SlideShare une entreprise Scribd logo
1  sur  90
Télécharger pour lire hors ligne
REPUBLIQUE DU SENEGAL
Un Peuple – Un But – Une Foi
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR, DE LA RECHERCHE ET DE L’INNOVATION
INSTITUT COMMUNAUTAIRE AFRICAIN DE GESTION ET D’INGENIERIE
ICAGI -Amadou Mahtar MBOW
Agrément N°197/MERS/DGES/DESP du 22 avril 2014
Habilitation N°RepSEN/Ensup-priv/HA/043 - 2018
DEPARTEMENT D’INFORMATIQUE
Mémoire de Fin d’étude pour l’obtention du diplôme de
Master en Systèmes et Technologies de l’Information
Option : « Sécurité et Réseaux Informatiques »
Sujet
Promotion 2019-2020
Présenté par : Sous la direction de :
Olivier Gossene
MAWOURKA
Alain AMEDOHA
RD manager à IPCOM-Technology,
Consultant/Formateur, Certifié Linux
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA I
Dédicace
À MES CHERS PARENTS
Aucune dédicace ne saurait exprimer mon respect, mon
amour éternel et ma considération pour les sacrifices que vous avez
consenti pour mon instruction et mon bien être.
Je vous remercie pour tout le soutien et l’amour que vous me
portez depuis mon enfance et j’espère que votre bénédiction
m’accompagne toujours.
Que ce modeste travail soit l’exaucement de vos vœux tant
formulés, le fruit de vos innombrables sacrifices, bien que je ne vous
en acquitterais jamais assez.
Puisse Dieu, le Très Haut, vous accorder santé, bonheur et
longue vie et faire en sorte que jamais je ne vous déçoive.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA II
Remerciements
Au terme de ce projet de fin d’études, j’adresse mes sincères remerciements à Monsieur Alain
AMEDOHA, mon encadreur de ICAGI, pour m’avoir proposé ce projet et pour son
encadrement et aussi pour sa patience, sa disponibilité et surtout ses judicieux conseils, qui ont
contribué à alimenter ma réflexion.
Je tiens à remercier également Monsieur Ousmane BA, DG de Danewell Solutions et Mr
Melchior MOROUBA Ingénieur à Danewell solutions, pour votre suivi et vos remarques qui
m’ont permis de mener à bien ce travail.
Mes remerciements s’adressent également à l’administration très particulièrement à Monsieur
Abdon Privat PAMBOU DG de ICAGI et aux professeurs de ICAGI pour les moyens qu’ils
ont mis à notre disposition afin d’élaborer ce travail.
Je souhaite exprimer enfin ma gratitude et mes vifs remerciements à ma famille et mes amis
pour leurs soutiens très particulièrement mon père Monsieur Jean Marie MAWOURKA et ma
Mère Marie Brigitte NGOMBE qui ont accepté de financer mes études.
Pour finir, je remercie les membres du jury qui ont accepté d’évaluer mon projet. Je leurs
présentons toute mes gratitudes et mes profonds respects.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA III
Table des matières
Dédicace......................................................................................................................................I
Remerciements .......................................................................................................................... II
Table des matières.................................................................................................................... III
Liste des Tableaux et Figures...................................................................................................VI
INTRODUCTION GENERALE................................................................................................ 1
CHAPITRE 1 : ETUDE GENERALE DE LA VOIP................................................................ 3
1. Introduction ..................................................................................................................... 3
I.1. Présentation de la VOIP........................................................................................... 4
I.1.1. Définition ............................................................................................................. 4
I.1.2. La VOIP – ToIP ................................................................................................... 4
I.1.3. Architecture de la VOIP....................................................................................... 4
I.1.4. Principe de fonctionnement de la VOIP............................................................... 6
I.2. LES PROTOCOLES................................................................................................ 6
I.2.1.1. Protocoles De Transport ................................................................................... 6
I.2.1.2. Protocole RTP................................................................................................... 6
I.2.1.3. Protocole RTCP................................................................................................ 7
I.2.2. Protocoles de Communication ............................................................................. 7
I.2.2.1. Protocole H323................................................................................................. 7
I.2.2.2. IAX/IAX2......................................................................................................... 8
I.2.2.3. Protocole SIP .................................................................................................... 8
I.2.2.3.1. Description générale du protocole SIP.......................................................... 8
I.2.2.3.2. Principe de Fonctionnement de SIP.............................................................. 9
I.2.2.3.3. Fixation d’un compte SIP ............................................................................. 9
I.2.2.3.4. Changement des caractéristiques durant une session.................................... 9
I.2.2.3.5. Gestion des participants .............................................................................. 10
I.2.2.3.6. Négociation des médias supportés.............................................................. 10
I.2.2.3.7. Adressage.................................................................................................... 10
I.2.2.3.8. Modèle d’échange....................................................................................... 10
I.2.2.3.9. Codes d’erreurs ........................................................................................... 11
I.2.2.3.10. Rôle des composants................................................................................... 12
I.3. Avantages et inconvénients.................................................................................... 13
Inconvénients ................................................................................................................... 13
I.3.1. Avantages et Inconvénients VOIP ..................................................................... 14
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA IV
I.4. Conclusion ............................................................................................................. 15
Chapitre 2 : ATTAQUES CONTRE LA VOIP ET LES BONNES PRATIQUES DE
SECURISATION..................................................................................................................... 16
I. Introduction ............................................................................................................... 16
I.1. ATTAQUES SUR LE RESAU INFORMATIQUE .............................................. 16
I.1.1. Les attaques DDoS ou attaques par déni de service........................................... 17
I.1.2. Les Man-in-the-Middle attaques ou MitM......................................................... 17
I.1.3. Le drive-by download ou téléchargement furtif................................................. 17
I.1.4. Les attaques par mot de passe ............................................................................ 18
I.1.5. Injection SQL ..................................................................................................... 18
I.1.6. Les logiciels malveillants ou malwares.............................................................. 18
I.1.7. Le cryptojacking................................................................................................. 19
I.1.8. Les intrusions sur les objets connectés............................................................... 19
I.1.9. Les attaques géopolitiques ................................................................................. 19
I.1.10. Les cross-site scripting (XSS) ........................................................................ 19
I.1.11. Les attaques de phishing................................................................................. 20
I.1.12. Les attaques cyber-physiques ......................................................................... 20
I.2. ATTAQUES SUR LES PROTOCOLES VOIP .................................................... 20
I.2.1. Suivie d'appel ..................................................................................................... 21
I.2.2. Injection de paquet RTP..................................................................................... 21
I.3. Les Spams .............................................................................................................. 22
I.4. Détournement d’appel (Call Hijacking)................................................................. 22
I.4.1. L’écoute clandestine........................................................................................... 22
I.5. LES VULNERABILITEES DE L’INFRACSTRUTURE..................................... 23
I.5.1. Faiblesses dans la configuration des dispositifs de la VOIP.............................. 23
I.5.2. Les téléphones IP ............................................................................................... 23
I.5.3. Les serveurs........................................................................................................ 24
I.5.4. Les vulnérabilités du System d’exploitation ...................................................... 25
II. SECURISATION ET BONNE PRATIQUES....................................................... 25
II.1. Sécurisation protocolaire.................................................................................... 25
II.2. VOIP VPN.......................................................................................................... 26
II.3. Secure RTP ou SRTP ......................................................................................... 26
II.4. Sécurisation de l’application .............................................................................. 29
II.5. Sécurisation du System d’exploitation............................................................... 29
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA V
II.6. Ajouts et recommandations de sécurité.............................................................. 31
III. Conclusion ............................................................................................................. 32
CHAPITRE 3 : CHOIX, INSTALLATION ET CONFIGURATION..................................... 34
I. INTRODUCTION..................................................................................................... 34
II. CHOIX................................................................................................................... 34
1. Choix de la technologie de Virtualisation.............................................................. 34
2. Tableau comparatif des acteurs du marché de la virtualisation coté serveur......... 35
3. En quoi VMware Esxi est-elle la meilleure technologie de virtualisation ?.......... 37
4. Choix de l’IPBX .................................................................................................... 37
5. Tableau comparatif des solutions ipbx open source du marché............................. 38
6. Installation et configuration de VMware Esxi .............................................................. 39
7. Les étapes d’installation de VMware Esxi............................................................. 39
III. Installation et Configuration de Issabel PBX......................................................... 42
1. Les étapes d’installation de Issabel........................................................................ 42
2. Configuration de Issabel PBX ............................................................................... 45
3. Création des extensions.......................................................................................... 45
4. Création des utilisateurs......................................................................................... 48
5. Configuration Follow Me - Redirection d’appels.................................................. 49
6. Configuration Ring Groups - Groupement d’appels.............................................. 50
7. Configuration du client Zoiper............................................................................... 51
8. C’est quoi Wireshark ?........................................................................................... 53
9. Ecoute clandestine avec Wireshark........................................................................ 54
CHAPITRE 4 : SECURISATION DE LA SOLUTION MISE EN PLACE (ISSABEL_PBX)
.................................................................................................................................................. 58
I. INTRODUCTION..................................................................................................... 58
II. Sécurisation du Serveur ......................................................................................... 58
II.1. Installation et configuration du pare-feu................................................................... 58
II.1.1. Configuration du pare-feu ..................................................................................... 58
II.2. Configuration de Fail2ban........................................................................................ 61
II.2.1. Définition de fail2ban............................................................................................ 61
II.2.2. Configuration de Fail2ban..................................................................................... 61
II.3. Configuration du TLS et du SRTP ........................................................................... 63
II.3.1. Configuration du TLS............................................................................................ 63
III. Installation Configuration de la haute Disponibilité.............................................. 65
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA VI
III.1. Définition ........................................................................................................... 65
III.2. Installation de la Haute Disponibilité................................................................. 66
IV. Conclusion ............................................................................................................. 71
Conclusion Générale ................................................................................................................ 72
Webographie ............................................................................................................................ 73
ACRONYMES......................................................................................................................... 74
ANNEXES ............................................................................................................................... 76
Annexe1 Les étapes d’installation de Vmware Esxi........................................................ 76
Annexe2 Les étapes d’installation de Issabel................................................................... 79
Liste des Tableaux et Figures
Liste des tableaux
Tableau 1 : Avantages et inconvénients du protocole sip ........................................................ 13
Tableau 2 : Avantages et inconvénients de la VOIP................................................................ 14
Tableau 3 : comparatif des technologies de virtualisation ....................................................... 36
Tableau 4 : Comparatif des solutions ipbx open source........................................................... 38
Liste des figures
Figure 1: Architecture générale de la voip................................................................................. 5
Figure 2 : Principe du protocole RTP......................................................................................... 7
Figure 3 : Example d'une session sip (Source 3cx).................................................................. 11
Figure 4 : Enregistrement d’un utilisateur................................................................................ 12
Figure 5 : Principe du protocole SIP ........................................................................................ 13
Figure 6 : Architecture du SRTP (source 3cx)......................................................................... 27
Figure 7 : Format d’un paquet SRTP ....................................................................................... 28
Figure 8 : Démarrage de l’installation de Vmware Esxi.......................................................... 40
Figure 9 : Ecran d’accueil de VMware Esxi ............................................................................ 40
Figure 10 : Page d’accueil de la console d’administration Web de VMware Esxi.................. 41
Figure 11 : Ecran principale d’administration web de VMware Esxi...................................... 41
Figure 12 : Sélection du type de création de machine virtuelle ............................................... 42
Figure 13 : Sélection du nom et du type de l’OS ..................................................................... 42
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA VII
Figure 14 : Personnalisation des paramètres de la machine virtuelle....................................... 43
Figure 15 : Accueil de l’installation de Issabel........................................................................ 43
Figure 16 : Interface Issabel..................................................................................................... 44
Figure 17 : Interface web d’administration de Issabel ............................................................. 45
Figure 18 : Tableau de bord de Issabel..................................................................................... 45
Figure 19 : Configuration de PBX ........................................................................................... 46
Figure 20 : Ajout d’une extension sip ...................................................................................... 46
Figure 21 : Création d’une extension sip ................................................................................. 47
Figure 22 : Création du mot de passe....................................................................................... 47
Figure 23 : Liste des extensions ............................................................................................... 48
Figure 24 : Création des utilisateurs......................................................................................... 48
Figure 25 : Tableau de bord de la création des utilisateurs...................................................... 48
Figure 26 : Création d’un utilisateur ........................................................................................ 49
Figure 27 : Liste des utilisateurs .............................................................................................. 49
Figure 28 : Configuration de Follow me.................................................................................. 50
Figure 29 : Configuration de Ring Group ................................................................................ 51
Figure 30 : Configuration des comptes sip sur zoiper (smartphone et pc)............................... 51
Figure 31 : Vérification du protocole sip udp par zoiper ......................................................... 52
Figure 32 : Lancement d’un appel sur zoiper........................................................................... 53
Figure 33 : Choix de l’interface à capturer par wireshark........................................................ 54
Figure 34 : Capture des paquets par wireshark ........................................................................ 54
Figure 35 : Application de filtre sip dans wireshark ................................................................ 54
Figure 36 : Lancement d’un appel par zoiper........................................................................... 55
Figure 37 : Réception d’un appel ............................................................................................. 55
Figure 38 : Application du filtre rtp dans wireshark ................................................................ 56
Figure 39 : Liste des flux rtp .................................................................................................... 56
Figure 40 : Ecoute d’une conversation avec wireshark............................................................ 57
Figure 41 : Configuration du pare-feu...................................................................................... 59
Figure 42 : Définition des ports................................................................................................ 59
Figure 43 : Activation du pare-feu ........................................................................................... 60
Figure 44 : Définition des règles du pare-feu........................................................................... 60
Figure 45 : Liste des règles du pare-feu ................................................................................... 60
Figure 46 : Blocage de certaines règles du pare-feu ................................................................ 61
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA VIII
Figure 47 : Configuration de fail2ban...................................................................................... 62
Figure 48 : Configuration de la prison pour asterisk................................................................ 62
Figure 49 : Liste des prisons des services ................................................................................ 63
Figure 50 : Script de génération des certificats........................................................................ 64
Figure 51 : Liste des clés générer............................................................................................. 64
Figure 52 : Configuration du fichier pjsip.conf........................................................................ 65
Figure 53 : Configuration du tls sur l’interface Web ............................................................... 65
Figure 54 : Ping du node1 vers node2..................................................................................... 66
Figure 55 : Ping du node2 vers node1..................................................................................... 67
Figure 56 : Installation du pacemaker ..................................................................................... 67
Figure 57 : Démarrage des services corosync et pacemaker.................................................... 68
Figure 58 : Installation du paquet pcs ...................................................................................... 68
Figure 59 : Authentification sur les nœuds .............................................................................. 68
