Académique Documents
Professionnel Documents
Culture Documents
Réalisé par :
Ayoub Oumaray
Spécialité: Génie Réseaux et Télécommunications
THEME:
ETUDE ET SECURISATION DE LA VOIX SUR IP
1
Sommaire
Introduction......................................................................................................................................................................... 4
Chapitre 1: Présentation du cadre du projet :..................................................................................................................5
1. Introduction :.............................................................................................................................................5
2. Présentation générale de la RADEEMA :................................................................................................5
3. Cadre juridique :.......................................................................................................................................5
4. Métiers :.....................................................................................................................................................6
5. L’organisation de la RADEEMA :...........................................................................................................7
5.1. Organigramme RADEEMA :.....................................................................................................7
5.2. Département Système d’information :........................................................................................8
6. Présentation du projet :............................................................................................................................9
7. Les infrastrctures existantes :...................................................................................................................9
Chapitre 2 : L’étude du Voix Sur IP :.............................................................................................................................13
1. Introduction :...........................................................................................................................................13
2. Définition :...............................................................................................................................................13
3. Principe de fonctionnement de la VOIP :..............................................................................................14
3.1. Mode de fonctionnement :.........................................................................................................14
3.2. Principaux Codecs utilisés :.......................................................................................................15
4. Les protocoles utilisés par la VOIP :.....................................................................................................16
4.1. Les protocoles de transport de la voix :...................................................................................16
4.1.1. Protocole RTP :......................................................................................................................16
4.1.2. Protocole RTCP :....................................................................................................................16
4.2. Les protocoles de signalisation :................................................................................................17
4.2.1. Le protocole H.323 :...............................................................................................................17
4.2.2. Protocole SIP :........................................................................................................................20
5. Etude de la sécurisation de la voix sur IP :............................................................................................26
5.1. Les attaques sur le protocole VOIP :........................................................................................27
5.2. Les solutions de la sécurité :.....................................................................................................31
Conclusion :..........................................................................................................................................................34
2
Chapitre 3 : Outil Asterisk :.............................................................................................................................................35
Introduction :........................................................................................................................................................35
1. L’architecture du réseau :.......................................................................................................................36
2. Mise en place du réseau Asterisk :.........................................................................................................37
Chapitre 4 : Réalisation :..................................................................................................................................................39
Configuration d’Asterisk :......................................................................................................................39
Configuration du Softphone Zoiper :.....................................................................................................42
Attaque contre la VOIP :........................................................................................................................43
Solutions pour la sécurisation :...............................................................................................................47
Conclusion :..........................................................................................................................................................55
Conclusion......................................................................................................................................................................... 56
3
Introduction
La VoIP constitue actuellement l’évolution la plus importante dans le domaine des nouvelles
technologies. Avant 1970, la transmission de la voix s’effectuait de façon analogique sur des
réseaux dédiés à la téléphonie. La technologie utilisée était la technologie électromécanique.
Dans les années 80, une première évolution majeure a été le passage à la transmission
numérique. Actuellement, toutes ces technologies sont devenues trop archaïques et ne peuvent
plus satisfaire les besoins de l’utilisateur. Disposant d’une très grande facilité de manipulation,
la VoIP est pour ainsi dire à la portée de tous. En effet, bien que cette nouvelle technologie soit
beaucoup convoitée en raison des plusieurs avantages qu’elle offre, elle présente des failles qui
nécessitent une nette amélioration afin de garantir le meilleur résultat pour le client.
Notamment, que ce soit au niveau des serveurs de la VoIP ou de ses clients, quelques mises au
point s’imposent. Pour bien entrer dans le vif du sujet, il faut connaitre et approfondir ce que
secrète vraiment la VoIP. Dans ce sens, la connaissance des différents protocoles utilisés par
cette dernière est fondamentale. Optimiser la qualité du service fait partie des points importants
en terme d’utilisation de la VoIP. Afin de trouver les éventuelles solutions face aux problèmes
rencontrés, il est nécessaire de bien définir ce que la VoIP exige en termes de qualité de service
(QoS) ; de bien connaître les attaques contre la VoIP ainsi que les vulnérabilités de son
infrastructure.
4
Chapitre 1: Présentation du cadre du projet :
1. Introduction :
3. Cadre juridique :
5
- Le décret n° 2-64-394 du 29 septembre 1964 relatif aux régies communales dotées de la
personnalité civile et de l’autonomie financière ;
- Le règlement intérieur en date du 31 décembre 1970;
- Le Dahir n° 1-03-195 du 11 novembre 2003 portant promulgation de la loi n° 69-00
relative au contrôle financier de l’Etat sur les entreprises publiques et autres organismes ;
-
- Le Dahir n° 1-02-124 du 13 juin 2002 portant promulgation de la loi n° 62-99 formant
code des juridictions financières ;
- Le règlement des marchés de la RADEEMA ;
- Les Cahiers des charges d’exploitation des services de distribution d’eau et d’électricité
et de l’assainissement liquide;
- Le statut du personnel des entreprises de production, transport et distribution
d’électricité ;
- Le décret du 1èr Ministre 2-89-61 du 10 rabie II 1410 (10 Novembre 1989) fixant les
règles applicable à la comptabilité des établissements publics, BO N° 4023 de 6 jomadah
I 1410 (6 décembre 1989).
