Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Artemisa, un Honeypot Open Source réactif pour les réseaux VoIP implémentant SIP

Par Rédaction, secuobs.com
Le 13/04/2010


Résumé : Artemisa est un projet Open Source qui se destine aux réseaux de type VoIP implémentant le protocole SIP. Ce Honeypot s'accompagne de plusieurs scripts Bash qui vont permettre d'ajuster automatiquement les règles de filtrage en fonction des classifications effectuées préalablement par ses soins.



Artemisa est un projet Open Source fournissant un Honeypot ( lien ) pour les réseaux VoIP ( lien ) qui implémentent le protocole SIP ( lien ). En pratique, Artemisa va s'enregistrer en tant que téléphone conventionnel auprès du serveur d'enregistrement SIP associé au domaine d'entreprise où il est déployé. Il sera dès lors censé pouvoir détecter les activités SIP malicieuses à un stade précoce.

Lorsque des attaques SIP sont identifiées au sein d'un réseau VoIP, le premier réflexe des administrateurs pourrait être de bloquer automatiquement les appels provenant de sources inconnues, cependant des appels légitimes seraient alors également perdus, provoquant ainsi des conséquences plus que fâcheuses, notamment pour les équipes commerciales et dirigeantes.

Supposons maintenant qu'Artemisa s'enregistre avec une vingtaine d'extensions auprès du serveur d'enregistrement SIP du domaine. Lorsqu'un attaquant va investir le réseau VoIP, il va identifier ces extensions et les appeler. Artemisa pourra alors mener des investigations sur ces appels, la source offensive n'étant normalement pas censée être au courant de la véritable nature du destinataire.

Concrètement, Artemisa va analyser les messages SIP reçus et les classifier selon les résultats obtenus après vérifications. Parmi les classes disponibles, on retrouve les outils d'attaque connus ( lien ), les balayages ( lien ), les Dénis de Service ( lien Sniffing Tools ) ou les SPITs ( lien ). Une dernière classe regroupe quant à elle l'ensemble des appels n'ayant pas pu être réparti au sein de ces dernières.

Pour sa mise en activité, il est uniquement nécessaire de l'exécuter sur une machine faisant partie du domaine et de le configurer de façon à ce qu'il puisse enregistrer au moins une extension auprès du serveur d'enregistrement SIP du domaine. Il est de plus recommandé de le déployer au sein d'une machine virtuelle afin d'éviter les risques de compromission pour une machine en production.

L'analyse des messages va en fait consister en plusieurs étapes de vérification qui vont permettre d'évaluer si une source d'appel peut être considérée comme de confiance. Une recherche d'empreinte va permettre de détecter initialement les outils d'attaques connus, alors que le nom de domaine sera ensuite vérifié afin de déterminer s'il correspond bien à celui spécifié au sein des messages SIP reçus.

Outre des vérifications sur les messages ACK ( lien ) de la source, les médias qu'elles envoient et les URI qu'elles ciblent, on notera également que ses ports SIP, et média, seront balayés afin d'identifier s'ils sont ouverts comme ils le prétendent. Les résultats seront ensuite exposés via la console et seront de plus enregistrés sous la forme de fichiers texte ou HTML, l'envoi par email étant optionnel.

Avec l'ensemble de ces informations, les administrateurs seront alors en mesure de configurer des règles de filtrage efficaces pour bloquer les attaques les plus « basiques » provenant d'une ou de multiples sources non dynamiques. Artemisa fournit par ailleurs des scripts Bash qui permettent d'automatiser ces ajustements en fonction des résultats obtenus par les différentes investigations.

Le script adéquat étant ici choisi en fonction de la nature qui aura été déterminée pour chaque message suspicieux. Ces scripts permettent de faire face à des situations particulières comme les Dénis de Service, les balayages et les SPITs. A noter finalement que si l'option est configurée, les appels seront enregistrés au format WAV afin de faciliter leur analyse, notamment pour les SPITs.

Télécharger Artemisa en version 1.0.76 ( lien )
Le site officiel ( lien )
La documentation ( lien )

Source : Comptes Twitter @0x58 et @thorstenholz ( lien )