La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Atelier e-sécurité La voix sur IP : vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant.

Présentations similaires


Présentation au sujet: "Atelier e-sécurité La voix sur IP : vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant."— Transcription de la présentation:

1 Atelier e-sécurité La voix sur IP : vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant 19 et 20 juin 2006, Hôtel Tour Hassan, Rabat

2 Atelier e-sécurité Plan Introduction Technologies VoIP/ToIP Vulnérabilités Attaques envisageables Sécurité préventive Recommandations

3 Atelier e-sécurité Introduction Enjeux importants Convergence Réseaux Téléphonie / TI PoE (Power over Ethernet) Complexité, Coûts Nouveaux acteurs Opérateurs Entreprises Particuliers Nouveaux usages Visioconférence, Télésurveillance Téléphonie d'entreprise, Télécopie Téléphonie sur Internet, Télévision & radio 3 vendeurs majeurs Provenant du « monde TDM/PSTN » (Time Division Multiplexing, Public Switched Telephone Network) Provenant du « monde IP » « Société spécialisée VoIP »

4 Atelier e-sécurité Introduction Nouvelles infrastructures Terminaux Ordinateur + logiciel Téléphone de bureau Téléphone sans fil WiFi Freebox, Livebox,... Serveurs Équipements dinterconnection Nouveaux risques

5 Atelier e-sécurité Technologies VoIP Signalisation et contrôle Transport Session SIP Protocoles secondaires Architecture Enjeux de la sécurité

6 Atelier e-sécurité Signalisation et contrôle H.323: Caractéristiques: Complexe Transcription IP de l'ISDN similaire au fonctionnement des RTCs Encore utilisé en coeur de réseau Mécanismes de sécurité : H.235 En voie de disparition

7 Atelier e-sécurité Signalisation et contrôle SIP (Session Initiation Protocol): Normalisé par lIETF (RFC 3261), ressemble à HTTP Protocole se transformant en architecture Adresses simples : Extensions propriétaires Gestion de sessions entre participants: End-to-end (entre IP PBX) Inter-AS MPLS VPNs Confiance transitive (Transitive trust) Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc

8 Atelier e-sécurité Signalisation et contrôle MGCP (Media Gateway Control Protocol): Softswitch (CallAgent) MediaGateWay CallAgents->MGW (2427/UDP) MGW->CallAgents (2727/UDP) Utilisé pour contrôler les MGWs AoC (Advise Of Charge) en direction du CPE

9 Atelier e-sécurité Transport Rôle: Encodage, transport, etc. RTP (Real-Time Protocol) : udp Pas de gestion de QoS/bande passante Connectivité : Soit UA UA (risque de fraude), Soit UA MGW UA CODECs ancien: G.711 (PSTN/POTS - 64Kb/s) courant: G.729 (8Kb/s) RTCP (Real-Time Control Protocol) : Protocole de contrôle pour RTP SRTP / SRTCP : équivalents chiffrés

10 Atelier e-sécurité Session SIP 2 composantes: Fonctionnalités: Signalisation (SIP) : la gestion des appels, passe par des serveurs Localisation des utilisateurs Session: Configuration, Négociation Modification, Fermeture Données (RTP/RTCP/RTSP) : la voix, peut passer par le chemin le plus court

11 Atelier e-sécurité Protocoles secondaires DNS : Annuaire et localisation DHCP : Attribution IP/DNS/etc TFTP : Configuration & mise à jour HTTP : Administration ENUM : Correspondance adresses SIP / numéros E.164 en utilisant DNS

