Dimensionnement et mise en place d’une solution VOIP sécurisée.

5.4.6 Attaque Eaeaveasdropping

Cette attaque est utilisée pour écouter et enregistrer les conversations entre

les interlocuteurs mais aussi de récupérer un ensemble d'informations confidentielles.

P a g e 54 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

? Prérequis

Il faut réaliser préalablement une attaque de type MITM pour rediriger le trafic vers la machine de pirate.

Wireshark : C'est l'un des logiciels les plus utilisés pour ce qui est de la surveillance, intrusion et capture dans les réseaux. Non seulement il peut capturer et analyser des trames, mais aussi, dans le cas de conversations téléphoniques, convertir ces trames en fichiers audio.

Lancer Wireshark

Il suffit de lancer dans la machine pirate : wireshark

Choix de l'interface réseau sur laquelle on va effectuer la capture des paquets échangés

Figure 55 : capture de tous les paquets dans le réseau

Figure 56 : sélection des paquets rtp

P a g e 55 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

Figure 57 : chargement des flux rtp

Figure 58 : sélection de tous les paquets rtp

Figure 59 : jouer le flux rtp

Figure 60 : l'écoute du contenue des paquets rtp

P a g e 56 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

On voie que les paquets rtp qui circulent dans le réseau peuvent être écoutés en claire par le pirate.

5.4.7 Mécanisme de sécurité

La sécurisation des appels se fait en deux niveaux :

? Le trafic sip ? Le trafic rtp

a) Chiffrement du trafic sip avec TLS

Pour cela, nous allons faire appel au protocole TLS - Transport Layer Security.

Générer les clés :

Créer un dossier qui contiendra les clés : mkdir /etc/Asterisk/keys

Le script permettant de créer les clés se trouve dans le dossier suivant :

#cd /usr/src/Asterisk/Asterisk-11.10.2/contrib/scripts/

A l'exécution du script, il est demandé de spécifier le mot de passe des fichiers. Les fichiers suivants devraient être créés :

#cd /ls

Asterisk.crt asterisk.csr asterisk.key asterisk.pem ca.cfg ca.crt ca.key tmp.ccfg

Nous avons donc un certificat self-signed pour l'autorité de certificat, et un certificat pour le serveur Asterisk.

Nous avons aussi une clé privée pour l'autorité de certificat et une pour Asterisk. Les fichiers PEM regroupent la clé privée et le certificat.

Les fichiers CSR sont des fichiers de requête de certificat (nous n'en avons pas besoin).

Ensuite, créons les clés et les certificats pour les clients.

# ./ast_tls_cert -m client -c/ etc/Asterisk/keys/ca.crt -k /etc/Asterisk/keys/ca.key - C 192.168.43.120 -O "Master_RSD" -d /etc/Asterisk/keys/ -o 6001

L'opération est à répéter pour tous les clients devant bénéficier de TLS.

A présent, nous devons configurer Asterisk pour autoriser l'utilisation de TLS. Dans le fichier sip.conf, apporter les modifications suivantes :

P a g e 57 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

[general]

tlsenable=yes

tlsbindaddr=0.0.0.0

tlscertfile=/etc/asterisk/keys/asterisk.pem tlscafile=/etc/asterisk/keys/ca.crt tlscipher=ALL

tlsclientmethod=tlsv1

Ensuite, nous devons autoriser les clients à utiliser TLS, toujours dans le fichier Sip.conf, on ajoute la ligne transport=tls pour tous les clients.

[template](!) type=friend host=dynamic disallow=all allow=ulaw context=ISS Afrique transport=tls

A la enfin, Chaque client doit posséder 2 fichiers :

Et enfin, nous pouvons configurer les postes des clients. Pour cette démonstration, utilisons les softphone Zoiper et Xlite.

Chaque client doit posséder 2 fichiers :

Figure 61 : Certificat et clé pour chiffrer la communication.

Ajouter l'adresse IP du serveur Asterisk, spécifier le port 5061 et choisit le type de transport TLS.

Dans le serveur Asterisk, on peut vérifier si le TLS était bien configuré :

P a g e 58 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

Figure 62 : configuration de TLS

b) Chiffrement du trafic rtp avec SRTP Pour cela, nous allons utiliser le protocole SRTP.

Les premières étapes consisteront à télécharger et installer les bibliothèques SRTP

# cd /usr/src/

#wget http://srtp.sourceforge.net/srtp-1.4.2.tgz

# tar xfzv srtp-1.4.2.tgz

# cd srtp

#./configure --prefix=/usr

? Compiler et installer

#make

#make install

? Nous devons assurer que le module SRTP est sélectionné dans l'Asterisk, pour ce faire, nous devons aller dans le menuselect

#make menuselect

? Aller à la section modules de ressources et vérifier que res_srtp est sélectionné

P a g e 59 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

Figure 63 : sélection res_srtp

? Pour qu'Asterisk prenne en charge SRTP, il nous faut le réinstaller.

# make clean # ./configure # make

# make install

Il faut forcer l'utilisation de SRTP sur les clients voulus. Pour cela, ajouter la ligne encryption=yes chez les utilisateurs concernés dans users.conf.

[template](!) type=friend host=dynamic disallow=all allow=ulaw context=ISS Afrique transport=tls encryption=yes

P a g e 60 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

En fin on configure softphone de poste client pour qu'il utilise SRTP ou imposer l'utilisation du port 5061 qui est sécurisé.

Figure 64 : configuration du poste client

Figure 65 : imposer le port 5061 au client

Refaire l'attaque vu auparavant de l'écoute et analyse des flux RTP.

Figure 66 : sécurisation des paquets RTP

P a g e 61 | 89

Dimensionnement et mise en place d'une solution VoIP sécurisée

On remarque que la forme d'audio est déformé, en plus lorsqu'on clique sur le bouton play on écoute juste de bruit.