La Régie est administrée par un Conseil d’Administration présidé par le Wali de la ville de
Marrakechet un comité de Direction. L’ensemble des services de la RADEEMA sont gérés par
un Directeur Général.
Le Conseil d’Administration est composé des élus et des représentants des Ministères de
l’Intérieur et de l’Economie et Finances.
4. Métiers :
La Radeema est chargée d’assurer à l’intérieur de son périmètre d’action les services publics de
distribution d’eau et d’électricité ainsi que la gestion du service d’assainissement liquide.
Le périmètre d’intervention de la régie représente environ 658 km² et couvre la ville de
Marrakech et une partie des communes rurales avoisinantes..
Assainissement Eau Potable Eléctricité
Population Abonnées Population Abonnées Population Abonnées
domestiques domestiques domestiques
991 083 313610 991 083 313 610 965 237 277 998
6
La RADEEMA assure les missions suivantes:
- La distribution d’eau potable et d’énergie électrique conformément aux dispositions des
cahiers de charges et des normes vigueur
- Le service d’assainissement liquide conformément aux dispositions des cahiers de cahiers
de charges et des normes en vigueur
- Le traitement des eaux usées colléctées notamment dans l’objectif de permettre une
réutilisation des eaux usées aux fins d’irrigation des espaces verts
- L’exploitation et l’entretien des réseaux, des équipement et des ouvrages
- La réalisation des études et des travaux d’infrastructure, de renouvellement et d’extension
- La réalisation des branchements et des raccordements
- L’organisation et la gestion des services publics d’eau, d’électricité et d’assainissement
sur les plans technique, administratif , comptable et commercial.
5. L’organisation de la RADEEMA :
5.1. Organigramme RADEEMA :
7
5.2. Département Système d’information :
8
6. Présentation du projet :
Le projet consiste à la mise en place d’une plateforme de téléphonie sur IP sécurisé basée sur un
serveur SIP open source. Cette plateforme sera exploitée pour gérer les différentes
communications téléphoniques.
Dans le cadre du plan d’action 2022, le DSI a mis en place des indicateurs de
performances por mesrer la qualité et la disponibilité de l’infrastructure réseau et télécom
de la régie.
9
Architecture réseau informatique
10
Architecture de la solution d’interconnexion sans fils
11
Architecture de la téléphonie sur IP
CONCLUSION :
Dans ce chapitre nous avons présenté la société RADEEMA et le projet à mener, dans le
chapitre suivant on va présenter les différents concepts théoriques sur lesquels se base notre
projet.
12
Chapitre 2 : L’étude du Voix Sur IP :
1. Introduction :
La Voix sur IP (en anglais, Voice over IP ou VoIP) est le nom d'une nouvelle technologie de
télécommunication vocale en pleine émergence qui transforme la téléphonie. Cette technologie
marque un tournant dans le monde de la communication en permettant de transmettre de la voix
sur un réseau numérique et sur Internet. L'objectif de la Voix sur IP est d'appliquer à la voix le
même traitement que les autres types de données circulant sur Internet. Grâce au protocole IP,
des paquets de données, constitués de la voix numérisée, y sont transportés. En effet, à force de
transférer des fichiers d'information en temps de plus en plus réel, les utilisateurs d'Internet en
vinrent à transférer de la voix, en temps suffisamment réel pour faire une compétition au
téléphone.
Dans cette banalisation des données voix, deux contraintes majeures sont présentes : transmettre
ces paquets dans le bon ordre et le faire dans un délai raisonnable. La téléphonie IP et la
téléphonie mobile, deux technologies appelées à se généraliser au cours des prochaines années,
auront un impact majeur sur la façon dont les gens communiquent, au bureau comme à la
maison. Les fonctions offertes par VoIP ne se limitent pas à la transmission de la voix. Grâce à
VoIP, il est possible d’émettre et de recevoir les messages vocaux ; les emails ; le fax ; de créer
un répondeur automatique ; d’assister à une conférence audio et/ou vidéo ; etc.
2. Définition :
C’est un terme qui désigne les protocoles, les logiciels et le matériel qui permettent la
transmission de médias temps réel sous la forme de paquets. La voix sur IP, ou VoIP (Voice
over IP), utilise le modèle de commutation de paquets. La voix est soumise à des traitements
spécifiques afin qu’elle peut être envoyée sur un réseau IP, elle est digitalisée, compressée
puis envoyée au récepteur par paquets de données. Les données reçues par la destination sont
décompressées et converties en voix audible.
