Corrélation d'évènements dans un environnement VoIP avec ExaProtect

774 views
700 views

Published on

Ce projet est né d’une initiative d’e-Xpert Solutions SA, Exaprotect et IICT qui désiraient collaborer dans le domaine de la sécurité VoIP. En effet, grâce à l’aboutissement de la première étape du projet Vadese (www.vadese.org), l’IICT souhaitait déployer une solution de type SIEM (Security Information and Event Management) disponible sur le marché dans le but de créer un démonstrateur de fonctions de détection et traitement des alertes VoIP.
L’objectif de ce travail de diplôme consiste essentiellement à repérer des sessions SIP et de détecter des attaques complexes basées sur la corrélation de messages SIP et RTP/RTPC utilisés lors de l’établissement d’une communication téléphonique ainsi que l’enregistrement et l’actualisation du client (UA) auprès du proxy SIP.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
774
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Corrélation d'évènements dans un environnement VoIP avec ExaProtect

  1. 1. http://www.heig-vd.ch HEIG-VD Route de Cheseaux 1 CH - 1401 Yverdon-les-Bains Corrélation d'évènements dans un environnement VoIP avec ExaProtect Origines de l’étude Réalisation D’un côté, les composants d’un réseau Un modèle d’environnement VoIP représentatif informatique produisent depuis longtemps de celui d’une petite entreprise a été mis en quantité de journaux place. d’évènements, appelés « La pertinence aussi logs. Ceux-ci sont des logs… » une source extraordinaire de données pertinentes – souvent noyées dans la masse d’informations – sur les activités et évènements se déroulant autour d’eux. De l’autre, la voix sur IP, formidable révolution de la téléphonie, est aujourd’hui en cours de déploiement à grande échelle. Mais cela, trop souvent sans les précautions essentielles en matière de sécurité élémentaire. Certes, les risques concrets ne sont pour l’heure que relativement limités, pourtant, avec la démocratisation « …appliquée à la croissante de sécurité de la VoIP » cette technologie, il y a de fortes raisons de penser que le calme apparent ne perdurera pas. Le premier but consiste à récupérer des informations sur ces composants : • le proxy SIP fournit toutes les données sur Corrélation et ExaProtect la signalisation des appels, Des liens existent assurément entre ces deux • l’IDS indique la présence de messages mondes, il suffit de disposer de l’outil qui RTP entre les téléphones, permettra une analyse suffisamment avancée • l’application Arpwatch qui va informer de des évènements complexes liés à la VoIP. Cet toute attaque sur ce protocole. outil pourrait bien être ExaProtect, un SIEM Rassemblés via Syslog, SNMP ou avec un (Security Information & Event Management) agent spécialisé, ces évènements vont être connu du monde de la sécurité et qui, sur le dans un deuxième temps analysés avec papier, dispose de nombreux atouts pour y ExaProtect sur trois niveaux : parvenir. Les systèmes SIEM ont fait leurs preuves en matière d’analyse globale de la • analyse comportementale « connue » sécurité, ils apportent un moyen extrêmement (appels standards, actions régulières), efficace d’extraction • par scénarios d’attaques (dénis de service, et de corrélation écoutes clandestines, redirections…), des informations à partir de nombreuses • analyse d’attaques inconnues ou données multi-sources et hétérogènes. comportementales telles que le SPIT. Auteur: Romain Wenger Répondant externe: Sylvain Maret Prof. responsable: Stefano Ventura Sujet proposé par: e-Xpert Solutions SA HEIG-VD © 2007 - 2008, filière Télécommunications

×