Memoire de Fin D'étude
Memoire de Fin D'étude
Memoire de Fin D'étude
---- * ----
Ecole Supérieure Privée d’Ingénierie, Sciences et Technologie de Sousse
(SupTech Sousse)
Par
Touré Boubacar
1.
M. Président
M. Rapporteur
M. Encadrant
Etude et mise en place d’une solution VOIP
sécurisée
Touré Boubacar
..........…………………………………………….…………......................…………… : الخالصة
........................…………………………………………….…………......................……………
........................…………………………………………….…………......................……………
........................…………………………………………….…………......................……………
........................…………………………………………….…………......................……………
Résumé : ......................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
Abstract : ....................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
....................................................................……………………………… : المفاتيح
Mots clés : ………………………………………………………..………………………….
Key-words : …………………………………………………………………………………
Etude et mise en place d’une solution voip sécurisée
Dédicace
A mon cher père,
Et ma chère mère.
Pour l’éducation, le sacrifice, le soutien, les
encouragements, la patience et le grand amour tout
au long de ma vie.
A la mémoire de mes grand-parent
A mes chers frères et sœurs,
A mes oncles et tantes,
A mes cousins et cousines,
A tous mes ami(e)s,
A tous ceux que j’aime.
Je dédie ce
travail.
Boubacar
Touré
1
Etude et mise en place d’une solution voip sécurisée
Remerciement
Je remercie Dieu le tout puissant pour tous ses bienfaits et pour la santé qu’Il m’a accordé.
Je remercie mon encadreur, Docteur Imène, pour ses efforts tout au long de ce travail
Je remercie la société RUSPINA télécom, pour leur suivi au cours de mon stage
Merci à mes camarades de promotion, et mes amis qui ont contribués à ce projet
2
Etude et mise en place d’une solution voip sécurisée
3
Etude et mise en place d’une solution voip sécurisée
4
Etude et mise en place d’une solution voip sécurisée
5
Etude et mise en place d’une solution voip sécurisée
Introduction générale
La Voix sur IP (Voice over IP ou VoIP) est une technologie permettant de transmettre la voix
sur un réseau numérique et sur Internet. La voix sur IP est utilisée avec différentes
architectures et des protocoles qui définissent son fonctionnement, elle dépend de plusieurs
contraintes. C’est une technologie très appréciée par les entreprises, elle permet aux
entreprises de minimiser le coût des communications ; d’utiliser le même réseau pour offrir
des services de données, de voix, et d’images ; et simplifier les coûts de configuration et
d’assistance.
La Voix sur IP présente plusieurs avantages, étant une technologie basée sur le protocole IP,
elle est donc affectée par les vulnérabilités qui menacent la sécurité de ce protocole et
l’infrastructure réseau sur laquelle elle est déployée. Certaines attaques sur les réseaux VoIP,
comme les attaques de déni de service, et les vols d’identité, peuvent causer des pertes
catastrophiques et énormes pour les entreprises. Pour cela la sécurité du réseau VoIP n’est pas
seulement une nécessité mais plutôt une obligation, avec laquelle on peut réduire, au
maximum, le risque d’attaques sur les réseaux VoIP. La sécurité d’une solution de VoIP doit
couvrir toute l’infrastructure réseau, incluant les outils et les équipements de gestion des
communications et des utilisateurs, le système d’exploitation sur lesquels sont installés ces
outils, et les protocoles de signalisation et de transport de données. Il faut même se protéger
contre les personnes malveillantes. Mieux on sécurise, moins il y a de risques. Le but de ce
projet de fin d’étude est : l’étude des protocoles de VoIP et des architectures proposées,
l’étude des vulnérabilités et des attaques de sécurités surs les divers composants d’une
infrastructure VoIP dans des réseaux LAN ; et la mise en place une solution de VoIP
sécurisée basée sur des outils open source, comme le serveur Asterisk et le client zoiper 3cx.
Les entreprises, bénéficiant de notre solution, seront capables de mettre en place une plateforme
de VoIP assez flexible, peu couteux, et protégée contre les attaques de sécurité de l’intérieur du
réseau comme de l’extérieur aussi. Ainsi, ce rapport est structuré sur 4 chapitres :
En premier chapitre nous introduisons la voix sur IP et ces éléments. Ensuite nous
décrivons et expliquons son architecture et ces protocoles, et présentons les points
forts et faibles de cette technologie.
6
Etude et mise en place d’une solution voip sécurisée
Mise en place basée sur le serveur Asterisk avec les clients zoiper et 3cx et leur
paramétrage mise en place basée sur le serveur Asterisk avec les clients zoiper et 3cx
et leur paramétrage.
7
Etude et mise en place d’une solution voip sécurisée
8
Etude et mise en place d’une solution voip sécurisée
Avant 1970, la transmission de la voix s’effectuait de façon analogique sur des réseaux dédiés
à la téléphonie. La technologie utilisée était la technologie électromécanique (Cross bar). Vers
les années 80, l’évolution majeure a été le passage à la transmission numérique (TDM). La
transmission de la voix sur les réseaux informatiques à commutation de paquets IP constitue
aujourd’hui une nouvelle évolution majeure comparable aux précédentes.
L’objectif de ce chapitre est l’étude de cette technologie ainsi que ses aspects. nous parl en
détail de l’architecture de la VoIP, ses éléments et son fonctionnement. Nous parlerons aussi
des protocoles VoIP de signalisation et de transport ainsi que leurs principes de
fonctionnement et de leurs avantages et inconvénients.
1. VOIP vs TOIP
Voip est un protocole permettant de transporter des flux voix sur un réseau de données au
travers du protocole IP. Jusqu’alors, les systèmes téléphoniques utilisaient la commutation de
circuit pour connecter les appels.
La VoIP et la ToIP reposent sur un principe similaire : elles permettent de passer des appels
grâce aux protocoles Internet. Mais contrairement à la voix sur IP, la téléphonie sur IP sert
uniquement à créer un réseau de téléphonie interne à l’entreprise. La voix passe alors par
l’émetteur de l’opérateur avant d’être transmise au destinataire alors que pour la TOIP, le
9
Etude et mise en place d’une solution voip sécurisée
standard téléphonique IPBX par lequel passe la voix est un autocommutateur privé. La VOIP
est en réalité une version plus poussée et améliorée avec des fonctionnalités et options plus
nombreuses.
2. Architecture
Etant une nouvelle technologie de communication, la voip n’a pour le moment pas de
standard unique. En effet, les constructeurs apportent leurs normes et fonctionnalités à ses
solutions. Les trois principaux protocoles sont H.323, SIP (Session Initiation Protocol) et
MGCP/MEGACO. Il existe donc plusieurs approches pour offrir des services de téléphonie et
de visiophonie sur des réseaux IP. Certaines placent l’intelligence dans le réseau alors que
d’autres préfèrent une approche égale à égale avec l'intelligence répartie à la périphérie.
Chacune ayant ses avantages et ses inconvénients. Chaque norme a ensuite ses propres
caractéristiques pour garantir une plus ou moins grande qualité de service. L'intelligence du
réseau est aussi déportée soit sur les terminaux, soit sur les passerelles ou contrôleur de
commutation, appelées Gatekeeper. On retrouve les éléments communs suivants :
Le routeur : permet d'aiguiller les données et le routage des paquets entre deux
réseaux. Certains routeurs permettent de simuler un Gatekeeper grâce à l'ajout de
cartes spécialisées supportant les protocoles VoIP.
La passerelle : est le commutateur du réseau téléphonique classique. Il permet de faire
le lien entre la passerelle ou le routeur, et le réseau téléphonique commuté (RTC).
Toutefois, si tout le réseau devient IP, ce matériel devient obsolète.
Les terminaux : Sont généralement de type logiciel (software phone) ou matériel
(hardphone), le softphone est installé dans le PC de l’utilisateur. L’interface audio
peut être un microphone et des haut-parleurs branchés sur la carte son, même si un
casque est recommandé. Pour une meilleure clarté, un téléphone USB ou Bluetooth
peut être utilisé.
Le hardphone : est un téléphone IP qui utilise la technologie de la Voix sur IP pour
permettre des appels téléphoniques sur un réseau IP tel que l'Internet au lieu de
l'ordinaire système PSTN. Les appels peuvent parcourir par le réseau internet comme
par un réseau privé. Un terminal utilise des protocoles comme le SIP (Session
Initiation Protocol) ou l’un des protocoles propriétaire tel que celui utilisée par
Skype.
10
Etude et mise en place d’une solution voip sécurisée
Principe de fonctionnement
La VoIP fonctionne par numérisation de la voix, puis par reconversion des paquets
numériques en voix à l'arrivée. Le format numérique est plus facile à contrôler, il peut être
compressé, routé et converti en un nouveau format meilleur. Le signal numérique est plus
tolérant au bruit que l'analogique. Les réseaux TCP/IP sont des supports de circulation de
paquets IP contenant un en-tête (pour contrôler la communication) et une charge utile pour
transporter les données. Les deux protocoles les plus utilisées actuellement dans les solutions
VoIP présentes sur le marché sont le H.323 et le SIP.
11
Etude et mise en place d’une solution voip sécurisée
12
Etude et mise en place d’une solution voip sécurisée
1. Protocoles H.323
H.323 regroupe un ensemble de protocoles de communication de la voix, de l'image et de
données sur IP. C'est un protocole développé par l'UIT-T qui le définit comme : « systèmes de
communication multimédia en mode paquet ». Les principaux acteurs du protocoles h323
sont :
13
Etude et mise en place d’une solution voip sécurisée
L’établissement d'appel.
L’échange de capacité.
14
Etude et mise en place d’une solution voip sécurisée
LAN, H323 pose des limites au flux audio/vidéo. La possibilité qu’un terminal H.323
procède à l'ajustement de la bande passante et la modification du débit en fonction du
comportement du réseau en temps réel (perte de paquets, latence et gigue).
Support Multicast : Le protocole H.323 donne la possibilité de faire des transmissions
en multicast.
Flexibilité : une conférence H.323 peut inclure des terminaux hétérogènes (studio de
visioconférence, PC, téléphones…) qui peuvent partager selon le cas, de la voix de la
vidéo et même des données grâce aux spécifications T.120.
La complexité de mise en œuvre : les problèmes d'architecture en ce qui concerne la
convergence des services d’Internet et de téléphone, plus qu'un manque de souplesse
et de modularité .H323 Comprend plusieurs options susceptibles implémentées d’une
façon différente par les constructeurs donc la possibilité d’avoir des problèmes
d'interopérabilité.
2. Protocole SIP
Le terminal peut être un ordinateur, un combiné téléphonique, un terminal spécialisé pour la
vidéoconférence ou encore un télécopieur sur Internet. Le minimum imposé par H.323 est
qu'il mette en œuvre la norme de compression de la parole G.711, qu'il utilise le protocole
H.245 pour la négociation de l'ouverture d'un canal et l'établissement des paramètres de la
communication, ainsi que le protocole de signalisation Q.931 pour l'établissement et l'arrêt
des communications.
Fixation d’un compte SIP : Il est important de s’assurer que la personne appelée soit
toujours joignable. Pour cela, un compte SIP sera associé à un nom unique. Par
exemple, si un utilisateur d’un service de voix sur IP dispose d’un compte SIP et que
chaque fois qu’il redémarre son ordinateur, son adresse IP change, il doit cependant
toujours être joignable. Son compte SIP doit donc être associé à un serveur SIP (proxy
SIP) dont l’adresse IP est fixe.
Changement des caractéristiques durant une session : Un utilisateur doit pouvoir
modifier les caractéristiques d’un appel en cours. Par exemple, un appel initialement
configuré en (voix uniquement) peut être modifié en (voix + vidéo).
15
Etude et mise en place d’une solution voip sécurisée
Différents modes de communication : Avec SIP, les utilisateurs qui ouvrent une
session peuvent communiquer en mode point à point, en mode diffusif ou dans un
mode combinant ceux-ci.
Mode Point à point : Il s’agit d’un « unicast », qui correspond à la
communication entre deux machines.
Mode diffusif : Il s’agit d’un « multicast », qui correspond à la communication
entre plusieurs utilisateurs via une unité de contrôle MCU.
Combinatoire : Combine les deux modes précédents. Plusieurs utilisateurs
interconnectés en multicast via un réseau à maillage complet de connexion.
Gestion des participants : Durant une session d’appel, de nouveaux participants
peuvent joindre les participants d’une session déjà ouverte en participant directement,
en étant transférés ou en étant mis en attente (cette particularité rejoint les
fonctionnalités d’un PABX par exemple, où l’appelant peut être transféré vers un
numéro donné ou être mis en attente).
Adressage : Les utilisateurs disposant d’un numéro (compte) SIP, disposent d’une
adresse ressemblant à une adresse mail (sip : numéro@serveursip.com). Le numéro
SIP est unique pour chaque utilisateur.
Modèle d’échange : Le protocole SIP repose sur un modèle Requête/Réponse. Les
échanges entre un terminal appelant et un terminal appelé se font par l’intermédiaire
de requêtes. La liste des requêtes échangées est la suivante :
Invite : Cette requête indique que l’application (ou utilisateur) correspondante
à l’url SIP spécifié est invité à participer à une session. Le corps du message
décrit cette session (par ex : médias supportés par l’appelant). En cas de
réponse favorable, l’invité doit spécifier les médias qu’il supporte.
Ack : Cette requête permet de confirmer que le terminal appelant a bien reçu
une réponse définitive à une requête invite.
Option : Un proxy server en mesure de contacter L’UAS (User Agent Server)
appelé, doit répondre à une requête « Options » en précisant ses capacités à
contacter le même terminal.
Bye : Cette requête est utilisée par le terminal de l’appelé afin de signaler qu’il
souhaite mettre un terme à la session.
Cancel : Cette requête est envoyée par un terminal ou un proxy server à fin
d’annuler une requête non validée par une réponse finale comme, par exemple,
16
Etude et mise en place d’une solution voip sécurisée
si une machine ayant été invitée à participer à une session, et ayant accepté
l’invitation ne reçoit pas de requête Ack, alors elle émet une requête Cancel.
Register : Cette méthode est utilisée par le client pour enregistrer l’adresse
listée dans l’URL TO par le serveur auquel il est relié.
Codes d’erreurs : Une réponse à une requête est caractérisée, par un code et un motif,
appelés respectivement code d'état et raison phrase. Un code d'état est un entier codé
sur 3 digits indiquant un résultat à l'issue de la réception d'une requête. Ce résultat est
précisé par une phrase, text-based (UTF-8), expliquant le motif du refus ou de
l'acceptation de la requête. Le code d'état est donc destiné à l'automate gérant
l'établissement des sessions SIP et les motifs aux programmeurs. Il existe 6 classes de
réponses et donc de codes d'état, représentées par le premier digit :
1xx : information, La requête a été reçue et continue à être traitée
2xx : Succès, L'action a été reçue avec succès, comprise et acceptée.
3xx : Redirection, Une autre action doit être menée afin de valider la requête
4xx : Erreur du client, La requête contient une syntaxe erronée ou ne peut pas
être traitée par ce serveur.
5xx : Erreur du serveur, Le serveur n'a pas réussi à traiter une requête
apparemment correcte.
6xx : Echec général - La requête ne peut être traitée par aucun serveur.
Dans un système SIP nous trouvons deux types de composantes, les agents utilisateurs (UAS,
UAC) et un réseau de serveurs (Registrar, Proxy).
L'UAS (User Agent Server) représente l'agent de la partie appelée. C'est une application de
type serveur qui contacte l'utilisateur lorsqu'une requête SIP est reçue. Et elle renvoie une
réponse au nom de l'utilisateur.
L'U.A.C (User Agent Client) représente l'agent de la partie appelante. C'est une application
de type client qui initie les requêtes.
17
Etude et mise en place d’une solution voip sécurisée
a. Avantages et inconvénients
Ouvert, standard, simple et flexible sont les principaux atouts du protocole SIP.
18
Etude et mise en place d’une solution voip sécurisée
H323 SIP
19
Etude et mise en place d’une solution voip sécurisée
3. Protocoles de transport
Il y a de nombreux protocoles de couches inférieures à celle qui contient l'information voix
parmi lesquels TCP (Transmission Control Protocol), UDP (User Datagramme Protocol) et
RTP (Real Time Protocol), RTCP (Real Time Control Protocol).
a. Protocole RTP
Le protocole RTP (Real-time Transport) assure la gestion des flux multimédia en mode UDP,
il permet aussi la transmission en temps réel des données audio et vidéo sur des réseaux IP et
il est utilisé aussi pour Les appels téléphoniques simples, les audio ou les visioconférences. Le
Protocole RTP permet l’identification de type de l’information transportée, l’ajout des
numéros de séquence des donnés émise ainsi le contrôle l’arrivée des paquets à la destination.
Avantages et inconvénients
Le protocole RTP permet de reconstituer la base de temps des différents flux multimédia
(audio, vidéo, etc.); de détecter les pertes de paquets; et d’identifier le contenu des paquets
pour leur transmission sécurisée. Par contre, il ne permet pas de réserver des ressources dans
le réseau ou d’apporter une fiabilité dans le réseau. Ainsi il ne garantit pas le délai de
livraison.
b. Protocole RTCP
Le protocole de contrôle (RTCP : Real Time Control Protocol) assure la bonne qualité de
service des communications RTP, il permet l’envoi d’un rapport sur la qualité de service
(QoS), l’identification et le contrôle de la session.
Avantages et inconvénients
Le protocole de RTCP est adapté pour la transmission de données temps réel. Il permet
d’effectuer un contrôle permanant sur une session et ces participants. Par contre il fonctionne
en stratégie bout à bout. Et il ne peut pas contrôler l’élément principal de la communication
"le réseau.
Différentes sont les raisons qui peuvent pousser les entreprises à s’orienter vers la VoIP
comme solution pour la téléphonie. Les avantages les plus marqués sont :
Reduction des couts : En effet le trafic véhiculé à travers le réseau RTC est plus
couteux que sur un réseau IP.
20
Etude et mise en place d’une solution voip sécurisée
Standards ouverts : La VoIP n’est plus uniquement H323, mais un usage multi
protocoles selon les besoins de services nécessaires. Par exemple, H323 fonctionne en
mode égale à égale alors que MGCP fonctionne en mode centralisé. Ces différences de
conception offrent immédiatement une différence dans l'exploitation des terminaisons
considérées.
Un réseau voix, vidéo et données (à la fois) : Grace à l’intégration de la voix comme
une application supplémentaire dans un réseau IP, ce dernier va simplifier la gestion
des trois applications (voix, réseau et vidéo) par un seul transport IP.
Un service PABX distribué ou centralisé : : Les PABX en réseau bénéficient de
services centralisés tel que la messagerie vocale et la taxation. Cette même
centralisation continue à être assurée sur un réseau VoIP sans limitation du nombre de
canaux. L’utilisation de la VoIP met en commun un média qui peut à la fois offrir à un
moment précis une bande passante maximum à la voix, garantissant toujours la
priorité à celle-ci.
Fiabilité et qualité sonore : Un des problèmes les plus importants de la téléphonie sur
IP est la qualité de la retransmission qui n’est pas encore optimale. En effet, des
désagréments telle la qualité de la reproduction de la voix du correspondant ainsi que
le délai entre le moment où l’un des interlocuteurs parle et le moment où l’autre
entend peuvent être extrêmement problématiques.
Vol : Les attaquants qui parviennent à accéder à un serveur VoIP peuvent également
accéder aux messages vocaux stockés et au même au service téléphonique pour
écouter des conversations ou effectuer des appels gratuits aux noms d’autres comptes.
Attaques de virus.
Conclusion
Comme le montre ce chapitre, la VoIP est une solution rentable pour effectuer des
conversations elle est devenue une technologie très prisée en ce début de siècle. Elle suscite
bien des intérêts, venant en soutien aux technologies présentant des faiblesses. La VoIP est
une bonne solution en matière d’intégration, fiabilité et de coût. C’est la transmission de la
voix sur un réseau IP. Les constructeurs se sont investis à la création de PBX pour gérer les
paquets IP en fonction des différentes contraintes.
21
Etude et mise en place d’une solution voip sécurisée
Chapitre II
22
Etude et mise en place d’une solution voip sécurisée
23
Etude et mise en place d’une solution voip sécurisée
Ce chapitre décrit quelques attaques les plus courantes des systèmes de voix sur IP et explique
comment ces attaques sont menées Et les meilleures solutions pour protéger les systèmes de
communication.
I. Vulnérabilité de l’infrastructure
Une infrastructure VoIP est composée de téléphones IP, Gateway, serveurs (proxy, register,
etc.) Chaque élément, que ce soit un système embarqué ou un serveur standard tournant sur un
système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur. Chacun
comporte un processeur qui exécute des logiciels qui peuvent être attaqués ou employés en
tant que points de lancement d’une attaque plus profonde.
a. Les téléphones IP
Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone IP,
un softphone et autres programmes ou matériels clients. Généralement, il obtient les
privilèges qui lui permettent de commander complètement la fonctionnalité du dispositif.
Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique
au dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif : La pile
du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne sera pas
remarquée.
b. Les serveurs
Un pirate peut viser les serveurs qui fournissent le réseau de téléphonie sur IP. Compromettre
une telle entité mettra généralement en péril tout le réseau de téléphonie dont le serveur fait
partie.
24
Etude et mise en place d’une solution voip sécurisée
produit. Une des principales vulnérabilités des systèmes d'exploitation est le buffer overflow.
Il permet à un attaquant de prendre le contrôle partiel ou complet de la machine. Les
dispositifs de la VoIP tels que les téléphones IP, Call Managers, Gateway et les serveurs
proxy, héritent les mêmes vulnérabilités du système d'exploitation ou du firmware sur lequel
ils tournent.
a. Déni de service
L’attaque par déni de service consiste à surcharger le serveur Web de requêtes jusqu’à ce qu’il
ne puisse plus suivre et s’arrête. Il est envisageable de saturer les réseaux des sociétés
équipées en voix sur IP, bloquant ainsi les communications internes, externes mais aussi le
système d’information.
Les attaques par déni de service se retrouvent sous plusieurs formes. Les plus classiques sont
celles qui visent à utiliser toute la bande passante disponible ou abuser de problèmes
intrinsèques à TCP/IP, bloquant ainsi les tentatives de communication.
25
Etude et mise en place d’une solution voip sécurisée
b. Attaque MAN-in-the-middle
L'attaque de l'homme du milieu peut être établie par le scénario décrit sur la figure. Le client
SIP envoie un message INVITE à son serveur proxy SIP, l'attaquant Charlie intercepte le
message et envoie une réponse de redirection forcée a mené vers son adresse physique.
Comme il n'a pas authentifié le serveur proxy, le client SIP accepte la réponse et redirige
l'appel vers l'attaquant. Le vrai proxy SIP peut être neutralisé par un déni de service ou en
exploitant une situation de concurrence. En même temps, l'attaquant remplace l'emplacement
de l'émetteur par son adresse IP dans le champ Contact (ce champ indique l'adresse physique
de l'appelé). L'attaquant peut aussi exploiter les champs via et REQUEST-URI dans les
messages SIP afin de modifier l'itinéraire des requêtes SIP. Ensuite, il envoie le message
falsifié vers l'appelé Alice. Ainsi, tous les messages de signalisation communiqués entre
l'appelé et l'appelant passeront dorénavant par l'attaquant. Le vol de la session de signalisation
entre les deux clients est une première étape vers le vol de la session d'échange de média.
Figure 5: Man-in-the-middle
26
Etude et mise en place d’une solution voip sécurisée
d. Usurpation d’identité
Elle s'appuie sur le vol d'identité et du mot de passe d'un client SIP par l'écoute du trafic SIP
ou sur l'acquisition via une autre voie du couple (nom d'utilisateur et mot de passe) et les
utilise pour avoir un accès non autorisé. Le vol d'identité peut se faire par une attaque de type
man-in-the-middle ; l'utilisateur SIP entre ses coordonnées d'authentification et l'attaquant suit
l'échange du trafic entre le client et le serveur et récupère les coordonnées d'un utilisateur SIP
pour les utiliser ultérieurement.
e. Ecoute clandestine
L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un attaquant avec
un accès au réseau VoIP peut sniffer le trafic et décoder la conversation vocale. Des outils tels
que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de réaliser cette
attaque. VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec
n’importe quel lecteur de fichiers son.
27
Etude et mise en place d’une solution voip sécurisée
a. Suivie d’appel
Appelé aussi call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les
terminaux (soft/hard phone). Elle a pour but de connaître qui est entrain de communiquer et
quelle est la période de la communication Pour réaliser cette attaque, L’attaquant doit être
capable d’écouter le réseau et récupérer les messages INVITE et BYE.
28
Etude et mise en place d’une solution voip sécurisée
La facturation est un service fondamental pour tous les services VoIP commerciaux et il a un
impact direct sur chaque client VoIP. L'une des exigences les plus importantes de facturation
est qu'elle doit être sécurisée et qu'elle représente un service fiable. Du côté client VoIP, la
facturation ne doit que lui faire payer les appels qu'il a vraiment passé et pour la durée
consommée.
b. Ingénierie sociale
L'ingénierie sociale est la capacité d'abuser ou de profiter des services VoIP pour un gain
personnel ou financier. Cette catégorie d'attaques est l'une des plus critiques pour les
opérateurs de télécommunications et les fournisseurs de VoIP. L'ingénierie sociale est une
préoccupation importante en matière de sécurité et de confidentialité. Différentes attaques
sont comprises dans cette classe comme la déclaration des informations fausses délivrées
expressément dans le but de tromper ou utiliser une fausse déclaration. Nous trouvons aussi la
présentation préméditée d'une fausse identité montrant des informations de quelqu'un d'autre
afin de contourner les mécanismes d'authentification. Cette catégorie inclut le vol de services
qui consiste à gagner illégalement des revenus provenant des services de quelqu'un d'autre,
par exemple la facturation des appels VoIP.
a. VOIP VPN
Un VPN VoIP combine la voix sur IP et la technologie des réseaux virtuels privés pour offrir
une méthode assurant la préservation de la prestation vocale. Puisque la VoIP transmet la voix
numérisée en un flux de données, la solution VPN VoIP semble celle la plus approprié vu
qu’elle offre le cryptage des données grâces a des mécanismes de cryptages, puisqu’elle
permet d’offrir l’intégrité des paquets VoIP.
Rendre confidentielles les données RTP, que ce soit l’en-tête et la charge utile ou
seulement la charge utile.
Authentifier et vérifier l’intégrité des paquets RTP. L’émetteur calcule une empreinte
du message à envoyer, puis l’envoie avec le message même.
La protection contre le rejet des paquets. Chaque récepteur tient à jour une liste de
tous les indices des paquets reçus et bien authentifiés.
Un paquet SRTP est généré par transformation d’un paquet RTP grâce à des mécanismes de
sécurité. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
qu’ils ne soient sur le réseau. La figure suivante présente le format d’un paquet SRTP.
30
Etude et mise en place d’une solution voip sécurisée
On remarque que le paquet SRTP est réalisé en rajoutant deux champs au paquet RTP :
SRTP MKI (SRTP Master Key identifier) : sert à re-identifier une clef maîtresse
particulière dans le contexte cryptographique. Le MKI peut être utilisé par le récepteur
pour retrouver la clef primaire correcte quand le besoin d’un renouvellement de clefs
survient.
Authentication tag : est un champ inséré lorsque le message a été authentifié. Il est
recommandé d’en faire usage. Il fournit l’authentification des en-têtes et données RTP
et indirectement fournit une protection contre le rejeu de paquets en authentifiant le
numéro de séquence.
c. Sécurisation de l’application
Plusieurs méthodes peuvent être appliquées pour sécuriser l'application, ces méthodes varient
selon le type d'application (serveur ou client). Pour sécuriser le serveur il faut :
L’utilisation d’une version stable, Il est bien connu que toute application non stable
contient surement des erreurs et des vulnérabilités. Pour minimiser les risques, il est
impératif d'utiliser une version stable.
Tester les mises à jour des softwares dans un laboratoire de test. Il est très important
de tester toute mise à jour de l'application dans un laboratoire de test avant de les
appliquer sur le système en production.
Ne pas tester les correctifs sur le serveur lui-même
Ne pas installer une application client dans le serveur.
Conclusion
Le développement rapide de la technologie VOIP fait d’elle la cible de nombreuses attaques.
Les attaques décris, sont les plus connus et courant dans les réseaux VOIP. En pratiquant les
bons pratiques cités, on peut mettre en œuvre un réseau bien sécurisé.
32
Etude et mise en place d’une solution voip sécurisée
Chapitre III
33
Etude et mise en place d’une solution voip sécurisée
Introduction
Apres l’étude de la VOIP, sa vulnérabilité ainsi que les fréquentes contre son architecture,
nous allons voir au cours de ce chapitre un outil très célèbre nomme asterisk. Nous allons
voir étape par étape l’installation et la configuration de asterisk sous le système d’exploitation
linux. Par la suite on procèdera à la création et au paramétrage de clients sous ZOIPER et
3CX.
I. Présentation d’asterisk
Asterisk est une solution de téléphonie sur IP, Open Source. Il s’agit donc d’une solution
gratuite, avec une communauté très active. Il a été développé par la société Digium. Il est
disponible sous Linux et Windows, même si la version Linux est de loin la plus rependue. Il
fait office d’IPBX, mais il est aussi capable de s’interfacer avec un réseau de téléphonie
analogique, à l’aide de cartes additionnelles. Asterisk peut donc faire office d’IPBX et de
PABX. Un IPBX est plus communément appelé un serveur de VoIP. Un PABX, aussi appelé
un autocommutateur permet de relier les postes téléphoniques internes avec le réseau de
téléphonie public, le tout sur des lignes analogiques ou numériques. Un serveur Asterisk
permet donc de faire de la VoIP ainsi que de la téléphonie analogique. En plus d’être gratuit,
Asterisk est donc aussi très complet. Asterisk supporte de très nombreux codecs audios, dont
le G.711 (u-Law et a-Law) et lG.729. Il supporte aussi de nombreux protocoles tels que SIP,
IAX, H.323 et SCCP.
L’installation à partir des packages est simple et automatisée. En revanche elle n’offre pas la
garantie d’avoir la dernière version d’Asterisk. L’installation à partir des sources demande de
récupérer les sources à la main, et de les compiler. Vous obtiendrez alors la dernière version
d’Asterisk. Enfin, les distributions Linux dédiées à Asterisk ont l’avantage d’implémenter
34
Etude et mise en place d’une solution voip sécurisée
Asterisk de base, mais aussi de fournir des modules complémentaires disponibles par défaut
(interface graphiques, etc…).
35
Etude et mise en place d’une solution voip sécurisée
GNU make (version 3.80 ou yum install –y make Nécessaire pour compiler
plus) zaptel et asterisk
Le meilleur chemin pour obtenir le code source d’Asterisk et ces paquetages est de les
télécharger à partir du site web www.asterisk.org.
Une fois que le système est à jour on peut procéder à l’installation de notre package.
