KONCEPCJA APLIKACJI VoIP WYKORZYSTUJĄCEJ MECHANIZMY IPSec

Podobne dokumenty
EFEKTYWNA BEZPIECZNA TRANSMISJA DANYCH W SIECIACH WĄSKOPASMOWYCH

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Telefonia Internetowa VoIP

Przesył mowy przez internet

Protokół IPsec. Patryk Czarnik

TELEFONIA INTERNETOWA

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Zdalne logowanie do serwerów

Przesyłania danych przez protokół TCP/IP

Sieci Komputerowe Modele warstwowe sieci

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Bezpieczny system telefonii VoIP opartej na protokole SIP

Protokoły sieciowe - TCP/IP

Wprowadzenie...13 CzÍúÊ I. PSTN...17 Rozdzia 1. Przeglπd sieci PSTN i jej porûwnanie z Voice over IP...19

Dr Michał Tanaś(

Sygnalizacja Kontrola bramy Media

Bramka VoIP (Voice over IP gateway) Implementacja VoIP w routerach DrayTek

Technologia VoIP Podstawy i standardy

Programowanie Sieciowe 1

Protokoły zdalnego logowania Telnet i SSH

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Rodzaje, budowa i funkcje urządzeń sieciowych

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

IPsec bezpieczeństwo sieci komputerowych

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

1. Wprowadzenie Środowisko multimedialnych sieci IP Schemat H

Wielowarstwowość transmisji w sieciach komputerowych

Warstwy i funkcje modelu ISO/OSI

Ilość sztuka 1 PBX/IP Opis minimalnych wymagań 1 W zakresie sprzętowym 1.1 Porty: - Min 1 port WAN - RJ-45 (10/100Base-TX, automatyczne wykrywanie)

Sieci komputerowe Warstwa transportowa

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Transmisja danych multimedialnych. mgr inż. Piotr Bratoszewski

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

ZiMSK NAT, PAT, ACL 1

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Redukcja kosztów połączeń telekomunikacyjnych przy wykorzystaniu central ISDN PABX

Model OSI. mgr inż. Krzysztof Szałajko

Dr Michał Tanaś(

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

IPSEC z Mikrotik zero to hero Piotr Wasyk

Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone. MASH.PL Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone Strona 1

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Politechnika Łódzka. Instytut Systemów Inżynierii Elektrycznej

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

BRINET Sp. z o. o.

Metody zabezpieczania transmisji w sieci Ethernet

Mechanizmy zabezpieczeń transmisji w środowisku IPSec

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

ZiMSK. Konsola, TELNET, SSH 1

Testy współpracy. Asterisk z techniką WebRTC

jest protokołem warstwy aplikacji, tworzy on sygnalizację, aby ustanowić ścieżki komunikacyjne, a następnie usuwa je po zakończeniu sesji

Bezpieczeństwo systemów komputerowych

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

Protokół sieciowy: Zbiór formalnych reguł i konwencji dotyczących formatu i synchronizacji w czasie wymiany komunikatów między procesami

Konfiguracja aplikacji ZyXEL Remote Security Client:

Multicasty w zaawansowanych usługach Internetu nowej generacji

Mobilna komunikacja VoIP

Podstawy sieci komputerowych

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Plan Prezentacji Wprowadzenie Telefonia IP a bezpieczeństwo istotne usługi ochrony informacji i komunikacji w sieci Klasyczna architektura bezpieczeńs

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Wideokonferencje MGR INŻ. PAWEŁ SPALENIAK

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Router programowy z firewallem oparty o iptables

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

Protokół IPX (Internetwork Packet Exchange)

Sieci komputerowe w sterowaniu informacje ogólne, model TCP/IP, protokoły warstwy internetowej i sieciowej

Serwery multimedialne RealNetworks

Sterowanie ruchem w sieciach szkieletowych

Wprowadzenie do telefonii VoIP

Metody ataków sieciowych

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Szczegółowy opis przedmiotu zamówienia

ZAŁOŻENIA PROTOKOŁU RTP

Grzegorz Gliński. 1. Opis wykonanego ćwiczenia

MODEM. Wewnętrzny modem PCI, 56Kbps DATA/FAX/VOICE, V.92

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

VoIP - integracja i skalowalność. Piotr Misiowiec, Dyrektor Centrum Szkoleniowego CLICO Sp. z o.o., CCSI

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Laboratorium Sieci Komputerowych - 2

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

PLAN Podstawowe pojęcia techniczne charakteryzujące dostęp do Internetu prędkość podłączenia opóźnienia straty Umowa SLA inne parametry dostępność

1. W protokole http w ogólnym przypadku elementy odpowiedzi mają: a) Postać tekstu b) Postać HTML c) Zarówno a i b 2. W usłudze DNS odpowiedź

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Rok akademicki: 2012/2013 Kod: IIN SK-n Punkty ECTS: 4. Kierunek: Informatyka Specjalność: Systemy komputerowe

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski ltomasze@elka.pw.edu.pl

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Sygnalizacja Kontrola bramy Media

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Transkrypt:

Ewelina HRYSZKIEWICZ Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa email:ewelina.hryszkiewicz@interia.pl Konferencja naukowo-techniczna Dzisiejsze spojrzenie na spuściznę Nikoli Tesli, Warszawa, Muzeum Techniki, 21-22 listopada 2007 r. KONCEPCJA APLIKACJI VoIP WYKORZYSTUJĄCEJ MECHANIZMY IPSec W ostatnich latach widoczny jest gwałtowny rozwój techniki VoIP (Voice over IP). Główną jej zaletą jest wysoka efektywność oraz relatywnie niska cena. Jednocześnie jej wadą jest brak gwarancji jakości oraz poufności i bezpieczeństwa rozmów, co może prowadzić do niekontrolowanych i niepożądanych podsłuchów. Dzieje się tak, ponieważ współczesne sieci pakietowe nie mają wbudowanych zabezpieczeń przed podsłuchem, dlatego zaistniała konieczność zaprojektowania mechanizmu, który by zapewnił poufność usług telefonicznych. Artykuł przedstawia propozycję takiego mechanizmu, który zapewniłby przenoszenie usługi VoIP w warunkach ograniczonej prywatności. 1. Charakterystyka telefonii VoIP Działanie aplikacji VoIP oparte jest na czterech grupach protokołów, odpowiadających za Sygnalizację (H.323, SIP, H.248). Kodowanie mowy (np. G.711, G.723). Transport danych (RTP, UDP, TCP). Listę uzupełniają je dodatkowo takie protokoły jak: SDP, RTSP, RSVP. [1] Działanie VoIP polega na przetworzeniu sygnału analogowego na postać cyfrową, poddaniu przetworzonego dźwięku kompresji i następnie zakodowaniu tak, aby zapewniona była poufność przesyłanych informacji. Otrzymane dane dzielone są na pakiety i wysłane protokołem sieciowym. Po stronie odbiorcy procedura jest powtarzana w odwrotnej kolejności, aby odbiorca mógł usłyszeć nasz przekaz. Opłaty za rozmowy telefoniczne są na ogół znacznie niższe niż w telefonii tradycyjnej. Opóźnienia pakietów mowy muszą być niewielkie, zalecenie ITU-T Y.1541 określa graniczne wartości parametrów QoS (tabela 1.1.) [2, 3]. Opóźnienie pakietu [ms] Tabela 1.1. Parametry transmisji mowy pakietowej Wariancja opóźnienia Współczynnik pakietów pakietu utraconych do nadanych [ms] [-] Pakietowa stopa błędów [-] Klasa 0 100 50 1*10-3 1*10-4 Klasa 1 400 50 1*10-3 1*10-4 Na opóźnienie pakietu ma wpływ wiele czynników między innymi: proces konwersji sygnałów, czas kompresji zakodowanej mowy, czas pakietyzacji oraz buforowanie pakietów w nadajniku i odbiorniku, opóźnienie transmisji, depakietyzacja, dekompresja i konwersja mowy do postaci analogowej w odbiorniku (Rys. 1.1.).

Rys. 1.1. Elementy składowe opóźnienia transmisji w sieci IP Równie istotnym parametrem jest jitter pakietów. Jest on związany z możliwością przesyłania pakietów różnymi drogami i różnym czasem przetwarzania pakietów w sieci IP. W takim przypadku pakiety docierają do celu z różnym opóźnieniem a nawet w różnej kolejności. 2. Charakterystyka wykorzystywanej aplikacji PC_Phone Właściwość oprogramowania open source sprawia, że każdy użytkownik może dokonać zmian w kodzie programu według własnych potrzeb. Jest to dużą zaletą tego typu programów. Aplikacja PC-Phone jest przystosowana do pracy zarówno w sieci IPv4 jak i IPv6.Ma konstrukcję modułową. Elementem zarządzającym całością aplikacji jest centrala PC-Phone, której zadaniem jest zarządzanie przepływem informacji pomiędzy modułami programowymi i siecią IP. Przepływ informacji odbywa się za pomocą interfejsów gniazdowych. W aplikacji dostępna jest również brama telefoniczna, która umożliwia realizację połączeń z użyciem tradycyjnej sieci ISDN.. Aplikacja wykorzystuje szereg portów, które umożliwiają: połączenie z interfejsem użytkownika; komunikacje z bramą; połączenie z usługą książki telefonicznej; wymianę danych z wybraną centrala partnera. W usłudze książki telefonicznej rejestrują się użytkownicy aplikacji. Dodatkowo występują trzy foldery z kodami źródłowymi wykorzystywanych w aplikacji kodeków, które są dołączane do programu na etapie linkowania (Rys. 2.1.) [3]. Rys. 2.1. Schemat komunikacji między modułami w aplikacji PC-Phone W celu zestawienia połączenia telefonicznego użytkownik wykorzystuje interfejs graficzny PC_Phone. Interfejs umożliwia użytkownikowi zarejestrowanie w książce adresowej (Rys. 2.2).

Rys. 2.2. Interfejs graficzny użytkownika Moduły programowe zaimplementowano w języku programowania C zaś interfejs graficzny w języku Tcl/Tk (język do programowania interfejsów graficznych). 3. Dodanie modułu szyfrującego IPSec do aplikacji PC_Phone Sieci TCP/IP mają wiele problemów z bezpieczeństwem. Spowodowane jest to tym, że protokoły TCP/IP były projektowane z myślą o pracy w środowisku zaufanym. Zakładano także fizyczne bezpieczeństwo połączeń. Dzisiaj sieci TCP/IP używane są w zupełnie innych warunkach i dlatego podatne są na wiele typów ataków. Najczęściej spotykane to podsłuchiwanie (ang. packet sniffing), fałszowanie adresów IP (ang. IP spoofing) oraz przejmowanie połączenia (ang. connection hijacking). Właśnie dlatego IETF (ang. The Internet Engineering Task Force) stworzyło standard IPSec (ang. Internet Protocol Security).. W wersji IPv6 protokół IPSec traktowany jest jako integralna część protokołu IP. IPSec oferuje usługi: poufność (ang. confidentiality) szyfrowanie danych uniemożliwia ich podglądanie przez osoby trzecie, integralność (ang. integrity) gwarancja, że dane nie zostały zmodyfikowane podczas transmisji, uwierzytelnianie (ang. authenticity) kryptograficzne podpisanie danych zapewnia, że pochodzą one od nadawcy, ochrona przed odtwarzaniem (ang. reply protection) przechwycony pakiet, który zostanie wysłany ponownie nie zostanie zaakceptowany, kontrola dostępu (ang. access control) odmowa wynegocjowania parametrów bezpieczeństwa uniemożliwia nawiązanie połączenia. IPSec oferuje możliwość wykorzystania jednego z dwóch trybów pracy: transportowego i tunelowego (Rys. 3.1.) [4-7]:

Rys. 3.1. Tryb transportowy i tunelowy IPSec. Tryb transportowy jest typowy dla połączeń pomiędzy dwoma hostami końcowymi. W tym trybie zabezpieczeniu podlega segment danych pakietu IP, natomiast nagłówek IP pozostaje nie zmieniony. (Rys. 3.2.). Rys. 3.2. Tryb transportowy IPSec Tryb tunelowy SA wykorzystywany jest dla zabezpieczeń transmisji pomiędzy dwoma tzw. security gateways (routery, serwery dostępowe, firewall-e) lub pomiędzy hostem i security gateway. Zabezpieczeniu podlega w tym trybie cały pierwotny pakiet IP, stając się segmentem danych nowego pakietu IP wyposażanego w nowy nagłówek IP oraz znajdujący się pomiędzy nim i segmentem danych nagłówek IPSec. Tym sposobem także nagłówek, a nie tylko segment danych podlega ochronie IPSec. (Rys. 3.3). Rys. 3.3. Tryb tunelowy IPSec Doimplementowanie IPSec w aplikacji VoIP nastąpi w momencie wysyłania pakietów. Algorytm działania aplikacji typu VoIP z wbudowanym mechanizmem bezpieczeństwa został przedstawiony poniżej (Rys. 3.4)

