voix sur ip (voip) - cours.· port udp 5060 ouvert pour la signalisation sip. ... un grand nombre

Download Voix sur IP (VoIP) - cours.· Port UDP 5060 ouvert pour la signalisation SIP. ... Un grand nombre

Post on 12-Sep-2018

213 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Voix sur IP(VoIP)

    Jean-Marc RobertGnie logiciel et des TI

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 2

    Voix sur IP (VoIP)

    Technologie qui permet deux personnes de communiquer. Entreprise

    Internet

    Interoprabilit IP et traditionnel

    Solutions Cisco, Alcatel-Lucent, Nortel, Avaya,

    Asterisk Logiciel libre

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 3

    Architecture VoIP (simplifi)

    Internet

    Serveur VoIP

    Passerelle

    PBX

    Deux sites dune mme compagnie

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 4

    Architecture VoIP / SIP (simplifi)

    Proxy SIP Proxy SIP

    SIP Registrar

    Invite Alice

    O est Alice?

    Invite Alice

    Adresse

    OK

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 5

    Architecture VoIP / SIP (simplifi)Redirect Server SIP Registrar

    O est Alice?

    Invite Alice

    Adresse

    Invite Alice Adresse

    OK

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 6

    Protocole SIP (simplifi)Alice BobProxy Server(s)

    Invite Bob Invite Bob@ets.ca

    OK Bob@ets.caOK Bob@ets.ca

    ACK Bob@ets.ca ACK Bob@ets.ca

    Bye Bob@ets.ca Bye Bob@ets.ca

    OKOK

    Conversation (RTP)

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 7

    Signalisation

    Interfaceusager

    UDP

    IP

    Lien Data

    Lien physique

    Interfaceusager

    UDP

    IP

    Lien Data

    Lien physique

    MessageHRTPHIP HUDPHMAC

    MessageHRTPHIP HUDP

    MessageHRTPHUDP

    Messages SIP

    Attaques classiques

    Attaques

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 8

    Traitement de la voix

    Interfaceusager

    RTP

    UDP

    IP

    Lien Data

    Lien physique

    Interfaceusager

    RTP

    UDP

    IP

    Lien Data

    Lien physique

    DonnesHRTPHIP HUDPHMAC

    DonnesHRTPHIP HUDP

    DonnesHRTPHUDP

    DonnesHRTP

    codage/dcodageCODEX

    Attaques classiques

    Attaques

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 9

    Protocole SIP INVITE

    Le message contient une description de la session (SDP).INVITE sip:bob@ets.ca SIP/2.0

    Via : SIP/2.0/UDP sipproxy12.ets.ca:5060

    Max-Forwards : 20

    To : Bob

    From : Alice

    Call-Id: 123@sipproxy.ets.ca

    CSeq: 1 INVITE

    Contact: alice@1.2.3.4

    Content-Type: application/sdp

    Content-Length:162

    v = 0

    c = IN IP4 1.2.3.4

    m = audio 12345 RTP/AVP 0 15

    port UDP pour la communication RTP

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 10

    Protocole SIP OK

    Le message contient une description de la session (SDP).SIP/2.0 200 OK

    Via : SIP/2.0/UDP sipproxy5.ets.ca:5060

    Via : SIP/2.0/UDP sipproxy12.ets.ca:5060

    Max-Forwards : 20

    To : Bob

    From : Alice

    Call-Id: 123@sipproxy.ets.ca

    CSeq: 1 INVITE

    Contact: bob@2.3.4.5

    Content-Type: application/sdp

    Content-Length:162

    v = 0

    c = IN IP4 2.3.4.5

    m = audio 6789 RTP/AVP 0

    port UDP pour la communication RTP

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 11

    SIP Complexe

    SIP specified in RFC 3261 published by IETF 2002 First iteration in 1999 (RFC2543) ten years old

    Additional functionality specified in over 120 different RFCs(!)

    Even more pending drafts...

    Known to be complex and sometimes vague difficult for software engineers to implement

    Interoperability conference - SIPit

    Tir de Lars Strand, VoIP some threats, security attacks and security mechanisms, RiskNet Open Workshop, 2009.

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 12

    SIP Complexe

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 13

    Digression Pare-feu

    Quels sont les ports UDP devant tre ouverts afin de permettre que les conversations aient lieu?

    Application Level Gateways Pare-feu tat pour la signalisation

    Entre : port UDP 5060

    Sortie : port phmre rpondant une requte SIP ou tout simplement UDP 5060

    Pare-feu proxy pour la conversation Analyse des paquets de signalisation SIP (INVITE et OK)

    Rcuprer les numros de port

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 14

    Digression NAT

    Quelles sont les adresses IP que Alice et Bob doivent utilises dans leurs messages SIP?

    NAT Simple Traversal of UDP through NATs (STUN)

    Traversal Using Relay NAT (TURN)

    Interactive Connectivity Establishment (ICE)

    Universal Plug and Play (UPnP)

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 15

    Digression Session Border Controllers

    Solution propritaire en attendant une solution standardise.

    Internet

    Serveur VoIP

    Passerelle

    PBX

    SBC

    SBC : Pare-feu applicatif, NAT, chiffrement, surveillance de SLA, lawful intercept, etc.

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 16

    Digression Asterisk

    Asterisk se simplifie la vie! Port UDP 5060 ouvert pour la signalisation SIP.

    Port UDP 10,000 20,000 ouverts par dfaut pour le trafic RTP.

    # iptables -I RH-Firewall-1-INPUT -p udp --dport 5060 -j ACCEPT

    # iptables -I RH-Firewall-1-INPUT -p udp --dport 10000:20000 -j ACCEPT

    Protocole IAX (Inter-Asterisk eXchange) Port UDP 4569 ouvert pour la signalisation et le trafic RTP.

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 17

    Menaces VoIP

    Confidentialit coute lectronique

    Analyse de trafic

    Altration du trafic

    Redirection dappels

    Disponibilit DoS

    Messages non dsirs (SPIT)

    Intgrit Accs non-autoris

    Altration du trafic

    Redirection dappels

    Fraudes

    Authentification Redirection dappels

    Usurpation didentit

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 18

    Menaces VoIP Cibles spcifiques SIP

    Signalisation (SIP) Enregistrement

    Redirection

    Cancel/Bye

    Altration

    Inondation

    Donnes (voix) coute lectronique

    Altration

    Inondation

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 19

    Architecture VoIP / SIP (simplifi)

    Proxy SIP Proxy SIP

    SIP Registrar

    Invite Alice

    O est Alice?

    Invite Alice

    Adresse

    OK

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 20

    Architecture VoIP / SIP (simplifi)Redirect Server SIP Registrar

    O est Alice?

    Invite Alice

    Adresse

    Invite Alice Adresse

    OK

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 21

    Signalisation SIP Register

    Senregistrer dans le domaine sans y avoir droit.

    Modifier un enregistrement dun autre usager. Changer ladresse de lusager pour celle de lattaquant.

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 22

    Signalisation SIP Invite

    SIP na aucun mcanisme de scurit protgeant lintgrit ou la confidentialit des messages. Redirection dun appel vers un concurrent .

    Personnification de lappeleur.

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 23

    Signalisation SIP Redirect

    Attaquer le Redirect server afin de distribuer de fausses adresses.

    Altrer les rponses aux requtes faites au Redirect server.

    Mme objectif : Redirection dun appel vers un concurrent .

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 24

    Signalisation Inondation

    Un grand nombre de SIP Invite Avec ou sans ACK

    Un grand nombre de SIP Bye ou SIP Cancel Call-Id prvisible p.ex. 123@sipproxy.ets.ca Tout simplement des paquets sans chercher dcouvrir le Call-Id

    Faille dans lenregistrement Effet multiplicatif!

    Boucle dans la signalisation

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 25

    Signalisation Inondation (boucle), Phase I

    SIP Registrar a.comRegister u1@a.comContact u1@b.com, u2@b.com

    Register u2@a.comContact u1@b.com, u2@b.com

    SIP Registrar b.comRegister u1@b.comContact u1@a.com, u2@a.com

    Register u2@b.comContact u1@a.com, u2@a.com

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 26

    Signalisation Inondation (boucle), Phase II

    Invite u1@a.com

    Invite u2@b.com

    Invite u2@b.com

    Invite u1@a.com

    Invite u2@a.com

    Invite u1@a.com

    Invite u2@a.com

    Invite u1@b.com

    Invite u2@b.com

    Invite u1@b.com

    Invite u2@b.com

    Invite u1@b.com

    Invite u2@b.com

    Invite u1@b.com

    Invite u2@b.comInterdire les forks , dtecter les boucles, etc.

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 27

    SPIT SPAM over Internet Telephony

    Comparativement, le SPAM est facile traiter! Le contenu du message peut tre analys avant dtre envoy au

    destinataire.

    Lorsque le tlphone sonne, est-ce un appel lgitime ou un SPIT? Peu dinformation pour lanalyse : source de lappel

    Solutions: Listes blanches

    Listes noires

    Rputation

  • Jean-Marc Robert, ETS MTI 719 - VoIP - A09 v1.0 28

    SPIT SPAM over Internet Telephony

    I. Tlmarketing persistant(A) Il va initier les appels.

    (B) Il ne devrait pas raccrocher le premier.

    II. Tlmarketing performant(A) Il va initier les appels.

    (B) Il devrait raccrocher rapidement probablement, le premier.

    III. Message prenregistr(A) Il va initier les appels.

    (B) Il ne devrait pas raccrocher le premier.

    Important : liste blanche pour bibliothque, dentistes, mdecins, etc.

    Usager normal (A) Il initie et reoit des appels.

    (B) Il a une chance sur deux de raccrocher.

    Problme : Comment