lundi 6 avril 2020    || Inscription
BanniereNews
 
 
Nicolas Fishbach présente aux JSSI 2006 un retour d´expérience d´un projet de VoIP vu par un opérateur de télécommunications.

Il constate que le changement est train d´être accepté et que la confiance est là, même si parfois la qualité baisse un peu. Mais précise-t-il, nous n´en sommes qu´au tout début et bien des offres vont encore évoluer.


Le SBC pour relier différents environnements VoIP
Le consommateur grand public voit la VoIP à travers les offres de Skype ou le protocole SIP.

Si l´on regarde les réseaux de PABX, nous constate qu´il existe deux approches différentes suivant que l´on opère ou non des translations d´adresses entre sites, en mettant en oeuvre ou non un réseau MPLS. L´élément essentiel est le SBC (Session Border Controler) qui conserve toutes les informations pour relier les différents environnements. Il assure la sécurité, la translation d´adresses IP (NAT), opère les corrections et conversion dans la signalisation et les en-têtes des paquets IP. Il peut être mis en oeuvre à différents niveaux de l´architecture : entre le client et l´opérateur, sur le réseau local du client, ou entre les réseaux des différents opérateurs. La question se pose du besoin de fonction firewall et de NIDS sur cet équipement.


Un monde nouveau à gérer : patch management et gestion des «dialectes»

La VoIP nous amène dans le monde du patch management, de la gestion des multiples correctifs, de leur test, de leur déploiement et de la maintenance des équipements. C´est la principale nouveauté par rapport à la téléphonie traditionnelle. On peut avoir des problèmes d´incompatibilité entre systèmes. Les défis à relever consiste à gérer les différents protocoles VoIP (SIP, H323 ou encore MGCP). En termes de sécurité, on constate que chaque équipementier a introduit des langages propres, on peut parler de « dialecte » pour chaque constructeur. Il y a plusieurs type de stacks VoIP, qui introduisent toutes des vulnérabilités différentes. On doit examiner l´apport des SBC et Firewall : apportent-ils des solutions ou génèrent-ils de la complexité ? Sommes-nous en train de mettre en place des backdoors dans les réseaux des clients pour mieux les gérer ? Et que devient la qualité (QoS) ?

La conséquence de la multiplicité des «dialectes» VoIP est un certain nombre de difficultés :
- comment mettre en place des firewalls avec contrôle d´accès (ACL) et inspection de tous les protocoles ?
- comment gérer les «timeouts» et ne pas laisser des sessions éternellement ouvertes ?

De nombreux outils permettent de se rendre compte de la difficulté : vomit, ILTY (I´m Listen To You), VOIPONG, scapy (VoIPoWLAN), etc.

Il n´est pas difficile de faire tomber un IP Phone. On trouve des implémentations faibles de stacks TCP/IP, des softs bugés non corrigés, à l´intérieur du réseau, on peut attaquer les serveurs DHCP, TFTP, et de contrôle d´accès.

Il n´est pas obligatoire de passer au tout VoIP, on peut aussi garder les PABX avec les téléphones traditionnels et ne véhiculer la VoIP qu´entre les routeurs.

Menace sérieuse de DDoS, et complexité accrue à la convergence fixe-mobile
La menace la plus sérieuse est celle du DDoS. Il est très difficile d´attaquer un réseau de signalisation SS7 sur un réseau public traditionnel. On a en revanche des tas d´outils, de sniffers dans le monde IP : Ethereal, Wireshark, etc. On peut aussi placer un rootkit sur RTP. Et la convergence des réseaux fixes et mobiles (FMC) ne va pas simplifier les choses ...

On se demande parfois si les constructeurs ont déjà entendu parler de la sécurité des applications Web ou d´injection SQL ? C´est surprenant !

Entre les réseaux d´opérateurs, on ne peut faire de simples interconnexions, par exemple faire des VPN MPLS de bout en bout, il faut casser ces VPN et introduire des interfaces IP à IP. Il faut cacher la topologie des infrastructures aux tiers. Utiliser des SBC.

Pour le futur, nous n´allons pas vers la simplicité. Les sous systèmes multimédia IP (IMS - IP multimedia Subsystem) arrivent avec les réseaux mobiles 3G et 4G en IP. Avec aussi des ouvertures pour les MVNO. Les firewalls seront complexes à mettre en oeuvre, voire impossible à mettre en oeuvre. Il faut s´attendre à des attaques passant des réseaux fixes aux réseaux mobiles et inversement...



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI