Đề tài Nghiên cứu và ứng dụng ipcop firewall tìm hiểu ứng dụng voice ip

oxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host. Ưu điểm : Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy nhập qua bastion host trước khi nối với máy chủ. Trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ. Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall dual-home (hai chiều) bastion host. Một hệ thống bastion host nh vậy có 2 giao diện mạng (network interface), nhng khi đó khả năng truyền thông trực tiếp giữa hai giao diện đó qua dịch vụ proxy là bị cấm. Dual- Homed Bastion Host Hạn chế : Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như người dùng truy nhập được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho người dùng truy nhập vào Bastion Host. Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-subnet Firewall: Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ thống có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP) và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Ưu điểm: Kẻ tấn công cần phá vỡ 3 tầng bảo vệ : router ngoài, bastion host và router trong. Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy, chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server) Bởi vì ruoter trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những uer bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy. Mô hình Screened-Subnet Firewall Proxy Server Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway (cổng vào mức ứng dụng), theo đó một bộ chương trình proxy (uỷ quyền) được đặt ở gateway cách một mạng bên trong tới Internet. Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System - Hệ thống thông tin tin cậy), bao gồm một bộ các chương trình và đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một Firewall. Bộ chương trình được thiết kế để chạy trên hệ Unix sử dụng TCP/IP với giao diện socket Berkeley. Mô hình 1 Proxy đơn giản Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng cơ bản: dual-home gateway, screened host gateway và screened subnet gateway. Thành phần bastion host trong firewall đóng vai trò như một người chuyển tiếp thông tin, ghi nhật ký truyền thông và cung cấp các dịch vụ, đòi hỏi độ an toàn cao. Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên internet. Một Proxy server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp trực tiếp Internet. Người dùng sẽ không truy cập được những trang web không cho phép (bị công ty cấm ).Ví dụ : Không muốn nhân viên mua bán cổ phiếu trong giờ làm việc thì admin có thể dùng Proxy server để khóa việc truy cập vào các site tài chính trong một số giờ. Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy, nghĩa là Web site này được lưu trữ cục bộ, thì trang này sẽ đươc truy cập mà không cần phải kết nối Internet, nếu không có trên Proxy server và trang này không bị cấm yêu cầu sẽ được chuyển đến server thật và ra Internet . Proxy server lưu trữ cục bộ các trang Web thường truy cập nhất trong bộ đệm dẫn đến giảm chi phí mà tốc độ hiển thị trang Web nhanh. Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại cho mạng hai định danh : một cho nội bộ, một cho bên ngoài .Điều này tạo ra một “bí danh” đối với thế giới bên ngoài gây khó khăn đối với nếu người dùng “tự tung tự tác” hay các tay bẻ khóa muốn xâm nhập trực tiếp máy nào đó. Proxy server làm cho việc sử dụng băng thông hiệu quả. CHƯƠNG 2 GIỚI THIỆU CHUNG VỀ IPCOP FIREWALL Giới thiệu và mục đích của Ipcop firewall Giới thiệu về ipcop firewall IPCop là một phần được cắt ra từ Linux và có khả năng hoạt động như một firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPNs sử dụng IPSec. Phần mềm mã nguồn mở (Open Source Software), bản quyền của GNU General Public License (GPL) và được miễn phí khi sử dụng. Mục đích của ipcop IPcop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (Small Office/ Home Office – SOHO). IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách mà Shorewall là một ứng dụng được cài trên hệ thống linux hoặc máy chủ ISA trên hệ thống windows. Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn, bạn cần có một sự hiểu biết đầy đủ cơ bản về hệ điều hành Linux để có được những phần mềm cài đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệ điều hành và IPCop. Tuy nhiên bản thân IPCop là một hệ điều hành riêng nên bạn không cần thiết phải biết Linux để sử dụng hệt thống. Những thành phần và tính năng của ipcop firewall Các thành phần Giao diện web Nhiều tường lửa phức tạp đối với người dùng. Nó đòi hỏi số lượng đáng kể trong việc đào tạo và kinh nghiệm để làm quen với nó. Giao diện máy chủ ISA là một ví dụ điển hình. Giao diện để cấu hình ipcop là giao diện chạy bằng web, đây là giao diện khá dễ sử dụng và trực quan cho người quản trị. CHèn hình (giao diện của ipcop). Giao diện mạng (network interfaces) IPCop cung cấp bốn giao diện mạng bao gồm : Green, blue, orange,red. Mỗi giao diện mạng được sử dụng để kết nối đến một mạng riêng biệt. Green network interface Giao diện mạng này kết nối với mạng cục bộ ( mạng bên trong) của bạn. IPCop sẽ tự động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác. Red network interface Giao diện mạng red đại diện cho mạng ngoài internet. Mục đích của mạng red này nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange. Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó có thể là một USB ADSL modem, một card ISDN, hoặc có thể là một dial-up, analog modem kết nối với điện thoại chuyển mạch công cộng. Orange Network Interface Giao diện mạng Orange được thiết kế như một mạng DMZ (demiliatized zone). DMZ mang ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bên ngoài. Trong khu vực DMZ thường đặt các máy chủ chạy các dịch vụ như web server , mail server … Blue Network Interface Mạng blue được thêm vào IPCop phiên bản 1.4. Mạng này được thiết kế để kết nối với các thiết bị không dây và bảo vệ các thiết bị này. Ưu điểm của Ipcop firewall Dễ quản lý và giám sát Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệ thống đơn giản hơn. Điều này được thực hiện hoàn toàn từ giao diện web. Tuy nhiên, nếu người dung không muốn đăng nhập vào Linux Console thì việc thay đổi này có thể thực hiện đơn giản bằng cách sử dụng phím và màn hình được gắn liền với máy tính hoặc sử dụng SSH từ một máy tính trên mạng nội bộ ( giao diện Green). Mặc định SSH bị tắt, vì vậy muốn sử dụng thì bật nó lên. Với những trạng thái được cung cấp trên giao diện web, chúng ta có thể biết chính xác hệ thống đang làm việc như thế nào. Chúng ta có thể nhìn thấy những dịch vụ đang chạy trên tường lửa, bộ nhớ, và tình trạng sử dụng ổ đĩa cũng như lưu lượng đang ra vào interface. Hoàn toàn miễn phí, yêu cầu thiết bị cấu hình thấp, có thể chạy trên thẻ nhớ Compact Flash Cài đặt dễ dàng và nhanh chóng hổ trợ giao diện đa ngôn ngữ (có tiếng Việt) Quản trị từ xa qua Web GUI hoặc SSH Tunnel Giao diện Web Các tính năng quan trọng của Ipcop firewall Web proxy IPCop được dung như một proxy cũng như tường lửa. Bạn có thể dễ dàng quản lý bộ nhớ cache và cấu hình proxy trên giao diện Green. Tất cả những gì bạn làm là kích vào các ô trong giao diện để cấu hình proxy trên IPCop. Dich vụ web proxy Các dịch vụ proxy cho phép người dung truy cập các dịch vụ internet, với dịch vụ này người dùng luôn nghĩ mình đang tương tác trực tiếp với các dịch vụ internet. Tuy nhiên khi Client muốn truy xuất đến các dịch vụ trên internet thì phải qua proxy, proxy có nhiệm vụ xác định các yêu cầu của người dùng rồi quyết định có đáp ứng hay không. Nếu có đáp ứng thì proxy server sẽ kết nối với server thật thay cho client và tiếp tục chuyển tiếp các yêu cầu đến cho client cũng như đáp ứng những yêu cầu của server đến client. Vì vậy proxy server giống như cầu nối trung gian giữa server và client. Dhcp và Dynamic DNS Dhcp IPCop được cung cấp thêm tính năng cấp phát ip động tương tự như DHCP trên Windows Server của Microsoft. Dịch vụ DHCP Dynamic DNS Dynamic DNS là phương thức ánh xạ tên miền  tới địa chỉ IP có tần xuất thay đổi cao (do không phải mọi máy tính đều sử dụng địa chỉ IP tĩnh). Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng dịch vụ dynamic DNS gọi là Dynamic Dns Client. Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp động) thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó. Bằng cách này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS trỏ về đúng địa chỉ được cấp IP mới đó. Dịch vụ DNS Time server và port Forwarding Time server IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ thời gian của các host trên internet. Mỗi hệ điều hành có mỗi cách cập nhật thời gian khác nhau. Đối với windows chúng ta có thể tìm hiểu tại địa chỉ , win2000xp.pdf, Linux: Dịch vụ Time Server Port Forwarding Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những doanh nghiệp lớn. Có hai thuận lợi trong IPCop. Thứ nhất, chúng ta không có bất kỳ hạn chế về số lượng chuyển tiếp chúng ta có thể thêm vào. Thứ hai, nó rất dễ cài đặt. Đối với những thiết bị của doanh nghiệp vừa và nhỏ không chỉ chúng ta bị hạn chế về số lượng cổng mà còn tìm thấy những cấu hình phức tạp xung quanh nó. Dịch vụ Port Forwarding Trong hình trên, IPCop kết nối với client trên 2 cổng 25 (mail) và 80 (web), nhưng kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng. Thêm một luật mới Traffic Shaping và Vitual Private Network – VPN Traffic Shaping Thiết lập mức ưu tiên về tốc độ theo port, hỗ trợ cả 2 giao thức là TCP và UDP Giúp quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhóm ứng dụng. Ví dụ: ưu tiên tốc độ FTP ở mức cao, tốc độ duyệt web ở mức trung bình… Mạng riêng ảo (Vitual Private Network – VPN) Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng. Dịch vụ VPN CHƯƠNG 3 CÀI ĐẶT VÀ DEMO ỨNG DỤNG Cài đặt ipcop firewall Mô hình Mô hình cài đặt Cài đặt Đặt địa chỉ IP cho card mạng Green Chọn 3 mạng cần dùng green+orange+red Đặt địa chỉ Ip cho card mạng Orange Đặt địa chỉ Ip cho card mạng Red Cài đặt cấu hình chung cho cả 3 card green, orange, red Cài đặt và cấu hình gói urlfilter blockouttraffic Cài đặt urlfilter Bên phía ipcop ta cài đặt gói urlfilter như các hình vẽ ở dưới: Cài đặt gói urlfilter Cài đặt urlfilter thành công và web proxy được mở Bên phía Client (win xp): Ta cài đặt dịch vụ: Client nối với ipcop qua card mạng green qua địa chỉ Vào dịch vụ web proxy dể bật enable URLFILTER như hình vẻ: Vào dịch vụ web proxy enable on green và nhấn nút save Phần custom blacklist :chọn những trang web cần chặn không cho đi ra internet Chặn 3 trang web không cho vào internet Demo kết quả sau khi cài đặt dịch vụ: Các trang web khác vào được mạng Trang đã bị chặn Trang web cũng bị chặn Cài đặt blockouttracffic Bên Ipcop: Ta cài đặt gói blockouttraffic như các hình sau: Cài đặt gói blockouttracffic Quá trình cài đặt Chọn dịnh vụ mặc định SMTP(25) Add dịch vụ smtps Add dịch vụ pop3(110) Add dịch vụ pop3s(995) Tạo ra Rule mới Cài đặt mạng Green ra ngoài bằng các dịch vụ như hình vẻ Bật Rule Lưu lại cấu hình new rule Enable blockouttracffic Kết quả demo blockouttraffic: Khi chưa bật enable blockouttraffic ta có kết quả như hình vẽ sau: Server mạng orange vẫn vô được internet Client mạng vẫn vô bình thường(client mạng green) Khi bật enable blockouttraffic ta có kết quả như sau: Bên phía server(orange) không vào được mạng Bên phía client vẫn vào được mạng bình thường(mạng green) Cài đặt hmail Bên máy server 2003: Cài đặt gói hmail trên windows server 2k3 : Ta tạo 1 domain có tên là: groupone.com Giao diện sau khi cài hmail Tạo 2 user u1 và u2: Tạo user u1 Tạo user u2 Bên client(win xp): -Vào Outlook express theo địa chỉ :c:\program Flie\Outlook express\msimn Outlook express Incoming mail server với tên u1@groupone.vn Incoming mail server với tên u2@groupone.vn u1 gửi mail cho u2 U2 nhận được mail của u1 Port Forwarding Vào giao diện ipcop từ client và vào Port Forwarding Vào tab Port Forwarding Tạo thêm một rule