua fan tấn công. Hacker đã ngừng việc truy vấn để sửa chữa thay thế các dữ liệu bên trong. Hacker hoàn toàn có thể đọc chúng, biến hóa chúng hoặc với gửi chúng như là dữ liệu của anh ta. Thực tiễn hacker được khẳng định ở vị trí trọng điểm của nhị bên truyền thông mang lại cho người tấn công tên của phía 2 bên truyền thông. Một ví dụ như cho tiến công này là thiết lập cấu hình của việc bảo đảm kết nối được sử dụng bởi bảo mật thông tin lớp dữ liệu. Điểm yếu hèn của TLS là lý do của việc tùy chỉnh cấu hình phiên này. Ở đây hai bên truyền thông rất có thể trao đổi hai khóa. Khóa này được đổi có chức năng làm cho những người tấn công hoàn toàn có thể ở giữa hai bên truyền thông. 3.3.4 chặn và ăn cắp cuộc call Nghe trộm cùng đánh ngăn cuộc gọi là sự việc liên quan cho mạng Vo
IP, định nghĩa nghe lén tức là một fan tấn công rất có thể giám sát cục bộ báo hiệu hoặc dòng tài liệu giữa nhì hoặc nhiều đầu cuối Vo
IP, tuy vậy không thể đổi khác dữ liệu. Đánh cắp cuộc hotline thành công tương tự như câu hỏi nghe trộm bên trên dây nối, cuộc hotline của nhị bên hoàn toàn có thể bị tấn công cắp, ghi lại, và nghe lại mà hai bên không thể biết. Cụ thể người tiến công mà hoàn toàn có thể đánh chặn và chứa tài liệu này hoàn toàn có thể sử dụng tài liệu này cho mục đích khác giao hàng cho mục tiêu của anh ta. 3.3.5 Đầu độc DNS Một làm hồ sơ DNS (Domain Name System) A được sử dụng cho việc chứa những domain xuất xắc hostname ánh xạ thành add IP. SIP tạo thành việc sử dụng thoáng rộng hồ sơ SRV để xác minh các thương mại & dịch vụ SIP như là SIP uỷ quyền với đăng nhập. Các hồ sơ SRV thường bước đầu với gạch bên dưới (_sip.tcpserver.udp.domain.com) với chứa tin tức về biểu đạt dịch vụ, vận chuyển, host, và tin tức khác. Các hồ sơ SRV được cho phép người thống trị sử dụng một vài ba user cho một domain, để dịch rời dịch vụ tự host mang lại host với cùng một ít đặc biệt quan trọng hoá, với để bổ nhiệm một vài host như là những server chính cho những dịch vụ. Bảo mật trong Vo
IP 45 Một tín đồ có mục tiêu tấn công, sẽ cố gắng đầu độc DNS hay tấn công giả mạo, sẽ sửa chữa thay thế giá trị lưu trữ hồ sơ DNS A, SSRV, tuyệt NS cùng với các bản tin cơ mà chỉ đến những server của tín đồ tấn công. Điều này rất có thể được dứt bằng cách ban đầu bằng cách dời vùng trường đoản cú DNS server của người tiến công đến DNS hệ thống nạn nhân, bằng phương pháp yêu ước server DNS nàn nhân phân tích máy mạng trong domain của tín đồ tấn công. Server DNS nàn nhân không những chấp nhận yêu cầu hồ sơ mà còn gật đầu đồng ý và chứa những hồ sơ mà lại server tấn công có. Do vậy việc thêm vào hồ sơ A cho www.Attacker.com, hệ thống DNS nạn nhân hoàn toàn có thể nhận được hồ sơ mang là www.yourbank.com. Nạn nhấn vô tội vẫn bị tìm hiểu chuyển phía lại cho attacker.com. Trang web mà bất mà bất kỳ thời điểm như thế nào muốn truy cập là yourbank.com. Trang web mà hồ sơ mang được lưu lại trữ. SIP URL thay thế sửa chữa cho add website, cùng vấn đề giống như cũng chạm chán phải trong môi trường xung quanh Vo
IP. Các loại ăn hiếp doạ này nhờ vào sự vắng khía cạnh của bảo đảm nhận thực của người tạo ra yêu cầu. Các tấn công trong nhiều loại này cố gắng tìm kiếm để phá hoại tính trọn vẹn của tài liệu đàm thoại.Các thảm hoạ này chỉ ra rằng việc cần thiết phải bảo mật thương mại dịch vụ để có tác dụng nhận thực thể tạo nên yêu mong và để đánh giá nội dung của thông điệp và điều khiển và tinh chỉnh các luồng ko bị chuyển đổi khi phát. 3.3.6 Đánh lừa (ARP Spoofing) ARP là giao thức các đại lý Ethernet. Có lẽ do vì sao này, làm việc vào các gói ARP là kỹ thuật tiến công thường thấy vào mạng Vo
IP. Một vài kỹ thuật hay công cụ bây giờ cho phép bất kỳ user nào hoàn toàn có thể tìm ra lưu giữ lượng mạng bên trên mạng bởi vì ARP không có pháp luật cho thắc mắc nhận thực và thắc mắc trả lời. Thêm vào đó, chính vì ARP là một trong giao thức stateless, phần lớn các hệ thống hoạt động cập nhật cache của chính nó khi mà lại nhận một lời đáp ARP, bất chấp nó được gởi đi xuất phát từ một yêu cầu thực tế hay không. Trong số những tấn công này, chuyển làn đường ARP, gạt gẫm ARP, ăn cắp ARP cùng đầu độc cache ARP là các phương pháp để phá hoại quy trình ARP bình thường. Những dạng này tiếp tục được xen kẽ hoặc xáo trộn nhau. Dành cho mục đích của chương này, hoàn toàn có thể xem đầu độc cache ARP với đánh lừa ARP như thể cùng một thừa trình. Sử dụng những công nắm tuỳ say đắm có bảo mật thông tin trong Vo
IP 46 thể như là ettercap, Cain, và dsnif, và các thiết bị IP bất lợi có thể xí gạt thiết bị IP thông thường bằng phương pháp gởi một đáp ứng ARP ko yêu cầu đến host mục tiêu. Một đáp ứng ARP giả chứa showroom phần cứng của thiết bị bình thường và showroom IP của thiết bị có ý đồ dùng xấu. Ned là máy vi tính tấn công. Lúc SAM broadcast một thắc mắc ARP cho showroom IP của Sally, NED, fan tấn công, đáp ứng thắc mắc để chỉ ra rằng địa chỉ cửa hàng IP (10.1.1.2) liên quan đến địa chỉ cửa hàng MAC của Ned, BA:AD:BA:AD. Những gói đưa sử gởi từ SAM mang đến Sally sẽ được thay thế gởi mang đến Ned. Sam sẽ hiểu lầm rằng add MAC của Ned tương ứng với showroom IP của Sally. Thực tế, Ned có thể đầu độc cache ARP của Sam cơ mà không cần đợi một yêu ước ARP từ hệ thống Windows (9x/NT/2k), các mục ARP tĩnh được viết đè lên lúc một trả lời thắc mắc được nhận bất chấp có hay không thắc mắc được phát. Mục này sẽ được giữ cho đến khi chúng hết hạn hoặc mục bắt đầu thay thế. Chuyển làn đường ARP có thể vận động hai chiều với thiết bị đánh lừa rất có thể đưa vào sinh sống giữa của cuộc đàm thoại thân hai thứ IP trên mạng đưa mạch. Bằng cách định tuyến những gói trên các thiết bị được nhận các gói, vấn đề gài vào này (được biết như thể Man/Monkey/Moron trong việc tấn công ở giữa ) hoàn toàn có thể vẫn ko được nhận ra cho một vài ba lần. Người tấn công rất có thể định tuyến những gói như mong muốn, dẫn mang lại như tiến công Do
S. Vì tất cả lưu lượng IP giữa fan gởi thực và tín đồ nhận thực hiện thời đều trải qua thiết bị của người tấn công, thật bình thường để cho những người tấn công tìm ra lưu lượng sử dụng những công cố kỉnh tuỳ thích như là Ethereal giỏi tcpdump. Bất kỳ thông tin nào ko được mã hoá (bao có email, username với password, cùng lưu lưọng web) có thể bị chặn đứng và bị xem. Sự chặn đứng này có tác dụng tác động mạnh khỏe đến lưu giữ lượng Vo
IP. Những công chũm miễn phí như là vomit xuất xắc rtpsnif, tương tự như là những công cụ công cộng như là Vo
IPCrack, mang đến phép ngăn chặn và mã hoá lưu lại lượng Vo
