voip (h323,sip) et s é curit é kamel hjaiej supcom

Download VoIP (H323,SIP) et s é curit é Kamel HJAIEJ SUPCOM

Post on 03-Apr-2015

107 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

  • Page 1
  • VoIP (H323,SIP) et s curit Kamel HJAIEJ SUPCOM
  • Page 2
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 2 Sommaire Introduction Bilan de le voip Principaux risques Technologies et risques Elments de scurit Exemples dattaques - solutions Conclusion
  • Page 3
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 3 La voix sur IP nest pas mature et pose une problmatique de scurit Herv Schauer Expert en scurit Journal du net mai 2004
  • Page 4
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 4 Introduction Exemples d'usages: Visioconfrence, tlsurveillance Tlphonie d'entreprise Tlcopie Tlphonie sur internet Terminaux : Ordinateur + logiciel Tlphone de bureau Tlphone sans fil WiFi...
  • Page 5
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 5 Bilan de la VoIP N'est pas quivalent la tlphonie classique - Signalisation/contrle et transport de la voix sur le mme rseau IP - Perte de la localisation gographique de l'appelant N'offre pas la scurit laquelle les utilisateurs taient habitus - Fiabilit du systme tlphonique - Confidentialit des appels tlphoniques - Invulnrabilit du systme tlphonique Intrusion, coute,usurpation didentit, dnis de service etc
  • Page 6
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 6 Bilan de la VoIP N'est pas juste Pas d'authentification mutuelle entre les parties par dfaut Peu de contrles d'intgrit des flux, pas de chiffrement Risques d'interception et de routage des appels Falsification des messages d'affichage du numro renvoys l'appelant
  • Page 7
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 7 Principaux risques (1) classification des principaux risques connus lis l'utilisation de la VoIP en entreprise : DoS Attaques entranant l'indisponibilit d'un service/systme pour les utilisateurs lgitimes. Ecoute clandestine Attaques permettant d'couter l'ensemble du trafic de signalisation et/ou de donnes. Le trafic cout n'est pas modifi. Dtournement du trafic Attaques permettant de dtourner le trafic au profit de l'attaquant. Le dtournement peut consister rediriger un appel vers une personne illgitime ou inclure une personne illgitime dans la conversation.
  • Page 8
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 8 Principaux risques (2) Identit Attaques bases sur la manipulation d'identit (usurpation, ). Vols de services Attaques permettant d'utiliser un service sans avoir rmunrer son fournisseur. Communications indsires Attaques permettant une personne illgitime d'entrer en communication avec un utilisateur lgitime.
  • Page 9
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 9 Liste dtaille des risques DoS Interruption de la communication en cours Empcher l'tablissement de la communication Rendre la communication inaudible Epuisement de ressources Ecoute clandestine Conversation Obtention d'info. sur les proprits de la communication Obtention d'info. sur le contenu de la communication
  • Page 10
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 10 Liste dtaille des risques (suite) Dtournement du trafic d'appel de signalisation Identit Usurpation d'identit Dissimulation d'identit Vols de services Tromper la taxation Communications indsires Appel spam Inscriptions dans la liste blanche
  • Page 11
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 11 Technologies Voix sur IP -----> multitude de protocoles H323 SIP MGCP MEGACO/H.248
  • Page 12
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 12 H323 Normalis par l'ITU Protocole similaire au fonctionnement des rseaux tlphonique commuts. Complexe Encore utilis en coeur de rseau En voie de disparition
  • Page 13
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 13 H323 Risques Intrusion Ecoute Usurpation d'identit Insertion et rejeu Dnis de service
  • Page 14
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 14 SIP Protocole similaire http : Gestion de sessions entre participants SIP : signalisation, et RTP/RTCP/RTSP : donnes Donnes transportes de toute nature : voix, images, messagerie instantane, changes de fichiers, etc
  • Page 15
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 15 SIP Risques : Ecoute Usurpation d'identit Insertion et rejeu Dni de service
  • Page 16
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 16 Elments de scurit Les mthodes de scurisation s'appuient sur les lments suivants : La scurit de base : la scurit de linfrastructure VoIP est fortement lie la scurit du rseau IP. Les actions: Mise jour du software Verrouillage de la configuration (hardphone/softphone)
  • Page 17
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 17 Elments de scurit La sparation des quipements DATA et VoIP permet elle seule de parer une grande partie des attaques, notamment les attaques concernant lcoute clandestine Les actions: Sparation au niveau IP (layer 3 ) Sparation grce aux VLAN (layer 2) etc..
  • Page 18
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 18 Elments de scurit Lauthentification permet de sassurer de lidentit des interlocuteurs Les actions: Authentification HTTP Digest des messages SIP Authentification mutuelle
  • Page 19
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 19 Elments de scurit Le chiffrement doit garantir la confidentialit et lintgrit des donnes changes Les actions: Chiffrement du flux de signalisation Chiffrement du flux mdia La scurit primtrique permet de protger le rseau VoIP de lentreprise face aux risques externes Les actions: SBC : Dfinitions de seuils / Call Admission Control
  • Page 20
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 20 Solutions Scurit dans le rseau IP Scurit propre la solution de VoIP
  • Page 21
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 21 S curit dans le r seau IP Liaison Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP Rseau Contrle d'accs par filtrage IP Authentification et chiffrement Transport Validation du protocole par filtrage, relayage et traduction sur le SBC (Session Border Controller) Authentification et chiffrement SSL/TLS
  • Page 22
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 22 Scurit propre la solution VoIP - SIP, MGCP, et les protocoles propritaires incluent des fonctions de scurit - Limite des terminaux qui n'ont pas le CPU ncessaire des calculs de clefs de session en cours de communication - Mise en oeuvre de la scurit -----> perte des possibilit d'interoprabilits entre fournisseurs
  • Page 23
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 23 Exemples dattaques potentielles NomButDescription DoS en utilisant les messages de requte SIP BYE impact sur la disponibilit Cette attaque permet de couper une communication existante entre deux terminaux. Ecoute clandestine physique impact sur la confidentialit des donnes Cette attaque a pour but dcouter ou denregistrer une conversation en cours. Vol de service en utilisant les accrditations de lutilisateur lgitime impact sur lintgritCette attaque a pour but deffectuer des appels gratuits en utilisant les informations dun utilisateur lgitime. Appel spamimpact sur lintgrit des donnes Cette attaque a pour but de jouer un message prenregistr la personne dcrochant le combin.
  • Page 24
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 24 Exemples dattaques - solutions Sparation rseaux DATA/VoIP Auth.Chiffrement DoS en utilisant les messages de requte SIP BYE XXX Ecoute clandestine physique XX Vol de service en utilisant les accrditations de lutilisateur lgitime XXX Appel spam XX
  • Page 25
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 25 Conclusion La VoIP est un service en plein expansion dans le monde. Sa qualit est faible surtout dans le cadre de lutilisation de lInternet public. On peut sattendre une amlioration de cette qualit dans les annes venir mais cela prendra du temps et surtout cotera beaucoup dargent. Seule une analyse rigoureuse des risques peut garantir le succs de cette infrastructure VoIP approprie aux besoins et au budget de l'utilisateur.
  • Page 26
  • Regional Seminar: VOIP Algers- Algeria 19-20/3/2007 26 Bibliographie Best Practices for VoIP-SIP Security Auteurs:Alistair Doswald (HEIG), Prof. Juergen Ehrensberger (HEIG), Xavier Hahn (HEIG), Prof. Stefano Ventura (HEIG) VoIP et scurit Retour d'exprience d'audits de scurit Herv Schauer Herv Schauer CISSP, ProCSSI, ISO 27001 Lead Auditor par CISSP, ProCSSI, ISO 27001 Lead Auditor par LSTI

Recommended

View more >