Atelier e-sécurité

La voix sur IP :
vulnérabilités, menaces, et sécurité préventive

M.D. El Kettani, Docteur Ingénieur

Professeur (LAGI ENSIAS)
Consultant
dafir@ensias.ma

19 et 20 juin 2006, Hôtel Tour Hassan, Rabat

 Plan
Atelier e-sécurité

• Introduction
• Technologies VoIP/ToIP
• Vulnérabilités
• Attaques envisageables
• Sécurité préventive
• Recommandations
 Introduction
Atelier e-sécurité

• Enjeux importants
Convergence Réseaux Nouveaux acteurs
•Téléphonie / TI •Opérateurs
•PoE (Power over Ethernet) •Entreprises
•Complexité, Coûts •Particuliers

Nouveaux usages 3 vendeurs majeurs

•Visioconférence,
•Télésurveillance
•Téléphonie d'entreprise,
•Télécopie
•Téléphonie sur Internet,
•Télévision & radio
•Provenant du « monde
TDM/PSTN »
(Time Division Multiplexing,
Public Switched Telephone Network)
•Provenant du « monde IP »
•« Société spécialisée VoIP »
 Introduction
Atelier e-sécurité

• Nouvelles infrastructures
 Terminaux
• Ordinateur + logiciel
• Téléphone de bureau
• Téléphone sans fil WiFi
• Freebox, Livebox, ...
 Serveurs
 Équipements d’interconnection
• Nouveaux risques
 Technologies VoIP
Atelier e-sécurité

• Signalisation et contrôle
• Transport
• Session SIP
• Protocoles secondaires
• Architecture
• Enjeux de la sécurité
 Signalisation et contrôle
Atelier e-sécurité

• H.323:
 Caractéristiques:
• Complexe
• Transcription IP de l'ISDN
• similaire au fonctionnement des RTCs
• Encore utilisé en coeur de réseau
• Mécanismes de sécurité : H.235
• En voie de disparition
 Signalisation et contrôle
Atelier e-sécurité

• SIP (Session Initiation Protocol):

 Normalisé par l’IETF (RFC 3261),
“ressemble” à HTTP
 Protocole se transformant en architecture
 Adresses simples : sip:user@domaine.com
 Extensions propriétaires
 Gestion de sessions entre participants:
• “End-to-end” (entre IP PBX)
 Inter-AS MPLS VPNs
 Confiance transitive (Transitive trust)
 Données transportées de toute nature :
voix, images, messagerie instantanée,
échanges de fichiers, etc
 Signalisation et contrôle
Atelier e-sécurité

• MGCP (Media Gateway Control Protocol):

 Softswitch (CallAgent)<->MediaGateWay
 CallAgents->MGW (2427/UDP)
 MGW->CallAgents (2727/UDP)
 Utilisé pour contrôler les MGWs
 AoC (Advise Of Charge) en direction du CPE
 Transport
Atelier e-sécurité

• Rôle: Encodage, transport, etc.

• RTP (Real-Time Protocol) : udp
 Pas de gestion de QoS/bande passante
 Connectivité :
• Soit UA<->UA (risque de fraude),
• Soit UA<->MGW<->UA
 CODECs
• ancien: G.711 (PSTN/POTS - 64Kb/s)
• courant: G.729 (8Kb/s)

• RTCP (Real-Time Control Protocol) :

 Protocole de contrôle pour RTP
• SRTP / SRTCP : équivalents chiffrés
 Session SIP
Atelier e-sécurité

• 2 composantes:
 Fonctionnalités:
• Signalisation (SIP) : la gestion des appels, passe
par des serveurs
 Localisation des utilisateurs
 Session:
 Configuration, Négociation
 Modification, Fermeture
• Données (RTP/RTCP/RTSP) : la voix, peut passer
par le chemin le plus court
 Protocoles secondaires
Atelier e-sécurité

