La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

VoIP (H323,SIP) et s é curit é Kamel HJAIEJ SUPCOM.

Présentations similaires


Présentation au sujet: "VoIP (H323,SIP) et s é curit é Kamel HJAIEJ SUPCOM."— Transcription de la présentation:

1 VoIP (H323,SIP) et s é curit é Kamel HJAIEJ SUPCOM

2 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Sommaire Introduction Bilan de le voip Principaux risques Technologies et risques Eléments de sécurité Exemples dattaques - solutions Conclusion

3 Regional Seminar: VOIP Algers- Algeria 19-20/3/ « La voix sur IP nest pas mature et pose une problématique de sécurité » Hervé Schauer Expert en sécurité Journal du net mai 2004

4 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Introduction Exemples d'usages: Visioconférence, télésurveillance Téléphonie d'entreprise Télécopie Téléphonie sur internet Terminaux : Ordinateur + logiciel Téléphone de bureau Téléphone sans fil WiFi...

5 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Bilan de la VoIP N'est pas équivalent à la téléphonie classique - Signalisation/contrôle et transport de la voix sur le même réseau IP - Perte de la localisation géographique de l'appelant N'offre pas la sécurité à laquelle les utilisateurs étaient habitués - Fiabilité du système téléphonique - Confidentialité des appels téléphoniques - Invulnérabilité du système téléphonique Intrusion, écoute,usurpation didentité, dénis de service etc…

6 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Bilan de la VoIP N'est pas juste Pas d'authentification mutuelle entre les parties par défaut Peu de contrôles d'intégrité des flux, pas de chiffrement Risques d'interception et de routage des appels Falsification des messages d'affichage du numéro renvoyés à l'appelant

7 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Principaux risques (1) classification des principaux risques connus liés à l'utilisation de la VoIP en entreprise : DoS Attaques entraînant l'indisponibilité d'un service/système pour les utilisateurs légitimes. Ecoute clandestine Attaques permettant d'écouter l'ensemble du trafic de signalisation et/ou de données. Le trafic écouté n'est pas modifié. Détournement du trafic Attaques permettant de détourner le trafic au profit de l'attaquant. Le détournement peut consister à rediriger un appel vers une personne illégitime ou à inclure une personne illégitime dans la conversation.

8 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Principaux risques (2) Identité Attaques basées sur la manipulation d'identité (usurpation, …). Vols de services Attaques permettant d'utiliser un service sans avoir à rémunérer son fournisseur. Communications indésirées Attaques permettant à une personne illégitime d'entrer en communication avec un utilisateur légitime.

9 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Liste détaillée des risques DoS Interruption de la communication en cours Empêcher l'établissement de la communication Rendre la communication inaudible Epuisement de ressources Ecoute clandestine Conversation Obtention d'info. sur les propriétés de la communication Obtention d'info. sur le contenu de la communication

10 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Liste détaillée des risques (suite) Détournement du trafic d'appel de signalisation Identité Usurpation d'identité Dissimulation d'identité Vols de services Tromper la taxation Communications indésirées Appel spam Inscriptions dans la liste blanche

11 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Technologies Voix sur IP -----> multitude de protocoles H323 SIP MGCP MEGACO/H.248

12 Regional Seminar: VOIP Algers- Algeria 19-20/3/ H323 Normalisé par l'ITU Protocole similaire au fonctionnement des réseaux téléphonique commutés. Complexe Encore utilisé en coeur de réseau En voie de disparition

13 Regional Seminar: VOIP Algers- Algeria 19-20/3/ H323 Risques Intrusion Ecoute Usurpation d'identité Insertion et rejeu Dénis de service

14 Regional Seminar: VOIP Algers- Algeria 19-20/3/ SIP Protocole similaire à http : Gestion de sessions entre participants SIP : signalisation, et RTP/RTCP/RTSP : données Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc

15 Regional Seminar: VOIP Algers- Algeria 19-20/3/ SIP Risques : Ecoute Usurpation d'identité Insertion et rejeu Déni de service

16 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Eléments de sécurité Les méthodes de sécurisation s'appuient sur les éléments suivants : La sécurité de base : la sécurité de linfrastructure VoIP est fortement liée à la sécurité du réseau IP. Les actions: Mise à jour du software Verrouillage de la configuration (hardphone/softphone)

17 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Eléments de sécurité La séparation des équipements DATA et VoIP permet à elle seule de parer une grande partie des attaques, notamment les attaques concernant lécoute clandestine Les actions: Séparation au niveau IP (layer 3 ) Séparation grâce aux VLAN (layer 2) etc..

18 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Eléments de sécurité Lauthentification permet de sassurer de lidentité des interlocuteurs Les actions: Authentification HTTP Digest des messages SIP Authentification mutuelle

19 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Eléments de sécurité Le chiffrement doit garantir la confidentialité et lintégrité des données échangées Les actions: Chiffrement du flux de signalisation Chiffrement du flux média La sécurité périmétrique permet de protéger le réseau VoIP de lentreprise face aux risques externes Les actions: SBC : Définitions de seuils / Call Admission Control

20 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Solutions Sécurité dans le réseau IP Sécurité propre à la solution de VoIP

21 Regional Seminar: VOIP Algers- Algeria 19-20/3/ S é curit é dans le r é seau IP Liaison Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP Réseau Contrôle d'accès par filtrage IP Authentification et chiffrement Transport Validation du protocole par filtrage, relayage et traduction sur le SBC (Session Border Controller) Authentification et chiffrement SSL/TLS

22 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Sécurit é propre à la solution VoIP - SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité - Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication - Mise en oeuvre de la sécurité -----> perte des possibilité d'interopérabilités entre fournisseurs

23 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Exemples dattaques potentielles NomButDescription DoS en utilisant les messages de requête SIP BYE impact sur la disponibilité Cette attaque permet de couper une communication existante entre deux terminaux. Ecoute clandestine physique impact sur la confidentialité des données Cette attaque a pour but découter ou denregistrer une conversation en cours. Vol de service en utilisant les accréditations de lutilisateur légitime impact sur lintégritéCette attaque a pour but deffectuer des appels gratuits en utilisant les informations dun utilisateur légitime. Appel spamimpact sur lintégrité des données Cette attaque a pour but de jouer un message préenregistré à la personne décrochant le combiné.

24 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Exemples dattaques - solutions Séparation réseaux DATA/VoIP Auth.Chiffrement DoS en utilisant les messages de requête SIP BYE XXX Ecoute clandestine physique XX Vol de service en utilisant les accréditations de lutilisateur légitime XXX Appel spam XX

25 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Conclusion La VoIP est un service en plein expansion dans le monde. Sa qualité est faible surtout dans le cadre de lutilisation de lInternet public. On peut sattendre à une amélioration de cette qualité dans les années à venir mais cela prendra du temps et surtout coûtera beaucoup dargent. Seule une analyse rigoureuse des risques peut garantir le succès de cette infrastructure VoIP appropriée aux besoins et au budget de l'utilisateur.

26 Regional Seminar: VOIP Algers- Algeria 19-20/3/ Bibliographie –Best Practices for VoIP-SIP Security Auteurs:Alistair Doswald (HEIG), Prof. Juergen Ehrensberger (HEIG), Xavier Hahn (HEIG), Prof. Stefano Ventura (HEIG) –VoIP et sécurité Retour d'expérience d'audits de sécurité Hervé Schauer Hervé Schauer CISSP, ProCSSI, ISO Lead Auditor par CISSP, ProCSSI, ISO Lead Auditor par LSTI


Télécharger ppt "VoIP (H323,SIP) et s é curit é Kamel HJAIEJ SUPCOM."

Présentations similaires


Annonces Google