atelier e-sécurité la voix sur ip : vulnérabilités, menaces, et sécurité préventive m.d. el...
TRANSCRIPT
Ate
lier
e-s
écur
ité
La voix sur IP : vulnérabilités, menaces, et sécurité préventive
M.D. El Kettani, Docteur IngénieurProfesseur (LAGI ENSIAS)[email protected]
19 et 20 juin 2006, Hôtel Tour Hassan, Rabat
Ate
lier
e-sé
curi
té
Plan
• Introduction• Technologies VoIP/ToIP• Vulnérabilités• Attaques envisageables• Sécurité préventive• Recommandations
Ate
lier
e-sé
curi
té
Introduction
• Enjeux importants
Convergence Réseaux•Téléphonie / TI•PoE (Power over Ethernet)•Complexité, Coûts
Nouveaux acteurs•Opérateurs•Entreprises•Particuliers
Nouveaux usages•Visioconférence,•Télésurveillance•Téléphonie d'entreprise,•Télécopie•Téléphonie sur Internet,•Télévision & radio
3 vendeurs majeurs•Provenant du « monde TDM/PSTN » (Time Division Multiplexing, Public Switched Telephone Network)
•Provenant du « monde IP »•« Société spécialisée VoIP »
Ate
lier
e-sé
curi
té
Introduction
• Nouvelles infrastructures Terminaux
• Ordinateur + logiciel• Téléphone de bureau• Téléphone sans fil WiFi• Freebox, Livebox, ...
Serveurs Équipements d’interconnection
• Nouveaux risques
Ate
lier
e-sé
curi
té
Technologies VoIP
• Signalisation et contrôle• Transport• Session SIP• Protocoles secondaires• Architecture• Enjeux de la sécurité
Ate
lier
e-sé
curi
té
Signalisation et contrôle
• H.323: Caractéristiques:
• Complexe• Transcription IP de l'ISDN• similaire au fonctionnement des RTCs• Encore utilisé en coeur de réseau• Mécanismes de sécurité : H.235• En voie de disparition
Ate
lier
e-sé
curi
té
Signalisation et contrôle
• SIP (Session Initiation Protocol): Normalisé par l’IETF (RFC 3261), “ressemble”
à HTTP Protocole se transformant en architecture Adresses simples : sip:[email protected] Extensions propriétaires Gestion de sessions entre participants:
• “End-to-end” (entre IP PBX) Inter-AS MPLS VPNs Confiance transitive (Transitive trust)
Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc
Ate
lier
e-sé
curi
té
Signalisation et contrôle
• MGCP (Media Gateway Control Protocol): Softswitch (CallAgent)<->MediaGateWay CallAgents->MGW (2427/UDP) MGW->CallAgents (2727/UDP) Utilisé pour contrôler les MGWs AoC (Advise Of Charge) en direction du CPE
Ate
lier
e-sé
curi
té
Transport
• Rôle: Encodage, transport, etc.• RTP (Real-Time Protocol) : udp
Pas de gestion de QoS/bande passante Connectivité :
• Soit UA<->UA (risque de fraude),• Soit UA<->MGW<->UA
CODECs• ancien: G.711 (PSTN/POTS - 64Kb/s)• courant: G.729 (8Kb/s)
• RTCP (Real-Time Control Protocol) : Protocole de contrôle pour RTP
• SRTP / SRTCP : équivalents chiffrés
Ate
lier
e-sé
curi
té
Session SIP
• 2 composantes: Fonctionnalités:
• Signalisation (SIP) : la gestion des appels, passe par des serveurs
Localisation des utilisateurs Session:
Configuration, Négociation Modification, Fermeture
• Données (RTP/RTCP/RTSP) : la voix, peut passer par le chemin le plus court
Ate
lier
e-sé
curi
té
Protocoles secondaires
• DNS : Annuaire et localisation• DHCP : Attribution IP/DNS/etc• TFTP : Configuration & mise à jour• HTTP : Administration• ENUM : Correspondance adresses SIP /
