Đại học quốc qia TP.

HCM
Trường Đại học Khoa học tự nhiên
Khoa Điện tử viễn thông

Tìm hiểu đề tài:

SIP TECHNOLOGY VOIP
Giảng viên hướng dẫn: Ths.Ngô Đắc Thuần

Thực hiện:
1.Nguyễn Đức Anh
2. Nguyễn Thị Minh Châu
3. Trần Quốc Cường
4.Nguyễn Xuân Nguyên
5.Nguyễn Trọng Nhân
1
 Nội dung

Giới thiệu
Cấu trúc

Hoạt động
So sánh H323 và SIP

Bảo mật

2
 Sự ra đời của SIP
 Ngày 22/02/1996 Mark Handley và Even Schooler trình
lên IETF (International Engineering Task Force) phiên bản
SIP V1 (Session Initiation Protocol Version 1)

 Cùng ngày Henning Schulzrinne đệ trình lên IETF phiên

bản SCIP (Simple Conference Invitation Protocol)

 SIP V2 ra đời tại kỳ họp thứ 37 của IETF là sự kết hợp hai
giao thức SIP V1 và SCIP lại với nhau. SIP được chuẩn
hóa lần đầu tiên vào tháng 3 năm 1999 trong bộ tiêu chuẩn
RFC 2543. SIP được sửa đổi vào tháng 5 năm 2002 trong
tiêu chuẩn RFC 3261.
3
 SIP là gì ?
SIP (Session Initiation Protocol ): giao thức khởi
tạo phiên dùng để thiết lập, sửa đổi và kết thúc
các cuộc gọi điện thoại VOIP.

SIP mô tả những giao tiếp cần có để thiết lập một

cuộc điện thoại.

SIP V2 dùng SDP (Session Description Protocol)

để mô tả phiên làm việc.

4
 Ứng dụng của SIP
SIP ứng dụng trong truyền thông đa phương tiện
như: hội nghị, truyền hình, giao lưu trực tuyến, chat,
trò chơi và thậm chí chia sẻ ứng dụng.

Hổ trợ các dịch vụ: chờ cuộc gọi (call waiting),
chuyển cuộc gọi (call forwarding), khóa cuộc gọi
(call blocking),…

Hệ thống IP PBX theo chuẩn SIP, điện thoại SIP.

Giao thức báo hiệu của: NGN, ATM

5
 Sự tiện lợi của SIP
Tiết kiệm chi phí, có sự mềm dẽo, dễ triển khai và
mở rộng.

Hổ trợ tối đa sự di chuyển của đầu cuối

SIP có vị trí vững vàng và là chọn lựa về giao

thức cho mạng không dây cũng như điện thoại thế
hệ thứ ba (3G).

Ưu thế của SIP là dùng một tín hiệu chung trên
nhiều hệ thiết bị, tương thích với nhiều thiết bị
phần cứng.
6
 Hiện có những hệ thống IP PBX nào theo chuẩn
SIP?

 Asterisk : một hệ thống IP PBX trên linux.

 SIPX: một hệ thống IP PBX khác trên linux.

 Hệ thống điện thoại 3CX chạy trên windows:

một hệ thống IP PBX trên windows.

PBX: Private Branch Exchange

7
 Điện thoại SIP

Điện thoại SIP chạy trên phần cứng giống

như điện thoại để bàn nhưng có thể nhận và
thực hiện các cuộc gọi qua internet thay vì hệ
thống PSTN truyền thống.
Điện thoại SIP cũng chạy trên phần mềm:
MAX IP, 3CX,..

8
Điện thoại SIP VIP-154NT
10
SIP trong hệ thống NGN

11
 SIP đối với viễn thông

Khả năng phổ cập của SIP

Kích thích sự phát triển của các mô hình ứng

dụng và dịch vụ dựa trên web.

Khả năng mở rộng, dễ nâng cấp

12
 Hạn chế của SIP

Vấn đề bảo mật, dễ bị capture do SIP được

phát triển dựa trên nền HTTP(Hyper Text
Transport Protocol)

Khả năng quản lý và điều khiển nói chung do

SIP là giao thức ngang hàng.

