SlideShare une entreprise Scribd logo
1  sur  41
Télécharger pour lire hors ligne
UNIVERSITE DAKAR BOURGUIBA
SECURITE RESEAUX ET SYSTEMES
VULNERABILITE
SOLUTION: OPENVPN, SSL
Réalisé par:
Mr. ALPHA CIRE
Mr. Justin AGENORWOTH ACIRA
Mr. SALAMA MBALU Stephen
Dirigé par:
Mr. Youssef Khlil
Master 1: Genie Informatique: Système Réseaux Télécoms
mamaducirejalloh64@gmail.com, djaarucb1@gmail.com, stephensalama2@gmail.com
PLAN
I. INTROCTION
II. GENERALITES
III. PRESENTATION DES OUTILS UTILISES
IV. CONFIGURATION
V. VULNERABILITE VOIP
VI. SECURISATION
VII. CONCLUSION
INTRODUCTION
• Depuis les années 1990, Internet a été utilisé afin de diminuer les
coûts des communications téléphoniques. Les communications ainsi
établies coûtent seulement le prix de deux communications locales
(une communication locale à chaque extrémité).
• Toutefois, les enjeux de la voix sur IP sont aussi techniques et
dépassent la simple idée de la communication téléphonique à
moindre coût. Du fait de la convergence voix, données et images, il
devient plus facile de gérer un support de transmission unique pour
l'ensemble des services (tout sur IP).
II. GENERALITES
 C’est quoi la VoIP ?
• La voix sur IP, pour Voice over IP, est une technique qui permet de
communiquer par la voix (audio ou/et vidéo) sur des réseaux compatibles IP,
qu'il s'agisse de réseaux privés ou d'Internet.
• Elle désigne l’ensemble des technologies permettant de communiquer
oralement via un réseau utilisant le protocole IP. Le terme "VoIP" est en
général utilisé pour décrire des communications "Point à Point". Pour la
diffusion du son sur IP en multipoints, on parlera plutôt de streaming (comme
les radios sur Internet, par exemple).
• Cette technologie est complémentaire de la téléphonie sur IP (« ToIP » pour
Telephony over Internet Protocol).
• Divers protocoles peuvent être utilisés pour acheminer les informations
au(x) destinataire(s) parmi lesquels RTP, Real-time Transport Protocol, qui
est un protocole basé sur UDP/IP.
• Il est important de noter que certaines fonctions de liaison entre postes,
nécessaires dans certains cas au fonctionnement opérationnel des services
utilisateurs, peuvent présenter un risque potentiel de malveillance et de
vulnérabilité.
 Les protocoles
• Les logiciels de Voix sur IP utilisent en général SIP qui est un protocole
symétrique. Historiquement le protocole H.323 ayant été développé et
adopté massivement en premier lieu, il reste très présent mais sur le
déclin. On peut identifier certains acteurs historiques se lançant dans
l'aventure VoIP au moyen de protocoles plus anciens (H323) et les
nouveaux arrivés utilisant les derniers protocoles (SIP par exemple).
Voici quelques protocoles utilisés :
 SIP (Session Initiation Protocol)
Ce qui nous intéresse beaucoup, c’est ce protocole de signalisation de
vidéo et voix sur IP, SIP est un protocole développé par l'Internet
Engineering Task Force (IETF) et il permet la négociation et
l'établissement de sessions VoIP. Il est un protocole de couche 5
(couche Session) du modèle OSI. Il s'appuie généralement sur une
couche de transport UDP, bien qu'il soit possible d'augmenter sa
fiabilité en l'appliquant sur du TCP. Le port par défaut de SIP est le
5060. SIP ne traite que l'établissement de session. Il ne transporte pas
les données échangées pendant la communication, ce rôle étant joué
par RTP (Real-time Transport Protocol).
RTP (Real-time Transport Protocol)
• RTP est à l'heure actuelle principalement utilisé comme transport de
média pour les services de la voix sur IP ou de vidéo conférence, voire
de streaming. En mode unidirectionnel, il est toujours associé avec un
autre protocole de signalisation qui gère l'établissement de session et
permet l'échange du numéro de port utilisé par les deux extrémités.
• Le but de RTP est de fournir un moyen uniforme de transmettre sur IP
des données soumises à des contraintes de temps réel (audio, vidéo,
... ). Le rôle principal de RTP consiste à mettre en œuvre des numéros
de séquence de paquets IP pour reconstituer les informations de voix
ou vidéo même si le réseau sous-jacent change l'ordre des paquets.
Plus généralement, RTP permet :
• d'identifier le type d'information transportée,
• d'ajouter des marqueurs temporels et des numéros de séquence ;
• de contrôler l'arrivée à destination des paquets.
De plus, RTP peut être véhiculé par des paquets multicast afin
d'acheminer des conversations vers des destinataires multiples.
RTCP (Real-time Transfert Control Protocol)
• Le protocole réseau RTCP (Real-time Transport Control Protocol)
repose sur des transmissions périodiques de paquets de contrôle par
tous les participants dans la session.
• C'est un protocole de contrôle des flux RTP, permettant de véhiculer
