Étude Et Mise en Place D'une Solution VOIP Sécurisée

tude et Mise en place d'une Solution VOIP Scurise
Ralis par : Mlle. Rebha Bouzaida
MEMOIRE DE PROJET DE FIN DTUDES

Pour lobtention du Master Professionnel En Nouvelles Technologies Des Tlcommunications et Rseaux
Encadr par : Mr. Kamel Kedhiri
Anne Universitaire : 2010 2011
Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise
La vie nest quun clair, Et un jour de russite est un jour trs cher.
A mon cher pre, et ma chre mre. Pour lducation et le grand amour dont ils mont entour depuis ma naissance. Et pour leurs patiences et leurs sacrifices.
A mon cher frre ; A tous mes proches ; A tous ceux qui maiment ; A tout mes ami(e)s ; A tous ceux que jaime. Je ddie ce mmoire.
Rebha Bouzaida
Page | 2
Remerciements
Au terme de ce projet de fin dtudes, jadresse mes sincres remerciements Monsieur Kamel Kedhiri, mon encadreur de lUVT, pour mavoir propos ce projet et pour son encadrement. Je tiens remercier galement Monsieur Mohamed Louhichi, grant du centre dappel New Call, pour son suivi et ses remarques qui mont permis de mener bien ce travail. Mes remerciements sadressent galement ladministration et aux professeurs de lUVT pour les moyens quils ont mis notre disposition afin dlaborer ce travail. Je souhaite exprimer enfin ma gratitude et mes vifs remerciements ma famille et mes amis pour leurs soutiens. Pour finir, je remercie les membres du jury qui ont accept dvaluer mon projet. Je leurs prsentons toute mes gratitudes et mes profonds respects.
Page | 3
Sommaire
INTRODUCTION GENERALE.................................................................................................................................... 7 CHAPITRE 1 : ETUDE GENERALE DE LA VOIX SUR IP ............................................................................................... 9 INTRODUCTION ....................................................................................................................................................10 PRESENTATION DE LA VOIX SUR IP .....................................................................................................................10 1.1. Dfinition .........................................................................................................................................10 1.2. Architecture .....................................................................................................................................10 1.3. Principe de fonctionnement ..............................................................................................................12 2. PROTOCOLE H.323 .......................................................................................................................................12 2.1 Description gnrale du protocole H.323 ..........................................................................................12 2.2 Rle des composants ........................................................................................................................13 2.3 Avantages et inconvnients de la technologie H323 ..........................................................................16 3. PROTOCOLE SIP ...........................................................................................................................................17 3.1 Description gnrale du protocole SIP...............................................................................................17 3.2 Principe de fonctionnement ..............................................................................................................17 3.3 Rle des composants ........................................................................................................................20 3.4 Avantages et inconvnients ..............................................................................................................22 4. PROTOCOLES DE TRANSPORT ............................................................................................................................23 4.1 Le protocole RTP ..............................................................................................................................23
4.1.1 4.1.2 4.1.3 Description gnrale de RTP........................................................................................................................ 23 Les fonctions de RTP ................................................................................................................................... 24 Avantages et inconvnients......................................................................................................................... 24
1.
4.2
4.2.1 4.2.2
Le protocole RTCP ............................................................................................................................25

Description gnrale de RTCP...................................................................................................................... 25 Point fort et limite du protocole RTCP ......................................................................................................... 26
5.
POINTS FORTS ET LIMITES DE LA VOIX SUR IP ........................................................................................................26
CONCLUSION ........................................................................................................................................................28 CHAPITRE 2 : ATTAQUES CONTRE LA VOIP ET BONNES PRATIQUES DE SECURISATION.........................................29 INTRODUCTION ....................................................................................................................................................30 1. ATTAQUES SUR LE PROTOCOLE..........................................................................................................................30 1.1. Sniffing ............................................................................................................................................31 1.2. Suivie des appels ..............................................................................................................................31 1.3. Injection de paquet RTP....................................................................................................................32 1.4. Les Spam..........................................................................................................................................32 1.5. Le dni de service (DOS : Denial of service)........................................................................................33 1.6. Dtournement dappel (Call Hijacking) .............................................................................................36 1.7. Lcoute clandestine .........................................................................................................................36 2. LES VULNERABILITES DE LINFRASTRUCTURE .........................................................................................................37 2.4 Faiblesses dans la configuration des dispositifs de la VoIP .................................................................38 2.5 Les tlphones IP..............................................................................................................................38 2.6 Les serveurs .....................................................................................................................................39 2.7 Les vulnrabilits du systme dexploitation .....................................................................................40 3. SECURISATION ET BONNE PRATIQUES..................................................................................................................40
Page | 4
3.1 3.2 3.3
Scurisation protocolaire ..................................................................................................................40 Scurisation de lapplication .............................................................................................................43 Scurisation du systme dexploitation .............................................................................................44
CONCLUSION ........................................................................................................................................................46 CHAPITRE 3 : INSTALLATION ET CONFIGURATION DUNE SOLUTION DE VOIP BASEE SUR LOUTIL ASTERISK........47 INTRODUCTION ....................................................................................................................................................48 1. 2. ARCHITECTURE DU RESEAU VOIP DEPLOYE...........................................................................................................48 INSTALLATION DASTERISK 1.4 .........................................................................................................................49 2.1 Dtermination des pr-requis ...........................................................................................................49 2.2 Tlchargement des codes sources ...................................................................................................50 2.3 Extraction des paquetages ...............................................................................................................51 2.4 Compilation et installation: ..............................................................................................................51 3. CONFIGURATION DASTERISK ...........................................................................................................................53 3.1 Identification des fichiers de configuration .......................................................................................53 3.2 Configuration des comptes users ......................................................................................................54 3.3 Configuration des extensions............................................................................................................55 4. INSTALLATION ET CONFIGURATION DE X-LITE .......................................................................................................56 4.1 Installation de X-Lite ........................................................................................................................56 4.2 Configuration de X-lite .....................................................................................................................56 CONCLUSION ........................................................................................................................................................58 CHAPITRE 4 : SECURISATION DE LA SOLUTION MISE EN PLACE.............................................................................59 INTRODUCTION ....................................................................................................................................................60 1. LOCALISATION DES SERVEURS VOIP ...................................................................................................................60 1.1. Utilisation des serveurs Whois ..........................................................................................................60 1.2. Utilisation des aspirateurs de sites....................................................................................................61 1.3. Utilisation des moteurs de recherches et des agents intelligents .......................................................61 1.4. Balayage (Scan) des rseaux VoIP.....................................................................................................61 2. LES LOGICIELS DATTAQUES ..............................................................................................................................62 2.1 Wireshark ........................................................................................................................................62 2.2 Le logiciel SiVus ................................................................................................................................69 3. CHOIX ET IMPLEMENTATION DES BONNES PRATIQUES .............................................................................................74 3.1 Bonne pratique contre lcoute clandestine ......................................................................................74 3.2 Bonne pratique contre le DOS BYE .................................................................................................84 CONCLUSION ........................................................................................................................................................89 CONCLUSION GENERALE ......................................................................................................................................90 BIBLIOGRAPHIE ....................................................................................................................................................94
Page | 5
Liste des figures

FIGURE 1 : ARCHITECTURE GENERALE DE LA VOIX SUR IP.....................................................................................11 FIGURE 2 : LES COMPOSANTS DE LARCHITECTURE H.323 ....................................................................................14 FIGURE 3 : LA ZONE H.323 ....................................................................................................................................15 FIGURE 4 : ENREGISTREMENT D'UN UTILISATEUR ................................................................................................21 FIGURE 5 : PRINCIPE DU PROTOCOLE SIP..............................................................................................................21 FIGURE 6 : SESSION SIP A TRAVERS UN PROXY .....................................................................................................22 FIGURE 7 : ATTAQUE DOS VIA UNE REQUETE CANCEL ..........................................................................................35 FIGURE 8 : EXEMPLE DE DETOURNEMENT D'APPEL " MAN IN THE MIDDLE" ........................................................37 FIGURE 9 : FORMAT D'UN PAQUET SRTP ..............................................................................................................43 FIGURE 10 : ARCHITECTURE DU RESEAU VOIP A REALISER ...................................................................................49 FIGURE 11 : CONFIGURATION DU COMPTE DU CLIENT 100 .............................................................................57 FIGURE 12 : ECRAN DE CAPTURE WIRESHARK ......................................................................................................63 FIGURE 13 : EXEMPLE DE PAQUET QUI CONTIENT UNE REQUETE INVITE .............................................................64 FIGURE 14 : CAPTURE DUNE COMMUNICATION TELEPHONIQUE ........................................................................66 FIGURE 15 : DECODAGE: BOUTON VOIP CALLS .....................................................................................................67 FIGURE 16 : COMMUNICATION TELEPHONIQUE DETECTES...................................................................................67 FIGURE 17 : FENETRE RTP PLAYER ........................................................................................................................68 FIGURE 18 : COMMUNICATION TELEPHONIQUE DECODE .....................................................................................68 FIGURE 19 : SIVUS : FENETRE DE GENERATION DE MESSAGE ...............................................................................70 FIGURE 20 : SCANNE DE LA MACHINE 192.168.254.128 ........................................................................................71 FIGURE 21 : GENERATION DE MESSAGE DE TYPE BYE ...........................................................................................72 FIGURE 22 : MESSAGE ENVOYE PAR SIVUS APPARAIT DANS WIRESHARK ............................................................73 FIGURE 23 : MODIFICATION DES VALEURS DES VARIABLES DENVIRONNEMENTS................................................78 FIGURE 24 : CREATION DU CERTIFICAT DAUTORITE ............................................................................................79 FIGURE 25 : CREATION DUN CERTIFICAT POUR LE SERVEUR ................................................................................80 FIGURE 26 : CREATION DU CERTIFICAT CLIENT .....................................................................................................81 FIGURE 27 : CREATION DES PARAMETRES DIFFIE-HELMANN ...............................................................................82
Page | 6
Introduction gnrale
Depuis quelques annes, la technologie VoIP commence intresser les entreprises, surtout celles de service comme les centres dappels. La migration des entreprises vers ce genre de technologie nest pas pour rien. Le but est principalement est de : minimiser le cot des communications ; utiliser le mme rseau pour offrir des services de donnes, de voix, et dimages ; et simplifier les cots de configuration et dassistance. Plusieurs fournisseurs offrent certaines solutions qui permettent aux entreprises de migrer vers le monde IP. Des constructeurs de PABX tels que Nortel, Siemens, et Alcatel prfrent la solution de lintgration progressive de la VoIP en ajoutant des cartes extensions IP. Cette approche facilite ladoption du tlphone IP surtout dans les grandes socits po ssdant une plateforme classique et voulant bnficier de la voix sur IP. Mais elle ne permet pas de bnficier de tous les services et la bonne intgration vers le monde des donnes. Le dveloppement des PABXs software, est la solution propose par des fournisseurs tels que Cisco et Asterisk. Cette approche permet de bnficier dune grande flexibilit, dune trs bonne intgration au monde des donnes et de voix, et surtout intressant. Cette solution, qui est totalement base sur la technologie IP, est donc affecte par les vulnrabilits qui menacent la scurit de ce protocole et linfrastructure rseau sur laquelle elle est dploye. Cette dernire est le majeur problme pour les entreprises et un grand dfi pour les dveloppeurs. Certaines attaques sur les rseaux VoIP, comme les attaques de dni de service, et les vols didentit, peuvent causer des pertes catastrophiques et normes pour les entreprises. Pour cela la scurit du rseau VoIP nest pas seulement une ncessit mais plutt une obligation, avec laquelle on peut rduire, au maximum, le risque dattaques sur les rseaux VoIP. La scurit dune solution de VoIP doit couvrir toute linfrastructure rseau, incluant les outils et les quipements de gestion des communications et des utilisateurs, le systme dexploitation sur lesquels sont installs ces outils, et les protocoles de signalisation et de transport de donnes. Il faut mme se protger contre les personnes malveillantes. Mieux on scurise, moins il y a de risques. dun prix beaucoup plus
Page | 7
Ce travail a pour objectif : ltude des protocoles de VoIP et des architectures proposes ; ltude des vulnrabilits et des attaques de scurits surs les divers composants dune infrastructure VoIP dans des rseaux LAN ; et la mise en place une solution de VoIP scurise base sur des outils open source, prcisment le serveur Asterisk et le client X-Lite. Les entreprises, bnficiant de notre solution, seront capables de mettre en place une plateforme de VoIP assez flexible, peu couteux, et protge contre les attaques de scurit de lintrieur du rseau comme de lextrieur aussi. Ce rapport se compose de quatre chapitres. Le premier chapitre introduit la voix sur IP et ces lments, dcrit et explique son architecture et ces protocoles, et numre les majeurs points forts de cette technologie ainsi que ses faiblesses. Le deuxime chapitre sintresse la scurit des infrastructures de Voix sur IP. Il dtaille les diffrents types de vulnrabilits de scurit partages en trois classes: vulnrabilits lies aux protocoles, vulnrabilits lies aux infrastructures, et vulnrabilits lies aux systmes. Les bonnes pratiques et solutions de scurits mettre en places pour remdier ces vulnrabilits, sont aussi dfinies. Le troisime chapitre, sintresse la mise en place dune solution de VoIP pour les entreprises base sur le serveur Asterisk et le client X-Lite. Les diffrents pr-requis et les librairies ncessaires sont installs, et les paramtres essentiels sont dfinis et configurs. Le dernier chapitre du rapport sintresse aux tests et ralisations de quelques attaques sur linfrastructure de VoIP dploye dans le troisime chapitre. Une implmentation des diffrentes solutions et mesures ncessaires la protection contre ces attaques, est ralise.
Page | 8
Chapitre 1 Etude gnrale de la voix sur IP
Page | 9
Introduction
La voix sur IP constitue actuellement lvolution la plus importante du domaine des Tlcommunications. Avant 1970, la transmission de la voix seffectuait de faon analogique sur des rseaux ddis la tlphonie. La technologie utilise tait la technologie lectromcanique (Crossbar). Dans les annes 80, une premire volution majeure a t le passage la transmission numrique (TDM). La transmission de la voix sur les rseaux informatiques commutation de paquets IP constitue aujourdhui une nouvelle volution majeure comparable aux prcdentes. Lobjectif de ce chapitre est ltude de cette technologie et de ses diffrents aspects. On parlera en dtail de larchitecture de la VoIP, ses lments et son principe de fonctionnement. On dtaillera aussi des protocoles VoIP de signalisation et de transport ainsi que leurs principes de fonctionnement et de leurs principaux avantages et inconvnients.
1. Prsentation de la voix sur IP

