La voix sur IP : vulnйrabilitйs, menaces, et sйcuritй prйventive - PowerPoint PPT Presentation

1 / 58

About This Presentation

Title:

La voix sur IP : vulnйrabilitйs, menaces, et sйcuritй prйventive

Description:

La voix sur IP : vuln rabilit s, menaces, et s curit pr ventive M.D. El Kettani, Docteur Ing nieur Professeur (LAGI ENSIAS) Consultant dafir_at_ensias.ma – PowerPoint PPT presentation

Number of Views:210

Avg rating:3.0/5.0

Slides: 59

Provided by: siteresour

Category:

more less

Transcript and Presenter's Notes

Title: La voix sur IP : vulnйrabilitйs, menaces, et sйcuritй prйventive

1
La voix sur IP vulnérabilités, menaces, et
sécurité préventive

M.D. El Kettani, Docteur Ingénieur
Professeur (LAGI ENSIAS)
Consultant
dafir_at_ensias.ma

19 et 20 juin 2006, Hôtel Tour Hassan, Rabat
2
Plan

Introduction
Technologies VoIP/ToIP
Vulnérabilités
Attaques envisageables
Sécurité préventive
Recommandations

3
Introduction

Enjeux importants

4
Introduction

Nouvelles infrastructures
Terminaux
Ordinateur logiciel
Téléphone de bureau
Téléphone sans fil WiFi
Freebox, Livebox, ...
Serveurs
Équipements dinterconnection
Nouveaux risques

5
Technologies VoIP

Signalisation et contrôle
Transport
Session SIP
Protocoles secondaires
Architecture
Enjeux de la sécurité

6
Signalisation et contrôle

H.323
Caractéristiques
Complexe
Transcription IP de l'ISDN
similaire au fonctionnement des RTCs
Encore utilisé en coeur de réseau
Mécanismes de sécurité H.235
En voie de disparition

7
Signalisation et contrôle

SIP (Session Initiation Protocol)
Normalisé par lIETF (RFC 3261), ressemble à
HTTP
Protocole se transformant en architecture
Adresses simples sipuser_at_domaine.com
Extensions propriétaires
Gestion de sessions entre participants
End-to-end (entre IP PBX)
Inter-AS MPLS VPNs
Confiance transitive (Transitive trust)
Données transportées de toute nature voix,
images, messagerie instantanée, échanges de
fichiers, etc

8
Signalisation et contrôle

MGCP (Media Gateway Control Protocol)
Softswitch (CallAgent)lt-gtMediaGateWay
CallAgents-gtMGW (2427/UDP)
MGW-gtCallAgents (2727/UDP)
Utilisé pour contrôler les MGWs
AoC (Advise Of Charge) en direction du CPE

9
Transport

Rôle Encodage, transport, etc.
RTP (Real-Time Protocol) udp
Pas de gestion de QoS/bande passante
Connectivité
Soit UAlt-gtUA (risque de fraude),
Soit UAlt-gtMGWlt-gtUA
CODECs
ancien G.711 (PSTN/POTS - 64Kb/s)
courant G.729 (8Kb/s)
RTCP (Real-Time Control Protocol)
Protocole de contrôle pour RTP
SRTP / SRTCP équivalents chiffrés

10
Session SIP

2 composantes
Fonctionnalités
Signalisation (SIP) la gestion des appels,
passe par des serveurs
Localisation des utilisateurs
Session
Configuration, Négociation
Modification, Fermeture
Données (RTP/RTCP/RTSP) la voix, peut passer
par le chemin le plus court

11
Protocoles secondaires

DNS Annuaire et localisation
DHCP Attribution IP/DNS/etc
TFTP Configuration mise à jour
HTTP Administration
ENUM Correspondance adresses SIP / numéros
E.164 en utilisant DNS

12
Architecture opérateur
- Téléphones IP (IP phones) - Téléphones
hard-phones classiques - Propriétaires -
Appliances - Soft-phones / UA (User-agents) -
Solutions logicielles - Souples - Toaster -
Mises à jour / patches - Intelligence
- LAN - Ethernet (routeurs et switches) -
xDSL/cable/WiFi - VLANs (données/voixsignalisatio
n)

- VPN cryptés
- SSL/TLS
- IPsec
Localisation du cryptage
(LAN-LAN, téléphone téléphone...)
- Impact sur la QoS
- Que va apporter IPv6 ?

