Vous êtes sur la page 1sur 58

Atelier e-scurit

La voix sur IP :
vulnrabilits, menaces, et scurit prventive

M.D. El Kettani, Docteur Ingnieur


Professeur (LAGI ENSIAS)
Consultant
dafir@ensias.ma

19 et 20 juin 2006, Htel Tour Hassan, Rabat


Plan
Atelier e-scurit

Introduction
Technologies VoIP/ToIP
Vulnrabilits
Attaques envisageables
Scurit prventive
Recommandations
Introduction
Atelier e-scurit

Enjeux importants
Convergence Rseaux Nouveaux acteurs
Tlphonie / TI Oprateurs
PoE (Power over Ethernet) Entreprises
Complexit, Cots Particuliers

Nouveaux usages 3 vendeurs majeurs


Visioconfrence, Provenant du monde
Tlsurveillance TDM/PSTN
(Time Division Multiplexing,
Tlphonie d'entreprise,
Public Switched Telephone Network)
Tlcopie
Provenant du monde IP
Tlphonie sur Internet,
Socit spcialise VoIP
Tlvision & radio
Introduction
Atelier e-scurit

Nouvelles infrastructures
Terminaux
Ordinateur + logiciel
Tlphone de bureau
Tlphone sans fil WiFi
Freebox, Livebox, ...
Serveurs
quipements dinterconnection
Nouveaux risques
Technologies VoIP
Atelier e-scurit

Signalisation et contrle
Transport
Session SIP
Protocoles secondaires
Architecture
Enjeux de la scurit
Signalisation et contrle
Atelier e-scurit

H.323:
Caractristiques:
Complexe
Transcription IP de l'ISDN
similaire au fonctionnement des RTCs
Encore utilis en coeur de rseau
Mcanismes de scurit : H.235
En voie de disparition
Signalisation et contrle
Atelier e-scurit

SIP (Session Initiation Protocol):


Normalis par lIETF (RFC 3261), ressemble
HTTP
Protocole se transformant en architecture
Adresses simples : sip:user@domaine.com
Extensions propritaires
Gestion de sessions entre participants:
End-to-end (entre IP PBX)
Inter-AS MPLS VPNs
Confiance transitive (Transitive trust)
Donnes transportes de toute nature : voix,
images, messagerie instantane, changes de
fichiers, etc
Signalisation et contrle
Atelier e-scurit

MGCP (Media Gateway Control Protocol):


Softswitch (CallAgent)<->MediaGateWay
CallAgents->MGW (2427/UDP)
MGW->CallAgents (2727/UDP)
Utilis pour contrler les MGWs
AoC (Advise Of Charge) en direction du CPE
Transport
Atelier e-scurit

Rle: Encodage, transport, etc.


RTP (Real-Time Protocol) : udp
Pas de gestion de QoS/bande passante
Connectivit :
Soit UA<->UA (risque de fraude),
Soit UA<->MGW<->UA
CODECs
ancien: G.711 (PSTN/POTS - 64Kb/s)
courant: G.729 (8Kb/s)

RTCP (Real-Time Control Protocol) :


Protocole de contrle pour RTP
SRTP / SRTCP : quivalents chiffrs
Session SIP
Atelier e-scurit

2 composantes:
Fonctionnalits:
Signalisation (SIP) : la gestion des appels, passe
par des serveurs
Localisation des utilisateurs
Session:
Configuration, Ngociation
Modification, Fermeture
Donnes (RTP/RTCP/RTSP) : la voix, peut passer
par le chemin le plus court
Protocoles secondaires
Atelier e-scurit

DNS : Annuaire et localisation


DHCP : Attribution IP/DNS/etc
TFTP : Configuration & mise jour
HTTP : Administration
ENUM : Correspondance adresses SIP /
numros E.164 en utilisant DNS
Architecture oprateur
- Tlphones
- Tlphones
IP (IP phones):
- QoS (Quality
- Bande- VPN
- LAN
de service)
crypts- Ethernet (routeurs et
hard-phones
passante
Atelier e-scurit

classiques - SSL/TLS
(150-400ms) switches)
- Dlai
- WAN - Passerelle de voix- IPsec (Voice Gateway: IP-PSTN)
- xDSL/cable/WiFi
OSS/BSS

