SlideShare une entreprise Scribd logo

9 presentation ssi-kettani_septi

Télécharger en tant que PPT, PDF
K
kenane toufik

presentation ssi-kettani_septi

Internet
1  sur  58
Ateliere-sécurité La voix sur IP : vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant dafir@ensias.ma 19 et 20 juin 2006, Hôtel Tour Hassan, Rabat
Ateliere-sécurité Plan • Introduction • Technologies VoIP/ToIP • Vulnérabilités • Attaques envisageables • Sécurité préventive • Recommandations
Ateliere-sécurité Introduction • Enjeux importants −Convergence Réseaux •Téléphonie / TI •PoE (Power over Ethernet) •Complexité, Coûts −Nouveaux acteurs •Opérateurs •Entreprises •Particuliers −Nouveaux usages •Visioconférence, •Télésurveillance •Téléphonie d'entreprise, •Télécopie •Téléphonie sur Internet, •Télévision & radio −3 vendeurs majeurs •Provenant du « monde TDM/PSTN » (Time Division Multiplexing, Public Switched Telephone Network) •Provenant du « monde IP » •« Société spécialisée VoIP »
Ateliere-sécurité Introduction • Nouvelles infrastructures − Terminaux • Ordinateur + logiciel • Téléphone de bureau • Téléphone sans fil WiFi • Freebox, Livebox, ... − Serveurs − Équipements d’interconnection • Nouveaux risques
Ateliere-sécurité Technologies VoIP • Signalisation et contrôle • Transport • Session SIP • Protocoles secondaires • Architecture • Enjeux de la sécurité
Ateliere-sécurité Signalisation et contrôle • H.323: − Caractéristiques: • Complexe • Transcription IP de l'ISDN • similaire au fonctionnement des RTCs • Encore utilisé en coeur de réseau • Mécanismes de sécurité : H.235 • En voie de disparition
Ateliere-sécurité Signalisation et contrôle • SIP (Session Initiation Protocol): − Normalisé par l’IETF (RFC 3261), “ressemble” à HTTP − Protocole se transformant en architecture − Adresses simples : sip:user@domaine.com − Extensions propriétaires − Gestion de sessions entre participants: • “End-to-end” (entre IP PBX) − Inter-AS MPLS VPNs − Confiance transitive (Transitive trust) − Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc
Ateliere-sécurité Signalisation et contrôle • MGCP (Media Gateway Control Protocol): − Softswitch (CallAgent)<->MediaGateWay − CallAgents->MGW (2427/UDP) − MGW->CallAgents (2727/UDP) − Utilisé pour contrôler les MGWs − AoC (Advise Of Charge) en direction du CPE
Ateliere-sécurité Transport • Rôle: Encodage, transport, etc. • RTP (Real-Time Protocol) : udp − Pas de gestion de QoS/bande passante − Connectivité : • Soit UA<->UA (risque de fraude), • Soit UA<->MGW<->UA − CODECs • ancien: G.711 (PSTN/POTS - 64Kb/s) • courant: G.729 (8Kb/s) • RTCP (Real-Time Control Protocol) : − Protocole de contrôle pour RTP • SRTP / SRTCP : équivalents chiffrés
Ateliere-sécurité Session SIP • 2 composantes: − Fonctionnalités: • Signalisation (SIP) : la gestion des appels, passe par des serveurs − Localisation des utilisateurs − Session:  Configuration, Négociation  Modification, Fermeture • Données (RTP/RTCP/RTSP) : la voix, peut passer par le chemin le plus court
Ateliere-sécurité Protocoles secondaires • DNS : Annuaire et localisation • DHCP : Attribution IP/DNS/etc • TFTP : Configuration & mise à jour • HTTP : Administration • ENUM : Correspondance adresses SIP / numéros E.164 en utilisant DNS
Ateliere-sécurité Architecture opérateur Internet IP / MPLS CPE VoIPCoreOSS/BSS F W F W DB WEB FW S B C IP PBX IP PBX SBC CPE PBX H.323/RTP H.323/MGCP/RTP S B C MGW Carrier Carrier SIP/RTP H.323/RTP Billing TDM / PSTN MGWMGW F W Softswitch - Firewall - Filtrage « Non-stateful » - Filtrage « Stateful » - Filtrage applicatif par couches (Application Layer Gateway filtering -ALGs) - NAT / « firewall piercing » - LAN - Ethernet (routeurs et switches) - xDSL/cable/WiFi - VLANs (données/voix+signalisation) - WAN - Internet - VPN-MPLS - Liaisons spécialisées - MPLS - QoS (Quality de service) - Bande passante -Délai (150-400ms) -Jitter (<<150ms) - Perte de paquets (1-3%) - Systèmes : - Proxy: SIP - Gestionnaire d’appels (Call Manager)/IP PBX - Gestion des utilisateurs et reporting (HTTP, etc) - Recherche des chemins par IP - GK (GateKeeper) : H.323 - Serveur d’authentification (Radius) - Serveur de facturation (CDR/billing) - Serveurs DNS, TFTP, DHCP - Passerelle de voix (Voice Gateway: IP-PSTN) - Protocoles de contrôle de passerelles (Gateway Control Protocols) - Signalisation : interface SS7 - Media Gateway Controller - Passerelle de signalisation (Signaling Gateway) - Transport -Passerelle de média (Media Gateway): -conversion audio - VPN cryptés - SSL/TLS - IPsec -Localisation du cryptage (LAN-LAN, téléphone – téléphone...) - Impact sur la QoS - Que va apporter IPv6 ? - Téléphones IP (IP phones): - Téléphones hard-phones « classiques » - Propriétaires - Appliances - Soft-phones / UA (User- agents) - Solutions logicielles - Souples - « Toaster » - Mises à jour / patches - Intelligence - Téléphones IP (IP phones): - Intelligence déplacée du réseau vers l’équipement terminal - Flux entre le téléphone et les autres systèmes - SIP, RTP - (T)FTP - CRL - etc.
Ateliere-sécurité Architecture: SBC • Quel est le rôle d'un SBC ? − SBC : Session Border Controllers. − Elément clé pour déploiement de softswitch: − Solutions intégrées de sécurité. • Terminal client IP généralement protégé par un pare- feu et bénéficie d’une adresse IP privée. • permet de traverser la protection du firewall et les équipements NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et de la signalisation) • permet de protéger le softswitch : − des « signalling overloads », − d’attaques en denis de service − et d’autres attaques rendues possibles en utilisant IP
Ateliere-sécurité Architecture: SBC • SBC: − Autres fonctionnalités: • Convertir la signalisation • Convertir le flux multimédia (CODEC) • Autoriser RTP de manière dynamique • Localisation: − Il peut être localisé à différents endroits • client/opérateur, • au sein du réseau client, • à l'interface entre deux opérateurs (Peering VoIP)
Ateliere-sécurité Enjeux de la sécurité • Les Firewalls − Le rôle du firewall − Les spécificités de la VOIP : • la problématique des ports dynamiques, • les protocoles parapluie... − La translation d'adresse (NAT) − Le problème de l'adressage IP : • adressage privé, • adressage public, • évolution IPv6…
Ateliere-sécurité Enjeux de la sécurité • Les Firewalls − NAT et Firewall : • les impacts sur la QoS. • Les compromis Qualité de Service vs Sécurité.
Ateliere-sécurité Vulnérabilité technologique • Généralités • Vulnérabilité protocolaire • Vulnérabilité architecturale • Exemples