IP. Những nội dụng thu được có thể bao hàm thoại, báo cáo và tin tức tính cước, nhiều phương tiện, số PIN. Đàm thoại qua nội mạng IP có thể bị chặn và ghi âm lại thực hiện kỹ thuật này. Ở đây cũng đều có một số đổi thay thể của kỹ thuật đề cập trên. Thay cho bài toán phỏng theo các host, fan tấn công có thể phỏng theo gateway. Điều này làm cho người tấn công có thể ngăn chặn nhiều luồng gói. Tuy nhiên, phần lớn kỹ bảo mật trong Vo
IP 47 thuật chuyển hướng phụ thuộc vào việc lén lút. Người tấn công trong các trường vừa lòng này đều mong muốn việc không nhận thấy của những user mà bọn chúng mạo nhận. Mạo nhận gateway hoàn toàn có thể có kết quả trong các user phòng ngừa sự có mặt của người tiến công xâm phạm bất thần trong mạng. Trong những thủ tục giới hạn lỗi do làm việc ARP, fan quản lí bắt buộc thực thi các công cụ ứng dụng để thống kê giám sát việc ánh xạ add IP thành add MAC. Ở lớp mạng, ánh xạ add MAC/IP rất có thể được mật mã tĩnh bên trên switch, tuy nhiên nó thường xuyên không được cai quản tốt. Các rủi ro của câu hỏi mã hoá lưu lượng Vo
IP hoàn toàn có thể được giới hạn bởi xúc tiến mật mã. Thực hiện việc mật mã hoá media, những cuộc đàm thoại thân hai đầu cuối IP buộc phải được áp dụng cùng một dạng mật mã hoá. Trong môi trường xung quanh bảo mật cao thì những tổ chức bắt buộc phải bảo đảm cùng một phương thức mật mã trong bộ codec IP. Tiếp sau là một vài ví dụ như thêm vào của những đánh chặn hay ăn cắp cuộc hotline hay tín hiệu. Những đe đe của lớp này cạnh tranh thực hiện kết thúc hơn là Do
S, kết quả của nó có thể là tài liệu bị mất giỏi bị thay đổi. Các tiến công Do
S, là do tại sao của các cách thức hoạt động hay sơ xuất, nó làm tác động đến chất lượng dịch vụ với thường tạo sự ko hài lòng so với user và người quản trị mạng. Các tiến công đánh ngăn và ăn cắp, thường là các tiến công chủ rượu cồn với việc đánh tráo dịch vụ, thông tin, hoặc chi phí như là mục tiêu tấn công. Cần chăm chú rằng danh sách này không khái quát lác hết điều tỉ mỷ nhưng cũng gồm 1 vài tấn công cốt lõi. 3.3.7 tấn công đánh lừa đầu cuối Vo
IP (Roque Vo
IP Endpoint Attack) hàng fake đầu cuối EP giao tiếp với các dịch vụ Vo
IP bằng cách dựa trên các đánh cắp hay mong đoán các nhận dạng, các uỷ nhiệm hoặc các truy vấn mạng. Ví dụ, một gạt gẫm đầu cuối EP có thể sử dụng những jack không được bảo đảm an toàn hay auto đăng ký thoại Vo
IP để rất có thể vào mạng. Ước chừng mật mã hoàn toàn có thể được sử dụng để trá hình như là 1 đầu cuối thích hợp pháp. Bài toán quản lí các tài khoản không ngặt nghèo có thể tăng thêm nguy cơ của việc tận dụng này 3.3.8 Cướp đăng ký (Registration Hijacking) cướp đăng ký xẩy ra khi một người tiến công mạo nhận là 1 trong UA có giá trị để giữ và thay thế đăng ký kết với địa chỉ cửa hàng của mình. Các tiến công này là nguyên nhân của việc tất cả các cuộc hotline đến được giữ hộ đến fan tấn công. Bảo mật thông tin trong Vo
IP 48 3.3.9 hàng nhái ủy nhiệm giả mạo uỷ nhiệm xảy ra khi một người tiến công đánh lừa một uỷ thác (proxy) trong việc truyền thông media với một proxy giả.. Nếu như một người tấn công thành công trong việc hàng nhái uỷ nhiệm, anh ta có thể truy cập vào toàn bộ các thông điệp SIP. 3.3.10 Lừa tính phí giả mạo đầu cuối Vo
IP thực hiện server Vo
IP để đặt việc tính phí bất hợp pháp của cuộc điện thoại tư vấn qua PSTN. Ví dụ, những điều khiển truy cập không không hề thiếu có thể cho phép các sản phẩm giả để phí của những cuộc gọi bằng cách gởi yêu ước Vo
IP đến các ứng dụng thực hiện cuộc gọi. Các server Vo
IP hoàn toàn có thể bị hack trong những thủ tục để tiến hành cuộc điện thoại tư vấn miễn tầm giá đến đích bên ngoài. 3.3.11 đảo lộn thông điệp Bắt giữ, sửa đổi, và sắp xếp để ko xác thực các gói Vo
IP cho đầu cuối. Các tấn công này có thể xảy ra qua việc đánh tráo đăng nhập, hàng nhái uỷ nhiệm, hay tấn công trên ngẫu nhiên một thành phần Vo
IP thực như thế nào mà tiến hành các thông điệp SIP xuất xắc H.323, như là server proxy, registration, truyền thông media gateway, hay những bức tường lửa. 3.4 Các công nghệ bảo mật Khi đưa ra những nhu cầu bảo mật cho số đông thiết bị Vo
IP, phần này biểu hiện một vài công nghệ có sẵn để bảo đảm an toàn tính toàn vẹn,tính túng mật, và tính chứng thực. Các công nghệ này chưa hẳn là những phương án tối ưu dẫu vậy nó đóng góp phần giải quyết những vấn đề trong mạng Vo
IP: 3.4.1 VLAN Sự tích phù hợp thoại, tài liệu và video clip trên cùng một mạng khiến cho sự bảo mật thông tin của khối hệ thống Vo
IP cũng bị tác động bởi các dịch vụ khác. Để hoàn toàn có thể giải quyết được vấn đề này ta bóc tách biệt về luận lý giữa các dịch vụ bằng VLAN bảo mật thông tin trong Vo
IP 49 Hình 3- 1: VLAN lợi ích của VLAN: - sút lưu lượng broadcast cùng multicast vì chưng chỉ có những máy trong cùng một VLAN mới có thể thông tin được cùng với nhau. VLAN được cấu hình trên switch. - VLAN dễ dàng quản lý, giúp thống trị thiết bị một biện pháp tập trung. VLAN hoàn toàn có thể sắp xếp và thống trị các PC hay softphone nhờ vào chức năng, lớp dịch vụ, tốc độ kết nối hoặc đông đảo tiêu chuẩn chỉnh khác. - giảm delay với jitter, vì chưng đó nâng cấp Qo
S. Hệ thống Vo
IP có thể bị ảnh hưởng bởi sự thiếu bảo mật của những dịch vụ khác của mạng dữ liệu. Bảo mật thông tin trong Vo
IP 50 Hình 3- 2: VLAN phân theo tác dụng VLAN góp phần trong bảo mật khối hệ thống Vo
IP. Lưu lượng giữa các VLAN được đảm bảo an toàn (trừ khi sử dụng router). Nó làm cho giảm các broadcast giữ lượng bên trên mạng mà điện thoại cảm ứng thông minh phải nhận. Thống trị lưu lượng bởi VLAN hỗ trợ cho lưu lượng SNMP cùng syslog không bị nhiễu cùng với dữ liệu, thuận tiện hơn vào việc quản lý mạng. VLAN còn giúp giảm nguy hại Do
S. Do mong muốn liên lạc giữa các VLAN thì phải đi qua lớp mạng, các lưu lượng này sẽ bị lọc bởi những ACL trên lớp mạng. Để bảo đảm an ninh cho lưu lại lượng tại lớp 2 thì nên cần hạn chế quyền truy cập bằng cổng console của Switch bằng phương pháp sử dụng những phương thức chứng thực mạng như RADIUS hay AAA. 3.4.2 VPN technology VPN hỗ trợ một phưong thức giao tiếp an toàn giữa các mạng riêng dựa vào hạ tầng mạng chỗ đông người (Internet). VPN hay được dùng để kết nối những văn phòng, chi nhánh với nhau, các người dùng từ xa về văn phòng chính. Technology này có thể triển khai sử dụng các giải pháp sau: Frame Relay, ATM giỏi Leased line. Những giao thức và thuật toán được sử dụng trong VPN bao hàm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) với Internet key Exchange (IKE). Bảo mật thông tin trong Vo
IP 51 tất cả hai các loại kết nốit VPN: + Client – to – LAN + LAN – lớn – LAN Hình 3- 3: Client-to-LAN VPN công nghệ VPN dựa vào kỹ thuật mặt đường hầm (tunneling). Chuyên môn này bao gồm đóng gói, truyền đi, giải mã, định tuyến. VPN có bố loại: Point – khổng lồ – Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), IPsec. 3.4.2.1 Point – to – Point Tunneling Protocol Đây là một trong những giao thức trở nên tân tiến bởi Microsoft, làm việc ở lớp 2 trong mô hình OSI. PPTP đóng gói frame PPP vào gói IP bằng phương pháp sử dụng GRE (General Routing Encapsulation).Các hình thức đảm bảo sự bảo mật gồm: hội chứng thực, mã hóa dữ liệu, thanh lọc gói PPTP. PPTP dùng các giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver 1 với ver 2), PAP, trong những số đó MS-CHAP ver2 cùng EAP-TLS được xem như là bảo mật nhất vày cả VPN server với VPN client đều xác nhận lẫn nhau. Mua trong PPP frame được mã hóa bởi RSA (Rivest, Shamir & Adleman), RC4 (Rivest Cipher 4). Trong MS-CHAP ver1 giá trị băm của LAN cùng của Windows NT được sinh ra dựa vào cùng một password và được gửi tuy vậy song trường đoản cú client đến server. Bởi giá trị LAN manager hash được bảo mật kém nên những chương trình bẻ password hoàn toàn có thể tấn công được, khi sẽ biết giá tốt trị băm của LAN, rất có thể dùng nó để tìm ra quý hiếm của Windows NT. MS-CHAP ver 2 khắc phục và hạn chế được lỗi trên dựa vào dùng vẻ ngoài mã hóa. RSA và RC4 cũng đều có các nhược điểm do khóa mã hóa dựa vào password của user và cả client cùng server phần nhiều dùng thông thường khóa mã hóa. Bảo mật thông tin trong Vo
IP 52 3.4.2.2 Layer 2 Tunneling Protocol L2TP là giao thức chuẩn chỉnh của IETF (RFC 2661). Khác với PPTP, L2TP hoàn toàn có thể chạy trên những chuyển mạch không giống nhau như X.25, Frame Relay, ATM, dẫu vậy thường thì L2TP gói gọn PPP frame vào L2TP frame và dùng UDP để truyền đi (không sử dụng GRE). Dùng UDP giỏi hơn cho những dịch vụ thời hạn thực. Bạn dạng thân L2TP không đảm bảo bảo mật, nó cần các giao thức vận chuyển dưới làm điều này. Điều này được tiến hành qua việc bảo mật thông tin trong PPP hoặc dùng IPsec. Hình 3- 4: kết cấu L2PT 3.4.2.3 IP Security Với điểm lưu ý là dễ bị bắt gói vào mạng IP bắt buộc yêu ước mã hóa là quan trọng cho khối hệ thống Vo
IP. IPsec rất có thể bảo mật tin tức của EP và luồng dữ liệu. IPsec là tập giao thức cải cách và phát triển bởi IETF, bảo mật thông tin ở lớp IP. IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), dàn xếp khóa (Security Association), đảm bảo an toàn toàn vẹn dữ liệu (Data Integrity) với kiểm tra nguồn gốc dữ liệu (Origin Authentication). IPsec có hai giao thức: Authenticaion Header (AH) cùng Encapsulating Security Payload (ESP). - AH: xác thực data và chống replay, sử dụng giao thức IP số 51 - ESP: dùng giao thức IP số 50 ESP chỉ mã hóa và xác nhận trên gói ban sơ (không tất cả header), còn AH thì xác thực toàn cỗ gói (có header) và không mã hóa. Bảo mật trong Vo
IP 53 Hình 3- 5: chứng thực và mã hóa của AH và ASP - IPsec có 2 mode: + Tunnel mode: chế tác thêm một IP header mới gồm một add nguồn cùng một add đích (có thể không giống với add nguồn và add đích vào gói IP). ESP xác thực và mã hóa bên trên gói IP, còn AH xác nhận thêm một trong những phần của header mới. + Transport mode: ESP mã hóa và chứng thực gói IP (không bao gồm phần header), AH thì có xác thực thêm một trong những phần header mới. Hình 3- 6: cấu tạo gói IPsec nghỉ ngơi transport mode Hình 3- 7: cấu trúc gói IPsec sống tunnel mode Trong vượt trình thiết lập cấu hình kết nối, VPN client và VPN vps sẽ trao đổi thuật toán mã hóa được sử dụng trong những các thuật toán sau: DES, MD5, SHA, DH bảo mật trong Vo