Rys. 3.4. Przetwarzanie strumienia danych telefonicznych w aplikacji VoIP Bezpieczne połączenie (ang. Security Association - SA) określane jest też bezpiecznym tunelem lub skojarzeniem zabezpieczeń. SPI jest zawarty w nagłówku każdego przesyłanego pakietu. SA jest jednokierunkowe, więc typowa dwukierunkowa komunikacja wymaga dwóch bezpiecznych połączeń. Skojarzenia zabezpieczeń mogą być ustanawiane pomiędzy dwoma hostami, hostem i bramką lub dwoma bramkami. Wszystkie aktywne SA są przechowywane w bazie skojarzeń (ang. Security Association Database - SAD). Bezpośrednio z bazą SAD powiązana jest baza polityki bezpieczeństwa (ang. Security Policy Database - SPD). Baza SPD pozwala realizować określoną politykę bezpieczeństwa. SPD, podobnie jak SAD, dzieli ruch na przychodzący i wychodzący. Zabezpieczenia zawarte w SPD wskazują na skojarzenia SA umieszczone w bazie SAD. Przykładowe ustawienie asocjacji bezpieczeństwa, SA: # Definicja polityki bezpieczeństwa: add 3ffe:1::1 3ffe:1::2 esp 0x301 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831; add 3ffe:1::2 3ffe:1::1 esp 0x201 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831; # Polityka bezpieczeństwa spdadd 3ffe::/64 3ffe:2::/64 any -P in ipsec esp/tunnel/3ffe:1::1-3ffe:1::2/require; spdadd 3ffe:2::/64 3ffe::/64 any -P out ipsec esp/tunnel/3ffe:1::2-3ffe:1::1/require; Implementacja mechanizmów bezpieczeństwa IPSec realizowana będzie z wykorzystaniem aplikacji PC-Phone. W wykorzystywanej aplikacji mechanizmy bezpieczeństwa będą dostępne z poziomu gniazd programowych PF_KEY.Aplikacja zostanie zaimplementowana na platformie systemu operacyjnego Linuks. W tym celu wykorzystane zostaną dwa komputery z zainstalowaną aplikacją PC-Phone. (Rys. 3.5.). Komputer 1 3ffe:1::1 Komputer 2 3ffe:1::2 PC-Phone PC-Phone Rys. 3.5. Stanowisko laboratoryjne do badania mechanizmu bezpieczeństwa aplikacji VoIP 4. Podsumowanie i dalsze kierunki prac Proponowana przeze mnie koncepcja aplikacji VoIP wykorzystującej IPSec umożliwia bezpieczne połączenie telefoniczne. Dzięki temu efektywnie maksymalizowana jest poufność w trakcie przeprowadzanych rozmów.

Bibliografia [1] CHIP 04/2006 [2] A.Metkowska: Mechanizm wspierania jakości usługi VoIP w warunkach przeciążeń sieci Ipv6, Koszalin 2007 [3] A.Metkowska: Aplikacja VoIP dla sieci IP z przeciążeniami, SECON 2006 [4] R.Bryś, J.Jarmakiewicz: Koncepcja oraz realizacja środowiska eksperymentalnego do badania wzajemnego wpływu mechanizmów bezpieczeństwa IPSec i procedur gwarantowania jakości usług, Raport badawczy GRANT nr 0 T00A 16 25, ITK WAT, WIŁ 2005 [5] U.Ostrowska: Efektywny bezpieczny mechanizm realizacji usług transmisji mowy i danych dla mobilnych wąskopasmowych sieci IPv6; Koszalin 2007 [6] http://www.wykladowcy.wspa.edu.pl. [7] http://grise.top100.net.pl/net/bezpieczenstwo/r2b.htm

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres