d’un r´ eseau VoIP I’m listening to you ! Nicolas Bareil ([email protected]) EADS CCR/SSI 2 juin 2005 Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Probl´ ematique Beaucoup de projets VoIP Peu de gens connaissant les protocoles mis en jeux Faible conscience des nouvelles probl´ ematiques : Num´ ero d’urgence Besoin d’´ electricit´ e EDF etc. Notamment concernant la s´ ecurit´ e : Int´ egrit´ e Disponibilit´ e Confidentialit´ e M. X, RSSI « Vu le prix qu’on paie, on pense que c’est s´ ecuris´ e » Qu’en est-il concr` etement ? Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Probl´ ematique Nous allons donc aborder : Un aper¸ cu des protocoles mis en jeu ` A travers ilty, les attaques concr` etes Les mesures limitant les d´ egats Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Qu’est-ce que c’est ? VoIP signifie Voice over IP, ou t´ el´ ephonie sur IP Fonctionnalit´ es identiques ` a la t´ el´ ephonie classique Le support est le r´ eseau IP existant Les principaux protocoles : SIP, standardis´ e par l’IETF Skinny, protocole propri´ etaire de Cisco H.323 Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP ´ Equipements Un r´ eseau VoIP est constitu´ e : des t´ el´ ephones adapt´ es un entremetteur, le Call Manager C’est ´ egalement ce service qui fournit la passerelle vers le r´ eseau classique (appel ext´ erieur). Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Les protocoles mis en jeux Un r´ eseau VoIP est g´ er´ e via : Un protocole de signalisation Un protocole de transport de la voix Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP D´ eroulement Chronogramme d’un appel : Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol Le RTP utilise l’UDP : Perte de paquets non critique Question de performances Il n’y a pas de ports fixes, ils sont n´ egoci´ es et ´ echang´ es par le protocole de signalisation. Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol : voix Apr` es les en-tˆ etes. . .la voix ! La voix n’est pas chiffr´ ee, juste cod´ ee Si on intercepte ces paquets, on peut donc ´ ecouter la conversation ` A moins d’utiliser IPSec ou la version s´ ecuris´ ee de RTP (SRTP). Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Savoir quoi d´ etourner Le Call Manager en priorit´ e C’est la clef de tout le r´ eseau Adresse r´ ecup´ erable depuis une requˆ ete DHCP sur le r´ eseau de t´ el´ ephone Les t´ el´ ephones R´ ecup´ erer les num´ eros par l’annuaire Connaˆ ıtre les adresses grˆ ace ` a la signalisation Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Corruption de cache ARP On se fait passer pour la cible en : Envoi de requˆ etes ARP falsifi´ ees R´ epondant aux requˆ etes ARP en se faisant passer pour la cible ´ Emettant de messages ARP gratuitous Plutˆ ot que de r´ einventer la roue, on utilise un programme tel que arpspoof (dsniff) ou arp-sk Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty R´ eponse aux requˆ etes DHCP Le t´ el´ ephone utilise le DHCP pour r´ ecup´ erer les informations de base : Son adressage r´ eseau L’adresse du Call Manager R´ epondons alors avant le vrai serveur en indiquant que nous sommes le Call Manager Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Mise ` a jour de la configuration par TFTP Au d´ emarrage, le t´ el´ ephone r´ ecup` ere sa configuration via TFTP R´ ecup´ eration d’un fichier XML T´ el´ echargement des sons de base (tonalit´ es, son de touche) Il est alors possible de se faire passer pour un serveur TFTP Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty D´ etection des appels Pour rep´ erer le flux RTP, on peut utiliser des heuristiques telles que la d´ etection par : Une suite de paquets de taille fixe Un ´ echange constant entre deux ports « hauts » UDP etc. ilty pr´ ef` ere utiliser directement le protocole de signalisation. Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty La signalisation Surveiller le protocole de signalisation permet : Reconnaˆ ıtre pr´ ecisemment les appels Acc` es aux informations de l’annuaire Num´ ero de t´ el´ ephone Extension du num´ ero de t´ el´ ephone Voir les touches compos´ ees Capture du code de messagerie vocale Num´ eros de carte bleue Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty vomit vomit1 de Niels Provos D´ ecodage de Skinny et du RTP (G.711) Capture d’une unique conversation ` a la fois Capable d’injecter un fichier WAV « Simple sniffer » 1http://vomit.xtdnet.nl/ Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty voipong voipong2 de Murat Balaban Limit´ e au RTP ´ egalement Capture directe depuis le r´ eseau Capable d’enregistrer plusieurs conversations en parall` ele 2http://www.enderunix.org/voipong/ Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty CAIN CAIN3 de Massimiliano Montoro Tourne sous Microsoft Windows Surveille le RTP et SIP Supporte de nombreux algorithmes de codage Freeware, closed source 3http://www.oxid.it/cain.html Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Pr´ esentation Le projet ilty (I’m listening to you !) est une centrale d’´ ecoute t´ el´ ephonique ´ Ecrit en Python Une interface « user-friendly » D´ evelopp´ e pour EADS CCR/SSI Utilis´ e lors des tests d’intrusion Utiliser pour sensibiliser les administrateurs Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Fonctionnalit´ es ilty peut : ´ Ecouter une conversation en direct Enregistrer et lire une discussion Logguer les appels D´ etourner le trafic de voix et de signalisation via la corruption de cache ARP Son objectif est d’ˆ etre op´ erationnel sans besoin de configuration. Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Traitement de la voix Il faut : D´ ecoder la voix Mixer les paquets de voix arrivant au mˆ eme instant Plusieurs m´ ethodes pour d´ ecoder la voix : Impl´ ementer les algorithmes de d´ ecodage Utiliser un programme externe Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty D´ ecodage de la voix Afin de d´ ecoder la voix, ilty utilise intensivement les tubes (pipes) : D´ ecodage du G.711 par sox Mixage des voix par Esound (esd) Exemple : sox -Ub -r 8000 -t .raw - -t .ub - | esdcat -b -m -r 8000 Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty D´ ecodage de la voix Afin de d´ ecoder la voix, ilty utilise intensivement les tubes (pipes) : D´ ecodage du G.711 par sox Mixage des voix par Esound (esd) Exemple : sox -Ub -r 8000 -t .raw - -t .ub - | esdcat -b -m -r 8000 Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Plus qu’un sniffer ilty ne se limite(ra) pas qu’` a sniffer : Corruption de cache ARP R´ eponse aux requˆ etes DHCP des t´ el´ ephones (D´ etournement de route ?) Historique des conversations et ´ ev` enements Skinny Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! VLAN Un VLAN est un domaine de broadcast Ethernet logique qui permet une Bonne compartimentation des diff´ erents r´ eseaux entre les machines et les t´ el´ ephones entre les t´ el´ ephones eux-mˆ eme Mais. . . Probl` eme du branchement sauvage (+ ´ emission de messages CDP) Saut de VLAN possible en cas de mauvaise configuration Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Empˆ echer la corruption de cache ARP Quelques moyens d’empˆ echer la corruption de cache ARP : Cache ARP statique Utilisation de switches de niveau 2 et 3 L’utilisation de PVLAN Mise en œuvre de arp* (module pour le noyau Linux) Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Cryptographie La meilleure solution est l’utilisation de la cryptographie ! Besoin d’authentification Contrˆ ole d’int´ egrit´ e Chiffrement Solutions : IPSec : chiffrement de toutes les donn´ ees IP SRTP : chiffrement de la voix uniquement Le protocole de signalisation n’est pas chiffr´ e Mais l’ajout de la cryptographie introduit une latence. Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Conclusion Conclusion : Le chiffrement devrait ˆ etre une fonctionnalit´ e de base Axes de d´ eveloppement d’ilty r´ e´ ecriture en cours d´ ecouverte autonome du r´ eseau Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Des questions ? Des questions ? Nicolas Bareil ([email protected]) Merci de votre attention ! Nicolas Bareil ([email protected]) I’m listening to you !
d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Des questions ? Des questions ? Nicolas Bareil ([email protected]) Merci de votre attention ! Nicolas Bareil ([email protected]) I’m listening to you !
nbareil
.png){kind=avatar}
yuriko1211
kakao
hideg
ivargrimstad
irof
javiergs
ysk8hori
layerx
junk0612
maaretp
tnagao7
bkeepers
skipperchong
vanstee
swwweet
philnash
sugarenia
michaelherold
jponch
tammyeverts
danielanewman
chrisshort
deanohume
