D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes the confidential nature of its content and his or her engagement not to reproduce it, not to transmit it to a third party, not to reveal its content and not to use it for commercial purposes without previous FTR&D written consent. confidential Étude des problèmes de sécurité liés au protocole SIP Mohamed BOUCADAIR France Telecom R&D
Transcript
D1 - 26/07/01
Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes the confidential nature of its content and his or her engagement not to reproduce it, not to transmit it to a third party, not to reveal its content and not to use it for commercial purposes without previous FTR&D written consent.
confidential
Étude des problèmes de sécurité liés au protocole SIP
Mohamed BOUCADAIR
France Telecom R&D
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D2 - 21-12-01
confidential
Plan
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D3 - 21-12-01
confidential
Étude du protocole SIP et de son architecture Détailler le fonctionnement du protocoleLes entités et les équipements de communication mises en jeuLes mécanismes d’établissement d’un appelLes mécanismes d’enregistrement dans un Location Server, RigistrarLa nature des messages envoyés Les protocoles au-dessus desquels fonctionne
Identifier les besoins et les failles de sécurité SIPSécurité des équipements utilisés dans l’architectureLa communication entre deux équipements
L’accès à distance L’authentification
Sécurité des donnéesIntégritéAuthentification et confidentialitéDOS (déni de service) Fraude au niveau tarification (si existence d’un modèle de Billing)
Proposer des solutions et des paradesSolutions niveau équipements
Niveau accès à distance (configuration, cas de pannes…)Niveau communication avec les autres équipements
Solutions niveau donnéesMécanismes d’authentificationMécanismes de protection de donnéesMécanismes de protection tarifaire
Valider les scénarii identifiésMise en œuvre des attaques respectives aux scénarii identifiés
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D4 - 21-12-01
confidential
Le protocole SIP
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D5 - 21-12-01
confidential
Session Initiation Protocol (SIP)
Développé au sein du Group MMUSIC de l’ IETFProposed standard RFC2543, Février 1999Les travaux ont commencés en 1995Fait partie du Internet Multimedia Conferencing Suite
Fonctions de base : toutes les fonctions d’un protocole de signalisationInviter les utilisateurs à une session
Localiser les utilisateursContient la description des sessions
Modifier une sessionTerminer une session
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D6 - 21-12-01
confidential
Les entités SIP
User Agent Client (UAC)Envoie des requêtes SIP
User Agent Server (UAS)Écoute les requêtes d’appelRépond aux requêtes
User AgentUAC plus UAS
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D7 - 21-12-01
confidential
Les entités SIP(2)
Redirect ServerRe-diriger les requêtes vers d’autres serveurs
Proxy Server« fork » les requêtes Relie les utilisateurs
RegistrarEnregistre les adresses des utilisateurs
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D8 - 21-12-01
confidential
Architecture SIP
Proxy SIP
PasserelleSIP
PBX
RTCRTP
Serveur de localisation SIP
Serveur de re-direction
SIP
Client SIP
SIP
SIP
Réseau IP
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D9 - 21-12-01
confidential
Les commandes SIP
INVITE ACK OPTIONS BYE CANCEL REGISTER
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D10 - 21-12-01
confidential
Fonctions d’un proxy SIP
Services de routage
Authentification et autorisation
Logging/Billing
Traversée des firewall/NAT
Load Balancing
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D11 - 21-12-01
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D12 - 21-12-01
confidential
Problèmes de sécurité SIP
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D13 - 21-12-01
confidential
Objectifs de l’étude sécurité SIP
S'assurer que l'information produite par un utilisateur est convenablement protégée contre l'abus ou le détournement
S'assurer que les ressources et les services sont protégés contre l'abus ou le détournement
S'assurer que les dispositifs de sécurité normalisés sont compatibles
S'assurer que le niveau de la protection est meilleur ou semblable à celui fourni dans les réseaux fixes et mobiles
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D14 - 21-12-01
confidential
État des systèmes actuels
AuthentificationChiffrementHide – Route
Résumé
Besoin Signalisation Flux média
Authentification De bout en boutNœud à nœud
Non prévue
Intégrité De bout en boutNœud à nœud
Non prévue
Non-répudiation Non prévue Non prévue
Confidentialité De bout en boutNœud à nœud
De bout en boutNœud à nœud
Contrôle d’accès Non prévue Non prévue
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D15 - 21-12-01
confidential
Catégories de risques
Vol de service Disponibilité de serviceL’intégrité des messagesL’usurpation d'identité
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D16 - 21-12-01
confidential
Modalités Les messages interceptés
Récupérer le CALL-ID Récupérer le CALL-LEG
Les faux messages Le faux BYE, ayant pour résultat l'arrêt de l'appel. Le faux CANCEL (spoofing) ayant pour résultat l'arrêt de INVITE Le faux ACK (Spoofing ) permettant le détournement de l'appel
Des messages incorrects répétés indéfiniment Déni de service et le flooding Attaques de la mémoire tampon (overrun/stack)
Média intercepté Récupérer les informations sur le port RTP utilisé Récupérer l’adresse IP, numéro du port Récupérer le contenu de la charge utile.
Médias non-désirés ou faux Difficultés de construire des règles dynamiques pour les firewalls
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D17 - 21-12-01
confidential
Exemples de scénarios
A appelle B prétendant être C.
A appelle B, et dés que l’appel est établi C envoie un message BYE à A ou à B.
A appelle B; au moment d’attente de la sonnerie, C envoie un message CANCEL à B ;
A appelle B ; B envoie alors un message ACK ; C envoie aussi un faux ACK avec son propre adresse IP/numéro de port ; quand A envoie à son tours ACK , il est ignoré par B et C fait partie de la conversation
C envoie des faux INVITE causant un déni de service, le téléphone sonne toujours Un faux proxy, envoie un OK mais efface l’enregistrement lors d’un enregistrement
multicast, et alors l utilisateur ne reçoit plus d’appels.
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D18 - 21-12-01
confidential
Exemples d’attaques sur les entités SIP
Proxy SIP
Serveur de localisation SIP
Serveur de re-direction
SIP
Client SIP
SIP
Réseau IP
Déni de service
Dépassement de la pile par l’envoi de longues requêtes
Utilisation des logiciels de contrôle à distance
Attaques
Hijacking d’une session TCP vers le téléphone IP ceci étant possible si une des conditions suivantes est vérifiée :
L’algorithme de génération de CALL-ID est cryptographiquement faible.
Si la session de gestion n’est pas suffisamment protégée
La brute force pour accéder au mot de passe de l’administration
La longueur du mot de passe est inférieur à 6 caractères
Utilisation des logiciels d’accès à distance
Déni de service SYN-floodingEnregistrement périodique des utilisateurs
AttaquesModification des données d’enregistrement
Effacer des enregistrements Enregistrer un utilisateur avec une nouvelle adresse IP eu une nouvelles URLRedirection d’un utilisateur vers une autre adresseEnregistrement illégale
–Enregistre un utilisateur avec une fausse adresse–Rediriger tous les appels dont le destinataire est choisi vers une autre adresse
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D19 - 21-12-01
confidential
Causes identifiées
INVITEa pour effet le non établissement de l’appel, ou changement de session
INVITE avec une temporisation qui a pour effet le time-out de la session existante
BYE rend la session interminable
CANCELempêche la sonnerie du téléphone
OPTIONSn’ affecte pas l’appel
REGISTER induit la non réception des appels
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D20 - 21-12-01
confidential
Problèmes de sécurité SIP
Le forking
L’authentification par plusieurs proxies
L’attaque par réflexion
Problèmes de REGISTER
Problèmes de CANCEL
Le routage
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D21 - 21-12-01
confidential
Besoins de sécuritéBesoin Attaque Objectif Cible
Confidentialité Assurer l’intimité des appelés
et les appelant
Données de contrôleFlux média
Intégrité Assurer l’exactitude des information de contrôle (taxation, facturation,
routage…)
Données de contrôle
Authentification S’assurer de l’identité des
parties communicantes
Flux de contrôleLes composants du réseau
SIPLe système PKI
Contrôle d’accès
Qui est autorisé à accéder au
système ?Quelle partie du système ?
Les composants du réseau SIP
Non-répudiation
Mécanisme de relation entre
utilisateur et fournisseur d’accès
Données de contrôlePKI
Les composants du réseau SIP
Eavesdrooping
Attaques par rejeu
hijacking
spoofing
Accès non autorisé
fraude
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D22 - 21-12-01
confidential
Firewalls , NAT et SIP
FirewallsProblèmes d’administration Impossibilité de définir des règles statiques
NAT SIP utilise l’adresse IP et le numéro de port dans ses champs (VIA,CONTACT, FROM..)
SIP utilise SDPSIP utilise ICMP
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D23 - 21-12-01
confidential
Routage, multicast et SIP
Routage
MulticastDifficulté de distinguer une réponse à une requête multicast s’elle est une réponse à une requête ou début d’une session
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D24 - 21-12-01
confidential
Design des outils d’attaque
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D25 - 21-12-01
confidential
Design des outils SIP
Utilise les bibliothèques suivantesVovidaDynamicSoft
Les attaques possibles
Déni de service d’un proxy SIP: par envoi des demande REGISTER Déni de téléphone SIP: envoi des INVITE Spoofing d’adresses
Interaction entre un serveur RADIUS et un proxy SIP
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D26 - 21-12-01
confidential
Conclusions
France Telecom R&D Diffusion of this document is subject to France Telecom authorization Etude des problèmes de sésurité SIP-D27 - 21-12-01
confidential
Conclusions
L’état de la norme SIP est encore instable Encore besoin de plus d’effort de normalisation SIP n’est pas mieux qu’H.323 niveau sécuité
