Vous êtes sur la page 1sur 94

tude et Mise en place

d'une Solution VOIP


Scurise



MEMOIRE DE PROJET DE FIN DTUDES

Pour lobtention du Master Professionnel
En Nouvelles Technologies
Des Tlcommunications et Rseaux






Anne Universitaire : 2010 2011
Ralis par :
Mlle. Rebha Bouzaida
Encadr par :
Mr. Kamel Kedhiri
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 2

La vie nest quun clair,
Et un jour de russite est un jour trs cher.

A mon cher pre,
et ma chre mre.
Pour lducation et le grand amour dont ils mont entour depuis ma naissance.
Et pour leurs patiences et leurs sacrifices.

A mon cher frre ;
A tous mes proches ;
A tous ceux qui maiment ;
A tout mes ami(e)s ;
A tous ceux que jaime.
Je ddie ce mmoire.
Rebha Bouzaida

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 3
Remerciements


Au terme de ce projet de fin dtudes, jadresse mes sincres remerciements
Monsieur Kamel Kedhiri, mon encadreur de lUVT, pour mavoir propos ce
projet et pour son encadrement.
Je tiens remercier galement Monsieur Mohamed Louhichi, grant du
centre dappel New Call, pour son suivi et ses remarques qui mont permis de
mener bien ce travail.
Mes remerciements sadressent galement ladministration et aux
professeurs de lUVT pour les moyens quils ont mis notre disposition afin
dlaborer ce travail.
Je souhaite exprimer enfin ma gratitude et mes vifs remerciements ma famille et
mes amis pour leurs soutiens.
Pour finir, je remercie les membres du jury qui ont accept dvaluer mon
projet. Je leurs prsentons toute mes gratitudes et mes profonds respects.









Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 4

Sommaire
INTRODUCTION GENERALE.................................................................................................................................... 7
CHAPITRE 1 : ETUDE GENERALE DE LA VOIX SUR IP ............................................................................................... 9
INTRODUCTION ....................................................................................................................................................10
1. PRESENTATION DE LA VOIX SUR IP .....................................................................................................................10
1.1. Dfinition .........................................................................................................................................10
1.2. Architecture .....................................................................................................................................10
1.3. Principe de fonctionnement ..............................................................................................................12
2. PROTOCOLE H.323 .......................................................................................................................................12
2.1 Description gnrale du protocole H.323 ..........................................................................................12
2.2 Rle des composants ........................................................................................................................13
2.3 Avantages et inconvnients de la technologie H323 ..........................................................................16
3. PROTOCOLE SIP ...........................................................................................................................................17
3.1 Description gnrale du protocole SIP ...............................................................................................17
3.2 Principe de fonctionnement ..............................................................................................................17
3.3 Rle des composants ........................................................................................................................20
3.4 Avantages et inconvnients ..............................................................................................................22
4. PROTOCOLES DE TRANSPORT ............................................................................................................................23
4.1 Le protocole RTP ..............................................................................................................................23
4.1.1 Description gnrale de RTP ........................................................................................................................ 23
4.1.2 Les fonctions de RTP ................................................................................................................................... 24
4.1.3 Avantages et inconvnients ......................................................................................................................... 24
4.2 Le protocole RTCP ............................................................................................................................25
4.2.1 Description gnrale de RTCP ...................................................................................................................... 25
4.2.2 Point fort et limite du protocole RTCP ......................................................................................................... 26
5. POINTS FORTS ET LIMITES DE LA VOIX SUR IP ........................................................................................................26
CONCLUSION ........................................................................................................................................................28
CHAPITRE 2 : ATTAQUES CONTRE LA VOIP ET BONNES PRATIQUES DE SECURISATION.........................................29
INTRODUCTION ....................................................................................................................................................30
1. ATTAQUES SUR LE PROTOCOLE..........................................................................................................................30
1.1. Sniffing ............................................................................................................................................31
1.2. Suivie des appels ..............................................................................................................................31
1.3. Injection de paquet RTP ....................................................................................................................32
1.4. Les Spam..........................................................................................................................................32
1.5. Le dni de service (DOS : Denial of service)........................................................................................33
1.6. Dtournement dappel (Call Hijacking) .............................................................................................36
1.7. Lcoute clandestine .........................................................................................................................36
2. LES VULNERABILITES DE LINFRASTRUCTURE .........................................................................................................37
2.4 Faiblesses dans la configuration des dispositifs de la VoIP .................................................................38
2.5 Les tlphones IP..............................................................................................................................38
2.6 Les serveurs .....................................................................................................................................39
2.7 Les vulnrabilits du systme dexploitation .....................................................................................40
3. SECURISATION ET BONNE PRATIQUES..................................................................................................................40
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 5
3.1 Scurisation protocolaire ..................................................................................................................40
3.2 Scurisation de lapplication .............................................................................................................43
3.3 Scurisation du systme dexploitation .............................................................................................44
CONCLUSION ........................................................................................................................................................46
CHAPITRE 3 : INSTALLATION ET CONFIGURATION DUNE SOLUTION DE VOIP BASEE SUR LOUTIL ASTERISK........47
INTRODUCTION ....................................................................................................................................................48
1. ARCHITECTURE DU RESEAU VOIP DEPLOYE...........................................................................................................48
2. INSTALLATION DASTERISK 1.4 .........................................................................................................................49
2.1 Dtermination des pr-requis ...........................................................................................................49
2.2 Tlchargement des codes sources ...................................................................................................50
2.3 Extraction des paquetages ...............................................................................................................51
2.4 Compilation et installation: ..............................................................................................................51
3. CONFIGURATION DASTERISK ...........................................................................................................................53
3.1 Identification des fichiers de configuration .......................................................................................53
3.2 Configuration des comptes users ......................................................................................................54
3.3 Configuration des extensions ............................................................................................................55
4. INSTALLATION ET CONFIGURATION DE X-LITE .......................................................................................................56
4.1 Installation de X-Lite ........................................................................................................................56
4.2 Configuration de X-lite .....................................................................................................................56
CONCLUSION ........................................................................................................................................................58
CHAPITRE 4 : SECURISATION DE LA SOLUTION MISE EN PLACE .............................................................................59
INTRODUCTION ....................................................................................................................................................60
1. LOCALISATION DES SERVEURS VOIP ...................................................................................................................60
1.1. Utilisation des serveurs Whois ..........................................................................................................60
1.2. Utilisation des aspirateurs de sites....................................................................................................61
1.3. Utilisation des moteurs de recherches et des agents intelligents .......................................................61
1.4. Balayage (Scan) des rseaux VoIP .....................................................................................................61
2. LES LOGICIELS DATTAQUES ..............................................................................................................................62
2.1 Wireshark ........................................................................................................................................62
2.2 Le logiciel SiVus ................................................................................................................................69
3. CHOIX ET IMPLEMENTATION DES BONNES PRATIQUES .............................................................................................74
3.1 Bonne pratique contre lcoute clandestine ......................................................................................74
3.2 Bonne pratique contre le DOS BYE .................................................................................................84
CONCLUSION ........................................................................................................................................................89
CONCLUSION GENERALE ......................................................................................................................................90
BIBLIOGRAPHIE ....................................................................................................................................................94




Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 6

Liste des figures
FIGURE 1 : ARCHITECTURE GENERALE DE LA VOIX SUR IP .....................................................................................11
FIGURE 2 : LES COMPOSANTS DE LARCHITECTURE H.323 ....................................................................................14
FIGURE 3 : LA ZONE H.323 ....................................................................................................................................15
FIGURE 4 : ENREGISTREMENT D'UN UTILISATEUR ................................................................................................21
FIGURE 5 : PRINCIPE DU PROTOCOLE SIP ..............................................................................................................21
FIGURE 6 : SESSION SIP A TRAVERS UN PROXY .....................................................................................................22
FIGURE 7 : ATTAQUE DOS VIA UNE REQUETE CANCEL ..........................................................................................35
FIGURE 8 : EXEMPLE DE DETOURNEMENT D'APPEL " MAN IN THE MIDDLE" ........................................................37
FIGURE 9 : FORMAT D'UN PAQUET SRTP ..............................................................................................................43
FIGURE 10 : ARCHITECTURE DU RESEAU VOIP A REALISER ...................................................................................49
FIGURE 11 : CONFIGURATION DU COMPTE DU CLIENT 100 .............................................................................57
FIGURE 12 : ECRAN DE CAPTURE WIRESHARK ......................................................................................................63
FIGURE 13 : EXEMPLE DE PAQUET QUI CONTIENT UNE REQUETE INVITE .............................................................64
FIGURE 14 : CAPTURE DUNE COMMUNICATION TELEPHONIQUE ........................................................................66
FIGURE 15 : DECODAGE: BOUTON VOIP CALLS .....................................................................................................67
FIGURE 16 : COMMUNICATION TELEPHONIQUE DETECTES...................................................................................67
FIGURE 17 : FENETRE RTP PLAYER ........................................................................................................................68
FIGURE 18 : COMMUNICATION TELEPHONIQUE DECODE .....................................................................................68
FIGURE 19 : SIVUS : FENETRE DE GENERATION DE MESSAGE ...............................................................................70
FIGURE 20 : SCANNE DE LA MACHINE 192.168.254.128 ........................................................................................71
FIGURE 21 : GENERATION DE MESSAGE DE TYPE BYE ...........................................................................................72
FIGURE 22 : MESSAGE ENVOYE PAR SIVUS APPARAIT DANS WIRESHARK ............................................................73
FIGURE 23 : MODIFICATION DES VALEURS DES VARIABLES DENVIRONNEMENTS................................................78
FIGURE 24 : CREATION DU CERTIFICAT DAUTORITE ............................................................................................79
FIGURE 25 : CREATION DUN CERTIFICAT POUR LE SERVEUR ................................................................................80
FIGURE 26 : CREATION DU CERTIFICAT CLIENT .....................................................................................................81
FIGURE 27 : CREATION DES PARAMETRES DIFFIE-HELMANN ...............................................................................82



Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 7

Introduction gnrale
Depuis quelques annes, la technologie VoIP commence intresser les entreprises,
surtout celles de service comme les centres dappels. La migration des entreprises vers ce genre
de technologie nest pas pour rien. Le but est principalement est de : minimiser le cot des
communications ; utiliser le mme rseau pour offrir des services de donnes, de voix, et
dimages ; et simplifier les cots de configuration et dassistance.
Plusieurs fournisseurs offrent certaines solutions qui permettent aux entreprises de migrer
vers le monde IP. Des constructeurs de PABX tels que Nortel, Siemens, et Alcatel prfrent la
solution de lintgration progressive de la VoIP en ajoutant des cartes extensions IP.
Cette approche facilite ladoption du tlphone IP surtout dans les grandes socits possdant
une plateforme classique et voulant bnficier de la voix sur IP. Mais elle ne permet pas de
bnficier de tous les services et la bonne intgration vers le monde des donnes.
Le dveloppement des PABXs software, est la solution propose par des fournisseurs tels
que Cisco et Asterisk. Cette approche permet de bnficier dune grande flexibilit, dune trs
bonne intgration au monde des donnes et de voix, et surtout dun prix beaucoup plus
intressant.
Cette solution, qui est totalement base sur la technologie IP, est donc affecte par les
vulnrabilits qui menacent la scurit de ce protocole et linfrastructure rseau sur laquelle elle
est dploye. Cette dernire est le majeur problme pour les entreprises et un grand dfi pour les
dveloppeurs. Certaines attaques sur les rseaux VoIP, comme les attaques de dni de service, et
les vols didentit, peuvent causer des pertes catastrophiques et normes pour les entreprises.
Pour cela la scurit du rseau VoIP nest pas seulement une ncessit mais plutt une
obligation, avec laquelle on peut rduire, au maximum, le risque dattaques sur les rseaux VoIP.
La scurit dune solution de VoIP doit couvrir toute linfrastructure rseau, incluant les
outils et les quipements de gestion des communications et des utilisateurs, le systme
dexploitation sur lesquels sont installs ces outils, et les protocoles de signalisation et de
transport de donnes. Il faut mme se protger contre les personnes malveillantes. Mieux on
scurise, moins il y a de risques.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 8
Ce travail a pour objectif : ltude des protocoles de VoIP et des architectures proposes ;
ltude des vulnrabilits et des attaques de scurits surs les divers composants dune
infrastructure VoIP dans des rseaux LAN ; et la mise en place une solution de VoIP scurise
base sur des outils open source, prcisment le serveur Asterisk et le client X-Lite.
Les entreprises, bnficiant de notre solution, seront capables de mettre en place une
plateforme de VoIP assez flexible, peu couteux, et protge contre les attaques de scurit de
lintrieur du rseau comme de lextrieur aussi.
Ce rapport se compose de quatre chapitres. Le premier chapitre introduit la voix sur IP et
ces lments, dcrit et explique son architecture et ces protocoles, et numre les majeurs points
forts de cette technologie ainsi que ses faiblesses.
Le deuxime chapitre sintresse la scurit des infrastructures de Voix sur IP.
Il dtaille les diffrents types de vulnrabilits de scurit partages en trois classes:
vulnrabilits lies aux protocoles, vulnrabilits lies aux infrastructures, et vulnrabilits lies
aux systmes. Les bonnes pratiques et solutions de scurits mettre en places pour remdier
ces vulnrabilits, sont aussi dfinies.
Le troisime chapitre, sintresse la mise en place dune solution de VoIP pour les
entreprises base sur le serveur Asterisk et le client X-Lite. Les diffrents pr-requis et les
librairies ncessaires sont installs, et les paramtres essentiels sont dfinis et configurs.
Le dernier chapitre du rapport sintresse aux tests et ralisations de quelques attaques sur
linfrastructure de VoIP dploye dans le troisime chapitre. Une implmentation des diffrentes
solutions et mesures ncessaires la protection contre ces attaques, est ralise.





Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 9





Chapitre 1

Etude gnrale
de la voix sur IP



Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 10
Introduction
La voix sur IP constitue actuellement lvolution la plus importante du domaine des
Tlcommunications. Avant 1970, la transmission de la voix seffectuait de faon analogique sur
des rseaux ddis la tlphonie. La technologie utilise tait la technologie lectromcanique
(Crossbar). Dans les annes 80, une premire volution majeure a t le passage la
transmission numrique (TDM). La transmission de la voix sur les rseaux informatiques
commutation de paquets IP constitue aujourdhui une nouvelle volution majeure comparable
aux prcdentes.
Lobjectif de ce chapitre est ltude de cette technologie et de ses diffrents aspects. On
parlera en dtail de larchitecture de la VoIP, ses lments et son principe de fonctionnement. On
dtaillera aussi des protocoles VoIP de signalisation et de transport ainsi que leurs principes de
fonctionnement et de leurs principaux avantages et inconvnients.
1. Prsentation de la voix sur IP
1.1. Dfinition
VoIP signifie Voice over Internet Protocol ou Voix sur IP. Comme son nom l'indique, la
VoIP permet de transmettre des sons (en particulier la voix) dans des paquets IP circulant sur
Internet. La VoIP peut utiliser du matriel d'acclration pour raliser ce but et peut aussi tre
utilise en environnement de PC.
1.2. Architecture
La VoIP tant une nouvelle technologie de communication, elle n'a pas encore de
standard unique. En effet, chaque constructeur apporte ses normes et ses fonctionnalits ses
solutions. Les trois principaux protocoles sont H.323, SIP et MGCP/MEGACO. Il existe donc
plusieurs approches pour offrir des services de tlphonie et de visiophonie sur des rseaux IP.
Certaines placent l'intelligence dans le rseau alors que d'autres prfrent une approche gale
gale avec l'intelligence rpartie la priphrie. Chacune ayant ses avantages et ses
inconvnients.
La figure 1 dcrit, de faon gnrale, la topologie d'un rseau de tlphonie IP.
Elle comprend toujours des terminaux, un serveur de communication et une passerelle vers les
autres rseaux. Chaque norme a ensuite ses propres caractristiques pour garantir une plus ou
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 11
moins grande qualit de service. L'intelligence du rseau est aussi dporte soit sur les
terminaux, soit sur les passerelles/ contrleur de commutation, appeles Gatekeeper. On retrouve
les lments communs suivants :
Le routeur : permet d'aiguiller les donnes et le routage des paquets entre deux rseaux.
Certains routeurs permettent de simuler un Gatekeeper grce l'ajout de cartes
spcialises supportant les protocoles VoIP.
La passerelle : permet dinterfacer le rseau commut et le rseau IP.
Le PABX : est le commutateur du rseau tlphonique classique. Il permet de faire le lien
entre la passerelle ou le routeur, et le rseau tlphonique commut (RTC). Toutefois, si
tout le rseau devient IP, ce matriel devient obsolte.
Les Terminaux : sont gnralement de type logiciel (software phone) ou matriel
(hardphone), le softphone est install dans le PC de l'utilisateur. L'interface audio peut
tre un microphone et des haut-parleurs branchs sur la carte son, mme si un casque est
recommand. Pour une meilleure clart, un tlphone USB ou Bluetooth peut tre utilis.
Le hardphone est un tlphone IP qui utilise la technologie de la Voix sur IP pour
permettre des appels tlphoniques sur un rseau IP tel que l'Internet au lieu de l'ordinaire
systme PSTN. Les appels peuvent parcourir par le rseau internet comme par un rseau priv.
Un terminal utilise des protocoles comme le SIP (Session Initiation Protocol) ou lun des
protocoles propritaire tel que celui utilise par Skype.