des informations basiques sur les participants d'une session, et sur la
qualité de service.
• Le RTCP est un protocole couplé au RTP (Real-time Transport
Protocol). Ses fonctionnalités de base et sa structure des paquets sont
définis dans la spécification RFC 3550 RTP, remplaçant sa
standardisation originale datant de 1996 (RFC 1889).
RTCP fournit les statistiques de bandes passantes et des informations
de contrôle pour un flux RTP. Il est couplé aux paquets RTP, mais ne
transporte aucune information relative au média lui-même.
Typiquement RTP sera envoyé sur un port UDP (User Datagram
Protocol) de numéro pair ; le message RTCP couplé sera envoyé sur le
port impair suivant. La fonction principale du RTCP est de fournir des
informations sur la qualité de service (QoS) dans la distribution des
médias en envoyant périodiquement des informations statistiques pour
les participants à une session de flux multimédia (audio ou vidéo).
PABX (Private Automatic Branch eXchange)
• Un PABX est un autocommutateur téléphonique privé destiné à
alimenter et à mettre en relation une certaine quantité de postes
téléphoniques internes dans une entreprise ou dans une
administration.
En d'autres termes, il représente l'élément central qui :
1) distribue les appels téléphoniques arrivés ;
2) autorise les appels téléphoniques départs (vers un ou plusieurs
opérateurs de télécommunications, suivant les droits) ;
3) gère les terminaux téléphoniques (ainsi que les appels internes), qui
peuvent être des postes numériques ou analogiques ;
4) gère toutes les autres fonctionnalités ou options (Comme la taxation
par exemple).
• Il permet, entre autres, la messagerie vocale, les files d'attente, les
agents d'appels, les musiques d'attente et les mises en garde
d'appels, la distribution des appels. Il est possible également
d'ajouter l'utilisation des conférences par le biais de l'installation de
modules supplémentaires
Figure : PABX et ses Fonctionnalités
Securité de la VoIP :
La sécurité de la téléphonie est souvent restée un sujet à part dans l’entreprise.
Pour l’entreprise et les opérateurs ce facteur « coût de la communication » est
important, mais le déploiement de réseaux privés virtuels MPLS, l'introduction de
la qualité de service dans les réseaux (QoS), la convergence voix-données (CTI), les
divers projets de consolidation des deux dernières années, l'arrivée des
autocommutateurs IP, la disponibilité de postes téléphoniques intégrant des
fonctionnalités de plus en plus avancées sont des facteurs tout au moins aussi
déterminants. Des études récentes montrent que la sécurité de la VoIP est un
élément clé pour les décideurs, mais les déploiements observés ont
malheureusement tendance à montrer le contraire.
Après avoir présenté les principaux protocoles liés à la voix sur IP
et avoir présenté les rudiments de la sécurisation des différents
équipements nous allons détailler différentes attaques et quels « ajouts
» sécurité peuvent limiter leur impact. Pour finir nous discuterons de
l’interception de trafic et présenterons deux évolutions récentes de la
VoIP.
III. Présentation des Outils Utilisés
Pour implémenter la solution VoIP nous utiliserons un serveur Linux Ubuntu
sur lequel sera installé le logiciel Asterisk, deux machines clientes Windows
pour les deux téléphones (Clients SIP) et un sniffer qui sera installé sur l’une
des machines clientes. (Cain & Abel ou Wireshark).
Asterisk : est un autocommutateur téléphonique privé (PABX: Private
Automatic Branch eXchange) open source et propriétaire (publié sous
licence GPL et licence propriétaire) pour systèmes GNU/LINUX.
Asterisk est donc un IP-PBX qui transforme un ordinateur en «centrale
téléphonique ».
 Clients SIP
Les logiciels SIP sont des logiciels qui utilisent SIP comme protocole
de voix sur réseau IP (téléphonie sur Internet). Certains permettent
également la visioconférence.
Pour notre travail, nous avons testé avec les softphones qui sont entre
autre X-Lite et Zoiper.
IV. CONFIGURATION
• Preparation de l’installation d’Asterisk
Il est toujours important de mettre à jour la distribution pour avoir les
nouvelles fonctionnalités recentes;
# apt-get update
Deuxiemement, nous installons les dependances necessaires à la
compilation d’Asterisk
#apt-get install build-essential libxml2-dev libncurses5-dev linux-
headers-’uname –r’ libsqlite3-dev libssl-dev
• On cree un dossier ou nous allons mettre les sources d’Asterisk /usr/src
# mkdir /usr/src/asterisk
On accede dans le repertoire crée ci haut pour lancer l’installation
# /usr/src/asterisk#
• Finalement, on lance l’installation de l’Asterisk et nous avons choisi la
version 11 pour notre travail:
:/usr/src/asterisk# wget
http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-11-
current.tar.gz
• On extrait le fichier telecharger:
:/usr/src/asterisk# tar -xvzt asterisk-11-current.tar.gz
:/usr/src/asterisk# cd asterisk-11.10.0
Installation d’Asterisk (suite)
• On construit un nouveau fichier makefile qui contient les instructions à
executer à partir des commandes, ./configure, make, make install, make
config,…
:/usr/src/asterisk/asterisk-11.10.0#./configure
• La commande make menuselect permet d’installer des modules
supplementaires
• :/usr/src/asterisk/asterisk-11.10.0#make manuselect
Installation d’Asterisk (suite)
• Enfin, les commandes suivantes terminent l’installation
:/usr/src/asterisk-11.10.0#make
:/usr/src/asterisk-11.10.0#make install
:/usr/src/asterisk-11.10.0#make samples
:/usr/src/asterisk-11.10.0#make config
La configuration d’Asterisk s’articule sur les fichiers de configuration suivants:
 /etc/asterisk/sip.conf : configuration globale d’Asterisk
 /etc/asterisk/users.conf : configurations des utilisateurs
 /etc/asterisk/extensions.conf : configuration du Diaplan
1. Nano /etc/asterisk/sip.conf
On modifie la ligne pour parametrer les sons en Francais
;language=en : default language setting for all users/peers
Et cela devient:
language=fr : default language setting for all users/peers
2. Nano /etc/asterisk/users.conf
Les 2 clients viennent d’etre créé au niveau du serveur Asterisk
V. VULNERABILITE VOIP
Apres avoie sélectionné un paquet rtp, on clique sur Telephony
puis Voip Calls
V. VULNERABILITE VOIP
Et la on aperçoit la communication qui a été interceptée par
Wireshark
OpenVPN n’est pas un VPN IPSec, c’est un VPN SSL se basant sur la creation
d’un tunnel IP (UDP ou TCP au choix) authentifé et chiffré avec la
bibliotheque OpenSSL.
La configuration OpenVPN est d’etablir une ICP (Infrastructure de Clé
Publiques), elle fonctionne grace à:
- Une clé publique pour le serveur et une clé privée pour chacun des clients.
- Un certificat de l’autorité de certification et des clés qui sont utilisées pour
identifier chaque certificat serveur et clients.
Quelques avantages des tunnels VPN SSL:
- Faciliter pour passer les reseaux NATés (pas de configuration à faire)
- Logiciel client disponible sur GNU/Linux, Windows, Max OS X, actuellement
sous Android
VI.SECURISATION
Taper la commande suivante pour installer openvpn:
Generer le certificat et la clé de l’Autorité de Certification maître:
Premierement, on cree un dossier “easy-rsa”
Copier tous les fichiers de configurations dans le dossier créé ci-haut,
puis modifier le fichier “vars”
Editer le fichier “vars” selon les informations données ci après (en
mettant vos propres infos bien entendu ! ):
A ce stade, on lance la séquence qui va générer les clés (.key) et les certificats
(.crt)
Ensuite, on copie tout ce que l’on a généré dans le répertoire
/etc/openvpn
# cp keys/ca.crt keys/ta.key keys/server.crt
keys/server.key /etc/openvpn
3. On accède dans le fichier de configuration du serveur
openvnp: server.conf et les lignes à decommenter et
commenté sont les suivantes:
SECURISATION
Pour vérifier si les configurations marchent, on vérifier s’il va s’afficher
un bouton vert après la commande suivante :
CONFIGURATION SUR UN CLIENT WINDOWS
Après avoir importé les clés et les certificats du client, on les copie dans
le répertoire C:Program FilesOpenVPNconfig(Dans notre cas il s’agit
d’un client XP) :
CONFIGURATION SUR UN CLIENT WINDOWS
Pour editer le fichier de configuration, il faut faire clique droit sur
openvpn et cliquer sur editer la configuration
Et suivre cette configuration
Pour se rassurer que les configurations sont bien faites au niveau
du client, et si le client est connecté l’icone sera en vert:
Les 2 clients s’appellent parfaitement,
TEST
SNIFFER
Vu que la sécurisation est établie, wireshark ne capte rien du tout !
VII. CONCLUSION
L'explosion de la VoIP pousse les différentes entreprises de
communications à améliorer les moyens mise en place. Grâce à cela la VoIP
est l'avenir de la téléphonie.
Il se pose néanmoins un grand problème de sécurité dans la VoIP et dans
beaucoup de cas ce problème est souvent ignoré par les décideurs au niveau
des entreprises ou même par les techniciens.
Une sécurisation de la VoIP en utilisant un canal sécurisé vient palier à ce
grand problème de sécurité ci-haut souligné. C’est ainsi que nous avons mis
en place un canal VPN en nous servant de la solution OPENVPN sur linux
(Ubuntu).
Désormais tout client non authentifié ne sera pas en mesure d’utiliser
notre service de téléphonie; et ainsi on diminue sensiblement les risques
d’attaques par les pirates.
SOURCES
1. http://www.commentcamarche.net/contents/535-les-protocoles-
rtp-rtcp
2. http://www.pabx-fr.com/pabx/
 stephensalama2@gmail.com;
djaarucb1@gmail.com;
 mamaducirejalloh64@gmail.com
CONTACTS :

Contenu connexe

Tendances

Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapportGilles Samba
 
éTude et mise_en_place_d'une_solution_voip_sécurisée
éTude et mise_en_place_d'une_solution_voip_sécuriséeéTude et mise_en_place_d'une_solution_voip_sécurisée
éTude et mise_en_place_d'une_solution_voip_sécuriséeSaad Jouhari
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip assane fall
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauGeorges Amichia
 
Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Siir Ayoub
 
memoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diop
memoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diopmemoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diop
memoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou DiopMAGAYE GAYE
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationMoustapha Mbow
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asteriskGilles Samba
 

Tendances (20)

Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
TELEPHONIE SUR IP
TELEPHONIE SUR IPTELEPHONIE SUR IP
TELEPHONIE SUR IP
 
éTude et mise_en_place_d'une_solution_voip_sécurisée
éTude et mise_en_place_d'une_solution_voip_sécuriséeéTude et mise_en_place_d'une_solution_voip_sécurisée
éTude et mise_en_place_d'une_solution_voip_sécurisée
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Rapport de stage bts
Rapport de stage btsRapport de stage bts
Rapport de stage bts
 
Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Architecture VoIP Protocol H323
Architecture VoIP Protocol H323
 
memoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diop
memoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diopmemoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diop
memoire Magaye Gaye_ESMT Fevrier 2012 Dr Ouya_Dr Boudal Ing Ousseynou Diop
 
Voip FreeSwitch
Voip FreeSwitchVoip FreeSwitch
Voip FreeSwitch
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
radius
radiusradius
radius
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisation
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asterisk
 

Similaire à Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et OpenSSL

Projet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfProjet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfAbderahim Amine Ali
 
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaConclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaMarco Antonio Colque Poma
 
Voip simulation
Voip simulation Voip simulation
Voip simulation Anas ABANA
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sipBisatel
 
VoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfVoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfAlKir1
 
Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données Aymen Bouzid
 
To securite voip_v5.0
To securite voip_v5.0To securite voip_v5.0
To securite voip_v5.0souhasouha
 
Le protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avanceLe protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avancefoxshare
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkAbdelhamid KHIRENNAS
 
Priorité des flux
Priorité des fluxPriorité des flux
Priorité des fluxbuffy14
 
LML Technologie distribue Omnivigil
LML Technologie distribue OmnivigilLML Technologie distribue Omnivigil
LML Technologie distribue OmnivigilLouis-Martin Landry
 
Atelier configuration d une maquette voip
Atelier configuration d une maquette voip Atelier configuration d une maquette voip
Atelier configuration d une maquette voip sahar dridi
 
Pres Connect 9 9 9(2)
Pres Connect 9 9 9(2)Pres Connect 9 9 9(2)
Pres Connect 9 9 9(2)Sif Boukhari
 
Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...
Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...
Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...Fédération Française des Télécoms
 

Similaire à Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et OpenSSL (20)

Projet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdfProjet haute disponibilité asterisk pdf
Projet haute disponibilité asterisk pdf
 
TELEPHONIE IP
TELEPHONIE IPTELEPHONIE IP
TELEPHONIE IP
 
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaConclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
 
QoS & VoIP
QoS & VoIPQoS & VoIP
QoS & VoIP
 
Voip simulation
Voip simulation Voip simulation
Voip simulation
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sip
 
VoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfVoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdf
 
Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données
 
To securite voip_v5.0
To securite voip_v5.0To securite voip_v5.0
To securite voip_v5.0
 
Le protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avanceLe protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avance
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireShark
 
VoIP
VoIPVoIP
VoIP
 
Priorité des flux
Priorité des fluxPriorité des flux
Priorité des flux
 
LML Technologie distribue Omnivigil
LML Technologie distribue OmnivigilLML Technologie distribue Omnivigil
LML Technologie distribue Omnivigil
 
Atelier configuration d une maquette voip
Atelier configuration d une maquette voip Atelier configuration d une maquette voip
Atelier configuration d une maquette voip
 
voip
voipvoip
voip
 
ToIP
ToIPToIP
ToIP
 
Pres Connect 9 9 9(2)
Pres Connect 9 9 9(2)Pres Connect 9 9 9(2)
Pres Connect 9 9 9(2)
 
Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...
Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...
Livre blanc 2017 - Recommandations FFTelecoms - Transition du RTC vers le tou...
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 

Plus de Stephen Salama

ADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptx
ADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptxADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptx
ADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptxStephen Salama
 
Expose de sur le systeme d'exploitation linux
Expose de sur le systeme d'exploitation linuxExpose de sur le systeme d'exploitation linux
Expose de sur le systeme d'exploitation linuxStephen Salama
 
Admin reseaux sous linux cours 3
Admin reseaux sous linux   cours 3Admin reseaux sous linux   cours 3
Admin reseaux sous linux cours 3Stephen Salama
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux   cours 2Admin reseaux sous linux   cours 2
Admin reseaux sous linux cours 2Stephen Salama
 
Administration réseaux sous linux cours 1
Administration réseaux sous linux   cours 1Administration réseaux sous linux   cours 1
Administration réseaux sous linux cours 1Stephen Salama
 
Hacking facile sur Internet
Hacking facile sur InternetHacking facile sur Internet
Hacking facile sur InternetStephen Salama
 

Plus de Stephen Salama (6)

ADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptx
ADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptxADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptx
ADRESSAGE DANS LES RESEAUX INFORMATIQUE.pptx
 
Expose de sur le systeme d'exploitation linux
Expose de sur le systeme d'exploitation linuxExpose de sur le systeme d'exploitation linux
Expose de sur le systeme d'exploitation linux
 
Admin reseaux sous linux cours 3
Admin reseaux sous linux   cours 3Admin reseaux sous linux   cours 3
Admin reseaux sous linux cours 3
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux   cours 2Admin reseaux sous linux   cours 2
Admin reseaux sous linux cours 2
 
Administration réseaux sous linux cours 1
Administration réseaux sous linux   cours 1Administration réseaux sous linux   cours 1
Administration réseaux sous linux cours 1
 
Hacking facile sur Internet
Hacking facile sur InternetHacking facile sur Internet
Hacking facile sur Internet
 

Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et OpenSSL

  • 1. UNIVERSITE DAKAR BOURGUIBA SECURITE RESEAUX ET SYSTEMES VULNERABILITE SOLUTION: OPENVPN, SSL Réalisé par: Mr. ALPHA CIRE Mr. Justin AGENORWOTH ACIRA Mr. SALAMA MBALU Stephen Dirigé par: Mr. Youssef Khlil Master 1: Genie Informatique: Système Réseaux Télécoms mamaducirejalloh64@gmail.com, djaarucb1@gmail.com, stephensalama2@gmail.com
  • 2. PLAN I. INTROCTION II. GENERALITES III. PRESENTATION DES OUTILS UTILISES IV. CONFIGURATION V. VULNERABILITE VOIP VI. SECURISATION VII. CONCLUSION
  • 3. INTRODUCTION • Depuis les années 1990, Internet a été utilisé afin de diminuer les coûts des communications téléphoniques. Les communications ainsi établies coûtent seulement le prix de deux communications locales (une communication locale à chaque extrémité). • Toutefois, les enjeux de la voix sur IP sont aussi techniques et dépassent la simple idée de la communication téléphonique à moindre coût. Du fait de la convergence voix, données et images, il devient plus facile de gérer un support de transmission unique pour l'ensemble des services (tout sur IP).
  • 4. II. GENERALITES  C’est quoi la VoIP ? • La voix sur IP, pour Voice over IP, est une technique qui permet de communiquer par la voix (audio ou/et vidéo) sur des réseaux compatibles IP, qu'il s'agisse de réseaux privés ou d'Internet. • Elle désigne l’ensemble des technologies permettant de communiquer oralement via un réseau utilisant le protocole IP. Le terme "VoIP" est en général utilisé pour décrire des communications "Point à Point". Pour la diffusion du son sur IP en multipoints, on parlera plutôt de streaming (comme les radios sur Internet, par exemple). • Cette technologie est complémentaire de la téléphonie sur IP (« ToIP » pour Telephony over Internet Protocol).
  • 5. • Divers protocoles peuvent être utilisés pour acheminer les informations au(x) destinataire(s) parmi lesquels RTP, Real-time Transport Protocol, qui est un protocole basé sur UDP/IP. • Il est important de noter que certaines fonctions de liaison entre postes, nécessaires dans certains cas au fonctionnement opérationnel des services utilisateurs, peuvent présenter un risque potentiel de malveillance et de vulnérabilité.  Les protocoles • Les logiciels de Voix sur IP utilisent en général SIP qui est un protocole symétrique. Historiquement le protocole H.323 ayant été développé et adopté massivement en premier lieu, il reste très présent mais sur le déclin. On peut identifier certains acteurs historiques se lançant dans l'aventure VoIP au moyen de protocoles plus anciens (H323) et les nouveaux arrivés utilisant les derniers protocoles (SIP par exemple).
  • 6. Voici quelques protocoles utilisés :  SIP (Session Initiation Protocol) Ce qui nous intéresse beaucoup, c’est ce protocole de signalisation de vidéo et voix sur IP, SIP est un protocole développé par l'Internet Engineering Task Force (IETF) et il permet la négociation et l'établissement de sessions VoIP. Il est un protocole de couche 5 (couche Session) du modèle OSI. Il s'appuie généralement sur une couche de transport UDP, bien qu'il soit possible d'augmenter sa fiabilité en l'appliquant sur du TCP. Le port par défaut de SIP est le 5060. SIP ne traite que l'établissement de session. Il ne transporte pas les données échangées pendant la communication, ce rôle étant joué par RTP (Real-time Transport Protocol).
  • 7. RTP (Real-time Transport Protocol) • RTP est à l'heure actuelle principalement utilisé comme transport de média pour les services de la voix sur IP ou de vidéo conférence, voire de streaming. En mode unidirectionnel, il est toujours associé avec un autre protocole de signalisation qui gère l'établissement de session et permet l'échange du numéro de port utilisé par les deux extrémités. • Le but de RTP est de fournir un moyen uniforme de transmettre sur IP des données soumises à des contraintes de temps réel (audio, vidéo, ... ). Le rôle principal de RTP consiste à mettre en œuvre des numéros de séquence de paquets IP pour reconstituer les informations de voix ou vidéo même si le réseau sous-jacent change l'ordre des paquets.
  • 8. Plus généralement, RTP permet : • d'identifier le type d'information transportée, • d'ajouter des marqueurs temporels et des numéros de séquence ; • de contrôler l'arrivée à destination des paquets. De plus, RTP peut être véhiculé par des paquets multicast afin d'acheminer des conversations vers des destinataires multiples.
  • 9. RTCP (Real-time Transfert Control Protocol) • Le protocole réseau RTCP (Real-time Transport Control Protocol) repose sur des transmissions périodiques de paquets de contrôle par tous les participants dans la session. • C'est un protocole de contrôle des flux RTP, permettant de véhiculer des informations basiques sur les participants d'une session, et sur la qualité de service. • Le RTCP est un protocole couplé au RTP (Real-time Transport Protocol). Ses fonctionnalités de base et sa structure des paquets sont définis dans la spécification RFC 3550 RTP, remplaçant sa standardisation originale datant de 1996 (RFC 1889).
  • 10. RTCP fournit les statistiques de bandes passantes et des informations de contrôle pour un flux RTP. Il est couplé aux paquets RTP, mais ne transporte aucune information relative au média lui-même. Typiquement RTP sera envoyé sur un port UDP (User Datagram Protocol) de numéro pair ; le message RTCP couplé sera envoyé sur le port impair suivant. La fonction principale du RTCP est de fournir des informations sur la qualité de service (QoS) dans la distribution des médias en envoyant périodiquement des informations statistiques pour les participants à une session de flux multimédia (audio ou vidéo).
  • 11. PABX (Private Automatic Branch eXchange) • Un PABX est un autocommutateur téléphonique privé destiné à alimenter et à mettre en relation une certaine quantité de postes téléphoniques internes dans une entreprise ou dans une administration. En d'autres termes, il représente l'élément central qui : 1) distribue les appels téléphoniques arrivés ; 2) autorise les appels téléphoniques départs (vers un ou plusieurs opérateurs de télécommunications, suivant les droits) ; 3) gère les terminaux téléphoniques (ainsi que les appels internes), qui peuvent être des postes numériques ou analogiques ; 4) gère toutes les autres fonctionnalités ou options (Comme la taxation par exemple).
  • 12. • Il permet, entre autres, la messagerie vocale, les files d'attente, les agents d'appels, les musiques d'attente et les mises en garde d'appels, la distribution des appels. Il est possible également d'ajouter l'utilisation des conférences par le biais de l'installation de modules supplémentaires Figure : PABX et ses Fonctionnalités
  • 13. Securité de la VoIP : La sécurité de la téléphonie est souvent restée un sujet à part dans l’entreprise. Pour l’entreprise et les opérateurs ce facteur « coût de la communication » est important, mais le déploiement de réseaux privés virtuels MPLS, l'introduction de la qualité de service dans les réseaux (QoS), la convergence voix-données (CTI), les divers projets de consolidation des deux dernières années, l'arrivée des autocommutateurs IP, la disponibilité de postes téléphoniques intégrant des fonctionnalités de plus en plus avancées sont des facteurs tout au moins aussi déterminants. Des études récentes montrent que la sécurité de la VoIP est un élément clé pour les décideurs, mais les déploiements observés ont malheureusement tendance à montrer le contraire.
  • 14. Après avoir présenté les principaux protocoles liés à la voix sur IP et avoir présenté les rudiments de la sécurisation des différents équipements nous allons détailler différentes attaques et quels « ajouts » sécurité peuvent limiter leur impact. Pour finir nous discuterons de l’interception de trafic et présenterons deux évolutions récentes de la VoIP.
  • 15. III. Présentation des Outils Utilisés Pour implémenter la solution VoIP nous utiliserons un serveur Linux Ubuntu sur lequel sera installé le logiciel Asterisk, deux machines clientes Windows pour les deux téléphones (Clients SIP) et un sniffer qui sera installé sur l’une des machines clientes. (Cain & Abel ou Wireshark). Asterisk : est un autocommutateur téléphonique privé (PABX: Private Automatic Branch eXchange) open source et propriétaire (publié sous licence GPL et licence propriétaire) pour systèmes GNU/LINUX. Asterisk est donc un IP-PBX qui transforme un ordinateur en «centrale téléphonique ».
  • 16.  Clients SIP Les logiciels SIP sont des logiciels qui utilisent SIP comme protocole de voix sur réseau IP (téléphonie sur Internet). Certains permettent également la visioconférence. Pour notre travail, nous avons testé avec les softphones qui sont entre autre X-Lite et Zoiper.
  • 17. IV. CONFIGURATION • Preparation de l’installation d’Asterisk Il est toujours important de mettre à jour la distribution pour avoir les nouvelles fonctionnalités recentes; # apt-get update Deuxiemement, nous installons les dependances necessaires à la compilation d’Asterisk #apt-get install build-essential libxml2-dev libncurses5-dev linux- headers-’uname –r’ libsqlite3-dev libssl-dev
  • 18. • On cree un dossier ou nous allons mettre les sources d’Asterisk /usr/src # mkdir /usr/src/asterisk On accede dans le repertoire crée ci haut pour lancer l’installation # /usr/src/asterisk# • Finalement, on lance l’installation de l’Asterisk et nous avons choisi la version 11 pour notre travail: :/usr/src/asterisk# wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-11- current.tar.gz • On extrait le fichier telecharger: :/usr/src/asterisk# tar -xvzt asterisk-11-current.tar.gz :/usr/src/asterisk# cd asterisk-11.10.0
  • 19. Installation d’Asterisk (suite) • On construit un nouveau fichier makefile qui contient les instructions à executer à partir des commandes, ./configure, make, make install, make config,… :/usr/src/asterisk/asterisk-11.10.0#./configure • La commande make menuselect permet d’installer des modules supplementaires • :/usr/src/asterisk/asterisk-11.10.0#make manuselect
  • 20. Installation d’Asterisk (suite) • Enfin, les commandes suivantes terminent l’installation :/usr/src/asterisk-11.10.0#make :/usr/src/asterisk-11.10.0#make install :/usr/src/asterisk-11.10.0#make samples :/usr/src/asterisk-11.10.0#make config
  • 21. La configuration d’Asterisk s’articule sur les fichiers de configuration suivants:  /etc/asterisk/sip.conf : configuration globale d’Asterisk  /etc/asterisk/users.conf : configurations des utilisateurs  /etc/asterisk/extensions.conf : configuration du Diaplan 1. Nano /etc/asterisk/sip.conf On modifie la ligne pour parametrer les sons en Francais ;language=en : default language setting for all users/peers Et cela devient: language=fr : default language setting for all users/peers
  • 23. Les 2 clients viennent d’etre créé au niveau du serveur Asterisk
  • 24. V. VULNERABILITE VOIP Apres avoie sélectionné un paquet rtp, on clique sur Telephony puis Voip Calls
  • 25. V. VULNERABILITE VOIP Et la on aperçoit la communication qui a été interceptée par Wireshark
  • 26. OpenVPN n’est pas un VPN IPSec, c’est un VPN SSL se basant sur la creation d’un tunnel IP (UDP ou TCP au choix) authentifé et chiffré avec la bibliotheque OpenSSL. La configuration OpenVPN est d’etablir une ICP (Infrastructure de Clé Publiques), elle fonctionne grace à: - Une clé publique pour le serveur et une clé privée pour chacun des clients. - Un certificat de l’autorité de certification et des clés qui sont utilisées pour identifier chaque certificat serveur et clients. Quelques avantages des tunnels VPN SSL: - Faciliter pour passer les reseaux NATés (pas de configuration à faire) - Logiciel client disponible sur GNU/Linux, Windows, Max OS X, actuellement sous Android VI.SECURISATION
  • 27. Taper la commande suivante pour installer openvpn: Generer le certificat et la clé de l’Autorité de Certification maître: Premierement, on cree un dossier “easy-rsa” Copier tous les fichiers de configurations dans le dossier créé ci-haut, puis modifier le fichier “vars”
  • 28. Editer le fichier “vars” selon les informations données ci après (en mettant vos propres infos bien entendu ! ):
  • 29. A ce stade, on lance la séquence qui va générer les clés (.key) et les certificats (.crt)
  • 30. Ensuite, on copie tout ce que l’on a généré dans le répertoire /etc/openvpn # cp keys/ca.crt keys/ta.key keys/server.crt keys/server.key /etc/openvpn 3. On accède dans le fichier de configuration du serveur openvnp: server.conf et les lignes à decommenter et commenté sont les suivantes:
  • 32. Pour vérifier si les configurations marchent, on vérifier s’il va s’afficher un bouton vert après la commande suivante :
  • 33. CONFIGURATION SUR UN CLIENT WINDOWS Après avoir importé les clés et les certificats du client, on les copie dans le répertoire C:Program FilesOpenVPNconfig(Dans notre cas il s’agit d’un client XP) :
  • 34. CONFIGURATION SUR UN CLIENT WINDOWS Pour editer le fichier de configuration, il faut faire clique droit sur openvpn et cliquer sur editer la configuration Et suivre cette configuration
  • 35. Pour se rassurer que les configurations sont bien faites au niveau du client, et si le client est connecté l’icone sera en vert:
  • 36. Les 2 clients s’appellent parfaitement, TEST
  • 38. Vu que la sécurisation est établie, wireshark ne capte rien du tout !
  • 39. VII. CONCLUSION L'explosion de la VoIP pousse les différentes entreprises de communications à améliorer les moyens mise en place. Grâce à cela la VoIP est l'avenir de la téléphonie. Il se pose néanmoins un grand problème de sécurité dans la VoIP et dans beaucoup de cas ce problème est souvent ignoré par les décideurs au niveau des entreprises ou même par les techniciens. Une sécurisation de la VoIP en utilisant un canal sécurisé vient palier à ce grand problème de sécurité ci-haut souligné. C’est ainsi que nous avons mis en place un canal VPN en nous servant de la solution OPENVPN sur linux (Ubuntu). Désormais tout client non authentifié ne sera pas en mesure d’utiliser notre service de téléphonie; et ainsi on diminue sensiblement les risques d’attaques par les pirates.