• DNS : Annuaire et localisation

• DHCP : Attribution IP/DNS/etc
• TFTP : Configuration & mise à jour
• HTTP : Administration
• ENUM : Correspondance adresses SIP /
numéros E.164 en utilisant DNS
 Architecture opérateur
- Téléphones
- Téléphones
IP (IP phones):
- QoS (Quality
- Bande- VPN
- LAN
de service)
cryptés- Ethernet (routeurs et
hard-phones
passante
Atelier e-sécurité

« classiques - SSL/TLS
»(150-400ms) switches)
-Délai
- WAN - Passerelle de voix- (Voice
- Propriétaires
-Jitter IPsecF Gateway:
(<<150ms)
IP-PSTN)
- xDSL/cable/WiFi
H.323/RTP
WEB
Billing
-- Téléphones
Internet
DB - Protocoles
-IP (IP
Appliances
-(Gateway
de contrôle
W - de
-Localisation
phones):
Perte de paquets
passerelles
VLANs
(1-3%)du cryptage CPE
- VPN-MPLS
- Soft-phones / UA (User-Protocols)
- Intelligence déplacée Control
(LAN-LAN,
du réseau téléphone –
(données/voix+signalisation)
- Liaisons
vers spécialisées
-FWSignalisation
l’équipement : interface SS7
terminal
téléphone...)
agents)
-- Flux
MPLS
IP PBX entre- Media
- Solutions Gateway
le- téléphone
Impact Controller
surSetla
logicielles
F
lesQoS
autres systèmes - Passerelle
- Souples - Que vadeapporter
signalisation
W
B IPv6(Signaling
? Gateway)
RTP» - Proxy: SIP IP / MPLS
- Systèmes : C
-«-SIP,
IP- PBX Transport
Toaster
-SBC(T)FTP-Passerelle
- Mises à- jour de/ média
patches (Media Gateway): PBX
Gestionnaire
-conversion audio d’appels (Call Manager)/IP
- CRL - Intelligence PBX- Firewall
CPE
-
Softswitch
etc. - Filtrage « Non-stateful »
H.323/MGCP/RTP
- Gestion des utilisateurs et reporting
- FFiltrage
(HTTP, etc)« Stateful »
MGW MGW - WFiltrage applicatif
- Recherche des cheminsparpar
couches
IP
(Application :Layer
- GK (GateKeeper) H.323Gateway filtering -
- Serveur ALGs)d’authentification (Radius)
S
- NAT / « firewallSIP/RTP
piercing » Carrier
TDM / PSTN - Serveur B de facturation
C DNS, TFTP, DHCP
(CDR/billing)
- Serveurs
Internet
H.323/RTP
MGW Carrier
 Architecture: SBC
Atelier e-sécurité

• Quel est le rôle d'un SBC ?

 SBC : Session Border Controllers.
 Elément clé pour déploiement de softswitch:
 Solutions intégrées de sécurité.
• Terminal client IP généralement protégé par un pare-
feu et bénéficie d’une adresse IP privée.
• permet de traverser la protection du firewall et les
équipements NAT (Hosted NAT traversal : mise en
conformité de l'en-tête IP et de la signalisation)
• permet de protéger le softswitch :
 des « signalling overloads »,
 d’attaques en denis de service
 et d’autres attaques rendues possibles en utilisant IP
 Architecture: SBC
Atelier e-sécurité

• SBC:
 Autres fonctionnalités:
• Convertir la signalisation
• Convertir le flux multimédia (CODEC)
• Autoriser RTP de manière dynamique
• Localisation:
 Il peut être localisé à différents endroits
• client/opérateur,
• au sein du réseau client,
• à l'interface entre deux opérateurs (Peering VoIP)
 Enjeux de la sécurité
Atelier e-sécurité

• Les Firewalls
 Le rôle du firewall
 Les spécificités de la VOIP :
• la problématique des ports dynamiques,
• les protocoles parapluie...
 La translation d'adresse (NAT)
 Le problème de l'adressage IP :
• adressage privé,
• adressage public,
• évolution IPv6…
 Enjeux de la sécurité
Atelier e-sécurité

• Les Firewalls
 NAT et Firewall :
• les impacts sur la QoS.
• Les compromis Qualité de Service vs
Sécurité.
 Vulnérabilité technologique
Atelier e-sécurité

• Généralités
• Vulnérabilité protocolaire
• Vulnérabilité architecturale
• Exemples
 Généralités
Atelier e-sécurité

• VoIP/ToIP n’est pas équivalente à la

téléphonie classique
 Signalisation/contrôle et transport de la voix
sur le même réseau IP
 Perte de la localisation géographique de
l'appelant
 Généralités
Atelier e-sécurité

• Stratégie de sécurité différente de celle à

laquelle les utilisateurs étaient habitués:
 Fiabilité du système téléphonique
• Combien de pannes de téléphone vs pannes
informatique?
 Confidentialité des appels téléphoniques
 Invulnérabilité du système téléphonique
• Devenu un système susceptible d'intrusions, vers,
etc
 Vulnérabilité protocolaire
Atelier e-sécurité

• Risque semblables à ceux des réseaux IP:

 Intrusion,
 écoute,
 usurpation d'identité,
 rejeu,
 dénis de service,
 etc.
mais
• Ce n’est pas juste « une application IP en
plus »
 Vulnérabilité protocolaire
Atelier e-sécurité

• VoIP n’est pas juste « une application IP en

plus », car:
 Pas d'authentification mutuelle entre les parties,
 Peu de contrôles d'intégrité des flux, pas ou peu
de chiffrement
• Risques d'interception et de routage des appels vers
des numéros surfacturés
• Falsification des messages d'affichage du numéro
renvoyés à l'appelant
 Attaques accessibles à tout informaticien et pas
juste aux spécialistes de téléphonie numérique
 Exemple: Terminaux très fragiles
 Vulnérabilité architecturale
Atelier e-sécurité

• Combinaison matériel+logiciel
(surtout des DSP):
 Softswitch:
• généralement dédié à la signalisation
 MGW (Media Gateway):
• RTP<->TDM,
• SS7oIP<->SS7
 IP-PBX:
• Softswitch+MGW
 Vulnérabilité architecturale
Atelier e-sécurité

• Systèmes d'exploitation
 OS temps réel (QNX/Neutrino, VxWorks,
RTLinux)
 Windows
 Linux, Solaris
• Sécurisation par défaut souvent quasi
inexistante
• Gestion des mises à jour :
 Les OS sont rarement à jour
 Les mises-à-jour ne sont pas « autorisées »
 H323
Atelier e-sécurité

• Intrusion
 Filtrage quasi-impossible :
• multiplication des flux, des mécanismes d'établissement
d'appel, des extensions à la norme, et transmission des
adresses IP au niveau applicatif
• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Dénis de service:
 De par la conception du protocole, pas de
détection des boucles, signalisation non fiable, etc
 SIP
Atelier e-sécurité

• Ecoute
• Usurpation d'identité
• Insertion et rejeu
• Déni de service
 Autres
Atelier e-sécurité

• Skinny Client Control Protocol (Cisco) :

 Risques :
• Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service
• Multimedia Gateway Control Protocol (MGCP)
 Risques:
• Identiques aux autres en entreprise (pas d'expérience d'audit
sécurité)
• Dépendants de la sécurité du boitier ADSL
• Moins de risques de surfacturation et de déni de service sur le
serveur central
• GSM sur IP : nano BTS
 Risques :
• Surfacturation, Ecoute des communications
• Usurpation d'identité, Insertion et rejeu
• Déni de service
• GSM sur IP : UMA : Unlicensed Mobile Access
 Risques :
• Exposition du réseau opérateur sur Internet
• Déni de service
 Terminaux
Atelier e-sécurité

• Peu de sécurisation des terminaux, peu de

fonctions de sécurité
 Pas de 802.1X
• Exemple : test de téléphones VoIP (SIP) sur WiFi
 15 Téléphones testé de 8 fournisseurs
• Cisco,
• Hitachi,
• Utstarcom,
• Senao,
• Zyxel,
• ACT,
• MPM,
• Clipcomm
 Terminaux
Atelier e-sécurité

• Exemple (Suite) : téléphones VoIP (SIP) sur WiFi

 Connexion interactive avec telnet ouverte
 SNMP read/write avec community name par défaut
 Ports de debogage VXworks ouverts en écoute sur le
réseau WiFi
 Services echo et time ouverts
 Connexion interactive rlogin avec authentification basique
 Exemple Cisco 7920
• port 7785 Vxworks wdbrpc ouvert
• SNMP Read/Write
• Réponse de Cisco :
 les ports ne peuvent pas être désactivés, la communauté
 SNMP ne pas être changée :
 tout est codé en dur dans le téléphone...
 Infrastructure
Atelier e-sécurité

• Exemple : coupure de courant lors d’un

audit de sécurité (non VoIP)
 Coupure de courant :
• Téléphone branché sur le secteur (pas PoE, pas
secouru)
=> plus de téléphone
• Serveurs branchés sur le courant secouru mais
pas le commutateur devant
=> problème de commutateur
 Infrastructure
Atelier e-sécurité

• Exemple : coupure de courant lors d’un

audit de sécurité (suite)
 Retour du courant :
• Serveur de téléconfiguration des téléphones
injoignable (DHCP, BOOTP pour le firmware, etc.) car
commutateur pas encore redémarré
• Les téléphones ont redémarré plus vite que le
commutateur et se sont trouvés sans adresse IP, etc.
et restent bloqués sur l'écran "Waiting for DHCP ..."
• Pour une raison inconnue, une fois le serveur de
téléconfiguration à nouveau joignable, les téléphones
n'ont pas fonctionné
• Seule solution trouvée : débrancher/rebrancher
 Attaques envisageables
Atelier e-sécurité

• Attaques : couches basses

• Attaques : implémentations
• Attaques : protocoles VoIP
• Attaques : téléphones
• Autres attaques
 Attaques : couches basses
Atelier e-sécurité

• Attaques physiques
 Systèmes d'écoute
Interception (MITM) :
• écoute passive ou modification de flux
 Discussion
 “Who talks with who”
 Sniffing du réseau
 Serveurs (SIP, CDR, etc)
 Attaques : couches basses
Atelier e-sécurité

• Attaques sur les couches basses : LAN

 Accès physique au LAN
 Attaques ARP :
• ARP spoofing,
Téléphone IP
• ARP cache
1 poisoning Pirate
 Périphériques non authentifiés (téléphones et
serveurs)
 Téléphone
Différents niveaux
IP :
• adresse LAN etc
2 MAC, utilisateur, port physique,
 Attaques : implémentations
Atelier e-sécurité

• Interface d'administration HTTP, de

mise à jour TFTP, etc.
 Exploits
 Vols de session (XSS)
 Scripts / injections
• Piles TCP/IP
• Dénis de services (DoS)
• PROTOS
 Attaques : protocoles VoIP
Atelier e-sécurité

• Fraude: Spoofing SIP

 Call-ID Spoofing
 Appropriation des droits d’utilisateur sur le
serveur d’authentification
 Tags des champs From et To
 Replay
 Accès au voicemail
 Attaques : protocoles VoIP
Atelier e-sécurité

• DoS : Denial of service

 Au niveau:
• Réseau
• Protocole (SIP INVITE)
• Systèmes / Applications
• Téléphone
 Envois illégitimes de paquets SIP INVITE ou
BYE
 Modification « à la volée » des flux RTP
 Attaques : téléphone
Atelier e-sécurité

• (S)IP phone :
 Démarrage (Startup)
• DHCP, TFTP, etc.
 Accès à l’adresse physique
• Tables de configuration cachées
 Piles TCP/IP
 Configuration du constructeur
 Trojan horse/rootkit
 Attaques : autres
Atelier e-sécurité

• Protocoles secondaires:
 DNS : DNS ID spoofing ou DNS cache poisoning
 DHCP : DoS, MITM
 TFTP : upload d'une configuration (DoS,
MITM...)
• Autres:
 L’élément humain
 Systèmes:
• La plupart ne sont as sécurisés par défaut
• Worms, exploits, Trojan horses
 Sécurité préventive
Atelier e-sécurité

• Quelle sécurité préventive?