- QoS (Quality de service)
- Bande passante
Délai (150-400ms)
Jitter (ltlt150ms)
- Perte de paquets (1-3)

- Passerelle de voix (Voice Gateway IP-PSTN)
- Protocoles de contrôle de passerelles
(Gateway Control Protocols)
- Signalisation interface SS7
- Media Gateway Controller
- Passerelle de signalisation (Signaling Gateway)
- Transport
Passerelle de média (Media Gateway)
conversion audio

- WAN - Internet - VPN-MPLS - Liaisons
spécialisées - MPLS
- Téléphones IP (IP phones) - Intelligence
déplacée du réseau vers léquipement terminal -
Flux entre le téléphone et les autres systèmes -
SIP, RTP - (T)FTP - CRL - etc.
- Systèmes - Proxy SIP - Gestionnaire dappels
(Call Manager)/IP PBX - Gestion des utilisateurs
et reporting (HTTP, etc) - Recherche des chemins
par IP - GK (GateKeeper) H.323 - Serveur
dauthentification (Radius) - Serveur de
facturation (CDR/billing) - Serveurs DNS, TFTP,
DHCP
- Firewall - Filtrage Non-stateful - Filtrage
Stateful - Filtrage applicatif par couches
(Application Layer Gateway filtering -ALGs) - NAT
/ firewall piercing
13
Architecture SBC

Quel est le rôle d'un SBC ?
SBC Session Border Controllers.
Elément clé pour déploiement de softswitch
Solutions intégrées de sécurité.
Terminal client IP généralement protégé par un
pare-feu et bénéficie dune adresse IP privée.
permet de traverser la protection du firewall et
les équipements NAT (Hosted NAT traversal mise
en conformité de l'en-tête IP et de la
signalisation)
permet de protéger le softswitch
des signalling overloads ,
dattaques en denis de service
et dautres attaques rendues possibles en
utilisant IP

14
Architecture SBC

SBC
Autres fonctionnalités
Convertir la signalisation
Convertir le flux multimédia (CODEC)
Autoriser RTP de manière dynamique
Localisation
Il peut être localisé à différents endroits
client/opérateur,
au sein du réseau client,
à l'interface entre deux opérateurs (Peering VoIP)

15
Enjeux de la sécurité

Les Firewalls
Le rôle du firewall
Les spécificités de la VOIP
la problématique des ports dynamiques,
les protocoles parapluie...
La translation d'adresse (NAT)
Le problème de l'adressage IP
adressage privé,
adressage public,
évolution IPv6

16
Enjeux de la sécurité

Les Firewalls
NAT et Firewall
les impacts sur la QoS.
Les compromis Qualité de Service vs Sécurité.

17
Vulnérabilité technologique

Généralités
Vulnérabilité protocolaire
Vulnérabilité architecturale
Exemples

18
Généralités

VoIP/ToIP nest pas équivalente à la téléphonie
classique
Signalisation/contrôle et transport de la voix
sur le même réseau IP
Perte de la localisation géographique de
l'appelant

19
Généralités

Stratégie de sécurité différente de celle à
laquelle les utilisateurs étaient habitués
Fiabilité du système téléphonique
Combien de pannes de téléphone vs pannes
informatique?
Confidentialité des appels téléphoniques
Invulnérabilité du système téléphonique
Devenu un système susceptible d'intrusions, vers,
etc

20
Vulnérabilité protocolaire

Risque semblables à ceux des réseaux IP
Intrusion,
écoute,
usurpation d'identité,
rejeu,
dénis de service,
etc.
mais
Ce nest pas juste une application IP en plus