Figure 60 : Lancement de la configuration du claster.............................................................. 69
Figure 61 : Démarrage du cluster............................................................................................. 69
Figure 62 : Vérification de la status du cluster......................................................................... 70
Figure 63 : Vérification de la status des nœuds corosync........................................................ 70
Figure 64 : Configuration du VIP (Virtuelle IP)...................................................................... 70
Figure 65 : Prise en charge du VIP .......................................................................................... 71
Figure 66 : Démarrage de l’installation de Vmware Esxi........................................................ 76
Figure 67 : Bienvenu sur le programme d’installation de Esxi 6.7.0....................................... 76
Figure 68 : Contrat de licence de VMware Esxi ...................................................................... 77
Figure 69 : Choix du media d’installation................................................................................ 77
Figure 70 : Choix de la langue du clavier ................................................................................ 78
Figure 71 : Définition du mot de passe administrateur de VMware Esxi................................ 78
Figure 72 : Confirmation de l’installation................................................................................ 78
Figure 73 : Progression de l’installation .................................................................................. 78
Figure 74 : Installation complète de VMware et redémarrage................................................. 79
Figure 75 : Accueil de l’installation de Issabel........................................................................ 79
Figure 76 : Choix de la langue d’installation ........................................................................... 80
Figure 77 : Résumé de l’installation Issabel ............................................................................ 80
Figure 78 : Configuration du mot de passe administrateur ...................................................... 81
Figure 79 : Configuration du mot de passe de la base des données......................................... 81
INTRODUCTION GENERALE
Il y a quelques années, la transmission de la voix sur le réseau téléphonique classique ou RTC
constituait l’exclusivité des télécommunications.
Aujourd’hui, la donne a changé. La transmission de la voix via les réseaux IP constitue une
nouvelle évolution majeure comparable à la précédente. Au-delà de la nouveauté technique, la
possibilité de fusion des réseaux IP et téléphoniques entraîne non seulement une diminution de
la logistique nécessaire à la gestion de deux réseaux, mais aussi une baisse importante des coûts
de communication ainsi que la possibilité de mise en place de nouveaux services utilisant
simultanément la voix et les données. Plus, récemment, Internet s'est étendu partiellement dans
l'Intranet de chaque organisation, voyant ainsi le trafic total basé sur un transport réseau de
paquets IP surpasser le trafic traditionnel du réseau voix (réseau à commutation de circuits).
Plusieurs fournisseurs offrent certaines solutions qui permettent aux entreprises de migrer vers
le monde IP. Des constructeurs de PABX tels que Nortel, Siemens, et Alcatel préfèrent la
solution de l’intégration progressive de la VoIP en ajoutant des cartes extensions IP. Cette
approche facilite l’adoption du téléphone IP surtout dans les grandes sociétés possédant une
plateforme classique et voulant bénéficier de la voix sur IP. Mais elle ne permet pas de
bénéficier de tous les services et la bonne intégration vers le monde des données.
Le développement des IPBX software, est la solution proposée par des fournisseurs tels que
Cisco et Asterisk, permet de bénéficier d’une grande flexibilité, d’une très bonne intégration au
monde des données et de voix, et surtout d’un prix beaucoup plus intéressant.
Cette solution, qui est totalement basée sur la technologie IP, est donc affectée par les
vulnérabilités qui menacent la sécurité de ce protocole et l’infrastructure réseau sur laquelle elle
est déployée. Cette dernière est un grand problème pour les entreprises et un grand défi pour
les développeurs. Certaines attaques sur les réseaux VoIP, comme les attaques de déni de
service, et les vols d’identité, peuvent causer des pertes catastrophiques et énormes pour les
entreprises.
Pour cela la sécurité du réseau VoIP n’est pas seulement une nécessité mais plutôt une
obligation, avec laquelle on peut réduire, au maximum, le risque d’attaques sur les réseaux
VoIP.
La sécurité d’une solution de VoIP doit couvrir toute l’infrastructure réseau, incluant les outils
et les équipements de gestion des communications et des utilisateurs, le système d’exploitation
sur lesquels sont installés ces outils, et les protocoles de signalisation et de transport de données.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 2
Il faut même se protéger contre les personnes malveillantes. Mieux on sécurise, moins il y a de
risques.
Ce travail a pour objectif : l’étude des protocoles de VoIP et des architectures proposées ;
l’étude des vulnérabilités et des attaques de sécurités surs les divers composants d’une
infrastructure VoIP dans des réseaux LAN ; et la mise en place d’une solution de VoIP
sécurisée.
Les entreprises, bénéficiant de notre solution, seront capables de mettre en place une plateforme
de VoIP assez flexible, peu couteux, et protégée contre les attaques de sécurité de l’intérieur du
réseau comme de l’extérieur aussi.
Ce mémoire se compose de deux parties et chaque partie est composées deux chapitres.
Dans la première partie, le premier chapitre introduit la voix sur IP et ces éléments, décrit et
explique son architecture et ces protocoles, et énumère les majeurs points forts de cette
technologie ainsi que ses faiblesses.
Le deuxième chapitre s’intéresse aux Attaques contre la VOIP et les bonnes pratiques de
sécurisation. Il détaille les différents types de vulnérabilités de sécurité partagées en trois classes
: vulnérabilités liées aux protocoles, vulnérabilités liées aux infrastructures, et vulnérabilités
liées aux systèmes. Les bonnes pratiques et solutions de sécurités à mettre en places pour
remédier à ces vulnérabilités, sont aussi définies.
Dans la deuxième partie, le premier chapitre, s’intéresse au Choix, Installation et Configuration.
Décrit quelques solutions IPBX, l’installation, Configuration et la création des machines
virtuelles puis l’installation et configuration des serveurs IPBX et des clients.
Le deuxième chapitre s’intéresse à la sécurisation de la solution mise en place. Une
implémentation des différentes solutions et mesures nécessaires à sécurisation du serveur et des
clients.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 3
CHAPITRE 1 : ETUDE GENERALE DE LA VOIP
1. Introduction
Le RTCP (Réseau Téléphonique Commuté Publique) ou PSTN (Public Switched telephone
Network) ou couramment appelé RTC constitue un des plus grands réseaux au monde avec
plusieurs centaines de millions d’abonnés. Essentiellement analogique au départ, le réseau s'est
progressivement numérisé mis à part la ligne d'abonné qui reste encore analogique. Il donne
accès à de multiples fonctions, le RTC nous permet d'utiliser de multiples services tel que la
transmission et réception de fax, l'utilisation d'un minitel, accéder à Internet etc. On peut
considérer que le RTC est constitué d'un réseau local (boucle locale) est d'un réseau dorsal
(backbone).
Un réseau téléphonique est constitué d’un ensemble des organes nécessaires pour mettre en
communication deux installations téléphoniques d'abonnés utilisant les renseignements fournis
par l'abonné demandeur (numérotation) et de maintenir celle-ci pendant toute la durée de
conversation avec une qualité d’écoute satisfaisante, tout en supervisant cette communication
pour détecter toute coupure ou raccrochage afin de libérer les organes qui ont servi à la
réalisation de la liaison et en fin, de faire une taxation.
Suite à l’explosion de la bande passante sur les réseaux IP et à l’avènement du haut débit chez
les particuliers et dans les entreprises, de nouvelles techniques de communications sont
apparues ces dernières années. L’une les plus en vogue, est ce que l’on appelle « Voix sur IP ou
VOIP». La migration des entreprises vers ce genre de technologie n’est pas pour rien. Le but
est principalement de : minimiser le coût des communications ; utiliser le même réseau pour
offrir des services de données, de voix, et d’images ; et simplifier les coûts de configuration et
d’assistance.
Il devenait clair que dans le sillage de cette avancée technologique, les opérateurs, entreprises
ou organisations et fournisseurs devaient pour bénéficier de l’avantage du transport unique IP,
introduire de nouveaux services voix et vidéo. Ainsi, l’une des solutions qui marque le “boom”
de la voix sur IP au sein des entreprises est la solution PABX (Private Automatic Branch
eXchange IP) qui est l’équivalent des IPBX traditionnels pour un réseau IP.
Ce vaste marché, longtemps dominé par des solutions propriétaires proposées par des
entreprises renommées (Cisco, 3Com, EADS, etc.) voit aujourd’hui, avec la maturité des
technologies “Open Source”, l’émergence d’une nouvelle génération IPBX développés en
logiciels libres, peu coûteux mais néanmoins performantes
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 4
L’objectif de ce chapitre est l’étude de cette technologie et de ses différents aspects. On parlera
en détail de l’architecture de la VoIP, ses éléments et son principe de fonctionnement. On
détaillera aussi des protocoles VoIP de transport et de signalisation ainsi que leurs principes de
fonctionnement et de leurs principaux avantages et inconvénients.
I.1.Présentation de la VOIP
I.1.1. Définition
VOIP est un acronyme qui signifie Voice Over Internet Protocol, ou en d’autres termes, la
transmission de la voix via Internet. C’est une technologie qui permet de délivrer des
communications vocales ou multimédia (vidéo par exemple) via le réseau Internet (IP).
I.1.2. La VOIP – ToIP
La ToIP (« Telephony over IP » ou « téléphonie sur IP ») et la VoIP (« Voice over IP » ou «
Voix sur IP ») sont 2 solutions professionnelles de téléphonie qui sont pas toujours bien
distinguées. Les 2 fonctionnent grâce au protocole internet IP, c’est au niveau de leur champ
d’action que les différences sont à rechercher. La VoIP exerce son action sur les transmissions
de signal vocal entre l’entreprise et le standard central de l’opérateur téléphonique. La ToIP est
quant à elle un système de téléphonie qui se limite au réseau IP local. C’est donc un simple
routeur créant la connexion entre le réseau LAN (société) et le réseau WAN (opérateur) qui
différencie ces 2 solutions de téléphonie.
I.1.3. Architecture de la VOIP
La VoIP étant une nouvelle technologie de communication, elle n'a pas encore de standard
unique. En effet, chaque constructeur apporte ses normes et ses fonctionnalités à ses solutions.
Il existe tout de même des références en la matière. Les trois principales sont H.323, SIP et
MGCP/MEGACO. Il existe donc plusieurs approches pour offrir des services de téléphonie et
de visiophonie sur des réseaux IP. Certaines placent l'intelligence dans le réseau alors que
d'autres préfèrent une approche peer to peer avec l'intelligence répartie à la périphérie. Chacune
ayant ses avantages et ses inconvénients.
De façon générale la topologie d'un réseau de téléphonie IP comprend toujours des terminaux,
un serveur de communication et une passerelle vers les autres réseaux.
Le routeur : permet d'aiguiller les données et le routage des paquets entre deux réseaux.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 5
Certains routeurs permettent de simuler un Gatekeeper grâce à l'ajout de cartes spécialisées
supportant les protocoles VoIP.
La passerelle : permet d’interfacer le réseau commuté et le réseau IP.
Le PABX : est le commutateur du réseau téléphonique classique. Il permet de faire le lien entre
la passerelle ou le routeur, et le réseau téléphonique commuté (RTC). Toutefois, si tout le réseau
devient IP, ce matériel devient obsolète.
Les Terminaux : sont généralement de type logiciel (software phone) ou matériel (hardphone),
le softphone est installé dans le PC de l'utilisateur. L'interface audio peut être un microphone et
des haut-parleurs branchés sur la carte son, même si un casque est recommandé. Pour une
meilleure clarté, un téléphone USB ou Bluetooth peut être utilisé.
Le hardphone est un téléphone IP qui utilise la technologie de la Voix sur IP pour permettre des
appels téléphoniques sur un réseau IP tel que l'Internet au lieu de l'ordinaire système PSTN. Les
appels peuvent parcourir par le réseau internet comme par un réseau privé.
Un terminal utilise des protocoles comme le SIP (Session Initiation Protocol) ou l’un des
protocoles propriétaire tel que celui utilisée par Skype.
Figure 1: Architecture générale de la voip
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 6
I.1.4. Principe de fonctionnement de la VOIP
Le principe de la VoIP est la transmission de données vocales par un réseau IP ou Internet
Protocol. La conversation téléphonique VoIP ne circule plus par les fils de cuivre du réseau
téléphonique standard analogique, elle passe par un réseau de données numériques en
empruntant les câbles Ethernet au départ et à l’arrivée. Les données transmises sont sous forme
de paquets, c’est un lot de données numériques, en clair, une série de 0 et 1 sous forme
d’impulsions électriques ou optiques. Au départ, la modulation sonore produite par la voix est
numérisée en temps réel ensuite compressé, mais elle ne circule pas en flux continu. L’écart est
très bref pour que cela ne puisse pas avoir d’impacts dans la conversation, les données
numériques sont regroupées et envoyées régulièrement dans le réseau IP en wagons
d’informations numériques successifs, ce sont les paquets. À l’arrivée, c’est l’inverse qui se
passe. Il est à noter que les paquets renferment en plus des données vocales l’adresse réseau des
2 interlocuteurs.
I.2.LES PROTOCOLES
I.2.1.1. Protocoles De Transport
Aujourd’hui, le couple RTP/RTCP, s’utilise systématiquement dans les applications
multimédias interactives, pour la téléphonie, la vidéo, les jeux vidéo et même les premiers
simulateurs de réalité virtuelle. Ces protocoles applicatifs sont chargés de transporter une
information multimédia en temps réel au travers d’un réseau IP. Cependant, ce couple de
protocole n’est pas utilisé pour la réservation des ressources réseaux, ni pour fiabiliser les
échanges, ni pour garantir les délais de transit puisque certains paquets peuvent être retardés.
I.2.1.2. Protocole RTP
Le RTP (Real Time Protocol) créé en 1996 dans la RFC 1889, rendu obsolète et standardisé par
l’IETF par la RFC 3550 en 2003. Le RTP a été conçu pour transporter des flux IP ayant de
fortes contraintes temporelles, typiquement, des flux multimédias, il permet de reconstituer les
flux IP multimédia en temps réel en agissant à deux niveaux :
 La synchronisation des flux
 La reconstitution de l’ordre des paquets
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 7
Il est important de noter que les protocoles de signalisation comme les protocoles de transport
peuvent être utilisés entre les terminaux IP et l’IPBX, mais aussi directement entre les
terminaux, si ces derniers peuvent communiquer en IP, ces solutions présentent des avantages
et inconvénients.
Figure 2 : Principe du protocole RTP
I.2.1.3. Protocole RTCP
Le RTCP (Real Time Control Protocol) lui aussi publié par l’IETF dans la RFC 3550 en 2003,
permet un contrôle des flux RTP afin de garantir leurs intégrités ainsi qu’une supervision du
réseau en agissant comme une sonde qui informe l’utilisateur de l’état du réseau en temps réel.
Les protocoles RTP et RTCP sont indépendants mais néanmoins, leur association apporte une
cohérence dans le traitement de l’information en temps réel afin d’optimiser les conditions de
transport des flux IP multimédia ainsi que la qualité de service générale.
I.2.2. Protocoles de Communication
I.2.2.1. Protocole H323
Premier protocole VoIP, issue des technologies téléphoniques, il est développé par L’UIT-T, il
est couramment considéré lourd à mettre en place et ayant comme conséquence un prix du
marché fort. Ce protocole référencé H323 s’appel en réalité « Système de communication
Multimédia Fonctionnant en mode Paquet » est apparue dans sa version 1 en 1996, il est
aujourd’hui disponible en version 6.
H 323 permet la mise en place de réseaux téléphoniques IP étendus. Sa prétendue complexité
le réserve à un usage professionnel. Les majeures parties des FAI grand public en France
utilisent MGCP et/ou SIP.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 8
I.2.2.2. IAX/IAX2
Le protocole IAX (Inter-Astérisk eXchange) est issu du projet d’IPBX open source et de la
communauté « Astérisk », tout comme le SIP, c’est un protocole de ToIP VoIP qui permet de
communiquer entre client/serveur ou serveur/serveur.
La différence avec le SIP et le point fort de l’IAX, se base sur l’utilisation d’un port UDP unique
qui est le port « 4569 » qui permet de s’affranchir des problématiques de NAT dans votre
système télécom.
Lorsque l’on parle d’IAX, on parle maintenant de la version 2 puisque la première version de
ce protocole n’est quasiment plus utilisée (IAX 1= UDP 5036). Le protocole IAX n’est pas
encore standardisé. L’IAX2 support maintenant l’authentification par certificat (PKI), le mode
« Trunking » et possède aussi un « JitterBuffer » plus évolué que SIP, plus adapté aux boucles
locales ADSL des particuliers, ce qui permet d’obtenir une légère augmentation du niveau de
qualité que le SIP dans ces conditions.
Le seul problème de ce protocole est qu’il n’est pas encore standardisé donc le nombre
d’équipement supportant ce protocole reste faible.
I.2.2.3. Protocole SIP
I.2.2.3.1. Description générale du protocole SIP
Le SIP (Session Initiation Protocol) est un protocole de signalement utilisé pour établir une
“session” entre deux ou plus de participants, modifier cette session, et finalement terminer cette
session. Son utilisation est devenue MAJEURE dans le monde de la téléphonie IP. Le fait que
le SIP est un standard ouvert a généré un intérêt énorme sur le marché de la téléphonie, et les
constructeurs de téléphones SIP ont connu une croissance phénoménale dans ce secteur.
Le protocole SIP est un protocole texte, ressemblant beaucoup au protocole HTTP. Les
messages sont sous forme de texte, et le mécanisme de requête-réponse permet un dépannage
facile. La transmission des données elles-mêmes est effectuée par le Transmission Control
Protocol (TCP) ou le User Datagram Protocol (UDP) au niveau 5 du modèle OSI. Le Session
Description Protocol (or SDP) contrôle quel protocole est utilisé.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 9
Le message SIP décrit l’identité des participants lors d’un appel, et comment ces participants
peuvent être joints sur un réseau IP. A l’intérieur des messages SIP, on peut voir parfois une
déclaration SDP. Le SDP (Session Description Protocol) définira le type de canaux média qui
seront établis pour la session – il décrira quels codecs sont disponibles et comment les
terminaux médias peuvent se joindre sur le réseau IP.
Une fois que cet échange de messages est terminé, le média est échangé via un autre protocole,
en général le RTP (Real-Time Transmission Protocol).
Le SIP a été développé par IETF et publié en tant que RFC 3261. Sa flexibilité lui a permis de
remplacer quasiment entièrement le protocole H.323 dans le monde de la VoIP.
I.2.2.3.2. Principe de Fonctionnement de SIP
Puisque on choisira le protocole SIP pour effectuer notre travail, on s’approfondira à expliquer
les différents aspects, caractéristiques qui font du protocole SIP un bon choix pour
l’établissement de la session, les principales caractéristiques du protocole SIP sont :
I.2.2.3.3. Fixation d’un compte SIP
Il est important de s’assurer que la personne appelée soit toujours joignable. Pour cela, un
compte SIP sera associé à un nom unique. Par exemple, si un utilisateur d’un service de voix
sur IP dispose d’un compte SIP et que chaque fois qu’il redémarre son ordinateur, son adresse
IP change, il doit cependant toujours être joignable. Son compte SIP doit donc être associé à un
serveur SIP (proxy SIP) dont l’adresse IP est fixe. Ce serveur lui allouera un compte et il
permettra d’effectuer ou de recevoir des appels quel que soit son emplacement. Ce compte sera
identifiable via son nom (ou pseudo).
I.2.2.3.4. Changement des caractéristiques durant une session
Un utilisateur doit pouvoir modifier les caractéristiques d’un appel en cours. Par exemple, un
appel initialement configuré en (voix uniquement) peut être modifié en (voix + vidéo).
Différents modes de communication
Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point à point
(peer to peer), en mode diffusif ou dans un mode combinant ceux-ci.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 10
 Mode Point à point : on parle dans ce cas-là d’unicast qui correspond à la
communication entre deux machines.
 Mode diffusif : on parle dans ce cas-là de « multicast » (plusieurs utilisateurs via une
unité de contrôle MCU – Multipoint Control Unit).
 Combinatoire : combine les deux modes précédents. Plusieurs utilisateurs
interconnectés en multicast via un réseau à maillage complet de connexion.
I.2.2.3.5. Gestion des participants
Durant une session d’appel, de nouveaux participants peuvent joindre les participants d’une
session déjà ouverte en participant directement, en étant transférés ou en étant mis en attente
(cette particularité rejoint les fonctionnalités d’un PABX par exemple, où l’appelant peut être
transféré vers un numéro donné ou être mis en attente).
I.2.2.3.6. Négociation des médias supportés
Cela permet à un groupe durant un appel de négocier sur les types de médias supportés.
Par exemple, la vidéo peut être ou ne pas être supportée lors d’une session.
I.2.2.3.7. Adressage
Les utilisateurs disposant d’un numéro (compte) SIP disposent d’une adresse ressemblant à une
adresse mail (sip : numéro@serveursip.com). Le numéro SIP est unique pour chaque utilisateur.
I.2.2.3.8. Modèle d’échange
Le protocole SIP repose sur un modèle Requête/Réponse. Les échanges entre un terminal
appelant et un terminal appelé se font par l'intermédiaire de requêtes. La liste des requêtes
échangées est la suivante :
 Invite : cette requête indique que l'application (ou utilisateur) correspondante à l'url SIP
spécifié est invité à participer à une session. Le corps du message décrit cette session
(par ex : médias supportés par l’appelant). En cas de réponse favorable, l'invité doit
spécifier les médias qu'il supporte.
 Ack : cette requête permet de confirmer que le terminal appelant a bien reçu une réponse
définitive à une requête Invite.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 11
 Options : un proxy server en mesure de contacter l'UAS (terminal) appelé, doit répondre
à une requête Options en précisant ses capacités à contacter le même terminal.
 Bye : cette requête est utilisée par le terminal de l'appelé afin de signaler qu'il souhaite
mettre un terme à la session.
 Cancel : cette requête est envoyée par un terminal ou un proxy server à fin d'annuler
une requête non validée par une réponse finale comme, par exemple, si une machine
ayant été invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de
requête Ack, alors elle émet une requête Cancel.
 Registre : cette méthode est utilisée par le client pour enregistrer l'adresse listée dans
l'URL TO par le serveur auquel il est relié.
Figure 3 : Example d'une session sip (Source 3cx)
I.2.2.3.9. Codes d’erreurs
La réponse à une requête est caractérisée, par un code et un motif, appelés respectivement code
d'état et raison phrase. Un code d'état est un entier codé sur 3 digits indiquant un résultat à l'issue
de la réception d'une requête. Ce résultat est précisé par une phrase.
Textbased (UTF-8), expliquant le motif du refus ou de l'acceptation de la requête. Le code d'état
est donc destiné à l'automate gérant l'établissement des sessions SIP et les motifs aux
programmeurs. Il existe 6 classes de réponses et donc de codes d'état, représentées par le
premier digit :
 1xx = Information - La requête a été reçue et continue à être traitée.
 2xx = Succès - L'action a été reçue avec succès, comprise et acceptée.
 3xx = Redirection - Une autre action doit être menée afin de valider la requête.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 12
 4xx = Erreur du client - La requête contient une syntaxe erronée ou ne peut pas être
traitée par ce serveur.
 5xx = Erreur du serveur - Le serveur n'a pas réussi à traiter une requête apparemment
correcte.
 6xx = Echec général - La requête ne peut être traitée par aucun serveur.
I.2.2.3.10. Rôle des composants
Dans un système SIP on trouve deux types de composantes, les agents utilisateurs (UAS,
UAC) et un réseau de serveurs (Registrar, Proxy) L'UAS (User Agent Server) représente l'agent
de la partie appelée. C'est une application de type serveur qui contacte l'utilisateur lorsqu'une
requête SIP est reçue. Et elle renvoie une réponse au nom de l'utilisateur.
L'U.A.C (User Agent Client) représente l'agent de la partie appelante. C'est une application de
type client qui initie les requêtes.
Le Registrar est un serveur qui gère les requêtes REGISTER envoyées par les Users Agents
pour signaler leur emplacement courant. Ces requêtes contiennent donc une adresse IP, associée
à une URI, qui seront stockées dans une base de données (figure 2).
Les URI SIP sont très similaires dans leur forme à des adresses email : sip :
utilisateur@domaine.com. Généralement, des mécanismes d'authentification permettent
d'éviter que quiconque puisse s'enregistrer avec n'importe quelle URI.
Figure 4 : Enregistrement d’un utilisateur
Un Proxy SIP sert d’intermédiaire entre deux User Agents qui ne connaissent pas leurs
emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a été stockée
préalablement dans une base de données par un Registrar. Le Proxy peut donc interroger cette
base de données pour diriger les messages vers le destinataire.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 13
Figure 5 : Principe du protocole SIP
Le Proxy se contente de relayer uniquement les messages SIP pour établir, contrôler et terminer
la session. Une fois la session établie, les données, par exemple un flux RTP pour la VoIP, ne
transitent pas par le serveur Proxy. Elles sont échangées directement entre les User Agents.
I.3.Avantages et inconvénients
Avantages Inconvénients
Standardisation : Normalisé par l’IETF
Flexible : Utilisé pour toute type de sessions
multimédia (voix, vidéo…)
Téléphonie sur réseaux RTC : Nombreuses
passerelles vers le réseau public de téléphonie
(RTC, GSM, etc.)
Compatibilité H323 : Certains codecs sont
compatibles RTP
Basé sur l'adresse IP : SIP ne traverse pas les
NAT
Rigueur : Nécessite, dans les User Agent une
implémentation rigoureuse.
Présence : SIP montre un certain nombre de
faiblesses dans la gestion de la présence
Tableau 1 : Avantages et inconvénients du protocole sip
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 14
I.3.1. Avantages et Inconvénients VOIP
Avantages Inconvénients
 La qualité de la voix est identique à la téléphonie
fixe traditionnelle.
 Vous économisez les frais mensuels de
connexion analogique ou RNIS.
 Faire des appels via VoIP réduit vos coûts. Vous
serez surpris par le prix bon marché des appels.
Ça vaut la peine de comparer.
 Vous êtes plus accessibles ! Avec peoplefone
VoIP vous avez un nombre infini de ligne de
conversation.
 Utilisez votre numéro de téléphone VoIP
n'importe où dans le monde.
 En 15 minutes, vous aurez configuré votre
connexion VoIP personnalisée.
1. Parce que les bandes passantes Internet faibles ou
instables peuvent négativement influencer la qualité
d'appel, vous avez besoin d'une connexion Internet
(ADSL, VDSL, fibre, 4G) stable.
2. Si la connexion Internet est en panne, aucun appel
n’est possible. Peoplefone vous offre une solution
de sauvegarde gratuite.
3. Les transmissions de long fax peuvent interrompre
la connexion.
4. En cas d'appels d'urgence des problèmes peuvent se
produire. Nous recommandons pour les appels
d'urgence d'utiliser le téléphone mobile ou de
mentionner spécifiquement votre emplacement.
Tableau 2 : Avantages et inconvénients de la VOIP
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 15
I.4.Conclusion
Comme on a pu le voir tout au long de ce chapitre, la VoIP est la solution la plus rentable pour
effectuer des conversations. Actuellement il est évident que la VoIP va continuer à évoluer.
La téléphonie IP est une bonne solution en matière d’intégration, fiabilité et de coût. On a vu
que la voix sur IP étant une nouvelle technologie de communication, elle n’a pas encore de
standard unique. Chaque standard possède ses propres caractéristiques pour garantir une bonne
qualité de service. En effet, le respect des contraintes temporelles est le facteur le plus important
lors de transport de la voix.
Malgré que la normalisation n’ait pas atteint la maturité suffisante pour sa généralisation au
niveau des réseaux IP, il n’est pas dangereux de miser sur ces standards vu qu’ils ont été
acceptés par l’ensemble de la communauté de la téléphonie.
Pour finir lors de la mise en œuvre de cette technologie, il faut poser la question suivante : le
développement de cette technologie représente-t-il un risque ou une opportunité pour les
utilisateurs et les opérateurs téléphoniques ?
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 16
Chapitre 2 : ATTAQUES CONTRE LA VOIP ET
LES BONNES PRATIQUES DE SECURISATION
I. Introduction
L’opportunité de migrer de la téléphonie classique vers la téléphonie IP, a offert plusieurs
avantages pour les entreprises, et les a permis de bénéficier de nouveaux services tel que la
vidéoconférence et la transmission des données. L’intégration de ces services dans une seule
plateforme nécessite plus de sécurité.
Dans ce chapitre, nous dériverons des attaques qui menacent la VoIP, et nous détaillerons
quelques-uns. Nous finirons par une description des bonnes pratiques pour sécuriser les
communications de type voix sur IP.
Le système VOIP utilise l’Internet, et particulièrement le protocole IP. De ce fait les
vulnérabilités de celui-ci.
Les attaques sur les réseaux VOIP peuvent être classées en deux types : les attaques internes et
les attaques externes. Les attaques externes sont lancées par des personnes autres que celle qui
participe à l’appel, et ils se produisent généralement quand les paquets VoIP traversent un
réseau peu fiable et/ou l’appel passe par un réseau tiers durant le transfert des paquets. Les
attaques internes s’effectuent directement du réseau local dans lequel se trouve l’attaquant.
Il existe deux principales classes de vulnérabilités sur un environnement VoIP. La première
dépend des protocoles utilisés (SIP, H.323…) et la deuxième est reliée aux systèmes sur
lesquels les éléments VOIP sont implémentés. Chaque protocole ou service a ses propres
vulnérabilités.
I.1.ATTAQUES SUR LE RESAU INFORMATIQUE
Dans un monde où le progrès technologique avance à grande vitesse, où les gens, les entreprises,
les organismes, les pays et même les objets sont de plus en plus connectés, les attaques
informatiques sont de plus en plus fréquentes. La question de la cybersécurité se pose à tous
les niveaux et tend à devenir un enjeu essentiel de ces prochaines années.
Pour mieux se protéger, il est primordial de savoir à quoi s’attendre, et donc de connaître à
minima les attaques informatiques les plus courantes. En voici une liste non-exhaustive :
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 17
I.1.1. Les attaques DDoS ou attaques par déni de service
Les attaques par déni de service sont faites pour submerger les ressources d’un système
pour qu’il ne puisse plus répondre aux demandes. Contrairement aux autres attaques qui visent
à obtenir ou à faciliter les accès à un système, l’attaque DDoS ne vise qu’à l’empêcher de
fonctionner correctement. Cela ne procure pas d’avantages en soi à un pirate, si ce n’est la pure
satisfaction personnelle.
Cela est différent si, par exemple, le site victime est celui de votre concurrent. L’avantage pour
l’attaquant est alors bien réel. L’attaque par déni de service peut aussi avoir pour but de lancer
un autre type d’attaque.
I.1.2. Les Man-in-the-Middle attaques ou MitM
Les MitM sont un type d’attaque dont le principe est de s’insérer dans les communications entre
un serveur et un client. Il en existe plusieurs :
Le détournement de session : un attaquant détourne une session entre un client de
confiance et un serveur réseau. L’attaquant substitue l’adresse IP du client pendant que le
serveur continue la session, croyant que c’est toujours le client.
L’usurpation d’IP : le pirate peut utiliser une adresse IP volée pour convaincre un système
qu’il est un client fiable et connu.
Le replay : une attaque replay se produit lorsqu’un attaquant intercepte et enregistre d’anciens
messages et tente plus tard de les envoyer, se faisant passer pour quelqu’un de confiance.
I.1.3. Le drive-by download ou téléchargement furtif
Les attaques par téléchargement furtif sont une méthode de propagation des logiciels
malveillants. Le pirate insère un virus sur une page d’un site non sécurisé et infecte les
ordinateurs de ceux qui le visitent qui ont des failles de sécurité comme par exemple, des mises
à jour non installées.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 18
I.1.4. Les attaques par mot de passe
Trouver un mot de passe est souvent bien plus facile qu’il n’y paraît, et les pirates s’en donnent
à cœur joie. Pour trouver un mot de passe, il suffit parfois simplement de fouiller un bureau, en
surveillant la connexion pour obtenir un mot de passe non chiffrer, en ayant recours à
l’ingénierie sociale ou en devinant :
 Par force brute : deviner un mot de passe en entrant ce que les gens
entrent le plus souvent : nom, prénom, passe-temps favori, dates de
naissance des enfants, etc.
 Par dictionnaire : cela consiste à copier un fichier chiffré contenant
des mots de passe courants et à comparer les résultats.
I.1.5. Injection SQL
C’est un problème affectant les sites web exploitant des bases de données : le pirate exécute
une requête SQL sur la base de données via les données entrantes du client au serveur. Des
commandes SQL sont insérées dans la saisie du plan de données. Ensuite, le pirate peut
insérer, mettre à jour ou supprimer les données comme bon lui semble, et même envoyer des
commandes au système d’exploitation.
I.1.6. Les logiciels malveillants ou malwares
Un malware est un logiciel indésirable installé dans votre système sans votre consentement. Il
en existe tous types, mais en voici quelques-uns :
 Les macro-virus : ils infectent des applications comme Microsoft Word ou Excel en
s’attachant à la séquence d’initialisation de l’application.
 Les infecteurs de fichiers : ils s’attachent à des fichiers exécutables comme les
.exe
 Les infecteurs de systèmes : ils infectent les disques durs
 Les virus polymorphes : ils se cachent dans divers cycles de chiffrement.
 Les virus furtifs : ils prennent le contrôle de certaines fonctions du système pour se
dissimuler.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 19
 Les chevaux de Troie : ils se cachent dans un programme utile pour ensuite se
déployer.
 Les bombes logiques : ils sont programmés pour se déclencher lors d’un événement
spécifique ou une date et une heure spécifiques.
 Les vers : contrairement aux virus qui s’attachent à un fichier hôte, les vers sont des
programmes autonomes qui se propagent sur les réseaux et les ordinateurs.
 Les injecteurs : ce sont des programmes utilisés pour installer des virus sur les
ordinateurs.
 Les ransomwares : c’est un type de logiciel malveillant qui crypte les données d’un
ordinateur et exige une rançon à la victime contre son déchiffrement.
I.1.7. Le cryptojacking
Les pirates introduisent des logiciels malveillants pour corrompre les systèmes et les ressources
d’un appareil et pour exploiter la crypto-monnaie en arrière-plan et gagner de l’argent.
I.1.8. Les intrusions sur les objets connectés
De plus en plus utilisés, ils sont facilement piratables.
I.1.9. Les attaques géopolitiques
Certains pays commandent des attaques informatiques contre d’autres, menées par des
organismes gouvernementaux pour les déstabiliser, les intimider ou voler certaines technologies
de pointe dans un cadre d’espionnage industriel.
I.1.10. Les cross-site scripting (XSS)
Les pirates s’adonnant à cette pratique injectent du contenu dans une page qui corrompt le
navigateur de la cible. Il peut ainsi modifier la page web selon ses envies, voler des informations
sur les cookies, récupérer des données sensibles ou y injecter un code malveillant dans le but,
par exemple, de contrôler l’ordinateur de sa victime à distance.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 20
I.1.11. Les attaques de phishing
Le phishing, c’est cette fameuse fenêtre qui surgit en vous disant que vous avez gagné un
million d’euros, ou cet étrange email que vous recevez de votre banque, vous demandant de
saisir votre identifiant… cette technique combine ingénierie sociale et stratagème technique
vous incitant à télécharger par vous-même des malwares qui voleront vos informations
personnelles et confidentielles comme vos numéros de carte de crédit.
I.1.12. Les attaques cyber-physiques
Ce sont des attaques ciblant principalement des systèmes de transport, d’usines, de réseaux
électriques ou d’installations de traitement de l’eau par exemple.
I.2.ATTAQUES SUR LES PROTOCOLES VOIP
Que ce soit le H.323 ou le SIP, ces deux protocoles ont déjà fait l'objet de failles de sécurité.
Les équipements demandent de traiter l'information en IP brute, sans l'appui du protocole TCP
et donc sans utiliser la sécurisation SSL. Si les protocoles de voix sur IP peuvent être chiffrés
avec IPsec, IPsec n'est pas déployé dans les réseaux d'entreprise, car il est trop complexe.
Un appel téléphonique VoIP est constitué de deux parties : la signalisation, qui instaure l’appel,
et les flux de media, qui transporte la voix.
La signalisation, en particulier SIP, transmet les entêtes et la charge utile (Payload) du paquet
en texte clair, ce qui permet à un attaquant de lire et falsifier facilement les paquets. Elle est
donc vulnérable aux attaques qui essaient de voler ou perturber le service téléphonique, et à
l’écoute clandestine qui recherche des informations sur un compte utilisateur valide, pour passer
des appels gratuits par exemple. La signalisation utilise, en général, le port par défaut UDP/TCP
5060. Le firewall doit être capable d’inspecter les paquets de signalisation et ouvre ce port afin
de leurs autoriser l’accès au réseau. Un firewall qui n’est pas compatible aux protocoles de la
VoIP doit être configuré manuellement pour laisser le port 5060 ouvert, créant un trou pour des
attaques contre les éléments qui écoutent l’activité sur ce port. Le protocole RTP, utilisé pour
le transport des flux multimédia, présente également plusieurs vulnérabilités dues à l’absence
d’authentification et de chiffrage. Chaque entête d’un paquet RTP contient un numéro de
séquence qui permet au destinataire de reconstituer les paquets de la voix dans l’ordre
approprié.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 21
Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numéro de
séquence plus élevé. En conséquence, ces paquets seront diffusés à la place des vrais paquets.
Généralement, les flux multimédias contournent les serveurs proxy et circulent directement
entre les points finaux. Les menaces habituelles conte le flux de la voix sont l’interruption de
transport et l’écoute clandestine.
Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par conséquent
sont aussi vulnérables à toutes les attaques contre le réseau informatique. Mais La VOIP dispose
des attaques spécifiques, les types d’attaques les plus fréquentes contre un system VoIP sont :
I.2.1. Suivie d'appel
Appelé aussi Call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les
terminaux (soft/hard phone). Elle a pour but de connaître qui est en train de communiquer et
quelle est la période de la communication. L’attaquant doit récupérer les messages INVITE et
BYE en écoutant le réseau et peut ainsi savoir qui communique, à quelle heure, et pendant
combien de temps.
Pour réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les
messages INVITE et BYE
I.2.2. Injection de paquet RTP
Cette attaque se fait au niveau du réseau LAN/VPN. Elle cible le serveur registrar, et a pour but
de perturber une communication en cours.
L’attaquant devra tout d’abord écouter un flux RTP de l’appelant vers l’appelé, analyser son
contenu et générer un paquet RTP contenant un en-tête similaire mais avec un plus grand
numéro de séquence et timestamp afin que ce paquet soit reproduit avant les autres paquets
(s’ils sont vraiment reproduits). Ainsi la communication sera perturbée et l’appel ne pourra pas
se dérouler correctement. Pour réaliser cette attaque, l’attaquant doit être capable d’écouter le
réseau afin de repérer une communication et ainsi repérer les timestamps des paquets RTP. Il
doit aussi être capable d’insérer des messages RTP qu’il a généré ayant un timestamp modifié
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 22
I.3.Les Spams
Trois formes principales de spam sont jusqu’à maintenant identifiés dans SIP :
Call Spam : Ce type de spam est défini comme une masse de tentatives d’initiation de session
(des requêtes INVITE) non sollicitées. Généralement c’est un UAC (User Agent Client) qui
lance, en parallèle, un grand nombre d'appels. Si l’appel est établi, l'application génère un ACK,
rejoue une annonce préenregistrée, et ensuite termine l'appel.
IM (Instant Message) Spam : Ce type de spam est semblable à celui de l'e-mail. Il est défini
comme une masse de messages instantanés non sollicitées. Les IM spam sont pour la plupart
envoyés sous forme de requête SIP. Ce pourraient être des requêtes INVITE avec un entête
« Subject » très grand, ou des requêtes INVITE avec un corps en format texte ou HTML. Bien-
sûr, l’IM spam est beaucoup plus intrusif que le spam email, car dans les systèmes actuels, les
IMs apparaissent automatiquement sous forme de pop-up à l'utilisateur.
I.4.Détournement d’appel (Call Hijacking)
Le Call Hijacking consiste à détourner un appel. Plusieurs fournisseurs de service VoIP utilisent
le web comme interface permettant à l'utilisateur d’accéder à leur système téléphonique. Un
utilisateur authentifié peut changer les paramètres de ses transferts d'appel à travers cette
interface web. C’est peut-être pratique, mais un utilisateur malveillant peut utiliser le même
moyen pour mener une attaque.
Exemple : quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant
envoie un message de redirection 3xx indiquant que l’appelé s'est déplacé et par la même
occasion donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous les
appels destinés à l’utilisateur sont transférés et c’est l’attaquant qui les reçoit.
Un appel détourné en lui-même est un problème, mais c’est encore plus grave quand il est
porteur d'informations sensibles et confidentielles.
I.4.1. L’écoute clandestine
L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un attaquant avec
un accès au réseau VOIP peut sniffer le trafic et décoder la conversation vocale. Des outils tels
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 23
que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de réaliser cette
attaque. VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec
n’importe quel lecteur de fichiers son.
I.5.LES VULNERABILITEES DE L’INFRACSTRUTURE
Une infrastructure VoIP est composée de téléphones IP, Gateway, serveurs (proxy, register,
etc.). Chaque élément, que ce soit un système embarqué ou un serveur standard tournant sur un
système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur. Chacun
comporte un processeur qui exécute des logiciels qui peuvent être attaqués ou employés en tant
que points de lancement d’une attaque plus profonde.
I.5.1. Faiblesses dans la configuration des dispositifs de la VOIP
Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent avoir une variété
de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent être vulnérables
aux attaques DoS ou buffer overflow. Plusieurs dispositifs de la VoIP exécutent également un
serveur WEB pour la gestion à distance qui peut être vulnérable aux attaques buffer overflow
et à la divulgation d’informations.
Si les services accessibles ne sont pas configurés avec un mot de passe, un attaquant peut
acquérir un accès non autorisé à ce dispositif. Les services SNMP (Simple Network
Management Protocol) offerts par ces dispositifs peuvent être vulnérables aux attaques de
reconnaissance ou attaques d’overflow. Plusieurs dispositifs de la VoIP sont configurés pour
télécharger périodiquement un fichier de configuration depuis un serveur par TFTP ou d'autres
mécanismes. Un attaquant peut potentiellement détourner ou mystifier cette connexion et
tromper le dispositif qui va télécharger un fichier de configuration malveillant à la place du
véritable fichier.
I.5.2. Les téléphones IP
Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone
IP, un softphone et autres programmes ou matériels clients. Généralement, il obtient les
privilèges qui lui permettent de commander complètement la fonctionnalité du dispositif.
Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique
au dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif :
La pile du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne sera pas
remarquée.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 24
Aussi un firmware modifié de manière malveillante peut être téléchargé et installé. Les
modifications faites à la configuration des logiciels de téléphonie IP peuvent permettre :
o Aux appels entrants d'être réorientés vers un autre point final sans que l'utilisateur soit
au courant.
o Aux appels d’être surveillés.
o A l'information de la signalisation et/ou les paquets contenant de la voix d’être routés
vers un autre dispositif et également d’être enregistrés et/ou modifiés.
De compromettre la disponibilité du point final. Par exemple, ce dernier peut rejeter
automatiquement toutes les requêtes d’appel, ou encore, éliminer tout déclenchement de
notification tel qu’un son, une notification visuelle à l’arrivée d’un appel. Les appels peuvent
également être interrompus à l’improviste (quelques téléphones IP permettent ceci via une
interface web).
D’autres conséquences possibles sont :
o Des backdoors pourraient été installés.
o Toutes les informations concernant l'utilisateur qui sont stockées sur le dispositif
pourraient été extraites.
L’acquisition d'un accès non autorisé sur un dispositif de téléphonie IP peut être le résultat d'un
autre élément compromis sur le réseau IP, ou de l'information récoltée sur le réseau.
Les softphones ne réagissent pas de la même façon aux attaques comparés à leur homologues
téléphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs inclus dans le
système, à savoir les vulnérabilités du système d'exploitation, les vulnérabilités de l’application,
les vulnérabilités du service, des vers, des virus, etc. En plus, le softphone demeure sur le
segment de données, est ainsi sensible aux attaques lancées contre ce segment et pas simplement
contre l’hôte qui héberge l’application softphone.
Les téléphones IP exécutent quant à eux leurs propres systèmes d’exploitation avec un nombre
limité de services supportés et possèdent donc moins de vulnérabilités.
I.5.3. Les serveurs
Les serveurs jouent un rôle important dans une solution de voix sur IP, et même s’il n’est pas
forcement possible d’intercepter un appel si un serveur est compromis, il est souvent possible
de récupérer des CDR (Call Detail Records) qui contiennent toutes les traces des appels
effectués. En revanche la compromission d’une passerelle entre le réseau VoIP et le réseau
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 25
téléphonique classique permet d’écouter de manière transparente les appels, même s’ils sont
chiffrés du côté VoIP (SRTP).
I.5.4. Les vulnérabilités du System d’exploitation
Ces vulnérabilités sont pour la plupart relatives au manque de sécurité lors de la phase initiale
de développement du système d'exploitation et ne sont découvertes qu’après le lancement du
produit.
Une des principales vulnérabilités des systèmes d'exploitation est le buffer overflow. Il permet
à un attaquant de prendre le contrôle partiel ou complet de la machine. Les dispositifs de la
VoIP tels que les téléphones IP, Call Managers, Gateway et les serveurs proxy, héritent les
mêmes vulnérabilités du système d'exploitation ou du firmware sur lequel ils tournent.
Il existe une centaine de vulnérabilités exploitables à distance sur Windows et même sur
Linux. Un grand nombre de ces exploits sont disponibles librement et prêts à être téléchargés
sur l'Internet.
Peu importe comment, une application de la VoIP s'avère être sûre, celle-ci devient menacé si
le système d'exploitation sur lequel elle tourne est compromis.
II. SECURISATION ET BONNE PRATIQUES
On a déjà vu que les vulnérabilités existent au niveau protocolaire, application et systèmes
d’exploitation. Pour cela, on a découpé la sécurisation aussi en trois niveaux : Sécurisation
protocolaire, sécurisation de l’application et sécurisation du système de l’exploitation.
II.1. Sécurisation protocolaire
La prévalence et la facilité de sniffer des paquets et d'autres techniques pour la capture des
paquets IP sur un réseau pour la voix sur IP fait que le cryptage soit une nécessité. La
sécurisation de la VoIP est à la protection des personnes qui sont interconnecté. IPsec peut être
utilisé pour réaliser deux objectifs. Garantir l'identité des deux points terminaux et protéger la
voix une fois que les paquets quittent l'Intranet de l'entreprise. VOIPsec (VoIP utilisant IPsec)
contribue à réduire les menaces, les sniffeurs de paquets, et de nombreux types de trafic « vocal
analyze ». Combiné avec un pare-feu, IPsec fait que la VOIP soit plus sûr qu’une ligne
téléphonique classique. Il est important de noter, toutefois, qu’IPsec n'est pas toujours un bon
moyen pour certaines applications, et que certains protocoles doivent continuer à compter sur
leurs propres dispositifs de sécurité.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 26
II.2. VOIP VPN
De nombreux travailleurs à domicile utilisent des VPN pour se connecter à leurs ressources
professionnelles. Un VPN (Virtual Private Network) est une connexion réseau sécurisée qui
utilise des protocoles pour crypter les informations avant de les envoyer. À l'aide d'une
infrastructure publique, telle qu'Internet, ils peuvent fournir aux bureaux distants ou aux
utilisateurs individuels un accès sécurisé au réseau de leur organisation. Les données sont
chiffrées à l'extrémité d'envoi et déchiffrées à l'extrémité de réception. Les petits routeurs VPN
typiques peuvent prendre en charge divers protocoles VPN, tels que IPSec, PPTP et PPPoE
Passthrough.
Bien qu'il soit important de sécuriser l'accès à distance aux ressources de données, il peut ne
pas être aussi important de sécuriser les connexions téléphoniques. Les connexions VoIP via
une connexion VPN sont parfois effectuées pour limiter les problèmes de NAT, car le bureau à
domicile devient une extension du réseau local des entreprises. Ce type de scénario serait plus
typique des IP-PBX, comme un serveur Asterisk ou comme indiqué ci-dessous Shoretel. Si les
employés de bureau à domicile se connectent à un fournisseur de VoIP hébergé, leur VPN de
retour au bureau ne tunnel probablement pas la voix, qui se connecterait via leur routeur
domestique directement au VoIP sur Internet.
II.3. Secure RTP ou SRTP
Le SRTP aussi connu sous le nom de Secure Real – Time Transport Protocol, est une extension
d’un profil de RTP (Real-Time Transport Protocol) qui ajoute davantage de fonctions de
sécurité, comme le message d’authentification, la confidentialité et la protection anti-replay,
principalement prévues pour les communications VoIP.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 27
Figure 6 : Architecture du SRTP (source 3cx)
Ce protocole utilise l’authentification et l’encodage afin de minimiser les risques d’attaques
comme celles par déni de service. Il a été publié en 2004 par l’IETF (Internet Engineering Task
Force) en tant que RFC 3711. Ce protocole, tout comme le DTLS est l’un des protocoles de
sécurité utilisé par la technologie WebRTC.
Service de sécurités offertes par SRTP
Les principaux services offerts par SRTP sont :
 Rendre confidentielles les données RTP, que ce soit l’en-tête et la charge utile ou
seulement la charge utile.
 Authentifier et vérifier l’intégrité des paquets RTP. L’émetteur calcule une empreinte
du message à envoyer, puis l’envoie avec le message même.
 La protection contre le rejet des paquets. Chaque récepteur tient à jour une liste de tous
les indices des paquets reçus et bien authentifiés.
Principe de fonctionnement de SRTP
Avec une gestion de clé appropriée, SRTP est sécurisé pour les applications unicast et multicast
de RTP. En théorie, SRTP est une extension du protocole RTP dans lequel a été rajoutée des
options de sécurité. En effet, il a pour but d’offrir plusieurs implémentations de cryptographie
tout en limitant l’overhead lié à l’utilisation des chiffrements. Il propose des algorithmes qui
monopoliseront au minimum les ressources et l’utilisation de la mémoire.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 28
Surtout, il permet de rendre RTP indépendant des autres couches en ce qui concerne
l’application de mécanismes de sécurité.
Pour implémenter les différents services de sécurité précités, SRTP utilise les composants
principaux suivants :
 Une clé maîtresse utilisée pour générer des clés de session ; Ces dernières seront
utilisées pour chiffrer ou pour authentifier les paquets.
 Une fonction utilisée pour calculer les clés de session à partir de la clé maîtresse.
Des clés aléatoires utilisées pour introduire une composante aléatoire afin de contrer les
éventuels rejet ou effets de mémoire.
SRTP utilise deux types de clés : clef de session et clef maîtresse. Par « clef de session » nous
entendons une clef utilisée directement dans les transformations cryptographiques ; et par « clef
maîtresse », nous entendons une chaîne de bit aléatoire à partir desquelles les clefs de sessions
sont dérivées par une voie sécurisée avec des mécanismes cryptographiques.
Format du paquet SRTP
Un paquet SRTP est généré par transformation d’un paquet RTP grâce à des mécanismes de
sécurité. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
qu’ils ne soient sur le réseau. La figure suivante présente le format d’un paquet SRTP
Figure 7 : Format d’un paquet SRTP
On remarque que le paquet SRTP est réalisé en rajoutant deux champs au paquet RTP :
 SRTP MKI (SRTP Master Key identifier) : sert à re-identifier une clef maîtresse
particulière dans le contexte cryptographique. Le MKI peut être utilisé par le récepteur
pour retrouver la clef primaire correcte quand le besoin d’un renouvellement de clefs
survient.
 Authentiquassions tag : est un champ inséré lorsque le message a été authentifié. Il est
recommandé d’en faire usage. Il fournit l’authentification des en-têtes et données RTP
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 29
et indirectement fournit une protection contre le rejet de paquets en authentifiant le
numéro de séquence.
II.4. Sécurisation de l’application
Plusieurs méthodes peuvent être appliquées pour sécuriser l'application, ces méthodes varient
selon le type d'application (serveur ou client). Pour sécuriser le serveur il faut :
- L’utilisation d’une version stable, Il est bien connu que toute application non stable
contient surement des erreurs et des vulnérabilités. Pour minimiser les risques, il est
impératif d'utiliser une version stable.
- Tester les mises à jour des softwares dans un laboratoire de test. Il est très important de
tester toute mise à jour de l'application dans un laboratoire de test avant de les appliquer
sur le système en production
- Ne pas tester les correctifs sur le serveur lui-même :
- Ne pas utiliser la configuration par défaut qui sert juste à établir des appels. Elle ne
contient aucune protection contre les attaques.
- Ne pas installer une application client dans le serveur.
Certains paramètres doivent être appliqués de manière sélective. Ces paramètres renforcent la
sécurité de l’application, on peut les activer ou les interdire sur la configuration générale de
l’application, comme on peut juste utiliser les paramètres nécessaires pour des clients bien
déterminé et selon le besoin bien sûr. Ces paramètres protègent généralement contre le déni de
service et ces différentes variantes. Il est conseiller d’utiliser les paramètres qui utilise le
hachage des mots de passe, et cela assure la confidentialité.
II.5. Sécurisation du System d’exploitation
Il est très important de sécuriser le système sur lequel est implémenté le serveur de VoIP.
En effet, si le système est compromis, l’attaque peut se propager sur l’application serveur.
Celle-ci risque d’affecter les fichiers de configuration contenant des informations sur les clients
enregistrés.
Il y a plusieurs mesures de sécurités à prendre pour protéger le système d’exploitation :
- Utiliser un système d’exploitation stable. Les nouvelles versions toujours contiennent
des bugs et des failles qui doivent être corrigés et maîtrisés avant.
- Mettre à jour le système d’exploitation en installant les correctifs de sécurité
recommandé pour la sécurité.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 30
- Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les
intrusions. Et ils ne doivent pas être des dates de naissances, des noms, ou des numéros
de téléphones. Un mot de passe doit être assez long et former d’une combinaison de
lettre, de chiffres et ponctuations.
- Ne pas exécuter le serveur VoIP avec un utilisateur privilège. Si un utilisateur
malveillant arrive à accéder au système via une exploitation de vulnérabilité sur le
serveur VoIP, il héritera tous les privilèges de cet utilisateur.
- Asterisk in CHROOT : empêcher le serveur VoIP d’avoir une visibilité complète de
l’arborescence du disque, en l’exécutant dans un environnement sécurisé qui l’empêche
d’interagir librement avec le système.
- Sauvegarde des fichiers log à distance : les fichiers log sont très importants, il est
conseillé de les enregistrer sur un serveur distant.
- Installer seulement les composants nécessaires : pour limiter les menaces sur le système
d’exploitation. Il vaut mieux installer sur la machine le système d’exploitation et le
serveur.
- Supprimer tous programmes , logiciels ou des choses qui n’ont pas d’importance et qui
peuvent être une cible d’attaque pour accéder au système.
- Renforcer la sécurité du système d’exploitation en installant des patches qui permettent
de renforcer la sécurité générale du noyau.
On peut aussi utiliser les pare feu ou/et les ACL pour limiter l’accès à des personnes bien
déterminé et fermer les ports inutiles et ne laisser que les ports utilisés (5060, 5061, 4569, …).
Le pare feu (firewall) est un software ou hardware qui a pour fonction de sécuriser un réseau
ou un ordinateur contre les intrusions venant d’autres machines. Le pare feu utilise le système
de filtrage de paquet après analyse de l’entête des paquets IP qui s’échange entre les machines.
Le firewall peut être implémenté avec une ACL qui est une liste d'Access Control Entry
(ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits d'accès à une personne
ou un groupe. On aura besoin d’ACL pour donner des droits à des personnes bien déterminés
selon leurs besoins et leurs autorités.
Pour un serveur VoIP, il est important d’implémenter les ACL pour sécuriser le serveur en
limitant l’accès à des personnes indésirables. Par exemple, seuls les agents enregistrés peuvent
envoyer des requêtes au serveur. Il existe trois catégories d’ACL :
La liste de contrôle d’accès peut être installée en réseau sur les pare feu ou les routeurs, mais
aussi ils existent dans les systèmes d’exploitation.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 31
II.6. Ajouts et recommandations de sécurité
La VoIP faisant appel à de nombreux processus (SIP, DNS, SRTP, ...) il est indispensable de
sécuriser chaque étape de la communication. Les nombreuses contraintes imposées par cette
technologie ne facilitent pas la tâche : il est aussi parfois nécessaire de traverser des pares-feux,
de fonctionner avec des translations d'adresses NAT et certains choix sont alors limités.
2. Tunnel IPsec : Ipsec qui travaille sur la couche réseau permet d'assurer une plus grande
fiabilité des informations. Cependant, le coût de cette solution est parfois considérable,
tant sur le point des ressources matériel que sur le trafic réseau. La surcharge engendrée
par Ipsec peut être minimisée en configurant le tunnel pour traiter uniquement les flux
de voix sur IP. Un atout intéressant est la possibilité d'utiliser la totalité des softphones
disponibles puisqu'ils n'ont plus à gérer la totalité des échanges.
3. Filtrage réseau : Les serveurs de gestion VoIP ont un nombre de ports ouverts par défaut
très conséquents. Il est donc fortement conseiller de filtrer les ports accessibles sur les
serveurs depuis le réseau des utilisateurs au niveau des routeurs. Pour cela, il peut être
utile de placer les serveurs sur un sous-réseau dédié. Il convient de lister les services et
ports associés qui doivent être pris en considération lors de l'implémentation d'un
politique de filtrage sur un réseau VoIP. Bon nombre de pare-feu se limitent à gérer
l'ouverture des ports en fonction de la communication et n'inspectent pas les flux au
niveau protocolaire.
4. Verrouillage des adresses MAC et IP par port dans les commutateurs traversés par du
flux VoIP.
5. Activation au mieux des fonctions de sécurité offertes par les équipements de
l'infrastructure VoIP utilisée et qui ne seraient pas activées par défaut
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 32
III. Conclusion
Les entreprises qui décident d’adopter la VoIP doivent le faire prudemment, en mettant le
facteur sécurité au premier plan et intégrer le fait que les dysfonctionnements logiciels sont
actuellement très nombreux. De plus la vulnérabilité de cette technologie est certaine, les
malveillances nombreuses.
Problèmes logiciels surtout, mais aussi failles de sécurité et déroutage d’appels handicapent
cette technologie prometteuse. En effet cette technologie permet le passage du téléphone
classique à l’ère informatique, s’interfaçant aux interfaces web, aux différents systèmes
d’exploitation dont linux bien sûr, et de ce fait bénéficient de leurs avantages mais aussi des
difficultés liées à l’informatique en général dont la sécurité bien sûr. Sur ce point il faut
reconnaitre un niveau d’authentification faible et une absence de procédés de chiffrement non
propriétaire.
Les défis à relever consistent à gérer les différents protocoles VoIP (SIP, H323 ou encore
MGCP). En termes de sécurité, on constate que chaque équipementier a introduit des langages
propres, on peut parler de « dialecte » pour chaque constructeur. Aussi, on rencontre encore des
problèmes d’incompatibilité entre systèmes.
Il s'agit pour l'instant d'avertissements, puisque aucune attaque n'est encore à déplorer via la
VoIP. Ce ne serait pourtant qu'une question de temps, assure le Communications Research
Network. Par ailleurs, « s’il n'est pas corrigé, ce problème de sécurité de la VoIP aura aussi un
impact sur la confiance du public », redoutent les experts.
Pour le futur, nous n’allons pas vers la simplicité. Les sous-systèmes multimédia IP (IMS - IP
multimedia Subsystem) arrivent avec les réseaux mobiles 3G et 4G en IP. Avec aussi des
ouvertures pour les MVNO. Les firewalls seront complexes, voire impossible à mettre en
œuvre. Il faut s’attendre à des attaques passant des réseaux fixes aux réseaux mobiles et
inversement...
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 33
Deuxième partie :
INSTALLATION, CONFIGURATION ET
SECURISATION D’UN IPBX
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 34
CHAPITRE 3 : CHOIX, INSTALLATION ET
CONFIGURATION
I. INTRODUCTION
Après avoir présenté la première partie réservée à la généralité de la VOIP et les Menaces de
sécurité qui pèsent sur la VOIP, on présentera la phase de réalisation de notre projet, on entame
cette partie par la présentation des différents choix techniques adoptés, ensuite, on présentera
les tâches réalisées.
II. CHOIX
1. Choix de la technologie de Virtualisation
Un logiciel de virtualisation permet d’exécuter plusieurs systèmes d’exploitation à l’aide d’un
seul PC. Les machines virtuelles permettent ainsi d’avoir plusieurs ordinateurs en un. La
virtualisation fait référence à n’importe quelle ressource informatique hébergeant plusieurs
autres ressources informatiques, y compris des applications, des serveurs, des capacités de
stockage ou des réseaux. Toutefois, pour une virtualisation réussie, il est essentiel de choisir un
bon logiciel de virtualisation.
Bien avant de choisir quelle solution utiliser dans le cadre de notre travail nous allons faire une
étude comparative des solutions de virtualisation du marché.
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 35
2. Tableau comparatif des acteurs du marché de la virtualisation coté serveur
Technologie Prix Solution Fonctions Caractéristiques
VMware
Vsphere
Licence à 3145
euros
VMawre
VSphere
Hypervisor
-Puissance de traitement
-Services réseau
-Stockage haute efficacité
-Sécurité renforcée
-Haute disponibilité
-Version gratuite limitée
-Automatisation coherente
-Outil d’administration vsphere client
Mémoire Physique Max : 32Go
Nb de VM par Hôte : 512
vCPU par VM : 32
vRAM par VM : 32 G0
Tailles des DD virtuels : 2 To
Thin Disk Provisionning : Oui
Ajout à chaud : Disques
Gestion de la mémoire : Dynamic, Memory,
Transparent,Swapping
Snapshot : OUI
Live Migration : OUI
Citrix Offre de base
gratuite. Autres
offres entre 2000
et 5000 euro par
serveur.
Citrix
XenServeur 6.1
-Console de gestion unique
-Déplacement à chaud des VM
-Pool de ressources sans limite
-Repose sur une base solide et va
continuer de progresser
-Performances faibles coté stockage
-Certaine fonctionnalité payante
-Outil d’administration Xencenter
Mémoire Physique Max : 1 To (128 Go si un VM
utilise un OS 32 bits)
Nb de VM par Hôte : 150
vCPU par VM : 16
vRAM par VM : 128 G0
Tailles des DD virtuels : 2 To
Thin Disk Provisionning : Non
Ajout à chaud : Disques
Gestion de la mémoire : Non
Snapshot : OUI (uniquement offline)
Live Migration : oui avec XenMotion live Migration
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 36
Microsoft De 360 à 4420 Windows
Server 2012
R2 avec HyperV
-Migration à chaud des VM
-Cœurs actifs des processeurs serveurs
-Propose un Hyperviseur natif, et complet
-Outil d’administration Server manager
RSAT
-Clients PSA Peugeot,Maaf
Mémoire Physique Max : 4 To
Nb de VM par Hôte : 1024
vCPU par VM : 64
vRAM par VM : 1 To
Tailles des DD virtuels : 64 To
Thin Disk Provisionning : Oui
Ajout à chaud : Oui
Gestion de la mémoire : Dynamic, Memory,
Transparent,Swapping
Snapshot : OUI
Live Migration : Oui
Oracle NC Oracle VM
Server
-Supporte indifféremment les
applications Oracle que d’autres
applications du marché.
-Elle supporte les pools de serveurs sous
architecture x86 et x86-64 bits aussi bien
sous systèmes d’exploitation Windows
que Linux.
Mémoire Physique Max : 4 To
vCPU par VM : 160
Gestion de la mémoire : Dynamic, Memory
Redhat NC Redhat Entreprise
Virtualization
For Servers
-Est optimisé pour les systèmes multi
cœurs très évolutifs
-gère la complexité du système sous-
jacent
-garantit l’intégrité des données de bout
en bout
Mémoire Physique Max : 2 To
Nb de VM par Hôte : 550
vCPU par VM : 160
Gestion de la mémoire : Dynamic, Memory
Self-provisionning
Tableau 3 : comparatif des technologies de virtualisation
MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
OLIVIER MAWOURKA 37
3. En quoi VMware Esxi est-elle la meilleure technologie de
virtualisation ?
Les départements informatiques sont continuellement contraints de suivre l’évolution des
tendances du marché et de satisfaire les demandes des clients toujours plus importantes. Dans
le même temps, ils doivent étendre les ressources informatiques pour prendre en charge des
projets de plus en plus complexes. Heureusement, ESXi permet de trouver le juste milieu entre
l’augmentation des résultats opérationnels et l’allégement des coûts informatiques. Grâce à
VMware ESXi, vous pouvez :
 Consolider le matériel pour une utilisation optimale de la capacité ;
 Accroître les performances pour bénéficier d’un avantage concurrentiel ;
 Simplifier l’administration informatique par le biais d’une gestion centralisée ;
 Réduire les dépenses d’investissement et les coûts d’exploitation ;
 Minimiser les ressources matérielles nécessaires à l’exécution de l’hyperviseur, de
manière à améliorer l’efficacité.
4. Choix de l’IPBX
Qu’est-ce qu’un IPBX ?
Un IPBX ou PABX IP (Private Branch Exchange) est un équipement (autocommutateur)
téléphonique capable d’acheminer les appels sur un réseau via l’utilisation du protocole IP.
Internet Protocol permet à partir de l’identifiant d’un hôte (PC, téléphone) un identifiant appelé
une adresse IP d’acheminer des flux voix, données et images au sein d’un réseau informatique.
Il gère l’établissement des communications entre plusieurs postes à l’intérieur d’une entreprise,
ainsi que vers l’extérieur (réseau de public : PSTN). Pour établir une communication, les
utilisateurs pourront utiliser un softphone (logiciel installé sur un PC) où un hardphone
(téléphone « matériel » qui utilise les protocoles de voix sur IP – ToIP) compatibles avec l’IPBX
utilisé. L’IPBX en fonction du niveau d’intelligence, permettra de fournir l’ensemble des
services lié à la gestion de la téléphonie de l’entreprise.
Lorsqu’on décide d’installer un IPBX, on commence généralement par regarder ce qui est
disponible sur le marché. Mais face aux nombreux systèmes et modèles disponibles, on peut
parfois se sentir rapidement perdu. Pour nous aider dans notre choix, un tableau comparatif
des solutions IPBX open source du marché.
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée

Contenu connexe

Tendances

conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...ismailbou
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsStephen Salama
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Rapport PFE 2011 Zimbra
Rapport PFE 2011 ZimbraRapport PFE 2011 Zimbra
Rapport PFE 2011 ZimbraAyoub Kochbati
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Abdallah YACOUBA
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauGeorges Amichia
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPMounir Kaali
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Concept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sitesConcept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sitesAmadou Dia
 

Tendances (20)

conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Rapport PFE VoIP
Rapport PFE VoIPRapport PFE VoIP
Rapport PFE VoIP
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIP
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
 
Rapport PFE 2011 Zimbra
Rapport PFE 2011 ZimbraRapport PFE 2011 Zimbra
Rapport PFE 2011 Zimbra
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
Rapport de stage bts
Rapport de stage btsRapport de stage bts
Rapport de stage bts
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIP
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Voip FreeSwitch
Voip FreeSwitchVoip FreeSwitch
Voip FreeSwitch
 
Concept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sitesConcept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sites
 

Similaire à Mise en place d'une solution VOIP sécurisée

Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Arnold Stellio
 
Memoire_Nguessan.docx
Memoire_Nguessan.docxMemoire_Nguessan.docx
Memoire_Nguessan.docxAmadouMbaye11
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
rapport MobiResto
rapport MobiResto rapport MobiResto
rapport MobiResto Slim Hammami
 
Etude et mise en place d'un plateforme IMS Sécurisée
Etude et mise en place d'un plateforme IMS SécuriséeEtude et mise en place d'un plateforme IMS Sécurisée
Etude et mise en place d'un plateforme IMS SécuriséeHermann GBILIMAKO
 
Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)
Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)
Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)zakia saadaoui
 
Memoire finale
Memoire finaleMemoire finale
Memoire finalegoogang
 
éTude et mise_en_place_d_une_solution_voip_sécurisée
éTude et mise_en_place_d_une_solution_voip_sécuriséeéTude et mise_en_place_d_une_solution_voip_sécurisée
éTude et mise_en_place_d_une_solution_voip_sécuriséeahmedElkha
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !Massimo Russo
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !Massimo Russo
 
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...ImnaTech
 
Rapport_deStage
Rapport_deStageRapport_deStage
Rapport_deStageOmar TRAI
 
[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...
[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...
[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...Erika DESANGLE
 
Conception d'un module de gestion de la paie adapté au contexte marocain pour...
Conception d'un module de gestion de la paie adapté au contexte marocain pour...Conception d'un module de gestion de la paie adapté au contexte marocain pour...
Conception d'un module de gestion de la paie adapté au contexte marocain pour...HORIYASOFT
 

Similaire à Mise en place d'une solution VOIP sécurisée (20)

Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
 
Memoire complet.pdf
Memoire complet.pdfMemoire complet.pdf
Memoire complet.pdf
 
Memoire_Nguessan.docx
Memoire_Nguessan.docxMemoire_Nguessan.docx
Memoire_Nguessan.docx
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
rapport MobiResto
rapport MobiResto rapport MobiResto
rapport MobiResto
 
MEMOIRE DE STAGE
MEMOIRE DE STAGEMEMOIRE DE STAGE
MEMOIRE DE STAGE
 
Etude et mise en place d'un plateforme IMS Sécurisée
Etude et mise en place d'un plateforme IMS SécuriséeEtude et mise en place d'un plateforme IMS Sécurisée
Etude et mise en place d'un plateforme IMS Sécurisée
 
Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)
Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)
Contribution a la_realisation_dune_plate_forme_de_suivi_de_colis (1)
 
Memoire finale
Memoire finaleMemoire finale
Memoire finale
 
éTude et mise_en_place_d_une_solution_voip_sécurisée
éTude et mise_en_place_d_une_solution_voip_sécuriséeéTude et mise_en_place_d_une_solution_voip_sécurisée
éTude et mise_en_place_d_une_solution_voip_sécurisée
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
 
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
 
Rapport_deStage
Rapport_deStageRapport_deStage
Rapport_deStage
 
[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...
[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...
[Memoire 2016] Comment les entreprises peuvent-elles améliorer leur e-réputat...
 
Conception d'un module de gestion de la paie adapté au contexte marocain pour...
Conception d'un module de gestion de la paie adapté au contexte marocain pour...Conception d'un module de gestion de la paie adapté au contexte marocain pour...
Conception d'un module de gestion de la paie adapté au contexte marocain pour...
 
MEMOIRE TIEMOKO BATHILY.docx
MEMOIRE TIEMOKO BATHILY.docxMEMOIRE TIEMOKO BATHILY.docx
MEMOIRE TIEMOKO BATHILY.docx
 
Rapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFERapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFE
 

Mise en place d'une solution VOIP sécurisée

  • 1. REPUBLIQUE DU SENEGAL Un Peuple – Un But – Une Foi MINISTERE DE L’ENSEIGNEMENT SUPERIEUR, DE LA RECHERCHE ET DE L’INNOVATION INSTITUT COMMUNAUTAIRE AFRICAIN DE GESTION ET D’INGENIERIE ICAGI -Amadou Mahtar MBOW Agrément N°197/MERS/DGES/DESP du 22 avril 2014 Habilitation N°RepSEN/Ensup-priv/HA/043 - 2018 DEPARTEMENT D’INFORMATIQUE Mémoire de Fin d’étude pour l’obtention du diplôme de Master en Systèmes et Technologies de l’Information Option : « Sécurité et Réseaux Informatiques » Sujet Promotion 2019-2020 Présenté par : Sous la direction de : Olivier Gossene MAWOURKA Alain AMEDOHA RD manager à IPCOM-Technology, Consultant/Formateur, Certifié Linux MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE
  • 2. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA I Dédicace À MES CHERS PARENTS Aucune dédicace ne saurait exprimer mon respect, mon amour éternel et ma considération pour les sacrifices que vous avez consenti pour mon instruction et mon bien être. Je vous remercie pour tout le soutien et l’amour que vous me portez depuis mon enfance et j’espère que votre bénédiction m’accompagne toujours. Que ce modeste travail soit l’exaucement de vos vœux tant formulés, le fruit de vos innombrables sacrifices, bien que je ne vous en acquitterais jamais assez. Puisse Dieu, le Très Haut, vous accorder santé, bonheur et longue vie et faire en sorte que jamais je ne vous déçoive.
  • 3. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA II Remerciements Au terme de ce projet de fin d’études, j’adresse mes sincères remerciements à Monsieur Alain AMEDOHA, mon encadreur de ICAGI, pour m’avoir proposé ce projet et pour son encadrement et aussi pour sa patience, sa disponibilité et surtout ses judicieux conseils, qui ont contribué à alimenter ma réflexion. Je tiens à remercier également Monsieur Ousmane BA, DG de Danewell Solutions et Mr Melchior MOROUBA Ingénieur à Danewell solutions, pour votre suivi et vos remarques qui m’ont permis de mener à bien ce travail. Mes remerciements s’adressent également à l’administration très particulièrement à Monsieur Abdon Privat PAMBOU DG de ICAGI et aux professeurs de ICAGI pour les moyens qu’ils ont mis à notre disposition afin d’élaborer ce travail. Je souhaite exprimer enfin ma gratitude et mes vifs remerciements à ma famille et mes amis pour leurs soutiens très particulièrement mon père Monsieur Jean Marie MAWOURKA et ma Mère Marie Brigitte NGOMBE qui ont accepté de financer mes études. Pour finir, je remercie les membres du jury qui ont accepté d’évaluer mon projet. Je leurs présentons toute mes gratitudes et mes profonds respects.
  • 4. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA III Table des matières Dédicace......................................................................................................................................I Remerciements .......................................................................................................................... II Table des matières.................................................................................................................... III Liste des Tableaux et Figures...................................................................................................VI INTRODUCTION GENERALE................................................................................................ 1 CHAPITRE 1 : ETUDE GENERALE DE LA VOIP................................................................ 3 1. Introduction ..................................................................................................................... 3 I.1. Présentation de la VOIP........................................................................................... 4 I.1.1. Définition ............................................................................................................. 4 I.1.2. La VOIP – ToIP ................................................................................................... 4 I.1.3. Architecture de la VOIP....................................................................................... 4 I.1.4. Principe de fonctionnement de la VOIP............................................................... 6 I.2. LES PROTOCOLES................................................................................................ 6 I.2.1.1. Protocoles De Transport ................................................................................... 6 I.2.1.2. Protocole RTP................................................................................................... 6 I.2.1.3. Protocole RTCP................................................................................................ 7 I.2.2. Protocoles de Communication ............................................................................. 7 I.2.2.1. Protocole H323................................................................................................. 7 I.2.2.2. IAX/IAX2......................................................................................................... 8 I.2.2.3. Protocole SIP .................................................................................................... 8 I.2.2.3.1. Description générale du protocole SIP.......................................................... 8 I.2.2.3.2. Principe de Fonctionnement de SIP.............................................................. 9 I.2.2.3.3. Fixation d’un compte SIP ............................................................................. 9 I.2.2.3.4. Changement des caractéristiques durant une session.................................... 9 I.2.2.3.5. Gestion des participants .............................................................................. 10 I.2.2.3.6. Négociation des médias supportés.............................................................. 10 I.2.2.3.7. Adressage.................................................................................................... 10 I.2.2.3.8. Modèle d’échange....................................................................................... 10 I.2.2.3.9. Codes d’erreurs ........................................................................................... 11 I.2.2.3.10. Rôle des composants................................................................................... 12 I.3. Avantages et inconvénients.................................................................................... 13 Inconvénients ................................................................................................................... 13 I.3.1. Avantages et Inconvénients VOIP ..................................................................... 14
  • 5. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA IV I.4. Conclusion ............................................................................................................. 15 Chapitre 2 : ATTAQUES CONTRE LA VOIP ET LES BONNES PRATIQUES DE SECURISATION..................................................................................................................... 16 I. Introduction ............................................................................................................... 16 I.1. ATTAQUES SUR LE RESAU INFORMATIQUE .............................................. 16 I.1.1. Les attaques DDoS ou attaques par déni de service........................................... 17 I.1.2. Les Man-in-the-Middle attaques ou MitM......................................................... 17 I.1.3. Le drive-by download ou téléchargement furtif................................................. 17 I.1.4. Les attaques par mot de passe ............................................................................ 18 I.1.5. Injection SQL ..................................................................................................... 18 I.1.6. Les logiciels malveillants ou malwares.............................................................. 18 I.1.7. Le cryptojacking................................................................................................. 19 I.1.8. Les intrusions sur les objets connectés............................................................... 19 I.1.9. Les attaques géopolitiques ................................................................................. 19 I.1.10. Les cross-site scripting (XSS) ........................................................................ 19 I.1.11. Les attaques de phishing................................................................................. 20 I.1.12. Les attaques cyber-physiques ......................................................................... 20 I.2. ATTAQUES SUR LES PROTOCOLES VOIP .................................................... 20 I.2.1. Suivie d'appel ..................................................................................................... 21 I.2.2. Injection de paquet RTP..................................................................................... 21 I.3. Les Spams .............................................................................................................. 22 I.4. Détournement d’appel (Call Hijacking)................................................................. 22 I.4.1. L’écoute clandestine........................................................................................... 22 I.5. LES VULNERABILITEES DE L’INFRACSTRUTURE..................................... 23 I.5.1. Faiblesses dans la configuration des dispositifs de la VOIP.............................. 23 I.5.2. Les téléphones IP ............................................................................................... 23 I.5.3. Les serveurs........................................................................................................ 24 I.5.4. Les vulnérabilités du System d’exploitation ...................................................... 25 II. SECURISATION ET BONNE PRATIQUES....................................................... 25 II.1. Sécurisation protocolaire.................................................................................... 25 II.2. VOIP VPN.......................................................................................................... 26 II.3. Secure RTP ou SRTP ......................................................................................... 26 II.4. Sécurisation de l’application .............................................................................. 29 II.5. Sécurisation du System d’exploitation............................................................... 29
  • 6. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA V II.6. Ajouts et recommandations de sécurité.............................................................. 31 III. Conclusion ............................................................................................................. 32 CHAPITRE 3 : CHOIX, INSTALLATION ET CONFIGURATION..................................... 34 I. INTRODUCTION..................................................................................................... 34 II. CHOIX................................................................................................................... 34 1. Choix de la technologie de Virtualisation.............................................................. 34 2. Tableau comparatif des acteurs du marché de la virtualisation coté serveur......... 35 3. En quoi VMware Esxi est-elle la meilleure technologie de virtualisation ?.......... 37 4. Choix de l’IPBX .................................................................................................... 37 5. Tableau comparatif des solutions ipbx open source du marché............................. 38 6. Installation et configuration de VMware Esxi .............................................................. 39 7. Les étapes d’installation de VMware Esxi............................................................. 39 III. Installation et Configuration de Issabel PBX......................................................... 42 1. Les étapes d’installation de Issabel........................................................................ 42 2. Configuration de Issabel PBX ............................................................................... 45 3. Création des extensions.......................................................................................... 45 4. Création des utilisateurs......................................................................................... 48 5. Configuration Follow Me - Redirection d’appels.................................................. 49 6. Configuration Ring Groups - Groupement d’appels.............................................. 50 7. Configuration du client Zoiper............................................................................... 51 8. C’est quoi Wireshark ?........................................................................................... 53 9. Ecoute clandestine avec Wireshark........................................................................ 54 CHAPITRE 4 : SECURISATION DE LA SOLUTION MISE EN PLACE (ISSABEL_PBX) .................................................................................................................................................. 58 I. INTRODUCTION..................................................................................................... 58 II. Sécurisation du Serveur ......................................................................................... 58 II.1. Installation et configuration du pare-feu................................................................... 58 II.1.1. Configuration du pare-feu ..................................................................................... 58 II.2. Configuration de Fail2ban........................................................................................ 61 II.2.1. Définition de fail2ban............................................................................................ 61 II.2.2. Configuration de Fail2ban..................................................................................... 61 II.3. Configuration du TLS et du SRTP ........................................................................... 63 II.3.1. Configuration du TLS............................................................................................ 63 III. Installation Configuration de la haute Disponibilité.............................................. 65
  • 7. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA VI III.1. Définition ........................................................................................................... 65 III.2. Installation de la Haute Disponibilité................................................................. 66 IV. Conclusion ............................................................................................................. 71 Conclusion Générale ................................................................................................................ 72 Webographie ............................................................................................................................ 73 ACRONYMES......................................................................................................................... 74 ANNEXES ............................................................................................................................... 76 Annexe1 Les étapes d’installation de Vmware Esxi........................................................ 76 Annexe2 Les étapes d’installation de Issabel................................................................... 79 Liste des Tableaux et Figures Liste des tableaux Tableau 1 : Avantages et inconvénients du protocole sip ........................................................ 13 Tableau 2 : Avantages et inconvénients de la VOIP................................................................ 14 Tableau 3 : comparatif des technologies de virtualisation ....................................................... 36 Tableau 4 : Comparatif des solutions ipbx open source........................................................... 38 Liste des figures Figure 1: Architecture générale de la voip................................................................................. 5 Figure 2 : Principe du protocole RTP......................................................................................... 7 Figure 3 : Example d'une session sip (Source 3cx).................................................................. 11 Figure 4 : Enregistrement d’un utilisateur................................................................................ 12 Figure 5 : Principe du protocole SIP ........................................................................................ 13 Figure 6 : Architecture du SRTP (source 3cx)......................................................................... 27 Figure 7 : Format d’un paquet SRTP ....................................................................................... 28 Figure 8 : Démarrage de l’installation de Vmware Esxi.......................................................... 40 Figure 9 : Ecran d’accueil de VMware Esxi ............................................................................ 40 Figure 10 : Page d’accueil de la console d’administration Web de VMware Esxi.................. 41 Figure 11 : Ecran principale d’administration web de VMware Esxi...................................... 41 Figure 12 : Sélection du type de création de machine virtuelle ............................................... 42 Figure 13 : Sélection du nom et du type de l’OS ..................................................................... 42
  • 8. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA VII Figure 14 : Personnalisation des paramètres de la machine virtuelle....................................... 43 Figure 15 : Accueil de l’installation de Issabel........................................................................ 43 Figure 16 : Interface Issabel..................................................................................................... 44 Figure 17 : Interface web d’administration de Issabel ............................................................. 45 Figure 18 : Tableau de bord de Issabel..................................................................................... 45 Figure 19 : Configuration de PBX ........................................................................................... 46 Figure 20 : Ajout d’une extension sip ...................................................................................... 46 Figure 21 : Création d’une extension sip ................................................................................. 47 Figure 22 : Création du mot de passe....................................................................................... 47 Figure 23 : Liste des extensions ............................................................................................... 48 Figure 24 : Création des utilisateurs......................................................................................... 48 Figure 25 : Tableau de bord de la création des utilisateurs...................................................... 48 Figure 26 : Création d’un utilisateur ........................................................................................ 49 Figure 27 : Liste des utilisateurs .............................................................................................. 49 Figure 28 : Configuration de Follow me.................................................................................. 50 Figure 29 : Configuration de Ring Group ................................................................................ 51 Figure 30 : Configuration des comptes sip sur zoiper (smartphone et pc)............................... 51 Figure 31 : Vérification du protocole sip udp par zoiper ......................................................... 52 Figure 32 : Lancement d’un appel sur zoiper........................................................................... 53 Figure 33 : Choix de l’interface à capturer par wireshark........................................................ 54 Figure 34 : Capture des paquets par wireshark ........................................................................ 54 Figure 35 : Application de filtre sip dans wireshark ................................................................ 54 Figure 36 : Lancement d’un appel par zoiper........................................................................... 55 Figure 37 : Réception d’un appel ............................................................................................. 55 Figure 38 : Application du filtre rtp dans wireshark ................................................................ 56 Figure 39 : Liste des flux rtp .................................................................................................... 56 Figure 40 : Ecoute d’une conversation avec wireshark............................................................ 57 Figure 41 : Configuration du pare-feu...................................................................................... 59 Figure 42 : Définition des ports................................................................................................ 59 Figure 43 : Activation du pare-feu ........................................................................................... 60 Figure 44 : Définition des règles du pare-feu........................................................................... 60 Figure 45 : Liste des règles du pare-feu ................................................................................... 60 Figure 46 : Blocage de certaines règles du pare-feu ................................................................ 61
  • 9. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA VIII Figure 47 : Configuration de fail2ban...................................................................................... 62 Figure 48 : Configuration de la prison pour asterisk................................................................ 62 Figure 49 : Liste des prisons des services ................................................................................ 63 Figure 50 : Script de génération des certificats........................................................................ 64 Figure 51 : Liste des clés générer............................................................................................. 64 Figure 52 : Configuration du fichier pjsip.conf........................................................................ 65 Figure 53 : Configuration du tls sur l’interface Web ............................................................... 65 Figure 54 : Ping du node1 vers node2..................................................................................... 66 Figure 55 : Ping du node2 vers node1..................................................................................... 67 Figure 56 : Installation du pacemaker ..................................................................................... 67 Figure 57 : Démarrage des services corosync et pacemaker.................................................... 68 Figure 58 : Installation du paquet pcs ...................................................................................... 68 Figure 59 : Authentification sur les nœuds .............................................................................. 68 Figure 60 : Lancement de la configuration du claster.............................................................. 69 Figure 61 : Démarrage du cluster............................................................................................. 69 Figure 62 : Vérification de la status du cluster......................................................................... 70 Figure 63 : Vérification de la status des nœuds corosync........................................................ 70 Figure 64 : Configuration du VIP (Virtuelle IP)...................................................................... 70 Figure 65 : Prise en charge du VIP .......................................................................................... 71 Figure 66 : Démarrage de l’installation de Vmware Esxi........................................................ 76 Figure 67 : Bienvenu sur le programme d’installation de Esxi 6.7.0....................................... 76 Figure 68 : Contrat de licence de VMware Esxi ...................................................................... 77 Figure 69 : Choix du media d’installation................................................................................ 77 Figure 70 : Choix de la langue du clavier ................................................................................ 78 Figure 71 : Définition du mot de passe administrateur de VMware Esxi................................ 78 Figure 72 : Confirmation de l’installation................................................................................ 78 Figure 73 : Progression de l’installation .................................................................................. 78 Figure 74 : Installation complète de VMware et redémarrage................................................. 79 Figure 75 : Accueil de l’installation de Issabel........................................................................ 79 Figure 76 : Choix de la langue d’installation ........................................................................... 80 Figure 77 : Résumé de l’installation Issabel ............................................................................ 80 Figure 78 : Configuration du mot de passe administrateur ...................................................... 81 Figure 79 : Configuration du mot de passe de la base des données......................................... 81
  • 10. INTRODUCTION GENERALE Il y a quelques années, la transmission de la voix sur le réseau téléphonique classique ou RTC constituait l’exclusivité des télécommunications. Aujourd’hui, la donne a changé. La transmission de la voix via les réseaux IP constitue une nouvelle évolution majeure comparable à la précédente. Au-delà de la nouveauté technique, la possibilité de fusion des réseaux IP et téléphoniques entraîne non seulement une diminution de la logistique nécessaire à la gestion de deux réseaux, mais aussi une baisse importante des coûts de communication ainsi que la possibilité de mise en place de nouveaux services utilisant simultanément la voix et les données. Plus, récemment, Internet s'est étendu partiellement dans l'Intranet de chaque organisation, voyant ainsi le trafic total basé sur un transport réseau de paquets IP surpasser le trafic traditionnel du réseau voix (réseau à commutation de circuits). Plusieurs fournisseurs offrent certaines solutions qui permettent aux entreprises de migrer vers le monde IP. Des constructeurs de PABX tels que Nortel, Siemens, et Alcatel préfèrent la solution de l’intégration progressive de la VoIP en ajoutant des cartes extensions IP. Cette approche facilite l’adoption du téléphone IP surtout dans les grandes sociétés possédant une plateforme classique et voulant bénéficier de la voix sur IP. Mais elle ne permet pas de bénéficier de tous les services et la bonne intégration vers le monde des données. Le développement des IPBX software, est la solution proposée par des fournisseurs tels que Cisco et Asterisk, permet de bénéficier d’une grande flexibilité, d’une très bonne intégration au monde des données et de voix, et surtout d’un prix beaucoup plus intéressant. Cette solution, qui est totalement basée sur la technologie IP, est donc affectée par les vulnérabilités qui menacent la sécurité de ce protocole et l’infrastructure réseau sur laquelle elle est déployée. Cette dernière est un grand problème pour les entreprises et un grand défi pour les développeurs. Certaines attaques sur les réseaux VoIP, comme les attaques de déni de service, et les vols d’identité, peuvent causer des pertes catastrophiques et énormes pour les entreprises. Pour cela la sécurité du réseau VoIP n’est pas seulement une nécessité mais plutôt une obligation, avec laquelle on peut réduire, au maximum, le risque d’attaques sur les réseaux VoIP. La sécurité d’une solution de VoIP doit couvrir toute l’infrastructure réseau, incluant les outils et les équipements de gestion des communications et des utilisateurs, le système d’exploitation sur lesquels sont installés ces outils, et les protocoles de signalisation et de transport de données.
  • 11. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 2 Il faut même se protéger contre les personnes malveillantes. Mieux on sécurise, moins il y a de risques. Ce travail a pour objectif : l’étude des protocoles de VoIP et des architectures proposées ; l’étude des vulnérabilités et des attaques de sécurités surs les divers composants d’une infrastructure VoIP dans des réseaux LAN ; et la mise en place d’une solution de VoIP sécurisée. Les entreprises, bénéficiant de notre solution, seront capables de mettre en place une plateforme de VoIP assez flexible, peu couteux, et protégée contre les attaques de sécurité de l’intérieur du réseau comme de l’extérieur aussi. Ce mémoire se compose de deux parties et chaque partie est composées deux chapitres. Dans la première partie, le premier chapitre introduit la voix sur IP et ces éléments, décrit et explique son architecture et ces protocoles, et énumère les majeurs points forts de cette technologie ainsi que ses faiblesses. Le deuxième chapitre s’intéresse aux Attaques contre la VOIP et les bonnes pratiques de sécurisation. Il détaille les différents types de vulnérabilités de sécurité partagées en trois classes : vulnérabilités liées aux protocoles, vulnérabilités liées aux infrastructures, et vulnérabilités liées aux systèmes. Les bonnes pratiques et solutions de sécurités à mettre en places pour remédier à ces vulnérabilités, sont aussi définies. Dans la deuxième partie, le premier chapitre, s’intéresse au Choix, Installation et Configuration. Décrit quelques solutions IPBX, l’installation, Configuration et la création des machines virtuelles puis l’installation et configuration des serveurs IPBX et des clients. Le deuxième chapitre s’intéresse à la sécurisation de la solution mise en place. Une implémentation des différentes solutions et mesures nécessaires à sécurisation du serveur et des clients.
  • 12. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 3 CHAPITRE 1 : ETUDE GENERALE DE LA VOIP 1. Introduction Le RTCP (Réseau Téléphonique Commuté Publique) ou PSTN (Public Switched telephone Network) ou couramment appelé RTC constitue un des plus grands réseaux au monde avec plusieurs centaines de millions d’abonnés. Essentiellement analogique au départ, le réseau s'est progressivement numérisé mis à part la ligne d'abonné qui reste encore analogique. Il donne accès à de multiples fonctions, le RTC nous permet d'utiliser de multiples services tel que la transmission et réception de fax, l'utilisation d'un minitel, accéder à Internet etc. On peut considérer que le RTC est constitué d'un réseau local (boucle locale) est d'un réseau dorsal (backbone). Un réseau téléphonique est constitué d’un ensemble des organes nécessaires pour mettre en communication deux installations téléphoniques d'abonnés utilisant les renseignements fournis par l'abonné demandeur (numérotation) et de maintenir celle-ci pendant toute la durée de conversation avec une qualité d’écoute satisfaisante, tout en supervisant cette communication pour détecter toute coupure ou raccrochage afin de libérer les organes qui ont servi à la réalisation de la liaison et en fin, de faire une taxation. Suite à l’explosion de la bande passante sur les réseaux IP et à l’avènement du haut débit chez les particuliers et dans les entreprises, de nouvelles techniques de communications sont apparues ces dernières années. L’une les plus en vogue, est ce que l’on appelle « Voix sur IP ou VOIP». La migration des entreprises vers ce genre de technologie n’est pas pour rien. Le but est principalement de : minimiser le coût des communications ; utiliser le même réseau pour offrir des services de données, de voix, et d’images ; et simplifier les coûts de configuration et d’assistance. Il devenait clair que dans le sillage de cette avancée technologique, les opérateurs, entreprises ou organisations et fournisseurs devaient pour bénéficier de l’avantage du transport unique IP, introduire de nouveaux services voix et vidéo. Ainsi, l’une des solutions qui marque le “boom” de la voix sur IP au sein des entreprises est la solution PABX (Private Automatic Branch eXchange IP) qui est l’équivalent des IPBX traditionnels pour un réseau IP. Ce vaste marché, longtemps dominé par des solutions propriétaires proposées par des entreprises renommées (Cisco, 3Com, EADS, etc.) voit aujourd’hui, avec la maturité des technologies “Open Source”, l’émergence d’une nouvelle génération IPBX développés en logiciels libres, peu coûteux mais néanmoins performantes
  • 13. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 4 L’objectif de ce chapitre est l’étude de cette technologie et de ses différents aspects. On parlera en détail de l’architecture de la VoIP, ses éléments et son principe de fonctionnement. On détaillera aussi des protocoles VoIP de transport et de signalisation ainsi que leurs principes de fonctionnement et de leurs principaux avantages et inconvénients. I.1.Présentation de la VOIP I.1.1. Définition VOIP est un acronyme qui signifie Voice Over Internet Protocol, ou en d’autres termes, la transmission de la voix via Internet. C’est une technologie qui permet de délivrer des communications vocales ou multimédia (vidéo par exemple) via le réseau Internet (IP). I.1.2. La VOIP – ToIP La ToIP (« Telephony over IP » ou « téléphonie sur IP ») et la VoIP (« Voice over IP » ou « Voix sur IP ») sont 2 solutions professionnelles de téléphonie qui sont pas toujours bien distinguées. Les 2 fonctionnent grâce au protocole internet IP, c’est au niveau de leur champ d’action que les différences sont à rechercher. La VoIP exerce son action sur les transmissions de signal vocal entre l’entreprise et le standard central de l’opérateur téléphonique. La ToIP est quant à elle un système de téléphonie qui se limite au réseau IP local. C’est donc un simple routeur créant la connexion entre le réseau LAN (société) et le réseau WAN (opérateur) qui différencie ces 2 solutions de téléphonie. I.1.3. Architecture de la VOIP La VoIP étant une nouvelle technologie de communication, elle n'a pas encore de standard unique. En effet, chaque constructeur apporte ses normes et ses fonctionnalités à ses solutions. Il existe tout de même des références en la matière. Les trois principales sont H.323, SIP et MGCP/MEGACO. Il existe donc plusieurs approches pour offrir des services de téléphonie et de visiophonie sur des réseaux IP. Certaines placent l'intelligence dans le réseau alors que d'autres préfèrent une approche peer to peer avec l'intelligence répartie à la périphérie. Chacune ayant ses avantages et ses inconvénients. De façon générale la topologie d'un réseau de téléphonie IP comprend toujours des terminaux, un serveur de communication et une passerelle vers les autres réseaux. Le routeur : permet d'aiguiller les données et le routage des paquets entre deux réseaux.
  • 14. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 5 Certains routeurs permettent de simuler un Gatekeeper grâce à l'ajout de cartes spécialisées supportant les protocoles VoIP. La passerelle : permet d’interfacer le réseau commuté et le réseau IP. Le PABX : est le commutateur du réseau téléphonique classique. Il permet de faire le lien entre la passerelle ou le routeur, et le réseau téléphonique commuté (RTC). Toutefois, si tout le réseau devient IP, ce matériel devient obsolète. Les Terminaux : sont généralement de type logiciel (software phone) ou matériel (hardphone), le softphone est installé dans le PC de l'utilisateur. L'interface audio peut être un microphone et des haut-parleurs branchés sur la carte son, même si un casque est recommandé. Pour une meilleure clarté, un téléphone USB ou Bluetooth peut être utilisé. Le hardphone est un téléphone IP qui utilise la technologie de la Voix sur IP pour permettre des appels téléphoniques sur un réseau IP tel que l'Internet au lieu de l'ordinaire système PSTN. Les appels peuvent parcourir par le réseau internet comme par un réseau privé. Un terminal utilise des protocoles comme le SIP (Session Initiation Protocol) ou l’un des protocoles propriétaire tel que celui utilisée par Skype. Figure 1: Architecture générale de la voip
  • 15. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 6 I.1.4. Principe de fonctionnement de la VOIP Le principe de la VoIP est la transmission de données vocales par un réseau IP ou Internet Protocol. La conversation téléphonique VoIP ne circule plus par les fils de cuivre du réseau téléphonique standard analogique, elle passe par un réseau de données numériques en empruntant les câbles Ethernet au départ et à l’arrivée. Les données transmises sont sous forme de paquets, c’est un lot de données numériques, en clair, une série de 0 et 1 sous forme d’impulsions électriques ou optiques. Au départ, la modulation sonore produite par la voix est numérisée en temps réel ensuite compressé, mais elle ne circule pas en flux continu. L’écart est très bref pour que cela ne puisse pas avoir d’impacts dans la conversation, les données numériques sont regroupées et envoyées régulièrement dans le réseau IP en wagons d’informations numériques successifs, ce sont les paquets. À l’arrivée, c’est l’inverse qui se passe. Il est à noter que les paquets renferment en plus des données vocales l’adresse réseau des 2 interlocuteurs. I.2.LES PROTOCOLES I.2.1.1. Protocoles De Transport Aujourd’hui, le couple RTP/RTCP, s’utilise systématiquement dans les applications multimédias interactives, pour la téléphonie, la vidéo, les jeux vidéo et même les premiers simulateurs de réalité virtuelle. Ces protocoles applicatifs sont chargés de transporter une information multimédia en temps réel au travers d’un réseau IP. Cependant, ce couple de protocole n’est pas utilisé pour la réservation des ressources réseaux, ni pour fiabiliser les échanges, ni pour garantir les délais de transit puisque certains paquets peuvent être retardés. I.2.1.2. Protocole RTP Le RTP (Real Time Protocol) créé en 1996 dans la RFC 1889, rendu obsolète et standardisé par l’IETF par la RFC 3550 en 2003. Le RTP a été conçu pour transporter des flux IP ayant de fortes contraintes temporelles, typiquement, des flux multimédias, il permet de reconstituer les flux IP multimédia en temps réel en agissant à deux niveaux :  La synchronisation des flux  La reconstitution de l’ordre des paquets
  • 16. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 7 Il est important de noter que les protocoles de signalisation comme les protocoles de transport peuvent être utilisés entre les terminaux IP et l’IPBX, mais aussi directement entre les terminaux, si ces derniers peuvent communiquer en IP, ces solutions présentent des avantages et inconvénients. Figure 2 : Principe du protocole RTP I.2.1.3. Protocole RTCP Le RTCP (Real Time Control Protocol) lui aussi publié par l’IETF dans la RFC 3550 en 2003, permet un contrôle des flux RTP afin de garantir leurs intégrités ainsi qu’une supervision du réseau en agissant comme une sonde qui informe l’utilisateur de l’état du réseau en temps réel. Les protocoles RTP et RTCP sont indépendants mais néanmoins, leur association apporte une cohérence dans le traitement de l’information en temps réel afin d’optimiser les conditions de transport des flux IP multimédia ainsi que la qualité de service générale. I.2.2. Protocoles de Communication I.2.2.1. Protocole H323 Premier protocole VoIP, issue des technologies téléphoniques, il est développé par L’UIT-T, il est couramment considéré lourd à mettre en place et ayant comme conséquence un prix du marché fort. Ce protocole référencé H323 s’appel en réalité « Système de communication Multimédia Fonctionnant en mode Paquet » est apparue dans sa version 1 en 1996, il est aujourd’hui disponible en version 6. H 323 permet la mise en place de réseaux téléphoniques IP étendus. Sa prétendue complexité le réserve à un usage professionnel. Les majeures parties des FAI grand public en France utilisent MGCP et/ou SIP.
  • 17. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 8 I.2.2.2. IAX/IAX2 Le protocole IAX (Inter-Astérisk eXchange) est issu du projet d’IPBX open source et de la communauté « Astérisk », tout comme le SIP, c’est un protocole de ToIP VoIP qui permet de communiquer entre client/serveur ou serveur/serveur. La différence avec le SIP et le point fort de l’IAX, se base sur l’utilisation d’un port UDP unique qui est le port « 4569 » qui permet de s’affranchir des problématiques de NAT dans votre système télécom. Lorsque l’on parle d’IAX, on parle maintenant de la version 2 puisque la première version de ce protocole n’est quasiment plus utilisée (IAX 1= UDP 5036). Le protocole IAX n’est pas encore standardisé. L’IAX2 support maintenant l’authentification par certificat (PKI), le mode « Trunking » et possède aussi un « JitterBuffer » plus évolué que SIP, plus adapté aux boucles locales ADSL des particuliers, ce qui permet d’obtenir une légère augmentation du niveau de qualité que le SIP dans ces conditions. Le seul problème de ce protocole est qu’il n’est pas encore standardisé donc le nombre d’équipement supportant ce protocole reste faible. I.2.2.3. Protocole SIP I.2.2.3.1. Description générale du protocole SIP Le SIP (Session Initiation Protocol) est un protocole de signalement utilisé pour établir une “session” entre deux ou plus de participants, modifier cette session, et finalement terminer cette session. Son utilisation est devenue MAJEURE dans le monde de la téléphonie IP. Le fait que le SIP est un standard ouvert a généré un intérêt énorme sur le marché de la téléphonie, et les constructeurs de téléphones SIP ont connu une croissance phénoménale dans ce secteur. Le protocole SIP est un protocole texte, ressemblant beaucoup au protocole HTTP. Les messages sont sous forme de texte, et le mécanisme de requête-réponse permet un dépannage facile. La transmission des données elles-mêmes est effectuée par le Transmission Control Protocol (TCP) ou le User Datagram Protocol (UDP) au niveau 5 du modèle OSI. Le Session Description Protocol (or SDP) contrôle quel protocole est utilisé.
  • 18. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 9 Le message SIP décrit l’identité des participants lors d’un appel, et comment ces participants peuvent être joints sur un réseau IP. A l’intérieur des messages SIP, on peut voir parfois une déclaration SDP. Le SDP (Session Description Protocol) définira le type de canaux média qui seront établis pour la session – il décrira quels codecs sont disponibles et comment les terminaux médias peuvent se joindre sur le réseau IP. Une fois que cet échange de messages est terminé, le média est échangé via un autre protocole, en général le RTP (Real-Time Transmission Protocol). Le SIP a été développé par IETF et publié en tant que RFC 3261. Sa flexibilité lui a permis de remplacer quasiment entièrement le protocole H.323 dans le monde de la VoIP. I.2.2.3.2. Principe de Fonctionnement de SIP Puisque on choisira le protocole SIP pour effectuer notre travail, on s’approfondira à expliquer les différents aspects, caractéristiques qui font du protocole SIP un bon choix pour l’établissement de la session, les principales caractéristiques du protocole SIP sont : I.2.2.3.3. Fixation d’un compte SIP Il est important de s’assurer que la personne appelée soit toujours joignable. Pour cela, un compte SIP sera associé à un nom unique. Par exemple, si un utilisateur d’un service de voix sur IP dispose d’un compte SIP et que chaque fois qu’il redémarre son ordinateur, son adresse IP change, il doit cependant toujours être joignable. Son compte SIP doit donc être associé à un serveur SIP (proxy SIP) dont l’adresse IP est fixe. Ce serveur lui allouera un compte et il permettra d’effectuer ou de recevoir des appels quel que soit son emplacement. Ce compte sera identifiable via son nom (ou pseudo). I.2.2.3.4. Changement des caractéristiques durant une session Un utilisateur doit pouvoir modifier les caractéristiques d’un appel en cours. Par exemple, un appel initialement configuré en (voix uniquement) peut être modifié en (voix + vidéo). Différents modes de communication Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point à point (peer to peer), en mode diffusif ou dans un mode combinant ceux-ci.
  • 19. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 10  Mode Point à point : on parle dans ce cas-là d’unicast qui correspond à la communication entre deux machines.  Mode diffusif : on parle dans ce cas-là de « multicast » (plusieurs utilisateurs via une unité de contrôle MCU – Multipoint Control Unit).  Combinatoire : combine les deux modes précédents. Plusieurs utilisateurs interconnectés en multicast via un réseau à maillage complet de connexion. I.2.2.3.5. Gestion des participants Durant une session d’appel, de nouveaux participants peuvent joindre les participants d’une session déjà ouverte en participant directement, en étant transférés ou en étant mis en attente (cette particularité rejoint les fonctionnalités d’un PABX par exemple, où l’appelant peut être transféré vers un numéro donné ou être mis en attente). I.2.2.3.6. Négociation des médias supportés Cela permet à un groupe durant un appel de négocier sur les types de médias supportés. Par exemple, la vidéo peut être ou ne pas être supportée lors d’une session. I.2.2.3.7. Adressage Les utilisateurs disposant d’un numéro (compte) SIP disposent d’une adresse ressemblant à une adresse mail (sip : numéro@serveursip.com). Le numéro SIP est unique pour chaque utilisateur. I.2.2.3.8. Modèle d’échange Le protocole SIP repose sur un modèle Requête/Réponse. Les échanges entre un terminal appelant et un terminal appelé se font par l'intermédiaire de requêtes. La liste des requêtes échangées est la suivante :  Invite : cette requête indique que l'application (ou utilisateur) correspondante à l'url SIP spécifié est invité à participer à une session. Le corps du message décrit cette session (par ex : médias supportés par l’appelant). En cas de réponse favorable, l'invité doit spécifier les médias qu'il supporte.  Ack : cette requête permet de confirmer que le terminal appelant a bien reçu une réponse définitive à une requête Invite.
  • 20. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 11  Options : un proxy server en mesure de contacter l'UAS (terminal) appelé, doit répondre à une requête Options en précisant ses capacités à contacter le même terminal.  Bye : cette requête est utilisée par le terminal de l'appelé afin de signaler qu'il souhaite mettre un terme à la session.  Cancel : cette requête est envoyée par un terminal ou un proxy server à fin d'annuler une requête non validée par une réponse finale comme, par exemple, si une machine ayant été invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de requête Ack, alors elle émet une requête Cancel.  Registre : cette méthode est utilisée par le client pour enregistrer l'adresse listée dans l'URL TO par le serveur auquel il est relié. Figure 3 : Example d'une session sip (Source 3cx) I.2.2.3.9. Codes d’erreurs La réponse à une requête est caractérisée, par un code et un motif, appelés respectivement code d'état et raison phrase. Un code d'état est un entier codé sur 3 digits indiquant un résultat à l'issue de la réception d'une requête. Ce résultat est précisé par une phrase. Textbased (UTF-8), expliquant le motif du refus ou de l'acceptation de la requête. Le code d'état est donc destiné à l'automate gérant l'établissement des sessions SIP et les motifs aux programmeurs. Il existe 6 classes de réponses et donc de codes d'état, représentées par le premier digit :  1xx = Information - La requête a été reçue et continue à être traitée.  2xx = Succès - L'action a été reçue avec succès, comprise et acceptée.  3xx = Redirection - Une autre action doit être menée afin de valider la requête.
  • 21. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 12  4xx = Erreur du client - La requête contient une syntaxe erronée ou ne peut pas être traitée par ce serveur.  5xx = Erreur du serveur - Le serveur n'a pas réussi à traiter une requête apparemment correcte.  6xx = Echec général - La requête ne peut être traitée par aucun serveur. I.2.2.3.10. Rôle des composants Dans un système SIP on trouve deux types de composantes, les agents utilisateurs (UAS, UAC) et un réseau de serveurs (Registrar, Proxy) L'UAS (User Agent Server) représente l'agent de la partie appelée. C'est une application de type serveur qui contacte l'utilisateur lorsqu'une requête SIP est reçue. Et elle renvoie une réponse au nom de l'utilisateur. L'U.A.C (User Agent Client) représente l'agent de la partie appelante. C'est une application de type client qui initie les requêtes. Le Registrar est un serveur qui gère les requêtes REGISTER envoyées par les Users Agents pour signaler leur emplacement courant. Ces requêtes contiennent donc une adresse IP, associée à une URI, qui seront stockées dans une base de données (figure 2). Les URI SIP sont très similaires dans leur forme à des adresses email : sip : utilisateur@domaine.com. Généralement, des mécanismes d'authentification permettent d'éviter que quiconque puisse s'enregistrer avec n'importe quelle URI. Figure 4 : Enregistrement d’un utilisateur Un Proxy SIP sert d’intermédiaire entre deux User Agents qui ne connaissent pas leurs emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a été stockée préalablement dans une base de données par un Registrar. Le Proxy peut donc interroger cette base de données pour diriger les messages vers le destinataire.
  • 22. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 13 Figure 5 : Principe du protocole SIP Le Proxy se contente de relayer uniquement les messages SIP pour établir, contrôler et terminer la session. Une fois la session établie, les données, par exemple un flux RTP pour la VoIP, ne transitent pas par le serveur Proxy. Elles sont échangées directement entre les User Agents. I.3.Avantages et inconvénients Avantages Inconvénients Standardisation : Normalisé par l’IETF Flexible : Utilisé pour toute type de sessions multimédia (voix, vidéo…) Téléphonie sur réseaux RTC : Nombreuses passerelles vers le réseau public de téléphonie (RTC, GSM, etc.) Compatibilité H323 : Certains codecs sont compatibles RTP Basé sur l'adresse IP : SIP ne traverse pas les NAT Rigueur : Nécessite, dans les User Agent une implémentation rigoureuse. Présence : SIP montre un certain nombre de faiblesses dans la gestion de la présence Tableau 1 : Avantages et inconvénients du protocole sip
  • 23. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 14 I.3.1. Avantages et Inconvénients VOIP Avantages Inconvénients  La qualité de la voix est identique à la téléphonie fixe traditionnelle.  Vous économisez les frais mensuels de connexion analogique ou RNIS.  Faire des appels via VoIP réduit vos coûts. Vous serez surpris par le prix bon marché des appels. Ça vaut la peine de comparer.  Vous êtes plus accessibles ! Avec peoplefone VoIP vous avez un nombre infini de ligne de conversation.  Utilisez votre numéro de téléphone VoIP n'importe où dans le monde.  En 15 minutes, vous aurez configuré votre connexion VoIP personnalisée. 1. Parce que les bandes passantes Internet faibles ou instables peuvent négativement influencer la qualité d'appel, vous avez besoin d'une connexion Internet (ADSL, VDSL, fibre, 4G) stable. 2. Si la connexion Internet est en panne, aucun appel n’est possible. Peoplefone vous offre une solution de sauvegarde gratuite. 3. Les transmissions de long fax peuvent interrompre la connexion. 4. En cas d'appels d'urgence des problèmes peuvent se produire. Nous recommandons pour les appels d'urgence d'utiliser le téléphone mobile ou de mentionner spécifiquement votre emplacement. Tableau 2 : Avantages et inconvénients de la VOIP
  • 24. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 15 I.4.Conclusion Comme on a pu le voir tout au long de ce chapitre, la VoIP est la solution la plus rentable pour effectuer des conversations. Actuellement il est évident que la VoIP va continuer à évoluer. La téléphonie IP est une bonne solution en matière d’intégration, fiabilité et de coût. On a vu que la voix sur IP étant une nouvelle technologie de communication, elle n’a pas encore de standard unique. Chaque standard possède ses propres caractéristiques pour garantir une bonne qualité de service. En effet, le respect des contraintes temporelles est le facteur le plus important lors de transport de la voix. Malgré que la normalisation n’ait pas atteint la maturité suffisante pour sa généralisation au niveau des réseaux IP, il n’est pas dangereux de miser sur ces standards vu qu’ils ont été acceptés par l’ensemble de la communauté de la téléphonie. Pour finir lors de la mise en œuvre de cette technologie, il faut poser la question suivante : le développement de cette technologie représente-t-il un risque ou une opportunité pour les utilisateurs et les opérateurs téléphoniques ?
  • 25. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 16 Chapitre 2 : ATTAQUES CONTRE LA VOIP ET LES BONNES PRATIQUES DE SECURISATION I. Introduction L’opportunité de migrer de la téléphonie classique vers la téléphonie IP, a offert plusieurs avantages pour les entreprises, et les a permis de bénéficier de nouveaux services tel que la vidéoconférence et la transmission des données. L’intégration de ces services dans une seule plateforme nécessite plus de sécurité. Dans ce chapitre, nous dériverons des attaques qui menacent la VoIP, et nous détaillerons quelques-uns. Nous finirons par une description des bonnes pratiques pour sécuriser les communications de type voix sur IP. Le système VOIP utilise l’Internet, et particulièrement le protocole IP. De ce fait les vulnérabilités de celui-ci. Les attaques sur les réseaux VOIP peuvent être classées en deux types : les attaques internes et les attaques externes. Les attaques externes sont lancées par des personnes autres que celle qui participe à l’appel, et ils se produisent généralement quand les paquets VoIP traversent un réseau peu fiable et/ou l’appel passe par un réseau tiers durant le transfert des paquets. Les attaques internes s’effectuent directement du réseau local dans lequel se trouve l’attaquant. Il existe deux principales classes de vulnérabilités sur un environnement VoIP. La première dépend des protocoles utilisés (SIP, H.323…) et la deuxième est reliée aux systèmes sur lesquels les éléments VOIP sont implémentés. Chaque protocole ou service a ses propres vulnérabilités. I.1.ATTAQUES SUR LE RESAU INFORMATIQUE Dans un monde où le progrès technologique avance à grande vitesse, où les gens, les entreprises, les organismes, les pays et même les objets sont de plus en plus connectés, les attaques informatiques sont de plus en plus fréquentes. La question de la cybersécurité se pose à tous les niveaux et tend à devenir un enjeu essentiel de ces prochaines années. Pour mieux se protéger, il est primordial de savoir à quoi s’attendre, et donc de connaître à minima les attaques informatiques les plus courantes. En voici une liste non-exhaustive :
  • 26. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 17 I.1.1. Les attaques DDoS ou attaques par déni de service Les attaques par déni de service sont faites pour submerger les ressources d’un système pour qu’il ne puisse plus répondre aux demandes. Contrairement aux autres attaques qui visent à obtenir ou à faciliter les accès à un système, l’attaque DDoS ne vise qu’à l’empêcher de fonctionner correctement. Cela ne procure pas d’avantages en soi à un pirate, si ce n’est la pure satisfaction personnelle. Cela est différent si, par exemple, le site victime est celui de votre concurrent. L’avantage pour l’attaquant est alors bien réel. L’attaque par déni de service peut aussi avoir pour but de lancer un autre type d’attaque. I.1.2. Les Man-in-the-Middle attaques ou MitM Les MitM sont un type d’attaque dont le principe est de s’insérer dans les communications entre un serveur et un client. Il en existe plusieurs : Le détournement de session : un attaquant détourne une session entre un client de confiance et un serveur réseau. L’attaquant substitue l’adresse IP du client pendant que le serveur continue la session, croyant que c’est toujours le client. L’usurpation d’IP : le pirate peut utiliser une adresse IP volée pour convaincre un système qu’il est un client fiable et connu. Le replay : une attaque replay se produit lorsqu’un attaquant intercepte et enregistre d’anciens messages et tente plus tard de les envoyer, se faisant passer pour quelqu’un de confiance. I.1.3. Le drive-by download ou téléchargement furtif Les attaques par téléchargement furtif sont une méthode de propagation des logiciels malveillants. Le pirate insère un virus sur une page d’un site non sécurisé et infecte les ordinateurs de ceux qui le visitent qui ont des failles de sécurité comme par exemple, des mises à jour non installées.
  • 27. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 18 I.1.4. Les attaques par mot de passe Trouver un mot de passe est souvent bien plus facile qu’il n’y paraît, et les pirates s’en donnent à cœur joie. Pour trouver un mot de passe, il suffit parfois simplement de fouiller un bureau, en surveillant la connexion pour obtenir un mot de passe non chiffrer, en ayant recours à l’ingénierie sociale ou en devinant :  Par force brute : deviner un mot de passe en entrant ce que les gens entrent le plus souvent : nom, prénom, passe-temps favori, dates de naissance des enfants, etc.  Par dictionnaire : cela consiste à copier un fichier chiffré contenant des mots de passe courants et à comparer les résultats. I.1.5. Injection SQL C’est un problème affectant les sites web exploitant des bases de données : le pirate exécute une requête SQL sur la base de données via les données entrantes du client au serveur. Des commandes SQL sont insérées dans la saisie du plan de données. Ensuite, le pirate peut insérer, mettre à jour ou supprimer les données comme bon lui semble, et même envoyer des commandes au système d’exploitation. I.1.6. Les logiciels malveillants ou malwares Un malware est un logiciel indésirable installé dans votre système sans votre consentement. Il en existe tous types, mais en voici quelques-uns :  Les macro-virus : ils infectent des applications comme Microsoft Word ou Excel en s’attachant à la séquence d’initialisation de l’application.  Les infecteurs de fichiers : ils s’attachent à des fichiers exécutables comme les .exe  Les infecteurs de systèmes : ils infectent les disques durs  Les virus polymorphes : ils se cachent dans divers cycles de chiffrement.  Les virus furtifs : ils prennent le contrôle de certaines fonctions du système pour se dissimuler.
  • 28. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 19  Les chevaux de Troie : ils se cachent dans un programme utile pour ensuite se déployer.  Les bombes logiques : ils sont programmés pour se déclencher lors d’un événement spécifique ou une date et une heure spécifiques.  Les vers : contrairement aux virus qui s’attachent à un fichier hôte, les vers sont des programmes autonomes qui se propagent sur les réseaux et les ordinateurs.  Les injecteurs : ce sont des programmes utilisés pour installer des virus sur les ordinateurs.  Les ransomwares : c’est un type de logiciel malveillant qui crypte les données d’un ordinateur et exige une rançon à la victime contre son déchiffrement. I.1.7. Le cryptojacking Les pirates introduisent des logiciels malveillants pour corrompre les systèmes et les ressources d’un appareil et pour exploiter la crypto-monnaie en arrière-plan et gagner de l’argent. I.1.8. Les intrusions sur les objets connectés De plus en plus utilisés, ils sont facilement piratables. I.1.9. Les attaques géopolitiques Certains pays commandent des attaques informatiques contre d’autres, menées par des organismes gouvernementaux pour les déstabiliser, les intimider ou voler certaines technologies de pointe dans un cadre d’espionnage industriel. I.1.10. Les cross-site scripting (XSS) Les pirates s’adonnant à cette pratique injectent du contenu dans une page qui corrompt le navigateur de la cible. Il peut ainsi modifier la page web selon ses envies, voler des informations sur les cookies, récupérer des données sensibles ou y injecter un code malveillant dans le but, par exemple, de contrôler l’ordinateur de sa victime à distance.
  • 29. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 20 I.1.11. Les attaques de phishing Le phishing, c’est cette fameuse fenêtre qui surgit en vous disant que vous avez gagné un million d’euros, ou cet étrange email que vous recevez de votre banque, vous demandant de saisir votre identifiant… cette technique combine ingénierie sociale et stratagème technique vous incitant à télécharger par vous-même des malwares qui voleront vos informations personnelles et confidentielles comme vos numéros de carte de crédit. I.1.12. Les attaques cyber-physiques Ce sont des attaques ciblant principalement des systèmes de transport, d’usines, de réseaux électriques ou d’installations de traitement de l’eau par exemple. I.2.ATTAQUES SUR LES PROTOCOLES VOIP Que ce soit le H.323 ou le SIP, ces deux protocoles ont déjà fait l'objet de failles de sécurité. Les équipements demandent de traiter l'information en IP brute, sans l'appui du protocole TCP et donc sans utiliser la sécurisation SSL. Si les protocoles de voix sur IP peuvent être chiffrés avec IPsec, IPsec n'est pas déployé dans les réseaux d'entreprise, car il est trop complexe. Un appel téléphonique VoIP est constitué de deux parties : la signalisation, qui instaure l’appel, et les flux de media, qui transporte la voix. La signalisation, en particulier SIP, transmet les entêtes et la charge utile (Payload) du paquet en texte clair, ce qui permet à un attaquant de lire et falsifier facilement les paquets. Elle est donc vulnérable aux attaques qui essaient de voler ou perturber le service téléphonique, et à l’écoute clandestine qui recherche des informations sur un compte utilisateur valide, pour passer des appels gratuits par exemple. La signalisation utilise, en général, le port par défaut UDP/TCP 5060. Le firewall doit être capable d’inspecter les paquets de signalisation et ouvre ce port afin de leurs autoriser l’accès au réseau. Un firewall qui n’est pas compatible aux protocoles de la VoIP doit être configuré manuellement pour laisser le port 5060 ouvert, créant un trou pour des attaques contre les éléments qui écoutent l’activité sur ce port. Le protocole RTP, utilisé pour le transport des flux multimédia, présente également plusieurs vulnérabilités dues à l’absence d’authentification et de chiffrage. Chaque entête d’un paquet RTP contient un numéro de séquence qui permet au destinataire de reconstituer les paquets de la voix dans l’ordre approprié.