13
CẤU TRÚC SIP

14
 CẤU TRÚC
SIP

UA(user agent): Server: là

Là thiết bị đầu chương trình
và cuối trong chấp nhận các
mạng SIP, nó bản tin yêu cầu
giao tiếp với và gửi trả lại
người dùng và các đáp ứng
đại diện cho cho các yêu cầu
người dùng. đó
 UA(USER AGENT)
1 2

HARD PHONE SOFT PHONE

16
HARD PHONE

17
SOFT PHONE

18
 UA (USER AGENT)

UAC (User Agent UAS(User Agent

Client): Là thành Server): Là ứng
phần người sử dụng server giao
dụng dùng để khởi tiếp với người
tạo yêu cầu đến dùng, khi yêu cầu
SIP server hoặc SIP được nhận và
UAS trả lại đáp ứng cho
người dùng

19
 SERVER

1
Proxy server

2 Redirect server

3
Register server

4
Location server

20
 PROXY SERVER

Là phần mềm trung gian hoạt động như là

server vừa là client
Chức năng

1 2 3

Đáp ứng các

yêu cầu hoặc Sercurity: Định tuyến
truyền yêu cầu dùng AAA
đến server khác

21
PROXY SERVER

22
PROXY SERVER

23
 REDIRECT SERVER

Là máy chủ chuyển đổi địa chỉ

Chức năng

Chấp nhận yêu cầu SIP, ánh xạ địa chỉ

trong yêu cầu thành địa chỉ mới và trả lại
cho Client

24
REDIRECT SERVER

25
 Register SERVER

Là máy chủ chấp nhận yêu cầu đăng ký

Chức năng

Dùng để đăng ký các đối tượng SIP trong miền SIP và

cập nhật vị trí hiện tại của chúng

26
Register SERVER

27
Register SERVER

28
 LOCATION SERVER

Là phần mềm định vị thuê bao

Chức năng

Cung cấp thông tin về những vị trí có thể

của phía bị gọi cho proxy server hay
redirect server

29
Hoạt động báo hiệu của SIP

1 Vị trí trong mô hình TCP/IP

2 Giao thức SDP

3 Các bản tin của SIP

4 Giao thức truyền tải

5 Ví dụ về hoạt động của SIP

30
 Địa chỉ của SIP user
Địa chỉ SIP tồn tại dưới dạng user@host.
User : tên người dùng hoặc số điện thoại
Host: tên miền hoặc địa chỉ mạng.
Mỗi địa chỉ SIP là duy nhất.
Vd:
 aaa@B.com
 bbb@nhatnghe.com
 1234567@172.172.172.1

31
 Vị trí của SIP trong mô hình TCP/IP

SDP codecs

Application RTSP SIP RTP DNS(SRV)

Transport TCP UDP

Network IP

Physical/Data Link Ethernet

32
SIP hoạt động ở Application Layer
Hoạt động chung lớp với các giao thức
internet như: HTTP, FTP, POP3, SMTP,
bittorent…

33
 SDP (Session Description Protocol)
Là một định dạng để mô tả các thông số khởi
tạo dòng thông tin phương tiện (streaming
media).
Dòng thông tin phương tiện là những nội dung
thoại(voice) hoặc là video trong khi truyền.

34
 SDP
Giao thức SDP cho biết các thông tin sau:

Tên của phiên làm việc và mục đích của nó.

Thời gian để phiên làm việc hoạt động.
Phương pháp truyền (TCP,UDP)
Đích đến của gói tin ( địa chỉ IP và số port).

