D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes.

Slides:



Advertisements
Présentations similaires
MIGRATITION VERS LE RESEAU NGN
Advertisements

L’Essentiel sur… La sécurité de la VoIP
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
NGN : Opportunités pour le développement de la Voix sur IP
VoIP (H323,SIP) et sécurité
Protocole PPP* *Point-to-Point Protocol.
Firewall sous Linux Netfilter / iptables.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
P2PSIP Option SER 2010.
RFC 3581 “An extension to the Session Initiation Protocole for Symetric Response Routing”
DUDIN Aymeric MARINO Andrès
La Téléphonie sur IP Broussard Philippe Lagrue Sandra DESS IIR
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
La voix sur IP Quoi de neuf? Du rêve à la réalité …
Le Protocole SIP (Session Initiation Protocol)
Vue d'ensemble Implémentation de la sécurité IPSec
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes.
Réseaux Privés Virtuels
Authentification contre Masquarade
Xavier Tannier Yann Jacob Sécurite Web.
D1 - 01/03/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire.
La Voix sur IP.
SIP (Session Initiation Protocol) & H.323
SECURITE DU SYSTEME D’INFORMATION (SSI)
Session Initiation Protocol ( SIP ) Symmetric Response Routing
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Présenté par : Albéric Martel Fabien Dezempte 1.
Xavier Tannier Sécurite Web.
Mise en place d'un serveur SSL
Les relations clients - serveurs
Protocole 802.1x serveur radius
802.1x Audric PODMILSAK 13 janvier 2009.
MIDI Sans Frontières Analyse des problèmes relatifs à la communication musicale sur IP Mémoire présenté en vue de lobtention du grade de Licencié en informatique.
D1 - 09/06/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire.
Techniques de fiabilisation de SIP
Introduction à l’architecture de l’Internet
La sécurité dans les réseaux mobiles Ad hoc
L’attaque DNS Spoofing
SECURITE DES RESEAUX WIFI
SIP : un protocole de convergence d’architecture IP/RTC
(Nom du fichier) - D1 - 01/03/2000 France Télécom R&D Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation.
Les listes de contrôle d’accès
Les chartes d’établissements
Les techniques de transfert
28/01/2008 Mobile VoIP « Un protocole de haut niveau pour les applications temps réel » Ngoné DIOP Remarques générales : Présenter un minimum de diapositives.
Maxly MADLON Consultant NES
WELCOME. COPYRIGHT © 2012 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED. Solutions de communications pour PMEs OmniTouch™ 8600 My IC Mobile pour IPhone.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Sécurité et Internet Formation.
Réseaux Informatiques
IPSec Formation.
© 2007 Global Knowledge Network, Inc. All rights reserved. Contains proprietary and confidential information. Do not distribute. 1 Module 21 S.I.P. Module.
L’authentification Kerberos
État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP FI Option RIO le 28/09/2004 Claire.
OmniPCX Office RCE Règles de sécurité R.SINS
Youssef BOKHABRINE – Ludovic MULVENA
V- Identification des ordinateurs sur le réseau
Sécurité de la Voix sur IP --- Attaques et défenses
 Aurélien – Ruhi : Routage  Aurélien – Ruhi : Trixbox  Aurélien – Ruhi : Téléphone cellulaire WiFi  Ruhi : Asterisk  Aurélien : Wifi  Conclusion.
Fonctionnalité et protocole des couches applicatives
Les fonctionnalités de base des réseaux
Formation SIP-IMS 1ère partie : SIP
Initiation au réseau GSM
Sécurité des Web Services
Comprendre la redondance de la couche 3
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
La Voix sur IP.
Transcription de la présentation:

D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes the confidential nature of its content and his or her engagement not to reproduce it, not to transmit it to a third party, not to reveal its content and not to use it for commercial purposes without previous FTR&D written consent. Étude des problèmes de sécurité liés au protocole SIP Mohamed BOUCADAIR France Telecom R&D

Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Plan

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Étude du protocole SIP et de son architecture o Détailler le fonctionnement du protocole o Les entités et les équipements de communication mises en jeu o Les mécanismes détablissement dun appel o Les mécanismes denregistrement dans un Location Server, Rigistrar o La nature des messages envoyés o Les protocoles au-dessus desquels fonctionne Identifier les besoins et les failles de sécurité SIP o Sécurité des équipements utilisés dans larchitecture o La communication entre deux équipements o Laccès à distance o Lauthentification o Sécurité des données o Intégrité o Authentification et confidentialité o DOS (déni de service) o Fraude au niveau tarification (si existence dun modèle de Billing) Proposer des solutions et des parades o Solutions niveau équipements o Niveau accès à distance (configuration, cas de pannes…) o Niveau communication avec les autres équipements o Solutions niveau données o Mécanismes dauthentification o Mécanismes de protection de données o Mécanismes de protection tarifaire Valider les scénarii identifiés o Mise en œuvre des attaques respectives aux scénarii identifiés

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Le protocole SIP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Session Initiation Protocol (SIP) Développé au sein du Group MMUSIC de l IETF Proposed standard RFC2543, Février 1999 Les travaux ont commencés en 1995 Fait partie du Internet Multimedia Conferencing Suite Fonctions de base : toutes les fonctions dun protocole de signalisation Inviter les utilisateurs à une session Localiser les utilisateurs Contient la description des sessions Modifier une session Terminer une session

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Les entités SIP User Agent Client (UAC) Envoie des requêtes SIP User Agent Server (UAS) Écoute les requêtes dappel Répond aux requêtes User Agent UAC plus UAS

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Les entités SIP(2) Redirect Server Re-diriger les requêtes vers dautres serveurs Proxy Server « fork » les requêtes Relie les utilisateurs Registrar Enregistre les adresses des utilisateurs

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Architecture SIP Proxy SIP Passerelle SIP PBX RTC RTP Serveur de localisation SIP Serveur de re-direction SIP Client SIP Réseau IP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Les commandes SIP INVITE ACK OPTIONS BYE CANCEL REGISTER

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Fonctions dun proxy SIP Services de routage Authentification et autorisation Logging/Billing Traversée des firewall/NAT Load Balancing

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Exemple dappel SIP Conversation INVITE Via : Server Localisation de « gres2001 » INVITE Via : Via : 200 OK Via : Via : 200 OK Via : ACK Via : ACK Via : Via :

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Problèmes de sécurité SIP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Objectifs de létude sécurité SIP è S'assurer que l'information produite par un utilisateur est convenablement protégée contre l'abus ou le détournement è S'assurer que les ressources et les services sont protégés contre l'abus ou le détournement è S'assurer que les dispositifs de sécurité normalisés sont compatibles è S'assurer que le niveau de la protection est meilleur ou semblable à celui fourni dans les réseaux fixes et mobiles

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D État des systèmes actuels Authentification Chiffrement Hide – Route Résumé BesoinSignalisationFlux média AuthentificationDe bout en bout Nœud à nœud Non prévue IntégritéDe bout en bout Nœud à nœud Non prévue Non-répudiationNon prévue ConfidentialitéDe bout en bout Nœud à nœud De bout en bout Nœud à nœud Contrôle daccèsNon prévue

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Catégories de risques Vol de service Disponibilité de service Lintégrité des messages Lusurpation d'identité

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Modalités Les messages interceptés Récupérer le CALL-ID Récupérer le CALL-LEG Les faux messages Le faux BYE, ayant pour résultat l'arrêt de l'appel. Le faux CANCEL (spoofing) ayant pour résultat l'arrêt de INVITE Le faux ACK (Spoofing ) permettant le détournement de l'appel Des messages incorrects répétés indéfiniment Déni de service et le flooding Attaques de la mémoire tampon (overrun/stack) Média intercepté Récupérer les informations sur le port RTP utilisé Récupérer ladresse IP, numéro du port Récupérer le contenu de la charge utile. Médias non-désirés ou faux Difficultés de construire des règles dynamiques pour les firewalls

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Exemples de scénarios A appelle B prétendant être C. A appelle B, et dés que lappel est établi C envoie un message BYE à A ou à B. A appelle B; au moment dattente de la sonnerie, C envoie un message CANCEL à B ; A appelle B ; B envoie alors un message ACK ; C envoie aussi un faux ACK avec son propre adresse IP/numéro de port ; quand A envoie à son tours ACK, il est ignoré par B et C fait partie de la conversation C envoie des faux INVITE causant un déni de service, le téléphone sonne toujours Un faux proxy, envoie un OK mais efface lenregistrement lors dun enregistrement multicast, et alors l utilisateur ne reçoit plus dappels.

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Exemples dattaques sur les entités SIP Proxy SIP Serveur de localisation SIP Serveur de re-direction SIP Client SIP Réseau IP è Déni de service ‡ Dépassement de la pile par lenvoi de longues requêtes ‡ Utilisation des logiciels de contrôle à distance è Attaques ‡ Hijacking dune session TCP vers le téléphone IP ceci étant possible si une des conditions suivantes est vérifiée : Lalgorithme de génération de CALL-ID est cryptographiquement faible. Si la session de gestion nest pas suffisamment protégée ‡ La brute force pour accéder au mot de passe de ladministration La longueur du mot de passe est inférieur à 6 caractères Utilisation des logiciels daccès à distance è Déni de service ‡ SYN-flooding ‡ Enregistrement périodique des utilisateurs è Attaques ‡ Modification des données denregistrement Effacer des enregistrements Enregistrer un utilisateur avec une nouvelle adresse IP eu une nouvelles URL Redirection dun utilisateur vers une autre adresse Enregistrement illégale –Enregistre un utilisateur avec une fausse adresse –Rediriger tous les appels dont le destinataire est choisi vers une autre adresse

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Causes identifiées INVITE a pour effet le non établissement de lappel, ou changement de session INVITE avec une temporisation qui a pour effet le time-out de la session existante BYE rend la session interminable CANCEL empêche la sonnerie du téléphone OPTIONS n affecte pas lappel REGISTER induit la non réception des appels

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Problèmes de sécurité SIP Le forking Lauthentification par plusieurs proxies Lattaque par réflexion Problèmes de REGISTER Problèmes de CANCEL Le routage

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Besoins de sécurité BesoinAttaque ObjectifCible Confidentialité Assurer lintimité des appelés et les appelant Données de contrôle Flux média Intégrité Assurer lexactitude des information de contrôle (taxation, facturation, routage…) Données de contrôle Authentification Sassurer de lidentité des parties communicantes Flux de contrôle Les composants du réseau SIP Le système PKI Contrôle daccès Qui est autorisé à accéder au système ? Quelle partie du système ? Les composants du réseau SIP Non- répudiation Mécanisme de relation entre utilisateur et fournisseur daccès Données de contrôle PKI Les composants du réseau SIP Eavesdrooping Attaques par rejeu hijacking spoofing Accès non autorisé fraude

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Firewalls, NAT et SIP Firewalls Problèmes dadministration Impossibilité de définir des règles statiques NAT SIP utilise ladresse IP et le numéro de port dans ses champs (VIA,CONTACT, FROM..) SIP utilise SDP SIP utilise ICMP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Routage, multicast et SIP Routage Multicast Difficulté de distinguer une réponse à une requête multicast selle est une réponse à une requête ou début dune session

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Design des outils dattaque

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Design des outils SIP Utilise les bibliothèques suivantes Vovida DynamicSoft Les attaques possibles Déni de service dun proxy SIP: par envoi des demande REGISTER Déni de téléphone SIP: envoi des INVITE Spoofing dadresses Interaction entre un serveur RADIUS et un proxy SIP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Conclusions

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Conclusions Létat de la norme SIP est encore instable Encore besoin de plus deffort de normalisation SIP nest pas mieux quH.323 niveau sécuité