(In)sécurité de la Voix sur IP [VoIP]



Documents pareils
(In)sécurité de la Voix sur IP (VoIP)

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Sécurité de la VoIP. Nicolas FISCHBACH Senior Manager, Network Engineering Security, COLT Telecom -

Voix sur IP. Généralités. Paramètres. IPv4 H323 / SIP. Matériel constructeur. Asterisk

Calcul de la bande passante réelle consommée par appel suivant le codec utilisé

Voix sur IP Étude d approfondissement Réseaux

VOIP : Un exemple en Afrique

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Description des UE s du M2

La ToIP/VoIP. Voix et téléphonie sur IP - Convergence voix et données

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

TP 2 : ANALYSE DE TRAMES VOIP

Déploiement sécuritaire de la téléphonie IP

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Cahier des charges "Formation à la téléphonie sur IP"

Pourquoi un SBC? Brique d interconnexion entre domaines IP. V. Durepaire - 6 mars

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Architecture Principes et recommandations

Introduction de la Voix sur IP

Guide de configuration Aastra 5000 pour le raccordement d un trunk Sip OPENIP

Voix et Téléphonie sur IP : Architectures et plateformes

Présentation générale des différentes solutions libres. JTR ToIP Lyon

Votre Réseau est-il prêt?

Mise en œuvre et résultats des tests de transfert de la voix sur le Protocole Internet V.o.I.P

L'écoute des conversations VoIP

Autorité de Régulation de la Poste et des Télécommunications. Direction de l Interconnexion et des Nouvelles Technologies.

Introduction. Multi Média sur les Réseaux MMIP. Ver

Modem routeur vocal. Solution intelligente de modem routeur pour le routage d appels pour VoIP FICHE PRODUIT

SEMINAIRES & ATELIERS EN TÉLÉCOMMUNICATIONS RESEAUX

Téléphonie. sur IP. 2 e édition

Téléphone IP. Téléphone IP aux nombreuses fonctions avancées pour une utilisation professionnelle et au prix abordable FICHE PRODUIT

SIP. Sommaire. Internet Multimédia

Information and Communication Networks. NGN VoIP

G amme Voix sur IP. Tous les appareils VoIP ZyXEL supportent SIP, proposant ainsi une alternative à H.323.

CPE. Consultation Réseaux Etendus. Références: Exakis/D2011. Lyon, le 10 octobre Cahier des charges. Projet Télécom

La VOIP :Les protocoles H.323 et SIP

ROUTEURS CISCO, PERFECTIONNEMENT

2. DIFFÉRENTS TYPES DE RÉSEAUX

LA VoIP LES PRINCIPES

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Guide de réseau IP KX-TDE200/KX-TDE600. Pur IP-PBX. N de modèle KX-TDE100

1- Principe général : 2- Architecture réseau pour ToIP : 3 Bilan. Qu est-ce que la VoIP/ToIP? IPBX/Protocoles utilisés

C a h p a i p tre e 4 Archi h t i ectur u e e t S i S g i n g a n li l s i atio i n o n SI S P

Voix et Téléphonie sur IP : Protocoles et Standards

Parcours en deuxième année

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

La VoIP & la convergence

Offre de stage. Un(e) stagiaire en informatique

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Catalogue des formations 2015

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Du monde TDM à la ToIP

Contrôle d accès Centralisé Multi-sites

文 档 密 级 : 机 密 华 为 机 密, 未 经 许 可 不 得 扩 散

QoS et Multimédia SIR / RTS. Introduction / Architecture des applications multimédia communicantes

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

IP-PBX innovants. sans licence jusqu à 500 utilisateurs. MyPBX. tiptel

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

Dr Rim Belhassine-Cherif Directeur de Développement de Produits et Services.

Réunion du 1er Avril VoIP : théorie et réalité opérationnelle. info@ipercom.com

Notice d installation et d utilisation SIP PBX 100

H.323. Internet Multimédia. Sommaire

Mise en place d un système de Téléphonie sur IP basé sur le logiciel Asterisk

ECTS CM TD TP. 1er semestre (S3)

Les cahiers de la Sécurité La sécurité de la téléphonie sur IP en entreprise

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

Plateforme prête pour les services Cisco SRP 521W

Bac Pro SEN Académie de Versailles Etablissement Ampere Morsang sur orge Session 20XX SYSTÈMES ÉLECTRONIQUES NUMÉRIQUES

Au cœur des innovations Réseaux et Télécoms INTÉGRATION, OPTIMISATION, EXPLOITATION ET SÉCURISATION DES RÉSEAUX LAN & WAN

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

Etat des lieux sur la sécurité de la VoIP

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

Guide de configuration de la Voix sur IP

Téléphone IP SPA942 à quatre lignes avec commutateur deux ports de Cisco. Téléphones IP de Cisco pour petites entreprises

Les Réseaux Informatiques

QU EST-CE QUE LA VOIX SUR IP?

Table des matières. Préface Jean-Jacques DAMLAMIAN. Introduction... 17

z Fiche d identité produit

Interconnexion de systèmes ToIP hétérogènes

Partie 2 (Service de téléphonie simple) :

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

TP5 VOIP résidentiel étendu Page 1 sur 7 Lp Ampere CLAVAUD

Configuration du driver SIP dans ALERT

Nicolas Christophe Sahut - LinuxDays.ch - 8 au 12 mai Genève 1

Conférence : Intégration ToIP au sein d une Entreprise. Module N 2 : La TOIP au sein d une Entreprise

Colt VoIP Access Colt Technology Services Group Limited. Tous droits réservés.

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Pare-feu VPN sans fil N Cisco RV120W

Asterisk Use cases. Interconnexion avec un central propriétaire Multi-site. Linuxdays Genève, 24 mars

Sécurité et voix sur IP. ADJIDO Idjiwa Master 2 RES Université Pierre et Marie Curie (Paris VI) Paris, France idjiwa.adjido@etu.upmc.

Spécialiste Systèmes et Réseaux

Menaces et sécurité préventive

Programme formation pfsense Mars 2011 Cript Bretagne

Description générale des fonctions actuelles du PBX de PointCA Télécom (modèle PTCA-1280)

IMPLEMENTATION D UN IPBX AVEC MESSAGERIE UNIFIEE

Belgacom Forum Mise en service et maintenance. Mode d emploi

LABO TELEPHONIE. Etude et réalisation de la Téléphonie sur IP (VoIP) avec Cisco Call Manager et Asterisk

Transcription:

(In)sécurité de la Voix sur IP [VoIP] Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 0.01

Introduction» Voix et téléphonie IP» Convergence des réseaux > Téléphonie et informatique >PoE» Mobilité» Opérateur > Circuit -> Paquet (IP) > Monde fermé -> Monde ouvert» Vendeurs et Time to Market» Sécurité et vie privée >IPhreakers > VoIP vs 3G 2

Architecture : les protocoles» Signalisation > Localisation de l utilisateur > Session - Etablissement - Negociation - Modification - Fermeture» Transport > Numérisation, encodage, transport, etc. 3

Architecture : les protocoles» SIP > IETF - 5060/5061 (TLS) - HTTP-like, all in one > Extensions propriétaires > Protocole qui devient une architecture > End-to-end (entre IP PBX) - Inter-AS MPLS VPNs - Confiance transitive > Extensions IM (SIMPLE)» H.323 > Famille de protocoles > H.235 (sécurité), Q.931+H.245 (gestion), RTP, CODECs, etc. >ASN.1 4

Architecture : les protocoles» RTP (Real Time Protocol) > 5004/udp >RTCP > Pas de réservation/qos > Réordonnancement > CODECs - Historique: G.711 (PSTN/POTS - 64Kb/s) - G.729 (8Kb/s) 5

Architecture : le réseau» LAN > Ethernet (routeurs et commutateurs) >xdsl/cable/wifi > VLANs (données/voix+signalisation)» WAN >Internet >VPN - Ligne louée - MPLS 6

Architecture : le réseau» QoS (Qualité de service) >Bande Passante > Latence (150-400ms) et Gigue (<<150ms) > Perte de paquets (1-3%) 7

Architecture : les systèmes» Les systèmes > Proxy SIP > Call Manager/IP PBX - Gestion des utilisateurs et reporting (HTTP, etc) - Off-path en IP > H.323: GK (GateKeeper) > Serveurs d authentification (Radius) > Serveurs de facturation (CDR/billing) > Serveurs DNS 8

Architecture : les systèmes» Voice Gateway (IP-PSTN) > Ensemble d éléments (Gateway Control Protocols) > Signalisation: interface SS7 - Media Gateway Controller. Contrôle la MG (Megaco/H.248). Interface SIP - Signaling Gateway > Transport. Interface entre le MGC et SS7. MxUA, SCTP - ISUP, Q.931 - Media Gateway: conversion audio 9

Architecture : le pare-feu/vpnc» Le pare-feu > Filtrage non-stateful > Filtrage stateful > Filtrage applicatif (ALG) > NAT / firewall piercing - (H.323 : 2xTCP, 4xUDP dynamique - 1719,1720) - (SIP : 5060/udp)» VPN chiffré > SSL/TLS >IPsec > Sur quel segment (LAN-LAN, téléphone-téléphone, etc)?» Impact sur la QoS» Apports d IPv6? 10

Architecture : les téléphones» Les téléphones IP > Softphone et Hardphone > Grille pain - mise à jour - intelligence > Intelligence sort du réseau pour se greffer sur l élément terminal > Flux téléphone -> autres éléments - SIP - RTP - (T)FTP - CRL - etc. 11

Architecture : exemple POTS SIP LAN PSTN IP PBX IP PBX IP VPN (MPLS) VGW GSM POTS internet SIP SIP SIP voix signalisation 12

Les réseaux classiques» POTS/PSTN [TDM]» Sans Fil /DECT» GSM» Satellite» Signalisation (SS7) 13

Attaques» IPhreakers > Connaissance du monde IP > Faiblesses connues > Evolution 2600Hz -> voicemail/int l GWs -> IP telephony >Interne ouexterne? > Cible: particulier, entreprise, gouvernement, etc?» Implémentation des protocoles >PROTOS» Facteur humain 14

Attaques : déni de service» Les dénis de service > Réseau > Protocole (SIP INVITE) > Systèmes / Applications > Téléphone» Non-disponibilité (BC/DR) > Dépendance: électricité > Quelles alternatives (Continuité de Service/Reprise sur Incident)? > E911 (lois et localisation) >GSM > PSTN-vers-GSM 15

Attaques : fraude» Modification du Call-ID» Récupération des droits > Faux serveur d authentification» Effets > Accès boite vocale > Numéros spéciaux > Ingénierie sociale > Rejeu 16

Attaques : interception» Interception > Conversation > Qui téléphone avec qui - Ecoute réseau - Serveurs (SIP, CDR, etc)» LAN > Accès physique au réseau > Attaques ARP > Insertion d éléments (pas d authentification) > Différents éléments à différents niveaux (MAC, utilisateur, localisation physique, etc) 17

Attaques : interception» Où intercepter? > Localisation de l utilisateur > Réseaux traversés» Interception légale (Lawful Intercept) >CALEA >Standard ETSI > Architecture et risques 18

Attaques : systèmes» Les systèmes > Plate-forme non sécurisée > Vers, exploit, chevaux de Troie 19

Attaques : téléphone» Téléphones (S)IP > Séquence de démarrage - DHCP, TFTP, etc. > Accès physique - Menus cachés > Pile TCP/IP > Firmware/configuration > Cheval de Troie/rootkit 20

Défense» Signalisation: SIP > Secure SIP vs SS7 (sécurité physique)» Transport: Secure RTP (avec MIKEY)» Réseau: QoS [LLQ] (et rate-limit)» Pare-feu: applicatif» Téléphone: images signées» Identification: TLS > Clients par le serveur > Serveurs par le client» 3P: projet, processus et politique [de sécurité] 21

Conclusion» Conclusion» A lire également > Backbone and Infrastructure Security - http://www.securite.org/presentations/secip/ > (Distributed) Denial of Service - http://www.securite.org/presentations/ddos/» Q&R Image: www.shawnsclipart.com/funkycomputercrowd.html 22

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back