Atelier e-sécurité

La voix sur IP :
vulnérabilités, menaces, et sécurité préventive

M.D. El Kettani, Docteur Ingénieur

Professeur (LAGI ENSIAS)
Consultant
dafir@ensias.ma

19 et 20 juin 2006, Hôtel Tour Hassan, Rabat

 Plan
Atelier e-sécurité

• Introduction
• Technologies VoIP/ToIP
• Vulnérabilités
• Attaques envisageables
• Sécurité préventive
• Recommandations
 Introduction
Atelier e-sécurité

• Enjeux importants
−Convergence Réseaux −Nouveaux acteurs
•Téléphonie / TI •Opérateurs
•PoE (Power over Ethernet) •Entreprises
•Complexité, Coûts •Particuliers

−Nouveaux usages −3 vendeurs majeurs

•Visioconférence,
•Télésurveillance
•Téléphonie d'entreprise,
•Télécopie
•Téléphonie sur Internet,
•Télévision & radio
•Provenant du « monde
TDM/PSTN »
(Time Division Multiplexing,
Public Switched Telephone Network)
•Provenant du « monde IP »
•« Société spécialisée VoIP »
 Introduction
Atelier e-sécurité

• Nouvelles infrastructures
− Terminaux
• Ordinateur + logiciel
• Téléphone de bureau
• Téléphone sans fil WiFi
• Freebox, Livebox, ...
− Serveurs
− Équipements d’interconnection
• Nouveaux risques
 Technologies VoIP
Atelier e-sécurité

• Signalisation et contrôle
• Transport
• Session SIP
• Protocoles secondaires
• Architecture
• Enjeux de la sécurité
 Signalisation et contrôle
Atelier e-sécurité

• H.323:
− Caractéristiques:
• Complexe
• Transcription IP de l'ISDN
• similaire au fonctionnement des RTCs
• Encore utilisé en coeur de réseau
• Mécanismes de sécurité : H.235
• En voie de disparition
 Signalisation et contrôle
Atelier e-sécurité

• SIP (Session Initiation Protocol):

− Normalisé par l’IETF (RFC 3261), “ressemble” à
HTTP
− Protocole se transformant en architecture
− Adresses simples : sip:user@domaine.com
− Extensions propriétaires
− Gestion de sessions entre participants:
• “End-to-end” (entre IP PBX)
− Inter-AS MPLS VPNs
− Confiance transitive (Transitive trust)
− Données transportées de toute nature : voix,
images, messagerie instantanée, échanges de
fichiers, etc
 Signalisation et contrôle
Atelier e-sécurité

• MGCP (Media Gateway Control Protocol):

− Softswitch (CallAgent)<->MediaGateWay
− CallAgents->MGW (2427/UDP)
− MGW->CallAgents (2727/UDP)
− Utilisé pour contrôler les MGWs
− AoC (Advise Of Charge) en direction du CPE
 Transport
Atelier e-sécurité

• Rôle: Encodage, transport, etc.

• RTP (Real-Time Protocol) : udp
− Pas de gestion de QoS/bande passante
− Connectivité :
• Soit UA<->UA (risque de fraude),
• Soit UA<->MGW<->UA
− CODECs
• ancien: G.711 (PSTN/POTS - 64Kb/s)
• courant: G.729 (8Kb/s)

• RTCP (Real-Time Control Protocol) :

− Protocole de contrôle pour RTP
• SRTP / SRTCP : équivalents chiffrés
 Session SIP
Atelier e-sécurité

• 2 composantes:
− Fonctionnalités:
• Signalisation (SIP) : la gestion des appels, passe
par des serveurs
− Localisation des utilisateurs
− Session:
 Configuration, Négociation
 Modification, Fermeture
• Données (RTP/RTCP/RTSP) : la voix, peut passer
par le chemin le plus court
 Protocoles secondaires
Atelier e-sécurité

• DNS : Annuaire et localisation

• DHCP : Attribution IP/DNS/etc
• TFTP : Configuration & mise à jour
• HTTP : Administration
• ENUM : Correspondance adresses SIP /
numéros E.164 en utilisant DNS
 Architecture opérateur
- Téléphones
- Téléphones
IP (IP phones):
- QoS (Quality
- Bande- VPN
- LAN
de service)
cryptés- Ethernet (routeurs et
hard-phones
passante
Atelier e-sécurité

« classiques - SSL/TLS
»(150-400ms) switches)
- Délai
- WAN - Passerelle de voix- IPsec
OSS/BSS

- Propriétaires (Voice Gateway: IP-PSTN)

- xDSL/cable/WiFiH.323/RTP
- Internet - Jitter (<<150ms) F
Billing DB
- Téléphones - Protocoles
-IP
WEB
(IP
Appliances de- contrôle
W - de
Localisation
phones): passerelles
VLANsdu cryptage CPE
- VPN-MPLS -(Gateway Perte de paquets
Control (1-3%)
(LAN-LAN,Protocols)
(données/voix+signalisation)
téléphone –
- Intelligence
- Soft-phones déplacée du réseau
/ UA (User-
- Liaisons
FW spécialisées
- Signalisation : interface SS7
téléphone...)
versagents)
l’équipement terminal
- MPLS - Media Gateway Controller
- Flux
IP PBX entre le- téléphone
- Solutions Impact surSFetla
logicielles lesQoS
- Passerelle
- Que vadeapportersignalisation
B
IPv6(Signaling
? Gateway)
VoIP Core

autres systèmes
- Souples
- Systèmes : W
RTP» - Proxy: SIP IP / MPLS
C
- -«-SIP,
IP PBX Transport
Toaster
-Passerelle de média (Media Gateway):
-SBC
(T)FTP
- Mises à- jour / patches d’appels (Call Manager)/IPPBX
Gestionnaire
- CRL -conversion
- Firewall audio
- Intelligence PBX CPE
- etc.
Softswitch
- Filtrage « Non-stateful »
- Gestion des utilisateurs et reporting
H.323/MGCP/RTP
- FFiltrage
(HTTP, etc)« Stateful »
W
MGW MGW - Filtrage applicatif
- Recherche des chemins parpar
couches
IP
(Application
- GK (GateKeeper) : H.323 Layer Gateway filtering
- Serveur -ALGs)
d’authentification (Radius)
- Serveur - SNAT
de / « firewallSIP/RTP
facturation piercing »
(CDR/billing) Carrier
TDM / PSTN B
C
- Serveurs DNS, TFTP, DHCP
Internet
H.323/RTP
MGW Carrier
 Architecture: SBC
Atelier e-sécurité

• Quel est le rôle d'un SBC ?

− SBC : Session Border Controllers.
− Elément clé pour déploiement de softswitch:
− Solutions intégrées de sécurité.
• Terminal client IP généralement protégé par un pare-feu et
bénéficie d’une adresse IP privée.
• permet de traverser la protection du firewall et les équipements
NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et
de la signalisation)
• permet de protéger le softswitch :
− des « signalling overloads »,
− d’attaques en denis de service
− et d’autres attaques rendues possibles en utilisant IP
 Architecture: SBC
Atelier e-sécurité

• SBC:
− Autres fonctionnalités:
• Convertir la signalisation
• Convertir le flux multimédia (CODEC)
• Autoriser RTP de manière dynamique
• Localisation:
− Il peut être localisé à différents endroits
• client/opérateur,
• au sein du réseau client,
• à l'interface entre deux opérateurs (Peering VoIP)
 Enjeux de la sécurité
Atelier e-sécurité

• Les Firewalls
− Le rôle du firewall
− Les spécificités de la VOIP :
• la problématique des ports dynamiques,
• les protocoles parapluie...
− La translation d'adresse (NAT)
− Le problème de l'adressage IP :
• adressage privé,
• adressage public,
• évolution IPv6…
 Enjeux de la sécurité
Atelier e-sécurité