Ateliere-sécurité Généralités • VoIP/ToIP n’est pas équivalente à la téléphonie classique − Signalisation/contrôle et transport de la voix sur le même réseau IP − Perte de la localisation géographique de l'appelant
Ateliere-sécurité Généralités • Stratégie de sécurité différente de celle à laquelle les utilisateurs étaient habitués: − Fiabilité du système téléphonique • Combien de pannes de téléphone vs pannes informatique? − Confidentialité des appels téléphoniques − Invulnérabilité du système téléphonique • Devenu un système susceptible d'intrusions, vers, etc
Ateliere-sécurité Vulnérabilité protocolaire • Risque semblables à ceux des réseaux IP: − Intrusion, − écoute, − usurpation d'identité, − rejeu, − dénis de service, − etc. mais • Ce n’est pas juste « une application IP en plus »
Ateliere-sécurité Vulnérabilité protocolaire • VoIP n’est pas juste « une application IP en plus », car: − Pas d'authentification mutuelle entre les parties, − Peu de contrôles d'intégrité des flux, pas ou peu de chiffrement • Risques d'interception et de routage des appels vers des numéros surfacturés • Falsification des messages d'affichage du numéro renvoyés à l'appelant − Attaques accessibles à tout informaticien et pas juste aux spécialistes de téléphonie numérique − Exemple: Terminaux très fragiles
Ateliere-sécurité Vulnérabilité architecturale • Combinaison matériel+logiciel (surtout des DSP): − Softswitch: • généralement dédié à la signalisation − MGW (Media Gateway): • RTP<->TDM, • SS7oIP<->SS7 − IP-PBX: • Softswitch+MGW
Ateliere-sécurité Vulnérabilité architecturale • Systèmes d'exploitation − OS temps réel (QNX/Neutrino, VxWorks, RTLinux) − Windows − Linux, Solaris • Sécurisation par défaut souvent quasi inexistante • Gestion des mises à jour : − Les OS sont rarement à jour − Les mises-à-jour ne sont pas « autorisées »
Ateliere-sécurité H323 • Intrusion − Filtrage quasi-impossible : • multiplication des flux, des mécanismes d'établissement d'appel, des extensions à la norme, et transmission des adresses IP au niveau applicatif • Ecoute • Usurpation d'identité • Insertion et rejeu • Dénis de service: − De par la conception du protocole, pas de détection des boucles, signalisation non fiable, etc
Ateliere-sécurité SIP • Ecoute • Usurpation d'identité • Insertion et rejeu • Déni de service
Ateliere-sécurité Autres • Skinny Client Control Protocol (Cisco) : − Risques : • Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service • Multimedia Gateway Control Protocol (MGCP) − Risques: • Identiques aux autres en entreprise (pas d'expérience d'audit sécurité) • Dépendants de la sécurité du boitier ADSL • Moins de risques de surfacturation et de déni de service sur le serveur central • GSM sur IP : nano BTS − Risques : • Surfacturation, Ecoute des communications • Usurpation d'identité, Insertion et rejeu • Déni de service • GSM sur IP : UMA : Unlicensed Mobile Access − Risques : • Exposition du réseau opérateur sur Internet • Déni de service
Ateliere-sécurité Terminaux • Peu de sécurisation des terminaux, peu de fonctions de sécurité − Pas de 802.1X • Exemple : test de téléphones VoIP (SIP) sur WiFi − 15 Téléphones testé de 8 fournisseurs • Cisco, • Hitachi, • Utstarcom, • Senao, • Zyxel, • ACT, • MPM, • Clipcomm
Ateliere-sécurité Terminaux • Exemple (Suite) : téléphones VoIP (SIP) sur WiFi − Connexion interactive avec telnet ouverte − SNMP read/write avec community name par défaut − Ports de debogage VXworks ouverts en écoute sur le réseau WiFi − Services echo et time ouverts − Connexion interactive rlogin avec authentification basique − Exemple Cisco 7920 • port 7785 Vxworks wdbrpc ouvert • SNMP Read/Write • Réponse de Cisco : − les ports ne peuvent pas être désactivés, la communauté − SNMP ne pas être changée :  tout est codé en dur dans le téléphone...
Ateliere-sécurité Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (non VoIP) − Coupure de courant : • Téléphone branché sur le secteur (pas PoE, pas secouru) => plus de téléphone • Serveurs branchés sur le courant secouru mais pas le commutateur devant => problème de commutateur
Ateliere-sécurité Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (suite) − Retour du courant : • Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré • Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP ..." • Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné • Seule solution trouvée : débrancher/rebrancher
Ateliere-sécurité Attaques envisageables • Attaques : couches basses • Attaques : implémentations • Attaques : protocoles VoIP • Attaques : téléphones • Autres attaques
Ateliere-sécurité Attaques : couches basses • Attaques physiques − Systèmes d'écoute Interception (MITM) : • écoute passive ou modification de flux − Discussion − “Who talks with who”  Sniffing du réseau  Serveurs (SIP, CDR, etc)
Ateliere-sécurité Attaques : couches basses • Attaques sur les couches basses : LAN − Accès physique au LAN − Attaques ARP : • ARP spoofing, • ARP cache poisoning − Périphériques non authentifiés (téléphones et serveurs) − Différents niveaux : • adresse MAC, utilisateur, port physique, etcLAN Pirate Téléphone IP 1 Téléphone IP 2
Ateliere-sécurité Attaques : implémentations • Interface d'administration HTTP, de mise à jour TFTP, etc. − Exploits − Vols de session (XSS) − Scripts / injections • Piles TCP/IP • Dénis de services (DoS) • PROTOS
Ateliere-sécurité Attaques : protocoles VoIP • Fraude: Spoofing SIP − Call-ID Spoofing − Appropriation des droits d’utilisateur sur le serveur d’authentification − Tags des champs From et To − Replay − Accès au voicemail
Ateliere-sécurité Attaques : protocoles VoIP • DoS : Denial of service − Au niveau: • Réseau • Protocole (SIP INVITE) • Systèmes / Applications • Téléphone − Envois illégitimes de paquets SIP INVITE ou BYE − Modification « à la volée » des flux RTP
Ateliere-sécurité Attaques : téléphone • (S)IP phone : − Démarrage (Startup) • DHCP, TFTP, etc. − Accès à l’adresse physique • Tables de configuration cachées − Piles TCP/IP − Configuration du constructeur − Trojan horse/rootkit
Ateliere-sécurité Attaques : autres • Protocoles secondaires: − DNS : DNS ID spoofing ou DNS cache poisoning − DHCP : DoS, MITM − TFTP : upload d'une configuration (DoS, MITM...) • Autres: − L’élément humain − Systèmes: • La plupart ne sont as sécurisés par défaut • Worms, exploits, Trojan horses
Ateliere-sécurité Sécurité préventive • Quelle sécurité préventive? • Sécurité indépendantes de la VoIP • Sécurité propres à la VoIP / ToIP • Calcul du ROI de la VoIP