35
 SDP
v=0
o=Pingtel 5 5 IN IP4 18.10.0.79
s=phone-call
c=IN IP4 18.10.0.79
t=0 0
m=audio 8766 RTP/AVP 96 97 0 8 18
98
a=rtpmap:96 eg711u/8000/1
a=rtpmap:97 eg711a/8000/1
a=rtpmap:0 pcmu/8000/1
a=rtpmap:8 pcma/8000/1
a=rtpmap:18 g729/8000/1
a=fmtp:18 annexb=no
a=rtpmap:98 telephone-event/8000/1
V: phiên bản giao thức,hiện nay là 0
O: chủ sở hữu
S: tên phiên
C: thông tin kết nối
T: <start time><stop time>
M: thông báo dạng truyền thông (
media, port,transport)
A: các thuộc tính và giá trị
Pcmu: pcm luật u
Pcma: pcm luật a
36
 Các bản tin của SIP
Yêu cầu Đáp ứng

37
 Các bản tin yêu cầu của SIP
Bản tin Ý nghĩa

INVITE Khởi tạo một phiên

ACK Khẳng định rằng client đã nhận được bản tin đáp ứng cho bản tin
INVITE

BYE Yêu cầu kết thúc phiên

CANCEL Huỷ yêu cầu đang nằm trong hàng đợi

Register Đầu cuối SIP đăng ký với Register server

OPTIONS Sử dụng để xác định năng lực của server

INFO Sử dụng để tải các thông tin

38
 Các bản tin đáp ứng của SIP

Bản tin Ý nghĩa

1xx Các bản tin chung

2xx Thành công

3xx Chuyển địa chỉ

4xx Yêu cầu không được đáp ứng

5xx Sự cố của server

6xx Sự cố toàn mạng

39
 1xx : phản hồi thông tin

100 : Đang thử

180 : Đang đổ chuông

181 : Cuộc gọi đang được chuyển hướng

182 : Đang xếp hàng đợi

183 : Phiên đang tiến hành

40
 2xx : phản hồi thành công

200 OK

202 được chấp nhận: dùng để tham chiếu

41
 3xx: phản hồi chuyển hướng
300 Có nhiều lựa chọn
301 Đã dời đi vĩnh viễn
302 Đã tạm thời dời đi
305 Dùng Proxy
380 Dịch vụ thay thế

42
 4xx = yêu cầu bị thất bại
 400 Yêu cầu sai
 401 Không được quyền: Chỉ sử dụng bởi cơ quan đăng
kiểm. Các proxy phải sử dụng yêu cầu cấp phép cho
proxy 407
 402 Yêu cầu trả tiền (Dự trữ để dùng trong tương lai)
 403 Cấm
 404 Không tìm thấy: Không tìm thấy người dùng
 405 Phương thức không được phép
 406 Không được chấp nhận
 407 Cần có sự cấp phép cho proxy
 408 Yêu cầu bị hết giờ: không tìm thấy người dùng trong
thời gian cho phép
 410 Đã không còn: Người dùng đã từng tồn tại, nhưng
không còn ở đây nữa.
43
 4xx
 413 Đơn vị yêu cầu quá lớn
 414 URI của yêu cầu quá dài
 415 Kiểu phương tiện không được hỗ trợ
 416 Giản đồ URI không được hỗ trợ
 420 Phần mở rộng không đúng: sử dụng phần mở rộng của giao
thức SIP không đúng, máy chủ không hiểu được
 421 Yêu cầu có phần mở rộng
 423 Quãng quá ngắn
 480 Tạm thời không hoạt động
 481 Cuộc gọi/Giao dịch không tồn tại
 482 Phát hiện thấy lặp
 483 Quá nhiều chặng trung chuyển
 484 Địa chỉ không hoàn chỉnh
 485 Tối nghĩa
 486 Đang bận
 487 Yêu cầu bị chấm dứt
 488 Không được chấp nhận tại đây

44
 4xx
 491 Yêu cầu đang chờ
 493 Không giải mã được: không thể giải mã phần thân của S/MIME
 481 Cuộc gọi/Giao dịch không tồn tại
 482 Phát hiện thấy lặp
 483 Quá nhiều chặng trung chuyển
 484 Địa chỉ không hoàn chỉnh
 485 Tối nghĩa
 486 Đang bận
 487 Yêu cầu bị chấm dứt
 488 Không được chấp nhận tại đây
 491 Yêu cầu đang chờ
 493 Không giải mã được: không thể giải mã phần thân của S/MIME