13
3. Principe de fonctionnement de la VOIP :
La voix pour qu’elle soit transmise sur le réseau IP, elle aboutisse un certain nombre de
traitements physiques dans un ordre chronologique bien précis.
14
Côté destination, les paquets reçus sont décompressés; en utilisant le même format du codec
qu’à l’émission; puis converties en un signal analogique en utilisant un Convertisseur N/A
(Numérique/Analogique).
15
4. Les protocoles utilisés par la VOIP :
Les protocoles de la Voix sur IP sont divisés en deux parties, ils existent des protocoles pour
la signalisation et l’établissement de connexions entre les entités VoIP et des protocoles pour
le transport des flux multimédia.
Cependant, pour assurer ses fonctions, RTP se base sur un autre protocole, RTCP (Real-Time
Control Protocol), afin de transporter des informations complémentaires et nécessaires à la
gestion d'une session. Ainsi, RTCP permet de gérer les rapports de qualité de service (QoS)
renvoyés par le destinataire d'une communication à l'émetteur afin de connaître le nombre de
paquets perdus ainsi que d'autres informations comme le temps nécessaire pour effectuer un
aller-retour. En consultant ces rapports, l'émetteur est alors capable de répondre à une contrainte
de temps obligatoire, notamment en termes de réduction de temps aller-retour, par le biais d'une
meilleure compression afin de garantir la qualité de service. RTCP fournit également une
meilleure synchronisation des25médias, un mécanisme d'identification (numéro de téléphone,
16
nom d'un destinataire...) et de contrôle de session (arrivée ou départ d'une personne au sein
d'une conférence audio...). Ces informations sont envoyées de manière cyclique par les
utilisateurs en communication.
H.323 et SIP fournissent tous deux des fonctionnalités pour l'établissement, la gestion et la
terminaison des appels. Ces protocoles permettent entre autres la négociation du codec à utiliser
dans le codage des données vocales et les mécanismes de livraison (par exemple RTP sur
UDP/IP) pour les deux protocoles. Les sous-sections suivantes détaillent l'établissement et la
gestion des appels dans les deux protocoles)
La recommandation H.323 a été spécifiée par l’ITU-T en 1996 dans le cadre de fournir des
communications audio, vidéo et de données sur les réseaux IP. H.323 est utilisé pour aboutir à
l’établissement d’une connexion multimédia sur un réseau IP et il présente un ensemble de trois
protocoles (H.225 RAS, H.225 Call Signaling et H.245).
Les composants H.323 sont regroupés dans des zones. Une zone comme est illustrée dans la
figure 1-2, comprend un ensemble de terminaux, passerelles (gateways) et ponts de conférence
(Mulitpoint Control Unit, MCU) qui sont gérés par un seul portier (GateKeeper, GK).
17
- Terminals : comprennent l'équipement d'E/S vidéo, l'équipement d'E/S audio, les
applications de données utilisateur et les interfaces utilisateur de contrôle du système.
Les terminaux peuvent être utilisés pour une communication multimédia
bidirectionnelle en temps réel. Un terminal H.323 peut être soit un PC personnel, soit
un appareil autonome, exécutant un H.323 et des applications multimédias. Il prend en
18
Certaines des fonctionnalités et concepts clés de la pile de protocoles H.323 sont décrits ci-
dessous :
1- L’établissement d'appel.
2- L’échange de capacité.
SIP est un protocole de couche application léger conçu pour gérer et établir des sessions
multimédia telles que la visioconférence, les appels vocaux et le partage de données via des
20
demandes et des réponses. Il est de plus en plus apprécié par rapport au H.323 dans
l'environnement VoIP. Les trois avantages du SIP sont :
Fixation d’un compte SIP : un compte SIP identifiable par un nom unique et associé à
un serveur SIP d’adresse fixe, sera attribué à un utilisateur SIP pour qu’il soit toujours
joignable.
Changement des caractéristiques durant une session : un utilisateur SIP peut modifier
les caractéristiques d’une session active, par exemple il peut changer la configuration de
la session de « voice-only » en « voice video ».
Gestion des participants : dans une session déjà active, de nouveaux participants
peuvent joindre cette session directement, en étant transférés ou en étant mis en attente,
Adressage : chaque utilisateur dispose d’un compte SIP unique.
Dans un système SIP, on trouve deux types de composants, les Users Agents (UA) et les
serveurs SIP:
UA : c’est l’utilisateur final, il peut être soit un Softphone (logiciel s’exécutant sur un
ordinateur qui offre à ce dernier les fonctionnalités d’un téléphone IP) soit un Hardphone. L’UA
21
est la combinaison d’agent d’utilisateur client (UAC : User Agent Client) et d’agent
d’utilisateur serveur (UAS : User Agent Server) :
UAS : entité qui génère des réponses aux requêtes SIP. Ces réponses peuvent être
une acceptation, un refus ou une redirection de la requête reçue.
RG (le Registrar): il reçoit les requêtes REGISTER envoyées des UA pour faire
leurs inscriptions, après une éventuelle mobilité,
Proxy SIP : encore appelé serveur mandataire, le proxy est utilisé lorsque les deux
UA ne connaissent pas leurs emplacements. Il effectue des requêtes pour le compte
des UAC, il les route afin de les acheminer à une entité plus proche de destination.
Et pour ce faire il interroge la base de données (URI<->Adresse IP) stockée dans le
Registrar,
- Les requêtes :
Les échanges entre un terminal appelant et un terminal appelé se font par l'intermédiaire de
requêtes :
Invite : Cette requête indique que l'application (ou utilisateur) correspondante à l'Url SIP
spécifié est invité à participer à une session. Le corps du message décrit cette session (Par
ex : média supportés par l’appelant). En cas de réponse favorable, l'invité doit spécifier
les médias qu'il supporte.
Ack : Cette requête permet de confirmer que le terminal appelant a bien reçu une réponse
définitive à une requête Invite.
22
Options : Un proxy server en mesure de contacter l'UAS (terminal)appelé, doit répondre
à une requête Options en précisant ses capacités à contacter le même terminal.
Bye : Cette requête est utilisée par le terminal de l'appelé afin de signaler qu'il souhaite
mettre un terme à la session.
Cancel : Cette requête est envoyée par un terminal ou un proxys erver à fin d'annuler une
requête non validée par une réponse finale comme, par exemple, si une machine ayant été
invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de requête
Ack, alors elle émet une requête Cancel.
Suite au traitement de la requête reçue de la part d’un UAC, l’UAS envoie une réponse sous
forme d’un code d’état, indiquant à l’UAC la façon avec laquelle sa requête a été traitée. Ces
codes sont découpés en 6 catégories qui sont décrites dans le tableau :
Transaction SIP :
On distingue également 3 modes précis d’ouverture de sessions avec SIP que l’on va détailler :
Direct Signaling:
Le mode point à point est donc une communication simple entre deux sans passer par une
passerelle.
23
Contrairement au direct signalling, utilise
une passerelle (proxy server) pour
réaliser une communication entre
deux éléments.
Proxy statefull
signalling :
- Les proxys avec état se souviennent de la demande après qu'elle a été transmise, afin
qu'ils puissent associer la réponse à un état interne. En d'autres termes, les proxys avec
état maintiennent l'état de la transaction. Stateful implique l'état de la transaction, pas
l'état de l'appel.
- Les serveurs proxy avec état ne s'adaptent pas autant que les serveurs sans état.
- Les proxys avec état peuvent bifurquer et fournir des services que les proxys sans état
ne peuvent pas (renvoi d'appel occupé, par exemple).
24
Proxy stateless signalling :
Un serveur proxy sans état transmet simplement le message qu'il reçoit. Ce type de serveur ne
stocke aucune information sur l'appel ou la transaction.
- Les proxys sans état oublient la demande SIP une fois qu'elle a été transmise.
- Les proxys sans état évoluent très bien et peuvent être très rapides. Ils sont bons pour
les cœurs de réseau.
25
Architecture de SIP :
Contrairement à H.323, largement fondé sur une architecture physique, le protocole SIP
s’appuie sur une architecture purement logicielle. L’architecture de SIP s’articule
principalement autour des cinq entités suivantes :
Terminal utilisateur.
Serveur d’enregistrement.
Serveur de localisation.
Serveur de redirection.
Serveur proxy.
Comme tout autre système basé sur IP, les systèmes VoIP sont sensibles à une variété d'attaques
Les attaques VoIP les plus courantes sont : l'écoute clandestine, l'attaque par déni de service
basée sur le flooding (les attaques DoS les plus courantes sont : l'inondation UDP et TCP SYN
Flooding), l'attaque par fragmentation de paquets (par exemple le ping of death), RTP insertion
26
attack, Fuzzing/Malfored message DoS attack (qui peut être utilisé pour trouver une faille dans
le système cible et provoquer un DoS sur un entité VoIP), Spam sur téléphonie Internet (SIPT) (
Même si ce type d'attaque est encore très rare, de nombreux chercheurs ont publié des travaux
dans ce domaine), et Voice Phishing (Vishing) (Vishing est généralement utilisé dans les
stratagèmes d'usurpation d'identité tels que l'usurpation astucieuse d'entités hautement fiables
(banques), pour obtenir les informations personnelles et financières d'autres utilisateurs).
Les protocoles de la VoIP utilisent UDP et TCP comme moyen de transport et par conséquent
sont aussi vulnérables à toutes les attaques contre ces protocoles, telles le détournement de
session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc. Les types
d’attaques les plus fréquentes contre un system VoIP sont :
DENIS DE SERVICE :
DoS est causé partout ce qui empêche la prestation du service. Un DoS peut être le résultat
d'une bande passante indisponible ou de composants VoIP indisponibles. De nombreux
éléments peuvent provoquer un DoS, notamment :un réseau encombré à un niveau tel qu'il ne
peut pas fournir la bande passante nécessaire pour prendre en charge l'application ; serveurs
incapables de gérer le trafic ; des services externes peuvent être en cours d'exécution et réduire
les ressources disponibles pour le serveur ; des programmes malveillants tels que des virus et
des chevaux de Troie ; d'autres programmes malveillants dans le but de provoquer un DoS ; ou
activité de piratage. En usurpant l'identité du point final, un attaquant peut provoquer un DoS
dans les réseaux VoIP basés sur SIP en envoyant un message "ANNULER" ou "BYE" à l'une
des parties communicantes et mettre fin à l'appel. Étant donné que SIP est basé sur UDP, l'envoi
d'un message ICMP usurpé "port inaccessible" à l'appelant peut également entraîner un DoS. Si
l'authentification HTTP est utilisée, les agents utilisateurs et les serveurs proxy doivent
contester les requêtes douteuses avec un seul 401 (non autorisé) ou 407 (authentification proxy
requise), renonçant à l'algorithme de retransmission de réponse normal, et se comportant ainsi
sans état vis-à-vis des requêtes non authentifiées. La retransmission de la réponse d'état 401
(non autorisé) ou 407 (authentification proxy requise) amplifie le problème d'un attaquant
utilisant une valeur de champ d'en-tête falsifiée (telle que Via) pour diriger le trafic vers un
tiers.
IP Flooding : l’attaquant envoie un nombre très important de paquets IP vers une même
destination (station victime). La station victime se sature et devienne incapable de traiter
les paquets IP légitimes. «Teardrop» et «Ping of death» sont les attaques les plus connus
de l’IP Flooding.
UDP Flooding : a le même principe que l’IP Flooding, mais ce sont des requêtes UDP
qui sont envoyées en masse vers la victime. Le trafic UDP étant prioritaire sur le trafic
TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le réseau. Les
équipements SIP fonctionnent au dessus du protocole UDP, ce qui en fait d’elles des
cibles. Les entités VoIP peuvent être facilement paralysées grâce à des paquets UDP
Flooding visant l’écoute du port SIP (5060).
SIP Flooding : Une attaque par Flooding de messages SIP se produit lorsqu'un
attaquant envoie un grand nombre de requêtes INVITE ou REGISTER avec des adresses
IP source usurpées. Il convient de souligner que même s'il existe de nombreux autres
types de requêtes SIP, INVITE et REGISTER sont les messages prédominants utilisés
par SIP, et ils nécessitent plus de traitement au niveau des composants SIP que toutes les
autres requêtes. Ainsi, les systèmes VoIP basés sur SIP sont particulièrement vulnérables
aux attaques par inondation utilisant ces requêtes.
- Epuisement de la mémoire : lorsqu'un serveur proxy SIP reçoit une requête SIP
(REGISTER ou INVITE), il doit copier chaque requête entrante dans ses tampons
internes pour pouvoir traiter le message. Ces messages seront au moins conservés
jusqu'à ce que le dernier message OK soit envoyé pour mettre fin à la prise de contact
d'établissement d'appel. En outre, le serveur conserve normalement une copie des
messages transférés pour un traitement ultérieur (par exemple, authentification
Digest). Dans certains cas, le serveur est configuré en tant que serveur avec état, qui
28
devra conserver des informations sur la session tout au long de la durée de vie de la
session, par exemple lorsque le chemin de communication implique une traversée de
pare-feu ou NAT. La taille des messages SIP peut varier de centaines à des milliers
d'octets, et la prise de contact d'établissement d'appel dure normalement de 1 seconde
à quelques secondes si une interaction humaine est requise, ce qui rend le serveur
proxy vulnérable aux attaques par épuisement de la mémoire.
- Épuisement du processeur (CPU) : une fois les requêtes entrantes enregistrées, le
serveur proxy SIP traitera (authentification ou recherche d'adresse de destination, etc.)
les requêtes, générera et enverra des réponses. La ressource CPU peut devenir très
chargée si un grand nombre de requêtes sont inondées sur le serveur proxy SIP.
- Bande passante de lien : Les attaques par inondation SIP peuvent épuiser la bande
passante de liaison du serveur proxy SIP et provoquer un déni de service au niveau du
point d’accès vers le système VoIP.
