VoIP : Introduction à la sécurité 1
Sommaire Principes de base de la VoIP Introduction à la sécurité de la VoIP Vulnérabilités et mécanismes de protection Points durs 2
Définitions Concept de convergence Voix /Données : Mutualiser la ressource réseau pour supporter le trafic Data (IP) et Voix (téléphonie). VoIP = Transport de la Voix sur IP (numérisation et acheminement de la voix, transposition de la signalisation) ToIP = Service de téléphonie s appuyant sur la VoIP. Inclut : Services de base (téléphone, fax, ) Services à valeur ajoutée offerts par un PABX (filtrage, renvoi, conférence, messagerie vocale, ), centre s Intérêts : Réduction de la complexité du réseau (exploitation) et de ses coûts Ouverture vers les services de communications innovants : services collaboratifs (messagerie instantanée, gestion de présence), messagerie unifiée, «click to dial» (appel direct à partir d un lien), 3
Quelques cas d applications VoIP trunking au niveau des réseaux de transit : PABX ToIP pour les réseaux d entreprises : Réseau de transit IP VoIP trunking PABX Réseau PC Terminal VoIP Intranet Téléphone PABX-IP LAN Offre résidentielle «3Play» : TV «Box»ADSL Réseau opérateur / FAI 4
Les éléments actifs de la VoIP Les terminaux : poste matériel («IP-phone») ou logiciel («softphone») Les serveurs s : Gestion des utilisateurs, des terminaux et des appels, contrôle des passerelles, résolution de l adressage Les passerelles VoIP (Gateway) Conversion des flux média (i.e. trafic voix) et de signalisation entre VoIP et le monde circuit (RTC, RNIS, ) Certaines fonctions peuvent être rendues par un même équipement (e.g. IPBX) s (Gatekeeper, Call server, Call manager, Communication server, ) Softphone Passerelle VoIP (Gateway) IP-Phone Réseau IP Réseau Téléphone circuits PABX PABX-IP (IPBX) 5
Scénarios s Terminal VoIP 1 Flux de signalisation : SIP, H.323, prot. prop. Flux média (voix) : RTP Réseau IP Passerelle VoIP 2a 3a 2b 3b 4 Réseau IP Réseau 3b 2a Terminal VoIP Poste 1. Demande via le serveur de rattachement 2a. Le serveur relaie la demande vers le serveur destinataire, jusqu au poste destinataire final => établissement du canal de signalisation VoIP (SIP, H.323, ) 3a. Les flux média (voix) sont échangés directement entre les 2 terminaux VoIP 2b. S il s agit d un correspondant «RTC», le serveur relaie la demande jusqu à la passerelle VoIP. La passerelle VoIP transpose la signalisation VoIP en signalisation circuit et inversement => établissement du canal de signalisation VoIP + circuit commuté 3b. Les flux média sont échangés entre les 2 terminaux via la passerelle VoIP. 6
Site «Terminaux IP» Architecture générique Site central Passerelle VoIP Réseau WAN IP Réseau opérateur / FAI IPBX Site «Terminaux circuits» Flux de signalisation Flux média (voix) Site autonome avec serveur 7
Architecture IP Centrex Flux de signalisation Flux média (voix) Plateforme de service VoIP WAN IP Passerelle VoIP Réseau WAN IP Opérateur Site A Site B Principe de l offre «IP managée» : La plateforme de service VoIP est hébergée et exploitée par le fournisseur de service Les terminaux sont exploités à distance Les flux de signalisation passent par la plateforme de service de l opérateur. Les flux média vers/provenant du monde RTC passent par la plateforme de service de l opérateur 8
Exemples d attaques possibles Virus Softphone Attaque par rebond Poste Wi-Fi PC Services réseau (DHCP, DNS, ) Internet Internet Attaque par intrusion (virus, faille protocolaire, ) Ecoute, Analyse du trafic Softphone WAN IP Passerelle VoIP Détournement du service / piratage de ligne Ecoute, Analyse du trafic Site B Site A Prise de contrôle / Attaque «DoS» d équipement actif (terminal, serveur, passerelle) Réseau 9
Les vulnérabilités potentielles Vulnérabilités des flux d information : Ecoute des communications Analyse de l activité Usurpation d identité Intrusion (par le biais des protocoles VoIP) Vulnérabilités inhérentes à toute application sur IP : Intrusion (virus) Déni de service (attaque de serveurs) Prise de contrôle d équipements actifs et détournement du service (fraude, mise en œuvre illicite de service, ) Vulnérabilité liée à la fourniture d énergie : Risque sur l indisponibilité du service Ces risques sont démultipliés (vs. réseau ) du fait qu il s agit d un monde ouvert : accès IP vers l extérieur, facilité de trouver des outils d analyse, faille facilement diffusable et exploitable par un grand nombre d attaquants, 10
Les protections d un réseau IP sécurisé Poste Wi-Fi PC Softphone Internet Internet Contrôle d accès (FW) NAT s relais (proxy) Proxyserveur Softphone DMZ DMZ WAN IP Site B LAN sécurisé Passerelle VoIP Site A Locaux techniques sécurisés Gestion sécurisée Authentification des équipements Protection des accès sans-fils Sonde IDS VPN IP Réseau 11
Les protections additionnelles pour la VoIP VLAN «Data» PC Softphone Internet Internet Contrôle d accès (FW) NAT s relais (proxy) FW applicatif VoIP Proxy VoIP Poste Wi-Fi Softphone DMZ DMZ Proxyserveur WAN IP Proxy-VoIP Sonde IDS Site B LAN sécurisé Services réseau (DHCP, DNS, ) Passerelle VoIP VLAN «VoIP» Site A Locaux techniques sécurisés Gestion sécurisée Authentification des équipements Protection des accès sans-fils Sonde IDS VPN IP Réseau Chiffrement de la voix et de la signalisation 12
Les mécanismes de protections standards Réseau IP Sécurisé Protection sur le WAN Mise en œuvre de VPN (e.g. IPSec) Protection du LAN Authentification des équipements (e.g. 802.1x) Sécurisation des accès sans fils (e.g. WPA) Sondes de détection d intrusion Sécurisation des flux de gestion (e.g. TLS, SNMP-v3, ) Contrôle d accès par DMZ (y/c NAT, FW, Proxy) Sécurisation de la VoIP Protection du LAN : Cloisonnement VoIP / Data (VLAN + FW entre les 2) DMZ VoIP : FW VoIP, Proxy VoIP Protection des flux d informations Chiffrement des flux voix (e.g. SRTP) Chiffrement de la signalisation (e.g. SIPs = SIP/TLS) Règles organisationnelles Formation des utilisateurs, Audit de sécurité, surveillance de l activité du réseau Redondance de la fourniture d énergie 13
Recommandations DISA (DoD) (08/2005) 14
Les problématiques de sécurité en VoIP Impacts sur les performances Chiffrement de bout-en-bout «VoIP Circuit» Chiffrement de bout-en-bout sur des architectures hétérogènes Les équipements appartenant aux 2 mondes (e.g. softphone) Configuration du VLAN autorisé par type d application Les terminaux VoIP Attaque par rebond => Règles organisationnelles (ce n est pas propre à la VoIP) 15
Impacts sur les performances Relayage de paquets Filtrage de paquets Relayage de paquets Filtrage de paquets Filtrage de paquets Proxyserveur VoIP chiffrée VPN IP DMZ DMZ WAN IP Proxy-VoIP Site A Site B Chiffrement des flux Voix (SRTP) Chiffrement IP (IPSec) Chiffrement des flux Voix (SRTP) Risques de dégradation des performances de bout-en-bout (notamment en termes de latence et gigue) Augmentation de la bande passante 16
Chiffrement de bout-en-bout VoIP - RTC VoIP chiffrée Passerelle VoIP Réseau Poste Site A Le chiffrement VoIP des flux voix s arrête au niveau de la passerelle => un chiffrement des flux de bout-en-bout implique du trans-chiffrement au niveau de la passerelle A noter : L OTAN développe un protocole de sécurisation des communications, SCIP (dérivé de FNBDT), indépendant du type du réseau support => le chiffrement de la voix serait assurée de bout-enbout. Transparent pour la passerelle. Nécessité d avoir des passerelles gérant les flux Modem over IP (MoIP - e.g. V.150.1) 17
Chiffrement sur les architectures hétérogènes VoIP chiffrée (C1) DMZ VPN IP DMZ Proxyserveur VoIP chiffrée (C2) WAN IP Proxy-VoIP Site A VoIP claire Site B Les architectures hétérogènes posent des problèmes de chiffrement de bouten-bout et de gestion des clés. Des protocoles standard existent (SRTP, MIKEY, ) mais ne sont pas toujours interopérables => Le chiffrement n est plus assuré de bout-en-bout 18