45
 5xx : lỗi máy chủ
500 Lỗi bên trong máy chủ
501 Chưa khai báo: phương thức yêu cầu SIP
này chưa được khai báo ở đây
502 Gateway sai
503 Dịch vụ không có
504 Máy chủ bị hết giờ
505 Phiên bản không được hỗ trợ: máy chủ
không hỗ trợ phiên bản giao thức SIP này
513 Thông điệp quá lớn

46
 6xx : thất bại toàn cục
600 Tất cả mọi nơi đều bận

603 Từ chối

604 Không tồn tại ở bất cứ đâu

606 Không được chấp nhận

47
 Giao thức
truyền tải

TCP UDP
Unreliable
Transmission Datagram
Control Protocol
Protocol

48
 Là giao thức hướng kết nối
TCP Phải thiết lập kết nối giữa 2
bên trước khi truyền, nhận.
Ưu điểm: độ tin cậy cao, dữ
liệu đến đích đúng thứ tự, sửa
lỗi, yêu cầu gởi lại gói tin bị
thất lạc hoặc loại bỏ…

Nhược điểm: tốn nhiều băng

thông, nhiều thời gian xử lý

49
 Giao thức phi kết nối
UDP Không cần thiết lập kết nối trước
khi truyền.
Thời gian truyền nhanh, chiếm ít
băng thông nhưng không đảm bảo
gói tin đến được đích, đúng thứ tự,
không bị lỗi.
Thích hợp các ứng dụng chấp
nhận mất mát dữ liệu ở một mức
độ nào đó mà đòi hỏi độ trể thấp
(media streaming)

50
Phiên gọi SIP giữa 2 thiết bị không qua Proxy

51
 Thiết bị: điện thoại SIP, điện thoại di động hoặc các máy
palm...được kết nối vào mạng IP.
 Đầu tiên bên gọi gởi bản tin INVITE chứa thông tin chi
tiết của kiểu phiên hoặc cuộc gọi mà bên gọi yêu cầu
INVITE sip:userB@A.com SIP/2.0
Via: SIP/2.0/UDP B.com:5060;branch=z9hG4bKfw19b
Max-Forwards: 70
To: G. UserB <sip:userB@A.com>
From: userA<sip:userA@B.com>;tag=76341
Call-ID: 123456789@B.com
CSeq: 1 INVITE
Subject: About That Power Outage...
Contact: <sip:userA@B.com>
Content-Type: application/sdp
Content-Length: 158
v=0
o=userA2890844526 2890844526 IN IP4 B.com
s=Phone Call
c=IN IP4 100.101.102.103
t=0 0
m=audio 49170 RTP/AVP 0
a=rtpmap:0 PCMU/8000
52
Bản tin Invite trên cung cấp các thông tin:
 URL người gọi và người bị gọi.
 SIP version: 2.0
 Phương thức truyền: UDP
 Port: 5060
 Tham số nhận dạng giao dịch: branch
 Địa chỉ IP kết nối (100.101.102.103)
 Dạng môi trường truyền thông (âm thanh)
 Địa chỉ cổng (49170)
 Giao thức truyền tải (UDP)
 Luật mã hoá môi trường truyền tải (PCM µ Law)
 Tần số lấy mẫu: 8Khz
53
100 Trying: một đáp ứng tạm thời được trả về
trên đường báo hiệu cuộc gọi.
180 Ringing: thiết bị bị gọi rung chuông.
 200 OK: yêu cầu đã được thực thi thành công.
Bản tin này chứa thông số branch giống bản tin
Invite.
ACK: (acknowlegment) xác nhận đáp ứng.
ACK sip:userB@A.com SIP/2.0
Via: SIP/2.0/UDP B.com5060;branch=z9hG4bK321g
Max-Forwards: 70
To: G. UserB <sip:userB@A.com>;tag=a53e42
From: userA<sip:userA@B.com>;tag=76341
Call-ID: 123456789@B.com
CSeq: 1 ACK
Content-Length: 0

54
Phiên được thiết lập giữa 2 thiết bị, quá trình
này không liên quan đến SIP.

Khi một trong 2 bên dập máy, bản tin Bye sẽ

được gởi đi và nhận về 200 OK để giải phóng
cuộc gọi.

