Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Audit des réseaux VOIP I) Introduction : Un réseau VOIP est une cible potentiel

Audit des réseaux VOIP I) Introduction : Un réseau VOIP est une cible potentielle de diverses menaces. Des attaques de type DoS peuvent empêcher les utilisateurs à communiquer et entraîner des pertes économiques pour l'entreprise. Vu l'importance de la communication par téléphone pour une entreprise, la gestion des risques de la VOIP doit être scrupuleusement considérée et ceci comme une partie intégrante de la politique de sécurité de l'entreprise. Buts de l'audit : effectuer des tests techniques détaillés sous forme de checklists pour les différents aspects de la sécurité d'un réseau VOIP analyser les résultats des tests et identifier les risques de sécurité. estimer le risque des différentes attaques développer des recommandations concrètes pour améliorer la sécurité du réseau VOIP (personnes, procédures et technique) La méthodologie d'audit est applicable aux réseaux VOIP (SIP) avec tous les services de base (SIP, SDP, interconnexion VOIP-PSTN, localisation proxy, routage, numérotation...) ainsi que certains services complémentaires (comptabilisation, redirection d'appels, NAT...) Cette méthodologie d'audit traite de la sécurité interne mais aussi externe. II) Terminologie : 1) Menace : (threat) ? objectif d'une attaque (DoS, spam, vol de service, écoute clandestine ...) 2) Vulnérabilité : (vulnérability) ? faiblesse d'un composant qui peut conduire à une violation de la politique de sécurité du système. Elle peut être exploitée intentionnellement par un attaquant ou déclenchée accidentellement par un utilisateur (mdp faible, BO, DoS) 3) Contrôle de sécurité : (security control) ? méthode de sécurisation au niveau gestion d'organisation et des mesures techniques afin de protéger la confidentialité, l'intégrité et la disponibilité du système et des informations. (FW, méthode d'authentification, désactivation d'un service...) 4) Attaque : (attack, exploit) ? une ou plusieurs actions coordonnées qui exploitent une vulnérabilité afin de réaliser une menace. 5) Risque : (risk) ? paramètre qui quantifie le danger pour le bon fonctionnement de l'entreprise. Il tient compte de la probabilité d'une attaque et son impact. 6) Composants du système : (system components) ? c'est un élément du système VOIP dont : matériel logiciel contrôles données 7) Critères d'information : (information criteria) ? dimensions de sécurité, définies par : efficacité effectivité confidentialité intégrité disponibilité compliance reliability III) Audit technique : L'audit technique permet d'effectuer une analyse de risques, qui inclut l'identification des menaces, l'estimation de la probabilité et l'impact des menaces, ainsi que la recommandation de mesures pour la réduction des risques. Un audit doit analyser le risque sous trois angles : Analyse des menaces : cette analyse vise à prioriser les menaces en fonction des exigences de sécurité de l'entreprise. Elle permet de se concentrer sur les menaces qui ont le potentiel de compromettre la confidentialité, l'intégrité et la disponibilité des services. Analyse des contrôles : cette analyse évalue les mécanismes et la sécurité déjà en place et vérifie le bon fonctionnement. Elle permet d'estimer la probabilité d'une attaque et permet ainsi de réduire le nombre de menaces et de vulnérabilités à considérer dans la suite de l'audit technique. Analyse des vulnérabilités : cette analyse évalue les composants du réseau afin de détecter les vulnérabilités qui pourraient permettre une attaque. Les analyses techniques sont suivies par une analyse des risques, qui va synthétiser les résultats et va estimer le risque et ensuite il faudra établir des recommandations. Procédure générale : elle vise à caractériser les risques auxquels un réseau VOIP est exposé à travers l'analyse des menaces, des contrôles en place et des vulnérabilités. Le résultat final de l'audit technique est un ensemble de recommandations techniques de sécurisation du réseau VOIP. Caractérisation du système → analyse des menaces → analyse des contrôles → analyse des vulnérabilités → analyse des risques → recommandations III.1) Caractérisation du système : La première étape de l'audit va permettre de répertorier les composants du réseau, les services réalisés et les données générées par les différents services. Elle documente également la politique de sécurité mise en place III.1-a) Les résultats : Les résultats de cette étape sont : - des diagrammes de réseau - une liste des serveurs et dispositifs