21
Vulnérabilité protocolaire

VoIP nest pas juste une application IP en
plus , car
Pas d'authentification mutuelle entre les
parties,
Peu de contrôles d'intégrité des flux, pas ou peu
de chiffrement
Risques d'interception et de routage des appels
vers des numéros surfacturés
Falsification des messages d'affichage du numéro
renvoyés à l'appelant
Attaques accessibles à tout informaticien et pas
juste aux spécialistes de téléphonie numérique
Exemple Terminaux très fragiles

22
Vulnérabilité architecturale

Combinaison matériellogiciel
(surtout des DSP)
Softswitch
généralement dédié à la signalisation
MGW (Media Gateway)
RTPlt-gtTDM,
SS7oIPlt-gtSS7
IP-PBX
SoftswitchMGW

23
Vulnérabilité architecturale

Systèmes d'exploitation
OS temps réel (QNX/Neutrino, VxWorks, RTLinux)
Windows
Linux, Solaris
Sécurisation par défaut souvent quasi inexistante
Gestion des mises à jour
Les OS sont rarement à jour
Les mises-à-jour ne sont pas autorisées

24
H323

Intrusion
Filtrage quasi-impossible
multiplication des flux, des mécanismes
d'établissement d'appel, des extensions à la
norme, et transmission des adresses IP au niveau
applicatif
Ecoute
Usurpation d'identité
Insertion et rejeu
Dénis de service
De par la conception du protocole, pas de
détection des boucles, signalisation non fiable,
etc

25
SIP

Ecoute
Usurpation d'identité
Insertion et rejeu
Déni de service

26
Autres

Skinny Client Control Protocol (Cisco)
Risques
Ecoute, Usurpation d'identité, Insertion et
rejeu, Déni de service
Multimedia Gateway Control Protocol (MGCP)
Risques
Identiques aux autres en entreprise (pas
d'expérience d'audit sécurité)
Dépendants de la sécurité du boitier ADSL
Moins de risques de surfacturation et de déni de
service sur le serveur central
GSM sur IP nano BTS
Risques
Surfacturation, Ecoute des communications
Usurpation d'identité, Insertion et rejeu
Déni de service
GSM sur IP UMA Unlicensed Mobile Access
Risques
Exposition du réseau opérateur sur Internet
Déni de service

27
Terminaux

Peu de sécurisation des terminaux, peu de
fonctions de sécurité
Pas de 802.1X
Exemple test de téléphones VoIP (SIP) sur WiFi
15 Téléphones testé de 8 fournisseurs
Cisco,
Hitachi,
Utstarcom,
Senao,
Zyxel,
ACT,
MPM,
Clipcomm

28
Terminaux

Exemple (Suite) téléphones VoIP (SIP) sur WiFi
Connexion interactive avec telnet ouverte
SNMP read/write avec community name par défaut
Ports de debogage VXworks ouverts en écoute sur
le réseau WiFi
Services echo et time ouverts
Connexion interactive rlogin avec
authentification basique
Exemple Cisco 7920
port 7785 Vxworks wdbrpc ouvert
SNMP Read/Write
Réponse de Cisco
les ports ne peuvent pas être désactivés, la
communauté
SNMP ne pas être changée
tout est codé en dur dans le téléphone...

29
Infrastructure

Exemple coupure de courant lors dun audit de
sécurité (non VoIP)
Coupure de courant
Téléphone branché sur le secteur (pas PoE, pas
secouru)
gt plus de téléphone
Serveurs branchés sur le courant secouru mais pas
le commutateur devant
gt problème de commutateur

30
Infrastructure

Exemple coupure de courant lors dun audit de
sécurité (suite)
Retour du courant
Serveur de téléconfiguration des téléphones
injoignable (DHCP, BOOTP pour le firmware, etc.)
car commutateur pas encore redémarré
Les téléphones ont redémarré plus vite que le
commutateur et se sont trouvés sans adresse IP,
etc. et restent bloqués sur l'écran "Waiting for
DHCP ..."
Pour une raison inconnue, une fois le serveur de
téléconfiguration à nouveau joignable, les
téléphones n'ont pas fonctionné
Seule solution trouvée débrancher/rebrancher
chaque téléphone un par un pour remise en service

31
Attaques envisageables

Attaques couches basses
Attaques implémentations
Attaques protocoles VoIP
Attaques téléphones
Autres attaques

32
Attaques couches basses

Attaques physiques
Systèmes d'écoute
Interception (MITM)
écoute passive ou modification de flux
Discussion
Who talks with who
Sniffing du réseau
Serveurs (SIP, CDR, etc)

33
Attaques couches basses

Attaques sur les couches basses LAN
Accès physique au LAN
Attaques ARP
ARP spoofing,
ARP cache poisoning
Périphériques non authentifiés (téléphones et
serveurs)
Différents niveaux
adresse MAC, utilisateur, port physique, etc

34
Attaques implémentations

Interface d'administration HTTP, de mise à jour
TFTP, etc.
Exploits
Vols de session (XSS)
Scripts / injections
Piles TCP/IP
Dénis de services (DoS)
PROTOS

35
Attaques protocoles VoIP

Fraude Spoofing SIP
Call-ID Spoofing
Appropriation des droits dutilisateur sur le
serveur dauthentification
Tags des champs From et To
Replay
Accès au voicemail

36
Attaques protocoles VoIP

DoS Denial of service
Au niveau
Réseau
Protocole (SIP INVITE)
Systèmes / Applications
Téléphone
Envois illégitimes de paquets SIP INVITE ou BYE
Modification à la volée des flux RTP

37
Attaques téléphone

(S)IP phone
Démarrage (Startup)
DHCP, TFTP, etc.
Accès à ladresse physique
Tables de configuration cachées
Piles TCP/IP
Configuration du constructeur
Trojan horse/rootkit

38
Attaques autres

Protocoles secondaires
DNS DNS ID spoofing ou DNS cache poisoning
DHCP DoS, MITM
TFTP upload d'une configuration (DoS, MITM...)
Autres
Lélément humain
Systèmes
La plupart ne sont as sécurisés par défaut
Worms, exploits, Trojan horses

39
Sécurité préventive

Quelle sécurité préventive?
Sécurité indépendantes de la VoIP
Sécurité propres à la VoIP / ToIP
Calcul du ROI de la VoIP

40
Quelle sécurité préventive?

Mesure de sécurité, ou protection
Action
Diminue le risque à un niveau acceptable
Action préventive ISO 190112002
Action visant à éliminer une situation
indésirable potentielle
Agit en amont de l'incident
Action corrective
Action visant à éliminer une situation
indésirable détectée
Agit en aval de l'incident

41
Quelle sécurité préventive?

Actions préventives ?
Donc réfléchir sans attendre l'incident !
Identifier se qui compte pour le chef
d'entreprise
Réaliser une analyse de risque sur ce qui compte
Appliquer des mesures de sécurité
Avec un rapport qualité/prix réaliste
Afin de réduire les risques à un niveau acceptable

42
Sécurité indépendante VoIP

Sécurité dans le réseau IP
Sécurité dans le réseau
Liaison
Cloisonnement des VLAN
Filtrage des adresses MAC par port
Protection contre les attaques ARP
Réseau
Contrôle d'accès par filtrage IP
Authentification et chiffrement avec IPsec
Transport
Authentification et chiffrement SSL/TLS

43
Sécurité indépendante VoIP

Filtrage IP firewall
Contrôle d'accès réseau
Proactif
le paquet passe ou le paquet est bloqué
Application de la politique de sécurité de
l'organisme

44
Sécurité indépendante VoIP

Détection d'intrusion (NIDS)
Passif
le paquet est passé mais finalement il n'aurait
pas du, il est malveillant
Faux positifs
un paquet vu comme malveillant qui est tout à
fait légitime
Faux négatif
un paquet vu comme légitime qui est malveillant

45
Sécurité indépendante VoIP

Prévention d'intrusion (NIPS)
Combiner l'analyse approfondie de la détection
d'intrusion avec la capacité de bloquer du
firewall
Actif certains paquets sont passés, mais pas
les suivants
Limitation de bande passante
TCP Reset / ICMP Unreachable
Toujours des risques de faux positifs / faux
négatifs

46
Sécurité propre à la VoIP

Solutions
SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
Limitations
Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session en
cours de communication
Mise en oeuvre de la sécurité
gt
perte des possibilité d'interopérabilités entre
fournisseurs

47
Calcul du ROI

VoIP Pas de service en plus
Mettre à jour son PABX apporte les mêmes service
avec ou sans VoIP
Les service disponibles en VoIP le sont aussi en
téléphonie classique
Aucun calcul de ROI ne peut se justifier par la
disponibilité de nouveaux services
Intégrer les coûts de la VoIP

48
ROI coût du VoIP

Intégrer les coûts de la VoIP
Coûts de câblage
Poste téléphonique IP gtprise ethernet
supplémentaire
Difficultés avec le PC connecté sur le téléphone
et le téléphone dans la prise Ethernet du PC
Nécessité des VLANs, avant considérations de
sécurité
Informations indispensable au service
téléphonique
N pièce, n prise associée à chaque n de
téléphone
N de téléphone, _at_MAC, _at_IP et n de prise
Ethernet liés
Câblage rapide des prises spécifiques avec le
courant électrique sur le cable Ethernet (PoE)
Onduleurs supplémentaires et spécifiques
gt VoIP/ToIP impose des coûts de câblage élevés

49
ROI coût du VoIP

Intégrer les coûts de la VoIP
Services du réseau informatique deviennent des
services critiques
DHCP
DNS
Commutateurs
...
Obligation dinclure les coûts de mise en oeuvre
de la haute-disponibilité
Coûts d'exploitation au quotidien bien plus
élevés 24/7, etc

50
ROI dégradation du service

Intégrer la dégradation du service due à la VoIP
Taux d'indisponibilité téléphonie classique 5 à
6 minutes d'interruption par an, 99,99886
Taux de disponibilité téléphonie sur IP ??
Pas de téléphone pendant plusieurs jours...
Support téléphonique hors-service
Situations antagonistes réseau en panne gt
téléphone en panne
Téléphone principal système d'appel au secours
pour la sécurité des personnes

51
ROI autres facteurs

Valider au préalable la réalité des
fonctionnalités
Fonctionnalités ? prix du Poste entrée de gamme
Fonctionnalités de sécurité imposant un
changement de tous les postes téléphoniques
Valider au préalable la robustesse de tous les
équipements choisis
Analyser les risques
Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?

52
Recommandations

Actuellement, voix sur IP ? danger
Mécanismes de détection
Sécurisation des couches basses
Utilisation de TLS pour la signalisation SIP
Identification des clients et du serveur
Protocole de gestion de clefs VoIP MiKEY
Encapsulé dans SIP
PSK (Pre-shared key), Diffie-hellman, PKI

53
Recommandations

Couche réseau
QoS LLQ (and rate-limit)
Firewall application level filtering
Téléphones IP certifiés par leurs producteurs
Sécurisation des couches hautes
Utilisation de SRTP/SRTCP
Sécurisation des échanges DNS DNSSec
Utilisation de tunnels IPSec en remplacement des
solutions précédentes
Projet 3P project, security processes and
policies

54
Perspectives

VoWLAN
Utilisation de PDA / Laptop téléphonie mobile
Problèmes classiques du WiFi
Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP)
Choix judicieux des CODECs (PCM, GSM...)

55
Recommandations

Exemple de solution sécurisée

56
Recommandations

Limites
QoS, bande-passante...
Qualité de la voix choix important des CODECs
Temps d'établissement
Compromis utilisation / complexité
IPsec parfois trop lourd
restriction possible aux protocoles utilisés
Ne pas se limiter aux protocoles VoIP, au réseau
clients (UA), serveurs (soft switch, call
manager, DHCP/TFTP), détection de fraude, etc.
Ni aux aspects techniques
ingénierie, opérations, support, etc, comment les
répartir?

57
Recommandations