sécurité d’une plateforme voip open source « elastix »
TRANSCRIPT
Soutenance du Mémoire de Mastère ProfessionnelSécurité des Systèmes Informatiques communicants et Embarqués
SÉCURITÉ D’UNE PLATEFORME VOIPOPEN SOURCE « ELASTIX »
Réalisé par : Atef SFAR
EL HANCHA Yassine BRAHMI
Encadré par : Dr. Rim AKROUT (ISI) M. Hasen NOURI (2IP)
Année Universitaire : 2015 / 2016
2
Introduction
Concepts de la VoIP
Analyse et critique de l’existant
Mise en œuvre des solutions de sécurité
Conclusion et perspectives
Plan
3
IntroductionOrganisme d’accueil
Créer en 2011 Les fonctions de 2IP :
Installation des Réseaux Informatiques d'entreprises
Intégration des solutions libres
Infogérance et systèmes clés en mains
4
IntroductionContexte du projet 2IP à deux sites:
Tunis (siège) Sfax (filiale)
Vision vers VoIP : Les communications inter-sites sont gratuites Disponibilité permanente Plus de productivités
TunisSfax
5
Introduction
Concepts de la VoIP
Plan
6
VoIP = Voice over Internet Protocol Concepts de la VoIP
Transmettre la voix dans des paquets IP
Convertit les signaux vocaux en signaux digitaux qui voyagent par le protocole Internet
Une solution d'avenir pour les entreprises
7
Architecture de la VoIP Concepts de la VoIP
8
Protocoles de la VoIP Concepts de la VoIP
Les principaux protocoles de la VoIP sont :
SIP : Session Initiation Protocol
RTP : Real-time Transport Protocol
RTCP : Real Time Transport Control Protocol
9
Introduction
Concepts de la VoIP
Analyse et critique de l’existant
Plan
10
Architecture VoIP 2IP Existante Analyse et critique de l’existant
10
Passerelle RTC
Réseaux RTC
BTSInternetFiliale Sfax
Connexion 3G/4G
Routeur ADSL
LAN
Commutateur non administrable
Serv
eur
RAID 0
11
Scan l’architecture VoIP Analyse et critique de l’existant
12
Les vulnérabilités détectées
12
Pas de contrôle d’intégrité et pas de chiffrement
Tentative de connexion illimité ( SIP, SSH, HTTPS, SFTP)
Absence la Haute Disponibilité
Analyse et critique de l’existant
13
Attaque Ecoute Clandestine
ARP Spoofing
Cain and Abel
MAC - E0:CA:94:C9:C3:A4 MAC - E0:CA:94:C9:C3:A5
MAC - E0:CA:94:C9:C3:A6MAC - E0:CA:94:C9:C3:A5
Appelant Appelé
Analyse et critique de l’existant
14
Attaque DoS SIP BYE
Appelant Appelé
BYE
Analyse et critique de l’existant
15
Attaque injection de paquets RTP
1. Conversation Téléphonique
2. Injec
tion Paquets
RTP ( Audio )
3. Conversation Perturbé
l'appelant l'appelé
Analyse et critique de l’existant
16
Introduction
Concepts de la VoIP
Analyse et critique de l’existant
Mise en œuvre de la solution de sécurité
Plan
17
Architecture VoIP sécurisée Mise en œuvre de la solution de la sécurité
1818
ClusterIP virtuelle : 192.168.10.
Z
Agent SIP
Serveur primaire
192.168.10.X
Serveur secondaire
192.168.10.Y
IP virtuelle
IP virtuelle
UDP/
694
192.168.10.XServeur primaire
DRBD
Haute disponibilité
Heartbeat
Mise en œuvre de la solution de la sécurité
1919
Certificat serveur
Certificat client
Certificat client
Réseau IP
SIP-TLS
SIP-T
LS
SRTP
SRTP
TLS
• Authentification du serveur et les clients• Confidentialité et intégrité du flux de signalisation échangé
• Confidentialité, authentification et intégrité des paquets RTP• Protection contre le rejeu des paquets
Mise en œuvre de la solution de la sécurité
2020
Internet
Attaque interne
Attaque externe
LAN
Détection et prévention d’attaques
WAN
pfSense & SNORT Mise en œuvre de la solution de la sécurité
21
VLAN
Serveur VoIP Serveur Messagerie
192.168.10.3 192.168.10.4
192.168.10.10
172.16.20.28
172.16.20.20
172.16.20.25
Commutateur CISCO 2560
Mise en œuvre de la solution de la sécurité
22
VPN site to site Mise en œuvre de la solution de la sécurité
23
Fail2ban & Fail2SQL
BlocageSupervision
NotificationMail
Détection
Fail2Ban&
Fail2SQL
Mise en œuvre de la solution de la sécurité
24
Fail2DisplayGarder une trace des attaques
Mise en œuvre de la solution de la sécurité
25
Diagramme de composants Mise en œuvre de la solution de la sécurité
26
Fail2Display : Consultation des attaques Mise en œuvre de la solution de la sécurité
27
Fail2Display : Statistique des attaques Mise en œuvre de la solution de la sécurité
28
Fail2Display : Géolocalisation Mise en œuvre de la solution de la sécurité
29
Introduction
Concepts de la VoIP
Analyse et critique de l’existant
Mise en œuvre des solutions de sécurité
Conclusion et perspectives
Plan
30
La sécurité du réseau VoIP n’est pas seulement une nécessité mais plutôt une obligation
Finalisation avec la technologie VoIP « Asterisk » https://github.com/yassinebrahmi/fail2display
Conclusion Conclusion et perspectives
Perspectives Mise en place d’une solution MPLS au lieu de VPN
Intégration d’un serveur de forte authentification « FreeRADIUS »
Merci pour votre attention