Audit de la scurit de rseaux VoIP

Dlivrable du projet VaDeSe1

Author Document creation Version Latest modification Version control path J. Ehrensberger, X. Hahn, A. Doswald 04 octobre 2006 1.0 29 novembre 2006 -

Rsum Ce document est un dlivrable du projet VaDeSe. Il sadresse aux auditeurs de scurit de rseaux VoIP et dcrit la mthodologie daudit de rseaux VoIP dveloppe dans le cadre du projet VaDeSe. Des checklists dtaills pour chaque tape de laudit sont fournis. La mthodologie est complte par des outils de tests, galement dvelopps dans le cadre du projet VaDeSe.

Pour plus dinformations, consulter http://www.vadese.org. 12 pages

0-Audit scurit VoIP.doc Modification: 25 February 2007

Audit de la scurit de rseaux VoIP

Introduction

Un rseau VoIP est une cible potentielle de diverses menaces. Des attaques de Dni-deService peuvent empcher les utilisateurs communiquer et entraner des pertes conomiques considrables. Lcoute clandestine de communications, p.ex. par un employ depuis lintrieure du rseau, est plus facilement ralisable que dans les services traditionnels (e-mail, Web), cause de la dure dune communication. Les attaques de vol de service permettent un intrus dacheminer du trafic VoIP sur linfrastructure de lentreprise. Des cas ont t reports o le cot dune attaque de vol de service a atteint plusieurs centaines de milliers de dollars. Vu limportance de la communication par tlphone pour la mission dune entreprise, la gestion des risques de la VoIP doit tre considr comme une partie intgrante de la politique de scurit de dune entreprise. Pourtant, les comptences dans ce domaine sont encore rares. Dans le cadre du projet VaDeSe, des recommandations pour la scurisation de rseaux VoIP ainsi que laudit de la VoIP ont t dveloppes. Le document prsent dcrit une mthodologie daudit pour les rseaux VoIP. Il dcrit la procdure gnrale de laudit et fournit des checklists dtailles, utiliser lors de laudit. Des outils de test (vulnrabilits, tests de pntrations) sont galement disponibles.

1.1 But, applicabilit et limitations

Le document prsent permet un auditeur de scurit deffectuer de tests techniques dtailles sous forme de checklists pour les diffrents aspects de la scurit dun rseau VoIP, danalyser les rsultats des tests et didentifier des risques de scurit, destimer le risque de diffrentes attaques, de dvelopper des recommandations concrtes pour amliorer la scurit du rseau VoIP (personnes, procdures et technique).

La mthodologie daudit est applicable aux rseaux VoIP bass sur le protocole SIP. Tous les services de base (SIP, interconnexion VoIP-PSTN, localisation, proxy, routage, numrotation) ainsi que certains services supplmentaires (comptabilisation, redirection dappels, NAT, ) sont considrs. La mthodologie daudit traite la scurit interne (menaces venant depuis lintrieur du rseau) et la scurit externe (menaces venant depuis lextrieur, Internet). Des technologies qui ne sont pas bases sur SIP, comme Skinny de Cisco ou H.323, ne sont pas considres. Les rseaux VoIP sont raliss sur une infrastructure de rseaux LAN et IP classiques. Plusieurs mthodologies (p.ex. [2]) peuvent tre utiliss pour laudit de scurit de ces rseaux classiques. Bien que la scurit VoIP soit fortement influence par la scurit de linfrastructure LAN/IP sous-jacente, nous nous limitons lanalyse des mcanismes directement lis la VoIP. O ncessaire, des rfrences aux mthodes daudit de rseaux LAN/IP sont donnes.

1.2 Public cible

Ce document sadresse aux personnes exprimentes dans la VoIP et les technologies de rseaux. Le public cible inclut : 2/12

Audit de la scurit de rseaux VoIP les auditeurs de scurit de rseaux de tlcommunications, les responsables de scurit des systmes dinformation des entreprises, les administrateurs de rseaux des entreprises.

Rfrences
NIST 800-30 : Risk Management Guide for Information Technology Sytems. Dcrit une mthodologie daudit ayant comme approche la mthode dvaluation de risques. Elle est spcifique pour la scurit informatique et de rseaux. OSSTMM Open Source Security Testing Methodology Manual. Recommandation pour les tests de scurit, notamment des tests de pntration. CobiT Audit Guidelines, 3me dition. Dcrit une mthodologie daudit gnrique et haut niveau, pour lvaluation de la scurit dinformation en gnrale (processus IT dune entreprises). CobiT framework, 4me dition. Dcrit les processus IT dune entreprise et les exigences ces processus. ISACA IS Standards, Guidelines and Procedures for Auditing and Control Professionals. May 2006. Dcrit les normes et recommandations haut niveau pour laudit, dans le cadre du Cobit Framework. Certaines procdures daudit sont dcrites de manire dtaille, p.ex. laudit dun firewall ou dun VPN.

Ce document a t labor aprs lanalyse des normes relevantes dans le domaine de la scurit dinformation. Il tient compte des normes et documents suivants :

Dautres normes consultes sont ISO 17799, X.805 (Bell Labs), Standard of Good Practice (Information Security Society) et dautres documents de NIST et SANS Institute. Des informations complmentaires sur la scurit de la VoIP sont donnes dans le document Best Practice Scurit VoIP-SIP [6], dvelopp dans le cadre du projet VaDeSe. Il sadresse aux responsables IT/administrateurs rseau dsirant sinformer sur les risques de scurit lis la VoIP et qui ont besoin dinstructions pour scuriser les diffrents lments dune infrastructure VoIP.

3/12

Audit de la scurit de rseaux VoIP

Terminologie
Terme anglais Threat Dfinition Objectif dune attaque2. Exemples : dni de service, vol de service, spam, coute clandestine, redirection dappels.

La terminologie suivante est base sur les dfinitions de NIST et de CobiT. Terme franais Menace

Vulnrabilit

Vulnerability

Une faiblesse dun composant qui peut conduire une violation de la politique de scurit du systme. Elle peut tre exploite intentionnellement par un attaquant ou dclenche accidentellement par un utilisateur normal. Exemples : mot de passe faible, buffer overflow dun service, susceptibilit au dni de service

Contrle scurit

de

Security control

Mthode de scurisation au niveau de gestion, dorganisation et mesures technique afin de protger la confidentialit, intgrit et la disponibilit du systme et des informations. Exemples : firewall, mthode dauthentification, dsactivation dun service.

Attaque Risque

Attack, Exploit Risk

Une ou plusieurs actions coordonnes qui exploitent une vulnrabilit afin de raliser une menace. Paramtre qui quantifie le danger pour le bon fonctionnement dune entreprise. Tient compte de la probabilit dune attaque et de son impact. Elment du systme VoIP, y compris : le matriel (serveurs, dispositifs de rseau) les logiciels les services les contrles (mthodes de scurisation, authentification, ) les donnes gres. Dimensions de scurit, dfinies par CobiT : effectivit efficacit confidentialit intgrit disponibilit compliance Reliability (si les informations sont appropries pour le but vis)

Composant du systme

System component

Critres dinformation

Information criteria

Cette dfinition est base sur la taxonomie de menaces de VOIPSA. Elle ne correspond pas la dfinition de NIST. 4/12

Audit de la scurit de rseaux VoIP

Partie Audit technique 1 Introduction

Laudit technique permet deffectuer une analyse de risques, qui inclut lidentification des menaces, lestimation de la probabilit et limpact des menaces et la recommandation de mesures pour la rduction des risques. Un audit exhaustif doit analyser le risque sous trois points de vue : Analyse des menaces : cette analyse vise prioriser les menaces en fonction des exigences de scurit de lentreprise. Elle permet de se concentrer sur les menaces qui ont le potentiel de compromettre la confidentialit, lintgrit et la disponibilit des services. Lanalyse des contrles : cette analyse value les mcanismes et scurit dj en place et vrifie le bon fonctionnement. Elle permet de destimer la probabilit dune attaque et permet ainsi de rduire le nombre de menaces et vulnrabilits considrer dans la suite de laudit technique. Lanalyse des vulnrabilits : dans cette analyse, les composants du rseau sont valus afin de dtecter les vulnrabilits qui pourraient permettre une attaque.

La procdure daudit est construite de manire minimiser le temps et leffort ncessaire pour laudit technique. Comme une grande partie de leffort est typiquement consacre lanalyse des vulnrabilits, cette tape est effectue aprs les autres analyse et peut tenir compte de leurs rsultats. Les analyses techniques sont suivies par une analyse des risques, qui synthtise les rsultats, estime le risque et tablit des recommandations.

Procdure

La procdure de laudit technique prsente dans ce document est similaire celle dveloppe par NIST [1]. Une procdure similaire est brivement dcrite dans CobiT Audit Guidelines [3], comme alternative la procdure CobiT [4]. Elle vise caractriser les risques auxquels un rseau VoIP est expos travers lanalyse des menaces, des contrles en place et des vulnrabilits. Le rsultat final de laudit technique est un ensemble de recommandations techniques de scurisation du rseau. Sparation entre la collecte dinformations et lanalyse La mthodologie prsente permet une sparation entre de la collecte dinformation et lanalyse des rsultats. Dans une premire tape, lauditeur effectue des tests et enregistre les rsultats. Le type des donnes enregistrer est clairement indiqu. Dans une deuxime tape, lauditeur analyse les rsultats des tests et dveloppe des recommandations. Dans la mesure du possible, des indications sont donnes qui permettent dinterprter les rsultats. Linterprtation tant dpendant de beaucoup de facteurs, la fois techniques et organisationnels, les indications ne peuvent tenir compte que des situations les plus courantes. Lexprience de lauditeur est requise afin de tenir compte des circonstances concrtes.

5/12

Audit de la scurit de rseaux VoIP Procdure gnrale La procdure gnrale de laudit technique est illustre la Figure 1.

Figure 1: Procdure de l'audit technique

6/12

Audit de la scurit de rseaux VoIP

2.2 Caractrisation du systme

La premire tape de laudit rpertorie les composants du rseau, les services raliss et les donnes gres par les diffrents services. Elle documente aussi la politique de scurit en place. Rsultats Les rsultats de cette tape sont : 1. des diagrammes du rseau, 2. une liste des serveurs et dispositifs du rseau, 3. une liste des contrles techniques (mthodes de scurisation) en place, 4. la classification des exigences en scurit des services et informations gres, 5. une description de la politique de scurit du rseau. Ces informations pourront tre utilises pour dfinir lenvergure de laudit, donc des quipements, services et donnes considrer. Procdure Cette tape utilise les sources dinformations suivantes : Diagrammes existants du rseau Documentation existante Interviews et inspection sur place Questionnaires Outils de scanning

Rfrences NIST 800-30 et NIST 800-100

7/12

Audit de la scurit de rseaux VoIP

2.3 Analyse des menaces

Cette tape permet de dterminer les menaces considrer dans les phases suivantes et didentifier les sources de menaces. Une menace est une violation potentielle de la politique de service cause dune attaque ou dune action involontaire ou ngligente qui compromet la scurit. Des sources de menaces sont donc des personnes malintentionnes ou les utilisateurs normaux. Les sources de menaces peuvent tre internes ou externes au rseau VoIP.

Rsultats Le rsultat de cette tape est : Une liste des menaces considrer. La liste indique les sources possibles dune menace et limportance dune protection contre chaque menace.

Procdure Cette tape part de la liste complte des menaces lies la VoIP. En discussion avec les responsables de la socit, les sources de menaces les plus probables sont identifies. Ensuite, un niveau de protection requis est assign chaque menace ou chaque source de menace. Rfrences : 1. NIST 800-30 et NIST 800-100 2. VOIPSA Threat Taxonomy 3. Vadese Best Practice Scurit VoIP-SIP

8/12

Audit de la scurit de rseaux VoIP

2.4 Analyse des contrles

Le but de cette tape est danalyser les mcanismes de scurit en place dans le systme. Les contrles en place ont t document dans la premire phase de laudit, la caractrisation du systme. Rsultats Le rsultat de cette tape est : une liste des contrles et leurs effets (menaces prvenues) un protocole des rsultats des tests qui indique si le contrle fonctionne correctement.