Figure 1 : Architecture gnrale de la voix sur IP
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 12
1.3. Principe de fonctionnement
Depuis nombreuses annes, il est possible de transmettre un signal une destination
loigne sous forme de donnes numriques. Avant la transmission, il faut numriser le signal
l'aide d'un CAN (convertisseur analogique-numrique). Le signal est ensuite transmis, pour tre
utilisable, il doit tre transform de nouveau en un signal analogique, l'aide d'un CNA
(convertisseur numrique-analogique).
La VoIP fonctionne par numrisation de la voix, puis par reconversion des paquets
numriques en voix l'arrive. Le format numrique est plus facile contrler, il peut tre
compress, rout et converti en un nouveau format meilleur. Le signal numrique est plus
tolrant au bruit que l'analogique.
Les rseaux TCP/IP sont des supports de circulation de paquets IP contenant un en-tte
(pour contrler la communication) et une charge utile pour transporter les donnes.
Il existe plusieurs protocoles qui peuvent supporter la voix sur IP tel que le H.323, SIP et MGCP.
Les deux protocoles les plus utilises actuellement dans les solutions VoIP prsentes sur le
march sont le H.323 et le SIP.
2. Protocole H.323
2.1 Description gnrale du protocole H.323
Le standard H.323 fournit, depuis son approbation en 1996, un cadre pour les
communications audio, vido et de donnes sur les rseaux IP. Il a t dvelopp par l'ITU
(International Telecommunications Union) pour les rseaux qui ne garantissent pas une qualit
de service (QoS), tels quIP IPX sur Ethernet, Fast Ethernet et Token Ring. Il est prsent dans
plus de 30 produits et il concerne le contrle des appels, la gestion multimdia, la gestion de la
bande passante pour les confrences point--point et multipoints. H.323 traite galement de
l'interfaage entre le LAN et les autres rseaux.
Le protocole H.323 fait partie de la srie H.32x qui traite de la vidoconfrence au travers
diffrents rseaux. Il inclue H.320 et H.324 lis aux rseaux ISDN (Integrated Service Data
Network) et PSTN (Public Switched Telephone Network).
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 13
Plus qu'un protocole, H.323 cre une association de plusieurs protocoles diffrents et qui
peuvent tre regroups en trois catgories : la signalisation, la ngociation de codec, et le
transport de linformation.
Les messages de signalisation sont ceux envoys pour demander la mise en relation de
deux clients, qui indique que la ligne est occupe ou que le tlphone sonne, etc. En
H.323, la signalisation sappuie sur le protocole RAS pour lenregistrement et
lauthentification, et le protocole Q.931 pour linitialisation et le contrle dappel.
La ngociation est utilise pour se mettre daccord sur la faon de coder les informations
changer. Il est important que les tlphones (ou systmes) utilisent un langage
commun sils veulent se comprendre. Il sagit du codec le moins gourmand en bande
passante ou de celui qui offre la meilleure qualit. Il serait aussi prfrable davoir
plusieurs alternatives de langages. Le protocole utilis pour la ngociation de codec est le
H.245
Le transport de linformation sappuie sur le protocole RTP qui transporte la voix, la
vido ou les donnes numrises par les codecs. Les messages RTCP peuvent tre utiliss
pour le contrle de la qualit, ou la rengociation des codecs si, par exemple, la bande
passante diminue.
Une communication H.323 se droule en cinq phases : ltablissement d'appel, lchange
de capacit et rservation ventuelle de la bande passante travers le protocole RSVP
(Ressource reservation Protocol), ltablissement de la communication audio-visuelle,
linvocation ventuelle de services en phase d'appel (par exemple, transfert d'appel, changement
de bande passante, etc.) et enfin la libration de l'appel.
2.2 Rle des composants
L'infrastructure H.323 repose sur quatre composants principaux : les terminaux, les
Gateways, les Gatekeepers, et les MCU (Multipoint Control Units).




Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 14










Figure 2 : Les composants de larchitecture H.323
Les terminaux H.323
Le terminal peut tre un ordinateur, un combin tlphonique, un terminal spcialis pour
la vidoconfrence ou encore un tlcopieur sur Internet. Le minimum impos par H.323 est qu'il
mette en uvre la norme de compression de la parole G.711, qu'il utilise le protocole H.245 pour
la ngociation de l'ouverture d'un canal et l'tablissement des paramtres de la communication,
ainsi que le protocole de signalisation Q.931 pour l'tablissement et l'arrt des communications.
Le terminal possde galement des fonctions optionnelles, notamment, pour le travail en groupe
et le partage des documents. Il existe deux types de terminaux H.323, l'un de haute qualit (pour
une utilisation sur LAN), l'autre optimis pour de petites largeurs de bandes (28,8/33,6 kbit/s
G.723.1 et H.263).
Gateway ou les passerelles vers des rseaux classiques (RTC, RNIS, etc.)
Les passerelles H.323 assurent l'interconnexion avec les autres rseaux, ex
:(H.320/RNIS), les modems H.324, tlphones classiques, etc. Elles assurent la correspondance
de signalisation de Q.931, la correspondance des signaux de contrle et la cohsion entre les
mdias (multiplexage, correspondance des dbits, transcodage audio).
Gatekeeper ou les portiers
Dans la norme H323, Le Gatekeeper est le point d'entre au rseau pour un client H.323.
Il dfinit une zone sur le rseau, appele zone H.323 (voir figure 3 ci-dessous), regroupant
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 15
plusieurs terminaux, Gateways et MCU dont il gre le trafic, le routage LAN, et l'allocation de la
bande passante. Les clients ou les Gateway s'enregistrent auprs du Gatekeeper ds l'activation
de celui-ci, ce qui leur permet de retrouver n'importe quel autre utilisateur travers son
identifiant fixe obtenu auprs de son Gatekeeper de rattachement.
Le Gatekeeper a pour fonction :
La translation des alias H.323 vers des adresses IP, selon les spcifications
RAS (Registration/Admission/Status) ;
Le contrle d'accs, en interdisant les utilisateurs et les sessions non
autoriss ;
Et la gestion de la bande passante, permettant l'administrateur du rseau de
limiter le nombre de visioconfrences simultanes. Concrtement une fraction
de la bande passante est alloue la visioconfrence pour ne pas gner les
applications critiques sur le LAN et le support des confrences multipoint
adhoc.

Figure 3 : La zone H.323


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 16
Les MCU
Les contrleurs multipoint appels MCU (Multipoint Control Unit) offrent aux
utilisateurs la possibilit de faire des visioconfrences trois terminaux et plus en prsence
continue ou en activation la voix . Une MCU consiste en un Contrleur Multipoint (MC),
auquel est rajout un ou plusieurs Processeurs Multipoints (MP). Le MC prend en charge les
ngociations H.245 entre tous les terminaux pour harmoniser les paramtres audio et vido de
chacun. Il contrle galement les ressources utilises. Mais le MC ne traite pas directement avec
les flux audio, vido ou donnes, c'est le MP qui se charge de rcuprer les flux et de leurs faire
subir les traitements ncessaires. Un MC peut contrler plusieurs MP distribus sur le rseau et
faisant partie d'autres MCU.
2.3 Avantages et inconvnients de la technologie H323
La technologie H.323 possde des avantages et des inconvnients. Parmi les avantages,
nous citons :
Gestion de la bande passante : H.323 permet une bonne gestion de la bande passante en
posant des limites au flux audio/vido afin d'assurer le bon fonctionnement des
applications critiques sur le LAN. Chaque terminal H.323 peut procder l'ajustement de
la bande passante et la modification du dbit en fonction du comportement du rseau en
temps rel (latence, perte de paquets et gigue).
Support Multipoint : H.323 permet de faire des confrences multipoint via une structure
centralise de type MCU (Multipoint Control Unit) ou en mode ad-hoc.
Support Multicast : H.323 permet galement de faire des transmissions en multicast.
Interoprabilit : H.323 permet aux utilisateurs de ne pas se proccuper de la manire
dont se font les communications, les paramtres (les codecs, le dbit) sont ngocis de
manire transparente.
Flexibilit : une confrence H.323 peut inclure des terminaux htrognes (studio de
visioconfrence, PC, tlphones) qui peuvent partager selon le cas, de la voix de la
vido et mme des donnes grce aux spcifications T.120.
Les inconvnients de la technologie H.323 sont :
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 17
La complexit de mise en uvre et les problmes d'architecture en ce qui concerne la
convergence des services de tlphonie et d'Internet, ainsi qu'un manque de modularit et
de souplesse.
Comprend de nombreuses options susceptibles d'tre implmentes de faon diffrentes
par les constructeurs et donc de poser des problmes d'interoprabilit.
3. Protocole SIP
3.1 Description gnrale du protocole SIP
Le protocole SIP (Session Initiation Protocol) est un protocole normalis et standardis
par l'IETF (dcrit par le RFC 3261 qui rend obsolte le RFC 2543, et complt par le RFC 3265)
qui a t conu pour tablir, modifier et terminer des sessions multimdia. Il se charge de
l'authentification et de la localisation des multiples participants. Il se charge galement de la
ngociation sur les types de mdia utilisables par les diffrents participants en encapsulant des
messages SDP (Session Description Protocol). SIP ne transporte pas les donnes changes
durant la session comme la voix ou la vido. SIP tant indpendant de la transmission des
donnes, tout type de donnes et de protocoles peut tre utilis pour cet change. Cependant le
protocole RTP (Real-time Transport Protocol) assure le plus souvent les sessions audio et vido.
SIP remplace progressivement H323.
SIP est le standard ouvert de VoIP, interoprable, le plus tendu et vise devenir le
standard des tlcommunications multimdia (son, image, etc.). Skype par exemple, qui utilise
un format propritaire, ne permet pas l'interoprabilit avec un autre rseau de voix sur IP et ne
fournit que des passerelles payantes vers la tlphonie standard. SIP n'est donc pas seulement
destin la VoIP mais pour de nombreuses autres applications telles que la visiophonie, la
messagerie instantane, la ralit virtuelle ou mme les jeux vido.
3.2 Principe de fonctionnement
Puisque on choisira le protocole SIP pour effectuer notre travail, on sapprofondira
expliquer les diffrents aspects, caractristiques qui font du protocole SIP un bon choix pour
ltablissement de la session, les principales caractristiques du protocole SIP sont :


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 18
Fixation dun compte SIP
Il est important de sassurer que la personne appele soit toujours joignable. Pour cela, un
compte SIP sera associ un nom unique. Par exemple, si un utilisateur dun service de voix sur
IP dispose dun compte SIP et que chaque fois quil redmarre son ordinateur, son adresse IP
change, il doit cependant toujours tre joignable. Son compte SIP doit donc tre associ un
serveur SIP (proxy SIP) dont ladresse IP est fixe. Ce serveur lui allouera un compte et il
permettra deffectuer ou de recevoir des appels quelques soit son emplacement. Ce compte sera
identifiable via son nom (ou pseudo).
Changement des caractristiques durant une session
Un utilisateur doit pouvoir modifier les caractristiques dun appel en cours. Par exemple,
un appel initialement configur en (voix uniquement) peut tre modifi en (voix + vido).
Diffrents modes de communication
Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point
point, en mode diffusif ou dans un mode combinant ceux-ci.
Mode Point point : on parle dans ce cas l dunicast qui correspond la
communication entre deux machines.
Mode diffusif : on parle dans ce cas l de multicast (plusieurs utilisateurs via une
unit de contrle MCU Multipoint Control Unit).
Combinatoire : combine les deux modes prcdents. Plusieurs utilisateurs interconnects
en multicast via un rseau maillage complet de connexion.
Gestion des participants
Durant une session dappel, de nouveaux participants peuvent joindre les participants
dune session dj ouverte en participant directement, en tant transfrs ou en tant mis en
attente (cette particularit rejoint les fonctionnalits dun PABX par exemple, o lappelant peut
tre transfr vers un numro donn ou tre mis en attente).
Ngociation des mdias supports
Cela permet un groupe durant un appel de ngocier sur les types de mdias supports.
Par exemple, la vido peut tre ou ne pas tre supporte lors dune session.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 19
Adressage
Les utilisateurs disposant dun numro (compte) SIP disposent dune adresse ressemblant
une adresse mail (sip:numro@serveursip.com). Le numro SIP est unique pour chaque
utilisateur.
Modle dchange
Le protocole SIP repose sur un modle Requte/Rponse. Les changes entre un terminal
appelant et un terminal appel se font par l'intermdiaire de requtes. La liste des requtes
changes est la suivante :
Invite: cette requte indique que l'application (ou utilisateur) correspondante l'url SIP
spcifi est invit participer une session. Le corps du message dcrit cette session (par
ex : mdia supports par lappelant). En cas de rponse favorable, l'invit doit spcifier
les mdias qu'il supporte.
Ack : cette requte permet de confirmer que le terminal appelant a bien reu une rponse
dfinitive une requte Invite.
Options : un proxy server en mesure de contacter l'UAS (terminal) appel, doit rpondre
une requte Options en prcisant ses capacits contacter le mme terminal.
Bye : cette requte est utilise par le terminal de l'appel fin de signaler qu'il souhaite
mettre un terme la session.
Cancel : cette requte est envoye par un terminal ou un proxy server fin d'annuler une
requte non valide par une rponse finale comme, par exemple, si une machine ayant t
invite participer une session, et ayant accept l'invitation ne reoit pas de requte
Ack, alors elle met une requte Cancel.
Register : cette mthode est utilise par le client pour enregistrer l'adresse liste dans
l'URL TO par le serveur auquel il est reli.
Codes derreurs
Une rponse une requte est caractrise, par un code et un motif, appels
respectivement code d'tat et raison phrase. Un code d'tat est un entier cod sur 3 digits
indiquant un rsultat l'issue de la rception d'une requte. Ce rsultat est prcis par une phrase,
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 20
textbased (UTF-8), expliquant le motif du refus ou de l'acceptation de la requte. Le code d'tat
est donc destin l'automate grant l'tablissement des sessions SIP et les motifs aux
programmeurs. Il existe 6 classes de rponses et donc de codes d'tat, reprsentes par le premier
digit :
1xx = Information - La requte a t reue et continue tre traite.
2xx = Succs - L'action a t reue avec succs, comprise et accepte.
3xx = Redirection - Une autre action doit tre mene afin de valider la requte.
4xx = Erreur du client - La requte contient une syntaxe errone ou ne peut pas tre
traite par ce serveur.
5xx = Erreur du serveur - Le serveur n'a pas russi traiter une requte apparemment
correcte.
6xx = Echec gnral - La requte ne peut tre traite par aucun serveur.
3.3 Rle des composants
Dans un systme SIP on trouve deux types de composantes, les agents utilisateurs (UAS,
UAC) et un rseau de serveurs (Registrar, Proxy)
L'UAS (User Agent Server) reprsente l'agent de la partie appele. C'est une application de type
serveur qui contacte l'utilisateur lorsqu'une requte SIP est reue. Et elle renvoie une rponse au
nom de l'utilisateur.
L'U.A.C (User Agent Client) reprsente l'agent de la partie appelante. C'est une application de
type client qui initie les requtes.
Le Registrar est un serveur qui gre les requtes REGISTER envoyes par les Users Agents
pour signaler leur emplacement courant. Ces requtes contiennent donc une adresse IP, associe
une URI, qui seront stockes dans une base de donnes (figure 4).
Les URI SIP sont trs similaires dans leur forme des adresses email :
sip:utilisateur@domaine.com. Gnralement, des mcanismes d'authentification permettent
d'viter que quiconque puisse s'enregistrer avec n'importe quelle URI.

