Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité de la téléphonie, pénétration du VLAN voix

Sécurité de la téléphonie, pénétration du VLAN voix
2011-11-022013-04-11sériesfr
Pour essayer de démontrer que malgré une réalité qui n'est pas tendre, il y a toujours des moyens de renforcer la sécurité sur ces environnements, je vais vous proposer une série de petites vidéos retraçant les grandes étapes d'un audit (forcément catastrophique !) et les...
Publié le 2 Novembre 2011 par Cedric Baillet dans séries
phone

Récemment, des référents sécurité m’ont encore déclaré que la téléphonie ne pouvait pas être sécurisée. Cela s’appelle jeter un pavé dans la mare ! Surtout lorsque l’on jette un gant comme celui-ci à la figure de quelqu’un dont le métier est précisément d’essayer de réduire les risques sur cette technologie.

Pour essayer de démontrer que malgré une réalité qui n’est pas tendre, il y a toujours des moyens de renforcer la sécurité sur ces environnements, je vais vous proposer une série de petites vidéos retraçant les grandes étapes d’un audit (forcément catastrophique !) et les préconisations pour résoudre les points levés.

Pour notre premier rendez vous, la facilité d’accès du VLAN voix va être testée.

audit sécurité : l'accès au VLAN voix

Pour rappel, dans la plupart des installations, le téléphone IP est raccordé directement au réseau sur un port gérant les VLAN voix et data. Le téléphone a donc accès à ces deux VLAN, tandis que le PC branché sur ce dernier n’accède qu’à la partie data. Le but du jeu est donc d’étudier comment obtenir un accès au VLAN voix.

Voir cette vidéo sur YouTube

Unique outil utilisé : une carte réseau supportant le multi VLAN.

L’attaque de la vidéo a été réalisée à partir d’un Mac. Certains crieront que c’est un scandale, d’autres le porteront au firmament. Personnellement, je trouve que c’est une machine avec un hardware puissant permettant d’impacter le réseau sans avoir trois PC dans son sac. De plus, on y retrouve une base de type BSD, ce qui permet de compiler la majeure partie des scripts utiles.

Pour le reste, la virtualisation offre la possibilité de faire tourner tous les systèmes de façon fluide (le hardware, souvenez vous). Mais bon, la vraie raison c’est peut-être que je suis un fan de la série Millenium et que Lisbeth Salander m’inspire. Cela doit être mon coté obscur.

Mais revenons au vrai sujet, cette vidéo a donc permis de montrer plusieurs faiblesses dans la gestion de la sécurité de la téléphonie de cette installation.

les enseignements de l'audit du téléphone

Tout d’abord, le menu administrateur du téléphone n’aurait pas du être accessible depuis l’interface utilisateur. Il est évident que si l’information du VLAN n’est pas disponible, cela complique les choses.

Certains pourraient répondre que des outils comme UCSniff ou VoipHopper sont là pour cela (uniquement dans un monde Cisco). C’est vrai. Néanmoins, cela demande un minimum de connaissances techniques de la part de l’attaquant, ce qui réduit le risque. Par ailleurs, il est toujours possible de configurer le VLAN à la main.

Deuxième point, le VLAN choisi pour la voix est très bas (11). Si l’attaquant ne peut utiliser un outil automatique comme ceux cités précédemment, il faudra réaliser une recherche systématique du VLAN, soit à la main, soit par script (à faire soi-même, cette méthode n’ayant pas la faveur des experts publiant des outils sur Internet).

Il devient alors évident que si le numéro de VLAN est 800, la méthode manuelle sera un calvaire et la méthode scriptée prendra au mieux plusieurs dizaines de minutes (expérience personnelle). La difficulté qui vient d’être ajoutée n’est en rien une charge pour l’administrateur et complique déjà les choses pour notre attaquant.

conclusion : la sécurité de la téléphonie en quelques étapes

Les deux propositions ci-dessus ne portent que sur la configuration du système téléphonique et du réseau et cela quasiment sans aucune surcharge de travail des équipes devant intégrer les systèmes.

Maintenant, pour ceux qui peuvent s’investir pour monter le niveau de sécurité d’un cran, il est possible d’envisager les technologies de type 802.1X. Cela permettra d’authentifier les terminaux à l’accès avant même d’ouvrir le réseau. Un moyen imparable pour bloquer les attaquants dès le départ. Mais cela est une autre histoire…

Le sujet que j’attaque avec ce post est très vaste. Il peut être l’occasion d’échanger au travers de commentaires. Je vous invite donc à indiquer des points que vous aimeriez voir traités, ou encore des expériences vécues qui me donneraient de la matière.

Cedric

5 Commentaires

  • 2 Novembre 2011
    2011-11-02
    par
    Effectivement, mais il ne faut pas utiliser le vendor class identifier seul, il faut le combiner avec l'adresse mac du téléphone, de cette manière, sur le réseau de l'entreprise il n'y a que les téléphones référencés qui peuvent se provisionner et être authentifié.
    C'est aussi une méthode qui permet de définir au niveau du DHCP des "sites géographiques" en fonction des plages d'adresse IP (lorsqu'il sagit d'une solution multisite distants par exemple) de manière à éviter que des collaborateurs qui changent de site prennent leur téléphone et le branche quand ils le veulent sur un autre site ... notamment pour des problématiques de routage des numéros d'urgence en fonction de la zone géographique.
  • 2 Novembre 2011
    2011-11-02
    par
    La mise en œuvre d'un vendor class au niveau du DHCP complexifiera clairement la tache. En effet, il faudra d'abord penser qu'il est nécessaire de spoofer l'adresse MAC du poste IP, avant de chercher à se connecter (elle est souvent inscrite directment sur le poste, il sera donc simple de la trouver ...). Néanmoins, si certains constructeur de ToIP proposent un serveur DHCP intégré avec ce type de fonction, ce n'est pas le cas pour la majorité d'entre eux. Il s'agit donc souvent d'un élément supplémentaire à prendre en compte lors de la mise en production.
    Cedric Baillet
  • 2 Novembre 2011
    2011-11-02
    par
    Bonjour,

    Votre article est intéressant et met le doigt sur un aspect très important pour les entreprises.

    Ce que j'avais choisi d'implémenter chez mes clients (offres nationales très connu de ToIP et convergence fixe-mobile), il y a quelques années lorsque nous leurs avons déployé de la ToIP, c'est au niveau du DHCP de faire un filtrage en fonction du "vendor-identifier" au niveau de l'adresse mac des téléphones autorisés. C'est ce que je continue de faire aujourd'hui dans mes préco pour mes clients.

    Lamine TALAKELA - Consulting TIME
  • 2 Novembre 2011
    2011-11-02
    par
    Bonjour,
    C'est un script assez simple. J'ai travaillé en perl avec les librairies standards et les commandes système sous linux. Cela doit même pouvoir se faire en shell sans s'embarasser du perl.
    Le mécanisme que j'ai employé est vraiment basic. Je crée des sous interfaces pour chaque VLAN (vconfig) et j'essaie de récupérer une adresse IP dessus. Dans la plupart des cas, si on récupère une adresse, c'est que l'on se trouve dans le vlan voix.
    Ne pas oublier de nettoyer les sous interfaces à la fin ...
    Cedric Baillet
  • 2 Novembre 2011
    2011-11-02
    par
    Avez-vous diffusé votre script de recherche de VLAN ? Si non, quelle(s) bibliothèque(s) avez-vous utilisé pour le développer ? Merci,

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage