1 / 58

La voix sur IP : vulnérabilités, menaces, et sécurité préventive

La voix sur IP : vulnérabilités, menaces, et sécurité préventive. M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant dafir@ensias.ma. 19 et 20 juin 2006, Hôtel Tour Hassan, Rabat . Plan. Introduction Technologies VoIP/ToIP Vulnérabilités Attaques envisageables

paul2
Download Presentation

La voix sur IP : vulnérabilités, menaces, et sécurité préventive

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La voix sur IP :vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant dafir@ensias.ma 19 et 20 juin 2006, Hôtel Tour Hassan, Rabat

  2. Plan • Introduction • Technologies VoIP/ToIP • Vulnérabilités • Attaques envisageables • Sécurité préventive • Recommandations

  3. Introduction • Enjeux importants

  4. Introduction • Nouvelles infrastructures • Terminaux • Ordinateur + logiciel • Téléphone de bureau • Téléphone sans fil WiFi • Freebox, Livebox, ... • Serveurs • Équipements d’interconnection • Nouveaux risques

  5. Technologies VoIP • Signalisation et contrôle • Transport • Session SIP • Protocoles secondaires • Architecture • Enjeux de la sécurité

  6. Signalisation et contrôle • H.323: • Caractéristiques: • Complexe • Transcription IP de l'ISDN • similaire au fonctionnement des RTCs • Encore utilisé en coeur de réseau • Mécanismes de sécurité : H.235 • En voie de disparition

  7. Signalisation et contrôle • SIP (Session Initiation Protocol): • Normalisé par l’IETF (RFC 3261), “ressemble” à HTTP • Protocole se transformant en architecture • Adresses simples : sip:user@domaine.com • Extensions propriétaires • Gestion de sessions entre participants: • “End-to-end” (entre IP PBX) • Inter-AS MPLS VPNs • Confiance transitive (Transitive trust) • Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc

  8. Signalisation et contrôle • MGCP (Media Gateway Control Protocol): • Softswitch (CallAgent)<->MediaGateWay • CallAgents->MGW (2427/UDP) • MGW->CallAgents (2727/UDP) • Utilisé pour contrôler les MGWs • AoC (Advise Of Charge) en direction du CPE

  9. Transport • Rôle: Encodage, transport, etc. • RTP (Real-Time Protocol) : udp • Pas de gestion de QoS/bande passante • Connectivité : • Soit UA<->UA (risque de fraude), • Soit UA<->MGW<->UA • CODECs • ancien: G.711 (PSTN/POTS - 64Kb/s) • courant: G.729 (8Kb/s) • RTCP (Real-Time Control Protocol) : • Protocole de contrôle pour RTP • SRTP / SRTCP : équivalents chiffrés

  10. Session SIP • 2 composantes: • Fonctionnalités: • Signalisation (SIP) : la gestion des appels, passe par des serveurs • Localisation des utilisateurs • Session: • Configuration, Négociation • Modification, Fermeture • Données (RTP/RTCP/RTSP) : la voix, peut passer par le chemin le plus court

  11. Protocoles secondaires • DNS : Annuaire et localisation • DHCP : Attribution IP/DNS/etc • TFTP : Configuration & mise à jour • HTTP : Administration • ENUM : Correspondance adresses SIP / numéros E.164 en utilisant DNS

