Professional Documents
Culture Documents
Rsum Ce document est un dlivrable du projet VaDeSe. Il sadresse aux auditeurs de scurit de rseaux VoIP et dcrit la mthodologie daudit de rseaux VoIP dveloppe dans le cadre du projet VaDeSe. Des checklists dtaills pour chaque tape de laudit sont fournis. La mthodologie est complte par des outils de tests, galement dvelopps dans le cadre du projet VaDeSe.
Introduction
Un rseau VoIP est une cible potentielle de diverses menaces. Des attaques de Dni-deService peuvent empcher les utilisateurs communiquer et entraner des pertes conomiques considrables. Lcoute clandestine de communications, p.ex. par un employ depuis lintrieure du rseau, est plus facilement ralisable que dans les services traditionnels (e-mail, Web), cause de la dure dune communication. Les attaques de vol de service permettent un intrus dacheminer du trafic VoIP sur linfrastructure de lentreprise. Des cas ont t reports o le cot dune attaque de vol de service a atteint plusieurs centaines de milliers de dollars. Vu limportance de la communication par tlphone pour la mission dune entreprise, la gestion des risques de la VoIP doit tre considr comme une partie intgrante de la politique de scurit de dune entreprise. Pourtant, les comptences dans ce domaine sont encore rares. Dans le cadre du projet VaDeSe, des recommandations pour la scurisation de rseaux VoIP ainsi que laudit de la VoIP ont t dveloppes. Le document prsent dcrit une mthodologie daudit pour les rseaux VoIP. Il dcrit la procdure gnrale de laudit et fournit des checklists dtailles, utiliser lors de laudit. Des outils de test (vulnrabilits, tests de pntrations) sont galement disponibles.
La mthodologie daudit est applicable aux rseaux VoIP bass sur le protocole SIP. Tous les services de base (SIP, interconnexion VoIP-PSTN, localisation, proxy, routage, numrotation) ainsi que certains services supplmentaires (comptabilisation, redirection dappels, NAT, ) sont considrs. La mthodologie daudit traite la scurit interne (menaces venant depuis lintrieur du rseau) et la scurit externe (menaces venant depuis lextrieur, Internet). Des technologies qui ne sont pas bases sur SIP, comme Skinny de Cisco ou H.323, ne sont pas considres. Les rseaux VoIP sont raliss sur une infrastructure de rseaux LAN et IP classiques. Plusieurs mthodologies (p.ex. [2]) peuvent tre utiliss pour laudit de scurit de ces rseaux classiques. Bien que la scurit VoIP soit fortement influence par la scurit de linfrastructure LAN/IP sous-jacente, nous nous limitons lanalyse des mcanismes directement lis la VoIP. O ncessaire, des rfrences aux mthodes daudit de rseaux LAN/IP sont donnes.
Audit de la scurit de rseaux VoIP les auditeurs de scurit de rseaux de tlcommunications, les responsables de scurit des systmes dinformation des entreprises, les administrateurs de rseaux des entreprises.
Rfrences
NIST 800-30 : Risk Management Guide for Information Technology Sytems. Dcrit une mthodologie daudit ayant comme approche la mthode dvaluation de risques. Elle est spcifique pour la scurit informatique et de rseaux. OSSTMM Open Source Security Testing Methodology Manual. Recommandation pour les tests de scurit, notamment des tests de pntration. CobiT Audit Guidelines, 3me dition. Dcrit une mthodologie daudit gnrique et haut niveau, pour lvaluation de la scurit dinformation en gnrale (processus IT dune entreprises). CobiT framework, 4me dition. Dcrit les processus IT dune entreprise et les exigences ces processus. ISACA IS Standards, Guidelines and Procedures for Auditing and Control Professionals. May 2006. Dcrit les normes et recommandations haut niveau pour laudit, dans le cadre du Cobit Framework. Certaines procdures daudit sont dcrites de manire dtaille, p.ex. laudit dun firewall ou dun VPN.
Ce document a t labor aprs lanalyse des normes relevantes dans le domaine de la scurit dinformation. Il tient compte des normes et documents suivants :
Dautres normes consultes sont ISO 17799, X.805 (Bell Labs), Standard of Good Practice (Information Security Society) et dautres documents de NIST et SANS Institute. Des informations complmentaires sur la scurit de la VoIP sont donnes dans le document Best Practice Scurit VoIP-SIP [6], dvelopp dans le cadre du projet VaDeSe. Il sadresse aux responsables IT/administrateurs rseau dsirant sinformer sur les risques de scurit lis la VoIP et qui ont besoin dinstructions pour scuriser les diffrents lments dune infrastructure VoIP.
3/12
Terminologie
Terme anglais Threat Dfinition Objectif dune attaque2. Exemples : dni de service, vol de service, spam, coute clandestine, redirection dappels.
La terminologie suivante est base sur les dfinitions de NIST et de CobiT. Terme franais Menace
Vulnrabilit
Vulnerability
Une faiblesse dun composant qui peut conduire une violation de la politique de scurit du systme. Elle peut tre exploite intentionnellement par un attaquant ou dclenche accidentellement par un utilisateur normal. Exemples : mot de passe faible, buffer overflow dun service, susceptibilit au dni de service
Contrle scurit
de
Security control
Mthode de scurisation au niveau de gestion, dorganisation et mesures technique afin de protger la confidentialit, intgrit et la disponibilit du systme et des informations. Exemples : firewall, mthode dauthentification, dsactivation dun service.
Attaque Risque
Une ou plusieurs actions coordonnes qui exploitent une vulnrabilit afin de raliser une menace. Paramtre qui quantifie le danger pour le bon fonctionnement dune entreprise. Tient compte de la probabilit dune attaque et de son impact. Elment du systme VoIP, y compris : le matriel (serveurs, dispositifs de rseau) les logiciels les services les contrles (mthodes de scurisation, authentification, ) les donnes gres. Dimensions de scurit, dfinies par CobiT : effectivit efficacit confidentialit intgrit disponibilit compliance Reliability (si les informations sont appropries pour le but vis)
Composant du systme
System component
Critres dinformation
Information criteria
Cette dfinition est base sur la taxonomie de menaces de VOIPSA. Elle ne correspond pas la dfinition de NIST. 4/12
La procdure daudit est construite de manire minimiser le temps et leffort ncessaire pour laudit technique. Comme une grande partie de leffort est typiquement consacre lanalyse des vulnrabilits, cette tape est effectue aprs les autres analyse et peut tenir compte de leurs rsultats. Les analyses techniques sont suivies par une analyse des risques, qui synthtise les rsultats, estime le risque et tablit des recommandations.
Procdure
La procdure de laudit technique prsente dans ce document est similaire celle dveloppe par NIST [1]. Une procdure similaire est brivement dcrite dans CobiT Audit Guidelines [3], comme alternative la procdure CobiT [4]. Elle vise caractriser les risques auxquels un rseau VoIP est expos travers lanalyse des menaces, des contrles en place et des vulnrabilits. Le rsultat final de laudit technique est un ensemble de recommandations techniques de scurisation du rseau. Sparation entre la collecte dinformations et lanalyse La mthodologie prsente permet une sparation entre de la collecte dinformation et lanalyse des rsultats. Dans une premire tape, lauditeur effectue des tests et enregistre les rsultats. Le type des donnes enregistrer est clairement indiqu. Dans une deuxime tape, lauditeur analyse les rsultats des tests et dveloppe des recommandations. Dans la mesure du possible, des indications sont donnes qui permettent dinterprter les rsultats. Linterprtation tant dpendant de beaucoup de facteurs, la fois techniques et organisationnels, les indications ne peuvent tenir compte que des situations les plus courantes. Lexprience de lauditeur est requise afin de tenir compte des circonstances concrtes.
5/12
Audit de la scurit de rseaux VoIP Procdure gnrale La procdure gnrale de laudit technique est illustre la Figure 1.
6/12
7/12
Rsultats Le rsultat de cette tape est : Une liste des menaces considrer. La liste indique les sources possibles dune menace et limportance dune protection contre chaque menace.
Procdure Cette tape part de la liste complte des menaces lies la VoIP. En discussion avec les responsables de la socit, les sources de menaces les plus probables sont identifies. Ensuite, un niveau de protection requis est assign chaque menace ou chaque source de menace. Rfrences : 1. NIST 800-30 et NIST 800-100 2. VOIPSA Threat Taxonomy 3. Vadese Best Practice Scurit VoIP-SIP
8/12
Dans la mthodologie NIST, cette tape est effectue aprs lidentification des vulnrabilits. Or, le test des vulnrabilits est une procdure qui demande beaucoup de travail et qui peut interrompre le service normal du rseau. Elle doit donc tre limite un minimum. Le fait danalyse les contrles dabord permet de rduire le nombre de vulnrabilits tester. Procdure : Cette tape se base sur la liste des contrles en place, tablie dans la premire tape de laudit. Pour chaque contrle, son effet est dfini, donc les menaces prvenues par ce contrle. Lefficacit du contrle doit tre value, par lvaluation de la configuration et le test du contrle.
Rfrences : 1. NIST 800-30 et NIST 800-100 et NIST 800-53 et 53A 2. Vadese Best Practice Scurit VoIP
9/12
Procdure :
Rfrences : 1. NIST 800-30 et NIST 800-100 2. Bases de donnes de vulnrabilits (NIST NVD, CVE, ) 3. Liste de catgories de vulnrabilits par composant.
10/12
Ceci dtermine la probabilit dune attaque (valeurs 0 1). Dans une deuxime phase, limpact dune menace ralise est valu (valeurs 0 100). Une mthode simple de prioriser les risques et la multiplication de la probabilit avec limpact. Voir NIST 800-30 et 800-100 pour les dtails. Rsultat Le rsultat de cette tape est : Une liste des menaces, priorises par leur risque. Rfrences : 1. NIST 800-30 et NIST 800-100
11/12
2.7 Recommandations
Le but de cette tape est de proposer des contrles supplmentaires, des procdures (pour augmenter lefficacit des contrles) qui permettent de rduire les risques pour lentreprise. Rsultat Le rsultat de cette tape est : Une recommandation de modification du systme pour liminer des vulnrabilits. Une recommandation de procdures qui permettent daugmenter lefficacit des contrles dj en places Une recommandation vulnrabilits de contrles supplmentaires pour couvrir certaines
Rfrences
[1] Gary Stoneburner, Alice Goguen, and Alexis Feringa ; Risk Management Guide for Information Technology Systems; Recommendations of the National Institute of Standards and Technology; Special Publication 800-30; July 2002; http://csrc.nist.gov/publications/nistpubs. [2] Pete Herzog; Open-Source Security Testing Methodology Manual (OSSTMM); Version 2.1.1; Institute for Security and Open Methodologies (ISECOM); August 2003; http://www.isecom.org/osstmm. [3] IT Governance Institute; CobiT Audit Guidelines; 3rd edition; July 2000; http://www.isaca.org. [4] IT Governance Institute; CobiT 4.0; 2005; http://www.isaca.org. [5] ISACA; IS Standards, Guidelines and Procedures Professionals; 2006; http:// www.isaca.org/standards. [6] Best Practice Scurit http://www.vadese.org. VoIP-SIP. Projet for Auditing and Control 2006.
VaDeSe.
Octobre
12/12