• Les Firewalls
− NAT et Firewall :
• les impacts sur la QoS.
• Les compromis Qualité de Service vs
Sécurité.
 Vulnérabilité technologique
Atelier e-sécurité

• Généralités
• Vulnérabilité protocolaire
• Vulnérabilité architecturale
• Exemples
 Généralités
Atelier e-sécurité

• VoIP/ToIP n’est pas équivalente à la

téléphonie classique
− Signalisation/contrôle et transport de la voix
sur le même réseau IP
− Perte de la localisation géographique de
l'appelant
 Généralités
Atelier e-sécurité

• Stratégie de sécurité différente de celle à

laquelle les utilisateurs étaient habitués:
− Fiabilité du système téléphonique
• Combien de pannes de téléphone vs pannes
informatique?
− Confidentialité des appels téléphoniques
− Invulnérabilité du système téléphonique
• Devenu un système susceptible d'intrusions, vers,
etc
 Vulnérabilité protocolaire
Atelier e-sécurité

• Risque semblables à ceux des réseaux IP:

− Intrusion,
− écoute,
− usurpation d'identité,
− rejeu,
− dénis de service,
− etc.
mais
• Ce n’est pas juste « une application IP en plus »
 Vulnérabilité protocolaire
Atelier e-sécurité

• VoIP n’est pas juste « une application IP en plus »,

car:
− Pas d'authentification mutuelle entre les parties,
− Peu de contrôles d'intégrité des flux, pas ou peu de
chiffrement
• Risques d'interception et de routage des appels vers des numéros
surfacturés
• Falsification des messages d'affichage du numéro renvoyés à
l'appelant
− Attaques accessibles à tout informaticien et pas juste aux
spécialistes de téléphonie numérique
− Exemple: Terminaux très fragiles
 Vulnérabilité architecturale
Atelier e-sécurité

• Combinaison matériel+logiciel
(surtout des DSP):
− Softswitch:
• généralement dédié à la signalisation
− MGW (Media Gateway):
• RTP<->TDM,
• SS7oIP<->SS7
− IP-PBX:
• Softswitch+MGW
 Vulnérabilité architecturale
Atelier e-sécurité

• Systèmes d'exploitation
− OS temps réel (QNX/Neutrino, VxWorks, RTLinux)
− Windows
− Linux, Solaris
• Sécurisation par défaut souvent quasi
inexistante
• Gestion des mises à jour :
− Les OS sont rarement à jour
− Les mises-à-jour ne sont pas « autorisées »
 H323
Atelier e-sécurité

• Intrusion
− Filtrage quasi-impossible :
• multiplication des flux, des mécanismes d'établissement d'appel, de
extensions à la norme, et transmission des adresses IP au niveau
applicatif

• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Dénis de service:
− De par la conception du protocole, pas de détection des
boucles, signalisation non fiable, etc
 SIP
Atelier e-sécurité

• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Déni de service
 Autres
Atelier e-sécurité

• Skinny Client Control Protocol (Cisco) :

− Risques :
• Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service
• Multimedia Gateway Control Protocol (MGCP)
− Risques:
• Identiques aux autres en entreprise (pas d'expérience d'audit sécurité)
• Dépendants de la sécurité du boitier ADSL
• Moins de risques de surfacturation et de déni de service sur le serveur central
• GSM sur IP : nano BTS
− Risques :
• Surfacturation, Ecoute des communications
• Usurpation d'identité, Insertion et rejeu
• Déni de service
• GSM sur IP : UMA : Unlicensed Mobile Access
− Risques :
• Exposition du réseau opérateur sur Internet
• Déni de service
 Terminaux
Atelier e-sécurité

• Peu de sécurisation des terminaux, peu de fonctions de

sécurité
− Pas de 802.1X
• Exemple : test de téléphones VoIP (SIP) sur WiFi
− 15 Téléphones testé de 8 fournisseurs
• Cisco,
• Hitachi,
• Utstarcom,
• Senao,
• Zyxel,
• ACT,
• MPM,
• Clipcomm
 Terminaux
Atelier e-sécurité

• Exemple (Suite) : téléphones VoIP (SIP) sur WiFi

− Connexion interactive avec telnet ouverte
− SNMP read/write avec community name par défaut
− Ports de debogage VXworks ouverts en écoute sur le réseau WiFi
− Services echo et time ouverts
− Connexion interactive rlogin avec authentification basique
− Exemple Cisco 7920
• port 7785 Vxworks wdbrpc ouvert
• SNMP Read/Write
• Réponse de Cisco :
− les ports ne peuvent pas être désactivés, la communauté
− SNMP ne pas être changée :
 tout est codé en dur dans le téléphone...
 Infrastructure
Atelier e-sécurité

• Exemple : coupure de courant lors d’un

audit de sécurité (non VoIP)
− Coupure de courant :
• Téléphone branché sur le secteur (pas PoE, pas
secouru)
=> plus de téléphone
• Serveurs branchés sur le courant secouru mais
pas le commutateur devant
=> problème de commutateur
 Infrastructure
Atelier e-sécurité

• Exemple : coupure de courant lors d’un audit de

sécurité (suite)
− Retour du courant :
• Serveur de téléconfiguration des téléphones injoignable (DHCP,
BOOTP pour le firmware, etc.) car commutateur pas encore
redémarré
• Les téléphones ont redémarré plus vite que le commutateur et se
sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran
"Waiting for DHCP ..."
• Pour une raison inconnue, une fois le serveur de téléconfiguration à
nouveau joignable, les téléphones n'ont pas fonctionné
• Seule solution trouvée : débrancher/rebrancher chaque téléphone
un par un pour remise en service
 Attaques envisageables
Atelier e-sécurité

• Attaques : couches basses

• Attaques : implémentations
• Attaques : protocoles VoIP
• Attaques : téléphones
• Autres attaques
 Attaques : couches basses
Atelier e-sécurité

• Attaques physiques
− Systèmes d'écoute
Interception (MITM) :
• écoute passive ou modification de flux
− Discussion
− “Who talks with who”
 Sniffing du réseau
 Serveurs (SIP, CDR, etc)
 Attaques : couches basses
Atelier e-sécurité

• Attaques sur les couches basses : LAN

− Accès physique au LAN
− Attaques ARP :
• ARP spoofing,
Téléphone IP
• ARP cache
1 poisoning
Pirate
− Périphériques non authentifiés (téléphones et
serveurs)
− Différents
Téléphone IPniveaux :
LAN etc
2 MAC, utilisateur, port physique,
• adresse
 Attaques : implémentations
Atelier e-sécurité

• Interface d'administration HTTP, de

mise à jour TFTP, etc.
− Exploits
− Vols de session (XSS)
− Scripts / injections
• Piles TCP/IP
• Dénis de services (DoS)
• PROTOS
 Attaques : protocoles VoIP
Atelier e-sécurité

• Fraude: Spoofing SIP

− Call-ID Spoofing
− Appropriation des droits d’utilisateur sur le
serveur d’authentification
− Tags des champs From et To
− Replay
− Accès au voicemail
 Attaques : protocoles VoIP
Atelier e-sécurité

• DoS : Denial of service

− Au niveau:
• Réseau
• Protocole (SIP INVITE)
• Systèmes / Applications
• Téléphone
− Envois illégitimes de paquets SIP INVITE ou
BYE
− Modification « à la volée » des flux RTP
 Attaques : téléphone
Atelier e-sécurité

• (S)IP phone :
− Démarrage (Startup)
• DHCP, TFTP, etc.
− Accès à l’adresse physique
• Tables de configuration cachées
− Piles TCP/IP
− Configuration du constructeur
− Trojan horse/rootkit
 Attaques : autres
Atelier e-sécurité

• Protocoles secondaires:
− DNS : DNS ID spoofing ou DNS cache poisoning
− DHCP : DoS, MITM
− TFTP : upload d'une configuration (DoS, MITM...)
• Autres:
− L’élément humain
− Systèmes:
• La plupart ne sont as sécurisés par défaut
• Worms, exploits, Trojan horses
 Sécurité préventive
Atelier e-sécurité

• Quelle sécurité préventive?