  12. IP / MPLS F W WEB DB Billing H.323/RTP CPE OSS/BSS FW S B C F W IP PBX IP PBX VoIP Core PBX SBC CPE Softswitch F W H.323/MGCP/RTP Internet MGW MGW TDM / PSTN S B C Carrier SIP/RTP Carrier H.323/RTP MGW • - Téléphones IP (IP phones): • - Téléphones hard-phones « classiques » • - Propriétaires • - Appliances • - Soft-phones / UA (User-agents) • - Solutions logicielles • - Souples • - « Toaster » • - Mises à jour / patches • - Intelligence Architecture opérateur • - LAN • - Ethernet (routeurs et switches) • - xDSL/cable/WiFi • - VLANs (données/voix+signalisation) • - VPN cryptés • - SSL/TLS • - IPsec • Localisation du cryptage • (LAN-LAN, téléphone – téléphone...) • - Impact sur la QoS • - Que va apporter IPv6 ? • - QoS (Quality de service) • - Bande passante • Délai (150-400ms) • Jitter (<<150ms) • - Perte de paquets (1-3%) • - Passerelle de voix (Voice Gateway: IP-PSTN) • - Protocoles de contrôle de passerelles • (Gateway Control Protocols) • - Signalisation : interface SS7 • - Media Gateway Controller • - Passerelle de signalisation (Signaling Gateway) • - Transport • Passerelle de média (Media Gateway): • conversion audio • - WAN • - Internet • - VPN-MPLS • - Liaisons spécialisées • - MPLS • - Téléphones IP (IP phones): • - Intelligence déplacée du réseau vers l’équipement terminal • - Flux entre le téléphone et les autres systèmes • - SIP, RTP • - (T)FTP • - CRL • - etc. • - Systèmes : • - Proxy: SIP • - Gestionnaire d’appels (Call Manager)/IP PBX • - Gestion des utilisateurs et reporting (HTTP, etc) • - Recherche des chemins par IP • - GK (GateKeeper) : H.323 • - Serveur d’authentification (Radius) • - Serveur de facturation (CDR/billing) • - Serveurs DNS, TFTP, DHCP • - Firewall • - Filtrage « Non-stateful » • - Filtrage « Stateful » • - Filtrage applicatif par couches (Application Layer Gateway filtering -ALGs) • - NAT / « firewall piercing »

  13. Architecture: SBC • Quel est le rôle d'un SBC ? • SBC : Session Border Controllers. • Elément clé pour déploiement de softswitch: • Solutions intégrées de sécurité. • Terminal client IP généralement protégé par un pare-feu et bénéficie d’une adresse IP privée. • permet de traverser la protection du firewall et les équipements NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et de la signalisation) • permet de protéger le softswitch : • des « signalling overloads », • d’attaques en denis de service • et d’autres attaques rendues possibles en utilisant IP

  14. Architecture: SBC • SBC: • Autres fonctionnalités: • Convertir la signalisation • Convertir le flux multimédia (CODEC) • Autoriser RTP de manière dynamique • Localisation: • Il peut être localisé à différents endroits • client/opérateur, • au sein du réseau client, • à l'interface entre deux opérateurs (Peering VoIP)

  15. Enjeux de la sécurité • Les Firewalls • Le rôle du firewall • Les spécificités de la VOIP : • la problématique des ports dynamiques, • les protocoles parapluie... • La translation d'adresse (NAT) • Le problème de l'adressage IP : • adressage privé, • adressage public, • évolution IPv6…

  16. Enjeux de la sécurité • Les Firewalls • NAT et Firewall : • les impacts sur la QoS. • Les compromis Qualité de Service vs Sécurité.

  17. Vulnérabilité technologique • Généralités • Vulnérabilité protocolaire • Vulnérabilité architecturale • Exemples

  18. Généralités • VoIP/ToIP n’est pas équivalente à la téléphonie classique • Signalisation/contrôle et transport de la voix sur le même réseau IP • Perte de la localisation géographique de l'appelant

  19. Généralités • Stratégie de sécurité différente de celle à laquelle les utilisateurs étaient habitués: • Fiabilité du système téléphonique • Combien de pannes de téléphone vs pannes informatique? • Confidentialité des appels téléphoniques • Invulnérabilité du système téléphonique • Devenu un système susceptible d'intrusions, vers, etc

  20. Vulnérabilité protocolaire • Risque semblables à ceux des réseaux IP: • Intrusion, • écoute, • usurpation d'identité, • rejeu, • dénis de service, • etc. mais • Ce n’est pas juste « une application IP en plus »

  21. Vulnérabilité protocolaire • VoIP n’est pas juste « une application IP en plus », car: • Pas d'authentification mutuelle entre les parties, • Peu de contrôles d'intégrité des flux, pas ou peu de chiffrement • Risques d'interception et de routage des appels vers des numéros surfacturés • Falsification des messages d'affichage du numéro renvoyés à l'appelant • Attaques accessibles à tout informaticien et pas juste aux spécialistes de téléphonie numérique • Exemple: Terminaux très fragiles

  22. Vulnérabilité architecturale • Combinaison matériel+logiciel (surtout des DSP): • Softswitch: • généralement dédié à la signalisation • MGW (Media Gateway): • RTP<->TDM, • SS7oIP<->SS7 • IP-PBX: • Softswitch+MGW

