Les cahiers de la Scurit

La scurit de la tlphonie sur IP en entreprise

Cdric Baillet

scurit - les cahiers de la scurit - les cahiers de la scurit - les cahiers de la scurit - les cahiers de la scurit - les cahiers de la

4 en synthse 6 les particularits de la tlphonie sur IP 8 les architectures ToIP

gnralits H323 SIP (Session Initiation Protocol)

12 les risques dattaques

la reconnaissance le dni de service les coutes le fuzzing

sommaire

les fraudes tlphoniques les ToIP SPAM ou SPIT (SPAM Over Internet Telephony) exemples et statistiques

20 les solutions existantes pour scuriser une solution de ToIP

la scurit physique la scurisation des serveurs la supervision lauthentification des utilisateurs la sparation et la scurisation des flux la scurit comme une mission complte politique de scurit

54 conclusion 58 glossaire

Lintgration des services de communication au sein des infrastructures rseaux est un phnomne qui a commenc il y a bien longtemps avec par exemple les services de messagerie mail ou encore de messagerie instantane. Aujourdhui, ce phnomne continue prendre de lampleur avec larrive de la tlphonie sur IP (ToIP), de la messagerie unifie ou encore des applications CTI. A lorigine de cet engouement, deux grands facteurs : la rduction des cots et la flexibilit de la solution qui permet dintgrer facilement de nouveaux services. Bien quayant le mme but la base, la tlphonie sur IP et la tlphonie traditionnelle utilisent des architectures et des technologies trs diffrentes. En effet, au sein dun rseau informatique classique, la voix et la signalisation sont dsormais considres comme des donnes et transitent par le LAN, le WAN voire dans certains cas Internet, tandis que dans une architecture de tlphonie classique, chaque ligne a un circuit physique priv ainsi quune infrastructure ddie cette application.

en synthse

La tlphonie sur IP est digitalise puis encode avant dtre diffuse sur le rseau. Elle est dsormais considre comme de la donne et se comporte comme telle, mais possde en mme temps des contraintes particulires imposant des rgles sur la qualit de service et la disponibilit. Crer une architecture robuste respectant ces contraintes tout en tant scurise nest pas une tche facile. Comme toute nouvelle technologie, la tlphonie sur IP introduit de nouveaux risques et de nouvelles attaques. Hritant la fois des proprits de la tlphonie traditionnelle et des rseaux de donnes, la tlphonie sur IP est donc susceptible de connatre les problmatiques scurit de ces deux mondes. Ainsi, les attaques rencontres dans la tlphonie traditionnelle comme la manipulation des protocoles de signalisation ou encore le phreaking (dtournement du systme de tlphonie pour viter la facturation) trouvent un pendant en tlphonie sur IP. Le but de ces attaques lui ne change pas : la fraude et la manipulation de donnes. Par ailleurs, la scurit des rseaux informatiques, plus complexes, offre un panel dattaques beaucoup plus large. Ainsi, tous les lments du rseau, du niveau physique jusqu la couche applicative, font partie intgrante de la scurit de la tlphonie sur IP et offrent des possibilits dattaques importantes et potentiellement inhabituelles en tlphonie classique comme les dnis de service.

Lune des erreurs souvent commises lorsque lon considre la scurit de la ToIP est lanalogie entre cette technologie et les applications couramment utilises. En effet, les solutions de scurit classiques ne prennent gnralement pas en compte les particularits de la ToIP comme la ncessit de tendre vers le temps rel pour avoir une conversation comprhensible. Ceci demande des mcanismes de qualit de service stricts comme un temps de latence de maximum 150 ms ou encore une perte de paquets infrieure 3%.
Les particularits de la ToIP Point point vs Multi point Temps rel Sparation du mdia et de la signalisation

les particularits de la tlphonie sur IP

La ToIP a des besoins diffrents d'une application classique

Nombreux protocoles/ fonctionnalits volues

Statuts des lments trs complexes (de nombreux tats sont possibles)

Tolrance aux erreurs trs faible

Ainsi, en prenant en compte ce type de facteurs, nous pouvons nous apercevoir que la ToIP est une application sensible, susceptible dtre trs facilement perturbe et qui par consquent pourrait tre une cible de choix pour toutes les attaques considres comme dni de service(DoS). On pourra par ailleurs envisager des dclinaisons adaptes la ToIP (comme lenvoi massif de paquets de signalisations forgs par lattaquant) et impactant de nombreux priphriques et applicatifs ToIP (les tlphones IP pouvant ainsi se retrouver figs et les serveurs voir leurs fonctionnements perturbs par une attaque noccupant mme pas 1Mb/sec). Notons quil est dsormais plus intressant davoir un trs fort taux dmission de paquets plutt quune occupation importante de la bande passante pour perturber ces nouvelles applications. En effet, cela imposera la victime un temps de traitement des paquets mis par lattaquant beaucoup plus important et par consquent une possible dgradation de la qualit de service en dessous des niveaux tolrables.

gnralits
En simplifiant, nous pouvons considrer que la ToIP doit tablir et grer les sessions de communication lors de la transmission de donnes voix sur des rseaux IP. Les technologies ToIP pourront par ailleurs tre adaptes pour supporter des transmissions de donnes avec diffrents formats, comme la vido. Ainsi, il est ncessaire de maintenir une transmission fiable durant toute une conversation, puis de mettre fin cette dernire lorsque lun des interlocuteurs le dcide.