numéros E.164 en utilisant DNS
Ate
lier
e-sé
curi
té
Architecture opérateur
Internet
IP / MPLS
CPE
VoIP
Core
OSS/B
SS
FW
FW
DB WEB
FW
SBC
IP PBX
IP PBX
SBC
CPE
PBX
H.323/RTP
H.323/MGCP/RTP
SBC
MGW
Carrier
Carrier
SIP/RTP
H.323/RTP
Billing
TDM / PSTN
MGWMGW
FW
Softswitch
- Firewall- Filtrage « Non-stateful »- Filtrage « Stateful »- Filtrage applicatif par couches (Application Layer Gateway filtering -ALGs)- NAT / « firewall piercing »
- LAN- Ethernet (routeurs et switches)- xDSL/cable/WiFi- VLANs (données/voix+signalisation)
- WAN- Internet- VPN-MPLS
- Liaisons spécialisées- MPLS
- QoS (Quality de service)- Bande passante-Délai (150-400ms) -Jitter (<<150ms)- Perte de paquets (1-3%)
- Systèmes :- Proxy: SIP- Gestionnaire d’appels (Call Manager)/IP PBX
- Gestion des utilisateurs et reporting (HTTP, etc)- Recherche des chemins par IP
- GK (GateKeeper) : H.323- Serveur d’authentification (Radius)- Serveur de facturation (CDR/billing)- Serveurs DNS, TFTP, DHCP
- Passerelle de voix (Voice Gateway: IP-PSTN)- Protocoles de contrôle de passerelles
(Gateway Control Protocols)- Signalisation : interface SS7
- Media Gateway Controller- Passerelle de signalisation (Signaling Gateway)
- Transport-Passerelle de média (Media Gateway):
-conversion audio
- VPN cryptés- SSL/TLS- IPsec-Localisation du cryptage
(LAN-LAN, téléphone – téléphone...)
- Impact sur la QoS- Que va apporter IPv6 ?
- Téléphones IP (IP phones):- Téléphones hard-phones « classiques »
- Propriétaires- Appliances
- Soft-phones / UA (User-agents)
- Solutions logicielles- Souples
- « Toaster »- Mises à jour / patches- Intelligence
- Téléphones IP (IP phones):- Intelligence déplacée du réseau vers l’équipement terminal- Flux entre le téléphone et les autres systèmes
- SIP, RTP- (T)FTP- CRL- etc.
Ate
lier
e-sé
curi
té
Architecture: SBC
• Quel est le rôle d'un SBC ? SBC : Session Border Controllers. Elément clé pour déploiement de softswitch: Solutions intégrées de sécurité.
• Terminal client IP généralement protégé par un pare-feu et bénéficie d’une adresse IP privée.
• permet de traverser la protection du firewall et les équipements NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et de la signalisation)
• permet de protéger le softswitch : des « signalling overloads », d’attaques en denis de service et d’autres attaques rendues possibles en utilisant IP
Ate
lier
e-sé
curi
té
Architecture: SBC
• SBC: Autres fonctionnalités:
• Convertir la signalisation• Convertir le flux multimédia (CODEC)• Autoriser RTP de manière dynamique
• Localisation: Il peut être localisé à différents endroits
• client/opérateur, • au sein du réseau client, • à l'interface entre deux opérateurs (Peering VoIP)
Ate
lier
e-sé
curi
té
Enjeux de la sécurité
• Les Firewalls Le rôle du firewall Les spécificités de la VOIP :
• la problématique des ports dynamiques, • les protocoles parapluie...
La translation d'adresse (NAT) Le problème de l'adressage IP :
• adressage privé, • adressage public, • évolution IPv6…
Ate
lier
e-sé
curi
té
Enjeux de la sécurité
• Les Firewalls NAT et Firewall :
• les impacts sur la QoS. • Les compromis Qualité de Service vs
Sécurité.