Dans la mthodologie NIST, cette tape est effectue aprs lidentification des vulnrabilits. Or, le test des vulnrabilits est une procdure qui demande beaucoup de travail et qui peut interrompre le service normal du rseau. Elle doit donc tre limite un minimum. Le fait danalyse les contrles dabord permet de rduire le nombre de vulnrabilits tester. Procdure : Cette tape se base sur la liste des contrles en place, tablie dans la premire tape de laudit. Pour chaque contrle, son effet est dfini, donc les menaces prvenues par ce contrle. Lefficacit du contrle doit tre value, par lvaluation de la configuration et le test du contrle.

Rfrences : 1. NIST 800-30 et NIST 800-100 et NIST 800-53 et 53A 2. Vadese Best Practice Scurit VoIP

9/12

Audit de la scurit de rseaux VoIP

2.5 Analyse des vulnrabilits

Le but de cette tape est didentifier toutes les vulnrabilits considrer qui : pourraient tre prsentes dans le systme qui ne sont pas couvertes par les contrles en place. Pour chaque composant (dispositif, logiciel, protocole, fonctionnalit) du systme : o o Partir dune liste des vulnrabilits connues (utiliser NIST NVD, CVE) Slectionner les vulnrabilits valuer Sur la base des composants du systme. Sur la base des contrles en place. o Tester la prsence des vulnrabilits Interview, questionnaires Scanning (nmap, Nessus, ) Tests de pntration Rsultats Les rsultats de cette tape sont : Une liste qui indique, par composant du systme, les vulnrabilits prsentes et non couvertes par les contrles.

Procdure :

Rfrences : 1. NIST 800-30 et NIST 800-100 2. Bases de donnes de vulnrabilits (NIST NVD, CVE, ) 3. Liste de catgories de vulnrabilits par composant.

10/12

Audit de la scurit de rseaux VoIP

2.6 Analyse des risques

Cette tape vise prioriser les dangers constats en dterminante la probabilit dune attaque et son impact. Procdure Dans une premire phase, elle met en relation : lattractivit dune menace pour un attaquant (tape 2) la possibilit dune attaque, ralise travers une vulnrabilit.

Ceci dtermine la probabilit dune attaque (valeurs 0 1). Dans une deuxime phase, limpact dune menace ralise est valu (valeurs 0 100). Une mthode simple de prioriser les risques et la multiplication de la probabilit avec limpact. Voir NIST 800-30 et 800-100 pour les dtails. Rsultat Le rsultat de cette tape est : Une liste des menaces, priorises par leur risque. Rfrences : 1. NIST 800-30 et NIST 800-100

11/12

Audit de la scurit de rseaux VoIP

2.7 Recommandations
Le but de cette tape est de proposer des contrles supplmentaires, des procdures (pour augmenter lefficacit des contrles) qui permettent de rduire les risques pour lentreprise. Rsultat Le rsultat de cette tape est : Une recommandation de modification du systme pour liminer des vulnrabilits. Une recommandation de procdures qui permettent daugmenter lefficacit des contrles dj en places Une recommandation vulnrabilits de contrles supplmentaires pour couvrir certaines

Rfrences : 1. NIST 800-30 et NIST 800-100

Rfrences
[1] Gary Stoneburner, Alice Goguen, and Alexis Feringa ; Risk Management Guide for Information Technology Systems; Recommendations of the National Institute of Standards and Technology; Special Publication 800-30; July 2002; http://csrc.nist.gov/publications/nistpubs. [2] Pete Herzog; Open-Source Security Testing Methodology Manual (OSSTMM); Version 2.1.1; Institute for Security and Open Methodologies (ISECOM); August 2003; http://www.isecom.org/osstmm. [3] IT Governance Institute; CobiT Audit Guidelines; 3rd edition; July 2000; http://www.isaca.org. [4] IT Governance Institute; CobiT 4.0; 2005; http://www.isaca.org. [5] ISACA; IS Standards, Guidelines and Procedures Professionals; 2006; http:// www.isaca.org/standards. [6] Best Practice Scurit http://www.vadese.org. VoIP-SIP. Projet for Auditing and Control 2006.

VaDeSe.

Octobre

12/12