Exemple d'architecture ToIP Tlphones IP fixes Tlphones IP mobiles Client PC Softphone Microsoft Live Communicator Servers

les architectures ToIP

Messagerie Unifie IP PBX

LAN ToIP

LAN data

Confrences Voix et applicatives

Internet

Deux grandes familles de protocoles sont utilises en ToIP pour raliser ces actions : les protocoles portant sur la signalisation et ceux portant sur le transport de la voix. Aujourdhui, deux grands types darchitecture ont merg comme standards et sont largement dploys : H323 et SIP.

H323
H323 est un standard de lUIT (Union Internationale des Tlcommunications) pour la transmission de la voix et de la vido sur des rseaux par paquets. H323 est aujourdhui un Framework englobant un grand nombre de protocoles de signalisation tels que H225, H245, etc. et RTP (Real time Transmission Protocol) comme protocole de transmission des donnes. Chacun de ces protocoles a un rle spcifique dans ltablissement des appels et est bas pour la grande majorit sur un adressage dynamique des ports. Un rseau H323 est constitu dun grand nombre de terminaux utilisateurs, de passerelles, ventuellement dun gatekeeper (rsolution des adresses et contrle de la bande passante), de MCU (Multipoint Control Unit) pour grer les confrences, et de serveurs pour sauvegarder les configurations des terminaux utilisateurs.

SIP (Session Initiation Protocol)

SIP est un standard de lIETF (Internet Engineering Task Force) permettant linitialisation dune session de communication bi-directionnelle. Aujourdhui, SIP a donn son nom lensemble de larchitecture ToIP reposant sur ses fonctionnalits de signalisation. Par ailleurs, il est important de noter que SIP nest pas spcifique la ToIP et peut tre utilis dans toutes les technologies utilisant la notion de session. SIP est bas sur du texte linstar de http et peut tre transmis laide dUDP, TCP ou SCTP. UDP permet de rduire la bande passante utilise tout en amliorant la vitesse et lefficacit de la transmission, tandis que TCP permet dapporter des contrles supplmentaires et limplmentation de la scurit via SSL/TLS2 par exemple. Larchitecture dune solution SIP est diffrente de celle voque prcdemment pour H323. Cette dernire est compose de terminaux utilisateurs (aussi appels User Agent), de proxy et/ou de serveurs de redirection permettant la retransmission des messages, de serveurs de localisation pour trouver les points de connexion des utilisateurs et enfin dun registrar enregistrant le profil dun utilisateur lors de sa connexion sur le rseau.

10

11

la reconnaissance
Il sagit tout simplement de mener une enqute sur le rseau et le systme tlphonique install pour les connatre le mieux possible et de trouver des points de vulnrabilit ou encore des informations directement en relation avec un bug dj rfrenc. Des mthodes comme le scan de ports, de plages dadresses IP ou de numros de tlphone, la reconnaissance de systme via le fingerprinting peuvent tre utilises. Une reconnaissance positive sur un rseau permet de connatre son plan dadressage IP, les serveurs oprationnels avec les versions installes, les protocoles utiliss dans lentreprise, les versions dIOS, etc. Une fois ces informations runies, une attaque peut tre lance sur un point bien particulier comme un priphrique rseau, un service Windows ou Unix

les risques dattaques

le dni de service (aussi connu sous le nom DoS)

Le DoS est une attaque sur un systme informatique, un rseau, qui peut provoquer une interruption du service initialement rendu lutilisateur cause dune rduction de la bande passante du systme, ou de lutilisation de toutes les ressources systme. Ce type dattaque peut tre ralis de nombreuses faons. On remarque cependant trois schmas de base : > la rduction des ressources informatiques comme la bande passante, lespace disque ou la puissance CPU, > la perturbation des tables de routage, > la perturbation dlments physiques du rseau.

12

13

La figure ci-dessous schmatise le droulement de deux types de dnis de service.

Les dnis de services Dni de service sur un tlphone Dni de service distribu sur un serveur

Man In The Middle (MITM) : MITM est une attaque au cours de laquelle la personne malveillante a la capacit de lire, insrer ou modifier les messages changs entre les deux parties, et cela sans quelles nen soient conscientes. Ce type dattaque peut notamment tre utilis pour raliser des coutes ou encore des dnis de service.
Man In The Middle

IP PBX Pirate Tlphones IP Pirate PC "zombis"

Conversation normale Conversation

Conversation suite au MITM

LAN ToIP

Le premier cas dcrit un dni de service simple sur un tlphone IP : lattaquant envoie un volume important de messages alatoires ne pouvant tre compris par un tlphone. Celui-ci mettra de plus en plus de temps traiter ces messages jusquau moment o il puisera ses ressources CPU et ne pourra plus effectuer ses tches nominales (tlphoner ). Un autre exemple pourrait tre tout simplement lpuisement de la bande passante de son port Ethernet. Le second cas nous montre le droulement dun dni de service distribu sur un serveur. La technique reste identique dans ses fondamentaux mais repose sur une couche intermdiaire : les PC Zombis. Il sagit de PC dont lattaquant a pris le contrle et qui vont relayer son attaque pour que limpact soit beaucoup plus important.