- Propritaires
- Jitter (<<150ms) F H.323/RTP
Billing - Internet
DB - Protocoles
WEB de contrle de
W - VLANs
-Localisation passerelles
du cryptage CPE
- Tlphones -IP (IP phones):
Appliances
- Perte de paquets (1-3%)
- VPN-MPLS (Gateway Control Protocols)
(donnes/voix+signalisation)
(LAN-LAN, tlphone
- Intelligence
- Soft-phones dplace du
/ UA (User- rseau
- Liaisons spcialises
-FWSignalisation : interface SS7
tlphone...)
versagents)
lquipement terminal
- MPLS - Media Gateway Controller
- Flux
IP PBXentre le- tlphone
- Solutions Impact surSetla
logicielles
F
lesQoS
autres systmes - Passerelle
- Souples - Que vadeapportersignalisation
B
W IPv6(Signaling
? Gateway)
- Systmes :
VoIP Core

RTP - Proxy: SIP IP / MPLS


C
--SIP,
IP- PBX Transport
Toaster
-Passerelle de mdia (Media Gateway):
-SBC(T)FTP
- Mises - jour / patches dappels (Call Manager)/IPPBX
Gestionnaire
- CRL -conversion
- Firewall audio
- Intelligence PBX CPE
-
Softswitch
etc. - Filtrage Non-stateful
- Gestion des utilisateurs
et reporting
H.323/MGCP/RTP
- FFiltrage
(HTTP, etc) Stateful
W
MGW MGW - Filtrage applicatif
- Recherche des cheminsparpar
couches
IP
(Application
- GK (GateKeeper) : H.323 Layer Gateway filtering
- Serveur -ALGs)
dauthentification (Radius)
- Serveur - SNAT / firewallSIP/RTP
piercing Carrier
B de facturation (CDR/billing)
TDM / PSTN C
- Serveurs DNS, TFTP, DHCP
Internet
H.323/RTP
MGW Carrier
Architecture: SBC
Atelier e-scurit

Quel est le rle d'un SBC ?


SBC : Session Border Controllers.
Elment cl pour dploiement de softswitch:
Solutions intgres de scurit.
Terminal client IP gnralement protg par un pare-feu et
bnficie dune adresse IP prive.
permet de traverser la protection du firewall et les quipements
NAT (Hosted NAT traversal : mise en conformit de l'en-tte IP et
de la signalisation)
permet de protger le softswitch :
des signalling overloads ,
dattaques en denis de service
et dautres attaques rendues possibles en utilisant IP
Architecture: SBC
Atelier e-scurit

SBC:
Autres fonctionnalits:
Convertir la signalisation
Convertir le flux multimdia (CODEC)
Autoriser RTP de manire dynamique
Localisation:
Il peut tre localis diffrents endroits
client/oprateur,
au sein du rseau client,
l'interface entre deux oprateurs (Peering VoIP)
Enjeux de la scurit
Atelier e-scurit

Les Firewalls
Le rle du firewall
Les spcificits de la VOIP :
la problmatique des ports dynamiques,
les protocoles parapluie...
La translation d'adresse (NAT)
Le problme de l'adressage IP :
adressage priv,
adressage public,
volution IPv6
Enjeux de la scurit
Atelier e-scurit

Les Firewalls
NAT et Firewall :
les impacts sur la QoS.
Les compromis Qualit de Service vs
Scurit.
Vulnrabilit technologique
Atelier e-scurit

Gnralits
Vulnrabilit protocolaire
Vulnrabilit architecturale
Exemples
Gnralits
Atelier e-scurit

VoIP/ToIP nest pas quivalente la


tlphonie classique
Signalisation/contrle et transport de la voix
sur le mme rseau IP
Perte de la localisation gographique de
l'appelant
Gnralits
Atelier e-scurit

Stratgie de scurit diffrente de celle


laquelle les utilisateurs taient habitus:
Fiabilit du systme tlphonique
Combien de pannes de tlphone vs pannes
informatique?
Confidentialit des appels tlphoniques
Invulnrabilit du systme tlphonique
Devenu un systme susceptible d'intrusions, vers,
etc
Vulnrabilit protocolaire
Atelier e-scurit

Risque semblables ceux des rseaux IP:


Intrusion,
coute,
usurpation d'identit,
rejeu,
dnis de service,
etc.
mais
Ce nest pas juste une application IP en plus
Vulnrabilit protocolaire
Atelier e-scurit

VoIP nest pas juste une application IP en plus ,


car:
Pas d'authentification mutuelle entre les parties,
Peu de contrles d'intgrit des flux, pas ou peu de
chiffrement
Risques d'interception et de routage des appels vers des numros
surfacturs
Falsification des messages d'affichage du numro renvoys
l'appelant
Attaques accessibles tout informaticien et pas juste aux
spcialistes de tlphonie numrique
Exemple: Terminaux trs fragiles
Vulnrabilit architecturale
Atelier e-scurit

Combinaison matriel+logiciel
(surtout des DSP):
Softswitch:
gnralement ddi la signalisation
MGW (Media Gateway):
RTP<->TDM,
SS7oIP<->SS7
IP-PBX:
Softswitch+MGW
Vulnrabilit architecturale
Atelier e-scurit

Systmes d'exploitation
OS temps rel (QNX/Neutrino, VxWorks, RTLinux)
Windows
Linux, Solaris
Scurisation par dfaut souvent quasi
inexistante
Gestion des mises jour :
Les OS sont rarement jour
Les mises--jour ne sont pas autorises
H323
Atelier e-scurit

Intrusion
Filtrage quasi-impossible :
multiplication des flux, des mcanismes d'tablissement d'appel,
des extensions la norme, et transmission des adresses IP au
niveau applicatif
Ecoute
Usurpation d'identit
Insertion et rejeu
Dnis de service:
De par la conception du protocole, pas de dtection des
boucles, signalisation non fiable, etc
SIP
Atelier e-scurit

Ecoute
Usurpation d'identit
Insertion et rejeu
Dni de service
Autres
Atelier e-scurit

Skinny Client Control Protocol (Cisco) :


Risques :
Ecoute, Usurpation d'identit, Insertion et rejeu, Dni de service
Multimedia Gateway Control Protocol (MGCP)
Risques:
Identiques aux autres en entreprise (pas d'exprience d'audit scurit)
Dpendants de la scurit du boitier ADSL
Moins de risques de surfacturation et de dni de service sur le serveur central
GSM sur IP : nano BTS
Risques :
Surfacturation, Ecoute des communications
Usurpation d'identit, Insertion et rejeu
Dni de service
GSM sur IP : UMA : Unlicensed Mobile Access
Risques :
Exposition du rseau oprateur sur Internet
Dni de service
Terminaux
Atelier e-scurit

Peu de scurisation des terminaux, peu de fonctions de


scurit
Pas de 802.1X
Exemple : test de tlphones VoIP (SIP) sur WiFi
15 Tlphones test de 8 fournisseurs
Cisco,
Hitachi,
Utstarcom,
Senao,
Zyxel,
ACT,
MPM,
Clipcomm
Terminaux
Atelier e-scurit

Exemple (Suite) : tlphones VoIP (SIP) sur WiFi


Connexion interactive avec telnet ouverte
SNMP read/write avec community name par dfaut
Ports de debogage VXworks ouverts en coute sur le rseau WiFi
Services echo et time ouverts
Connexion interactive rlogin avec authentification basique
Exemple Cisco 7920
port 7785 Vxworks wdbrpc ouvert
SNMP Read/Write
Rponse de Cisco :
les ports ne peuvent pas tre dsactivs, la communaut
SNMP ne pas tre change :
tout est cod en dur dans le tlphone...
Infrastructure
Atelier e-scurit

Exemple : coupure de courant lors dun


audit de scurit (non VoIP)
Coupure de courant :
Tlphone branch sur le secteur (pas PoE, pas
secouru)
=> plus de tlphone
Serveurs branchs sur le courant secouru mais
pas le commutateur devant
=> problme de commutateur
Infrastructure
Atelier e-scurit

Exemple : coupure de courant lors dun audit de


scurit (suite)
Retour du courant :
Serveur de tlconfiguration des tlphones injoignable (DHCP,
BOOTP pour le firmware, etc.) car commutateur pas encore
redmarr
Les tlphones ont redmarr plus vite que le commutateur et se
sont trouvs sans adresse IP, etc. et restent bloqus sur l'cran
"Waiting for DHCP ..."
Pour une raison inconnue, une fois le serveur de tlconfiguration
nouveau joignable, les tlphones n'ont pas fonctionn
Seule solution trouve : dbrancher/rebrancher chaque
tlphone un par un pour remise en service
Attaques envisageables
Atelier e-scurit

Attaques : couches basses


Attaques : implmentations
Attaques : protocoles VoIP
Attaques : tlphones
Autres attaques
Attaques : couches basses
Atelier e-scurit

Attaques physiques
Systmes d'coute
Interception (MITM) :
coute passive ou modification de flux
Discussion
Who talks with who
Sniffing du rseau
Serveurs (SIP, CDR, etc)
Attaques : couches basses
Atelier e-scurit

Attaques sur les couches basses : LAN


Accs physique au LAN
Attaques ARP :
Tlphone IP
ARP spoofing,
ARP cache
1 poisoning Pirate
Priphriques non authentifis (tlphones et
serveurs)
Tlphone IP
Diffrents niveaux :
LAN etc
2 MAC, utilisateur, port physique,
adresse
Attaques : implmentations
Atelier e-scurit

Interface d'administration HTTP, de


mise jour TFTP, etc.
Exploits
Vols de session (XSS)
Scripts / injections
Piles TCP/IP
Dnis de services (DoS)
PROTOS
Attaques : protocoles VoIP
Atelier e-scurit

Fraude: Spoofing SIP


Call-ID Spoofing
Appropriation des droits dutilisateur sur le
serveur dauthentification
Tags des champs From et To
Replay
Accs au voicemail
Attaques : protocoles VoIP
Atelier e-scurit

DoS : Denial of service


Au niveau:
Rseau
Protocole (SIP INVITE)
Systmes / Applications
Tlphone
Envois illgitimes de paquets SIP INVITE ou
BYE
Modification la vole des flux RTP
Attaques : tlphone
Atelier e-scurit

(S)IP phone :
Dmarrage (Startup)
DHCP, TFTP, etc.
Accs ladresse physique
Tables de configuration caches
Piles TCP/IP
Configuration du constructeur
Trojan horse/rootkit
Attaques : autres
Atelier e-scurit

Protocoles secondaires:
DNS : DNS ID spoofing ou DNS cache poisoning
DHCP : DoS, MITM
TFTP : upload d'une configuration (DoS, MITM...)
Autres:
Llment humain
Systmes:
La plupart ne sont as scuriss par dfaut
Worms, exploits, Trojan horses
Scurit prventive
Atelier e-scurit

Quelle scurit prventive?


Scurit indpendantes de la VoIP
Scurit propres la VoIP / ToIP
Calcul du ROI de la VoIP
Quelle scurit prventive?
Atelier e-scurit

Mesure de scurit, ou protection


Action
Diminue le risque un niveau acceptable
Action prventive ISO 19011:2002
Action visant liminer une situation indsirable
potentielle
Agit en amont de l'incident
Action corrective
Action visant liminer une situation indsirable
dtecte
Agit en aval de l'incident
Quelle scurit prventive?
Atelier e-scurit

Actions prventives ?
Donc rflchir sans attendre l'incident !
Identifier se qui compte pour le chef
d'entreprise
Raliser une analyse de risque sur ce qui
compte
Appliquer des mesures de scurit
Avec un rapport qualit/prix raliste
Afin de rduire les risques un niveau acceptable
Scurit indpendante VoIP
Atelier e-scurit

Scurit dans le rseau IP


Scurit dans le rseau
Liaison
Cloisonnement des VLAN
Filtrage des adresses MAC par port
Protection contre les attaques ARP
Rseau
Contrle d'accs par filtrage IP
Authentification et chiffrement avec IPsec
Transport
Authentification et chiffrement SSL/TLS
Scurit indpendante VoIP
Atelier e-scurit

Filtrage IP : firewall
Contrle d'accs rseau
Proactif :
le paquet passe ou le paquet est bloqu
Application de la politique de scurit de
l'organisme
Scurit indpendante VoIP
Atelier e-scurit

Dtection d'intrusion (NIDS)


Passif :
le paquet est pass mais finalement il n'aurait pas
du, il est malveillant
Faux positifs :
un paquet vu comme malveillant qui est tout
fait lgitime
Faux ngatif :
un paquet vu comme lgitime qui est malveillant
Scurit indpendante VoIP
Atelier e-scurit

Prvention d'intrusion (NIPS)


Combiner l'analyse approfondie de la
dtection d'intrusion avec la capacit de
bloquer du firewall
Actif : certains paquets sont passs, mais
pas les suivants :
Limitation de bande passante
TCP Reset / ICMP Unreachable
Toujours des risques de faux positifs / faux
ngatifs
Scurit propre la VoIP
Atelier e-scurit

Solutions:
SIP, MGCP, et les protocoles propritaires
incluent des fonctions de scurit
Limitations:
Limite des terminaux qui n'ont pas le CPU
ncessaire des calculs de clefs de session en
cours de communication
Mise en oeuvre de la scurit
=>
perte des possibilit d'interoprabilits entre
fournisseurs
Calcul du ROI
Atelier e-scurit

VoIP: Pas de service en plus


Mettre jour son PABX apporte les mmes
service avec ou sans VoIP
Les service disponibles en VoIP le sont aussi
en tlphonie classique
Aucun calcul de ROI ne peut se justifier par
la disponibilit de nouveaux services
Intgrer les cots de la VoIP
ROI : cot du VoIP
Atelier e-scurit

Intgrer les cots de la VoIP


Cots de cblage
Poste tlphonique IP =>prise ethernet supplmentaire
Difficults avec le PC connect sur le tlphone et le tlphone dans
la prise Ethernet du PC
Ncessit des VLANs, avant considrations de scurit
Informations indispensable au service tlphonique ;
N pice, n prise associe chaque n de tlphone:
N de tlphone, @MAC, @IP et n de prise Ethernet lis
Cblage rapide des prises spcifiques avec le courant lectrique sur le
cable Ethernet (PoE)
Onduleurs supplmentaires et spcifiques
=> VoIP/ToIP impose des cots de cblage levs
ROI : cot du VoIP
Atelier e-scurit

Intgrer les cots de la VoIP


Services du rseau informatique deviennent des
services critiques
DHCP
DNS
Commutateurs
...
Obligation dinclure les cots de mise en oeuvre
de la haute-disponibilit
Cots d'exploitation au quotidien bien plus
levs 24/7, etc
ROI : dgradation du service
Atelier e-scurit

Intgrer la dgradation du service due la


VoIP:
Taux d'indisponibilit tlphonie classique : 5 6
minutes d'interruption par an, 99,99886 %
Taux de disponibilit tlphonie sur IP : ??
Pas de tlphone pendant plusieurs jours...
Support tlphonique hors-service
Situations antagonistes : rseau en panne => tlphone en
panne
Tlphone : principal systme d'appel au secours pour la
scurit des personnes
ROI : autres facteurs
Atelier e-scurit

Valider au pralable la ralit des


fonctionnalits :
Fonctionnalits prix du Poste entre de gamme
Fonctionnalits de scurit imposant un changement
de tous les postes tlphoniques
Valider au pralable la robustesse de tous
les quipements choisis
Analyser les risques
Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?
Recommandations
Atelier e-scurit

Actuellement, voix sur IP danger


Mcanismes de dtection
Scurisation des couches basses
Utilisation de TLS pour la signalisation SIP
Identification des clients et du serveur
Protocole de gestion de clefs VoIP : MiKEY
Encapsul dans SIP
PSK (Pre-shared key), Diffie-hellman, PKI
Recommandations
Atelier e-scurit

Couche rseau:
QoS [LLQ] (and rate-limit)
Firewall: application level filtering
Tlphones IP certifis par leurs producteurs
Scurisation des couches hautes
Utilisation de SRTP/SRTCP
Scurisation des changes DNS : DNSSec
Utilisation de tunnels IPSec en remplacement des
solutions prcdentes
Projet 3P: project, security processes and policies
Perspectives
Atelier e-scurit

VoWLAN
Utilisation de PDA / Laptop : tlphonie
mobile
Problmes classiques du WiFi
Utilisation d'un protocole de mobilit pour
couvrir de grandes distances (IAPP)
Choix judicieux des CODECs (PCM, GSM...)
Recommandations
Atelier e-scurit

Exemple de solution scurise :


Recommandations
Atelier e-scurit

Limites:
QoS, bande-passante...
Qualit de la voix : choix important des CODECs
Temps d'tablissement
Compromis utilisation / complexit
IPsec parfois trop lourd :
restriction possible aux protocoles utiliss
Ne pas se limiter aux protocoles VoIP, au rseau:
clients (UA), serveurs (soft switch, call manager, DHCP/TFTP),
dtection de fraude, etc.
Ni aux aspects techniques:
ingnierie, oprations, support, etc, comment les rpartir?
Recommandations
Atelier e-scurit

Tlphonie & DSI:


Tlphonie doit entrer suivre la Direction des
Systmes d'Information (DSI)
Ne peut rester aux services administratifs
Tlphonistes doivent intgrer la DSI
Leurs comptences en tlphonie sont
indispensables au dploiement de la VoIP
VoIP / ToIP = intrt futur proche des
fournisseurs :
Passage la VoIP se fera un jour de gr ou de force
Conclusion
Atelier e-scurit

VoIP :
Technologie encore jeune
tude fine des solutions prcde dploiement
Dsormais accessible aux particuliers (Skype..)
Scurit au coeur de la problmatique
La VoIP / ToIP relance l'inscurit
Scurit au niveau rseau
Rponse partielle mais ncessaire
Difficile mettre en oeuvre
Mcanismes de scurit propritaires proposs par les constructeurs :
Seule rponse satisfaisante en matire de scurit
Trs rarement mis en oeuvre

ROI nglig