Académique Documents
Professionnel Documents
Culture Documents
Étude Et Mise en Place D'une Solution VOIP Sécurisée PDF
Étude Et Mise en Place D'une Solution VOIP Sécurisée PDF
Encadr par :
Mr. Kamel Kedhiri
et ma chre mre.
Pour lducation et le grand amour dont ils mont entour depuis ma naissance.
Je ddie ce mmoire.
Rebha Bouzaida
Page | 2
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Remerciements
Pour finir, je remercie les membres du jury qui ont accept dvaluer mon
projet. Je leurs prsentons toute mes gratitudes et mes profonds respects.
Page | 3
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Sommaire
INTRODUCTION GENERALE.................................................................................................................................... 7
CHAPITRE 1 : ETUDE GENERALE DE LA VOIX SUR IP ............................................................................................... 9
INTRODUCTION ....................................................................................................................................................10
1. PRESENTATION DE LA VOIX SUR IP .....................................................................................................................10
1.1. Dfinition .........................................................................................................................................10
1.2. Architecture .....................................................................................................................................10
1.3. Principe de fonctionnement ..............................................................................................................12
2. PROTOCOLE H.323 .......................................................................................................................................12
2.1 Description gnrale du protocole H.323 ..........................................................................................12
2.2 Rle des composants ........................................................................................................................13
2.3 Avantages et inconvnients de la technologie H323 ..........................................................................16
3. PROTOCOLE SIP ...........................................................................................................................................17
3.1 Description gnrale du protocole SIP...............................................................................................17
3.2 Principe de fonctionnement ..............................................................................................................17
3.3 Rle des composants ........................................................................................................................20
3.4 Avantages et inconvnients ..............................................................................................................22
4. PROTOCOLES DE TRANSPORT ............................................................................................................................23
4.1 Le protocole RTP ..............................................................................................................................23
4.1.1 Description gnrale de RTP........................................................................................................................ 23
4.1.2 Les fonctions de RTP ................................................................................................................................... 24
4.1.3 Avantages et inconvnients......................................................................................................................... 24
4.2 Le protocole RTCP ............................................................................................................................25
4.2.1 Description gnrale de RTCP...................................................................................................................... 25
4.2.2 Point fort et limite du protocole RTCP ......................................................................................................... 26
5. POINTS FORTS ET LIMITES DE LA VOIX SUR IP ........................................................................................................26
CONCLUSION ........................................................................................................................................................28
CHAPITRE 2 : ATTAQUES CONTRE LA VOIP ET BONNES PRATIQUES DE SECURISATION.........................................29
INTRODUCTION ....................................................................................................................................................30
Page | 4
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Page | 5
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Page | 6
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Introduction gnrale
Depuis quelques annes, la technologie VoIP commence intresser les entreprises,
surtout celles de service comme les centres dappels. La migration des entreprises vers ce genre
de technologie nest pas pour rien. Le but est principalement est de : minimiser le cot des
communications ; utiliser le mme rseau pour offrir des services de donnes, de voix, et
dimages ; et simplifier les cots de configuration et dassistance.
Plusieurs fournisseurs offrent certaines solutions qui permettent aux entreprises de migrer
vers le monde IP. Des constructeurs de PABX tels que Nortel, Siemens, et Alcatel prfrent la
solution de lintgration progressive de la VoIP en ajoutant des cartes extensions IP.
Cette approche facilite ladoption du tlphone IP surtout dans les grandes socits possdant
une plateforme classique et voulant bnficier de la voix sur IP. Mais elle ne permet pas de
bnficier de tous les services et la bonne intgration vers le monde des donnes.
Le dveloppement des PABXs software, est la solution propose par des fournisseurs tels
que Cisco et Asterisk. Cette approche permet de bnficier dune grande flexibilit, dune trs
bonne intgration au monde des donnes et de voix, et surtout dun prix beaucoup plus
intressant.
Cette solution, qui est totalement base sur la technologie IP, est donc affecte par les
vulnrabilits qui menacent la scurit de ce protocole et linfrastructure rseau sur laquelle elle
est dploye. Cette dernire est le majeur problme pour les entreprises et un grand dfi pour les
dveloppeurs. Certaines attaques sur les rseaux VoIP, comme les attaques de dni de service, et
les vols didentit, peuvent causer des pertes catastrophiques et normes pour les entreprises.
Pour cela la scurit du rseau VoIP nest pas seulement une ncessit mais plutt une
obligation, avec laquelle on peut rduire, au maximum, le risque dattaques sur les rseaux VoIP.
La scurit dune solution de VoIP doit couvrir toute linfrastructure rseau, incluant les
outils et les quipements de gestion des communications et des utilisateurs, le systme
dexploitation sur lesquels sont installs ces outils, et les protocoles de signalisation et de
transport de donnes. Il faut mme se protger contre les personnes malveillantes. Mieux on
scurise, moins il y a de risques.
Page | 7
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Ce travail a pour objectif : ltude des protocoles de VoIP et des architectures proposes ;
ltude des vulnrabilits et des attaques de scurits surs les divers composants dune
infrastructure VoIP dans des rseaux LAN ; et la mise en place une solution de VoIP scurise
base sur des outils open source, prcisment le serveur Asterisk et le client X-Lite.
Les entreprises, bnficiant de notre solution, seront capables de mettre en place une
plateforme de VoIP assez flexible, peu couteux, et protge contre les attaques de scurit de
lintrieur du rseau comme de lextrieur aussi.
Le troisime chapitre, sintresse la mise en place dune solution de VoIP pour les
entreprises base sur le serveur Asterisk et le client X-Lite. Les diffrents pr-requis et les
librairies ncessaires sont installs, et les paramtres essentiels sont dfinis et configurs.
Le dernier chapitre du rapport sintresse aux tests et ralisations de quelques attaques sur
linfrastructure de VoIP dploye dans le troisime chapitre. Une implmentation des diffrentes
solutions et mesures ncessaires la protection contre ces attaques, est ralise.
Page | 8
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Chapitre 1
Etude gnrale
de la voix sur IP
Page | 9
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Introduction
La voix sur IP constitue actuellement lvolution la plus importante du domaine des
Tlcommunications. Avant 1970, la transmission de la voix seffectuait de faon analogique sur
des rseaux ddis la tlphonie. La technologie utilise tait la technologie lectromcanique
(Crossbar). Dans les annes 80, une premire volution majeure a t le passage la
transmission numrique (TDM). La transmission de la voix sur les rseaux informatiques
commutation de paquets IP constitue aujourdhui une nouvelle volution majeure comparable
aux prcdentes.
VoIP signifie Voice over Internet Protocol ou Voix sur IP. Comme son nom l'indique, la
VoIP permet de transmettre des sons (en particulier la voix) dans des paquets IP circulant sur
Internet. La VoIP peut utiliser du matriel d'acclration pour raliser ce but et peut aussi tre
utilise en environnement de PC.
1.2. Architecture
La VoIP tant une nouvelle technologie de communication, elle n'a pas encore de
standard unique. En effet, chaque constructeur apporte ses normes et ses fonctionnalits ses
solutions. Les trois principaux protocoles sont H.323, SIP et MGCP/MEGACO. Il existe donc
plusieurs approches pour offrir des services de tlphonie et de visiophonie sur des rseaux IP.
Certaines placent l'intelligence dans le rseau alors que d'autres prfrent une approche gale
gale avec l'intelligence rpartie la priphrie. Chacune ayant ses avantages et ses
inconvnients.
Page | 10
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
moins grande qualit de service. L'intelligence du rseau est aussi dporte soit sur les
terminaux, soit sur les passerelles/ contrleur de commutation, appeles Gatekeeper. On retrouve
les lments communs suivants :
Le routeur : permet d'aiguiller les donnes et le routage des paquets entre deux rseaux.
Certains routeurs permettent de simuler un Gatekeeper grce l'ajout de cartes
spcialises supportant les protocoles VoIP.
La VoIP fonctionne par numrisation de la voix, puis par reconversion des paquets
numriques en voix l'arrive. Le format numrique est plus facile contrler, il peut tre
compress, rout et converti en un nouveau format meilleur. Le signal numrique est plus
tolrant au bruit que l'analogique.
Les rseaux TCP/IP sont des supports de circulation de paquets IP contenant un en-tte
(pour contrler la communication) et une charge utile pour transporter les donnes.
Il existe plusieurs protocoles qui peuvent supporter la voix sur IP tel que le H.323, SIP et MGCP.
Les deux protocoles les plus utilises actuellement dans les solutions VoIP prsentes sur le
march sont le H.323 et le SIP.
2. Protocole H.323
2.1 Description gnrale du protocole H.323
Le standard H.323 fournit, depuis son approbation en 1996, un cadre pour les
communications audio, vido et de donnes sur les rseaux IP. Il a t dvelopp par l'ITU
(International Telecommunications Union) pour les rseaux qui ne garantissent pas une qualit
de service (QoS), tels quIP IPX sur Ethernet, Fast Ethernet et Token Ring. Il est prsent dans
plus de 30 produits et il concerne le contrle des appels, la gestion multimdia, la gestion de la
bande passante pour les confrences point--point et multipoints. H.323 traite galement de
l'interfaage entre le LAN et les autres rseaux.
Le protocole H.323 fait partie de la srie H.32x qui traite de la vidoconfrence au travers
diffrents rseaux. Il inclue H.320 et H.324 lis aux rseaux ISDN (Integrated Service Data
Network) et PSTN (Public Switched Telephone Network).
Page | 12
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Plus qu'un protocole, H.323 cre une association de plusieurs protocoles diffrents et qui
peuvent tre regroups en trois catgories : la signalisation, la ngociation de codec, et le
transport de linformation.
Les messages de signalisation sont ceux envoys pour demander la mise en relation de
deux clients, qui indique que la ligne est occupe ou que le tlphone sonne, etc. En
H.323, la signalisation sappuie sur le protocole RAS pour lenregistrement et
lauthentification, et le protocole Q.931 pour linitialisation et le contrle dappel.
La ngociation est utilise pour se mettre daccord sur la faon de coder les informations
changer. Il est important que les tlphones (ou systmes) utilisent un langage
commun sils veulent se comprendre. Il sagit du codec le moins gourmand en bande
passante ou de celui qui offre la meilleure qualit. Il serait aussi prfrable davoir
plusieurs alternatives de langages. Le protocole utilis pour la ngociation de codec est le
H.245
L'infrastructure H.323 repose sur quatre composants principaux : les terminaux, les
Gateways, les Gatekeepers, et les MCU (Multipoint Control Units).
Page | 13
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Gateway ou les passerelles vers des rseaux classiques (RTC, RNIS, etc.)
Dans la norme H323, Le Gatekeeper est le point d'entre au rseau pour un client H.323.
Il dfinit une zone sur le rseau, appele zone H.323 (voir figure 3 ci-dessous), regroupant
Page | 14
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
plusieurs terminaux, Gateways et MCU dont il gre le trafic, le routage LAN, et l'allocation de la
bande passante. Les clients ou les Gateway s'enregistrent auprs du Gatekeeper ds l'activation
de celui-ci, ce qui leur permet de retrouver n'importe quel autre utilisateur travers son
identifiant fixe obtenu auprs de son Gatekeeper de rattachement.
La translation des alias H.323 vers des adresses IP, selon les spcifications
RAS (Registration/Admission/Status) ;
Page | 15
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Les MCU
Les contrleurs multipoint appels MCU (Multipoint Control Unit) offrent aux
utilisateurs la possibilit de faire des visioconfrences trois terminaux et plus en prsence
continue ou en activation la voix . Une MCU consiste en un Contrleur Multipoint (MC),
auquel est rajout un ou plusieurs Processeurs Multipoints (MP). Le MC prend en charge les
ngociations H.245 entre tous les terminaux pour harmoniser les paramtres audio et vido de
chacun. Il contrle galement les ressources utilises. Mais le MC ne traite pas directement avec
les flux audio, vido ou donnes, c'est le MP qui se charge de rcuprer les flux et de leurs faire
subir les traitements ncessaires. Un MC peut contrler plusieurs MP distribus sur le rseau et
faisant partie d'autres MCU.
La technologie H.323 possde des avantages et des inconvnients. Parmi les avantages,
nous citons :
Gestion de la bande passante : H.323 permet une bonne gestion de la bande passante en
posant des limites au flux audio/vido afin d'assurer le bon fonctionnement des
applications critiques sur le LAN. Chaque terminal H.323 peut procder l'ajustement de
la bande passante et la modification du dbit en fonction du comportement du rseau en
temps rel (latence, perte de paquets et gigue).
Support Multipoint : H.323 permet de faire des confrences multipoint via une structure
centralise de type MCU (Multipoint Control Unit) ou en mode ad-hoc.
Flexibilit : une confrence H.323 peut inclure des terminaux htrognes (studio de
visioconfrence, PC, tlphones) qui peuvent partager selon le cas, de la voix de la
vido et mme des donnes grce aux spcifications T.120.
Page | 16
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
3. Protocole SIP
3.1 Description gnrale du protocole SIP
SIP est le standard ouvert de VoIP, interoprable, le plus tendu et vise devenir le
standard des tlcommunications multimdia (son, image, etc.). Skype par exemple, qui utilise
un format propritaire, ne permet pas l'interoprabilit avec un autre rseau de voix sur IP et ne
fournit que des passerelles payantes vers la tlphonie standard. SIP n'est donc pas seulement
destin la VoIP mais pour de nombreuses autres applications telles que la visiophonie, la
messagerie instantane, la ralit virtuelle ou mme les jeux vido.
Page | 17
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Il est important de sassurer que la personne appele soit toujours joignable. Pour cela, un
compte SIP sera associ un nom unique. Par exemple, si un utilisateur dun service de voix sur
IP dispose dun compte SIP et que chaque fois quil redmarre son ordinateur, son adresse IP
change, il doit cependant toujours tre joignable. Son compte SIP doit donc tre associ un
serveur SIP (proxy SIP) dont ladresse IP est fixe. Ce serveur lui allouera un compte et il
permettra deffectuer ou de recevoir des appels quelques soit son emplacement. Ce compte sera
identifiable via son nom (ou pseudo).
Un utilisateur doit pouvoir modifier les caractristiques dun appel en cours. Par exemple,
un appel initialement configur en (voix uniquement) peut tre modifi en (voix + vido).
Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point
point, en mode diffusif ou dans un mode combinant ceux-ci.
Mode diffusif : on parle dans ce cas l de multicast (plusieurs utilisateurs via une
unit de contrle MCU Multipoint Control Unit).
Durant une session dappel, de nouveaux participants peuvent joindre les participants
dune session dj ouverte en participant directement, en tant transfrs ou en tant mis en
attente (cette particularit rejoint les fonctionnalits dun PABX par exemple, o lappelant peut
tre transfr vers un numro donn ou tre mis en attente).
Cela permet un groupe durant un appel de ngocier sur les types de mdias supports.
Par exemple, la vido peut tre ou ne pas tre supporte lors dune session.
Page | 18
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Adressage
Les utilisateurs disposant dun numro (compte) SIP disposent dune adresse ressemblant
une adresse mail (sip:numro@serveursip.com). Le numro SIP est unique pour chaque
utilisateur.
Modle dchange
Le protocole SIP repose sur un modle Requte/Rponse. Les changes entre un terminal
appelant et un terminal appel se font par l'intermdiaire de requtes. La liste des requtes
changes est la suivante :
Invite : cette requte indique que l'application (ou utilisateur) correspondante l'url SIP
spcifi est invit participer une session. Le corps du message dcrit cette session (par
ex : mdia supports par lappelant). En cas de rponse favorable, l'invit doit spcifier
les mdias qu'il supporte.
Ack : cette requte permet de confirmer que le terminal appelant a bien reu une rponse
dfinitive une requte Invite.
Options : un proxy server en mesure de contacter l'UAS (terminal) appel, doit rpondre
une requte Options en prcisant ses capacits contacter le mme terminal.
Bye : cette requte est utilise par le terminal de l'appel fin de signaler qu'il souhaite
mettre un terme la session.
Cancel : cette requte est envoye par un terminal ou un proxy server fin d'annuler une
requte non valide par une rponse finale comme, par exemple, si une machine ayant t
invite participer une session, et ayant accept l'invitation ne reoit pas de requte
Ack, alors elle met une requte Cancel.
Register : cette mthode est utilise par le client pour enregistrer l'adresse liste dans
l'URL TO par le serveur auquel il est reli.
Codes derreurs
Une rponse une requte est caractrise, par un code et un motif, appels
respectivement code d'tat et raison phrase. Un code d'tat est un entier cod sur 3 digits
indiquant un rsultat l'issue de la rception d'une requte. Ce rsultat est prcis par une phrase,
Page | 19
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
3xx = Redirection - Une autre action doit tre mene afin de valider la requte.
4xx = Erreur du client - La requte contient une syntaxe errone ou ne peut pas tre
traite par ce serveur.
5xx = Erreur du serveur - Le serveur n'a pas russi traiter une requte apparemment
correcte.
6xx = Echec gnral - La requte ne peut tre traite par aucun serveur.
Dans un systme SIP on trouve deux types de composantes, les agents utilisateurs (UAS,
UAC) et un rseau de serveurs (Registrar, Proxy)
L'UAS (User Agent Server) reprsente l'agent de la partie appele. C'est une application de type
serveur qui contacte l'utilisateur lorsqu'une requte SIP est reue. Et elle renvoie une rponse au
nom de l'utilisateur.
L'U.A.C (User Agent Client) reprsente l'agent de la partie appelante. C'est une application de
type client qui initie les requtes.
Le Registrar est un serveur qui gre les requtes REGISTER envoyes par les Users Agents
pour signaler leur emplacement courant. Ces requtes contiennent donc une adresse IP, associe
une URI, qui seront stockes dans une base de donnes (figure 4).
Les URI SIP sont trs similaires dans leur forme des adresses email :
sip:utilisateur@domaine.com. Gnralement, des mcanismes d'authentification permettent
d'viter que quiconque puisse s'enregistrer avec n'importe quelle URI.
Page | 20
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Un Proxy SIP sert d'tre lintermdiaire entre deux User Agents qui ne connaissent pas
leurs emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a t stocke
pralablement dans une base de donnes par un Registrar. Le Proxy peut donc interroger cette
base de donnes pour diriger les messages vers le destinataire. La figure 5 montre les tapes de
linterrogation du proxy la base de donnes
Page | 21
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le Proxy se contente de relayer uniquement les messages SIP pour tablir, contrler et
terminer la session (voir figure 6). Une fois la session tablie, les donnes, par exemple un flux
RTP pour la VoIP, ne transitent pas par le serveur Proxy. Elles sont changes directement entre
les User Agents.
Ouvert, standard, simple et flexible sont les principales atouts du protocole SIP, voil en dtails
ces diffrents avantages :
Page | 22
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Flexible : SIP est galement utilis pour tout type de sessions multimdia (voix, vido,
mais aussi musique, ralit virtuelle, etc.).
Points communs avec H323 : l'utilisation du protocole RTP et quelques codecs son et
vido sont en commun.
4. Protocoles de transport
Nous dcrivons deux autres protocoles de transport utiliss dans la voix sur IP savoir
lRTP et le RTCP
RTP (Real time Transport Protocol), standardis en 1996, est un protocole qui a t
dvelopp par l'IETF afin de faciliter le transport temps rel de bout en bout des flots donnes
audio et vido sur les rseaux IP, c'est dire sur les rseaux de paquets. RTP est un protocole qui
se situe au niveau de l'application et qui utilise les protocoles sous-jacents de transport TCP ou
UDP. Mais l'utilisation de RTP se fait gnralement au-dessus dUDP ce qui permet d'atteindre
plus facilement le temps rel. Les applications temps rels comme la parole numrique ou la
visioconfrence constitue un vritable problme pour Internet. Qui dit application temps rel, dit
prsence d'une certaine qualit de service (QoS) que RTP ne garantie pas du fait qu'il fonctionne
au niveau Applicatif. De plus RTP est un protocole qui se trouve dans un environnement
multipoint, donc on peut dire que RTP possde sa charge, la gestion du temps rel, mais aussi
l'administration de la session multipoint.
Page | 23
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le protocole RTP a pour but d'organiser les paquets l'entre du rseau et de les
contrler la sortie. Ceci de faon reformer les flux avec ses caractristiques de dpart. RTP
est un protocole de bout en bout, volontairement incomplet et mallable pour s'adapter aux
besoins des applications. Il sera intgr dans le noyau de l'application. Il laisse la responsabilit
du contrle aux quipements d'extrmit. Il est aussi un protocole adapt aux applications
prsentant des proprits temps rel. Il permet ainsi de :
Identifier le contenu des donnes pour leurs associer un transport scuris et reconstituer
la base de temps des flux (horodatage des paquets : possibilit de resynchronisation des
flux par le rcepteur)
Transporter les applications audio et vido dans des trames (avec des dimensions qui sont
dpendantes des codecs qui effectuent la numrisation). Ces trames sont incluses dans
des paquets afin d'tre transportes et doivent, de ce fait, tre rcupres facilement au
moment de la phase de segmentation des paquets afin que l'application soit dcode
correctement.
Le protocole RTP permet de reconstituer la base de temps des diffrents flux multimdia
(audio, vido, etc.); de dtecter les pertes de paquets; et didentifier le contenu des paquets pour
leur transmission scurise.
Par contre, il ne permet pas de rserver des ressources dans le rseau ou dapporter une fiabilit
dans le rseau. Ainsi il ne garanti pas le dlai de livraison.
Page | 24
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le protocole RTCP est fond sur la transmission priodique de paquets de contrle tous
les participants d'une session. C'est le protocole UDP (par exemple) qui permet le multiplexage
des paquets de donnes RTP et des paquets de contrle RTCP.
Le protocole RTP utilise le protocole RTCP, Real-time Transport Control Protocol, qui
transporte les informations supplmentaires suivantes pour la gestion de la session.
Les rcepteurs utilisent RTCP pour renvoyer vers les metteurs un rapport sur la QoS.
Ces rapports comprennent le nombre de paquets perdus, le paramtre indiquant la variance d'une
distribution (plus communment appel la gigue : c'est dire les paquets qui arrivent
rgulirement ou irrgulirement) et le dlai aller-retour. Ces informations permettent la source
de s'adapter, par exemple, de modifier le niveau de compression pour maintenir une QoS.
Parmi les principales fonctions quoffre le protocole RTCP sont les suivants :
Une synchronisation supplmentaire entre les mdias : Les applications multimdias sont
souvent transportes par des flots distincts. Par exemple, la voix, l'image ou mme des
applications numrises sur plusieurs niveaux hirarchiques peuvent voir les flots gres
et suivre des chemins diffrents.
L'identification des participants une session : en effet, les paquets RTCP contiennent
des informations d'adresses, comme l'adresse d'un message lectronique, un numro de
tlphone ou le nom d'un participant une confrence tlphonique.
Page | 25
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le protocole de RTCP est adapt pour la transmission de donnes temps rel. Il permet
deffectuer un contrle permanant sur une session et ces participants. Par contre il fonctionne en
stratgie bout bout. Et il ne peut pas contrler l'lment principal de la communication le
rseau .
Rduction des cots : En effet le trafic vhicul travers le rseau RTC est plus couteux
que sur un rseau IP. Rductions importantes pour des communications internationales en
utilisant le VoIP, ces rductions deviennent encore plus intressantes dans la mutualisation
voix/donnes du rseau IP intersites (WAN). Dans ce dernier cas, le gain est directement
proportionnel au nombre de sites distants.
Standards ouverts : La VoIP nest plus uniquement H323, mais un usage multi-
protocoles selon les besoins de services ncessaires. Par exemple, H323 fonctionne en mode
gale gale alors que MGCP fonctionne en mode centralis. Ces diffrences de conception
offrent immdiatement une diffrence dans l'exploitation des terminaisons considres.
Un rseau voix, vido et donnes ( la fois) : Grace lintgration de la voix comme une
application supplmentaire dans un rseau IP, ce dernier va simplifier la gestion des trois
Page | 26
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
applications (voix, rseau et vido) par un seul transport IP. Une simplification de gestion,
mais galement une mutualisation des efforts financiers vers un seul outil.
Fiabilit et qualit sonore : un des problmes les plus importants de la tlphonie sur IP
est la qualit de la retransmission qui nest pas encore optimale. En effet, des dsagrments
tels la qualit de la reproduction de la voix du correspondant ainsi que le dlai entre le
moment o lun des interlocuteurs parle et le moment o lautre entend peuvent tre
extrmement problmatiques. De plus, il se peut que des morceaux de la conversation
manquent (des paquets perdus pendant le transfert) sans tre en mesure de savoir si des
paquets ont t perdus et quel moment.
Vol : les attaquants qui parviennent accder un serveur VoIP peuvent galement
accder aux messages vocaux stocks et au mme au service tlphonique pour couter des
conversations ou effectuer des appels gratuits aux noms dautres comptes.
Attaque de virus : si un serveur VoIP est infect par un virus, les utilisateurs risquent de
ne plus pouvoir accder au rseau tlphonique. Le virus peut galement infecter dautres
ordinateurs connects au systme.
Page | 27
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Conclusion
Comme on a pu le voir tout au long de ce chapitre, la VoIP est la solution la plus rentable
pour effectuer des conversations. Actuellement il est vident que la VoIP va continuer voluer.
Malgr que la normalisation nait pas atteint la maturit suffisante pour sa gnralisation
au niveau des rseaux IP, il nest pas dangereux de miser sur ces standards vu quils ont t
accepts par lensemble de la communaut de la tlphonie.
Pour finir lors de la mise en uvre de cette technologie, il faut poser la question
suivante : le dveloppement de cette technologie reprsente til un risque ou une opportunit
pour les utilisateurs et les oprateurs tlphoniques ?
Page | 28
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Chapitre 2
Attaques contre la
VoIP et bonnes
pratiques de
scurisation
Page | 29
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Introduction
Lopportunit de migrer de la tlphonie classique vers la tlphonie IP, a offert plusieurs
avantages pour les entreprises, et les a permirent de bnficier de nouveaux services tel que la
vidoconfrence et la transmission des donnes. Lintgration de ces services dans une seule
plateforme ncessite plus de scurit
Dans ce chapitre, nous driverons des attaques qui menacent la VoIP, et nous dtaillerons
quelques uns. Nous finirons par une description des bonnes pratiques pour scuriser les
communications de type voix sur IP.
Les attaques sur les rseaux VoIP peuvent tre classes en deux types : les attaques
internes et les attaques externes. Les attaques externes sont lances par des personnes autres que
celle qui participe lappel, et ils se produisent gnralement quand les paquets VoIP traversent
un rseau peu fiable et/ou lappel passe par un rseau tiers durant le transfert des paquets. Les
attaques internes seffectuent directement du rseau local dans lequel se trouve lattaquant.
Page | 30
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
de leurs autoriser laccs au rseau. Un firewall qui nest pas compatible aux protocoles de la
VoIP doit tre configur manuellement pour laisser le port 5060 ouvert, crant un trou pour des
attaques contre les lments qui coutent lactivit sur ce port.
Le protocole RTP, utilis pour le transport des flux multimdia, prsente galement
plusieurs vulnrabilits dues labsence dauthentification et de chiffrage. Chaque entte dun
paquet RTP contient un numro de squence qui permet au destinataire de reconstituer les
paquets de la voix dans lordre appropri.
Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numro
de squence plus lev. En consquence, ces paquets seront diffuss la place des vrais paquets.
Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par
consquent sont aussi vulnrables toutes les attaques contre ces protocoles, telles le
dtournement de session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc.
Les types dattaques les plus frquentes contre un system VoIP sont :
1.1. Sniffing
Plusieurs outils requis pour le sniffing, y compris pour le protocole H.323 et des plugins
SIP, sont disponibles en open source.
Appel aussi Call tracking, cette attaque se fait au niveau du rseau LAN/VPN et cible
les terminaux (soft/hard phone). Elle a pour but de connatre qui est en train de communiquer et
quelle est la priode de la communication. Lattaquant doit rcuprer les messages INVITE et
BYE en coutant le rseau et peut ainsi savoir qui communique, quelle heure, et pendant
combien de temps.
Page | 31
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Pour raliser cette attaque, Lattaquant doit tre capable dcouter le rseau et rcuprer
les messages INVITE et BYE.
Cette attaque se fait au niveau du rseau LAN/VPN. Elle cible le serveur registrar, et a
pour but de perturber une communication en cours.
Lattaquant devra tout dabord couter un flux RTP de lappelant vers lappel, analyser
son contenu et gnrer un paquet RTP contenant un en-tte similaire mais avec un plus grand
numro de squence et timestamp afin que ce paquet soit reproduit avant les autres paquets (sils
sont vraiment reproduits). Ainsi la communication sera perturbe et lappel ne pourra pas se
drouler correctement.
Pour raliser cette attaque, lattaquant doit tre capable dcouter le rseau afin de reprer
une communication et ainsi reprer les timestamps des paquets RTP.
Il doit aussi tre capable dinsrer des messages RTP quil a gnr ayant un timestamp
modifi.
Trois formes principales de spams sont jusqu maintenant identifis dans SIP:
Call Spam : Ce type de spam est dfini comme une masse de tentatives dinitiation de session
(des requtes INVITE) non sollicites.
Gnralement cest un UAC (User Agent Client) qui lance, en parallle, un grand nombre
d'appels. Si lappel est tabli, l'application gnre un ACK, rejoue une annonce prenregistre, et
ensuite termine l'appel.
Il est dfini comme une masse de messages instantans non sollicites. Les IM spams sont pour
la plupart envoys sous forme de requte SIP. Ce pourraient tre des requtes INVITE avec un
entte Subject trs grand, ou des requtes INVITE avec un corps en format texte ou HTML.
Bien-sr, lIM spam est beaucoup plus intrusif que le spam email, car dans les systmes actuels,
les IMs apparaissent automatiquement sous forme de pop-up l'utilisateur.
Page | 32
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Presence Spam : Ce type de spam est semblable lIM spam. Il est dfini comme une masse de
requtes de prsence (des requtes SUBSCRIBE) non sollicites. Lattaquant fait ceci dans le but
dappartenir la " white list " d'un utilisateur afin de lui envoyer des messages instantans ou
dinitier avec lui dautres formes de communications. LIM Spam est diffrent du Presence
Spam dans le fait que ce dernier ne transmet pas rellement de contenu dans les messages.
Cest, d'une manire gnrale, l'attaque qui vise rendre une application informatique ou
un quipement informatique incapable de rpondre aux requtes de ses utilisateurs et donc hors
dusage.
Une machine serveur offrant des services ses clients (par exemple un serveur web) doit
traiter des requtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bnficier,
pour des raisons dlibrment provoques par un tiers, il y a dni de service.
Dans une attaque de type DoS flood attack, les ressources dun serveur ou dun rseau
sont puises par un flot de paquets. Un seul attaquant visant envoyer un flot de paquets peut
tre identifi et isol assez facilement. Cependant l'approche de choix pour les attaquants a
volu vers un dni de service distribu (DDoS). Une attaque DDoS repose sur une distribution
d'attaques DoS, simultanment menes par plusieurs systmes contre un seul. Cela rduit le
temps ncessaire l'attaque et amplifie ses effets. Dans ce type d'attaque les pirates se
dissimulent parfois grce des machines-rebonds (ou machines zombies), utilises l'insu de
leurs propritaires. Un ensemble de machines-rebonds, est contrlable par un pirate aprs
infection de chacune d'elles par un programme de type porte drobe (backdoor).
Couche rseau :
IP Flooding : Le but de l'IP Flooding est d'envoyer une multitude de paquets IP vers une
mme destination de telle sorte que le traitement de ces paquets empche une entit du
rseau (un routeur ou la station destinatrice) de traiter les paquets IP lgitimes. Si l'IP
Flooding est combin l'IP Spoofing, il est impossible, pour le destinataire, de connatre
l'adresse source exacte des paquets IP. De ce fait, moins que le destinataire ne limite ses
changes avec certaines stations, il lui est impossible de contrer ce type d'attaques.
Page | 33
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Fragmentation des paquets IP : Par la fragmentation des paquets, il est possible de rendre
hors service de nombreux systmes d'exploitation et dispositif VoIP par le biais de la
consommation des ressources. Il existe de nombreuses variantes dattaques par
fragmentation, parmi les plus populaires teardrop, opentear, nestea, jolt, boink, et Ping of
death.
Couche transport :
LUDP Flooding Attacks : Le principe de cette attaque est quun attaquant envoie un
grand nombre de requtes UDP vers une machine. Le trafic UDP tant prioritaire sur le
trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le rseau et
donc de perturbe le plus la bande passante. Presque touts les dispositifs utilisant le protocole
SIP fonctionnent au dessus du protocole UDP, ce qui en fait delles des cibles. De nombreux
dispositifs de VoIP et de systmes d'exploitation peuvent tre paralyss grce des paquets
UDP Flooding visant lcoute du port SIP (5060) ou dautres ports.
TCP SYN floods est une attaque visant le protocole TCP et plus exactement la phase
dtablissement de connexion. Celle ci consiste en trois sous tapes :
Lattaque consiste en lenvoie dun grand nombre de paquets SYN. La victime va alors
rpondre par un message SYN-ACK dacquittement. Pour terminer la connexion TCP, la victime
ensuite va attendre pendant une priode de temps la rponse par le biais dun paquet ACK. C'est
l le cur de l'attaque parce que les ACK final ne sont jamais envoys, et par la suite, la
mmoire systme se remplit rapidement et consomme toutes les ressources disponibles ces
demandes non valides. Le rsultat final est que le serveur, le tlphone, ou le routeur ne sera pas
en mesure de faire la distinction entre les faux SYN et les SYN lgitimes d'une relle connexion
VoIP.
Couche applications :
SIP Flooding : Dans le cas de SIP, une attaque DoS peut tre directement dirige contre
les utilisateurs finaux ou les dispositifs tels que tlphones IP, routeurs et proxy SIP, ou
Page | 34
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
contre les serveurs concerns par le processus, en utilisant le mcanisme du protocole SIP ou
dautres techniques traditionnelles de DoS.
CANCEL
Cest un type de dni de service lanc contre l'utilisateur. Lattaquant surveille lactivit
du proxy SIP et attend quun appel arrive pour un utilisateur spcifique. Une fois que le
dispositif de lutilisateur reoit la requte INVITE, l'attaquant envoie immdiatement une requte
CANCEL. Cette requte produit une erreur sur le dispositif de lappel et termine l'appel. Ce
type d'attaque est employ pour interrompre la communication.
La figure suivante montre un scnario dattaque DoS CANCEL, lutilisateur toto initie
lappel, envoie une invitation (1) au proxy auquel il est rattach. Le proxy du domaine A
achemine la requte (2) au proxy qui est responsable de lutilisateur titi. Ensuite cest le proxy du
domaine B qui prend le relais et achemine la requte INVITE (3) qui arrive enfin destination.
Le dispositif de titi, quand il reoit linvitation, sonne (4). Cette information est rachemine
jusquau dispositif de toto. Lattaquant qui surveille lactivit du proxy SIP du domaine B envoie
une requte CANCEL (7) avant que titi nait pu envoyer la rponse OK qui accepte lappel.
Cette requte annulera la requte en attente (lINVITE), lappel na pas lieu.
Page | 35
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
REGISTER
Le serveur d'enregistrement lui-mme est une source potentielle de dni de service pour
les utilisateurs. En effet ce serveur peut accepter des enregistrements de tous les dispositifs. Un
nouvel enregistrement avec une * dans l'entte remplacera tous les prcdents enregistrements
pour ce dispositif. Les attaquants, de cette faon, peuvent supprimer lenregistrement de
quelques-uns des utilisateurs, ou tous, dans un domaine, empchant ainsi ces utilisateurs d'tre
invits de nouvelles sessions.
Notez que cette fonction de suppression denregistrement dun dispositif au profit dun
autre est un comportement voulu en SIP afin de permettre le transfert dappel. Le dispositif de
lutilisateur doit pouvoir devenir le dispositif principal quand il vient en ligne. Cest un
mcanisme trs pratique pour les utilisateurs mais galement pour les pirates.
Exemple: quand un agent SIP envoie un message INVITE pour initier un appel,
l'attaquant envoie un message de redirection 3xx indiquant que lappel s'est dplac et par la
mme occasion donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous
les appels destins lutilisateur sont transfrs et cest lattaquant qui les reoit.
Un appel dtourn en lui-mme est un problme, mais cest encore plus grave quand il est
porteur d'informations sensibles et confidentielles.
Page | 36
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
1. dterminer les adresses MAC des victimes (client serveur) par lattaquant
2. Envoi dune requte ARP non sollicits au client, pour linformer du changement de
l'adresse MAC du serveur VoIP ladresse MAC.
3. Envoi dune requte ARP non sollicits au serveur, pour linformer du changement de
l'adresse MAC du client ladresse MAC.
4. Dsactiver la vrification des adresses MAC sur la machine dattaque afin que le trafic
puisse circuler entre les 2 victimes
Page | 37
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Plusieurs dispositifs de la VoIP, dans leur configuration par dfaut, peuvent avoir une
varit de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent tre
vulnrables aux attaques DoS ou buffer overflow.
Plusieurs dispositifs de la VoIP excutent galement un serveur WEB pour la gestion distance
qui peut tre vulnrable aux attaques buffer overflow et la divulgation dinformations.
Si les services accessibles ne sont pas configurs avec un mot de passe, un attaquant peut
acqurir un accs non autoris ce dispositif.
Les services SNMP (Simple Network Management Protocol) offerts par ces dispositifs
peuvent tre vulnrables aux attaques de reconnaissance ou attaques doverflow.
Un pirate peut compromettre un dispositif de tlphonie sur IP, par exemple un tlphone
IP, un softphone et autres programmes ou matriels clients. Gnralement, il obtient les
privilges qui lui permettent de commander compltement la fonctionnalit du dispositif.
Compromettre un point final (tlphone IP) peut tre fait distance ou par un accs
physique au dispositif. Le pirate pourrait modifier les aspects oprationnels d'un tel dispositif:
Aussi un firmware modifi de manire malveillante peut tre tlcharg et install. Les
modifications faites la configuration des logiciels de tlphonie IP peuvent permettre:
Aux appels entrants d'tre rorients vers un autre point final sans que l'utilisateur soit au
courant.
Page | 38
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Toutes les informations concernant l'utilisateur qui sont stockes sur le dispositif
pourraient t extraites.
Lacquisition d'un accs non autoris sur un dispositif de tlphonie IP peut tre le
rsultat d'un autre lment compromis sur le rseau IP, ou de l'information rcolte sur le rseau.
Les softphones ne ragissent pas de la mme faon aux attaques compars leur
homologues tlphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs
inclus dans le systme, savoir les vulnrabilits du systme d'exploitation, les vulnrabilits de
lapplication, les vulnrabilits du service, des vers, des virus, etc. En plus, le softphone demeure
sur le segment de donnes, est ainsi sensible aux attaques lances contre ce segment et pas
simplement contre lhte qui hberge lapplication softphone.
Les tlphones IP excutent quant eux leurs propres systmes dexploitation avec un
nombre limit de services supports et possdent donc moins de vulnrabilits.
Un pirate peut viser les serveurs qui fournissent le rseau de tlphonie sur IP.
Compromettre une telle entit mettra gnralement en pril tout le rseau de tlphonie dont le
serveur fait partie.
Page | 39
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Si un serveur de tlphonie IP est install sur un systme d'exploitation, il peut tre une
cible pour les virus, les vers, ou nimporte quel code malveillant.
Ces vulnrabilits sont pour la plupart relatives au manque de scurit lors de la phase
initiale de dveloppement du systme d'exploitation et ne sont dcouvertes quaprs le lancement
du produit.
Une des principales vulnrabilits des systmes d'exploitation est le buffer overflow. Il
permet un attaquant de prendre le contrle partiel ou complet de la machine.
Les dispositifs de la VoIP tels que les tlphones IP, Call Managers, Gateway et les
serveurs proxy, hritent les mmes vulnrabilits du systme d'exploitation ou du firmware sur
lequel ils tournent.
Il existe une centaine de vulnrabilits exploitables distance sur Windows et mme sur
Linux. Un grand nombre de ces exploits sont disponibles librement et prts tre tlchargs sur
l'Internet.
Peu importe comment, une application de la VoIP s'avre tre sre, celle ci devient
menac si le systme d'exploitation sur lequel elle tourne est compromis.
IPsec peut tre utilis pour raliser deux objectifs. Garantir l'identit des deux points
terminaux et protger la voix une fois que les paquets quittent l'Intranet de l'entreprise. VOIPsec
(VoIP utilisant IPsec) contribue rduire les menaces, les sniffeurs de paquets, et de nombreux
types de trafic vocal analyze . Combin avec un pare-feu, IPsec fait que la VOIP soit plus sr
Page | 40
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
quune ligne tlphonique classique. Il est important de noter, toutefois, que IPsec n'est pas
toujours un bon moyen pour certaines applications, et que certains protocoles doivent continuer
compter sur leurs propres dispositifs de scurit.
Un VPN VoIP combine la voix sur IP et la technologie des rseaux virtuels privs pour
offrir une mthode assurant la prservation de la prestation vocale. Puisque la VoIP transmet la
voix numrise en un flux de donnes, la solution VPN VoIP semble celle la plus appropri vu
quelle offre le cryptage des donnes grces a des mcanismes de cryptages, puisquelle permet
doffrir lintgrit des paquets VoIP.
Vu que notre objectif est dassurer la confidentialit et lintgrit des clients, le mode
choisie est donc le mode tunnel. Puisquil scurise le paquet comme un tout (contrairement en
mode transport qui ne scurise que le payload IP). Le mode tunnel se base sur lencapsulation de
tout le paquet IP et ajoute un nouvel entte pour lacheminement de ce dernier. Ce mode est
gnralement utilis pour les routeur-to-routeur. En plus du mode tunnel, on choisi le protocole
ESP qui lui a son tour va assurer le cryptage des donnes et donc la confidentialit contrairement
au protocole AH qui lui ne permet que lauthentification des paquets et non le cryptage.
Dans ce cas, la solution quon propose est ESP mode tunnel qui sera appliqu uniquement
sur les points de terminaison la voix IP, cest-a-dire le routeur. Ceci nous permettra donc de
minimiser le nombre de machines qui seront impliques dans le traitement engendr par la
scurit. De plus le nombre des cls ncessaires sera rduit.
SRTP est conu pour scuriser la multiplication venir des changes multimdias sur les
rseaux. Il couvre les lacunes de protocoles de scurit existants comme IPsec (IP Security), dont
le mcanisme d'changes de cls est trop lourd. Il aussi est bti sur le protocole temps rel RTP
(Real Time Transport Protocol). Il associe aussi une demi-douzaine de protocoles
complmentaires. Il est donc compatible la fois avec des protocoles d'initiation de session de
voix sur IP tel que SIP (Session Initiation Protocol), ainsi que le protocole de diffusion de
contenu multimdia en temps rel RTSP (Real Time Streaming Protocol). Mais, surtout, il
s'adjoint les services du protocole de gestion de cl MIKEY (Multimedia Internet KEYing).
Page | 41
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Rendre confidentielles les donnes RTP, que ce soit len-tte et la charge utile ou
seulement la charge utile.
Authentifier et vrifier lintgrit des paquets RTP. Lmetteur calcule une empreinte du
message envoyer, puis lenvoie avec le message mme.
La protection contre le rejeu des paquets. Chaque rcepteur tient jour une liste de tous
les indices des paquets reus et bien authentifis.
Avec une gestion de cl approprie, SRTP est scuris pour les applications unicast et
multicast de RTP. En thorie, SRTP est une extension du protocole RTP dans lequel a t
rajoute des options de scurit. En effet, il a pour but doffrir plusieurs implmentations de
cryptographie tout en limitant loverhead li lutilisation des chiffrements. Il propose des
algorithmes qui monopoliseront au minimum les ressources et lutilisation de la mmoire.
Surtout, il permet de rendre RTP indpendant des autres couches en ce qui concerne lapplication
de mcanismes de scurit.
Pour implmenter les diffrents services de scurit prcits, SRTP utilise les composants
principaux suivants :
Une cl matresse utilise pour gnrer des cls de session; Ces dernires seront utilises
pour chiffrer ou pour authentifier les paquets.
Une fonction utilise pour calculer les cls de session partir de la cl matresse.
Des cls alatoires utilises pour introduire une composante alatoire afin de contrer les
ventuels rejeu ou effets de mmoire.
SRTP utilise deux types de cls : clef de session et clef matresse. Par clef de session
nous entendons une clef utilise directement dans les transformations cryptographiques; et par
clef matresse , nous entendons une chane de bit alatoire partir desquelles les clefs de
sessions sont drives par une voie scuris avec des mcanismes cryptographiques.
Page | 42
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Un paquet SRTP est gnr par transformation dun paquet RTP grce des mcanismes
de scurit. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
quils ne soient sur le rseau. La figure suivante prsente le format dun paquet SRTP
On remarque que le paquet SRTP est ralis en rajoutant deux champs au paquet RTP :
SRTP MKI (SRTP Master Key identifier) : sert re-identifier une clef matresse
particulire dans le contexte cryptographique. Le MKI peut tre utilis par le rcepteur pour
retrouver la clef primaire correcte quand le besoin dun renouvellement de clefs survient.
Plusieurs mthodes peuvent tre appliques pour scuriser l'application, ces mthodes
varient selon le type d'application (serveur ou client). Pour scuriser le serveur il faut :
- Lutilisation dune version stable, Il est bien connu que toute application non stable
contient surement des erreurs et des vulnrabilits. Pour minimiser les risques, il est impratif
d'utiliser une version stable.
- Tester les mises jour des softwares dans un laboratoire de test. Il est trs important de
tester toute mise jour de l'application dans un laboratoire de test avant de les appliquer sur le
systme en production
Page | 43
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
- Ne pas utiliser la configuration par dfaut qui sert juste tablir des appels. Elle ne
contient aucune protection contre les attaques.
Il est trs important de scuriser le systme sur lequel est implment le serveur de VoIP.
En effet, si le systme est compromis, lattaque peut se propager sur lapplication serveur. Celle-
ci risque daffecter les fichiers de configuration contenant des informations sur les clients
enregistrs.
- utiliser un systme dexploitation stable. Les nouvelles versions toujours contiennent des
bugs et des failles qui doivent tre corrigs et matriss avant.
- Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les
intrusions. Et ils ne doivent pas tre des dates de naissances, des noms, ou des numros de
tlphones. Un mot de passe doit tre assez long et former dune combinaison de lettre, de
chiffres et ponctuations.
Page | 44
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
- Sauvegarde des fichiers log distance : les fichiers log sont trs importants, il est
conseill de les enregistrer sur un serveur distant.
- Installer seulement les composants ncessaires : pour limiter les menaces sur le systme
dexploitation. Il vaut mieux installer sur la machine le systme dexploitation et le serveur.
- Supprimer tous programmes, logiciels ou des choses qui nont pas dimportance et qui
peuvent tre une cible dattaque pour accder au systme.
On peut aussi utiliser les pare feu ou/et les ACL pour limiter laccs des personnes bien
dtermin et fermer les ports inutiles et ne laisser que les ports utiliss (5060, 5061, 4569,). Le
pare feu (firewall) est un software ou hardware qui a pour fonction de scuriser un rseau ou un
ordinateur contre les intrusions venant dautres machines. Le pare feu utilise le systme de
filtrage de paquet aprs analyse de lentte des paquets IP qui schange entre les machines.
Le firewall peut tre implment avec un ACL qui est une liste d'Access Control Entry
(ACE) ou entre de contrle d'accs donnant ou supprimant des droits d'accs une personne ou
un groupe. On aura besoin dACL pour donner des droits des personnes bien dtermins selon
leurs besoins et leurs autorits.
Pour un serveur VoIP, il est important dimplmenter les ACL pour scuriser le serveur
en limitant laccs des personnes indsirables. Par exemple, seuls les agents enregistrs
peuvent envoyer des requtes au serveur. Il existe trois catgories dACL :
La liste de contrle daccs peut tre installe en rseau sur les pare feu ou les routeurs,
mais aussi ils existent dans les systmes dexploitation.
Page | 45
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Conclusion
La voix sur IP devient jour aprs jour plus cibl. Il existe plusieurs autres attaques qui
menace la scurit du VoIP, les attaques cit dans ce chapitre sont les plus fameux et courant
dans les rseaux VoIP.
Mais en suivant certaines bonnes pratiques parmi les cits, on peut crer un rseau bien
scuris.
Page | 46
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Chapitre 3
Installation et
configuration
dune solution de
VoIP base sur
loutil Asterisk
Page | 47
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Introduction
Asterisk est un autocommutateur tlphonique prive (PABX) open source pour les
systmes dexploitation UNIX, il est publi sous licence GPL.
Asterisk comprend un nombre trs lev de fonctions, tel que les appels tlphoniques, la
messagerie vocale, les fils dattentes, les confrences, etc. Il implmente plusieurs protocoles
H.320, H.323, SIP et IAX.
Page | 48
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
- Les deux clients SIP : Sont des machines sur lesquelles install le systme dexploitation
linux et un client X-Lite.
- Poste attaquant : Dans le quel on a install Windows XP pour raliser les attaques.
- Firewall : Un firewall software est install dans la machine serveur pour limiter laccs.
Les pr-requis ncessaires pour que linstallation du serveur Asterisk saccomplit avec succs,
sont classs dans un tableau ci-dessous :
Page | 49
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Commande
Nom du paquetage Note
dinstallation
GCC 3.x yum install y gcc Ncessaire pour compiler zaptel, libpri, et asterisk
yum install y
libtermcap-devel Ncessaire pour asterisk
libtermcap-devel
Libtool (optionnel;
yum install y libtool Dependence de ODBC-related modules
recommand)
Le meilleur chemin pour obtenir le code source dAsterisk et ces paquetages est de les
tlcharger partir du site web www.asterisk.org. On peut aussi les tlcharger directement du
serveur de Digium.
# cd /usr/src/
# wget http://downloads.digium.com/pub/asterisk/asterisk-1.4-current.tar.gz
Page | 50
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# wget http://downloads.digium.com/pub/libpri/libpri-1.4-current.tar.gz
# wget http://downloads.digium.com/pub/zaptel/zaptel-1.4-current.tar.gz
Les paquetages tlchargs sont des archives compresss qui contiennent le code source,
on aura besoin de les extraire, en utilisant la commande tar, avant de les compiler.
# cd /usr/src/
Le Zaptel est un noyau chargeable qui prsente une couche d'abstraction entre le matriel et les
pilotes de Zapata dans le module Asterisk.
Makefile est un fichier qui contient les instructions excuter partir des commandes,
./configure, make, make install, make config, etc. chacune de ces commandes excute le code
appropri elle dans ce fichier.
Page | 51
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Libpri est utilis par les dcideurs du multiplexage temporel (TDM) des appareils VoIP,
mais mme sil ny a pas le matriel install, il est conseill de compiler et installer cette
bibliothque. Elle doit tre compil et install avant Asterisk, car elle sera dtect et utilis
lorsquAsterisk est compil.
# cd /usr/src/libpri-1.4
# make clean
# make
# make install
# cd /usr/src/asterisk-1.4
# make clean
#. /configure
# make menuselect
# make install
# make samples
Page | 52
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# asterisk r
3. Configuration dAsterisk
3.1 Identification des fichiers de configuration
Une fois linstallation dAsterisk est effectue, plusieurs fichiers sont crs :
- /usr/lib/asterisk/modules/ : Contient les modules pour les applications, les codecs, et les
drivers.
- /var/lib/asterisk/sounds/ : Contient les fichiers audio utiliss par Asterisk, par exemple
pour les invites de la boite vocale.
Le dernier dossier nous intresse vu quil contient les fichiers de configuration du serveur
Asterisk, parmi ces fichiers on trouve :
agents.conf: Contient la configuration de lutilisation des agents, comme dans le cas dun
centre dappel. Ceci nous permet de dfinir les agents et de leurs assigner des ID et des mots
de passe.
Page | 53
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
rtp.conf: Ce fichier de configuration dfinit les ports utiliser pour le protocole RTP
(Real-Time Protocol). Il faut noter que les numros lists sont des ports UDP.
sip.conf: Dfinit les utilisateurs du protocole SIP et leurs options. On peut aussi dfinir
d'autres options globales pour SIP telles que, quels ports utiliser et les timeout qu'on va
imposer. Nous focalisons sur ce fichier puisque notre solution est base sur le protocole SIP.
Les deux fichiers configurer sont sip.conf et extensions.conf. Dans le fichier sip.conf,
on crera des utilisateurs utilisant le protocole sip pour ltablissement de la connexion, voil les
deux clients que nous avons cre au niveau du fichier :
[100]
dtmfmode=rfc2833
[200]
Page | 54
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
dtmfmode=rfc2833
exten=>1113,1,Dial (SIP/200,20,tr)
Si lappelant compose le numro 1111, il est mit en relation avec le poste dont le numro
est 1111 qui utilise le protocole SIP.
Il existe dautres options quon peut ajouter dans le fichier extensions.conf, telles que la
bote vocale et le renvoi dappel. La syntaxe du fichier est sous le format suivant :
Commande : Cest la commande qui peut exister, comme la commande dial (appel),
voicemail (bote vocale), etc.
On peut utiliser plusieurs options pour un seul numro dappel, on peut mettre par
exemple un transfert dappel vers un autre numro ou vers la boite vocale selon des priorits.
Page | 55
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Dans chaque ajout ou modification dun client, il faut mettre jour le serveur Asterisk en
utilisant les commandes suivantes :
Localhost*CLI> reload
Linstallation sous Windows est classique, mais pour linux, il faut dcompresser le
fichier, accder au rpertoire et lancer lexcutable, comme indiquer ci-dessous :
# chmod +x xtensoftphone
Pour configurer le client X-Lite lutilisateur 100 et aussi 200 doivent accder au
menu Sip Account Setting puis de ce menu vers le sous menu Sip Account. Dans la
fentre qui souvre, il suffit de remplir les champs illustr suivant des deux utilisateurs :
Lutilisateur 100 :
1
http://www.counterpath.com/index.php?menu=download
Page | 56
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Nom sous lequel lautorisation daccs est possible (Authorization user) : 100
Il est noter quafin que lauthentification soit possible, ces valeurs doivent tre
conformes celles saisies dans le fichier sip.conf du serveur Asterisk.
Page | 57
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Conclusion
Page | 58
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Chapitre 4
Scurisation de la
solution mise en
place
Page | 59
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Introduction
Aprs avoir tudi les protocoles de la VoIP, identifi les attaques qui menacent les
systmes de VoIP et les bonnes solutions afin de scuriser le serveur Asterisk. Nous allons nous
intresser dans ce chapitre aux techniques, mcanismes et configurations mettre en place dans
le but de scuriser la solution VoIP base sur le serveur Asterisk.
Ce chapitre se compose de deux grandes parties. Dans la premire, nous utiliserons deux
logiciels dattaques, Wireshark et SiVus, et nous expliquerons comment ils fonctionnent. Nous
prsenterons des scnarios dattaques raliss par ces deux logiciels. Dans la deuxime partie,
nous montrerons les solutions implmentes pour scuriser la solution dploye.
Il existe plusieurs mthodes pour la collecte des informations en voici quelques unes des plus
utilises :
Les whois sont des services proposs gratuitement en ligne permettant dobtenir des
informations sur un domaine particulier, sur une adresse de messagerie. Grce ses bases de
donnes comme :
Page | 60
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Un des grands avantages des moteurs de recherches Internet est leurs normes potentiels
pour dcouvrir les plus obscurs des dtails sur l'Internet. L'un des plus grands risques pour la
scurit est aujourd'hui lnorme potentiel des moteurs de recherche pour dcouvrir les dtails
sur l'Internet. Il existe une varit de faons quun hacker peut exploiter en utilisant simplement
les fonctionnalits avances d'un service tel que Google. Le ciblage des catgories suivantes des
rsultats de recherche peuvent souvent fournir de riches dtails sur la solution VoIP dploye par
un organisme:
Les forums
Afin de scanner un rseau, loutil ncessaire pour cela est un scanner de rseau (sniffer en
anglais). Cest un logiciel permettant de dcouvrir les quipements prsents sur un rseau et les
services quil offre. Le scanner est souvent utilis par les administrateurs rseau au cours de test
de scurit. Son principe de fonctionnement est de tester chaque adresse IP et chaque port TCP
Page | 61
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
ou UDP afin de vrifier la prsence d'un serveur ou d'un quelconque quipement fonctionnant en
TCP/IP.
Dans le cadre de notre projet on va se limiter seulement au sniffing des paquets au niveau
du serveur et des clients VoIP. Pour cela on aura besoin des outils adquats pour effectuer cette
opration. Parmi les logiciels les plus connues en matire de sniffing dans un rseau bas sur la
VoIP sont Wireshark Vomit et SiVus.
Lutilisation de Wireshark dans notre projet est pour la dtection des vulnrabilits dans
le rseau VoIP. Nous essayerons de capturer les paquets qui circulent pour dterminer quelques
informations telles que les adresses IP, les numros de ports, et dautres informations qui servent
au piratage (vol didentit, dnie de service, etc.). Ainsi que nous pouvons couter une
communication entre deux clients en dcodant les paquets RTP (coute clandestine).
Nous avons plac Wireshark dans une 3me machine qui va jouer le rle de lattaquant.
Elle va sniffer tous le trafic circulant dans notre rseau local. Nous avons lanc au dbut la
capture des trames ensuite on a initialis une connexion entre deux clients, 200 ayant comme
adresse IP 192.168.254.132 et 100 ayant comme adresse IP 192.168.254.129. Voil le
rsultat de la capture :
Page | 62
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Comme nous pouvons le voir dans la figure 12, la conversation entre ces deux htes a t
capture. La fentre principale de Wireshark comprend deux grandes parties. Dans la premire
partie, nous voyons les diffrentes tapes de connexion entre les deux clients. Dans la deuxime
Page | 63
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
partie, celle la plus intressante, nous pouvons lire le contenue des paquets et donc collecter des
informations trs indispensables pour effectuer une bonne attaque.
Voil en plus grand, dans la figure 13, le paquet que nous avons choisi pour examiner.
Celui-ci est un paquet utilisant le protocole SIP contenant une requte INVITE. Cette requte
contient des informations indispensables dans le cas o nous voulons effectuer une attaque base
sur le protocole SIP. Par exemple dans le cas o nous voulons excuter une attaque de type DoS
en utilisant le protocole SIP, nous aurions besoin de connaitre le user agent. Dans cet exemple il
Page | 64
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
nest autre que le serveur Asterisk, ladresse SIP de notre victime, son identit et dautres
paramtres.
Nous utilisons Wireshark dans cette sous-section pour conduire lattaque dcoute
clandestine. Cette attaque consiste capturer les trames circulant entre deux machines effectuant
une conversation VoIP, et dcoder par la suite les paquets afin dcouter la conversation
effectue.
Page | 65
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le principe est le suivant. Un client nomm 100 ayant comme adresse IP 192.168.254.128 va
appeler le client nomm 200 ayant comme adresse 192.168.254.132. Il faut savoir que ces deux
clients utilisent un serveur Asterisk qui a t pralablement configur pour effectuer leurs appels.
Avant cet appel, il faut tout dabord activer Wireshark afin de sniffer le trafic. Il est install sur
une troisime machine qui nest pas autoris passer des appels travers le serveur Asterisk
puisquelle nest pas configure dans les fichiers de ce dernier. Toutes ces machines
sont installes sous le mme rseau. Durant la capture nous pouvons voir les diffrentes phases
dappel, la signalisation et le transport des paquets.
A la fin de lappel, nous aurions sniff tous les paquets dont nous aurions besoin pour
lcoute clandestine, les paquets les plus importants sont ceux bass sur le protocole RTP vu
quils contiennent les conversations audio entre les deux clients comme lindique la figure 14 :
Aprs avoir identifi les paquets RTP, nous allons maintenant procder au dcodage de
lappel. Dans le menu de Wireshark, nous cliquons sur le bouton Statistics , puis ensuite le
bouton VoIP Calls comme lindique la figure 15.
Page | 66
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Une deuxime fentre souvre (voir figure 16) contenant les communications dans les
deux sens, du client 192.168.254.128 vers 192.168.254.132, et inversement.
Page | 67
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Nous choisissons une des communications dtectes et nous cliquons sur le bouton
Player , une fentre RTP Player souvre pour le dcodage (figure 17). nous cliquons sur
Decode pour que lopration commence.
Maintenant que le dcodage a abouti nous pouvons aussi voir sur la figure 18 que le son
est dcod et quil est prt tre cout.
Page | 68
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
SiVus, est un scanner de vulnrabilits pour les rseaux VoIP utilisant le protocole SIP
mais aussi un logiciel de capture de trames. Les administrateurs et les installeurs de rseaux
VoIP lutilisent pour tester lefficacit du rseau. Cest un logiciel tournant sur les deux systmes
dexploitation, Linux et Windows.
Pour tester la scurit du serveur Asterisk, il faut installer SiVus avec Wireshark, qui
aidera rcolter des informations pour gnrer des requtes de diffrents types (INVITE, BYE,
CANCEL). SiVus, est un gnrateur dattaques de dnie de service.
Linstallation est simple mais pour que SiVus fonctionne, il faut disposer du java runtime
Enviroment (version suprieure 1.4).
Component Discovery: sert dcouvrir les machines qui se trouvent dans un rseau
VoIP, et dterminer sur quel port elles sont connectes et quel protocole elles utilisent.
SIP Scanner: contient lui aussi des sous menus. Le premier sert crer une configuration
au choix (les ports scanner, les protocoles utiliss, les adresses IP ou la plage dadresse IP.
Le deuxime sert lancer la configuration cre et enregistre, et voir quelles sont les
vulnrabilits existantes, afin quun attaquant puisse lutiliser.
Utilities: Ce troisime sous menu, contient lui aussi deux sous menus, le premier est un
gnrateur de requtes. Nous remplissons les champs ncessaires aprs avoir collect les
informations laide de Wireshark. Nous choisissons la mthode aprs avoir scann le rseau
et savoir quelles mthodes est vulnrable. Nous lanons le message en appuyant sur
START
2
www.vopsecurity.org, portail sur la scurit
Page | 69
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
SIP HELP : cest le sous menu de laide, il contient des exemples de diffrents messages
SIP qui peuvent tre envoy, le RFC de SIP et quelques liens qui expliquent en dtail le
protocole SIP.
La figure 19, montre un exemple de message gnr. Pour gnrer un message, il faut
tout dabord choisir une mthode, il faut aussi changer les paramtres se trouvant dans le corps
du message avec les paramtres que lattaquant collect propos de la victime.
Page | 70
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le logiciel SiVus permettra deffectuer un type dattaque trs frquent sur les rseaux
VoIP. Cette attaque nest autre que DoS. Un attaquant va essayer de crer un dni de service
auprs du serveur Asterisk. Pour cela il utilisera le protocole SIP et plus exactement les requtes
de types BYE, et les enverra successivement de manire frquente. Ainsi il est possible de
monopoliser les ressources du serveur Asterisk. Comme le nombre de connexions est la plupart
du temps limit, le serveur n'accepte plus de nouveaux clients. Il est donc en dni de service.
Le principe est le suivant, un serveur Asterisk est implment sur une machine dans un rseau
local ayant pour adresse IP 192.168.254.128 avec deux autres machines qui sont 200 ayant
comme adresse IP 192.168.254.132 et 100 ayant comme adresse IP 192.168.254.128 et une
quatrime machine qui va jouer le rle de lattaquant ayant comme adresse IP 192.168.254.131.
Tous dabord, lattaquant va scanner le rseau et plus particulirement le protocole SIP afin de
dterminer ses failles. Cette tape est possible grce loutil SiVus qui contient un SIP
SCANNER. Voici le rsultat (figure 20).
Page | 71
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Le scan montre quil y a une vulnrabilit au niveau du protocole TLS due une
mauvaise configuration dans le serveur Asterisk (configuration au niveau du fichier sip.conf). Le
scanner montre dautres vulnrabilits de diffrents degrs medium, High .
Aprs avoir labor le scan du rseau, et extrait les donnes ncessaires de Wireshark,
nous pouvons gnrer une requte de type BYE (figure 21).
Dans le menu du gnrateur il faut indiquer le type des requtes que nous allons utiliser,
dans notre cas cest BYE. Le protocole de transport utiliser est UDP, vu que SIP est bas sur
lui. Longlet Called User va permettre de cacher la vrai identit de lattaquant, c'est--dire
que les requtes que va gnrer SiVus auront comme identifiant SIP les valeurs avec lesquelles
on les a cre. Dans notre cas nous avons choisi le client 100 ayant pour adresse IP
192.168.254.128 et enfin le numro de port 5060 qui reprsente celui associ au protocole SIP.
Page | 72
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Enfin, en cliquant sur le bouton START , le message sera alors gnr, nous pouvons voir en
bas du menu (figure 21) un ticket jaune Completed .
Pour vrifier que lattaque a bien eu lieu, nous pouvons utiliser Wireshark pour visualiser
le trafic et voir si oui ou non des requtes de type BYE ont t gnres.
La figure 22 montre que les requtes de types BYE sortent de la machine de lattaquant
ayant comme adresse IP 192.168.254.131 vers la machine client dadresse IP 192.168.254.128.
Nous pouvons voir aussi que lidentit SIP relle de lattaquant a t falsifie.
Le deuxime cran de Wireshark (figure 22) montre les dtails de la requte envoye par
lattaquant. Celle-ci contient des informations indiquant qui a envoy cette requte. Nous
pouvons voir en bas que le User Agent est SiVus Scanner.
Page | 73
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Parmi les solutions les plus performantes et les plus faciles mettre en uvre, pour
contourner lattaque de lEavesdropping ou lcoute clandestine, est limplmentation du
protocole SRTP sur le serveur Asterisk. En effet, ce protocole permet de chiffrer les donnes et
de les injecter dans le trafic. De cette faon une personne malveillante essayant de dcoder les
paquets, ne pourra plus user de cette attaque. Il faut savoir que SRTP est une branche dAsterisk
et donc on aura besoin de le rcuprer depuis le serveur SVN (subversion). Subversion est un
systme de gestion de version, c'est--dire quil permet de grer la version dun fichier source ou
de garder un historique de toutes ces versions. Voici les tapes suivre pour la configuration de
SRTP sur Asterisk :
# make runtest
# make install
# cd minisip-trunk
Page | 74
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Une rvision est une instance dun fichier un moment donn. Une mtadonne est une donne
servant dfinir ou dcrire une autre donne
Mais d'abord il faut lancer le script de dmarrage pour gnrer le script de configuration.
# cd libmutil
# libmutil$ make
Aussi il faut compiler et installer les librairies, libmnetutil, libmcrypto, libmikey. La compilation
et installation de ces librairies se fait de la mme faon que la librairie libmnetutil:
# cd ../libmnetutil
# libmnetutil$ make
Passons maintenant la configuration dAsterisk en lui ajoutant les correctifs et les fichiers
ncessaires ainsi que lajout du module SRTP dans le menu dAsterisk.
# cd asterisk-trunk
#wget http://bugs.digium.com/file_download.php?file_id=13837&type=bug
Page | 75
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# ./configure
# make
# make install
extensions.conf
[main]
Le fichier permettant le routage doit tre au courant que nous allons utiliser le protocole SRTP
pour cela nous devons rajouter cette option dans le fichier. Il faut aussi crer un test sur le port 7
appel port echo qui permettra de trouver les causes des problmes lis a la piles TCP / IP dans
le cas ou il ya des problmes de connexion. Cette configuration sapplique lutilisateur ayant
pour numro 1111 (utilisateur 100 ). Dans cet exemple SRTP est utilis optionnellement :
# exten => 1111,5,Playback(demo-echodone) (si le test echo a russi cette option nous
permettra dcout le son quon a crer pour le test)
Page | 76
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Cette configuration sapplique lutilisateur ayant pour numro 1113, cest donc lutilisateur
200 :
sip.conf
Dans ce fichier loption modifier dans les paramtres des clients est la suivante :
context=main (et non plus SIP le main fait rfrence la configuration que nous venons de crer
dans le fichier extensions.conf et donc le routage choisi)
Pour finir voici quelques remarques prendre en considration dans le cas o nous
voulons utiliser SRTP avec le serveur Asterisk :
Autre solution pour crypter le trafic dans notre rseau, est limplmentation dun VPN au
sein des machines utilises pour la VoIP. Comme nous lavons vu prcdemment un VPN
permet de vhiculer du trafic crypt grce des cls de cryptage ce qui rend leur dchiffrage
presque impossible par une tierce partie. Un VPN permettra donc de contourner les attaques
dcoute clandestine.
Loutil que nous avons choisi pour la mise en place dun VPN est OpenVPN. Cest un
logiciel open source permettant de crer un rseau virtuel bas sur SSL. Il peut tre utilis
afin de relier deux rseaux ou plus via un tunnel chiffr travers lInternet. Par ailleurs,
Page | 77
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
OpenVPN nutilise pas de protocole de communication standard. Il faut donc utiliser un client
OpenVPN pour se connecter un serveur OpenVPN.
Installation dOpenVPN
Maintenant et aprs linstallation, il faut crer les certificats et les cls qui vont permettre
aux clients et au serveur de s'authentifier mutuellement de telle sorte que personne d'autres ne
puisse se connecter au VPN.
Il faut se diriger vers le rpertoire o se trouve les fichiers que nous allons configurer
# cd /usr/share/openvpn/easy-rsa/
Premire chose, il faut modifier les valeurs des variables d'environnement afin de ne pas
avoir rpter les renseignements fournir la gnration des cls comme indiqu dans la
figure 23 :
Page | 78
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# .. /vars
#./clean-all
Nous passons maintenant la cration des certificats, mais tour dabord il faut
commencer crer lautorit de certification en tapant la commande suivante :
# . /build-ca
Ce certificat est le certificat racine qui va ensuite nous permettre de crer le certificat
serveur et les certificats clients.
