Un appel téléphonique VoIP est constitué de deux parties : la signalisation, qui instaure l’appel, et les flux de media, qui transporte la voix.
La signalisation, en particulier SIP, transmet les entêtes et la charge utile (Payload) du paquet en texte clair, ce qui permet à un attaquant de lire et falsifier facilement les paquets. Elle est donc vulnérable aux attaques qui essaient de voler ou perturber le service téléphonique, et à l’écoute clandestine qui recherche des informations sur un compte utilisateur valide, pour passer des appels gratuits par exemple. La signalisation utilise, en général, le port par défaut UDP/TCP 5060. Le firewall doit être capable d’inspecter les paquets de signalisation et ouvre ce port afin de leurs autoriser l’accès au réseau. Un firewall qui n’est pas compatible aux protocoles de la VoIP doit être configuré manuellement pour laisser le port 5060 ouvert, créant un trou pour des attaques contre les éléments qui écoutent l’activité sur ce port.
Le protocole RTP, utilisé pour le transport des flux multimédia, présente également plusieurs vulnérabilités dues à l’absence d’authentification et de chiffrage. Chaque entête d’un paquet RTP contient un numéro de séquence qui permet au destinataire de reconstituer les paquets de la voix dans l’ordre approprié.
Cependant, un attaquant peut facilement injecter des paquets artificiels avec un numéro de séquence plus élevé. En conséquence, ces paquets seront diffusés à la place des vrais paquets.
Généralement, les flux multimédias contournent les serveurs proxy et circulent directement entre les points finaux. Les menaces habituelles conte le flux de la voix sont l’interruption de transport et l’écoute clandestine.
Les protocoles de la VoIP utilisent TCP et UDP comme moyen de transport et par conséquent sont aussi vulnérables à toutes les attaques contre ces protocoles, telles le détournement de session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc. Les types d’attaquesles plus fréquentes contre un system VoIP sont :
1.1 Sniffing
Un reniflage (Sniffing) peut avoir comme conséquence un vol d'identité et la révélation d'informations confidentielles. Il permet également aux utilisateurs malveillants perfectionnés de rassembler des informations sur les systèmes VoIP. Ces informations peuvent par exemple être employées pour mettre en place une attaque contre d'autres systèmes ou données.
Plusieurs outils requis pour le sniffing, y compris pour le protocole H.323 et des plugins SIP, sont disponibles en open source.
1.2 Suivie d'appel
Appelé aussi Call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone). Elle a pour but de connaître qui est en train de communiquer et quelle est la période de la communication. L’attaquant doit récupérer les messages INVITE et BYE en écoutant le réseau et peut ainsi savoir qui communique, à quelle heure, et pendant combien de temps.
Pour réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les messages INVITE et BYE
1.3 Injection de paquet RTP
Cette attaque se fait au niveau du réseau LAN/VPN. Elle cible le serveur registrar, et a pour but de perturber une communication en cours.
L’attaquant devra tout d’abord écouter un flux RTP de l’appelant vers l’appelé, analyser son contenu et générer un paquet RTP contenant un en-tête similaire mais avec un plus grand numéro de séquence et timestamp afin que ce paquet soit reproduit avant les autres paquets (s’ils sont vraiment reproduits). Ainsi la communication sera perturbée et l’appel ne pourra pas se dérouler correctement.
Pour réaliser cette attaque, l’attaquant doit être capable d’écouter le réseau afin de repérer une communication et ainsi repérer les timestamps des paquets RTP.
Il doit aussi être capable d’insérer des messages RTP qu’il a généré ayant un timestamp modifié
1.4 Les Spams
Trois formes principales de spams sont jusqu’à maintenant identifiés dans SIP:
Call Spam : Ce type de spam est défini comme une masse de tentatives d’initiation de session (des requêtes INVITE) non sollicitées.
Généralement c’est un UAC (User Agent Client) qui lance, en parallèle, un grand nombre d'appels. Si l’appel est établi, l'application génère un ACK, rejoue une annonce préenregistrée, et ensuite termine l'appel.
IM (Instant Message) Spam : Ce type de spam est semblable à celui de l'e-mail.
Il est défini comme une masse de messages instantanés non sollicitées. Les IM spams sont pour la plupart envoyés sous forme de requête SIP. Ce pourraient être des requêtes INVITE avec un entête « Subject » très grand, ou des requêtes INVITE avec un corps en format texte ou HTML. Bien-sûr, l’IM spam est beaucoup plus intrusif que le spam email, car dans les systèmes actuels, les IMs apparaissent automatiquement sous forme de pop-up à l'utilisateur.
