Vous êtes sur la page 1sur 14

DOSSIER

CDrIC BAILLet

scurisation
d'une solution de tlphonie
La scurit des solutions de tlphonie sur IP est souvent aborde au travers des solutions libres, notamment Asterisk et ses drivs, ou encore en voquant les scripts permettant de jouer avec les protocoles de signalisation ou mdia.

Degr de difficult

i cette approche permet de faire vivre le sujet et de mettre en vidence les faiblesses des standards, elle ne permet pas de prendre connaissance des lments mis en uvre dans les environnements professionnels. Il me parat important aujourd'hui d'avoir une vision claire de ces lments pour deux raisons : Il s'agit de systmes que vous pouvez utiliser tous les jours si votre entreprise a ralise la bascule vers la ToIP, Bien que souvent propritaire, les mesures prises par les constructeurs apportent une scurit intressante et peuvent parfois faire voluer les standards. Je me propose donc aujourd'hui de vous dcrire les possibilits prsentes dans la solution de ToIP du constructeur Alcatel Lucent. Cette solution est trs fortement implante Europe et continuer se diffuser, il est donc probable que vous soyez amens la croiser un jour.

Le choix d'une solution traditionnelle, mixte ou exclusivement IP dpend des objectifs, de l'organisation, des projets convergents voix/ donnes ou encore du retour sur investissement attendu. Cette offre comprend notamment: des terminaux numriques et des fonctions pour oprateur, une application de messagerie vocale intgre, de la tlphonie de groupe, des fonctions patron/secrtaire, de la tlphonie PC, etc., le tout conu pour amliorer la productivit gnrale des entreprises. Les solutions de communication d'entreprise du serveur OXE sont assimiles des blocs constituant un modle de communications ouvert comme on peut le dcouvrir en Figure 1. Voici la liste des principaux lments: Le serveur OXE, qui comprend une plateforme de traitement et un logiciel de serveur de communication Un ensemble de passerelles multimdias Un ensemble de clients IP: postes tlphoniques, quipements, logiciels de bureau, fixes et mobiles Un ensemble de clients numriques: terminaux, appareils, logiciels de bureau, fixes ou/et mobiles

Cet artiCle explique...


Les moyens mis en uvre par l'diteur Alcatel-lucent pour scuriser sa solution de communication sur IP.

Ce qu'il faut savoir...


Des connaissances de base sur les problmatiques suivantes aideront une bonne comprhension du contenu: tlphonie sur IP, technologies rseau de niveau 2 et 3 et le systme 10 HAKIN9 4/2009

prsentation de la solution de toip

On commence par la prsentation du serveur de communication. Le serveur OXE, bas sur une architecture client-serveur, s'adresse aux moyennes et grandes entreprises dotes de configurations IP ou mixtes (IP/TDM).

Tous ces lments peuvent fonctionner indpendamment du rseau de donnes sousjacent.

Tlphonie sur ip

Tableau 1. Comptes implments dans l'OXE Compte Root Swinst Mtcl Client Bin Daemon Ftp Httpd Nobody PPP Adfexc Fonction Compte administrateur Installation du logiciel Maintenance client hors site Maintenance rserve l'utilisateur Propritaire de plusieurs binaires Propritaire de /var/spool/at Accs ftp anonyme Propritaire Http Propritaire de TFTP daemon Configuration de liaison IP sur V24 Tlchargement des enregistrements des donnes des appels de 4670 Connexion Oui Oui Oui Oui Non Non Non Non Non Non Non Non Non Oui Non Non Oui Oui FTp Non Oui Oui

Le serveur OXE peut s'excuter sur diffrentes plates-formes matrielles : IP Rack Server (IP RS) : serveur de communication : Install au sein d'un chssis de module ddi Alcatel-Lucent rack 1 et connect au rseau de donnes ou des passerelles multimdias via une liaison Ethernet. Idal pour les configurations IP comptant un maximum de 1000 utilisateurs. Hberg sur une plate-forme de Media Gateway module AlcatelLucent rack 3cavec d'autres cartes de ressource et d'interface pour les configurations de type tout en un. Idal pour les configurations comptant un maximum de 350 utilisateurs (IP et TDM). IP Crystal Server (IP CS): cartes CPU7-2 installes dans une alvole Crystal. Idal pour les configurations traditionnelles avec un nombre d'utilisateurs allant gnralement de 250 5000. IP Appliance Server (IP AS): fonctionne sur une plate-forme matrielle standard et est connect au systme via une liaison Ethernet. Ce serveur est utilis pour les installations IP volues, et configur et livr par Alcatel-Lucent. C'est la solution idale pour les configurations les plus importantes.

la mdia gateway
Les IP Media Gateways grent les accs et les interfaces d'une solution client. Elles sont contrles par le serveur OXE via une connexion IP. La media gateway fournit les lments suivants : Connexion un rseau externe (public ou priv) : RNIS T0, RNIS E1-CCS (T2), E1-CAS, T1 CCS (PRI), T1 CAS, rseaux analogiques DDI / DID ou NDDI / Non-DID. Connexion des tlphones numriques TDM, postes d'oprateurs (interfaces UA) Connexion des quipements analogiques: tlcopieurs, etc. (interfaces z-analogiques)

Connexion de stations de base DECT Connectivit IP Canaux de compression vocale : G.711, G.723, G.729A Connexion des ressources DSP pour services multimdias : guides vocaux, confrence, etc.

Une media gateway est connecte au ser veur de communication par le biais d'une liaison Ethernet. Le serveur Oxe peut tre mis en uvre de trois faon diffrente expos dans la Figure 3. Les limites de la solution : le nombre d'utilisateurs par OXE est de 15 000 avec un maximum de 15 000 postes IP,

L'ensemble de cet article fera dsormais rfrence la plateforme matriel IP Appliance Server.

Figure 1. Un modle de communication ouvert


4/2009 HAKIN9 11

DOSSIER
Tableau 2. Politique de scurit pour les mots de passe nombre de tentatives de connexion Dure de vie minimale Dure de vie maximale Message d'avertissement Nombre minimum de caractres Dfini dans la configuration systme 10 jours De 11 365 jours 5 jours avant (pour chaque connexion) Le nouveau mot de passe doit contenir au moins huit caractres. Les lettres majuscules/minuscules, les chiffres et les symboles de ponctuation sont admis. Le nouveau mot de passe doit otre diffrent des trois prcdents mots de passe tablis pour le compte. continuellement mis jour; il peut faire office de serveur principal tout moment. Avec le mcanisme de redondance du serveur OXE, toutes les donnes, bases de donnes, applications et logiciels de communication sont excuts en parallle sur les deux serveurs de communication. Le passage de l'un l'autre est par consquent fiable. sont rompues ou si les serveurs de communication sont hors service, le traitement des appels se poursuit en local. Utilisations de serveurs PCS : Cration d'un troisime serveur de communication de secours pour une meilleure disponibilit du systme. En conditions normales : les serveurs de communication contrlent les appels au sein du rseau, les tlphones IP et / ou Media Gateways d'une rgion sont dfinis pour les serveurs, la synchronisation automatique ou manuelle de la rgion est effectue sur les PCS de manire globale ou individuelle.

Comparaison entre l'ancien et le nouveau mot de passe

le nombre de Media Gateways est de 240 par serveur de communication, le nombre de serveurs de communication passifs est de 240 par serveur de communication, le nombre d'utilisateurs et de surveillance CSTA est de 20 000 par serveur de communication, le nombre d'entits est de 4 000 par nud ou sous-rseau ABC, le nombre de lignes rseau est de 5 000 par serveur de communication, le nombre de faisceaux est de 500 par serveur de communication, le nombre de lignes rseau T0 est de 1 000 par serveur de communication, le nombre d'intervalles de traducteurs SDA est de 2 000, le nombre de tables de commande de numrotation est de 1 000, le nombre de mini-messages est de 32 000, le nombre de descripteurs de plan de numrotation est de 100, le nombre d'apparences multilignes est de 2 000.

En cas de perte de liaison avec le serveur de communication : les services de tlphonie sont redmarrs localement, les services centraliss tels que la messagerie vocale ne sont plus disponibles, toutes les fonctions autonomes dfinies dans le traitement actif des appels sont maintenues par le serveur PCS, notamment les centres de contacts OmniTouch,

le serveur pCs (passive Communication server)


Le serveur de communication passive (PCS) fournit des services de traitement d'appel une Media Gateway ou un groupe de Media Gateways en cas d'indisponibilit du serveur OXE. Si les liaisons IP avec le site qui hberge les serveurs de communication

la redondance spatiale
Le serveur OXE offre un mcanisme de redondance pour les applications critiques qui exigent une fiabilit importante. La fonction de redondance du serveur permet de passer d'un serveur de son serveur miroir via une liaison IP. Dans ce type de configuration, deux serveurs coexistent dans le mme systme. L'un est actif, c'est le serveur principal. L'autre est constamment de surveillance en mode veille. En cas de dfaillance du serveur principal, le second serveur prend automatiquement le relais. Le serveur de de secours (en veille) est
12 HAKIN9 4/2009

Figure 2. Les plateformes possibles pour l'OXE

Tlphonie sur ip
les justificatifs des dtails d'appel, les performances et les tickets VoIP QoS sont enregistrs dans le serveur PCS. rseau public. Les numros internes composs sont traduits automatiquement en numros publics. Ce mcanisme peut galement servir lorsque le contrle d'admission des appels du site distant est atteint. permettant de rsoudre rapidement les problmes de scurit. Le serveur OXE a t renforc pour rsister aux attaques de flood. Un mcanisme de dfense interne permet la rservation dun temps de traitement minimum du processeur ddi la gestion des communications.

En service normal, le serveur PCS peut tre relanc manuellement. Au redmarrage : les tlphones IP et les Media Gateways sont redmarrs et recontrls par le serveur de communication du rseau, les justificatifs des dtails d'appel, les performances et les tickets VoIP QoS sont stocks par l'application de gestion du rseau (4760).

la scurisation native de l'oxe

signalisation de secours pour les Media Gateways


Si la liaison IP entre le serveur de communication et une passerelle IP Media Gateway de matriel traditionnel est perdue, une liaison de signalisation de secours est utilise pour rtablir la voie de signalisation sur le rseau RTC. Ce service permet d'assurer la continuit des services tlphoniques sur les sites distants. Pendant la connexion avec le service de secours, l'utilisateur peut appeler et recevoir des appels sur la connexion rseau RTC locale et les appels Voix sur IP entre le site distant et tous les autres sites peuvent tre redirigs par le biais du rseau public. Un dialogue est tabli entre le serveur de communication et chaque Media Gateway afin de surveiller les liaisons. Une interruption de cette bote de dialogue informe le serveur OXE qu'une dfaillance s'est produite. Le serveur OXE tente alors d'entrer en communication avec la passerelle multimdia distante sur le RTC (par l'intermdiaire de modems internes GD). Pendant ce temps, la Media Gateway distante redmarre. En mode de secours, la Media Gateway interroge priodiquement le rseau IP. Lorsque la connexion au rseau IP est rtablie, la Media Gateway fait basculer la signalisation du serveur de communication sur la liaison normale. Tous les appels sont maintenus pendant la priode o la signalisation du rseau IP normal est en cours de rtablissement. En outre, lorsque le rseau IP est indisponible, les communications vocales intersites peuvent tre tablies via le

On commence par un systme d`exploitation bas sur Linux. L'OXE utilise un systme d'exploitation bas sur Linux scuris par Alcatel pour n'avoir maintenir que les programmes ncessaires. La taille du kit logiciel obtenu passe ainsi 50 Mo, au lieu des 700 Mo du kit de la version destine au public. Ainsi, les lments prsents ci-dessous que l'on trouve gnralement sur les distriburions compltes ont t suprims : aucune interface graphique comme KDE, X11, Gnome, etc., aucun partage rseau comme un partage via NFS ou Samba,

scurisation des changes


Si cette option est slectionne au moment de l'installation initiale, les changes effectus entre les machines du rseau peuvent tre chiffrs l'aide du protocole SSH. La transmission via SSH offre l'avantage de chiffrer les donnes l'initialisation. Les mots de passe ne sont donc pas transmis sur le rseau en clair. Lorsque le protocole SSH est activ, les changes sont chiffrs entre les lments suivants : les OXE sur un rseau ABC, les OXE et les stations de gestion de type 4760.

Le systme d'exploitation Linux offre un niveau de scurit natif intressant et fournit les avantages du libre et de la communaut, savoir: source totalement ouverte pour le noyau et les utilitaires des applications venir, trs grande base de donnes mondiale d'utilisateurs permettant d'identifier les problmes de scurit, vaste communaut de dveloppeurs

Pour que le chiffrement des flux d'administration des CLI (Command Line Interface) soient chiffrs convenablement via le protocole SSH, il sera ncessaire d'activer ce dernier sur tous les nuds du rseau ABC. De plus les stations d'administration susceptibles de se connecter l'OXE devront tre capable de prendre ce protocole en charge.

Figure 3. IP Media Gateway


4/2009 HAKIN9 13

DOSSIER
Un environnement convenablement scuris permettra de prendre en charge les commandes suivantes :
ssh (secured shell) remplace telnet ssh (secured shell) remplace rsh scp (secured copy) remplace rcp sftp (secured file transfer protocol) remplace ftp (file transfer protocol) (remote copy) (remote shell)

Root super-utilisateur avec une connexion directe au port de la console, FTP non valide, Swinst assistant d'installation de logiciel avec une connexion et FTP valide, Mtcl maintenance hors site pour les utilisateurs avec des droits restreints, connexion et FTP, Client utilisateur pour une maintenance slective. Ce compte est cr uniquement sur demande.

serveur d'authentification
L'OXE supporte l'authentification via un serveur d'authentification RADIUS pour les utilisateurs dfinis suivants: root, mtcl, swinst, adfexc, client. Le mcanisme d'authentification RADIUS est disponible pour : les applications Web (notamment l'outil d'administration Web), les modules additionnels Outlook/ Lotus Notes, l'application 4980 Softphone, l'application 4760.

Enfin, les changes applicatifs entre un poste client et l'OXE via une interface Web seront scuriss via l'utilisation du protocole SSL. Je profite de cette remarque pour prciser que le serveur web utilis est un serveur de type APACHE version 1.3.31.

utilisateurs et mot de passe par dfaut


Certains comptes inutiles ou redondants proposs dans des versions obsolte de l'OXE (la version R9 est sortie cet automne) ont t supprims dans le souci de limiter la surface d'exposition pouvant tre exploite. La liste des comptes comprend mtcl, adm, halt, sync, shutdown, client et install. Ainsi, seuls onze comptes ont t maintenus. Les services FTP et de connexion sont dsactivs sur les comptes pour lesquels ils ne sont pas ncessaires. Les quatre principaux types de comptes sont :

Pour voir plus de dtails, veuillez consulter le Tableau 1. Lors de l'installation initiale, si le niveau de scurit slectionn est suffisant, une dure de validit est dfinie pour chaque mot de passe. Cette dernire aura une dure minimale de dix jours. Cinq jours avant la date d'expiration, un message d'avertissement est gnr par le systme pour chaque compte connect. La limite de validit dans le temps d'un mot de passe peut tre dsactive, ce qui offre ainsi la possibilit de basculer dans un mode illimit (Tableau 1). Pour finir, le systme vrifie les tentatives de connexions infructueuses. Lorsque le nombre maximal d'checs de connexion (dfini dans la configuration) est atteint, un incident est gnr. Et l'administrateur est inform qu'il se passe quelque chose d'anormal (potentiellement une attaque).

Pour permettre la prise en charge des identifiants de connexion d'entreprise, le menu Swinst propose une interface qui permet de dclarer ces donnes avec le profil du systme associ. Lorsqu'un utilisateur tente de se connecter un serveur OXE avec ses propres identifiants d'entreprise au lieu des identifiants de connexion au systme (root, mtcl, swinst, etc.) : les services (SSH, Telnet, Ftp, etc) vrifient si l'utilisateur figure dans la base de donnes locale des utilisateurs du systme, la demande d'authentification est transmise au serveur RADIUS, l'utilisateur reoit le droit d'ouvrir une session, le serveur RADIUS enregistre l'heure de fermeture de la session ( des fins de facturation ou de statistiques).

les htes de confiances


Les systmes Linux comprennent un fichier /etc/hosts.equiv qui rpertorie les autres systmes informatiques (Htes) relis au rseau. Les adresses IP contenues dans ce fichier sont considres comme fiables ; il s'agit du fichier htes de confiance. Les systmes rpertoris dans le fichier sont les seuls tre considrs comme fiables pour accder au serveur de communication. Par dfaut, cette fonction de scurit refuse l'accs depuis toutes les autres adresses IP. Afin d'amliorer le systme de scurit, les connexions Ethernet sont traites diffremment des connexions PPP et SLIP sur l'interface EIA (RS232).

Figure 4. Architecture globale avec PCS inclus


14 HAKIN9 4/2009

Tlphonie sur ip
Les htes de confiance incluent les postes IP, les Media Gateways et la gestion des postes. Il est possible d'intgrer la liste des adresses IP (pour les postes IP dans le fichier Htes de confiance). Un rappel du travailleur distant est galement possible.

Gestion des attaques de type Dos


Des fonctions permettant de rduire au maximum les effets dattaques de type dnis de service ont t directement intgrs linstar du travail effectu sur le firmware des IP Phones : limitation du trafic de type broadcast 300 pps. Tout le trafic en excdent est supprim, rejet de paquets pouvant tre identifis comme du trafic IP fragment.

Gestion des connexions distance: rnis


Avec une telle configuration, un travailleur distant peut atteindre directement le serveur de communication par l'intermdiaire d'une connexion RNIS. Ce type d'accs est principalement utilis pour des oprations de maintenance distance. L'OXE contrle la ligne par l'intermdiaire de la fonction CLIP (identification de la ligne appelante) envoye par le rseau commut public. Le travailleur distant envoie une identification de la ligne de l'appelant lors d'une demande de connexion. Si l'identification de la ligne de l'appelant correspond celle configure dans l'OXE, l'appel est accept. Si l'identification de la ligne de l'appelant est inconnue, l'appel est refus et le systme gnre une alarme.

le wrapper TCp
La fonction de Wrapper TCP fournit un service de filtre pour les serveurs Linux ou Unix. Lorsqu'un ordinateur Linux non protg est connect au rseau, le systme informatique est expos aux autres utilisateurs du mme rseau. Un pirate peut russir dtecter les utilisateurs connects un serveur spcifique et peuvent dterminer l'identit de chaque poste. Il peut savoir quel moment le poste est au repos et accder au contenu du systme. La fonction Wrapper TCP peut faire office de passerelle filtrante afin d'viter tout accs indsirable. Le Wrapper TCP intercepte et filtre toutes les demandes provenant du rseau Ethernet. Par exemple, si un ordinateur extrieur tente d'utiliser le service FTP, le Wrapper TCP vrifie si cet ordinateur dispose des droits ncessaires aux transferts de fichiers. En fonction du type d'autorisation, l'accs est refus ou approuv. L'intgration du Wrapper TCP l'offre accrot le niveau de scurit en contrlant l'accs Internet pour de nombreux services IP (FTP, telnet, shell, connexion et TFTP) qui sont lis au serveur de communication. Le client doit dfinir quelles sont les applications IP autorises pour chaque adresse IP de la liste des htes de confiance.

Laccs la console de la media gateway via le monde IP est uniquement rserv l'OXE. Tout accs venant dune autre source sera refus.

sparation des mondes TDM et ip


Le micro kernel linux utilis par AlcatelLucent dans ses media gateways offre un lien unique entre le monde TDM et IP qui a aussi t conu pour servir de barrire entre les deux mondes pour tout ce qui ne concerne pas directement la voix. On notera par ailleurs que la media gateway ne travaille pas comme un lment actif sur la solution de tlphonie, mais se contente de transfrer au serveur OXE ou aux lments actifs sur le rseau TDM la signalisation et le flux media. Cest pourquoi, les fonctions de routage IP, de

la scurisation des ip Media Gateways


Le firmware embarqu dans les media gateways est un micro kernel Linux compos uniquement des fonctions ncessaires au bon fonctionnement de la solution. Il ne sagit en aucun cas dun OS traditionnel avec les vulnrabilits inhrentes ces derniers.

Gestion des connexions distance: rTC


Dans un environnement RTC, la solution RMA (Remote Maintenance Access) fournit un niveau de scurit lev pour le terminal de gestion distance un emplacement prdtermin. Le dispositif RMA vrifie l'identit de l'administrateur distant au moyen d'un nom de connexion et d'un mot de passe, suivis d'un rappel. Lorsque le travailleur distance est connect au RMA, les nom de connexion et mot de passe sont de nouveau requis. La scurit est garantie par cette double demande de nom de connexion / mot de passe.

Figure 5. Signalisation de secours des media gateways


4/2009 HAKIN9 15

DOSSIER
redirection de trafic IP ou de redirection ICMP ne sont pas implmentes, car inutiles pour les fonctions retenues. On notera par ailleurs qu'il na t implment aucun service permettant dautoriser un accs depuis les ressources TDM (ISDN, PSTN, etc ) vers les ressources IP. Les fonctions IP sont compltement isoles des trafics voix et signalisation. Les seuls services supports utilisant les technologies TDM et IP sont les suivantes : Cration dun tunnel vers le serveur OXE pour le trafic de signalisation (ISDN, CAS, etc ) permettant la gestion des diffrents appels. Tous les paquets ntant pas en stricte concordance avec cette rgle seront supprims. Le flux voix est encapsul dans des trames RTP pour tre transport par le rseau IP. Les destination des ces flux RTP sont sous contrle de l'OXE et seuls les priphriques enregistrs sur ce dernier pourront recevoir ce flux. Les interfaces publiques ou prives (PRA) de la Media Gateway sont seulement capables de traiter la signalisation et de transfrer le flux voix vers les fonctions interne de la Media Gateway le retraitant. Les ressources ToIP de la Media Gateway sont seulement capables dadresser les protocoles de signalisations (H323, H245, H225, SIP, RAS, etc ) supports par la solution OXE et de transfrer les flux voix vers le LAN (respectivement de les recevoir). est ngatif, le binaire est ignor et la mdia gateway redmarre sur lancienne version. Attention cependant, cette fonctionnalit ne sera disponible dans la solution que si cette dernire a t implmente avec un module SSM. Loption pc port security nest pas active (comportement par dfaut), lensemble du trafic est transfr vers et depuis le port pc de faon transparente. Loption pc port security est bloque: tout le trafic rseau de ce port est bloqu. Le mode filter vlan est retenu: le tlphone IP remplace tous les tag 802.1q des trames provenant du PC au profit du vlan ID 0. Le PC ne peut plus alors accder au VLAN voix, bloquant ainsi toutes possibilits dintrusion ou dinterruption de service par ce biais.

la scurisation des ip phones

Il existe plusieurs types de scurisation des IP Phones.

le contrle des VlAn


Le paramtre strict vlan permet de filtrer les trames entrantes. Il sera activ ds quun VLAN est configur sur les tlphones IP (soit au travers de lAVA, soit de faon manuelle). Si le paramtre strict vlan est activ, le tlphone rejettera les trames arrivant avec un mauvais tag (pas de VLAN ou un numro de VLAN diffrent). Dans le cas ou le tlphone nutiliserait pas loption strict vlan, toutes les trames marques seront rejetes.