  23. Vulnérabilité architecturale • Systèmes d'exploitation • OS temps réel (QNX/Neutrino, VxWorks, RTLinux) • Windows • Linux, Solaris • Sécurisation par défaut souvent quasi inexistante • Gestion des mises à jour : • Les OS sont rarement à jour • Les mises-à-jour ne sont pas « autorisées »

  24. H323 • Intrusion • Filtrage quasi-impossible : • multiplication des flux, des mécanismes d'établissement d'appel, des extensions à la norme, et transmission des adresses IP au niveau applicatif • Ecoute • Usurpation d'identité • Insertion et rejeu • Dénis de service: • De par la conception du protocole, pas de détection des boucles, signalisation non fiable, etc

  25. SIP • Ecoute • Usurpation d'identité • Insertion et rejeu • Déni de service

  26. Autres • Skinny Client Control Protocol (Cisco) : • Risques : • Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service • Multimedia Gateway Control Protocol (MGCP) • Risques: • Identiques aux autres en entreprise (pas d'expérience d'audit sécurité) • Dépendants de la sécurité du boitier ADSL • Moins de risques de surfacturation et de déni de service sur le serveur central • GSM sur IP : nano BTS • Risques : • Surfacturation, Ecoute des communications • Usurpation d'identité, Insertion et rejeu • Déni de service • GSM sur IP : UMA : Unlicensed Mobile Access • Risques : • Exposition du réseau opérateur sur Internet • Déni de service

  27. Terminaux • Peu de sécurisation des terminaux, peu de fonctions de sécurité • Pas de 802.1X • Exemple : test de téléphones VoIP (SIP) sur WiFi • 15 Téléphones testé de 8 fournisseurs • Cisco, • Hitachi, • Utstarcom, • Senao, • Zyxel, • ACT, • MPM, • Clipcomm

  28. Terminaux • Exemple (Suite) : téléphones VoIP (SIP) sur WiFi • Connexion interactive avec telnet ouverte • SNMP read/write avec community name par défaut • Ports de debogage VXworks ouverts en écoute sur le réseau WiFi • Services echo et time ouverts • Connexion interactive rlogin avec authentification basique • Exemple Cisco 7920 • port 7785 Vxworks wdbrpc ouvert • SNMP Read/Write • Réponse de Cisco : • les ports ne peuvent pas être désactivés, la communauté • SNMP ne pas être changée : • tout est codé en dur dans le téléphone...

  29. Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (non VoIP) • Coupure de courant : • Téléphone branché sur le secteur (pas PoE, pas secouru) => plus de téléphone • Serveurs branchés sur le courant secouru mais pas le commutateur devant => problème de commutateur

  30. Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (suite) • Retour du courant : • Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré • Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP ..." • Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné • Seule solution trouvée : débrancher/rebrancher chaque téléphone un par un pour remise en service

  31. Attaques envisageables • Attaques : couches basses • Attaques : implémentations • Attaques : protocoles VoIP • Attaques : téléphones • Autres attaques

  32. Attaques : couches basses • Attaques physiques • Systèmes d'écoute Interception (MITM) : • écoute passive ou modification de flux • Discussion • “Who talks with who” • Sniffing du réseau • Serveurs (SIP, CDR, etc)

  33. Attaques : couches basses • Attaques sur les couches basses : LAN • Accès physique au LAN • Attaques ARP : • ARP spoofing, • ARP cache poisoning • Périphériques non authentifiés (téléphones et serveurs) • Différents niveaux : • adresse MAC, utilisateur, port physique, etc

  34. Attaques : implémentations • Interface d'administration HTTP, de mise à jour TFTP, etc. • Exploits • Vols de session (XSS) • Scripts / injections • Piles TCP/IP • Dénis de services (DoS) • PROTOS

  35. Attaques : protocoles VoIP • Fraude: Spoofing SIP • Call-ID Spoofing • Appropriation des droits d’utilisateur sur le serveur d’authentification • Tags des champs From et To • Replay • Accès au voicemail

  36. Attaques : protocoles VoIP • DoS : Denial of service • Au niveau: • Réseau • Protocole (SIP INVITE) • Systèmes / Applications • Téléphone • Envois illégitimes de paquets SIP INVITE ou BYE • Modification « à la volée » des flux RTP

  37. Attaques : téléphone • (S)IP phone : • Démarrage (Startup) • DHCP, TFTP, etc. • Accès à l’adresse physique • Tables de configuration cachées • Piles TCP/IP • Configuration du constructeur • Trojan horse/rootkit