Ate
lier
e-sé
curi
té
Vulnérabilité technologique
• Généralités• Vulnérabilité protocolaire• Vulnérabilité architecturale• Exemples
Ate
lier
e-sé
curi
té
Généralités
• VoIP/ToIP n’est pas équivalente à la téléphonie classique Signalisation/contrôle et transport de la voix
sur le même réseau IP Perte de la localisation géographique de
l'appelant
Ate
lier
e-sé
curi
té
Généralités
• Stratégie de sécurité différente de celle à laquelle les utilisateurs étaient habitués: Fiabilité du système téléphonique
• Combien de pannes de téléphone vs pannes informatique?
Confidentialité des appels téléphoniques Invulnérabilité du système téléphonique
• Devenu un système susceptible d'intrusions, vers, etc
Ate
lier
e-sé
curi
té
Vulnérabilité protocolaire
• Risque semblables à ceux des réseaux IP: Intrusion, écoute, usurpation d'identité, rejeu, dénis de service, etc.
mais• Ce n’est pas juste « une application IP en plus »
Ate
lier
e-sé
curi
té
Vulnérabilité protocolaire
• VoIP n’est pas juste « une application IP en plus », car: Pas d'authentification mutuelle entre les parties, Peu de contrôles d'intégrité des flux, pas ou peu de
chiffrement• Risques d'interception et de routage des appels vers des
numéros surfacturés• Falsification des messages d'affichage du numéro renvoyés à
l'appelant
Attaques accessibles à tout informaticien et pas juste aux spécialistes de téléphonie numérique
Exemple: Terminaux très fragiles
Ate
lier
e-sé
curi
té
Vulnérabilité architecturale
• Combinaison matériel+logiciel (surtout des DSP):
Softswitch: • généralement dédié à la signalisation
MGW (Media Gateway): • RTP<->TDM,• SS7oIP<->SS7
IP-PBX:• Softswitch+MGW
Ate
lier
e-sé
curi
té
Vulnérabilité architecturale
• Systèmes d'exploitation OS temps réel (QNX/Neutrino, VxWorks, RTLinux) Windows Linux, Solaris
• Sécurisation par défaut souvent quasi inexistante
• Gestion des mises à jour : Les OS sont rarement à jour Les mises-à-jour ne sont pas « autorisées »
Ate
lier
e-sé
curi
té
H323
• Intrusion Filtrage quasi-impossible :
• multiplication des flux, des mécanismes d'établissement d'appel, des extensions à la norme, et transmission des adresses IP au niveau applicatif
• Ecoute• Usurpation d'identité• Insertion et rejeu• Dénis de service:
De par la conception du protocole, pas de détection des boucles, signalisation non fiable, etc
Ate
lier
e-sé
curi
té
SIP
• Ecoute• Usurpation d'identité• Insertion et rejeu• Déni de service
Ate
lier
e-sé
curi
té
Autres
• Skinny Client Control Protocol (Cisco) : Risques :
• Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service• Multimedia Gateway Control Protocol (MGCP)
Risques: • Identiques aux autres en entreprise (pas d'expérience d'audit sécurité)• Dépendants de la sécurité du boitier ADSL• Moins de risques de surfacturation et de déni de service sur le serveur central
• GSM sur IP : nano BTS Risques :
• Surfacturation, Ecoute des communications• Usurpation d'identité, Insertion et rejeu• Déni de service
• GSM sur IP : UMA : Unlicensed Mobile Access Risques :
• Exposition du réseau opérateur sur Internet• Déni de service
Ate
lier
e-sé
curi
té
Terminaux
• Peu de sécurisation des terminaux, peu de fonctions de sécurité Pas de 802.1X
• Exemple : test de téléphones VoIP (SIP) sur WiFi 15 Téléphones testé de 8 fournisseurs
• Cisco,• Hitachi, • Utstarcom, • Senao, • Zyxel, • ACT, • MPM,• Clipcomm
Ate
lier
e-sé
curi
té
Terminaux
• Exemple (Suite) : téléphones VoIP (SIP) sur WiFi Connexion interactive avec telnet ouverte SNMP read/write avec community name par défaut Ports de debogage VXworks ouverts en écoute sur le réseau WiFi Services echo et time ouverts Connexion interactive rlogin avec authentification basique Exemple Cisco 7920
• port 7785 Vxworks wdbrpc ouvert• SNMP Read/Write• Réponse de Cisco :
les ports ne peuvent pas être désactivés, la communauté SNMP ne pas être changée :
tout est codé en dur dans le téléphone...
