Retour d'exprience d'audits de scurit

6 avril 2006

VoIP et scurit

CISSP, ProCSSI, ISO 27001 Lead Auditor

Herv Schauer

<Herve.Schauer@hsc.fr>

Herv Schauer Consultants

Socit de conseil en scurit des systmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indpendance
Pas de distribution, ni intgration, ni infogrance, ni investisseurs, ni dlgation de personnel

Prestations : conseil, tudes, audits, tests d'intrusion, formations Domaines d'expertise

Scurit Windows / Unix et linux / embarqu Scurit des applications Scurit des rseaux
TCP/IP, tlphonie, rseaux oprateurs, rseaux avionique, ...

Organisation de la scurit

Certifications
CISSP, BSI BS7799 Lead Auditor, LSTI ISO27001 Lead Auditor, IRCA, ProCSSI
2 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Sommaire
Introduction Technologies et risques Terminaux et infrastructure Bilan Solutions
Dont le calcul du retour sur investissement

Conclusion Rfrences et ressources

Les transparents seront disponibles sur

www.hsc.fr

3 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Introduction
Exemples d'usages
Visioconfrence, tlsurveillance Tlphonie d'entreprise Tlcopie Tlphonie sur internet Tlvision & radio

Terminaux
Ordinateur + logiciel Tlphone de bureau Tlphone sans fil WiFi Freebox, Livebox, ...

Serveurs
4 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Technologies
Voix sur IP multitude de protocoles H323 SIP SCCP (Cisco) MGCP GSM Signalisation : la gestion des appels, passe par des serveurs Donnes : la voix, peut passer par le chemin le plus court
5 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

H323
Normalis par l'ITU Transcription IP de l'ISDN Protocole similaire au fonctionnement des rseaux tlphonique commuts Complexe
Pleins de protocoles sous-jacents

Encore utilis en coeur de rseau En voie de disparition

6 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

H323
Risques
Intrusion
Filtrage quasi-impossible : multiplication des flux, des mcanismes d'tablissement d'appel, des extentions la norme, et transmission des adresses IP au niveau applicatif

Ecoute Usurpation d'identit Insertion et rejeu Dnis de service

De par la conception du protocole, pas de dtection des boucles, signalisation non fiable, etc

7 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

SIP
Normalis par l'IETF (RFC3261) Protocole similaire HTTP
Analogie avec HTTP (mthode, URI) Relayage Adresses SIP Description de la session (SDP)
INVITE sip:test@192.70.106.102 SIP/2.0 Via: SIP/2.0/UDP 0.0.0.0:5063;branch=z9hG4bK894348304 Route: <sip:192.70.106.104;lr> From: <sip:at@192.70.106.104>;tag=7116539;tag=7648279 To: <sip:test@192.70.106.102> Call-ID: 4173170638@192.70.106.104 CSeq: 21 INVITE Contact: <sip:at@192.70.106.104:5063> max-forwards: 10 user-agent: oSIP/Linphone-0.12.1 Content-Type: application/sdp Content-Length: 371

8 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

SIP
Protocole similaire HTTP
Gestion de sessions entre participants SIP : signalisation, et RTP/RTCP/RTSP : donnes Donnes transportes de toute nature : voix, images, messagerie instantane, changes de fichiers, etc

Risques :
Ecoute Usurpation d'identit Insertion et rejeu Dni de service
Signalisation
Mode rout

GK/Proxy

RTP

9 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

SIP : coute et insertion de flux RTP

# ./voipong -d4 -f # EnderUNIX VOIPONG Voice Over IP Sniffer starting... Release 1.1, running on nupsy.hsc.fr (c) Murat Balaban http://www.enderunix.org/ 14/06/05 18:15:20: EnderUNIX VOIPONG Voice Over IP Sniffer starting... 14/06/05 18:15:20: eth0 has been opened in promisc mode, data link: 14 14/06/05 18:15:46: [2088] VoIP call has been detected. 14/06/05 18:15:46: [2088] 192.168.106.69:5004 <--> 192.168.106.98:5000 [...] $ cat ./output/20050614/session-enc8-PCMA-8KHz-192.1(...)68.106.69,5004.raw

Ettercap/arp-sk/etc.
+

Ethereal/Vomit/Voipong/etc.

Interception
Filtre ventuel

RTP (48504/UDP 6004/UDP)

Attaque active par insertion

Flux RTP (Adresses/ports identiques)

Contenant des donnes alatoires Contenant un message enregistr avec le bon codec Ncessite de connatre/prdire les numros de squence

10 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

SCCP
SCCP : Skinny Client Control Protocol Propritaire Cisco Risques :
Ecoute Usurpation d'identit Insertion et rejeu Dni de service Problmes de scurit documents, notamment :
The Trivial CISCO IP Phones compromise: Security analysis of the implications of deploying Cisco Systems SIP-based IP Phones model 7960 (Ofir Arkin, 2002) Projet Ilty : I'm Listening to You (via VoIP)! (Nicolas Bareil, SSTIC05)

Risques identiques avec les autres technologies propritaires

Alcatel, Avaya, etc
11 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

MGCP
MGCP : Multimedia Gateway Control Protocol Normalis par l'IETF (RFC3435) Chaque paquet dfini une action Utilis lorsqu'il y a une intelligence centrale
En entreprise Par les oprateurs sur l'ADSL

Risques
Identiques aux autres en entreprise (pas d'exprience d'audit scurit) Dpendants de la scurit du boitier ADSL Moins de risques de surfacturation et de dni de service sur le serveur central
12 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

GSM sur IP : NanoBTS

NanoBTS :
Borne GSM de proximit relie par internet l'oprateur (BTS BSC)
Pour znes hors de couverture ou forte densit d'usage : sous-sols, centres de congrs, parkings, etc

Protocole propritaire chaque fabricant

Signalisation : Abis-over-IP; Donnes : flux RTP/RTCP

Risques :
Surfacturation Ecoute des communications Usurpation d'identit Insertion et rejeu Dni de service
13 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

GSM sur IP : UMA

UMA : Unlicensed Mobile Access Le tlphone portable GSM via Internet Permet aux oprateurs de lutter face Skype & quivalents Normalis par le 3GPP GSM au dessus d'IPsec avec IKE v2 Authentification EAP-SIM Risques :
Exposition du rseau oprateur sur internet Dni de service

14 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Terminaux
Peu de scurisation des terminaux, peu de fonctions de scurit
Pas de 802.1X

Exemple ShmooCon : test de tlphones VoIP (SIP) sur WiFi

15 Tlphones test de 8 fournisseurs
Cisco, Hitachi, Utstarcom, Senao, Zyxel, ACT, MPM, Clipcomm

Connexion interactive avec telnet ouverte SNMP read/write avec community name par dfaut Ports de debogage VXworks ouverts en coute sur le rseau WiFi Services echo et time ouverts Connexion interactive rlogin avec authentification basique Exemple Cisco 7920
port 7785 Vxworks wdbrpc ouvert SNMP Read/Write Rponse de Cisco : les ports ne peuvent pas tre dsactivs, la communaut SNMP ne pas tre change : tout est cod en dur dans le tlphone...
15 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Infrastructure
Exemple vcu lors d'un audit qui n'tait pas un audit de scurit de la VoIP
Coupure de courant Tlphone (Mitel) branch sur le secteur (pas PoE, pas secouru) plus de tlphone Serveurs branchs sur le courant secouru mais pas le commutateur devant Retour du courant Serveur de tlconfiguration des tlphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redmarr Les tlphones ont redmarr plus vite que le commutateur et se sont trouvs sans adresse IP, etc. et restent bloqus sur l'cran "Waiting for DHCP ..." Pour une raison inconnue, une fois le serveur de tlconfiguration nouveau joignable, les tlphones n'ont pas fonctionn Seule solutions trouve : dbrancher/rebrancher chaque tlphone un par un pour qu'ils se remettent en service
16 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Bilan de la VoIP/ToIP
N'est pas quivalent la tlphonie classique
Signalisation/contrle et transport de la voix sur le mme rseau IP Perte de la localisation gographique de l'appelant

N'offre pas la scurit laquelle les utilisateurs taient habitus

Fiabilit du systme tlphonique
Combien de pannes de tlphone vs pannes informatique ?

Confidentialit des appels tlphoniques Invulnrabilit du systme tlphonique

Devenu un systme suceptible d'intrusions, vers, etc

17 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Bilan de la VoIP/ToIP
N'est pas juste "une application IP en plus"
Pas d'authentification mutuelle entre les parties Peu de contrles d'intgrit des flux, pas de chiffrement
Risques d'interception et de routage des appels vers des numros surfacturs Falsification des messages d'affichage du numro renvoys l'appelant

Attaques accessibles tout informaticien et pas juste aux spcialistes de la tlphonie numrique

18 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Solutions

Scurit dans le rseau IP Scurit propre la solution de VoIP / ToIP Calcul du retour sur investissement de la VoIP

19 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Scurit dans le rseau IP

Scurit dans le rseau
Liaison
Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP

Rseau
Contrle d'accs par filtrage IP Authentification et chiffrement avec IPsec

Transport
Authentification et chiffrement SSL/TLS

20 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Scurit propre la solution VoIP/ToIP

SIP, MGCP, et les protocoles propritaires incluent des fonctions de scurit Limite des terminaux qui n'ont pas le CPU ncessaire des calculs de clefs de session en cours de communication Mise en oeuvre de la scurit perte des possibilit d'interoprabilits entre fournisseurs

21 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Retour sur investissement

Mettre jour son PABX apporte les mmes service avec ou sans VoIP
Aucun service disponible en VoIP n'est pas disponible en tlphonie classique Aucun calcul de retour sur investissement ne peut se justifier par la disponibilit de nouveaux services

22 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Retour sur investissement

Intgrer les cots de la VoIP
Cots de cablage
Poste tlphonique IP => prise ethernet supplmentaire Plusieurs clients ont eu des difficults avec le PC connect sur le tlphone et le tlphone dans la prise Ethernet du PC Aucun client HSC n'a survcu sans VLAN, avant mme les considrations de scurit Service tlphonique doit savoir dans quel pice et sur quelle prise est chaque numro de tlphone
N de tlphone, @MAC, @IP et n de prise Ethernet sont lis

Trs vite il faut cabler des prises spcifiques avec le courant lectrique sur le cable Ethernet (PoE)

Onduleurs supplmentaires et spcifiques VoIP/ToIP impose des cots de cablage levs

23 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Retour sur investissement

Intgrer les cots de la VoIP
Services du rseau informatique deviennent des services critiques
DHCP DNS Commutateurs ...

Cots de mise en oeuvre de la haute-disponibilit devenue obligatoire Cots d'exploitation au quotidien bien plus levs
24/7, etc

24 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Retour sur investissement

Intgrer la dgradation du service due la VoIP
Taux d'indisponibilit tlphonie classique : 5 6 minutes d'interruption par an, 99,99886 % Taux de disponibilit tlphonie sur IP : ??
Nous avons vu des gens sans tlphone pendant plusieurs jours...

Support tlphonique hors-service

Quand le rseau est panne il n'y a plus non plus de tlphone comme a on est drang que par ceux qui utilisent leur mobile

Tlphone : principal systme d'appel au secours pour la scurit des personnes

25 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Retour sur investissement

Valider au pralable la ralit des fonctionalits
Systmatiquement il y a les fonctionalits d'un cot et le prix du poste tlphonique entre de gamme de l'autre Fonctionalits de scurit imposant un changement de tous les postes tlphoniques

Valider au pralable la robustesse de tous les quipements choisis

Cf ISIC, SIPSAK, CODENOMICON, etc

Analyser les risques

Pourquoi si peu de gens font une analyse de risques sur leur projet VoIP ?

26 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Organisation
Tlphonie doit entrer dans le giron de la Direction des Systmes d'Information (DSI)
Ne peut rester aux services gnraux

Tlphonistes doivent intgrer la DSI

Leurs comptences en tlphonie sont indispensables au dploiement de la VoIP

La VoIP / ToIP vous est impos par les fournisseurs dans leur intrt : vous devrez y passer un jour de gr ou de force

27 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Conclusion
La VoIP / ToIP relance l'inscurit, vous devez vous y prparer Scurit au niveau rseau
Rponse partielle mais ncessaire Difficile mettre en oeuvre

Mcanismes de scurit propritaires proposs par les constructeurs :

Seule rponse satisfaisante en matire de scurit Trs rarement mis en oeuvre

ROI : calculez le vous-mme !

Questions ?
Herve.Schauer@hsc.fr www.hsc.fr

28 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Prochains rendez-vous
Formation ISO27001 Lead Auditor :
Genve : 8-12 mai Paris : 15-19 mai Certification ISO27001 Lead Auditor par LSTI Toulouse : 5-9 juin http://www.hsc.fr/services/formations/

29 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Rfrences
Two attachs against VoIP, 04/06, Peter Thermos, Palindrome
http://www.securityfocus.com/infocus/1862

VoIP et scurit pour l'entreprise,11/05, Stefano Ventura, IICT

http://www.audit.ch/VoIP&SEC.grifes.off.zip

Scurit de la VoIP, 06/05, Franck Davy, Nicolas Jombart, Alain Thivillon, HSC
http://www.hsc.fr/ressources/presentations/csm05voip/

Security considerations for VoIP systems, 01/05, Richard Kuhn, Thomas Walsh, Steffen Fries, NIST
http://www.csrc.nist.gov/publications/nistpubs/80058/SP80058final.pdf

30 / 31

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Ressources
Sur www.hsc.fr vous trouverez des prsentations sur
Infogrance en scurit Scurit des rseaux sans fil Scurit des SAN Scurit des bases de donnes SPAM ISO27001 / ISO17799 Scurit de la voix sur IP etc

Sur www.hscnews.com vous pourrez vous abonner la newsletterHSC

31 / 31
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite