Title: La voix sur IP : vulnйrabilitйs, menaces, et sйcuritй prйventive
1La voix sur IP vulnérabilités, menaces, et
sécurité préventive
- M.D. El Kettani, Docteur Ingénieur
- Professeur (LAGI ENSIAS)
- Consultant
- dafir_at_ensias.ma
19 et 20 juin 2006, Hôtel Tour Hassan, Rabat
2Plan
- Introduction
- Technologies VoIP/ToIP
- Vulnérabilités
- Attaques envisageables
- Sécurité préventive
- Recommandations
3Introduction
4Introduction
- Nouvelles infrastructures
- Terminaux
- Ordinateur logiciel
- Téléphone de bureau
- Téléphone sans fil WiFi
- Freebox, Livebox, ...
- Serveurs
- Équipements dinterconnection
- Nouveaux risques
5Technologies VoIP
- Signalisation et contrôle
- Transport
- Session SIP
- Protocoles secondaires
- Architecture
- Enjeux de la sécurité
6Signalisation et contrôle
- H.323
- Caractéristiques
- Complexe
- Transcription IP de l'ISDN
- similaire au fonctionnement des RTCs
- Encore utilisé en coeur de réseau
- Mécanismes de sécurité H.235
- En voie de disparition
7Signalisation et contrôle
- SIP (Session Initiation Protocol)
- Normalisé par lIETF (RFC 3261), ressemble à
HTTP - Protocole se transformant en architecture
- Adresses simples sipuser_at_domaine.com
- Extensions propriétaires
- Gestion de sessions entre participants
- End-to-end (entre IP PBX)
- Inter-AS MPLS VPNs
- Confiance transitive (Transitive trust)
- Données transportées de toute nature voix,
images, messagerie instantanée, échanges de
fichiers, etc
8Signalisation et contrôle
- MGCP (Media Gateway Control Protocol)
- Softswitch (CallAgent)lt-gtMediaGateWay
- CallAgents-gtMGW (2427/UDP)
- MGW-gtCallAgents (2727/UDP)
- Utilisé pour contrôler les MGWs
- AoC (Advise Of Charge) en direction du CPE
9Transport
- Rôle Encodage, transport, etc.
- RTP (Real-Time Protocol) udp
- Pas de gestion de QoS/bande passante
- Connectivité
- Soit UAlt-gtUA (risque de fraude),
- Soit UAlt-gtMGWlt-gtUA
- CODECs
- ancien G.711 (PSTN/POTS - 64Kb/s)
- courant G.729 (8Kb/s)
- RTCP (Real-Time Control Protocol)
- Protocole de contrôle pour RTP
- SRTP / SRTCP équivalents chiffrés
10Session SIP
- 2 composantes
- Fonctionnalités
- Signalisation (SIP) la gestion des appels,
passe par des serveurs - Localisation des utilisateurs
- Session
- Configuration, Négociation
- Modification, Fermeture
- Données (RTP/RTCP/RTSP) la voix, peut passer
par le chemin le plus court
11Protocoles secondaires
- DNS Annuaire et localisation
- DHCP Attribution IP/DNS/etc
- TFTP Configuration mise à jour
- HTTP Administration
- ENUM Correspondance adresses SIP / numéros
E.164 en utilisant DNS
12Architecture opérateur
- Téléphones IP (IP phones) - Téléphones
hard-phones classiques - Propriétaires -
Appliances - Soft-phones / UA (User-agents) -
Solutions logicielles - Souples - Toaster -
Mises à jour / patches - Intelligence
- LAN - Ethernet (routeurs et switches) -
xDSL/cable/WiFi - VLANs (données/voixsignalisatio
n)
- - VPN cryptés
- - SSL/TLS
- - IPsec
- Localisation du cryptage
- (LAN-LAN, téléphone téléphone...)
- - Impact sur la QoS
- - Que va apporter IPv6 ?
