Professional Documents
Culture Documents
Sip Hoan Chinh
Sip Hoan Chinh
HCM
Trường Đại học Khoa học tự nhiên
Khoa Điện tử viễn thông
Thực hiện:
1.Nguyễn Đức Anh
2. Nguyễn Thị Minh Châu
3. Trần Quốc Cường
4.Nguyễn Xuân Nguyên
5.Nguyễn Trọng Nhân
1
Nội dung
Giới thiệu
Cấu trúc
Hoạt động
So sánh H323 và SIP
Bảo mật
2
Sự ra đời của SIP
Ngày 22/02/1996 Mark Handley và Even Schooler trình
lên IETF (International Engineering Task Force) phiên bản
SIP V1 (Session Initiation Protocol Version 1)
SIP V2 ra đời tại kỳ họp thứ 37 của IETF là sự kết hợp hai
giao thức SIP V1 và SCIP lại với nhau. SIP được chuẩn
hóa lần đầu tiên vào tháng 3 năm 1999 trong bộ tiêu chuẩn
RFC 2543. SIP được sửa đổi vào tháng 5 năm 2002 trong
tiêu chuẩn RFC 3261.
3
SIP là gì ?
SIP (Session Initiation Protocol ): giao thức khởi
tạo phiên dùng để thiết lập, sửa đổi và kết thúc
các cuộc gọi điện thoại VOIP.
4
Ứng dụng của SIP
SIP ứng dụng trong truyền thông đa phương tiện
như: hội nghị, truyền hình, giao lưu trực tuyến, chat,
trò chơi và thậm chí chia sẻ ứng dụng.
Hổ trợ các dịch vụ: chờ cuộc gọi (call waiting),
chuyển cuộc gọi (call forwarding), khóa cuộc gọi
(call blocking),…
Ưu thế của SIP là dùng một tín hiệu chung trên
nhiều hệ thiết bị, tương thích với nhiều thiết bị
phần cứng.
6
Hiện có những hệ thống IP PBX nào theo chuẩn
SIP?
7
Điện thoại SIP
8
Điện thoại SIP VIP-154NT
10
SIP trong hệ thống NGN
11
SIP đối với viễn thông
12
Hạn chế của SIP
13
CẤU TRÚC SIP
14
CẤU TRÚC
SIP
16
HARD PHONE
17
SOFT PHONE
18
UA (USER AGENT)
19
SERVER
1
Proxy server
2 Redirect server
3
Register server
4
Location server
20
PROXY SERVER
1 2 3
21
PROXY SERVER
22
PROXY SERVER
23
REDIRECT SERVER
Chức năng
24
REDIRECT SERVER
25
Register SERVER
Chức năng
26
Register SERVER
27
Register SERVER
28
LOCATION SERVER
Chức năng
29
Hoạt động báo hiệu của SIP
30
Địa chỉ của SIP user
Địa chỉ SIP tồn tại dưới dạng user@host.
User : tên người dùng hoặc số điện thoại
Host: tên miền hoặc địa chỉ mạng.
Mỗi địa chỉ SIP là duy nhất.
Vd:
aaa@B.com
bbb@nhatnghe.com
1234567@172.172.172.1
31
Vị trí của SIP trong mô hình TCP/IP
SDP codecs
Network IP
32
SIP hoạt động ở Application Layer
Hoạt động chung lớp với các giao thức
internet như: HTTP, FTP, POP3, SMTP,
bittorent…
33
SDP (Session Description Protocol)
Là một định dạng để mô tả các thông số khởi
tạo dòng thông tin phương tiện (streaming
media).
Dòng thông tin phương tiện là những nội dung
thoại(voice) hoặc là video trong khi truyền.
