TiTD Wykład 12 VoIP SSL i Kerberos
VoIP (ang. Voice over IP) - telefonia internetowa W odróżnieniu od tradycyjnej telefonii (PSTN) technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych lub dedykowanych sieci wykorzystujących protokół IP
Ewolucja branży telekomunikacyjnej w 1995 r. - firma VocalTec - pierwszy program umożliwiający prowadzenie rozmów telefonicznych między dwoma komputerami podłączonymi do sieci Internet Od roku 1996 można już było też korzystać z pierwszych urządzeń umożliwiających podłączenie do Internetu zwykłego aparatu telefonicznego (tzw. bramek VoIP). kolejne oferty różnych zastosowań telefonii internetowej - w roku 2000 dialpad.com (pierwszy komunikator umożliwiający wykonywanie połączeń bez odrębnego programu, lecz w oparciu o aplet Javy umieszczony na stronie www), w 2002 Vonage (oferujący duże tańsze rozmowy w ramach stałej opłaty abonamentowej) czy popularny komunikator Skype w roku 2004.
Warstwa transportowa ramek głosu - protokół UDP Dane techniczne Warstwa transportowa ramek głosu - protokół UDP Wywołanie abonenta: Strona wywołująca wysyła informację do serwera SIP (ang. Session Initiation Protocol) zawierającą podstawowe informacje, na jego temat. Serwer SIP sprawdza w bazie danych adres danego abonenta i na jego podstawie wysyła wiadomość inicjującą wywołanie. Rejestrator SIP (tzw. registrar) jest specjalną bazą danych, która komunikuje się z węzłami SIP specjalizującymi się w zbieraniu informacji na temat użytkowników SIP.
Do zakodowania fali akustycznej w technologii VOIP wykorzystuje się kilka algorytmów - różne zapotrzebowanie na pasmo i jakość dźwięku Mean Opinion Score (MOS) – miara jakości dźwięku Nazwa Pasmo Opóźnienie (ms) MOS G.711 64kbps bardzo małe(<10) 4.5 G.726 16-40kbps małe (~10) 4.1 G.729 8kbps średnie (~30) 4.0 G.723.1 5.3kbps duże (>40) 3.8
G.711– międzynarodowy standard modulacji sygnałów mowy w kanałach o prędkości transmisji do 64 kbit/s -modulacja impulsowo-kodowa (PCM) o częstotliwości próbkowania 8 kHz (8 bitów na próbkę). Twierdzenie Shannona - w G.711 można kodować sygnały o częstotliwości do 4kHz. Podstawowa norma dla modulacji PCM w telefonii cyfrowej - często stosowana w telefonii internetowej (VoIP). Dwie odmiany kodowania: G.711U - stosuje algorytm μ-law, używany w Ameryce Północnej i Japonii G.711A stosuje algorytm A-law, używany przez resztę świata
Podczas rozmowy VoIP: zostaje stworzona cyfrowa reprezentacja głosu kompresowana i podzielona na pakiety Taki strumień pakietów jest następnie przesyłany za pomocą sieci wraz z innymi danymi. W urządzeniu odbiorczym cały proces jest odtwarzany w odwrotnym kierunku Sieć IP może być dowolną siecią z komutacją pakietów: ATM, frame relay, Internet, sieć opartą na łączach E1 (T1) - plezjochronicznych
urządzenia niezależne od komputera - bramka VoIP i telefon VoIP Niezbędne są: specjalistyczne urządzenia specjalistyczne oprogramowanie wiele firm zajmuje się produkcją tego typu sprzętu i aplikacji VoIP programowy programy stworzone z myślą o komunikacji głosowej komunikatory internetowe - funkcjonalność poszerzona o możliwość przekazywania głosu serwery służące do obsługi połączeń VoIP i centralek PBX VoIP sprzętowy urządzenia niezależne od komputera - bramka VoIP i telefon VoIP
Bramki VoIP urządzenie telekomunikacyjne - jest odpowiedzialna za połączenie telefonicznej sieci IP do innych typów sieci - zapewnia interfejs (w czasie rzeczywistym) pomiędzy różnymi formatami transmisji ze standardową siecią telefoniczną PSTN lub ISDN. Bramka VoIP posiada co najmniej 2 złącza: port FXS - standardowy port z gniazdem RJ-11, do którego podłącza się aparat telefoniczny. port WAN do podłączenia Internetu. Najczęściej jest to gniazdo RJ-45 w standardzie Ethernet z dostępem do Internetu.
Telefony internetowe - dedykowane urządzenie podłączone bezpośrednio do sieci IP Oprogramowanie pracujące na komputerze ( soft-phone )
Serwery i routery VoIP - umożliwiają tworzenie prywatnych sieci głosowych (np. w intranecie) oraz nadzorowanie przebiegu rozmów: biling kontrola pasma, kierowanie, przyjmowanie i odrzucanie zgłoszeń autoryzacja użytkowników.
Zalety w porównaniu z telefonią tradycyjną: niezależność od monopolistów państwowych - swoboda wyboru, większa prywatność bezpłatne rozmowy wewnątrz sieci operatora niższy koszt połączeń z telefonią stacjonarną (dopiero przy połączeniach zagranicznych, ew. międzystrefowych) pełna mobilność użytkownika (problem roamingu ma mniejsze znaczenie) integracja z przyszłościowymi usługami takimi jak przesyłanie danych czy obrazu
Wady w porównaniu z telefonią tradycyjną: zawodność usług (jakość) dedykowany sprzęt i oprogramowanie posiadanie łącza internetowego koszty aparatów
Protokoły i kodeki VoIP zestaw standardów umożliwiających kompresję i dekompresję dźwięku oraz komunikację między urządzeniami i przesył pakietów.
Protokół SSL Protokół SSL (ang. Secure Sockets Layer) umożliwia bezpieczny, szyfrowany przesył informacji przez Internet - znacznie utrudnione staje się ich odczytanie W procesie szyfrowania przesyłanych danych wykorzystuje się ideę klucza publicznego
Komunikacja przeglądarki z serwerem WWW wyposażonym w obsługę SSL: bezpieczna strona WWW (https:// zamiast http://) sprawdzana jest autentyczność certyfikatu serwera - jeżeli wydawca certyfikatu jest wiarygodny dla przeglądarki, certyfikat serwera jest przyjmowany następuje szyfrowanie przesyłanych danych kluczem publicznym serwera
Przebieg połączenia SSL: Klient generuje losowo klucze, które będą używane do szyfrowania (oraz podpisywania wiadomości ) Klient przesyła klucze do serwera szyfrując je jego publicznym kluczem (uzyskanym z danych zawartych w certyfikacie). Tylko serwer może te klucze poznać bo zna swój klucz prywatny. Negocjowany jest algorytm szyfrowania oraz funkcja podpisu. Możliwych jest wiele rozwiązań - np. klient może przedstawić listę „rozumianych” przez niego algorytmów szyfrujących, zaś serwer wybierze najlepszy z nich. Rozpoczyna się wymiana informacji
Chcę dostać informacje - wymyślam klucz szyfrujący Szyfruję mój klucz kluczem publicznym odbiorcy – tylko on może zdeszyfrować tę przesyłkę Wysyłam tę paczkę do odbiorcy On to deszyfruje swoim prywatnym kluczem – poznaje mój klucz i wszystko to, co do mnie wysyła szyfruje moim kluczem Ja nie mam kłopotu z odszyfrowaniem czegoś co jest zaszyfrowane moim kluczem
Czyli podsumowując: Klient przesyłając dane do serwera szyfruje publicznym kluczem serwera, poznanym z certyfikatu – serwer deszyfruje je swoim kluczem prywatnym Serwer przesyłając do klienta informacje szyfruje je kluczem klienta (jego kluczem publicznym lub jednorazowym kluczem wygenerowanym na potrzeby transmisji) – klient deszyfruje to swoim kluczem prywatnym
System Kerberos transmisja danych z udziałem "trzeciej strony" Kerberos to system uwierzytelniania i przesyłania kluczy opracowany w MIT (Massachusetts Institute of Technology) w 1978 r. z mitologii greckiej - trójgłowy pies, który strzegł bram podziemnego państwa umarłych, Hadesu Istnieje wiele komercyjnych i bezpłatnych implementacji protokołu Kerberos
Sposób wymiany informacji między klientem a serwerami w tym systemie odbywa się w trzech obszarach: między klientem a serwerem uwierzytelniającym, między klientem a serwerem przyznającym tzw. „bilety”, między klientem a serwerem aplikacji
Użytkownik okazuje bilet, który został mu przyznany przez serwer uwierzytelniający AS (ang. Authentication Server). Następnie usługa sprawdza bilet, aby zweryfikować tożsamość użytkownika Jeżeli tożsamość zostanie w pełni potwierdzona, użytkownik będzie mógł skorzystać z usługi
Dokładniejsze działanie protokołu Kerberos: Użytkownik i usługa mają klucze zarejestrowane na serwerze uwierzytelniającym (AS – authentication serwer), klucz użytkownika jest tworzony na podstawie hasła, które on sam wybiera, klucz usługi jest wybierany losowo i przechowywany w dobrze zabezpieczonym pliku Użytkownik X przesyła do serwera AS wiadomość o potrzebie uzyskania dostępu do serwera Y W odpowiedzi serwer uwierzytelniający tworzy dwie kopie nowego klucza (tzw. klucz sesji) Serwer AS umieszcza jedną kopię klucza sesji w zamykanym za pomocą klucza użytkownika „pudełku”. Serwer AS umieszcza w drugim „pudełku” drugi klucz sesji z zapisem, że dotyczy on użytkownika X. „Pudełko” to nazywane jest biletem – „zamykane” jest kluczem usługi, do której użytkownik chce uzyskać dostęp Oba „pudełka” przesyłane są użytkownikowi.
Użytkownik otwiera pierwsze „pudełko” za pomocą swojego klucza, uzyskując w ten sposób klucz sesji, a dzięki zawartej w nim informacji wie, że dotyczy on serwera Y. Informację z aktualnym czasem użytkownik umieszcza w trzecim „pudełku” (zwane autentykatorem) i zamyka kluczem sesji, Pudełka drugie i trzecie wysyła do usługi Za pomocą swojego własnego klucza usługa otwiera drugie „pudełko” (bilet) uzyskując klucz sesji z wiadomością, że dotyczy on użytkownika X Usługa za pomocą klucza sesji otwiera trzecie „pudełko” (autentykator) i uzyskuje informację o czasie zapisaną tam przez użytkownika (po to, aby uniemożliwić ewentualnemu atakującemu skopiowanie drugiego „pudełka” i użycia go podając się za użytkownika X).
Ponieważ zegary nie zawsze są idealnie zsynchronizowane, dopuszczalna jest niezgodność czasowa, zwykle do pięciu minut, pomiędzy znacznikiem czasu i czasem aktualnym. Usługa przechowuje też listę ostatnio wysłanych autentykatorów, aby uniknąć ich ponownego użycia. Często autentykator zawiera informacje dodatkowe, np. suma kontrolna, lub klucz szyfrujący dla zapewnienia prywatności przyszłej komunikacji między użytkownikiem i usługą. Gdy użytkownik chce, może zażądać od usługi potwierdzenia jej tożsamości. Wówczas pobrany znacznik czasu usługa umieszcza w kolejnym (czwartym) „pudełku” z informacją, że dotyczy on serwera Y, zamyka je kluczem sesji i przesyła użytkownikowi. Zaleta: bilety ważne przez stosunkowo krótki czas, zwykle kilka godzin. Po tym czasie nie mogą być przez nikogo wykorzystane, nawet danego użytkownika.
Klucz sesji Klucz sesji+ Informacja Auth. Server Klucz użytkownika Identyfikator użytkownika Klucz usługi Użytkownik Informacja Czas transfer Usługa identyfikator użytkownika BILET AUTENTYKATOR