Les attaques protocolaires
Les lignes VoIP sont exposées aux mêmes attaques que votre connexion Internet et que votre messagerie. Les cybercriminels sont entrain de mettre au point de nouvelles attaques visant spécifiquement la téléphonie sur IP. Il est important de connaître ces risques potentiels [14].
Spam
Les lignes VoIP sont la cible d’actions marketing indésirables qui leur sont propres, plus connues sous le nom de « SPIT » (Spam over Internet Telephony). Et il existe trois types de SPAM [14].
Call Spam : ce type de spam est défini comme une masse de tentatives d’initiation de session (des requêtes INVITE) non sollicitées.
IM (Instant Message) Spam : ce type de spam est semblable à celui de l’e-mail.
Il est défini comme une masse de messages instantanés non sollicitées. Les IM spam sont pour la plupart envoyés sous forme de requête SIP.
Présence Spam : ce type de spam est semblable à l’IM spam. Il est défini comme une masse de requêtes de présence non sollicitées. L’attaquant fait ceci dans le but d’appartenir à la » white list » d’un utilisateur afin de lui envoyer des messages instantanés ou d’initier avec lui d’autres formes de communication.
Suivi des appels
Appelé aussi Call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone). Elle a pour but de connaître qui est entrain de communiquer et quelle est la période de la communication.
Pour réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les messages INVITE et BYE.
Voice phishing (phishing via VoIP)
Egalement appelée « vishing », cette méthode d’attaque consiste pour le pirate à vous appeler sur votre ligne VoIP et à vous amener par la ruse à lui communiquer des informations confidentielles comme vos numéros de carte de crédit et de compte bancaire.
Le sniffing
Le Sniffing ou reniflement de trafics constitue l’une des méthodes couramment utilisées par les pirates informatiques pour espionner le trafic sur le réseau. Dans la pratique, les hackers ont généralement recours à ce procédé pour détecter tous les messages circulant sur le réseau en récupérant des mots de passe et des données sensibles.
Déni de service
L’attaque par déni de service consiste à surcharger le serveur Web de requêtes jusqu’à ce qu’il ne puisse plus suivre et s’arrête. Il est envisageable de saturer les réseaux des sociétés équipées en voix sur IP, bloquant ainsi les communications internes, externes mais aussi le système d’information.
Les attaques par déni de service se retrouvent sous plusieurs formes. Les plus classiques sont celles qui visent à utiliser toute la bande passante disponible ou abuser de problèmes intrinsèques à TCP/IP, bloquant ainsi les tentatives de communication. Dans le cadre d’une solution VoIP bien des éléments peuvent être attaqués comme le téléphone, le réseau, le système d’exploitation, l’application,… etc.
Compromission de serveurs
Les serveurs jouent un rôle important dans une solution de voix sur IP, et même s’il n’est pas forcément possible d’intercepter un appel si un serveur est compromis, il est souvent possible de récupérer des CDRs (Call Detail Records) qui contiennent toutes les traces des appels effectués. En revanche la compromission d’une passerelle entre le réseau VoIP et le réseau téléphonique classique permet d’écouter de manière transparente les appels, même s’ils sont chiffrés du côté VoIP (SRTP).
Les interceptions illégales d’appels
Avec la VoIP, tous les postes téléphoniques deviennent en quelque sorte des serveurs puisqu’ils sont désormais accessibles de l’extérieur de l’entreprise. Si aucune mesure n’est prise, cela revient à supprimer l’intérêt du Firewall d’entreprise. Ce risque devient d’autant plus dangereux que si aujourd’hui peu de personnes sont capables de pirater un réseau téléphonique classique, avec la VoIP, cela devient possible pour n’importe quel informaticien.
Les attaques sur les couches basses
ARP spoofing
L’ARP est un protocole qui de par sa conception expose les réseaux informatiques, et leurs composants à des vulnérabilités et des dangers qui sont faciles à exploiter lorsque l’on connaît bien son fonctionnement. Cette attaque, appelée aussi ARP Redirect, redirige le trafic réseau d’une ou plusieurs machines vers la machine du pirate. Elle consiste à s’attribuer l’adresse IP de la machine cible, c’est-à-dire à faire correspondre son adresse IP à l’adresse MAC de la machine pirate dans les tables ARP des machines du réseau. Pour cela il suffit en fait d’envoyer régulièrement des paquets ARP_reply en broadcast, contenant l’adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Celles-ci enverront donc leurs trames Ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. De son côté, la machine pirate stocke le trafic et le renvoie à la vraie machine en forgeant des trames Ethernet comportant la vraie adresse MAC. Cette technique est très puissante puisqu’elle opère au niveau Ethernet, permettant ainsi de spoofer le trafic IP.
IIMITM
Man-In-The-Middle : écoute passive ou modification de flux
Man-in-the-Middle signifie l’homme du milieu. Cette attaque fait intervenir trois protagonistes : le client, le serveur et l’attaquant. Le but de l’attaquant est de se faire passer pour le client auprès du serveur et se faire passer pour le serveur auprès du client. Il devient ainsi l’homme du milieu. Cela permet de surveiller tout le trafic réseau entre le client et le serveur, et de le modifier à sa guise pour l’obtention d’informations (mots de passe, accès système, etc.). Voir Figure III.1.
La plupart du temps, l’attaquant utilise les techniques de détournement de flux pour rediriger les flux du client et du serveur vers lui [15].
Les infrastructures critiques sont constituées de l’ensemble des grands réseaux indispensables au bon fonctionnement d’une société. Leur sécurisation est donc, par nature, un enjeu majeur pour cette dernière. Ces réseaux sont d’une importance majeure pour les autres infrastructures critiques. Cet accroissement des dépendances entre les infrastructures amène à l’apparition de nouvelles vulnérabilités qu’il s’agit d’identifier.
Les téléphones IP
Un pirate peut enfoncer un dispositif de téléphonie sur IP, par exemple, ce dernier peut rejeter automatiquement toutes les requêtes d’appel, ou encore, éliminer tout déclenchement de notification tel qu’un son, une notification visuelle à l’arrivée d’un appel. Les appels peuvent également être interrompus à l’improviste.
D’autres conséquences possibles sont : -Des backdoors (une porte dérobée qui donne un accès secret au logiciel.) pourront être installés.
-L’acquisition d’un accès non autorisé sur un dispositif de téléphonie IP peut être le résultat d’un autre élément compromis sur le réseau IP, ou de l’information récoltée sur le réseau.
-Les téléphones IP exécutent quant à eux leurs propres systèmes d’exploitation avec un nombre limité de services supportés et possèdent donc moins de vulnérabilités.
Vulnérabilités de la confidentialité et l’intégrité de la VOIP
Pour la confidentialité de la communication, les données doivent être chiffrées. Le chiffrement s’effectue généralement par une clé symétrique, qui offre une grande rapidité du chiffrement et du déchiffrement.
La difficulté réside dans la distribution sécurisée de la clé entre les deux extrémités communicantes. Une clé asymétrique peut être utilisée pour le transport de la clé symétrique utilisée pour établir le tunnel chiffré transportant la VOIP.
L’intégrité est obtenue par une signature électronique. La signature électronique s’effectue à partir d’un hash (Un hash cryptographique est une série de chiffres et lettres générées par une fonction de hachage) chiffré de l’information à transmettre. Après déchiffrement, le destinataire doit obtenir la même valeur du hash.
Vulnérabilités de disponibilité de la VOIP
La disponibilité désigne le temps pendant lequel un système est en état de marche ou, ce qui revient au même, le temps pendant lequel le système n’est pas en état de marche. La téléphonie classique présente une disponibilité dite aux 5 « neuf », c’est-à-dire que le système est en état de marche 99,999 % du temps, ce qui représente cinq minutes de panne au total sur l’année. Un bon FAI (Fournisseur d’Accès Internet) travaille aux 3 « neuf », c’est-à-dire que son réseau est disponible 99,9 % du temps, ce qui équivaut à 8,8 heures de panne par an.
Sécuriser le SIP d’un serveur Asterisk
Du point de vue SIP, Asterisk est un B2BUA. Un B2BUA (back-to-back user agent) est un élément logique du réseau dans les applications SIP. Il intervient entre les deux terminaisons d’un appel et divise la communication en deux appels indépendants. Tous les messages de control passent par le B2BUA, ce qui lui permet d’intervenir lors de l’appel afin de lancer si nécessaire des applications comme l’interception, l’enregistrement, la diffusion de messages. Par contre Asterisk n’est pas un proxy SIP. Il intègre quelques-unes des fonctions (routage des appels, serveur registrar), mais gère de manière incomplète l’ensemble des messages SIP [15].
On peut distinguer les niveaux de sécurité de VOIP suivants :
• Limitation d’accès physique dans le réseau VOIP et sur le serveur VOIP (DOD : Accès réseau)
• Configuration fiable des équipements de réseau et la surveillance permanent de topologie et des propriétés de réseau (DOD : Transport et Internet)
• Configuration fiable de Linux et d’Asterisk Voici quelques moyens de protéger un réseau VOIP et le serveur Asterisk : • Limitation d’accès physique L’accès aux équipements réseau tel que switchs ou serveurs ne doit pouvoir être fait que par les personnes autorisées (administrateurs ou techniciens). Il est aussi important que les employés ne puissent pas brancher ou débrancher des équipements sur le réseau de l’entreprise. • Séparation des flux data/voip via 2 vlans différents.
Les communications entre les VLAN doivent être rigoureusement filtrées de manière à n’autoriser que les flux nécessaires. Seuls les flux définis sont autorisés. On a trois possibilités : Création de VLAN par ports (couche n°1 de modèle OSI), par adresse MAC (couche n°2 de modèle OSI) et par adresse IP (couche n°3 de modèle OSI).
Par exemple, les IP Phones n’ont pas besoin d’envoyer un flux média (ex : RTP) aux serveurs VoIP. Donc, au lieu d’autoriser toutes communications entre les VLAN VOIP Hardphones /Softphones et le VLAN VoIP Servers, seul le trafic concernant le protocole de signalisation (ex : SIP) devraient être autorisé. • Authentification forte Une authentification sur tous les équipements de réseau et des serveurs. • Changement des ports par défaut Pour SIP la modification peut être faite dans le fichier sip.conf dans la section « general ». • Intégration de VPN Intégrer des réseaux privés virtuels pour des utilisateurs nomades. • L’Interdiction d’accès à Asterisk sans authentification allowguest=yes autorise n’importe quel appel entrant SIP sans authentification ou autre restriction, et le passe au contexte déclaré par défaut pour les appels SIP. L’option allowguest ne devrait jamais être mise sur yes. • Limiter le nombre des appels simultanés. Dans la configuration de clients SIP il faut établir le paramètre call-limit=1. • Différenciez vos noms d’utilisateurs de vos extensions SIP. Il est conseillé de choisir un nom d’utilisateur SIP différent de l’extension.
Sécurisation du système et de l’application
Une application Client/Serveur était hiérarchique et centralisée : les clients étaient connus, qui accédaient tous à un serveur spécifique via le réseau LAN et WAN.
Mais les données du problème ont changé. L’utilisation des technologies web, notamment l’utilisation d’un navigateur Internet standard pour accéder à l’application, fait que le logiciel n’est plus maitrisable.
De même, les nouvelles générations d’applications, comme la Téléphonie sur IP, ou la messagerie instantanée remettent ce modèle en cause. En effet, le modèle n’est plus hiérarchique et centralisé (des clients qui convergent tous vers un serveur), mais distribué et non prédictif (tout le monde doit pouvoir parler à tout le monde, sans savoir ni quand ni combien de temps).
Le modèle de sécurisation des applications vole donc en éclats : on en peut plus sécuriser d’application centrale, il faut distribuer cette sécurisation partout, dans chaque élément traversé [16].
Les technologies spécifiques permettant de sécuriser les Applications :
Sécurisation d’application
Sécurisez les autres applications (ssh, http, etc.), en appliquant les meilleures pratiques pour chaque application, et en les tenants à jour.
Le Firewall
Le Firewall (en français Pare-Feu) contrôle qui accède à l’application et l’usage qui va en être fait, basé sur des politiques définies à l’avance.
La Protection d’Intrusion
Cette protection se fait en vérifiant que le flux qui se présente est bien conforme à ce qu’il doit être, et donc le confronter à une base de signatures d’attaques connues, attaques en » exploitation de vulnérabilité » (activité IDS classique) ou attaques virales (activité anti-virus classique). En fonction des cas et des endroits où il va intervenir ces technologies deviennent indispensables [17].
IPTABLE
Dans tous les cas, et surtout si le serveur Asterisk est accessible depuis l’extérieur, mettre en place des règles IPTABLES (est un logiciel libre de l’espace utilisateur Linux grâce auquel l’administrateur système peut configurer les chaînes et règles dans le pare-feu en espace noyau (et qui est composé par des modules Netfilter)).
L’authentification des clients
allowguest autorise un client sans user ni mot de passe à passer des appels => TRES DANGEREUX alwaysreject permet de renvoyer la même erreur, que ce soit le username ou le password qui soit incorrect. Cela complique les attaques de force brute.
IDS systems
Ces systèmes surveillent les fichiers journaux à la recherche de comportements suspects, comme un certain nombre de mots de passe mal entrés dans un court laps de temps.
Les règles par défaut permettent également un certain nombre de tentatives, si les attaques peuvent être chronométrés de ne pas déclencher l’IDS ou dès que l’adresse IP est bloquée, le pirate peut reprendre la tentative d’une autre adresse IP.
Rate limiting
Utilisation d’iptables pour limiter la vitesse à laquelle les messages SIP peuvent être envoyés à partir d’un seul appareil, ce qui donne moins de temps pour l’attaquant de faire des attaques de force brute, et arrête la charge étant reportée à votre système IDS.
Bloquer les attaques courantes
La plupart des attaques sont des logiciels librement et largement disponibles, et comprennent le nom du logiciel dans le message SIP, autant de pirates amateurs ne se soucient pas de changer cela. La reconnaissance et le blocage des noms les plus populaires permettront de réduire le nombre d’attaques.
Des exemples de noms d’outils de hacking SIP populaire présents comprennent :
-Facile à scanner
-VaxSIPUserAgent
-sundayddr
-sipsak
-sipvicious
-iWar
-SIP-scan
-sipcli
Protection contre les attaques ARP
Cette méthode consiste à empêcher la connexion du pirate sur le réseau
➔ Sécuriser l’accès physique du réseau pour un réseau filaire.
➔ En Wi-Fi, tous les paquets sont rejetés si le pirate ne connaît pas la clé secrète.
➔Installer un pare feu.
➔ Implémenter les tables ARP statiques.
➔ Analyser les historiques.
|
Table des matières
Introduction général
Chapitre I : étude générale de la voix sur IP
I.1 Introduction
I.2 Présentation de la Voix sur IP (VoIP)
I.2.1 Définition
I.2.1.1 Internet Protocol (IP)
I.2.1.2 La voix sur IP (VoIP)
I.2.1.3 PABX
I.2.2 Fonctionnement
I.2.2.1 Acquisition du signal
I.2.2.2 Numérisation
I.2.2.3 Compression
I.2.2.4 Habillage des en-têtes
I.2.2.5 Emission et transport
I.2.2.6 Réception
I.2.2.7 Conversion numérique analogique
I.2.2.8 Restitution
I.2.3 Avantages
I.2.4 Inconvénients
I.3 Protocoles de la Voix sur IP
I.3.1 Le protocole SIP
I.3.1.1 Serveur Registrar
I.3.1.2 Location Serveur
I.3.1.3 Serveur Proxy
I.3.1.4 Serveur Redirect
I.3.1.5 Fixation d’un compte SIP
I.3.2 Le protocole H323
I.3.2.1 Pile protocolaire
I.3.2.2 Application de l’H323
I.3.2.3 Comparaison entre H.323 et SIP
I.3.3 Les protocoles de transport
I.3.3.1 Le protocole RTP
I.3.3.2 Le protocole RTCP
I.3.3.3 Le protocole ICMP
I.3.3.4 Le protocole UDP
I.3.3.5 Le protocole SRTP
I.4 Asterisk
I.4.1 Définition
I.4.2 Fonctionnalités
I.4.3 Le protocole IAX
I.5 Conclusion
Chapitre II : Installation et configuration d’une solution de VoIP basée sur l’outil Asterisk
II.1 Introduction
II.2 Installation d’Asterisk
II.3 Configuration d’Asterisk et création des comptes utilisateurs
II.3.1 Configuration des comptes users
II.3.2 Configuration du Dialplan
II.4 Installation et configuration de Zoiper
II.5 Conclusion
Chapitre III : Vulnérabilités contre la VOIP et quelques moyens de Sécurisation
III.1 Introduction
III.2 Les attaques protocolaires
III.2.1 Spam
III.2.1.1 Call Spam
III.2.1.2 IM (Instant Message) Spam
III.2.1.3 Présence Spam
III.2.2 Suivie des appels
III.2.3 Voice phishing (phishing via VoIP)
III.2.4 Le sniffing
III.2.5 Déni de service
III.2.6 Compromission de serveurs
III.2.7 Les interceptions illégales d’appels
III.3 Les attaques sur les couches basses
III.3.1 ARP spoofing
III.3.2 MITM : Man-In-The-Middle : écoute passive ou modification de flux
III.4 Les vulnérabilités de l’infrastructure
III.4.1 Les téléphones IP
III.4.2 Vulnérabilités de la confidentialité et l’intégrité de la VOIP
III.4.3 Vulnérabilités de disponibilité de la VOIP
III.4.4 Vulnérabilités des navigateurs
III.5 Sécuriser le SIP d’un serveur Asterisk
III.6 Sécurisation du système et de l’application
III.6.1 Sécurisation d’application
III.6.2 Le Firewall
III.6.3 La Protection d’Intrusion
III.6.4 IPTABLE
III.6.5 L’authentification des clients
III.6.6 IDS systems
III.6.7 Rate limiting
III.6.8 Bloquer les attaques courantes
III.6.9 Protection contre les attaques ARP
III.7 Conclusion
Chapitre IV : Sécurisation de la VoIP
IV.1 Introduction
IV.2 Systèmes de détection d’intrusions
IV.2.1 Les serveurs Whois
IV.2.2 Aspirateur de site HTTrack
IV.3 logiciels de tests d’intrusion
IV.3.1 Wireshark
IV.3.1.1 Téléchargement de Wireshark
IV.3.1.2 Lancement du wireshark
IV.3.2 John The Ripper
IV.3.2.1 Installation de john
IV.3.2.2 Configuration de john
IV.4 solutions pour sécuriser le serveur
IV.4.1 Crypter le mot de passe avec MD5
IV.4.2 IPSec
IV.4.2.1 Installer les outils
IV.4.2.2 Configuration pour une authentification par clé partagée
IV.4.2.3 Cacher le fichier conf au public
IV.4.2.4 Lancer la mise à jour
IV.4.2.5 Vérifier les modifications
IV.4.3 Fail2Ban
IV.4.3.1 Installation de fail2ban
IV.4.3.2 Autorisation de l’IP de la machine
IV.4.3.3 Modification du logger d’asterisk
IV.4.3.4 Création du fichier filtre
IV.4.3.5 Création de la prison (jail)
IV.4.3.6 Lancement de Fail2Ban
IV.5 Conclusion
Conclusion général
Télécharger le rapport complet