D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes the confidential nature of its content and his or her engagement not to reproduce it, not to transmit it to a third party, not to reveal its content and not to use it for commercial purposes without previous FTR&D written consent. Propositions de solutions aux problèmes de sécurité SIP Mohamed BOUCADAIR France Telecom R&D
Diffusion of this document is subject to France Telecom authorization D2 - 26/07/01 NAT et firewall Il existe trois types de solutions Celles qui tentent de garder linfrastructure existante et de traverser les dispositifs qui posent des problèmes ALG MGCP Celles qui introduisent dautres entités de contrôle RSIP MIDCOM Celles qui mettent à jour la partie logicielle des dispositifs en question
France Telecom R&D Diffusion of this document is subject to France Telecom authorization D3 - 26/07/01 NAT et firewall è ALG è RSIP è MGCP è Proxy Agent è MidCom è ALG è RSIP è MGCP è Proxy Agent è MidCom è ALG è RSIP è MGCP è Proxy Agent è MidCom è ALG è RSIP è MGCP è Proxy Agent è MidCom è Les ALG sont des agents spécifiques de traduction de protocoles è Champs à modifier è Tout champ contenant une adresse IP et le numéro de port è Avantage de la solution: è Filtre les mauvais messages et les messages qui nont pas de destinataires è Inconvénients è Ne peut pas manipuler des données chiffrés è Permet à nimport quelle machine denvoyer des messages SIP è Le multicast è RSIP est une architecture client serveur de translation dadresses è RSIP support la sécurisation de bout en bout et en loccurrence IPsec è Avantages de RSIP è La possibilité de chiffrer les données è inconvénient è Ne dispose pas de fonction de test de message SIP è Solutions è ALG pour valider les messages è RSIP pour la translation dadresses è Cette solution consiste à introduire un proxy RTP è Le proxy SIP contrôle le proxy RTP via MGCP è La procédure è Le proxy SIP ouvre une connexion MGCP avec le proxy RTP è Se renseigne sur le port RTP utilisé è Avantage de la solution è Renseignements suffisant pour le contrôle des flux è Inconvénient è Introduit un nouveau élément è Le proxy SIP peut être indécis! è Cette solution permet la traversée des firewalls è On intègre dans le terminal SIP un proxy agent (PIA) è Les numéros de port utilisés sont configurés via le PIA è Lors de létablissement dun appel, on envoie une commande INVITE+PORTS è Avantages è Les numéros de port sont connus pour les firewalls è Inconvénients è Le PIA est sensibles aux attaques par DOS
France Telecom R&D Diffusion of this document is subject to France Telecom authorization D4 - 26/07/01 Solutions des autres problèmes Les autres problèmes sont Les attaques par réflexion Le problème du forking La protection des flux RTP La gestion des clefs La sécurisation nœud à noeud
France Telecom R&D Diffusion of this document is subject to France Telecom authorization D5 - 26/07/01 ProblèmeSolutions Attaques par réflexionPGP Le forkingSignature numérique Mémoriser le CALL-ID La gestion des clefs1 ère solutionDiffie –Helman pour SDP PGP pour authentifier les messages SIP 2 ème solutionIKE 3 ème solutionKerberos Flux RTPSRTP Solutions des autres problèmes
France Telecom R&D Diffusion of this document is subject to France Telecom authorization D6 - 26/07/01 Solutions des autres problèmes Les solutions possibles IPSec ( mode ESP) : chiffrement nœud à nœud TLS: chiffrement des données Kerberos: authentification SRTP: protection des flux RTP
France Telecom R&D Diffusion of this document is subject to France Telecom authorization D7 - 26/07/01 Conclusions Le protocole SIP souffre de lacunes de sécurité à résoudre H.235 pour SIP!!