HERVÉ SCHAUER CONSULTANTS HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989 Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
Spécialisé sur Unix, Windows, TCP/IP et Internet
Séminaire EPFL Séminaire EPFL
VoIP State of the Art VoIP State of the Art
Technical, Economic and Legal issues Technical, Economic and Legal issues
Lausanne, 2 novembre 2007 Lausanne, 2 novembre 2007
VoIP : VoIP :
révolution ou dévolution ? révolution ou dévolution ?
Hervé Schauer Hervé Schauer
Sommaire Sommaire
VoIP/ToIP
Piratage à la portée de tous Piratage lucratif
Intégration défaillante
Mécanismes de sécurité inadaptés Technologies jeunes
Augmentation de la surface d'attaque Organisation interne inadaptée
Retour sur investissement qui n'aurorise pas la sécurité
1/2
Les transparents sont &
seront disponibles sur
www.hsc.fr
Sommaire Sommaire
Bilan de la VoIP/ToIP Solutions
Conclusion HSC
Références
2/2
Piratage à la portée de tous Piratage à la portée de tous
VoIP vs téléphonie classique
Vulnérabilités relativement proches
Ecoute des communications Usurpation d'identité
Déni de service etc
Pas fondamentalement plus de vulnérabilités en VoIP Mais vulnérabilités plus faciles à exploiter en VoIP
Exemple : enregistrement des conversations
Téléphonie classique : installation physique d'une bretelle sur la ligne VoIP : mise en place à distance d'un espion sur un Call Server IP
Piratage à la portée de tous Piratage à la portée de tous
Téléphonie classique
Equipements de piratage couteux et difficilement accessibles Compétences en électronique nécessaires
Protocoles peu enseignés, propriétaires, non-documentés Exploitation des attaques sur place
VoIP
Equipements de piratage accessibles à tous
Disponibles librement sur internet
Compétences d'informaticien suffisantes Protocoles enseignés et ouverts
Exploitation des attaques à distance
Exemple dans une architecture GSM Exemple dans une architecture GSM
10.0.0.105 10.0.0.106 GSM PAGING_CMD(TS=0,CCCH,) # Appel Entrant 10.0.0.106 10.0.0.105 GSM CHAN_RQD(TS=0,RACH,)
10.0.0.105 10.0.0.106 GSM CHAN_ACTIV(TS=0,SDCCH4/0,) # Alloc. Canal Sig.
10.0.0.106 10.0.0.105 GSM CHAN_ACTIV_ACK(TS=0,SDCCH4/0,)
10.0.0.105 10.0.0.106 GSM IMM_ASS(TS=0,CCCH,RR:Immediate Assignment) 10.0.0.106 10.0.0.105 GSM EST_IND(TS=0,SDCCH4/0,RR:Paging Response) [....] Mécanismes d'authentification + chiffrement (MS + BTS)
10.0.0.105 10.0.0.106 GSM DATA_REQ(TS=0,SDCCH4/0:MM:Identity Request) # IMEI 10.0.0.105 10.0.0.106 GSM DATA_REQ(TS=0,SDCCH4/0:CC:Setup)
10.0.0.106 10.0.0.105 GSM DATA_IND(TS=0,SDCCH4/0:MM:Identity Response) 10.0.0.106 10.0.0.105 GSM DATA_IND(TS=0,SDCCH4/0:CC:Call Confirmed) 10.0.0.105 10.0.0.106 GSM CHAN_ACTIV(TS=1,Bm,)
[...]
10.0.0.106 10.0.0.105 GSM CHAN_ACTIV_ACK(TS=1,Bm,)
10.0.0.105 10.0.0.106 GSM DATA_REQ(TS=0,SDCCH4/0:RR:Assignment Command)
10.0.0.203 10.0.0.106 RTP Payload type=Unknown (84), SSRC=168645406, Seq=50107, Time=790508536 10.0.0.106 10.0.0.203 RTCP Receiver Report
[...]
Signalisation GSM
Flux Audio (RTP)
BSC (.105)
BSC (.105) ↔ BTS (.106)↔ BTS (.106)
MGW (.203)
MGW (.203) ↔ BTS (.106)↔ BTS (.106)
Message CALL SETUP qui comporte le Message CALL SETUP qui comporte le
numéro appelant
numéro appelant, falsifiable :, falsifiable :
→ R→ Récriture en ::;;<<05522écriture en
Risques : Atteinte à la confidentialité des Risques : Atteinte à la confidentialité des
conversations, fraudes diverses conversations, fraudes diverses
(détournement d'appels, redirection vers (détournement d'appels, redirection vers
des numéros sur-facturés pour les appels des numéros sur-facturés pour les appels
sortants etc.) sortants etc.)
Exemple dans une architecture IMS Exemple dans une architecture IMS
MESSAGE sip:[email protected] SIP/2.0 From: sip:[email protected] To: sip:[email protected]
Security-Verify: digest;d-ver="876708e489d65e36bcba9e01143c310b"
MESSAGE sip:[email protected] SIP/2.0 From: sip:[email protected] To: sip:[email protected]
PAssertedIdentity:sip:[email protected] P-Called-Party-ID:<sip:[email protected]>
De l'attaquant au P-CSCF Du P-CSCF à la victime
Exemple : Identité privée = hsc3, Identité publique = test3
Conséquences :
Le champ P-Asserted-Identity indiquant
l'utilisateur authentifié est inséré par le P-CSCF mais non pris en compte
Usurpation d'identité
Et aussi ... possibilités : - de canaux cachés non facturé en utilisant les
messages de signalisation (MESSAGE)
- de SPAM dans l'URI SIP pour un coût nul (MESSAGE
& INVITE)
- d'attaques inter-mobiles
Exemple dans une architecture VoIP Exemple dans une architecture VoIP
Cas pratique d'intrusion sur des réseaux VoIP opérateur :
Impact : Consultation de la messagerie de tous les abonnés, Usurpation d'identité pour les appels et les SMS / MMS mais pas d'impact sur la facturation
Session Initiation Protocol
Request-Line: INVITE sip:[email protected] SIP/2.0 Message Header
Via: SIP/2.0/UDP 10.0.0.53:7502 Max-Forwards: 70
From: "0606060606"
<sip:0606060606>;tag=9c6072bf2bd8428bb2f63d1191f23f34;epid=eae6c76a48 To: <sip:[email protected]>
Call-ID: 2c3fad5bdb6e48dda1640aaa7417d3b3
Piratage lucratif Piratage lucratif
Piratage téléphonique = moyen de gagner de l'argent Escroqueries courantes depuis longtemps
VoIP
Détection à la prochaine facture analysée Très peu de chance d'être détecté avant
Facturation à postériori très utile aux pirates Contestation difficile pour la victime
Exemple
Piratage de l'IPBX Installation d'un robot
Appel de n° surtaxés à l'étranger
Intégration défaillante Intégration défaillante
Impératifs de production encore plus stressants en ToIP qu'en IT classique
Messagerie en rade : déjà innaccceptable
Téléphone sonne occupé quand on veut appeller : pas du tout envisageable
Disponibilité prime sur tout
Aucune prise du moindre risque
Aucune action de sécurisation aux conséquences peu prévisibles
Pas de filtrage IP
Pas de changement de la configuration par défaut
Pas de mise en oeuvre sur une architecture correcte qui apparaît trop complexe à l'intégrateur
Intégration défaillante Intégration défaillante
Installateurs de la VoIP/ToIP
Ne voient pas le réseau IP dans sa globalité
Ne savent pas que le PC à coté peut faire telnet sur l'IPBX
Mots de passe devinables par défaut laissés
Ne pensent pas que l'on peut brancher son ordinateur à la place du téléphone ToIP
Maintenance à distance
Pas de moyens de gestion de mots de passe par client
Même mot de passe chez tous les clients
Mécanismes de sécurité inadaptés Mécanismes de sécurité inadaptés
Basés sur des PKI
Extrêmement difficiles à mettre en place
Difficiles à utiliser
Technologies jeunes Technologies jeunes
Informaticiens ego démesuré
Toujours meilleurs que ceux qui les ont précédés Tombent dans les mêmes pièges
Même erreurs classiques de programmation Mêmes failles de sécurité qui se répètent
Progrès très, très lents chez les fournisseurs
Ou inexistants ...
Technologies complexes Technologies complexes
Simplicité apparente de SIP cache une énorme complexité de la VoIP/ToIP
Mutiplicité des technologies et des protocoles nécessaires :
DHCP, DNS, LDAP, SIP, HTTP(S), SMTP, ..., éventuellement SS7
Personne n'y comprend rien
Personne n'a une vision globale des choses
Développeur, intégrateur, chef de projet
Dramatique pour la sécurité
Augmentation de la surface d'attaque Augmentation de la surface d'attaque
Interfaces d'administration en web
XSS
Dénis de service
Attaques en quantité innombrable
Chaque terminal ou IPBX est un PC vulnérable Coupure d'électricité
Denis de service Denis de service
Exemple vécu lors d'un audit qui n'était pas un audit de sécurité de la VoIP
Coupure de courant
Téléphone (Mitel) branché sur le secteur (pas PoE, pas secouru) plus de téléphone
Serveurs branchés sur le courant secouru mais pas le commutateur devant
Retour du courant
Serveur de téléconfiguration des téléphones injoignable (DHCP,
BOOTP pour le firmware, etc.) car commutateur pas encore redémarré Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP ..."
Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné
Seule solutions trouvée : débrancher/rebrancher chaque téléphone un par un pour qu'ils se remettent en service
Organisation interne inadaptée Organisation interne inadaptée
Direction générale n'écoute personne
Directeur financier, directeur achats, toujours au dessus RSSI généralement totalement inopérant
Face à la démonstration d''intrusion : « Mais c'est parce que c'est vous ! »
Ni responsable, ni coupable
Qui est en charge de la téléphonie ?
Téléphonie encore gérée par les services généraux Téléphonie pas encore gérée réellement à la DSI
Retour sur investissement Retour sur investissement
VoIP/ToIP vendues comme étant moins chers
Reflexion un peu plus pousée coût Appréciation des risques coût
Mise en place de firewalls coût Audit de sécurité coût
Sécurité généralement sacrifiée
Bilan de la VoIP/ToIP Bilan de la VoIP/ToIP
N'est pas équivalent à la téléphonie classique
Signalisation/contrôle et transport de la voix sur le même réseau IP Perte de la localisation géographique de l'appelant
N'offre pas la sécurité à laquelle les utilisateurs étaient habitués
Fiabilité du système téléphonique
Combien de pannes de téléphone vs pannes informatique ?
Confidentialité des appels téléphoniques Invulnérabilité du système téléphonique
Devenu un système suceptible d'intrusions, vers, etc
Bilan de la VoIP/ToIP Bilan de la VoIP/ToIP
N'est pas juste "une application IP en plus"
Pas d'authentification mutuelle entre les parties par défaut Peu de contrôles d'intégrité des flux, pas de chiffrement
Risques d'interception et de routage des appels vers des numéros surfacturés
Falsification des messages d'affichage du numéro renvoyés à l'appelant
Attaques accessibles à tout informaticien et pas juste aux spécialistes de la téléphonie numérique
Solutions Solutions
Sécurité dans le réseau IP
Sécurité propre à la solution de VoIP / ToIP
Calcul du retour sur investissement de la VoIP
Sécurité dans le réseau IP Sécurité dans le réseau IP
Sécurité dans le réseau
Physique
Utiliser des réseaux distincts
Liaison
Cloisonnement des VLAN
Filtrage des adresses MAC par port Protection contre les attaques ARP
Réseau
Contrôle d'accès par filtrage IP
Authentification et chiffrement avec IPsec
Transport
Validation du protocole par filtrage, relayage applicatif Authentification et chiffrement SSL/TLS
Sécurité propre à la solution VoIP/ToIP Sécurité propre à la solution VoIP/ToIP
SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité
Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication
Mise en oeuvre de la sécurité → perte des possibilité d'interopérabilités entre fournisseurs
Nombreuses fonctionalités incompatibles
Exemple : relayage et chiffrement de la signalisation
Retour sur investissement Retour sur investissement
Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP
Aucun service disponible en VoIP n'est pas disponible en téléphonie classique
Aucun calcul de retour sur investissement ne peut se justifier par la disponibilité de nouveaux services
Retour sur investissement Retour sur investissement
Intégrer les coûts de la VoIP
Coûts de cablage
Poste téléphonique IP => prise ethernet supplémentaire
Plusieurs clients ont eu des difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC
Aucun client HSC n'a survécu sans VLAN, avant même les considérations de sécurité
Service téléphonique doit savoir dans quel pièce et sur quelle prise est chaque numéro de téléphone
N° de téléphone, @MAC, @IP et n° de prise Ethernet sont liés
Très vite il faut cabler des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE)
802.1x => une prise par équipement
Onduleurs supplémentaires et spécifiques
Retour sur investissement Retour sur investissement
Intégrer les coûts de la VoIP
Services du réseau informatique deviennent des services critiques
DHCP DNS
Commutateurs ...
Coûts de mise en oeuvre de la haute-disponibilité devenue obligatoire Coûts des liaisons de secours éventuelles
Coûts d'exploitation au quotidien
Doublement de la taille du réseau, du nombre d'équipements Surveillance de la qualité de service
24/7
Coûts de formation du personnel
Retour sur investissement Retour sur investissement
Intégrer la dégradation du service due à la VoIP
Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 %
Taux de disponibilité téléphonie sur IP : ??
Nous avons vu des gens sans téléphone pendant plusieurs jours...
Support téléphonique hors-service
« Quand le réseau est panne il n'y a plus non plus de téléphone comme ça on est dérangé que par ceux qui utilisent leur mobile »
Téléphone : principal système d'appel au secours pour la sécurité des personnes
Retour sur investissement Retour sur investissement
Valider au préalable la réalité des fonctionalités
Systématiquement il y a les fonctionalités d'un coté et le prix du poste téléphonique entrée de gamme de l'autre
Fonctionalités de sécurité imposant un changement de tous les postes téléphoniques
Valider au préalable la robustesse de tous les équipements choisis
Cf ISIC, SIPSAK, CODENOMICON, etc
Procéder à une véritable appréciation des risques
Monter une maquette significative de la solution prévue
Pour valider contrôler et apprécier les risques et refaire le calcul de retour sur investissement
Organisation Organisation
Téléphonie doit entrer dans le giron de la Direction des Systèmes d'Information (DSI)
Comme les photocopieurs, télécopieurs, etc Ne peut rester aux services généraux
Téléphonistes doivent intégrer la DSI
Leurs compétences en téléphonie sont indispensables au déploiement de la VoIP
La VoIP / ToIP vous est imposé par les fournisseurs dans leur
intérêt : vous devrez y passer un jour de gré ou de force
Conclusion Conclusion
VoIP / ToIP = insécurité
Attaques innombrables et à la portée de tous Mutisme des fournisseurs
Pas de prise en considération des risques pas les utilisateurs Planifiez, prévoyez les coûts
Questions ?
[email protected] www.hsc.fr
Références (1/2) Références (1/2)
Two attachs against VoIP, 04/06, Peter Thermos, Palindrome
http://www.securityfocus.com/infocus/1862
VoIP et sécurité pour l'entreprise,11/05, Stefano Ventura, IICT
http://www.audit.ch/VoIP&SEC.grifes.off.zip
Sécurité de la VoIP, 06/05, Franck Davy, Nicolas Jombart, Alain Thivillon, HSC
http://www.hsc.fr/ressources/presentations/csm05voip/
Security considerations for VoIP systems, 01/05, Richard Kuhn, Thomas Walsh, Steffen Fries, NIST
http://www.csrc.nist.gov/publications/nistpubs/80058/SP80058final.pdf
Références (2/2) Références (2/2)
Net managers struggle to manage VoIP effectively, 06/06
http://www.networkworld.com/news/2006/061906managingvoipapplications.html?t5
Hervé Schauer Consultants Hervé Schauer Consultants
Société de conseil en sécurité des systèmes d'information depuis 1989
Prestations intellectuelles d'expertise en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel
Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise
Sécurité Windows / Unix et linux / embarqué Sécurité des applications
Sécurité des réseaux
TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...
Organisation de la sécurité
Certifications
CISSP, BSI BS7799 Lead Auditor, ISO27001 Lead Auditor et Lead
Ressources Ressources
Sur www.hsc.fr vous trouverez des présentations sur
Infogérance en sécurité
Sécurité des réseaux sans fil Sécurité des SAN
Sécurité des bases de données SPAM
ISO27001 / ISO17799 Sécurité de la voix sur IP etc
