sécurité asterisk web

Download Sécurité asterisk web

If you can't read please download the document

Post on 01-Jun-2015

4.567 views

Category:

Technology

0 download

Embed Size (px)

DESCRIPTION

Tout savoir sur les risques d’une indisponibilité de l'infrastructure Voix et les mesures de sécurité afin d'éviter les pertes de données et les interruptions d'activité.

TRANSCRIPT

  • 1. Scurit Asterisk Attaque & Dfense ForumAtena, 5 mai 2011 lEpitaConfrence : La place de l'open source sur le march de la ToIP : bilan et perspectives. Par Serge CARPENTIERIngnieur Scurit Rseau Voix - AGARIK SAS Fondateur dAsterisk France

2. Les bonnes questions

  • Les bonnes questions :
    • Quels sont les risques dune indisponibilit de mon infrastructure Voix ?
    • Combien cela peut-il coter lentreprise ?
      • Par son indisponibilit
      • Informations drobes (Ex: Conversation ou message vocal)
      • Fraude dappel
    • Le budget pour la mise en place de la scurit est-il justifi ?
    • La scurit mise en place nest-elle pas
    • exagre ?

3. Responsabilit

  • Lattitude avoir sur la gestion de la scurit sur une infrastructure doit tre ferme & claire.

4. Level 2 : Grab / numration

  • Voici quatre types dnumrationle plus souvent utilises :
    • Rcuprer la version du Sip User Agent Client et Server .
    • Lesextensionsdes comptes Souvent utiliscomme compte utilisateur
    • Lesfichiers de configurationdes tlphone sur le serveur TFTP
    • Qui contiennent souvent les Comptes SIP & Password.
    • Lesinformations de configurationvia SNMP.

5. Level 2 : Grab / numration(Suite II)

  • Deux cas nous intressent :
    • Le Grab de Bannire
    • Lnumration des Extensions

6.

  • SipViCious :Exemple dun scan rel

Level 2 : Grab / numrationSuite IV) 7. http://www.asterisk.org/security

  • Lutilit davoir la version de linstance Asterisk nous permettra de savoir sil y a des failles connues et de les lutiliser.

Level 2 : Grab / numration (Suite V) 8.

  • Enumration des comptes SIP

Lors de cet exercice, le serveur nous retourne un 404 Not Found si le compte nexiste pas, sinon celui-ci nous demande le Password. A cet instant SIPVicious sait que le compte existe. Level 2: Enumeration Fin Level 3: Cracking de password Il ne reste plus qu utiliser SVCRACK avec un dictionnaire afin de trouver le password du compte. 9.

  • Des outils sont disponibles pour effectuer les mmes actions sur des comptes IAX.
        • Exemple: ENUMIAX

Level 2: Enumeration Fin Level 3: Cracking de password 10. Scurit Asterisk Attaque & Dfense Exemple dune attaque DDoS ToIP

  • Level 4 : Mise en place & Execution

11. Level 4: Execution 12. Level 4: Execution

  • La prise de contrle de serveur VoIP peut permettre plusieurs attaques comme :

Prendre le contrle de plusieurs Comptes VoIP Mettre en place WarVox Mettre en Base tous les numros appeler en mme temps J achte un Joli numro surtax et chaque appel passje gagne de largent J appelle gratuitement. En prenant le contrle de la machine via une faille Asterisk, toutes les autres attaques traditionnelles sont possibles. Appeler en changeant sont Caller-id afin de se faire passerpour quelquun dautre. Attaque DDoS Voix Fraude de communications Usurpation didentit 13. Scurit Asterisk Attaque & Dfense Scuriser un minimum

  • Scuriser sa couche daccs en interne
  • Scuriser son serveur en Gnral
  • Scuriser Asterisk: SIP
  • Scuriser Asterisk: IAX
  • Scuriser Asterisk: Dial Plan

14. Scuriser sa couche daccs en interne. Petites informations supplmentaires

  • Scuriser les accs sur les Switchs via 802.1x avec RADIUS ou via du VMPS.
    • Consquence : Lors dune @MAC inconnue, linterface bascule soit dans un VLAN isol ou alors le port se met en securit.
  • Limiter les nombres d @MAC par port de Switch 2.
    • But: Eviter de faire dborder la table MAC sur le Switch pour que celui-ci, ragisse comme un HUB afin de pouvoir sniffer tous les paquets.
  • Utiliser les fonctions avances de scurit sur les Switchs comme :
    • DHCP Snooping (Evite a un Pirate de distribuer des adresses IP avec
    • une autre passerelle et/ou dautres serveurs DNS.
    • ARP Guard : Va envoyer une alerte un IPS ou effectuer une action
    • sur le switch, afin dviter le Spoofing dadresse MAC pour effectuer un
    • MiTM.

15. Scuriser sa couche daccs en interne. Petites informations supplmentaires

  • Sparer la Voix de la Data dans deux VLAN diffrents.
  • Utiliser des ACL ou rgles de Firewall pour filtrer le Traffic entre les deux VLAN.
  • Limiter le nombre VLAN qui vont transiter sur linterface du Switch et mettre un vlan Native.
  • Vrifier et maintenir jour les updates des Switchs ainsi que des tlphones.

16. Scuriser son serveur en Gnral

  • Ne pas excuter Asterisk en Root
  • Ne pas connecter Asterisk sur Internet directement.
  • Utiliser des firewall Statefull et ne pas ouvrir des ports dans tous les sens.
  • Utiliser Fail2Ban pour bloquer les IP effectuant du Fuzzing.
  • Utiliser IPTABLE afin de filtrer les diffrents ports et bloquer les IP effectuants
  • des scans. (Ex avec SipScan utiliser cette option : --string "sip-scan" ).
  • Votre vlan Voix na pas besoin daccder aux diffrentes interfaces dadministration.
  • Utiliser des instances SBC pour sparer les connexions Interne et Externe.
  • (Cela assurera une sparation entre votre rseau dentreprise et celui de lextrieur).
  • Vyatta & OpenSBC par exemple pour interconnecter son ITSP en SIP ou un site distant.
  • Pour les Clients Mobiles (Wifi ou Nomade) utiliser des connexions VPN.

17. Scuriser son serveur en Gnral

  • Vyatta utilise IPTABLE et charge loption SIPContrack.
  • De lextrieur on ouvrira seulement le port 5060:

iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "friendly-scanner" -m udp --dport 5060 -j LOGDROP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "sip-scan" -m udp --dport 5060 -j LOGDROP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "iWar" -m udp --dport 5060 -j LOGDROP iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "sipsak" -m udp --dport 5060 -j LOGDROP

  • Filtrage des scanners SIP

+ OpenSBC = 18. Scuriser Asterisk: SIP

  • Activer alwaysauthreject: Asterisk renverra toujours un 401 pour un INVITE ou un REGISTER
  • Passer loption allowaguest no
  • Changer son SIPUSERAGENT: ex: useragent=Cisco_IOS12T4
  • Changer le context par defaut (qui est default)
  • Utiliser lauthentification par Certificat si possible et SIP/TCP/TLS
  • Asterisk 1.8.x : SRTP est en natif
  • Ne Pas utiliser les SDA comme compte SIP, plutot faire une translation par une AGI.
  • Pour les comptes utilisateurs, mettre un call-limit 2 ou 3.
  • Utiliser un maximum les ACL des comptes SIP.

19.

  • IAX2 est souvent utilis pour linterconnexion de deux sites distants afin dconomiser les Headers et viter les problmes de NAT.
  • Supprimer les exemples de compte IAX.
  • Changer le contexte par defaut
  • Utiliser les clefs RSA pour lauthentificationentre deux Asterisk
  • Utiliser les ACL
  • Activer lencryption AES128
  • Ne Pas utiliser les SDA comme compte IAX2, plutt faire une translation par une AGI.

Scuriser Asterisk: SIP 20. Scuriser Asterisk: Dial Plan

  • Ne pas utiliser le matching absolu _X.,1,
  • Faire DialPlan par lvation de droit dappel :
  • [CNTX_LOCAL]
  • Comment=Appel locaux et numros durgence
  • [CNTX_FRANCE_NATIONAL]
  • Include => CNTX_LOCAL
  • [CNTX_FRANCE_MOBILE]
  • Include => CNTX_FRANCE_NATIONAL
  • [CNTX_FRANCE_INTERNATIONAL]
  • Include => CNTX_FRANCE_MOBILE
  • Faire correspondre les CallerID pour les services dentreprises.
  • Exemple : exten => 3361234567890/33140401010,1,VoicemailMain()
  • ..
  • Nous pouvons aller vraiment trs loin.

21. Les bonnes infos

  • Site Asterisk:
    • Site officiel Asterisk :www.asterisk.org
    • Asterisk-France :www.asterisk-france.org
    • Voip-info:http://www.voip-info.org
  • Securit Voix :
    • VoIP SA:http://www.voipsa.org/
    • NIST :csrc. nist .gov/publications/ nist pubs/800.../SP800-