Save 37% off PRO during our Black Friday Sale! »

ilty : I'm listening to you

ilty : I'm listening to you

ilty is a voip interception system

29846c7dbb3b9520618ab67e94a0cb97?s=128

Nicolas Bareil

June 08, 2005
Tweet

Transcript

  1. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP I’m listening to you ! Nicolas Bareil (nbareil@free.fr) EADS CCR/SSI 2 juin 2005 Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  2. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Probl´ ematique Beaucoup de projets VoIP Peu de gens connaissant les protocoles mis en jeux Faible conscience des nouvelles probl´ ematiques : Num´ ero d’urgence Besoin d’´ electricit´ e EDF etc. Notamment concernant la s´ ecurit´ e : Int´ egrit´ e Disponibilit´ e Confidentialit´ e M. X, RSSI « Vu le prix qu’on paie, on pense que c’est s´ ecuris´ e » Qu’en est-il concr` etement ? Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  3. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Probl´ ematique Nous allons donc aborder : Un aper¸ cu des protocoles mis en jeu ` A travers ilty, les attaques concr` etes Les mesures limitant les d´ egats Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  4. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  5. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Qu’est-ce que c’est ? VoIP signifie Voice over IP, ou t´ el´ ephonie sur IP Fonctionnalit´ es identiques ` a la t´ el´ ephonie classique Le support est le r´ eseau IP existant Les principaux protocoles : SIP, standardis´ e par l’IETF Skinny, protocole propri´ etaire de Cisco H.323 Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  6. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP ´ Equipements Un r´ eseau VoIP est constitu´ e : des t´ el´ ephones adapt´ es un entremetteur, le Call Manager C’est ´ egalement ce service qui fournit la passerelle vers le r´ eseau classique (appel ext´ erieur). Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  7. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Les protocoles mis en jeux Un r´ eseau VoIP est g´ er´ e via : Un protocole de signalisation Un protocole de transport de la voix Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  8. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Pr´ esentation g´ en´ erale Skinny : Utilise TCP/2000 Protocole binaire (contrairement ` a SIP) Champs ` a positions fixes 0x00 : 0000 1234 cafe 300d beef 81da 8100 60bb 0x10 : 0800 4560 0040 33f5 0000 4006 6828 2a1b 0x20 : 4502 2a1b 4503 c93a 07d0 e65a e15d a9c7 0x30 : 439a 5018 0578 6de8 0000 1000 0000 0000 0x40 : 0000 0300 0000 0600 0000 0100 0000 bdf1 0x50 : 0002 Longueur du message totale : 16 Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  9. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Pr´ esentation g´ en´ erale Skinny : Utilise TCP/2000 Protocole binaire (contrairement ` a SIP) Champs ` a positions fixes 0x00 : 0000 1234 cafe 300d beef 81da 8100 60bb 0x10 : 0800 4560 0040 33f5 0000 4006 6828 2a1b 0x20 : 4502 2a1b 4503 c93a 07d0 e65a e15d a9c7 0x30 : 439a 5018 0578 6de8 0000 1000 0000 0000 0x40 : 0000 0300 0000 0600 0000 0100 0000 bdf1 0x50 : 0002 Type de message : AppuiSurUneTouche Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  10. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Pr´ esentation g´ en´ erale Skinny : Utilise TCP/2000 Protocole binaire (contrairement ` a SIP) Champs ` a positions fixes 0x00 : 0000 1234 cafe 300d beef 81da 8100 60bb 0x10 : 0800 4560 0040 33f5 0000 4006 6828 2a1b 0x20 : 4502 2a1b 4503 c93a 07d0 e65a e15d a9c7 0x30 : 439a 5018 0578 6de8 0000 1000 0000 0000 0x40 : 0000 0300 0000 0600 0000 0100 0000 bdf1 0x50 : 0002 Touche 6 du t´ el´ ephone press´ ee Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  11. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP D´ eroulement Chronogramme d’un appel : Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  12. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol Le RTP utilise l’UDP : Perte de paquets non critique Question de performances Il n’y a pas de ports fixes, ils sont n´ egoci´ es et ´ echang´ es par le protocole de signalisation. Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  13. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol : en-tˆ etes 0x00 0000 1234 cafe 300d beef 81da 8100 a0bb 0x10 0800 45b8 00c8 2ff2 0000 4011 6b42 2a1b 0x20 4502 2a1b 4501 47e2 4ad6 00b4 0000 8000 0x30 85dc 00f3 56d0 0a81 7ac5 fefe fefe fefe 0x40 feff ffff 7f7f 7f7f ffff ff7f 7f7f 7f7f 0x50 7f7f 7f7e 7e7e 7e7e 7e7e 7f7f 7f7f 7f7f ... 0xd0 fefe feff ffff 7fff ffff Algorithme de codage : G711 Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  14. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol : en-tˆ etes 0x00 0000 1234 cafe 300d beef 81da 8100 a0bb 0x10 0800 45b8 00c8 2ff2 0000 4011 6b42 2a1b 0x20 4502 2a1b 4501 47e2 4ad6 00b4 0000 8000 0x30 85dc 00f3 56d0 0a81 7ac5 fefe fefe fefe 0x40 feff ffff 7f7f 7f7f ffff ff7f 7f7f 7f7f 0x50 7f7f 7f7e 7e7e 7e7e 7e7e 7f7f 7f7f 7f7f ... 0xd0 fefe feff ffff 7fff ffff Num´ ero de s´ equence : D´ etection des pertes Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  15. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol : en-tˆ etes 0x00 0000 1234 cafe 300d beef 81da 8100 a0bb 0x10 0800 45b8 00c8 2ff2 0000 4011 6b42 2a1b 0x20 4502 2a1b 4501 47e2 4ad6 00b4 0000 8000 0x30 85dc 00f3 56d0 0a81 7ac5 fefe fefe fefe 0x40 feff ffff 7f7f 7f7f ffff ff7f 7f7f 7f7f 0x50 7f7f 7f7e 7e7e 7e7e 7e7e 7f7f 7f7f 7f7f ... 0xd0 fefe feff ffff 7fff ffff Timestamp : Gestion du retard, de la gigue Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  16. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol : en-tˆ etes 0x00 0000 1234 cafe 300d beef 81da 8100 a0bb 0x10 0800 45b8 00c8 2ff2 0000 4011 6b42 2a1b 0x20 4502 2a1b 4501 47e2 4ad6 00b4 0000 8000 0x30 85dc 00f3 56d0 0a81 7ac5 fefe fefe fefe 0x40 feff ffff 7f7f 7f7f ffff ff7f 7f7f 7f7f 0x50 7f7f 7f7e 7e7e 7e7e 7e7e 7f7f 7f7f 7f7f ... 0xd0 fefe feff ffff 7fff ffff La voix Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  17. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP G´ en´ eralit´ es Le protocole de signalisation Skinny Protocole de Transport : RTP Real Time Protocol : voix Apr` es les en-tˆ etes. . .la voix ! La voix n’est pas chiffr´ ee, juste cod´ ee Si on intercepte ces paquets, on peut donc ´ ecouter la conversation ` A moins d’utiliser IPSec ou la version s´ ecuris´ ee de RTP (SRTP). Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  18. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  19. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Savoir quoi d´ etourner Le Call Manager en priorit´ e C’est la clef de tout le r´ eseau Adresse r´ ecup´ erable depuis une requˆ ete DHCP sur le r´ eseau de t´ el´ ephone Les t´ el´ ephones R´ ecup´ erer les num´ eros par l’annuaire Connaˆ ıtre les adresses grˆ ace ` a la signalisation Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  20. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Corruption de cache ARP On se fait passer pour la cible en : Envoi de requˆ etes ARP falsifi´ ees R´ epondant aux requˆ etes ARP en se faisant passer pour la cible ´ Emettant de messages ARP gratuitous Plutˆ ot que de r´ einventer la roue, on utilise un programme tel que arpspoof (dsniff) ou arp-sk Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  21. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty R´ eponse aux requˆ etes DHCP Le t´ el´ ephone utilise le DHCP pour r´ ecup´ erer les informations de base : Son adressage r´ eseau L’adresse du Call Manager R´ epondons alors avant le vrai serveur en indiquant que nous sommes le Call Manager Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  22. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Mise ` a jour de la configuration par TFTP Au d´ emarrage, le t´ el´ ephone r´ ecup` ere sa configuration via TFTP R´ ecup´ eration d’un fichier XML T´ el´ echargement des sons de base (tonalit´ es, son de touche) Il est alors possible de se faire passer pour un serveur TFTP Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  23. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty D´ etection des appels Pour rep´ erer le flux RTP, on peut utiliser des heuristiques telles que la d´ etection par : Une suite de paquets de taille fixe Un ´ echange constant entre deux ports « hauts » UDP etc. ilty pr´ ef` ere utiliser directement le protocole de signalisation. Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  24. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty La signalisation Surveiller le protocole de signalisation permet : Reconnaˆ ıtre pr´ ecisemment les appels Acc` es aux informations de l’annuaire Num´ ero de t´ el´ ephone Extension du num´ ero de t´ el´ ephone Voir les touches compos´ ees Capture du code de messagerie vocale Num´ eros de carte bleue Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  25. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty vomit vomit1 de Niels Provos D´ ecodage de Skinny et du RTP (G.711) Capture d’une unique conversation ` a la fois Capable d’injecter un fichier WAV « Simple sniffer » 1http://vomit.xtdnet.nl/ Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  26. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty voipong voipong2 de Murat Balaban Limit´ e au RTP ´ egalement Capture directe depuis le r´ eseau Capable d’enregistrer plusieurs conversations en parall` ele 2http://www.enderunix.org/voipong/ Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  27. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty CAIN CAIN3 de Massimiliano Montoro Tourne sous Microsoft Windows Surveille le RTP et SIP Supporte de nombreux algorithmes de codage Freeware, closed source 3http://www.oxid.it/cain.html Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  28. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Pr´ esentation Le projet ilty (I’m listening to you !) est une centrale d’´ ecoute t´ el´ ephonique ´ Ecrit en Python Une interface « user-friendly » D´ evelopp´ e pour EADS CCR/SSI Utilis´ e lors des tests d’intrusion Utiliser pour sensibiliser les administrateurs Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  29. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Fonctionnalit´ es ilty peut : ´ Ecouter une conversation en direct Enregistrer et lire une discussion Logguer les appels D´ etourner le trafic de voix et de signalisation via la corruption de cache ARP Son objectif est d’ˆ etre op´ erationnel sans besoin de configuration. Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  30. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Traitement de la voix Il faut : D´ ecoder la voix Mixer les paquets de voix arrivant au mˆ eme instant Plusieurs m´ ethodes pour d´ ecoder la voix : Impl´ ementer les algorithmes de d´ ecodage Utiliser un programme externe Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  31. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty D´ ecodage de la voix Afin de d´ ecoder la voix, ilty utilise intensivement les tubes (pipes) : D´ ecodage du G.711 par sox Mixage des voix par Esound (esd) Exemple : sox -Ub -r 8000 -t .raw - -t .ub - | esdcat -b -m -r 8000 Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  32. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty D´ ecodage de la voix Afin de d´ ecoder la voix, ilty utilise intensivement les tubes (pipes) : D´ ecodage du G.711 par sox Mixage des voix par Esound (esd) Exemple : sox -Ub -r 8000 -t .raw - -t .ub - | esdcat -b -m -r 8000 Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  33. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ etournement de trafic ´ Ecoute du protocole Outils existants ilty Plus qu’un sniffer ilty ne se limite(ra) pas qu’` a sniffer : Corruption de cache ARP R´ eponse aux requˆ etes DHCP des t´ el´ ephones (D´ etournement de route ?) Historique des conversations et ´ ev` enements Skinny Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  34. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  35. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP D´ emonstration Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  36. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Plan 1 Les environnements de VoIP 2 Attaques VoIP 3 D´ emonstration 4 S´ ecurisation d’un r´ eseau VoIP Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  37. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! VLAN Un VLAN est un domaine de broadcast Ethernet logique qui permet une Bonne compartimentation des diff´ erents r´ eseaux entre les machines et les t´ el´ ephones entre les t´ el´ ephones eux-mˆ eme Mais. . . Probl` eme du branchement sauvage (+ ´ emission de messages CDP) Saut de VLAN possible en cas de mauvaise configuration Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  38. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Empˆ echer la corruption de cache ARP Quelques moyens d’empˆ echer la corruption de cache ARP : Cache ARP statique Utilisation de switches de niveau 2 et 3 L’utilisation de PVLAN Mise en œuvre de arp* (module pour le noyau Linux) Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  39. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Cryptographie La meilleure solution est l’utilisation de la cryptographie ! Besoin d’authentification Contrˆ ole d’int´ egrit´ e Chiffrement Solutions : IPSec : chiffrement de toutes les donn´ ees IP SRTP : chiffrement de la voix uniquement Le protocole de signalisation n’est pas chiffr´ e Mais l’ajout de la cryptographie introduit une latence. Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  40. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Conclusion Conclusion : Le chiffrement devrait ˆ etre une fonctionnalit´ e de base Axes de d´ eveloppement d’ilty r´ e´ ecriture en cours d´ ecouverte autonome du r´ eseau Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  41. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Des questions ? Des questions ? Nicolas Bareil (nbareil@free.fr) Merci de votre attention ! Nicolas Bareil (nbareil@free.fr) I’m listening to you !
  42. Les environnements de VoIP Attaques VoIP D´ emonstration S´ ecurisation

    d’un r´ eseau VoIP Utilisation de VLAN Empˆ echer la corruption de cache ARP May the cryptography be with you ! Des questions ? Des questions ? Nicolas Bareil (nbareil@free.fr) Merci de votre attention ! Nicolas Bareil (nbareil@free.fr) I’m listening to you !