Vous êtes sur la page 1sur 17

HACKING & SECURING ASTERISK

Problmatique de la scurit de la VoIP, attaques communes et mesures prventives.


OPENDAYS 2013

Sokobla GazaroWa-Gazaro

28/04/2013

SOMMAIRE
Voip et Scurit: les enjeux Voip et Scurit: le cas dasterisk Quelques vulnrabilits Scuriser Asterisk Conclusion

28/04/2013

Voip et Scurit
Augmentation des dploiements Voip La problmatique scuritaire souvent relgue au second plan Les consquences dun systme de tlphonie compromis

peuvent tre CATASTROPHIQUE:

Perte de la confidentialit des communications Le dtournement des communications peuvent tre la source

de failles de scurits graves Limpact financier peu slever jusqu plusieurs milliers de deuros

28/04/2013

Voip et Scurit
Le cas dasterisk
Trs rpandu Protocoles ouverts et standards Solution dintgration donc une problmatique double:

scuriser le systme et protger le rseau

Les risques sont rels:


Interception dappels DoS Vols de services Communications indsires .
28/04/2013

Quelques vulnrabilits
Interception dappel (spoofing + sniffing)
Le but de cette attaque est dintercepter les paquets rtp avec un

outil adapter (sniffer) et de reconstituer la conversation audio. Outils:


Ethercap Wireshark

28/04/2013

Quelques vulnrabilits: Interception dappels


Principe: MITM (Man In The Middle)

Le pirate se substitut lun des interlocuteurs et a laide dun

analyseur rseau capture les paquets voix et peut reconstituer la communication.


28/04/2013

28/04/2013

Quelques vulnrabilits
Vols de service
Cette attaque consiste obtenir un compte utilisateur valide afin

davoir accs aux diffrents services offert par le systme de la victime Outils:
Sipvicious

28/04/2013

28/04/2013

Quelques vulnrabilits
Dos (Denial of Service)
Le but est de rendre un systme inexploitable en linondant de

requte.
Outil:

LOIC (Low Orbit Ion Canon)

ngrep -d eth0 -p -q -W byline port 5060

28/04/2013

28/04/2013

Scuriser Asterisk
Sip.conf
alwaysauthreject = no (Empche la diffusion des extensions

disponibles) allowguest= no (interdire les appels des utilisateurs non authentifis) Secret= (Choisir des mots de passe robustes) Une astuce efficace consiste galement utiliser un username diffrent du numro dextension

28/04/2013

Scuriser Asterisk
Extension.conf
Scuriser le contexte par dfaut (default): votre configuration doit

interdire les appels externes aux utilisateurs non authentifis. Lapplication Authenticate(password[|options[|maxdigits]]) peut tre utilise.

Scuriser lAMI Manager


Permit/deny= X.X.X.X (limit les @IP autorises se

connecter lAMI Manager)

28/04/2013

Scuriser Asterisk
Switching niveau 3
Gere lassociation MAC/IP

ARPWATCH
Dtecte les attaque ARP (poisonning)

28/04/2013

Scuriser Asterisk
Fail2ban

Fail2Ban est un logiciel libre permettant d'analyser des fichiers de logs et de dclencher des actions si certaines choses suspectes sont dtectes. Fail2ban protge votre serveur contre les attaques de types brute force.

28/04/2013

Conclusion
La VoIP changer le mode de communication des

entreprises Les problmes de scurit existes et sont bel et bien exploit par les Hackers Asterisk offre cependant des solutions simples pour assurer un niveau de scurit suffisant pour la pluspart des utilisateurs Cependant des efforts peuvent encore tre fait

28/04/2013

Liens Utiles
http://sysadminman.net/blog/2009/hacking-and-securing

your-asterisk-server-592 http://www.voipmechanic.com/securing-asterisk.htm http://blogs.digium.com/2009/03/28/sip-security/ http://www.chrismc.de/development/xarp/ http://www.voipinfo.org/wiki/view/Fail2Ban+(with+iptables)+And+Asteri sk http://blog.rassemblr.com/2012/05/fighting-asterisk-dosattack/


28/04/2013