• Sécurité indépendantes de la VoIP
• Sécurité propres à la VoIP / ToIP
• Calcul du ROI de la VoIP
 Quelle sécurité préventive?
Atelier e-sécurité

• Mesure de sécurité, ou protection

 Action
 Diminue le risque à un niveau acceptable
• Action préventive ISO 19011:2002
 Action visant à éliminer une situation
indésirable potentielle
 Agit en amont de l'incident
• Action corrective
 Action visant à éliminer une situation
indésirable détectée
 Agit en aval de l'incident
 Quelle sécurité préventive?
Atelier e-sécurité

• Actions préventives ?
• Donc réfléchir sans attendre l'incident !
 Identifier se qui compte pour le chef
d'entreprise
 Réaliser une analyse de risque sur ce qui
compte
 Appliquer des mesures de sécurité
• Avec un rapport qualité/prix réaliste
• Afin de réduire les risques à un niveau acceptable
 Sécurité indépendante VoIP
Atelier e-sécurité

• Sécurité dans le réseau IP

 Sécurité dans le réseau
 Liaison
• Cloisonnement des VLAN
• Filtrage des adresses MAC par port
• Protection contre les attaques ARP
 Réseau
• Contrôle d'accès par filtrage IP
• Authentification et chiffrement avec IPsec
 Transport
• Authentification et chiffrement SSL/TLS
 Sécurité indépendante VoIP
Atelier e-sécurité

• Filtrage IP : firewall
 Contrôle d'accès réseau
 Proactif :
• le paquet passe ou le paquet est bloqué
 Application de la politique de sécurité de
l'organisme
 Sécurité indépendante VoIP
Atelier e-sécurité

• Détection d'intrusion (NIDS)

 Passif :
• le paquet est passé mais finalement il n'aurait pas
du, il est malveillant
 Faux positifs :
• un paquet vu comme malveillant qui est tout à
fait légitime
 Faux négatif :
• un paquet vu comme légitime qui est malveillant
 Sécurité indépendante VoIP
Atelier e-sécurité

• Prévention d'intrusion (NIPS)

 Combiner l'analyse approfondie de la
détection d'intrusion avec la capacité de
bloquer du firewall
 Actif : certains paquets sont passés, mais
pas les suivants :
• Limitation de bande passante
• TCP Reset / ICMP Unreachable
 Toujours des risques de faux positifs / faux
négatifs
 Sécurité propre à la VoIP
Atelier e-sécurité

• Solutions:
 SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
• Limitations:
 Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session
en cours de communication
 Mise en oeuvre de la sécurité
=>
perte des possibilité d'interopérabilités entre
fournisseurs
 Calcul du ROI
Atelier e-sécurité

• VoIP: Pas de service en plus

 Mettre à jour son PABX apporte les mêmes
service avec ou sans VoIP
 Les service disponibles en VoIP le sont aussi
en téléphonie classique
 Aucun calcul de ROI ne peut se justifier par
la disponibilité de nouveaux services
• Intégrer les coûts de la VoIP
 ROI : coût du VoIP
Atelier e-sécurité

• Intégrer les coûts de la VoIP

 Coûts de câblage
• Poste téléphonique IP =>prise ethernet supplémentaire
• Difficultés avec le PC connecté sur le téléphone et le
téléphone dans la prise Ethernet du PC
• Nécessité des VLANs, avant considérations de sécurité
• Informations indispensable au service téléphonique ;
N° pièce, n° prise associée à chaque n° de téléphone:
 N° de téléphone, @MAC, @IP et n° de prise Ethernet liés
• Câblage rapide des prises spécifiques avec le courant
électrique sur le cable Ethernet (PoE)
 Onduleurs supplémentaires et spécifiques
=> VoIP/ToIP impose des coûts de câblage élevés
 ROI : coût du VoIP
Atelier e-sécurité

• Intégrer les coûts de la VoIP

 Services du réseau informatique deviennent
des services critiques
• DHCP
• DNS
• Commutateurs
• ...
 Obligation d’inclure les coûts de mise en
oeuvre de la haute-disponibilité
 Coûts d'exploitation au quotidien bien plus
élevés 24/7, etc
 ROI : dégradation du service
Atelier e-sécurité

• Intégrer la dégradation du service due à la

VoIP:
 Taux d'indisponibilité téléphonie classique : 5
à 6 minutes d'interruption par an, 99,99886
%
 Taux de disponibilité téléphonie sur IP : ??
• Pas de téléphone pendant plusieurs jours...
 Support téléphonique hors-service
• Situations antagonistes : réseau en panne =>
téléphone en panne
• Téléphone : principal système d'appel au secours pour
la sécurité des personnes
 ROI : autres facteurs
Atelier e-sécurité

• Valider au préalable la réalité des

fonctionnalités :
 Fonctionnalités  prix du Poste entrée de gamme
 Fonctionnalités de sécurité imposant un
changement de tous les postes téléphoniques
• Valider au préalable la robustesse de tous
les équipements choisis
• Analyser les risques
 Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?
 Recommandations
Atelier e-sécurité

• Actuellement, voix sur IP  danger

• Mécanismes de détection
• Sécurisation des couches basses
 Utilisation de TLS pour la signalisation SIP
• Identification des clients et du serveur
 Protocole de gestion de clefs VoIP : MiKEY
• Encapsulé dans SIP
 PSK (Pre-shared key), Diffie-hellman, PKI
 Recommandations
Atelier e-sécurité

• Couche réseau:
 QoS [LLQ] (and rate-limit)
 Firewall: application level filtering
• Téléphones IP certifiés par leurs
producteurs
• Sécurisation des couches hautes
 Utilisation de SRTP/SRTCP
 Sécurisation des échanges DNS : DNSSec
 Utilisation de tunnels IPSec en remplacement
des solutions précédentes
• Projet 3P: project, security processes and policies
 Perspectives
Atelier e-sécurité

• VoWLAN
 Utilisation de PDA / Laptop : téléphonie
mobile
 Problèmes classiques du WiFi
 Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP)
 Choix judicieux des CODECs (PCM, GSM...)
 Recommandations
Atelier e-sécurité

• Exemple de solution sécurisée :

 Recommandations
Atelier e-sécurité

• Limites:
 QoS, bande-passante...
 Qualité de la voix : choix important des CODECs
• Temps d'établissement
• Compromis utilisation / complexité
 IPsec parfois trop lourd :
• restriction possible aux protocoles utilisés
 Ne pas se limiter aux protocoles VoIP, au réseau:
• clients (UA), serveurs (soft switch, call manager,
DHCP/TFTP), détection de fraude, etc.
 Ni aux aspects techniques:
• ingénierie, opérations, support, etc, comment les répartir?
 Recommandations
Atelier e-sécurité

• Téléphonie & DSI:

 Téléphonie doit entrer suivre la Direction
des Systèmes d'Information (DSI)
 Ne peut rester aux services administratifs
 Téléphonistes doivent intégrer la DSI
 Leurs compétences en téléphonie sont
indispensables au déploiement de la VoIP
• VoIP / ToIP = intérêt futur proche des
fournisseurs :
 Passage à la VoIP se fera un jour de gré ou
de force
 Conclusion
Atelier e-sécurité

• VoIP :
 Technologie encore jeune
 Étude fine des solutions précède déploiement
 Désormais accessible aux particuliers (Skype..)
• Sécurité au coeur de la problématique
 La VoIP / ToIP relance l'insécurité
 Sécurité au niveau réseau
 Réponse partielle mais nécessaire
 Difficile à mettre en oeuvre
 Mécanismes de sécurité propriétaires proposés par les
constructeurs :
• Seule réponse satisfaisante en matière de sécurité
• Très rarement mis en oeuvre

• ROI négligé