36
Etude et mise en place d’une solution voip sécurisée
La console
Les fichiers de configuration
Asterisk -r
37
Etude et mise en place d’une solution voip sécurisée
La configuration d’Asterisk se fait dans les fichiers de configuration. Ces fichiers sont placés
dans le répertoire suivant :
/etc/asterisk/
Fichier Description
38
Etude et mise en place d’une solution voip sécurisée
Pour que les modifications des fichiers soient prises en compte, il faut relancer Asterisk. Ou
au moins le module concerné.
asterisk –rv
reload
[general]
context=internal spécifie le type de routage à utiliser
allowoverlap=no
allowguest=no
bindport=5060 /port sip
bindaddr=0.0.0.0
srvlookup=all
disallow=all Désactiver tous les codecs
Allow=ulaw Autorise le codec ulaw
alwaysauthreject=yes
canreinvite=no
nat=yes
session-timers=refuse
localnet=192.168.21.130/255.255.255.0
[1000]
type=friend ; Type d'objet SIP (friend = utilisateur)
host=dynamic L’utilisateur n’est pas associé à une IP fixe
secret=123 Mot de passe
39
Etude et mise en place d’une solution voip sécurisée
context=internal
Callerid = "moh" /identifiant d’utilisateur
[2000]
type=friend
host=dynamic
secret=456
callerid = "Oumar"
[internal]
exten => 1000,1,Answer()
exten => 1000,2,Dial(SIP/1000,20)
exten => 1000,3,Playback(vm-nobodyavail)
exten => 1000,4, VoiceMail(1000@main)
exten => 1000,5,Hungup()
40
Etude et mise en place d’une solution voip sécurisée
Si l’appelant compose le numéro 1000, il est mis en relation avec le poste dont le numéro est
1000 qui utilise le protocole SIP, de même pour le numéro 2000. Il existe d’autres options
qu’on peut ajouter dans le fichier extensions.conf, telles que la boîte vocale et le renvoi
d’appel. La syntaxe du fichier est sous le format suivant : Exten= extension, priorité,
commande (paramètre).
On peut utiliser plusieurs options pour un seul numéro d’appel, on peut mettre par exemple un
transfert d’appel vers un autre numéro ou vers la boite vocale selon des priorités. Nous
pouvons voir les deux utilisateurs avec la commande suivante :
1. Zoiper
Zoiper est une solution de numérotation softphone multi-plateforme VoIP qui prend en charge
les appels vocaux et vidéo ainsi que la fonctionnalité de messagerie instantanée. Disponible
41
Etude et mise en place d’une solution voip sécurisée
pour Windows, Mac et Linux, Zoiper propose également des applications compagnons natives
pour iOS, Android et Windows Phone, offrant aux utilisateurs la possibilité de passer des
appels VoIP via plusieurs réseaux PBX (Private Branch Exchange) et SIP (Session Initiation
Protocol) ou IAX (Inter-Asterisk exchange) fournisseurs. On peut télécharger zoiper depuis
google. La configuration de zoiper est simple et intuitive. Il faut juste remplir les champs avec
les données utilisateurs configures dans le serveur asterisk.
Une fois la configuration terminée un indique vert apparait ce qui signifie qu’il ya connection
avec le serveur et que la communication est possible. En revanche l’indique rouge signifie une
erreur.
2. 3CX
3CX est un standard ouvert, un système téléphonique logiciel basé sur le standard SIP. Il
fonctionne avec une gamme de matériel téléphonique et propose également des extensions
basées sur un navigateur Web et des applications mobiles. A l’instar de zoiper, le logiciel 3cx
est disponible sur google. Pour configurer 3cx il est indispensable de remplir les champs,
conforme aux utilisateurs configurés dans le serveur. En cas d’erreur, l’appareil indique par
« authentication failed ».
42
Etude et mise en place d’une solution voip sécurisée
43
Etude et mise en place d’une solution voip sécurisée
Conclusion
Open source, avec une installation et configuration assez simple, asterisk est le plus fameux
des solutions. Il nous a permis de faire des tests d’appels entre deux clients sans difficulté.
44
Etude et mise en place d’une solution voip sécurisée
Chapitre IV
45
Etude et mise en place d’une solution voip sécurisée
Introduction
Après avoir étudié le protocole VoIP, et identifié les vulnérabilités auxquelles il est exposé et
qui menacent ses systèmes. Ce chapitre présente quelques techniques appliquées par un
attaquant. Nous effectuons, un exemple d'attaque sur notre système VoIP. Nous nous
intéressons aux techniques, mécanismes et configurations à mettre en œuvre. L'objectif est de
protéger les solutions VoIP basées sur les serveurs Asterisk.
46
Etude et mise en place d’une solution voip sécurisée
1. Logiciel wireshark
Wireshark est un outil permettant de capturer les paquets réseau et à les afficher à un niveau
granulaire. Une fois ces paquets décomposés, vous pouvez les utiliser pour une analyse en
temps réel ou hors ligne. Cet outil vous permet de mettre votre trafic réseau sous un
microscope, puis de le filtrer et de l'approfondir, en zoomant sur la cause première des
problèmes, en aidant à l'analyse du réseau et, finalement, à la sécurité du réseau. L’utilisation
de Wireshark dans notre projet est pour la détection des vulnérabilités dans le réseau VoIP.
Nous essayerons de capturer les paquets qui circulent pour déterminer quelques informations
telles que les adresses IP, les numéros de ports, et d’autres informations qui servent au
piratage (vol d’identité, déni de service, etc.). Ainsi que nous pouvons écouter une
communication entre deux clients en décodant les paquets RTP (écoute clandestine). Le
logiciel est installé sous windows. Une capture de trame, près la connexion des clients
« 1000 » et « 2000 », donne les résultats suivants :
47
Etude et mise en place d’une solution voip sécurisée
Une fois l’appel lancé, la colonne « protocole » affiche des paquets RTP. Ces paquets sont
lisibles, nous pouvons voir leur contenu et soutirer des informations sensibles.
48
Etude et mise en place d’une solution voip sécurisée
2. Kali-linux
Kali Linux est un système d’exploitation qui permet avant tout de protéger et d’optimiser des
ordinateurs et des réseaux et de déchiffrer des mots de passe. Comme ces fonctionnalités
peuvent également servir des desseins illégaux. Kali Linux est une distribution Linux basée
sur Debian ; elle permet avant tout d’identifier des failles de sécurité au niveau des
ordinateurs ou des connexions Internet, de récupérer des données perdues ou d’analyser des
mots de passe. Le système fonctionne avec une licence publique générale GNU, ce qui en fait
donc une solution open source.
49
Etude et mise en place d’une solution voip sécurisée
La figure ci-dessous montre que non seulement il affiche les adresses ip de la communication
via voix ip, mais aussi consulter des informations très importante à tel que les identifiants des
clients SIP et les mots de passe.
Invite flood est un outil qui permet d'effectuer un débordement de message SIP / SDP
INVITE sur UDP / IP pour effectuer une attaque DOS (Deny of Service). Cet outil est utilisé
pour bombarder le serveur avec des messages de demande INVITE, tant que cet outil continue
d'inonder le PBX, il empêche les clients de passer des appels téléphoniques.
50
Etude et mise en place d’une solution voip sécurisée
Installation d’OpenVPN
Pour commencer on met à jour notre système, ensuite on installe openvpn grâce à la
commande suivante :
Ensuite, on crée un nouveau répertoire sur le serveur OpenVPN en tant qu'utilisateur non root
appelé easy-rsa :
$ mkdir /easy-rsa
Cd /easy-rsa
$ sudo cp
/home/sidiki/easrsa/pki/private/server.key/etc/openvpn/server/
Apres avoir terminé ces étapes, on a créé avec succès une clé privée pour le serveur
OpenVPN. On a également généré une demande de signature de certificat pour le
serveur OpenVPN.
Création d’un openvpn : Nous allons maintenant passer à la création d’un utilisateur
ayant des droits restreints, qui sera chargé de lancer le service, de telle sorte que même
si la machine s’est faite piratée, l’attaquant n’aura que les droits de cet utilisateur et
pas ceux de root. Il faut créer un groupe d’utilisateur dans lequel, nous allons affecter
l’utilisateur grâce à la commande suivante :
52
Etude et mise en place d’une solution voip sécurisée
$ cp server.conf/etc/openvpn
$ nano server.conf
cd /usr/src/
53
Etude et mise en place d’une solution voip sécurisée
rm srtp − 1.4.2.tgz
cd srtp
make
make install
cd /usr/src/asterisk/asterisk − 13.0.0/
make clean
. /configure
make
make install
asterisk – rv
A présent, il faut forcer l’utilisation de SRTP sur les clients voulus. Pour cela, nous ajoutons
la ligne encryption=yes chez les utilisateurs concernés dans sip.conf.
[client]
type=friend
secret=123
host=dynamic
54
Etude et mise en place d’une solution voip sécurisée
username=client
context=default
callerid=client « 061 »
mailbox=client@192.0.0.1
transport=tls
encryptions=yes
# iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT //accepter le trafic udp
entrant)
# iptables -A INPUT -p udp -m udp --dport 10000 //accepter le trafic udp du protocole
UDP
# iptables -A INPUT -p UDP -j DROP // Attribuer une règle par défaut pour bloquer
tous le trafic restant et qui passe par UDP.
Conclusion
Ce chapitre décrit diverses attaques qu'un réseau VoIP puisse être victime. On a pu tester le
sniffing et le ddos, et montré différentes solutions de sécurisation pour le système voip contre
55
Etude et mise en place d’une solution voip sécurisée
les attaques. Cependant, il faut être conscient qu'il est impossible de garantir une sécurité
maximale au sein du réseau. VOIP.
Conclusion générale
Le but de ce projet, après l’étude de la voix sur IP et les techniques de sécurité, est de
sécuriser un réseau VoIP mis en place. L’étude consiste à simuler des attaques sur le système
voip et voir quelles sont les failles existantes à des fins sécuritaire.
Dans une première étape, nous nous sommes intéressés à l’étude de cette technologie avec ses
différents protocoles. Dans une deuxième étape, nous avons vu les failles de sécurité de la
voix sur IP, les attaques, les vulnérabilités et les bonnes pratiques possibles pour les attaques
cités. En troisième parti, On a usé du serveur asterisk et des clients 3cx et zoiper pour faire
l’installation et la configuration d’une solution voip. En dernière étape, nous avons testé des
attaques de sécurité contre la solution installée, et nous avons proposé et implémenté des
mécanismes et des protocoles pour la sécuriser.
Ce projet a été une expérience fructueuse qui nous a permis de mieux s’approcher du milieu
professionnel. Cette expérience nous a permis de savoir comment gérer et optimiser le temps
dans le but d’en profiter au maximum.
56
Etude et mise en place d’une solution voip sécurisée
57