1.1. Dfinition
VoIP signifie Voice over Internet Protocol ou Voix sur IP. Comme son nom l'indique, la VoIP permet de transmettre des sons (en particulier la voix) dans des paquets IP circulant sur Internet. La VoIP peut utiliser du matriel d'acclration pour raliser ce but et peut aussi tre utilise en environnement de PC.
1.2.
Architecture
La VoIP tant une nouvelle technologie de communication, elle n'a pas encore de standard unique. En effet, chaque constructeur apporte ses normes et ses fonctionnalits ses solutions. Les trois principaux protocoles sont H.323, SIP et MGCP/MEGACO. Il existe donc plusieurs approches pour offrir des services de tlphonie et de visiophonie sur des rseaux IP. Certaines placent l'intelligence dans le rseau alors que d'autres prfrent une approche gale gale avec l'intelligence rpartie la priphrie. Chacune ayant ses avantages et ses inconvnients. La figure 1 dcrit, de faon gnrale, la topologie d'un rseau de tlphonie IP. Elle comprend toujours des terminaux, un serveur de communication et une passerelle vers les autres rseaux. Chaque norme a ensuite ses propres caractristiques pour garantir une plus ou
Page | 10
moins grande qualit de service. L'intelligence du rseau est aussi dporte soit sur les terminaux, soit sur les passerelles/ contrleur de commutation, appeles Gatekeeper. On retrouve les lments communs suivants : Le routeur : permet d'aiguiller les donnes et le routage des paquets entre deux rseaux. Certains routeurs permettent de simuler un Gatekeeper grce l'ajout de cartes spcialises supportant les protocoles VoIP. La passerelle : permet dinterfacer le rseau commut et le rseau IP. Le PABX : est le commutateur du rseau tlphonique classique. Il permet de faire le lien entre la passerelle ou le routeur, et le rseau tlphonique commut (RTC). Toutefois, si tout le rseau devient IP, ce matriel devient obsolte. Les Terminaux : sont gnralement de type logiciel (software phone) ou matriel (hardphone), le softphone est install dans le PC de l'utilisateur. L'interface audio peut tre un microphone et des haut-parleurs branchs sur la carte son, mme si un casque est recommand. Pour une meilleure clart, un tlphone USB ou Bluetooth peut tre utilis. Le hardphone est un tlphone IP qui utilise la technologie de la Voix sur IP pour permettre des appels tlphoniques sur un rseau IP tel que l'Internet au lieu de l'ordinaire systme PSTN. Les appels peuvent parcourir par le rseau internet comme par un rseau priv. Un terminal utilise des protocoles comme le SIP (Session Initiation Protocol) ou lun des protocoles propritaire tel que celui utilise par Skype.
Figure 1 : Architecture gnrale de la voix sur IP

Page | 11
1.3.
Principe de fonctionnement
Depuis nombreuses annes, il est possible de transmettre un signal une destination loigne sous forme de donnes numriques. Avant la transmission, il faut numriser le signal l'aide d'un CAN (convertisseur analogique-numrique). Le signal est ensuite transmis, pour tre utilisable, il doit tre transform de nouveau en un signal analogique, l'aide d'un CNA (convertisseur numrique-analogique). La VoIP fonctionne par numrisation de la voix, puis par reconversion des paquets numriques en voix l'arrive. Le format numrique est plus facile contrler, il peut tre compress, rout et converti en un nouveau format meilleur. Le signal numrique est plus tolrant au bruit que l'analogique. Les rseaux TCP/IP sont des supports de circulation de paquets IP contenant un en-tte (pour contrler la communication) et une charge utile pour transporter les donnes. Il existe plusieurs protocoles qui peuvent supporter la voix sur IP tel que le H.323, SIP et MGCP. Les deux protocoles les plus utilises actuellement dans les solutions VoIP prsentes sur le march sont le H.323 et le SIP.
2. Protocole H.323
2.1 Description gnrale du protocole H.323
Le standard H.323 fournit, depuis son approbation en 1996, un cadre pour les communications audio, vido et de donnes sur les rseaux IP. Il a t dvelopp par l'ITU (International Telecommunications Union) pour les rseaux qui ne garantissent pas une qualit de service (QoS), tels quIP IPX sur Ethernet, Fast Ethernet et Token Ring. Il est prsent dans plus de 30 produits et il concerne le contrle des appels, la gestion multimdia, la gestion de la bande passante pour les confrences point--point et multipoints. H.323 traite galement de l'interfaage entre le LAN et les autres rseaux. Le protocole H.323 fait partie de la srie H.32x qui traite de la vidoconfrence au travers diffrents rseaux. Il inclue H.320 et H.324 lis aux rseaux ISDN (Integrated Service Data Network) et PSTN (Public Switched Telephone Network).
Page | 12
Plus qu'un protocole, H.323 cre une association de plusieurs protocoles diffrents et qui peuvent tre regroups en trois catgories : la signalisation, la ngociation de codec, et le transport de linformation. Les messages de signalisation sont ceux envoys pour demander la mise en relation de deux clients, qui indique que la ligne est occupe ou que le tlphone sonne, etc. En H.323, la signalisation sappuie sur le protocole RAS pour lenregistrement et lauthentification, et le protocole Q.931 pour linitialisation et le contrle dappel. La ngociation est utilise pour se mettre daccord sur la faon de coder les informations changer. Il est important que les tlphones (ou systmes) utilisent un langage commun sils veulent se comprendre. Il sagit du codec le moins gourmand en bande passante ou de celui qui offre la meilleure qualit. Il serait aussi prfrable davoir plusieurs alternatives de langages. Le protocole utilis pour la ngociation de codec est le H.245 Le transport de linformation sappuie sur le protocole RTP qui transporte la voix, la vido ou les donnes numrises par les codecs. Les messages RTCP peuvent tre utiliss pour le contrle de la qualit, ou la rengociation des codecs si, par exemple, la bande passante diminue. Une communication H.323 se droule en cinq phases : ltablissement d'appel, lchange de capacit et rservation ventuelle de la bande passante travers le protocole RSVP (Ressource reservation Protocol), ltablissement de la commun ication audio-visuelle, linvocation ventuelle de services en phase d'appel (par exemple, transfert d'appel, changement de bande passante, etc.) et enfin la libration de l'appel.
2.2
Rle des composants
L'infrastructure H.323 repose sur quatre composants principaux : les terminaux, les Gateways, les Gatekeepers, et les MCU (Multipoint Control Units).
Page | 13
Figure 2 : Les composants de larchitecture H.323 Les terminaux H.323 Le terminal peut tre un ordinateur, un combin tlphonique, un terminal spcialis pour la vidoconfrence ou encore un tlcopieur sur Internet. Le minimum impos par H.323 est qu'il mette en uvre la norme de compression de la parole G.711, qu'il utilise le protocole H.245 pour la ngociation de l'ouverture d'un canal et l'tablissement des paramtres de la communication, ainsi que le protocole de signalisation Q.931 pour l'tablissement et l'arrt des communications. Le terminal possde galement des fonctions optionnelles, notamment, pour le travail en groupe et le partage des documents. Il existe deux types de terminaux H.323, l'un de haute qualit (pour une utilisation sur LAN), l'autre optimis pour de petites largeurs de bandes (28,8/33,6 kbit/s G.723.1 et H.263). Gateway ou les passerelles vers des rseaux classiques (RTC, RNIS, etc.) Les passerelles H.323 assurent l'interconnexion avec les autres rseaux, ex :(H.320/RNIS), les modems H.324, tlphones classiques, etc. Elles assurent la correspondance de signalisation de Q.931, la correspondance des signaux de contrle et la cohsion entre les mdias (multiplexage, correspondance des dbits, transcodage audio). Gatekeeper ou les portiers Dans la norme H323, Le Gatekeeper est le point d'entre au rseau pour un client H.323. Il dfinit une zone sur le rseau, appele zone H.323 (voir figure 3 ci-dessous), regroupant
Page | 14
plusieurs terminaux, Gateways et MCU dont il gre le trafic, le routage LAN, et l'allocation de la bande passante. Les clients ou les Gateway s'enregistrent auprs du Gatekeeper ds l'activation de celui-ci, ce qui leur permet de retrouver n'importe quel autre utilisateur travers son identifiant fixe obtenu auprs de son Gatekeeper de rattachement. Le Gatekeeper a pour fonction : La translation des alias H.323 vers des adresses IP, selon les spcifications RAS (Registration/Admission/Status) ; Le contrle d'accs, en interdisant les utilisateurs et les sessions non autoriss ; Et la gestion de la bande passante, permettant l'administrateur du rseau de limiter le nombre de visioconfrences simultanes. Concrtement une fraction de la bande passante est alloue la visioconfrence pour ne pas gner les applications critiques sur le LAN et le support des confrences multipoint adhoc.
Figure 3 : La zone H.323
Page | 15
Les MCU Les contrleurs multipoint appels MCU (Multipoint Control Unit) offrent aux utilisateurs la possibilit de faire des visioconfrences trois terminaux et plus en prsence continue ou en activation la voix . Une MCU consiste en un Contrleur Multipoint (MC), auquel est rajout un ou plusieurs Processeurs Multipoints (MP). Le MC prend en charge les ngociations H.245 entre tous les terminaux pour harmoniser les paramtres audio et vido de chacun. Il contrle galement les ressources utilises. Mais le MC ne traite pas directement avec les flux audio, vido ou donnes, c'est le MP qui se charge de rcuprer les flux et de leurs faire subir les traitements ncessaires. Un MC peut contrler plusieurs MP distribus sur le rseau et faisant partie d'autres MCU.
2.3
Avantages et inconvnients de la technologie H323
La technologie H.323 possde des avantages et des inconvnients. Parmi les avantages, nous citons : Gestion de la bande passante : H.323 permet une bonne gestion de la bande passante en posant des limites au flux audio/vido afin d'assurer le bon fonctionnement des applications critiques sur le LAN. Chaque terminal H.323 peut procder l'ajustement de la bande passante et la modification du dbit en fonction du comportement du rseau en temps rel (latence, perte de paquets et gigue). Support Multipoint : H.323 permet de faire des confrences multipoint via une structure centralise de type MCU (Multipoint Control Unit) ou en mode ad-hoc. Support Multicast : H.323 permet galement de faire des transmissions en multicast. Interoprabilit : H.323 permet aux utilisateurs de ne pas se proccuper de la manire dont se font les communications, les paramtres (les codecs, le dbit) sont ngocis de manire transparente. Flexibilit : une confrence H.323 peut inclure des terminaux htrognes (studio de visioconfrence, PC, tlphones) qui peuvent partager selon le cas, de la voix de la vido et mme des donnes grce aux spcifications T.120. Les inconvnients de la technologie H.323 sont :
Page | 16
La complexit de mise en uvre et les problmes d'architecture en ce qui concerne la convergence des services de tlphonie et d'Internet, ainsi qu'un manque de modularit et de souplesse. Comprend de nombreuses options susceptibles d'tre implmentes de faon diffrentes par les constructeurs et donc de poser des problmes d'interoprabilit.
3. Protocole SIP
3.1 Description gnrale du protocole SIP
Le protocole SIP (Session Initiation Protocol) est un protocole normalis et standardis par l'IETF (dcrit par le RFC 3261 qui rend obsolte le RFC 2543, et complt par le RFC 3265) qui a t conu pour tablir, modifier et terminer des sessions multimdia. Il se charge de l'authentification et de la localisation des multiples participants. Il se charge galement de la ngociation sur les types de mdia utilisables par les diffrents participants en encapsulant des messages SDP (Session Description Protocol). SIP ne transporte pas les donnes changes durant la session comme la voix ou la vido. SIP tant indpendant de la transmission des donnes, tout type de donnes et de protocoles peut tre utilis pour cet change. Cependant le protocole RTP (Real-time Transport Protocol) assure le plus souvent les sessions audio et vido. SIP remplace progressivement H323. SIP est le standard ouvert de VoIP, interoprable, le plus tendu et vise devenir le standard des tlcommunications multimdia (son, image, etc.). Skype par exemple, qui utilise un format propritaire, ne permet pas l'interoprabilit avec un autre rseau de voix sur IP et ne fournit que des passerelles payantes vers la tlphonie standard. SIP n'est donc pas seulement destin la VoIP mais pour de nombreuses autres applications telles que la visiophonie, la messagerie instantane, la ralit virtuelle ou mme les jeux vido.
3.2 Principe de fonctionnement

Puisque on choisira le protocole SIP pour effectuer notre travail, on sapprofondira expliquer les diffrents aspects, caractristiques qui font du protocole SIP un bon choix pour ltablissement de la session, les principales caractristiques du protocole SIP sont :
Page | 17
Fixation dun compte SIP Il est important de sassurer que la personne appele soit toujours joignable. Pour cela, un compte SIP sera associ un nom unique. Par exemple, si un utilisateur dun service de voix sur IP dispose dun compte SIP et que chaque fois quil redmarre son ordinateur, son adresse IP change, il doit cependant toujours tre joignable. Son compte SIP doit donc tre associ un serveur SIP (proxy SIP) dont ladresse IP est fixe. Ce serveur lui allouera un compte et il permettra deffectuer ou de recevoir des appels quelques soit son emplacement. Ce compte sera identifiable via son nom (ou pseudo). Changement des caractristiques durant une session Un utilisateur doit pouvoir modifier les caractristiques dun appel en cours. Par exempl e, un appel initialement configur en (voix uniquement) peut tre modifi en (voix + vido). Diffrents modes de communication Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point point, en mode diffusif ou dans un mode combinant ceux-ci. Mode Point point : on parle dans ce cas l dunicast qui correspond la communication entre deux machines. Mode diffusif : on parle dans ce cas l de multicast (plusieurs utilisateurs via une unit de contrle MCU Multipoint Control Unit). Combinatoire : combine les deux modes prcdents. Plusieurs utilisateurs interconnects en multicast via un rseau maillage complet de connexion. Gestion des participants Durant une session dappel, de nouveaux participants peuvent joindre les participants dune session dj ouverte en participant directement, en tant transfrs ou en tant mis en attente (cette particularit rejoint les fonctionnalits dun PABX par exemple, o lappelant peut tre transfr vers un numro donn ou tre mis en attente). Ngociation des mdias supports Cela permet un groupe durant un appel de ngocier sur les types de mdias supports. Par exemple, la vido peut tre ou ne pas tre supporte lors dune session.
Page | 18
Adressage Les utilisateurs disposant dun numro (compte) SIP disposent dune adresse ressemblant une adresse mail (sip:numro@serveursip.com). Le numro SIP est unique pour chaque utilisateur. Modle dchange Le protocole SIP repose sur un modle Requte/Rponse. Les changes entre un terminal appelant et un terminal appel se font par l'intermdiaire de requtes. La liste des requtes changes est la suivante : Invite : cette requte indique que l'application (ou utilisateur) correspondante l'url SIP spcifi est invit participer une session. Le corps du message dcrit cette session (par ex : mdia supports par lappelant). En cas de rponse favorable, l'invit doit spcifier les mdias qu'il supporte. Ack : cette requte permet de confirmer que le terminal appelant a bien reu une rponse dfinitive une requte Invite. Options : un proxy server en mesure de contacter l'UAS (terminal) appel, doit rpondre une requte Options en prcisant ses capacits contacter le mme terminal. Bye : cette requte est utilise par le terminal de l'appel fin de signaler qu'il souhaite mettre un terme la session. Cancel : cette requte est envoye par un terminal ou un proxy server fin d'annuler une requte non valide par une rponse finale comme, par exemple, si une machine ayant t invite participer une session, et ayant accept l'invitation ne reoit pas de requte Ack, alors elle met une requte Cancel. Register : cette mthode est utilise par le client pour enregistrer l'adresse liste dans l'URL TO par le serveur auquel il est reli. Codes derreurs Une rponse une requte est caractrise, par un code et un motif, appels respectivement code d'tat et raison phrase. Un code d'tat est un entier cod sur 3 digits indiquant un rsultat l'issue de la rception d'une requte. Ce rsultat est prcis par une phrase,
Page | 19
textbased (UTF-8), expliquant le motif du refus ou de l'acceptation de la requte. Le code d'tat est donc destin l'automate grant l'tablissement des sessions SIP et les motifs aux programmeurs. Il existe 6 classes de rponses et donc de codes d'tat, reprsentes par le premier digit : 1xx = Information - La requte a t reue et continue tre traite. 2xx = Succs - L'action a t reue avec succs, comprise et accepte. 3xx = Redirection - Une autre action doit tre mene afin de valider la requte. 4xx = Erreur du client - La requte contient une syntaxe errone ou ne peut pas tre traite par ce serveur. 5xx = Erreur du serveur - Le serveur n'a pas russi traiter une requte apparemment correcte. 6xx = Echec gnral - La requte ne peut tre traite par aucun serveur.
3.3 Rle des composants