Ces lments de configuration ne sont pas accessibles depuis les menus de configurations des tlphones.

Cration d'une relation de confiance entre un ip phone et son oXe


Trois mcanismes ont t implments pour amliorer le niveau de confiance entre tlphones IP et serveurs dappel : Vrification de la requte TFTP : Lors de la phase dinitialisation, la premire action ralise par un tlphone IP est denvoyer une requte au serveur TFTP contenant son adresse MAC. Le mcanisme prsent au niveau

la gestion du port pC
Les tlphones IP ont deux ports ethernet, lun dentre eux tant destin accueillir un poste de travail. Le serveur dappel possde plusieurs options permettant de le contrler :

signature des binaires


La release 8.0 de lOXE a intgr un nouveau mcanisme au sein des media gateways permettant de valider la signature et lintgrit des fichiers binaires reus du serveur TFTP lors de la phase de dmarrage avant leur prise en compte par le systme. Ainsi, lorsquun nouveau binaire est dvelopp par Alcatel Lucent, il est sign laide de la cl priv Alcatel Lucent. A la rception de ce nouveau binaire, la media gateway va vrifier lintgrit du fichier laide de la cl publique dAlcatel Lucent (SHA1 et ECC 384 b). Si le contrle
16 HAKIN9 4/2009

Figure 6. Architecture de l'authentification 802.1X

DOSSIER
du serveur dappel va vrifier si cette MAC adresse est dj connue du systme et en cours dutilisation par le protocole de signalisation. Dans le cas ou ladresse MAC serait connue et en cours dutilisation, il est fort probable quil sagit dune attaque ou un pirate cherche usurper lidentit dun tlphone existant sur le systme. Le serveur dappel rejettera alors la requte TFTP. Vrification des messages de connexion : Lors de la phase dinitialisation, un tlphone IP va recevoir un message de connexion en provenance du serveur dappel visant tablir la communication. Il est vital dviter une attaque de type MITM ce moment pour viter que le tlphone soit contrl par un serveur pirate. Pour protger le tlphone, ladresse source du message de connexion est compare ladresse relle du serveur dappel (identifie grce au fichier de configuration). Si la comparaison est ngative le paquet sera refus par le tlphone. Protection contre le MAC spoofing : il sagit ici dun contrle additionnel effectu sur le serveur dappel. Lors de linitialisation dun tlphone, le serveur dappel demande ladresse MAC au travers dun message spcifique. La rponse du tlphone est compare ladresse prcdemment identifie (via le message startnoe). Si la comparaison est ngative, une demande de r initialisation du tlphone est envoye par le serveur dappel.

Figure 7. Automatic VLAN Assignment de contrler la validit de linformation qui lui est envoye pour diffrentier le bon grain de livraie. ARP cache poisonning (injection de paquet detype gratuitous ARP) : dans ce cas de figure, un tlphone IP reoit une rponse de type de type ARP reply sans avoir envoy de ARP request. Si aucun mcanisme de protection nest prsent, le tlphone mettra son cache ARP jour avec les informations reues et sera donc empoisonn permettant la redirection du trafic vers un poste tierce. Les protections mise en place au sein mme du firmware des IP Phones rpondent ces deux problmatiques : La fonction anti ARP spoofing : les tlphones IP sont capables de dtecter la prsence de rponses ARP multiples pouvant mettre en vidence une attaque. Une fois la dtection ralise, un log contenant les informations caractrisant lattaque ( savoir adresse MAC, adresse IP et heure) est envoy au serveur dappel et peut ventuellement tre relay vers

Gestion des attaques dtournant le protocole Arp


Un tlphone IP peut tre attaqu au travers de deux axes principaux : ARP Spoofing (falsification de la rponse ARP aprs une requte ARP du tlphone) : ce type dattaque se produit aprs une requte ARP du tlphone en envoyant une rponse ayant des informations visant rediriger le trafic vers une destination diffrente. Le tlphone nayant pas dentre dans son cache ARP au moment de la requte, il na pas moyen
HAKIN9 4/2009

Figure 8. Intgration des modules SSM et MSM

18

Tlphonie sur ip
une plateforme de supervision au travers de traps SNMP. La fonction anti ARP cache poisonning : les tlphones IP ne raliseront des mises jour du cache ARP qu partir de paquets ARP Reply clairement demands (ce qui nest pas le cas des paquets gratuitous ARP). Les paquets gratuitous ARP seront ignors, liminant ainsi les risques de succs de ce type dattaque. amont. Eventuellement, une temporisation peut expirer ou le tlphone IP tre dconnect, ramenant la porte en position OFF. Cette authentification intervient avant tout autre change. L'architecture 802.1x comprend trois composants cls : le systme authentifier (demandeur), tel qu'un poste IP Touch, le serveur d'authentification (serveur) : un serveur d'authentification, d'autorisation et de taxation (AAA). Typiquement, un serveur RADIUS (Remote Access Dial-In User Security server), le systme authentificateur: l'quipement rseau qui assure le contrle d'accs (tel qu'un commutateur/routeur IP Ethernet). La demande dauthentification devant tre valide par le tlphone proviendra toujours du commutateur sur lequel il est raccord. Elle interviendra dans les cas suivants : le tlphone IP est physiquement branch sur le rseau, redmarrage logique du tlphone IP (suite perte de communication avec le serveur dappel par exemple), re-authentification priodique configure au niveau du commutateur.

Validation de l'intgrit des binaires


Les tlphones IP utilisent le protocole TFTP pour tlcharger les nouveaux binaires lors de la phase dinitialisation. Avant la prise en compte de ces derniers, un test dintgrit via le CRC Checksum sera effectu. Si ce test est ngatif, le nouveau binaire sera cart au profit des anciens. Dans un environnement scuris, les binaires des tlphones IP sont signs au moment de la mise en production avec la cl priv Alcatel Lucent. Le tlphone IP pourra alors valider lintgrit des fichiers en utilisant la cl publique dAlcatel Lucent. Attention, mme lorsque les mcanismes de chiffrement seront implments sur la solution d'Alcatel, les changes TFTP resteront en clair.

