Académique Documents
Professionnel Documents
Culture Documents
Sommaire
Introduction Bilan de le voip Principaux risques Technologies et risques Elments de scurit Exemples dattaques - solutions Conclusion
La voix sur IP nest pas mature et pose une problmatique de scurit Herv Schauer Expert en scurit Journal du net mai 2004
Introduction
Exemples d'usages: Visioconfrence, tlsurveillance Tlphonie d'entreprise Tlcopie Tlphonie sur internet Terminaux : Ordinateur + logiciel Tlphone de bureau Tlphone sans fil WiFi...
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007 4
Bilan de la VoIP
N'est pas quivalent la tlphonie classique
- Signalisation/contrle et transport de la voix sur le mme rseau IP - Perte de la localisation gographique de l'appelant
Bilan de la VoIP
N'est pas juste
Pas d'authentification mutuelle entre les parties par dfaut Peu de contrles d'intgrit des flux, pas de chiffrement Risques d'interception et de routage des appels Falsification des messages d'affichage du numro renvoysSeminar: VOIP Algers l'appelant Regional
Algeria 19-20/3/2007
DoS Interruption de la communication en cours Empcher l'tablissement de la communication Rendre la communication inaudible Epuisement de ressources Ecoute clandestine Conversation Obtention d'info. sur les proprits de la communication Obtention d'info. sur le contenu de la communication
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007 9
Dtournement du trafic d'appel de signalisation Identit Usurpation d'identit Dissimulation d'identit Vols de services Tromper la taxation Communications indsires Appel spam Inscriptions dansRegional Seminar: VOIP Algersla liste blanche
Algeria 19-20/3/2007
10
Technologies
Voix sur IP -----> multitude de protocoles H323 SIP MGCP MEGACO/H.248
11
H323
Normalis par l'ITU Protocole similaire au fonctionnement des rseaux tlphonique commuts. Complexe Encore utilis en coeur de rseau En voie de disparition
H323
Risques
Intrusion Ecoute Usurpation d'identit Insertion et rejeu Dnis de service
SIP
Protocole similaire http : Gestion de sessions entre participants SIP : signalisation, et RTP/RTCP/RTSP : donnes Donnes transportes de toute nature : voix, images, messagerie instantane, changes de fichiers, etc
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007 14
SIP
Risques : Ecoute Usurpation d'identit Insertion et rejeu Dni de service
15
Elments de scurit
Les mthodes de scurisation s'appuient sur les lments suivants :
La scurit de base : la scurit de linfrastructure VoIP est fortement lie la scurit du rseau IP. Les actions: Mise jour du software Verrouillage de la configuration (hardphone/softphone)
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007 16
Elments de scurit
La sparation des quipements DATA et VoIP permet elle seule de parer une grande partie des attaques, notamment les attaques concernant lcoute clandestine Les actions:
Sparation au niveau IP (layer 3)
17
Elments de scurit
Lauthentification permet de sassurer de lidentit des interlocuteurs Les actions: Authentification HTTP Digest des messages SIP Authentification mutuelle
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007
18
Elments de scurit
Le
chiffrement doit garantir la confidentialit et lintgrit des donnes changes Les actions: Chiffrement du flux de signalisation Chiffrement du flux mdia
La scurit primtrique permet de protger le rseau VoIP de lentreprise face aux risques externes Les actions: SBC : DfinitionsRegional seuils / Algers- Admission de Seminar: VOIP Call 19 Algeria 19-20/3/2007 Control
Solutions
Scurit dans le rseau IP Scurit propre la solution de VoIP
20
Liaison Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP Rseau Contrle d'accs par filtrage IP Authentification et chiffrement Transport Validation du protocole par filtrage, relayage et traduction sur le SBC (Session Border Controller) Authentification et chiffrement AlgersSSL/TLS Regional Seminar: VOIP
Algeria 19-20/3/2007
21
But
impact sur la disponibilit
Description
Cette attaque permet de couper une communication existante entre deux terminaux.
Cette attaque a pour but de jouer un message prenregistr la personne Regional Seminar: VOIP Algers23 Algeria 19-20/3/2007 dcrochant le combin.
Auth.
Chiffrement
X X X
X X
X X
X X
24
Conclusion
La VoIP est un service en plein expansion dans le monde. Sa qualit est faible surtout dans le cadre de lutilisation de lInternet public. On peut sattendre une amlioration de cette qualit dans les annes venir mais cela prendra du temps et surtout cotera beaucoup dargent. Seule une analyse rigoureuse des risques peut garantir le succs de cette infrastructure VoIP approprie aux besoins et au budget de l'utilisateur.
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007 25
Bibliographie
Best Practices for VoIP-SIP Security Auteurs:Alistair Doswald (HEIG), Prof. Juergen Ehrensberger (HEIG), Xavier Hahn (HEIG), Prof. Stefano Ventura (HEIG) VoIP et scurit Retour d'exprience d'audits de scurit Herv Schauer Herv Schauer CISSP, ProCSSI, ISO 27001 Lead Auditor par CISSP, ProCSSI, ISO 27001 Lead Auditor par LSTI
Regional Seminar: VOIP AlgersAlgeria 19-20/3/2007 26