Upload
gazaro-sokobla
View
127
Download
2
Embed Size (px)
DESCRIPTION
Introduction à la sécurisation des serveurs Asterisk: les risques, les attaques communes et le mesures préventives
Citation preview
Problématique de la sécurité de la VoIP,attaques communes et mesures préventives.
HACKING & SECURING ASTERISK
Problématique de la sécurité de la VoIP,attaques communes et mesures préventives.
OPENDAYS 2013
Sokobla GazaroWa-Gazaro28/04/2013
SOMMAIRE Voip et Sécurité: les enjeux Voip et Sécurité: le cas d’asterisk Quelques vulnérabilités Sécuriser Asterisk Conclusion
Voip et Sécurité: les enjeux Voip et Sécurité: le cas d’asterisk Quelques vulnérabilités Sécuriser Asterisk Conclusion
28/04/2013
Voip et Sécurité Augmentation des déploiements Voip La problématique sécuritaire souvent reléguée au second plan Les conséquences d’un système de téléphonie compromis
peuvent être CATASTROPHIQUE: Perte de la confidentialité des communications Le détournement des communications peuvent être la source
de failles de sécurités graves L’impact financier peu s’élever jusqu’à plusieurs milliers de
d’euros
Augmentation des déploiements Voip La problématique sécuritaire souvent reléguée au second plan Les conséquences d’un système de téléphonie compromis
peuvent être CATASTROPHIQUE: Perte de la confidentialité des communications Le détournement des communications peuvent être la source
de failles de sécurités graves L’impact financier peu s’élever jusqu’à plusieurs milliers de
d’euros
28/04/2013
Voip et Sécurité Le cas d’asterisk Très répandu Protocoles ouverts et standards Solution d’intégration donc une problématique double:
sécuriser le système et protéger le réseau Les risques sont réels: Interception d’appels DoS Vols de services Communications indésirées ….
Le cas d’asterisk Très répandu Protocoles ouverts et standards Solution d’intégration donc une problématique double:
sécuriser le système et protéger le réseau Les risques sont réels: Interception d’appels DoS Vols de services Communications indésirées ….
28/04/2013
Quelques vulnérabilités Interception d’appel (spoofing + sniffing) Le but de cette attaque est d’intercepter les paquets rtp avec un
outil adapter (sniffer) et de reconstituer la conversation audio. Outils: Ethercap Wireshark
Interception d’appel (spoofing + sniffing) Le but de cette attaque est d’intercepter les paquets rtp avec un
outil adapter (sniffer) et de reconstituer la conversation audio. Outils: Ethercap Wireshark
28/04/2013
Quelques vulnérabilités:Interception d’appels Principe: MITM (Man In The Middle)
28/04/2013
Le pirate se substitut à l’un des interlocuteurs et a l’aide d’unanalyseur réseau capture les paquets voix et peut reconstituerla communication.
28/04/2013
Quelques vulnérabilités Vols de service Cette attaque consiste obtenir un compte utilisateur valide afin
d’avoir accès aux différents services offert par le système de lavictime Outils: Sipvicious
Vols de service Cette attaque consiste obtenir un compte utilisateur valide afin
d’avoir accès aux différents services offert par le système de lavictime Outils: Sipvicious
28/04/2013
28/04/2013
Quelques vulnérabilités Dos (Denial of Service) Le but est de rendre un système inexploitable en l’inondant de
requête. Outil: LOIC (Low Orbit Ion Canon)
ngrep -d eth0 -p -q -W byline port 5060 28/04/2013
28/04/2013
Sécuriser Asterisk Sip.conf alwaysauthreject = no (Empêche la diffusion des extensions
disponibles) allowguest= no (interdire les appels des utilisateurs non
authentifiés) Secret= (Choisir des mots de passe robustes) Une astuce efficace consiste également à utiliser un username
différent du numéro d’extension
Sip.conf alwaysauthreject = no (Empêche la diffusion des extensions
disponibles) allowguest= no (interdire les appels des utilisateurs non
authentifiés) Secret= (Choisir des mots de passe robustes) Une astuce efficace consiste également à utiliser un username
différent du numéro d’extension
28/04/2013
Sécuriser Asterisk Extension.conf Sécuriser le contexte par défaut (default): votre configuration doit
interdire les appels externes aux utilisateurs non authentifiés.L’application « Authenticate(password[|options[|maxdigits]])»peut être utilisée.
Sécuriser l’AMI Manager Permit/deny= X.X.X.X (limité les @IP autorisées à se
connecter à l’AMI Manager)
Extension.conf Sécuriser le contexte par défaut (default): votre configuration doit
interdire les appels externes aux utilisateurs non authentifiés.L’application « Authenticate(password[|options[|maxdigits]])»peut être utilisée.
Sécuriser l’AMI Manager Permit/deny= X.X.X.X (limité les @IP autorisées à se
connecter à l’AMI Manager)
28/04/2013
Sécuriser Asterisk Switching niveau 3 Gere l’association MAC/IP
ARPWATCH Détecte les attaque ARP (poisonning)
Switching niveau 3 Gere l’association MAC/IP
ARPWATCH Détecte les attaque ARP (poisonning)
28/04/2013
Sécuriser Asterisk Fail2ban
Fail2Ban est un logiciel libre permettant d'analyser des fichiersde logs et de déclencher des actions si certaines chosessuspectes sont détectées.
Fail2ban protège votre serveur contre les attaques detypes brute force.
Fail2ban
Fail2Ban est un logiciel libre permettant d'analyser des fichiersde logs et de déclencher des actions si certaines chosessuspectes sont détectées.
Fail2ban protège votre serveur contre les attaques detypes brute force.
28/04/2013
Conclusion La VoIP à changer le mode de communication des
entreprises Les problèmes de sécurité existes et sont bel et bien exploité
par les Hackers Asterisk offre cependant des solutions simples pour assurer
un niveau de sécurité suffisant pour la pluspart desutilisateurs Cependant des efforts peuvent encore être fait
La VoIP à changer le mode de communication desentreprises Les problèmes de sécurité existes et sont bel et bien exploité
par les Hackers Asterisk offre cependant des solutions simples pour assurer
un niveau de sécurité suffisant pour la pluspart desutilisateurs Cependant des efforts peuvent encore être fait
28/04/2013
Liens Utiles http://sysadminman.net/blog/2009/hacking-and-securing-
your-asterisk-server-592 http://www.voipmechanic.com/securing-asterisk.htm http://blogs.digium.com/2009/03/28/sip-security/ http://www.chrismc.de/development/xarp/ http://www.voip-
info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk http://blog.rassemblr.com/2012/05/fighting-asterisk-dos-
attack/
http://sysadminman.net/blog/2009/hacking-and-securing-your-asterisk-server-592 http://www.voipmechanic.com/securing-asterisk.htm http://blogs.digium.com/2009/03/28/sip-security/ http://www.chrismc.de/development/xarp/ http://www.voip-
info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk http://blog.rassemblr.com/2012/05/fighting-asterisk-dos-
attack/
28/04/2013