Ate
lier
e-sé
curi
té
Infrastructure
• Exemple : coupure de courant lors d’un audit de sécurité (non VoIP) Coupure de courant :
• Téléphone branché sur le secteur (pas PoE, pas secouru) => plus de téléphone
• Serveurs branchés sur le courant secouru mais pas le commutateur devant=> problème de commutateur
Ate
lier
e-sé
curi
té
Infrastructure
• Exemple : coupure de courant lors d’un audit de sécurité (suite) Retour du courant :
• Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré
• Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP ..."
• Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné
• Seule solution trouvée : débrancher/rebrancher chaque téléphone un par un pour remise en service
Ate
lier
e-sé
curi
té
Attaques envisageables
• Attaques : couches basses• Attaques : implémentations • Attaques : protocoles VoIP• Attaques : téléphones• Autres attaques
Ate
lier
e-sé
curi
té
Attaques : couches basses
• Attaques physiques Systèmes d'écoute
Interception (MITM) : • écoute passive ou modification de flux
Discussion “Who talks with who”
Sniffing du réseau Serveurs (SIP, CDR, etc)
Ate
lier
e-sé
curi
té
Attaques : couches basses
• Attaques sur les couches basses : LAN Accès physique au LAN Attaques ARP :
• ARP spoofing,• ARP cache poisoning
Périphériques non authentifiés (téléphones et serveurs)
Différents niveaux :• adresse MAC, utilisateur, port physique, etcLAN
Pirate
Téléphone IP1
Téléphone IP2
Ate
lier
e-sé
curi
té
Attaques : implémentations
• Interface d'administration HTTP, de mise à jour TFTP, etc. Exploits Vols de session (XSS) Scripts / injections
• Piles TCP/IP• Dénis de services (DoS)• PROTOS
Ate
lier
e-sé
curi
té
Attaques : protocoles VoIP
• Fraude: Spoofing SIP Call-ID Spoofing Appropriation des droits d’utilisateur sur le
serveur d’authentification Tags des champs From et To Replay Accès au voicemail
Ate
lier
e-sé
curi
té
Attaques : protocoles VoIP
• DoS : Denial of service Au niveau:
• Réseau • Protocole (SIP INVITE)• Systèmes / Applications• Téléphone
Envois illégitimes de paquets SIP INVITE ou BYE
Modification « à la volée » des flux RTP
Ate
lier
e-sé
curi
té
Attaques : téléphone
• (S)IP phone : Démarrage (Startup)
• DHCP, TFTP, etc.
Accès à l’adresse physique• Tables de configuration cachées
Piles TCP/IP Configuration du constructeur Trojan horse/rootkit
Ate
lier
e-sé
curi
té
Attaques : autres
• Protocoles secondaires: DNS : DNS ID spoofing ou DNS cache poisoning DHCP : DoS, MITM TFTP : upload d'une configuration (DoS, MITM...)
• Autres: L’élément humain
Systèmes:• La plupart ne sont as sécurisés par défaut• Worms, exploits, Trojan horses
Ate
lier
e-sé
curi
té
Sécurité préventive
• Quelle sécurité préventive?• Sécurité indépendantes de la VoIP• Sécurité propres à la VoIP / ToIP• Calcul du ROI de la VoIP
Ate
lier
e-sé
curi
té
Quelle sécurité préventive?
