sécurité asterisk

Download Sécurité Asterisk

Post on 08-Jan-2016

65 views

Category:

Documents

8 download

Embed Size (px)

DESCRIPTION

Forum Atena , 5 mai 2011 à l’ Epita Conférence : «  La place de l'open source sur le marché de la ToIP : bilan et perspectives. ». Sécurité Asterisk. Attaque & Défense. Par Serge CARPENTIER Ingénieur Sécurité Réseau Voix - AGARIK SAS Fondateur d’Asterisk France. Les bonnes questions. - PowerPoint PPT Presentation

TRANSCRIPT

  • Scurit AsteriskAttaque & DfenseForum Atena, 5 mai 2011 lEpita Confrence : La place de l'open source sur le march de la ToIP : bilan et perspectives.

    Par Serge CARPENTIER Ingnieur Scurit Rseau Voix - AGARIK SASFondateur dAsterisk France

  • Les bonnes questionsLes bonnes questions :Quels sont les risques dune indisponibilit de mon infrastructure Voix ?Combien cela peut-il coter lentreprise ?Par son indisponibilitInformations drobes (Ex: Conversation ou message vocal)Fraude dappelLe budget pour la mise en place de la scurit est-il justifi ?La scurit mise en place nest-elle pas exagre ?

  • ResponsabilitLattitude avoir sur la gestion de la scurit sur une infrastructure doit tre ferme & claire.

  • Level 2 : Grab / numrationVoici quatre types dnumration le plus souvent utilises :

    Rcuprer la version du Sip User AgentClient et Server.Les extensions des comptes Souvent utilis comme compte utilisateurLes fichiers de configuration des tlphone sur le serveur TFTP Qui contiennent souvent les Comptes SIP & Password.Les informations de configuration via SNMP.

  • Level 2 : Grab / numration (Suite II)Deux cas nous intressent :Le Grab de BannireLnumration des Extensions

  • SipViCious : Exemple dun scan rel

    Level 2 : Grab / numration Suite IV)

  • http://www.asterisk.org/securityLutilit davoir la version de linstance Asterisk nous permettra de savoir sil y a des failles connues et de les lutiliser.

    Level 2 : Grab / numration (Suite V)

  • Enumration des comptes SIPLors de cet exercice, le serveur nous retourne un 404 Not Found si le compte nexiste pas, sinon celui-ci nous demande le Password. A cet instantSIPVicious sait que le compte existe.Level 2: Enumeration FinLevel 3: Cracking de passwordIl ne reste plus qu utiliser SVCRACK avec un dictionnaire afin de trouver le password du compte.

  • Des outils sont disponibles pour effectuer les mmes actions sur des comptes IAX.Exemple: ENUMIAXLevel 2: Enumeration FinLevel 3: Cracking de password

  • Scurit AsteriskAttaque & DfenseExemple dune attaque DDoS ToIPLevel 4 : Mise en place & Execution

  • Level 4: Execution

  • Level 4: ExecutionLa prise de contrle de serveur VoIP peut permettre plusieurs attaques comme :Prendre le contrle de plusieurs Comptes VoIPMettre en place WarVoxMettre en Base tous les numros appeler en mme tempsJ achte un Joli numro surtax et chaque appel pass je gagne de largentJ appelle gratuitement.En prenant le contrle de la machine via une faille Asterisk, toutes les autres attaques traditionnelles sont possibles.Appeler en changeant sont Caller-id afin de se faire passer pour quelquun dautre.

  • Scurit AsteriskAttaque & DfenseScuriser un minimumScuriser sa couche daccs en interneScuriser son serveur en GnralScuriser Asterisk: SIPScuriser Asterisk: IAXScuriser Asterisk: Dial Plan

  • Scuriser sa couche daccs en interne.Petites informations supplmentairesScuriser les accs sur les Switchs via 802.1x avec RADIUS ou via du VMPS.Consquence : Lors dune @MAC inconnue, linterface bascule soit dans un VLAN isol ou alors le port se met en securit.Limiter les nombres d @MAC par port de Switch 2.But: Eviter de faire dborder la table MAC sur le Switch pour que celui-ci, ragisse comme un HUB afin de pouvoir sniffer tous les paquets.Utiliser les fonctions avances de scurit sur les Switchs comme :DHCP Snooping (Evite a un Pirate de distribuer des adresses IP avec une autre passerelle et/ou dautres serveurs DNS.ARP Guard : Va envoyer une alerte un IPS ou effectuer une action sur le switch, afin dviter le Spoofing dadresse MAC pour effectuer unMiTM.

  • Scuriser sa couche daccs en interne.Petites informations supplmentairesSparer la Voix de la Data dans deux VLAN diffrents.Utiliser des ACL ou rgles de Firewall pour filtrer le Traffic entre les deux VLAN.Limiter le nombre VLAN qui vont transiter sur linterface du Switch et mettre un vlan Native.Vrifier et maintenir jour les updates des Switchs ainsi que des tlphones.

  • Scuriser son serveur en Gnral

    Ne pas excuter Asterisk en Root

    Ne pas connecter Asterisk sur Internet directement.

    Utiliser des firewall Statefull et ne pas ouvrir des ports dans tous les sens.

    Utiliser Fail2Ban pour bloquer les IP effectuant du Fuzzing.

    Utiliser IPTABLE afin de filtrer les diffrents ports et bloquer les IP effectuants des scans. (Ex avec SipScan utiliser cette option : --string "sip-scan" ). Votre vlan Voix na pas besoin daccder aux diffrentes interfaces dadministration.

    Utiliser des instances SBC pour sparer les connexions Interne et Externe. (Cela assurera une sparation entre votre rseau dentreprise et celui de lextrieur). Vyatta & OpenSBC par exemple pour interconnecter son ITSP en SIP ou un site distant.

    Pour les Clients Mobiles (Wifi ou Nomade) utiliser des connexions VPN.

  • Scuriser son serveur en GnralVyatta utilise IPTABLE et charge loption SIPContrack. De lextrieur on ouvrira seulement le port 5060:

    iptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "friendly-scanner" -m udp --dport 5060 -j LOGDROPiptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "sip-scan" -m udp --dport 5060 -j LOGDROPiptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "iWar" -m udp --dport 5060 -j LOGDROPiptables -A RH-Firewall-1-INPUT -p udp -m string --to 300 --algo bm --string "sipsak" -m udp --dport 5060 -j LOGDROPFiltrage des scanners SIP+OpenSBC=

  • Scuriser Asterisk: SIPActiver alwaysauthreject: Asterisk renverra toujours un 401 pour un INVITE ou un REGISTERPasser loption allowaguest noChanger son SIPUSERAGENT: ex: useragent=Cisco_IOS12T4Changer le context par defaut (qui est default)Utiliser lauthentification par Certificat si possible et SIP/TCP/TLSAsterisk 1.8.x : SRTP est en natifNe Pas utiliser les SDA comme compte SIP, plutot faire une translation par une AGI.Pour les comptes utilisateurs, mettre un call-limit 2 ou 3.Utiliser un maximum les ACL des comptes SIP.

  • IAX2 est souvent utilis pour linterconnexion de deux sites distants afin dconomiser les Headers et viter les problmes de NAT.Supprimer les exemples de compte IAX.Changer le contexte par defautUtiliser les clefs RSA pour lauthentification entre deux Asterisk Utiliser les ACLActiver lencryption AES128Ne Pas utiliser les SDA comme compte IAX2, plutt faire une translation par une AGI.Scuriser Asterisk: SIP

  • Scuriser Asterisk: Dial PlanNe pas utiliser le matching absolu _X.,1,Faire DialPlan par lvation de droit dappel :

    [CNTX_LOCAL]Comment=Appel locaux et numros durgence

    [CNTX_FRANCE_NATIONAL]Include => CNTX_LOCAL

    [CNTX_FRANCE_MOBILE]Include => CNTX_FRANCE_NATIONAL

    [CNTX_FRANCE_INTERNATIONAL]Include => CNTX_FRANCE_MOBILE

    Faire correspondre les CallerID pour les services dentreprises.Exemple : exten => 3361234567890/33140401010,1,VoicemailMain()

    ..Nous pouvons aller vraiment trs loin.

  • Les bonnes infosSite Asterisk:

    Site officiel Asterisk : www.asterisk.orgAsterisk-France : www.asterisk-france.orgVoip-info: http://www.voip-info.org Securit Voix :VoIP SA: http://www.voipsa.org/NIST : csrc.nist.gov/publications/nistpubs/800.../SP800-58-final.pdfVoIP Abuse Project: http://www.infiltrated.net/voipabuse/http://www.hackingvoip.com/

    Certification : Scurit C.E.H & E-CVPhttp://www.eccouncil.org

  • EventsNuit du Hack 2011http://www.nuitduhack.com/

  • Votre interlocuteur Vos questions ? AGARIK, LE SPCIALISTE DE LHBERGEMENT ET DE LINFOGRANCE WEB CRITIQUE HBERGEMENT RSEAU INFOGRANCE CLOUD SCURIT>> WWW.AGARIK.COM