34
SDP
Giao thức SDP cho biết các thông tin sau:
35
SDP
v=0 V: phiên bản giao thức,hiện nay là 0
o=Pingtel 5 5 IN IP4 18.10.0.79 O: chủ sở hữu
s=phone-call S: tên phiên
c=IN IP4 18.10.0.79 C: thông tin kết nối
t=0 0 T: <start time><stop time>
m=audio 8766 RTP/AVP 96 97 0 8 18 M: thông báo dạng truyền thông (
98 media, port,transport)
a=rtpmap:96 eg711u/8000/1 A: các thuộc tính và giá trị
a=rtpmap:97 eg711a/8000/1 Pcmu: pcm luật u
a=rtpmap:0 pcmu/8000/1
Pcma: pcm luật a
a=rtpmap:8 pcma/8000/1
a=rtpmap:18 g729/8000/1
a=fmtp:18 annexb=no
a=rtpmap:98 telephone-event/8000/1
36
Các bản tin của SIP
Yêu cầu Đáp ứng
37
Các bản tin yêu cầu của SIP
Bản tin Ý nghĩa
ACK Khẳng định rằng client đã nhận được bản tin đáp ứng cho bản tin
INVITE
38
Các bản tin đáp ứng của SIP
39
1xx : phản hồi thông tin
200 OK
41
3xx: phản hồi chuyển hướng
300 Có nhiều lựa chọn
301 Đã dời đi vĩnh viễn
302 Đã tạm thời dời đi
305 Dùng Proxy
380 Dịch vụ thay thế
42
4xx = yêu cầu bị thất bại
400 Yêu cầu sai
401 Không được quyền: Chỉ sử dụng bởi cơ quan đăng
kiểm. Các proxy phải sử dụng yêu cầu cấp phép cho
proxy 407
402 Yêu cầu trả tiền (Dự trữ để dùng trong tương lai)
403 Cấm
404 Không tìm thấy: Không tìm thấy người dùng
405 Phương thức không được phép
406 Không được chấp nhận
407 Cần có sự cấp phép cho proxy
408 Yêu cầu bị hết giờ: không tìm thấy người dùng trong
thời gian cho phép
410 Đã không còn: Người dùng đã từng tồn tại, nhưng
không còn ở đây nữa.
43
4xx
413 Đơn vị yêu cầu quá lớn
414 URI của yêu cầu quá dài
415 Kiểu phương tiện không được hỗ trợ
416 Giản đồ URI không được hỗ trợ
420 Phần mở rộng không đúng: sử dụng phần mở rộng của giao
thức SIP không đúng, máy chủ không hiểu được
421 Yêu cầu có phần mở rộng
423 Quãng quá ngắn
480 Tạm thời không hoạt động
481 Cuộc gọi/Giao dịch không tồn tại
482 Phát hiện thấy lặp
483 Quá nhiều chặng trung chuyển
484 Địa chỉ không hoàn chỉnh
485 Tối nghĩa
486 Đang bận
487 Yêu cầu bị chấm dứt
488 Không được chấp nhận tại đây
44
4xx
491 Yêu cầu đang chờ
493 Không giải mã được: không thể giải mã phần thân của S/MIME
481 Cuộc gọi/Giao dịch không tồn tại
482 Phát hiện thấy lặp
483 Quá nhiều chặng trung chuyển
484 Địa chỉ không hoàn chỉnh
485 Tối nghĩa
486 Đang bận
487 Yêu cầu bị chấm dứt
488 Không được chấp nhận tại đây
491 Yêu cầu đang chờ
493 Không giải mã được: không thể giải mã phần thân của S/MIME
45
5xx : lỗi máy chủ
500 Lỗi bên trong máy chủ
501 Chưa khai báo: phương thức yêu cầu SIP
này chưa được khai báo ở đây
502 Gateway sai
503 Dịch vụ không có
504 Máy chủ bị hết giờ
505 Phiên bản không được hỗ trợ: máy chủ
không hỗ trợ phiên bản giao thức SIP này
513 Thông điệp quá lớn
46
6xx : thất bại toàn cục
600 Tất cả mọi nơi đều bận
603 Từ chối
47
Giao thức
truyền tải
TCP UDP
Unreliable
Transmission Datagram
Control Protocol
Protocol
48
Là giao thức hướng kết nối
TCP Phải thiết lập kết nối giữa 2
bên trước khi truyền, nhận.
Ưu điểm: độ tin cậy cao, dữ
liệu đến đích đúng thứ tự, sửa
lỗi, yêu cầu gởi lại gói tin bị
thất lạc hoặc loại bỏ…
49
Giao thức phi kết nối
UDP Không cần thiết lập kết nối trước
khi truyền.
Thời gian truyền nhanh, chiếm ít
băng thông nhưng không đảm bảo
gói tin đến được đích, đúng thứ tự,
không bị lỗi.
Thích hợp các ứng dụng chấp
nhận mất mát dữ liệu ở một mức
độ nào đó mà đòi hỏi độ trể thấp
(media streaming)
50
Phiên gọi SIP giữa 2 thiết bị không qua Proxy
51
Thiết bị: điện thoại SIP, điện thoại di động hoặc các máy
palm...được kết nối vào mạng IP.
Đầu tiên bên gọi gởi bản tin INVITE chứa thông tin chi
tiết của kiểu phiên hoặc cuộc gọi mà bên gọi yêu cầu
INVITE sip:userB@A.com SIP/2.0
Via: SIP/2.0/UDP B.com:5060;branch=z9hG4bKfw19b
Max-Forwards: 70
To: G. UserB <sip:userB@A.com>
From: userA<sip:userA@B.com>;tag=76341
Call-ID: 123456789@B.com
CSeq: 1 INVITE
Subject: About That Power Outage...
