D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes the confidential nature of its content and his or her engagement not to reproduce it, not to transmit it to a third party, not to reveal its content and not to use it for commercial purposes without previous FTR&D written consent. Étude des problèmes de sécurité liés au protocole SIP Mohamed BOUCADAIR France Telecom R&D

Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Plan

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Étude du protocole SIP et de son architecture o Détailler le fonctionnement du protocole o Les entités et les équipements de communication mises en jeu o Les mécanismes détablissement dun appel o Les mécanismes denregistrement dans un Location Server, Rigistrar o La nature des messages envoyés o Les protocoles au-dessus desquels fonctionne Identifier les besoins et les failles de sécurité SIP o Sécurité des équipements utilisés dans larchitecture o La communication entre deux équipements o Laccès à distance o Lauthentification o Sécurité des données o Intégrité o Authentification et confidentialité o DOS (déni de service) o Fraude au niveau tarification (si existence dun modèle de Billing) Proposer des solutions et des parades o Solutions niveau équipements o Niveau accès à distance (configuration, cas de pannes…) o Niveau communication avec les autres équipements o Solutions niveau données o Mécanismes dauthentification o Mécanismes de protection de données o Mécanismes de protection tarifaire Valider les scénarii identifiés o Mise en œuvre des attaques respectives aux scénarii identifiés

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Le protocole SIP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Session Initiation Protocol (SIP) Développé au sein du Group MMUSIC de l IETF Proposed standard RFC2543, Février 1999 Les travaux ont commencés en 1995 Fait partie du Internet Multimedia Conferencing Suite Fonctions de base : toutes les fonctions dun protocole de signalisation Inviter les utilisateurs à une session Localiser les utilisateurs Contient la description des sessions Modifier une session Terminer une session

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Les entités SIP User Agent Client (UAC) Envoie des requêtes SIP User Agent Server (UAS) Écoute les requêtes dappel Répond aux requêtes User Agent UAC plus UAS

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Les entités SIP(2) Redirect Server Re-diriger les requêtes vers dautres serveurs Proxy Server « fork » les requêtes Relie les utilisateurs Registrar Enregistre les adresses des utilisateurs

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Architecture SIP Proxy SIP Passerelle SIP PBX RTC RTP Serveur de localisation SIP Serveur de re-direction SIP Client SIP Réseau IP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Les commandes SIP INVITE ACK OPTIONS BYE CANCEL REGISTER

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Fonctions dun proxy SIP Services de routage Authentification et autorisation Logging/Billing Traversée des firewall/NAT Load Balancing

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Exemple dappel SIP Conversation INVITE Via : Server Localisation de « gres2001 » INVITE Via : Via : 200 OK Via : Via : 200 OK Via : ACK Via : ACK Via : Via :

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Problèmes de sécurité SIP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Objectifs de létude sécurité SIP è S'assurer que l'information produite par un utilisateur est convenablement protégée contre l'abus ou le détournement è S'assurer que les ressources et les services sont protégés contre l'abus ou le détournement è S'assurer que les dispositifs de sécurité normalisés sont compatibles è S'assurer que le niveau de la protection est meilleur ou semblable à celui fourni dans les réseaux fixes et mobiles

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D État des systèmes actuels Authentification Chiffrement Hide – Route Résumé BesoinSignalisationFlux média AuthentificationDe bout en bout Nœud à nœud Non prévue IntégritéDe bout en bout Nœud à nœud Non prévue Non-répudiationNon prévue ConfidentialitéDe bout en bout Nœud à nœud De bout en bout Nœud à nœud Contrôle daccèsNon prévue

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Catégories de risques Vol de service Disponibilité de service Lintégrité des messages Lusurpation d'identité

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Modalités Les messages interceptés Récupérer le CALL-ID Récupérer le CALL-LEG Les faux messages Le faux BYE, ayant pour résultat l'arrêt de l'appel. Le faux CANCEL (spoofing) ayant pour résultat l'arrêt de INVITE Le faux ACK (Spoofing ) permettant le détournement de l'appel Des messages incorrects répétés indéfiniment Déni de service et le flooding Attaques de la mémoire tampon (overrun/stack) Média intercepté Récupérer les informations sur le port RTP utilisé Récupérer ladresse IP, numéro du port Récupérer le contenu de la charge utile. Médias non-désirés ou faux Difficultés de construire des règles dynamiques pour les firewalls

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Exemples de scénarios A appelle B prétendant être C. A appelle B, et dés que lappel est établi C envoie un message BYE à A ou à B. A appelle B; au moment dattente de la sonnerie, C envoie un message CANCEL à B ; A appelle B ; B envoie alors un message ACK ; C envoie aussi un faux ACK avec son propre adresse IP/numéro de port ; quand A envoie à son tours ACK, il est ignoré par B et C fait partie de la conversation C envoie des faux INVITE causant un déni de service, le téléphone sonne toujours Un faux proxy, envoie un OK mais efface lenregistrement lors dun enregistrement multicast, et alors l utilisateur ne reçoit plus dappels.

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Exemples dattaques sur les entités SIP Proxy SIP Serveur de localisation SIP Serveur de re-direction SIP Client SIP Réseau IP è Déni de service ‡ Dépassement de la pile par lenvoi de longues requêtes ‡ Utilisation des logiciels de contrôle à distance è Attaques ‡ Hijacking dune session TCP vers le téléphone IP ceci étant possible si une des conditions suivantes est vérifiée : Lalgorithme de génération de CALL-ID est cryptographiquement faible. Si la session de gestion nest pas suffisamment protégée ‡ La brute force pour accéder au mot de passe de ladministration La longueur du mot de passe est inférieur à 6 caractères Utilisation des logiciels daccès à distance è Déni de service ‡ SYN-flooding ‡ Enregistrement périodique des utilisateurs è Attaques ‡ Modification des données denregistrement Effacer des enregistrements Enregistrer un utilisateur avec une nouvelle adresse IP eu une nouvelles URL Redirection dun utilisateur vers une autre adresse Enregistrement illégale –Enregistre un utilisateur avec une fausse adresse –Rediriger tous les appels dont le destinataire est choisi vers une autre adresse

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Causes identifiées INVITE a pour effet le non établissement de lappel, ou changement de session INVITE avec une temporisation qui a pour effet le time-out de la session existante BYE rend la session interminable CANCEL empêche la sonnerie du téléphone OPTIONS n affecte pas lappel REGISTER induit la non réception des appels

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Problèmes de sécurité SIP Le forking Lauthentification par plusieurs proxies Lattaque par réflexion Problèmes de REGISTER Problèmes de CANCEL Le routage

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Besoins de sécurité BesoinAttaque ObjectifCible Confidentialité Assurer lintimité des appelés et les appelant Données de contrôle Flux média Intégrité Assurer lexactitude des information de contrôle (taxation, facturation, routage…) Données de contrôle Authentification Sassurer de lidentité des parties communicantes Flux de contrôle Les composants du réseau SIP Le système PKI Contrôle daccès Qui est autorisé à accéder au système ? Quelle partie du système ? Les composants du réseau SIP Non- répudiation Mécanisme de relation entre utilisateur et fournisseur daccès Données de contrôle PKI Les composants du réseau SIP Eavesdrooping Attaques par rejeu hijacking spoofing Accès non autorisé fraude

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Firewalls, NAT et SIP Firewalls Problèmes dadministration Impossibilité de définir des règles statiques NAT SIP utilise ladresse IP et le numéro de port dans ses champs (VIA,CONTACT, FROM..) SIP utilise SDP SIP utilise ICMP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Routage, multicast et SIP Routage Multicast Difficulté de distinguer une réponse à une requête multicast selle est une réponse à une requête ou début dune session

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Design des outils dattaque

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Design des outils SIP Utilise les bibliothèques suivantes Vovida DynamicSoft Les attaques possibles Déni de service dun proxy SIP: par envoi des demande REGISTER Déni de téléphone SIP: envoi des INVITE Spoofing dadresses Interaction entre un serveur RADIUS et un proxy SIP

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Conclusions

France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D Conclusions Létat de la norme SIP est encore instable Encore besoin de plus deffort de normalisation SIP nest pas mieux quH.323 niveau sécuité