Dans un systme SIP on trouve deux types de composantes, les agents utilisateurs (UAS, UAC) et un rseau de serveurs (Registrar, Proxy) L'UAS (User Agent Server) reprsente l'agent de la partie appele. C'est une application de type serveur qui contacte l'utilisateur lorsqu'une requte SIP est reue. Et elle renvoie une rponse au nom de l'utilisateur. L'U.A.C (User Agent Client) reprsente l'agent de la partie appelante. C'est une application de type client qui initie les requtes. Le Registrar est un serveur qui gre les requtes REGISTER envoyes par les Users Agents pour signaler leur emplacement courant. Ces requtes contiennent donc une adresse IP, associe une URI, qui seront stockes dans une base de donnes (figure 4). Les URI SIP sont trs similaires dans leur forme des adresses email :
sip:utilisateur@domaine.com. Gnralement, des mcanismes d'authentification permettent d'viter que quiconque puisse s'enregistrer avec n'importe quelle URI.
Page | 20
Figure 4 : Enregistrement d'un utilisateur Un Proxy SIP sert d'tre lintermdiaire entre deux User Agents qui ne connaissent pas leurs emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a t stocke pralablement dans une base de donnes par un Registrar. Le Proxy peut donc interroger cette base de donnes pour diriger les messages vers le destinataire. La figure 5 montre les tapes de linterrogation du proxy la base de donnes
Figure 5 : Principe du protocole SIP
Page | 21
Figure 6 : Session SIP travers un proxy Le Proxy se contente de relayer uniquement les messages SIP pour tablir, contrler et terminer la session (voir figure 6). Une fois la session tablie, les donnes, par exemple un flux RTP pour la VoIP, ne transitent pas par le serveur Proxy. Elles sont changes directement entre les User Agents.
3.4 Avantages et inconvnients

Ouvert, standard, simple et flexible sont les principales atouts du protocole SIP, voil en dtails ces diffrents avantages : Ouvert : les protocoles et documents officiels sont dtaills et accessibles tous en tlchargement. Standard : l'IETF a normalis le protocole et son volution continue par la cration ou l'volution d'autres protocoles qui fonctionnent avec SIP. Simple : SIP est simple et trs similaire http.
Page | 22
Flexible : SIP est galement utilis pour tout type de sessions multimdia (voix, vido, mais aussi musique, ralit virtuelle, etc.). Tlphonie sur rseaux publics : il existe de nombreuses passerelles (services payants) vers le rseau public de tlphonie (RTC, GSM, etc.) permettant d'mettre ou de recevoir des appels vocaux. Points communs avec H323 : l'utilisation du protocole RTP et quelques codecs son et vido sont en commun. Par contre une mauvaise implmentation ou une implmentation incomplte du protocole SIP dans les User Agents peut perturber le fonctionnement ou gnrer du trafic superflu sur le rseau. Un autre inconvnient est le faible nombre d'utilisateurs : SIP est encore peu connu et utilis par le grand public, n'ayant pas atteint une masse critique, il ne bnficie pas de l'effet rseau.
4. Protocoles de transport
Nous dcrivons deux autres protocoles de transport utiliss dans la voix sur IP savoir lRTP et le RTCP
4.1 Le protocole RTP

4.1.1 Description gnrale de RTP
RTP (Real time Transport Protocol), standardis en 1996, est un protocole qui a t dvelopp par l'IETF afin de faciliter le transport temps rel de bout en bout des flots donnes audio et vido sur les rseaux IP, c'est dire sur les rseaux de paquets. RTP est un protocole qui se situe au niveau de l'application et qui utilise les protocoles sous-jacents de transport TCP ou UDP. Mais l'utilisation de RTP se fait gnralement au-dessus dUDP ce qui permet d'atteindre plus facilement le temps rel. Les applications temps rels comme la parole numrique ou la visioconfrence constitue un vritable problme pour Internet. Qui dit application temps rel, dit prsence d'une certaine qualit de service (QoS) que RTP ne garantie pas du fait qu'il fonctionne au niveau Applicatif. De plus RTP est un protocole qui se trouve dans un environnement multipoint, donc on peut dire que RTP possde sa charge, la gestion du temps rel, mais aussi l'administration de la session multipoint.
Page | 23
4.1.2
Les fonctions de RTP
Le protocole RTP a pour but d'organiser les paquets l'entre du rseau et de les contrler la sortie. Ceci de faon reformer les flux avec ses caractristiques de dpart. RTP est un protocole de bout en bout, volontairement incomplet et mallable pour s'adapter aux besoins des applications. Il sera intgr dans le noyau de l'application. Il laisse la responsabilit du contrle aux quipements d'extrmit. Il est aussi un protocole adapt aux applications prsentant des proprits temps rel. Il permet ainsi de : Mettre en place un squencement des paquets par une numrotation et ce afin de permettre ainsi la dtection des paquets perdus. Ceci est un point primordial dans la reconstitution des donnes. Mais il faut savoir quand mme que la perte d'un paquet n'est pas un gros problme si les paquets ne sont pas perdus en trop grands nombres. Cependant il est trs important de savoir quel est le paquet qui a t perdu afin de pouvoir pallier cette perte. Identifier le contenu des donnes pour leurs associer un transport scuris et reconstituer la base de temps des flux (horodatage des paquets : possibilit de resynchronisation des flux par le rcepteur) L'identification de la source c'est dire l'identification de l'expditeur du paquet. Dans un multicast l'identit de la source doit tre connue et dtermine. Transporter les applications audio et vido dans des trames (avec des dimensions qui sont dpendantes des codecs qui effectuent la numrisation). Ces trames sont incluses dans des paquets afin d'tre transportes et doivent, de ce fait, tre rcupres facilement au moment de la phase de segmentation des paquets afin que l'application soit dcode correctement. 4.1.3 Avantages et inconvnients
Le protocole RTP permet de reconstituer la base de temps des diffrents flux multimdia (audio, vido, etc.); de dtecter les pertes de paquets; et didentifier le contenu des paquets pour leur transmission scurise. Par contre, il ne permet pas de rserver des ressources dans le rseau ou dapporter une fiabilit dans le rseau. Ainsi il ne garanti pas le dlai de livraison.
Page | 24
4.2 Le protocole RTCP

4.2.1 Description gnrale de RTCP
Le protocole RTCP est fond sur la transmission priodique de paquets de contrle tous les participants d'une session. C'est le protocole UDP (par exemple) qui permet le multiplexage des paquets de donnes RTP et des paquets de contrle RTCP. Le protocole RTP utilise le protocole RTCP, Real-time Transport Control Protocol, qui transporte les informations supplmentaires suivantes pour la gestion de la session. Les rcepteurs utilisent RTCP pour renvoyer vers les metteurs un rapport sur la QoS. Ces rapports comprennent le nombre de paquets perdus, le paramtre indiquant la variance d'une distribution (plus communment appel la gigue : c'est dire les paquets qui arrivent rgulirement ou irrgulirement) et le dlai aller-retour. Ces informations permettent la source de s'adapter, par exemple, de modifier le niveau de compression pour maintenir une QoS. Parmi les principales fonctions quoffre le protocole RTCP sont les suivants : Une synchronisation supplmentaire entre les mdias : Les applications multimdias sont souvent transportes par des flots distincts. Par exemple, la voix, l'image ou mme des applications numrises sur plusieurs niveaux hirarchiques peuvent voir les flots gres et suivre des chemins diffrents. L'identification des participants une session : en effet, les paquets RTCP contiennent des informations d'adresses, comme l'adresse d'un message lectronique, un numro de tlphone ou le nom d'un participant une confrence tlphonique. Le contrle de la session : en effet le protocole RTCP permet aux participants d'indiquer leur dpart d'une confrence tlphonique (paquet Bye de RTCP) ou simplement de fournir une indication sur leur comportement. Le protocole RTCP demande aux participants de la session d'envoyer priodiquement les informations cites ci-dessus. La priodicit est calcule en fonction du nombre de participants de l'application. On peut dire que les paquets RTP ne transportent que les donnes des utilisateurs. Tandis que les paquets RTCP ne transportent en temps rel, que de la supervision. On peut dtailler les paquets de supervision en 5 types:
Page | 25
SR (Sender Report) : Ce rapport regroupe des statistiques concernant la transmission (pourcentage de perte, nombre cumul de paquets perdus, variation de dlai (gigue), etc.). Ces rapports sont issus d'metteurs actifs d'une session. RR (Receiver Report) : Ensemble de statistiques portant sur la communication entre les participants. Ces rapports sont issus des rcepteurs d'une session. SDES (Source Description) : Carte de visite de la source (nom, e-mail, localisation). BYE : Message de fin de participation une session. APP : Fonctions spcifiques une application. 4.2.2 Point fort et limite du protocole RTCP
Le protocole de RTCP est adapt pour la transmission de donnes temps rel. Il permet deffectuer un contrle permanant sur une session et ces participants. Par con tre il fonctionne en stratgie bout bout. Et il ne peut pas contrler l'lment principal de la communication le rseau .
5. Points forts et limites de la voix sur IP

Diffrentes sont les raisons qui peuvent pousser les entreprises sorienter vers la VoIP comme solution pour la tlphonie. Les avantages les plus marqus sont : Rduction des cots : En effet le trafic vhicul travers le rseau RTC est plus couteux
que sur un rseau IP. Rductions importantes pour des communications internationales en utilisant le VoIP, ces rductions deviennent encore plus intressantes dans la mutualisation voix/donnes du rseau IP intersites (WAN). Dans ce dernier cas, le gain est directement proportionnel au nombre de sites distants. Standards ouverts : La VoIP nest plus uniquement H323, mais un usage multi-
protocoles selon les besoins de services ncessaires. Par exemple, H323 fonctionne en mode gale gale alors que MGCP fonctionne en mode centralis. Ces diffrences de conception offrent immdiatement une diffrence dans l'exploitation des terminaisons considres. Un rseau voix, vido et donnes ( la fois) : Grace lintgration de la voix comme une
application supplmentaire dans un rseau IP, ce dernier va simplifier la gestion des trois
Page | 26
applications (voix, rseau et vido) par un seul transport IP. Une simplification de gestion, mais galement une mutualisation des efforts financiers vers un seul outil. Un service PABX distribu ou centralis : Les PABX en rseau bnficient de services
centraliss tel que la messagerie vocale et la taxation. Cette mme centralisation continue tre assure sur un rseau VoIP sans limitation du nombre de canaux. Il convient pour en assurer une bonne utilisation de dimensionner convenablement le lien rseau. L'utilisation de la VoIP met en commun un mdia qui peut la fois offrir un moment prcis une bande passante maximum la donne, et dans une autre priode une bande passante maximum la voix, garantissant toujours la priorit celle-ci. Les points faibles de la voix sur IP sont : Fiabilit et qualit sonore : un des problmes les plus importants de la tlphonie sur IP est la qualit de la retransmission qui nest pas encore optimale. En effet, des dsagrments tels la qualit de la reproduction de la voix du correspondant ainsi que le dlai entre le moment o lun des interlocuteurs parle et le moment o lautre entend peuvent tre extrmement problmatiques. De plus, il se peut que des morceaux de la conversation manquent (des paquets perdus pendant le transfert) sans tre en mesure de savoir si des paquets ont t perdus et quel moment. Dpendance de linfrastructure technologique et support administratif exigeant : les centres de relations IP peuvent tre particulirement vulnrables en cas dimproductivit de linfrastructure. Par exemple, si la base de donnes nest pas disponible, les centres ne peuvent tout simplement pas recevoir dappels. La convergence de la voix et des donnes dans un seul systme signifie que la stabilit du systme devient plus importante que jamais et lorganisation doit tre prpare travailler avec efficience ou encourir les consquences. Vol : les attaquants qui parviennent accder un serveur VoIP peuvent galement accder aux messages vocaux stocks et au mme au service tlphonique pour couter des conversations ou effectuer des appels gratuits aux noms dautres comptes. Attaque de virus : si un serveur VoIP est infect par un virus, les utilisateurs risquent de ne plus pouvoir accder au rseau tlphonique. Le virus peut galement infecter dautres ordinateurs connects au systme.
Page | 27
Conclusion
Comme on a pu le voir tout au long de ce chapitre, la VoIP est la solution la plus rentable pour effectuer des conversations. Actuellement il est vident que la VoIP va continuer voluer. La tlphonie IP est une bonne solution en matire dintgration, fiabilit et de cot. On a vu que la voix sur IP tant une nouvelle technologie de communication, elle na pas encore de standard unique. Chaque standard possde ses propres caractristiques pour garantir une bonne qualit de service. En effet, le respect des contraintes temporelles est le facteur le plus important lors de transport de la voix. Malgr que la normalisation nait pas atteint la maturit suffisante pour sa gn ralisation au niveau des rseaux IP, il nest pas dangereux de miser sur ces standards vu quils ont t accepts par lensemble de la communaut de la tlphonie. Pour finir lors de la mise en uvre de cette technologie, il faut poser la question suivante : le dveloppement de cette technologie reprsente til un risque ou une opportunit pour les utilisateurs et les oprateurs tlphoniques ?
Page | 28
Chapitre 2
Attaques contre la VoIP et bonnes pratiques de scurisation
Page | 29
Introduction
Lopportunit de migrer de la tlphonie classique vers la tlphonie IP, a offert plusieurs avantages pour les entreprises, et les a permirent de bnficier de nouveaux services tel que la vidoconfrence et la transmission des donnes. Lintgration de ces services dans une seule plateforme ncessite plus de scurit Dans ce chapitre, nous driverons des attaques qui menacent la VoIP, et nous dtaillerons quelques uns. Nous finirons par une description des bonnes pratiques pour scuriser les communications de type voix sur IP. Le systme VoIP utilise lInternet, et particulirement le protocole IP. De ce fait les vulnrabilits de celui-ci. Les attaques sur les rseaux VoIP peuvent tre classes en deux types : les attaques internes et les attaques externes. Les attaques externes sont lances par des personnes autres que celle qui participe lappel, et ils se produisent gnralement quand les paquets VoIP traversent un rseau peu fiable et/ou lappel passe par un rseau tiers durant le transfer t des paquets. Les attaques internes seffectuent directement du rseau local dans lequel se trouve lattaquant. Il existe deux principales classes de vulnrabilits sur un environnement VoIP. La premire dpend des protocoles utiliss (SIP, H.323) et la deuxime est relie aux systmes sur lesquels les lments VoIP sont implments. Chaque protocole ou service a ses propres vulnrabilits.
1. Attaques sur le protocole