Si aucune rponse ne provient au commutateur aprs la demande dauthentification du tlphone IP, un message authentication failure sera envoy au tlphone IP. Ce dernier continuera alors la phase dinitialisation et re-essayera

protection du MMi
Linterface home machine des tlphones IP permettant de grer les paramtres rseau peut tre protge grce un mot de passe. Ce dernier est gr au niveau du serveur dappel et doit avoir une longueur minimale de six caractres. Il est le mme pour lensemble des terminaux de la solution de ToIP.

le 802.1X
Depuis la release 7.0 de lOXE, la gamme x8 des IP Touch (4008, 4018, 4028, 4038 & 4068) supporte le protocole 802.1X en version EAP MD5. La fonction gnrale du 802.1x peut tre considre comme une est une porte logique ON/OFF dans les commutateurs Ethernet. Cette porte est en position OFF au dmarrage et gre uniquement les demandes de 802.1x jusqu' la dcision de donner un accs au tlphone IP. A ce stade, la porte est place en position ON de sorte que l'ensemble du trafic du LAN peut tre relay entre le tlphone IP et le rseau en
4/2009 HAKIN9 19

DOSSIER
de sauthentifier 30 s plus tard. Aprs trois tentatives infructueuses, le tlphone rinitialisera compltement le processus de dmarrage. Si un PC est connect derrire le tlphone IP au travers du port PC ddi, une seconde authentification 802.1X aura lieu si les quipements de linfrastructure supportent le multi session. Il faudra par ailleurs attendre la fin de la phase dinitialisation du tlphone IP pour pouvoir initialiser celle du PC. les dlais. Pour rappel, les trois critres essentiels respecter pour assurer une bonne qualit de la voix sont: la gigue, la latence et les pertes de paquets. Afin de permettre d'tablir des communications VoIP de qualit et chiffres, Alcatel et Thales ont choisi une solution de chiffrement matriel pour le serveur OXE et les Media Gateways, capable de traiter simultanment des milliers de sessions de signalisation et des dizaines de flux RTP VoIP avec un retard de transit infrieur 1ms. Le chiffrement matriel est 20 100 fois plus rapide que son quivalent logiciel, en fonction de la taille des paquets. En ce qui concerne les tlphones de la gamme IP Touch, le chiffrement s'effectue dans le microcode et n'a pas d'impact sur les dlais. Par ailleurs, la gamme IP Touch a t conue avec une mmoire de secours afin de pouvoir prendre en charge les lourdes contraintes du chiffrement si ncessaire. trouvent entre le rseau local non scuris/ scurise et la connexion scurise/non scurise pour les composants de l'infrastructure de tlphonie sur IP : SSM : protge le serveur de communication MSM : protge les passerelles IP Media Gateways

la gestion dynamique des vlaN

Bien que proches par leur aspect physique, les modules SSM et MSM ne fonctionnent pas de la mme manire.

le module ssM
Le module SSM est le composant central de la solution de scurit IP Touch. Il est reli par un cordon de raccordement crois RJ45 au serveur de communication sur le port non chiffr et au rseau non scuris sur le port chiffr. Ce module ngocie et tablit des sessions de signalisation chiffres avec des tlphones IP ou des passerelles IP Media Gateways (via MSM), ou encore d'autres serveurs OXE eux mmes protgs par ce composant. Il est transparent pour l'identifiant QoS (802.1p/DiffServ) partir

Alcatel utilise l'AVA (Automatic Vlan Assignment) pour placer chaque tlphone IP sur son VLAN. Ce mcanisme utilise les marques de trame (telles que dfinies dans la norme IEEE 802.1q) afin de placer le tlphone sur un VLAN (sous-rseau IP) spcifique. Le mcanisme AVA (Figure 7) : la premire demande DHCP vrifie le numro VLAN. Cette demande est envoye au VLAN par dfaut, le serveur AVA rpond la demande avec le numro VLAN et une adresse IP non utilise. Certains routeurs vrifient la demande DHCP et une adresse IP non utilise permet aux messages, de transiter correctement par le routeur, le tlphone IP, qui n'accepte que les offres du serveur Alcatel, reoit l'offre et envoie une nouvelle demande DHCP avec une marque 802.1q. Cette marque place le poste dans le bon sous-rseau avec la bonne adresse IP, a rception de la deuxime offre, le poste accepte l'offre du serveur DHCP, cette offre contient toutes les informations (adresse IP et adresse IP du serveur TFTP) pour dmarrer le poste IP.

les modules de scurit


Les modules de scurit SSM et MSM sont des composants cryptographiques qui se

le chiffrement dans la solution alcatel lucent

Le chiffrement impose de lourdes contraintes de traitement sur les systmes IP, un traitement contraignant se traduisant gnralement par un allongement des dlais. Il est important que, pour des communications VoIP en temps rel, le chiffrement n'ait pas de rpercussion sur
20 HAKIN9 4/2009

DOSSIER
des passerelles IP Media Gateways ou du serveur de communication. Du point de vue IP, il agit comme un pont (sans routage). Il gre galement l'identifiant QoS bas sur la couche 3 et rend le trafic tlphonique (multimdia ou signalisation de contrle des appels) prioritaire par rapport au trafic diffr. points d'extrmit par le biais de sessions de signalisation cryptes. Le chiffrement transparent des modems (et tlcopieurs) est galement assur (avec des contraintes par rapport aux dlais). Un appel pass entre deux tlphones IP enregistrs dans deux systmes diffrents peut tre chiffr si les deux nuds sont scuriss. Le chiffrement sur le rseau se fait galement entre la passerelle IP Media Gateway d'un nud et les tlphones IP ou entre deux passerelles IP Media Gateways. Pour grer le cas d'une installation multi-nuds, Alcatel a amlior la fonction IP Security partir de la release R7.1, de manire permettre la mise en uvre du chiffrement de la signalisation et des flux media en environnement ABC-F. Les pr-requis suivants devront tre respects pour un bon fonctionnement: le noeud local, le noeud de transit et le noeud distant doivent tous tre scuriss, le lien hybride entre les noeuds devra tre dclar comme scuris.

le module MsM
La passerelle IP Media Gateway (carte GD ou INTIP) est connecte au port non chiffr du module multimdia l'aide d'un cordon de raccordement crois RJ45. Le module MSM est charg de chiffrer le trafic de signalisation IP Media Gateway vers le serveur OXE. Il chiffre galement le trafic multimdia (vers d'autres modules multimdia, des tlphones IP, etc.) l'aide de cls de session.

le chiffrement de la signalisation
Les tlphones IP et les passerelles IP Media Gateways sont contrls via des protocoles propritaires appels respectivement UA Noe et IP Link. La signalisation de contrle des appels (du serveur vers les tlphones IP et du serveur vers les passerelles IP Media Gateways) est protge l'aide d'IPSec en mode ESP par l'algorithme de chiffrement AES. Des cls symtriques sont ngocies entre le tlphone IP et le module SSM et changes rgulirement. La signalisation de contrle des appels se trouve ainsi protge au niveau de la confidentialit et de l'intgrit. Les notions d'intgrit (non modification des messages) sont implmentes au travers d'une signature HMAC SHA1 du flux. Attention, la scurit d'une communication est rvalue chaque fois que le processus de distribution des appels est invoqu. Ainsi, une communication pourra dmarrer de faon scurise et continuer avec une scurit dgrade si un transfert impliquant un nud non scuris lieu.

le chiffrement du flux mdia


Les donnes multimdia (voix) sont chiffres l'aide du protocole SRTP utilisant l'algorithme de chiffrement AES. L'avantage apport par SRTP est l'absence de surcharge de la largeur de bande sur rseau WAN par rapport un trafic non chiffr. Aucune complexit n'est ajoute la configuration des services rseau. Des cls symtriques sont utilises; elles changent chaque session RTP. Elles sont transmises par le serveur OXE aux

valuation du niveau de scurit par les utilisateurs


Le niveau de scurit d'une conversation tlphonique est ngoci dynamiquement entre deux tlphones. Par consquent, il est extrmement important que l'on puisse valu d'un coup d'il le niveau mis en uvre pour une conversation donne. Un utilisateur ayant besoin de cette fonction un instant T doit absolument tre capable de savoir si sa conversation est scurise. Pour rpondre cette problmatique, une signalitique visuelle est mise en place. Un cadenas sera prsent sur l'cran en mode scuris, tandis qu'une bonhomme apparaitra en mode non scuris.

Focus sur une erreur de jeunesse


Comme voqu ci-dessus, la solution IP Touch Security est base pour les flux de signalisation sur ltablissement dun lien IPSec grce au mcanisme IKE. Au dmarrage du systme, les demandes de ngociation IKE sont envoyes massivement au botier SSM-BOX. Sur les versions 1.5 et antrieures, le botier SSM-BOX essaie de satisfaire toutes ces ngociations, et chaque nouvelle ngociation ralentit les ngociations dj en cours. Par consquent, le temps daboutissement dune ngociation IKE complte peut tre relativement long et le poste IP Touch concern peut redmarrer
22 HAKIN9 4/2009

Tlphonie sur ip
avant mme la fin de sa ngociation. Pour rguler les demandes, un limiteur du nombre de ngociations entames est mis en place partir de la version 1.6. Ce limiteur a t calibr afin doptimiser une mise en service complte pour un systme jusqu 3500 postes IP. Les graphiques de la Figure 10 montrent limpact du limiteur de ngociation sur les temps de dmarrage. Pour le dmarrage dun systme de 3500 postes, gauche, la version 1.5 na pas permis la stabilisation aprs 9h, et droite, la mise en systme est termine en moins dune heure avec la version 1.6. Les IP Touch Security Module traitent les messages reus dans lordre chronologique grce une file de traitement. Cette dernire intgre des mcanismes de QoS pour la protection des flux indispensable au fonctionnement du systme. Son dimensionnement, pour les versions 1.5 et antrieures, est bas sur une rpartition semi-alatoire des flux. La synchronisation des flux ncessite laugmentation de la taille de cette file. Cela permet dabsorber les pics de trafic prioritaire, et rduit ainsi la perte de trames provoquant le redmarrage intempestif des IP Touch mais, en contrepartie, cela peut augmenter la latence maximum pour traiter une trame. La solution mise en uvre, partir des versions 1.6 des SSM-BOX, consiste en un redimensionnement des files de traitements alli des optimisations de traitement permettant ainsi la prise en compte de la double contrainte dabsorption des pics de trafic prioritaire, et de minimisation de la latence maximale. Les ajustements raliss pour la version 1.6 ont ramen les mises en service dans un comportement prdictible pour tous les types de parc, le temps de mise en service scuris tant de moins dune seconde par poste, soit environ 50 min pour un parc de 3500 postes. Ces ajustements corrigent aussi les phnomnes de redmarrage alatoire de poste IP Touch et prennent en compte les phnomnes de synchronisation du parc. La Figure 11 base sur des tests avec une version de firmware 2.0.6, montre une optimisation permettant de descendre 25 mn.

Mise en vidence pratique du rle des lments de scurisation

La mise en pratique du concept nonc ci-dessus a t ralis l'aide des lments suivants : vconfig pour se placer dans le vlan voix, ettercap pour raliser le man in the middle, scapy pour la gnration des paquets de la charge.

D`abord on commence par le script AlcatelCallBreaker et la mise en vidence du rle du chiffrement de la signalisation. Le chiffrement des diffrents flux d'une solution de ToIP peut rester un peu abscons vis vis d'un utilisateur externe. Pour dmontrer ces fonctionnalits, aprs des recherches infructueuses sur le web, j'ai t amen dvelopper le script AlcatelCallbreaker pour mettre en vidence l'importance de ce rle sur la signalisation. Ce script a t cr pour mettre en uvre un dni de service sur les postes IP avec le protocole de signalisation propritaire d'Alcatel. L'ide est tout simplement d'envoyer la squence de raccroch un poste tlphonique lorsque l'on dtecte qu'il est actif sur le rseau. Ceci se droule en trois tapes principales: ralisation d'un man in the middle pour voir passer la signalisation, coute des paquets de signalisation, envoi de la charge pour raliser un dnis de service sur les IP Phones.