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 21





Figure 4 : Enregistrement d'un utilisateur
Un Proxy SIP sert d'tre lintermdiaire entre deux User Agents qui ne connaissent pas
leurs emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a t stocke
pralablement dans une base de donnes par un Registrar. Le Proxy peut donc interroger cette
base de donnes pour diriger les messages vers le destinataire. La figure 5 montre les tapes de
linterrogation du proxy la base de donnes









Figure 5 : Principe du protocole SIP




Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 22











Figure 6 : Session SIP travers un proxy
Le Proxy se contente de relayer uniquement les messages SIP pour tablir, contrler et
terminer la session (voir figure 6). Une fois la session tablie, les donnes, par exemple un flux
RTP pour la VoIP, ne transitent pas par le serveur Proxy. Elles sont changes directement entre
les User Agents.
3.4 Avantages et inconvnients
Ouvert, standard, simple et flexible sont les principales atouts du protocole SIP, voil en dtails
ces diffrents avantages :
Ouvert : les protocoles et documents officiels sont dtaills et accessibles tous en
tlchargement.
Standard : l'IETF a normalis le protocole et son volution continue par la cration ou
l'volution d'autres protocoles qui fonctionnent avec SIP.
Simple : SIP est simple et trs similaire http.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 23
Flexible : SIP est galement utilis pour tout type de sessions multimdia (voix, vido,
mais aussi musique, ralit virtuelle, etc.).
Tlphonie sur rseaux publics : il existe de nombreuses passerelles (services payants)
vers le rseau public de tlphonie (RTC, GSM, etc.) permettant d'mettre ou de recevoir
des appels vocaux.
Points communs avec H323 : l'utilisation du protocole RTP et quelques codecs son et
vido sont en commun.
Par contre une mauvaise implmentation ou une implmentation incomplte du protocole
SIP dans les User Agents peut perturber le fonctionnement ou gnrer du trafic superflu sur le
rseau. Un autre inconvnient est le faible nombre d'utilisateurs : SIP est encore peu connu et
utilis par le grand public, n'ayant pas atteint une masse critique, il ne bnficie pas de l'effet
rseau.
4. Protocoles de transport
Nous dcrivons deux autres protocoles de transport utiliss dans la voix sur IP savoir
lRTP et le RTCP
4.1 Le protocole RTP
4.1.1 Description gnrale de RTP
RTP (Real time Transport Protocol), standardis en 1996, est un protocole qui a t
dvelopp par l'IETF afin de faciliter le transport temps rel de bout en bout des flots donnes
audio et vido sur les rseaux IP, c'est dire sur les rseaux de paquets. RTP est un protocole qui
se situe au niveau de l'application et qui utilise les protocoles sous-jacents de transport TCP ou
UDP. Mais l'utilisation de RTP se fait gnralement au-dessus dUDP ce qui permet d'atteindre
plus facilement le temps rel. Les applications temps rels comme la parole numrique ou la
visioconfrence constitue un vritable problme pour Internet. Qui dit application temps rel, dit
prsence d'une certaine qualit de service (QoS) que RTP ne garantie pas du fait qu'il fonctionne
au niveau Applicatif. De plus RTP est un protocole qui se trouve dans un environnement
multipoint, donc on peut dire que RTP possde sa charge, la gestion du temps rel, mais aussi
l'administration de la session multipoint.

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 24
4.1.2 Les fonctions de RTP
Le protocole RTP a pour but d'organiser les paquets l'entre du rseau et de les
contrler la sortie. Ceci de faon reformer les flux avec ses caractristiques de dpart. RTP
est un protocole de bout en bout, volontairement incomplet et mallable pour s'adapter aux
besoins des applications. Il sera intgr dans le noyau de l'application. Il laisse la responsabilit
du contrle aux quipements d'extrmit. Il est aussi un protocole adapt aux applications
prsentant des proprits temps rel. Il permet ainsi de :
Mettre en place un squencement des paquets par une numrotation et ce afin de
permettre ainsi la dtection des paquets perdus. Ceci est un point primordial dans la
reconstitution des donnes. Mais il faut savoir quand mme que la perte d'un paquet n'est
pas un gros problme si les paquets ne sont pas perdus en trop grands nombres.
Cependant il est trs important de savoir quel est le paquet qui a t perdu afin de pouvoir
pallier cette perte.
Identifier le contenu des donnes pour leurs associer un transport scuris et reconstituer
la base de temps des flux (horodatage des paquets : possibilit de resynchronisation des
flux par le rcepteur)
L'identification de la source c'est dire l'identification de l'expditeur du paquet. Dans un
multicast l'identit de la source doit tre connue et dtermine.
Transporter les applications audio et vido dans des trames (avec des dimensions qui sont
dpendantes des codecs qui effectuent la numrisation). Ces trames sont incluses dans
des paquets afin d'tre transportes et doivent, de ce fait, tre rcupres facilement au
moment de la phase de segmentation des paquets afin que l'application soit dcode
correctement.
4.1.3 Avantages et inconvnients
Le protocole RTP permet de reconstituer la base de temps des diffrents flux multimdia
(audio, vido, etc.); de dtecter les pertes de paquets; et didentifier le contenu des paquets pour
leur transmission scurise.
Par contre, il ne permet pas de rserver des ressources dans le rseau ou dapporter une fiabilit
dans le rseau. Ainsi il ne garanti pas le dlai de livraison.

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 25
4.2 Le protocole RTCP
4.2.1 Description gnrale de RTCP
Le protocole RTCP est fond sur la transmission priodique de paquets de contrle tous
les participants d'une session. C'est le protocole UDP (par exemple) qui permet le multiplexage
des paquets de donnes RTP et des paquets de contrle RTCP.
Le protocole RTP utilise le protocole RTCP, Real-time Transport Control Protocol, qui
transporte les informations supplmentaires suivantes pour la gestion de la session.
Les rcepteurs utilisent RTCP pour renvoyer vers les metteurs un rapport sur la QoS.
Ces rapports comprennent le nombre de paquets perdus, le paramtre indiquant la variance d'une
distribution (plus communment appel la gigue : c'est dire les paquets qui arrivent
rgulirement ou irrgulirement) et le dlai aller-retour. Ces informations permettent la source
de s'adapter, par exemple, de modifier le niveau de compression pour maintenir une QoS.
Parmi les principales fonctions quoffre le protocole RTCP sont les suivants :
Une synchronisation supplmentaire entre les mdias : Les applications multimdias sont
souvent transportes par des flots distincts. Par exemple, la voix, l'image ou mme des
applications numrises sur plusieurs niveaux hirarchiques peuvent voir les flots gres
et suivre des chemins diffrents.
L'identification des participants une session : en effet, les paquets RTCP contiennent
des informations d'adresses, comme l'adresse d'un message lectronique, un numro de
tlphone ou le nom d'un participant une confrence tlphonique.
Le contrle de la session : en effet le protocole RTCP permet aux participants d'indiquer
leur dpart d'une confrence tlphonique (paquet Bye de RTCP) ou simplement de
fournir une indication sur leur comportement.
Le protocole RTCP demande aux participants de la session d'envoyer priodiquement les
informations cites ci-dessus. La priodicit est calcule en fonction du nombre de participants
de l'application. On peut dire que les paquets RTP ne transportent que les donnes des
utilisateurs. Tandis que les paquets RTCP ne transportent en temps rel, que de la supervision.
On peut dtailler les paquets de supervision en 5 types:
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 26
SR (Sender Report) : Ce rapport regroupe des statistiques concernant la transmission
(pourcentage de perte, nombre cumul de paquets perdus, variation de dlai (gigue), etc.).
Ces rapports sont issus d'metteurs actifs d'une session.
RR (Receiver Report) : Ensemble de statistiques portant sur la communication entre les
participants. Ces rapports sont issus des rcepteurs d'une session.
SDES (Source Description) : Carte de visite de la source (nom, e-mail, localisation).
BYE : Message de fin de participation une session.
APP : Fonctions spcifiques une application.
4.2.2 Point fort et limite du protocole RTCP
Le protocole de RTCP est adapt pour la transmission de donnes temps rel. Il permet
deffectuer un contrle permanant sur une session et ces participants. Par contre il fonctionne en
stratgie bout bout. Et il ne peut pas contrler l'lment principal de la communication le
rseau .
5. Points forts et limites de la voix sur IP
Diffrentes sont les raisons qui peuvent pousser les entreprises sorienter vers la VoIP
comme solution pour la tlphonie. Les avantages les plus marqus sont :
Rduction des cots : En effet le trafic vhicul travers le rseau RTC est plus couteux
que sur un rseau IP. Rductions importantes pour des communications internationales en
utilisant le VoIP, ces rductions deviennent encore plus intressantes dans la mutualisation
voix/donnes du rseau IP intersites (WAN). Dans ce dernier cas, le gain est directement
proportionnel au nombre de sites distants.
Standards ouverts : La VoIP nest plus uniquement H323, mais un usage multi-
protocoles selon les besoins de services ncessaires. Par exemple, H323 fonctionne en mode
gale gale alors que MGCP fonctionne en mode centralis. Ces diffrences de conception
offrent immdiatement une diffrence dans l'exploitation des terminaisons considres.
Un rseau voix, vido et donnes ( la fois) : Grace lintgration de la voix comme une
application supplmentaire dans un rseau IP, ce dernier va simplifier la gestion des trois
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 27
applications (voix, rseau et vido) par un seul transport IP. Une simplification de gestion,
mais galement une mutualisation des efforts financiers vers un seul outil.
Un service PABX distribu ou centralis : Les PABX en rseau bnficient de services
centraliss tel que la messagerie vocale et la taxation. Cette mme centralisation continue
tre assure sur un rseau VoIP sans limitation du nombre de canaux. Il convient pour en
assurer une bonne utilisation de dimensionner convenablement le lien rseau. L'utilisation de
la VoIP met en commun un mdia qui peut la fois offrir un moment prcis une bande
passante maximum la donne, et dans une autre priode une bande passante maximum la
voix, garantissant toujours la priorit celle-ci.
Les points faibles de la voix sur IP sont :
Fiabilit et qualit sonore : un des problmes les plus importants de la tlphonie sur IP
est la qualit de la retransmission qui nest pas encore optimale. En effet, des dsagrments
tels la qualit de la reproduction de la voix du correspondant ainsi que le dlai entre le
moment o lun des interlocuteurs parle et le moment o lautre entend peuvent tre
extrmement problmatiques. De plus, il se peut que des morceaux de la conversation
manquent (des paquets perdus pendant le transfert) sans tre en mesure de savoir si des
paquets ont t perdus et quel moment.
Dpendance de linfrastructure technologique et support administratif exigeant : les
centres de relations IP peuvent tre particulirement vulnrables en cas dimproductivit de
linfrastructure. Par exemple, si la base de donnes nest pas disponible, les centres ne
peuvent tout simplement pas recevoir dappels. La convergence de la voix et des donnes
dans un seul systme signifie que la stabilit du systme devient plus importante que jamais
et lorganisation doit tre prpare travailler avec efficience ou encourir les
consquences.
Vol : les attaquants qui parviennent accder un serveur VoIP peuvent galement
accder aux messages vocaux stocks et au mme au service tlphonique pour couter des
conversations ou effectuer des appels gratuits aux noms dautres comptes.
Attaque de virus : si un serveur VoIP est infect par un virus, les utilisateurs risquent de
ne plus pouvoir accder au rseau tlphonique. Le virus peut galement infecter dautres
ordinateurs connects au systme.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 28
Conclusion
Comme on a pu le voir tout au long de ce chapitre, la VoIP est la solution la plus rentable
pour effectuer des conversations. Actuellement il est vident que la VoIP va continuer voluer.
La tlphonie IP est une bonne solution en matire dintgration, fiabilit et de cot. On a
vu que la voix sur IP tant une nouvelle technologie de communication, elle na pas encore de
standard unique. Chaque standard possde ses propres caractristiques pour garantir une bonne
qualit de service. En effet, le respect des contraintes temporelles est le facteur le plus important
lors de transport de la voix.
Malgr que la normalisation nait pas atteint la maturit suffisante pour sa gnralisation
au niveau des rseaux IP, il nest pas dangereux de miser sur ces standards vu quils ont t
accepts par lensemble de la communaut de la tlphonie.
Pour finir lors de la mise en uvre de cette technologie, il faut poser la question
suivante : le dveloppement de cette technologie reprsente til un risque ou une opportunit
pour les utilisateurs et les oprateurs tlphoniques ?












Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 29





Chapitre 2



Attaques contre la
VoIP et bonnes
pratiques de
scurisation







Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 30

Introduction
Lopportunit de migrer de la tlphonie classique vers la tlphonie IP, a offert plusieurs
avantages pour les entreprises, et les a permirent de bnficier de nouveaux services tel que la
vidoconfrence et la transmission des donnes. Lintgration de ces services dans une seule
plateforme ncessite plus de scurit
Dans ce chapitre, nous driverons des attaques qui menacent la VoIP, et nous dtaillerons
quelques uns. Nous finirons par une description des bonnes pratiques pour scuriser les
communications de type voix sur IP.
Le systme VoIP utilise lInternet, et particulirement le protocole IP. De ce fait les
vulnrabilits de celui-ci.
Les attaques sur les rseaux VoIP peuvent tre classes en deux types : les attaques
internes et les attaques externes. Les attaques externes sont lances par des personnes autres que
celle qui participe lappel, et ils se produisent gnralement quand les paquets VoIP traversent
un rseau peu fiable et/ou lappel passe par un rseau tiers durant le transfert des paquets. Les
attaques internes seffectuent directement du rseau local dans lequel se trouve lattaquant.
Il existe deux principales classes de vulnrabilits sur un environnement VoIP. La
premire dpend des protocoles utiliss (SIP, H.323) et la deuxime est relie aux systmes
sur lesquels les lments VoIP sont implments. Chaque protocole ou service a ses propres
vulnrabilits.
1. Attaques sur le protocole
Un appel tlphonique VoIP est constitu de deux parties : la signalisation, qui instaure
lappel, et les flux de media, qui transporte la voix.
La signalisation, en particulier SIP, transmet les enttes et la charge utile (Payload) du
paquet en texte clair, ce qui permet un attaquant de lire et falsifier facilement les paquets. Elle
est donc vulnrable aux attaques qui essaient de voler ou perturber le service tlphonique, et
lcoute clandestine qui recherche des informations sur un compte utilisateur valide, pour passer
des appels gratuits par exemple. La signalisation utilise, en gnral, le port par dfaut UDP/TCP
5060. Le firewall doit tre capable dinspecter les paquets de signalisation et ouvre ce port afin
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 31
de leurs autoriser laccs au rseau. Un firewall qui nest pas compatible aux protocoles de la
VoIP doit tre configur manuellement pour laisser le port 5060 ouvert, crant un trou pour des
attaques contre les lments qui coutent lactivit sur ce port.
Le protocole RTP, utilis pour le transport des flux multimdia, prsente galement
plusieurs vulnrabilits dues labsence dauthentification et de chiffrage. Chaque entte dun
paquet RTP contient un numro de squence qui permet au destinataire de reconstituer les
paquets de la voix dans lordre appropri.
Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numro
de squence plus lev. En consquence, ces paquets seront diffuss la place des vrais paquets.
Gnralement, les flux multimdias contournent les serveurs proxy et circulent
directement entre les points finaux. Les menaces habituelles conte le flux de la voix sont
linterruption de transport et lcoute clandestine.
Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par
consquent sont aussi vulnrables toutes les attaques contre ces protocoles, telles le
dtournement de session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc.
Les types dattaques les plus frquentes contre un system VoIP sont :
1.1. Sniffing
Un reniflage (Sniffing) peut avoir comme consquence un vol d'identit et la rvlation
d'informations confidentielles. Il permet galement aux utilisateurs malveillants perfectionns de
rassembler des informations sur les systmes VoIP. Ces informations peuvent par exemple tre
employes pour mettre en place une attaque contre d'autres systmes ou donnes.
Plusieurs outils requis pour le sniffing, y compris pour le protocole H.323 et des plugins
SIP, sont disponibles en open source.
1.2. Suivie des appels
Appel aussi Call tracking, cette attaque se fait au niveau du rseau LAN/VPN et cible
les terminaux (soft/hard phone). Elle a pour but de connatre qui est en train de communiquer et
quelle est la priode de la communication. Lattaquant doit rcuprer les messages INVITE et
BYE en coutant le rseau et peut ainsi savoir qui communique, quelle heure, et pendant
combien de temps.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 32
Pour raliser cette attaque, Lattaquant doit tre capable dcouter le rseau et rcuprer
les messages INVITE et BYE.
1.3. Injection de paquet RTP
Cette attaque se fait au niveau du rseau LAN/VPN. Elle cible le serveur registrar, et a
pour but de perturber une communication en cours.
Lattaquant devra tout dabord couter un flux RTP de lappelant vers lappel, analyser
son contenu et gnrer un paquet RTP contenant un en-tte similaire mais avec un plus grand
numro de squence et timestamp afin que ce paquet soit reproduit avant les autres paquets (sils
sont vraiment reproduits). Ainsi la communication sera perturbe et lappel ne pourra pas se
drouler correctement.
Pour raliser cette attaque, lattaquant doit tre capable dcouter le rseau afin de reprer
une communication et ainsi reprer les timestamps des paquets RTP.
Il doit aussi tre capable dinsrer des messages RTP quil a gnr ayant un timestamp
modifi.
1.4. Les Spam
Trois formes principales de spams sont jusqu maintenant identifis dans SIP:
Call Spam : Ce type de spam est dfini comme une masse de tentatives dinitiation de session
(des requtes INVITE) non sollicites.
Gnralement cest un UAC (User Agent Client) qui lance, en parallle, un grand nombre
d'appels. Si lappel est tabli, l'application gnre un ACK, rejoue une annonce prenregistre, et
ensuite termine l'appel.
IM (Instant Message) Spam : Ce type de spam est semblable celui de l'e-mail.
Il est dfini comme une masse de messages instantans non sollicites. Les IM spams sont pour
la plupart envoys sous forme de requte SIP. Ce pourraient tre des requtes INVITE avec un
entte Subject trs grand, ou des requtes INVITE avec un corps en format texte ou HTML.
Bien-sr, lIM spam est beaucoup plus intrusif que le spam email, car dans les systmes actuels,
les IMs apparaissent automatiquement sous forme de pop-up l'utilisateur.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 33
Presence Spam : Ce type de spam est semblable lIM spam. Il est dfini comme une masse de
requtes de prsence (des requtes SUBSCRIBE) non sollicites. Lattaquant fait ceci dans le but
dappartenir la " white list " d'un utilisateur afin de lui envoyer des messages instantans ou
dinitier avec lui dautres formes de communications. LIM Spam est diffrent du Presence
Spam dans le fait que ce dernier ne transmet pas rellement de contenu dans les messages.
1.5. Le dni de service (DOS : Denial of service)
Cest, d'une manire gnrale, l'attaque qui vise rendre une application informatique ou
un quipement informatique incapable de rpondre aux requtes de ses utilisateurs et donc hors
dusage.
Une machine serveur offrant des services ses clients (par exemple un serveur web) doit
traiter des requtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bnficier,
pour des raisons dlibrment provoques par un tiers, il y a dni de service.
Dans une attaque de type DoS flood attack, les ressources dun serveur ou dun rseau
sont puises par un flot de paquets. Un seul attaquant visant envoyer un flot de paquets peut
tre identifi et isol assez facilement. Cependant l'approche de choix pour les attaquants a
volu vers un dni de service distribu (DDoS). Une attaque DDoS repose sur une distribution
d'attaques DoS, simultanment menes par plusieurs systmes contre un seul. Cela rduit le
temps ncessaire l'attaque et amplifie ses effets. Dans ce type d'attaque les pirates se
dissimulent parfois grce des machines-rebonds (ou machines zombies), utilises l'insu de
leurs propritaires. Un ensemble de machines-rebonds, est contrlable par un pirate aprs
infection de chacune d'elles par un programme de type porte drobe (backdoor).
Une attaque de type DoS peut seffectuer plusieurs niveaux soit :
Couche rseau :
IP Flooding : Le but de l'IP Flooding est d'envoyer une multitude de paquets IP vers une
mme destination de telle sorte que le traitement de ces paquets empche une entit du
rseau (un routeur ou la station destinatrice) de traiter les paquets IP lgitimes. Si l'IP
Flooding est combin l'IP Spoofing, il est impossible, pour le destinataire, de connatre
l'adresse source exacte des paquets IP. De ce fait, moins que le destinataire ne limite ses
changes avec certaines stations, il lui est impossible de contrer ce type d'attaques.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 34
Fragmentation des paquets IP : Par la fragmentation des paquets, il est possible de rendre
hors service de nombreux systmes d'exploitation et dispositif VoIP par le biais de la
consommation des ressources. Il existe de nombreuses variantes dattaques par
fragmentation, parmi les plus populaires teardrop, opentear, nestea, jolt, boink, et Ping of
death.
Couche transport :
LUDP Flooding Attacks : Le principe de cette attaque est quun attaquant envoie un
grand nombre de requtes UDP vers une machine. Le trafic UDP tant prioritaire sur le
trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le rseau et
donc de perturbe le plus la bande passante. Presque touts les dispositifs utilisant le protocole
SIP fonctionnent au dessus du protocole UDP, ce qui en fait delles des cibles. De nombreux
dispositifs de VoIP et de systmes d'exploitation peuvent tre paralyss grce des paquets
UDP Flooding visant lcoute du port SIP (5060) ou dautres ports.
TCP SYN floods est une attaque visant le protocole TCP et plus exactement la phase
dtablissement de connexion. Celle ci consiste en trois sous tapes :
1. Le client envoie un paquet SYN au serveur.
2. Le serveur rpond avec un paquet SYN-ACK.
3. Le client envoie un paquet ACK au serveur.
Lattaque consiste en lenvoie dun grand nombre de paquets SYN. La victime va alors
rpondre par un message SYN-ACK dacquittement. Pour terminer la connexion TCP, la victime
ensuite va attendre pendant une priode de temps la rponse par le biais dun paquet ACK. C'est
l le cur de l'attaque parce que les ACK final ne sont jamais envoys, et par la suite, la
mmoire systme se remplit rapidement et consomme toutes les ressources disponibles ces
demandes non valides. Le rsultat final est que le serveur, le tlphone, ou le routeur ne sera pas
en mesure de faire la distinction entre les faux SYN et les SYN lgitimes d'une relle connexion
VoIP.
Couche applications :
SIP Flooding : Dans le cas de SIP, une attaque DoS peut tre directement dirige contre
les utilisateurs finaux ou les dispositifs tels que tlphones IP, routeurs et proxy SIP, ou
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 35
contre les serveurs concerns par le processus, en utilisant le mcanisme du protocole SIP ou
dautres techniques traditionnelles de DoS.
Voyons maintenant en dtail les diffrentes formes dattaque DoS :
CANCEL
Cest un type de dni de service lanc contre l'utilisateur. Lattaquant surveille lactivit
du proxy SIP et attend quun appel arrive pour un utilisateur spcifique. Une fois que le
dispositif de lutilisateur reoit la requte INVITE, l'attaquant envoie immdiatement une requte
CANCEL. Cette requte produit une erreur sur le dispositif de lappel et termine l'appel. Ce
type d'attaque est employ pour interrompre la communication.








Figure 7 : Attaque DoS via une requte CANCEL
La figure suivante montre un scnario dattaque DoS CANCEL, lutilisateur toto initie
lappel, envoie une invitation (1) au proxy auquel il est rattach. Le proxy du domaine A
achemine la requte (2) au proxy qui est responsable de lutilisateur titi. Ensuite cest le proxy du
domaine B qui prend le relais et achemine la requte INVITE (3) qui arrive enfin destination.
Le dispositif de titi, quand il reoit linvitation, sonne (4). Cette information est rachemine
jusquau dispositif de toto. Lattaquant qui surveille lactivit du proxy SIP du domaine B envoie
une requte CANCEL (7) avant que titi nait pu envoyer la rponse OK qui accepte lappel.
Cette requte annulera la requte en attente (lINVITE), lappel na pas lieu.


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 36
REGISTER
Le serveur d'enregistrement lui-mme est une source potentielle de dni de service pour
les utilisateurs. En effet ce serveur peut accepter des enregistrements de tous les dispositifs. Un
nouvel enregistrement avec une * dans l'entte remplacera tous les prcdents enregistrements
pour ce dispositif. Les attaquants, de cette faon, peuvent supprimer lenregistrement de
quelques-uns des utilisateurs, ou tous, dans un domaine, empchant ainsi ces utilisateurs d'tre
invits de nouvelles sessions.
Notez que cette fonction de suppression denregistrement dun dispositif au profit dun
autre est un comportement voulu en SIP afin de permettre le transfert dappel. Le dispositif de
lutilisateur doit pouvoir devenir le dispositif principal quand il vient en ligne. Cest un
mcanisme trs pratique pour les utilisateurs mais galement pour les pirates.
1.6. Dtournement dappel (Call Hijacking)
Le Call Hijacking consiste dtourner un appel. Plusieurs fournisseurs de service VoIP
utilisent le web comme interface permettant l'utilisateur daccder leur systme tlphonique.
Un utilisateur authentifi peut changer les paramtres de ses transferts d'appel travers cette
interface web. Cest peut tre pratique, mais un utilisateur malveillant peut utiliser le mme
moyen pour mener une attaque.
Exemple: quand un agent SIP envoie un message INVITE pour initier un appel,
l'attaquant envoie un message de redirection 3xx indiquant que lappel s'est dplac et par la
mme occasion donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous
les appels destins lutilisateur sont transfrs et cest lattaquant qui les reoit.
Un appel dtourn en lui-mme est un problme, mais cest encore plus grave quand il est
porteur d'informations sensibles et confidentielles.
1.7. Lcoute clandestine
Leavesdropping est l'coute clandestine dune conversation tlphonique. Un attaquant
avec un accs au rseau VoIP peut sniffer le trafic et dcoder la conversation vocale. Des outils
tels que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de raliser cette
attaque. VOMIT convertit les paquets sniffs en fichier .wav qui peut tre rcout avec
nimporte quel lecteur de fichiers son.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 37














