SlideShare une entreprise Scribd logo
Appliance FAST360®
                                                  Technical Overview




                                Sécurité de la VoIP




Copyright © 2008 ARKOON Network Security
2/13

                                                        Sécurité de la VoIP




Sommaire
I.Introduction sur la VoIP..............................................................3
  1.Qu’est ce que la VoIP ?........................................................................................................3
  2.Les protocoles de VoIP........................................................................................................3
II.Les vulnérabilités de la VoIP......................................................5
  3.Problématique......................................................................................................................5
  4.Vulnérabilité de la signalisation...........................................................................................5
  5.Vulnérabilité de la plate-forme............................................................................................8
  6.Problématique de la NAT :..................................................................................................8
III.Les solutions de sécurité VoIP, appliances FAST360®.............9
  7.L’analyse des protocoles, modules FAST VoIP..................................................................9
  8.FireConverge®...................................................................................................................11
    a.Définition du système.....................................................................................................11
    b.Architecture réseau FireConverge.................................................................................11
    c.Mode de fonctionnement................................................................................................12




  Copyright © 2008 ARKOON Network Security                                                                  Version 5.0/1 – Oct. 2008
3/13

                                            Sécurité de la VoIP




I.       Introduction sur la VoIP
1.       Qu’est ce que la VoIP ?

La VoIP (Voice Over Internet Protocol) est un terme générique qui regroupe un ensemble
de protocoles applicatifs (ports UDP ou TCP) spécifiés par des RFC et sponsorisés par
différents acteurs.
Les protocoles VoIP ont tous pour objectif de permettre le transport d’audio (voix) ou de
vidéo sur un réseau IP.

Par conséquent, la VoIP est une application (ou un ensemble d’applications) au dessus
d’IP. Et à ce titre, la VoIP est soumise aux mêmes règles d’implémentation, de
normalisation et de sécurisation que les autres protocoles applicatifs.

La particularité d’une communication VoIP est qu’elle est systématiquement constituée
de 2 canaux : la signalisation et le flux média.

                                            2 flux parallèles


                                       Flux SIGNALISATION
                                     Flux MEDIA secondaire



     •   Le flux média est le canal qui transporte l’information (Voix et/ou Vidéo)
     •   La signalisation est chargée de mettre en relation l’appelant(s) et l’appelé(s) et
         de déterminer les conditions de fonctionnement du flux média

2.       Les protocoles de VoIP

A l’éclairage du paragraphe précédent, on comprend qu’une communication VoIP mettra
toujours en jeux plusieurs protocoles, certains servant à la signalisation, d’autres aux flux
média.

Les protocoles principaux sont :

     •   H.323 : Protocole de signalisation qui vient du monde de Télécoms (ITU), il est
         notamment utilisé par Netmeeting sur PC.
     •   SIP (Session Initiation Protocol) : Le concurrent de H.323 (vient du monde
         réseaux), spécifié par l’IETF. SIP est un protocole de signalisation en expansion
         car il est plus simple d’utilisation que H.323 (un fonctionnement proche de celui
         de http), plus rapide dans l’initialisation des appels et surtout sa norme est
         complètement libre ce qui assouplie et favorise son développement.
     •   MGCP (Media Gateway Control Protocol) : Protocole de signalisation issu
         d’une concertation de l’ITU et de l’IETF. Il est utilisé dans le cadre de réseaux
         VoIP centralisés, où l’intelligence et la configuration des communications sont
         prises en charge par un serveur central (appelé call agent) et où les passerelles
         (Media Gateways) sont de simples équipements réseaux passifs de terminaisons
         (fonctionnement en mode maître/esclaves).




 Copyright © 2008 ARKOON Network Security                                 Version 5.0/1 – Oct. 2008
4/13

                                            Sécurité de la VoIP

   •    SDP (Session Description Protocol) : Sous protocole de négociation des
        canaux de flux média RTP/RTCP utilisé par les protocoles de signalisation SIP et
        MGCP avant l’ouverture du flux média. SDP est soumis à un formalisme strict qui
        permet aux différentes extrémités d’une connexion VoIP de négocier et
        déterminer les règles suivies par le flux média.
   •    RTP/RTCP (Real-time Transport Protocol/RT Control Protocol) : Les
        protocoles RTP/RTCP (appelés simplement RTP) sont utilisés dans le transport de
        données temps réel entre des applications, essentiellement de VoIP. Ce sont les
        protocoles de la partie flux média de la VoIP.

SIP et MGCP sont des protocoles de signalisation qui font appel à des flux média gérés
par RTP/RTCP et qui s’appuient sur le protocole SDP dans leur phase de négociation des
connexions secondaires (flux média).

H.323 et SIP permettent à des terminaux d’émettre des appels en mode point à point
directement et toutes les fonctions sont spécifiées dans le protocole.

MGCP est conçu différemment, les terminaux passifs (call agents) sont pilotés par des
passerelles (Media gateways) dans une architecture maître/esclaves.
Par exemple, le call agent va initier un flux RTP (flux média) lors d’un décroché afin que
l’utilisateur soit en mesure d’entendre une tonalité envoyée et gérée par la media
gateway.




 Copyright © 2008 ARKOON Network Security                              Version 5.0/1 – Oct. 2008
5/13

                                            Sécurité de la VoIP



II.      Les vulnérabilités de la VoIP
3.       Problématique

La VoIP est composée de protocoles applicatifs basés majoritairement sur UDP
(l’utilisation de TCP est aujourd’hui anecdotique), à ce titre, la VoIP hérite des
vulnérabilités « classiques » des autres applications UDP (DoS, Spoofing, Flooding, etc…).

D’autre part, comme pour toute application, les clients, serveurs, proxies et passerelles
utilisant la VoIP sont soumis à des vulnérabilités qui leurs sont propres. Les téléphones
intègrent ainsi des OS possédant leurs propres failles et certains softphones sont installés
sur des OS classiques (Linux, Windows, Mac OS), sujets à des vulnérabilités.

Ces éléments sont à prendre en compte dans la sécurisation de la VoIP. Tout le problème
de la VoIP est lié à son environnement : c'est un protocole dont les problématiques de
sécurité sont proches des autres protocoles Internet. Mais son utilisation dépasse le
cadre des autres protocoles Internet, et sa sécurité aussi.

Ainsi, la VoIP est sensible aux risques des protocoles Internet:

     •   DoS, DDos :
               Flooding sur le canal de signalisation
               Flooding sur le canal media
               Requêtes malformées
               Injection de paquets pour fermer les communications
     •   vers, virus
     •   sniffing de transactions (appelé tapping en termes Voix, ou encore Eavesdropping)
     •   utilisation interdite d’applications
     •   attaques de type man-in-the-middle sur le canal media ou signalisation
     •   phishing
     •   vol d'identité (niveau utilisateur, proxy, registrar et/ou gatekeeper)
     •   rejoue de session
     •   etc…

Mais des problématiques plus spécifiques à la voix se greffent dessus:

     •   Piratage de ligne téléphonique. Ceci permet à l'attaquant d'effectuer des appels
         « longue distance » facturés par la société piratée.
     •   war driving : numérotation exhaustive de tous les numéros d'une entreprise pour
         trouver un modem non protégé sur le réseau interne.
     •   Spam : appels anonymes et/ou non sollicités.
     •   utilisation de préfixes interdits (type 0896xxxxxx en France).
     •   utilisation des lignes fax pour effectuer des connexions data vers des modems
         externes.
     •   écoutes téléphoniques.
     •   transfert d'appels vers l'extérieur au frais de la société.

4.       Vulnérabilité de la signalisation

Les premières failles de sécurité de la VoIP sont liées à la nature et l’utilisation des
protocoles de signalisation (SIP et MGCP).

Les vulnérabilités de signalisation :




 Copyright © 2008 ARKOON Network Security                                Version 5.0/1 – Oct. 2008
6/13

                                            Sécurité de la VoIP


   •    Les messages SIP sont envoyés par défaut en texte clair et sur le protocole UDP.
        La signalisation SIP est donc vulnérable aux injections de paquets ou à l’écoute
        malveillante.

   •    Sur SIP (comme sur tout flux UDP) le spoofing (lorsque l’attaquant se fait passer
        pour quelqu’un d’autre) est particulièrement facile à mettre en place (du fait du
        mode déconnecté du protocole UDP).

   •    En TCP (car SIP peut être utilisé sur le protocole TCP), une menace répandue est
        le vol de session (ou sessions hijacking).

   Les attaques les plus fréquentes sur le protocole SIP sont des attaques par Déni de
   services (DoS). Comme pour toute application IP, il existe 2 types d’attaques DoS, les
   attaques sur erreur de programmation et les attaques par saturation. Le but est de
   rendre le service indisponible. Les cibles de Dénis de services sont toutes les entités
   du réseau (routeurs, serveur SIP, clients SIP, téléphones IP, softphones, etc…).

Exemple d’attaques sur SIP :

       Attaque                                Description                          Protection
                                                                                   FAST360®
Suppression de             Une requête SIP permet de supprimer un compte
comptes                    enregistré     sur   un    serveur   SIP    (serveur
enregistrés                REGISTER). Une utilisation abusive de cette                 IDPS
                           requête permet de vider tous les comptes du
                           REGISTRER et créer ainsi un DoS.
Attaques sur les           Certaines requêtes SIP permettent aux clients
codes de                   d’envoyer des informations de signalisation aux
réponses                   serveurs. Utilisées de façon détournée, ces                 FAST
                           requêtes permettent à l’attaquant de récupérer
                           des informations sur les clients SIP.
INVITE flooding            C’est encore une attaque de Déni de Services qui
                           consiste à lancer plusieurs messages INVITE
                           (initiation de connexion SIP) en falsifiant les             FAST
                           adresses IP afin qu’un même serveur se retrouve
                           saturé de réponse.
Manipulation de            Le principe est d’utiliser des requêtes du protocole
requêtes                   SIP avec des paramètres invalides. Ces
                           paramètres invalides (non compris par les appelés           FAST
                           et/ou appelants) vont provoquer des DoS, buffer
                           overflows, etc…
Call Hijacking             Il s'agit de détourner un appel SIP. Cela permet à
                           un attaquant de recevoir les appels pour une                FAST
                           autre personne. Il est aussi possible d'effectuer
                           des attaques type "Man-in-the-middle".
Call Spam                  Essayer d'établir des communications pour jouer        FAST/IDPS
                           un message publicitaire par exemple.
IM Spam                    SIP supporte l'Instant Messaging. Ce type de           FAST/IDPS
                           spam est à mettre en parallèle au spam mail, sauf
                           qu'en général, les IM sont affichés dans des
                           popups lors de la réception.
Presence Spam              Le seul but est de pouvoir appartenir à la "white      FAST/IDPS
                           list" d'un utilisateur pour ensuite lui envoyer des
                           IM Spam. Ceci est souvent transparent pour
                           l'utilisateur.




 Copyright © 2008 ARKOON Network Security                                    Version 5.0/1 – Oct. 2008
7/13

                                            Sécurité de la VoIP

Spoofing                   Un attaquant peut se faire passer pour un serveur          FAST
d'authentification         d'authentification ou pour un proxy authentifié
                           par un DNS poisoning. Ceci permet ensuite de
                           récupérer les codes d'accès des utilisateurs.
Attaques sur les           Avec    un       harvester   (littéralement     une        IDPS
annuaires                  moissonneuse), un attaquant peut récupérer le
                           contenu d'un annuaire pour ensuite lancer des
                           attaques de Spam VoIP.
Covert channels            SIP peut être utilisé pour négocier l'ouverture            FAST
                           d'un canal de communication UDP avec des
                           messages valides. Dans ce cas, le canal de
                           communication sera utilisé pour faire transiter des
                           paquets non RTP, ou RTP ne contenant pas de la
                           voix.

Attaques non spécifiques SIP : Une liste des attaques "classiques" pour les réseaux
de données, mais en général qui sont ignorées quand on parle de VoIP :

Attaque sur les            Beaucoup de serveurs intègrent un service web
serveurs                   pour la configuration ou l'interrogation de                FAST
                           données. Il est alors aisé de lancer des attaques
                           sur ces services, en général moins sécurisé que
                           les serveurs de données.
Comptes non                Certains comptes de démo sur les IP-PBX ne sont
protégés                   pas désactivés ou utilisent des mots de passe par          IDPS
                           défaut.
Dispositifs SNMP           Des attaques type buffer overflow sur ces services
                           sont courantes.                                            FAST
Attaques sur TFTP          Les téléphones IP en général utilisent DHCP et
et DHCP                    TFTP pour récupérer leur configuration. Ces
                           services ne sont pas souvent sécurisés. Ceci               FAST
                           permet par exemple de changer la pile IP d'un
                           téléphone pour la remplacer par une pile modifiée
                           masquant la présence d'une backdoor.
DoS classiques             Paquets mal formés, SYN flooding, ping buffer              FAST
                           overflow



La problématique des flux secondaires :

Dans une communication VoIP, il ne peut y avoir de flux média (qui transporte la voix)
qu’à partir du moment où un flux signalisation a été initié et à négocier les paramètres de
ce flux média.

Les flux média sont des flux secondaires qui sont soumis eux aussi à des vulnérabilités
propres à leurs protocoles (RTP/RTCP). Mais ces flux présentent également un risque
quant à leur utilisation. En effet, un flux média peut être très respectueux de sa norme,
s’il ne correspond pas à ce que le flux signalisation a négocié, il n’a pas lieu d’être et
constitue une menace.

Le flux RTP utilise le protocole UDP pour être transmis entre user agents. Chaque entête
RTP permet au destinataire de reconstituer le message audio dans l'ordre où il a été
envoyé. Cependant, un attaquant peut observer le trafic réseau et envoyé des paquets
avec des numéros de séquence plus élevés, ce qui peut avoir deux effets: soit remplacer




 Copyright © 2008 ARKOON Network Security                                   Version 5.0/1 – Oct. 2008
8/13

                                            Sécurité de la VoIP

les "vrais" données par celles de l'attaquant, soit complètement couper le flux media de
l'émetteur valide (DoS), soit les deux (l'après l'autre, bien sur).

