VoIP Hacking Par MMA 04/01/2014 [email protected]

VoIP Hacking

Par MMA04/01/2014

[email protected]

mailto:[email protected]

2

Sommaire

• Introduction à la VoIP• Contexte• Intrusion réseau• Ecoute téléphonique• Attaque du protocole SIP• Bruteforce des serveurs TFTP

3

Introduction à la VoIP

• Définition:VOIP: Voice Over Internet Protocole.Permet de communiquer / téléphoner en utilisant les réseaux Internet, LAN ou Wifi à la place des lignes téléphoniques standards.

• Principes de fonctionnementFaire circuler sur des réseaux IP, des paquets de données correspondant à des échantillons de voix numérisées.

4


• Les 3 grandes étapes d'une communication de téléphonie sur IP :

1. La mise en correspondance (signalisation)

2. Compression de la voix/vidéo (codecs)

3. Echanges de contenu (transport)

5


• Protocoles de signalisation principaux :– H.323, SIP, MGCP, SCCP(Cisco) …

• Codecs principaux :– Audio : G.711, G.723.1, G.729, GSM…– Vidéo : H.261, H.263, H.264…

• Protocoles de transport audio/vidéo :– RTP, RTCP

6

La VoIP par Cisco (CUCM)

7

Architecture CUCM

• Composants principaux d’une architecture de communications unifiées Cisco :– CUCM (Cisco Unified Communications Manager)– Téléphones IP– PC– Routeur voix– Switch Routeur– Serveur de fichier (FTP/TFTP)– Etc…

8

Architecture CUCM

9

Architecture CUCM

10

Architecture SCCP

• SCCP (Skinny Client Control Protocol) :– Propriétaire Cisco– Permet la signalisation et accord sur le type de

transmission– Utilise RTP/RTCP pour l’envoi de l’audio/vidéo– Nécessite la mise en place d’un CallManager

11

Sommaire


12

Contexte

• Cette intrusion a été réalisée à la demande d’une grande entreprise.

• Le but est d’estimer le niveau de sécurité de l’infrastructure VoIP mise en place.

13

Contexte

• L’intrusion a été réalisée depuis les locaux du client, dans un bureau équipé de téléphones IP déjà paramétrés de marque Cisco.

14

Sommaire


15

Intrusion réseau

• Configuration LAN par DHCP :

16

Intrusion réseau

• Sniff du réseau LAN et découverte des VLANs :

17

Intrusion réseau

• Attaque par saut de VLAN (VLAN Hopping):

– Création de paquets contenant un double TAG• Tag 1 = 300 (correspond au VLAN PC)• Tag 2 = 114 (correspond au VLAN VoIP)

– Switch 1 : suppression du tag 300 -> transmission comme untagged sur le VLAN 300 (PC)

– Switch 2 : suppression du tag 114 -> transmission comme untagged sur le VLAN 114 (VoIP)

18

Intrusion réseau

• Saut de VLAN via l’outil « voiphopper » :

19

Intrusion réseau

• Scan du VLAN VoIP :

20

Intrusion réseau

• Architecture du VLAN VoIP détectée :

21

Intrusion réseau• Informations sur les terminaux téléphoniques via leur interface web :

22

Intrusion réseau

• Informations sur les terminaux téléphoniques :

23

Intrusion réseau

• Screenshot des cadrans via l’URL :« http://ip_phone/CGI/Screenshot »

24

Intrusion réseau

• Déclenchement d’appel à distance via l’URL :« http://ip_phone/CGI/Execute »

POST /CGI/Execute HTTP/1.1Host: 172.26.0.18Accept: */*Content-Type: text/xml; charset="UTF-8"Content-Length: 95 XML=<CiscoIPPhoneExecute><ExecuteItem Priority="0" URL="Dial:0XXXXX7843"/></CiscoIPPhoneExecute>

25

Sommaire


26

Ecoute téléphonique

• Etablissement normal d’une communication :

1) 2)

3)

27


• Attaque MITM :

28


• Attaque MITM entre un téléphone et la passerelle:

29


• Attaque MITM :

30


• Interception des communications :

31


• Ecoute des communications :

32

Sommaire


33

Attaque du protocole SIP

• Service SIP détecté lors du scan d’un serveur jouant le rôle de passerelle SIP.

• Utilisation de l’utilitaire « SiVuS » pour générer un flot continu de paquets SIP simulant des appels vers l’international par exemple.

34

Attaque du protocole SIP

35

Sommaire


36

Bruteforce des serveurs TFTP

• Récupération des fichiers de configuration téléphonique sur les serveurs TFTP :

37

Bruteforce des serveurs TFTP

• Modification des fichiers de configuration possibles via TFTP!

Questions ?

Documents

VoIP Hacking Par MMA 04/01/2014 [email protected]