Sécurité d’une plateforme VoIP Open Source « Elastix »
1. Soutenance du Mémoire de Mastère Professionnel
Sécurité des Systèmes Informatiques communicants et Embarqués
SÉCURITÉ D’UNE PLATEFORME VOIP
OPEN SOURCE « ELASTIX »
Réalisé par :
Atef SFAR EL HANCHA
Yassine BRAHMI
Encadré par :
Dr. Rim AKROUT (ISI)
M. Hasen NOURI (2IP)
Année Universitaire : 2015 / 2016
2. 2
Introduction
Concepts de la VoIP
Analyse et critique de l’existant
Mise en œuvre des solutions de sécurité
Conclusion et perspectives
Plan
3. 3
IntroductionOrganisme d’accueil
Créer en 2011
Les fonctions de 2IP :
Installation des Réseaux Informatiques d'entreprises
Intégration des solutions libres
Infogérance et systèmes clés en mains
4. 4
IntroductionContexte du projet
2IP à deux sites:
Tunis (siège)
Sfax (filiale)
Vision vers VoIP :
Les communications inter-sites sont gratuites
Disponibilité permanente
Plus de productivités
Tunis
Sfax
6. 6
VoIP = Voice over Internet Protocol Concepts de la VoIP
Transmettre la voix dans des paquets IP
Convertit les signaux vocaux en signaux digitaux qui voyagent par
le protocole Internet
Une solution d'avenir pour les entreprises
8. 8
Protocoles de la VoIP Concepts de la VoIP
Les principaux protocoles de la VoIP sont :
SIP : Session Initiation Protocol
RTP : Real-time Transport Protocol
RTCP : Real Time Transport Control Protocol
12. 12
Les vulnérabilités détectées
12
Pas de contrôle d’intégrité et pas de chiffrement
Tentative de connexion illimité ( SIP, SSH, HTTPS, SFTP)
Absence la Haute Disponibilité
Analyse et critique de l’existant
13. 13
Attaque Ecoute Clandestine
ARP Spoofing
Cain and Abel
MAC - E0:CA:94:C9:C3:A4 MAC - E0:CA:94:C9:C3:A5
MAC - E0:CA:94:C9:C3:A6MAC - E0:CA:94:C9:C3:A5
Appelant Appelé
Analyse et critique de l’existant
14. 14
Attaque DoS SIP BYE
Appelant Appelé
BYE
Analyse et critique de l’existant
15. 15
Attaque injection de paquets RTP
1. Conversation Téléphonique 3. Conversation Perturbé
l'appelant l'appelé
Analyse et critique de l’existant
18. 1818
Cluster
IP virtuelle :
192.168.10.Z
Agent SIP
Serveur primaire
192.168.10.X
Serveur secondaire
192.168.10.Y
IP virtuelle
IP virtuelle
UDP/694
192.168.10.X
Serveur primaire
DRBD
Haute disponibilité
Heartbeat
Mise en œuvre de la solution de la sécurité
19. 1919
Certificat serveur
Certificat client
Certificat client
Réseau IP
SRTP
SRTP
TLS
• Authentification du serveur et les clients
• Confidentialité et intégrité du flux de signalisation
échangé
• Confidentialité, authentification et intégrité des
paquets RTP
• Protection contre le rejeu des paquets
Mise en œuvre de la solution de la sécurité
20. 2020
Internet
Attaque interne Attaque externe
LAN
Détection et prévention d’attaques
WAN
pfSense & SNORT Mise en œuvre de la solution de la sécurité
21. 21
VLAN
Serveur VoIP Serveur Messagerie
192.168.10.3 192.168.10.4
192.168.10.10
172.16.20.28
172.16.20.20
172.16.20.25
Commutateur CISCO 2560
Mise en œuvre de la solution de la sécurité
22. 22
VPN site to site Mise en œuvre de la solution de la sécurité
29. 29
Introduction
Concepts de la VoIP
Analyse et critique de l’existant
Mise en œuvre des solutions de sécurité
Conclusion et perspectives
Plan
30. 30
La sécurité du réseau VoIP n’est pas seulement une nécessité mais plutôt une
obligation
Finalisation avec la technologie VoIP « Asterisk »
https://github.com/yassinebrahmi/fail2display
Conclusion
Conclusion et perspectives
Perspectives
Mise en place d’une solution MPLS au lieu de VPN
Intégration d’un serveur de forte authentification « FreeRADIUS »