12 Atelier e-sécurité Architecture opérateur Internet IP / MPLS CPE VoIP Core OSS/BSS FWFW FWFW DB WEB FW SBCSBC IP PBX SBC CPE PBX H.323/RTP H.323/MGCP/RTP SBCSBC MGW Carrier SIP/RTP H.323/RTP Billing TDM / PSTN MGW FWFW Softswitch - Firewall - Filtrage « Non-stateful » - Filtrage « Stateful » - Filtrage applicatif par couches (Application Layer Gateway filtering - ALGs) - NAT / « firewall piercing » - LAN - Ethernet (routeurs et switches) - xDSL/cable/WiFi - VLANs (données/voix+signalisation) - WAN - Internet - VPN-MPLS - Liaisons spécialisées - MPLS - QoS (Quality de service) - Bande passante -Délai ( ms) -Jitter (<<150ms) - Perte de paquets (1-3%) - Systèmes : - Proxy: SIP - Gestionnaire dappels (Call Manager)/IP PBX - Gestion des utilisateurs et reporting (HTTP, etc) - Recherche des chemins par IP - GK (GateKeeper) : H Serveur dauthentification (Radius) - Serveur de facturation (CDR/billing) - Serveurs DNS, TFTP, DHCP - Passerelle de voix (Voice Gateway: IP-PSTN) - Protocoles de contrôle de passerelles (Gateway Control Protocols) - Signalisation : interface SS7 - Media Gateway Controller - Passerelle de signalisation (Signaling Gateway) - Transport -Passerelle de média (Media Gateway): -conversion audio - VPN cryptés - SSL/TLS - IPsec -Localisation du cryptage (LAN-LAN, téléphone – téléphone...) - Impact sur la QoS - Que va apporter IPv6 ? - Téléphones IP (IP phones): - Téléphones hard-phones « classiques » - Propriétaires - Appliances - Soft-phones / UA (User- agents) - Solutions logicielles - Souples - « Toaster » - Mises à jour / patches - Intelligence - Téléphones IP (IP phones): - Intelligence déplacée du réseau vers léquipement terminal - Flux entre le téléphone et les autres systèmes - SIP, RTP - (T)FTP - CRL - etc.

13 Atelier e-sécurité Architecture: SBC Quel est le rôle d'un SBC ? SBC : Session Border Controllers. Elément clé pour déploiement de softswitch: Solutions intégrées de sécurité. Terminal client IP généralement protégé par un pare- feu et bénéficie dune adresse IP privée. permet de traverser la protection du firewall et les équipements NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et de la signalisation) permet de protéger le softswitch : des « signalling overloads », dattaques en denis de service et dautres attaques rendues possibles en utilisant IP

14 Atelier e-sécurité Architecture: SBC SBC: Autres fonctionnalités: Convertir la signalisation Convertir le flux multimédia (CODEC) Autoriser RTP de manière dynamique Localisation: Il peut être localisé à différents endroits client/opérateur, au sein du réseau client, à l'interface entre deux opérateurs (Peering VoIP)

15 Atelier e-sécurité Enjeux de la sécurité Les Firewalls Le rôle du firewall Les spécificités de la VOIP : la problématique des ports dynamiques, les protocoles parapluie... La translation d'adresse (NAT) Le problème de l'adressage IP : adressage privé, adressage public, évolution IPv6…

16 Atelier e-sécurité Enjeux de la sécurité Les Firewalls NAT et Firewall : les impacts sur la QoS. Les compromis Qualité de Service vs Sécurité.

17 Atelier e-sécurité Vulnérabilité technologique Généralités Vulnérabilité protocolaire Vulnérabilité architecturale Exemples

18 Atelier e-sécurité Généralités VoIP/ToIP nest pas équivalente à la téléphonie classique Signalisation/contrôle et transport de la voix sur le même réseau IP Perte de la localisation géographique de l'appelant

19 Atelier e-sécurité Généralités Stratégie de sécurité différente de celle à laquelle les utilisateurs étaient habitués: Fiabilité du système téléphonique Combien de pannes de téléphone vs pannes informatique? Confidentialité des appels téléphoniques Invulnérabilité du système téléphonique Devenu un système susceptible d'intrusions, vers, etc

20 Atelier e-sécurité Vulnérabilité protocolaire Risque semblables à ceux des réseaux IP: Intrusion, écoute, usurpation d'identité, rejeu, dénis de service, etc. mais Ce nest pas juste « une application IP en plus »

21 Atelier e-sécurité Vulnérabilité protocolaire VoIP nest pas juste « une application IP en plus », car: Pas d'authentification mutuelle entre les parties, Peu de contrôles d'intégrité des flux, pas ou peu de chiffrement Risques d'interception et de routage des appels vers des numéros surfacturés Falsification des messages d'affichage du numéro renvoyés à l'appelant Attaques accessibles à tout informaticien et pas juste aux spécialistes de téléphonie numérique Exemple: Terminaux très fragiles

22 Atelier e-sécurité Vulnérabilité architecturale Combinaison matériel+logiciel (surtout des DSP): Softswitch: généralement dédié à la signalisation MGW (Media Gateway): RTP TDM, SS7oIP SS7 IP-PBX: Softswitch+MGW

23 Atelier e-sécurité Vulnérabilité architecturale Systèmes d'exploitation OS temps réel (QNX/Neutrino, VxWorks, RTLinux) Windows Linux, Solaris Sécurisation par défaut souvent quasi inexistante Gestion des mises à jour : Les OS sont rarement à jour Les mises-à-jour ne sont pas « autorisées »

24 Atelier e-sécurité H323 Intrusion Filtrage quasi-impossible : multiplication des flux, des mécanismes d'établissement d'appel, des extensions à la norme, et transmission des adresses IP au niveau applicatif Ecoute Usurpation d'identité Insertion et rejeu Dénis de service: De par la conception du protocole, pas de détection des boucles, signalisation non fiable, etc

25 Atelier e-sécurité SIP Ecoute Usurpation d'identité Insertion et rejeu Déni de service

26 Atelier e-sécurité Autres Skinny Client Control Protocol (Cisco) : Risques : Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service Multimedia Gateway Control Protocol (MGCP) Risques: Identiques aux autres en entreprise (pas d'expérience d'audit sécurité) Dépendants de la sécurité du boitier ADSL Moins de risques de surfacturation et de déni de service sur le serveur central GSM sur IP : nano BTS Risques : Surfacturation, Ecoute des communications Usurpation d'identité, Insertion et rejeu Déni de service GSM sur IP : UMA : Unlicensed Mobile Access Risques : Exposition du réseau opérateur sur Internet Déni de service

27 Atelier e-sécurité Terminaux Peu de sécurisation des terminaux, peu de fonctions de sécurité Pas de 802.1X Exemple : test de téléphones VoIP (SIP) sur WiFi 15 Téléphones testé de 8 fournisseurs Cisco, Hitachi, Utstarcom, Senao, Zyxel, ACT, MPM, Clipcomm

28 Atelier e-sécurité Terminaux Exemple (Suite) : téléphones VoIP (SIP) sur WiFi Connexion interactive avec telnet ouverte SNMP read/write avec community name par défaut Ports de debogage VXworks ouverts en écoute sur le réseau WiFi Services echo et time ouverts Connexion interactive rlogin avec authentification basique Exemple Cisco 7920 port 7785 Vxworks wdbrpc ouvert SNMP Read/Write Réponse de Cisco : les ports ne peuvent pas être désactivés, la communauté SNMP ne pas être changée : tout est codé en dur dans le téléphone...

29 Atelier e-sécurité Infrastructure Exemple : coupure de courant lors dun audit de sécurité (non VoIP) Coupure de courant : Téléphone branché sur le secteur (pas PoE, pas secouru) => plus de téléphone Serveurs branchés sur le courant secouru mais pas le commutateur devant => problème de commutateur

30 Atelier e-sécurité Infrastructure Exemple : coupure de courant lors dun audit de sécurité (suite) Retour du courant : Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP..." Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné Seule solution trouvée : débrancher/rebrancher chaque téléphone un par un pour remise en service

31 Atelier e-sécurité Attaques envisageables Attaques : couches basses Attaques : implémentations Attaques : protocoles VoIP Attaques : téléphones Autres attaques

32 Atelier e-sécurité Attaques : couches basses Attaques physiques Systèmes d'écoute Interception (MITM) : écoute passive ou modification de flux Discussion Who talks with who Sniffing du réseau Serveurs (SIP, CDR, etc)

33 Atelier e-sécurité Attaques : couches basses Attaques sur les couches basses : LAN Accès physique au LAN Attaques ARP : ARP spoofing, ARP cache poisoning Périphériques non authentifiés (téléphones et serveurs) Différents niveaux : adresse MAC, utilisateur, port physique, etc