Figure 8 : Exemple de dtournement d'appel " Man in the middle"
Le principe de lcoute clandestine est montr dans la figure 8 comme suit :
1. dterminer les adresses MAC des victimes (client serveur) par lattaquant
2. Envoi dune requte ARP non sollicits au client, pour linformer du changement de
l'adresse MAC du serveur VoIP ladresse MAC.
3. Envoi dune requte ARP non sollicits au serveur, pour linformer du changement de
l'adresse MAC du client ladresse MAC.
4. Dsactiver la vrification des adresses MAC sur la machine dattaque afin que le trafic
puisse circuler entre les 2 victimes
2. Les vulnrabilits de linfrastructure
Une infrastructure VoIP est compose de tlphones IP, Gateway, serveurs (proxy,
register, etc.). Chaque lment, que ce soit un systme embarqu ou un serveur standard tournant
sur un systme d'exploitation, est accessible via le rseau comme n'importe quel ordinateur.
Chacun comporte un processeur qui excute des logiciels qui peuvent tre attaqus ou employs
en tant que points de lancement dune attaque plus profonde.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 38
2.4 Faiblesses dans la configuration des dispositifs de la VoIP
Plusieurs dispositifs de la VoIP, dans leur configuration par dfaut, peuvent avoir une
varit de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent tre
vulnrables aux attaques DoS ou buffer overflow.
Plusieurs dispositifs de la VoIP excutent galement un serveur WEB pour la gestion distance
qui peut tre vulnrable aux attaques buffer overflow et la divulgation dinformations.
Si les services accessibles ne sont pas configurs avec un mot de passe, un attaquant peut
acqurir un accs non autoris ce dispositif.
Les services SNMP (Simple Network Management Protocol) offerts par ces dispositifs
peuvent tre vulnrables aux attaques de reconnaissance ou attaques doverflow.
Plusieurs dispositifs de la VoIP sont configurs pour tlcharger priodiquement un
fichier de configuration depuis un serveur par TFTP ou d'autres mcanismes. Un attaquant peut
potentiellement dtourner ou mystifier cette connexion et tromper le dispositif qui va tlcharger
un fichier de configuration malveillant la place du vritable fichier.
2.5 Les tlphones IP
Un pirate peut compromettre un dispositif de tlphonie sur IP, par exemple un tlphone
IP, un softphone et autres programmes ou matriels clients. Gnralement, il obtient les
privilges qui lui permettent de commander compltement la fonctionnalit du dispositif.
Compromettre un point final (tlphone IP) peut tre fait distance ou par un accs
physique au dispositif. Le pirate pourrait modifier les aspects oprationnels d'un tel dispositif:
La pile du systme d'exploitation peut tre change. Ainsi la prsence de l'attaquant ne
sera pas remarque.
Aussi un firmware modifi de manire malveillante peut tre tlcharg et install. Les
modifications faites la configuration des logiciels de tlphonie IP peuvent permettre:
Aux appels entrants d'tre rorients vers un autre point final sans que l'utilisateur soit au
courant.
Aux appels dtre surveills.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 39
A l'information de la signalisation et/ou les paquets contenant de la voix dtre routs
vers un autre dispositif et galement dtre enregistrs et/ou modifis.
De compromettre la disponibilit du point final. Par exemple, ce dernier peut rejeter
automatiquement toutes les requtes dappel, ou encore, liminer tout dclenchement de
notification tel quun son, une notification visuelle larrive dun appel. Les appels peuvent
galement tre interrompus limproviste (quelques tlphones IP permettent ceci via une
interface web).
Dautres consquences possibles sont:
Des backdoors pourraient t installs.
Toutes les informations concernant l'utilisateur qui sont stockes sur le dispositif
pourraient t extraites.
Lacquisition d'un accs non autoris sur un dispositif de tlphonie IP peut tre le
rsultat d'un autre lment compromis sur le rseau IP, ou de l'information rcolte sur le rseau.
Les softphones ne ragissent pas de la mme faon aux attaques compars leur
homologues tlphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs
inclus dans le systme, savoir les vulnrabilits du systme d'exploitation, les vulnrabilits de
lapplication, les vulnrabilits du service, des vers, des virus, etc. En plus, le softphone demeure
sur le segment de donnes, est ainsi sensible aux attaques lances contre ce segment et pas
simplement contre lhte qui hberge lapplication softphone.
Les tlphones IP excutent quant eux leurs propres systmes dexploitation avec un
nombre limit de services supports et possdent donc moins de vulnrabilits.
2.6 Les serveurs
Un pirate peut viser les serveurs qui fournissent le rseau de tlphonie sur IP.
Compromettre une telle entit mettra gnralement en pril tout le rseau de tlphonie dont le
serveur fait partie.
Par exemple, si un serveur de signalisation est compromis, un attaquant peut contrler
totalement l'information de signalisation pour diffrents appels. Ces informations sont routes
travers le serveur compromis. Avoir le contrle de l'information de signalisation permet un
attaquant de changer n'importe quel paramtre relatif lappel.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 40
Si un serveur de tlphonie IP est install sur un systme d'exploitation, il peut tre une
cible pour les virus, les vers, ou nimporte quel code malveillant.
2.7 Les vulnrabilits du systme dexploitation
Ces vulnrabilits sont pour la plupart relatives au manque de scurit lors de la phase
initiale de dveloppement du systme d'exploitation et ne sont dcouvertes quaprs le lancement
du produit.
Une des principales vulnrabilits des systmes d'exploitation est le buffer overflow. Il
permet un attaquant de prendre le contrle partiel ou complet de la machine.
Les dispositifs de la VoIP tels que les tlphones IP, Call Managers, Gateway et les
serveurs proxy, hritent les mmes vulnrabilits du systme d'exploitation ou du firmware sur
lequel ils tournent.
Il existe une centaine de vulnrabilits exploitables distance sur Windows et mme sur
Linux. Un grand nombre de ces exploits sont disponibles librement et prts tre tlchargs sur
l'Internet.
Peu importe comment, une application de la VoIP s'avre tre sre, celle ci devient
menac si le systme d'exploitation sur lequel elle tourne est compromis.
3. Scurisation et bonne pratiques
On dj vu que les vulnrabilits existe au niveau protocolaire, application et systmes
dexploitation. Pour cela, on a dcoup la scurisation aussi en trois niveaux : Scurisation
protocolaire, scurisation de lapplication et scurisation du systme de lexploitation.
3.1 Scurisation protocolaire
La prvalence et la facilit de sniffer des paquets et d'autres techniques pour la capture
des paquets IP sur un rseau pour la voix sur IP fait que le cryptage soit une ncessit. La
scurisation de la VoIP est la protection des personnes qui sont interconnect.
IPsec peut tre utilis pour raliser deux objectifs. Garantir l'identit des deux points
terminaux et protger la voix une fois que les paquets quittent l'Intranet de l'entreprise. VOIPsec
(VoIP utilisant IPsec) contribue rduire les menaces, les sniffeurs de paquets, et de nombreux
types de trafic vocal analyze . Combin avec un pare-feu, IPsec fait que la VOIP soit plus sr
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 41
quune ligne tlphonique classique. Il est important de noter, toutefois, que IPsec n'est pas
toujours un bon moyen pour certaines applications, et que certains protocoles doivent continuer
compter sur leurs propres dispositifs de scurit.
3.1.1 VoIP VPN
Un VPN VoIP combine la voix sur IP et la technologie des rseaux virtuels privs pour
offrir une mthode assurant la prservation de la prestation vocale. Puisque la VoIP transmet la
voix numrise en un flux de donnes, la solution VPN VoIP semble celle la plus appropri vu
quelle offre le cryptage des donnes grces a des mcanismes de cryptages, puisquelle permet
doffrir lintgrit des paquets VoIP.
Cryptage aux points terminaux
Vu que notre objectif est dassurer la confidentialit et lintgrit des clients, le mode
choisie est donc le mode tunnel. Puisquil scurise le paquet comme un tout (contrairement en
mode transport qui ne scurise que le payload IP). Le mode tunnel se base sur lencapsulation de
tout le paquet IP et ajoute un nouvel entte pour lacheminement de ce dernier. Ce mode est
gnralement utilis pour les routeur-to-routeur. En plus du mode tunnel, on choisi le protocole
ESP qui lui a son tour va assurer le cryptage des donnes et donc la confidentialit contrairement
au protocole AH qui lui ne permet que lauthentification des paquets et non le cryptage.
Dans ce cas, la solution quon propose est ESP mode tunnel qui sera appliqu uniquement
sur les points de terminaison la voix IP, cest-a-dire le routeur. Ceci nous permettra donc de
minimiser le nombre de machines qui seront impliques dans le traitement engendr par la
scurit. De plus le nombre des cls ncessaires sera rduit.
3.1.2 Secure RTP ou SRTP
SRTP est conu pour scuriser la multiplication venir des changes multimdias sur les
rseaux. Il couvre les lacunes de protocoles de scurit existants comme IPsec (IP Security), dont
le mcanisme d'changes de cls est trop lourd. Il aussi est bti sur le protocole temps rel RTP
(Real Time Transport Protocol). Il associe aussi une demi-douzaine de protocoles
complmentaires. Il est donc compatible la fois avec des protocoles d'initiation de session de
voix sur IP tel que SIP (Session Initiation Protocol), ainsi que le protocole de diffusion de
contenu multimdia en temps rel RTSP (Real Time Streaming Protocol). Mais, surtout, il
s'adjoint les services du protocole de gestion de cl MIKEY (Multimedia Internet KEYing).
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 42
Service de scurits offertes par SRTP
Les principaux services offerts par SRTP sont :
Rendre confidentielles les donnes RTP, que ce soit len-tte et la charge utile ou
seulement la charge utile.
Authentifier et vrifier lintgrit des paquets RTP. Lmetteur calcule une empreinte du
message envoyer, puis lenvoie avec le message mme.
La protection contre le rejeu des paquets. Chaque rcepteur tient jour une liste de tous
les indices des paquets reus et bien authentifis.
Principe de fonctionnement de SRTP
Avec une gestion de cl approprie, SRTP est scuris pour les applications unicast et
multicast de RTP. En thorie, SRTP est une extension du protocole RTP dans lequel a t
rajoute des options de scurit. En effet, il a pour but doffrir plusieurs implmentations de
cryptographie tout en limitant loverhead li lutilisation des chiffrements. Il propose des
algorithmes qui monopoliseront au minimum les ressources et lutilisation de la mmoire.
Surtout, il permet de rendre RTP indpendant des autres couches en ce qui concerne lapplication
de mcanismes de scurit.
Pour implmenter les diffrents services de scurit prcits, SRTP utilise les composants
principaux suivants :
Une cl matresse utilise pour gnrer des cls de session; Ces dernires seront utilises
pour chiffrer ou pour authentifier les paquets.
Une fonction utilise pour calculer les cls de session partir de la cl matresse.
Des cls alatoires utilises pour introduire une composante alatoire afin de contrer les
ventuels rejeu ou effets de mmoire.
SRTP utilise deux types de cls : clef de session et clef matresse. Par clef de session
nous entendons une clef utilise directement dans les transformations cryptographiques; et par
clef matresse , nous entendons une chane de bit alatoire partir desquelles les clefs de
sessions sont drives par une voie scuris avec des mcanismes cryptographiques.

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 43
Format du paquet SRTP
Un paquet SRTP est gnr par transformation dun paquet RTP grce des mcanismes
de scurit. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
quils ne soient sur le rseau. La figure suivante prsente le format dun paquet SRTP




Figure 9 : Format d'un paquet SRTP
On remarque que le paquet SRTP est ralis en rajoutant deux champs au paquet RTP :
SRTP MKI (SRTP Master Key identifier) : sert re-identifier une clef matresse
particulire dans le contexte cryptographique. Le MKI peut tre utilis par le rcepteur pour
retrouver la clef primaire correcte quand le besoin dun renouvellement de clefs survient.
Authentication tag : est un champ insr lorsque le message a t authentifi. Il est
recommand den faire usage. Il fournit lauthentification des en-ttes et donnes RTP et
indirectement fournit une protection contre le rejeu de paquets en authentifiant le numro de
squence.
3.2 Scurisation de lapplication
Plusieurs mthodes peuvent tre appliques pour scuriser l'application, ces mthodes
varient selon le type d'application (serveur ou client). Pour scuriser le serveur il faut :
- Lutilisation dune version stable, Il est bien connu que toute application non stable
contient surement des erreurs et des vulnrabilits. Pour minimiser les risques, il est impratif
d'utiliser une version stable.
- Tester les mises jour des softwares dans un laboratoire de test. Il est trs important de
tester toute mise jour de l'application dans un laboratoire de test avant de les appliquer sur le
systme en production
- Ne pas tester les correctifs sur le serveur lui-mme:
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 44
- Ne pas utiliser la configuration par dfaut qui sert juste tablir des appels. Elle ne
contient aucune protection contre les attaques.
- Ne pas installer une application client dans le serveur.
Certains paramtres doivent tre appliqus de manire slective. Ces paramtres
renforcent la scurit de lapplication, on peut les activer ou les interdire sur la configuration
gnrale de lapplication, comme on peut juste utiliser les paramtres ncessaires pour des
clients bien dtermin et selon le besoin bien sr. Ces paramtres protgent gnralement contre
le dnie de service et ces diffrentes variantes. Il est conseiller dutiliser les paramtres qui
utilise le hachage des mots de passe, et cela assure la confidentialit.
3.3 Scurisation du systme dexploitation
Il est trs important de scuriser le systme sur lequel est implment le serveur de VoIP.
En effet, si le systme est compromis, lattaque peut se propager sur lapplication serveur. Celle-
ci risque daffecter les fichiers de configuration contenant des informations sur les clients
enregistrs.
Il y a plusieurs mesures de scurits prendre pour protger le systme dexploitation :
- utiliser un systme dexploitation stable. Les nouvelles versions toujours contiennent des
bugs et des failles qui doivent tre corrigs et matriss avant.
- mettre jour le systme dexploitation en installant les correctifs de scurit
recommand pour la scurit.
- Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les
intrusions. Et ils ne doivent pas tre des dates de naissances, des noms, ou des numros de
tlphones. Un mot de passe doit tre assez long et former dune combinaison de lettre, de
chiffres et ponctuations.
- Ne pas excuter le serveur VoIP avec un utilisateur privilge. Si un utilisateur malveillant
arrive accder au systme via une exploitation de vulnrabilit sur le serveur VoIP, il
hritera tous les privilges de cet utilisateur.
- Asterisk in CHROOT : empcher le serveur VoIP davoir une visibilit complte de
larborescence du disque, en lexcutant dans un environnement scuris qui lempche
dinteragir librement avec le systme.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 45
- Sauvegarde des fichiers log distance : les fichiers log sont trs importants, il est
conseill de les enregistrer sur un serveur distant.
- Installer seulement les composants ncessaires : pour limiter les menaces sur le systme
dexploitation. Il vaut mieux installer sur la machine le systme dexploitation et le serveur.
- Supprimer tous programmes, logiciels ou des choses qui nont pas dimportance et qui
peuvent tre une cible dattaque pour accder au systme.
- Renforcer la scurit du systme dexploitation en installant des patches qui permettent
de renforcer la scurit gnrale du noyau.
On peut aussi utiliser les pare feu ou/et les ACL pour limiter laccs des personnes bien
dtermin et fermer les ports inutiles et ne laisser que les ports utiliss (5060, 5061, 4569,). Le
pare feu (firewall) est un software ou hardware qui a pour fonction de scuriser un rseau ou un
ordinateur contre les intrusions venant dautres machines. Le pare feu utilise le systme de
filtrage de paquet aprs analyse de lentte des paquets IP qui schange entre les machines.
Le firewall peut tre implment avec un ACL qui est une liste d'Access Control Entry
(ACE) ou entre de contrle d'accs donnant ou supprimant des droits d'accs une personne ou
un groupe. On aura besoin dACL pour donner des droits des personnes bien dtermins selon
leurs besoins et leurs autorits.
Pour un serveur VoIP, il est important dimplmenter les ACL pour scuriser le serveur
en limitant laccs des personnes indsirables. Par exemple, seuls les agents enregistrs
peuvent envoyer des requtes au serveur. Il existe trois catgories dACL :
La liste de contrle daccs peut tre installe en rseau sur les pare feu ou les routeurs,
mais aussi ils existent dans les systmes dexploitation.





Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 46
Conclusion
La voix sur IP devient jour aprs jour plus cibl. Il existe plusieurs autres attaques qui
menace la scurit du VoIP, les attaques cit dans ce chapitre sont les plus fameux et courant
dans les rseaux VoIP.
Mais en suivant certaines bonnes pratiques parmi les cits, on peut crer un rseau bien
scuris.














Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 47


Chapitre 3

Installation et
configuration
dune solution de
VoIP base sur
loutil Asterisk









Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 48




Introduction
Asterisk est un autocommutateur tlphonique prive (PABX) open source pour les
systmes dexploitation UNIX, il est publi sous licence GPL.
Asterisk comprend un nombre trs lev de fonctions, tel que les appels tlphoniques, la
messagerie vocale, les fils dattentes, les confrences, etc. Il implmente plusieurs protocoles
H.320, H.323, SIP et IAX.
Durant ce chapitre, on montrera les tapes dinstallation et de configuration dAsterisk sous le
systme dexploitation Linux, ainsi que linstallation et la configuration de X-Lite qui est un
tlphone VoIP softphone, freeware.
1. Architecture du rseau VoIP dploy
La figure 10 montre larchitecture adopte au cours de la configuration de la solution de VoIP
base dAsterisk
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 49

Figure 10 : Architecture du rseau VoIP raliser

- Les deux clients SIP : Sont des machines sur lesquelles install le systme dexploitation
linux et un client X-Lite.
- Poste attaquant : Dans le quel on a install Windows XP pour raliser les attaques.
- Machine serveur : Sur laquelle install un systme dexploitation Linux Centos , et le
serveur de VoIP, Asterisk.
- Firewall : Un firewall software est install dans la machine serveur pour limiter laccs.
2. Installation dAsterisk 1.4
Avant dinstaller Asterisk, il faut prparer le systme sous lequel on installera notre
serveur. Pour cela, il faut installer tout dabord les pr-requis ncessaires.
2.1 Dtermination des pr-requis
Les pr-requis ncessaires pour que linstallation du serveur Asterisk saccomplit avec succs,
sont classs dans un tableau ci-dessous :
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 50

Tableau 1 : Liste de paquetages ncessaires pour compiler asterisk et libpri
Le meilleur chemin pour obtenir le code source dAsterisk et ces paquetages est de les
tlcharger partir du site web www.asterisk.org. On peut aussi les tlcharger directement du
serveur de Digium.
2.2 Tlchargement des codes sources
Voil les lignes de commandes ncessaires pour le tlchargement dAsterisk et libpri
identifie lurl. Aprs on tlcharge via la commande wget
# cd /usr/src/
# wget http://downloads.digium.com/pub/asterisk/asterisk-1.4-current.tar.gz
Nom du paquetage
Commande
dinstallation
Note
GCC 3.x yum install y gcc Ncessaire pour compiler zaptel, libpri, et asterisk
Ncurses-devel
yum install y ncurses-
devel
Ncessaire pour menuselect
libtermcap-devel
yum install y
libtermcap-devel
Ncessaire pour asterisk
Kernel Development
Headers
yum install -y
kernel-devel
Ncessaire pour compiler zaptel
Kernel Development
Headers (SMP)
yum install -y
kernel-smp-devel
Ncessaire pour compiler zaptel
GCC C++ 3.x yum install y gcc-c++ Ncessaire pour asterisk
OpenSSL (optionnel)
yum install y openssl-
devel
Dpendance de OSP, IAX2 encryption, res_crypto
(RSA key support) Ncessaire pour asterisk
zlib-devel (optionnel)
yum install y zlib-
devel
Dpendance de DUNDi Ncessaire pour asterisk
unixODBC; unixODBC-
devel (optionnel)
yum install y
unixODBC-devel
Dpendance de func_odbc, cdr_odbc,
res_config_odbc, res_odbc, ODBC_STORAGE
Libtool (optionnel;
recommand)
yum install y libtool Dependence de ODBC-related modules
GNU make (version 3.80
ou plus)
yum install y make Ncessaire pour compiler zaptel et asterisk
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 51
# wget http://downloads.digium.com/pub/libpri/libpri-1.4-current.tar.gz
# wget http://downloads.digium.com/pub/zaptel/zaptel-1.4-current.tar.gz
2.3 Extraction des paquetages
Les paquetages tlchargs sont des archives compresss qui contiennent le code source,
on aura besoin de les extraire, en utilisant la commande tar, avant de les compiler.
# cd /usr/src/
# tar zxvf zaptel-1.4-current.tar.gz
# tar zxvf libpri-1.4-current.tar.gz
# tar zxvf asterisk-1.4-current.tar.gz


2.4 Compilation et installation:
Le Zaptel est un noyau chargeable qui prsente une couche d'abstraction entre le matriel et les
pilotes de Zapata dans le module Asterisk.
# cd /usr/src/zaptel-1.4 =accs au dossier du Zaptel
# make clean =supprime les fichiers inutiles aprs installation.
#./configure =construction dun nouveau fichier makefile.
#make menuselect =execution de la partie menuselect dans le fichier make file
#make =compilation du code source
# make install =execution de la partie install dans makefile.
Makefile est un fichier qui contient les instructions excuter partir des commandes,
./configure, make, make install, make config, etc. chacune de ces commandes excute le code
appropri elle dans ce fichier.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 52
Libpri est utilis par les dcideurs du multiplexage temporel (TDM) des appareils VoIP,
mais mme sil ny a pas le matriel install, il est conseill de compiler et installer cette
bibliothque. Elle doit tre compil et install avant Asterisk, car elle sera dtect et utilis
lorsquAsterisk est compil.
# cd /usr/src/libpri-1.4
# make clean
# make
# make install
Asterisk est un serveur de tlphonie open-source permettant de disposer sur un simple
PC les fonctions rserves aux PABX professionnel.