Ateliere-sécurité Quelle sécurité préventive? • Mesure de sécurité, ou protection − Action − Diminue le risque à un niveau acceptable • Action préventive ISO 19011:2002 − Action visant à éliminer une situation indésirable potentielle − Agit en amont de l'incident • Action corrective − Action visant à éliminer une situation indésirable détectée − Agit en aval de l'incident
Ateliere-sécurité Quelle sécurité préventive? • Actions préventives ? • Donc réfléchir sans attendre l'incident ! − Identifier se qui compte pour le chef d'entreprise − Réaliser une analyse de risque sur ce qui compte − Appliquer des mesures de sécurité • Avec un rapport qualité/prix réaliste • Afin de réduire les risques à un niveau acceptable
Ateliere-sécurité Sécurité indépendante VoIP • Sécurité dans le réseau IP − Sécurité dans le réseau − Liaison • Cloisonnement des VLAN • Filtrage des adresses MAC par port • Protection contre les attaques ARP − Réseau • Contrôle d'accès par filtrage IP • Authentification et chiffrement avec IPsec − Transport • Authentification et chiffrement SSL/TLS
Ateliere-sécurité Sécurité indépendante VoIP • Filtrage IP : firewall − Contrôle d'accès réseau − Proactif : • le paquet passe ou le paquet est bloqué − Application de la politique de sécurité de l'organisme
Ateliere-sécurité Sécurité indépendante VoIP • Détection d'intrusion (NIDS) − Passif : • le paquet est passé mais finalement il n'aurait pas du, il est malveillant − Faux positifs : • un paquet vu comme malveillant qui est tout à fait légitime − Faux négatif : • un paquet vu comme légitime qui est malveillant
Ateliere-sécurité Sécurité indépendante VoIP • Prévention d'intrusion (NIPS) − Combiner l'analyse approfondie de la détection d'intrusion avec la capacité de bloquer du firewall − Actif : certains paquets sont passés, mais pas les suivants : • Limitation de bande passante • TCP Reset / ICMP Unreachable − Toujours des risques de faux positifs / faux négatifs
Ateliere-sécurité Sécurité propre à la VoIP • Solutions: − SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité • Limitations: − Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication − Mise en oeuvre de la sécurité => perte des possibilité d'interopérabilités entre fournisseurs
Ateliere-sécurité Calcul du ROI • VoIP: Pas de service en plus − Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP − Les service disponibles en VoIP le sont aussi en téléphonie classique − Aucun calcul de ROI ne peut se justifier par la disponibilité de nouveaux services • Intégrer les coûts de la VoIP
Ateliere-sécurité ROI : coût du VoIP • Intégrer les coûts de la VoIP − Coûts de câblage • Poste téléphonique IP =>prise ethernet supplémentaire • Difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC • Nécessité des VLANs, avant considérations de sécurité • Informations indispensable au service téléphonique ; N° pièce, n° prise associée à chaque n° de téléphone: − N° de téléphone, @MAC, @IP et n° de prise Ethernet liés • Câblage rapide des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE) − Onduleurs supplémentaires et spécifiques
Ateliere-sécurité ROI : coût du VoIP • Intégrer les coûts de la VoIP − Services du réseau informatique deviennent des services critiques • DHCP • DNS • Commutateurs • ... − Obligation d’inclure les coûts de mise en oeuvre de la haute-disponibilité − Coûts d'exploitation au quotidien bien plus élevés 24/7, etc
Ateliere-sécurité ROI : dégradation du service • Intégrer la dégradation du service due à la VoIP: − Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 % − Taux de disponibilité téléphonie sur IP : ?? • Pas de téléphone pendant plusieurs jours... − Support téléphonique hors-service • Situations antagonistes : réseau en panne => téléphone en panne • Téléphone : principal système d'appel au secours pour la sécurité des personnes
Ateliere-sécurité ROI : autres facteurs • Valider au préalable la réalité des fonctionnalités : − Fonctionnalités  prix du Poste entrée de gamme − Fonctionnalités de sécurité imposant un changement de tous les postes téléphoniques • Valider au préalable la robustesse de tous les équipements choisis • Analyser les risques − Peu de gens font une analyse de risques sur leur projet VoIP. Pourquoi ?
Ateliere-sécurité Recommandations • Actuellement, voix sur IP  danger • Mécanismes de détection • Sécurisation des couches basses − Utilisation de TLS pour la signalisation SIP • Identification des clients et du serveur − Protocole de gestion de clefs VoIP : MiKEY • Encapsulé dans SIP − PSK (Pre-shared key), Diffie-hellman, PKI
Ateliere-sécurité Recommandations • Couche réseau: − QoS [LLQ] (and rate-limit) − Firewall: application level filtering • Téléphones IP certifiés par leurs producteurs • Sécurisation des couches hautes − Utilisation de SRTP/SRTCP − Sécurisation des échanges DNS : DNSSec − Utilisation de tunnels IPSec en remplacement des solutions précédentes • Projet 3P: project, security processes and policies
Ateliere-sécurité Perspectives • VoWLAN − Utilisation de PDA / Laptop : téléphonie mobile − Problèmes classiques du WiFi − Utilisation d'un protocole de mobilité pour couvrir de grandes distances (IAPP) − Choix judicieux des CODECs (PCM, GSM...)
Ateliere-sécurité Recommandations • Exemple de solution sécurisée :
Ateliere-sécurité Recommandations • Limites: − QoS, bande-passante... − Qualité de la voix : choix important des CODECs • Temps d'établissement • Compromis utilisation / complexité − IPsec parfois trop lourd : • restriction possible aux protocoles utilisés − Ne pas se limiter aux protocoles VoIP, au réseau: • clients (UA), serveurs (soft switch, call manager, DHCP/TFTP), détection de fraude, etc. − Ni aux aspects techniques: • ingénierie, opérations, support, etc, comment les répartir?
Ateliere-sécurité Recommandations • Téléphonie & DSI: − Téléphonie doit entrer suivre la Direction des Systèmes d'Information (DSI) − Ne peut rester aux services administratifs − Téléphonistes doivent intégrer la DSI − Leurs compétences en téléphonie sont indispensables au déploiement de la VoIP • VoIP / ToIP = intérêt futur proche des fournisseurs : − Passage à la VoIP se fera un jour de gré ou de force
Ateliere-sécurité Conclusion • VoIP : − Technologie encore jeune − Étude fine des solutions précède déploiement − Désormais accessible aux particuliers (Skype..) • Sécurité au coeur de la problématique − La VoIP / ToIP relance l'insécurité − Sécurité au niveau réseau − Réponse partielle mais nécessaire − Difficile à mettre en oeuvre − Mécanismes de sécurité propriétaires proposés par les constructeurs : • Seule réponse satisfaisante en matière de sécurité • Très rarement mis en oeuvre • ROI négligé