• Mesure de sécurité, ou protection Action Diminue le risque à un niveau acceptable
• Action préventive ISO 19011:2002 Action visant à éliminer une situation indésirable
potentielle Agit en amont de l'incident
• Action corrective Action visant à éliminer une situation indésirable
détectée Agit en aval de l'incident
Ate
lier
e-sé
curi
té
Quelle sécurité préventive?
• Actions préventives ?• Donc réfléchir sans attendre l'incident !
Identifier se qui compte pour le chef d'entreprise
Réaliser une analyse de risque sur ce qui compte
Appliquer des mesures de sécurité• Avec un rapport qualité/prix réaliste• Afin de réduire les risques à un niveau acceptable
Ate
lier
e-sé
curi
té
Sécurité indépendante VoIP
• Sécurité dans le réseau IP Sécurité dans le réseau Liaison
• Cloisonnement des VLAN• Filtrage des adresses MAC par port• Protection contre les attaques ARP
Réseau• Contrôle d'accès par filtrage IP• Authentification et chiffrement avec IPsec
Transport• Authentification et chiffrement SSL/TLS
Ate
lier
e-sé
curi
té
Sécurité indépendante VoIP
• Filtrage IP : firewall Contrôle d'accès réseau Proactif :
• le paquet passe ou le paquet est bloqué
Application de la politique de sécurité de l'organisme
Ate
lier
e-sé
curi
té
Sécurité indépendante VoIP
• Détection d'intrusion (NIDS) Passif :
• le paquet est passé mais finalement il n'aurait pas du, il est malveillant
Faux positifs :• un paquet vu comme malveillant qui est tout à
fait légitime
Faux négatif :• un paquet vu comme légitime qui est malveillant
Ate
lier
e-sé
curi
té
Sécurité indépendante VoIP
• Prévention d'intrusion (NIPS) Combiner l'analyse approfondie de la
détection d'intrusion avec la capacité de bloquer du firewall
Actif : certains paquets sont passés, mais pas les suivants :
• Limitation de bande passante• TCP Reset / ICMP Unreachable
Toujours des risques de faux positifs / faux négatifs
Ate
lier
e-sé
curi
té
Sécurité propre à la VoIP
• Solutions: SIP, MGCP, et les protocoles propriétaires
incluent des fonctions de sécurité
• Limitations: Limite des terminaux qui n'ont pas le CPU
nécessaire à des calculs de clefs de session en cours de communication
Mise en oeuvre de la sécurité =>perte des possibilité d'interopérabilités entre fournisseurs
Ate
lier
e-sé
curi
té
Calcul du ROI
• VoIP: Pas de service en plus Mettre à jour son PABX apporte les mêmes
service avec ou sans VoIP Les service disponibles en VoIP le sont aussi
en téléphonie classique Aucun calcul de ROI ne peut se justifier par
la disponibilité de nouveaux services
• Intégrer les coûts de la VoIP
Ate
lier
e-sé
curi
té
ROI : coût du VoIP
• Intégrer les coûts de la VoIP Coûts de câblage
• Poste téléphonique IP =>prise ethernet supplémentaire• Difficultés avec le PC connecté sur le téléphone et le téléphone
dans la prise Ethernet du PC• Nécessité des VLANs, avant considérations de sécurité• Informations indispensable au service téléphonique ;
N° pièce, n° prise associée à chaque n° de téléphone: N° de téléphone, @MAC, @IP et n° de prise Ethernet liés
• Câblage rapide des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE)
Onduleurs supplémentaires et spécifiques=> VoIP/ToIP impose des coûts de câblage élevés
Ate
lier
e-sé
curi
té
ROI : coût du VoIP
• Intégrer les coûts de la VoIP Services du réseau informatique deviennent
des services critiques• DHCP• DNS• Commutateurs• ...