« DoS CANCEL » : L’attaquant surveille l’activité du serveur SIP et attend qu’un appel
arrive pour un User Agent spécifique. Une fois que le dispositif de l’UA reçoit la requête
INVITE, l'attaquant envoie immédiatement une requête « CANCEL ». Cette requête
produit une erreur sur le dispositif de l’appelé et termine l'appel. Ce type d'attaque est
employé pour interrompre la communication.
Le Sniffing :
29
Cette attaque consiste à écouter et à décoder la conversation entre deux utilisateurs. Le principe
de l’écoute clandestine est montré dans la figure comme suit :
4. Désactiver la vérification des adresses MAC sur la machine d’attaque afin que le trafic
puisse circuler entre les 2 victimes.
Call Tracking :
Cette attaque se fait au niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone).
Elle a pour but de connaître qui est en train de communiquer et quelle est la période de la
communication. L’attaquant doit récupérer les messages INVITE et BYE en écoutant le réseau
et peut ainsi savoir qui communique, à quelle heure, et pendant combien de temps. Pour
réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les messages
INVITE et BYE..
30
5.2. Les solutions de la sécurité :
La protection physique
Il est conseillé que les équipements critiques de la VoIP (serveurs) soient dans une salle
informatique équipée et bien sécurisé par un système d’alarme, un anti-incendie, de la vidéo
surveillance, d’un accès par badge et d’un onduleur
La sécurisation d'un soft phone contre les codes malveillants et l'usurpation d'identité par
exemple par l’utilisation des mots de passe contenant plus de 10 chiffres.
Un pare-feu aide et assure le contrôle du trafic entrant et sortant du réseau, ce dernier permet de
réduire les attaques de déni de service en filtrant les ports et les appels à travers le réseau IP.
Les vulnérabilités existent au niveau applicatif, protocole et systèmes d’exploitation. Pour cela,
on a découpé la sécurisation aussi en trois niveaux :
Consiste à implémenter les mesures de sécurité nécessaire pour combler les lacunes au niveau
protocolaire, prenant un exemple, les services de sécurités offertes par SRTP (version sécurisé
du protocole RTP)
La protection contre le rejeu des paquets, chaque client SIP tient à jour une liste de tous
les indices des paquets reçus et bien authentifiés.
31
Sécurité au niveau applicatif
L’utilisation d’une version stable contenant les derniers mis à jours recommandés
par le fournisseur aussi bien la partie client et serveur.
La création d’un environnement de test dans lequel on va tester les mises à jour des
applications utilisé et ce avant de leurs installation dans un environnement de production.
A ne pas utiliser la configuration par défaut qui sert juste à établir des appels. Elle
ne contient aucune mesure de sécurité.
A ne pas installer les Soft phones dans le serveur. Pour notre application, la
sécurité c’est une étape primordiale, après des recherches, la société a choisi Snort
système de détection d'intrusion réseau ou NIDS, Snort permet de surveiller les données
de package envoyées et reçues via une interface réseau spécifique. Il permet aussi de
détecter les menaces ciblant les vulnérabilités de votre système à l'aide de technologies de
détection et d'analyse de protocole basées sur des signatures. Il existe plusieurs endroits
où nous pouvons mettre en place notre NIDS. Le schéma ci-dessous illustre un réseau
local ainsi que les trois positions que peut y prendre un IDS
32
En se basant sur la figure ci-dessous, nous pouvons mettre en place Snort
Ici, notre NIDS va détecter l'ensemble des attaques frontales provenant de l'extérieur, en
amont du firewall.
Dans le DMZ
Ici, notre NIDS est placé sur la DMZ (Zone dématérialisé), il détectera les attaques qui
n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence.
Ici, notre NIDS va détecter les attaques internes, provenant du réseau local de
l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80%
des attaques proviennent de l'intérieur.
33
Conclusion :
Il est évident que la VoIP est la solution la plus rentable pour effectuer des conversations.
Les différents protocoles qu’elle possède, constituent l’une des forces majeures de cette
technologie. Plusieurs facteurs déterminent la qualité du service offert par cette dernière
notamment l’écho, la latence, la gigue et les pertes de paquets. En raison de la grande
disponibilité qu’elle offre, la VoIP est victime de plusieurs attaques telles que le sniffing, le
suivi des appels, la gigue et l’écoute clandestine.
34
Chapitre 3 : Outil Asterisk :
Introduction :
Asterisk est un open source framework pour la création d'applications de communication.
Asterisk transforme un ordinateur ordinaire en un serveur de communication. Asterisk
alimente les systèmes PBX IP, les passerelles VoIP, les serveurs de conférence et d'autres
solutions personnalisées. Il est utilisé par les petites entreprises, les grandes entreprises,
les centres d'appels, les opérateurs et les agences gouvernementales du monde entier.
Asterisk est gratuit et open source.
