Déploiement sécuritaire de la téléphonie IP

Documents pareils
SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

(In)sécurité de la Voix sur IP [VoIP]

La VOIP :Les protocoles H.323 et SIP

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Introduction de la Voix sur IP

SIP. Sommaire. Internet Multimédia

SIP A. Aoun - La Visioconférence SIP - 1

LA VoIP LES PRINCIPES

TP 2 : ANALYSE DE TRAMES VOIP

IP-PBX innovants. sans licence jusqu à 500 utilisateurs. MyPBX. tiptel

Asterisk Use cases. Interconnexion avec un central propriétaire Multi-site. Linuxdays Genève, 24 mars

1- Principe général : 2- Architecture réseau pour ToIP : 3 Bilan. Qu est-ce que la VoIP/ToIP? IPBX/Protocoles utilisés

Partie 2 (Service de téléphonie simple) :

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

La ToIP/VoIP. Voix et téléphonie sur IP - Convergence voix et données

Voix sur IP. Généralités. Paramètres. IPv4 H323 / SIP. Matériel constructeur. Asterisk

L'écoute des conversations VoIP

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN

Calcul de la bande passante réelle consommée par appel suivant le codec utilisé

Réunion du 1er Avril VoIP : théorie et réalité opérationnelle. info@ipercom.com

C a h p a i p tre e 4 Archi h t i ectur u e e t S i S g i n g a n li l s i atio i n o n SI S P

Présentation générale des différentes solutions libres. JTR ToIP Lyon

LABO TELEPHONIE. Etude et réalisation de la Téléphonie sur IP (VoIP) avec Cisco Call Manager et Asterisk

Passerelle VoIP pour PBX

2. DIFFÉRENTS TYPES DE RÉSEAUX

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

SEMINAIRES & ATELIERS EN TÉLÉCOMMUNICATIONS RESEAUX

Couche Session M1 Info Z. Mammeri - UPS 1. Concept de session

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

(In)sécurité de la Voix sur IP (VoIP)

Guide de configuration de la Voix sur IP

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

La VoIP et ToIP. - Les constructeurs de réseaux : Anciens : Alcatel, Ericsson, Nortel, Siemens, Lucent, NEC Nouveaux venus : NetCentrex, Cirpack

TRIXBOX. Tutorial et fonctions avancées

Voix sur IP Étude d approfondissement Réseaux

Cahier des charges "Formation à la téléphonie sur IP"

Offre de stage. Un(e) stagiaire en informatique

Téléphonie. sur IP. 2 e édition

La VoIP & la convergence

Guide de configuration Aastra 5000 pour le raccordement d un trunk Sip OPENIP

HYBIRD 120 GE POUR LES NULS

PROJET TRIBOX-2012-A

VoIP et sécurité. Retour d'expérience d'audits de sécurité. 6 avril Hervé Schauer CISSP, ProCSSI, ISO Lead Auditor <Herve.Schauer@hsc.

Mise en œuvre et résultats des tests de transfert de la voix sur le Protocole Internet V.o.I.P

Menaces et sécurité préventive

Les Nouveaux Standards de la ToIP et de la Convergence

Notice d installation et d utilisation SIP PBX 100

Modem routeur vocal. Solution intelligente de modem routeur pour le routage d appels pour VoIP FICHE PRODUIT

Etat des lieux sur la sécurité de la VoIP

La Voix Sur IP (VoIP)

La Voix sur IP OLIVIER D.

Configuration O.box Table des matières

Le rôle Serveur NPS et Protection d accès réseau

Solutions PME avec SmartNode et Peoplefone Qualité, Fiabilité, Sécurité

WMS Field Engineer 3.0

Sécurité de la Voix sur IP

VoIP et sécurité. Retour d'expérience d'audits de sécurité. 7 juillet 2006

Description générale des fonctions actuelles du PBX de PointCA Télécom (modèle PTCA-1280)

Architecture Principes et recommandations

Configuration du driver SIP dans ALERT. V2

Introduction. Multi Média sur les Réseaux MMIP. Ver

Pare-feu VPN sans fil N Cisco RV120W

Services Réseaux - Couche Application. TODARO Cédric

Licence professionnelle Réseaux et Sécurité Projets tutorés

Swisscom Fixnet AG KMU Swisscom Gasse 4600 Olten Téléphone Fax

Services de téléphonie

Master e-secure. VoIP. RTP et RTCP

Comment configurer X-Lite 4 pour se connecter au serveur Voip de Kavkom?

Description des UE s du M2

Votre Réseau est-il prêt?

Téléphone IP. Téléphone IP aux nombreuses fonctions avancées pour une utilisation professionnelle et au prix abordable FICHE PRODUIT

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3)

Voip Zyxel 2602HW serie guide d utilisation

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel

VoIP et sécurité. Retour d'expérience d'audits de sécurité. 14 mars 2007

SIP : Session Initiation Protocol

L i v r e b l a n c f é v r i e r

Veille Technologique : la VoIP

Organisation du module

Colt VoIP Access Colt Technology Services Group Limited. Tous droits réservés.

Belgacom Forum TM 3000 Manuel d utilisation

Manuel. Système PBX-IP 3CX pour Windows Version 7.0

Téléphone IP SPA942 à quatre lignes avec commutateur deux ports de Cisco. Téléphones IP de Cisco pour petites entreprises

Manuel. Système PBX-IP 3CX pour Windows Version 7.1

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Configurer ma Livebox Pro pour utiliser un serveur VPN

Protocole SIP et rc o d n o C ée yc L N E S ro P c a B

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Mise en place d un système de Téléphonie sur IP basé sur le logiciel Asterisk

Vers l Internet Synthèse Bibliographique -

Les réseaux de campus. F. Nolot

Licence professionnelle Réseaux et Sécurité Projets tutorés

Manuel. Système PBX-IP 3CX pour Windows Version 6.0

s Pourquoi un PBX IP?

Optimisation WAN de classe Centre de Données

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Transcription:

Déploiement sécuritaire de la téléphonie IP Simon Perreault Viagénie {sip,mailto}:simon.perreault@viagenie.ca http://www.viagenie.ca

À propos du conférencier Consultant en réseautique et VoIP chez Viagénie Co-auteur du port de Asterisk à IPv6 (voir http://www.asteriskv6.org) Auteur du port de FreeSWITCH à IPv6 (intégré depuis version 1.0.1) Auteur de Numb, un serveur STUN/TURN (voir http://numb.viagenie.ca) Co-auteur de la spécification TURN-TCP de l'ietf Participation à AstriCon, ClueCon, SIPit, IETF, etc. Développé plusieurs applications VoIP sur mesure Viagénie 2009 2

Plan Retour sur la téléphonie traditionnelle Introduction à la téléphonie sur IP Scénarios de déploiement 1. Remplacement du système téléphonique traditionnel 2.Accès au PSTN via IP 3. Interconnexion de succursales 4. Télétravail / Itinérance Déploiements typiques Conclusion Viagénie 2009 3

Téléphonie traditionnelle Réseau téléphonique public commuté (PSTN) Liens analogiques sur paires torsadées Connexion traditionnelle - Ligne téléphonique ordinaire - Accès primaire (PRI) Autocommutateur privé (PBX) Viagénie 2009 4

Caractéristiques de la téléphonie traditionnelle Centralisation Fiabilité Avez-vous déjà vécu une panne de téléphone? Pierre angulaire de la sécurité: le contrôle du réseau Écouter une conversation Technologie simple Accès au réseau Changement d'identité (caller ID) possible avec ISDN Déni de service Viagénie 2009 5

La Téléphonie IP Viagénie 2009 6

Ce que ce n'est pas Téléphonie IP Téléphonie Internet IP est seulement un protocole de réseau. IP peut être utilisé en vase clos. Skype, MSN, etc. Protocoles propriétaires, secrets et non normalisés Faible disponibilité de matériel Mode d'utilisation différent de la téléphonie traditionnelle La même chose, en moins cher Technologie radicalement différente Les scénarios de déploiement vont du semblable à l'incomparable. Viagénie 2009 7

SIP (session initiation protocol) Inspiré de HTTP et SMTP INVITE sip:4185551234@bell.ca SIP/2.0 Via: SIP/2.0/UDP ringo.viagenie.ca;branch=z9hg4bknashds8 Max-Forwards: 70 To: Marc Blanchet <sip:4185551234@bell.ca> From: Simon Perreault <sip:simon.perreault@viagenie.ca>;tag=1928301774 Call-ID: a84b4c76e66710 CSeq: 314159 INVITE Contact: <sip:simon@pc33.viagenie.ca> Content-Type: application/sdp Content-Length: 142 Séparation de la signalisation du contenu média SIP établit la session. Média transporté sur UDP avec le real-time transport protocol (RTP) Voix, vidéo, texte, etc. Viagénie 2009 8

Exemple SIP Téléphone PBX PBX Téléphone SIP INVITE SIP INVITE SIP SIP Ringing SIP OK SIP Ringing SIP OK RTP INVITE SIP Ringing SIP OK Marc décroche SIP Bye SIP Bye SIP Bye Marc raccroche Viagénie 2009 9

Exemple SIP SIP SIP SIP RTP Viagénie 2009 10

Scénarios de déploiement Viagénie 2009 11

1. Remplacement du système téléphonique traditionnel Viagénie 2009 12

Situation initiale Réseau téléphonique public commuté (PSTN) Liens analogiques sur paires torsadées Connexion traditionnelle - Ligne téléphonique ordinaire - Accès primaire (PRI) Autocommutateur privé (PBX) Viagénie 2009 13

Migration à la téléphonie IP Réseau téléphonique public commuté (PSTN) Liens IP sur Ethernet Connexion traditionnelle - Ligne téléphonique ordinaire - Accès primaire (PRI) Autocommutateur privé SIP (SIP PBX) Viagénie 2009 14

Remplacement du système téléphonique traditionnel Changements: Installation de téléphones SIP Remplacement du câblage des téléphones Remplacement du PBX On conserve: Lien au PSTN Viagénie 2009 15

Nouvelles caractéristiques de sécurité Liens numériques entre PBX et téléphones Intercepter une conversation: accès au réseau. Nouvelle possibilité: chiffrement Rend l'interception impossible. Le téléphone et le PBX doivent le supporter. De nos jours, ce n'est pas encore certain. Il faut vérifier. Interception toujours possible......sur le PSTN....à l'autre bout de la connexion. TLS pour SIP (signalisation) [RFC3261] SRTP pour RTP (média) [RFC3711] Algorithme AES Viagénie 2009 16

Nouvelles caractéristiques de sécurité L'identité est associée au téléphone (ou même à un utilisateur en particulier). La prise réseau n'a pas d'importance. Nouvelle possibilité: mobilité Déplacement d'appareil Assignation dynamique d'identité Viagénie 2009 17

Nouvelles caractéristiques de sécurité Pour usurper une identité: 1. Outils Préférences... 2. Entrer le nom voulu. 3. Cliquer sur OK. Nouvelle possibilité: identité cryptographique Rend impossible l'usurpation d'identité. Le téléphone et le PBX doivent le supporter. De nos jours, encore moins répandu que le chiffrement. Ne garantit pas l'identité émise sur ou reçue du PSTN. TLS pour SIP [RFC3261] Rien pour RTP (voir développements courants) Viagénie 2009 18

Nouvelles caractéristiques de sécurité Chaque téléphone est un ordinateur Mots de passe Administrateur Usager Adapter règles de pare-feu Trafic interne seulement VLAN séparé Isoler et limiter les interactions Faciliter la QoS Chaque téléphone est un serveur web Viagénie 2009 19

Viagénie 2009 20

Le programme voiphopper écoute sur le réseau. Il identifie le numéro du VLAN de la VoIP. Il crée une interface virtuelle sur ce VLAN. Il lance une requête DHCP et obtient une adresse IP. Viagénie 2009 21

2. Accès au PSTN via IP Viagénie 2009 22

Situation initiale Réseau téléphonique public commuté (PSTN) Liens IP sur Ethernet Connexion traditionnelle - Ligne téléphonique ordinaire - Accès primaire (PRI) Autocommutateur privé SIP (SIP PBX) Viagénie 2009 23

Accès au PSTN via IP Réseau téléphonique public commuté (PSTN) Liens IP sur Ethernet Connexion SIP Autocommutateur privé SIP (SIP PBX) Viagénie 2009 24

Accès au PSTN via IP Changements: Le PBX ne "traduit" plus entre l'analogue et le numérique. Allègement de la charge Diminution des coûts en matériel Réutilisation de la connexion IP Diminution des coûts en abonnement téléphonique On conserve: Tout le réseau interne Viagénie 2009 25

Nouvelles caractéristiques de sécurité Fiabilité du lien IP En général moins fiable qu'un lien téléphonique Nouvelle possibilité: redondance Obtenir plusieurs liens IP de fournisseurs différents Transition automatique lors de panne Fiabilité du lien SIP Nouvelle possibilité: redondance partielle Obtenir plusieurs liens SIP de fournisseurs différents Numéros différents Transition automatique lors de panne (appels sortants seulement) Viagénie 2009 26

Nouvelles caractéristiques de sécurité Interception de communication Requiert accès au réseau (difficile) Nouvelle possibilité: chiffrement Doit être supporté par le fournisseur et le PBX. Protection limitée à SIP, pas PSTN Confiance en votre fournisseur Viagénie 2009 27

Nouvelles caractéristiques de sécurité Déni de service (DoS) Nom de lignes SIP grand ou illimité Dépend de la capacité du fournisseur Saturer le lien IP Difficile à prévenir Rendre le PBX hors fonction Nouvelle possibilité: redondance Plusieurs PBX Transition automatique en cas de panne Couper le fil Viagénie 2009 28

3. Interconnexion de succursales Viagénie 2009 29

Interconnexion de succursales PSTN Internet (ou VPN/MPLS/etc.) PBX PBX SIP Viagénie 2009 30

Interconnexion de succursales Changements: Lien SIP établi entre PBX Élimination des coûts d'appels téléphoniques pour appels entre succursales Contrôle total Viagénie 2009 31

Nouvelles caractéristiques de sécurité Chiffrement du lien inter-succursale Les PBX doivent le supporter VPN peut être une option Attention à la quantité de trafic Augmente la latence Nouvelle possibilité: chiffrement de bout en bout Seuls les téléphones doivent le supporter Diminution importante de la charge sur VPN ou PBX Nouvelle possibilité: identité cryptographique L'intégrité de l'identité peut être assurée pour les appels à l'intérieur de l'entreprise. Viagénie 2009 32

4. Télétravail / Itinérance Viagénie 2009 33

Télétravail / Itinérance PSTN Internet PBX Viagénie 2009 34

Télétravail / Itinérance Changements: Lien entre téléphone et PBX via Internet Mobilité Diminution des coûts pour appels externes Élimination des coûts pour appels internes Viagénie 2009 35

Nouvelles caractéristiques de sécurité Connexion établie à partir de n'importe où Règles de pare-feu assouplies PBX devient accessible de l'extérieur Système dédié et isolé Interception de communications Point d'accès quelconque À la maison Café Internet Espion en mission chez le compétiteur... Viagénie 2009 36

Nouvelles caractéristiques de sécurité Sécurisation de la connexion VPN peut être une option Attention à la quantité de trafic Augmente la latence Chiffrement et identité cryptographique Doivent être supportés par le client SIP et le PBX Viagénie 2009 37

Déploiements typiques Viagénie 2009 38

Câblodistributeur Analog telephony adapter (ATA) Contrôle du réseau V MGCP sur IP sur câble (norme PacketCable) V PSTN Concentrateur V Viagénie 2009 39

ITSP (Internet Telephony Service Provider) Exemple: Unlimitel.ca et bien d'autres Réseau téléphonique public commuté (PSTN) PRIs (fournies par e.g. Bell) "SIP trunking" Internet Viagénie 2009 40

ITSP avec SIP en amont Exemples: Flowroute.com, VoIP.co.uk, etc. Tier 1 carriers (Bell, AT&T, etc.) Le média (RTP) va directement au tier 1 dans plusieurs cas. "Wholesale SIP" Internet "SIP trunking" SIP proxy Internet Viagénie 2009 41

"Internet Telephony" Exemples: Ooma, Vonage, etc. PSTN Internet V ATA + routeur résidentiel PSTN Viagénie 2009 42

Développements courants Identité crytpo. du média Les relais posent un problème. Document de travail: [draftwing-sip-identity-media] Groupe de travail P2PSIP Un protocole de réseau pair-àpair sans serveur central. La sécurité est un défi de taille! Groupe de travail GEOPRIV Information géographique (longitude, latitude, rue, ville, pays, etc.) Comment décider du niveau de précision? À qui fournir l'information? ZRTP Protocole pour échange de clés SRTP "in-band" (pas dans SIP). Document de travail: [draftzimmermann-avt-zrtp-15] DTLS-SRTP Alternative à ZRTP qui utilise TLS sur UDP. Document de travail: [draft-ietfavt-dtls-srtp-07] Viagénie 2009 43

Conclusion La téléphonie traditionnelle comporte des risques, que l'on accepte souvent sans même y penser. La téléphonie IP modifie ces risques. Nouvelles fonctionnalités = Nouveaux risques Possibilités Redondance plus facile Cryptographie (TLS pour SIP, SRTP pour média) Viagénie 2009 44

Questions? {sip,mailto}:simon.perreault@viagenie.ca Références: [RFC3261] J. Rosenberg et. al., "SIP: Session Initiation Protocol", juin 2002. [RFC3711] M. Baugher et. al., "The Secure Real-time Transport Protocol (SRTP)", mars 2004. C. Stredicke, "Why VoIP security matters", Communication News, août 2007. VoIP Security Alliance, http://www.voipsa.org Cette présentation est disponible à http://www.viagenie.ca/publications/ Viagénie 2009 45

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back