Si vous utilisez ce script sur un environnement scuris, vous pourrez constater qu'il est devenu totalement inoffensif. En effet, en mode scuris, notre tlphone ip utilise IPSec pour scuriser son flux. Les messages envoys par l'attaquant arrivant en clair, ils ne seront pas pris en compte et l'attaque aura ainsi chou. Rq1 : Il me semble important de prciser que pour que cette dmonstration prenne forme, il est absolument ncessaire de supprimer toute les possibilits de combattre les MITM via ARP cache poisonning. En effet, si le script ne voit pas le flux de signalisation pass, il sera totalement inoffensif. Rq2 : mme si nous russissons un MITM dans un environnement chiffrant les flux, le script sera incapable d'interprter la signalisation protge par IPSEC. Sans interprtation cohrente, il n'y aura donc aucun envoi de charge offensive. Rq3 : le mme type d'exprience pourra tre mis en uvre sur le flux

Une fois la charge envoye, le poste va l'interprter si les compteurs du protocole de signalisation sont correctement implments. Aprs acceptation des paquets, le tlphone va se retrouver synchrone avec les compteurs du poste attaquant et non plus de l'OXE, ce qui va provoquer un gel du poste dans un premier temps, puis un redmarrage aprs une deux minutes d'inactivit.

4/2009 HAKIN9

23

DOSSIER
mdia avec des utilitaires permettant d'insrer des messages dans le flux RTP (RTPInsertSound, RTPInject ou RTPMix).

Mise en vidence de l'intrt du 802.1X


Pour mettre en vidence l'importance des contrles d'accs au rseau dans un environnement de tlphonie sur IP, je vous propose de jouer avec l'accs au VLAN voix. Pour cette dmonstration, j'ai repris l'excellente ide ayant donn naissance au script Voip Hopper en environnement Cisco et l'ai adapt au monde AlcatelLucent. Cela a donn naissance Plawava (Playing with AVA). Comme voqu prcdemment dans cet article, les tlphones IP reoivent l'information VLAN voix au travers de l'option propritaire 43 distribue par le DHCP. L'ide ici est donc de prendre le cble reliant un tlphone IP au rseau et d'muler son comportement pour faire ragir le DHCP et recevoir une rponse. Pour arriver ce rsultat, il suffit de crer un paquet de type DHCP discover reprenant le formalisme des IP Touch. La Figure 13 montre la mise en application dans plawava. Une fois le DHCP discover mis sur la vlan data, le poste de l'attaquant va

rceptionner la rponse, l'analyser et se placer dans le VLAN voix en utilisant le protocole 802.1q. Le rsultat final du script est prsent en Figure 14. La mise en uvre de plawava a t ralise au travers des outils suivants : la langage perl, le module perl net::dhcp:packet.

sur internet
Alcatel-Lucent : http://www.alcatel-lucent.com RTPInsertSound : http://www.voipsa.com/Resources/ tools.php RTPMix : http://www.voipsa.com/Resources/ tools.php RTPInject : http://www.voipsa.com/Resources/ tools.php AlcatelCallBreaker : http://www.cedric-baillet.fr/ spip.php?article11 Plawava : http://www.cedric-baillet.fr/ spip.php?article6

Les commandes systmes vconfig et dhclient. Un script comme plawava montre que l'utilisation de vlan ne rsout pas toutes les problmatiques de scurit. Si une fois sur le rseau, cela permet une bonne sparation des flux, jouer avec en amont pour se placer directement dans le VLAN voix peut permettre de contourner cet lment. Le paramtrage du 802.1x sur les ports des utilisateurs permettra de bloquer totalement ce type de script. En effet, sans une authentification positive, aucun accs rseau ne sera ouvert sur le lien. Les possibilits d'attaques sont donc alors trs fortement rduites.

pour conclure
Vous aurez pu voir dans cet article que l'diteur Alcatel Lucent a rellement fait l'effort de fournir une solution de tlphonie sur IP intgrant la scurit de bout en bout.

Nanmoins, la solution prsente est rduite son minimum et n'intgre par un cosystme volu. Il sera souvent ncessaire de refaire tout ce travail soi mme pour obtenir un environnement sain et scuris, les cosystme n'arrivant que rarement sous forme d'appliance. Cette remarque peut paratre anodine au premier abord, cependant, il n'est pas rare de constater que cet aspect des choses n'est pas toujours pris en compte par des quipes de tlphonistes n'ayant pas les cultures systmes et rseaux ncessaires pour avoir une vision globale des problmatiques de scurit. Ceci montre bien la ncessit de dsormais travailler avec des quipes pluridisciplinaires. Par ailleurs, n'oublions pas non plus que la scurit dpend aussi trs fortement de deux lments qui n'ont pas t abords, savoir l'infrastructure et les processus. Le LAN me semble trs important prendre en compte pour apporter la scurit au plus prs des ports utilisateurs et scuriser ainsi le primtre le plus en amont possible. Un certain nombre d'articles traitant de ce sujet sont parus dans le hors srie Cisco, l'un d'entre eux tant disponible en tlchargement gratuit sur le site du journal. Je ne peux que vous recommander de les lires si ce n'est dj fait.

Cdric Baillet

Aprs avoir travaill pendant quatre annes sur les technologies rseaux Cisco en tant qu'ingnieur de production, Cdric Baillet a t consultant sur les solutions de ToIP et les problmatiques scurit affrentes de 2004 2007. Il a aujourd'hui intgr une des quipes marketing d'Orange Business Services pour travailler sur les offres de services scurit autour des nouvelles solutions de communications.

24

HAKIN9 4/2009

Vous aimerez peut-être aussi