- - QoS (Quality de service)
- - Bande passante
- Délai (150-400ms)
- Jitter (ltlt150ms)
- - Perte de paquets (1-3)
- - Passerelle de voix (Voice Gateway IP-PSTN)
- - Protocoles de contrôle de passerelles
- (Gateway Control Protocols)
- - Signalisation interface SS7
- - Media Gateway Controller
- - Passerelle de signalisation (Signaling Gateway)
- - Transport
- Passerelle de média (Media Gateway)
- conversion audio
- WAN - Internet - VPN-MPLS - Liaisons
spécialisées - MPLS
- Téléphones IP (IP phones) - Intelligence
déplacée du réseau vers léquipement terminal -
Flux entre le téléphone et les autres systèmes -
SIP, RTP - (T)FTP - CRL - etc.
- Systèmes - Proxy SIP - Gestionnaire dappels
(Call Manager)/IP PBX - Gestion des utilisateurs
et reporting (HTTP, etc) - Recherche des chemins
par IP - GK (GateKeeper) H.323 - Serveur
dauthentification (Radius) - Serveur de
facturation (CDR/billing) - Serveurs DNS, TFTP,
DHCP
- Firewall - Filtrage Non-stateful - Filtrage
Stateful - Filtrage applicatif par couches
(Application Layer Gateway filtering -ALGs) - NAT
/ firewall piercing
13Architecture SBC
- Quel est le rôle d'un SBC ?
- SBC Session Border Controllers.
- Elément clé pour déploiement de softswitch
- Solutions intégrées de sécurité.
- Terminal client IP généralement protégé par un
pare-feu et bénéficie dune adresse IP privée. - permet de traverser la protection du firewall et
les équipements NAT (Hosted NAT traversal mise
en conformité de l'en-tête IP et de la
signalisation) - permet de protéger le softswitch
- des signalling overloads ,
- dattaques en denis de service
- et dautres attaques rendues possibles en
utilisant IP
14Architecture SBC
- SBC
- Autres fonctionnalités
- Convertir la signalisation
- Convertir le flux multimédia (CODEC)
- Autoriser RTP de manière dynamique
- Localisation
- Il peut être localisé à différents endroits
- client/opérateur,
- au sein du réseau client,
- à l'interface entre deux opérateurs (Peering VoIP)
15Enjeux de la sécurité
- Les Firewalls
- Le rôle du firewall
- Les spécificités de la VOIP
- la problématique des ports dynamiques,
- les protocoles parapluie...
- La translation d'adresse (NAT)
- Le problème de l'adressage IP
- adressage privé,
- adressage public,
- évolution IPv6
16Enjeux de la sécurité
- Les Firewalls
- NAT et Firewall
- les impacts sur la QoS.
- Les compromis Qualité de Service vs Sécurité.
17Vulnérabilité technologique
- Généralités
- Vulnérabilité protocolaire
- Vulnérabilité architecturale
- Exemples
18Généralités
- VoIP/ToIP nest pas équivalente à la téléphonie
classique - Signalisation/contrôle et transport de la voix
sur le même réseau IP - Perte de la localisation géographique de
l'appelant
19Généralités
- Stratégie de sécurité différente de celle à
laquelle les utilisateurs étaient habitués - Fiabilité du système téléphonique
- Combien de pannes de téléphone vs pannes
informatique? - Confidentialité des appels téléphoniques
- Invulnérabilité du système téléphonique
- Devenu un système susceptible d'intrusions, vers,
etc
20Vulnérabilité protocolaire
- Risque semblables à ceux des réseaux IP
- Intrusion,
- écoute,
- usurpation d'identité,
- rejeu,
- dénis de service,
- etc.
- mais
- Ce nest pas juste une application IP en plus
21Vulnérabilité protocolaire
- VoIP nest pas juste une application IP en
plus , car - Pas d'authentification mutuelle entre les
parties, - Peu de contrôles d'intégrité des flux, pas ou peu
de chiffrement - Risques d'interception et de routage des appels
vers des numéros surfacturés - Falsification des messages d'affichage du numéro
renvoyés à l'appelant - Attaques accessibles à tout informaticien et pas
juste aux spécialistes de téléphonie numérique - Exemple Terminaux très fragiles
22Vulnérabilité architecturale
- Combinaison matériellogiciel
- (surtout des DSP)
- Softswitch
- généralement dédié à la signalisation
- MGW (Media Gateway)
- RTPlt-gtTDM,
- SS7oIPlt-gtSS7
- IP-PBX
- SoftswitchMGW
23Vulnérabilité architecturale
- Systèmes d'exploitation
- OS temps réel (QNX/Neutrino, VxWorks, RTLinux)
- Windows
- Linux, Solaris
- Sécurisation par défaut souvent quasi inexistante
- Gestion des mises à jour
- Les OS sont rarement à jour
- Les mises-à-jour ne sont pas autorisées
24H323
- Intrusion
- Filtrage quasi-impossible
- multiplication des flux, des mécanismes
d'établissement d'appel, des extensions à la
norme, et transmission des adresses IP au niveau
applicatif - Ecoute
- Usurpation d'identité
- Insertion et rejeu
- Dénis de service
- De par la conception du protocole, pas de
détection des boucles, signalisation non fiable,
etc
25SIP
- Ecoute
- Usurpation d'identité
- Insertion et rejeu
- Déni de service
26Autres
- Skinny Client Control Protocol (Cisco)
- Risques
- Ecoute, Usurpation d'identité, Insertion et
rejeu, Déni de service - Multimedia Gateway Control Protocol (MGCP)
- Risques
- Identiques aux autres en entreprise (pas
d'expérience d'audit sécurité) - Dépendants de la sécurité du boitier ADSL
- Moins de risques de surfacturation et de déni de
service sur le serveur central - GSM sur IP nano BTS
- Risques
- Surfacturation, Ecoute des communications
- Usurpation d'identité, Insertion et rejeu
- Déni de service
- GSM sur IP UMA Unlicensed Mobile Access
- Risques
- Exposition du réseau opérateur sur Internet
- Déni de service
27Terminaux
- Peu de sécurisation des terminaux, peu de
fonctions de sécurité - Pas de 802.1X
- Exemple test de téléphones VoIP (SIP) sur WiFi
- 15 Téléphones testé de 8 fournisseurs
- Cisco,
- Hitachi,
- Utstarcom,
- Senao,
- Zyxel,
- ACT,
- MPM,
- Clipcomm
28Terminaux
- Exemple (Suite) téléphones VoIP (SIP) sur WiFi
- Connexion interactive avec telnet ouverte
- SNMP read/write avec community name par défaut
- Ports de debogage VXworks ouverts en écoute sur
le réseau WiFi - Services echo et time ouverts
- Connexion interactive rlogin avec
authentification basique - Exemple Cisco 7920
- port 7785 Vxworks wdbrpc ouvert
- SNMP Read/Write
- Réponse de Cisco
- les ports ne peuvent pas être désactivés, la
communauté - SNMP ne pas être changée
- tout est codé en dur dans le téléphone...
29Infrastructure
- Exemple coupure de courant lors dun audit de
sécurité (non VoIP) - Coupure de courant
- Téléphone branché sur le secteur (pas PoE, pas
secouru) - gt plus de téléphone
- Serveurs branchés sur le courant secouru mais pas
le commutateur devant - gt problème de commutateur
30Infrastructure
- Exemple coupure de courant lors dun audit de
sécurité (suite) - Retour du courant
- Serveur de téléconfiguration des téléphones
injoignable (DHCP, BOOTP pour le firmware, etc.)
car commutateur pas encore redémarré - Les téléphones ont redémarré plus vite que le
commutateur et se sont trouvés sans adresse IP,
etc. et restent bloqués sur l'écran "Waiting for
DHCP ..." - Pour une raison inconnue, une fois le serveur de
téléconfiguration à nouveau joignable, les
téléphones n'ont pas fonctionné - Seule solution trouvée débrancher/rebrancher
chaque téléphone un par un pour remise en service
31Attaques envisageables
- Attaques couches basses
- Attaques implémentations
- Attaques protocoles VoIP
- Attaques téléphones
- Autres attaques
32Attaques couches basses
- Attaques physiques
- Systèmes d'écoute
- Interception (MITM)
- écoute passive ou modification de flux
- Discussion
- Who talks with who
- Sniffing du réseau
- Serveurs (SIP, CDR, etc)
33Attaques couches basses
- Attaques sur les couches basses LAN
- Accès physique au LAN
- Attaques ARP
- ARP spoofing,
- ARP cache poisoning
- Périphériques non authentifiés (téléphones et
serveurs) - Différents niveaux
- adresse MAC, utilisateur, port physique, etc
34Attaques implémentations
- Interface d'administration HTTP, de mise à jour
TFTP, etc. - Exploits
- Vols de session (XSS)
- Scripts / injections
- Piles TCP/IP
- Dénis de services (DoS)
- PROTOS
35Attaques protocoles VoIP
- Fraude Spoofing SIP
- Call-ID Spoofing
- Appropriation des droits dutilisateur sur le
serveur dauthentification - Tags des champs From et To
- Replay
- Accès au voicemail
36Attaques protocoles VoIP
- DoS Denial of service
- Au niveau
- Réseau
- Protocole (SIP INVITE)
- Systèmes / Applications
- Téléphone
- Envois illégitimes de paquets SIP INVITE ou BYE
- Modification à la volée des flux RTP
37Attaques téléphone
- (S)IP phone
- Démarrage (Startup)
- DHCP, TFTP, etc.