 SIP là báo hiệu end-to-end, mỗi thiết bị chứa cả

phần mềm SIP server và SIP client, vừa đóng
vai trò server, vừa là client.

55
Cuộc gọi SIP với Proxy Server

56
UserA@B.com gởi bản tin Invite đến Proxy server
với nội dung:
INVITE sip:userB@hotmail.com SIP/2.0
Via: SIP/2.0/UDP 100.101.102.103:5060;branch=z9hG4bKmp17a

Proxy truy vấn cơ sở dữ liệu để tìm ra IP của

userB@hotmail.com, bản tin Invite sẽ được thay
đổi:

INVITE sip:userB@200.201.202.203 SIP/2.0

Via: SIP/2.0/UDP proxy.hotmail.com:5060;branch=z9hG4bK83842.1
Via: SIP/2.0/UDP 100.101.102.103:5060;branch=z9hG4bKmp17a

57
userB@hotmail.com gởi bản tin 200 OK
về Proxy server:
SIP/2.0 200 OK
Via: SIP/2.0/UDP proxy.hotmail.com:5060;branch=z9hG4bK83842.1
;received=100.101.102.105
Via: SIP/2.0/UDP 100.101.102.103:5060;branch=z9hG4bKmp17a

Proxy chuyển thông điệp 200 OK tới

UserA@B.com sau khi loại bỏ khỏi trường
Via đầu tiên:
SIP/2.0 200 OK
Via: SIP/2.0/UDP 100.101.102.103:5060;branch=z9hG4bKmp17a

Các bước khác thực hiện tương tự.

58
 INVITE
sip:Nguyen@B.com
To: sip:Nguyen@B.com
How do I get to Nguyen, Domain
From:
Media:RTP/RTCP sip:Chau@A.com
ACK sip:Nguyen@B.com
B?
INVITE
Call−ID: 1234@A.com
sip:Nguyen@195.37.78.99
To: sip:Nguyen@B.com
Nguyen@195.37.78.99
Where's Nguyen?
Media:RTP/RTCP From: sip:Chau@A.com
OK 200 Call−ID: 1234@A.com
200
Nguyen's address

LOGO
 SO SÁNH H323 & SIP

Call Control and Signaling Signaling and Media

Gateway Control
Audio/
H.323 Video

H.225

H.245 Q.931 RAS SIP MGCP RTP RTCP RTSP

TCP UDP

IP
 SO SÁNH H323 & SIP
SIP H323

IETF Nguồn gốc ITU-T

Client-server,ngang cấp
Quan hệ mạng Ngang cấp (Peer to peer)
( peer to peer)
Kế thừa cấu trúc HTTP Khởi điểm Kế thừa Q.931

Proxy server Server H323 Gate keeper

Redirect server
Location server
Register server
ASCII Mã hóa bản tin Nhị phân

Đơn giản Kiến trúc,hoạt Phức tạp

động
 SO SÁNH H323 & SIP
SIP H323

Có Liên kết PSTN Có

Báo hiệu cuộc

SIP thông qua TCP và UDP Q.931 qua TCP,RAS qua
gọi
UDP

URL (Uniform Resource Địa chỉ Host or tel. number (E.164)

Locator )

INVITE SET UP 
200 OK Thiết lập cuộc CONNECT
ACK gọi ACK
 SO SÁNH H323 & SIP
SIP
Sử dụng các giao thức
khác như RSVP,
COPS, OSP để đảm
bảo chất lượng dịch vụ
Đăng kí tại Register server,có
xác nhận đầu cuối và mã hoá
Dùng SIP URL để đánh địa
chỉ. Định tuyến nhờ sử dụng
Redirect và Location server
Hỗ trợ các tính năng của
cuộc gọi cơ bản. Giới hạn
tính năng hội nghị, video
H323
Gatekeeper điều khiển băng
QoS thông.H.323 dùng RSVP để
lưu giữ tài nguyên mạng.
Chỉ đăng kí khi trong mạng
có Gatekeeper, xác nhận và
Bảo mật mã hoá theo chuẩn H.235.
Dùng phương pháp
Định tuyến ánh xạ địa chỉ nếu trong
mạng có Gatekeeper. Định
tuyến do Gatekeeper đảm
nhiệm.
Tính năng Hỗ trợ rất nhiều tính năng hội
nghị, kể cả thoại, hình ảnh và
dữ liệu.
So sánh H323 & SIP
Các dịch vụ cơ bản