mới với port đích là 25 và địa chỉ đích như hình Thêm port 25 Và tạo thêm một rule nữa với port 110 Thêm port 110 Vào máy client nội bộ gửi một mail sang mạng ngoài Gửi mail ra mạng ngoài Vào client mạng ngoài nhận mail ta có kết quả Client nhận được email. Mạng ngoài nhận và xem email thành công. Advance Proxy Advance proxy là dạng proxy chuẩn của Ipcop, nó cung cấp đầy đủ các tính năng của một proxy. Cài đặt proxy : để cài đặt Advance Proxy thì chúng ta phải tải gói advanceproxy.tar.gz. Sau đó giải nén và tiến hành cài đặt bằng lệnh ./install ta có giao diện sau khi cài đặt. Giao diện cấu hình advance proxy Cấu hình advance proxy Cấu hình không hạn giới hạn đối với ip 192.168.3.3 Cấu hình chặn ip 192.168.3.10 truy cập internet Cấu hình giới hạn download cho toàn mạng Ip 192.168.3.3 không bị hạn chế Cấu hình địa chỉ IP của xp Địa chỉ ip 192.168.3.10 bị cấm Các địa khác vẫn truy cập internet bình thường. Các mạng không thể download quá 5MB PHẦN 2: NGHIÊN CỨU ỨNG DỤNG VOICE IP CHƯƠNG MỞ ĐẦU TỔNG QUAN ĐỀ TÀI Đề tài Tên đề tài Tìm hiểu ứng dụng Voice Ip Mục đích và ý nghĩa Tìm hiểu chung về ứng dụng Voice Ip Tìm hiểu về dịch vụ điện thoại voice ip Xây dựng được mô hình demo về Voice Ip Các kiểu kết nối sử dụng voice ip CHƯƠNG 1 TỔNG QUAN VỀ VOICE IP Giới thiệu chung về Voice Ip Giới thiệu Voice over Internet Protocol (VoIP) là một công nghệ cho phép truyền thoại sử dụng giao thức mạng IP, trên cơ sở hạ tầng sẵn có của mạng internet. Voip là một trong những công nghệ viễn thông đang được quan tâm nhất hiện nay không chỉ đối với nhà khai thác, các nhà sản xuất mà còn cả với người sử dụng dịch vụ. Voip có thể vừa thực hiện mọi loại cuộc gọi như trên mạng điện thoại kênh truyển thống (PSTN) đồng thời truyền dữ liệu trên cơ sở mạng truyền dữ liệu. Do các ưu điểm về giá thành dịch vụ và sự tích hợp nhiều loại hình dịch vụ nên voip hiện nay được triển khai một các rộng rãi. Dịch vụ điện thoại voip là dịch vụ ứng dụng giao thức IP, nguyên tắc của voip bao gồm việc số hoá tín hiệu tiếng nói, thực hiện việc nén tín hiệu số, chia nhỏ các gói nếu cần và truyền gói tin này qua mạng, tới nơi nhận các gói tin này được ráp lại theo đúng thứ tự của bản tin, giải mã tín hiệu tương tự phục hồi lại tiếng nói ban đầu. Các cuộc gọi trong voip dựa trên cơ sở sử dụng kết hợp cả chuyển mạch kênh và chuyển mạch gói. Trong mỗi loại chuyển mạch trên đều có ưu, nhược điểm riêng của nó. Trong kỹ thuật chuyển mạch kênh giành riêng cho hai thiết bị đầu cuối thông qua các node chuyển mạch trung gian. Trong chuyển mạch kênh tốc độ truyền dẫn luôn luôn cố định(nghĩa là băng thông không đổi) , với mạng điện thoại PSTN tốc độ này là 64kbps, truyền dẫn trong chuyển mạch kênh có độ trễ nhỏ. Trong chuyển mạch gói các bản tin được chia thành các gói nhỏ gọi là các gói, nguyên tắc hoạt động của nó là sử dụng hệ thống lưu trữ và chuyển tiếp các gói tin trong nút mạng. Đối với chuyển mạch gói không tồn tại khái niệm kênh riêng, băng thông không cố định có nghĩa là có thể thay đổi tốc độ truyền, kỹ thuật chuyển mạch gói phải chịu độ trễ lớn vì trong chuyển mạch gói không quy định thời gian cho mỗi gói dữ liệu tới đích, mỗi gói có thể đi bằng nhiều con đường khác nhau để tới đích, chuyển mạch gói thích hợp cho việc truyền dữ liệu vì trong mạng truyền dữ liệu không đòi hỏi về thời gian thực như thoại, để sử dụng ưu điểm của mỗi loại chuyển mạch trên thì trong voip kết hợp sử dụng cả hai loại chuyển mạch kênh và chuyển mạch gói. Mô hình chung về Voice Ip Các định nghĩa liên quan đến Voice Ip VoIP – Voice over Internet Protocol (còn gọi là IP Telephony, Internet telephony và Digital Phone) – là hình thức truyền các cuộc đàm thoại qua Internet hay các mạng IP khác. SIP – Session Initiation Protocol (Giao thức Khởi tạo Phiên) – là một giao thức phát triển bởi IETF MMUSIC Working Group và là tiêu chuẩn đề xuất cho việc khởi tạo, sửa đổi và chấm dứt một phiên tương tác người dùng bao gồm các thành tố đa phương tiện như phim, tiếng nói, tin nhắn nhanh, trò chơi trực tuyến và thực tại ảo. PSTN – the public switched telephone network (mạng chuyển mạch điện thoại công cộng) – là nơi tập trung các mạng điện thoại chuyển mạch trên thế giới, cũng tương tự như Internet là nơi tập trung các mạng chuyển mạch gói IP công cộng trên thế giới. ISDN – Integrated Services Digital Network (Mạng Tích hợp Dịch vụ Số) – là một loại hệ thống mạng điện thoại chuyển mạch, được thiết kế để cho phép truyền ở dạng số (ngược với tương tự) tiếng nói và dữ liệu qua dây điện thoại bằng đồng thông thường, đem lại chất lượng và kết quả cao hơn so với các hệ thống tương tự. PBX – Private Branch eXchange (Tổng đài Chi nhánh Riêng - còn gọi là Private Business eXchange – Tổng đài Công ty Riêng) – là một tổng đài điện thoại sở hữu bởi công ty tư nhân, ngược với tổng đài được sở hữu bởi công ty truyền dữ liệu hay công ty điện thoại. IVR – Trong ngành điện thoại, Interactive Voice Response (Phản hồi Tiếng nói Tương tác) – là một hệ thống bằng máy tính cho phép người ta, thường là người gọi điện thoại, chọn từ một bảng chọn dạng tiếng nói hoặc giao diện khác với một hệ thống máy tính. DID – Direct Inward Dialing (Quay số vào Trực tiếp – còn gọi là DDI ở châu Âu) là một tính năng được công ty điện thoại cung cấp để sử dụng với hệ thống PBX của khách hàng, trong đó công ty điện thoại cấp phát một dải số, tất cả những số này đều nối với hệ thống PBX của khách hàng. RFC – Request for Comments (Yêu cầu Nhận xét – số nhiều là RFCs) là một trong một loạt các tài liệu và tiêu chuẩn thông tin Internet được đánh số được các phần mềm. Các thành phần trong mạng Voice Ip Các thành phần cốt lõi của 1 mạng VoIP bao gồm: Gateway, VoIP Server, IP network, End User Equipments Gateway: là thành phần giúp chuyển đổi tín hiệu analog sang tín hiệu số (và ngược lại). VoIP gateway : là các gateway có chức năng làm cầu nối giữa mạng điện thoại thường ( PSTN ) và mạng VoIP. VoIP GSM Gateway: là các gateway có chức năng làm cầu nối cho các mạng IP, GSM và cả mạng analog. VoIP server : là các máy chủ trung tâm có chức năng định tuyến và bảo mật cho các cuộc gọi VoIP .Trong mạng H.323 chúng được gọi là gatekeeper. Trong mạng SIP các server được gọi là SIP server. Thiết bị đầu cuối (End user equipments ) :Softphone và máy tính cá nhân (PC) : bao gồm 1 headphone, 1 phần mềm và 1 kết nối Internet. Các phần mềm miễn phí phổ biến như Skype, Ekiga, GnomeMeeting, Microsoft Netmeeting, SIPSet, .. Điện thoại truyền thông với IP adapter: để sử dụng dịch vụ VoIP thì máy điện thoại thông dụng phải gắn với 1 IP adapter để có thể kết nối với VoIP server. Adapter là 1 thiết bị có ít nhất 1 cổng RJ11 (để gắn với điện thoại) , RJ45 (để gắn với đường truyền Internet hay PSTN) và 1 cổng cắm nguồn. IP phone : là các điện thoại dùng riêng cho mạng VoIP. Các IP phone không cần VoIP Adapter bởi chúng đã được tích hợp sẵn bên trong để có thể kết nối trực tiếpvới các VoIP server Các kiểu kết nối sử dụng Voice Ip và những điểm thuận lợi của Voice Ip so với PSTN Các kiểu kết nối sử dụng voice Ip Computer to computer Với 1 kênh truyền Internet có sẵn, Là 1 dịch vụ miễn phí được sử dụng rộng rãi khắp nơi trên thế giới. Chỉ cần người gọi (caller) và người nhận ( receiver) sử dụng chung 1 VoIP service (Skype,MSN,Yahoo Messenger,…), 2 headphone + microphone, sound card . Cuộc hội thoại là không giới hạn. Computer to phone Là 1 dịch vụ có phí. Bạn phải trả tiền để có 1 account + software (VDC,Evoiz,Netnam,…). Với dịch vụ này 1 máy PC có kết nối tới 1 máy điện thoại thông thường ở bất cứ đâu ( tuỳ thuộc phạm vi cho phép trong danh sách các quốc gia mà nhà cung cấp cho phép). Người gọi sẽ bị tính phí trên lưu lượng cuộc gọi và khấu trừ vào tài khoản hiện có. Ưu điểm : đối với các cuộc hội thoại quốc tế, người sử dụng sẽ tốn ít phí hơn 1 cuộc hội thoại thông qua 2 máy điện thoại thông thường. Chi phí rẻ, dễ lắp đặt Nhược điểm: chất lượng cuộc gọi phụ thuộc vào kết nối internet + service nhà cung cấp Phone to phone Là 1 dịch vụ có phí. Bạn không cần 1 kết nối Internet mà chỉ cần 1 VoIP adapter kết nối với máy điện thoại. Lúc này máy điện thoại trở thành 1 IP phone. Những điểm thuận lợi của Voice Ip so với PSTN Khi bạn dùng đường truyền PSTN,bạn phải trả cho thời gian sử dụng cho nhà cung cấp dịch vụ PSTN: sử dụng càng nhiều bạn phải trả càng nhiều.Thêm vào đó bạn không thể nói với người khác tại cùng thời điểm. Với kỹ thuật VoIP, bạn có thể nói chuyện toàn thời gian với người bạn muốn(điều cần thiết là những người khác cũng phải kết nối internet tại cùng thời điểm),cho đến khi nào bạn muốn(không phụ thuộc vào chi phí) và thêm vào đó,bạn có thể nói chuyện với nhiều người tại cùng một thời điểm. Trước đây khi dựa vào giao tiếp thoại trên PSTN,trong suốt kết nối giữa hai điểm,đường kết nối chỉ dành riêng cho bên thực hiện cuộc gọi.Không có thông tin khác có thể truyền qua đường truyền này mặc dù vẫn thừa lượng băng thông sẵn dùng. Nhưng ngày nay, điều đó đã không còn là vấn đề nữa, với sự phát triển nhanh chóng và được sử dụng rộng rãi của IP,chúng ta đã tiến rất xa trong khả năng giảm chi phí trong việc hỗ trợ truyền thoại và dữ liệu.Giải pháp tích hợp thoại vào mạng dữ liệu,và cùng hoạt động bên cạnh với hệ thống PBX hiện tại hay những thiết bị điện thoại khác đã đơn giản cho việc mở rộng khả năng thoại cho những vị trí ở xa.Traffic thoại thực chất sẽ được mang tự do(free)bên trên cơ sở hạ tầng và thiết bị phần cứng có sẵn. Lợi ích của VoIP. Một trong những tiên ích đáng kể nhất là giá thấp. Vì điện thoại IP truyền qua tài nguyên internet nên giá thành rất rẻ so với điện thoại PSTN. Đối với các công ty, việc chuyển sang dùng VoIP là một giải pháp giúp giảm thiểu cước phí điện thoại, nhất là điện thoại quốc tế, điện thoại đường dài. Hiện tại trong các công ty đều tồn tại 2 mạng, mạng điện thoại và mạng máy tính (intranet+internet). Việc quản lý 2 mạng này độc lập cũng dẫn đến nhiều tốn kém. Nếu chuyển sang dùng giải pháp VoIP thì công ty sẽ giảm chí phí cho việc quản lý bảo trì hệ thống mạng thoại và data. Dĩ nhiên các công ty phải chấp nhận một chi phí ban đầu để mua các telephoneIP, nhưng chi phí về lâu dài sẽ mang đến lợi ích đáng kể. Chuyển mạch gói trong voice IP VoIP sử dụng kỹ thuật chuyển mạch gói (packet-switching - PS) của Internet để truyền tải dịch vụ thoại thay vì kỹ thuật chuyển mạch (circuit-switching - CS) như trong mạng điện thoại truyền thống (PSTN -Public switched telephone network). Vì VoIP sử dụng PS nên nó có nhiều tiện ích mà PS mang lại so với CS. Cụ thể, PS cho phép một vài cuộc thoại sử dụng một tài nguyên tương đương tài nguyên dành cho 1 cuộc thoại CS. Ví dụ một cuộc thoại 10 phút trên PSTN sử dụng hết liên tục 10 phút truyền thông tin (transmission) với băng thông 128Kbps. Nếu dùng VoIP để thực hiện cùng 1 cuộc thoại trên, thực tế bạn chỉ cần 3.5 phút truyền thông tin với băng thông 64Kbps. Như vậy bạn giải phóng 64Kbps trong 3.5 phút đấy cho người khác và cả 128Kbps cho 6.5 phút còn lại. Hình dưới đây minh họa sự khác nhau giữa PS và CS.Để thực hiện được sự hội tụ trên chúng ta cần các thiết bị mới hoặc có thể thích ứng các thiết bị hiện có (thông qua các adapter), và chúng ta có một mạng như sau: Sự khác nhau giữa PS và CS CHƯƠNG 2 CÁCH THỨC HOẠT ĐỘNG NHÂN TỐ ẢNH HƯỞNG VÀ CÁC BỘ GIAO THỨC Voice Ip hoạt động như thế nào Khi nói vào ống nghe hay microphone, giọng nói sẽ tạo ra tín hiệu điện từ, đó là những tín hiệu analog. Tín hiệu analog được chuyển sang tín hiệu số dùng thuật toán đặc biệt để chuyển đổi. Những thiết bị khác nhau có cách chuyển đổi khác nhau như VoIP phone hay softphone, nếu dùng điện thoại analog thông thường thì cần một Telephony Adapter (TA). Sau đó giọng nói được số hóa sẽ được đóng vào gói tin và gởi trên mạng IP. Trong suốt tiến trình một giao thức như SIP hay H323 sẽ được dùng để điểu khiển (control) cuộc gọi như là thiết lập, quay số, ngắt kết nối… và RTP thì được dùng cho tính năng đảm bảo độ tin cậy và duy trì chất lượng dịch vụ trong quá trinh truyền. Số hóa tín hiệu analog Biểu diễn tín hiệu tương tự(analog) thành dạng số (digital) là công việc khó khăn. Vì bản thân dạng âm thanh như giọng nói con người ở dạng analog do đó cần một số lượng lớn các giá trị digital để biểu diễn biên độ (amplitude), tần số(frequency) và pha (phase), chuyển đổi những giá trị đó thành dạng số nhị phân(zero và one) là rất khó khăn. Cần thiết cần có cơ chế dùng để thực hiện sự chuyển đổi này và kết quả của sự phát triển này là sự ra đời của những thiết bị được gọi là codec (coder-decoder) hay là thiết bị mã và giải mã. Tín hiệu đện thoại analog (giọng nói con người) được đặt vào đầu vào của thiết bị codec và được chuyển đổi thành chuỗi số nhị phân ở đầu ra. Sau đó quá trình này thực hiện trở lại bằng cách chuyển chuỗi số thành dạng analog ở đầu cuối, với cùng qui trình codec. Có 4 bước liên quan đến quá trình số hóa(digitizing) một tín hiệu tương tự(analog): Lấy mẫu (Sampling) Lượng tử hóa (Quantization) Mã hóa (Encoding) Nén giọng nói (Voice Compression) Multiplexing: Ghép kênh là qui trình chuyển một số tín hiệu dồng thời qua một phương tiện truyền dẫn. PAM(pulse-amplitude modulation)- điều chế biên độ xung TDM(Time Division Multiplexing)-Ghép kênh phân chia theo thời gian:Phân phối khoảng thời gian xác định vào mỗi kênh, mỗi kênh chiếm đường truyền cao tốc trong suốt một khaỏng thời gian theo định kì. FDM(Frequency Division Multiplexing)-Ghép kênh phân chia theo tần số: Mỗi kênh được phân phối theo một băng tần xác định, thông thường có bề rộng 4Khz cho dịch vụ thoại. PCM(Pulse code modulation)- Điều chế theo mã: là phương pháp thông dụng nhất chuyển đổi các tín hiệu analog sang dạng digital ( và ngược lại) để có thể vận chuyển qua một hệ thống truyền dẫn số hay các quá trình xử lý số. Sự biến đổi này bao gổm 3 tiến trình chính: Lấy mẫu Lượng tử hoá Mã hoá. Tiến trình này hoạt động như sau: Giai đoạn đầu tiên cuả PCM là lấy mẫu các tín hiệu nhập (tín hiệu đi vào thiết bị số hoá), nó tạo ra một tuần tự các mẫu analog dưới dạng chuỗi PAM. Các mẫu PAM có dãi biên độ nối tiếp nhau, sau đó phân chia dải biên độ này thành một số giới hạn các khoảng. Tất cả các mẫu với các biên độ nào đó nếu mẫu nào rơi vào một khoảng đặc biệt nào thì được gán cùng mức giá trị cuả khoảng đó. Công việc này được gọi là “lượng tử hoá”. Cuối cùng trong bộ mã hoá, độ lớn của các mẫu được lương tử hoá được biểu diễn bởi các mã nhị phân Lấy mẫu (Sampling) Lấy mẫu Tín hiệu âm thanh trên mạng điện thoại có phổ năng lượng đạt đến 10Khz. Tuy nhiên, hầu hết năng lượng đều tập trung ở phần thấp hơn trong dải này. Do đó để tiết kiệm băng thông trong các hệ thống truyền được ghép kênh theo FDM và cả TDM. Các kênh điện thoại thường giới hạn băng tần trong khoảng từ 300 đến 3400Hz. Tuy nhiên trong thực tế sẽ có một ít năng lương nhiễu được chuyển qua dưới dạng các tần số cao hơn tần số hiệu dụng 3400Hz. Do đó phổ tẩn số có thể được mở rộng đến 4Khz, theo lý thuyết Nyquist: khi một tín hiệu thì được lấy mẫu đồng thời ở mỗi khoảng định kì và có tốc độ ít nhất bằng hai lần phổ tần số cao nhất, sau đó nhũng mẫu này sẽ mang đủ thông tin để cho phép việc tái tạo lại chính xác tín hiệu ở thiết bị nhận. Với phổ tần số cao nhất cho thoại là 4000Hz hay 8000 mẫu được lấy trong một giây, khoảng cách giữa mỗi mẫu là 125 micro giây. Lượng tử hóa (Quantization) Lượng tử hóa Tiến trình kế tiếp của số hóa tín hiệu tuần tự là biểu diễn giá trị chính xác cho mỗi mẫu được lấy. Mỗi mẫu có thể được gán cho một giá trị số, tương ứng với biên độ (theo chiều cao) của mẫu. Sau khi thực hiện giới hạn đầu tiên đối với biên độ tương ứng với dải mẫu, đến lượt mỗi mẫu sẽ được so sánh với một tập hợp các mức lượng tử và gán vào một mức xấp xỉ với nó. Qui định rằng tất cả các mẫu trong cùng khoảng giữa hai mức lượng tử được xem có cùng giá trị. Sau đó giá trị gán được dùng trong hệ thống truyền. Sự phục hồi hình dạng tín hiệu ban đầu đòi hỏi thực hiện theo hướng ngược lại.  Mã hóa và nén giọng nói Mã hóa (Encoding) Mỗi mức lượng tử được chỉ định một giá trị số 8 bit, kết hợp 8 bit có 256 mức hay giá trị. Qui ước bit đầu tiên dùng để đánh dấu giá trị âm hoặc dương cho mẫu. Bảy bít còn lại biểu diễn cho độ lớn; bit đầu tiên chỉ nữa trên hay nữa dưới của dãy, bit thứ hai chỉ phần tư trên hay dưới, bit thứ 3 chỉ phần tám trên hay dưới và cứ thế tiếp tục. Ba bước tiến trình này sẽ lặp lại 8000 lần mỗi giây cho dịch vụ kênh điện thoại. Dùng bước thứ tư là tùy chọn để nén hay tiết kiệm băng thông. Với tùy chọn này thí một kênh có thể mang nhiều cuộc gọi dồng thời. Nén giọng nói (Voice compression) Mặc dù kỉ thuật mã hóa PCM 64 Kps hiện hành là phương pháp được chuẩn hóa, nhưng có vài phương pháp mã hóa khác được sử dụng trong những ứng dụng đặc biệt. Các phương pháp này thực hiện mã hóa tiếng nói với tốc độ nhỏ hơn tốc độ của PCM, nhờ đó tận dụng được khả năng của hệ thống truyền dẫn số. Chắc hẳn, các mã hóa tốc độ thấp này sẽ bị hạn chế về chất lượng, đặt biệt là nhiễu và méo tần số. Một số ví dụ hệ thống mã hóa tiếng nói tốc độ thấp: CVSD( Continuously variable slope delta modulaton) Kỹ thuật này là một dẫn xuất của điều chế delta, trong đó một bit đơn dùng để mã hóa mỗi mẫu PAM hoặc lớn hơn hoặc nhỏ hơn mẫu trước đó. Vì không hạn chế bởi 8 bit, mã hóa có thể họat đông ở tốc độ khác nhau vào khỏang 20 Kps. ADPCM( Adaptive differential PCM): Kỹ thuật này là một dẫn xuất của PCM chuẩn, ở đó sự khác biệt giữa các mẫu liên tiếp nhau được mã hóa, thay vì tất cả các mẫu điều được mã hóa, được truyền trên đường dây. CCITT có đề nghị một chuẩn ADPCM 32 Kps, 24 Kps, 16Kbs cho mã hóa tiếng nói. Chuẩn PCM thì cũng được biết như chuẩn ITU G.711 Tốc độ G.711: 64 Kps=(2*4 kHz)*8 bit/mẫ Tốc độ G.726: 32 Kps=(2*4 kHz)*4 bit/mẫ Tốc độ G.726: 24 Kps=(2*4 kHz)*3 bit/mẫ Tốc độ G.726: 16 Kps=(2*4 kHz)*2 bit/mẫu Packetizing voice Packetizing voice Mỗi một khi giọng nói đã được số hoá và được nén lại, nó phải được chia thành những phần nhỏ, để đặt vào gói IP, VoIP thì không hiệu qua cho những gói tin nhỏ, trong khi những gói tin lớn thì tạo ra nhiều độ trễ, do ảnh hưởng của vài loại header mà kích thưóc cuả dữ liệu thoại(voice data ) cũng sẽ ảnh hưởng. Ví dụ header cuả IP, UDP, RTP là 40 byte, nếu gói tin voice cũng chỉ khoảng 40 byte thì hoàn toàn không hiệu quả, kích thước gói tin lớn nhất có thể trong môi trường Ethernet là 1500 byte, dùng 40 byte cho header còn lại 1460 byte có thể sử dụng cho phần dữ liệu thoại, tương đương với 1460 mẫu(samples) không được nén hay thời gian để đặt phần dữ liệu vào gói tin. Nếu gói bị mất nhiều hay đến đích không đúng thứ tự sẽ làm cho cuộc thoại bị ngắt quãng. Thông thường, cần khoảng 10us đến 30 us (trung bình là 20us) để đặt dữ liệu thoại vào bên trong gói tin, ví dụ phần dữ liệu thoại(voice data) vơí kích thước 160 byte không nén cần khoảng 20us để đặt phần dữ liệu thoại vào bên trong gói tin. Số lượng dữ liệu thoại bên trong gói tin cần cân bằng giữa sự hiệu quả trong sử dụng băng thông và chất lượng của cuộc thoại. Các nhân tố ảnh hưởng đến chất lượng thoại Voice Ip và các giao thức của Voice Ip (voice ip protocols) Các nhân tố ảnh hưởng đến chất lượng thoại Voice Ip Chất lượng của âm thanh được khôi phục qua mạng điện thoại là mục tiêu cơ bản của dịch vụ, mặc dù các chỉ tiêu chuẩn đã được ITU phát triển. Có 3 nhân tố có thể ảnh hưởng sâu sắc tới chất lượng của dịch vụ thoại Sự trễ: Hai vấn đề gây ra bởi sự trễ đầu cuối trong một mạng thoại là tiếng vang và chồng tiếng. Tiếng vang trở thành vấn đề khi trễ vượt quá 50 ms. Đây là một vấn đề chất lượng đáng kể, nên các hệ thống VoIP phải kiểm soát và cung cấp các phương tiện loại bỏ tiếng vang. Hiện tượng chồng tiếng (giọng người này gối lên giọng người kia) trở nên đáng kể nếu trễ một chiều (one-way delay) lớn hơn 250 ms. Sự biến thiên độ trễ (Jitter) Jitter là sự biến thiên thời gian trễ gây nên bởi sự trễ đường truyền khác nhau trên mạng. Loại bỏ jitter đòi hòi thu thập các gói và giữ chúng đủ lâu để cho phép các gói chậm nhất đến để được phát lại (play) đúng thứ tự, làm cho sự trễ tăng lên. Mất gói Mạng IP không thể cung cấp một sự bảo đảm rằng các gói tin sẽ được chuyển tới đích hết. Các gói sẽ bị loại bỏ khi quá tải và trong thời gian tắc nghẽn. Truyền thoại rất nhạy cảm với việc mất gói, tuy nhiên, việc truyền lại gói của TCP thường không phù hợp. Các cách tiếp cận được sử dụng để bù lại các gói mất là thêm vào cuộc nói chuyện bằng cách phát (play) lại gói cuối cùng, và gửi đi thông tin dư. Tuy thế, sự tổn thất gói trên 10% nói chung là không chấp nhận được. Sự duy trì chất lượng thoại chấp nhận được bất chấp sự thay đổi trong hoạt động của mạng (như tắc nghẽn hay mất kết nối) đạt được nhờ những kỹ thuật như nén tiếng, triệt im lặng . Một số sự phát triển trong những năm 90, nhất là trong xử lý tín hiệu số, các chuyển mạch mạng chất lượng cao đã được phối hợp để hỗ trợ và khuyến khích công nghệ thoại trên mạng dữ liệu. Quá trình tiền xử lý bằng phần mềm của cuộc điện đàm cũng có thể được sử dụng để tối ưu hoá chất lượng âm thanh. Một kỹ thuật, được goi là triệt im lặng, sẽ xác định mỗi khi có một khoảng trống trong lời thoại và loại bỏ sự truyền các khoảng nghỉ, hơi thở, và các khoảng im lặng khác. Điều đó có thể lên tới 50-60% thời gian của một cuộc gọi, giúp tiết kiệm băng tần đáng kể. Bởi lẽ sự thiếu các gói được hiểu là sự im lặng hoàn toàn ở đầu ra, một chức năng khác được yêu cầu ở đầu nhận để bổ sung các tiếng động ở đầu ra Các giao thức của Voice Ip (Voice Ip Protocols): VoIP cần 2 loại giao thức : Signaling protocol và Media Protocol. Signaling Protocol điều khiển việc cài đặt cuộc gọi. Các loại signaling protocols bao gồm: H.323, SIP, MGCP, Megaco/H.248 và các loại giao thức dùng riêng như UNISTIM, SCCP, Skype, CorNet-IP,… Media Protocols: điều khiển việc truyền tải voice data qua môi trường mạng IP. Các loại Media Protocols như: RTP ( Real-Time Protocol) ,RTCP (RTP control Protocol) , SRTP (Secure Real-Time Transport Protocol), và SRTCP (Secure RTCP). Signaling Protocol nằm ở tầng TCP vì cần độ tin cậy cao, trong khi Media Protocol nằm trong tầng UDP. Các nhà cung cấp có thể sử dụng các giao thức riêng hay các giao thức mở rộng dựa trên nền của 1 trong 2 giao thức tiêu chuẩn quốc tế là H.323 và SIP. Ví dụ Nortel sử dụng giao thức UNISTIM (Unified Network Stimulus) Cisco sử dụng giao thức SCCP ( Signaling Connection Control Part) Những giao thức riêng này gây khó khăn trong việc kết nối giữa các sản phẩm của các hãng khác nhau. Bộ giao thức H.323 H.323: là giao thức được phát triển bởi ITU-T ( International Telecommunication Union Telecommunication Standardization Sector). H.323 phiên bản 1 ra đời vào khoảng năm 1996 và 1998 phiên bản thế hệ 2 ra đời. H.323 ban đầu được sử dụng cho mục đích truyền các cuộc hội thoại đa phương tiện trên các mạng LAN, nhưng sau đó H.323 đã tiến tới trở thành 1 giao thức truyền tải VoIP trên thế giới. Giao thức này chuyển đổi các cuộc hội thoại voice, video, hay các tập tin và các ứng dụng đa phương tiện cần tương tác với PSTN. Là giao thức chuẩn, bao trùm các giao thức trước đó như H.225,H.245, H.235,… Cấu trúc của H.323 Bộ giao thức SIP SIP: (Session Initiation Protocol) được phát triển bởi IETF ( Internet Engineering Task Force) MMUSIC ( Multiparty Multimedia Session Control) Working Group (theo RFC 3261). Đây là 1 giao thức kiểu diện ký tự ( text-based protocol_ khi client gửi yêu cầu đến Server thì Server sẽ gửi thông tin ngược về cho Client), đơn giản hơn giao thức H.323. Nó giống với HTTP, hay SMTP. Gói tin (messages) bao gồm các header và phần thân ( message body). SIP là 1 giao thức ứng dụng ( application protocol) và chạy trên các giao thức UDP, TCP và STCP. Các thành phần trong SIP network : Cấu trúc mạng của SIP cũng khác so với giao thức H.232. 1 mạng SIP bao gồm các End Points, Proxy, Redirect Server, Location Server và Registrar. Người sử dụng phải đăng ký với Registrar về địa chỉ của họ. Những thông tin này sẽ được lưu trữ vào 1 External Location Server. Các gói tin SIP sẽ được gửi thông qua các Proxy Server hay các Redirect Server. Proxy Server dựa vào tiêu đề “to” trên gói tin để liên lạc với server cần liên lạc rồi gửi các pacckets cho máy người nhận. Các redirect server đồng thời gửi thông tin lại cho người gửi ban đầu. Ví dụ giao thức SIP Phương thức hoạt động của SIP network : SIP là mô hình mạng sử dụng kiểu kết nối 3 hướng ( 3 way handshake method) trên nền TCP. Ví dụ trên, ta thấy 1 mô hình SIP gồm 1 Proxy và 2 end points. SDP ( Session Description Protocol) được sử dụng để mang gói tin về thông tin cá nhân ( ví dụ như tên người gọi) . Khi Bob gửi 1 INVITE cho proxy server với 1 thông tin SDP. Proxy Server sẽ đưa yêu cầu này đến máy của Alice. Nếu Alice đồng ý, tín hiệu “OK” sẽ được gửi thông qua định dạng SDP đến Bob. Bob phản ứng lại bằng 1 “ACK” _ tin báo nhận. Sau khi “ACK” được nhận, cuộc gọi sẽ bắt đầu với giao thức RTP/RTCP. Khi cuộc điện đàm kết thúc, Bob sẽ gửi tín hiệu “Bye” và Alice sẽ phản hồi bằng tín hiệu “OK”. Khác với H.232, SIP không có cơ chế bảo mật riêng. SIP sử dụng cơ chế thẩm định quyền của HTTP ( HTTP digest authentication), TLS, IPSec và S/MIME ( Secure/Multipurpose Internet Mail Extension) cho việc bảo mật dữ liệu. Mgcp và Megaco/H.248 MGCP ( Media Gateway Control Protocol) được sử dụng để liên lạc giữa các thành phần riêng lẻ của 1 VoIP gateway tách rời. Đây là 1 protocol được bổ sung cho 2 giao thức SIP và H.323. Với MGCP, MGC server có khả năng quản lý các cuộc gọi và các cuộc đàm thoại dưới sự hỗ trợ của các dịch vụ ( services). MGCP là 1 giao thức master/slave vớic các ràng buộc chặt chẽ giữa MG ( end point) và MGC ( server ). MEGACO/H.248 : (còn được gọi là Gate way Control Protocol) Có nguồn gốc từ MGCP và được sử dụng rộng rãi trong ngành công nghiệp. Sự phát triển MEGACO/H.248 bao gồm việc hỗ trợ đa phương tiện và các dịch vụ hội thoại nâng cao đa điểm ( multipoint conferencing enhanced services ) , các cú pháplập trình được nâng cao nhằm tăng hiệu quả cho các tiến trình đàm thoại, hỗ trợ cả việc mã hoá text và binary và thêm vào việc mở rộng các định nghĩa cho các packets. Megaco đưa ra những cơ cấu bảo mật ( security mechanisms) trong các cơ cấu truyền tải cơ bản như IPSec. H.248 đòi hỏi sự thực thi đầy đủ của giao thức H.248 kết hợp sự bổ sung của IPSec khi hệ điều hành (OS) và mạng truyền vận ( transport network) có hỗ trợ IPSec. Tính bảo mật và hướng khắc phục Tính bảo mật của Voice Ip VoIP được đưa vào sử dụng rộng rãi khi công nghệ tích hợp giọng nói và dữ liệu phát triển. Do sử dụng chung các thành phần thiết bị chung với môi trường truyền dữ liệu mạng ( data network), VoIP cũng chịu chung với các vấn đề về bảo mật vốn có của mạng data. Những bộ giao thức mới dành riêng của VoIP ra đời cũng mang theo nhiều vấn đề khác về tính bảo mật. Nghe lén cuộc gọi ( EavesDropping of phone conversation): Nghe lén qua công nghệ VoIP càng có nguy cơ cao do có nhiều node trung gian trên đường truyền giữa 2 người nghe và người nhận. Kẻ tấn công có thể nghe lén được cuộc gọi bằng cách tóm lấy các gói tin IP đang lưu thông qua các node trung gian. Có khá nhiều công cụ miễn phí và có phí kết hợp với các card mạng hỗ trợ chế độ pha tạp ( promiscuous mode) giúp thực hiện được điều này như Cain&Abel, Ethreal, VoMIT Truy cập trái phép ( Unauthorized access attack) : Kẻ tấn công có thể xâm phạm các tài nguyên trên mạng do nguyên nhân chủ quan của các admin. Nếu các mật khẩu mặc định của các gateway và switch không được đổi thì kẻ tấn công có thể lợi dụng để xâm nhập. Các switch cũ vẫn còn dùng Telnet để truy cập từ xa, và clear-text protocol có thể bị khai thác 1 khi kẻ tấn công có thể sniff được các gói tin. Với các Gateway hay switch sử dụng giao diện web server (web server interface) cho việc điều khiển từ xa ( remote control) thì kẻ tấn công có thể tóm các gói tin HTTP trong mạng nội bộ để lấy các thông tin nhạy cảm này thì kẻ tấn công còn có thể sử dụng kỹ thuật ARP cache poisoning để tóm lấy các gói tin đang lưu chuyển trong 1 mạng nội bộ Caller ID spoofing :Caller ID là 1 dịch vụ cho phép user có thể biết được số của người gọi đến. Caller ID spoofing là kỹ thuật mạo danh cho phép thay đổi số ID của người gọi bằng những con số do user đặt ra. So với mạng điện thoại truyền thống, thì việc giả mạo số địên thoại VoIP dễ hơn nhiều, bởi có khá nhiều công cụ và website cho phép thực hiện điều này, Ví dụ:www.spooftel.com,www.telespoof.com,www.callnotes.net,www.spoofcard.com Hướng khắc phục và biện pháp giải quyết Việc mã hoá các gói tin theo công nghệ IPSec sẽ giúp tránh được các cuộc nghe lén. Công nghệ SRTP đang dần thay thế cho RTP để bảo vệ các tín hiệu âm thanh và hình ảnh lưu thông trên mạng Đối với Gateway và switch, công nghệ SSH nên được thay thế cho clear-text protocol, và HTTPs nên được dùng thay cho HTTP, và tốt nhất là các mật khẩu mặc định nên được thay đổi một khi hệ thống được triển khai. Việc nâng cấp hệ thống định kỳ cũng nên được xem xét một cách chính đáng. Mô hình mạng trong công ty có sử dụng VoIP cần phải được xem xét. Vấn đề tốt nhất có thể làm là phân chia các máy sử dụng VoIP và data ra làm 2 mạng khác nhau. Đối với các voice gateway ( nơi có sự nối ghép giữa PSTN và IP ) cần phải chặn các gói SIP, H.323 hoặc bất cứ gói dữ liệu nào được gửi đến từ mạng data. Việc mã hoá các gói tin tại Router và Gateway sử dụng IPSec là 1 lựa chọn tốt cho việc bảo mật. Không nên sử dụng Softphone khi mà vấn đề về virus và worm đang một ngày một đáng quan tâm. Liên tục nâng cấp phần mềm – Nếu hãng phần mềm cung cấp các bản vá cho hệ điều hành thì bạn nên cài đặt chúng ngay lập tức. Việc đó sẽ ngăn chặn được các tấn công đang lợi dụng yếu điểm trong lỗ hổng phần mềm. . Sử dụng và cập nhật phần mềm chống virus – Phần mềm chống virus có thể nhận ra và bảo vệ máy tính chống lại các virus đã được định nghĩa. Mặc dù vậy kẻ tấn công luôn tìm mọi cách để viết ra các virus mới, chính vì vậy bạn phải thường xuyên cập nhật phần mềm virus . Tận dụng triệt để các tùy chọn bảo mật – Nhiều nhà cung cấp có thể cung cấp dịch vụ cho phép mã hóa. Nếu công việc của bạn liên quan đến nhiều vấn đề riêng tư và bảo mật thì cũng nên cân nhắc đến các tùy chọn có sẵn này. Cài đặt và kích hoạt tường lửa –Tường lửa có thể ngăn chặn nhiều kiểu xâm nhập bằng việc khóa lưu lượng nguy hiểm trước khi chúng xâm nhập vào máy tính của bạn. Đánh giá các thiết lập bảo mật – Cả máy tính của bạn và các thiết bị/phần mềm VoIP cung cấp nhiều tính năng khác nhau có thể trang bị cho yêu cầu của bạn. Mặc dù vậy, việc cho phép các tính năng cụ thể có thể để lại cho bạn nhiều lỗ hổng dễ bị tấn công. Vì vậy vô hiệu hóa một số tính năng nếu bạn cảm thấy không cần thiết. Kiểm tra các thiết lập của bạn, thiết lập bảo mật riêng và chọn các tùy chọn mà bạn cần để tránh mang lại những rủi ro không đáng có. CHƯƠNG 3 CÀI ĐẶT DEMO ỨNG DỤNG VOICE IP Cài đặt và cấu hình Trixbox Tải bản cài đặt và ghi đĩa Phần 1: Hướng dẫn cài đặt sẽ đưa bạn qua từng bước để có được một hệ thống tổng đài VOIP.Cập nhật: Trixbox CE 2.6 - Phần 2: Các thiết lập hệ thống cơ bản Tải bản ISO Toàn bộ bản Trixbox CE được chứa trong file ISO, cũng là bản sao của CD cài đặt. Bạn có thể tải miễn phí tại địa chỉ Dung lượng file ảnh ISO khoảng 670 Mb. Ghi ra CD Hầu hết chương trình ghi đĩa CD đều có thể ghi file ảnh ISO ra đĩa trắng. Điều quan trọng cần phải chú ý đó là việc ghi này không đơn giản chỉ là copy file vào CD. Bạn phải ghi theo dạng ảnh ISO. Có thể sử dụng chương trình miễn phí CDBurnerXP (để làm công việc này. Khi chạy CDBurnerXP, nhớ chọn Create Data CD/DVD. CD Burner XP Tiếp theo, vào trình đơn File và chọn Burn disc from ISO file.... Chọn file ISO Sau đó chọn file ISO vừa mới download -> Open. Đưa đĩa CD trắng vào và chọn Burn để bắt đầu. Ghi file ISO Khi kết thúc quá trình trên, bạn đã có trong tay đĩa CD boot cài đặt Trixbox Chuẩn bị cài đặt Bạn cần chuẩn bị 1 máy tính dành riêng cho Trixbox CE.Quá trình cài đặt sẽ xóa toàn bộ dữ liệu trên tất cả ổ cứng gắn trong máy. Ổ cứng USB cũng không được gắn vào khi cài đặt Tùy theo cấu hình hệ thống, bạn sẽ phải ấn vài phím để khởi động từ CD (F9 hay F2 - Boot Select) hoặc cấu hình trong BIOS. Cài đặt Trixbox CE 2.6 CE Đưa đĩa CD Trixbox CE vào ổ CDROM, bật máy và chọn khởi động từ CDKhi màn hình đầu tiên hiện lên, thường bạn chỉ cần ấn Enter để bắt đầu quá trình cài đặt thông thường. Nếu chọn F2, bạn sẽ thấy các lựa chọn nâng cao khác như sau: * default mediacheck: Kiểm tra tính toàn vẹn dữ liệu trên CD cài đặt. Chọn khi việc cài đặt lần trước bị lỗi. * sataraid: Nếu bạn có 2 ổ cứng giống nhau (SATA/IDE/SCSI), tùy chọn này sẽ tự động tạo RAID 1 (mềm). * sataraidstore: khi chọn, Trixbox sẽ được cài đặt trên một phân vùng 20Gb, và phần ổ cứng còn lại sẽ được định dạng thành phân vùng khác gắn vào /store. Dùng khi bạn muốn Trixbox vừa là tổng đài, vừa là file server. * advanced: chỉ dùng khi bạn muốn tự phân vùng ổ cứng. Để nhanh chóng, hãy ấn Enter để tiếp tục: Màn hình cài đặt Trixbox đầu tiên Kế tiếp, bạn sẽ chọn ngôn ngữ sử dụng (thường là English). Lựa chọn ngôn ngữ. Tiếp theo, chọn múi giờ cho hệ thống (Asia/Saigon) Chọn múi giờ Màn hình cuối cùng sẽ chờ bạn nhập mật khẩu root. Đừng quên nó, nếu không bạn phải tiến hành reset lại. Nhập mật khẩu root Sau khi nhập mật khẩu, quá trình cài đặt sẽ tự động diễn ra trong khoảng 10 đến 20 phút. Khi hoàn tất, hệ thống sẽ khởi động lại và hiện ra dấu nhắc (login prompt). Gõ root vào dòng đầu, và password vào dòng thứ hai.Khi đăng nhập thành công, hệ thống sẽ hiển thị địa chỉ IP động của Trixbox (cấp bởi DHCP server) cùng với đường dẫn trang web cấu hình. Nếu muốn gán địa chỉ tĩnh, dùng lệnh system-config-network hoặc cấu hình qua giao diện web. Dấu nhắc console SSH: khi Trixbox được cài đặt xong, bạn có thể đăng nhập vào console từ xa thông qua giao thức SSH(Secure shell). Chương trình thường dùng là PuTTy (www.chiark.greenend. org.uk/~sgtatham/putty/). Cài đặt và cấu hình A2billing Cài đặt các gói phụ thuộc Đặt địa chỉ IP Cài đặt Mysql server Tải file a2billing Sau đó giải nén file vừa tải về bằng lện tar –zxvf A2Billing_1.7.1.tar.gz Login vào giao diện admin. Tạo User Reload trixbox Sau khi tạo các user tiến hành test gọi cục bộ có kết quả như hình dưới: Kết quả gọi cụ bộ Cài đặt phpmyadmin. Tạo database Chỉnh sửa file a2billing.conf Tạo nội dung cho database a2b Chỉnh sửa asterisk manager. Dùng lệnh mkdir /var/www/html/a2b để tạo ra thư mục web a2b. Sau đó chép tất cả các thư mục vừa giải nén vào thư mục a2b mới tạo. Dùng các lệnh sau cp -R /usr/local/src/a2billing/common/ /var/www/html/a2b/. cp -R /usr/local/src/a2billing/admin/ /var/www/html/a2b/. cp -R /usr/local/src/a2billing/agent/ /var/www/html/a2b/. cp -R /usr/local/src/a2billing/customer/ /var/www/html/a2b/. Cấu hình Dialplan. Tạo tác vụ cron Login vào giao diện của a2billing Các tính năng của a2billing KẾT LUẬN Sau một tháng nhận đề tài và nghiên cứu thì chúng tôi đã hoàn thành đề tài. Tuy vậy, ngoài những kết quả đạt được cũng không tránh khỏi những thiếu sót. Ưu điểm Hoàn thành đề tài được giao đúng thời gian. Hiểu thêm được các vấn đề về firewall và ipcop Xây dựng được mô hình demo ipcop firewall hoàn thiện Nâng cao kĩ năng làm việc theo nhóm. Học hỏi được nhiều điều tốt từ đơn vị thực tập. Khuyết điểm Phần đề tài voice ip còn chưa nghiên cứu hết các tính năng. Ipcop fire wall còn chưa hoàn thiện được phần vpn. Hướng phát triển Sau này, nếu chúng tôi có điều kiện tiếp tục nghiên cứu đề tài này thì chúng tôi sẽ tiến hành nghiên cứu thêm các vấn đề còn lại của voice Ip Hoàn thiện phần demo vpn trong ipcop firewall. Tiến hành trên một mô hình thật. TÀI LIỆU THAM KHẢO Trang web : Trang web : Trang web : Trang web : Trang web : Trang web :