Conçu à l'origine pour Linux, Asterisk fonctionne également sur une variété de systèmes
d'exploitation différents, notamment FreeBSD, Mac OSX, CentOS et Solaris. Le logiciel
Asterisk comprend de nombreuses fonctionnalités disponibles dans les systèmes PBX
propriétaires :
▪ Messagerie vocale
▪ Conférence téléphonique
Asterisk n'est pas un proxy SIP. Un proxy SIP gère le contrôle des appels au nom d'autres
agents utilisateurs (UA) et ne maintient généralement pas l'état pendant un appel et n'est
donc jamais le point de terminaison d'un appel. Asterisk, en tant que serveur, est un
registraire SIP et un serveur de localisation et agit également en tant que point de
terminaison d'agent utilisateur. Fondamentalement, il s'agit d'un logiciel de softphone
pour opérer un appel via Internet qui peut recevoir un message REGISTER et place les
informations qu'il reçoit dans ces demandes dans le service de localisation pour le
domaine qu'il gère.
S'il "contrôle" ou relaie un appel d'un téléphone SIP vers un autre téléphone SIP, il agit
simplement comme un agent utilisateur (UA) de point d'extrémité vers le segment d'appel
d'origine, puis crée un nouvel appel vers le téléphone récepteur. Par conséquent, il reste
"au milieu de l'appel", en maintenant l'état et en contrôlant, et éventuellement en pontant,
chaque point de terminaison distant.
35
Asterisk peut donc être décrit au mieux comme un "agent utilisateur back-to-back"
(B2BUA), qui est également compatible avec l'utilisation du terme "PBX". Asterisk est
une puissante passerelle multimédia.
1. L’architecture du réseau :
Matériel requis :
- Machine serveur : Sur laquelle installé un système d’exploitation Linux Ubuntu et le
serveur de VoIP, « Asterisk ».
- Ordinateur avec un logiciel VoIP : machine sur laquelle on installe un système
d’exploitation Windows et un client Zoiper.
- Smartphone Android : Smartphone sur lequel nous avons installé l’application
Zoiper
36
2. Mise en place du réseau Asterisk :
Installation d’Asterisk
- Préparation à l’installation
En commençant par mettre à jour notre distribution. Pour cela on utilisera les
commandes suivantes :
- Installation d’Asterisk
On tape la commande:
Après l’installation on modifie ces paramètres pour que Asterisk démarre à l’allumage
de l’ordinateur
RUNASTERISK=yes
RUNASTSAFE=no
Commandes utiles:
Une fois connecté à Asterisk via la console, plusieurs commandes utiles, internes à la console
sont disponibles :
37
- « sip show channels » : permet de voir les canaux actifs ;
- « sip set debug » : permet de voir les messages SIP qui passent par le serveur ;
- « dialplan reload » : recharge le fichier extensions.conf ;
- « agent show » : voir le status des agents ;
- « agent logoff name » : déconnecter l’agent name ;
- « sip show users » : voir le statut des utilisateurs SIP.
Configuration d’Asterisk :
Pour configurer notre serveur Asterisk nous allons modifier les fichiers suivants:
38
Chapitre 4 : Réalisation :
Configuration d’Asterisk :
RUNASTERISK=yes
39
RUNASTSAFE=no
Configuration générale d’Asterisk à l’aide du fichier sip.conf pour configurer les logins et les
mots de passe, avec deux utilisateurs avec numéros de SIP 1000,2000
40
Configuration du fichier extensions.conf pour router les appels vers un utilisateur ou sa
messagerie.
On ouvre le CLI à l’aide de la commande asterisk –r puis on affiche le statut des peers à l’aide
de la commande sip show peers
41
Configuration du Softphone Zoiper :
Un Softphone est un type de logiciel utilisé pour faire de la téléphonie par Internet depuis un ordinateur plutôt
qu'un téléphone. Chaque utilisateur a la possibilité de télécharger le Softphone (version Android ou version
Windows) suivant le terminal utilisé. La figure ci-dessous représente l’interface utilisateur du logiciel Zoiper.
42
La figure ci-dessous montre un test d’un appel réussi entre deux Softphone Zoiper qui
sont installés le premier sur Windows 11 et le deuxième sur Android.
L’utilisateur qui a une extension 2000 effectue un appel avec l’utilisateur qui a une
extension 1000, il suffit de composer le numéro de l’appelé, si la ligne est libre, une
sonnerie se déclenche chez le récepteur avec l’affichage du numéro de l’appelé.
La figure suivante présente des exemples des paquets capturés par Wireshark à savoir les adresses IP, les
numéros de ports, et d’autres informations.
43
La figure suivant présente des captures des trafics RTP.
44
L’outil Wireshark, permet d’écouter une communication entre deux clients Sip (Softphone) en décodant les
paquets RTP envoyés lors d’une communication en temps réel
Avec Wireshark, on a pu récupérer les paquets RTP et faire l’écoute de la conversation téléphonique établie
entre deux clients Sip comme l’indique la figure ci-dessous.
45
- Cracker le mot de passe avec Kali Linux :
La figure ci-dessous montre un cas plus avancé qui consiste à afficher les mots de passe des clients SIP, on a
cracker le mot de passe en utilisant l’utilitaire svcrack.
- Invite Flood :
46
Invite flood est un outil qui permet d'effectuer un débordement de message SIP / SDP INVITE sur UDP / IP
pour effectuer une attaque DOS ( Deny of Service ). Cet outil est utilisé pour inonder une cible avec des
messages de demande INVITE, tant que cet outil continue d'inonder le PBX, il empêche les clients de passer
des appels téléphoniques
Un paquet SRTP est généré par transformation d’un paquet RTP grâce à des mécanismes de
sécurité. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
qu’ils ne soient sur le réseau. La figure suivante présente le format d’un paquet SRTP.
47
- Outil tiers mis en œuvre pour empêcher les attaques par force brute :
Fail2Ban est un logiciel conçu pour protéger le système contre les attaques par force brute. Basé
sur les journaux du programme, fail2ban bloque l'accès pendant un certain temps pour une
adresse IP malveillante. Si cette adresse continue d'être sale même après le déblocage, elle peut
être bloquée pour toujours.
Installation de fail2ban :
nano /etc/fail2ban/jail.conf
48
Quelques options dans jail.conf :
bantime - le temps pendant lequel l'IP sera bloquée si elle dépasse les paramètres ci-
dessus
logpath - chemin d'accès à un fichier avec les journaux dans lequel fail2ban recherchera
les personnes essayant de pirater votre système
action - action qui sera exécutée lorsque le paramètre maxretry sera atteint
fail2ban logs :
nano /etc/asterisk/logger.conf
49
Rechargez le système de journalisation :
Rechargez le service :
On essaye d’entrer un mot de passe incorrecte plus de 3 fois qui est cité en maxretry :
50
Vérification :
L’ip-table asterisk montre qu’il y a que l’adresse IP 192 .168.1.7 a été banni après avoir
entré un mot de passe incorrecte 3 fois consécutif dans le temps findtime prédéfinie.
cat /var/log/fail2ban.log
La capture d’écran montre que l’utilisateur à l’adresse IP 192.168.1.7 a été banni à 19 :58
Snort est un système de détection d'intrusion, ce dernier permet d’analyser le trafic réseau de
type IP, il peut être configuré pour Fonctionner en quatre modes :
• Le mode sniffer, dans ce mode, SNORT lit les paquets circulant sur le réseau et les
affiche d’une façon continue sur l’écran ;
51
• Le mode « packet logger », dans ce mode SNORT journalise le trafic réseau dans des
répertoires sur le disque
• Le mode détecteur d’intrusion réseau (NIDS), dans ce mode, SNORT analyse le trafic
du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions
à exécuter.
Installation Snort :
52
Démarage de snort
C’est le mode basic, il permet de lire et afficher à l’écran les paquets TCP/IP circulant sur le
réseau. La configuration du snort se réalise en tappant les comandes suivantes :
Cette commande permet d’exécuter et d’afficher les entêtes des paquets TCP/IP.
Cette commande permet d’exécuter SNORT et d’afficher tout le paquet TCP/IP (entête et
données).
Cette commande permet d’exécuter SNORT et d’afficher tout le paquet TCP/IP (entête et
données)
53
La commande : snort –v
54
La commande : snort –vde
Conclusion :
55
Conclusion
La VoIP est la solution la plus rentable pour effectuer des conversations. Actuellement il est
évident que la VoIP va continuer à évoluer. La téléphonie IP est une bonne solution en matière
d’intégration, fiabilité et de coût. On a vu que la voix sur IP étant une nouvelle technologie de
communication, elle n’a pas encore de standard unique. Chaque standard possède ses propres
caractéristiques pour garantir une bonne qualité de service. En effet, le respect des contraintes
temporelles est le facteur le plus important lors du transport de la voix. Asterisk est ouvert à
tous, gratuit et simple d’utilisation. Asterisk a de quoi s’imposer. Ces vrais concurrents sont
plutôt les PBX Hardware. Qui sont chers mais performant et fiable. Les solutions libres peuvent
fournir les outils les plus performants et les mieux documentés sans procurer un même service
relationnel. Ce projet nous a permis de mettre en pratique nos connaissances théoriques
acquises.
Ce projet a été une expérience fructueuse qui nous a permis de mieux s’approcher du milieu
professionnel et d’enrichir nos acquis reçus en VoIP. Cette expérience nous a permis de bien
améliorer notre capacité d’analyse et de résolution de problème et ce avec les moyens de bord.
56