hacking & securing asterisk

Download HACKING  & SECURING ASTERISK

Post on 25-Apr-2015

98 views

Category:

Documents

2 download

Embed Size (px)

DESCRIPTION

Introduction à la sécurisation des serveurs Asterisk: les risques, les attaques communes et le mesures préventives

TRANSCRIPT

HACKING & SECURING ASTERISKProblmatique de la scurit de la VoIP, attaques communes et mesures prventives.OPENDAYS 2013

Sokobla GazaroWa-Gazaro

28/04/2013

SOMMAIRE Voip et Scurit: les enjeux Voip et Scurit: le cas dasterisk Quelques vulnrabilits Scuriser Asterisk Conclusion

28/04/2013

Voip et Scurit Augmentation des dploiements Voip La problmatique scuritaire souvent relgue au second plan Les consquences dun systme de tlphonie compromis

peuvent tre CATASTROPHIQUE:

Perte de la confidentialit des communications Le dtournement des communications peuvent tre la source

de failles de scurits graves Limpact financier peu slever jusqu plusieurs milliers de deuros

28/04/2013

Voip et Scurit Le cas dasterisk Trs rpandu Protocoles ouverts et standards Solution dintgration donc une problmatique double:

scuriser le systme et protger le rseau

Les risques sont rels: Interception dappels DoS Vols de services Communications indsires .28/04/2013

Quelques vulnrabilits Interception dappel (spoofing + sniffing) Le but de cette attaque est dintercepter les paquets rtp avec un

outil adapter (sniffer) et de reconstituer la conversation audio. Outils: Ethercap Wireshark

28/04/2013

Quelques vulnrabilits: Interception dappels Principe: MITM (Man In The Middle)

Le pirate se substitut lun des interlocuteurs et a laide dun

analyseur rseau capture les paquets voix et peut reconstituer la communication.28/04/2013

28/04/2013

Quelques vulnrabilits Vols de service Cette attaque consiste obtenir un compte utilisateur valide afin

davoir accs aux diffrents services offert par le systme de la victime Outils: Sipvicious

28/04/2013

28/04/2013

Quelques vulnrabilits Dos (Denial of Service) Le but est de rendre un systme inexploitable en linondant de

requte. Outil:

LOIC (Low Orbit Ion Canon)

ngrep -d eth0 -p -q -W byline port 5060

28/04/2013

28/04/2013

Scuriser Asterisk Sip.conf alwaysauthreject = no (Empche la diffusion des extensions

disponibles) allowguest= no (interdire les appels des utilisateurs non authentifis) Secret= (Choisir des mots de passe robustes) Une astuce efficace consiste galement utiliser un username diffrent du numro dextension

28/04/2013

Scuriser Asterisk Extension.conf Scuriser le contexte par dfaut (default): votre configuration doit

interdire les appels externes aux utilisateurs non authentifis. Lapplication Authenticate(password[|options[|maxdigits]]) peut tre utilise.

Scuriser lAMI Manager Permit/deny= X.X.X.X (limit les @IP autorises se

connecter lAMI Manager)

28/04/2013

Scuriser Asterisk Switching niveau 3 Gere lassociation MAC/IP

ARPWATCH Dtecte les attaque ARP (poisonning)

28/04/2013

Scuriser Asterisk Fail2ban

Fail2Ban est un logiciel libre permettant d'analyser des fichiers de logs et de dclencher des actions si certaines choses suspectes sont dtectes. Fail2ban protge votre serveur contre les attaques de types brute force.

28/04/2013

Conclusion La VoIP changer le mode de communication des

entreprises Les problmes de scurit existes et sont bel et bien exploit par les Hackers Asterisk offre cependant des solutions simples pour assurer un niveau de scurit suffisant pour la pluspart des utilisateurs Cependant des efforts peuvent encore tre fait

28/04/2013

Liens Utiles http://sysadminman.net/blog/2009/hacking-and-securing

your-asterisk-server-592 http://www.voipmechanic.com/securing-asterisk.htm http://blogs.digium.com/2009/03/28/sip-security/ http://www.chrismc.de/development/xarp/ http://www.voipinfo.org/wiki/view/Fail2Ban+(with+iptables)+And+Asteri sk http://blog.rassemblr.com/2012/05/fighting-asterisk-dosattack/28/04/2013