Un appel tlphonique VoIP est constitu de deux parties : la signalisation, qui instaure lappel, et les flux de media, qui transporte la voix. La signalisation, en particulier SIP, transmet les enttes et la charge utile (Payload) du paquet en texte clair, ce qui permet un attaquant de lire et falsifier facilement les paquets. Elle est donc vulnrable aux attaques qui essaient de voler ou perturber le service tlphonique, et lcoute clandestine qui recherche des informations sur un compte utilisateur valide, pour passer des appels gratuits par exemple. La signalisation utilise, en gnral, le port par dfaut UDP/TCP 5060. Le firewall doit tre capable dinspecter les paquets de signalisation et ouvre ce port afin
Page | 30
de leurs autoriser laccs au rseau. Un firewall qui nest pas compatible aux protocoles de la VoIP doit tre configur manuellement pour laisser le port 5060 ouvert, crant un trou pour des attaques contre les lments qui coutent lactivit sur ce port. Le protocole RTP, utilis pour le transport des flux multimdia, prsente galement plusieurs vulnrabilits dues labsence dauthentification et de chiffrage. Chaque entte dun paquet RTP contient un numro de squence qui permet au destinataire de reconstituer les paquets de la voix dans lordre appropri. Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numro de squence plus lev. En consquence, ces paquets seront diffuss la place des vrais paquets. Gnralement, les flux multimdias contournent les serveurs proxy et circulent directement entre les points finaux. Les menaces habituelles conte le flux de la voix sont linterruption de transport et lcoute clandestine. Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par consquent sont aussi vulnrables toutes les attaques contre ces protocoles, telles le dtournement de session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc. Les types dattaques les plus frquentes contre un system VoIP sont :
1.1.
Sniffing
Un reniflage (Sniffing) peut avoir comme consquence un vol d'identit et la rvlation d'informations confidentielles. Il permet galement aux utilisateurs malveillants perfectionns de rassembler des informations sur les systmes VoIP. Ces informations peuvent par exemple tre employes pour mettre en place une attaque contre d'autres systmes ou donnes. Plusieurs outils requis pour le sniffing, y compris pour le protocole H.323 et des plugins SIP, sont disponibles en open source.
1.2.
Suivie des appels
Appel aussi Call tracking, cette attaque se fait au niveau du rseau LAN/VPN et cible les terminaux (soft/hard phone). Elle a pour but de connatre qui est en train de communiquer et quelle est la priode de la communication. Lattaquant doit rcuprer les messages INVITE et BYE en coutant le rseau et peut ainsi savoir qui communique, quelle heure, et pendant combien de temps.
Page | 31
Pour raliser cette attaque, Lattaquant doit tre capable dcouter le rseau et rcuprer les messages INVITE et BYE.
1.3.
Injection de paquet RTP
Cette attaque se fait au niveau du rseau LAN/VPN. Elle cible le serveur registrar, et a pour but de perturber une communication en cours. Lattaquant devra tout dabord couter un flux RTP de lappelant vers lappel, analyser son contenu et gnrer un paquet RTP contenant un en-tte similaire mais avec un plus grand numro de squence et timestamp afin que ce paquet soit reproduit avant les autres paquets (sils sont vraiment reproduits). Ainsi la communication sera perturbe et lappel ne pourra pas se drouler correctement. Pour raliser cette attaque, lattaquant doit tre capable dcouter le rseau afin de reprer une communication et ainsi reprer les timestamps des paquets RTP. Il doit aussi tre capable dinsrer des messages RTP quil a gnr ayant un timestamp modifi.
1.4.
Les Spam
Trois formes principale s de spams sont jusqu maintenant identifis dans SIP: Call Spam : Ce type de spam est dfini comme une masse de tentatives dinitiation de session (des requtes INVITE) non sollicites. Gnralement cest un UAC (User Agent Client) qui lance, en parallle, un grand nombre d'appels. Si lappel est tabli, l'application gnre un ACK, rejoue une annonce prenregistre, et ensuite termine l'appel. IM (Instant Message) Spam : Ce type de spam est semblable celui de l'e-mail. Il est dfini comme une masse de messages instantans non sollicites. Les IM spams sont pour la plupart envoys sous forme de requte SIP. Ce pourraient tre des requtes INVITE avec un entte Subject trs grand, ou des requtes INVITE avec un corps en format texte ou HTML. Bien-sr, lIM spam est beaucoup plus intrusif que le spam email, car dans les systmes actuels, les IMs apparaissent automatiquement sous forme de pop-up l'utilisateur.
Page | 32
Presence Spam : Ce type de spam est semblable lIM spam. Il est dfini comme une mas se de requtes de prsence (des requtes SUBSCRIBE) non sollicites. Lattaquant fait ceci dans le but dappartenir la " white list " d'un utilisateur afin de lui envoyer des messages instantans ou dinitier avec lui dautres formes de communications. LIM Spam est diffrent du Presence Spam dans le fait que ce dernier ne transmet pas rellement de contenu dans les messages.
1.5.
Le dni de service (DOS : Denial of service)
Cest, d'une manire gnrale, l'attaque qui vise rendre une application informatique ou un quipement informatique incapable de rpondre aux requtes de ses utilisateurs et donc hors dusage. Une machine serveur offrant des services ses clients (par exemple un serveur web) doit traiter des requtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bnficier, pour des raisons dlibrment provoques par un tiers, il y a dni de service. Dans une attaque de type DoS flood attack, les ressources dun serveur ou dun rseau sont puises par un flot de paquets. Un seul attaquant visant envoyer un flot de paquets peut tre identifi et isol assez facilement. Cependant l'approche de choix pour les attaquants a volu vers un dni de service distribu (DDoS). Une attaque DDoS repose sur une distribution d'attaques DoS, simultanment menes par plusieurs systmes contre un seul. Cela rduit le temps ncessaire l'attaque et amplifie ses effets. Dans ce type d'attaque les pirates se dissimulent parfois grce des machines-rebonds (ou machines zombies), utilises l'insu de leurs propritaires. Un ensemble de machines-rebonds, est contrlable par un pirate aprs infection de chacune d'elles par un programme de type porte drobe (backdoor). Une attaque de type DoS peut seffectuer plusieurs niveaux soit : Couche rseau : IP Flooding : Le but de l'IP Flooding est d'envoyer une multitude de paquets IP vers une mme destination de telle sorte que le traitement de ces paquets empche une entit du rseau (un routeur ou la station destinatrice) de traiter les paquets IP lgitimes. Si l'IP Flooding est combin l'IP Spoofing, il est impossible, pour le destinataire, de connatre l'adresse source exacte des paquets IP. De ce fait, moins que le destinataire ne limite ses changes avec certaines stations, il lui est impossible de contrer ce type d'attaques.
Page | 33
Fragmentation des paquets IP : Par la fragmentation des paquets, il est possible de rendre hors service de nombreux systmes d'exploitation et dispositif VoIP par le biais de la consommation des ressources. Il existe de nombreuses variantes dattaques par fragmentation, parmi les plus populaires teardrop, opentear, nestea, jolt, boink, et Ping of death. Couche transport : LUDP Flooding Attacks : Le principe de cette attaque est quun attaquant envoie un grand nombre de requtes UDP vers une machine. Le trafic UDP tant prioritaire sur le trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le rseau et donc de perturbe le plus la bande passante. Presque touts les dispositifs utilisant le protocole SIP fonctionnent au dessus du protocole UDP, ce qui en fait delles des cibles. De nombreux dispositifs de VoIP et de systmes d'exploitation peuvent tre paralyss grce des paquets UDP Flooding visant lcoute du port SIP (5060) ou dautres po rts. TCP SYN floods est une attaque visant le protocole TCP et plus exactement la phase dtablissement de connexion. Celle ci consiste en trois sous tapes : 1. Le client envoie un paquet SYN au serveur. 2. Le serveur rpond avec un paquet SYN-ACK. 3. Le client envoie un paquet ACK au serveur. Lattaque consiste en lenvoie dun grand nombre de paquets SYN. La victime va alors rpondre par un message SYN-ACK dacquittement. Pour terminer la connexion TCP, la victime ensuite va attendre pendant une priode de te mps la rponse par le biais dun paquet ACK. C'est l le cur de l'attaque parce que les ACK final ne sont jamais envoys, et par la suite, la mmoire systme se remplit rapidement et consomme toutes les ressources disponibles ces demandes non valides. Le rsultat final est que le serveur, le tlphone, ou le routeur ne sera pas en mesure de faire la distinction entre les faux SYN et les SYN lgitimes d'une relle connexion VoIP. Couche applications : SIP Flooding : Dans le cas de SIP, une attaque DoS peut tre directement dirige contre les utilisateurs finaux ou les dispositifs tels que tlphones IP, routeurs et proxy SIP, ou
Page | 34
contre les serveurs concerns par le processus, en utilisant le mcanisme du protocole SIP ou dautres techniques traditionnelles de DoS. Voyons maintenant en dtail les diffrentes formes dattaque DoS : CANCEL
Cest un type de dni de service lanc contre l'utilisateur. Lattaquant surveille lactivit du proxy SIP et attend quun appel arrive pour un utilisateur spcifique. Une fois que le dispositif de lutilisateur reoit la requte INVITE, l'attaquant envoie immdiatement une requte CANCEL. Cette requte produit une erreur sur le dispositif de lappel et termine l'appel. Ce type d'attaque est employ pour interrompre la communication.
Figure 7 : Attaque DoS via une requte CANCEL La figure suivante montre un scnario dattaque DoS CANCEL, lutilisateur toto initie lappel, envoie une invitation (1) au proxy auquel il est rattach. Le proxy du domaine A achemine la requte (2) au proxy qui est responsable de lutilisateur titi. Ensuite cest le proxy du domaine B qui prend le relais et achemine la requte INVITE (3) qui arrive enfin destination. Le dispositif de titi, quand il reoit linvitation, sonne (4). Cette information est rachemine jusquau dispositif de toto. Lattaquant qui surveille lactivit du proxy SIP du domaine B envoie une requte CANCEL (7) avant que titi nait pu envoyer la rponse OK qui accepte lappel. Cette requte annulera la requte en attente (lINVITE), lappel na pas lieu.
Page | 35
REGISTER
Le serveur d'enregistrement lui-mme est une source potentielle de dni de service pour les utilisateurs. En effet ce serveur peut accepter des enregistrements de tous les dispositifs. Un nouvel enregistrement avec une * dans l'entte remplacera tous les prcdents enregistrements pour ce dispositif. Les attaquants, de cette faon, peuvent supprimer lenregistrement de quelques-uns des utilisateurs, ou tous, dans un domaine, empchant ainsi ces utilisateurs d'tre invits de nouvelles sessions. Notez que cette fonction de suppression denregistrement dun dispositif au profit dun autre est un comportement voulu en SIP afin de permettre le transfert dappel. Le dispositif de lutilisateur doit pouvoir devenir le dispositif principal quand il vient en ligne. Cest un mcanisme trs pratique pour les utilisateurs mais galement pour les pirates.
1.6.
Dtournement dappel (Call Hijacking)
Le Call Hijacking consiste dtourner un appel. Plusieurs fournisseurs de service VoIP utilisent le web comme interface permettant l'utilisateur daccder leur systme tlphonique. Un utilisateur authentifi peut changer les paramtres de ses transferts d'appel travers cette interface web. Cest peut tre pratique, ma is un utilisateur malveillant peut utiliser le mme moyen pour mener une attaque. Exemple: quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant envoie un message de redirection 3xx indiquant que lappel s'est dplac et par la mme occasion donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous les appels destins lutilisateur sont transfrs et cest lattaquant qui les reoit. Un appel dtourn en lui-mme est un problme, mais cest encore plus grave quand il est porteur d'informations sensibles et confidentielles.
1.7.
Lcoute clandestine
Leavesdropping est l'coute clandestine dune conversation tlphonique. Un attaquant avec un accs au rseau VoIP peut sniffer le trafic et dcoder la conversation vocale. Des outils tels que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de raliser cette attaque. VOMIT convertit les paquets sniffs en fichier .wav qui peut tre rcout avec nimporte quel lecteur de fichiers son.
Page | 36
Figure 8 : Exemple de dtournement d'appel " Man in the middle" Le principe de lcoute clandestine est montr dans la figure 8 comme suit : 1. dterminer les adresses MAC des victimes (client serveur) par lattaquant 2. Envoi dune requte ARP non sollicits au client, pour linformer du changement de l'adresse MAC du serveur VoIP ladresse MAC. 3. Envoi dune requte ARP non sollicits au serveur, pour linformer du changement de l'adresse MAC du client ladresse MAC. 4. Dsactiver la vrification des adresses MAC sur la machine dattaque afin que le trafic puisse circuler entre les 2 victimes
2. Les vulnrabilits de linfrastructure

Une infrastructure VoIP est compose de tlphones IP, Gateway, serveurs (proxy, register, etc.). Chaque lment, que ce soit un systme embarqu ou un serveur standard tournant sur un systme d'exploitation, est accessible via le rseau comme n'importe quel ordinateur. Chacun comporte un processeur qui excute des logiciels qui peuvent tre attaqus ou employs en tant que points de lancement dune attaque plus profonde.
Page | 37
2.4
Faiblesses dans la configuration des dispositifs de la VoIP
Plusieurs dispositifs de la VoIP, dans leur configuration par dfaut, peuvent avoir une varit de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent tre vulnrables aux attaques DoS ou buffer overflow. Plusieurs dispositifs de la VoIP excutent galement un serveur WEB pour la gestion distance qui peut tre vulnrable aux attaques buffer overflow et la divulgation dinformations. Si les services accessibles ne sont pas configurs avec un mot de passe, un attaquant peut acqurir un accs non autoris ce dispositif. Les services SNMP (Simple Network Management Protocol) offerts par ces dispositifs peuvent tre vulnrables aux attaques de reconnaissance ou attaques doverflow. Plusieurs dispositifs de la VoIP sont configurs pour tlcharger priodiquement un fichier de configuration depuis un serveur par TFTP ou d'autres mcanismes. Un attaquant peut potentiellement dtourner ou mystifier cette connexion et tromper le dispositif qui va tlcharger un fichier de configuration malveillant la place du vritable fichier.
2.5
Les tlphones IP
Un pirate peut compromettre un dispositif de tlphonie sur IP, par exemple un tlphone IP, un softphone et autres programmes ou matriels clients. Gnralement, il obtient les privilges qui lui permettent de commander compltement la fonctionnalit du dispositif. Compromettre un point final (tlphone IP) peut tre fait distance ou par un accs physique au dispositif. Le pirate pourrait modifier les aspects oprationnels d'un tel dispositif: La pile du systme d'exploitation peut tre change. Ainsi la prsence de l'attaquant ne sera pas remarque. Aussi un firmware modifi de manire malveillante peut tre tlcharg et install. Les modifications faites la configuration des logiciels de tlphonie IP peuvent permettre: Aux appels entrants d'tre rorients vers un autre point final sans que l'utilisateur soit au courant. Aux appels dtre surveills.
Page | 38
A l'information de la signalisation et/ou les paquets contenant de la voix dtre routs vers un autre dispositif et galement dtre enregistrs et/ou modifis. De compromettre la disponibilit du point final. Par exemple, ce dernier peut rejeter automatiquement toutes les requtes dappel, ou encore, liminer tout dclenchement de notification tel quun son, une notification visuelle larrive dun appel. Les appels peuvent galement tre interrompus limproviste (quelques tlphones IP permettent ceci via une interface web). Dautres consquences possibles sont: Des backdoors pourraient t installs. Toutes les informations concernant l'utilisateur qui sont stockes sur le dispositif pourraient t extraites. Lacquisition d'un accs non autoris sur un dispositif de tlphonie IP peut tre le rsultat d'un autre lment compromis sur le rseau IP, ou de l'information rcolte sur le rseau. Les softphones ne ragissent pas de la mme faon aux attaques compars leur homologues tlphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs inclus dans le systme, savoir les vulnrabilits du systme d'exploitation, les vulnrabilits de lapplication, les vulnrabilits du service, des vers, des virus, etc. En plus, le softphone demeure sur le segment de donnes, est ainsi sensible aux attaques lances contre ce segment et pas simplement contre lhte qui hberge lapplication softphone. Les tlphones IP excutent quant eux leurs propres systmes dexploitation avec un nombre limit de services supports et possdent donc moins de vulnrabilits.
2.6
Les serveurs
Un pirate peut viser les serveurs qui fournissent le rseau de tlphonie sur IP. Compromettre une telle entit mettra gnralement en pril tout le rseau de tlphonie dont le serveur fait partie. Par exemple, si un serveur de signalisation est compromis, un attaquant peut contrler totalement l'information de signalisation pour diffrents appels. Ces informations sont routes travers le serveur compromis. Avoir le contrle de l'information de signalisation permet un attaquant de changer n'importe quel paramtre relatif lappel.
Page | 39
Si un serveur de tlphonie IP est install sur un systme d'exploitation, il peut tre une cible pour les virus, les vers, ou nimporte quel code malveillant .
2.7
Les vulnrabilits du systme dexploitation
Ces vulnrabilits sont pour la plupart relatives au manque de scurit lors de la phase initiale de dveloppement du systme d'exploitation et ne sont dcouvertes quaprs le lancement du produit. Une des principales vulnrabilits des systmes d'exploitation est le buffer overflow. Il permet un attaquant de prendre le contrle partiel ou complet de la machine. Les dispositifs de la VoIP tels que les tlphones IP, Call Managers, Gateway et les serveurs proxy, hritent les mmes vulnrabilits du systme d'exploitation ou du firmware sur lequel ils tournent. Il existe une centaine de vulnrabilits exploitables distance sur Windows et mme sur Linux. Un grand nombre de ces exploits sont disponibles librement et prts tre tlchargs sur l'Internet. Peu importe comment, une application de la VoIP s'avre tre sre, celle ci devient menac si le systme d'exploitation sur lequel elle tourne est compromis.
3. Scurisation et bonne pratiques

On dj vu que les vulnrabilits existe au niveau protocolaire, application et systmes dexploitation. Pour cela, on a dcoup la scurisation aussi en trois niveaux : Scurisation protocolaire, scurisation de lapplication et scurisation du systme de lexploitation.
3.1 Scurisation protocolaire

La prvalence et la facilit de sniffer des paquets et d'autres techniques pour la capture des paquets IP sur un rseau pour la voix sur IP fait que le cryptage soit une ncessit. La scurisation de la VoIP est la protection des personnes qui sont interconnect. IPsec peut tre utilis pour raliser deux objectifs. Garantir l'identit des deux points terminaux et protger la voix une fois que les paquets quittent l'Intranet de l'entreprise. VOIPsec (VoIP utilisant IPsec) contribue rduire les menaces, les sniffeurs de paquets, et de nombreux types de trafic vocal analyze . Combin avec un pare-feu, IPsec fait que la VOIP soit plus sr
Page | 40
quune ligne tlphonique classique. Il est important de noter, toutefois, que IPsec n'est pas toujours un bon moyen pour certaines applications, et que certains protocoles doivent continuer compter sur leurs propres dispositifs de scurit. 3.1.1 VoIP VPN
Un VPN VoIP combine la voix sur IP et la technologie des rseaux virtuels privs pour offrir une mthode assurant la prservation de la prestation vocale. Puisque la VoIP transmet la voix numrise en un flux de donnes, la solution VPN VoIP semble celle la plus appropri vu quelle offre le cryptage des donnes grces a des mcanismes de cryptages, puisquelle permet doffrir lintgrit des paquets VoIP. Cryptage aux points terminaux Vu que notre objectif est dassurer la confidentialit et lintgrit des clients, le mo de choisie est donc le mode tunnel. Puisquil scurise le paquet comme un tout (contrairement en mode transport qui ne scurise que le payload IP). Le mode tunnel se base sur lencapsulation de tout le paquet IP et ajoute un nouvel entte pour lachemineme nt de ce dernier. Ce mode est gnralement utilis pour les routeur-to-routeur. En plus du mode tunnel, on choisi le protocole ESP qui lui a son tour va assurer le cryptage des donnes et donc la confidentialit contrairement au protocole AH qui lui ne per met que lauthentification des paquets et non le cryptage. Dans ce cas, la solution quon propose est ESP mode tunnel qui sera appliqu uniquement sur les points de terminaison la voix IP, cest -a-dire le routeur. Ceci nous permettra donc de minimiser le nombre de machines qui seront impliques dans le traitement engendr par la scurit. De plus le nombre des cls ncessaires sera rduit. 3.1.2 Secure RTP ou SRTP SRTP est conu pour scuriser la multiplication venir des changes multimdias sur les rseaux. Il couvre les lacunes de protocoles de scurit existants comme IPsec (IP Security), dont le mcanisme d'changes de cls est trop lourd. Il aussi est bti sur le protocole temps rel RTP (Real Time Transport Protocol). Il associe aussi une demi-douzaine de protocoles complmentaires. Il est donc compatible la fois avec des protocoles d'initiation de session de voix sur IP tel que SIP (Session Initiation Protocol), ainsi que le protocole de diffusion de contenu multimdia en temps rel RTSP (Real Time Streaming Protocol). Mais, surtout, il s'adjoint les services du protocole de gestion de cl MIKEY (Multimedia Internet KEYing).
Page | 41
Service de scurits offertes par SRTP Les principaux services offerts par SRTP sont : Rendre confidentielles les donnes RTP, que ce soit len-tte et la charge utile ou
seulement la charge utile. Authentifier et vrifier lintgrit des paquets RTP. Lmetteur calcule une empreinte du
message envoyer, puis lenvoie avec le message mme. La protection contre le rejeu des paquets. Chaque rcepteur tient jour une liste de tous
les indices des paquets reus et bien authentifis. Principe de fonctionnement de SRTP Avec une gestion de cl approprie, SRTP est scuris pour les applications unicast et multicast de RTP. En thorie, SRTP est une extension du protocole RTP dans lequel a t rajoute des options de scurit. En effet, il a pour but doffrir plusieurs implmentations de cryptographie tout en limitant loverhead li lutilisation des chiffrements. Il propose des algorithmes qui monopoliseront au minimum les ressources et lutilisation de la mmoire. Surtout, il permet de rendre RTP indpendant des autres couches en ce qui concerne lapplication de mcanismes de scurit. Pour implmenter les diffrents services de scurit prcits, SRTP utilise les composants principaux suivants : Une cl matresse utilise pour gnrer des cls de session; Ces dernires seront utilises pour chiffrer ou pour authentifier les paquets. Une fonction utilise pour calculer les cls de session partir de la cl matresse. Des cls alatoires utilises pour introduire une composante alatoire afin de contrer les ventuels rejeu ou effets de mmoire. SRTP utilise deux types de cls : clef de session et clef matresse. Par clef de session nous entendons une clef utilise directement dans les transformations cryptographiques; et par clef matresse , nous entendons une chane de bit alatoire partir desquelles les clefs de sessions sont drives par une voie scuris avec des mcanismes cryptographiques.
Page | 42
Format du paquet SRTP Un paquet SRTP est gnr par transformation dun paquet RTP grce des mcanismes de scurit. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant quils ne soient sur le rseau. La figure suivante prsente le format dun paquet SRTP
Figure 9 : Format d'un paquet SRTP On remarque que le paquet SRTP est ralis en rajoutant deux champs au paquet RTP : SRTP MKI (SRTP Master Key identifier) : sert re-identifier une clef matresse particulire dans le contexte cryptographique. Le MKI peut tre utilis par le rcepteur pour retrouver la clef primaire correcte quand le besoin dun renouvellement de clefs survient. Authentication tag : est un champ insr lorsque le message a t authentifi. Il est recommand den faire usage. Il fournit lauthentification des en-ttes et donnes RTP et indirectement fournit une protection contre le rejeu de paquets en authentifiant le numro de squence.
3.2 Scurisation de lapplication

Plusieurs mthodes peuvent tre appliques pour scuriser l'application, ces mthodes varient selon le type d'application (serveur ou client). Pour scuriser le serveur il faut : Lutilisation dune version stable, Il est bien connu que toute application non stable
contient surement des erreurs et des vulnrabilits. Pour minimiser les risques, il est impratif d'utiliser une version stable. Tester les mises jour des softwares dans un laboratoire de test. Il est trs important de
tester toute mise jour de l'application dans un laboratoire de test avant de les appliquer sur le systme en production Ne pas tester les correctifs sur le serveur lui-mme:
Page | 43
Ne pas utiliser la configuration par dfaut qui sert juste tablir des appels. Elle ne
contient aucune protection contre les attaques. Ne pas installer une application client dans le serveur. Certains paramtres doivent tre appliqus de manire slective. Ces paramtres renforcent la scurit de lapplication, on peut les activer ou les interdire sur la configuration gnrale de lapplication, comme on peut juste utiliser les paramtres ncessaires pour des clients bien dtermin et selon le besoin bien sr. Ces paramtres protgent gnralement contre le dnie de service et ces diffrentes variantes. Il est conseiller dutiliser les paramtres qui utilise le hachage des mots de passe, et cela assure la confidentialit.
3.3 Scurisation du systme dexploitation

Il est trs important de scuriser le systme sur lequel est implment le serveur de VoIP. En effet, si le systme est compromis, lattaque peut se propager sur lapplication serveur. Celle ci risque daffecter les fichiers de configuration contenant des informations sur les clients enregistrs. Il y a plusieurs mesures de scurits prendre pour protger le systme dexploitation : utiliser un systme dexploitation stable. Les nouvelles versions toujours contiennent des
bugs et des failles qui doivent tre corrigs et matriss avant. mettre jour le systme dexploitation en installant les correctifs de sc urit
recommand pour la scurit. Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les
intrusions. Et ils ne doivent pas tre des dates de naissances, des noms, ou des numros de tlphones. Un mot de passe doit tre assez long et former dune combinaison de lettre, de chiffres et ponctuations. Ne pas excuter le serveur VoIP avec un utilisateur privilge. Si un utilisateur malveillant
arrive accder au systme via une exploitation de vulnrabilit sur le serveur VoIP, il hritera tous les privilges de cet utilisateur. Asterisk in CHROOT : empcher le serveur VoIP davoir une visibilit complte de
larborescence du disque, en lexcutant dans un environnement scuris qui lempche dinteragir librement avec le systme.
Page | 44
Sauvegarde des fichiers log distance : les fichiers log sont trs importants, il est
conseill de les enregistrer sur un serveur distant. Installer seulement les composants ncessaires : pour limiter les menaces sur le systme
dexploitation. Il vaut mieux installer sur la machine le systme dexploitation et le serveur. Supprimer tous programmes, logiciels ou des choses qui nont pas dimportance et qui
peuvent tre une cible dattaque pour accder au systme. Renforcer la scurit du systme dexploitation en installant des patches qui permettent
de renforcer la scurit gnrale du noyau. On peut aussi utiliser les pare feu ou/et les ACL pour limiter laccs des personnes bien dtermin et fermer les ports inutiles et ne laisser que les ports utiliss (5060, 5061, 4569,). Le pare feu (firewall) est un software ou hardware qui a pour fonction de scuriser un rseau ou un ordinateur contre les intrusions venant dautres machines. Le pare feu utilise le systme de filtrage de paquet aprs analyse de lentte des paquets IP qui schange entre les machines. Le firewall peut tre implment avec un ACL qui est une liste d'Access Control Entry (ACE) ou entre de contrle d'accs donnant ou supprimant des droits d'accs une personne ou un groupe. On aura besoin dACL pour donner des droits des personnes bien dtermins selon leurs besoins et leurs autorits. Pour un serveur VoIP, il est important dimplmenter les ACL pour scuriser le serveur en limitant laccs des personnes indsirables. Par exemple , seuls les agents enregistrs peuvent envoyer des requtes au serveur. Il existe trois catgories dACL : La liste de contrle daccs peut tre installe en rseau sur les pare feu ou les routeurs, mais aussi ils existent dans les systmes dexploitatio n.
Page | 45
Conclusion
La voix sur IP devient jour aprs jour plus cibl. Il existe plusieurs autres attaques qui menace la scurit du VoIP, les attaques cit dans ce chapitre sont les plus fameux et courant dans les rseaux VoIP. Mais en suivant certaines bonnes pratiques parmi les cits, on peut crer un rseau bien scuris.
Page | 46
Chapitre 3 Installation et configuration dune solution de VoIP base sur loutil Asterisk
Page | 47
Introduction
Asterisk est un autocommutateur tlphonique prive (PABX) open source pour les systmes dexploitation UNIX, il est publi sous licence GPL. Asterisk comprend un nombre trs lev de fonctions, tel que les appels tlphoniques, la messagerie vocale, les fils dattentes, les confrences, etc. Il implmente plusieurs protocoles H.320, H.323, SIP et IAX. Durant ce chapitre, on montrera les tapes dinstallation et de configuration dAsterisk sous le systme dexploitation Linux, ainsi que linstallation et la configuration de X -Lite qui est un tlphone VoIP softphone, freeware.
1. Architecture du rseau VoIP dploy

La figure 10 montre larchitecture adopte au cours de la configuration de la solution de VoIP base dAsterisk
Page | 48
Figure 10 : Architecture du rseau VoIP raliser
Les deux clients SIP : Sont des machines sur lesquelles install le systme dexploitation
linux et un client X-Lite. Poste attaquant : Dans le quel on a install Windows XP pour raliser les attaques. Machine serveur : Sur laquelle install un systme dexploitatio n Linux Centos , et le
serveur de VoIP, Asterisk. Firewall : Un firewall software est install dans la machine serveur pour limiter laccs.
2. Installation dAsterisk 1.4

Avant dinstaller Asterisk, il faut prparer le systme sous lequel on installera notr e serveur. Pour cela, il faut installer tout dabord les pr-requis ncessaires.
2.1
Dtermination des pr-requis
Les pr-requis ncessaires pour que linstallation du serveur Asterisk saccomplit avec succs, sont classs dans un tableau ci-dessous :
Page | 49
Tableau 1 : Liste de paquetages ncessaires pour compiler asterisk et libpri
Nom du paquetage GCC 3.x Ncurses-devel
Commande dinstallation yum install y gcc yum install y ncursesdevel yum install y libtermcap-devel yum install -y kernel-devel yum install -y kernel-smp-devel yum install y gcc-c++ yum install y openssldevel yum install y zlibdevel yum install y unixODBC-devel yum install y libtool
Note Ncessaire pour compiler zaptel, libpri, et asterisk Ncessaire pour menuselect
libtermcap-devel Kernel Development Headers Kernel Development Headers (SMP) GCC C++ 3.x OpenSSL (optionnel)
Ncessaire pour asterisk
Ncessaire pour compiler zaptel
Ncessaire pour compiler zaptel Ncessaire pour asterisk Dpendance de OSP, IAX2 encryption, res_crypto (RSA key support) Ncessaire pour asterisk Dpendance de DUNDi Ncessaire pour asterisk Dpendance de func_odbc, cdr_odbc, res_config_odbc, res_odbc, ODBC_STORAGE Dependence de ODBC-related modules
zlib-devel (optionnel) unixODBC; unixODBCdevel (optionnel) Libtool (optionnel; recommand) GNU make (version 3.80 ou plus)
yum install y make
Ncessaire pour compiler zaptel et asterisk
Le meilleur chemin pour obtenir le code source dAsterisk et ces paquetages est de les tlcharger partir du site web www.asterisk.org. On peut aussi les tlcharger directement du serveur de Digium.
2.2
Tlchargement des codes sources
Voil les lignes de commandes ncessaires pour le tlchargement dAsterisk et libpri identifie lurl. Aprs on tlcharge via la commande wget # cd /usr/src/ # wget http://downloads.digium.com/pub/asterisk/asterisk-1.4-current.tar.gz
Page | 50
# wget http://downloads.digium.com/pub/libpri/libpri-1.4-current.tar.gz # wget http://downloads.digium.com/pub/zaptel/zaptel-1.4-current.tar.gz
2.3
Extraction des paquetages
Les paquetages tlchargs sont des archives compresss qui contiennent le code source, on aura besoin de les extraire, en utilisant la commande tar, avant de les compiler. # cd /usr/src/ # tar zxvf zaptel-1.4-current.tar.gz # tar zxvf libpri-1.4-current.tar.gz # tar zxvf asterisk-1.4-current.tar.gz
2.4
Compilation et installation:
Le Zaptel est un noyau chargeable qui prsente une couche d'abstraction entre le matriel et les pilotes de Zapata dans le module Asterisk. # cd /usr/src/zaptel-1.4 # make clean #./configure #make menuselect #make # make install =accs au dossier du Zaptel =supprime les fichiers inutiles aprs installation. =construction dun nouveau fichier makefile. =execution de la partie menuselect dans le fichier make file =compilation du code source =execution de la partie install dans makefile.
Makefile est un fichier qui contient les instructions excuter partir des commandes, ./configure, make, make install, make config, etc. chacune de ces commandes excute le code appropri elle dans ce fichier.
Page | 51
Libpri est utilis par les dcideurs du multiplexage temporel (TDM) des appareils VoIP, mais mme sil ny a pas le matriel install, il est conseill de compiler et installer cette bibliothque. Elle doit tre compil et install avant Asterisk, car elle sera dtect et utilis lorsquAsterisk est compil. # cd /usr/src/libpri-1.4 # make clean # make # make install Asterisk est un serveur de tlphonie open-source permettant de disposer sur un simple PC les fonctions rserves aux PABX professionnel.
# cd /usr/src/asterisk-1.4 # make clean #. /configure # make menuselect # make install # make samples Dans le cas o on voudrait bien lancer zaptel et le serveur asterisk au dmarrage du systme, il faut excuter aprs la compilation et linstallation des paquetages la commande suivante : # make config cette commande charge le serveur Asterisk au dmarrage du systme
Ainsi Asterisk est install il suffit maintenant de lancer le serveur et de se connecter la console CLI (Command Line Interface) via la commande :
Page | 52
# asterisk r
3. Configuration dAsterisk
3.1 Identification des fichiers de configuration
Une fois linstallation dAsterisk est effectue, plusieurs fichiers sont crs : /usr/sbin/ : Contient le fichier binaire d'Asterisk (programme principal). /usr/lib/asterisk/ : Contient les fichiers binaires qu'Asterisk utilise pour fonctionner. /usr/lib/asterisk/modules/ : Contient les modules pour les applications, les codecs, et les drivers. /var/lib/asterisk/sounds/ : Contient les fichiers audio utiliss par Asterisk, par exemple pour les invites de la boite vocale. /var/run/asterisk.pid : Fichier contenant le numro du processus Asterisk en cours. /var/spool/asterisk/outgoing/: Continent les appels sortants d'Asterisk. /etc/asterisk/ : Contient tous les fichiers de configuration. Le dernier dossier nous intresse vu quil contient les fichiers de configuration du serveur Asterisk, parmi ces fichiers on trouve : agents.conf: Contient la configuration de lutilisation des agents, comme dans le cas dun centre dappel. Ceci nous permet de dfinir les agents et de leurs assigner des ID et des mots de passe. asterisk.conf: Dfinit certaines variables pour lutilisation dAsterisk . Il sert
essentiellement indiquer Asterisk o chercher certains fichiers et certains programmes excutables. extensions.conf: Configure le comportement dAsterisk. Cest le fichier qui nous intresse le plus dans ce travail. iax.conf: Configure les conversations VoIP en utilisant le protocole Inter-Asterisk Exchange (IAX).
Page | 53
rtp.conf: Ce fichier de configuration dfinit les ports utiliser pour le protocole RTP (Real-Time Protocol). Il faut noter que les numros lists sont des ports UDP. sip.conf: Dfinit les utilisateurs du protocole SIP et leurs options. On peut aussi dfinir d'autres options globales pour SIP telles que, quels ports utiliser et les timeout qu'on va imposer. Nous focalisons sur ce fichier puisque notre solution est base sur le protocole SIP. zapata.conf: Configure les paramtres de l'interface tlphonique Zapata.
3.2 Configuration des comptes users

Les deux fichiers configurer sont sip.conf et extensions.conf. Dans le fichier sip.conf, on crera des utilisateurs utilisant le protocole sip pour ltablissement de la connexion, voil les deux clients que nous avons cre au niveau du fichier : [100] type=friend secret=100 host=dynamic (spcifie le type dutilisateur) (mot de pass) (spcifie une adresse IP par laquelle lut ilisateur peut acceder son compte) defaultip=192.168.254.29 dtmfmode=rfc2833 context=sip callerid=100<1111> [200] type=friend secret=200 host=dynamic (spcifie le type dutilisateur) (mot de passe) (spcifie une adresse IP par laquelle lutilisateur peut accder son compte) defaultip=192.168.254.132 (adresse IP du client)
Page | 54
(adresse IP du client)
(spcifie le type de routage utiliser) (identifiant dutilisateur)
dtmfmode=rfc2833 context=sip callerid=200<1113> (spcifie le type de routage utiliser) (identifiant dutilisateur)
Passant maintenant la configuration du fichier extensions.conf
3.3 Configuration des extensions

[sip] (il faut saisir le nom du context entre crochet)
exten=>1111,1,Dial (SIP/100,20,tr) (20 est la dure en seconde de lattente avant la dcrochage si pas de rponse) exten=>1113,1,Dial (SIP/200,20,tr) Si lappelant compose le numro 1111, il est mit en relation avec le poste dont le numro est 1111 qui utilise le protocole SIP. Il existe dautres options quon peut ajouter dans le fichier extensions.conf, telles que la bote vocale et le renvoi dappel. La syntaxe du fichier est sous le format suivant : Exten= extension, priorit, commande (paramtre) Extension : Cest gnralement le numro de tlphone ou le nom du client. Priorit : Cest un numro qui indique la priorit de la commande, le serveur prend en
considration la priorit de la commande en utilisant le numro inscrit dans la syntaxe. Commande : Cest la commande qui peut exister, comme la commande dial (appel),
voicemail (bote vocale), etc. On peut utiliser plusieurs options pour un seul numro dappel, on peut mettre par exemple un transfert dappel vers un autre numro ou vers la boite voca le selon des priorits. exten => 123,1,Answer exten => 123,2,Playback(rpondeur) exten => 123,3,Voicemail(9) (9 est le numro de la bote vocale)
Page | 55
exten => 123,4,Hangup Dans chaque ajout ou modification dun client, il faut mettre jour le serveur Aste risk en utilisant les commandes suivantes : Localhost*CLI> sip reload Localhost*CLI> dialplan reload Localhost*CLI> reload
4. Installation et configuration de X-Lite

X-Lite est un freeware, son utilisation est simple, il est disponible pour les diffrents systmes dexploitation Windows, Mac and Linux sur le site de lditeur CounterPath1.
4.1 Installation de X-Lite

Linstallation sous Windows est classique, mais pour linux, il faut dcompresser le fichier, accder au rpertoire et lancer lexcutable, comme indiquer ci-dessous : # tar -zxvf X-Lite_Install.tar.gz # cd xten-xlite # chmod +x xtensoftphone # ./xtensoftphone (lancement du logiciel X-Lite) (dcompression du dossier X-Lite avec la commande tar) (accs au dossier)
4.2 Configuration de X-lite

Pour configurer le client X-Lite lutilisateur 100 et aussi 200 doivent accder au menu Sip Account Setting puis de ce menu vers le sous menu Sip Account. Dans la fentre qui souvre, il suffit de remplir les champs illustr suivant des deux util isateurs : Lutilisateur 100 : Identifiant affich pour lutilisateur (Display Name) : 100
http://www.counterpath.com/index.php?menu=download
Page | 56
Identifient servant a loguer lutilisateur (User Name) : 100 Mot de passe associ (User Name) : 100 Nom sous lequel lautorisation daccs est possible (Authorizatio n user) : 100 Nom de domaine (Domain) : 192.168.254.129
Figure 11 : Configuration du compte du client 100 Il est noter quafin que lauthentification soit possible, ces valeurs doivent tre conformes celles saisies dans le fichier sip.conf du serveur Asterisk. Une fois la configuration est acheve, le softphone se connectera automatiquement au serveur et senregistrera. Un message Logged in saffichera, indiquant que les communications sont dsormais possibles. Sinon, un message derreur exp lique le motif qui a fait chouer le processus.
Page | 57
Conclusion
Ouvert tous, gratuit et simple dutilisation. Asterisk a de quoi simposer. Ces vrais concurrents sont plutt les PBX Hardware. Qui sont chers mais performant et fiable. Les solutions libres peuvent fournir les outils les plus performants et les mieux documents sans procurer un mme service relationnel.
Page | 58
Chapitre 4 Scurisation de la solution mise en place
Page | 59
Introduction
Aprs avoir tudi les protocoles de la VoIP, identifi les attaques qui menacent les systmes de VoIP et les bonnes solutions afin de scuriser le serveur Asterisk. Nous allons nous intresser dans ce chapitre aux techniques, mcanismes et configurations mettre en place dans le but de scuriser la solution VoIP base sur le serveur Asterisk. Ce chapitre se compose de deux grandes parties. Dans la premire, nous utiliserons deux logiciels dattaques, Wireshark et SiVus, et nous expliquerons comment ils fonctionnent. Nous prsenterons des scnarios dattaques raliss par ces deux logiciels. Dans la deuxime partie, nous montrerons les solutions implmentes pour scuriser la solution dploye.
1. Localisation des serveurs VoIP

Toute bonne attaque VoIP commence par une tape qui tablit le profil de la cible connu sous le nom profiling ou encore foot printing. Une empreinte englobe les informations sur la cible qui dploie le serveur VoIP et ces paramtres de scurit. Il existe plusieurs mthodes pour la collecte des informations en voici quelques unes des plus utilises :
1.1.
Utilisation des serveurs Whois
Les whois sont des services proposs gratuitement en ligne permettant dobtenir des informations sur un domaine particulier, sur une adresse de messagerie. Grce ses bases de donnes comme : Whois.ripe.net : soccupe dattribuer des adresses IP pour lEurope. Whois.apnic.net : attribue les adresses IP pour lAsie.
Page | 60
Whois.nic.mil : attribue les adresses IP des systmes militaires amricains.
1.2.
Utilisation des aspirateurs de sites
Si la cible a un site, le pirate doit le parcourir la recherche dadresses emails, de compte et mots de passes ou dautres informations prcises. Parcourir le code source peut aussi recenser des informations qui pourraient permettre de remonter aux sources. Les aspirateurs de sites permettent dautomatiser ces recherches
1.3.
Utilisation des moteurs de recherches et des agents intelligents
Un des grands avantages des moteurs de recherches Internet est leurs normes potentiels pour dcouvrir les plus obscurs des dtails sur l'Internet. L'un des plus grands risques pour la scurit est aujourd'hui lnorme potentiel des moteurs de recherche pour dcouvrir les dtails sur l'Internet. Il existe une varit de faons quun hacker peut exploit er en utilisant simplement les fonctionnalits avances d'un service tel que Google. Le ciblage des catgories suivantes des rsultats de recherche peuvent souvent fournir de riches dtails sur la solution VoIP dploye par un organisme: Vendeur de produit VoIP, les communiqus de presse et des tudes de cas CV de ladministrateur ou liste de rfrences des vendeurs Les forums
1.4.
Balayage (Scan) des rseaux VoIP
Pour pouvoir identifier chaque composante du rseau, il faut dchiffrer et comprendre un bon nombre de paquets afin de reconnaitre par exemple leur adresse IP et son ID. Dautant plus quun rseau VoIP ne se limite pas quelques clients et un serveur Asterisk. Les serveurs TFTP par exemple sont dune ncessit pour un attaquant afin de retrouver les fichiers de configurations des tlphones IP pour leur usurper leurs identits par exemple. Afin de scanner un rseau, loutil ncessaire pour cela est un scanner de rseau (sniffer en anglais). Cest un logiciel permettant de dcouvrir les quipements pr sents sur un rseau et les services quil offre. Le scanner est souvent utilis par les administrateurs rseau au cours de test de scurit. Son principe de fonctionnement est de tester chaque adresse IP et chaque port TCP
Page | 61
ou UDP afin de vrifier la prsence d'un serveur ou d'un quelconque quipement fonctionnant en TCP/IP. Dans le cadre de notre projet on va se limiter seulement au sniffing des paquets au niveau du serveur et des clients VoIP. Pour cela on aura besoin des outils adquats pour effectuer cette opration. Parmi les logiciels les plus connues en matire de sniffing dans un rseau bas sur la VoIP sont Wireshark Vomit et SiVus.
2. Les logiciels dattaques

2.1 Wireshark
Wireshark est un logiciel libre d'analyse de protocole, utilis dans le dpannage et l'analyse de rseaux informatiques, le dveloppement de protocoles, l'ducation et la rtroingnierie, mais aussi le piratage. Cest l'analyseur rseau le plus populaire du monde. Cet outil extrmement puissant fournit des informations sur des protocoles rseaux et applicatifs partir de donnes captures sur un rseau. Lutilisation de Wireshark dans notre projet est pour la dtection des vulnrabilits dans le rseau VoIP. Nous essayerons de capturer les paquets qui circulent pour dterminer quelques informations telles que les adresses IP, les numros de ports, et dautres informations qui servent au piratage (vol didentit, dnie de service, etc.). Ainsi que nous pouvons couter une communication entre deux clients en dcodant les paquets RTP (coute clandestine). 2.1.1 Captures de trames
Nous avons plac Wireshark dans une 3me machine qui va jouer le rle de lattaquant. Elle va sniffer tous le trafic circulant dans notre rseau local. Nous avons lanc au dbut la capture des trames ensuite on a initialis une connexion entre deux clients, 200 ayant comme adresse IP 192.168.254.132 et 100 ayant comme adresse IP 192.168.254.129. Voil le rsultat de la capture :
Page | 62
Figure 12 : Ecran de capture Wireshark Comme nous pouvons le voir dans la figure 12, la conversation entre ces deux htes a t capture. La fentre principale de Wireshark comprend deux grandes parties. Dans la premire partie, nous voyons les diffrentes tapes de connexion entre les deux clients. Dans la deuxime
Page | 63
partie, celle la plus intressante, nous pouvons lire le contenue des paquets et donc collecter des informations trs indispensables pour effectuer une bonne attaque.
Figure 13 : Exemple de paquet qui contient une requte INVITE Voil en plus grand, dans la figure 13, le paquet que nous avons choisi pour examiner. Celui-ci est un paquet utilisant le protocole SIP contenant une requte INVITE. Cette requte contient des informations indispensables dans le cas o nous voulons effectuer une attaque base sur le protocole SIP. Par exemple dans le cas o nous voulons excuter une attaque de type DoS en utilisant le protocole SIP, nous aurions besoin de connaitre le user agent. Dans cet exemple il
Page | 64
nest autre que le serveur Asterisk, ladresse SIP de notre victime, son identit et dautres paramtres. 2.1.2 Dmonstration de lattaque clandestine avec Wireshark
Nous utilisons Wireshark dans cette sous-section pour conduire lattaque dcoute clandestine. Cette attaque consiste capturer les trames circulant entre deux machines effectuant une conversation VoIP, et dcoder par la suite les paquets afin dcouter la conversation effectue.
Page | 65
Le principe est le suivant. Un client nomm 100 ayant comme adresse IP 192.168.254.128 va appeler le client nomm 200 ayant comme adresse 192.168.254.132. Il faut savoir que ces deux clients utilisent un serveur Asterisk qui a t pralablement configur pour effectuer leurs appels. Avant cet appel, il faut tout dabord activer Wireshark afin de sniffer le trafic. puisquelle nest pas configure dans les fichiers de ce dernier. dappel, la signalisation et le transport des paquets. A la fin de lappel, nous aurions sniff tous les paquets dont nous aurions besoin pour lcoute clandestine, les paquets les plus importants sont ceux bass s ur le protocole RTP vu quils contiennent les conversations audio entre les deux clients comme lindique la figure 14 : Il est install sur une troisime machine qui nest pas autoris passer des appels travers le serveur Asterisk Toutes ces machines
sont installes sous le mme rseau. Durant la capture nous pouvons voir les diffrentes phases
Figure 14 : Capture dune communication tlphonique Aprs avoir identifi les paquets RTP, nous allons maintenant procder au dcodage de lappel. Dans le menu de Wireshark, nous cliquons sur le bouton Statistics , puis ensuite le bouton VoIP Calls comme lindique la figure 15.
Page | 66
Figure 15 : Dcodage: Bouton VoIP Calls Une deuxime fentre souvre (voir figure 16) contenant les communications dans les deux sens, du client 192.168.254.128 vers 192.168.254.132, et inversement.
Figure 16 : Communication tlphonique dtects
Page | 67
Nous choisissons une des communications dtectes et nous cliquons sur le bouton Player , une fentre RTP Player souvre pour le dcodage (figure 17). nous cliquons sur Decode pour que lopration commence.
Figure 17 : Fentre RTP Player Maintenant que le dcodage a abouti nous pouvons aussi voir sur la figure 18 que le son est dcod et quil est prt tre cout. Pour lcoute, il faut choisir le parcours de la communication, plus prcisment, il faut choisir la direction de la communication. Nous avons choisi ici dcouter la communication qui se dirige de ladresse IP192.168.254.128 vers ladresse IP 192.168.254.132. La communication est de dure 17,26 s.
Figure 18 : Communication tlphonique dcod
Page | 68
2.2
Le logiciel SiVus
SiVus, est un scanner de vulnrabilits pour les rseaux VoIP utilisant le protocole SIP mais aussi un logiciel de capture de trames. Les administrateurs et les installeurs de rseaux VoIP lutilisent pour tester lefficacit du rseau. Cest un logiciel tournant sur les deux systmes dexploitation, Linux et Windows. Pour tester la scurit du serveur Asterisk, il faut installer SiVus avec Wireshark, qui aidera rcolter des informations pour gnrer des requtes de diffrents types (INVITE, BYE, CANCEL). SiVus, est un gnrateur dattaques de dnie de service. Pour pouvoir tlcharger SiVus, il faut senregistrer au site Vopsecurity2 et y accder. Plusieurs versions existent sur le site dont la meilleure est la version 1.09 tant donn sa stabilit. Linstallation est simple mais pour que SiVus fonctionne, il faut disposer du java runtime Enviroment (version suprieure 1.4). 2.2.1 Utilisation de SiVus
SiVus se compose de 4 principaux sous menus dans le menu SIP: Component Discovery: sert dcouvrir les machines qui se trouvent dans un rseau
VoIP, et dterminer sur quel port elles sont connectes et quel protocole elles utilisent. SIP Scanner: contient lui aussi des sous menus. Le premier sert crer une configuration
au choix (les ports scanner, les protocoles utiliss, les adresses IP ou la plage dadresse IP. Le deuxime sert lancer la configuration cre et enregistre, et voir quelles sont les vulnrabilits existantes, afin quun attaquant puisse lutiliser. Utilities: Ce troisime sous menu, contient lui aussi deux sous menus, le premier est un
gnrateur de requtes. Nous remplissons les champs ncessaires aprs avoir collect les informations laide de Wireshark. Nous choisissons la mthode aprs avoir scann le rseau et savoir quelles mthodes est vulnrable. Nous lanons le message en appuyant sur START
www.vopsecurity.org, portail sur la scurit
Page | 69
Le deuxime sous menu de Utilities est authentication analysis , cest un analyseur dauthentification, il permet de dterminer les mots de passe par exemple. SIP HELP : cest le sous menu de laide, il contient des exemples de diffrents messages SIP qui peuvent tre envoy, le RFC de SIP et quelques liens qui expliquent en dtail le protocole SIP.
Figure 19 : SiVus : fentre de gnration de message La figure 19, montre un exemple de message gnr. Pour gnrer un message, il faut tout dabord choisir une mthode, il faut aussi changer les paramtres se trouvant dans le corps du message avec les paramtres que lattaquant collect propos de la victime.
Page | 70
2.2.2
Attaque ralise par SiVus : DOS de type BYE
Le logiciel SiVus permettra deffectuer un type dattaque trs frquent sur les rseaux VoIP. Cette attaque nest autre que DoS. Un attaquant va essayer de crer un dni de service auprs du serveur Asterisk. Pour cela il utilisera le protocole SIP et plus exactement les requtes de types BYE, et les enverra successivement de manire frquente. Ainsi il est possible de monopoliser les ressources du serveur Asterisk. Comme le nombre de connexions est la plupart du temps limit, le serveur n'accepte plus de nouveaux clients. Il est donc en dni de service. Le principe est le suivant, un serveur Asterisk est implment sur une machine dans un rseau local ayant pour adresse IP 192.168.254.128 avec deux autres machines qui sont 200 ayant comme adresse IP 192.168.254.132 et 100 ayant comme adresse IP 192.168.254.128 et une quatrime machine qui va jouer le rle de lattaquant ayant comme adresse IP 192.168.254.131. Tous dabord, lattaquant va scanner le rseau et plus particulirement le protocole SIP afin de dterminer ses failles. Cette tape est po ssible grce loutil SiVus qui contient un SIP SCANNER. Voici le rsultat (figure 20).
Figure 20 : Scanne de la machine 192.168.254.128
Page | 71
Le scan montre quil y a une vulnrabilit au niveau du protocole TLS due une mauvaise configuration dans le serveur Asterisk (configuration au niveau du fichier sip.conf). Le scanner montre dautres vulnrabilits de diffrents degrs medium, High . Aprs avoir labor le scan du rseau, et extrait les donnes ncessaires de Wireshark, nous pouvons gnrer une requte de type BYE (figure 21).
Figure 21 : Gnration de message de type BYE Dans le menu du gnrateur il faut indiquer le type des requtes que nous allons utiliser, dans notre cas cest BYE. Le protocole de transport utiliser est UDP, vu que SIP est bas sur lui. Longlet Called User va permettre de cacher la vrai identit de lattaquant, c'est --dire que les requtes que va gnrer SiVus auront comme identifiant SIP les valeurs avec lesquelles on les a cre. Dans notre cas nous avons choisi le client 100 ayant pour adresse IP 192.168.254.128 et enfin le numro de port 5060 qui reprsente celui associ au protocole SIP.
Page | 72
Ensuite il faut spcifier la machine attaquer dans le champ TO . Cest la deuxime machine de notre rseau, celle du client nomm 200 . Enfin, en cliquant sur le bouton START , le message sera alors gnr, nous pouvons voir en bas du menu (figure 21) un ticket jaune Completed . Pour vrifier que lattaque a bien eu lieu, nous pouvons utiliser Wireshark pour visualiser le trafic et voir si oui ou non des requtes de type BYE ont t gnres. La figure 22 montre que les requtes de types BYE sortent de la machine de lattaquant ayant comme adresse IP 192.168.254.131 vers la machine c lient dadresse IP 192.168.254.128. Nous pouvons voir aussi que lidentit SIP relle de lattaquant a t falsifie.
Figure 22 : Message envoy par SiVus apparait dans Wireshark Le deuxime cran de Wireshark (figure 22) montre les dtails de la requte envoye par lattaquant. Celle-ci contient des informations indiquant qui a envoy cette requte. Nous pouvons voir en bas que le User Agent est SiVus Scanner.
Page | 73
3. Choix et implmentation des bonnes pratiques

Pour se protger contre les attaques ralises et mme dautres attaques similaires comme les attaques DOS, nous avons choisi un ensemble de solutions qui peuvent aider minimiser les menaces, nous ne pouvons pas dire que les solutions proposs et implments sont efficaces. Parce quil existe toujours des problmes de scurits.
3.1 Bonne pratique contre lcoute clandestine

3.1.1 Implmentation du protocole SRTP
Parmi les solutions les plus performantes et les plus faciles mettre en uvre, pour contourner lattaque de lEavesdropping ou lcoute clandestine, est limplmentation du protocole SRTP sur le serveur Asterisk. En effet, ce protocole permet de chiffrer les donnes et de les injecter dans le trafic. De cette faon une personne malveillante essayant de dcoder les paquets, ne pourra plus user de cette attaque. Il faut savoir que SRTP est une branche dAsterisk et donc on aura besoin de le rcuprer depuis le serveur SVN (subversion). Subversion est un systme de gestion de version, c'est--dire quil permet de grer la version dun fichier source ou de garder un historique de toutes ces versions. Voici les tapes suivre pour la configuration de SRTP sur Asterisk : Avant de commencer la configuration, il faut compiler et installer la librairie de SRTP LIBSRTP : # tar -xzf srtp-tarball # ./configure --prefix=/usr make rpertoire /usr) # make runtest # make install Ensuite il faut installer la librairie MINISIP libraries : # svn co -r3250 svn://svn.minisip.org/minisip/trunk minisip-trunk (commande permettant de rcuprer une rvision ainsi que ses mtadonnes depuis le dpt) # cd minisip-trunk
Page | 74
(dcompression des paquetages) (installation des composants binaires de la librairie dans le
Une rvision est une instance dun fichier un moment donn. Une mtadonne est une donne servant dfinir ou dcrire une autre donne Ensuite il faut installer et compiler libmutil : Mais d'abord il faut lancer le script de dmarrage pour gnrer le script de configuration. # cd libmutil # libmutil$ ./bootstrap (charger la librairie dans le rom)
Ensuite il faut compiler le code source de libmutil et l'installer: # libmutil$ ./configure --prefix=/usr dans le rpertoire /usr) # libmutil$ make # libmutil$ make install Aussi il faut compiler et installer les librairies, libmnetutil, libmcrypto, libmikey. La compilation et installation de ces librairies se fait de la mme faon que la librairie libmnetutil: # cd ../libmnetutil # libmnetutil$ ./bootstrap # libmnetutil$ ./configure --prefix=/usr des composants binaires de la librairie dans le rpertoire /usr) # libmnetutil$ make # libmnetutil$ make install Passons maintenant la configuration dAsterisk en lui ajoutant les correctifs et les fichiers ncessaires ainsi que lajout du module SRTP dans le menu dAsterisk. # svn checkout -r61760 # cd asterisk-trunk #wget http://bugs.digium.com/file_download.php?file_id=13837&type=bug
Page | 75
(installation des composants binaires de la librairie
(charger la librairie dans le rom) (installation
http://svn.digium.com/svn/asterisk/trunk asterisk-trunk
(Tlcharger un fichier depuis cette url) # patch -p1 < ast_srtp_r61760_mikey_r3250.patch serveur Asterisk) # ./bootstrap.sh (compilateur permettant de lancer le compilateur de configuration du menu dAsterisk) # ./configure # make menuselect (vrifier res_srtp dans "resource modules") # make # make install Ensuite il faut configurer les fichiers sip.conf et extensions.conf: extensions.conf [main] Le fichier permettant le routage doit tre au courant que nous allons utiliser le protocole SRTP pour cela nous devons rajouter cette option dans le fichier. Il faut aussi crer un test sur le port 7 appel port echo qui permettra de trouver les causes des problmes lis a la piles TCP / IP dans le cas ou il ya des problmes de connexion. Cette configuration sapplique lutilisateur ayant pour numro 1111 (utilisateur 100 ). Dans cet exemple SRTP est utilis optionnellement : # exten => 1111,1,Set(_SIPSRTP=optional) (lutilisation de SRTP est optionnel) (activer le cryptage) (lapplication dun patch sur le
# exten => 1111,2,Set(_SIPSRTP_CRYPTO=enable) # exten => 1111,3,Playback(demo-echotest) si oui ou non la connexion a eu lieu) # exten => 1111,4,Echo # exten => 1111,5,Playback(demo-echodone)
(cration dun test echo permettant de savoir
(faire le test echo) (si le test echo a russi cette option nous
permettra dcout le son quon a crer pour le test ) # exten => 1111,n,hangup
Page | 76
Cette configuration sapplique lutilisateur ayant pour numro 1113, cest donc lutilisateur 200 : # exten => 1113,1,Set(_SIPSRTP=require) (lutilisation de SRTP est requise) # exten => 1113,2,Set(_SIPSRTP_MIKEY=enable) # exten => 1113,3,Playback(demo-echotest) # exten => 1113,4,Echo # exten => 1113,5,Playback(demo-echodone) # exten => 1113,n,hangup sip.conf Dans ce fichier loption modifier dans les paramtres des clients est la suivante : context=main (et non plus SIP le main fait rfrence la configuration que nous venons de crer dans le fichier extensions.conf et donc le routage choisi) Pour finir voici quelques remarques prendre en considration dans le cas o nous voulons utiliser SRTP avec le serveur Asterisk : MIKEY ne prend pas en charge le cryptage en option. L'appel ne peut pas slectionner la mthode de cryptage 3.1.2 Mise en place de la solution VPN Autre solution pour crypter le trafic dans notre rseau, est limplmentation dun VPN au sein des machines utilises pour la VoIP. Comme nous lavons vu prcdemment un VPN permet de vhiculer du trafic crypt grce des cls de cryptage ce qui rend leur dchiffrage presque impossible par une tierce partie. Un VPN permettra donc de contourner les attaques dcoute clandestine. Loutil que nous avons choisi pour la mise en place dun VPN est OpenVPN. C est un logiciel open source permettant de crer un rseau virtuel bas sur SSL. Il peut tre utilis afin de relier deux rseaux ou plus via un tunnel chiffr travers lInternet. Par ailleurs,
Page | 77
OpenVPN nutilise pas de protocole de communication standard. Il faut donc utiliser un client OpenVPN pour se connecter un serveur OpenVPN. Installation dOpenVPN Linstallation dOpenVPN se fait grce la commande suivant e : # yum install y openvpn (loption y permet daccepter linstallation directement, linstallation avec yum nous permet dinstaller les dpendances du logiciel automatiquement) Gnrations des certificats Maintenant et aprs linstallation, il faut crer les certificats et les cls qui vont permettre aux clients et au serveur de s'authentifier mutuellement de telle sorte que personne d'autres ne puisse se connecter au VPN. Il faut se diriger vers le rpertoire o se trouve les fichiers que nous allons configurer # cd /usr/share/openvpn/easy-rsa/ Premire chose, il faut modifier les valeurs des variables d'environnement afin de ne pas avoir rpter les renseignements fournir la gnration des cls comme indiqu dans la figure 23 :
Figure 23 : Modification des valeurs des variables denvironnements

Page | 78
Aprs la modification du fichier vars, il faut nettoyer le rpertoire /keys avant la gnration des nouveaux certificats et relancer la prise en charge des nouvelles variables grce la commande suivantes : # .. /vars #./clean-all Nous passons maintenant la cration des certificats, mais tour dabord il faut commencer crer lautorit de certification en tapant la commande suivante : # . /build-ca Voici ce qui devrai ce produire lors de lexcut ion de cette commande
Figure 24 : Cration du certificat dautorit Ce certificat est le certificat racine qui va ensuite nous permettre de crer le certificat serveur et les certificats clients. Maintenant nous allons crer le certificat pour le serveur grce la commande suivante # ./build-key-server server
Page | 79
Le rsultat de lexcution de la commande est le suivant :
Figure 25 : Cration dun certificat pour le serveur Maintenant il faut crer le certificat pour le client grce la commande suivante : # ./build-key client Lexcution de cette commande affiche le rsultat suivant :
Page | 80
Figure 26 : Cration du certificat client A prsent, il reste crer les paramtres Diffie-helmann : Diffie-Hellma (D-H) est un algorithme permettant la gnration de cls secrtes travers des canaux non scuriss. La commande de cration est la suivantes : # ./build-dh Lexcution de cette commande donne le rsultat suivant (voir figure 27) :
Page | 81
Figure 27 : Cration des paramtres Diffie-helmann Nous avons maintenant l'ensemble des informations cryptographiques dont nous avons besoin pour configurer le VPN. Ensuite il faut copier l'ensemble des informations cryptographiques, que nous venons de gnrer dans le rpertoire keys, dans le rpertoire /etc/openvpn cre par dfaut l'installation dOpenVPN. La commande suivante est utilise: # cp Keys/* /etc/openvpn Cration d'un utilisateur OpenVPN Nous allons maintenant passer la cration dun utilisateur ayant des droits restreints qui sera charg de lancer le service de telle sorte que mme si nous nous font pirater la machine, lattaquant n'aura que les droits de cet utilisateur et pas avec les droits root. Il faut crer un groupe dutilisateur dans lequel nous allons affecter lutilisat eur grce la commande suivante : # groupeadd openvpn Ensuite crer lutilisateur # useradd d /dev/null s /bin/false g openvpn Configuration et lancement du serveur Il faut tous dabord copier le fichier server.conf se trouvant dans le rpertoire /usr/share/doc/openvpn-2.1/sample-config-files et le placer dans le rpertoire suivant /etc/openvpn. (le groupe quon vient de crer se nomme openvpn)
Page | 82
# cp server.conf /etc/openvpn Il faut maintenant diter ce fichier pour y positionner les variables pour la mise en place du VPN. # Vi server.conf (diter les paramtres du fichier)
Les paramtres modifier sont les suivants : Dev tun Pour pouvoir utiliser OpenVPN en mode tunnel. Server 10.8.0.0 255.255.255.0 Nous donnerons cette plage par dfaut au serveur. A chaque fois qu'un client se connectera au vpn, le serveur lui attribuera une adresse IP contenue dans cette plage. Comp-lzo Bien vrifier en bas du fichier l'utilisation de la librairie lzo pour la compression des donnes. User openvpn / group openvpn Utiliser l'utilisateur et son groupe openvpn quon a cre pour lancer le serveur. Ensuite il faut sauvegarder et lancer le service par le script contenu dans /etc/init.d. Le serveur est prt a tre utilis. Il faut maintenant passer la configuration du cot du client. Configuration du client La configuration du client est simple. Il faut tout dabord installer le client OpenVPN sur la machine. Ensuite il faut copier les fichiers suivant (Ca.crt, Client.crt, Client.csr et Client.key) qui se trouvent sous le rpertoire /etc/openvpn du cot serveur. Ensuite il faut configurer le fichier client.conf afin quil puisse reconnatre le serveur grce a lajout de la ligne suivante dans le fichier : Remote 172.16.64.26 1194 Cest ladresse du serveur et le port sur lequel va seffectuer la connexion VPN. Voila maintenant le rseau VPN est prt tre utiliser entre le serveur Asterisk et ces clients.
Page | 83
3.2 Bonne pratique contre le DOS BYE