- Accès à ladresse physique
- Tables de configuration cachées
- Piles TCP/IP
- Configuration du constructeur
- Trojan horse/rootkit
38Attaques autres
- Protocoles secondaires
- DNS DNS ID spoofing ou DNS cache poisoning
- DHCP DoS, MITM
- TFTP upload d'une configuration (DoS, MITM...)
- Autres
- Lélément humain
- Systèmes
- La plupart ne sont as sécurisés par défaut
- Worms, exploits, Trojan horses
39Sécurité préventive
- Quelle sécurité préventive?
- Sécurité indépendantes de la VoIP
- Sécurité propres à la VoIP / ToIP
- Calcul du ROI de la VoIP
40Quelle sécurité préventive?
- Mesure de sécurité, ou protection
- Action
- Diminue le risque à un niveau acceptable
- Action préventive ISO 190112002
- Action visant à éliminer une situation
indésirable potentielle - Agit en amont de l'incident
- Action corrective
- Action visant à éliminer une situation
indésirable détectée - Agit en aval de l'incident
41Quelle sécurité préventive?
- Actions préventives ?
- Donc réfléchir sans attendre l'incident !
- Identifier se qui compte pour le chef
d'entreprise - Réaliser une analyse de risque sur ce qui compte
- Appliquer des mesures de sécurité
- Avec un rapport qualité/prix réaliste
- Afin de réduire les risques à un niveau acceptable
42Sécurité indépendante VoIP
- Sécurité dans le réseau IP
- Sécurité dans le réseau
- Liaison
- Cloisonnement des VLAN
- Filtrage des adresses MAC par port
- Protection contre les attaques ARP
- Réseau
- Contrôle d'accès par filtrage IP
- Authentification et chiffrement avec IPsec
- Transport
- Authentification et chiffrement SSL/TLS
43Sécurité indépendante VoIP
- Filtrage IP firewall
- Contrôle d'accès réseau
- Proactif
- le paquet passe ou le paquet est bloqué
- Application de la politique de sécurité de
l'organisme
44Sécurité indépendante VoIP
- Détection d'intrusion (NIDS)
- Passif
- le paquet est passé mais finalement il n'aurait
pas du, il est malveillant - Faux positifs
- un paquet vu comme malveillant qui est tout à
fait légitime - Faux négatif
- un paquet vu comme légitime qui est malveillant
45Sécurité indépendante VoIP
- Prévention d'intrusion (NIPS)
- Combiner l'analyse approfondie de la détection
d'intrusion avec la capacité de bloquer du
firewall - Actif certains paquets sont passés, mais pas
les suivants - Limitation de bande passante
- TCP Reset / ICMP Unreachable
- Toujours des risques de faux positifs / faux
négatifs
46Sécurité propre à la VoIP
- Solutions
- SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité - Limitations
- Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session en
cours de communication - Mise en oeuvre de la sécurité
- gt
- perte des possibilité d'interopérabilités entre
fournisseurs
47Calcul du ROI
- VoIP Pas de service en plus
- Mettre à jour son PABX apporte les mêmes service
avec ou sans VoIP - Les service disponibles en VoIP le sont aussi en
téléphonie classique - Aucun calcul de ROI ne peut se justifier par la
disponibilité de nouveaux services - Intégrer les coûts de la VoIP
48ROI coût du VoIP
- Intégrer les coûts de la VoIP
- Coûts de câblage
- Poste téléphonique IP gtprise ethernet
supplémentaire - Difficultés avec le PC connecté sur le téléphone
et le téléphone dans la prise Ethernet du PC - Nécessité des VLANs, avant considérations de
sécurité - Informations indispensable au service
téléphonique - N pièce, n prise associée à chaque n de
téléphone - N de téléphone, _at_MAC, _at_IP et n de prise
Ethernet liés - Câblage rapide des prises spécifiques avec le
courant électrique sur le cable Ethernet (PoE) - Onduleurs supplémentaires et spécifiques
- gt VoIP/ToIP impose des coûts de câblage élevés
49ROI coût du VoIP
- Intégrer les coûts de la VoIP
- Services du réseau informatique deviennent des
services critiques - DHCP
- DNS
- Commutateurs
- ...
