La VoIP est depuis quelques années déjà une partie intégrante du SI. Elle est considérée comme un point sensible car les conversations permettent de révéler des informations importantes et surtout, peuvent porter à la vie privée des employés. Nous allons donc voir ici, d'un point de vue technique, quelle est la manière de récupérer des conversations.
Il est important de noter que le cas présenté ici est simple. En effet, nous considérons que tous les composants de notre attaque (passerelle VoIP + machines victimes + machine d'audit) sont dans le même réseaux ou dans des réseaux non cloisonnés.
Aussi, les flux ne sont pas chiffrés et l'authentification inexistante. Cependant, c'est un cas tout à fait réaliste dans le sens où c'est ce que nous pourrions trouver dans une entreprise qui a laissé les paramétrages par défaut.
2 - Localisation des éléments clés
Notre interception de trafic repose sur le sniff entre la passerelle VoIP et le routeur le plus proche de la machine d'audit (ici). Ensuite, nous devons accompagner ce sniff par une attaque de type Man-in-the-Middle. Nous devrions alors récupérer un tas de choses intéressantes...
2.1 - Localisation du routeur le plus proche
Nous effectuons tout simplement un traceroute pour trouver le routeur en question (ce que nous pourrons vérifier par des moyens simples (ifconfig / requête SNMP / ...) :
L'adresse de notre routeur est donc : 10.xxx.yyy.2.
2.2 - Localisation de notre passerelle VoIP
Nous utilisons l'outil smap qui permet de trouver les éléments actifs sur le port 5060 (SIP).
Nous détectons ainsi la passerelle comme le montre le screenshot suivant :
L'adresse de notre passerelle VoIP est donc : 10.xxx.zzz.130.
Pour vérification et avoir plus d'information sur ma machine repérée, nous lançons smap avec l'option -o :
3 - Interception du trafic
Nous mettons en œuvre cette fois l'attaque Man-in-the-Middle à l'aide de l'outil Ettercap. Puisque cette attaque est bien connue et déjà expliquée sur ce blog, nous n'entrerons pas dans les détails ici. Sinon, voir [post, point 3.2] [wikipedia].
Nous lançons la commande :
4 - Capture et enregistrement des conversations
Pour réussir cette dernière étape, nous utilisons deux outils disponibles notamment sur la backtrack 3 :
Pour donner l'adresse du réseau audité, aller dans le fichier de configuration voipongnets.
Vous trouverez seulement deux lignes. Ici, notamment sur la deuxième ligne, mettez le sous réseau audité. Si ça ne marche pas, faites de même sur la première ligne.
4.2 - Lancement des outils
Tout simplement, nous lançons voipong ...
... puis voipctl
4.3 - Écoutez !
Il ne vous reste plus qu'à récupérer les fichiers audio enregistrés (voir le fichier de configuration de voipong pour connaître le répertoire de destination) et à lancer votre lecteur audio préféré.
Have fun! ;)
Aussi, les flux ne sont pas chiffrés et l'authentification inexistante. Cependant, c'est un cas tout à fait réaliste dans le sens où c'est ce que nous pourrions trouver dans une entreprise qui a laissé les paramétrages par défaut.
2 - Localisation des éléments clés
Notre interception de trafic repose sur le sniff entre la passerelle VoIP et le routeur le plus proche de la machine d'audit (ici). Ensuite, nous devons accompagner ce sniff par une attaque de type Man-in-the-Middle. Nous devrions alors récupérer un tas de choses intéressantes...
2.1 - Localisation du routeur le plus proche
Nous effectuons tout simplement un traceroute pour trouver le routeur en question (ce que nous pourrons vérifier par des moyens simples (ifconfig / requête SNMP / ...) :
L'adresse de notre routeur est donc : 10.xxx.yyy.2.2.2 - Localisation de notre passerelle VoIP
Nous utilisons l'outil smap qui permet de trouver les éléments actifs sur le port 5060 (SIP).
smap 10.xxx.zzz.0/24
Nous détectons ainsi la passerelle comme le montre le screenshot suivant :
L'adresse de notre passerelle VoIP est donc : 10.xxx.zzz.130.Pour vérification et avoir plus d'information sur ma machine repérée, nous lançons smap avec l'option -o :
smap -o 10.xxx.zzz.130
3 - Interception du trafic
Nous mettons en œuvre cette fois l'attaque Man-in-the-Middle à l'aide de l'outil Ettercap. Puisque cette attaque est bien connue et déjà expliquée sur ce blog, nous n'entrerons pas dans les détails ici. Sinon, voir [post, point 3.2] [wikipedia].
Nous lançons la commande :
ettercap -Tqi eth0 -M arp /10.xxx.zzz.130/ /10.xxx.yyy.2/
4 - Capture et enregistrement des conversations
Pour réussir cette dernière étape, nous utilisons deux outils disponibles notamment sur la backtrack 3 :
- voipong
- voipctl
Pour donner l'adresse du réseau audité, aller dans le fichier de configuration voipongnets.
cd /usr/local/etc/voipong
vi voipongnets
Vous trouverez seulement deux lignes. Ici, notamment sur la deuxième ligne, mettez le sous réseau audité. Si ça ne marche pas, faites de même sur la première ligne.
4.2 - Lancement des outils
Tout simplement, nous lançons voipong ...
... puis voipctl
4.3 - Écoutez !
Il ne vous reste plus qu'à récupérer les fichiers audio enregistrés (voir le fichier de configuration de voipong pour connaître le répertoire de destination) et à lancer votre lecteur audio préféré.
Have fun! ;)
6 commentaires:
Merci pour votre blog que j'ai découvert aujourd'hui même.
Etant encore en formation (Master en securité), il est intéressant de voir la partie pratique ainsi que des méthodologies bien appliquées.
Petite question si pas trop indiscrète, quel est votre cursus scolaire ?
Merci et encore bravo pour ce blog.
Cordialement,
C'est en effet le but principal de ce blog : montrer le côté pratique et en français, c'est encore plus rare. Surtout, ce sont des tests vérifiés et rejoués. Cependant, j'en profite pour rappeler que les attaques montrées ne doivent en aucun cas être exécutées sur un environnement qui ne nous appartient pas ou sans autorisation dans le cadre d'un audit !
Concernant ma formation, la question n'est pas spécialement indiscrète mais je te laisse trouver ;)
[Indice] Voir le post du 5 février 2008 de ce blog.
Je rajoute deux petits liens concernant ces exploits Voip mais en vidéo pour les personnes intéressés :
Voip Sniff avec Wireshark :
http://benjy-blog.blogspot.com/2008/09/voip-sniff-video.html
Voip Sniff avec Voipong :
http://benjy-blog.blogspot.com/2008/11/voipong-video.html
Cordialement,
benjy-blog
Intéressant...
Attention de ne pas confondre Commutateur et Routeur. Ce n'est pas un commutateur qui répond à ton traceroute mais un routeur.
Ensuite, ton smap est valable si tu as bien une passerelle Voip dans ton subnet. Si tu dois te taper un /8, c'est un peu moins zen qu'un /24...
Et si ton réseau est un peu segmenté correctement, tu vas également galérer pour faire ton Man-In-the-Middle...
Mais bon, faut pas désespérer, ça doit bien exister des réseaux mal foutus comme celui qui a servi à ton tuto...
Pour le cursus, M.Anonyme n°1 veut un résumé depuis l'école primaire à Dieppe ? pas besoin d'être un rusé renard pour trouver ça...
1/ Bien entendu, un routeur ! ça m'apprendra à ne pas me relire :(
2/ Effectivement, avec un /8, c'est plus laborieux. En fait, ici, le range IP concerné avait été trouvé. Ne manquait plus que l'adresse exacte. D'où l'importance de la phase de recherche.
3/ ça existerait ? dans la vraie vie ? meuuuuuuuuuuh non.
Enregistrer un commentaire