Les bonnes pratiques contre les attaques DOS ne permettent pas aussi davoir une scurit totale mais elle limite les attaques et minimise les vulnrabilits. 3.2.1 Implmentation dun firewall Netfilter
Un firewall doit tre imprenable car sinon le rseau entier est compromis. Un firewall efficace doit possder plusieurs interfaces rseaux pour pouvoir faire un filtrage entre plusieurs zones. Dans le cadre de notre projet le firewall va nous permettre de minimiser le trafic entrant au serveur Asterisk est cela pour limiter les attaques de types DoS. En effet notre objectif est de ne laisser passer que le trafic VoIP et plus exactement les paquets bass sur le protocole SIP et le protocole RTP, qui sont utiliss par notre serveur Asterisk pour le trafic VoIP. Cest pour cela que nous avons choisi de mettre un firewall au niveau du serveur et de cette faon toutes les requtes en direction du serveur Asterisk passeront automatiquement par le firewall. La plupart des firewalls propre a la VoIP sont a titre commercial et donc non libre. IPtable est la commande permettant de paramtrer le filtre Netfilter du noyau Linux et donc de configurer le Firewall. Dans lexemple qui suit nous avons programm notre firewall pour quil puisse laisser passe seulement le trafic VoIP au niveau du serveur Asterisk et de bloquer tous le trafic restant. Voici les commandes excutes : # iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT Cette commande va permettre daccepter le trafic UDP entrant du port 5060. Ce numro de port nest autre que celui du protocole SIP. # iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT Cette commande va permettre daccepter le trafic UDP entrant du protocole RTP. Ensuite il faut attribuer une rgle par dfaut pour bloquer tous le trafic restant et qui passe par UDP : # iptables -A INPUT -p UDP -j DROP
Page | 84
En ce qui concerne le trafic TCP nous pouvons effectuer les rgles suivantes pour ne laisser passer que le trafic de synchronisation en le limitant la rception des requtes de synchronisation une requte par secondes. Ainsi nous pouvons viter les attaques de type SYN flood: # iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 3.2.2 Excuter Asterisk sous un utilisateur non privilgi :
Parmi les bonnes pratiques pour scuriser notre serveur Asterisk est de changer lutilisateur sur lequel Asterisk tourne. Le principal objectif de cette scurisation est si le serveur Asterisk est compromis au niveau de sa scurit ceci ne doit en aucun cas affecter toute la machine sur laquelle tourne le serveur. Idalement, la compromission ne devrait pas permettre d'diter les fichiers de configuration. Voici les tapes suivre pour ce changement : Tous dabord il faut arrter le service Asterisk : # /etc/init.d/asterisk stop #> Shutting down asterisk: OK
Ensuite il faut crer un utilisateur depuis lequel Asterisk va dmarrer. Nous avons choisie le nom du groupe Asterisk et comme nom dutilisateur Asterisk. # /usr/sbin/groupadd asterisk #/usr/sbin/useradd -d /var/lib/asterisk -g asterisk asterisk Ensuite il faut attribuer les droits daccs vu quAsterisk en a besoin. Les fichiers dans le rpertoire /var/spool/asterisk doivent tre la proprit de lutilisateur Asterisk et accessibles en criture. Les commandes suivantes sont celles qui ont t excutes pour le rpertoire /var/lib /asterisk. Les mmes commandes sont appliques pour les rpertoires suivant : /var/log/asterisk, /var/run/asterisk, /var/spool/asterisk, /usr/lib/asterisk et le dossier /dev/zap. # chown --recursive asterisk:asterisk /var/lib/asterisk (loption --recursive permet de modifier les permissions d'un rpertoire et de ses sous-rpertoires. Ainsi grce a la commande chown le propritaire du rpertoire /var/lib/asterisk er ses sous-rpertoires est devenue asterisk) # chmod --recursive u=rwX,g=rX, /var/lib/asterisk Asterisk a besoins de lire le rpertoire /etc/asterisk et son contenu afin de le modifier.
Page | 85
# chown --recursive root:asterisk /etc/asterisk # chmod --recursive u=rwX,g=rX, /etc/asterisk Ensuite il faut changer le rpertoire dAsterisk afin quil puisse dmarrer du nouv eau chemin cre: # cp /etc/asterisk/asterisk.conf /etc/asterisk/asterisk.conf.org # vi /etc/asterisk/asterisk.conf Modifier le chemin en changeant la ligne suivante de: astrundir => /var/run astrundir => /var/run/asterisk
Ensuite il faut activer le nouveau groupe que nous venons de crer et le nouvel utilisateur aussi: # cp /etc/init.d/asterisk /etc/init.d/asterisk.org # vi /etc/init.d/asterisk Changer la ligne suivante afin dinformer Asterisk de son nouveau utilisateur : #AST_USER="asterisk" #AST_GROUP="asterisk" AST_USER="asterisk" AST_GROUP="asterisk" Maintenant il faut redmarrer Asterisk avec les nouveaux paramtres, savoir le groupe Asterisk et le nom dutilisateur Asterisk /etc/init.d/asterisk restart asterisk -U asterisk -G asterisk Configuration des fichiers sip.conf et extensions.conf
Page | 86
Une autre bonne pratique pour mieux assurer la scurit du serveur Asterisk est de crypter le mot de passe de lutilisateur ou client . En effet grce au cryptage le mot de passe du client devient illisible dans le cas ou une personne malveillante accde au fichier sip.conf. La commande suivante permet deffectuer le cryptage : echo - n "<user>:<realm>:<secret>" | md5sum Voici un exemple pris de notre travail: echo - n "<beshir>:<asterisk>:<beshir>" | md5sum Le rsultat de hachage est le suivant: bed1e076ced1aadeba7e151240c7a955 Ce rsultat est plac la place de lancien mot de passe non crypt dans le fichier sip.conf. Nous pouvons aussi assurer la scurit du serveur en attribuent des privilges et des limites daccs au utilisateur et cela seffectue au niveau du fichier sip.conf. En effet nous pouvons limiter les attaques de types DoS en limitant les requtes dinvitation vers le serveur. Voici un exemple de configuration dun utilisateur : [general] allowguest=no Cette option permet de donner le droit ou non des utilisateurs non authentifis de senregistrer et de faire des communications. Dans notre cas on a interdit laccs toutes personnes non authentifi. allowtransfer=no Cette option permet dactiver ou de dsactiver le transfert dappel. Il existe dautres options quon peut activer au niveau des comptes des utilisateurs. Voici un exemple de lutilisateur nomm 100 :
Page | 87
[100] type=friend md5secret=bed1e076ced1aadeba7e151240c7a955 host=dynamic defaultip=192.168.254.128 canreinvite=no Cette option permet de limiter les attaques de types DoS. En effet, un utilisateur lgitime ne peut effectuer quune seule invitation durant un appel et donc il est impossible pour une personne malveillante de mettre en dni de service le serveur Asterisk avec les requtes INVITE. insecure=no Cette option permet de modifier le degr de scurit dauthentification. Pour avoir un maximum de scurit, il faut toujours la mettre en NO. Dans ce cas, le serveur interrogera toujours pour lauthentification chaque nouvelle connexion du client vers le serveur. call-limit=1 Cette option permet de limiter le nombre dappels sortant ou rentrant a un seul ce qui permet de contourner les attaques de types DoS visant le serveur Asterisk et aussi les utilisateurs. dtmfmode=rfc2833 context=sip callerid="100"<1111>
Page | 88
Conclusion
Tout au long de ce chapitre, nous avons pu voir les diffrentes attaques effectus au sein du rseau VoIP et les mesures de scurits prendre, afin de les viter. Mais il faut savoir quil est impossible davoir une scurit parfaite au niveau du rseau VoIP et gnralement sur tous les rseaux.
Page | 89
Conclusion gnrale
Lobjectif de ce projet, aprs avoir tabli des tudes sur voix sur IP et des tudes de la scurit, est de scuriser un rseau VoIP mis en place. Ltude consiste effectuer des scnarios dattaques sur le rseau et voir quelles sont les vulnrabilits existantes afin de scuriser le rseau VoIP.
Dans une premire tape, nous nous sommes intresss ltude de cette technologie avec ses diffrents protocoles et standards. Dans une deuxime tape, nous avons tudi les problmes de scurit de la voix sur IP, les attaques, les vulnrabilits sur diffrents niveaux et les bonnes pratiques possibles pour les attaques cits. Comme troisime tapes, nous avons install et configur une solution de VoIP utilisant le serveur Asterisk et de deux clients x-lite. En dernire tape, nous avons test des attaques de scurit contre la solution installe, et nous avons propos et implment des mcanismes et des protocoles pour la scuriser.
Ce projet a t une exprience fructueuse qui nous a permis de mieux sapprocher du milieu professionnel. Cette exprience nous a permis de savoir comment grer et optimiser le temps dans le but den profiter au maximum.
Page | 90
Acronyme
ACE = Access Control Entry ACL = Access Control List AH = Authentification Header ARP = Address Resolution Protocol CAN = Convertisseur analogique numrique CLI = Command Line Interface DDoS = Distributed Denial of Service DHCP = Dynamic Host Configuration Protocol DMZ = Dmilitarized Zone DNS = Domain Name System DoS = Deny of Service DTMF = Dual-Tone Multi-Frequency ESP = Encapsulated Security Payload FTP = File Transfer Protocol GSM = Global System for Mobile IETF = Internet Engineering Task Force IGMP Protocol IGRP = Interior Gateway Routing Protocol IM = Instant Message IP = Internet Protocol ISDN = Integrated Service Data Network ITU = International Telecommunications Union LAN = Local Area Network MD5 = Message Digest 5 MIKEY = Multimedia Internet KEYing MKI = Master Key identifier NAT = Network Address Translation OS = Operating System PABX = Private Automatic Branch = Internet Group Management
Communications HTTP = HyperText Transfer Protocol IAX = Inter-Asterisk eXchange IAX = Inter-Asterisk Exchange ICMP = Internet Control Message Protocol
eXchange PBX = Private Branch eXchange PSTN Network QoS = Quality of Service RFC = Requests For Comment = Public Switched Telephone
Page | 91
RNIS = Rseau Numrique Intgration de Service RTC = Rseau Tlphonique de Commut RTCP = Real-time Transport Control Protocol RTP = Real-Time Transport Protocol RTSP = Real Time Streaming Protocol SIP = Session Initiation Protocol SNMP = Simple Network Management Protocol SRTP = Secure Real-time Transport Protocol TCP = Transport Control Protocol TDM = Time Division Multiplexing TFTP = Trivial File Transfert Protocol TLS = Transport Layer Security ToIP = Telephony over Internet Protocol UAC = User Agent Client UAS = User Agent Server UDP = User Datagram Protocol URL = Uniform Resource Locator VoIP = Voice over Internet Protocol VPN = Virtual Private Network WAN = World Area Network
Page | 92
tude et Mise en place d'une Solution VOIP Scurise
Raliss par : Rebha BOUZAIDA Encadreur : Kamel KEDHIRI
Mots cls : VoIP, SIP, RTP, Asterisk, scurit VoIP
Rsum : Dans le cadre de mon projet, je me suis intresse la protection des solutions de VoIP contre les attaques de scurit. Ce travail a pour objectif : ltude des protocoles de VoIP et des architectures proposes ; ltude des vulnrabilits et des attaques de scurits sur les divers composants dune infrastructure VoIP dans des rseaux LAN ; et la mise en place une solution de VoIP scurise base sur des outils open source, prcisment le serveur Asterisk et le client X-Lite.
Page | 93
Bibliographie
[1] Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions par David Endler et Mark Collier (McGraw-Hill/Osborne 2007) [2] VoIP Hacks Tips and Tools for Internet Telephony par Theodore Wallingford (O'Reilly 2005) [3] Security Considerations for Voice Over IP Systems par D. Richard Kuhn, Thomas J. Walsh, Steffen Fries (US National Institute of Standards and Technology 2005) [4] Asterisk The future of telephony par Jim Van Megglen, Leif Madsen & Jared Smith (O'Reilly 2005) [5] Securing VoIP networks threats, vulnerabilities, and counter measures par Peter Thermos and Ari Takanen (Addison-Wesley 2007) [6] http://www.frameip.com/voip/, Voix sur IP - VoIP, par SebF (date de dernier accs : 19/01/2008) [7] http://ftp.traduc.org/doc-vf/gazette-linux/html/2003/097/lg97-C.html Configure, make, make install Linux Gazette n97 (date de dernier accs : 19/01/2008) [8] http://www.securityfocus.com/infocus/1862 two attacks against VoIP par Peter Thermos. (Date de dernier accs: 19/01/2008)
Page | 94

Étude Et Mise en Place D'une Solution VOIP Sécurisée

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Étude Et Mise en Place D'une Solution VOIP Sécurisée

Uploaded by

Copyright:

Available Formats

tude et Mise en place d'une Solution VOIP Scurise

Ralis par : Mlle. Rebha Bouzaida

MEMOIRE DE PROJET DE FIN DTUDES

Encadr par : Mr. Kamel Kedhiri

Anne Universitaire : 2010 2011

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Le protocole RTCP ............................................................................................................................25

POINTS FORTS ET LIMITES DE LA VOIX SUR IP ........................................................................................................26

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

3.1 3.2 3.3

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Liste des figures

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Chapitre 1 Etude gnrale de la voix sur IP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

1. Prsentation de la voix sur IP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Figure 1 : Architecture gnrale de la voix sur IP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Rle des composants

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Figure 3 : La zone H.323

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Avantages et inconvnients de la technologie H323

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

3.2 Principe de fonctionnement

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

3.3 Rle des composants

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Figure 5 : Principe du protocole SIP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

3.4 Avantages et inconvnients

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

4.1 Le protocole RTP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Les fonctions de RTP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

4.2 Le protocole RTCP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

5. Points forts et limites de la voix sur IP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Attaques contre la VoIP et bonnes pratiques de scurisation

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

1. Attaques sur le protocole

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Suivie des appels

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Injection de paquet RTP

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Le dni de service (DOS : Denial of service)

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise

Mmoire de PFE : tude et Mise en place d'une Solution VOIP Scurise