Presence Spam : Ce type de spam est semblable à l’IM spam. Il est défini comme une masse de requêtes de présence (des requêtes SUBSCRIBE) non sollicitées. L’attaquant fait ceci dans le but d’appartenir à la " white list " d'un utilisateur afin de lui envoyer des messages instantanés ou d’initier avec lui d’autres formes de communications. L’IM Spamest différent du Presence Spamdans le fait que ce dernier ne transmet pas réellement de contenu dans les messages
1.5 Dénie de service ( Deny of Service )
C’est, d'une manière générale, l'attaque qui vise à rendre une application informatique ou un équipement informatique incapable de répondre aux requêtes de ses utilisateurs et donc hors d’usage.
Une machine serveur offrant des services à ses clients (par exemple un serveur web) doit traiter des requêtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bénéficier, pour des raisons délibérément provoquées par un tiers, il y a déni de service.
Dans une attaque de type DoS flood attack, les ressources d’un serveur ou d’un réseau sont épuisées par un flot de paquets. Un seul attaquant visant à envoyer un flot de paquets peut être identifié et isolé assez facilement. Cependantl'approche de choix pour les attaquants a évolué vers un déni de service distribué (DDoS). Une attaque DDoS repose sur une distribution d'attaques DoS, simultanément menées par plusieurs systèmes contre un seul. Cela réduit le temps nécessaire à l'attaque et amplifie ses effets. Dans ce type d'attaque les pirates se dissimulent parfois grâce à des machines-rebonds (ou machines zombies), utilisées à l'insu de leurs propriétaires. Un ensemble de machines-rebonds, est contrôlable par un pirate après infection de chacune d'elles par un programme de type porte dérobée (backdoor).
Une attaque de type DoS peut s’effectuer à plusieurs niveaux soit :
Couche réseau :
IP Flooding : Le but de l'IP Flooding est d'envoyer une multitude de paquets IP vers une même destination de telle sorte que le traitement de ces paquets empêche une entité du réseau (un routeur ou la station destinatrice) de traiter les paquets IP légitimes. Si l'IP Flooding est combiné à l'IP Spoofing, il est impossible, pour le destinataire, de connaître l'adresse source exacte des paquets IP. De ce fait, à moins que le destinataire ne limite ses échanges avec certaines stations, il lui est impossible de contrer ce type d'attaques.
Fragmentation des paquets IP : Par la fragmentation des paquets, il est possible de rendre hors servicede nombreux systèmes d'exploitation et dispositif VoIP par le biais de la consommation des ressources. Il existe de nombreuses variantes d’attaques par fragmentation, parmi les plus populaires teardrop, opentear, nestea, jolt, boink, et Ping of death.
Couche transport :
L’UDP Flooding Attacks : Le principe de cette attaque est qu’un attaquant envoie un grand nombre de requêtes UDP vers une machine. Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le réseau et donc de perturbe le plus la bande passante. Presque touts les dispositifs utilisant le protocole SIP fonctionnent au dessus du protocole UDP, ce qui en fait d’elles des cibles. De nombreux dispositifs de VoIP et de systèmes d'exploitation peuvent être paralysés grâce à des paquets UDP Flooding visant l’écoute du port SIP (5060) ou d’autres ports.
TCP SYN floods est une attaque visant le protocole TCP et plus exactement la phase d’établissement de connexion. Celle ci consiste en trois sous étapes :
1.Le client envoie un paquet SYN au serveur.
2.Le serveur répond avec un paquet SYN-ACK.
3.Le client envoie un paquet ACK au serveur.
L’attaque consiste en l’envoie d’un grand nombrede paquets SYN. La victime va alors répondre par un message SYN-ACK d’acquittement. Pour terminer la connexion TCP, la victime ensuite va attendre pendant une période de temps la réponse par le biais d’un paquet ACK. C'est là le cœur de l'attaque parce que les ACK final ne sont jamais envoyés, et par la suite, la mémoire système se remplit rapidement et consomme toutes les ressources disponibles à ces demandes non valides. Le résultat final est que le serveur, le téléphone, ou le routeur ne sera pas en mesure de faire la distinction entre les faux SYN et les SYN légitimes d'une réelle connexion VoIP.
Couche applications :
SIP Flooding : Dans le cas de SIP, une attaque DoS peut être directement dirigée contre les utilisateurs finaux ou les dispositifs tels que téléphones IP, routeurs et proxy SIP, ou contre les serveurs concernés par le processus, en utilisant le mécanisme du protocole SIP ou d’autres techniques traditionnelles de DoS.
Voyons maintenant en détail les différentes formes d’attaque DoS :
CANCEL
C’est un type de déni de service lancé contre l'utilisateur. L’attaquant surveille l’activité du proxy SIP et attend qu’un appel arrive pour un utilisateur spécifique. Une fois que le dispositif de l’utilisateur reçoit la requête INVITE, l'attaquant envoie immédiatement une requête CANCEL. Cette requête produit une erreur sur le dispositif de l’appelé et termine l'appel. Ce type d'attaque est employé pour interrompre la communication
La figure suivante montre un scénario d’attaque DoS CANCEL, l’utilisateur toto initie l’appel, envoie une invitation (1) au proxy auquel il est rattaché. Le proxy du domaine A achemine la requête (2) au proxy qui est responsable de l’utilisateur titi. Ensuite c’est le proxy du domaine B qui prend le relais et achemine la requête INVITE (3) qui arrive enfin à destination. Le dispositif de titi, quand il reçoit l’invitation, sonne (4). Cette information est réacheminée jusqu’au dispositif de toto. L’attaquant qui surveille l’activité du proxy SIP du domaine B envoie une requête CANCEL (7) avant que titi n’ait pu envoyer la réponse OK qui accepte l’appel. Cette requête annulera la requête en attente (l’INVITE), l’appel n’a pas lieu.
REGISTER
Le serveur d'enregistrement lui-même est une source potentielle de déni de service pour les utilisateurs. En effet ce serveur peut accepter des enregistrements de tous les dispositifs. Un nouvel enregistrement avec une «*» dans l'entête remplacera tous les précédents enregistrements pour ce dispositif. Les attaquants, de cette façon, peuvent supprimer l’enregistrement de quelques-uns des utilisateurs, ou tous, dans un domaine, empêchant ainsi ces utilisateurs d'être invités à de nouvelles sessions.
Notez que cette fonction de suppression d’enregistrement d’un dispositif au profit d’un autre est un comportement voulu en SIP afin de permettre le transfert d’appel. Le dispositif de l’utilisateur doit pouvoir devenir le dispositif principal quand il vient en ligne. C’est un mécanisme très pratique pour les utilisateurs mais également pour les pirates.
Le Call Hijackingconsiste à détourner un appel. Plusieurs fournisseurs de service VoIP utilisent le web comme interface permettant à l'utilisateur d’accéder à leur système téléphonique. Un utilisateur authentifié peut changer les paramètres de ses transferts d'appel à travers cette interface web. C’est peut être pratique, mais un utilisateur malveillant peut utiliser le même moyen pour mener une attaque.
Exemple: quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant envoie un message de redirection 3xx indiquant que l’appelé s'est déplacé et par la même occasion donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous les appels destinés à l’utilisateur sont transférés et c’est l’attaquant qui les reçoit.
Un appel détourné en lui-même est un problème, mais c’est encore plus grave quand il est porteur d'informations sensibles et confidentielles.
L’eavesdroppingest l'écoute clandestine d’une conversation téléphonique. Un attaquant avec un accès au réseau VoIP peut snifferle trafic et décoder la conversation vocale. Des outils tels que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de réaliser cette attaque. VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec n’importe quel lecteur de fichiers son.
Figure 1‑2 Exemple de détournement d'appel " Man in the middle"
Le principe de l’écoute clandestine est montré dans la figure 1-2 comme suit :
déterminer les adresses MAC des victimes (client serveur) par l’attaquant
Envoi d’une requête ARP non sollicités au client, pour l’informer du changement de l'adresse MAC du serveur VoIP à l’adresse MAC.
Envoi d’une requête ARP non sollicités au serveur, pour l’informer du changement de l'adresse MAC du client à l’adresse MAC.
Désactiver la vérification des adresses MAC sur la machine d’attaque afin que le trafic puisse circuler entre les 2 victimes
Ils sont déjà 12405 visiteurs (20627 hits) Ici!
All rights reserved - Copyright 2008 - 2009
Sur cette page
Google search
News
Superbe texte défilant
Bonjour tout le monde et bienvenue au site, vous trouverez ce travail sous forme de rapport pdf sur:
http://www.4shared.com/file/81939378/7a13564a/Rapport_PFE.html
Voila j'espère que le site vous a plus.
Si vous voulez m'envoyer un mail voici mon adresse :
bensalem.bechir@inbox.com
Merci pour votre visite. Avant de finir nous tenons à
remercier notre encadreur M. Slim REKHIS.
I want to dedicate my project and my diploma to my love melli "beshir"
