XÂY DỰNG HỆ THỐNG VoIP
Sơ đồ hệ thống
Mục đích:
1 Cấu hình cuộc gọi giữa hai điện thoại analog.
2 Cấu hình cuộc gọi giữa hai softphone cùng site hoặc khác site.
3 Cấu hình cuộc gọi giữa softphone và analog.
Yêu cầu phần mềm:
+SIP Server:Ở đây sử dụng SIP server bằng phần mềm Brekeke SIP Server(download tại địa chỉ:www.brekeke.com).
+Client:Sử dụng softphone là X-Lite(Có thể download tại trang:www.couterpath.com).
Cài đặt các phần mềm
Cài đặt softphone X-Lite client
Sau khi tải chương trình về cài đặt chương trình
Bạn cần khởi động lại máy để hoàn tất cài đặt.
Sau khi cài đặt hoàn thành X-Lite có giao diện:
Cài đặt SIP Server
Sau khi tải SIP server về địa chỉ www.brekeke.com,chạy file setup cài SIP server.
Cấu hình cho các router
+Cấu hình cho Router 1
Thực hiện cấu hình cuộc gọi
4 Thực hiện cấu hình cuộc gọi
Cấu hình cuộc gọi giữa hai softphone client
-Tạo tài khoản người dùng
Tài khoản người dùng có user name là số điện thoại được gán cho một người cụ thể.
Hình 4.1.1a Màn hình tạo tài khoản người dùng
Ở đây tạo 2 tài khoản có số điện thoại là 101 và 102.Sau khi tạo tài khoản xong có thể kiểm tra bằng cách click vào tab View User
Hình 4.1.1b Kiểm tra tài khoản người dùng trong tabView Users
+Thực hiện cuộc gọi giữa hai softphone
Sau khi tài khoản người dùng được tạo thì bạn có thể đăng ký trên softphone client
Sau khi đang ký thành công,tài khoản đã sẳn sang
Hình 4.1.2a:Đăng ký tài khoản có user là 101 trên softphone client thành công.
Sau khi đăng ký tài khoản xong bạn có thể thiết lập cuộc gọi giữa hai tài khoản người dùng bằng softphone client.Ờ đây sử dụng user 101 để gọi tới 102
Hình 4.1.2b :Thiết lập cuộc gọi từ tài khoản 101 đến tài khoản 102.
Hình 4.1.2c Đang gọi tới tài khoản 102
Hình 4.1.2e :Cuộc gọi từ 101 đi vào 102.
Kết quả hiển thị khi thực hiện cuộc gọi trong Active Session từ số 101 đến 102
-Cấu hình cuộc gọi giữa hai điện thoại analog,hoặc giữa softphone và điện thoại analog
Muốn thực hiện cuộc gọi giữa hai điện thoại khác site hoặc giữa softphone và điện thoại analog thì cần phải tạo các rule trong dial-plan đế có thể thực hiện được các việc trên.
Màn hình tạo rule.
Hình 4.1.1b Kiểm tra tài khoản người dùng trong tabView Users
-Thực hiện cuộc gọi giữa hai softphone
Sau khi tài khoản người dùng được tạo thì bạn có thể đăng ký trên softphone client
Ở đây tạo 2 rule có tên là Rule 1 và Rule 3.
Sau khi tạo rule xong có thể kiểm tra lại trong tab View Rules
Hình thể hiện các rule vừa tạo trong dial-plan
Giải pháp phòng vệ theo lớp cho mạng VoIP
Giải pháp phòng vệ theo lớp cho mạng VoIP
Do VoIP hoạt động trên cơ sở hạ tầng IP nên dễ bị tấn công. Lý thuyết mà hãng Juniper đưa ra bắt đầu bằng các phương pháp hiệu quả nhất trong bảo mật mạng và tương tự như đối với bất cứ mạng IP nào khác.
Việc đầu tiên là phải nắm rõ tất cả những thành phần liên quan bao gồm các máy chủ, giao thức IP, quy trình, người sử dụng và dùng một mẫu phân tích rủi ro để xác định những nguy cơ nằm ở đâu. Sau đó chọn ra công nghệ hay quy trình phù hợp để giảm thiểu các rủi ro.
Trung tâm mạng của doanh nghiệp hay nhà cung cấp dịch vụ đều đặt trong máy chủ ứng dụng VoIP hay server UNIX hoặc PC chạy hệ điều hành Linux. Mạng lõi cũng có các máy chủ đang vận hành chương trình quản lý dữ liệu người dùng và cước phí nhằm hỗ trợ ứng dụng VoIP.
Tại vùng biên là các gateway servers, những máy chủ liên lạc với các server mạng VoIP khác hoặc chuyển những cuộc gọi giữa các mạng thoại chuyển mạch và VoIP. Còn máy khách chính là điện thoại IP chuyển tín hiệu số thành âm thanh.
Chiến lược phòng vệ của Juniper nằm trong các lớp mạng, giúp bảo vệ từng thiết bị lõi, vùng biên và thiết bị máy khách, dựa trên ba nhân tố chính: Xác thực danh tính những người truy nhập mạng, quy trình kiểm soát và công nghệ được áp dụng để bảo vệ những nội dung trên.
Hai mục tiêu đầu tiên có thể được hoàn thành với việc kiểm tra bảo mật thông thường, trong đó xác định những người có liên quan tới việc vận hành và chỉ rõ quyền bảo mật để thực thi các nhiệm vụ nhất định. Việc bảo vệ lõi mạng của máy chủ ứng dụng và các thiết bị tương tự như việc bảo vệ mạng LAN trước những nguy cơ tấn công IP đã được biết đến như hack lỗ hổng hệ điều hành (OS vulnerabily), tấn công từ chối dịch vụ/từ chối dịch vụ phân tán (DOS/DDOS), hoặc các dạng xâm nhập trái phép khác.
Đối với bất cứ một hệ điều hành nào cũng cần sử dụng phiên bản mới nhất với tất cả bản vá lỗi đã được cài đặt và bỏ đi dịch vụ không rõ nguồn gốc cũng như tài khoản người dùng để kiểm soát truy cập từ xa.
Hãng bảo mật Mỹ khuyến cáo các doanh nghiệp cân nhắc việc sử dụng những hệ thống phòng ngừa và phát hiện xâm nhập trái phép (IDP/IPS) để kiểm soát lưu lượng. Một hệ thống như thế có thể gói tới lớp 7 để xác định những đe dọa tiềm ẩn. Chẳng hạn như, mục tiêu ưa thích của cuộc tấn công bằng sâu máy tính là một ứng dụng VoIP với giao diện web cho người quản trị và máy chủ web. Một thiết bị IDP có thể sử dụng nhiều phương thức để phát hiện sự khiêu khích và ngăn chặn những lưu lượng có hại bằng cách giảm các gói tin từ mạng.
Hàng loạt triển khai gateway cũng có thể được thấy ở lớp vùng biên. Thông thường, server cung cấp đăng ký người dùng, xác định lưu lượng VoIP đi vào và chuyển các cuộc gọi tới nơi đến. Hai giao thức chính cho lưu lượng VoIP là H.323 và SIP. Cả hai đều dùng giao thức truyền thời gian thực (Real-time Transport Protocol - RTP) cho truyền thông. Ứng dụng VoIP sẽ bắt đầu một phiên sử dụng cổng tĩnh để truyền thông tin và sau đó bắt đầu chuyển thông tin sử dụng một cổng ngẫu nhiên. Tuy nhiên, cho phép các kết nối tới một cổng bất kỳ là một mạo hiểm về bảo mật đối với những cuộc tấn công có chủ ý. Trong trường hợp như vậy, nên có một gateway đặt phía sau một ứng dụng tường lửa bảo vệ VoIP (như dòng sản phẩm tường lửa tích hợp NetScreen). Các thiết bị firewall thông lượng cao cũng rất nên được xem xét, vì độ trễ của mạng sẽ ảnh hưởng tới chất lượng cuộc gọi.