Contact: <sip:userA@B.com>
Content-Type: application/sdp
Content-Length: 158
v=0
o=userA2890844526 2890844526 IN IP4 B.com
s=Phone Call
c=IN IP4 100.101.102.103
t=0 0
m=audio 49170 RTP/AVP 0
a=rtpmap:0 PCMU/8000
52
Bản tin Invite trên cung cấp các thông tin:
URL người gọi và người bị gọi.
SIP version: 2.0
Phương thức truyền: UDP
Port: 5060
Tham số nhận dạng giao dịch: branch
Địa chỉ IP kết nối (100.101.102.103)
Dạng môi trường truyền thông (âm thanh)
Địa chỉ cổng (49170)
Giao thức truyền tải (UDP)
Luật mã hoá môi trường truyền tải (PCM µ Law)
Tần số lấy mẫu: 8Khz
53
100 Trying: một đáp ứng tạm thời được trả về
trên đường báo hiệu cuộc gọi.
180 Ringing: thiết bị bị gọi rung chuông.
200 OK: yêu cầu đã được thực thi thành công.
Bản tin này chứa thông số branch giống bản tin
Invite.
ACK: (acknowlegment) xác nhận đáp ứng.
ACK sip:userB@A.com SIP/2.0
Via: SIP/2.0/UDP B.com5060;branch=z9hG4bK321g
Max-Forwards: 70
To: G. UserB <sip:userB@A.com>;tag=a53e42
From: userA<sip:userA@B.com>;tag=76341
Call-ID: 123456789@B.com
CSeq: 1 ACK
Content-Length: 0
54
Phiên được thiết lập giữa 2 thiết bị, quá trình
này không liên quan đến SIP.
55
Cuộc gọi SIP với Proxy Server
56
UserA@B.com gởi bản tin Invite đến Proxy server
với nội dung:
INVITE sip:userB@hotmail.com SIP/2.0
Via: SIP/2.0/UDP 100.101.102.103:5060;branch=z9hG4bKmp17a
57
userB@hotmail.com gởi bản tin 200 OK
về Proxy server:
SIP/2.0 200 OK
Via: SIP/2.0/UDP proxy.hotmail.com:5060;branch=z9hG4bK83842.1
;received=100.101.102.105
Via: SIP/2.0/UDP 100.101.102.103:5060;branch=z9hG4bKmp17a
LOGO
SO SÁNH H323 & SIP
H.225
TCP UDP
IP
SO SÁNH H323 & SIP
SIP H323
INVITE SET UP
200 OK Thiết lập cuộc CONNECT
ACK gọi ACK
SO SÁNH H323 & SIP
SIP H323
65
Các dịch vụ cao cấp
66
QoS
67
SIP Security
68
NỘI DUNG
69
Vấn đề bảo mật trong SIP
Khi đề cập đến vấn đề bảo mật, mọi người thường nghĩ ngay
đến việc mã hóa. Tuy nhiên vấn đề bảo mật bao gồm nhiều lĩnh
vực.
Có thể đưa ra 6 lĩnh vực như sau:
• Độ tin cậy (Confidentiality)
• Tính sẵn sàng (Availabitity)
• Sự chứng thực (Authentication)
• Sự nhận dạng (Identity)
• Sự cho phép (Authorization)
• Tính toàn vẹn (Integrity)
70
Các mối nguy cơ cho SIP
Đặc điểm của giao thức báo hiệu SIP là dựa trên giao
thức Hypertext Transfer Protocol (HTTP) và mã hóa ASCII,
nên nó rất dễ dàng để hiểu. Chính vì những đặc điểm này
SIP có rất nhiều lỗ hỏng bảo mật.
• Man-in-the-middle attack
• Cướp đăng ký (Registration Hijacking)
• IP Spoofing/ Call Fraud
• Tràn ngập thông điệp INVITE (INVITE Flooding)
• BYE Denial of Service
71
Các mối nguy cơ cho SIP
• Man-in-the-middle attack
Hacker sẽ cài lén một chương trình vào giữa đường
kết nối của hai thiết bị. Khi đó hacker sẽ có thể nghe lén
dữ liêu và thậm chí có khả năng thay đổi những dữ liêu
đó.
Khi thực hiện kiểu tấn công này, hacker sẽ giả mạo là
một endpoint đối với bên kia. Do đó hacker sẽ khó bị phát
hiện đối với những thiết bị không được bảo mật cao.
72
Các mối nguy cơ cho SIP
73
Các mối nguy cơ cho SIP
Như vậy với một tấn công thành công thì khi một cuộc
gọi đến User, cuộc gọi này sẽ được proxy server đăng ký và
chuyển đổi sang thành cuộc gọi cho User tương ứng với địa
chỉ giả của hacker.
74
Các mối nguy cơ cho SIP
• IP Spoofing/ Call Fraud
Hacker sẽ đóng giả một User hợp lệ với ID giả mạo và
gởi một thông điệp INVITE hoặc Register. Trong IPv4, một
thông điệp SIP được gởi dưới dạng clear text và một
attacker có thể đổi IP của User bằng một địa chỉ IP bất kỳ
một cách dễ dàng. Khi địa chỉ IP đó hợp lệ trong thông điệp
SIP thì tất cả những cuộc gọi đến User này đều được truyền
đến sai địa chỉ và không bao giờ đến đúng với User hợp lệ.
75
Các mối nguy cơ cho SIP
• Tràn ngập thông điệp INVITE (INVITE
Flooding)
76
Các mối nguy cơ cho SIP
• BYE Denial of Service
Một gói báo hiệu SIP theo mặc định khi được gởi sẽ ở dạng
clear text vì vậy nó có thể bị làm giả. Nếu hacker giám sát, theo
dõi các thông điệp INVITE của chúng ta thì hoàn toàn có thể tạo
một thông điệp BYE hợp lệ và có thể gởi nó đến một trong các
bên tham gia truyền thông, kết quả là làm cuộc đàm thoại bị kết
thúc một cách bất ngờ.
77
78
Firewall & NAT
Hầu hết các công ty lớn trên thế giới đều cài đặt
Firewall trong mạng của mình để ngăn chặn hacker và
những dữ liệu không mong muốn.
79
Firewall & NAT
• Điều khiển Firewall (Firewall controll protocol)
80
Firewall & NAT
• Mở và đóng các
cổng (pinhole) trong
thời gian ngắn
81
Firewall & NAT
82
Firewall & NAT
• NAT(Network Address Translation)
Chuyển đổi private IP của các máy trong mạng thành
public IP khi kết nối ra ngoài.
83
Firewall & NAT
• ISDN gateway
• Universal plug and play(UPnP)
• H.460 (dành cho báo hiệu H.323)
• Các giao thức STUN, TURN, ICE
84
Firewall & NAT
• ISDN Gateway
85
Firewall & NAT
• Universal Plug and Play
UPnP cho phép các endpoint thực hiện các việc sau:
IPsec
87
Chứng thực SIP Digest
88
Chứng thực SIP Digest
89
S/MIME
MIME là một giao thức cho phép gửi các message trên
internet mà không chỉ thuần là text. Mail Message sẽ có
header (dùng để định danh message, chuyển tiếp message
và lưu trữ message) và phần body. Giao thức này dùng cho
mail và nhờ đó có thể gửi mail kèm ảnh, link
90
S/MIME
Các SIP message là phần body của MIME, còn nhiệm vụ của
phần header là định tuyến SIP message đến đích
SIP sử dụng hai tính năng bảo mật của S/MIME là Integrity &
Authentication tunneling và Tunneling encryption
Dựa trên PKI (Public Key Infrastructure - cấu trúc khóa dùng
chung)
91
S/MIME
93
S/MIME
Tunneling là quá trình đặt toàn bộ gói tin vào trong một lớp
header (tiêu đề) chứa thông tin định tuyến có thể truyền qua
hệ thống mạng trung gian theo những "đường ống" riêng
(tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp
header và chuyển đến các máy trạm cuối cùng cần nhận dữ
liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ
phải sử dụng chung một giao thức (tunnel protocol).
94
IPsec
IPsec là một tập hợp nhiều giao thức bảo mật, cơ chế của
nó là chứng thực và mã hóa từng gói tin của dòng dữ liệu
95
IPsec
96
TLS (Transport Layer Security)
TLS là một giao thức cho phép các ứng dụng giao tiếp
với nhau thông qua mạng một cách an toàn (chống
nghe trộm - eavesdropping , xáo trộn, phá hoại dữ liệu
– tampering).
97
TLS (Transport Layer Security)
99
TLS (Transport Layer Security)
Hạn chế: cần có kết nối TCP, do vậy các thông tin dựa
trên giao thức UDP không thể sử dụng TLS (VD: RAS
message)
Địa chỉ SIP thông thường bắt đầu bằng sip: (VD:
sip:bernie523@cisco.com)
Địa chỉ SIP có sử dụng cơ chế bảo mật TLS bắt đầu bằng
sips:(VD: sips:bernie523@cisco.com)
100
Thank
you!
101