# cd /usr/src/asterisk-1.4
# make clean
#. /configure
# make menuselect
# make install
# make samples
Dans le cas o on voudrait bien lancer zaptel et le serveur asterisk au dmarrage du
systme, il faut excuter aprs la compilation et linstallation des paquetages la commande
suivante :
# make config cette commande charge le serveur Asterisk au dmarrage du systme
Ainsi Asterisk est install il suffit maintenant de lancer le serveur et de se connecter la
console CLI (Command Line Interface) via la commande :
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 53
# asterisk r
3. Configuration dAsterisk
3.1 Identification des fichiers de configuration
Une fois linstallation dAsterisk est effectue, plusieurs fichiers sont crs :
- /usr/sbin/ : Contient le fichier binaire d'Asterisk (programme principal).
- /usr/lib/asterisk/ : Contient les fichiers binaires qu'Asterisk utilise pour fonctionner.
- /usr/lib/asterisk/modules/ : Contient les modules pour les applications, les codecs, et les
drivers.
- /var/lib/asterisk/sounds/ : Contient les fichiers audio utiliss par Asterisk, par exemple
pour les invites de la boite vocale.
- /var/run/asterisk.pid : Fichier contenant le numro du processus Asterisk en cours.
- /var/spool/asterisk/outgoing/: Continent les appels sortants d'Asterisk.
- /etc/asterisk/ : Contient tous les fichiers de configuration.
Le dernier dossier nous intresse vu quil contient les fichiers de configuration du serveur
Asterisk, parmi ces fichiers on trouve :
agents.conf: Contient la configuration de lutilisation des agents, comme dans le cas dun
centre dappel. Ceci nous permet de dfinir les agents et de leurs assigner des ID et des mots
de passe.
asterisk.conf: Dfinit certaines variables pour lutilisation dAsterisk. Il sert
essentiellement indiquer Asterisk o chercher certains fichiers et certains programmes
excutables.
extensions.conf: Configure le comportement dAsterisk. Cest le fichier qui nous
intresse le plus dans ce travail.
iax.conf: Configure les conversations VoIP en utilisant le protocole Inter-Asterisk
Exchange (IAX).
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 54
rtp.conf: Ce fichier de configuration dfinit les ports utiliser pour le protocole RTP
(Real-Time Protocol). Il faut noter que les numros lists sont des ports UDP.
sip.conf: Dfinit les utilisateurs du protocole SIP et leurs options. On peut aussi dfinir
d'autres options globales pour SIP telles que, quels ports utiliser et les timeout qu'on va
imposer. Nous focalisons sur ce fichier puisque notre solution est base sur le protocole SIP.
zapata.conf: Configure les paramtres de l'interface tlphonique Zapata.
3.2 Configuration des comptes users
Les deux fichiers configurer sont sip.conf et extensions.conf. Dans le fichier sip.conf,
on crera des utilisateurs utilisant le protocole sip pour ltablissement de la connexion, voil les
deux clients que nous avons cre au niveau du fichier :
[100]
type=friend (spcifie le type dutilisateur)
secret=100 (mot de pass)
host=dynamic (spcifie une adresse IP par laquelle lutilisateur
peut acceder son compte)
defaultip=192.168.254.29 (adresse IP du client)
dtmfmode=rfc2833
context=sip (spcifie le type de routage utiliser)
callerid=100<1111> (identifiant dutilisateur)
[200]
type=friend (spcifie le type dutilisateur)
secret=200 (mot de passe)
host=dynamic (spcifie une adresse IP par laquelle lutilisateur
peut accder son compte)
defaultip=192.168.254.132 (adresse IP du client)
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 55
dtmfmode=rfc2833
context=sip (spcifie le type de routage utiliser)
callerid=200<1113> (identifiant dutilisateur)
Passant maintenant la configuration du fichier extensions.conf
3.3 Configuration des extensions
[sip] (il faut saisir le nom du context entre crochet)
exten=>1111,1,Dial (SIP/100,20,tr) (20 est la dure en seconde de lattente avant la dcrochage
si pas de rponse)
exten=>1113,1,Dial (SIP/200,20,tr)
Si lappelant compose le numro 1111, il est mit en relation avec le poste dont le numro
est 1111 qui utilise le protocole SIP.
Il existe dautres options quon peut ajouter dans le fichier extensions.conf, telles que la
bote vocale et le renvoi dappel. La syntaxe du fichier est sous le format suivant :
Exten= extension, priorit, commande (paramtre)
Extension : Cest gnralement le numro de tlphone ou le nom du client.
Priorit : Cest un numro qui indique la priorit de la commande, le serveur prend en
considration la priorit de la commande en utilisant le numro inscrit dans la syntaxe.
Commande : Cest la commande qui peut exister, comme la commande dial (appel),
voicemail (bote vocale), etc.
On peut utiliser plusieurs options pour un seul numro dappel, on peut mettre par
exemple un transfert dappel vers un autre numro ou vers la boite vocale selon des priorits.
exten => 123,1,Answer
exten => 123,2,Playback(rpondeur)
exten => 123,3,Voicemail(9) (9 est le numro de la bote vocale)
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 56
exten => 123,4,Hangup
Dans chaque ajout ou modification dun client, il faut mettre jour le serveur Asterisk en
utilisant les commandes suivantes :
Localhost*CLI> sip reload
Localhost*CLI> dialplan reload
Localhost*CLI> reload
4. Installation et configuration de X-Lite
X-Lite est un freeware, son utilisation est simple, il est disponible pour les diffrents
systmes dexploitation Windows, Mac and Linux sur le site de lditeur CounterPath
1
.
4.1 I nstallation de X-Lite
Linstallation sous Windows est classique, mais pour linux, il faut dcompresser le
fichier, accder au rpertoire et lancer lexcutable, comme indiquer ci-dessous :
# tar -zxvf X-Lite_Install.tar.gz (dcompression du dossier X-Lite avec la commande tar)
# cd xten-xlite (accs au dossier)
# chmod +x xtensoftphone
# ./xtensoftphone (lancement du logiciel X-Lite)
4.2 Configuration de X-lite
Pour configurer le client X-Lite lutilisateur 100 et aussi 200 doivent accder au
menu Sip Account Setting puis de ce menu vers le sous menu Sip Account. Dans la
fentre qui souvre, il suffit de remplir les champs illustr suivant des deux utilisateurs :
Lutilisateur 100 :
Identifiant affich pour lutilisateur (Display Name) : 100


1
http://www.counterpath.com/index.php?menu=download
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 57
Identifient servant a loguer lutilisateur (User Name) : 100
Mot de passe associ (User Name) : 100
Nom sous lequel lautorisation daccs est possible (Authorization user) : 100
Nom de domaine (Domain) : 192.168.254.129

Figure 11 : Configuration du compte du client 100
Il est noter quafin que lauthentification soit possible, ces valeurs doivent tre
conformes celles saisies dans le fichier sip.conf du serveur Asterisk.
Une fois la configuration est acheve, le softphone se connectera automatiquement au
serveur et senregistrera. Un message Logged in saffichera, indiquant que les
communications sont dsormais possibles. Sinon, un message derreur explique le motif qui a
fait chouer le processus.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 58




Conclusion

Ouvert tous, gratuit et simple dutilisation. Asterisk a de quoi simposer.
Ces vrais concurrents sont plutt les PBX Hardware. Qui sont chers mais performant et fiable.
Les solutions libres peuvent fournir les outils les plus performants et les mieux documents sans
procurer un mme service relationnel.
















Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 59








Chapitre 4

Scurisation de la
solution mise en
place




Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 60






Introduction
Aprs avoir tudi les protocoles de la VoIP, identifi les attaques qui menacent les
systmes de VoIP et les bonnes solutions afin de scuriser le serveur Asterisk. Nous allons nous
intresser dans ce chapitre aux techniques, mcanismes et configurations mettre en place dans
le but de scuriser la solution VoIP base sur le serveur Asterisk.
Ce chapitre se compose de deux grandes parties. Dans la premire, nous utiliserons deux
logiciels dattaques, Wireshark et SiVus, et nous expliquerons comment ils fonctionnent. Nous
prsenterons des scnarios dattaques raliss par ces deux logiciels. Dans la deuxime partie,
nous montrerons les solutions implmentes pour scuriser la solution dploye.
1. Localisation des serveurs VoIP
Toute bonne attaque VoIP commence par une tape qui tablit le profil de la cible connu
sous le nom profiling ou encore foot printing. Une empreinte englobe les informations sur la
cible qui dploie le serveur VoIP et ces paramtres de scurit.
Il existe plusieurs mthodes pour la collecte des informations en voici quelques unes des plus
utilises :
1.1. Utilisation des serveurs Whois
Les whois sont des services proposs gratuitement en ligne permettant dobtenir des
informations sur un domaine particulier, sur une adresse de messagerie. Grce ses bases de
donnes comme :
Whois.ripe.net : soccupe dattribuer des adresses IP pour lEurope.
Whois.apnic.net : attribue les adresses IP pour lAsie.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 61
Whois.nic.mil : attribue les adresses IP des systmes militaires amricains.
1.2. Utilisation des aspirateurs de sites
Si la cible a un site, le pirate doit le parcourir la recherche dadresses emails, de compte
et mots de passes ou dautres informations prcises. Parcourir le code source peut aussi recenser
des informations qui pourraient permettre de remonter aux sources. Les aspirateurs de sites
permettent dautomatiser ces recherches
1.3. Utilisation des moteurs de recherches et des agents intelligents
Un des grands avantages des moteurs de recherches Internet est leurs normes potentiels
pour dcouvrir les plus obscurs des dtails sur l'Internet. L'un des plus grands risques pour la
scurit est aujourd'hui lnorme potentiel des moteurs de recherche pour dcouvrir les dtails
sur l'Internet. Il existe une varit de faons quun hacker peut exploiter en utilisant simplement
les fonctionnalits avances d'un service tel que Google. Le ciblage des catgories suivantes des
rsultats de recherche peuvent souvent fournir de riches dtails sur la solution VoIP dploye par
un organisme:
Vendeur de produit VoIP, les communiqus de presse et des tudes de cas
CV de ladministrateur ou liste de rfrences des vendeurs
Les forums
1.4. Balayage (Scan) des rseaux VoIP
Pour pouvoir identifier chaque composante du rseau, il faut dchiffrer et comprendre un
bon nombre de paquets afin de reconnaitre par exemple leur adresse IP et son ID. Dautant plus
quun rseau VoIP ne se limite pas quelques clients et un serveur Asterisk. Les serveurs TFTP
par exemple sont dune ncessit pour un attaquant afin de retrouver les fichiers de
configurations des tlphones IP pour leur usurper leurs identits par exemple.
Afin de scanner un rseau, loutil ncessaire pour cela est un scanner de rseau (sniffer en
anglais). Cest un logiciel permettant de dcouvrir les quipements prsents sur un rseau et les
services quil offre. Le scanner est souvent utilis par les administrateurs rseau au cours de test
de scurit. Son principe de fonctionnement est de tester chaque adresse IP et chaque port TCP
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 62
ou UDP afin de vrifier la prsence d'un serveur ou d'un quelconque quipement fonctionnant en
TCP/IP.
Dans le cadre de notre projet on va se limiter seulement au sniffing des paquets au niveau
du serveur et des clients VoIP. Pour cela on aura besoin des outils adquats pour effectuer cette
opration. Parmi les logiciels les plus connues en matire de sniffing dans un rseau bas sur la
VoIP sont Wireshark Vomit et SiVus.


2. Les logiciels dattaques
2.1 Wireshark
Wireshark est un logiciel libre d'analyse de protocole, utilis dans le dpannage et
l'analyse de rseaux informatiques, le dveloppement de protocoles, l'ducation et la rtro-
ingnierie, mais aussi le piratage. Cest l'analyseur rseau le plus populaire du monde. Cet outil
extrmement puissant fournit des informations sur des protocoles rseaux et applicatifs partir
de donnes captures sur un rseau.
Lutilisation de Wireshark dans notre projet est pour la dtection des vulnrabilits dans
le rseau VoIP. Nous essayerons de capturer les paquets qui circulent pour dterminer quelques
informations telles que les adresses IP, les numros de ports, et dautres informations qui servent
au piratage (vol didentit, dnie de service, etc.). Ainsi que nous pouvons couter une
communication entre deux clients en dcodant les paquets RTP (coute clandestine).
2.1.1 Captures de trames
Nous avons plac Wireshark dans une 3me machine qui va jouer le rle de lattaquant.
Elle va sniffer tous le trafic circulant dans notre rseau local. Nous avons lanc au dbut la
capture des trames ensuite on a initialis une connexion entre deux clients, 200 ayant comme
adresse IP 192.168.254.132 et 100 ayant comme adresse IP 192.168.254.129. Voil le
rsultat de la capture :


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 63







Figure 12 : Ecran de capture Wireshark
Comme nous pouvons le voir dans la figure 12, la conversation entre ces deux htes a t
capture. La fentre principale de Wireshark comprend deux grandes parties. Dans la premire
partie, nous voyons les diffrentes tapes de connexion entre les deux clients. Dans la deuxime
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 64
partie, celle la plus intressante, nous pouvons lire le contenue des paquets et donc collecter des
informations trs indispensables pour effectuer une bonne attaque.






Figure 13 : Exemple de paquet qui contient une requte INVITE
Voil en plus grand, dans la figure 13, le paquet que nous avons choisi pour examiner.
Celui-ci est un paquet utilisant le protocole SIP contenant une requte INVITE. Cette requte
contient des informations indispensables dans le cas o nous voulons effectuer une attaque base
sur le protocole SIP. Par exemple dans le cas o nous voulons excuter une attaque de type DoS
en utilisant le protocole SIP, nous aurions besoin de connaitre le user agent. Dans cet exemple il
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 65
nest autre que le serveur Asterisk, ladresse SIP de notre victime, son identit et dautres
paramtres.
2.1.2 Dmonstration de lattaque clandestine avec Wireshark
Nous utilisons Wireshark dans cette sous-section pour conduire lattaque dcoute
clandestine. Cette attaque consiste capturer les trames circulant entre deux machines effectuant
une conversation VoIP, et dcoder par la suite les paquets afin dcouter la conversation
effectue.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 66
Le principe est le suivant. Un client nomm 100 ayant comme adresse IP 192.168.254.128 va
appeler le client nomm 200 ayant comme adresse 192.168.254.132. Il faut savoir que ces deux
clients utilisent un serveur Asterisk qui a t pralablement configur pour effectuer leurs appels.
Avant cet appel, il faut tout dabord activer Wireshark afin de sniffer le trafic. Il est install sur
une troisime machine qui nest pas autoris passer des appels travers le serveur Asterisk
puisquelle nest pas configure dans les fichiers de ce dernier. Toutes ces machines
sont installes sous le mme rseau. Durant la capture nous pouvons voir les diffrentes phases
dappel, la signalisation et le transport des paquets.
A la fin de lappel, nous aurions sniff tous les paquets dont nous aurions besoin pour
lcoute clandestine, les paquets les plus importants sont ceux bass sur le protocole RTP vu
quils contiennent les conversations audio entre les deux clients comme lindique la figure 14 :

Figure 14 : Capture dune communication tlphonique
Aprs avoir identifi les paquets RTP, nous allons maintenant procder au dcodage de
lappel. Dans le menu de Wireshark, nous cliquons sur le bouton Statistics , puis ensuite le
bouton VoIP Calls comme lindique la figure 15.

