Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La voix sur IP :
vulnérabilités, menaces, et sécurité préventive
• Introduction
• Technologies VoIP/ToIP
• Vulnérabilités
• Attaques envisageables
• Sécurité préventive
• Recommandations
Introduction
Atelier e-sécurité
• Enjeux importants
−Convergence Réseaux −Nouveaux acteurs
•Téléphonie / TI •Opérateurs
•PoE (Power over Ethernet) •Entreprises
•Complexité, Coûts •Particuliers
• Nouvelles infrastructures
− Terminaux
• Ordinateur + logiciel
• Téléphone de bureau
• Téléphone sans fil WiFi
• Freebox, Livebox, ...
− Serveurs
− Équipements d’interconnection
• Nouveaux risques
Technologies VoIP
Atelier e-sécurité
• Signalisation et contrôle
• Transport
• Session SIP
• Protocoles secondaires
• Architecture
• Enjeux de la sécurité
Signalisation et contrôle
Atelier e-sécurité
• H.323:
− Caractéristiques:
• Complexe
• Transcription IP de l'ISDN
• similaire au fonctionnement des RTCs
• Encore utilisé en coeur de réseau
• Mécanismes de sécurité : H.235
• En voie de disparition
Signalisation et contrôle
Atelier e-sécurité
• 2 composantes:
− Fonctionnalités:
• Signalisation (SIP) : la gestion des appels, passe
par des serveurs
− Localisation des utilisateurs
− Session:
Configuration, Négociation
Modification, Fermeture
• Données (RTP/RTCP/RTSP) : la voix, peut passer
par le chemin le plus court
Protocoles secondaires
Atelier e-sécurité
« classiques - SSL/TLS
»(150-400ms) switches)
- Délai
- WAN - Passerelle de voix- IPsec
OSS/BSS
autres systèmes
- Souples
- Systèmes : W
RTP» - Proxy: SIP IP / MPLS
C
- -«-SIP,
IP PBX Transport
Toaster
-Passerelle de média (Media Gateway):
-SBC
(T)FTP
- Mises à- jour / patches d’appels (Call Manager)/IPPBX
Gestionnaire
- CRL -conversion
- Firewall audio
- Intelligence PBX CPE
- etc.
Softswitch
- Filtrage « Non-stateful »
- Gestion des utilisateurs et reporting
H.323/MGCP/RTP
- FFiltrage
(HTTP, etc)« Stateful »
W
MGW MGW - Filtrage applicatif
- Recherche des chemins parpar
couches
IP
(Application
- GK (GateKeeper) : H.323 Layer Gateway filtering
- Serveur -ALGs)
d’authentification (Radius)
- Serveur - SNAT
de / « firewallSIP/RTP
facturation piercing »
(CDR/billing) Carrier
TDM / PSTN B
C
- Serveurs DNS, TFTP, DHCP
Internet
H.323/RTP
MGW Carrier
Architecture: SBC
Atelier e-sécurité
• SBC:
− Autres fonctionnalités:
• Convertir la signalisation
• Convertir le flux multimédia (CODEC)
• Autoriser RTP de manière dynamique
• Localisation:
− Il peut être localisé à différents endroits
• client/opérateur,
• au sein du réseau client,
• à l'interface entre deux opérateurs (Peering VoIP)
Enjeux de la sécurité
Atelier e-sécurité
• Les Firewalls
− Le rôle du firewall
− Les spécificités de la VOIP :
• la problématique des ports dynamiques,
• les protocoles parapluie...
− La translation d'adresse (NAT)
− Le problème de l'adressage IP :
• adressage privé,
• adressage public,
• évolution IPv6…
Enjeux de la sécurité
Atelier e-sécurité
• Les Firewalls
− NAT et Firewall :
• les impacts sur la QoS.
• Les compromis Qualité de Service vs
Sécurité.