65
Các dịch vụ cao cấp

66
QoS

67
SIP Security

68
 NỘI DUNG

1 Vấn đề bảo mật trong SIP

2 Các mối nguy cơ cho SIP

3 Firewall & NAT

4 Các cơ chế bảo mật SIP (SIP

SECURITY MECHANISMS)

69
 Vấn đề bảo mật trong SIP
Khi đề cập đến vấn đề bảo mật, mọi người thường nghĩ ngay
đến việc mã hóa. Tuy nhiên vấn đề bảo mật bao gồm nhiều lĩnh
vực.
Có thể đưa ra 6 lĩnh vực như sau:
• Độ tin cậy (Confidentiality)
• Tính sẵn sàng (Availabitity)
• Sự chứng thực (Authentication)
• Sự nhận dạng (Identity)
• Sự cho phép (Authorization)
• Tính toàn vẹn (Integrity)

70
 Các mối nguy cơ cho SIP
Đặc điểm của giao thức báo hiệu SIP là dựa trên giao
thức Hypertext Transfer Protocol (HTTP) và mã hóa ASCII,
nên nó rất dễ dàng để hiểu. Chính vì những đặc điểm này
SIP có rất nhiều lỗ hỏng bảo mật.

Sau đây là một vài điểm yếu cơ bản của SIP:

• Man-in-the-middle attack
• Cướp đăng ký (Registration Hijacking)
• IP Spoofing/ Call Fraud
• Tràn ngập thông điệp INVITE (INVITE Flooding)
• BYE Denial of Service

71
 Các mối nguy cơ cho SIP
• Man-in-the-middle attack
Hacker sẽ cài lén một chương trình vào giữa đường
kết nối của hai thiết bị. Khi đó hacker sẽ có thể nghe lén
dữ liêu và thậm chí có khả năng thay đổi những dữ liêu
đó.

Khi thực hiện kiểu tấn công này, hacker sẽ giả mạo là
một endpoint đối với bên kia. Do đó hacker sẽ khó bị phát
hiện đối với những thiết bị không được bảo mật cao.

72
Các mối nguy cơ cho SIP

73
 Các mối nguy cơ cho SIP

• Cướp đăng ký (Registration Hijacking)

Hacker có thể giám sát các thông điệp Register từ một
User và thay đổi phần địa chỉ trong thông điệp này. Khi
nhận được những thông điệp giả này, SIP Register sẽ cập
nhật địa chỉ hợp lệ thành các địa chỉ giả của hacker.

Như vậy với một tấn công thành công thì khi một cuộc
gọi đến User, cuộc gọi này sẽ được proxy server đăng ký và
chuyển đổi sang thành cuộc gọi cho User tương ứng với địa
chỉ giả của hacker.

74
 Các mối nguy cơ cho SIP
• IP Spoofing/ Call Fraud
Hacker sẽ đóng giả một User hợp lệ với ID giả mạo và
gởi một thông điệp INVITE hoặc Register. Trong IPv4, một
thông điệp SIP được gởi dưới dạng clear text và một
attacker có thể đổi IP của User bằng một địa chỉ IP bất kỳ
một cách dễ dàng. Khi địa chỉ IP đó hợp lệ trong thông điệp
SIP thì tất cả những cuộc gọi đến User này đều được truyền
đến sai địa chỉ và không bao giờ đến đúng với User hợp lệ.

Nếu một hacker có thể dùng một địa chỉ IP hợp lệ và

tạo một cuộc gọi với địa chỉ này thì hoàn toàn có thể tạo
nên Call Fraud tức là tạo một cuộc gọi miễn phí.