  38. Attaques : autres • Protocoles secondaires: • DNS : DNS ID spoofing ou DNS cache poisoning • DHCP : DoS, MITM • TFTP : upload d'une configuration (DoS, MITM...) • Autres: • L’élément humain • Systèmes: • La plupart ne sont as sécurisés par défaut • Worms, exploits, Trojan horses

  39. Sécurité préventive • Quelle sécurité préventive? • Sécurité indépendantes de la VoIP • Sécurité propres à la VoIP / ToIP • Calcul du ROI de la VoIP

  40. Quelle sécurité préventive? • Mesure de sécurité, ou protection • Action • Diminue le risque à un niveau acceptable • Action préventive ISO 19011:2002 • Action visant à éliminer une situation indésirable potentielle • Agit en amont de l'incident • Action corrective • Action visant à éliminer une situation indésirable détectée • Agit en aval de l'incident

  41. Quelle sécurité préventive? • Actions préventives ? • Donc réfléchir sans attendre l'incident ! • Identifier se qui compte pour le chef d'entreprise • Réaliser une analyse de risque sur ce qui compte • Appliquer des mesures de sécurité • Avec un rapport qualité/prix réaliste • Afin de réduire les risques à un niveau acceptable

  42. Sécurité indépendante VoIP • Sécurité dans le réseau IP • Sécurité dans le réseau • Liaison • Cloisonnement des VLAN • Filtrage des adresses MAC par port • Protection contre les attaques ARP • Réseau • Contrôle d'accès par filtrage IP • Authentification et chiffrement avec IPsec • Transport • Authentification et chiffrement SSL/TLS

  43. Sécurité indépendante VoIP • Filtrage IP : firewall • Contrôle d'accès réseau • Proactif : • le paquet passe ou le paquet est bloqué • Application de la politique de sécurité de l'organisme

  44. Sécurité indépendante VoIP • Détection d'intrusion (NIDS) • Passif : • le paquet est passé mais finalement il n'aurait pas du, il est malveillant • Faux positifs : • un paquet vu comme malveillant qui est tout à fait légitime • Faux négatif : • un paquet vu comme légitime qui est malveillant

  45. Sécurité indépendante VoIP • Prévention d'intrusion (NIPS) • Combiner l'analyse approfondie de la détection d'intrusion avec la capacité de bloquer du firewall • Actif : certains paquets sont passés, mais pas les suivants : • Limitation de bande passante • TCP Reset / ICMP Unreachable • Toujours des risques de faux positifs / faux négatifs

  46. Sécurité propre à la VoIP • Solutions: • SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité • Limitations: • Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication • Mise en oeuvre de la sécurité => perte des possibilité d'interopérabilités entre fournisseurs

  47. Calcul du ROI • VoIP: Pas de service en plus • Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP • Les service disponibles en VoIP le sont aussi en téléphonie classique • Aucun calcul de ROI ne peut se justifier par la disponibilité de nouveaux services • Intégrer les coûts de la VoIP

  48. ROI : coût du VoIP • Intégrer les coûts de la VoIP • Coûts de câblage • Poste téléphonique IP =>prise ethernet supplémentaire • Difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC • Nécessité des VLANs, avant considérations de sécurité • Informations indispensable au service téléphonique ; N° pièce, n° prise associée à chaque n° de téléphone: • N° de téléphone, @MAC, @IP et n° de prise Ethernet liés • Câblage rapide des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE) • Onduleurs supplémentaires et spécifiques => VoIP/ToIP impose des coûts de câblage élevés

  49. ROI : coût du VoIP • Intégrer les coûts de la VoIP • Services du réseau informatique deviennent des services critiques • DHCP • DNS • Commutateurs • ... • Obligation d’inclure les coûts de mise en oeuvre de la haute-disponibilité • Coûts d'exploitation au quotidien bien plus élevés 24/7, etc

  50. ROI : dégradation du service • Intégrer la dégradation du service due à la VoIP: • Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 % • Taux de disponibilité téléphonie sur IP : ?? • Pas de téléphone pendant plusieurs jours... • Support téléphonique hors-service • Situations antagonistes : réseau en panne => téléphone en panne • Téléphone : principal système d'appel au secours pour la sécurité des personnes

More Related