• Sécurité indépendantes de la VoIP
• Sécurité propres à la VoIP / ToIP
• Calcul du ROI de la VoIP
 Quelle sécurité préventive?
Atelier e-sécurité

• Mesure de sécurité, ou protection

− Action
− Diminue le risque à un niveau acceptable
• Action préventive ISO 19011:2002
− Action visant à éliminer une situation indésirable
potentielle
− Agit en amont de l'incident
• Action corrective
− Action visant à éliminer une situation indésirable
détectée
− Agit en aval de l'incident
 Quelle sécurité préventive?
Atelier e-sécurité

• Actions préventives ?
• Donc réfléchir sans attendre l'incident !
− Identifier se qui compte pour le chef
d'entreprise
− Réaliser une analyse de risque sur ce qui
compte
− Appliquer des mesures de sécurité
• Avec un rapport qualité/prix réaliste
• Afin de réduire les risques à un niveau acceptable
 Sécurité indépendante VoIP
Atelier e-sécurité

• Sécurité dans le réseau IP

− Sécurité dans le réseau
− Liaison
• Cloisonnement des VLAN
• Filtrage des adresses MAC par port
• Protection contre les attaques ARP
− Réseau
• Contrôle d'accès par filtrage IP
• Authentification et chiffrement avec IPsec
− Transport
• Authentification et chiffrement SSL/TLS
 Sécurité indépendante VoIP
Atelier e-sécurité

• Filtrage IP : firewall
− Contrôle d'accès réseau
− Proactif :
• le paquet passe ou le paquet est bloqué
− Application de la politique de sécurité de
l'organisme
 Sécurité indépendante VoIP
Atelier e-sécurité

• Détection d'intrusion (NIDS)

− Passif :
• le paquet est passé mais finalement il n'aurait pas
du, il est malveillant
− Faux positifs :
• un paquet vu comme malveillant qui est tout à
fait légitime
− Faux négatif :
• un paquet vu comme légitime qui est malveillant
 Sécurité indépendante VoIP
Atelier e-sécurité

• Prévention d'intrusion (NIPS)

− Combiner l'analyse approfondie de la
détection d'intrusion avec la capacité de
bloquer du firewall
− Actif : certains paquets sont passés, mais
pas les suivants :
• Limitation de bande passante
• TCP Reset / ICMP Unreachable
− Toujours des risques de faux positifs / faux
négatifs
 Sécurité propre à la VoIP
Atelier e-sécurité

• Solutions:
− SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
• Limitations:
− Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session en
cours de communication
− Mise en oeuvre de la sécurité
=>
perte des possibilité d'interopérabilités entre
fournisseurs
 Calcul du ROI
Atelier e-sécurité

• VoIP: Pas de service en plus

− Mettre à jour son PABX apporte les mêmes
service avec ou sans VoIP
− Les service disponibles en VoIP le sont aussi
en téléphonie classique
− Aucun calcul de ROI ne peut se justifier par
la disponibilité de nouveaux services
• Intégrer les coûts de la VoIP
 ROI : coût du VoIP
Atelier e-sécurité

• Intégrer les coûts de la VoIP

− Coûts de câblage
• Poste téléphonique IP =>prise ethernet supplémentaire
• Difficultés avec le PC connecté sur le téléphone et le téléphone dans
la prise Ethernet du PC
• Nécessité des VLANs, avant considérations de sécurité
• Informations indispensable au service téléphonique ;
N° pièce, n° prise associée à chaque n° de téléphone:
− N° de téléphone, @MAC, @IP et n° de prise Ethernet liés
• Câblage rapide des prises spécifiques avec le courant électrique sur
le cable Ethernet (PoE)
− Onduleurs supplémentaires et spécifiques
=> VoIP/ToIP impose des coûts de câblage élevés
 ROI : coût du VoIP
Atelier e-sécurité