75
 Các mối nguy cơ cho SIP
• Tràn ngập thông điệp INVITE (INVITE
Flooding)

Hacker sẽ liên tục gởi những thông điệp

INVITE với một địa chỉ ảo và làm tê liệt đầu
cuối User hoặc SIP proxy server.

76
 Các mối nguy cơ cho SIP
• BYE Denial of Service

Một gói báo hiệu SIP theo mặc định khi được gởi sẽ ở dạng
clear text vì vậy nó có thể bị làm giả. Nếu hacker giám sát, theo
dõi các thông điệp INVITE của chúng ta thì hoàn toàn có thể tạo
một thông điệp BYE hợp lệ và có thể gởi nó đến một trong các
bên tham gia truyền thông, kết quả là làm cuộc đàm thoại bị kết
thúc một cách bất ngờ.

77
78
 Firewall & NAT

Hầu hết các công ty lớn trên thế giới đều cài đặt
Firewall trong mạng của mình để ngăn chặn hacker và
những dữ liệu không mong muốn.

Tuy nhiên các firewall không thể phân biệt những dữ

liệu của SIP với những dữ liệu không mong muốn khác.
Vì thế các cuộc gọi tới những user sau firewall không thể
thiết lập.

79
 Firewall & NAT
• Điều khiển Firewall (Firewall controll protocol)

Có một vài giải pháp cho vấn đề này là đi thông qua

mà không cần sự cho phép của firewall hoặc là “đánh
lừa” firewall.

Cách giải quyết lâu dài là firewall sẽ kiểm tra báo

hiệu SIP và mở các port UDP động trong một thời gian
ngắn và sẽ đóng lại ngay nếu quá thời gian chờ(timeout).

80
Firewall & NAT

• Mở và đóng các
cổng (pinhole) trong
thời gian ngắn

81
 Firewall & NAT

• Firewall controll protocol security

Bảo mật trên tầng ứng dụng: proxy sẽ không mở

cổng cho đến khi cả hai bên đồng ý bắt đầu cuộc gọi,
proxy cho phép khi ít nhất một trong hai bên đã chứng
thực.

Sự chứng thực cho hai bên và tính toàn vẹn của

thông tin được đòi hỏi.

82
 Firewall & NAT
• NAT(Network Address Translation)
Chuyển đổi private IP của các máy trong mạng thành
public IP khi kết nối ra ngoài.

83
 Firewall & NAT

Ngoài ra còn nhiều giải pháp khác để có thể

giúp các gói tin SIP đi qua Firewall/NAT và kết
nối được với các endpoint:

• ISDN gateway
• Universal plug and play(UPnP)
• H.460 (dành cho báo hiệu H.323)
• Các giao thức STUN, TURN, ICE

84
 Firewall & NAT
• ISDN Gateway

85
 Firewall & NAT
• Universal Plug and Play

UPnP cho phép các endpoint thực hiện các việc sau:

- Yêu cầu Firewall/NAT cho phép kết nối với địa

chỉ đã được đinh tuyến.

- Xác đinh rõ địa chỉ đó kết nối với endpoint này.

- Yêu cầu Firewall/NAT mở cổng cho việc truyền

dữ liệu với địa chỉ đã được kết nối.
86
 CÁC CƠ CHẾ BẢO MẬT SIP
(SIP SECURITY MECHANISMS)
 RFC 3261 nêu ra một số cơ chế bảo mật trong SIP:

SIP Digest (Authentication)

S/MIME (Secure/Multipurpose Internet Mail Extensions )

IPsec

TLS (Transport Layer Security)

87
 Chứng thực SIP Digest

Là một cơ chế dựa trên password để cho

phép các SIP endpoint chứng thực với SIP
proxies hay SIP servers

88
Chứng thực SIP Digest

89
 S/MIME

 Secure/Multipurpose Internet Mail Extensions (Mở rộng

thư tín Internet đa mục đích/bảo mật) là một tiêu chuẩn cho
mã hóa khóa dùng chung (Public key Encryption) và ký
thông tin đóng gói trong MIME (signing of message
encapsulated in MIME)