IP 54 Security Association (SA) thường xuyên được cai quản bời IKE. SA thường hoàn toàn có thể dùng pre-shared key, mã hóa RSA hoặc chữ ký số. IPsec xác thực bằng shared secret và certificate, bảo mật thông tin hơn so với PPTP xác nhận bằng password của user. 3.4.3 Firewalls Đóng vai trò rất đặc trưng trong việc bảo mật mạng tài liệu khỏi những tiến công từ mặt ngoài. Một vài loại firewall cơ bản sau bao gồm thể bảo đảm an toàn dữ liệu ở các lớp khác biệt trong mô hình OSI: Packet filtering firewall Circiut màn chơi gateway firewall Personal firewall chức năng cơ bạn dạng của firewall có thiết kế không phải giành riêng cho các ứng dụng thời gian thực như Vo
IP nên việc cấu hình thiết lập firewall cho khối hệ thống Vo
IP sẽ làm cho hệ thống phức tạp rộng ở một số quá trình: port đụng trunking, thủ tục cấu hình thiết lập cuộc gọi. Kế bên ra, firewall còn có nhiệm vụ điều khiển luồng thoại cùng dữ liệu. Ví như không thiết đặt firewall thì toàn bộ các giữ lượng mang đến và đi trường đoản cú IP phone đều đề xuất được được cho phép vì RTP sử dụng port UDP động, và vì thế thì toàn bộ các port UDP đều phải mở, thiếu bảo mật. Vì chưng vậy, IP phone thường đặt sau firewall để tất cả các lưu lại lượng mọi được kiểm soát và điều hành mà không cần phải mở tất cả các port UDP firewall được áp dụng để bí quyết ly về mặt luận lý giữa thoại và dữ liệu. 3.4.4 NAT (Network Address Translation). Là chuyên môn mà add nguồn hay add đích biến hóa khi đi qua thiết bị có tác dụng NAT, cho phép nhiều host vào mạng nội cỗ dùng bình thường một add IP để đi ra mạng mặt ngoài. Bên cạnh one-to-one mapping thì còn tồn tại many-to-one mapping hay còn gọi là NAPT (Network Address Port Translation). Bảo mật thông tin trong Vo
IP 55 Hình 3- 8: quá trình thay đổi địa chỉ cửa hàng trong NAT NAT có 4 chủ yếu sách: - Full: tất cả các yêu ước từ cùng các host bên phía trong (địa chỉ IP cùng port) được ánh xạ tới cùng một IP tuyệt port đại diện bên ngoài, vì vậy bất kỳ một host phía bên ngoài có thể giữ hộ gói cho tới 1 host phía bên trong nếu biết địa chỉ được ánh xạ đó. - Restricted: chỉ có thể chấp nhận được 1 host bên ngoài với IP X giữ hộ gói mang lại host mạng bên trong nếu host của mạng phía bên trong đã gửi trao IP X một gói trước đó. - Port restricted: tương tự Restricted one nhưng tất cả thêm port. Chính sách này được thực hiện để có thể dùng tầm thường một địa chỉ cửa hàng IP thay mặt đại diện bên ngoài. - Symmetric: toàn bộ các request từ cùng 1 IP tuyệt port đến 1 đích nào đó được ánh xạ đi bằng 1 IP đại diện, nếu đi tới 1 đích không giống thì nó đã đi bằng IP đại diện khác Chỉ có những host phía bên ngoài nhận được gói thì mới gửi gói ngược trở lại các host bên phía trong được. Công dụng của NAT: giảm sút số IP đề nghị dùng bằng cách sử dụng chung 1 IP thay mặt đại diện để đi ra mặt ngoài. Với việc sử dụng chung 1 IP thay mặt đại diện để đi ra bên phía ngoài như vậy thì đông đảo lưu lượng ý muốn truy nhập vào mạng bên trong thì đề xuất qua NAT, bảo mật hơn. 3.4.5 Một số để ý khi áp dụng NAT với firewall trong khối hệ thống Vo
IP. Ảnh hưởng đến Qo
S: Việc thiết lập cấu hình firewall và NAT gây ra trễvà jitter, làm sút Qo
S. Về bản chất, muốn nâng cao Qo
S thì quy trình xử lý gói khi qua firewall phải nhanh, mà tài năng xử lý gói của firewall lại dựa vào vào năng lượng của bảo mật thông tin trong Vo
IP 56 CPU. CPU giải pháp xử lý gói chậm rãi là do: header của gói thoại phức tạp hơn gói IP bình thường nên thời gian xử lý thọ hơn; con số gói RTP vượt lớn có thể làm firewall CPU bị qua tải. Cuộc call tới: lúc một có một cuộc điện thoại tư vấn tới thì những lưu lượng thông tin tới trải qua firewall, cần được mở một trong những port, điều này có thể gây nguy hiểm. Với NAT điều đó càng trở ngại vì NAT cần sử dụng port động, cơ mà một host bên ngoài chỉ có thể gọi cho một host nằm sau NAT giả dụ biết chủ yếu xác địa chỉ cửa hàng IP và port của nó. Voice Stream: RTP cần sử dụng port hễ (1024-65534), còn RTPC cai quản luồng thoại bằng một port ngẫu nhiên, khó khăn mà đồng bộ port của RTP với RTPC. Trường hợp cả hai host các nằm sau NAT thì sẽ càng khó khăn. NAT chỉ ánh xạ showroom bên trong và địa chỉ cửa hàng đại diện đi ra bên phía ngoài trong 1 khoảng thời hạn t(s). Nếu kết nối bị đứt hay là không có lưu giữ lượng đi qua NAT vào t(s) thì ánh xạ này sẽ biến mất. Nếu cần sử dụng TCP thì khi kết nối TCP xong thì cuộc gọi cũng kết thúc. Nếu dùng UDP thì không phân biệt được vị UDP là phi kết nối. Nếu thực hiện VAD thì có chức năng thông tin liên kết bị xóa trước lúc cuộc điện thoại tư vấn thật sự kết thúc. Mã hóa: bài toán mã hóa giúp đảm bảo an toàn tính toàn diện dữ liệu mà lại ta cũng chạm mặt một số vấn đề với nó khi sử dụng NAT với firewall: + Firewall vẫn chặn các gói tất cả header được mã hóa. + NAT vết đi IP bên trong với mạng phía bên ngoài nên phương thức chứng thực ESP và AH của Ipsec là chưa phù hợp lệ. 3.4.6 Share-key (khoá sử dụng chung) các phương pháp tiếp cận Chìa khóa- cần sử dụng chung: Một biện pháp tiếp cận tới sự xác nhận là một hệ thống mà trong những số đó người nhờ cất hộ và người nhận chia sẻ một mật khẩu bí mật ( nhiều lúc tham chiếu tới như một chìa khóa- sử dụng chung) cơ mà không được biết đối với một bên thứ ba. Tín đồ gửi đo lường và tính toán một hash câu chữ thông điệp với nối vào quý giá hash kia với một thông điệp. Bên phía nhận ra thông điệp, tín đồ nhận cũng bảo mật thông tin trong Vo
IP 57 giám sát và đo lường hash thông điệp với cùng một mật khẩu cần sử dụng chung. Tiếp nối nó đối chiếu hash đang được thống kê giám sát với quý giá hash mà được bổ sung vào thông điệp. Nếu bọn chúng phù hợp, sự trọn vẹn của thông điệp được bảo đảm an toàn như là tính đúng đắn của fan gửi. Bạn cũng có thể sử dụng password dùng thông thường để mã hóa văn bản thông điệp với truyền dữ liệu đã mã hóa tới tín đồ nhận. Vào trường thích hợp này, yêu mong riêng bốn được nhắc không vì bên thứ ba có thể đánh hơi dữ liệu đang chuyên chở và rất có thể nhìn nội dung thông báo của văn phiên bản gốc. Fan nhận chạy giải thuật giải thuật (sự mở khóa) với password dùng tầm thường như trong số những đầu vào và tạo ra lại thông báo văn bạn dạng gốc. Một khối hệ thống mà có tương đối nhiều nguồn tài liệu có thể chạm mặt phải yêu cầu xác thực bởi việc bảo đảm rằng mọi người gửi thực hi