Tường lửa cần cung cấp một cổng cấp độ ứng dụng để ngăn chặn lưu lượng VoIP, phân loại giao thức và kiểm tra những cổng động nào cần được mở bằng ứng dụng. Tính năng này mở một lối đi cho phép truyền thông tin trong một phiên thoại cụ thể và đóng lại sau khi hoàn thành cuộc gọi.
Khi người dùng kết thúc cuộc gọi qua IP thì nội dung đàm thoại đó vẫn là dữ liệu nhạy cảm, những thông tin này nhất thiết không được để lộ ra mạng công cộng. Do vậy, thiết bị điện thoại IP nên hỗ trợ cơ chế xác thực hiệu quả cho việc đăng ký đối với máy chủ VoIP. Việc mã hoá bổ sung với việc sử dụng một kênh mạng riêng ảo (VPN) cũng nên được áp dụng cho cả việc thiết lập cuộc gọi và truyền tải thông tin.
Tóm lại, công nghệ VoIP cung cấp cho doanh nghiệp những phương thức mới để tiết kiệm chi phí và nâng cao hiệu quả hoạt động. Để phát huy tối đa hiệu quả của công nghệ này, người quản trị nên dùng cách tiếp cận phòng vệ theo lớp để nắm rõ những mối đe doạ mạng và bảo đảm có thể chống lại những tấn công.
Sơ đồ hệ thống
Mục đích:
1 Cấu hình cuộc gọi giữa hai điện thoại analog.
2 Cấu hình cuộc gọi giữa hai softphone cùng site hoặc khác site.
3 Cấu hình cuộc gọi giữa softphone và analog.
Yêu cầu phần mềm:
+SIP Server:Ở đây sử dụng SIP server bằng phần mềm Brekeke SIP Server(download tại địa chỉ:www.brekeke.com).
+Client:Sử dụng softphone là X-Lite(Có thể download tại trang:www.couterpath.com).
Cài đặt các phần mềm
Cài đặt softphone X-Lite client
Sau khi tải chương trình về cài đặt chương trình
Bạn cần khởi động lại máy để hoàn tất cài đặt.
Sau khi cài đặt hoàn thành X-Lite có giao diện:
Cài đặt SIP Server
Sau khi tải SIP server về địa chỉ www.brekeke.com,chạy file setup cài SIP server.
Cấu hình cho các router
+Cấu hình cho Router 1
Code:
! ! interface Ethernet0/0 ip address 10.215.219.254 255.255.255.0 half-duplex ! interface Serial0/0 bandwidth 256 ip address 192.168.1.1 255.255.255.0 clock rate 64000 no fair-queue ! interface ATM0/1 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.2 ! ! ! ! voice-port 1/1/0 ! voice-port 1/1/1 ! ! dial-peer cor custom ! ! ! dial-peer voice 1 pots destination-pattern 201 port 1/1/0 ! dial-peer voice 2 pots destination-pattern 301 port 1/1/1 ! dial-peer voice 3 voip destination-pattern 301 session target ipv4:192.168.1.2 ! dial-peer voice 4 voip destination-pattern 101 session protocol sipv2 session target ipv4:10.215.219.79 //Địa chỉ SIP Server codec g711alaw ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! End
Thực hiện cấu hình cuộc gọi
4 Thực hiện cấu hình cuộc gọi
Cấu hình cuộc gọi giữa hai softphone client
-Tạo tài khoản người dùng
Tài khoản người dùng có user name là số điện thoại được gán cho một người cụ thể.
Hình 4.1.1a Màn hình tạo tài khoản người dùng
Ở đây tạo 2 tài khoản có số điện thoại là 101 và 102.Sau khi tạo tài khoản xong có thể kiểm tra bằng cách click vào tab View User
Hình 4.1.1b Kiểm tra tài khoản người dùng trong tabView Users
+Thực hiện cuộc gọi giữa hai softphone
Sau khi tài khoản người dùng được tạo thì bạn có thể đăng ký trên softphone client
Sau khi đang ký thành công,tài khoản đã sẳn sang
Hình 4.1.2a:Đăng ký tài khoản có user là 101 trên softphone client thành công.
Sau khi đăng ký tài khoản xong bạn có thể thiết lập cuộc gọi giữa hai tài khoản người dùng bằng softphone client.Ờ đây sử dụng user 101 để gọi tới 102
Hình 4.1.2b :Thiết lập cuộc gọi từ tài khoản 101 đến tài khoản 102.
Hình 4.1.2c Đang gọi tới tài khoản 102
Hình 4.1.2e :Cuộc gọi từ 101 đi vào 102.
Kết quả hiển thị khi thực hiện cuộc gọi trong Active Session từ số 101 đến 102
-Cấu hình cuộc gọi giữa hai điện thoại analog,hoặc giữa softphone và điện thoại analog
Muốn thực hiện cuộc gọi giữa hai điện thoại khác site hoặc giữa softphone và điện thoại analog thì cần phải tạo các rule trong dial-plan đế có thể thực hiện được các việc trên.
Màn hình tạo rule.
Hình 4.1.1b Kiểm tra tài khoản người dùng trong tabView Users
-Thực hiện cuộc gọi giữa hai softphone
Sau khi tài khoản người dùng được tạo thì bạn có thể đăng ký trên softphone client
Ở đây tạo 2 rule có tên là Rule 1 và Rule 3.
Sau khi tạo rule xong có thể kiểm tra lại trong tab View Rules
Hình thể hiện các rule vừa tạo trong dial-plan
Giải pháp phòng vệ theo lớp cho mạng VoIP
Giải pháp phòng vệ theo lớp cho mạng VoIP
Do VoIP hoạt động trên cơ sở hạ tầng IP nên dễ bị tấn công. Lý thuyết mà hãng Juniper đưa ra bắt đầu bằng các phương pháp hiệu quả nhất trong bảo mật mạng và tương tự như đối với bất cứ mạng IP nào khác.
Việc đầu tiên là phải nắm rõ tất cả những thành phần liên quan bao gồm các máy chủ, giao thức IP, quy trình, người sử dụng và dùng một mẫu phân tích rủi ro để xác định những nguy cơ nằm ở đâu. Sau đó chọn ra công nghệ hay quy trình phù hợp để giảm thiểu các rủi ro.
Trung tâm mạng của doanh nghiệp hay nhà cung cấp dịch vụ đều đặt trong máy chủ ứng dụng VoIP hay server UNIX hoặc PC chạy hệ điều hành Linux. Mạng lõi cũng có các máy chủ đang vận hành chương trình quản lý dữ liệu người dùng và cước phí nhằm hỗ trợ ứng dụng VoIP.
Tại vùng biên là các gateway servers, những máy chủ liên lạc với các server mạng VoIP khác hoặc chuyển những cuộc gọi giữa các mạng thoại chuyển mạch và VoIP. Còn máy khách chính là điện thoại IP chuyển tín hiệu số thành âm thanh.
Chiến lược phòng vệ của Juniper nằm trong các lớp mạng, giúp bảo vệ từng thiết bị lõi, vùng biên và thiết bị máy khách, dựa trên ba nhân tố chính: Xác thực danh tính những người truy nhập mạng, quy trình kiểm soát và công nghệ được áp dụng để bảo vệ những nội dung trên.
Hai mục tiêu đầu tiên có thể được hoàn thành với việc kiểm tra bảo mật thông thường, trong đó xác định những người có liên quan tới việc vận hành và chỉ rõ quyền bảo mật để thực thi các nhiệm vụ nhất định. Việc bảo vệ lõi mạng của máy chủ ứng dụng và các thiết bị tương tự như việc bảo vệ mạng LAN trước những nguy cơ tấn công IP đã được biết đến như hack lỗ hổng hệ điều hành (OS vulnerabily), tấn công từ chối dịch vụ/từ chối dịch vụ phân tán (DOS/DDOS), hoặc các dạng xâm nhập trái phép khác.
Đối với bất cứ một hệ điều hành nào cũng cần sử dụng phiên bản mới nhất với tất cả bản vá lỗi đã được cài đặt và bỏ đi dịch vụ không rõ nguồn gốc cũng như tài khoản người dùng để kiểm soát truy cập từ xa.
Hãng bảo mật Mỹ khuyến cáo các doanh nghiệp cân nhắc việc sử dụng những hệ thống phòng ngừa và phát hiện xâm nhập trái phép (IDP/IPS) để kiểm soát lưu lượng. Một hệ thống như thế có thể gói tới lớp 7 để xác định những đe dọa tiềm ẩn. Chẳng hạn như, mục tiêu ưa thích của cuộc tấn công bằng sâu máy tính là một ứng dụng VoIP với giao diện web cho người quản trị và máy chủ web. Một thiết bị IDP có thể sử dụng nhiều phương thức để phát hiện sự khiêu khích và ngăn chặn những lưu lượng có hại bằng cách giảm các gói tin từ mạng.
Hàng loạt triển khai gateway cũng có thể được thấy ở lớp vùng biên. Thông thường, server cung cấp đăng ký người dùng, xác định lưu lượng VoIP đi vào và chuyển các cuộc gọi tới nơi đến. Hai giao thức chính cho lưu lượng VoIP là H.323 và SIP. Cả hai đều dùng giao thức truyền thời gian thực (Real-time Transport Protocol - RTP) cho truyền thông. Ứng dụng VoIP sẽ bắt đầu một phiên sử dụng cổng tĩnh để truyền thông tin và sau đó bắt đầu chuyển thông tin sử dụng một cổng ngẫu nhiên. Tuy nhiên, cho phép các kết nối tới một cổng bất kỳ là một mạo hiểm về bảo mật đối với những cuộc tấn công có chủ ý. Trong trường hợp như vậy, nên có một gateway đặt phía sau một ứng dụng tường lửa bảo vệ VoIP (như dòng sản phẩm tường lửa tích hợp NetScreen). Các thiết bị firewall thông lượng cao cũng rất nên được xem xét, vì độ trễ của mạng sẽ ảnh hưởng tới chất lượng cuộc gọi.
Tường lửa cần cung cấp một cổng cấp độ ứng dụng để ngăn chặn lưu lượng VoIP, phân loại giao thức và kiểm tra những cổng động nào cần được mở bằng ứng dụng. Tính năng này mở một lối đi cho phép truyền thông tin trong một phiên thoại cụ thể và đóng lại sau khi hoàn thành cuộc gọi.
Khi người dùng kết thúc cuộc gọi qua IP thì nội dung đàm thoại đó vẫn là dữ liệu nhạy cảm, những thông tin này nhất thiết không được để lộ ra mạng công cộng. Do vậy, thiết bị điện thoại IP nên hỗ trợ cơ chế xác thực hiệu quả cho việc đăng ký đối với máy chủ VoIP. Việc mã hoá bổ sung với việc sử dụng một kênh mạng riêng ảo (VPN) cũng nên được áp dụng cho cả việc thiết lập cuộc gọi và truyền tải thông tin.
Tóm lại, công nghệ VoIP cung cấp cho doanh nghiệp những phương thức mới để tiết kiệm chi phí và nâng cao hiệu quả hoạt động. Để phát huy tối đa hiệu quả của công nghệ này, người quản trị nên dùng cách tiếp cận phòng vệ theo lớp để nắm rõ những mối đe doạ mạng và bảo đảm có thể chống lại những tấn công.