du réseau - des listes des contrôles techniques (méthodes de sécurisation) en place - la classification des exigences en sécurité des services et des informations gérées - une description de la politique de sécurité du réseau Ces informations pourront être utilisées pour définir l'envergure de l'audit, donc des équipements, services et données à considérer. III.1-b) La procédure : Cette procédure utilise les sources d'information suivantes : - diagramme des réseaux existants - documentation existante - interviews et inspection sur place - questionnaires - outils de scanning III.2) Analyse des menaces : Cette étape permet de déterminer les menaces à considérer dans les phases suivantes et d'identifier les sources de menaces. Une menace est une violation potentielle de la politique de service à cause d'une attaque ou d'une action involontaire ou négligente qui compromet la sécurité du système. Des sources de menaces sont donc des personnes malintentionnés, ou les utilisateurs « normaux ». Les sources de menaces peuvent être internes au réseau VOIP ou externe. III.2-a) Résultats : Le résultat de cette étape est une liste des menaces à considérer. La liste indique les sources possibles de menace et l'importance d'une protection contre chaque menace. III.2-b) Procédure : Cette étape part de la liste complète des menaces liées à la VOIP. En discutant avec les responsables de la société auditée, les sources de menaces les plus probables sont identifiées. Ensuite un niveau de protection requis est assigné à chaque menace ou à chaque source de menace. III.3) Analyse des contrôles : Le but de cette étape est d'analyser les mécanismes de sécurité en place dans le SI. Les contrôles en place ont été documentés dans la première phase de l'audit, la caractérisation du système. III.3-a) Résultats : Les résultats de cette étapes sont : - une liste des contrôles et leurs effets (menaces prévenues) - un protocole des résultats des test qui indique si le contrôle fonctionne correctement Dans une méthodologie classique, cette étape est effectuée après l'identification des vulnérabilités. Or le test des vulnérabilités est une procédure assez longue qui peut interrompre le réseau. La procédure doit donc être limitée à un minimum. Le fait d'analyser les contrôles d'abord, avant les vulnérabilités permet de réduire le nombre de cas des vulnérabilités à tester. III.3-b) Procédure: Cette étape se base sur la liste des contrôles en place (pré existants), établie dans la première étape de l'audit. Pour chaque contrôle, son effet est défini, donc les menaces prévenues par ce contrôle. L'efficacité du contrôle doit être évaluée par l'évaluation de la configuration et le test du contrôle. III.4) Analyse des vulnérabilités : Le but de cette étape est d'identifier toutes les vulnérabilités à considérer qui pourraient être présentes dans le système et qui ne sont pas couvertes par les contrôles actuellement mis en place. III.4-a) Procédure : Pour chaque composant (dispositif, logiciel, protocole, fonctionnalité...) du système, il faut : - partir d'une liste de vulnérabilités connues - sélectionner les vulnérabilités à évaluer sur la base des composants du système et sur la base des contrôles en place - tester la présence des vulnérabilités (interviews, questionnaires, scanning, tests de pénétration...) III.4-b) Résultats : Une liste qui indique, par composant du SI, les vulnérabilités présentes et non couvertes par les contrôles. III.5) Analyse des risques : Cette étape vise à prioriser les dangers constatés en déterminant la probabilité d'une attaque P(a) et son impact. III.5-a) Procédure : Dans une première étape, la procédure met en relation : - l'attractivité d'une menace pour un attaquant - la possibilité d'une attaque, réalisé à travers une vulnérabilité Ceci détermine la probabilité d'une attaque (entre 0 et 1) Dans un second temps, l'impact d'une menace réalisée est évaluée (entre 0 et 100) I priorité = I * P(a) III.5-b) Résultat : Le résultat est une liste des menaces, priorisées par leur risque. III.6) Les recommandations : Le but de cette étape est de proposer des contrôles supplémentaires, des procédures (pour augmenter l'efficacité des contrôles) qui vont permettre de réduire les risques. Les résultats de cette étape sont : - une recommandation de modification du système pour éliminer des vulnérabilités - une recommandation de procédures qui permettent d'augmenter l'efficacité des contrôles déjà en place. - une recommandation de contrôles supplémentaires pour couvrir certaines vulnérabilités. uploads/Management/cours-voip.pdf