- Obligation dinclure les coûts de mise en oeuvre
de la haute-disponibilité - Coûts d'exploitation au quotidien bien plus
élevés 24/7, etc
50ROI dégradation du service
- Intégrer la dégradation du service due à la VoIP
- Taux d'indisponibilité téléphonie classique 5 à
6 minutes d'interruption par an, 99,99886 - Taux de disponibilité téléphonie sur IP ??
- Pas de téléphone pendant plusieurs jours...
- Support téléphonique hors-service
- Situations antagonistes réseau en panne gt
téléphone en panne - Téléphone principal système d'appel au secours
pour la sécurité des personnes
51ROI autres facteurs
- Valider au préalable la réalité des
fonctionnalités - Fonctionnalités ? prix du Poste entrée de gamme
- Fonctionnalités de sécurité imposant un
changement de tous les postes téléphoniques - Valider au préalable la robustesse de tous les
équipements choisis - Analyser les risques
- Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?
52Recommandations
- Actuellement, voix sur IP ? danger
- Mécanismes de détection
- Sécurisation des couches basses
- Utilisation de TLS pour la signalisation SIP
- Identification des clients et du serveur
- Protocole de gestion de clefs VoIP MiKEY
- Encapsulé dans SIP
- PSK (Pre-shared key), Diffie-hellman, PKI
53Recommandations
- Couche réseau
- QoS LLQ (and rate-limit)
- Firewall application level filtering
- Téléphones IP certifiés par leurs producteurs
- Sécurisation des couches hautes
- Utilisation de SRTP/SRTCP
- Sécurisation des échanges DNS DNSSec
- Utilisation de tunnels IPSec en remplacement des
solutions précédentes - Projet 3P project, security processes and
policies
54Perspectives
- VoWLAN
- Utilisation de PDA / Laptop téléphonie mobile
- Problèmes classiques du WiFi
- Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP) - Choix judicieux des CODECs (PCM, GSM...)
55Recommandations
- Exemple de solution sécurisée
56Recommandations
- Limites
- QoS, bande-passante...
- Qualité de la voix choix important des CODECs
- Temps d'établissement
- Compromis utilisation / complexité
- IPsec parfois trop lourd
- restriction possible aux protocoles utilisés
- Ne pas se limiter aux protocoles VoIP, au réseau
- clients (UA), serveurs (soft switch, call
manager, DHCP/TFTP), détection de fraude, etc. - Ni aux aspects techniques
- ingénierie, opérations, support, etc, comment les
répartir?
57Recommandations
- Téléphonie DSI
- Téléphonie doit entrer suivre la Direction des
Systèmes d'Information (DSI) - Ne peut rester aux services administratifs
- Téléphonistes doivent intégrer la DSI
- Leurs compétences en téléphonie sont
indispensables au déploiement de la VoIP - VoIP / ToIP intérêt futur proche des
fournisseurs - Passage à la VoIP se fera un jour de gré ou de
force
58Conclusion
- VoIP
- Technologie encore jeune
- Étude fine des solutions précède déploiement
- Désormais accessible aux particuliers (Skype..)
- Sécurité au coeur de la problématique
- La VoIP / ToIP relance l'insécurité
- Sécurité au niveau réseau
- Réponse partielle mais nécessaire
- Difficile à mettre en oeuvre
- Mécanismes de sécurité propriétaires proposés par
les constructeurs - Seule réponse satisfaisante en matière de
sécurité - Très rarement mis en oeuvre
- ROI négligé