34 Atelier e-sécurité Attaques : implémentations Interface d'administration HTTP, de mise à jour TFTP, etc. Exploits Vols de session (XSS) Scripts / injections Piles TCP/IP Dénis de services (DoS) PROTOS

35 Atelier e-sécurité Attaques : protocoles VoIP Fraude: Spoofing SIP Call-ID Spoofing Appropriation des droits dutilisateur sur le serveur dauthentification Tags des champs From et To Replay Accès au voic

36 Atelier e-sécurité Attaques : protocoles VoIP DoS : Denial of service Au niveau: Réseau Protocole (SIP INVITE) Systèmes / Applications Téléphone Envois illégitimes de paquets SIP INVITE ou BYE Modification « à la volée » des flux RTP

37 Atelier e-sécurité Attaques : téléphone (S)IP phone : Démarrage (Startup) DHCP, TFTP, etc. Accès à ladresse physique Tables de configuration cachées Piles TCP/IP Configuration du constructeur Trojan horse/rootkit

38 Atelier e-sécurité Attaques : autres Protocoles secondaires: DNS : DNS ID spoofing ou DNS cache poisoning DHCP : DoS, MITM TFTP : upload d'une configuration (DoS, MITM...) Autres: Lélément humain Systèmes: La plupart ne sont as sécurisés par défaut Worms, exploits, Trojan horses

39 Atelier e-sécurité Sécurité préventive Quelle sécurité préventive? Sécurité indépendantes de la VoIP Sécurité propres à la VoIP / ToIP Calcul du ROI de la VoIP

40 Atelier e-sécurité Quelle sécurité préventive? Mesure de sécurité, ou protection Action Diminue le risque à un niveau acceptable Action préventive ISO 19011:2002 Action visant à éliminer une situation indésirable potentielle Agit en amont de l'incident Action corrective Action visant à éliminer une situation indésirable détectée Agit en aval de l'incident

41 Atelier e-sécurité Quelle sécurité préventive? Actions préventives ? Donc réfléchir sans attendre l'incident ! Identifier se qui compte pour le chef d'entreprise Réaliser une analyse de risque sur ce qui compte Appliquer des mesures de sécurité Avec un rapport qualité/prix réaliste Afin de réduire les risques à un niveau acceptable

42 Atelier e-sécurité Sécurité indépendante VoIP Sécurité dans le réseau IP Sécurité dans le réseau Liaison Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP Réseau Contrôle d'accès par filtrage IP Authentification et chiffrement avec IPsec Transport Authentification et chiffrement SSL/TLS

43 Atelier e-sécurité Sécurité indépendante VoIP Filtrage IP : firewall Contrôle d'accès réseau Proactif : le paquet passe ou le paquet est bloqué Application de la politique de sécurité de l'organisme

44 Atelier e-sécurité Sécurité indépendante VoIP Détection d'intrusion (NIDS) Passif : le paquet est passé mais finalement il n'aurait pas du, il est malveillant Faux positifs : un paquet vu comme malveillant qui est tout à fait légitime Faux négatif : un paquet vu comme légitime qui est malveillant

45 Atelier e-sécurité Sécurité indépendante VoIP Prévention d'intrusion (NIPS) Combiner l'analyse approfondie de la détection d'intrusion avec la capacité de bloquer du firewall Actif : certains paquets sont passés, mais pas les suivants : Limitation de bande passante TCP Reset / ICMP Unreachable Toujours des risques de faux positifs / faux négatifs

46 Atelier e-sécurité Sécurité propre à la VoIP Solutions: SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité Limitations: Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication Mise en oeuvre de la sécurité => perte des possibilité d'interopérabilités entre fournisseurs

47 Atelier e-sécurité Calcul du ROI VoIP: Pas de service en plus Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP Les service disponibles en VoIP le sont aussi en téléphonie classique Aucun calcul de ROI ne peut se justifier par la disponibilité de nouveaux services Intégrer les coûts de la VoIP

48 Atelier e-sécurité ROI : coût du VoIP Intégrer les coûts de la VoIP Coûts de câblage Poste téléphonique IP =>prise ethernet supplémentaire Difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC Nécessité des VLANs, avant considérations de sécurité Informations indispensable au service téléphonique ; N° pièce, n° prise associée à chaque n° de téléphone: N° et n° de prise Ethernet liés Câblage rapide des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE) Onduleurs supplémentaires et spécifiques => VoIP/ToIP impose des coûts de câblage élevés

49 Atelier e-sécurité ROI : coût du VoIP Intégrer les coûts de la VoIP Services du réseau informatique deviennent des services critiques DHCP DNS Commutateurs... Obligation dinclure les coûts de mise en oeuvre de la haute-disponibilité Coûts d'exploitation au quotidien bien plus élevés 24/7, etc

50 Atelier e-sécurité ROI : dégradation du service Intégrer la dégradation du service due à la VoIP: Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 % Taux de disponibilité téléphonie sur IP : ?? Pas de téléphone pendant plusieurs jours... Support téléphonique hors-service Situations antagonistes : réseau en panne => téléphone en panne Téléphone : principal système d'appel au secours pour la sécurité des personnes

51 Atelier e-sécurité ROI : autres facteurs Valider au préalable la réalité des fonctionnalités : Fonctionnalités prix du Poste entrée de gamme Fonctionnalités de sécurité imposant un changement de tous les postes téléphoniques Valider au préalable la robustesse de tous les équipements choisis Analyser les risques Peu de gens font une analyse de risques sur leur projet VoIP. Pourquoi ?

52 Atelier e-sécurité Recommandations Actuellement, voix sur IP danger Mécanismes de détection Sécurisation des couches basses Utilisation de TLS pour la signalisation SIP Identification des clients et du serveur Protocole de gestion de clefs VoIP : MiKEY Encapsulé dans SIP PSK (Pre-shared key), Diffie-hellman, PKI

53 Atelier e-sécurité Recommandations Couche réseau: QoS [LLQ] (and rate-limit) Firewall: application level filtering Téléphones IP certifiés par leurs producteurs Sécurisation des couches hautes Utilisation de SRTP/SRTCP Sécurisation des échanges DNS : DNSSec Utilisation de tunnels IPSec en remplacement des solutions précédentes Projet 3P: project, security processes and policies

54 Atelier e-sécurité Perspectives VoWLAN Utilisation de PDA / Laptop : téléphonie mobile Problèmes classiques du WiFi Utilisation d'un protocole de mobilité pour couvrir de grandes distances (IAPP) Choix judicieux des CODECs (PCM, GSM...)

55 Atelier e-sécurité Recommandations Exemple de solution sécurisée :

56 Atelier e-sécurité Recommandations Limites: QoS, bande-passante... Qualité de la voix : choix important des CODECs Temps d'établissement Compromis utilisation / complexité IPsec parfois trop lourd : restriction possible aux protocoles utilisés Ne pas se limiter aux protocoles VoIP, au réseau: clients (UA), serveurs (soft switch, call manager, DHCP/TFTP), détection de fraude, etc. Ni aux aspects techniques: ingénierie, opérations, support, etc, comment les répartir?

57 Atelier e-sécurité Recommandations Téléphonie & DSI: Téléphonie doit entrer suivre la Direction des Systèmes d'Information (DSI) Ne peut rester aux services administratifs Téléphonistes doivent intégrer la DSI Leurs compétences en téléphonie sont indispensables au déploiement de la VoIP VoIP / ToIP = intérêt futur proche des fournisseurs : Passage à la VoIP se fera un jour de gré ou de force

58 Atelier e-sécurité Conclusion VoIP : Technologie encore jeune Étude fine des solutions précède déploiement Désormais accessible aux particuliers (Skype..) Sécurité au coeur de la problématique La VoIP / ToIP relance l'insécurité Sécurité au niveau réseau Réponse partielle mais nécessaire Difficile à mettre en oeuvre Mécanismes de sécurité propriétaires proposés par les constructeurs : Seule réponse satisfaisante en matière de sécurité Très rarement mis en oeuvre ROI négligé


Télécharger ppt "Atelier e-sécurité La voix sur IP : vulnérabilités, menaces, et sécurité préventive M.D. El Kettani, Docteur Ingénieur Professeur (LAGI ENSIAS) Consultant."

Présentations similaires


Annonces Google