5.     Vulnérabilité de la plate-forme

S’il est connu qu'un OS comme Linux ou Windows est vulnérable à des attaques, il ne
faut pas oublier qu'un téléphone IP possède également un OS. Ainsi, un routeur Linksys
WT54-G VoIP a un Linux embarqué, et les téléphones Cisco 76xx sont vulnérables à
plusieurs attaques de la pile IP. Un tel équipement intègre notamment un serveur telnet,
un client http, un client DHCP, un client TFTP, un client NTP, comprend le XML et dispose
d’un mot de passe par défaut pour y accéder (mot de passe que l’on peut retrouver sur le
Web).

6.     Problématique de la NAT :

La problématique de NAT est la même pour tous les protocoles de VoIP (MGCP, H.323,
SIP) et pour tous les protocoles gérant des connexions secondaires dynamiquement
négociées. Le flux signalisation contient des adresses IP et des numéros de ports
internes, qu'il est bon de cacher. Les messages SDP contiennent les ports négociés pour
les canaux Media.

Il est donc important que l’équipement de sécurité protège les informations de topologie
interne du réseau d'entreprise. Par conséquent, il est nécessaire qu’il applique une
translation d'adresse compatible avec les protocoles mis en oeuvres dans la VoIP (y
compris les flux média).




 Copyright © 2008 ARKOON Network Security                              Version 5.0/1 – Oct. 2008
9/13

                                            Sécurité de la VoIP



III. Les solutions de sécurité VoIP, appliances
FAST360®
      Résumé

         Modules FAST H.323, SIP, MGCP, SDP, RTP, RTCP
         Détection d’attaques IDPS
         Isolation des flux VoIP et Data
         Contrôle de la signalisation et des flux média
         Ouverture au plus tard et fermeture au plus tôt des connexions secondaires
         Contrôles forts par défaut
         Contrôle de contenu
         Contrôle du comportement des flux
         Utilisation de signatures d’attaques (FAST in line IDPS)
         Support de la NAT signalisation/media
         Interface FireConverge



7.     L’analyse des protocoles, modules FAST VoIP

La première des protections apportées par les appliances FAST360 ® est son moteur
d’analyse des protocoles, la technologie FAST. En effet, des modules spécifiques sont
implémentés pour les protocoles de VoIP :
   • H.323
   • SIP
   • MGCP
   • SDP
   • RTP
   • RTCP

Les protocoles SIP, MGCP et SDP bénéficient en plus de l’analyse de détection d’attaques
FAST in line IDPS.

Les modules FAST VoIP permettent d’appliquer un certain nombre de contrôles
protocolaires de type Firewall et/ou IDPS sur les flux signalisation et flux média.

On distingue dans le comportement des modules FAST VoIP :
   • Les analyses propres aux protocoles, relatives aux RFC par rapport à leur
       implémentation et usage standard
   • Et les analyses des flux média secondaires par rapport à la négociation faite dans
       le flux de signalisation (communication entre modules FAST, ou Adaptive Filtering)

Analyse standard des protocoles VoIP :

Ces analyses permettent aux appliances FAST360® de contrôler en temps réel la syntaxe
des protocoles VoIP.
Par exemple : FAST MGCP contrôle la conformité RFC des en-têtes des différents paquets
échangés. FAST SIP contrôle les codes de retours ou les paramètres échangés dans un
flux SIP, par rapport à une liste de paramètres reconnus…

Adaptive filtering, analyse du flux média par rapport au flux signalisation :

L’Adaptive filtering est une technologie d’analyse des protocoles VoIP qui tient compte de
la grande interaction entre le flux média et le flux signalisation. De cette façon, l’analyse




 Copyright © 2008 ARKOON Network Security                                    Version 5.0/1 – Oct. 2008
10/13

                                            Sécurité de la VoIP

du flux média est faite de façon pertinente par rapport à son implémentation négociée
par le flux de signalisation.

            1- Tout d’abord, les modules FAST SIP et MGCP peuvent autoriser ou interdire
               des flux média (RTP/RTCP) à travers l’appliance FAST360 ®. Si le flux
               secondaire est autorisé, il est bien sûr possible d’y associer le module FAST
               RTP/RTCP.
            2- Ensuite, le module SDP, utilisé avec les modules SIP et MGCP, vérifie que
               tous les champs nécessaires à la négociation d'un flux RTP sont présents et
               corrects dans un message SDP (en particulier, la validité des adresses, des
               numéros de ports et des options par rapport à la RFC).




Fig 1 : FAST MGCP                                   Fig 2 : Signature IDPS SIP



Ces vérifications permettent d'obtenir des informations définissant les flux media à
ouvrir. Une fois ces éléments recueillis, le module SDP permet de construire une liste
d'informations servant à analyser, via les modules FAST RTP/RTCP, les connexions
secondaires par rapport au flux signalisation.

Dans le déroulement d’une communication VoIP, l’adaptive filtering permet de négocier
un flux média, d'ouvrir les canaux puis de renégocier un nouveau flux, ou de modifier un
flux existant.

Une des règles fondamentales suivie par les modules FAST VoIP des appliances
FAST360® est d’ouvrir les flux média le plus tard possible dans la communication et de
les fermer le plus tôt possible, conformément à ce que la signalisation a négocié. Cette
contrainte sur la fenêtre d’utilisation des flux secondaires permet d’éviter que les canaux
de contenu soient ouverts sans qu’une information utile et autorisée ne transite. Cela
permet par exemple d’éviter les fraudes à la facturation, lorsqu’un poste clos une session
signalisation sur un serveur de facturation mais continue d’utiliser le flux média qui n’est
pas fermé.




 Copyright © 2008 ARKOON Network Security                                        Version 5.0/1 – Oct. 2008
11/13

                                            Sécurité de la VoIP


8.     FireConverge®

 a.    Définition du système

Le système FireConverge permet de connecter une appliance Arkoon à une sonde
Checkphone afin de propager la politique de sécurité téléphonique globale vers les
équipements VoIP.

Le logiciel ETSS de Checkphone (fourni par la société Checkphone spécialisée dans la
sécurité de la voix, partenaire technologique d’Arkoon) a la responsabilité d’appliquer la
politique de sécurité téléphonique sur les équipements de téléphonie (réseau TDM ou
VoIP).

L’appliance FAST360® d’Arkoon a la responsabilité d'appliquer la politique de sécurité sur
les réseaux IP.

La convergence de la voix sur les réseaux IP et le support des protocoles VoIP par les
produits Arkoon amène les appliances FAST360 ® à devoir appliquer une partie de la
politique de sécurité téléphonique sur le réseau IP. Ce support est permis grâce à
l'interface FireConverge.

 b.    Architecture réseau FireConverge

Comme pour un réseau Data classique, une appliance FAST360 ® doit être placée en
coupure de réseau IP afin de garantir un niveau de sécurité optimum.
Dans le cadre de la convergence de la VoIP, l'architecture classique du réseau est la
suivante :




Ceci permet à l'appliance FAST360® :
   1. de séparer les flux de VoIP des flux Data IP (y compris VLAN)
   2. d'effectuer un contrôle protocolaire orienté DATA du flux VoIP
   3. de gérer l'ouverture/fermeture des ports utilisés lors des connexions secondaires
   4. de contrôler des protocoles VoIP depuis ou vers la DMZ DATA

Et pour la sonde Checkphone :
    1. Seuls les flux VoIP valides sont transférés vers la sonde
    2. La garantie que les ouvertures des connexions secondaires sont correctement
       prises en compte par les dispositifs réseaux amont.
    3. La garantie d'être protégé des attaques de type IP.




 Copyright © 2008 ARKOON Network Security                              Version 5.0/1 – Oct. 2008
12/13

                                            Sécurité de la VoIP


  c.    Mode de fonctionnement

Grâce à FireConverge, la sonde Checkphone est capable de communiquer avec les
appliances FAST360® pour envoyer ou recevoir des informations.

Le lien FireConverge est ainsi composé de deux liens unidirectionnels, basés sur le même
type de service (TCP ou UDP). Un lien depuis l'appliance vers la sonde, et un lien retour
depuis la sonde vers l'appliance. Les ports des liens ne sont pas forcément symétriques:
La sonde peut se connecter sur l'appliance sur le port 1234, et l'appliance peut se
connecter sur la sonde sur le port 5678.




Fig 3 : Paramètrage de Fireconverge



L’appliance FAST360® envoie à Checkphone des informations sur les connexions en cours
d’analyse, Checkphone envoie à FAST des ordres de neutralisation des connexions en
fonction de la politique de téléphonie.

La sonde doit être prête à recevoir des informations de connexions dès que le lien depuis
l’appliance FAST360® est établi, indépendamment du lien inverse. Et réciproquement,
l’appliance FAST360® doit être prête à recevoir des informations de coupure depuis la
sonde dès que le lien est établi.




 Copyright © 2008 ARKOON Network Security                              Version 5.0/1 – Oct. 2008
13/13

                                            Sécurité de la VoIP




Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone

L’appliance envoie des informations sur la connexion analysée suivant 2 modes de
fonctionnement :

   -    Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST
        envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce
        qui permet de comparer chaque paquet aux règles de sécurité téléphonique.

   -    Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages,
        l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son
        analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de
        la connexion.

Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360®

Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST :

   -    Fermeture de connexion
   -    Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les
        paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port)
        pendant un laps de temps fixé.

Sécurité du canal de communication

Les canaux de communications entre Checkphone et les appliances FAST360 ® sont
sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509.
L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés
dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des
données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®.




 Copyright © 2008 ARKOON Network Security                             Version 5.0/1 – Oct. 2008
13/13

                                            Sécurité de la VoIP




Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone

L’appliance envoie des informations sur la connexion analysée suivant 2 modes de
fonctionnement :

   -    Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST
        envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce
        qui permet de comparer chaque paquet aux règles de sécurité téléphonique.

   -    Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages,
        l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son
        analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de
        la connexion.

Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360®

Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST :

   -    Fermeture de connexion
   -    Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les
        paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port)
        pendant un laps de temps fixé.

Sécurité du canal de communication

Les canaux de communications entre Checkphone et les appliances FAST360 ® sont
sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509.
L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés
dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des
données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®.




 Copyright © 2008 ARKOON Network Security                             Version 5.0/1 – Oct. 2008
13/13

                                            Sécurité de la VoIP




Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone

L’appliance envoie des informations sur la connexion analysée suivant 2 modes de
fonctionnement :

   -    Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST
        envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce
        qui permet de comparer chaque paquet aux règles de sécurité téléphonique.

   -    Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages,
        l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son
        analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de
        la connexion.

Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360®

Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST :

   -    Fermeture de connexion
   -    Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les
        paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port)
        pendant un laps de temps fixé.

Sécurité du canal de communication

Les canaux de communications entre Checkphone et les appliances FAST360 ® sont
sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509.
L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés
dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des
données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®.




 Copyright © 2008 ARKOON Network Security                             Version 5.0/1 – Oct. 2008
13/13

                                            Sécurité de la VoIP




Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone

L’appliance envoie des informations sur la connexion analysée suivant 2 modes de
fonctionnement :

   -    Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST
        envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce
        qui permet de comparer chaque paquet aux règles de sécurité téléphonique.

   -    Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages,
        l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son
        analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de
        la connexion.

Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360®

Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST :

   -    Fermeture de connexion
   -    Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les
        paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port)
        pendant un laps de temps fixé.

Sécurité du canal de communication

Les canaux de communications entre Checkphone et les appliances FAST360 ® sont
sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509.
L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés
dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des
données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®.




 Copyright © 2008 ARKOON Network Security                             Version 5.0/1 – Oct. 2008

Contenu connexe

Tendances

Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
betsmee
 
Couplage CRM / CTI VoIP
Couplage CRM / CTI VoIPCouplage CRM / CTI VoIP
Couplage CRM / CTI VoIP
Sage france
 
Présentation Sec_res_OK
Présentation Sec_res_OKPrésentation Sec_res_OK
Présentation Sec_res_OK
Belkacem KAID
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »
Yassine Brahmi
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
Cynapsys It Hotspot
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voip
Bisatel
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIP
Chiheb Ouaghlani
 
Présentation pfa IMS
Présentation pfa IMSPrésentation pfa IMS
Présentation pfa IMS
Houria Touinssi
 
La voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en WallonieLa voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en Wallonie
ir. Carmelo Zaccone
 
Asterisk
AsteriskAsterisk
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asterisk
Gilles Samba
 
IP Multimedia Subsystem (IMS)
IP Multimedia Subsystem (IMS)IP Multimedia Subsystem (IMS)
IP Multimedia Subsystem (IMS)
Papa Cheikh Cisse
 
Trunk IAX et Conférence sur Asterisk
Trunk IAX et Conférence sur AsteriskTrunk IAX et Conférence sur Asterisk
Trunk IAX et Conférence sur Asterisk
Emeric Kamleu Noumi
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
Pape Moussa SONKO
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif  (SVI ou IVR)Tuto Serveur Vocal Interactif  (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
Dimitri LEMBOKOLO
 
Tp voip
Tp voipTp voip
Tp voip
amalouwarda
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk web
Agarik
 

Tendances (20)

Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
Un slideshow de présentation d'Asterisk présenté en entreprise en 2008.
 
Couplage CRM / CTI VoIP
Couplage CRM / CTI VoIPCouplage CRM / CTI VoIP
Couplage CRM / CTI VoIP
 
Présentation Sec_res_OK
Présentation Sec_res_OKPrésentation Sec_res_OK
Présentation Sec_res_OK
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
 
Telephonie ip
Telephonie ipTelephonie ip
Telephonie ip
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voip
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIP
 
VoIP
VoIPVoIP
VoIP
 
Présentation pfa IMS
Présentation pfa IMSPrésentation pfa IMS
Présentation pfa IMS
 
La voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en WallonieLa voix sur IP en Belgique et en Wallonie
La voix sur IP en Belgique et en Wallonie
 
Asterisk trixbox
Asterisk trixboxAsterisk trixbox
Asterisk trixbox
 
Asterisk
AsteriskAsterisk
Asterisk
 
Installation et configuration asterisk
Installation et configuration asteriskInstallation et configuration asterisk
Installation et configuration asterisk
 
IP Multimedia Subsystem (IMS)
IP Multimedia Subsystem (IMS)IP Multimedia Subsystem (IMS)
IP Multimedia Subsystem (IMS)
 
Trunk IAX et Conférence sur Asterisk
Trunk IAX et Conférence sur AsteriskTrunk IAX et Conférence sur Asterisk
Trunk IAX et Conférence sur Asterisk
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif  (SVI ou IVR)Tuto Serveur Vocal Interactif  (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
 
Tp voip
Tp voipTp voip
Tp voip
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk web
 

En vedette

Les bases de Joomla 1.5
Les bases de Joomla 1.5Les bases de Joomla 1.5
Les bases de Joomla 1.5
laurentber
 
Ccna presentation{complete]
Ccna presentation{complete]Ccna presentation{complete]
Ccna presentation{complete]
Avijit Nath
 
33435307 administration-sous-linux
33435307 administration-sous-linux33435307 administration-sous-linux
33435307 administration-sous-linux
donzerci
 
Ccna Presentation
Ccna PresentationCcna Presentation
Ccna Presentation
bcdran
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
ux singapore
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Stanford GSB Corporate Governance Research Initiative
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome Economy
Helge Tennø
 

En vedette (10)

Installation joomla 1-7
Installation joomla 1-7Installation joomla 1-7
Installation joomla 1-7
 
Qdfgsdfg
QdfgsdfgQdfgsdfg
Qdfgsdfg
 
Les bases de Joomla 1.5
Les bases de Joomla 1.5Les bases de Joomla 1.5
Les bases de Joomla 1.5
 
Joomla distant
Joomla distantJoomla distant
Joomla distant
 
Ccna presentation{complete]
Ccna presentation{complete]Ccna presentation{complete]
Ccna presentation{complete]
 
33435307 administration-sous-linux
33435307 administration-sous-linux33435307 administration-sous-linux
33435307 administration-sous-linux
 
Ccna Presentation
Ccna PresentationCcna Presentation
Ccna Presentation
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome Economy
 

Similaire à To securite voip_v5.0

Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Stephen Salama
 
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Dimitri LEMBOKOLO
 
Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données
Aymen Bouzid
 
Le protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avanceLe protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avance
foxshare
 
QoS & VoIP
QoS & VoIPQoS & VoIP
QoS & VoIP
TEBOUB Islem
 
TELEPHONIE IP
TELEPHONIE IPTELEPHONIE IP
TELEPHONIE IP
Tresor DJAMPOUH
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip
assane fall
 
Voip simulation
Voip simulation Voip simulation
Voip simulation
Anas ABANA
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
Gilles Samba
 
Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Architecture VoIP Protocol H323
Architecture VoIP Protocol H323
Siir Ayoub
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireShark
Abdelhamid KHIRENNAS
 
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
Microsoft Technet France
 
Projet gbp
Projet gbpProjet gbp
Projet gbp
Saïd Kamal
 
Voip FreeSwitch
Voip FreeSwitchVoip FreeSwitch
Voip FreeSwitch
bamaemmanuel
 
VOIP.pptx
VOIP.pptxVOIP.pptx
VOIP.pptx
IbrahimaBarry49
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Stephen Salama
 
VoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfVoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdf
AlKir1
 
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaConclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Marco Antonio Colque Poma
 
Octopus 2k10 fra
Octopus 2k10 fraOctopus 2k10 fra
Octopus 2k10 fra
Christophe Hude
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOS
Mohamet Lamine DIOP
 

Similaire à To securite voip_v5.0 (20)

Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
 
Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données Voix et téléphonie sur IP- Convergence voix et données
Voix et téléphonie sur IP- Convergence voix et données
 
Le protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avanceLe protocole Sip, une technologie d’avance
Le protocole Sip, une technologie d’avance
 
QoS & VoIP
QoS & VoIPQoS & VoIP
QoS & VoIP
 
TELEPHONIE IP
TELEPHONIE IPTELEPHONIE IP
TELEPHONIE IP
 
Rapport fin de cours toip
Rapport fin de cours toip Rapport fin de cours toip
Rapport fin de cours toip
 
Voip simulation
Voip simulation Voip simulation
Voip simulation
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
 
Architecture VoIP Protocol H323
Architecture VoIP Protocol H323Architecture VoIP Protocol H323
Architecture VoIP Protocol H323
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireShark
 
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
 
Projet gbp
Projet gbpProjet gbp
Projet gbp
 
Voip FreeSwitch
Voip FreeSwitchVoip FreeSwitch
Voip FreeSwitch
 
VOIP.pptx
VOIP.pptxVOIP.pptx
VOIP.pptx
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
VoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdfVoIP-kobbane2018_1_.pdf
VoIP-kobbane2018_1_.pdf
 
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaConclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Conclusiones aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
 
Octopus 2k10 fra
Octopus 2k10 fraOctopus 2k10 fra
Octopus 2k10 fra
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOS
 

To securite voip_v5.0

  • 1. Appliance FAST360® Technical Overview Sécurité de la VoIP Copyright © 2008 ARKOON Network Security
  • 2. 2/13 Sécurité de la VoIP Sommaire I.Introduction sur la VoIP..............................................................3 1.Qu’est ce que la VoIP ?........................................................................................................3 2.Les protocoles de VoIP........................................................................................................3 II.Les vulnérabilités de la VoIP......................................................5 3.Problématique......................................................................................................................5 4.Vulnérabilité de la signalisation...........................................................................................5 5.Vulnérabilité de la plate-forme............................................................................................8 6.Problématique de la NAT :..................................................................................................8 III.Les solutions de sécurité VoIP, appliances FAST360®.............9 7.L’analyse des protocoles, modules FAST VoIP..................................................................9 8.FireConverge®...................................................................................................................11 a.Définition du système.....................................................................................................11 b.Architecture réseau FireConverge.................................................................................11 c.Mode de fonctionnement................................................................................................12 Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 3. 3/13 Sécurité de la VoIP I. Introduction sur la VoIP 1. Qu’est ce que la VoIP ? La VoIP (Voice Over Internet Protocol) est un terme générique qui regroupe un ensemble de protocoles applicatifs (ports UDP ou TCP) spécifiés par des RFC et sponsorisés par différents acteurs. Les protocoles VoIP ont tous pour objectif de permettre le transport d’audio (voix) ou de vidéo sur un réseau IP. Par conséquent, la VoIP est une application (ou un ensemble d’applications) au dessus d’IP. Et à ce titre, la VoIP est soumise aux mêmes règles d’implémentation, de normalisation et de sécurisation que les autres protocoles applicatifs. La particularité d’une communication VoIP est qu’elle est systématiquement constituée de 2 canaux : la signalisation et le flux média. 2 flux parallèles Flux SIGNALISATION Flux MEDIA secondaire • Le flux média est le canal qui transporte l’information (Voix et/ou Vidéo) • La signalisation est chargée de mettre en relation l’appelant(s) et l’appelé(s) et de déterminer les conditions de fonctionnement du flux média 2. Les protocoles de VoIP A l’éclairage du paragraphe précédent, on comprend qu’une communication VoIP mettra toujours en jeux plusieurs protocoles, certains servant à la signalisation, d’autres aux flux média. Les protocoles principaux sont : • H.323 : Protocole de signalisation qui vient du monde de Télécoms (ITU), il est notamment utilisé par Netmeeting sur PC. • SIP (Session Initiation Protocol) : Le concurrent de H.323 (vient du monde réseaux), spécifié par l’IETF. SIP est un protocole de signalisation en expansion car il est plus simple d’utilisation que H.323 (un fonctionnement proche de celui de http), plus rapide dans l’initialisation des appels et surtout sa norme est complètement libre ce qui assouplie et favorise son développement. • MGCP (Media Gateway Control Protocol) : Protocole de signalisation issu d’une concertation de l’ITU et de l’IETF. Il est utilisé dans le cadre de réseaux VoIP centralisés, où l’intelligence et la configuration des communications sont prises en charge par un serveur central (appelé call agent) et où les passerelles (Media Gateways) sont de simples équipements réseaux passifs de terminaisons (fonctionnement en mode maître/esclaves). Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 4. 4/13 Sécurité de la VoIP • SDP (Session Description Protocol) : Sous protocole de négociation des canaux de flux média RTP/RTCP utilisé par les protocoles de signalisation SIP et MGCP avant l’ouverture du flux média. SDP est soumis à un formalisme strict qui permet aux différentes extrémités d’une connexion VoIP de négocier et déterminer les règles suivies par le flux média. • RTP/RTCP (Real-time Transport Protocol/RT Control Protocol) : Les protocoles RTP/RTCP (appelés simplement RTP) sont utilisés dans le transport de données temps réel entre des applications, essentiellement de VoIP. Ce sont les protocoles de la partie flux média de la VoIP. SIP et MGCP sont des protocoles de signalisation qui font appel à des flux média gérés par RTP/RTCP et qui s’appuient sur le protocole SDP dans leur phase de négociation des connexions secondaires (flux média). H.323 et SIP permettent à des terminaux d’émettre des appels en mode point à point directement et toutes les fonctions sont spécifiées dans le protocole. MGCP est conçu différemment, les terminaux passifs (call agents) sont pilotés par des passerelles (Media gateways) dans une architecture maître/esclaves. Par exemple, le call agent va initier un flux RTP (flux média) lors d’un décroché afin que l’utilisateur soit en mesure d’entendre une tonalité envoyée et gérée par la media gateway. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 5. 5/13 Sécurité de la VoIP II. Les vulnérabilités de la VoIP 3. Problématique La VoIP est composée de protocoles applicatifs basés majoritairement sur UDP (l’utilisation de TCP est aujourd’hui anecdotique), à ce titre, la VoIP hérite des vulnérabilités « classiques » des autres applications UDP (DoS, Spoofing, Flooding, etc…). D’autre part, comme pour toute application, les clients, serveurs, proxies et passerelles utilisant la VoIP sont soumis à des vulnérabilités qui leurs sont propres. Les téléphones intègrent ainsi des OS possédant leurs propres failles et certains softphones sont installés sur des OS classiques (Linux, Windows, Mac OS), sujets à des vulnérabilités. Ces éléments sont à prendre en compte dans la sécurisation de la VoIP. Tout le problème de la VoIP est lié à son environnement : c'est un protocole dont les problématiques de sécurité sont proches des autres protocoles Internet. Mais son utilisation dépasse le cadre des autres protocoles Internet, et sa sécurité aussi. Ainsi, la VoIP est sensible aux risques des protocoles Internet: • DoS, DDos :  Flooding sur le canal de signalisation  Flooding sur le canal media  Requêtes malformées  Injection de paquets pour fermer les communications • vers, virus • sniffing de transactions (appelé tapping en termes Voix, ou encore Eavesdropping) • utilisation interdite d’applications • attaques de type man-in-the-middle sur le canal media ou signalisation • phishing • vol d'identité (niveau utilisateur, proxy, registrar et/ou gatekeeper) • rejoue de session • etc… Mais des problématiques plus spécifiques à la voix se greffent dessus: • Piratage de ligne téléphonique. Ceci permet à l'attaquant d'effectuer des appels « longue distance » facturés par la société piratée. • war driving : numérotation exhaustive de tous les numéros d'une entreprise pour trouver un modem non protégé sur le réseau interne. • Spam : appels anonymes et/ou non sollicités. • utilisation de préfixes interdits (type 0896xxxxxx en France). • utilisation des lignes fax pour effectuer des connexions data vers des modems externes. • écoutes téléphoniques. • transfert d'appels vers l'extérieur au frais de la société. 4. Vulnérabilité de la signalisation Les premières failles de sécurité de la VoIP sont liées à la nature et l’utilisation des protocoles de signalisation (SIP et MGCP). Les vulnérabilités de signalisation : Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 6. 6/13 Sécurité de la VoIP • Les messages SIP sont envoyés par défaut en texte clair et sur le protocole UDP. La signalisation SIP est donc vulnérable aux injections de paquets ou à l’écoute malveillante. • Sur SIP (comme sur tout flux UDP) le spoofing (lorsque l’attaquant se fait passer pour quelqu’un d’autre) est particulièrement facile à mettre en place (du fait du mode déconnecté du protocole UDP). • En TCP (car SIP peut être utilisé sur le protocole TCP), une menace répandue est le vol de session (ou sessions hijacking). Les attaques les plus fréquentes sur le protocole SIP sont des attaques par Déni de services (DoS). Comme pour toute application IP, il existe 2 types d’attaques DoS, les attaques sur erreur de programmation et les attaques par saturation. Le but est de rendre le service indisponible. Les cibles de Dénis de services sont toutes les entités du réseau (routeurs, serveur SIP, clients SIP, téléphones IP, softphones, etc…). Exemple d’attaques sur SIP : Attaque Description Protection FAST360® Suppression de Une requête SIP permet de supprimer un compte comptes enregistré sur un serveur SIP (serveur enregistrés REGISTER). Une utilisation abusive de cette IDPS requête permet de vider tous les comptes du REGISTRER et créer ainsi un DoS. Attaques sur les Certaines requêtes SIP permettent aux clients codes de d’envoyer des informations de signalisation aux réponses serveurs. Utilisées de façon détournée, ces FAST requêtes permettent à l’attaquant de récupérer des informations sur les clients SIP. INVITE flooding C’est encore une attaque de Déni de Services qui consiste à lancer plusieurs messages INVITE (initiation de connexion SIP) en falsifiant les FAST adresses IP afin qu’un même serveur se retrouve saturé de réponse. Manipulation de Le principe est d’utiliser des requêtes du protocole requêtes SIP avec des paramètres invalides. Ces paramètres invalides (non compris par les appelés FAST et/ou appelants) vont provoquer des DoS, buffer overflows, etc… Call Hijacking Il s'agit de détourner un appel SIP. Cela permet à un attaquant de recevoir les appels pour une FAST autre personne. Il est aussi possible d'effectuer des attaques type "Man-in-the-middle". Call Spam Essayer d'établir des communications pour jouer FAST/IDPS un message publicitaire par exemple. IM Spam SIP supporte l'Instant Messaging. Ce type de FAST/IDPS spam est à mettre en parallèle au spam mail, sauf qu'en général, les IM sont affichés dans des popups lors de la réception. Presence Spam Le seul but est de pouvoir appartenir à la "white FAST/IDPS list" d'un utilisateur pour ensuite lui envoyer des IM Spam. Ceci est souvent transparent pour l'utilisateur. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 7. 7/13 Sécurité de la VoIP Spoofing Un attaquant peut se faire passer pour un serveur FAST d'authentification d'authentification ou pour un proxy authentifié par un DNS poisoning. Ceci permet ensuite de récupérer les codes d'accès des utilisateurs. Attaques sur les Avec un harvester (littéralement une IDPS annuaires moissonneuse), un attaquant peut récupérer le contenu d'un annuaire pour ensuite lancer des attaques de Spam VoIP. Covert channels SIP peut être utilisé pour négocier l'ouverture FAST d'un canal de communication UDP avec des messages valides. Dans ce cas, le canal de communication sera utilisé pour faire transiter des paquets non RTP, ou RTP ne contenant pas de la voix. Attaques non spécifiques SIP : Une liste des attaques "classiques" pour les réseaux de données, mais en général qui sont ignorées quand on parle de VoIP : Attaque sur les Beaucoup de serveurs intègrent un service web serveurs pour la configuration ou l'interrogation de FAST données. Il est alors aisé de lancer des attaques sur ces services, en général moins sécurisé que les serveurs de données. Comptes non Certains comptes de démo sur les IP-PBX ne sont protégés pas désactivés ou utilisent des mots de passe par IDPS défaut. Dispositifs SNMP Des attaques type buffer overflow sur ces services sont courantes. FAST Attaques sur TFTP Les téléphones IP en général utilisent DHCP et et DHCP TFTP pour récupérer leur configuration. Ces services ne sont pas souvent sécurisés. Ceci FAST permet par exemple de changer la pile IP d'un téléphone pour la remplacer par une pile modifiée masquant la présence d'une backdoor. DoS classiques Paquets mal formés, SYN flooding, ping buffer FAST overflow La problématique des flux secondaires : Dans une communication VoIP, il ne peut y avoir de flux média (qui transporte la voix) qu’à partir du moment où un flux signalisation a été initié et à négocier les paramètres de ce flux média. Les flux média sont des flux secondaires qui sont soumis eux aussi à des vulnérabilités propres à leurs protocoles (RTP/RTCP). Mais ces flux présentent également un risque quant à leur utilisation. En effet, un flux média peut être très respectueux de sa norme, s’il ne correspond pas à ce que le flux signalisation a négocié, il n’a pas lieu d’être et constitue une menace. Le flux RTP utilise le protocole UDP pour être transmis entre user agents. Chaque entête RTP permet au destinataire de reconstituer le message audio dans l'ordre où il a été envoyé. Cependant, un attaquant peut observer le trafic réseau et envoyé des paquets avec des numéros de séquence plus élevés, ce qui peut avoir deux effets: soit remplacer Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 8. 8/13 Sécurité de la VoIP les "vrais" données par celles de l'attaquant, soit complètement couper le flux media de l'émetteur valide (DoS), soit les deux (l'après l'autre, bien sur). 5. Vulnérabilité de la plate-forme S’il est connu qu'un OS comme Linux ou Windows est vulnérable à des attaques, il ne faut pas oublier qu'un téléphone IP possède également un OS. Ainsi, un routeur Linksys WT54-G VoIP a un Linux embarqué, et les téléphones Cisco 76xx sont vulnérables à plusieurs attaques de la pile IP. Un tel équipement intègre notamment un serveur telnet, un client http, un client DHCP, un client TFTP, un client NTP, comprend le XML et dispose d’un mot de passe par défaut pour y accéder (mot de passe que l’on peut retrouver sur le Web). 6. Problématique de la NAT : La problématique de NAT est la même pour tous les protocoles de VoIP (MGCP, H.323, SIP) et pour tous les protocoles gérant des connexions secondaires dynamiquement négociées. Le flux signalisation contient des adresses IP et des numéros de ports internes, qu'il est bon de cacher. Les messages SDP contiennent les ports négociés pour les canaux Media. Il est donc important que l’équipement de sécurité protège les informations de topologie interne du réseau d'entreprise. Par conséquent, il est nécessaire qu’il applique une translation d'adresse compatible avec les protocoles mis en oeuvres dans la VoIP (y compris les flux média). Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 9. 9/13 Sécurité de la VoIP III. Les solutions de sécurité VoIP, appliances FAST360® Résumé  Modules FAST H.323, SIP, MGCP, SDP, RTP, RTCP  Détection d’attaques IDPS  Isolation des flux VoIP et Data  Contrôle de la signalisation et des flux média  Ouverture au plus tard et fermeture au plus tôt des connexions secondaires  Contrôles forts par défaut  Contrôle de contenu  Contrôle du comportement des flux  Utilisation de signatures d’attaques (FAST in line IDPS)  Support de la NAT signalisation/media  Interface FireConverge 7. L’analyse des protocoles, modules FAST VoIP La première des protections apportées par les appliances FAST360 ® est son moteur d’analyse des protocoles, la technologie FAST. En effet, des modules spécifiques sont implémentés pour les protocoles de VoIP : • H.323 • SIP • MGCP • SDP • RTP • RTCP Les protocoles SIP, MGCP et SDP bénéficient en plus de l’analyse de détection d’attaques FAST in line IDPS. Les modules FAST VoIP permettent d’appliquer un certain nombre de contrôles protocolaires de type Firewall et/ou IDPS sur les flux signalisation et flux média. On distingue dans le comportement des modules FAST VoIP : • Les analyses propres aux protocoles, relatives aux RFC par rapport à leur implémentation et usage standard • Et les analyses des flux média secondaires par rapport à la négociation faite dans le flux de signalisation (communication entre modules FAST, ou Adaptive Filtering) Analyse standard des protocoles VoIP : Ces analyses permettent aux appliances FAST360® de contrôler en temps réel la syntaxe des protocoles VoIP. Par exemple : FAST MGCP contrôle la conformité RFC des en-têtes des différents paquets échangés. FAST SIP contrôle les codes de retours ou les paramètres échangés dans un flux SIP, par rapport à une liste de paramètres reconnus… Adaptive filtering, analyse du flux média par rapport au flux signalisation : L’Adaptive filtering est une technologie d’analyse des protocoles VoIP qui tient compte de la grande interaction entre le flux média et le flux signalisation. De cette façon, l’analyse Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 10. 10/13 Sécurité de la VoIP du flux média est faite de façon pertinente par rapport à son implémentation négociée par le flux de signalisation. 1- Tout d’abord, les modules FAST SIP et MGCP peuvent autoriser ou interdire des flux média (RTP/RTCP) à travers l’appliance FAST360 ®. Si le flux secondaire est autorisé, il est bien sûr possible d’y associer le module FAST RTP/RTCP. 2- Ensuite, le module SDP, utilisé avec les modules SIP et MGCP, vérifie que tous les champs nécessaires à la négociation d'un flux RTP sont présents et corrects dans un message SDP (en particulier, la validité des adresses, des numéros de ports et des options par rapport à la RFC). Fig 1 : FAST MGCP Fig 2 : Signature IDPS SIP Ces vérifications permettent d'obtenir des informations définissant les flux media à ouvrir. Une fois ces éléments recueillis, le module SDP permet de construire une liste d'informations servant à analyser, via les modules FAST RTP/RTCP, les connexions secondaires par rapport au flux signalisation. Dans le déroulement d’une communication VoIP, l’adaptive filtering permet de négocier un flux média, d'ouvrir les canaux puis de renégocier un nouveau flux, ou de modifier un flux existant. Une des règles fondamentales suivie par les modules FAST VoIP des appliances FAST360® est d’ouvrir les flux média le plus tard possible dans la communication et de les fermer le plus tôt possible, conformément à ce que la signalisation a négocié. Cette contrainte sur la fenêtre d’utilisation des flux secondaires permet d’éviter que les canaux de contenu soient ouverts sans qu’une information utile et autorisée ne transite. Cela permet par exemple d’éviter les fraudes à la facturation, lorsqu’un poste clos une session signalisation sur un serveur de facturation mais continue d’utiliser le flux média qui n’est pas fermé. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 11. 11/13 Sécurité de la VoIP 8. FireConverge® a. Définition du système Le système FireConverge permet de connecter une appliance Arkoon à une sonde Checkphone afin de propager la politique de sécurité téléphonique globale vers les équipements VoIP. Le logiciel ETSS de Checkphone (fourni par la société Checkphone spécialisée dans la sécurité de la voix, partenaire technologique d’Arkoon) a la responsabilité d’appliquer la politique de sécurité téléphonique sur les équipements de téléphonie (réseau TDM ou VoIP). L’appliance FAST360® d’Arkoon a la responsabilité d'appliquer la politique de sécurité sur les réseaux IP. La convergence de la voix sur les réseaux IP et le support des protocoles VoIP par les produits Arkoon amène les appliances FAST360 ® à devoir appliquer une partie de la politique de sécurité téléphonique sur le réseau IP. Ce support est permis grâce à l'interface FireConverge. b. Architecture réseau FireConverge Comme pour un réseau Data classique, une appliance FAST360 ® doit être placée en coupure de réseau IP afin de garantir un niveau de sécurité optimum. Dans le cadre de la convergence de la VoIP, l'architecture classique du réseau est la suivante : Ceci permet à l'appliance FAST360® : 1. de séparer les flux de VoIP des flux Data IP (y compris VLAN) 2. d'effectuer un contrôle protocolaire orienté DATA du flux VoIP 3. de gérer l'ouverture/fermeture des ports utilisés lors des connexions secondaires 4. de contrôler des protocoles VoIP depuis ou vers la DMZ DATA Et pour la sonde Checkphone : 1. Seuls les flux VoIP valides sont transférés vers la sonde 2. La garantie que les ouvertures des connexions secondaires sont correctement prises en compte par les dispositifs réseaux amont. 3. La garantie d'être protégé des attaques de type IP. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 12. 12/13 Sécurité de la VoIP c. Mode de fonctionnement Grâce à FireConverge, la sonde Checkphone est capable de communiquer avec les appliances FAST360® pour envoyer ou recevoir des informations. Le lien FireConverge est ainsi composé de deux liens unidirectionnels, basés sur le même type de service (TCP ou UDP). Un lien depuis l'appliance vers la sonde, et un lien retour depuis la sonde vers l'appliance. Les ports des liens ne sont pas forcément symétriques: La sonde peut se connecter sur l'appliance sur le port 1234, et l'appliance peut se connecter sur la sonde sur le port 5678. Fig 3 : Paramètrage de Fireconverge L’appliance FAST360® envoie à Checkphone des informations sur les connexions en cours d’analyse, Checkphone envoie à FAST des ordres de neutralisation des connexions en fonction de la politique de téléphonie. La sonde doit être prête à recevoir des informations de connexions dès que le lien depuis l’appliance FAST360® est établi, indépendamment du lien inverse. Et réciproquement, l’appliance FAST360® doit être prête à recevoir des informations de coupure depuis la sonde dès que le lien est établi. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 13. 13/13 Sécurité de la VoIP Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone L’appliance envoie des informations sur la connexion analysée suivant 2 modes de fonctionnement : - Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce qui permet de comparer chaque paquet aux règles de sécurité téléphonique. - Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages, l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de la connexion. Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360® Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST : - Fermeture de connexion - Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port) pendant un laps de temps fixé. Sécurité du canal de communication Les canaux de communications entre Checkphone et les appliances FAST360 ® sont sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509. L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 14. 13/13 Sécurité de la VoIP Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone L’appliance envoie des informations sur la connexion analysée suivant 2 modes de fonctionnement : - Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce qui permet de comparer chaque paquet aux règles de sécurité téléphonique. - Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages, l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de la connexion. Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360® Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST : - Fermeture de connexion - Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port) pendant un laps de temps fixé. Sécurité du canal de communication Les canaux de communications entre Checkphone et les appliances FAST360 ® sont sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509. L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 15. 13/13 Sécurité de la VoIP Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone L’appliance envoie des informations sur la connexion analysée suivant 2 modes de fonctionnement : - Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce qui permet de comparer chaque paquet aux règles de sécurité téléphonique. - Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages, l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de la connexion. Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360® Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST : - Fermeture de connexion - Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port) pendant un laps de temps fixé. Sécurité du canal de communication Les canaux de communications entre Checkphone et les appliances FAST360 ® sont sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509. L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008
  • 16. 13/13 Sécurité de la VoIP Envoi d’informations depuis l’appliance FAST360® vers la sonde Checkphone L’appliance envoie des informations sur la connexion analysée suivant 2 modes de fonctionnement : - Avec recopie des paquets analysés : Dans ce cas, via FireConverge, FAST envoie une copie de chaque paquet analysé dans la connexion à Checkphone ce qui permet de comparer chaque paquet aux règles de sécurité téléphonique. - Sans recopie des paquets : Dans ce cas, l’appliance n’envoie que 2 messages, l’un à l’ouverture de la connexion et l’autre à la fin de connexion. Pour son analyse, Checkphone s’appuie uniquement sur les paramètres d’établissement de la connexion. Envoi d’ordre depuis la sonde Checkphone vers l’appliance FAST360® Via FireConverge, la sonde à la possibilité d’envoyer 2 types de messages à FAST : - Fermeture de connexion - Mise en liste noire d’un flux : Cette fonctionnalité permet de refuser tous les paquets depuis un hôte (une adresse IP) vers un service (un couple IP:port) pendant un laps de temps fixé. Sécurité du canal de communication Les canaux de communications entre Checkphone et les appliances FAST360 ® sont sécurisés via un VPN IPSec en clefs partagées ou avec des certificats X.509. L'appliance vérifie que les paquets échangés avec la sonde sont réellement échangés dans le VPN. Par conséquent il n'est pas possible de se connecter et d'échanger des données si aucun VPN n'est configuré entre Checkphone et l’appliance FAST360®. Copyright © 2008 ARKOON Network Security Version 5.0/1 – Oct. 2008