 MIME là một giao thức cho phép gửi các message trên
internet mà không chỉ thuần là text. Mail Message sẽ có
header (dùng để định danh message, chuyển tiếp message
và lưu trữ message) và phần body. Giao thức này dùng cho
mail và nhờ đó có thể gửi mail kèm ảnh, link

90
 S/MIME

 Các SIP message là phần body của MIME, còn nhiệm vụ của
phần header là định tuyến SIP message đến đích

 SIP sử dụng hai tính năng bảo mật của S/MIME là Integrity &
Authentication tunneling và Tunneling encryption

 Dựa trên PKI (Public Key Infrastructure - cấu trúc khóa dùng
chung)

91
 S/MIME

Phương pháp mã hóa khóa đối xứng

(Symmetric Encryption)
Ở phương pháp này tính bảo mật chưa cao
vì 2 người sử dụng chung một key
92
S/MIME
Phương pháp khóa bất đối
xứng
(Asymmetric Encryption)

Khả năng bảo mật cao

do mỗi người phải tự
quản lý private key của mình

93
 S/MIME

 Tunneling là quá trình đặt toàn bộ gói tin vào trong một lớp
header (tiêu đề) chứa thông tin định tuyến có thể truyền qua
hệ thống mạng trung gian theo những "đường ống" riêng
(tunnel).

 Khi gói tin được truyền đến đích, chúng được tách lớp
header và chuyển đến các máy trạm cuối cùng cần nhận dữ
liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ
phải sử dụng chung một giao thức (tunnel protocol).

94
 IPsec

 IPsec là một tập hợp nhiều giao thức bảo mật, cơ chế của
nó là chứng thực và mã hóa từng gói tin của dòng dữ liệu

 Có 2 phương thức hoạt động:

- Transport mode: là dạng kết nối end-to-end (máy tính
với máy tính)
- Tunnel mode: là dạng kết nối portal-to-portal (mạng
với mạng)

95
IPsec

96
 TLS (Transport Layer Security)

 TLS là một giao thức cho phép các ứng dụng giao tiếp
với nhau thông qua mạng một cách an toàn (chống
nghe trộm - eavesdropping , xáo trộn, phá hoại dữ liệu
– tampering).

 TLS cung cấp cho endpoint khả năng chứng thực và

bảo mật thông tin thông qua biện pháp mã hoá
(cryptography).

97
 TLS (Transport Layer Security)

Giao thức TLS gồm 3 bước cơ bản:

1) Thương lượng ngang hàng các thuật toán hỗ trợ (Peer

negotiation for algorithm support): Client và server sẽ
thương lượng, thảo luận về các bộ mã hóa (cipher suites),
quyết định loại mã hóa nào sẽ được sử dụng, trao đổi key
và các thuật toán chứng thực và mã chứng thực (MAC)

2) Trao đổi khoá và chứng thực (Key Exchange and

Authentication): các thuật toán trao đổi khoá và chứng
thực thường là các thuật toán public key hay preshared key

3) Mã hoá đối xứng và chứng thực bản tin (Symmetric cipher

encryption and message authentication): chứng thực
bản tin dựa vào các hàm băm trong cơ chế HMAC
98
 TLS (Transport Layer Security)
Các thuật toán sử dụng:
Cho key exchange: RSA, Diffie-Hellman, ECDH, SRP, PSK
Cho authentication: RSA, DSA, ECDSA
Cho symmetric ciphers: RC4, Triple DES, AES, IDEA, DES,
or Camellia
Cho cryptographic hash function: HMAC-MD5 or HMAC-
SHA

99
 TLS (Transport Layer Security)

 Hạn chế: cần có kết nối TCP, do vậy các thông tin dựa
trên giao thức UDP không thể sử dụng TLS (VD: RAS
message)

 Địa chỉ SIP thông thường bắt đầu bằng sip: (VD:
sip:bernie523@cisco.com)

 Địa chỉ SIP có sử dụng cơ chế bảo mật TLS bắt đầu bằng
sips:(VD: sips:bernie523@cisco.com)

100
Thank
you!

101