Vulnérabilité technologique
Atelier e-sécurité
• Généralités
• Vulnérabilité protocolaire
• Vulnérabilité architecturale
• Exemples
Généralités
Atelier e-sécurité
• Combinaison matériel+logiciel
(surtout des DSP):
− Softswitch:
• généralement dédié à la signalisation
− MGW (Media Gateway):
• RTP<->TDM,
• SS7oIP<->SS7
− IP-PBX:
• Softswitch+MGW
Vulnérabilité architecturale
Atelier e-sécurité
• Systèmes d'exploitation
− OS temps réel (QNX/Neutrino, VxWorks, RTLinux)
− Windows
− Linux, Solaris
• Sécurisation par défaut souvent quasi
inexistante
• Gestion des mises à jour :
− Les OS sont rarement à jour
− Les mises-à-jour ne sont pas « autorisées »
H323
Atelier e-sécurité
• Intrusion
− Filtrage quasi-impossible :
• multiplication des flux, des mécanismes d'établissement d'appel, de
extensions à la norme, et transmission des adresses IP au niveau
applicatif
• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Dénis de service:
− De par la conception du protocole, pas de détection des
boucles, signalisation non fiable, etc
SIP
Atelier e-sécurité
• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Déni de service
Autres
Atelier e-sécurité
• Attaques physiques
− Systèmes d'écoute
Interception (MITM) :
• écoute passive ou modification de flux
− Discussion
− “Who talks with who”
Sniffing du réseau
Serveurs (SIP, CDR, etc)
Attaques : couches basses
Atelier e-sécurité
• (S)IP phone :
− Démarrage (Startup)
• DHCP, TFTP, etc.
− Accès à l’adresse physique
• Tables de configuration cachées
− Piles TCP/IP
− Configuration du constructeur
− Trojan horse/rootkit
Attaques : autres
Atelier e-sécurité
• Protocoles secondaires:
− DNS : DNS ID spoofing ou DNS cache poisoning
− DHCP : DoS, MITM
− TFTP : upload d'une configuration (DoS, MITM...)
• Autres:
− L’élément humain
− Systèmes:
• La plupart ne sont as sécurisés par défaut
• Worms, exploits, Trojan horses
Sécurité préventive
Atelier e-sécurité
• Actions préventives ?
• Donc réfléchir sans attendre l'incident !
− Identifier se qui compte pour le chef
d'entreprise
− Réaliser une analyse de risque sur ce qui
compte
− Appliquer des mesures de sécurité
• Avec un rapport qualité/prix réaliste
• Afin de réduire les risques à un niveau acceptable
Sécurité indépendante VoIP
Atelier e-sécurité
• Filtrage IP : firewall
− Contrôle d'accès réseau
− Proactif :
• le paquet passe ou le paquet est bloqué
− Application de la politique de sécurité de
l'organisme
Sécurité indépendante VoIP
Atelier e-sécurité
• Solutions:
− SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
• Limitations:
− Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session en
cours de communication
− Mise en oeuvre de la sécurité
=>
perte des possibilité d'interopérabilités entre
fournisseurs
Calcul du ROI
Atelier e-sécurité
• Couche réseau:
− QoS [LLQ] (and rate-limit)
− Firewall: application level filtering
• Téléphones IP certifiés par leurs producteurs
• Sécurisation des couches hautes
− Utilisation de SRTP/SRTCP
− Sécurisation des échanges DNS : DNSSec
− Utilisation de tunnels IPSec en remplacement des
solutions précédentes
• Projet 3P: project, security processes and policies
Perspectives
Atelier e-sécurité
• VoWLAN
− Utilisation de PDA / Laptop : téléphonie
mobile
− Problèmes classiques du WiFi
− Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP)
− Choix judicieux des CODECs (PCM, GSM...)
Recommandations
Atelier e-sécurité
• Limites:
− QoS, bande-passante...
− Qualité de la voix : choix important des CODECs
• Temps d'établissement
• Compromis utilisation / complexité
− IPsec parfois trop lourd :
• restriction possible aux protocoles utilisés
− Ne pas se limiter aux protocoles VoIP, au réseau:
• clients (UA), serveurs (soft switch, call manager, DHCP/TFTP),
détection de fraude, etc.
− Ni aux aspects techniques:
• ingénierie, opérations, support, etc, comment les répartir?
Recommandations
Atelier e-sécurité
• VoIP :
− Technologie encore jeune
− Étude fine des solutions précède déploiement
− Désormais accessible aux particuliers (Skype..)
• ROI négligé