sécurité d’une plateforme voip open source « elastix »

Soutenance du Mémoire de Mastère ProfessionnelSécurité des Systèmes Informatiques communicants et Embarqués

SÉCURITÉ D’UNE PLATEFORME VOIPOPEN SOURCE « ELASTIX »

Réalisé par : Atef SFAR

EL HANCHA Yassine BRAHMI

Encadré par : Dr. Rim AKROUT (ISI) M. Hasen NOURI (2IP)

Année Universitaire : 2015 / 2016

2

Introduction

Concepts de la VoIP

Analyse et critique de l’existant

Mise en œuvre des solutions de sécurité

Conclusion et perspectives

Plan

3

IntroductionOrganisme d’accueil

Créer en 2011 Les fonctions de 2IP :

Installation des Réseaux Informatiques d'entreprises

Intégration des solutions libres

Infogérance et systèmes clés en mains

4

IntroductionContexte du projet 2IP à deux sites:

Tunis (siège) Sfax (filiale)

Vision vers VoIP : Les communications inter-sites sont gratuites Disponibilité permanente Plus de productivités

TunisSfax

5

Introduction

Concepts de la VoIP

Plan

6

VoIP = Voice over Internet Protocol Concepts de la VoIP

Transmettre la voix dans des paquets IP

Convertit les signaux vocaux en signaux digitaux qui voyagent par le protocole Internet

Une solution d'avenir pour les entreprises

7

Architecture de la VoIP Concepts de la VoIP

8

Protocoles de la VoIP Concepts de la VoIP

Les principaux protocoles de la VoIP sont :

SIP : Session Initiation Protocol

RTP : Real-time Transport Protocol

RTCP : Real Time Transport Control Protocol

9

Introduction

Concepts de la VoIP

Analyse et critique de l’existant

Plan

10

Architecture VoIP 2IP Existante Analyse et critique de l’existant

10

Passerelle RTC

Réseaux RTC

BTSInternetFiliale Sfax

Connexion 3G/4G

Routeur ADSL

LAN

Commutateur non administrable

Serv

eur

RAID 0

11

Scan l’architecture VoIP Analyse et critique de l’existant

12

Les vulnérabilités détectées

12

Pas de contrôle d’intégrité et pas de chiffrement

Tentative de connexion illimité ( SIP, SSH, HTTPS, SFTP)

Absence la Haute Disponibilité

Analyse et critique de l’existant

13

Attaque Ecoute Clandestine

ARP Spoofing

Cain and Abel

MAC - E0:CA:94:C9:C3:A4 MAC - E0:CA:94:C9:C3:A5

MAC - E0:CA:94:C9:C3:A6MAC - E0:CA:94:C9:C3:A5

Appelant Appelé

Analyse et critique de l’existant

14

Attaque DoS SIP BYE

Appelant Appelé

BYE

Analyse et critique de l’existant

15

Attaque injection de paquets RTP

1. Conversation Téléphonique

2. Injec

tion Paquets

RTP ( Audio )

3. Conversation Perturbé

l'appelant l'appelé

Analyse et critique de l’existant

16

Introduction

Concepts de la VoIP

Analyse et critique de l’existant

Mise en œuvre de la solution de sécurité

Plan

17

Architecture VoIP sécurisée Mise en œuvre de la solution de la sécurité

1818

ClusterIP virtuelle : 192.168.10.

Z

Agent SIP

Serveur primaire

192.168.10.X

Serveur secondaire

192.168.10.Y

IP virtuelle

IP virtuelle

UDP/

694

192.168.10.XServeur primaire

DRBD

Haute disponibilité

Heartbeat

Mise en œuvre de la solution de la sécurité

1919

Certificat serveur

Certificat client

Certificat client

Réseau IP

SIP-TLS

SIP-T

LS

SRTP

SRTP

TLS

• Authentification du serveur et les clients• Confidentialité et intégrité du flux de signalisation échangé

• Confidentialité, authentification et intégrité des paquets RTP• Protection contre le rejeu des paquets

Mise en œuvre de la solution de la sécurité

2020

Internet

Attaque interne

Attaque externe

LAN

Détection et prévention d’attaques

WAN

pfSense & SNORT Mise en œuvre de la solution de la sécurité

21

VLAN

Serveur VoIP Serveur Messagerie

192.168.10.3 192.168.10.4

192.168.10.10

172.16.20.28

172.16.20.20

172.16.20.25

Commutateur CISCO 2560

Mise en œuvre de la solution de la sécurité

22

VPN site to site Mise en œuvre de la solution de la sécurité

23

Fail2ban & Fail2SQL

BlocageSupervision

NotificationMail

Détection

Fail2Ban&

Fail2SQL

Mise en œuvre de la solution de la sécurité

24

Fail2DisplayGarder une trace des attaques 

Mise en œuvre de la solution de la sécurité

25

Diagramme de composants Mise en œuvre de la solution de la sécurité

26

Fail2Display : Consultation des attaques Mise en œuvre de la solution de la sécurité

27

Fail2Display : Statistique des attaques Mise en œuvre de la solution de la sécurité

28

Fail2Display : Géolocalisation Mise en œuvre de la solution de la sécurité

29

Introduction

Concepts de la VoIP

Analyse et critique de l’existant

Mise en œuvre des solutions de sécurité

Conclusion et perspectives

Plan

30

La sécurité du réseau VoIP n’est pas seulement une nécessité mais plutôt une obligation

Finalisation avec la technologie VoIP « Asterisk » https://github.com/yassinebrahmi/fail2display

Conclusion Conclusion et perspectives

Perspectives Mise en place d’une solution MPLS au lieu de VPN

Intégration d’un serveur de forte authentification « FreeRADIUS »

Merci pour votre attention