Sécurité Asterisk Attaque & Défense Forum Atena, 5 mai 2011 à l’Epita

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Page d accueil.
Protection du réseau périphérique avec ISA 2004
Client Mac dans un réseau Wifi d’entreprise sécurisé
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
(In)sécurité de la Voix sur IP [VoIP]
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès
Les Firewall DESS Réseaux 2000/2001
Routeurs, services et produits associés pour les PME
Cours d’initiation au réseau IP :
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Firewalling et NAT sous LINUX
Réseaux Privés Virtuels
Xavier Tannier Yann Jacob Sécurite Web.
ToIP avec Asterisk.
DMC-DLO/ octobre 2008 les offres haut débit Résidentiel vs Offres haut débit Pro.
Khalil MIGHRI Yonithan HADDAD
Introduction aux réseaux
SECURITE DU SYSTEME D’INFORMATION (SSI)
Session Initiation Protocol ( SIP ) Symmetric Response Routing
Mauvaise configuration sécurité
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Aurélie MOREAUX & Philippe CHEVAUX
Analyse des protocoles de la couche application
Présentation du stage du 13 Mai au 14 juin
Xavier Tannier Sécurite Web.
Mise en place du routeur DLINK MODELE: DSL-G604T.
Les relations clients - serveurs
Protocole 802.1x serveur radius
Le SMS à votre service Comment utiliser facilement la puissance du SMS … Robert MASSE (KLUGHER.COM)
802.1x Audric PODMILSAK 13 janvier 2009.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Digi_TransportWR44 Mise en Route Mode Opératoire.
Les NAC Network Access Control
L’attaque DNS Spoofing
Pourquoi est-il nécessaire d'installer de nouveaux logiciels sur votre ordinateur ? J'exclus de cette présentation l'installation de nouveaux matériels.
Etude et mise en place d’un Serveur de messagerie Postfix
Réseau Infrastructure Partage ressources Protocole Sécurité.
Expose sur « logiciel teamviewer »
Introduction La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le.
OCSInventory Formation CISCAM 2008.
Gestion à distance Netsh et rcmd.
Jean-Luc Archimbaud CNRS/UREC
Institut Supérieur d’Informatique
1  Pare feu  Antivirus  Chasse aux espions  Anti Spam La Sécurité sur nos ordinateurs PC Zombies : Sur les 600 millions de machines connectées au monde,
SIO SI2 : Support Réseau des Accès Utilisateurs
Répartition des adresses IP
Introduction à la sécurité des interconnexions Internet
Les réseaux sans fil « Scénario N=° 3».
Maxly MADLON Consultant NES
P2pWeb Une boite à outils pour construire un réseau coopératif d’hébergement de site Web –Réseau coopératif réseau physique de nœuds sur l ’Internet réseau.
Business Everywhere – le forfait illimité VPN
LE PARE-FEU AMON. MAI 2002.
La voix sur IP, PABX et LAN
ToIP Wi-Fi/Bluetooth Khalil MIGHRI – Yoni HADDAD Licence pro ASUR 2010.
IPSec Formation.
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Une installation maîtrisée
V- Identification des ordinateurs sur le réseau
Sécurité de la Voix sur IP --- Attaques et défenses
 Aurélien – Ruhi : Routage  Aurélien – Ruhi : Trixbox  Aurélien – Ruhi : Téléphone cellulaire WiFi  Ruhi : Asterisk  Aurélien : Wifi  Conclusion.
Sécurité des Web Services
Gestion d’actifs  Telnet  SSH  Trunk  Vlans  Langage IOS.
Formation diff avancée Ca va être bien ;).  Simplex: Unidirectionel  Full duplex: dans les deux sens  Half duplex: dans les deux sens, mais pas en.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
1 P ROTOCOLE DHCP Dynamic Host Configuration Protocol.
La Voix sur IP.
Transcription de la présentation:

Sécurité Asterisk Attaque & Défense Forum Atena, 5 mai 2011 à l’Epita Conférence : « La place de l'open source sur le marché de la ToIP : bilan et perspectives. » Sécurité Asterisk Attaque & Défense Par Serge CARPENTIER Ingénieur Sécurité Réseau Voix - AGARIK SAS Fondateur d’Asterisk France

Les bonnes questions Les bonnes questions : Quels sont les risques d’une indisponibilité de mon infrastructure Voix ? Combien cela peut-il coûter à l’entreprise ? Par son indisponibilité Informations dérobées (Ex: Conversation ou message vocal) Fraude d’appel Le budget pour la mise en place de la sécurité est-il justifié ? La sécurité mise en place n’est-elle pas exagérée ?