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 67













Figure 15 : Dcodage: Bouton VoIP Calls
Une deuxime fentre souvre (voir figure 16) contenant les communications dans les
deux sens, du client 192.168.254.128 vers 192.168.254.132, et inversement.

Figure 16 : Communication tlphonique dtects
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 68
Nous choisissons une des communications dtectes et nous cliquons sur le bouton
Player , une fentre RTP Player souvre pour le dcodage (figure 17). nous cliquons sur
Decode pour que lopration commence.



Figure 17 : Fentre RTP Player
Maintenant que le dcodage a abouti nous pouvons aussi voir sur la figure 18 que le son
est dcod et quil est prt tre cout.
Pour lcoute, il faut choisir le parcours de la communication, plus prcisment, il faut
choisir la direction de la communication. Nous avons choisi ici dcouter la communication qui
se dirige de ladresse IP192.168.254.128 vers ladresse IP 192.168.254.132. La communication
est de dure 17,26 s.










Figure 18 : Communication tlphonique dcod


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 69
2.2 Le logiciel SiVus
SiVus, est un scanner de vulnrabilits pour les rseaux VoIP utilisant le protocole SIP
mais aussi un logiciel de capture de trames. Les administrateurs et les installeurs de rseaux
VoIP lutilisent pour tester lefficacit du rseau. Cest un logiciel tournant sur les deux systmes
dexploitation, Linux et Windows.
Pour tester la scurit du serveur Asterisk, il faut installer SiVus avec Wireshark, qui
aidera rcolter des informations pour gnrer des requtes de diffrents types (INVITE, BYE,
CANCEL). SiVus, est un gnrateur dattaques de dnie de service.
Pour pouvoir tlcharger SiVus, il faut senregistrer au site Vopsecurity
2
et y accder.
Plusieurs versions existent sur le site dont la meilleure est la version 1.09 tant donn sa stabilit.
Linstallation est simple mais pour que SiVus fonctionne, il faut disposer du java runtime
Enviroment (version suprieure 1.4).
2.2.1 Utilisation de SiVus
SiVus se compose de 4 principaux sous menus dans le menu SIP:
Component Discovery: sert dcouvrir les machines qui se trouvent dans un rseau
VoIP, et dterminer sur quel port elles sont connectes et quel protocole elles utilisent.
SIP Scanner: contient lui aussi des sous menus. Le premier sert crer une configuration
au choix (les ports scanner, les protocoles utiliss, les adresses IP ou la plage dadresse IP.
Le deuxime sert lancer la configuration cre et enregistre, et voir quelles sont les
vulnrabilits existantes, afin quun attaquant puisse lutiliser.
Utilities: Ce troisime sous menu, contient lui aussi deux sous menus, le premier est un
gnrateur de requtes. Nous remplissons les champs ncessaires aprs avoir collect les
informations laide de Wireshark. Nous choisissons la mthode aprs avoir scann le rseau
et savoir quelles mthodes est vulnrable. Nous lanons le message en appuyant sur
START


2
www.vopsecurity.org, portail sur la scurit
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 70
Le deuxime sous menu de Utilities est authentication analysis , cest un analyseur
dauthentification, il permet de dterminer les mots de passe par exemple.
SIP HELP : cest le sous menu de laide, il contient des exemples de diffrents messages
SIP qui peuvent tre envoy, le RFC de SIP et quelques liens qui expliquent en dtail le
protocole SIP.















Figure 19 : SiVus : fentre de gnration de message
La figure 19, montre un exemple de message gnr. Pour gnrer un message, il faut
tout dabord choisir une mthode, il faut aussi changer les paramtres se trouvant dans le corps
du message avec les paramtres que lattaquant collect propos de la victime.

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 71
2.2.2 Attaque ralise par SiVus : DOS de type BYE
Le logiciel SiVus permettra deffectuer un type dattaque trs frquent sur les rseaux
VoIP. Cette attaque nest autre que DoS. Un attaquant va essayer de crer un dni de service
auprs du serveur Asterisk. Pour cela il utilisera le protocole SIP et plus exactement les requtes
de types BYE, et les enverra successivement de manire frquente. Ainsi il est possible de
monopoliser les ressources du serveur Asterisk. Comme le nombre de connexions est la plupart
du temps limit, le serveur n'accepte plus de nouveaux clients. Il est donc en dni de service.
Le principe est le suivant, un serveur Asterisk est implment sur une machine dans un rseau
local ayant pour adresse IP 192.168.254.128 avec deux autres machines qui sont 200 ayant
comme adresse IP 192.168.254.132 et 100 ayant comme adresse IP 192.168.254.128 et une
quatrime machine qui va jouer le rle de lattaquant ayant comme adresse IP 192.168.254.131.
Tous dabord, lattaquant va scanner le rseau et plus particulirement le protocole SIP afin de
dterminer ses failles. Cette tape est possible grce loutil SiVus qui contient un SIP
SCANNER. Voici le rsultat (figure 20).











Figure 20 : Scanne de la machine 192.168.254.128
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 72
Le scan montre quil y a une vulnrabilit au niveau du protocole TLS due une
mauvaise configuration dans le serveur Asterisk (configuration au niveau du fichier sip.conf). Le
scanner montre dautres vulnrabilits de diffrents degrs medium, High .
Aprs avoir labor le scan du rseau, et extrait les donnes ncessaires de Wireshark,
nous pouvons gnrer une requte de type BYE (figure 21).

Figure 21 : Gnration de message de type BYE
Dans le menu du gnrateur il faut indiquer le type des requtes que nous allons utiliser,
dans notre cas cest BYE. Le protocole de transport utiliser est UDP, vu que SIP est bas sur
lui. Longlet Called User va permettre de cacher la vrai identit de lattaquant, c'est--dire
que les requtes que va gnrer SiVus auront comme identifiant SIP les valeurs avec lesquelles
on les a cre. Dans notre cas nous avons choisi le client 100 ayant pour adresse IP
192.168.254.128 et enfin le numro de port 5060 qui reprsente celui associ au protocole SIP.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 73
Ensuite il faut spcifier la machine attaquer dans le champ TO . Cest la deuxime
machine de notre rseau, celle du client nomm 200 .
Enfin, en cliquant sur le bouton START , le message sera alors gnr, nous pouvons voir en
bas du menu (figure 21) un ticket jaune Completed .
Pour vrifier que lattaque a bien eu lieu, nous pouvons utiliser Wireshark pour visualiser
le trafic et voir si oui ou non des requtes de type BYE ont t gnres.
La figure 22 montre que les requtes de types BYE sortent de la machine de lattaquant
ayant comme adresse IP 192.168.254.131 vers la machine client dadresse IP 192.168.254.128.
Nous pouvons voir aussi que lidentit SIP relle de lattaquant a t falsifie.
Figure 22 : Message envoy par SiVus apparait dans Wireshark
Le deuxime cran de Wireshark (figure 22) montre les dtails de la requte envoye par
lattaquant. Celle-ci contient des informations indiquant qui a envoy cette requte. Nous
pouvons voir en bas que le User Agent est SiVus Scanner.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 74
3. Choix et implmentation des bonnes pratiques
Pour se protger contre les attaques ralises et mme dautres attaques similaires comme
les attaques DOS, nous avons choisi un ensemble de solutions qui peuvent aider minimiser les
menaces, nous ne pouvons pas dire que les solutions proposs et implments sont efficaces.
Parce quil existe toujours des problmes de scurits.
3.1 Bonne pratique contre lcoute clandestine
3.1.1 Implmentation du protocole SRTP
Parmi les solutions les plus performantes et les plus faciles mettre en uvre, pour
contourner lattaque de lEavesdropping ou lcoute clandestine, est limplmentation du
protocole SRTP sur le serveur Asterisk. En effet, ce protocole permet de chiffrer les donnes et
de les injecter dans le trafic. De cette faon une personne malveillante essayant de dcoder les
paquets, ne pourra plus user de cette attaque. Il faut savoir que SRTP est une branche dAsterisk
et donc on aura besoin de le rcuprer depuis le serveur SVN (subversion). Subversion est un
systme de gestion de version, c'est--dire quil permet de grer la version dun fichier source ou
de garder un historique de toutes ces versions. Voici les tapes suivre pour la configuration de
SRTP sur Asterisk :
Avant de commencer la configuration, il faut compiler et installer la librairie de SRTP
LIBSRTP :
# tar -xzf srtp-tarball (dcompression des paquetages)
# ./configure --prefix=/usr make (installation des composants binaires de la librairie dans le
rpertoire /usr)
# make runtest
# make install
Ensuite il faut installer la librairie MINISIP libraries :
# svn co -r3250 svn://svn.minisip.org/minisip/trunk minisip-trunk
(commande permettant de rcuprer une rvision ainsi que ses mtadonnes depuis le dpt)
# cd minisip-trunk
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 75
Une rvision est une instance dun fichier un moment donn. Une mtadonne est une donne
servant dfinir ou dcrire une autre donne
Ensuite il faut installer et compiler libmutil :
Mais d'abord il faut lancer le script de dmarrage pour gnrer le script de configuration.
# cd libmutil
# libmutil$ ./bootstrap (charger la librairie dans le rom)
Ensuite il faut compiler le code source de libmutil et l'installer:
# libmutil$ ./configure --prefix=/usr (installation des composants binaires de la librairie
dans le rpertoire /usr)
# libmutil$ make
# libmutil$ make install
Aussi il faut compiler et installer les librairies, libmnetutil, libmcrypto, libmikey. La compilation
et installation de ces librairies se fait de la mme faon que la librairie libmnetutil:
# cd ../libmnetutil
# libmnetutil$ ./bootstrap (charger la librairie dans le rom)
# libmnetutil$ ./configure --prefix=/usr (installation
des composants binaires de la librairie dans le rpertoire /usr)
# libmnetutil$ make
# libmnetutil$ make install
Passons maintenant la configuration dAsterisk en lui ajoutant les correctifs et les fichiers
ncessaires ainsi que lajout du module SRTP dans le menu dAsterisk.
# svn checkout -r61760 http://svn.digium.com/svn/asterisk/trunk asterisk-trunk
# cd asterisk-trunk
#wget http://bugs.digium.com/file_download.php?file_id=13837&type=bug
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 76
(Tlcharger un fichier depuis cette url)
# patch -p1 < ast_srtp_r61760_mikey_r3250.patch (lapplication dun patch sur le
serveur Asterisk)
# ./bootstrap.sh (compilateur permettant de lancer le compilateur de configuration du menu
dAsterisk)
# ./configure
# make menuselect (vrifier res_srtp dans "resource modules")
# make
# make install
Ensuite il faut configurer les fichiers sip.conf et extensions.conf:
extensions.conf
[main]
Le fichier permettant le routage doit tre au courant que nous allons utiliser le protocole SRTP
pour cela nous devons rajouter cette option dans le fichier. Il faut aussi crer un test sur le port 7
appel port echo qui permettra de trouver les causes des problmes lis a la piles TCP / IP dans
le cas ou il ya des problmes de connexion. Cette configuration sapplique lutilisateur ayant
pour numro 1111 (utilisateur 100 ). Dans cet exemple SRTP est utilis optionnellement :
# exten => 1111,1,Set(_SIPSRTP=optional) (lutilisation de SRTP est optionnel)
# exten => 1111,2,Set(_SIPSRTP_CRYPTO=enable) (activer le cryptage)
# exten => 1111,3,Playback(demo-echotest) (cration dun test echo permettant de savoir
si oui ou non la connexion a eu lieu)
# exten => 1111,4,Echo (faire le test echo)
# exten => 1111,5,Playback(demo-echodone) (si le test echo a russi cette option nous
permettra dcout le son quon a crer pour le test)
# exten => 1111,n,hangup
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 77
Cette configuration sapplique lutilisateur ayant pour numro 1113, cest donc lutilisateur
200 :
# exten => 1113,1,Set(_SIPSRTP=require) (lutilisation de SRTP est requise)
# exten => 1113,2,Set(_SIPSRTP_MIKEY=enable)
# exten => 1113,3,Playback(demo-echotest)
# exten => 1113,4,Echo
# exten => 1113,5,Playback(demo-echodone)
# exten => 1113,n,hangup
sip.conf
Dans ce fichier loption modifier dans les paramtres des clients est la suivante :
context=main (et non plus SIP le main fait rfrence la configuration que nous venons de crer
dans le fichier extensions.conf et donc le routage choisi)
Pour finir voici quelques remarques prendre en considration dans le cas o nous
voulons utiliser SRTP avec le serveur Asterisk :
MIKEY ne prend pas en charge le cryptage en option.
L'appel ne peut pas slectionner la mthode de cryptage
3.1.2 Mise en place de la solution VPN
Autre solution pour crypter le trafic dans notre rseau, est limplmentation dun VPN au
sein des machines utilises pour la VoIP. Comme nous lavons vu prcdemment un VPN
permet de vhiculer du trafic crypt grce des cls de cryptage ce qui rend leur dchiffrage
presque impossible par une tierce partie. Un VPN permettra donc de contourner les attaques
dcoute clandestine.
Loutil que nous avons choisi pour la mise en place dun VPN est OpenVPN. Cest un
logiciel open source permettant de crer un rseau virtuel bas sur SSL. Il peut tre utilis
afin de relier deux rseaux ou plus via un tunnel chiffr travers lInternet. Par ailleurs,
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 78
OpenVPN nutilise pas de protocole de communication standard. Il faut donc utiliser un client
OpenVPN pour se connecter un serveur OpenVPN.
Installation dOpenVPN
Linstallation dOpenVPN se fait grce la commande suivante :
# yum install y openvpn (loption y permet daccepter linstallation directement, linstallation
avec yum nous permet dinstaller les dpendances du logiciel automatiquement)
Gnrations des certificats
Maintenant et aprs linstallation, il faut crer les certificats et les cls qui vont permettre
aux clients et au serveur de s'authentifier mutuellement de telle sorte que personne d'autres ne
puisse se connecter au VPN.
Il faut se diriger vers le rpertoire o se trouve les fichiers que nous allons configurer
# cd /usr/share/openvpn/easy-rsa/
Premire chose, il faut modifier les valeurs des variables d'environnement afin de ne pas
avoir rpter les renseignements fournir la gnration des cls comme indiqu dans la
figure 23 :

Figure 23 : Modification des valeurs des variables denvironnements
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 79
Aprs la modification du fichier vars, il faut nettoyer le rpertoire /keys avant la
gnration des nouveaux certificats et relancer la prise en charge des nouvelles variables grce
la commande suivantes :
# .. /vars
#./clean-all
Nous passons maintenant la cration des certificats, mais tour dabord il faut
commencer crer lautorit de certification en tapant la commande suivante :
# . /build-ca
Voici ce qui devrai ce produire lors de lexcution de cette commande

Figure 24 : Cration du certificat dautorit
Ce certificat est le certificat racine qui va ensuite nous permettre de crer le certificat
serveur et les certificats clients.
Maintenant nous allons crer le certificat pour le serveur grce la commande suivante
# ./build-key-server server

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 80
Le rsultat de lexcution de la commande est le suivant :

Figure 25 : Cration dun certificat pour le serveur
Maintenant il faut crer le certificat pour le client grce la commande suivante :
# ./build-key client
Lexcution de cette commande affiche le rsultat suivant :



Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 81















Figure 26 : Cration du certificat client
A prsent, il reste crer les paramtres Diffie-helmann : Diffie-Hellma (D-H) est un
algorithme permettant la gnration de cls secrtes travers des canaux non scuriss. La
commande de cration est la suivantes :
# ./build-dh
Lexcution de cette commande donne le rsultat suivant (voir figure 27) :





Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 82






Figure 27 : Cration des paramtres Diffie-helmann
Nous avons maintenant l'ensemble des informations cryptographiques dont nous avons
besoin pour configurer le VPN. Ensuite il faut copier l'ensemble des informations
cryptographiques, que nous venons de gnrer dans le rpertoire keys, dans le rpertoire
/etc/openvpn cre par dfaut l'installation dOpenVPN. La commande suivante est utilise:
# cp Keys/* /etc/openvpn
Cration d'un utilisateur OpenVPN
Nous allons maintenant passer la cration dun utilisateur ayant des droits restreints qui
sera charg de lancer le service de telle sorte que mme si nous nous font pirater la machine,
lattaquant n'aura que les droits de cet utilisateur et pas avec les droits root.
Il faut crer un groupe dutilisateur dans lequel nous allons affecter lutilisateur grce la
commande suivante :
# groupeadd openvpn (le groupe quon vient de crer se nomme openvpn)
Ensuite crer lutilisateur
# useradd d /dev/null s /bin/false g openvpn
Configuration et lancement du serveur
Il faut tous dabord copier le fichier server.conf se trouvant dans le rpertoire
/usr/share/doc/openvpn-2.1/sample-config-files et le placer dans le rpertoire suivant
/etc/openvpn.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 83
# cp server.conf /etc/openvpn
Il faut maintenant diter ce fichier pour y positionner les variables pour la mise en place du VPN.
# Vi server.conf (diter les paramtres du fichier)
Les paramtres modifier sont les suivants :
Dev tun
Pour pouvoir utiliser OpenVPN en mode tunnel.
Server 10.8.0.0 255.255.255.0
Nous donnerons cette plage par dfaut au serveur. A chaque fois qu'un client se connectera au
vpn, le serveur lui attribuera une adresse IP contenue dans cette plage.
Comp-lzo
Bien vrifier en bas du fichier l'utilisation de la librairie lzo pour la compression des donnes.
User openvpn / group openvpn
Utiliser l'utilisateur et son groupe openvpn quon a cre pour lancer le serveur.
Ensuite il faut sauvegarder et lancer le service par le script contenu dans /etc/init.d.
Le serveur est prt a tre utilis. Il faut maintenant passer la configuration du cot du client.
Configuration du client
La configuration du client est simple. Il faut tout dabord installer le client OpenVPN sur
la machine. Ensuite il faut copier les fichiers suivant (Ca.crt, Client.crt, Client.csr et Client.key)
qui se trouvent sous le rpertoire /etc/openvpn du cot serveur.
Ensuite il faut configurer le fichier client.conf afin quil puisse reconnatre le serveur grce a
lajout de la ligne suivante dans le fichier :
Remote 172.16.64.26 1194
Cest ladresse du serveur et le port sur lequel va seffectuer la connexion VPN.
Voila maintenant le rseau VPN est prt tre utiliser entre le serveur Asterisk et ces clients.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 84
3.2 Bonne pratique contre le DOS BYE
Les bonnes pratiques contre les attaques DOS ne permettent pas aussi davoir une
scurit totale mais elle limite les attaques et minimise les vulnrabilits.
3.2.1 Implmentation dun firewall Netfilter
Un firewall doit tre imprenable car sinon le rseau entier est compromis. Un firewall
efficace doit possder plusieurs interfaces rseaux pour pouvoir faire un filtrage entre plusieurs
zones.
Dans le cadre de notre projet le firewall va nous permettre de minimiser le trafic entrant
au serveur Asterisk est cela pour limiter les attaques de types DoS. En effet notre objectif est de
ne laisser passer que le trafic VoIP et plus exactement les paquets bass sur le protocole SIP et
le protocole RTP, qui sont utiliss par notre serveur Asterisk pour le trafic VoIP. Cest pour cela
que nous avons choisi de mettre un firewall au niveau du serveur et de cette faon toutes les
requtes en direction du serveur Asterisk passeront automatiquement par le firewall. La plupart
des firewalls propre a la VoIP sont a titre commercial et donc non libre. IPtable est la commande
permettant de paramtrer le filtre Netfilter du noyau Linux et donc de configurer le Firewall.
Dans lexemple qui suit nous avons programm notre firewall pour quil puisse laisser
passe seulement le trafic VoIP au niveau du serveur Asterisk et de bloquer tous le trafic restant.
Voici les commandes excutes :
# iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
Cette commande va permettre daccepter le trafic UDP entrant du port 5060. Ce numro de port
nest autre que celui du protocole SIP.
# iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
Cette commande va permettre daccepter le trafic UDP entrant du protocole RTP.
Ensuite il faut attribuer une rgle par dfaut pour bloquer tous le trafic restant et qui passe par
UDP :
# iptables -A INPUT -p UDP -j DROP
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 85
En ce qui concerne le trafic TCP nous pouvons effectuer les rgles suivantes pour ne laisser
passer que le trafic de synchronisation en le limitant la rception des requtes de synchronisation
une requte par secondes. Ainsi nous pouvons viter les attaques de type SYN flood:
# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
3.2.2 Excuter Asterisk sous un utilisateur non privilgi :
Parmi les bonnes pratiques pour scuriser notre serveur Asterisk est de changer
lutilisateur sur lequel Asterisk tourne. Le principal objectif de cette scurisation est si le serveur
Asterisk est compromis au niveau de sa scurit ceci ne doit en aucun cas affecter toute la
machine sur laquelle tourne le serveur. Idalement, la compromission ne devrait pas permettre
d'diter les fichiers de configuration. Voici les tapes suivre pour ce changement :
Tous dabord il faut arrter le service Asterisk :
# /etc/init.d/asterisk stop #> Shutting down asterisk: OK
Ensuite il faut crer un utilisateur depuis lequel Asterisk va dmarrer. Nous avons choisie le nom
du groupe Asterisk et comme nom dutilisateur Asterisk.
# /usr/sbin/groupadd asterisk
#/usr/sbin/useradd -d /var/lib/asterisk -g asterisk asterisk
Ensuite il faut attribuer les droits daccs vu quAsterisk en a besoin. Les fichiers dans le
rpertoire /var/spool/asterisk doivent tre la proprit de lutilisateur Asterisk et accessibles en
criture. Les commandes suivantes sont celles qui ont t excutes pour le rpertoire /var/lib
/asterisk. Les mmes commandes sont appliques pour les rpertoires suivant : /var/log/asterisk,
/var/run/asterisk, /var/spool/asterisk, /usr/lib/asterisk et le dossier /dev/zap.
# chown --recursive asterisk:asterisk /var/lib/asterisk (loption --recursive permet de modifier les
permissions d'un rpertoire et de ses sous-rpertoires. Ainsi grce a la commande chown le
propritaire du rpertoire /var/lib/asterisk er ses sous-rpertoires est devenue asterisk)
# chmod --recursive u=rwX,g=rX, /var/lib/asterisk
Asterisk a besoins de lire le rpertoire /etc/asterisk et son contenu afin de le modifier.
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 86
# chown --recursive root:asterisk /etc/asterisk
# chmod --recursive u=rwX,g=rX, /etc/asterisk
Ensuite il faut changer le rpertoire dAsterisk afin quil puisse dmarrer du nouveau chemin
cre:
# cp /etc/asterisk/asterisk.conf /etc/asterisk/asterisk.conf.org
# vi /etc/asterisk/asterisk.conf
Modifier le chemin en changeant la ligne suivante de:
astrundir => /var/run astrundir => /var/run/asterisk
Ensuite il faut activer le nouveau groupe que nous venons de crer et le nouvel utilisateur aussi:
# cp /etc/init.d/asterisk /etc/init.d/asterisk.org
# vi /etc/init.d/asterisk
Changer la ligne suivante afin dinformer Asterisk de son nouveau utilisateur:
#AST_USER="asterisk"
#AST_GROUP="asterisk"

AST_USER="asterisk"
AST_GROUP="asterisk"
Maintenant il faut redmarrer Asterisk avec les nouveaux paramtres, savoir le groupe Asterisk
et le nom dutilisateur Asterisk
/etc/init.d/asterisk restart
asterisk -U asterisk -G asterisk
Configuration des fichiers sip.conf et extensions.conf
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 87
Une autre bonne pratique pour mieux assurer la scurit du serveur Asterisk est de crypter le mot
de passe de lutilisateur ou client. En effet grce au cryptage le mot de passe du client devient
illisible dans le cas ou une personne malveillante accde au fichier sip.conf. La commande
suivante permet deffectuer le cryptage :
echo - n "<user>:<realm>:<secret>" | md5sum
Voici un exemple pris de notre travail:
echo - n "<beshir>:<asterisk>:<beshir>" | md5sum
Le rsultat de hachage est le suivant:
bed1e076ced1aadeba7e151240c7a955
Ce rsultat est plac la place de lancien mot de passe non crypt dans le fichier sip.conf.
Nous pouvons aussi assurer la scurit du serveur en attribuent des privilges et des limites
daccs au utilisateur et cela seffectue au niveau du fichier sip.conf. En effet nous pouvons
limiter les attaques de types DoS en limitant les requtes dinvitation vers le serveur. Voici un
exemple de configuration dun utilisateur :
[general]
allowguest=no
Cette option permet de donner le droit ou non des utilisateurs non authentifis de senregistrer
et de faire des communications. Dans notre cas on a interdit laccs toutes personnes non
authentifi.
allowtransfer=no
Cette option permet dactiver ou de dsactiver le transfert dappel.
Il existe dautres options quon peut activer au niveau des comptes des utilisateurs. Voici un
exemple de lutilisateur nomm 100 :


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 88
[100]
type=friend
md5secret=bed1e076ced1aadeba7e151240c7a955
host=dynamic
defaultip=192.168.254.128
canreinvite=no
Cette option permet de limiter les attaques de types DoS. En effet, un utilisateur lgitime ne peut
effectuer quune seule invitation durant un appel et donc il est impossible pour une personne
malveillante de mettre en dni de service le serveur Asterisk avec les requtes INVITE.
insecure=no
Cette option permet de modifier le degr de scurit dauthentification. Pour avoir un maximum
de scurit, il faut toujours la mettre en NO. Dans ce cas, le serveur interrogera toujours pour
lauthentification chaque nouvelle connexion du client vers le serveur.
call-limit=1
Cette option permet de limiter le nombre dappels sortant ou rentrant a un seul ce qui permet de
contourner les attaques de types DoS visant le serveur Asterisk et aussi les utilisateurs.
dtmfmode=rfc2833
context=sip
callerid="100"<1111>





Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 89
Conclusion
Tout au long de ce chapitre, nous avons pu voir les diffrentes attaques effectus au sein
du rseau VoIP et les mesures de scurits prendre, afin de les viter. Mais il faut savoir quil
est impossible davoir une scurit parfaite au niveau du rseau VoIP et gnralement sur tous
les rseaux.






















Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 90
Conclusion gnrale

Lobjectif de ce projet, aprs avoir tabli des tudes sur voix sur IP et des tudes de la
scurit, est de scuriser un rseau VoIP mis en place. Ltude consiste effectuer des scnarios
dattaques sur le rseau et voir quelles sont les vulnrabilits existantes afin de scuriser le
rseau VoIP.

Dans une premire tape, nous nous sommes intresss ltude de cette technologie
avec ses diffrents protocoles et standards. Dans une deuxime tape, nous avons tudi les
problmes de scurit de la voix sur IP, les attaques, les vulnrabilits sur diffrents niveaux et
les bonnes pratiques possibles pour les attaques cits. Comme troisime tapes, nous avons
install et configur une solution de VoIP utilisant le serveur Asterisk et de deux clients x-lite.
En dernire tape, nous avons test des attaques de scurit contre la solution installe, et nous
avons propos et implment des mcanismes et des protocoles pour la scuriser.

Ce projet a t une exprience fructueuse qui nous a permis de mieux sapprocher du
milieu professionnel. Cette exprience nous a permis de savoir comment grer et optimiser le
temps dans le but den profiter au maximum.










Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise


Page | 91

Acronyme
ACE = Access Control Entry
ACL = Access Control List
AH = Authentification Header
ARP = Address Resolution Protocol
CAN = Convertisseur analogique numrique
CLI = Command Line Interface
DDoS = Distributed Denial of Service
DHCP = Dynamic Host Configuration
Protocol
DMZ = Dmilitarized Zone
DNS = Domain Name System
DoS = Deny of Service
DTMF = Dual-Tone Multi-Frequency
ESP = Encapsulated Security Payload
FTP = File Transfer Protocol
GSM = Global System for Mobile
Communications
HTTP = HyperText Transfer Protocol
IAX = Inter-Asterisk eXchange
IAX = Inter-Asterisk Exchange
ICMP = Internet Control Message Protocol
IETF = Internet Engineering Task Force
IGMP = Internet Group Management
Protocol
IGRP = Interior Gateway Routing Protocol
IM = Instant Message
IP = Internet Protocol
ISDN = Integrated Service Data Network
ITU = International Telecommunications
Union
LAN = Local Area Network
MD5 = Message Digest 5
MIKEY = Multimedia Internet KEYing
MKI = Master Key identifier
NAT = Network Address Translation
OS = Operating System
PABX = Private Automatic Branch
eXchange
PBX = Private Branch eXchange
PSTN = Public Switched Telephone
Network
QoS = Quality of Service
RFC = Requests For Comment
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Page | 92
RNIS = Rseau Numrique Intgration de Service
RTC = Rseau Tlphonique de Commut
RTCP = Real-time Transport Control Protocol
RTP = Real-Time Transport Protocol
RTSP = Real Time Streaming Protocol
SIP = Session Initiation Protocol
SNMP = Simple Network Management Protocol
SRTP = Secure Real-time Transport Protocol
TCP = Transport Control Protocol
TDM = Time Division Multiplexing
TFTP = Trivial File Transfert Protocol
TLS = Transport Layer Security
ToIP = Telephony over Internet Protocol
UAC = User Agent Client
UAS = User Agent Server
UDP = User Datagram Protocol
URL = Uniform Resource Locator
VoIP = Voice over Internet Protocol
VPN = Virtual Private Network
WAN = World Area Network



Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Page | 93

tude et Mise en place d'une Solution VOI P
Scurise


Raliss par : Rebha BOUZAIDA
Encadreur : Kamel KEDHIRI


Mots cls : VoIP, SIP, RTP, Asterisk, scurit VoIP


Rsum : Dans le cadre de mon projet, je me suis intresse la protection des
solutions de VoIP contre les attaques de scurit.
Ce travail a pour objectif : ltude des protocoles de VoIP et des architectures
proposes ; ltude des vulnrabilits et des attaques de scurits sur les divers
composants dune infrastructure VoIP dans des rseaux LAN ; et la mise en
place une solution de VoIP scurise base sur des outils open source,
prcisment le serveur Asterisk et le client X-Lite.


Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Page | 94
Bibliographie

[1] Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions par David Endler et
Mark Collier (McGraw-Hill/Osborne 2007)
[2] VoIP Hacks Tips and Tools for Internet Telephony par Theodore Wallingford (O'Reilly
2005)
[3] Security Considerations for Voice Over IP Systems par D. Richard Kuhn, Thomas J.
Walsh, Steffen Fries (US National Institute of Standards and Technology 2005)
[4] Asterisk The future of telephony par Jim Van Megglen, Leif Madsen & Jared Smith
(O'Reilly 2005)
[5] Securing VoIP networks threats, vulnerabilities, and counter measures par Peter Thermos
and Ari Takanen (Addison-Wesley 2007)
[6] http://www.frameip.com/voip/, Voix sur IP - VoIP, par SebF (date de dernier accs :
19/01/2008)
[7] http://ftp.traduc.org/doc-vf/gazette-linux/html/2003/097/lg97-C.html Configure, make,
make install Linux Gazette n97 (date de dernier accs : 19/01/2008)
[8] http://www.securityfocus.com/infocus/1862 two attacks against VoIP par Peter Thermos.
(Date de dernier accs: 19/01/2008)