Chap It Re 1

Chapitre 1

I-

Voix sur IP : description

I-1 introduction : La voix sur IP (Voice over IP) est une technologie de communication vocale en pleine émergence. Elle s’intègre dans le sillage d’une avancée technologique à travers laquelle les opérateurs, entreprises ou organisations et fournisseurs voyant le transport réseau de paquets IP introduire de nouveaux services voix et vidéo et donc surpasser le trafic traditionnel du réseau voix (réseau à commutation de circuits) cherchaient à bénéficier de cet avantage. Ce fût en 1996 la naissance de la première version voix sur IP appelée H323. Issu de l'organisation de standardisation européenne ITU-T sur la base de la signalisation voix RNIS (Q931), ce standard a maintenant donné suite à de nombreuses évolutions, quelques nouveaux standards prenant d'autres orientations technologiques.

I-2- principe de la technologie Les données à transmettre étant la voix dont la numérisation génère un signal à découper en paquets qui sont transmis sur un réseau IP vers une application qui se chargera de la transformation inverse (des paquets vers la voix). Au lieu de disposer à la fois d'un réseau informatique et d'un réseau téléphonique commuté (RTC), l'entreprise peux donc, grâce à la VoIP, tout fusionner sur un même réseau. Ca par du fait que la téléphonie devient de la "data". Les nouvelles capacités des réseaux à haut débit devraient permettre de transférer de manière fiable des données en temps réel. Ainsi, les applications de vidéo ou audioconférence ou de téléphonie vont envahir le monde IP qui, jusqu'alors, ne pouvait raisonnablement pas supporter ce genre d'applications (temps de réponse important, jigue-jitter, Cos-Qos,...).

I-3 Standards VoIP : Les premières technologies de VoIP imaginées étaient propriétaires et donc très différentes les unes des autres. Pourtant, un système qui est censé mettre des gens et des systèmes en relation exige une certaine dose de standardisation. C'est pourquoi sont apparus des protocoles standards, comme le H323 ou le SIP

I-3-1 protocole H323 : H.323 est un protocole de communication englobant un ensemble de normes utilisés pour l'envoi de données audio et vidéo sur Internet. Il existe depuis 1996 et a été initié par l'ITU (International Communication Union), un groupe international de téléphonie qui développe des standards de communication. Concrètement, il est utilisé pour l'interactivité en temps réel, notamment la visioconférence (signalisation, enregistrement, contrôle d'admission, transport et encodage) et encore dans des équipements tels que les routeurs Cisco..

Chapitre 1

I-3-2 protocole SIP : Le protocole SIP (Session Initiation Protocole) a été initié par le groupe MMUSIC (Multiparty Multimedia Session Control) et désormais repris et maintenu par le groupe SIP de l'IETF. SIP est un protocole de signalisation appartenant à la couche application du modèle OSI. Son rôle est d'ouvrir, modifier et libérer les sessions. L'ouverture de ces sessions permet de réaliser de l'audio ou vidéoconférence, de l'enseignement à distance, de la voix (téléphonie) et de la diffusion multimédia sur IP essentiellement. Un utilisateur peut se connecter avec les utilisateurs d'une session déjà ouverte. Pour ouvrir une session, un utilisateur émet une invitation transportant un descripteur de session permettant aux utilisateurs souhaitant communiquer de s'accorder sur la compatibilité de leur média, SIP permet donc de relier des stations mobiles en transmettant ou redirigeant les requêtes vers la position courante de la station appelée. Enfin, SIP possède l'avantage de ne pas être attaché à un médium particulier et est sensé être indépendant du protocole de transport des couches basses.

D’autre part, Les messages SIP peuvent contenir des données confidentielles, en effet le protocole SIP possède 3 mécanismes de cryptage : -

Cryptage de bout en bout du Corps du message SIP et de certains champs d'en-tête sensibles aux attaques. Cryptage au saut par saut (hop by hop) à fin d'empêcher des pirates de savoir qui appelle qui. Cryptage au saut par saut du champ d'en-tête Via pour dissimuler la route qu'a emprunté la requête.

De plus, à fin d'empêcher à tout intrus de modifier et retransmettre des requêtes ou réponses SIP, des mécanismes d'intégrité et d'authentification des messages sont mis en place. Et pour des messages SIP transmis de bout en bout, des clés publiques et signatures sont utilisées par SIP et stockées dans les champs d'en-tête Autorisation. I-3-3 Comparaison :  les avantages du protocole H.323 : -

Il existe de nombreux produits (plus de 30) utilisant ce standard adopté par de grandes entreprises telles Cisco, IBM, Intel, Microsoft, Netscape, etc. Les cinq principaux logiciels de visioconférence Picturel 550, Proshare 500, Trinicon 500, Smartstation et Cruiser 150 utilisent sur Ip la norme H.323. Un niveau d'interopérabilité très élevé, ce qui permet à plusieurs utilisateurs d'échanger des données audio et vidéo sans faire attention aux types de média qu'ils utilisent.

 les avantages du protocole SIP : -

SIP est un protocole plus rapide. La séparation entre ses champs d'en-tête et son corps du message facilite le traitement des messages et diminue leur temps de transition dans le réseau.

Chapitre 1

-

Nombre des en-têtes est limité (36 au maximum et en pratique, moins d'une dizaine d'en-têtes sont utilisées simultanément), ce qui allège l'écriture et la lecture des requêtes et réponses. SIP est un protocole indépendant de la couche transport. Il peut aussi bien s'utiliser avec TCP que UDP. De plus, il sépare les flux de données de ceux la signalisation, ce qui rend plus souple l'évolution "en direct" d'une communication (arrivée d'un nouveau participant, changement de paramètres...).

De ce fait, la simplicité, la rapidité et la légèreté d'utilisation, tout en étant très complet, du protocole SIP sont autant d'arguments qui pourraient permettre à SIP de convaincre les investisseurs. De plus, ses avancées en matière de sécurité des messages sont un atout important par rapport à ses concurrents. I-3-4 le protocole MGCP : C’est un protocole de signalisation issu d’une concertation de l’ITU et de l’IETF. Alors que H.323 et SIP permettent à des terminaux d’émettre des appels en mode point à point directement et toutes les fonctions sont spécifiées dans le protocole, MGCP est conçu différemment ; Il est utilisé dans le cadre de réseaux VoIP centralisés, où l’intelligence et la configuration des communications sont prises en charge par un serveur central (appelé call agent) et où les passerelles (Media Gateways) sont de simples équipements réseaux passifs de terminaisons (fonctionnement en mode maître/esclaves). I-3-5 Les protocoles de transport RTP et RTCP : RTP (Real Time Transport Protocole) est un protocole qui a été développé par l'IETF afin de faciliter le transport temps réel de bout en bout des flots données audio et vidéo sur les réseaux IP, c'est à dire sur les réseaux de paquets. Il a pour but d'organiser les paquets à l'entrée du réseau et de les contrôler à la sortie. Ceci de façon à reformer les flux avec ses caractéristiques de départ. RTP est un protocole qui se situe au niveau de l'application et qui utilise les protocoles sous-jacents de transport TCP ou UDP. Mais l'utilisation de RTP se fait généralement au-dessus de UDP ce qui permet d'atteindre plus facilement le temps réel. Les applications temps réels comme la parole numérique ou la visioconférence constitue un véritable problème pour Internet. Qui dit application temps réel, dit présence d'une certaine qualité de service (QoS) que RTP ne garantie pas du fait qu'il fonctionne au niveau Applicatif. De plus RTP est un protocole qui se trouve dans un environnement multipoint, donc on peut dire que RTP possède à sa charge, la gestion du temps réel, mais aussi l'administration de la session multipoint. Le protocole RTCP est fondé sur la transmission périodique de paquets de contrôle à tous les participants d'une session. C'est le protocole Udp (par exemple) qui permet le multiplexage des paquets de données Rtp et des paquets de contrôle Rtcp. Le protocole Rtp utilise le protocole Rtcp, Real-time Transport Control Protocol, qui transporte les informations supplémentaires relatives aux paramètres de la qualité de service, à la synchronisation supplémentaires entre les médias, à l’identification et au contrôle de la session. On peut dire alors que les paquets Rtp ne transportent que les données des utilisateurs. Tandis que les paquets Rtcp ne transportent en temps réel, que de la supervision

Chapitre 1

I-4 L’architecture voIP : I-4-1 schéma de principe :

La VoIP étant une nouvelle technologie de communication, elle n'a pas encore de standard unique. En effet, chaque constructeur apporte ses normes et ses fonctionnalités à ses solutions. Il existe tout de même des références en la matière que tous les acteurs de ce marché utilisent comme base pour leur produit dont les trois principales sont H.323, SIP et MGCP/MEGACO. Il existe plusieurs approches pour offrir des services de téléphonie et de visiophonie sur des réseaux IP. Le schéma ci-dessus, décrit de façon générale la topologie d'un réseau de téléphonie IP. Cependant, chaque norme (qu’on a cité dans le paragraphe précédent) a ensuite ses propres caractéristiques pour garantir une plus ou moins grande qualité de service. Certaines préfèrent une approche peer to peer avec l'intelligence répartie à la périphérie (terminal de téléphonie IP, passerelle avec le réseau téléphonique commuté...), alors que d’autres placent l'intelligence dans le réseau. Cette dernière est aussi déportée soit sur les terminaux, soit sur les passerelles/Gatekeeper (contrôleur de commutation). Quelque soit l’architecture adoptée On retrouve les éléments communs suivants :

• •

Le routeur : Il permet d'aiguiller les données et le routage des paquets entre deux réseaux. Certains routeurs, comme les Cisco 2600, permettent de simuler un gatekeeper grâce à l'ajout de cartes spécialisées supportant les protocoles VoIP. La passerelle : il s'agit d'une interface entre le réseau commuté et le réseau IP.

Chapitre 1

• •

Le PABX : C'est le commutateur du réseau téléphonique classique. Il permet de faire le lien entre la passerelle ou le routeur et le réseau RTC. Une mise à jour du PABX est aussi nécessaire. Si tout le réseau devient IP, il n'y a plus besoin de ce matériel. Les Terminaux : Des PC ou des téléphones VoIP.

I-4-2 Gateway et Gatekeeper L’un des éléments clefs d'un réseau VoIP sont la passerelle et leurs « Gatekeepers » associés. Les passerelles ou gateways en téléphonie IP sont des ordinateurs qui fournissent une interface où se fait la convergence entre les réseaux téléphoniques commutés (RTC) et les réseaux basés sur la commutation de paquets TCP/IP. C'est une partie essentielle de l'architecture du réseau de téléphonie IP. Le gatekeeper est l'élément qui fournit de l'intelligence à la passerelle. Le gatekeeper est donc le compagnon logiciel de la gateway. Tandis que le gateway permet aux terminaux d'opérer en environnements hétérogènes, un gatekeeper doit assurer deux services principaux : la gestion des permission et la résolution d'adresses, il doit ainsi répondre aux aspects suivant de la téléphonie IP :  Le routage des appels : en effet, le gatekeeper est responsable de la fonction de routage. Non seulement, il doit tester si l'appel est permis et faire la résolution d'adresse mais il doit aussi rediriger l'appel vers le bon client ou la bonne passerelle.  Administration de la bande passante : le gatekeeper alloue une certaine quantité de bande passant pour un appel et sélectionne les codecs à utiliser. Il agit en tant que régulateur de la bande passante pour prémunir le réseau contre les goulots d'étranglement (bottle-neck).  Tolérance aux fautes, sécurité : le gatekeeper est aussi responsable de la sécurité dans un réseau de téléphonie IP. Il doit gérer les redondances des passerelles afin de faire aboutir tout appel. Il connaît à tout moment l'état de chaque passerelle et route les appels vers les passerelles accessibles et qui ont des ports libres.  Gestion des différentes gateways : dans un réseau de téléphonie IP, il peut y avoir beaucoup de gateways. Le gatekeeper, de par ses fonctionnalités de routage et de sécurité, doit gérer ces gateways pour faire en sorte que tout appel atteigne sa destination avec la meilleure qualité de service possible. Ainsi, le gatekeeper peut remplacer le classique PABX. Cependant, Il n'existe pas les mêmes contraintes avec un gatekeeper qu'avec un PABX. En effet, ce dernier est constitué par du logiciel et l'opérateur peut implémenter autant de services qu'il le désire. Alors qu'avec un PABX, l'évolutivité est limitée par le matériel propriétaire de chaque constructeur, avec le gatekeeper, l'amélioration des services d'un réseau de téléphonie IP n'a pas de limites. Le grand bénéfice du développement d'un gros gatekeeper est de remplacer le PABX classique. En effet, chaque PABX utilise son propre protocole pour communiquer avec les postes clients, ce qui entraîne un surcoût. Avec le couple gateway/gatekeeper, ce problème n'existe pas. Il utilise des infrastructures qui existent, le LAN et des protocoles tel qu'IP. I-5 les avantages de la VoIP : La VoIP offre de nombreuses nouvelles possibilités aux opérateurs et utilisateurs qui bénéficient d'un réseau basé sur Ip. Les avantages les plus marqués sont les suivants :

Chapitre 1

I-5-1 Réduction des coûts : En déplaçant le trafic voix Rtc vers le réseau privé WAN/IP les entreprises peuvent réduire sensiblement certains coûts de communications. Réductions importantes mises en évidence pour des communications internationales, ces réductions deviennent encore plus intéressantes dans la mutualisation voix/données du réseau IP inter-sites (WAN). Dans ce dernier cas, le gain est directement proportionnel au nombre de sites distants.

I-5-2 Choix d'un service opéré Les services opérateurs ouvrent les alternatives VoIP. Non seulement l'entreprise peut opérer son réseau privé VoIP en extension du réseau RTC opérateur, mais l'opérateur lui-même ouvre de nouveaux services de transport VoIP qui simplifient le nombre d'accès locaux à un site et réduit les coûts induits. Le plus souvent les entreprises opérant des réseaux multi-sites louent une liaison privée pour la voix et une pour la donnée, en conservant les connexions RTC d'accès local. Les nouvelles offres VoIP opérateurs permettent outre les accès RTC locaux, de souscrire uniquement le média VoIP inter-sites. I-5-3 Un service PABX distribué ou centralisé : Les PABX en réseau bénéficient de services centralisés tel que la messagerie vocale, la taxation, etc... Cette même centralisation continue à être assurée sur un réseau VoIP sans limitation du nombre de canaux. A l'inverse, un certain nombre de services sont parfois souhaités dans un mode de décentralisation. C'est le cas du centre d'appels où le besoin est une centralisation du numéro d'appel (ex : numéro vert), et une décentralisation des agents du centre d'appel. Difficile à effectuer en téléphonie traditionnelle sans l'utilisation d'un réseau IP pour le déport de la gestion des ACD distants. Il est ainsi très facile de constituer un centre d'appel ou centre de contacts (multi canaux/multi-médias) virtuel qui possède une centralisation de supervision et d'informations.

I-5-4 Evolution vers un réseau de téléphonie sur Ip La téléphonie sur IP repose totalement sur un transport VoIP. La mise en oeuvre de la VoIP offre là une première brique de migration vers la téléphonie sur IP.

I-5-6 Intégration des services vidéo La VoIP intègre une gestion de la voix mais également une gestion de la vidéo. Si nous excluons la configuration des "multicasts" sur les composants du réseau, le réseau VoIP peut accueillir des applications vidéo de type vidéo conférence, vidéo surveillance, e-learning, vidéo on demand,..., pour l'ensemble des utilisateurs à un coût d'infrastructure réseau supplémentaire minime.

Chapitre 1

II-

Sécurité de la VoIP : IPS

II-1 Introduction : Comme toute nouvelle technologie, la voix sur IP introduit de nouveaux risques et de nouvelles attaques. Héritant à la fois des propriétés de la téléphonie traditionnelle et des réseaux de données, la voix sur IP est donc susceptible de connaître les problématiques sécurité de ces deux mondes. Ainsi, les attaques rencontrées dans la téléphonie traditionnelle comme la manipulation des protocoles de signalisation ou encore le “phreaking” (détournement du système de téléphonie pour éviter la facturation) trouvent un pendant en téléphonie sur IP. Le but de ces attaques lui ne change pas : la fraude et la manipulation de données. Par ailleurs, la sécurité des réseaux informatiques, plus complexes, offre un panel d’attaques beaucoup plus large. Ainsi, tous les éléments du réseau, du niveau physique jusqu’à la couche applicative, font partie intégrante de la sécurité de la voix sur IP et offrent des possibilités d’attaques importantes et potentiellement inhabituelles en téléphonie classique comme les dénis de service.

II-2 Les vulnérabilités de la VoIP : Le système VoIP utilise l’Internet, de ce fait il hérite des bons, mais aussi des mauvais côtés de celui-ci. Deux types d’attaque sont possibles sur le réseau: l’attaque externe et l’attaque interne. Dans un réseau VoIP, par exemple, les menaces externes sont des attaques lancées par une personne autre que celle qui participe à un appel basé sur la VoIP. Les menaces externes se produisent généralement quand les paquets de la voix traversent un réseau peu fiable et/ou l'appel traverse un réseau tiers durant le transfert de message. Il existe trois principales vulnérabilités sur un environnement VoIP. La première dépend des protocoles utilisés (SIP, H.323 …), la deuxième est relative à l’infrastructure du réseau VoIP alors que la dernière est reliée aux systèmes d'exploitation sur lesquels les éléments VoIP sont implémentés. Chaque protocole ou service a ses propres vulnérabilités. Nous allons nous intéresser particulièrement au protocole SIP puisque il sera notre protocole de signalisation et on aura donc à établir notre solution de sécurité à partir des failles de ce protocole. II-2-1 Les vulnérabilités du protocole :

Chapitre 1

Comme on a déjà mentionné lors de la présentation des standards VoIP, un appel téléphonique VoIP est constitué de deux parties: la signalisation, qui instaure l'appel, et les flux de médias, qui transportent la voix. La signalisation, en particulier SIP, transmet les entêtes et la charge utile (Payload) du paquet en texte clair, ce qui permet à un attaquant de falsifier facilement les paquets. Elle est donc vulnérable aux faussaires qui essaient de voler ou perturber le service téléphonique et à l’écoute clandestine qui recherche des informations sur un compte utilisateur valide, pour passer des appels gratuits par exemple. La signalisation utilise, en général, le port par défaut UDP/TCP 5060. Le firewall doit être capable d’inspecter les paquets de signalisation et ouvre ce port afin de leur autoriser l’accès au réseau. Un firewall qui n'est pas compatible aux protocoles de la VoIP doit être configuré manuellement pour laisser le port 5060 ouvert, créant un trou pour des attaques contre les éléments qui écoutent l'activité sur ce port. Le protocole RTP utilisé pour le transport des flux de média présente également plusieurs vulnérabilités dues à l'absence d'authentification et de chiffrage. Chaque entête d’un paquet RTP contient un numéro de séquence qui permet au destinataire de reconstituer les paquets de la voix dans l'ordre approprié. Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numéro de séquence plus élevé. En conséquence, ces paquets seront diffusés à la place des vrais paquets. Généralement, les flux de médias contournent les serveurs proxy et circulent directement entre les points finaux. Les menaces habituelles contre le flux de la voix sont l’interruption de transport et l'écoute clandestine. Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par conséquent sont aussi vulnérables à toutes les attaques de bas niveau contre ces protocoles, telles que le détournement de la session (TCP) (session Hijacking), la mystification (UDP) (spoofing), etc. II-2-2 Les vulnérabilités de l’infrastructure : Une infrastructure VoIP est composée de téléphones IP, gateway, serveurs (proxy, register, location). Chaque élément, que ce soit un système embarqué ou un serveur standard tournant sur un système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur. Chacun comporte un processeur qui exécute des logiciels qui peuvent être attaqués ou employés en tant que points de lancement d’une attaque plus profonde. a/ vulnérabilité des hosts  Les téléphones IP Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone IP, un softphone, ou d’autres programmes ou matériels clients. Généralement, il obtient les privilèges qui lui permettent de commander complètement la fonctionnalité du dispositif. Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique au dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif: •

La pile du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne sera pas remarquée.

Chapitre 1

•

Un firmware modifié de manière malveillante peut avoir été téléchargé et installé. Les modifications faites à la configuration des logiciels de téléphonie IP peuvent permettre: - Aux appels entrants d'être réorientés vers un autre point final sans que l'utilisateur soit au courant. - Aux appels d’être surveillés. - A l'information de la signalisation et/ou les paquets contenant de la voix d’être routés vers un autre dispositif et également d’être enregistrés et/ou modifiés. - De compromettre la disponibilité du point final. Par exemple, ce dernier peut rejeter automatiquement toutes les requêtes d’appel, ou encore, éliminer tout déclenchement de notification tel qu’un son ou une notification visuelle à l’arrivée d’un appel. Les appels peuvent également être interrompus à l’improviste (quelques téléphones IP permettent ceci via une interface web). • D’autres conséquences possibles sont: - Des backdoors pourraient été installés. - Toutes les informations concernant l'utilisateur qui sont stockées sur le dispositif pourraient été extraites.

L’acquisition d'un accès non autorisé sur un dispositif de téléphonie IP peut être le résultat d'un autre élément compromis sur le réseau IP, ou de l'information récoltée sur le réseau. Les softphones ne réagissent pas de la même façon aux attaques comparés à leur homologues téléphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs inclus dans le système, à savoir les vulnérabilités du système d'exploitation, les vulnérabilités de l’application, les vulnérabilités du service, des vers, des virus, etc... En plus, le softphone demeure sur le segment de données, est ainsi sensible aux attaques lancées contre ce segment et pas simplement contre l’hôte qui héberge l’application softphone. Les téléphones IP exécutent quant à eux leurs propres systèmes d’exploitation avec un nombre limité de services supportés et possèdent donc moins de vulnérabilités.  Les serveurs : Un pirate peut viser les serveurs qui fournissent le réseau de téléphonie sur IP. Compromettre une telle entité mettra généralement en péril tout le réseau de téléphonie dont le serveur fait partie. Par exemple, si un serveur de signalisation est compromis, un attaquant peut contrôler totalement l'information de signalisation pour différents appels. Ces informations sont routées à travers le serveur compromis. Avoir le contrôle de l'information de signalisation permet à un attaquant de changer n'importe quel paramètre relatif à l’appel. Si un serveur de téléphonie IP est installé sur un système d'exploitation, il peut être une cible pour les virus, les vers, ou n’importe quel code malveillant.

Chapitre 1

b/ vulnérabilités de configuration des dispositifs VoIP : - Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent avoir une variété de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent être vulnérables aux attaques DoS ou buffer overflows. - Plusieurs dispositifs de la VoIP exécutent également un serveur WEB pour la gestion à distance qui peut être vulnérable aux attaques buffer overflows et à la divulgation d’informations. - Si les services accessibles ne sont pas configurés avec un mot de passe, un attaquant peut acquérir un accès non autorisé à ce dispositif. - Les services SNMP (Simple Network Management Protocol) offerts par ces dispositifs peuvent être vulnérables aux attaques de reconnaissance ou aux buffer overflows. - Plusieurs dispositifs de la VoIP sont configurés pour télécharger périodiquement un fichier de configuration depuis un serveur par TFTP ou d'autres mécanismes. Un attaquant peut potentiellement détourner ou mystifier cette connexion et tromper le dispositif qui va télécharger un fichier de configuration malveillant à la place du véritable fichier. II-2-3 Les vulnérabilités du système d’exploitation : Une des principales vulnérabilités des systèmes d'exploitation est le buffer overflow. Il permet à un attaquant de prendre le contrôle partiel ou complet de la machine. Bien-sûr, ce n’est pas la seule vulnérabilité et elles varient selon le fabricant et la version. Elles sont pour la plupart relatives au manque de sécurité lors de la phase initiale de développement du système d'exploitation et ne sont découvertes qu’après le lancement du produit. Les dispositifs de la VoIP tels que les téléphones IP, Call Managers, Gateways et les serveurs proxy, … héritent les mêmes vulnérabilités du système d'exploitation ou du firmware sur lequel ils tournent. Il existe une centaine de vulnérabilités exploitables à distance sur Windows et même sur Linux. Un grand nombre de ces exploits sont disponibles librement et prêts à être téléchargés sur l'Internet. Peu importe comment une application de la VoIP s'avère être sûre, ceci devient discutable si le système d'exploitation sur lequel elle tourne est compromis. II-3 Les attaques possibles sur un service VoIP : Lors du lancement d’une attaque le pirate peut profiter de l’une ou d’une association des vulnérabilités que présente l’architecture VoIP. Mais quelques soit

Chapitre 1 le type de l’attaque, les objectifs sont généralement la perturbation voir l’interruption du service ou le vol des données VoIP et même du service. II-3-1 Déni de service (DoS ) : C’est l’une des attaque les plus fréquentes sur les réseaux en générale dès qu’il s’agit de services à diffuser pour les clients ce qui est le cas de la VoIP. Il existe deux sortes d’attaque de déni de service: • Ceux qui exploitent les erreurs de programmation pour «faire tomber» routeurs et serveurs (ex: attaque par buffer overflow), • Ceux causés par une attaque par saturation. L’attaque par saturation a pour but de rendre un élément particulier du réseau indisponible, généralement en dirigeant une quantité excessive du trafic réseau à ses interfaces. Cette attaque peut être distribuée (DDos) en impliquant la collaboration de plusieurs ordinateurs. Dans ce cas, l’attaque comporte 2 phases: Phase1: L’installation des logiciels maîtres et zombies. Les logiciels zombie livrent concrètement l’assaut contre la victime, tandis que les logiciels maîtres, installés sur d’autres ordinateurs, déclenchent l’attaque. Phase2: Lancement de l’offensive. Dans le cas de SIP, une attaque DoS peut être directement dirigée contre les utilisateurs finaux ou les dispositifs tels que téléphones IP, routeurs, proxy SIP etc… ou contre les serveurs concernés par le processus, en utilisant le mécanisme du protocole SIP ou d’autres techniques traditionnelles de DoS. Voici les différentes formes d’attaque DoS : a/ CANCEL : C’est un type de déni de service lancé contre l'utilisateur. L’attaquant surveille l’activité du proxy SIP et attend qu’un appel arrive pour un utilisateur spécifique. Une fois que le dispositif de l’utilisateur reçoit la requête INVITE, l'attaquant envoie immédiatement une requête CANCEL. Cette requête produit une erreur sur le dispositif de l’appelé et termine l'appel. Ce type d'attaque est employé pour interrompre la communication. L’utilisateur toto initie l’appel, envoie une invitation (1) au proxy auquel il est rattaché. Le proxy du domaine A achemine la requête (2) au proxy qui est responsable de l’utilisateur titi. Ensuite c’est le proxy du domaine B qui prend le relais et achemine la requête INVITE (3) qui arrive enfin à destination. Le dispositif de titi, quand il reçoit l’invitation, sonne (4). Cette information est réacheminée jusqu’au dispositif de toto. L’attaquant qui surveille l’activité du proxy SIP du domaine B envoie une requête CANCEL (7) avant que titi n’ait pu envoyer la réponse OK qui accepte l’appel. Cette requête annulera la requête en attente -l’INVITE-, l’appel n’a pas lieu, c’est un déni de service.

Chapitre 1 b/ BYE Un autre type d’attaque lancée contre les utilisateurs est le déni de service par requête BYE. Cette dernière est envoyée soit à l’appelant, soit à l’appelé. C’est exactement le même scénario que l’attaque par CANCEL ,sauf que dans ce cas-ci, l’attaquant attend qu’une réponse positive acceptant l’appel (4) soit envoyée par titi pour lancer son attaque. Dès que la 200 OK est envoyée, l’attaquant envoie une requête BYE à l’un des participants ou même aux deux, ce qui terminera l’appel sans que les communiquants n’y puissent rien. c/ REGISTER Le serveur d'enregistrement lui-même est une source potentielle de déni de service pour les utilisateurs. En effet ce serveur peut accepter des enregistrements de tous les dispositifs. Un nouvel enregistrement avec une «*» dans l'entête remplacera tous les précédents enregistrements pour ce dispositif. Les attaquants, de cette façon, peuvent supprimer l’enregistrement de quelquesuns des utilisateurs, ou tous, dans un domaine, empêchant ainsi ces utilisateurs d'être invités à de nouvelles sessions. Notez que cette fonction de suppression d’enregistrement d’un dispositif au profit d’un autre est un comportement voulu en SIP afin de permettre le transfert d’appel. Le dispositif de l’utilisateur doit pouvoir devenir le dispositif principal quand il vient en ligne. C’est un mécanisme très pratique pour les utilisateurs mais également pour les pirates. d/ Abus des codes de réponses : Le client doit se méfier de certaines réponses. En effet il ne peut pas faire confiance à une réponse non-authentifiée terminant, redirigeant ou interférant l’appel. Des espions peuvent avoir écouté la requête de ce client et générer une réponse non authentifiée. Le client doit plus particulièrement être prudent avec les réponses de redirection (code 3xx) et d’erreur (codes 4xx à 6xx). Exemple: l’attaque de déni de service en utilisant un serveur proxy intrus. Ce dernier renvoie une réponse de code 6xx au client. Si le client n’ignore pas cette réponse et envoie une requête vers le serveur "régulier" auquel il était relié avant la réception de la réponse du serveur "intrus", la requête aura de fortes chances d’atteindre le serveur intrus et non son vrai destinataire. e/ SIP INVITE flood : Un déni de service plus traditionnel et des attaques de déni de service distribué sont possibles en utilisant les caractéristiques du protocole SIP. Envoyer simultanément une requête INVITE à un grand nombre d'utilisateurs en falsifiant l'adresse source est un exemple. En Conséquence, tous les dispositifs répondent simultanément au même dispositif créant une situation de déni de service.

Chapitre 1 Le protocole SIP permet l’envoi de messages INVITE multiples entre les terminaux afin d’implémenter des services comme l’appel en attente (call hold) ou la mise en attente d'un correspondant (call park). f/ Requêtes manipulés : Dans de nombreuses architectures, les proxys SIP sont placés face à l'Internet afin d'accepter les requêtes depuis le monde entier. Cette situation fournit un certain nombre d'opportunités potentielles en faveur des attaques de déni de service. Les attaquants peuvent créer des fausses requêtes qui contiennent une adresse IP source falsifiée et un entête Via qui identifient l’hôte cible. Ils envoient cette requête à un grand nombre d'éléments du réseau SIP. De cette façon, un User Agent SIP ou un proxy SIP est utilisé pour produire du trafic DoS visant la cible. Les attaquants peuvent également essayer d'épuiser la mémoire disponible et les ressources du disque d'un registrar en enregistrant un énorme nombre de liaisons (binding). Notez aussi qu’une attaque DoS peut priver le réseau d’adresses IP en épuisant le pool d’adresses IP d’un serveur DHCP dans un réseau VoIP. Cette situation est plus connue sous le nom d’épuisement de ressources. On constate que le déni de service peut être accompli par divers moyens. Le DoS plus traditionnel et les attaques DDoS demandent en général l’inondation d’un hôte par un grand nombre de requêtes de service pour qu'aucune requête légitime ne puisse être traitée. II-3-2 Ecoute Clandestine (Eavesdropping) : L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un attaquant avec un accès au réseau VoIP peut sniffer le trafic et décoder la conversation vocale. Un outil nommé VOMIT (Voice Over Misconfigured Internet Telephones) est téléchargeable facilement sur le web pour réaliser cette attaque. VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec n’importe quel lecteur de fichiers son. II-3-3 Call Hijacking : Le Call hijacking consiste à détourner un appel. Plusieurs fournisseurs de service VoIP utilisent le web comme interface permettant à l'utilisateur d’accéder à leur système téléphonique. Un utilisateur authentifié peut changer les paramètres de ses transferts d'appel à travers cette interface web. C’est peut être pratique, mais un utilisateur malveillant peut utiliser le même moyen pour mener une attaque. Exemple: quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant envoie un message de redirection 3xx indiquant que l’appelé s'est déplacé et par la même occasion donne sa propre adresse comme adresse de

Chapitre 1 renvoi. A partir de ce moment, tous les appels destinés à l’utilisateur sont ransférés et c’est l’attaquant qui les reçoit. Un appel détourné en lui-même est un problème, mais c’est encore plus grave quand il est porteur d'informations sensibles et confidentielles. II-3-4 Sniffing : Un reniflage (sniffing) peut avoir comme conséquence un vol d'identité et la révélation d'informations confidentielles. Il permet également aux utilisateurs malveillants perfectionnés de rassembler des informations sur les systèmes VoIP. Des informations qui peuvent par exemple être employées pour mettre en place une attaque contre d'autres systèmes ou données. Tous les outils requis pour renifler, y compris pour le protocole H.323 et des plugins SIP pour les renifleurs de paquet (packet sniffer) existants, sont disponibles en open source. II-3-5 Interruption du trafic (Traffic Flow Distribution) : Les paquets de données ne circulent pas sur une connexion dédiée pour la durée d'une session, par conséquent, un attaquant peut manipuler le routage des paquets et causer un délai dans certains chemins, obligeant ainsi ces paquets à prendre un autre chemin choisi par l’attaquant. Ceci a comme conséquence: - Augmentation de la vulnérabilité de reniflage parce que l’attaquant peut très bien prévoir l’endroit idéal pour placer un dispositif de sniffing. - Augmentation de la vulnérabilité face à l’attaque DoS. II-3-6 REPLAY : Cette attaque consiste à retransmettre de la véritable session de sorte que le dispositif qui la reçoit retraite l'information. II-3-7 Man In the Middle (intégrité des messages) MITM est une attaque au cours de laquelle la personne malveillante a la capacité de lire, insérer ou modifier les messages échangés entre les deux parties, et cela sans qu’elles n’en soient conscientes. Ce type d’attaque peut notamment être utilisé pour réaliser des écoutes ou encore des dénis de service. II-3-8 Fraude de facturation Un attaquant peut emprunter l’identité d’un véritable utilisateur ou même d’un téléphone IP et l’utiliser pour faire des appels longue distance gratuits sur le réseau VoIP. Une autre forme de cette attaque est, par exemple, des messages SIP BYE truqués et OK échangés qui semblent terminer un appel. La facturation est arrêtée alors que le chemin des médias est resté ouvert. Si ces attaques ne sont pas décelées, d’énormes revenus peuvent être dérobés à une entreprise.

Chapitre 1 II-3-9 SPAM Trois formes principales de spams sont jusqu’à maintenant identifiés dans SIP: - Call Spam: Ce type de spam est défini comme une masse de tentatives d’initiation de session (des requêtes INVITE) non sollicitées. Généralement c’est un UAC (User Agent Client: ex Sip Softphone, téléphones IP …) qui lance, en parallèle, un grand nombre d'appels. Si l’appel est établi, l'application spammeuse génère un ACK, joue une annonce préenregistrée, et ensuite termine l'appel. - IM (Instant Message) Spam: Ce type de spam est semblable à celui de l'e-mail. Il est défini comme une masse de messages instantanés non sollicitées. Les IM spams sont pour la plupart envoyés sous forme de requête SIP. Ce pourraient être des requêtes INVITE avec un entête Subject très grand, ou des requêtes INVITE avec un corps en format texte ou HTML. Bien-sûr, l’IM spam est beaucoup plus intrusif que le spam email, car dans les systèmes actuel, les IMs apparaissent automatiquement (pop up) à l'utilisateur. - Presence Spam: Ce type de spam est semblable à l’IM spam. Il est défini comme une masse de requêtes de présence (des requêtes SUBSCRIBE) non sollicitées. L’attaquant fait ceci dans le but d’appartenir à la "white list" d'un utilisateur afin de lui envoyer des messages instantanés ou d’initier avec lui d’autres formes de communications. L’IM Spam est différent du Presence Spam dans le fait que ce dernier ne transmet pas réellement de contenu dans les messages.

II-4 Les mécanismes de sécurité : Pour se protéger contre ces catégories d’attaques, différents procédures de sécurité existent. Ces procédures diffèrent autant pour les mécanismes employés que pour leur emplacement dans l’architecture réseau. II-4-1 La sécurité physique : La sécurité physique est une partie essentielle de tout environnement sécurisé. Elle doit permettre la limitation des accès aux bâtiments et équipements (ainsi qu’à toutes les informations qu’ils contiennent) évitant ainsi les intrusions inopportunes, le vandalisme, les catastrophes naturelles, et les dommages accidentels (pic d’intensité électrique, température trop élevée…). A moins que le trafic Voix ne soit chiffré sur accès physique au réseau d’une société peut moment et intercepter des communications. des communications mis en place, un accès

le réseau, toute personne ayant un potentiellement se connecter à tout En effet, même avec le chiffrement physique aux serveurs Voix ou aux

Chapitre 1 passerelles peut permettre à un attaquant d’observer le trafic. Une politique de contrôle d’accès pour restreindre l’accès aux composants du réseau de ToIP via des badgeuses, serrures, service de sécurité, etc., permettra d’établir un premier périmètre sécurisé. Lors de la mise en place d’un système de ToIP, l’alimentation électrique doit être étudiée en détail pour éviter toute interruption de service due à une coupure de courant. II-4-2 La sécurité de l’architecture réseau En fonction des options de déploiement choisies, il est probable que la majorité des systèmes doivent être accessibles depuis “partout ”. Il convient donc de sécuriser ces éléments comme tout serveur, et dans la mesure du possible de mettre en place une solution avec des pare-feux et des IPS/IDS. La séparation entre le flux voix et data peut se faire au niveau du réseau à l’aide de VLANs. La sécurité des serveurs L’ensemble des serveurs participant à une solution de ToIP doit respecter une procédure de mise en place standard et être sécurisé avant toute connexion au réseau. Une seule équipe au sein de l’entreprise doit être en charge de la rédaction des procédures d’installation et de sécurisation des serveurs et cela quel que soit le type de système (Windows, Linux, Unix propriétaire, etc.). La sécurisation des serveurs comprend notamment : > La suppression des comptes inutiles, > La vérification du bon niveau de droit des différents comptes, > La suppression des services inutiles, > La suppression des logiciels ou modules inutiles, > Le bon niveau de éditeurs/constructeurs.

correction

par

rapport

aux

publications

des

Par ailleurs, nous recommandons un audit régulier des serveurs en production par la même équipe. Celle-ci vérifiera le bon fonctionnement des serveurs et s’assurera que les utilisateurs ne détournent pas les serveurs de leurs fonctionnalités initiales, provoquant alors une baisse du niveau de sécurité de l’entreprise. La sécurité des SoftPhones et HardPhones IP Les agents de SoftPhones IP résident par inhérence dans le segment de données mais requiert un accès au segment de voix afin de pouvoir contrôler des appels, passer des appels et de laisser des messages vocaux. Toutefois, les SoftPhones ne sont pas immunisés contre les attaques envers les HardPhones. Les SoftPhones PCs sont même plus vulnérables que les HardPhones et ceci pour la

Chapitre 1 simple et bonne raison qu’il existe un grand nombre d’accès possibles dans un système PC. Ces possibilités d’accès dépendent de l’OS, des applications résidentes et des services autorisés qui sont tous sujets aux vers, aux virus, etc. De plus, les SoftPhones doivent résider à la fois sur le segment de données et sur le segment VoIP et sont de ce fait sensibles aux attaques envers l’entièreté du réseau et pas juste le PC lui-même. Par contre, les HardPhones IP doivent être situés dans le segment de VoIP/SIP et s’exécutent sur des OS propriétaires implémentant des services réseaux limités et ont donc certainement moins de vulnérabilités. Puisque le déploiement de SoftPhones fournit une brèche intéressante pour des attaques malveillantes envers le segment de voix, ces téléphones représentent un grand risque pour l’entièreté de l’environnement de VoIP/SIP. De nombreux HardPhones IP fournissent un port de donnée séparé pour la connexion d’un PC. Donc, seul un câble est requis pour permettre la connectivité de données et de voix sur le PC de l’utilisateur. En outre, certains HardPhones IP sont uniquement capables de fournir une connectivité basique de niveau 2. Ils jouent donc le rôle d’un hub en combinant les segments réseau de données et de voix. Tandis que d’autres téléphones IP offrent une connectivité de niveau 2 étendue permettant l’utilisation de la technologie VLAN afin de placer le téléphone et le trafic de données sur deux différents VLANs. Pour assurer une séparation logique de la voix et des données afin de maintenir la sécurité de l’environnement de VoIP/SIP, uniquement les HardPhones implémentant le VLAN de niveau 2 étendu doivent être utilisés. En effet, n’importe quelles connexions entre les segments de voix et de donnée requises par les téléphones pour l’accès à la boîte vocale de messages doivent être contrôlées en bloquant l’accès direct des données au segment de réseau de voix afin d’éviter que les vulnérabilités de données et les tunnels de données ne compromettent le segment de voix. Ceci peut être effectué en plaçant un firewall entre les segments de voix et de donnée. RADIUS et AAA RADIUS (Remote Authentication Dial In User Service) est un protocole et une application client/serveur qui permet d’authentifier des utilisateurs et autoriser leurs accès à tel ou tel système ou service. Ce système est un élément de sécurité très intéressant au niveau de l’entreprise. C’est pourquoi il serait intéressant de combiner RADIUS et SIP pour de la VoIP sécurisée. Malheureusement pour le moment, il n’existe pas de standard pour l’utilisation de RADIUS avec SIP. Actuellement, c’est l’authentification basique et digest qui sont utilisées dans SIP. Récemment, le groupe de travail AAA (protocole d’Authorizatrion-AuthentifictionAccounting) de l’IETF a beaucoup travaillé sur un protocole extensible d’authentification (Extensible Authentication Protocol) dans le protocole SIP. L’avantage est que de nouveaux modèles d’authentification peuvent être utilisés sans modifications du protocole SIP. Ceci est dû au fait que le paquet EAP, pour un modèle d’authentification particulier, est envoyé d’une manière transparente par le protocole SIP. Toutefois, l’utilisation des authentifications basique et digest sont actuellement préférables pour continuer à être utilisées directement dans le protocole SIP. D’ici un proche avenir, leur interopérabilité avec une authentification de type RADIUS sera une réelle nécessité. D’ailleurs, SER (SIP Express Router) dans sa dernière version nous donne la possibilité d’installer un module d’authentification RADIUS en collaboration avec

Chapitre 1 le proxy SIP. Cela laisse à croire que l’utilisation de RADIUS en entreprise pour la VoIP n’est qu’une question de temps. La Figure ci dessous décrit un scénario générique où le UAC et le proxy SIP communiquent en utilisant le protocole SIP de manière standard alors que le Proxy SIP et le serveur RADIUS communiquent en utilisant RADIUS tout en restant transparent au UAC.

Figure - Scénario d'authentification d’UAC avec RADIUS

La séparation et la sécurisation des flux : Une fois numérisé, le trafic voix n’est plus identifiable comme tel et se confond avec les flux data sur le réseau. Il devient ainsi victime des problèmes rencontrés couramment en data. Si l’on réussit à séparer les flux avant d’en arriver à cette situation, un traitement particulier peut alors être mis en place et permettre de réduire autant que possible ce type d’inconvénients (broadcast, congestions, DoS, …). La séparation des flux voix et data peut être réalisée via l’utilisation de techniques comme les VLAN, la mise en place de qualité de service ou encore de filtrage. VLAN La séparation logique des flux voix et data à l’aide de VLAN est une mesure fortement recommandée. Elle doit permettre d’éviter que les incidents rencontrés sur l’un des flux ne puissent perturber l’autre. Les VLAN ou réseaux locaux virtuels, peuvent être représentés comme une séparation logique d’un même réseau physique. Cette opération se fait au niveau 2 du modèle OSI. On notera cependant qu’un VLAN est souvent configuré pour correspondre directement à un subnet IP bien identifié, préparant ainsi le travail à effectuer sur la couche supérieure.

Chapitre 1 Dans un environnement commuté complet, les VLAN vont créer une séparation logique des domaines de broadcast et de collisions – des problèmes dus à ces deux éléments sont souvent rencontrés dans des LAN trop importants ou lorsqu’on utilise encore des hubs. De plus, la réduction des domaines de broadcast permet de réduire le trafic sur le réseau, libérant ainsi plus de bande passante pour les applications utiles et réduisant les temps de traitement sur les périphériques réseau. On peut utiliser cette technique pour organiser les postes utilisateurs selon leurs situations physiques dans les bâtiments, le service auquel appartient l’utilisateur, la vitesse de connexion, ou tout autre critère ayant du sens dans l’entreprise. Un renforcement de la sécurité peut être réalisé en mettant en place un filtrage inter-VLAN, n’autorisant que les utilisateurs d’un VLAN à y accéder. Le risque de DoS peut ainsi être réduit. Firewalls Un pare-feu (appelé aussi coupe-feu, garde-barrière ou “firewall” en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment Internet). Le pare-feu filtre les paquets de données échangés avec le réseau. Il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivantes : > Une interface pour le réseau à protéger (réseau interne), > Une interface pour le réseau externe. Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseau(x) externe(s). Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que : > La machine soit suffisamment puissante pour traiter le trafic, > Le système soit sécurisé, > Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur. Fonctionnement d’un système pare-feu Un système pare-feu contient un ensemble de règles prédéfinies permettant : > D’autoriser la connexion (“allow”), > De bloquer la connexion (“deny”), > De rejeter la demande de connexion sans avertir l'émetteur (“drop”).

Chapitre 1 L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant : > Soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit", > Soit d'empêcher les échanges qui ont été explicitement interdits. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication. Les limites des firewalls Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu. N-IDS/H-IDS Les systèmes de détection d’intrusion réseau ou NIDS (Network-based Intrusion Detection Systems) ont pour but d’alerter les administrateurs de la solution en cas de trafic anormal ou jugé malicieux. Un trafic qualifié de malicieux peut correspondre à la propagation d’un ver ou d’un exploit connu (programme développé spécifiquement pour exploiter une faiblesse clairement identifiée dans un logiciel donné), tandis qu’un trafic anormal fait plutôt référence à une utilisation détournée du réseau (par rapport à son but premier) et aux règles de sécurité définies (une connexion en Peer-to-Peer par exemple). La détection d’intrusion système ou HIDS (Host-based Intrusion Detection System) fait référence à une famille de logiciels collectant des informations sur les serveurs ou encore les postes utilisateurs pour les analyser. Ce type d’action permet d’avoir une vue détaillée sur les différentes activités et d’identifier les processus ou les utilisateurs ayant des activités non autorisées. La mise en place de ces deux types de systèmes est conseillée. L’utilisation de sondes NIDS aux points clés du réseau – accès internet, DMZ, etc. – permet de superviser une partie importante du trafic aux points sensibles de l’infrastructure. La gestion courante de ces sondes est réalisée autant que possible via des liens sécurisés (chiffrés). On notera que pour une efficacité maximum, et donc un minimum d’erreur de qualification dans les incidents (“false positive”), des mises à jour régulières et une configuration précise et détaillée seront nécessaires .

Chapitre 1 Les sondes d’intrusion système doivent être mises en place sur l’ensemble des serveurs participant aux infrastructures ToIP (DNS, DHCP, TFTP, RADIUS, NTP, LDAP…) et suivre un processus de supervision en temps réel au sein de l’entreprise. N-IDS/N-IPS N-IDS pour Network-based Intrusion Detection System — Terme traditionnellement utilisé pour désigner des solutions travaillant en mode « promiscuité » (comme les sniffers) et capables de remonter des alertes lors d’intrusions sur le réseau. N-IPS pour Network-based Intrusion Prevention System — Terme commun pour désigner les solutions situées en passerelle ou en coupure sur un segment du réseau, forçant le trafic à circuler par le système et proposant des contre-mesures sur le réel trafic analysé. NAT L’utilisation de NAT permet à la fois de parer au manque flagrant d’adresses IP publiques mais aussi bien de cacher le réseau privé au réseau publique. C’est donc un élément de sécurité très intéressant. Mais cela n’est pas sans frais, en effet, l’utilisation d’un NAT avec de la VoIP crée des problèmes de translations d’adresses contenues dans la cargaison des messages SIP. Il est possible de contourner ce problème mais cela peut induire de nouvelles failles de sécurité. Si la méthode utilisée pour parer au problème du NAT nécessite la mise en place de systèmes sur le réseau publique, il faudra alors s’assurer que ces systèmes soient sécurisés de manières à ne pas compromettre la sécurité du réseau privé. II-4-3 Exemples de mécanismes de sécurité pour le protocole SIP : Le cryptage: Les messages SIP peuvent contenir des données confidentielles. Pour les protéger, SIP possède 3 mécanismes de cryptage: - Cryptage de bout en bout du corps du message SIP et de certains champs d’entête sensibles aux attaques, - Cryptage au saut par saut (hop by hop), - Cryptage au saut par saut du champ d’entête Via pour dissimuler la route qu’a empruntée la requête. Toutes les requêtes et réponses SIP ne peuvent pas être cryptées de bout en bout car les champs d’entête To et Via doivent être lisibles par les proxis SIP (pour router correctement les requêtes et

Chapitre 1 réponses). Par contre, elles peuvent toutes être intégralement cryptées au saut par saut. Authentification: Afin d’empêcher tout intrus de modifier et de retransmettre des requêtes ou réponses SIP, des mécanismes de contrôle d’intégrité et d’authentification des messages sont mis en place. Les mécanismes des couches réseau et transport sont utilisés pour l’authentification des messages transmis au saut par saut. Et pour des messages SIP transmis cryptés de bout en bout, des clés publiques et des signatures sont utilisées et stockées dans les champs d’entête Authorization. Ces mesures aident à prévenir l’écoute clandestine. Leur application empêche les pirates de saisir et de mystifier l’information. II-4-4 IP Security (IPSec) IPSec est un mécanisme général qui peut être utilisé pour protéger les messages SIP proprement au niveau IP. Avec SIP, chaque proxy sur le chemin doit avoir un accès en lecture/écriture sur l’entête des messages SIP afin de pouvoir ajouter/retirer des valeurs VIA. L’utilisation d’IPSec ESP (Encapsulating Security Payload) ou AH (Authentification Header) en mode transport doit donc être utilisée sur une base hop-by-hop. Les associations de sécurité IPSec nécessaires peuvent être établies de manière permanente sans participation active des UAs SIP utilisant les connexions ou alors il est également possible de se faire à la volée par les UAs et les proxis eux-mêmes en étroite interaction le stack IPSec sous jacent. II-4-5 Connexions VoIP/SIP WAN-à-WAN Quand des connexions VoIP/SIP WAN-à-WAN sont établies, la confidentialité d’appel est lésée. Afin d’assurer le même respect de cette confidentialité que celle fournie par les PSTN existants, il faut chiffrer tous les appels WAN-à-WAN. Ceci peut se faire de plusieurs manières : Le chiffrement de bout-en-bout, lequel requiert que les téléphones IP aient beaucoup de puissance de traitement et la capacité de supporter le chiffrement, ce qui n’est pas toujours possible. Quant aux vendeurs de VoIP/SIP, ils ne fournissent pas tous la possibilité de chiffrer (tout du moins pour le moment, ces vendeurs sont actuellement une minorité) depuis le terminal abonné. Toutefois, le chiffrement peut être effectué au niveau liaison (link-layer) à travers l’utilisation de la technologie VPN. Les passerelles sont normalement désignées pour supporter de lourdes charges de traitement et sont également capable de fournir un chiffrement au niveau liaison. Si ceci est

Chapitre 1 implémenté, alors les deux méthodes seront transparentes pour la communauté d’abonné. II-4-6 Services de Voice Mail VoIP/SIP Le service de boîte vocale de messages dans un environnement de VoIP/SIP peut se faire suivant différentes configurations. Par exemple, une plateforme voicemail peut se connecter à une passerelle de VoIP/SIP pour fournir les services aux utilisateurs de VoIP/SIP. En plus de fournir ce service, de nombreux systèmes de voicemail sont également capables de fournir une messagerie unifiée en interagissant avec les systèmes de messagerie e-mail existants. Avec la messagerie unifiée, le serveur de voicemail doit être logiquement connecté au réseau de donnée. La plateforme de voicemail doit être configurée pour être connectée à la passerelle VoIP/SIP à travers un firewall d’inspection statefull. Le firewall doit être configuré pour refuser tout le trafic entre le VLAN de voix et le réseau de donnée sauf le trafic nécessaire pour transférer et recevoir des appels vocaux et des messages entre les téléphones abonnés, la passerelle VoIP/SIP et la plateforme de voicemail. Cette configuration est nécessaire afin de limiter les risques d’attaques de type DoS sur le réseau de donnée et/ou le réseau de VoIP/SIP. Le fait de filtrer le trafic va également diminuer le risque d’exploits de vulnérabilités sur les OS supportant les services de téléphonie de VoIP/SIP. Le service de voicemail est généralement configuré pour s’exécuter sur des OS ordinaires, tels que Microsot Windows NT/2000 et Unix/Linux. La marche à suivre doit être faite de telle manière qu’elle assure que ces OS sont sécurisés. Les applications supportant le service de voicemail doivent aussi être sécurisées. Par exemple, MS SQL Server peut être utilisé pour supporter les droits d’accès des abonnés ou MS IIS (serveur Web de Microsoft) peut être utilisé pour permettre aux abonnés de changer leurs paramètres de voicemail en utilisant un navigateur Internet via un protocole sécurisé tel que SSL (telnet et HTTP doivent être désactivés). II-4-7 Wireless LAN et VoIP/SIP Au fil que la technologie de VoIP se développe, la combinaison de la VoIP et de la technologie sans fil est vite devenue un cas réel d’implémentation de grande envergure (il existe déjà des téléphones SIP sans fils, les HardPhones SIP

Chapitre 1 wireless). Une relativement nouvelle possibilité dans le domaine du wireless est d’utiliser le standard 802.11 WLAN. Cette nouvelle technologie suscite encore d’avantage les intérêts de la VoIP tels que la QoS, la capacité du réseau, le dimensionnement, l’architecture et surtout la sécurité. Le succès de la VoIP/SIP sur la technologie WLAN sera lié à la capacité que les WLANs ont de supporter de manière adéquate la QoS. Beaucoup de gouvernements sont en train d’étudier les solutions mobiles de communication qui comprennent la VoIP/SIP sur WLAN, ce qui permet de définir des besoins critiques communs en ce qui concerne l’interopérabilité et la flexibilité.