Académique Documents
Professionnel Documents
Culture Documents
9-Presentation Ssi Kettani Septi
9-Presentation Ssi Kettani Septi
La voix sur IP :
vulnérabilités, menaces, et sécurité préventive
• Introduction
• Technologies VoIP/ToIP
• Vulnérabilités
• Attaques envisageables
• Sécurité préventive
• Recommandations
Introduction
Atelier e-sécurité
• Enjeux importants
Convergence Réseaux Nouveaux acteurs
•Téléphonie / TI •Opérateurs
•PoE (Power over Ethernet) •Entreprises
•Complexité, Coûts •Particuliers
• Nouvelles infrastructures
Terminaux
• Ordinateur + logiciel
• Téléphone de bureau
• Téléphone sans fil WiFi
• Freebox, Livebox, ...
Serveurs
Équipements d’interconnection
• Nouveaux risques
Technologies VoIP
Atelier e-sécurité
• Signalisation et contrôle
• Transport
• Session SIP
• Protocoles secondaires
• Architecture
• Enjeux de la sécurité
Signalisation et contrôle
Atelier e-sécurité
• H.323:
Caractéristiques:
• Complexe
• Transcription IP de l'ISDN
• similaire au fonctionnement des RTCs
• Encore utilisé en coeur de réseau
• Mécanismes de sécurité : H.235
• En voie de disparition
Signalisation et contrôle
Atelier e-sécurité
• 2 composantes:
Fonctionnalités:
• Signalisation (SIP) : la gestion des appels, passe
par des serveurs
Localisation des utilisateurs
Session:
Configuration, Négociation
Modification, Fermeture
• Données (RTP/RTCP/RTSP) : la voix, peut passer
par le chemin le plus court
Protocoles secondaires
Atelier e-sécurité
« classiques - SSL/TLS
»(150-400ms) switches)
-Délai
- WAN - Passerelle de voix- (Voice
- Propriétaires
-Jitter IPsecF Gateway:
(<<150ms)
IP-PSTN)
- xDSL/cable/WiFi
H.323/RTP
WEB
Billing
-- Téléphones
Internet
DB - Protocoles
-IP (IP
Appliances
-(Gateway
de contrôle
W - de
-Localisation
phones):
Perte de paquets
passerelles
VLANs
(1-3%)du cryptage CPE
- VPN-MPLS
- Soft-phones / UA (User-Protocols)
- Intelligence déplacée Control
(LAN-LAN,
du réseau téléphone –
(données/voix+signalisation)
- Liaisons
vers spécialisées
-FWSignalisation
l’équipement : interface SS7
terminal
téléphone...)
agents)
-- Flux
MPLS
IP PBX entre- Media
- Solutions Gateway
le- téléphone
Impact Controller
surSetla
logicielles
F
lesQoS
autres systèmes - Passerelle
- Souples - Que vadeapporter
signalisation
W
B IPv6(Signaling
? Gateway)
RTP» - Proxy: SIP IP / MPLS
- Systèmes : C
-«-SIP,
IP- PBX Transport
Toaster
-SBC(T)FTP-Passerelle
- Mises à- jour de/ média
patches (Media Gateway): PBX
Gestionnaire
-conversion audio d’appels (Call Manager)/IP
- CRL - Intelligence PBX- Firewall
CPE
-
Softswitch
etc. - Filtrage « Non-stateful »
H.323/MGCP/RTP
- Gestion des utilisateurs et reporting
- FFiltrage
(HTTP, etc)« Stateful »
MGW MGW - WFiltrage applicatif
- Recherche des cheminsparpar
couches
IP
(Application :Layer
- GK (GateKeeper) H.323Gateway filtering -
- Serveur ALGs)d’authentification (Radius)
S
- NAT / « firewallSIP/RTP
piercing » Carrier
TDM / PSTN - Serveur B de facturation
C DNS, TFTP, DHCP
(CDR/billing)
- Serveurs
Internet
H.323/RTP
MGW Carrier
Architecture: SBC
Atelier e-sécurité
• SBC:
Autres fonctionnalités:
• Convertir la signalisation
• Convertir le flux multimédia (CODEC)
• Autoriser RTP de manière dynamique
• Localisation:
Il peut être localisé à différents endroits
• client/opérateur,
• au sein du réseau client,
• à l'interface entre deux opérateurs (Peering VoIP)
Enjeux de la sécurité
Atelier e-sécurité
• Les Firewalls
Le rôle du firewall
Les spécificités de la VOIP :
• la problématique des ports dynamiques,
• les protocoles parapluie...
La translation d'adresse (NAT)
Le problème de l'adressage IP :
• adressage privé,
• adressage public,
• évolution IPv6…
Enjeux de la sécurité
Atelier e-sécurité
• Les Firewalls
NAT et Firewall :
• les impacts sur la QoS.
• Les compromis Qualité de Service vs
Sécurité.
Vulnérabilité technologique
Atelier e-sécurité
• Généralités
• Vulnérabilité protocolaire
• Vulnérabilité architecturale
• Exemples
Généralités
Atelier e-sécurité
• Combinaison matériel+logiciel
(surtout des DSP):
Softswitch:
• généralement dédié à la signalisation
MGW (Media Gateway):
• RTP<->TDM,
• SS7oIP<->SS7
IP-PBX:
• Softswitch+MGW
Vulnérabilité architecturale
Atelier e-sécurité
• Systèmes d'exploitation
OS temps réel (QNX/Neutrino, VxWorks,
RTLinux)
Windows
Linux, Solaris
• Sécurisation par défaut souvent quasi
inexistante
• Gestion des mises à jour :
Les OS sont rarement à jour
Les mises-à-jour ne sont pas « autorisées »
H323
Atelier e-sécurité
• Intrusion
Filtrage quasi-impossible :
• multiplication des flux, des mécanismes d'établissement
d'appel, des extensions à la norme, et transmission des
adresses IP au niveau applicatif
• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Dénis de service:
De par la conception du protocole, pas de
détection des boucles, signalisation non fiable, etc
SIP
Atelier e-sécurité
• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Déni de service
Autres
Atelier e-sécurité
• Attaques physiques
Systèmes d'écoute
Interception (MITM) :
• écoute passive ou modification de flux
Discussion
“Who talks with who”
Sniffing du réseau
Serveurs (SIP, CDR, etc)
Attaques : couches basses
Atelier e-sécurité
• (S)IP phone :
Démarrage (Startup)
• DHCP, TFTP, etc.
Accès à l’adresse physique
• Tables de configuration cachées
Piles TCP/IP
Configuration du constructeur
Trojan horse/rootkit
Attaques : autres
Atelier e-sécurité
• Protocoles secondaires:
DNS : DNS ID spoofing ou DNS cache poisoning
DHCP : DoS, MITM
TFTP : upload d'une configuration (DoS,
MITM...)
• Autres:
L’élément humain
Systèmes:
• La plupart ne sont as sécurisés par défaut
• Worms, exploits, Trojan horses
Sécurité préventive
Atelier e-sécurité
• Actions préventives ?
• Donc réfléchir sans attendre l'incident !
Identifier se qui compte pour le chef
d'entreprise
Réaliser une analyse de risque sur ce qui
compte
Appliquer des mesures de sécurité
• Avec un rapport qualité/prix réaliste
• Afin de réduire les risques à un niveau acceptable
Sécurité indépendante VoIP
Atelier e-sécurité
• Filtrage IP : firewall
Contrôle d'accès réseau
Proactif :
• le paquet passe ou le paquet est bloqué
Application de la politique de sécurité de
l'organisme
Sécurité indépendante VoIP
Atelier e-sécurité
• Solutions:
SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
• Limitations:
Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session
en cours de communication
Mise en oeuvre de la sécurité
=>
perte des possibilité d'interopérabilités entre
fournisseurs
Calcul du ROI
Atelier e-sécurité
• Couche réseau:
QoS [LLQ] (and rate-limit)
Firewall: application level filtering
• Téléphones IP certifiés par leurs
producteurs
• Sécurisation des couches hautes
Utilisation de SRTP/SRTCP
Sécurisation des échanges DNS : DNSSec
Utilisation de tunnels IPSec en remplacement
des solutions précédentes
• Projet 3P: project, security processes and policies
Perspectives
Atelier e-sécurité
• VoWLAN
Utilisation de PDA / Laptop : téléphonie
mobile
Problèmes classiques du WiFi
Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP)
Choix judicieux des CODECs (PCM, GSM...)
Recommandations
Atelier e-sécurité
• Limites:
QoS, bande-passante...
Qualité de la voix : choix important des CODECs
• Temps d'établissement
• Compromis utilisation / complexité
IPsec parfois trop lourd :
• restriction possible aux protocoles utilisés
Ne pas se limiter aux protocoles VoIP, au réseau:
• clients (UA), serveurs (soft switch, call manager,
DHCP/TFTP), détection de fraude, etc.
Ni aux aspects techniques:
• ingénierie, opérations, support, etc, comment les répartir?
Recommandations
Atelier e-sécurité
• VoIP :
Technologie encore jeune
Étude fine des solutions précède déploiement
Désormais accessible aux particuliers (Skype..)
• Sécurité au coeur de la problématique
La VoIP / ToIP relance l'insécurité
Sécurité au niveau réseau
Réponse partielle mais nécessaire
Difficile à mettre en oeuvre
Mécanismes de sécurité propriétaires proposés par les
constructeurs :
• Seule réponse satisfaisante en matière de sécurité
• Très rarement mis en oeuvre
• ROI négligé