1. Ateliere-sécurité
La voix sur IP :
vulnérabilités, menaces, et sécurité préventive
M.D. El Kettani, Docteur Ingénieur
Professeur (LAGI ENSIAS)
Consultant
dafir@ensias.ma
19 et 20 juin 2006, Hôtel Tour Hassan, Rabat
6. Ateliere-sécurité
Signalisation et contrôle
• H.323:
− Caractéristiques:
• Complexe
• Transcription IP de l'ISDN
• similaire au fonctionnement des RTCs
• Encore utilisé en coeur de réseau
• Mécanismes de sécurité : H.235
• En voie de disparition
7. Ateliere-sécurité
Signalisation et contrôle
• SIP (Session Initiation Protocol):
− Normalisé par l’IETF (RFC 3261),
“ressemble” à HTTP
− Protocole se transformant en architecture
− Adresses simples : sip:user@domaine.com
− Extensions propriétaires
− Gestion de sessions entre participants:
• “End-to-end” (entre IP PBX)
− Inter-AS MPLS VPNs
− Confiance transitive (Transitive trust)
− Données transportées de toute nature :
voix, images, messagerie instantanée,
échanges de fichiers, etc
8. Ateliere-sécurité
Signalisation et contrôle
• MGCP (Media Gateway Control Protocol):
− Softswitch (CallAgent)<->MediaGateWay
− CallAgents->MGW (2427/UDP)
− MGW->CallAgents (2727/UDP)
− Utilisé pour contrôler les MGWs
− AoC (Advise Of Charge) en direction du CPE
9. Ateliere-sécurité
Transport
• Rôle: Encodage, transport, etc.
• RTP (Real-Time Protocol) : udp
− Pas de gestion de QoS/bande passante
− Connectivité :
• Soit UA<->UA (risque de fraude),
• Soit UA<->MGW<->UA
− CODECs
• ancien: G.711 (PSTN/POTS - 64Kb/s)
• courant: G.729 (8Kb/s)
• RTCP (Real-Time Control Protocol) :
− Protocole de contrôle pour RTP
• SRTP / SRTCP : équivalents chiffrés
10. Ateliere-sécurité
Session SIP
• 2 composantes:
− Fonctionnalités:
• Signalisation (SIP) : la gestion des appels, passe
par des serveurs
− Localisation des utilisateurs
− Session:
Configuration, Négociation
Modification, Fermeture
• Données (RTP/RTCP/RTSP) : la voix, peut passer
par le chemin le plus court
11. Ateliere-sécurité
Protocoles secondaires
• DNS : Annuaire et localisation
• DHCP : Attribution IP/DNS/etc
• TFTP : Configuration & mise à jour
• HTTP : Administration
• ENUM : Correspondance adresses SIP /
numéros E.164 en utilisant DNS
12. Ateliere-sécurité
Architecture opérateur
Internet
IP / MPLS
CPE
VoIPCoreOSS/BSS
F
W
F
W
DB WEB
FW
S
B
C
IP PBX
IP PBX
SBC
CPE
PBX
H.323/RTP
H.323/MGCP/RTP
S
B
C
MGW
Carrier
Carrier
SIP/RTP
H.323/RTP
Billing
TDM / PSTN
MGWMGW
F
W
Softswitch
- Firewall
- Filtrage « Non-stateful »
- Filtrage « Stateful »
- Filtrage applicatif par couches
(Application Layer Gateway filtering
-ALGs)
- NAT / « firewall piercing »
- LAN
- Ethernet (routeurs et
switches)
- xDSL/cable/WiFi
- VLANs
(données/voix+signalisation)
- WAN
- Internet
- VPN-MPLS
- Liaisons spécialisées
- MPLS
- QoS (Quality de service)
- Bande passante
-Délai (150-400ms)
-Jitter (<<150ms)
- Perte de paquets (1-3%)
- Systèmes :
- Proxy: SIP
- Gestionnaire d’appels (Call Manager)/IP
PBX
- Gestion des utilisateurs et reporting
(HTTP, etc)
- Recherche des chemins par IP
- GK (GateKeeper) : H.323
- Serveur d’authentification (Radius)
- Serveur de facturation (CDR/billing)
- Serveurs DNS, TFTP, DHCP
- Passerelle de voix (Voice Gateway: IP-PSTN)
- Protocoles de contrôle de passerelles
(Gateway Control Protocols)
- Signalisation : interface SS7
- Media Gateway Controller
- Passerelle de signalisation (Signaling Gateway)
- Transport
-Passerelle de média (Media Gateway):
-conversion audio
- VPN cryptés
- SSL/TLS
- IPsec
-Localisation du cryptage
(LAN-LAN, téléphone –
téléphone...)
- Impact sur la QoS
- Que va apporter IPv6 ?
- Téléphones IP (IP phones):
- Téléphones hard-phones
« classiques »
- Propriétaires
- Appliances
- Soft-phones / UA (User-
agents)
- Solutions logicielles
- Souples
- « Toaster »
- Mises à jour / patches
- Intelligence
- Téléphones IP (IP phones):
- Intelligence déplacée du réseau
vers l’équipement terminal
- Flux entre le téléphone et les
autres systèmes
- SIP, RTP
- (T)FTP
- CRL
- etc.
13. Ateliere-sécurité
Architecture: SBC
• Quel est le rôle d'un SBC ?
− SBC : Session Border Controllers.
− Elément clé pour déploiement de softswitch:
− Solutions intégrées de sécurité.
• Terminal client IP généralement protégé par un pare-
feu et bénéficie d’une adresse IP privée.
• permet de traverser la protection du firewall et les
équipements NAT (Hosted NAT traversal : mise en
conformité de l'en-tête IP et de la signalisation)
• permet de protéger le softswitch :
− des « signalling overloads »,
− d’attaques en denis de service
− et d’autres attaques rendues possibles en utilisant IP
14. Ateliere-sécurité
Architecture: SBC
• SBC:
− Autres fonctionnalités:
• Convertir la signalisation
• Convertir le flux multimédia (CODEC)
• Autoriser RTP de manière dynamique
• Localisation:
− Il peut être localisé à différents endroits
• client/opérateur,
• au sein du réseau client,
• à l'interface entre deux opérateurs (Peering VoIP)
15. Ateliere-sécurité
Enjeux de la sécurité
• Les Firewalls
− Le rôle du firewall
− Les spécificités de la VOIP :
• la problématique des ports dynamiques,
• les protocoles parapluie...
− La translation d'adresse (NAT)
− Le problème de l'adressage IP :
• adressage privé,
• adressage public,
• évolution IPv6…
16. Ateliere-sécurité
Enjeux de la sécurité
• Les Firewalls
− NAT et Firewall :
• les impacts sur la QoS.
• Les compromis Qualité de Service vs
Sécurité.
18. Ateliere-sécurité
Généralités
• VoIP/ToIP n’est pas équivalente à la
téléphonie classique
− Signalisation/contrôle et transport de la voix
sur le même réseau IP
− Perte de la localisation géographique de
l'appelant
19. Ateliere-sécurité
Généralités
• Stratégie de sécurité différente de celle à
laquelle les utilisateurs étaient habitués:
− Fiabilité du système téléphonique
• Combien de pannes de téléphone vs pannes
informatique?
− Confidentialité des appels téléphoniques
− Invulnérabilité du système téléphonique
• Devenu un système susceptible d'intrusions, vers,
etc
20. Ateliere-sécurité
Vulnérabilité protocolaire
• Risque semblables à ceux des réseaux IP:
− Intrusion,
− écoute,
− usurpation d'identité,
− rejeu,
− dénis de service,
− etc.
mais
• Ce n’est pas juste « une application IP en
plus »
21. Ateliere-sécurité
Vulnérabilité protocolaire
• VoIP n’est pas juste « une application IP en
plus », car:
− Pas d'authentification mutuelle entre les parties,
− Peu de contrôles d'intégrité des flux, pas ou peu
de chiffrement
• Risques d'interception et de routage des appels vers
des numéros surfacturés
• Falsification des messages d'affichage du numéro
renvoyés à l'appelant
− Attaques accessibles à tout informaticien et pas
juste aux spécialistes de téléphonie numérique
− Exemple: Terminaux très fragiles
23. Ateliere-sécurité
Vulnérabilité architecturale
• Systèmes d'exploitation
− OS temps réel (QNX/Neutrino, VxWorks,
RTLinux)
− Windows
− Linux, Solaris
• Sécurisation par défaut souvent quasi
inexistante
• Gestion des mises à jour :
− Les OS sont rarement à jour
− Les mises-à-jour ne sont pas « autorisées »
24. Ateliere-sécurité
H323
• Intrusion
− Filtrage quasi-impossible :
• multiplication des flux, des mécanismes d'établissement
d'appel, des extensions à la norme, et transmission des
adresses IP au niveau applicatif
• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Dénis de service:
− De par la conception du protocole, pas de
détection des boucles, signalisation non fiable, etc
26. Ateliere-sécurité
Autres
• Skinny Client Control Protocol (Cisco) :
− Risques :
• Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service
• Multimedia Gateway Control Protocol (MGCP)
− Risques:
• Identiques aux autres en entreprise (pas d'expérience d'audit
sécurité)
• Dépendants de la sécurité du boitier ADSL
• Moins de risques de surfacturation et de déni de service sur le
serveur central
• GSM sur IP : nano BTS
− Risques :
• Surfacturation, Ecoute des communications
• Usurpation d'identité, Insertion et rejeu
• Déni de service
• GSM sur IP : UMA : Unlicensed Mobile Access
− Risques :
• Exposition du réseau opérateur sur Internet
• Déni de service
27. Ateliere-sécurité
Terminaux
• Peu de sécurisation des terminaux, peu de
fonctions de sécurité
− Pas de 802.1X
• Exemple : test de téléphones VoIP (SIP) sur WiFi
− 15 Téléphones testé de 8 fournisseurs
• Cisco,
• Hitachi,
• Utstarcom,
• Senao,
• Zyxel,
• ACT,
• MPM,
• Clipcomm
28. Ateliere-sécurité
Terminaux
• Exemple (Suite) : téléphones VoIP (SIP) sur WiFi
− Connexion interactive avec telnet ouverte
− SNMP read/write avec community name par défaut
− Ports de debogage VXworks ouverts en écoute sur le
réseau WiFi
− Services echo et time ouverts
− Connexion interactive rlogin avec authentification basique
− Exemple Cisco 7920
• port 7785 Vxworks wdbrpc ouvert
• SNMP Read/Write
• Réponse de Cisco :
− les ports ne peuvent pas être désactivés, la communauté
− SNMP ne pas être changée :
tout est codé en dur dans le téléphone...
29. Ateliere-sécurité
Infrastructure
• Exemple : coupure de courant lors d’un
audit de sécurité (non VoIP)
− Coupure de courant :
• Téléphone branché sur le secteur (pas PoE, pas
secouru)
=> plus de téléphone
• Serveurs branchés sur le courant secouru mais
pas le commutateur devant
=> problème de commutateur
30. Ateliere-sécurité
Infrastructure
• Exemple : coupure de courant lors d’un
audit de sécurité (suite)
− Retour du courant :
• Serveur de téléconfiguration des téléphones
injoignable (DHCP, BOOTP pour le firmware, etc.) car
commutateur pas encore redémarré
• Les téléphones ont redémarré plus vite que le
commutateur et se sont trouvés sans adresse IP, etc.
et restent bloqués sur l'écran "Waiting for DHCP ..."
• Pour une raison inconnue, une fois le serveur de
téléconfiguration à nouveau joignable, les téléphones
n'ont pas fonctionné
• Seule solution trouvée : débrancher/rebrancher
32. Ateliere-sécurité
Attaques : couches basses
• Attaques physiques
− Systèmes d'écoute
Interception (MITM) :
• écoute passive ou modification de flux
− Discussion
− “Who talks with who”
Sniffing du réseau
Serveurs (SIP, CDR, etc)
33. Ateliere-sécurité
Attaques : couches basses
• Attaques sur les couches basses : LAN
− Accès physique au LAN
− Attaques ARP :
• ARP spoofing,
• ARP cache poisoning
− Périphériques non authentifiés (téléphones et
serveurs)
− Différents niveaux :
• adresse MAC, utilisateur, port physique, etcLAN
Pirate
Téléphone IP
1
Téléphone IP
2
34. Ateliere-sécurité
Attaques : implémentations
• Interface d'administration HTTP, de
mise à jour TFTP, etc.
− Exploits
− Vols de session (XSS)
− Scripts / injections
• Piles TCP/IP
• Dénis de services (DoS)
• PROTOS
35. Ateliere-sécurité
Attaques : protocoles VoIP
• Fraude: Spoofing SIP
− Call-ID Spoofing
− Appropriation des droits d’utilisateur sur le
serveur d’authentification
− Tags des champs From et To
− Replay
− Accès au voicemail
36. Ateliere-sécurité
Attaques : protocoles VoIP
• DoS : Denial of service
− Au niveau:
• Réseau
• Protocole (SIP INVITE)
• Systèmes / Applications
• Téléphone
− Envois illégitimes de paquets SIP INVITE ou
BYE
− Modification « à la volée » des flux RTP
37. Ateliere-sécurité
Attaques : téléphone
• (S)IP phone :
− Démarrage (Startup)
• DHCP, TFTP, etc.
− Accès à l’adresse physique
• Tables de configuration cachées
− Piles TCP/IP
− Configuration du constructeur
− Trojan horse/rootkit
38. Ateliere-sécurité
Attaques : autres
• Protocoles secondaires:
− DNS : DNS ID spoofing ou DNS cache poisoning
− DHCP : DoS, MITM
− TFTP : upload d'une configuration (DoS,
MITM...)
• Autres:
− L’élément humain
− Systèmes:
• La plupart ne sont as sécurisés par défaut
• Worms, exploits, Trojan horses
40. Ateliere-sécurité
Quelle sécurité préventive?
• Mesure de sécurité, ou protection
− Action
− Diminue le risque à un niveau acceptable
• Action préventive ISO 19011:2002
− Action visant à éliminer une situation
indésirable potentielle
− Agit en amont de l'incident
• Action corrective
− Action visant à éliminer une situation
indésirable détectée
− Agit en aval de l'incident
41. Ateliere-sécurité
Quelle sécurité préventive?
• Actions préventives ?
• Donc réfléchir sans attendre l'incident !
− Identifier se qui compte pour le chef
d'entreprise
− Réaliser une analyse de risque sur ce qui
compte
− Appliquer des mesures de sécurité
• Avec un rapport qualité/prix réaliste
• Afin de réduire les risques à un niveau acceptable
42. Ateliere-sécurité
Sécurité indépendante VoIP
• Sécurité dans le réseau IP
− Sécurité dans le réseau
− Liaison
• Cloisonnement des VLAN
• Filtrage des adresses MAC par port
• Protection contre les attaques ARP
− Réseau
• Contrôle d'accès par filtrage IP
• Authentification et chiffrement avec IPsec
− Transport
• Authentification et chiffrement SSL/TLS
43. Ateliere-sécurité
Sécurité indépendante VoIP
• Filtrage IP : firewall
− Contrôle d'accès réseau
− Proactif :
• le paquet passe ou le paquet est bloqué
− Application de la politique de sécurité de
l'organisme
44. Ateliere-sécurité
Sécurité indépendante VoIP
• Détection d'intrusion (NIDS)
− Passif :
• le paquet est passé mais finalement il n'aurait pas
du, il est malveillant
− Faux positifs :
• un paquet vu comme malveillant qui est tout à
fait légitime
− Faux négatif :
• un paquet vu comme légitime qui est malveillant
45. Ateliere-sécurité
Sécurité indépendante VoIP
• Prévention d'intrusion (NIPS)
− Combiner l'analyse approfondie de la
détection d'intrusion avec la capacité de
bloquer du firewall
− Actif : certains paquets sont passés, mais
pas les suivants :
• Limitation de bande passante
• TCP Reset / ICMP Unreachable
− Toujours des risques de faux positifs / faux
négatifs
46. Ateliere-sécurité
Sécurité propre à la VoIP
• Solutions:
− SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
• Limitations:
− Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session
en cours de communication
− Mise en oeuvre de la sécurité
=>
perte des possibilité d'interopérabilités entre
fournisseurs
47. Ateliere-sécurité
Calcul du ROI
• VoIP: Pas de service en plus
− Mettre à jour son PABX apporte les mêmes
service avec ou sans VoIP
− Les service disponibles en VoIP le sont aussi
en téléphonie classique
− Aucun calcul de ROI ne peut se justifier par
la disponibilité de nouveaux services
• Intégrer les coûts de la VoIP
48. Ateliere-sécurité
ROI : coût du VoIP
• Intégrer les coûts de la VoIP
− Coûts de câblage
• Poste téléphonique IP =>prise ethernet
supplémentaire
• Difficultés avec le PC connecté sur le téléphone et le
téléphone dans la prise Ethernet du PC
• Nécessité des VLANs, avant considérations de sécurité
• Informations indispensable au service téléphonique ;
N° pièce, n° prise associée à chaque n° de téléphone:
− N° de téléphone, @MAC, @IP et n° de prise Ethernet liés
• Câblage rapide des prises spécifiques avec le courant
électrique sur le cable Ethernet (PoE)
− Onduleurs supplémentaires et spécifiques
49. Ateliere-sécurité
ROI : coût du VoIP
• Intégrer les coûts de la VoIP
− Services du réseau informatique deviennent
des services critiques
• DHCP
• DNS
• Commutateurs
• ...
− Obligation d’inclure les coûts de mise en
oeuvre de la haute-disponibilité
− Coûts d'exploitation au quotidien bien plus
élevés 24/7, etc
50. Ateliere-sécurité
ROI : dégradation du service
• Intégrer la dégradation du service due à la
VoIP:
− Taux d'indisponibilité téléphonie classique :
5 à 6 minutes d'interruption par an,
99,99886 %
− Taux de disponibilité téléphonie sur IP : ??
• Pas de téléphone pendant plusieurs jours...
− Support téléphonique hors-service
• Situations antagonistes : réseau en panne =>
téléphone en panne
• Téléphone : principal système d'appel au secours pour
la sécurité des personnes
51. Ateliere-sécurité
ROI : autres facteurs
• Valider au préalable la réalité des
fonctionnalités :
− Fonctionnalités prix du Poste entrée de gamme
− Fonctionnalités de sécurité imposant un
changement de tous les postes téléphoniques
• Valider au préalable la robustesse de tous
les équipements choisis
• Analyser les risques
− Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?
52. Ateliere-sécurité
Recommandations
• Actuellement, voix sur IP danger
• Mécanismes de détection
• Sécurisation des couches basses
− Utilisation de TLS pour la signalisation SIP
• Identification des clients et du serveur
− Protocole de gestion de clefs VoIP : MiKEY
• Encapsulé dans SIP
− PSK (Pre-shared key), Diffie-hellman, PKI
53. Ateliere-sécurité
Recommandations
• Couche réseau:
− QoS [LLQ] (and rate-limit)
− Firewall: application level filtering
• Téléphones IP certifiés par leurs
producteurs
• Sécurisation des couches hautes
− Utilisation de SRTP/SRTCP
− Sécurisation des échanges DNS : DNSSec
− Utilisation de tunnels IPSec en remplacement
des solutions précédentes
• Projet 3P: project, security processes and policies
54. Ateliere-sécurité
Perspectives
• VoWLAN
− Utilisation de PDA / Laptop : téléphonie
mobile
− Problèmes classiques du WiFi
− Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP)
− Choix judicieux des CODECs (PCM, GSM...)
56. Ateliere-sécurité
Recommandations
• Limites:
− QoS, bande-passante...
− Qualité de la voix : choix important des CODECs
• Temps d'établissement
• Compromis utilisation / complexité
− IPsec parfois trop lourd :
• restriction possible aux protocoles utilisés
− Ne pas se limiter aux protocoles VoIP, au réseau:
• clients (UA), serveurs (soft switch, call manager,
DHCP/TFTP), détection de fraude, etc.
− Ni aux aspects techniques:
• ingénierie, opérations, support, etc, comment les répartir?
57. Ateliere-sécurité
Recommandations
• Téléphonie & DSI:
− Téléphonie doit entrer suivre la Direction
des Systèmes d'Information (DSI)
− Ne peut rester aux services administratifs
− Téléphonistes doivent intégrer la DSI
− Leurs compétences en téléphonie sont
indispensables au déploiement de la VoIP
• VoIP / ToIP = intérêt futur proche des
fournisseurs :
− Passage à la VoIP se fera un jour de gré ou
de force
58. Ateliere-sécurité
Conclusion
• VoIP :
− Technologie encore jeune
− Étude fine des solutions précède déploiement
− Désormais accessible aux particuliers (Skype..)
• Sécurité au coeur de la problématique
− La VoIP / ToIP relance l'insécurité
− Sécurité au niveau réseau
− Réponse partielle mais nécessaire
− Difficile à mettre en oeuvre
− Mécanismes de sécurité propriétaires proposés par les
constructeurs :
• Seule réponse satisfaisante en matière de sécurité
• Très rarement mis en oeuvre
• ROI négligé