Maintenant nous allons crer le certificat pour le serveur grce la commande suivante
# ./build-key-server server
Page | 79
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# ./build-key client
Page | 80
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# ./build-dh
Page | 81
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Nous avons maintenant l'ensemble des informations cryptographiques dont nous avons
besoin pour configurer le VPN. Ensuite il faut copier l'ensemble des informations
cryptographiques, que nous venons de gnrer dans le rpertoire keys, dans le rpertoire
/etc/openvpn cre par dfaut l'installation dOpenVPN. La commande suivante est utilise:
# cp Keys/* /etc/openvpn
Nous allons maintenant passer la cration dun utilisateur ayant des droits restreints qui
sera charg de lancer le service de telle sorte que mme si nous nous font pirater la machine,
lattaquant n'aura que les droits de cet utilisateur et pas avec les droits root.
Il faut crer un groupe dutilisateur dans lequel nous allons affecter lutilisateur grce la
commande suivante :
Page | 82
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
# cp server.conf /etc/openvpn
Il faut maintenant diter ce fichier pour y positionner les variables pour la mise en place du VPN.
Dev tun
Nous donnerons cette plage par dfaut au serveur. A chaque fois qu'un client se connectera au
vpn, le serveur lui attribuera une adresse IP contenue dans cette plage.
Comp-lzo
Bien vrifier en bas du fichier l'utilisation de la librairie lzo pour la compression des donnes.
Utiliser l'utilisateur et son groupe openvpn quon a cre pour lancer le serveur.
Ensuite il faut sauvegarder et lancer le service par le script contenu dans /etc/init.d.
Le serveur est prt a tre utilis. Il faut maintenant passer la configuration du cot du client.
Configuration du client
La configuration du client est simple. Il faut tout dabord installer le client OpenVPN sur
la machine. Ensuite il faut copier les fichiers suivant (Ca.crt, Client.crt, Client.csr et Client.key)
qui se trouvent sous le rpertoire /etc/openvpn du cot serveur.
Ensuite il faut configurer le fichier client.conf afin quil puisse reconnatre le serveur grce a
lajout de la ligne suivante dans le fichier :
Page | 83
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Les bonnes pratiques contre les attaques DOS ne permettent pas aussi davoir une
scurit totale mais elle limite les attaques et minimise les vulnrabilits.
Un firewall doit tre imprenable car sinon le rseau entier est compromis. Un firewall
efficace doit possder plusieurs interfaces rseaux pour pouvoir faire un filtrage entre plusieurs
zones.
Dans le cadre de notre projet le firewall va nous permettre de minimiser le trafic entrant
au serveur Asterisk est cela pour limiter les attaques de types DoS. En effet notre objectif est de
ne laisser passer que le trafic VoIP et plus exactement les paquets bass sur le protocole SIP et
le protocole RTP, qui sont utiliss par notre serveur Asterisk pour le trafic VoIP. Cest pour cela
que nous avons choisi de mettre un firewall au niveau du serveur et de cette faon toutes les
requtes en direction du serveur Asterisk passeront automatiquement par le firewall. La plupart
des firewalls propre a la VoIP sont a titre commercial et donc non libre. IPtable est la commande
permettant de paramtrer le filtre Netfilter du noyau Linux et donc de configurer le Firewall.
Dans lexemple qui suit nous avons programm notre firewall pour quil puisse laisser
passe seulement le trafic VoIP au niveau du serveur Asterisk et de bloquer tous le trafic restant.
Voici les commandes excutes :
Cette commande va permettre daccepter le trafic UDP entrant du port 5060. Ce numro de port
nest autre que celui du protocole SIP.
Ensuite il faut attribuer une rgle par dfaut pour bloquer tous le trafic restant et qui passe par
UDP :
Page | 84
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
En ce qui concerne le trafic TCP nous pouvons effectuer les rgles suivantes pour ne laisser
passer que le trafic de synchronisation en le limitant la rception des requtes de synchronisation
une requte par secondes. Ainsi nous pouvons viter les attaques de type SYN flood:
Parmi les bonnes pratiques pour scuriser notre serveur Asterisk est de changer
lutilisateur sur lequel Asterisk tourne. Le principal objectif de cette scurisation est si le serveur
Asterisk est compromis au niveau de sa scurit ceci ne doit en aucun cas affecter toute la
machine sur laquelle tourne le serveur. Idalement, la compromission ne devrait pas permettre
d'diter les fichiers de configuration. Voici les tapes suivre pour ce changement :
Ensuite il faut crer un utilisateur depuis lequel Asterisk va dmarrer. Nous avons choisie le nom
du groupe Asterisk et comme nom dutilisateur Asterisk.
# /usr/sbin/groupadd asterisk
Ensuite il faut attribuer les droits daccs vu quAsterisk en a besoin. Les fichiers dans le
rpertoire /var/spool/asterisk doivent tre la proprit de lutilisateur Asterisk et accessibles en
criture. Les commandes suivantes sont celles qui ont t excutes pour le rpertoire /var/lib
/asterisk. Les mmes commandes sont appliques pour les rpertoires suivant : /var/log/asterisk,
/var/run/asterisk, /var/spool/asterisk, /usr/lib/asterisk et le dossier /dev/zap.
Page | 85
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Ensuite il faut changer le rpertoire dAsterisk afin quil puisse dmarrer du nouveau chemin
cre:
# cp /etc/asterisk/asterisk.conf /etc/asterisk/asterisk.conf.org
# vi /etc/asterisk/asterisk.conf
Ensuite il faut activer le nouveau groupe que nous venons de crer et le nouvel utilisateur aussi:
# cp /etc/init.d/asterisk /etc/init.d/asterisk.org
# vi /etc/init.d/asterisk
#AST_USER="asterisk"
#AST_GROUP="asterisk"
AST_USER="asterisk"
AST_GROUP="asterisk"
Maintenant il faut redmarrer Asterisk avec les nouveaux paramtres, savoir le groupe Asterisk
et le nom dutilisateur Asterisk
/etc/init.d/asterisk restart
Page | 86
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Une autre bonne pratique pour mieux assurer la scurit du serveur Asterisk est de crypter le mot
de passe de lutilisateur ou client. En effet grce au cryptage le mot de passe du client devient
illisible dans le cas ou une personne malveillante accde au fichier sip.conf. La commande
suivante permet deffectuer le cryptage :
bed1e076ced1aadeba7e151240c7a955
Ce rsultat est plac la place de lancien mot de passe non crypt dans le fichier sip.conf.
Nous pouvons aussi assurer la scurit du serveur en attribuent des privilges et des limites
daccs au utilisateur et cela seffectue au niveau du fichier sip.conf. En effet nous pouvons
limiter les attaques de types DoS en limitant les requtes dinvitation vers le serveur. Voici un
exemple de configuration dun utilisateur :
[general]
allowguest=no
Cette option permet de donner le droit ou non des utilisateurs non authentifis de senregistrer
et de faire des communications. Dans notre cas on a interdit laccs toutes personnes non
authentifi.
allowtransfer=no
Il existe dautres options quon peut activer au niveau des comptes des utilisateurs. Voici un
exemple de lutilisateur nomm 100 :
Page | 87
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
[100]
type=friend
md5secret=bed1e076ced1aadeba7e151240c7a955
host=dynamic
defaultip=192.168.254.128
canreinvite=no
Cette option permet de limiter les attaques de types DoS. En effet, un utilisateur lgitime ne peut
effectuer quune seule invitation durant un appel et donc il est impossible pour une personne
malveillante de mettre en dni de service le serveur Asterisk avec les requtes INVITE.
insecure=no
Cette option permet de modifier le degr de scurit dauthentification. Pour avoir un maximum
de scurit, il faut toujours la mettre en NO. Dans ce cas, le serveur interrogera toujours pour
lauthentification chaque nouvelle connexion du client vers le serveur.
call-limit=1
Cette option permet de limiter le nombre dappels sortant ou rentrant a un seul ce qui permet de
contourner les attaques de types DoS visant le serveur Asterisk et aussi les utilisateurs.
dtmfmode=rfc2833
context=sip
callerid="100"<1111>
Page | 88
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Conclusion
Tout au long de ce chapitre, nous avons pu voir les diffrentes attaques effectus au sein
du rseau VoIP et les mesures de scurits prendre, afin de les viter. Mais il faut savoir quil
est impossible davoir une scurit parfaite au niveau du rseau VoIP et gnralement sur tous
les rseaux.
Page | 89
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Conclusion gnrale
Lobjectif de ce projet, aprs avoir tabli des tudes sur voix sur IP et des tudes de la
scurit, est de scuriser un rseau VoIP mis en place. Ltude consiste effectuer des scnarios
dattaques sur le rseau et voir quelles sont les vulnrabilits existantes afin de scuriser le
rseau VoIP.
Dans une premire tape, nous nous sommes intresss ltude de cette technologie
avec ses diffrents protocoles et standards. Dans une deuxime tape, nous avons tudi les
problmes de scurit de la voix sur IP, les attaques, les vulnrabilits sur diffrents niveaux et
les bonnes pratiques possibles pour les attaques cits. Comme troisime tapes, nous avons
install et configur une solution de VoIP utilisant le serveur Asterisk et de deux clients x-lite.
En dernire tape, nous avons test des attaques de scurit contre la solution installe, et nous
avons propos et implment des mcanismes et des protocoles pour la scuriser.
Page | 90
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Acronyme
ACE = Access Control Entry IETF = Internet Engineering Task Force
Page | 91
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Page | 92
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Page | 93
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
Bibliographie
[1] Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions par David Endler et
Mark Collier (McGraw-Hill/Osborne 2007)
[2] VoIP Hacks Tips and Tools for Internet Telephony par Theodore Wallingford (O'Reilly
2005)
[3] Security Considerations for Voice Over IP Systems par D. Richard Kuhn, Thomas J.
Walsh, Steffen Fries (US National Institute of Standards and Technology 2005)
[4] Asterisk The future of telephony par Jim Van Megglen, Leif Madsen & Jared Smith
(O'Reilly 2005)
[5] Securing VoIP networks threats, vulnerabilities, and counter measures par Peter Thermos
and Ari Takanen (Addison-Wesley 2007)
[6] http://www.frameip.com/voip/, Voix sur IP - VoIP, par SebF (date de dernier accs :
19/01/2008)
Page | 94