1 / 26

VoIP (H323,SIP) et s é curit é

VoIP (H323,SIP) et s é curit é. Kamel HJAIEJ SUP’COM. Sommaire. Introduction Bilan de le voip Principaux risques Technologies et risques Eléments de sécurité Exemples d’attaques - solutions Conclusion. « La voix sur IP n’est pas mature et pose une problématique de sécurité »

sage
Download Presentation

VoIP (H323,SIP) et s é curit é

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VoIP (H323,SIP) et sécurité Kamel HJAIEJ SUP’COM

  2. Sommaire • Introduction • Bilan de le voip • Principaux risques • Technologies et risques • Eléments de sécurité • Exemples d’attaques - solutions • Conclusion Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  3. « La voix sur IP n’est pas mature et pose une problématique de sécurité » Hervé Schauer Expert en sécurité Journal du net mai 2004 Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  4. Introduction Exemples d'usages: • Visioconférence, télésurveillance • Téléphonie d'entreprise • Télécopie • Téléphonie sur internet Terminaux : • Ordinateur + logiciel • Téléphone de bureau • Téléphone sans fil WiFi... Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  5. Bilan de la VoIP N'est pas équivalent à la téléphonie classique - Signalisation/contrôle et transport de la voix sur le même réseau IP - Perte de la localisation géographique de l'appelant N'offre pas la sécurité à laquelle les utilisateurs étaient habitués - Fiabilité du système téléphonique • Confidentialité des appels téléphoniques - Invulnérabilité du système téléphonique Intrusion, écoute,usurpation d’identité, dénis de service etc… Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  6. Bilan de la VoIP N'est pas juste • Pas d'authentification mutuelle entre les parties par défaut • Peu de contrôles d'intégrité des flux, pas de chiffrement • Risques d'interception et de routage des appels • Falsification des messages d'affichage du numéro renvoyés à l'appelant Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  7. Principaux risques (1) classification des principaux risques connus liés à l'utilisation de la VoIP en entreprise : • DoS Attaques entraînant l'indisponibilité d'un service/système pour les utilisateurslégitimes. • Ecoute clandestine Attaques permettant d'écouter l'ensemble du trafic de signalisation et/ou dedonnées. Le trafic écouté n'est pas modifié. • Détournement du trafic Attaques permettant de détourner le trafic au profit de l'attaquant. Ledétournement peut consister à rediriger un appel vers une personne illégitimeou à inclure une personne illégitime dans la conversation. Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  8. Principaux risques (2) • Identité Attaques basées sur la manipulation d'identité (usurpation, …). • Vols de services Attaques permettant d'utiliser un service sans avoir à rémunérer sonfournisseur. • Communications indésirées Attaques permettant à une personne illégitime d'entrer en communication avec un utilisateur légitime. Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  9. Liste détaillée des risques • DoS Interruption de la communication en cours Empêcher l'établissement de la communication Rendre la communicationinaudible Epuisement de ressources • Ecouteclandestine Conversation Obtention d'info. sur les propriétés de la communication Obtention d'info. sur le contenu de la communication Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  10. Liste détaillée des risques (suite) • Détournement du trafic d'appel de signalisation • Identité Usurpation d'identité Dissimulation d'identité • Vols de services Tromper la taxation • Communications indésirées Appel spam Inscriptions dans la liste blanche Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  11. Technologies Voix sur IP -----> multitude de protocoles • H323 • SIP • MGCP • MEGACO/H.248 Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  12. H323 • Normalisé par l'ITU • Protocole similaire au fonctionnement des réseauxtéléphonique commutés. • Complexe • Encore utilisé en coeur de réseau • En voie de disparition Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  13. H323 Risques • Intrusion • Ecoute • Usurpation d'identité • Insertion et rejeu • Dénis de service Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  14. SIP Protocole similaire à http : • Gestion de sessions entre participants • SIP : signalisation, et RTP/RTCP/RTSP : données • Données transportées de toute nature : voix, images, messagerieinstantanée, échanges de fichiers, etc Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  15. SIP Risques : • Ecoute • Usurpation d'identité • Insertion et rejeu • Déni de service Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  16. Eléments de sécurité Les méthodes de sécurisation s'appuient sur les éléments suivants : • La sécurité de base : la sécurité de l’infrastructure VoIP est fortement liée à la sécurité du réseau IP. Les actions: Mise à jour du software Verrouillage de la configuration (hardphone/softphone) Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  17. Eléments de sécurité La séparation des équipements DATA et VoIP permet à elle seule deparer une grande partie des attaques, notamment les attaques concernantl’écoute clandestine Les actions: Séparation au niveau IP (layer 3) Séparation grâce aux VLAN (layer 2) etc.. Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  18. Eléments de sécurité L’authentification permet de s’assurer de l’identité des interlocuteurs Les actions: Authentification HTTP Digest des messages SIP Authentification mutuelle Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  19. Eléments de sécurité • Le chiffrement doit garantir la confidentialité et l’intégrité des donnéeséchangées Les actions: Chiffrement du flux de signalisation Chiffrement du flux média • La sécurité périmétrique permet de protéger le réseau VoIP de l’entrepriseface aux risques externes Les actions: SBC : Définitions de seuils / Call Admission Control Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  20. Solutions • Sécurité dans le réseau IP • Sécurité propre à la solution de VoIP Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  21. Sécurité dans le réseau IP • Liaison Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP • Réseau Contrôle d'accès par filtrage IP Authentification et chiffrement • Transport Validation du protocole par filtrage, relayage et traduction sur le SBC (Session Border Controller) Authentification et chiffrement SSL/TLS Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  22. Sécurité propre à la solution VoIP - SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité - Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication - Mise en oeuvre de la sécurité -----> perte des possibilité d'interopérabilités entre fournisseurs Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  23. Exemples d’attaques potentielles Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  24. Exemples d’attaques - solutions Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  25. Conclusion • La VoIP est un service en plein expansion dans le monde. Sa qualité est faible surtout dans le cadre de l’utilisation de l’Internet public. • On peut s’attendre à une amélioration de cette qualité dans les années à venir mais cela prendra du temps et surtout coûtera beaucoup d’argent. • Seule une analyse rigoureuse des risques peut garantir le succès de cette infrastructure VoIP appropriée aux besoins et au budget de l'utilisateur. Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

  26. Bibliographie Best Practices for VoIP-SIP Security Auteurs:Alistair Doswald (HEIG), Prof. Juergen Ehrensberger (HEIG), Xavier Hahn (HEIG), Prof. Stefano Ventura (HEIG) VoIP et sécurité Retour d'expérience d'audits de sécurité Hervé Schauer Hervé Schauer CISSP, ProCSSI, ISO 27001 Lead Auditor par CISSP, ProCSSI, ISO 27001 Lead Auditor par LSTI Regional Seminar: VOIP Algers- Algeria 19-20/3/2007

More Related