Obligation d’inclure les coûts de mise en oeuvre de la haute-disponibilité
Coûts d'exploitation au quotidien bien plus élevés 24/7, etc
Ate
lier
e-sé
curi
té
ROI : dégradation du service
• Intégrer la dégradation du service due à la VoIP: Taux d'indisponibilité téléphonie classique : 5 à
6 minutes d'interruption par an, 99,99886 % Taux de disponibilité téléphonie sur IP : ??
• Pas de téléphone pendant plusieurs jours...
Support téléphonique hors-service• Situations antagonistes : réseau en panne => téléphone
en panne• Téléphone : principal système d'appel au secours pour la
sécurité des personnes
Ate
lier
e-sé
curi
té
ROI : autres facteurs
• Valider au préalable la réalité des fonctionnalités : Fonctionnalités prix du Poste entrée de gamme Fonctionnalités de sécurité imposant un
changement de tous les postes téléphoniques
• Valider au préalable la robustesse de tous les équipements choisis
• Analyser les risques Peu de gens font une analyse de risques sur leur
projet VoIP. Pourquoi ?
Ate
lier
e-sé
curi
té
Recommandations
• Actuellement, voix sur IP danger• Mécanismes de détection• Sécurisation des couches basses
Utilisation de TLS pour la signalisation SIP• Identification des clients et du serveur
Protocole de gestion de clefs VoIP : MiKEY• Encapsulé dans SIP
PSK (Pre-shared key), Diffie-hellman, PKI
Ate
lier
e-sé
curi
té
Recommandations
• Couche réseau: QoS [LLQ] (and rate-limit) Firewall: application level filtering
• Téléphones IP certifiés par leurs producteurs• Sécurisation des couches hautes
Utilisation de SRTP/SRTCP Sécurisation des échanges DNS : DNSSec Utilisation de tunnels IPSec en remplacement des
solutions précédentes
• Projet 3P: project, security processes and policies
Ate
lier
e-sé
curi
té
Perspectives
• VoWLAN Utilisation de PDA / Laptop : téléphonie
mobile Problèmes classiques du WiFi Utilisation d'un protocole de mobilité pour
couvrir de grandes distances (IAPP) Choix judicieux des CODECs (PCM, GSM...)
Ate
lier
e-sé
curi
té
Recommandations
• Exemple de solution sécurisée :
Ate
lier
e-sé
curi
té
Recommandations
• Limites: QoS, bande-passante... Qualité de la voix : choix important des CODECs
• Temps d'établissement• Compromis utilisation / complexité
IPsec parfois trop lourd :• restriction possible aux protocoles utilisés
Ne pas se limiter aux protocoles VoIP, au réseau:• clients (UA), serveurs (soft switch, call manager, DHCP/TFTP),
détection de fraude, etc.
Ni aux aspects techniques:• ingénierie, opérations, support, etc, comment les répartir?
Ate
lier
e-sé
curi
té
Recommandations
• Téléphonie & DSI: Téléphonie doit entrer suivre la Direction des
Systèmes d'Information (DSI) Ne peut rester aux services administratifs Téléphonistes doivent intégrer la DSI Leurs compétences en téléphonie sont
indispensables au déploiement de la VoIP
• VoIP / ToIP = intérêt futur proche des fournisseurs : Passage à la VoIP se fera un jour de gré ou de
force
Ate
lier
e-sé
curi
té
Conclusion• VoIP :
Technologie encore jeune Étude fine des solutions précède déploiement Désormais accessible aux particuliers (Skype..)
• Sécurité au coeur de la problématique La VoIP / ToIP relance l'insécurité Sécurité au niveau réseau Réponse partielle mais nécessaire Difficile à mettre en oeuvre Mécanismes de sécurité propriétaires proposés par les constructeurs :
• Seule réponse satisfaisante en matière de sécurité• Très rarement mis en oeuvre
• ROI négligé