Recommandé

Architecture voip (1)
Architecture voip (1)Architecture voip (1)
Architecture voip (1)kenane toufik
 
Sip
SipSip
SipDhikra Ourabi
 
Présentation Sec_res_OK
Présentation Sec_res_OKPrésentation Sec_res_OK
Présentation Sec_res_OKBelkacem KAID
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Yassine Brahmi
 
Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Siir Ayoub
 
Atelier configuration d une maquette voip
Atelier configuration d une maquette voip Atelier configuration d une maquette voip
Atelier configuration d une maquette voip sahar dridi
 
Couplage CRM / CTI VoIP
Couplage CRM / CTI VoIPCouplage CRM / CTI VoIP
Couplage CRM / CTI VoIPSage france
 
Présentation VOIP
Présentation VOIPPrésentation VOIP
Présentation VOIPCynapsys It Hotspot
 

Recommandé

Architecture voip (1)
Architecture voip (1)Architecture voip (1)
Architecture voip (1)kenane toufik
 
Sip
SipSip
SipDhikra Ourabi
 
Présentation Sec_res_OK
Présentation Sec_res_OKPrésentation Sec_res_OK
Présentation Sec_res_OKBelkacem KAID
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Yassine Brahmi
 
Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Siir Ayoub
 
Atelier configuration d une maquette voip
Atelier configuration d une maquette voip Atelier configuration d une maquette voip
Atelier configuration d une maquette voip sahar dridi
 
Couplage CRM / CTI VoIP
Couplage CRM / CTI VoIPCouplage CRM / CTI VoIP
Couplage CRM / CTI VoIPSage france
 
Présentation VOIP
Présentation VOIPPrésentation VOIP
Présentation VOIPCynapsys It Hotspot
 
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Dimitri LEMBOKOLO
 
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinalPSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinalBelkacem KAID
 
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.betsmee
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voipBisatel
 
Asterisk
AsteriskAsterisk
AsteriskRodolphe Quiédeville
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip assane fall
 
TELEPHONIE SUR IP
TELEPHONIE SUR IPTELEPHONIE SUR IP
TELEPHONIE SUR IPEl hadji Idrissa Thiam
 
Projet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfProjet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfAbderahim Amine Ali
 
Toip slide
Toip slideToip slide
Toip slideDimitri LEMBOKOLO
 
La voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en WallonieLa voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en Wallonieir. Carmelo Zaccone
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIPChiheb Ouaghlani
 
Telephonie ip
Telephonie ipTelephonie ip
Telephonie ipagouassou1
 
VoIP
VoIPVoIP
VoIPaimas06
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sipBisatel
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskPape Moussa SONKO
 
ToIP
ToIPToIP
ToIPir. Carmelo Zaccone
 
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asteriskGilles Samba
 
Cisco Call Manager
Cisco Call ManagerCisco Call Manager
Cisco Call ManagerOusmane CAMARA
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)Dimitri LEMBOKOLO
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapportGilles Samba
 
To securite voip_v5.0
To securite voip_v5.0To securite voip_v5.0
To securite voip_v5.0souhasouha
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 

Contenu connexe

Tendances

Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Dimitri LEMBOKOLO
 
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinalPSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinalBelkacem KAID
 
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.betsmee
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voipBisatel
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip assane fall
 
Projet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfProjet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfAbderahim Amine Ali
 
La voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en WallonieLa voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en Wallonieir. Carmelo Zaccone
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sipBisatel
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskPape Moussa SONKO
 
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asteriskGilles Samba
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)Dimitri LEMBOKOLO
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapportGilles Samba
 

Tendances (20)

Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
 
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinalPSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
 
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voip
 
Asterisk
AsteriskAsterisk
Asterisk
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip
 
TELEPHONIE SUR IP
TELEPHONIE SUR IPTELEPHONIE SUR IP
TELEPHONIE SUR IP
 
Projet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfProjet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdf
 
Toip slide
Toip slideToip slide
Toip slide
 
La voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en WallonieLa voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en Wallonie
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIP
 
Telephonie ip
Telephonie ipTelephonie ip
Telephonie ip
 
VoIP
VoIPVoIP
VoIP
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sip
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
ToIP
ToIPToIP
ToIP
 
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asterisk
 
Cisco Call Manager
Cisco Call ManagerCisco Call Manager
Cisco Call Manager
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
 

Similaire à 9 presentation ssi-kettani_septi

To securite voip_v5.0
To securite voip_v5.0To securite voip_v5.0
To securite voip_v5.0souhasouha
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
VoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfVoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfAlKir1
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
 
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeTelecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeSavoir-faire Linux
 
My bussines solution distribution catalogue produits
My bussines solution distribution catalogue produits My bussines solution distribution catalogue produits
My bussines solution distribution catalogue produits Yassir Yaalaoui
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCERTyou Formation
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)CERTyou Formation
 
SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511Atilgan Sesen
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
E-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseauE-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseauMission laïque française
 
LML Technologie distribue Omnivigil
LML Technologie distribue OmnivigilLML Technologie distribue Omnivigil
LML Technologie distribue OmnivigilLouis-Martin Landry
 

Similaire à 9 presentation ssi-kettani_septi (20)

To securite voip_v5.0
To securite voip_v5.0To securite voip_v5.0
To securite voip_v5.0
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
CV_Mimouni
CV_MimouniCV_Mimouni
CV_Mimouni
 
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
 
VoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfVoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdf
 
securite.ppt
securite.pptsecurite.ppt
securite.ppt
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
 
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeTelecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
 
Cours1 mobile2015
Cours1 mobile2015Cours1 mobile2015
Cours1 mobile2015
 
VPN (3).pptx
VPN (3).pptxVPN (3).pptx
VPN (3).pptx
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoT
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
My bussines solution distribution catalogue produits
My bussines solution distribution catalogue produits My bussines solution distribution catalogue produits
My bussines solution distribution catalogue produits
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-fils
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
 
SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
E-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseauE-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseau
 
Mlf numerique réseau liban
Mlf numerique réseau libanMlf numerique réseau liban
Mlf numerique réseau liban
 
LML Technologie distribue Omnivigil
LML Technologie distribue OmnivigilLML Technologie distribue Omnivigil
LML Technologie distribue Omnivigil
 

9 presentation ssi-kettani_septi

  • 1. Ateliere-sécurité La voix sur IP : vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant dafir@ensias.ma 19 et 20 juin 2006, Hôtel Tour Hassan, Rabat
  • 2. Ateliere-sécurité Plan • Introduction • Technologies VoIP/ToIP • Vulnérabilités • Attaques envisageables • Sécurité préventive • Recommandations
  • 3. Ateliere-sécurité Introduction • Enjeux importants −Convergence Réseaux •Téléphonie / TI •PoE (Power over Ethernet) •Complexité, Coûts −Nouveaux acteurs •Opérateurs •Entreprises •Particuliers −Nouveaux usages •Visioconférence, •Télésurveillance •Téléphonie d'entreprise, •Télécopie •Téléphonie sur Internet, •Télévision & radio −3 vendeurs majeurs •Provenant du « monde TDM/PSTN » (Time Division Multiplexing, Public Switched Telephone Network) •Provenant du « monde IP » •« Société spécialisée VoIP »
  • 4. Ateliere-sécurité Introduction • Nouvelles infrastructures − Terminaux • Ordinateur + logiciel • Téléphone de bureau • Téléphone sans fil WiFi • Freebox, Livebox, ... − Serveurs − Équipements d’interconnection • Nouveaux risques
  • 5. Ateliere-sécurité Technologies VoIP • Signalisation et contrôle • Transport • Session SIP • Protocoles secondaires • Architecture • Enjeux de la sécurité
  • 6. Ateliere-sécurité Signalisation et contrôle • H.323: − Caractéristiques: • Complexe • Transcription IP de l'ISDN • similaire au fonctionnement des RTCs • Encore utilisé en coeur de réseau • Mécanismes de sécurité : H.235 • En voie de disparition
  • 7. Ateliere-sécurité Signalisation et contrôle • SIP (Session Initiation Protocol): − Normalisé par l’IETF (RFC 3261), “ressemble” à HTTP − Protocole se transformant en architecture − Adresses simples : sip:user@domaine.com − Extensions propriétaires − Gestion de sessions entre participants: • “End-to-end” (entre IP PBX) − Inter-AS MPLS VPNs − Confiance transitive (Transitive trust) − Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc
  • 8. Ateliere-sécurité Signalisation et contrôle • MGCP (Media Gateway Control Protocol): − Softswitch (CallAgent)<->MediaGateWay − CallAgents->MGW (2427/UDP) − MGW->CallAgents (2727/UDP) − Utilisé pour contrôler les MGWs − AoC (Advise Of Charge) en direction du CPE
  • 9. Ateliere-sécurité Transport • Rôle: Encodage, transport, etc. • RTP (Real-Time Protocol) : udp − Pas de gestion de QoS/bande passante − Connectivité : • Soit UA<->UA (risque de fraude), • Soit UA<->MGW<->UA − CODECs • ancien: G.711 (PSTN/POTS - 64Kb/s) • courant: G.729 (8Kb/s) • RTCP (Real-Time Control Protocol) : − Protocole de contrôle pour RTP • SRTP / SRTCP : équivalents chiffrés
  • 10. Ateliere-sécurité Session SIP • 2 composantes: − Fonctionnalités: • Signalisation (SIP) : la gestion des appels, passe par des serveurs − Localisation des utilisateurs − Session:  Configuration, Négociation  Modification, Fermeture • Données (RTP/RTCP/RTSP) : la voix, peut passer par le chemin le plus court
  • 11. Ateliere-sécurité Protocoles secondaires • DNS : Annuaire et localisation • DHCP : Attribution IP/DNS/etc • TFTP : Configuration & mise à jour • HTTP : Administration • ENUM : Correspondance adresses SIP / numéros E.164 en utilisant DNS
  • 12. Ateliere-sécurité Architecture opérateur Internet IP / MPLS CPE VoIPCoreOSS/BSS F W F W DB WEB FW S B C IP PBX IP PBX SBC CPE PBX H.323/RTP H.323/MGCP/RTP S B C MGW Carrier Carrier SIP/RTP H.323/RTP Billing TDM / PSTN MGWMGW F W Softswitch - Firewall - Filtrage « Non-stateful » - Filtrage « Stateful » - Filtrage applicatif par couches (Application Layer Gateway filtering -ALGs) - NAT / « firewall piercing » - LAN - Ethernet (routeurs et switches) - xDSL/cable/WiFi - VLANs (données/voix+signalisation) - WAN - Internet - VPN-MPLS - Liaisons spécialisées - MPLS - QoS (Quality de service) - Bande passante -Délai (150-400ms) -Jitter (<<150ms) - Perte de paquets (1-3%) - Systèmes : - Proxy: SIP - Gestionnaire d’appels (Call Manager)/IP PBX - Gestion des utilisateurs et reporting (HTTP, etc) - Recherche des chemins par IP - GK (GateKeeper) : H.323 - Serveur d’authentification (Radius) - Serveur de facturation (CDR/billing) - Serveurs DNS, TFTP, DHCP - Passerelle de voix (Voice Gateway: IP-PSTN) - Protocoles de contrôle de passerelles (Gateway Control Protocols) - Signalisation : interface SS7 - Media Gateway Controller - Passerelle de signalisation (Signaling Gateway) - Transport -Passerelle de média (Media Gateway): -conversion audio - VPN cryptés - SSL/TLS - IPsec -Localisation du cryptage (LAN-LAN, téléphone – téléphone...) - Impact sur la QoS - Que va apporter IPv6 ? - Téléphones IP (IP phones): - Téléphones hard-phones « classiques » - Propriétaires - Appliances - Soft-phones / UA (User- agents) - Solutions logicielles - Souples - « Toaster » - Mises à jour / patches - Intelligence - Téléphones IP (IP phones): - Intelligence déplacée du réseau vers l’équipement terminal - Flux entre le téléphone et les autres systèmes - SIP, RTP - (T)FTP - CRL - etc.
  • 13. Ateliere-sécurité Architecture: SBC • Quel est le rôle d'un SBC ? − SBC : Session Border Controllers. − Elément clé pour déploiement de softswitch: − Solutions intégrées de sécurité. • Terminal client IP généralement protégé par un pare- feu et bénéficie d’une adresse IP privée. • permet de traverser la protection du firewall et les équipements NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et de la signalisation) • permet de protéger le softswitch : − des « signalling overloads », − d’attaques en denis de service − et d’autres attaques rendues possibles en utilisant IP
  • 14. Ateliere-sécurité Architecture: SBC • SBC: − Autres fonctionnalités: • Convertir la signalisation • Convertir le flux multimédia (CODEC) • Autoriser RTP de manière dynamique • Localisation: − Il peut être localisé à différents endroits • client/opérateur, • au sein du réseau client, • à l'interface entre deux opérateurs (Peering VoIP)
  • 15. Ateliere-sécurité Enjeux de la sécurité • Les Firewalls − Le rôle du firewall − Les spécificités de la VOIP : • la problématique des ports dynamiques, • les protocoles parapluie... − La translation d'adresse (NAT) − Le problème de l'adressage IP : • adressage privé, • adressage public, • évolution IPv6…
  • 16. Ateliere-sécurité Enjeux de la sécurité • Les Firewalls − NAT et Firewall : • les impacts sur la QoS. • Les compromis Qualité de Service vs Sécurité.
  • 17. Ateliere-sécurité Vulnérabilité technologique • Généralités • Vulnérabilité protocolaire • Vulnérabilité architecturale • Exemples
  • 18. Ateliere-sécurité Généralités • VoIP/ToIP n’est pas équivalente à la téléphonie classique − Signalisation/contrôle et transport de la voix sur le même réseau IP − Perte de la localisation géographique de l'appelant
  • 19. Ateliere-sécurité Généralités • Stratégie de sécurité différente de celle à laquelle les utilisateurs étaient habitués: − Fiabilité du système téléphonique • Combien de pannes de téléphone vs pannes informatique? − Confidentialité des appels téléphoniques − Invulnérabilité du système téléphonique • Devenu un système susceptible d'intrusions, vers, etc
  • 20. Ateliere-sécurité Vulnérabilité protocolaire • Risque semblables à ceux des réseaux IP: − Intrusion, − écoute, − usurpation d'identité, − rejeu, − dénis de service, − etc. mais • Ce n’est pas juste « une application IP en plus »
  • 21. Ateliere-sécurité Vulnérabilité protocolaire • VoIP n’est pas juste « une application IP en plus », car: − Pas d'authentification mutuelle entre les parties, − Peu de contrôles d'intégrité des flux, pas ou peu de chiffrement • Risques d'interception et de routage des appels vers des numéros surfacturés • Falsification des messages d'affichage du numéro renvoyés à l'appelant − Attaques accessibles à tout informaticien et pas juste aux spécialistes de téléphonie numérique − Exemple: Terminaux très fragiles
  • 22. Ateliere-sécurité Vulnérabilité architecturale • Combinaison matériel+logiciel (surtout des DSP): − Softswitch: • généralement dédié à la signalisation − MGW (Media Gateway): • RTP<->TDM, • SS7oIP<->SS7 − IP-PBX: • Softswitch+MGW
  • 23. Ateliere-sécurité Vulnérabilité architecturale • Systèmes d'exploitation − OS temps réel (QNX/Neutrino, VxWorks, RTLinux) − Windows − Linux, Solaris • Sécurisation par défaut souvent quasi inexistante • Gestion des mises à jour : − Les OS sont rarement à jour − Les mises-à-jour ne sont pas « autorisées »
  • 24. Ateliere-sécurité H323 • Intrusion − Filtrage quasi-impossible : • multiplication des flux, des mécanismes d'établissement d'appel, des extensions à la norme, et transmission des adresses IP au niveau applicatif • Ecoute • Usurpation d'identité • Insertion et rejeu • Dénis de service: − De par la conception du protocole, pas de détection des boucles, signalisation non fiable, etc
  • 25. Ateliere-sécurité SIP • Ecoute • Usurpation d'identité • Insertion et rejeu • Déni de service
  • 26. Ateliere-sécurité Autres • Skinny Client Control Protocol (Cisco) : − Risques : • Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service • Multimedia Gateway Control Protocol (MGCP) − Risques: • Identiques aux autres en entreprise (pas d'expérience d'audit sécurité) • Dépendants de la sécurité du boitier ADSL • Moins de risques de surfacturation et de déni de service sur le serveur central • GSM sur IP : nano BTS − Risques : • Surfacturation, Ecoute des communications • Usurpation d'identité, Insertion et rejeu • Déni de service • GSM sur IP : UMA : Unlicensed Mobile Access − Risques : • Exposition du réseau opérateur sur Internet • Déni de service
  • 27. Ateliere-sécurité Terminaux • Peu de sécurisation des terminaux, peu de fonctions de sécurité − Pas de 802.1X • Exemple : test de téléphones VoIP (SIP) sur WiFi − 15 Téléphones testé de 8 fournisseurs • Cisco, • Hitachi, • Utstarcom, • Senao, • Zyxel, • ACT, • MPM, • Clipcomm
  • 28. Ateliere-sécurité Terminaux • Exemple (Suite) : téléphones VoIP (SIP) sur WiFi − Connexion interactive avec telnet ouverte − SNMP read/write avec community name par défaut − Ports de debogage VXworks ouverts en écoute sur le réseau WiFi − Services echo et time ouverts − Connexion interactive rlogin avec authentification basique − Exemple Cisco 7920 • port 7785 Vxworks wdbrpc ouvert • SNMP Read/Write • Réponse de Cisco : − les ports ne peuvent pas être désactivés, la communauté − SNMP ne pas être changée :  tout est codé en dur dans le téléphone...
  • 29. Ateliere-sécurité Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (non VoIP) − Coupure de courant : • Téléphone branché sur le secteur (pas PoE, pas secouru) => plus de téléphone • Serveurs branchés sur le courant secouru mais pas le commutateur devant => problème de commutateur
  • 30. Ateliere-sécurité Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (suite) − Retour du courant : • Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré • Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP ..." • Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné • Seule solution trouvée : débrancher/rebrancher
  • 31. Ateliere-sécurité Attaques envisageables • Attaques : couches basses • Attaques : implémentations • Attaques : protocoles VoIP • Attaques : téléphones • Autres attaques
  • 32. Ateliere-sécurité Attaques : couches basses • Attaques physiques − Systèmes d'écoute Interception (MITM) : • écoute passive ou modification de flux − Discussion − “Who talks with who”  Sniffing du réseau  Serveurs (SIP, CDR, etc)
  • 33. Ateliere-sécurité Attaques : couches basses • Attaques sur les couches basses : LAN − Accès physique au LAN − Attaques ARP : • ARP spoofing, • ARP cache poisoning − Périphériques non authentifiés (téléphones et serveurs) − Différents niveaux : • adresse MAC, utilisateur, port physique, etcLAN Pirate Téléphone IP 1 Téléphone IP 2
  • 34. Ateliere-sécurité Attaques : implémentations • Interface d'administration HTTP, de mise à jour TFTP, etc. − Exploits − Vols de session (XSS) − Scripts / injections • Piles TCP/IP • Dénis de services (DoS) • PROTOS
  • 35. Ateliere-sécurité Attaques : protocoles VoIP • Fraude: Spoofing SIP − Call-ID Spoofing − Appropriation des droits d’utilisateur sur le serveur d’authentification − Tags des champs From et To − Replay − Accès au voicemail
  • 36. Ateliere-sécurité Attaques : protocoles VoIP • DoS : Denial of service − Au niveau: • Réseau • Protocole (SIP INVITE) • Systèmes / Applications • Téléphone − Envois illégitimes de paquets SIP INVITE ou BYE − Modification « à la volée » des flux RTP
  • 37. Ateliere-sécurité Attaques : téléphone • (S)IP phone : − Démarrage (Startup) • DHCP, TFTP, etc. − Accès à l’adresse physique • Tables de configuration cachées − Piles TCP/IP − Configuration du constructeur − Trojan horse/rootkit
  • 38. Ateliere-sécurité Attaques : autres • Protocoles secondaires: − DNS : DNS ID spoofing ou DNS cache poisoning − DHCP : DoS, MITM − TFTP : upload d'une configuration (DoS, MITM...) • Autres: − L’élément humain − Systèmes: • La plupart ne sont as sécurisés par défaut • Worms, exploits, Trojan horses
  • 39. Ateliere-sécurité Sécurité préventive • Quelle sécurité préventive? • Sécurité indépendantes de la VoIP • Sécurité propres à la VoIP / ToIP • Calcul du ROI de la VoIP
  • 40. Ateliere-sécurité Quelle sécurité préventive? • Mesure de sécurité, ou protection − Action − Diminue le risque à un niveau acceptable • Action préventive ISO 19011:2002 − Action visant à éliminer une situation indésirable potentielle − Agit en amont de l'incident • Action corrective − Action visant à éliminer une situation indésirable détectée − Agit en aval de l'incident
  • 41. Ateliere-sécurité Quelle sécurité préventive? • Actions préventives ? • Donc réfléchir sans attendre l'incident ! − Identifier se qui compte pour le chef d'entreprise − Réaliser une analyse de risque sur ce qui compte − Appliquer des mesures de sécurité • Avec un rapport qualité/prix réaliste • Afin de réduire les risques à un niveau acceptable
  • 42. Ateliere-sécurité Sécurité indépendante VoIP • Sécurité dans le réseau IP − Sécurité dans le réseau − Liaison • Cloisonnement des VLAN • Filtrage des adresses MAC par port • Protection contre les attaques ARP − Réseau • Contrôle d'accès par filtrage IP • Authentification et chiffrement avec IPsec − Transport • Authentification et chiffrement SSL/TLS
  • 43. Ateliere-sécurité Sécurité indépendante VoIP • Filtrage IP : firewall − Contrôle d'accès réseau − Proactif : • le paquet passe ou le paquet est bloqué − Application de la politique de sécurité de l'organisme
  • 44. Ateliere-sécurité Sécurité indépendante VoIP • Détection d'intrusion (NIDS) − Passif : • le paquet est passé mais finalement il n'aurait pas du, il est malveillant − Faux positifs : • un paquet vu comme malveillant qui est tout à fait légitime − Faux négatif : • un paquet vu comme légitime qui est malveillant
  • 45. Ateliere-sécurité Sécurité indépendante VoIP • Prévention d'intrusion (NIPS) − Combiner l'analyse approfondie de la détection d'intrusion avec la capacité de bloquer du firewall − Actif : certains paquets sont passés, mais pas les suivants : • Limitation de bande passante • TCP Reset / ICMP Unreachable − Toujours des risques de faux positifs / faux négatifs
  • 46. Ateliere-sécurité Sécurité propre à la VoIP • Solutions: − SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité • Limitations: − Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication − Mise en oeuvre de la sécurité => perte des possibilité d'interopérabilités entre fournisseurs
  • 47. Ateliere-sécurité Calcul du ROI • VoIP: Pas de service en plus − Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP − Les service disponibles en VoIP le sont aussi en téléphonie classique − Aucun calcul de ROI ne peut se justifier par la disponibilité de nouveaux services • Intégrer les coûts de la VoIP
  • 48. Ateliere-sécurité ROI : coût du VoIP • Intégrer les coûts de la VoIP − Coûts de câblage • Poste téléphonique IP =>prise ethernet supplémentaire • Difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC • Nécessité des VLANs, avant considérations de sécurité • Informations indispensable au service téléphonique ; N° pièce, n° prise associée à chaque n° de téléphone: − N° de téléphone, @MAC, @IP et n° de prise Ethernet liés • Câblage rapide des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE) − Onduleurs supplémentaires et spécifiques
  • 49. Ateliere-sécurité ROI : coût du VoIP • Intégrer les coûts de la VoIP − Services du réseau informatique deviennent des services critiques • DHCP • DNS • Commutateurs • ... − Obligation d’inclure les coûts de mise en oeuvre de la haute-disponibilité − Coûts d'exploitation au quotidien bien plus élevés 24/7, etc
  • 50. Ateliere-sécurité ROI : dégradation du service • Intégrer la dégradation du service due à la VoIP: − Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 % − Taux de disponibilité téléphonie sur IP : ?? • Pas de téléphone pendant plusieurs jours... − Support téléphonique hors-service • Situations antagonistes : réseau en panne => téléphone en panne • Téléphone : principal système d'appel au secours pour la sécurité des personnes
  • 51. Ateliere-sécurité ROI : autres facteurs • Valider au préalable la réalité des fonctionnalités : − Fonctionnalités  prix du Poste entrée de gamme − Fonctionnalités de sécurité imposant un changement de tous les postes téléphoniques • Valider au préalable la robustesse de tous les équipements choisis • Analyser les risques − Peu de gens font une analyse de risques sur leur projet VoIP. Pourquoi ?
  • 52. Ateliere-sécurité Recommandations • Actuellement, voix sur IP  danger • Mécanismes de détection • Sécurisation des couches basses − Utilisation de TLS pour la signalisation SIP • Identification des clients et du serveur − Protocole de gestion de clefs VoIP : MiKEY • Encapsulé dans SIP − PSK (Pre-shared key), Diffie-hellman, PKI
  • 53. Ateliere-sécurité Recommandations • Couche réseau: − QoS [LLQ] (and rate-limit) − Firewall: application level filtering • Téléphones IP certifiés par leurs producteurs • Sécurisation des couches hautes − Utilisation de SRTP/SRTCP − Sécurisation des échanges DNS : DNSSec − Utilisation de tunnels IPSec en remplacement des solutions précédentes • Projet 3P: project, security processes and policies
  • 54. Ateliere-sécurité Perspectives • VoWLAN − Utilisation de PDA / Laptop : téléphonie mobile − Problèmes classiques du WiFi − Utilisation d'un protocole de mobilité pour couvrir de grandes distances (IAPP) − Choix judicieux des CODECs (PCM, GSM...)
  • 56. Ateliere-sécurité Recommandations • Limites: − QoS, bande-passante... − Qualité de la voix : choix important des CODECs • Temps d'établissement • Compromis utilisation / complexité − IPsec parfois trop lourd : • restriction possible aux protocoles utilisés − Ne pas se limiter aux protocoles VoIP, au réseau: • clients (UA), serveurs (soft switch, call manager, DHCP/TFTP), détection de fraude, etc. − Ni aux aspects techniques: • ingénierie, opérations, support, etc, comment les répartir?
  • 57. Ateliere-sécurité Recommandations • Téléphonie & DSI: − Téléphonie doit entrer suivre la Direction des Systèmes d'Information (DSI) − Ne peut rester aux services administratifs − Téléphonistes doivent intégrer la DSI − Leurs compétences en téléphonie sont indispensables au déploiement de la VoIP • VoIP / ToIP = intérêt futur proche des fournisseurs : − Passage à la VoIP se fera un jour de gré ou de force
  • 58. Ateliere-sécurité Conclusion • VoIP : − Technologie encore jeune − Étude fine des solutions précède déploiement − Désormais accessible aux particuliers (Skype..) • Sécurité au coeur de la problématique − La VoIP / ToIP relance l'insécurité − Sécurité au niveau réseau − Réponse partielle mais nécessaire − Difficile à mettre en oeuvre − Mécanismes de sécurité propriétaires proposés par les constructeurs : • Seule réponse satisfaisante en matière de sécurité • Très rarement mis en oeuvre • ROI négligé