  • 30. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 21 Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numéro de séquence plus élevé. En conséquence, ces paquets seront diffusés à la place des vrais paquets. Généralement, les flux multimédias contournent les serveurs proxy et circulent directement entre les points finaux. Les menaces habituelles conte le flux de la voix sont l’interruption de transport et l’écoute clandestine. Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par conséquent sont aussi vulnérables à toutes les attaques contre le réseau informatique. Mais La VOIP dispose des attaques spécifiques, les types d’attaques les plus fréquentes contre un system VoIP sont : I.2.1. Suivie d'appel Appelé aussi Call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone). Elle a pour but de connaître qui est en train de communiquer et quelle est la période de la communication. L’attaquant doit récupérer les messages INVITE et BYE en écoutant le réseau et peut ainsi savoir qui communique, à quelle heure, et pendant combien de temps. Pour réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les messages INVITE et BYE I.2.2. Injection de paquet RTP Cette attaque se fait au niveau du réseau LAN/VPN. Elle cible le serveur registrar, et a pour but de perturber une communication en cours. L’attaquant devra tout d’abord écouter un flux RTP de l’appelant vers l’appelé, analyser son contenu et générer un paquet RTP contenant un en-tête similaire mais avec un plus grand numéro de séquence et timestamp afin que ce paquet soit reproduit avant les autres paquets (s’ils sont vraiment reproduits). Ainsi la communication sera perturbée et l’appel ne pourra pas se dérouler correctement. Pour réaliser cette attaque, l’attaquant doit être capable d’écouter le réseau afin de repérer une communication et ainsi repérer les timestamps des paquets RTP. Il doit aussi être capable d’insérer des messages RTP qu’il a généré ayant un timestamp modifié
  • 31. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 22 I.3.Les Spams Trois formes principales de spam sont jusqu’à maintenant identifiés dans SIP : Call Spam : Ce type de spam est défini comme une masse de tentatives d’initiation de session (des requêtes INVITE) non sollicitées. Généralement c’est un UAC (User Agent Client) qui lance, en parallèle, un grand nombre d'appels. Si l’appel est établi, l'application génère un ACK, rejoue une annonce préenregistrée, et ensuite termine l'appel. IM (Instant Message) Spam : Ce type de spam est semblable à celui de l'e-mail. Il est défini comme une masse de messages instantanés non sollicitées. Les IM spam sont pour la plupart envoyés sous forme de requête SIP. Ce pourraient être des requêtes INVITE avec un entête « Subject » très grand, ou des requêtes INVITE avec un corps en format texte ou HTML. Bien- sûr, l’IM spam est beaucoup plus intrusif que le spam email, car dans les systèmes actuels, les IMs apparaissent automatiquement sous forme de pop-up à l'utilisateur. I.4.Détournement d’appel (Call Hijacking) Le Call Hijacking consiste à détourner un appel. Plusieurs fournisseurs de service VoIP utilisent le web comme interface permettant à l'utilisateur d’accéder à leur système téléphonique. Un utilisateur authentifié peut changer les paramètres de ses transferts d'appel à travers cette interface web. C’est peut-être pratique, mais un utilisateur malveillant peut utiliser le même moyen pour mener une attaque. Exemple : quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant envoie un message de redirection 3xx indiquant que l’appelé s'est déplacé et par la même occasion donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous les appels destinés à l’utilisateur sont transférés et c’est l’attaquant qui les reçoit. Un appel détourné en lui-même est un problème, mais c’est encore plus grave quand il est porteur d'informations sensibles et confidentielles. I.4.1. L’écoute clandestine L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un attaquant avec un accès au réseau VOIP peut sniffer le trafic et décoder la conversation vocale. Des outils tels
  • 32. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 23 que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de réaliser cette attaque. VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec n’importe quel lecteur de fichiers son. I.5.LES VULNERABILITEES DE L’INFRACSTRUTURE Une infrastructure VoIP est composée de téléphones IP, Gateway, serveurs (proxy, register, etc.). Chaque élément, que ce soit un système embarqué ou un serveur standard tournant sur un système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur. Chacun comporte un processeur qui exécute des logiciels qui peuvent être attaqués ou employés en tant que points de lancement d’une attaque plus profonde. I.5.1. Faiblesses dans la configuration des dispositifs de la VOIP Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent avoir une variété de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent être vulnérables aux attaques DoS ou buffer overflow. Plusieurs dispositifs de la VoIP exécutent également un serveur WEB pour la gestion à distance qui peut être vulnérable aux attaques buffer overflow et à la divulgation d’informations. Si les services accessibles ne sont pas configurés avec un mot de passe, un attaquant peut acquérir un accès non autorisé à ce dispositif. Les services SNMP (Simple Network Management Protocol) offerts par ces dispositifs peuvent être vulnérables aux attaques de reconnaissance ou attaques d’overflow. Plusieurs dispositifs de la VoIP sont configurés pour télécharger périodiquement un fichier de configuration depuis un serveur par TFTP ou d'autres mécanismes. Un attaquant peut potentiellement détourner ou mystifier cette connexion et tromper le dispositif qui va télécharger un fichier de configuration malveillant à la place du véritable fichier. I.5.2. Les téléphones IP Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone IP, un softphone et autres programmes ou matériels clients. Généralement, il obtient les privilèges qui lui permettent de commander complètement la fonctionnalité du dispositif. Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique au dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif : La pile du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne sera pas remarquée.
  • 33. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 24 Aussi un firmware modifié de manière malveillante peut être téléchargé et installé. Les modifications faites à la configuration des logiciels de téléphonie IP peuvent permettre : o Aux appels entrants d'être réorientés vers un autre point final sans que l'utilisateur soit au courant. o Aux appels d’être surveillés. o A l'information de la signalisation et/ou les paquets contenant de la voix d’être routés vers un autre dispositif et également d’être enregistrés et/ou modifiés. De compromettre la disponibilité du point final. Par exemple, ce dernier peut rejeter automatiquement toutes les requêtes d’appel, ou encore, éliminer tout déclenchement de notification tel qu’un son, une notification visuelle à l’arrivée d’un appel. Les appels peuvent également être interrompus à l’improviste (quelques téléphones IP permettent ceci via une interface web). D’autres conséquences possibles sont : o Des backdoors pourraient été installés. o Toutes les informations concernant l'utilisateur qui sont stockées sur le dispositif pourraient été extraites. L’acquisition d'un accès non autorisé sur un dispositif de téléphonie IP peut être le résultat d'un autre élément compromis sur le réseau IP, ou de l'information récoltée sur le réseau. Les softphones ne réagissent pas de la même façon aux attaques comparés à leur homologues téléphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs inclus dans le système, à savoir les vulnérabilités du système d'exploitation, les vulnérabilités de l’application, les vulnérabilités du service, des vers, des virus, etc. En plus, le softphone demeure sur le segment de données, est ainsi sensible aux attaques lancées contre ce segment et pas simplement contre l’hôte qui héberge l’application softphone. Les téléphones IP exécutent quant à eux leurs propres systèmes d’exploitation avec un nombre limité de services supportés et possèdent donc moins de vulnérabilités. I.5.3. Les serveurs Les serveurs jouent un rôle important dans une solution de voix sur IP, et même s’il n’est pas forcement possible d’intercepter un appel si un serveur est compromis, il est souvent possible de récupérer des CDR (Call Detail Records) qui contiennent toutes les traces des appels effectués. En revanche la compromission d’une passerelle entre le réseau VoIP et le réseau
  • 34. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 25 téléphonique classique permet d’écouter de manière transparente les appels, même s’ils sont chiffrés du côté VoIP (SRTP). I.5.4. Les vulnérabilités du System d’exploitation Ces vulnérabilités sont pour la plupart relatives au manque de sécurité lors de la phase initiale de développement du système d'exploitation et ne sont découvertes qu’après le lancement du produit. Une des principales vulnérabilités des systèmes d'exploitation est le buffer overflow. Il permet à un attaquant de prendre le contrôle partiel ou complet de la machine. Les dispositifs de la VoIP tels que les téléphones IP, Call Managers, Gateway et les serveurs proxy, héritent les mêmes vulnérabilités du système d'exploitation ou du firmware sur lequel ils tournent. Il existe une centaine de vulnérabilités exploitables à distance sur Windows et même sur Linux. Un grand nombre de ces exploits sont disponibles librement et prêts à être téléchargés sur l'Internet. Peu importe comment, une application de la VoIP s'avère être sûre, celle-ci devient menacé si le système d'exploitation sur lequel elle tourne est compromis. II. SECURISATION ET BONNE PRATIQUES On a déjà vu que les vulnérabilités existent au niveau protocolaire, application et systèmes d’exploitation. Pour cela, on a découpé la sécurisation aussi en trois niveaux : Sécurisation protocolaire, sécurisation de l’application et sécurisation du système de l’exploitation. II.1. Sécurisation protocolaire La prévalence et la facilité de sniffer des paquets et d'autres techniques pour la capture des paquets IP sur un réseau pour la voix sur IP fait que le cryptage soit une nécessité. La sécurisation de la VoIP est à la protection des personnes qui sont interconnecté. IPsec peut être utilisé pour réaliser deux objectifs. Garantir l'identité des deux points terminaux et protéger la voix une fois que les paquets quittent l'Intranet de l'entreprise. VOIPsec (VoIP utilisant IPsec) contribue à réduire les menaces, les sniffeurs de paquets, et de nombreux types de trafic « vocal analyze ». Combiné avec un pare-feu, IPsec fait que la VOIP soit plus sûr qu’une ligne téléphonique classique. Il est important de noter, toutefois, qu’IPsec n'est pas toujours un bon moyen pour certaines applications, et que certains protocoles doivent continuer à compter sur leurs propres dispositifs de sécurité.
  • 35. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 26 II.2. VOIP VPN De nombreux travailleurs à domicile utilisent des VPN pour se connecter à leurs ressources professionnelles. Un VPN (Virtual Private Network) est une connexion réseau sécurisée qui utilise des protocoles pour crypter les informations avant de les envoyer. À l'aide d'une infrastructure publique, telle qu'Internet, ils peuvent fournir aux bureaux distants ou aux utilisateurs individuels un accès sécurisé au réseau de leur organisation. Les données sont chiffrées à l'extrémité d'envoi et déchiffrées à l'extrémité de réception. Les petits routeurs VPN typiques peuvent prendre en charge divers protocoles VPN, tels que IPSec, PPTP et PPPoE Passthrough. Bien qu'il soit important de sécuriser l'accès à distance aux ressources de données, il peut ne pas être aussi important de sécuriser les connexions téléphoniques. Les connexions VoIP via une connexion VPN sont parfois effectuées pour limiter les problèmes de NAT, car le bureau à domicile devient une extension du réseau local des entreprises. Ce type de scénario serait plus typique des IP-PBX, comme un serveur Asterisk ou comme indiqué ci-dessous Shoretel. Si les employés de bureau à domicile se connectent à un fournisseur de VoIP hébergé, leur VPN de retour au bureau ne tunnel probablement pas la voix, qui se connecterait via leur routeur domestique directement au VoIP sur Internet. II.3. Secure RTP ou SRTP Le SRTP aussi connu sous le nom de Secure Real – Time Transport Protocol, est une extension d’un profil de RTP (Real-Time Transport Protocol) qui ajoute davantage de fonctions de sécurité, comme le message d’authentification, la confidentialité et la protection anti-replay, principalement prévues pour les communications VoIP.
  • 36. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 27 Figure 6 : Architecture du SRTP (source 3cx) Ce protocole utilise l’authentification et l’encodage afin de minimiser les risques d’attaques comme celles par déni de service. Il a été publié en 2004 par l’IETF (Internet Engineering Task Force) en tant que RFC 3711. Ce protocole, tout comme le DTLS est l’un des protocoles de sécurité utilisé par la technologie WebRTC. Service de sécurités offertes par SRTP Les principaux services offerts par SRTP sont :  Rendre confidentielles les données RTP, que ce soit l’en-tête et la charge utile ou seulement la charge utile.  Authentifier et vérifier l’intégrité des paquets RTP. L’émetteur calcule une empreinte du message à envoyer, puis l’envoie avec le message même.  La protection contre le rejet des paquets. Chaque récepteur tient à jour une liste de tous les indices des paquets reçus et bien authentifiés. Principe de fonctionnement de SRTP Avec une gestion de clé appropriée, SRTP est sécurisé pour les applications unicast et multicast de RTP. En théorie, SRTP est une extension du protocole RTP dans lequel a été rajoutée des options de sécurité. En effet, il a pour but d’offrir plusieurs implémentations de cryptographie tout en limitant l’overhead lié à l’utilisation des chiffrements. Il propose des algorithmes qui monopoliseront au minimum les ressources et l’utilisation de la mémoire.
  • 37. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 28 Surtout, il permet de rendre RTP indépendant des autres couches en ce qui concerne l’application de mécanismes de sécurité. Pour implémenter les différents services de sécurité précités, SRTP utilise les composants principaux suivants :  Une clé maîtresse utilisée pour générer des clés de session ; Ces dernières seront utilisées pour chiffrer ou pour authentifier les paquets.  Une fonction utilisée pour calculer les clés de session à partir de la clé maîtresse. Des clés aléatoires utilisées pour introduire une composante aléatoire afin de contrer les éventuels rejet ou effets de mémoire. SRTP utilise deux types de clés : clef de session et clef maîtresse. Par « clef de session » nous entendons une clef utilisée directement dans les transformations cryptographiques ; et par « clef maîtresse », nous entendons une chaîne de bit aléatoire à partir desquelles les clefs de sessions sont dérivées par une voie sécurisée avec des mécanismes cryptographiques. Format du paquet SRTP Un paquet SRTP est généré par transformation d’un paquet RTP grâce à des mécanismes de sécurité. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant qu’ils ne soient sur le réseau. La figure suivante présente le format d’un paquet SRTP Figure 7 : Format d’un paquet SRTP On remarque que le paquet SRTP est réalisé en rajoutant deux champs au paquet RTP :  SRTP MKI (SRTP Master Key identifier) : sert à re-identifier une clef maîtresse particulière dans le contexte cryptographique. Le MKI peut être utilisé par le récepteur pour retrouver la clef primaire correcte quand le besoin d’un renouvellement de clefs survient.  Authentiquassions tag : est un champ inséré lorsque le message a été authentifié. Il est recommandé d’en faire usage. Il fournit l’authentification des en-têtes et données RTP
  • 38. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 29 et indirectement fournit une protection contre le rejet de paquets en authentifiant le numéro de séquence. II.4. Sécurisation de l’application Plusieurs méthodes peuvent être appliquées pour sécuriser l'application, ces méthodes varient selon le type d'application (serveur ou client). Pour sécuriser le serveur il faut : - L’utilisation d’une version stable, Il est bien connu que toute application non stable contient surement des erreurs et des vulnérabilités. Pour minimiser les risques, il est impératif d'utiliser une version stable. - Tester les mises à jour des softwares dans un laboratoire de test. Il est très important de tester toute mise à jour de l'application dans un laboratoire de test avant de les appliquer sur le système en production - Ne pas tester les correctifs sur le serveur lui-même : - Ne pas utiliser la configuration par défaut qui sert juste à établir des appels. Elle ne contient aucune protection contre les attaques. - Ne pas installer une application client dans le serveur. Certains paramètres doivent être appliqués de manière sélective. Ces paramètres renforcent la sécurité de l’application, on peut les activer ou les interdire sur la configuration générale de l’application, comme on peut juste utiliser les paramètres nécessaires pour des clients bien déterminé et selon le besoin bien sûr. Ces paramètres protègent généralement contre le déni de service et ces différentes variantes. Il est conseiller d’utiliser les paramètres qui utilise le hachage des mots de passe, et cela assure la confidentialité. II.5. Sécurisation du System d’exploitation Il est très important de sécuriser le système sur lequel est implémenté le serveur de VoIP. En effet, si le système est compromis, l’attaque peut se propager sur l’application serveur. Celle-ci risque d’affecter les fichiers de configuration contenant des informations sur les clients enregistrés. Il y a plusieurs mesures de sécurités à prendre pour protéger le système d’exploitation : - Utiliser un système d’exploitation stable. Les nouvelles versions toujours contiennent des bugs et des failles qui doivent être corrigés et maîtrisés avant. - Mettre à jour le système d’exploitation en installant les correctifs de sécurité recommandé pour la sécurité.
  • 39. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 30 - Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les intrusions. Et ils ne doivent pas être des dates de naissances, des noms, ou des numéros de téléphones. Un mot de passe doit être assez long et former d’une combinaison de lettre, de chiffres et ponctuations. - Ne pas exécuter le serveur VoIP avec un utilisateur privilège. Si un utilisateur malveillant arrive à accéder au système via une exploitation de vulnérabilité sur le serveur VoIP, il héritera tous les privilèges de cet utilisateur. - Asterisk in CHROOT : empêcher le serveur VoIP d’avoir une visibilité complète de l’arborescence du disque, en l’exécutant dans un environnement sécurisé qui l’empêche d’interagir librement avec le système. - Sauvegarde des fichiers log à distance : les fichiers log sont très importants, il est conseillé de les enregistrer sur un serveur distant. - Installer seulement les composants nécessaires : pour limiter les menaces sur le système d’exploitation. Il vaut mieux installer sur la machine le système d’exploitation et le serveur. - Supprimer tous programmes , logiciels ou des choses qui n’ont pas d’importance et qui peuvent être une cible d’attaque pour accéder au système. - Renforcer la sécurité du système d’exploitation en installant des patches qui permettent de renforcer la sécurité générale du noyau. On peut aussi utiliser les pare feu ou/et les ACL pour limiter l’accès à des personnes bien déterminé et fermer les ports inutiles et ne laisser que les ports utilisés (5060, 5061, 4569, …). Le pare feu (firewall) est un software ou hardware qui a pour fonction de sécuriser un réseau ou un ordinateur contre les intrusions venant d’autres machines. Le pare feu utilise le système de filtrage de paquet après analyse de l’entête des paquets IP qui s’échange entre les machines. Le firewall peut être implémenté avec une ACL qui est une liste d'Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits d'accès à une personne ou un groupe. On aura besoin d’ACL pour donner des droits à des personnes bien déterminés selon leurs besoins et leurs autorités. Pour un serveur VoIP, il est important d’implémenter les ACL pour sécuriser le serveur en limitant l’accès à des personnes indésirables. Par exemple, seuls les agents enregistrés peuvent envoyer des requêtes au serveur. Il existe trois catégories d’ACL : La liste de contrôle d’accès peut être installée en réseau sur les pare feu ou les routeurs, mais aussi ils existent dans les systèmes d’exploitation.
  • 40. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 31 II.6. Ajouts et recommandations de sécurité La VoIP faisant appel à de nombreux processus (SIP, DNS, SRTP, ...) il est indispensable de sécuriser chaque étape de la communication. Les nombreuses contraintes imposées par cette technologie ne facilitent pas la tâche : il est aussi parfois nécessaire de traverser des pares-feux, de fonctionner avec des translations d'adresses NAT et certains choix sont alors limités. 2. Tunnel IPsec : Ipsec qui travaille sur la couche réseau permet d'assurer une plus grande fiabilité des informations. Cependant, le coût de cette solution est parfois considérable, tant sur le point des ressources matériel que sur le trafic réseau. La surcharge engendrée par Ipsec peut être minimisée en configurant le tunnel pour traiter uniquement les flux de voix sur IP. Un atout intéressant est la possibilité d'utiliser la totalité des softphones disponibles puisqu'ils n'ont plus à gérer la totalité des échanges. 3. Filtrage réseau : Les serveurs de gestion VoIP ont un nombre de ports ouverts par défaut très conséquents. Il est donc fortement conseiller de filtrer les ports accessibles sur les serveurs depuis le réseau des utilisateurs au niveau des routeurs. Pour cela, il peut être utile de placer les serveurs sur un sous-réseau dédié. Il convient de lister les services et ports associés qui doivent être pris en considération lors de l'implémentation d'un politique de filtrage sur un réseau VoIP. Bon nombre de pare-feu se limitent à gérer l'ouverture des ports en fonction de la communication et n'inspectent pas les flux au niveau protocolaire. 4. Verrouillage des adresses MAC et IP par port dans les commutateurs traversés par du flux VoIP. 5. Activation au mieux des fonctions de sécurité offertes par les équipements de l'infrastructure VoIP utilisée et qui ne seraient pas activées par défaut
  • 41. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 32 III. Conclusion Les entreprises qui décident d’adopter la VoIP doivent le faire prudemment, en mettant le facteur sécurité au premier plan et intégrer le fait que les dysfonctionnements logiciels sont actuellement très nombreux. De plus la vulnérabilité de cette technologie est certaine, les malveillances nombreuses. Problèmes logiciels surtout, mais aussi failles de sécurité et déroutage d’appels handicapent cette technologie prometteuse. En effet cette technologie permet le passage du téléphone classique à l’ère informatique, s’interfaçant aux interfaces web, aux différents systèmes d’exploitation dont linux bien sûr, et de ce fait bénéficient de leurs avantages mais aussi des difficultés liées à l’informatique en général dont la sécurité bien sûr. Sur ce point il faut reconnaitre un niveau d’authentification faible et une absence de procédés de chiffrement non propriétaire. Les défis à relever consistent à gérer les différents protocoles VoIP (SIP, H323 ou encore MGCP). En termes de sécurité, on constate que chaque équipementier a introduit des langages propres, on peut parler de « dialecte » pour chaque constructeur. Aussi, on rencontre encore des problèmes d’incompatibilité entre systèmes. Il s'agit pour l'instant d'avertissements, puisque aucune attaque n'est encore à déplorer via la VoIP. Ce ne serait pourtant qu'une question de temps, assure le Communications Research Network. Par ailleurs, « s’il n'est pas corrigé, ce problème de sécurité de la VoIP aura aussi un impact sur la confiance du public », redoutent les experts. Pour le futur, nous n’allons pas vers la simplicité. Les sous-systèmes multimédia IP (IMS - IP multimedia Subsystem) arrivent avec les réseaux mobiles 3G et 4G en IP. Avec aussi des ouvertures pour les MVNO. Les firewalls seront complexes, voire impossible à mettre en œuvre. Il faut s’attendre à des attaques passant des réseaux fixes aux réseaux mobiles et inversement...
  • 42. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 33 Deuxième partie : INSTALLATION, CONFIGURATION ET SECURISATION D’UN IPBX
  • 43. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 34 CHAPITRE 3 : CHOIX, INSTALLATION ET CONFIGURATION I. INTRODUCTION Après avoir présenté la première partie réservée à la généralité de la VOIP et les Menaces de sécurité qui pèsent sur la VOIP, on présentera la phase de réalisation de notre projet, on entame cette partie par la présentation des différents choix techniques adoptés, ensuite, on présentera les tâches réalisées. II. CHOIX 1. Choix de la technologie de Virtualisation Un logiciel de virtualisation permet d’exécuter plusieurs systèmes d’exploitation à l’aide d’un seul PC. Les machines virtuelles permettent ainsi d’avoir plusieurs ordinateurs en un. La virtualisation fait référence à n’importe quelle ressource informatique hébergeant plusieurs autres ressources informatiques, y compris des applications, des serveurs, des capacités de stockage ou des réseaux. Toutefois, pour une virtualisation réussie, il est essentiel de choisir un bon logiciel de virtualisation. Bien avant de choisir quelle solution utiliser dans le cadre de notre travail nous allons faire une étude comparative des solutions de virtualisation du marché.
  • 44. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 35 2. Tableau comparatif des acteurs du marché de la virtualisation coté serveur Technologie Prix Solution Fonctions Caractéristiques VMware Vsphere Licence à 3145 euros VMawre VSphere Hypervisor -Puissance de traitement -Services réseau -Stockage haute efficacité -Sécurité renforcée -Haute disponibilité -Version gratuite limitée -Automatisation coherente -Outil d’administration vsphere client Mémoire Physique Max : 32Go Nb de VM par Hôte : 512 vCPU par VM : 32 vRAM par VM : 32 G0 Tailles des DD virtuels : 2 To Thin Disk Provisionning : Oui Ajout à chaud : Disques Gestion de la mémoire : Dynamic, Memory, Transparent,Swapping Snapshot : OUI Live Migration : OUI Citrix Offre de base gratuite. Autres offres entre 2000 et 5000 euro par serveur. Citrix XenServeur 6.1 -Console de gestion unique -Déplacement à chaud des VM -Pool de ressources sans limite -Repose sur une base solide et va continuer de progresser -Performances faibles coté stockage -Certaine fonctionnalité payante -Outil d’administration Xencenter Mémoire Physique Max : 1 To (128 Go si un VM utilise un OS 32 bits) Nb de VM par Hôte : 150 vCPU par VM : 16 vRAM par VM : 128 G0 Tailles des DD virtuels : 2 To Thin Disk Provisionning : Non Ajout à chaud : Disques Gestion de la mémoire : Non Snapshot : OUI (uniquement offline) Live Migration : oui avec XenMotion live Migration
  • 45. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 36 Microsoft De 360 à 4420 Windows Server 2012 R2 avec HyperV -Migration à chaud des VM -Cœurs actifs des processeurs serveurs -Propose un Hyperviseur natif, et complet -Outil d’administration Server manager RSAT -Clients PSA Peugeot,Maaf Mémoire Physique Max : 4 To Nb de VM par Hôte : 1024 vCPU par VM : 64 vRAM par VM : 1 To Tailles des DD virtuels : 64 To Thin Disk Provisionning : Oui Ajout à chaud : Oui Gestion de la mémoire : Dynamic, Memory, Transparent,Swapping Snapshot : OUI Live Migration : Oui Oracle NC Oracle VM Server -Supporte indifféremment les applications Oracle que d’autres applications du marché. -Elle supporte les pools de serveurs sous architecture x86 et x86-64 bits aussi bien sous systèmes d’exploitation Windows que Linux. Mémoire Physique Max : 4 To vCPU par VM : 160 Gestion de la mémoire : Dynamic, Memory Redhat NC Redhat Entreprise Virtualization For Servers -Est optimisé pour les systèmes multi cœurs très évolutifs -gère la complexité du système sous- jacent -garantit l’intégrité des données de bout en bout Mémoire Physique Max : 2 To Nb de VM par Hôte : 550 vCPU par VM : 160 Gestion de la mémoire : Dynamic, Memory Self-provisionning Tableau 3 : comparatif des technologies de virtualisation
  • 46. MISE EN PLACE D’UNE SOLUTION VOIP SECURISEE OLIVIER MAWOURKA 37 3. En quoi VMware Esxi est-elle la meilleure technologie de virtualisation ? Les départements informatiques sont continuellement contraints de suivre l’évolution des tendances du marché et de satisfaire les demandes des clients toujours plus importantes. Dans le même temps, ils doivent étendre les ressources informatiques pour prendre en charge des projets de plus en plus complexes. Heureusement, ESXi permet de trouver le juste milieu entre l’augmentation des résultats opérationnels et l’allégement des coûts informatiques. Grâce à VMware ESXi, vous pouvez :  Consolider le matériel pour une utilisation optimale de la capacité ;  Accroître les performances pour bénéficier d’un avantage concurrentiel ;  Simplifier l’administration informatique par le biais d’une gestion centralisée ;  Réduire les dépenses d’investissement et les coûts d’exploitation ;  Minimiser les ressources matérielles nécessaires à l’exécution de l’hyperviseur, de manière à améliorer l’efficacité. 4. Choix de l’IPBX Qu’est-ce qu’un IPBX ? Un IPBX ou PABX IP (Private Branch Exchange) est un équipement (autocommutateur) téléphonique capable d’acheminer les appels sur un réseau via l’utilisation du protocole IP. Internet Protocol permet à partir de l’identifiant d’un hôte (PC, téléphone) un identifiant appelé une adresse IP d’acheminer des flux voix, données et images au sein d’un réseau informatique. Il gère l’établissement des communications entre plusieurs postes à l’intérieur d’une entreprise, ainsi que vers l’extérieur (réseau de public : PSTN). Pour établir une communication, les utilisateurs pourront utiliser un softphone (logiciel installé sur un PC) où un hardphone (téléphone « matériel » qui utilise les protocoles de voix sur IP – ToIP) compatibles avec l’IPBX utilisé. L’IPBX en fonction du niveau d’intelligence, permettra de fournir l’ensemble des services lié à la gestion de la téléphonie de l’entreprise. Lorsqu’on décide d’installer un IPBX, on commence généralement par regarder ce qui est disponible sur le marché. Mais face aux nombreux systèmes et modèles disponibles, on peut parfois se sentir rapidement perdu. Pour nous aider dans notre choix, un tableau comparatif des solutions IPBX open source du marché.