• Intégrer les coûts de la VoIP

− Services du réseau informatique deviennent des
services critiques
• DHCP
• DNS
• Commutateurs
• ...
− Obligation d’inclure les coûts de mise en oeuvre
de la haute-disponibilité
− Coûts d'exploitation au quotidien bien plus
élevés 24/7, etc
 ROI : dégradation du service
Atelier e-sécurité

• Intégrer la dégradation du service due à la VoIP:

− Taux d'indisponibilité téléphonie classique : 5 à 6
minutes d'interruption par an, 99,99886 %
− Taux de disponibilité téléphonie sur IP : ??
• Pas de téléphone pendant plusieurs jours...
− Support téléphonique hors-service
• Situations antagonistes : réseau en panne => téléphone en panne
• Téléphone : principal système d'appel au secours pour la sécurité
des personnes
 ROI : autres facteurs
Atelier e-sécurité

• Valider au préalable la réalité des

fonctionnalités :
− Fonctionnalités  prix du Poste entrée de gamme
− Fonctionnalités de sécurité imposant un changement
de tous les postes téléphoniques
• Valider au préalable la robustesse de tous
les équipements choisis
• Analyser les risques
− Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?
 Recommandations
Atelier e-sécurité

• Actuellement, voix sur IP  danger

• Mécanismes de détection
• Sécurisation des couches basses
− Utilisation de TLS pour la signalisation SIP
• Identification des clients et du serveur
− Protocole de gestion de clefs VoIP : MiKEY
• Encapsulé dans SIP
− PSK (Pre-shared key), Diffie-hellman, PKI
 Recommandations
Atelier e-sécurité

• Couche réseau:
− QoS [LLQ] (and rate-limit)
− Firewall: application level filtering
• Téléphones IP certifiés par leurs producteurs
• Sécurisation des couches hautes
− Utilisation de SRTP/SRTCP
− Sécurisation des échanges DNS : DNSSec
− Utilisation de tunnels IPSec en remplacement des
solutions précédentes
• Projet 3P: project, security processes and policies
 Perspectives
Atelier e-sécurité

• VoWLAN
− Utilisation de PDA / Laptop : téléphonie
mobile
− Problèmes classiques du WiFi
− Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP)
− Choix judicieux des CODECs (PCM, GSM...)
 Recommandations
Atelier e-sécurité

• Exemple de solution sécurisée :

 Recommandations
Atelier e-sécurité

• Limites:
− QoS, bande-passante...
− Qualité de la voix : choix important des CODECs
• Temps d'établissement
• Compromis utilisation / complexité
− IPsec parfois trop lourd :
• restriction possible aux protocoles utilisés
− Ne pas se limiter aux protocoles VoIP, au réseau:
• clients (UA), serveurs (soft switch, call manager, DHCP/TFTP),
détection de fraude, etc.
− Ni aux aspects techniques:
• ingénierie, opérations, support, etc, comment les répartir?
 Recommandations
Atelier e-sécurité

• Téléphonie & DSI:

− Téléphonie doit entrer suivre la Direction des
Systèmes d'Information (DSI)
− Ne peut rester aux services administratifs
− Téléphonistes doivent intégrer la DSI
− Leurs compétences en téléphonie sont
indispensables au déploiement de la VoIP
• VoIP / ToIP = intérêt futur proche des
fournisseurs :
− Passage à la VoIP se fera un jour de gré ou de force
 Conclusion
Atelier e-sécurité

• VoIP :
− Technologie encore jeune
− Étude fine des solutions précède déploiement
− Désormais accessible aux particuliers (Skype..)

• Sécurité au coeur de la problématique

− La VoIP / ToIP relance l'insécurité
− Sécurité au niveau réseau
− Réponse partielle mais nécessaire
− Difficile à mettre en oeuvre
− Mécanismes de sécurité propriétaires proposés par les constructeurs :
• Seule réponse satisfaisante en matière de sécurité
• Très rarement mis en oeuvre

• ROI négligé