580 likes | 721 Views
La voix sur IP : vulnérabilités, menaces, et sécurité préventive. Lotfi ALLANI. Novembre 2010. Plan. Introduction Technologies VoIP/ToIP Vulnérabilités Attaques envisageables Sécurité préventive Recommandations. Introduction . Enjeux importants. Introduction .
E N D
La voix sur IP :vulnérabilités, menaces, et sécurité préventive Lotfi ALLANI Novembre 2010
Plan • Introduction • Technologies VoIP/ToIP • Vulnérabilités • Attaques envisageables • Sécurité préventive • Recommandations
Introduction • Enjeux importants
Introduction • Nouvelles infrastructures • Terminaux • Ordinateur + logiciel • Téléphone de bureau • Téléphone sans fil WiFi • Freebox, Livebox, ... • Serveurs • Équipements d’interconnection • Nouveaux risques
Technologies VoIP • Signalisation et contrôle • Transport • Session SIP • Protocoles secondaires • Architecture • Enjeux de la sécurité
Signalisation et contrôle • H.323: • Caractéristiques: • Complexe • Transcription IP de l'ISDN • similaire au fonctionnement des RTCs • Encore utilisé en coeur de réseau • Mécanismes de sécurité : H.235 • En voie de disparition
Signalisation et contrôle • SIP (Session Initiation Protocol): • Normalisé par l’IETF (RFC 3261), “ressemble” à HTTP • Protocole se transformant en architecture • Adresses simples : sip:user@domaine.com • Extensions propriétaires • Gestion de sessions entre participants: • “End-to-end” (entre IP PBX) • Inter-AS MPLS VPNs • Confiance transitive (Transitive trust) • Données transportées de toute nature : voix, images, messagerie instantanée, échanges de fichiers, etc
Signalisation et contrôle • MGCP (Media Gateway Control Protocol): • Softswitch (CallAgent)<->MediaGateWay • CallAgents->MGW (2427/UDP) • MGW->CallAgents (2727/UDP) • Utilisé pour contrôler les MGWs • AoC (Advise Of Charge) en direction du CPE
Transport • Rôle: Encodage, transport, etc. • RTP (Real-Time Protocol) : udp • Pas de gestion de QoS/bande passante • Connectivité : • Soit UA<->UA (risque de fraude), • Soit UA<->MGW<->UA • CODECs • ancien: G.711 (PSTN/POTS - 64Kb/s) • courant: G.729 (8Kb/s) • RTCP (Real-Time Control Protocol) : • Protocole de contrôle pour RTP • SRTP / SRTCP : équivalents chiffrés
Session SIP • 2 composantes: • Fonctionnalités: • Signalisation (SIP) : la gestion des appels, passe par des serveurs • Localisation des utilisateurs • Session: • Configuration, Négociation • Modification, Fermeture • Données (RTP/RTCP/RTSP) : la voix, peut passer par le chemin le plus court
Protocoles secondaires • DNS : Annuaire et localisation • DHCP : Attribution IP/DNS/etc • TFTP : Configuration & mise à jour • HTTP : Administration • ENUM : Correspondance adresses SIP / numéros E.164 en utilisant DNS
IP / MPLS F W WEB DB Billing H.323/RTP CPE OSS/BSS FW S B C F W IP PBX IP PBX VoIP Core PBX SBC CPE Softswitch F W H.323/MGCP/RTP Internet MGW MGW TDM / PSTN S B C Carrier SIP/RTP Carrier H.323/RTP MGW • - Téléphones IP (IP phones): • - Téléphones hard-phones « classiques » • - Propriétaires • - Appliances • - Soft-phones / UA (User-agents) • - Solutions logicielles • - Souples • - « Toaster » • - Mises à jour / patches • - Intelligence Architecture opérateur • - LAN • - Ethernet (routeurs et switches) • - xDSL/cable/WiFi • - VLANs (données/voix+signalisation) • - VPN cryptés • - SSL/TLS • - IPsec • Localisation du cryptage • (LAN-LAN, téléphone – téléphone...) • - Impact sur la QoS • - Que va apporter IPv6 ? • - QoS (Quality de service) • - Bande passante • Délai (150-400ms) • Jitter (<<150ms) • - Perte de paquets (1-3%) • - Passerelle de voix (Voice Gateway: IP-PSTN) • - Protocoles de contrôle de passerelles • (Gateway Control Protocols) • - Signalisation : interface SS7 • - Media Gateway Controller • - Passerelle de signalisation (Signaling Gateway) • - Transport • Passerelle de média (Media Gateway): • conversion audio • - WAN • - Internet • - VPN-MPLS • - Liaisons spécialisées • - MPLS • - Téléphones IP (IP phones): • - Intelligence déplacée du réseau vers l’équipement terminal • - Flux entre le téléphone et les autres systèmes • - SIP, RTP • - (T)FTP • - CRL • - etc. • - Systèmes : • - Proxy: SIP • - Gestionnaire d’appels (Call Manager)/IP PBX • - Gestion des utilisateurs et reporting (HTTP, etc) • - Recherche des chemins par IP • - GK (GateKeeper) : H.323 • - Serveur d’authentification (Radius) • - Serveur de facturation (CDR/billing) • - Serveurs DNS, TFTP, DHCP • - Firewall • - Filtrage « Non-stateful » • - Filtrage « Stateful » • - Filtrage applicatif par couches (Application Layer Gateway filtering -ALGs) • - NAT / « firewall piercing »
Architecture: SBC • Quel est le rôle d'un SBC ? • SBC : Session Border Controllers. • Elément clé pour déploiement de softswitch: • Solutions intégrées de sécurité. • Terminal client IP généralement protégé par un pare-feu et bénéficie d’une adresse IP privée. • permet de traverser la protection du firewall et les équipements NAT (Hosted NAT traversal : mise en conformité de l'en-tête IP et de la signalisation) • permet de protéger le softswitch : • des « signalling overloads », • d’attaques en denis de service • et d’autres attaques rendues possibles en utilisant IP
Architecture: SBC • SBC: • Autres fonctionnalités: • Convertir la signalisation • Convertir le flux multimédia (CODEC) • Autoriser RTP de manière dynamique • Localisation: • Il peut être localisé à différents endroits • client/opérateur, • au sein du réseau client, • à l'interface entre deux opérateurs (Peering VoIP)
Enjeux de la sécurité • Les Firewalls • Le rôle du firewall • Les spécificités de la VOIP : • la problématique des ports dynamiques, • les protocoles parapluie... • La translation d'adresse (NAT) • Le problème de l'adressage IP : • adressage privé, • adressage public, • évolution IPv6…
Enjeux de la sécurité • Les Firewalls • NAT et Firewall : • les impacts sur la QoS. • Les compromis Qualité de Service vs Sécurité.
Vulnérabilité technologique • Généralités • Vulnérabilité protocolaire • Vulnérabilité architecturale • Exemples
Généralités • VoIP/ToIP n’est pas équivalente à la téléphonie classique • Signalisation/contrôle et transport de la voix sur le même réseau IP • Perte de la localisation géographique de l'appelant
Généralités • Stratégie de sécurité différente de celle à laquelle les utilisateurs étaient habitués: • Fiabilité du système téléphonique • Combien de pannes de téléphone vs pannes informatique? • Confidentialité des appels téléphoniques • Invulnérabilité du système téléphonique • Devenu un système susceptible d'intrusions, vers, etc
Vulnérabilité protocolaire • Risque semblables à ceux des réseaux IP: • Intrusion, • écoute, • usurpation d'identité, • rejeu, • dénis de service, • etc. mais • Ce n’est pas juste « une application IP en plus »
Vulnérabilité protocolaire • VoIP n’est pas juste « une application IP en plus », car: • Pas d'authentification mutuelle entre les parties, • Peu de contrôles d'intégrité des flux, pas ou peu de chiffrement • Risques d'interception et de routage des appels vers des numéros surfacturés • Falsification des messages d'affichage du numéro renvoyés à l'appelant • Attaques accessibles à tout informaticien et pas juste aux spécialistes de téléphonie numérique • Exemple: Terminaux très fragiles
Vulnérabilité architecturale • Combinaison matériel+logiciel (surtout des DSP): • Softswitch: • généralement dédié à la signalisation • MGW (Media Gateway): • RTP<->TDM, • SS7oIP<->SS7 • IP-PBX: • Softswitch+MGW
Vulnérabilité architecturale • Systèmes d'exploitation • OS temps réel (QNX/Neutrino, VxWorks, RTLinux) • Windows • Linux, Solaris • Sécurisation par défaut souvent quasi inexistante • Gestion des mises à jour : • Les OS sont rarement à jour • Les mises-à-jour ne sont pas « autorisées »
H323 • Intrusion • Filtrage quasi-impossible : • multiplication des flux, des mécanismes d'établissement d'appel, des extensions à la norme, et transmission des adresses IP au niveau applicatif • Ecoute • Usurpation d'identité • Insertion et rejeu • Dénis de service: • De par la conception du protocole, pas de détection des boucles, signalisation non fiable, etc
SIP • Ecoute • Usurpation d'identité • Insertion et rejeu • Déni de service
Autres • Skinny Client Control Protocol (Cisco) : • Risques : • Ecoute, Usurpation d'identité, Insertion et rejeu, Déni de service • Multimedia Gateway Control Protocol (MGCP) • Risques: • Identiques aux autres en entreprise (pas d'expérience d'audit sécurité) • Dépendants de la sécurité du boitier ADSL • Moins de risques de surfacturation et de déni de service sur le serveur central • GSM sur IP : nano BTS • Risques : • Surfacturation, Ecoute des communications • Usurpation d'identité, Insertion et rejeu • Déni de service • GSM sur IP : UMA : Unlicensed Mobile Access • Risques : • Exposition du réseau opérateur sur Internet • Déni de service
Terminaux • Peu de sécurisation des terminaux, peu de fonctions de sécurité • Pas de 802.1X • Exemple : test de téléphones VoIP (SIP) sur WiFi • 15 Téléphones testé de 8 fournisseurs • Cisco, • Hitachi, • Utstarcom, • Senao, • Zyxel, • ACT, • MPM, • Clipcomm
Terminaux • Exemple (Suite) : téléphones VoIP (SIP) sur WiFi • Connexion interactive avec telnet ouverte • SNMP read/write avec community name par défaut • Ports de debogage VXworks ouverts en écoute sur le réseau WiFi • Services echo et time ouverts • Connexion interactive rlogin avec authentification basique • Exemple Cisco 7920 • port 7785 Vxworks wdbrpc ouvert • SNMP Read/Write • Réponse de Cisco : • les ports ne peuvent pas être désactivés, la communauté • SNMP ne pas être changée : • tout est codé en dur dans le téléphone...
Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (non VoIP) • Coupure de courant : • Téléphone branché sur le secteur (pas PoE, pas secouru) => plus de téléphone • Serveurs branchés sur le courant secouru mais pas le commutateur devant => problème de commutateur
Infrastructure • Exemple : coupure de courant lors d’un audit de sécurité (suite) • Retour du courant : • Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré • Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP ..." • Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné • Seule solution trouvée : débrancher/rebrancher chaque téléphone un par un pour remise en service
Attaques envisageables • Attaques : couches basses • Attaques : implémentations • Attaques : protocoles VoIP • Attaques : téléphones • Autres attaques
Attaques : couches basses • Attaques physiques • Systèmes d'écoute Interception (MITM) : • écoute passive ou modification de flux • Discussion • “Who talks with who” • Sniffing du réseau • Serveurs (SIP, CDR, etc)
Attaques : couches basses • Attaques sur les couches basses : LAN • Accès physique au LAN • Attaques ARP : • ARP spoofing, • ARP cache poisoning • Périphériques non authentifiés (téléphones et serveurs) • Différents niveaux : • adresse MAC, utilisateur, port physique, etc
Attaques : implémentations • Interface d'administration HTTP, de mise à jour TFTP, etc. • Exploits • Vols de session (XSS) • Scripts / injections • Piles TCP/IP • Dénis de services (DoS) • PROTOS
Attaques : protocoles VoIP • Fraude: Spoofing SIP • Call-ID Spoofing • Appropriation des droits d’utilisateur sur le serveur d’authentification • Tags des champs From et To • Replay • Accès au voicemail
Attaques : protocoles VoIP • DoS : Denial of service • Au niveau: • Réseau • Protocole (SIP INVITE) • Systèmes / Applications • Téléphone • Envois illégitimes de paquets SIP INVITE ou BYE • Modification « à la volée » des flux RTP
Attaques : téléphone • (S)IP phone : • Démarrage (Startup) • DHCP, TFTP, etc. • Accès à l’adresse physique • Tables de configuration cachées • Piles TCP/IP • Configuration du constructeur • Trojan horse/rootkit
Attaques : autres • Protocoles secondaires: • DNS : DNS ID spoofing ou DNS cache poisoning • DHCP : DoS, MITM • TFTP : upload d'une configuration (DoS, MITM...) • Autres: • L’élément humain • Systèmes: • La plupart ne sont as sécurisés par défaut • Worms, exploits, Trojan horses
Sécurité préventive • Quelle sécurité préventive? • Sécurité indépendantes de la VoIP • Sécurité propres à la VoIP / ToIP • Calcul du ROI de la VoIP
Quelle sécurité préventive? • Mesure de sécurité, ou protection • Action • Diminue le risque à un niveau acceptable • Action préventive ISO 19011:2002 • Action visant à éliminer une situation indésirable potentielle • Agit en amont de l'incident • Action corrective • Action visant à éliminer une situation indésirable détectée • Agit en aval de l'incident
Quelle sécurité préventive? • Actions préventives ? • Donc réfléchir sans attendre l'incident ! • Identifier se qui compte pour le chef d'entreprise • Réaliser une analyse de risque sur ce qui compte • Appliquer des mesures de sécurité • Avec un rapport qualité/prix réaliste • Afin de réduire les risques à un niveau acceptable
Sécurité indépendante VoIP • Sécurité dans le réseau IP • Sécurité dans le réseau • Liaison • Cloisonnement des VLAN • Filtrage des adresses MAC par port • Protection contre les attaques ARP • Réseau • Contrôle d'accès par filtrage IP • Authentification et chiffrement avec IPsec • Transport • Authentification et chiffrement SSL/TLS
Sécurité indépendante VoIP • Filtrage IP : firewall • Contrôle d'accès réseau • Proactif : • le paquet passe ou le paquet est bloqué • Application de la politique de sécurité de l'organisme
Sécurité indépendante VoIP • Détection d'intrusion (NIDS) • Passif : • le paquet est passé mais finalement il n'aurait pas du, il est malveillant • Faux positifs : • un paquet vu comme malveillant qui est tout à fait légitime • Faux négatif : • un paquet vu comme légitime qui est malveillant
Sécurité indépendante VoIP • Prévention d'intrusion (NIPS) • Combiner l'analyse approfondie de la détection d'intrusion avec la capacité de bloquer du firewall • Actif : certains paquets sont passés, mais pas les suivants : • Limitation de bande passante • TCP Reset / ICMP Unreachable • Toujours des risques de faux positifs / faux négatifs
Sécurité propre à la VoIP • Solutions: • SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité • Limitations: • Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication • Mise en oeuvre de la sécurité => perte des possibilité d'interopérabilités entre fournisseurs
Calcul du ROI • VoIP: Pas de service en plus • Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP • Les service disponibles en VoIP le sont aussi en téléphonie classique • Aucun calcul de ROI ne peut se justifier par la disponibilité de nouveaux services • Intégrer les coûts de la VoIP
ROI : coût du VoIP • Intégrer les coûts de la VoIP • Coûts de câblage • Poste téléphonique IP =>prise ethernet supplémentaire • Difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC • Nécessité des VLANs, avant considérations de sécurité • Informations indispensable au service téléphonique ; N° pièce, n° prise associée à chaque n° de téléphone: • N° de téléphone, @MAC, @IP et n° de prise Ethernet liés • Câblage rapide des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE) • Onduleurs supplémentaires et spécifiques => VoIP/ToIP impose des coûts de câblage élevés
ROI : coût du VoIP • Intégrer les coûts de la VoIP • Services du réseau informatique deviennent des services critiques • DHCP • DNS • Commutateurs • ... • Obligation d’inclure les coûts de mise en oeuvre de la haute-disponibilité • Coûts d'exploitation au quotidien bien plus élevés 24/7, etc
ROI : dégradation du service • Intégrer la dégradation du service due à la VoIP: • Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 % • Taux de disponibilité téléphonie sur IP : ?? • Pas de téléphone pendant plusieurs jours... • Support téléphonique hors-service • Situations antagonistes : réseau en panne => téléphone en panne • Téléphone : principal système d'appel au secours pour la sécurité des personnes