Responsabilité L’attitude à avoir sur la gestion de la sécurité sur une infrastructure doit être ferme & claire.

Level 2 : Grab / Énumération Voici quatre types d’énumération le plus souvent utilisées : Récupérer la version du « Sip User Agent Client » et « Server ». Les extensions des comptes « Souvent utilisé comme compte utilisateur » Les fichiers de configuration des téléphone sur le serveur TFTP « Qui contiennent souvent les Comptes SIP & Password ». Les informations de configuration via SNMP.

Level 2 : Grab / Énumération (Suite II) Deux cas nous intéressent : Le Grab de Bannière L’énumération des Extensions

Level 2 : Grab / Énumération Suite IV) SipViCious : Exemple d’un scan réel

Level 2 : Grab / Énumération (Suite V) http://www.asterisk.org/security L’utilité d’avoir la version de l’instance Asterisk nous permettra de savoir s’il y a des failles connues et de les l’utiliser.

Enumération des comptes SIP Level 2: Enumeration Fin Level 3: Cracking de password Enumération des comptes SIP Lors de cet exercice, le serveur nous retourne un « 404 Not Found » si le compte n’existe pas, sinon celui-ci nous demande le Password. A cet instant SIPVicious sait que le compte existe. Il ne reste plus qu’à utiliser SVCRACK avec un dictionnaire afin de trouver le password du compte.

Level 2: Enumeration Fin Level 3: Cracking de password Des outils sont disponibles pour effectuer les mêmes actions sur des comptes IAX. Exemple: ENUMIAX

Sécurité Asterisk Attaque & Défense Exemple d’une attaque DDoS ToIP Level 4 : Mise en place & Execution

Level 4: Execution

Level 4: Execution La prise de contrôle de serveur VoIP peut permettre plusieurs attaques comme : Prendre le contrôle de plusieurs Comptes VoIP Mettre en place WarVox Mettre en Base tous les numéros à appeler en même temps Attaque DDoS Voix J’ achète un Joli numéro surtaxé et à chaque appel passé je gagne de l’argent J’ appelle gratuitement. Fraude de communications Usurpation d’identité Appeler en changeant sont Caller-id afin de se faire passer pour quelqu’un d’autre. En prenant le contrôle de la machine via une faille Asterisk, toutes les autres attaques traditionnelles sont possibles.

Sécurité Asterisk Attaque & Défense Sécuriser un minimum Sécuriser sa couche d’accès en interne Sécuriser son serveur en Général Sécuriser Asterisk: SIP Sécuriser Asterisk: IAX Sécuriser Asterisk: Dial Plan

Sécuriser sa couche d’accès en interne Sécuriser sa couche d’accès en interne. Petites informations supplémentaires Sécuriser les accès sur les Switchs via 802.1x avec RADIUS ou via du VMPS. Conséquence : Lors d’une @MAC inconnue, l’interface bascule soit dans un VLAN isolé ou alors le port se met en securité. Limiter les nombres d’ @MAC par port de Switch à 2. But: Eviter de faire déborder la table MAC sur le Switch pour que celui-ci, réagisse comme un HUB afin de pouvoir sniffer tous les paquets. Utiliser les fonctions avancées de sécurité sur les Switchs comme : DHCP Snooping (Evite a un Pirate de distribuer des adresses IP avec une autre passerelle et/ou d’autres serveurs DNS. ARP Guard : Va envoyer une alerte à un IPS ou effectuer une action sur le switch, afin d’éviter le Spoofing d’adresse MAC pour effectuer un MiTM.

Sécuriser sa couche d’accès en interne Sécuriser sa couche d’accès en interne. Petites informations supplémentaires Séparer la Voix de la Data dans deux VLAN différents. Utiliser des ACL ou règles de Firewall pour filtrer le Traffic entre les deux VLAN. Limiter le nombre VLAN qui vont transiter sur l’interface du Switch et mettre un vlan Native. Vérifier et maintenir à jour les updates des Switchs ainsi que des téléphones.

Sécuriser son serveur en Général Ne pas exécuter Asterisk en Root Ne pas connecter Asterisk sur Internet directement. Utiliser des firewall Statefull et ne pas ouvrir des ports dans tous les sens. Utiliser Fail2Ban pour bloquer les IP effectuant du Fuzzing. Utiliser IPTABLE afin de filtrer les différents ports et bloquer les IP effectuants des scans. (Ex avec SipScan utiliser cette option : --string "sip-scan" ). Votre vlan Voix n’a pas besoin d’accéder aux différentes interfaces d’administration. Utiliser des instances SBC pour séparer les connexions Interne et Externe. (Cela assurera une séparation entre votre réseau d’entreprise et celui de l’extérieur). Vyatta & OpenSBC par exemple pour interconnecter son ITSP en SIP ou un site distant. Pour les Clients Mobiles (Wifi ou Nomade) utiliser des connexions VPN.

Sécuriser son serveur en Général Vyatta utilise IPTABLE et charge l’option SIPContrack. De l’extérieur on ouvrira seulement le port 5060: Filtrage des scanners SIP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "friendly-scanner" -m udp --dport 5060 -j LOGDROP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "sip-scan" -m udp --dport 5060 -j LOGDROP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "iWar" -m udp --dport 5060 -j LOGDROP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "sipsak" -m udp --dport 5060 -j LOGDROP + = OpenSBC

Sécuriser Asterisk: SIP Activer alwaysauthreject: Asterisk renverra toujours un 401 pour un INVITE ou un REGISTER Passer l’option allowaguest à no Changer son SIPUSERAGENT: ex: useragent=Cisco_IOS12T4 Changer le context par defaut (qui est default) Utiliser l’authentification par Certificat si possible et SIP/TCP/TLS Asterisk 1.8.x : SRTP est en natif Ne Pas utiliser les SDA comme compte SIP, plutot faire une translation par une AGI. Pour les comptes utilisateurs, mettre un call-limit à 2 ou 3. Utiliser un maximum les ACL des comptes SIP.

Sécuriser Asterisk: SIP IAX2 est souvent utilisé pour l’interconnexion de deux sites distants afin d‘économiser les Headers et éviter les problèmes de NAT. Supprimer les exemples de compte IAX. Changer le contexte par defaut Utiliser les clefs RSA pour l’authentification entre deux Asterisk Utiliser les ACL Activer l’encryption AES128 Ne Pas utiliser les SDA comme compte IAX2, plutôt faire une translation par une AGI.

Sécuriser Asterisk: Dial Plan Ne pas utiliser le matching absolu _X.,1,…… Faire DialPlan par élévation de droit d’appel : [CNTX_LOCAL] Comment=Appel locaux et numéros d’urgence [CNTX_FRANCE_NATIONAL] Include => CNTX_LOCAL [CNTX_FRANCE_MOBILE] Include => CNTX_FRANCE_NATIONAL [CNTX_FRANCE_INTERNATIONAL] Include => CNTX_FRANCE_MOBILE Faire correspondre les CallerID pour les services d’entreprises. Exemple : exten => 3361234567890/33140401010,1,VoicemailMain() ….. Nous pouvons aller vraiment très loin.

Les bonnes infos http://www.hackingvoip.com/ Site Asterisk: Site officiel Asterisk : www.asterisk.org Asterisk-France : www.asterisk-france.org Voip-info: http://www.voip-info.org Securité Voix : VoIP SA: http://www.voipsa.org/ NIST : csrc.nist.gov/publications/nistpubs/800.../SP800-58-final.pdf VoIP Abuse Project: http://www.infiltrated.net/voipabuse/ Certification : Sécurité C.E.H & E-CVP http://www.eccouncil.org http://www.hackingvoip.com/

Events Nuit du Hack 2011 http://www.nuitduhack.com/

Votre interlocuteur Vos questions ? Serge Carpentier Ingénieur Sécurité Réseau Voix Agarik 20, rue Dieumegard 93 400 Saint-Ouen Tel +33 (0)1 40 10 58 88 Fax +33 (0)1 40 10 57 90 serge.carpentier@agarik.com Agarik Recrute ? AGARIK, le spécialiste de l’hébergement et de l’infogérance web critique Hébergement – Réseau – Infogérance – Cloud – Sécurité >> www.agarik.com <<