LAN ToIP

Conversation

Conversation

Pirate

le fuzzing
Le fuzzing est une mthode permettant de tester les logiciels et de mettre en vidence des disfonctionnements potentiels. Une des mthodes couramment utilises consiste entrer des informations tronques dans le systme pour voir comment ce dernier ragit. En cas de comportement non prvu, il suffit alors dimplmenter un patch pour corriger le problme. Cette mthode peut cependant tre dtourne par des personnes malintentionnes pour trouver des faiblesses dans un systme, ToIP dans notre cas. Ce type dattaque peut ventuellement permettre en cas de succs de rentrer dans le systme avec des droits dadministrateurs, de causer des dlais cest--dire dallonger le temps de rponse, ou tout simplement de mettre le systme hors service.

les coutes
Il sagit dintercepter et dcouter une conversation sans que les interlocuteurs principaux ne soient conscients de ce qui est en train de se produire. En ToIP, cela concerne plus gnralement une famille dattaques permettant une personne malintentionne dintercepter une conversation et de lenregistrer. Considrant que des numros de cartes de crdit pour les particuliers ou encore des lments confidentiels de certains contrats dans les entreprises peuvent tre noncs lors dune conversation tlphonique, limpact de ce type dattaque devient vident.

14

15

les fraudes tlphoniques

Ce type dattaque consiste contourner le systme tlphonique mis en place pour pouvoir passer des appels non autoriss. Ce type dabus peut venir : > soit dune mauvaise configuration du systme dtecte par lutilisateur malintentionn qui va en profiter, > soit dune personne malintentionne qui va utiliser une des mthodes voques plus haut.

exemples et statistiques
quelques exemples concrets des risques encourus

Type de risque

Menaces Envoi massif de paquets rseaux pour perturber le flux du protocole de signalisation Voix Envoi massif de paquets rseaux pour perturber le flux Voix Envoi massif de paquets TCP/UDP/ICMP destination du tlphone IP pour fragiliser sa pile IP Exploitation des failles et des faiblesses dimplmentation des protocoles Voix (signalisation ou mdia) Exploitation des failles ou faiblesses dimplmentation de lOS supportant lIP PBX Dni de Service sur laccs sans fil Dni de Service sur les services rseaux Attaque sur les systmes dauthentification utilisateurs prsents dans une solution de ToIP Injection de paquets Voix Modification des paquets Voix Modification de la qualit de service Modification des VLAN Utilisation des techniques de social engineering pour contourner les limitations imposes par ladministrateur Connexion dun tlphone IP frauduleux

Interruption du Service

le ToIP SPAM ou SPIT (Spam over Internet Telephony)

Le SPIT correspond des messages tlphoniques non sollicits qui peuvent tre envoys un utilisateur comme lensemble de lentreprise. En plus du drangement de lutilisateur, ce type de message peut provoquer une surcharge du systme tant au niveau du rseau que sur les diffrents serveurs. Les auteurs de ce type dattaques sont souvent difficiles tracer sur Internet. Ils peuvent donc envoyer des messages qui ne sont pas seulement publicitaires mais qui peuvent aussi tre exploits pour organiser des actions frauduleuses, pour utiliser des ressources non autorises ou encore pour rcuprer des informations confidentielles.
SPIT

et des donnes ToIP

Vol des services

Tlphones IP Client PC

Attaque de type cache poisoning Dtournement des appels ToIP Vol de donnes des applications ToIP (ex taxation) Ecoute des conversations Interception des protocoles de signalisations Fraude tlphonique (on retrouve le mme type de faiblesse que sur un systme classique) Utilisation dtourne de la messagerie ou accs aux donnes utilisateurs

et donnes ToIP

IP PBX

PC Infect

LAN ToIP

LAN data

Internet

Un descriptif plus complet est disponible sur le site http://toipsa.com Tlchargez le pdf sur THREAT ANATOMY dans la rubrique Activities

Pirate

16

17

quelques statistiques Laugmentation du nombre dalertes scurit (source : www.cert.org) Incidents

140,000

Rpartition des pertes financires dues un incident scurit (source CSI/FBI)

120,000

100,000

80,000

60,000 0,00% 40,000 10,00% 20,00% 30,00% 40,00%

20,000

Les motifs poussant un employ la faute (source : www.cert.org)

1995 1996 1997 1998 1999 2000 2001 2002 2003

Anne

Cas de sabotage 100

Financier Vindicatif 92%

Les risques financiers lors dune attaque (source : www.cert.org)

Contrarit, stress

80

84%

19%

aucune perte financire

60

40 81% pertes financires reconnues 20

18

19

la scurit physique
La scurit physique est une partie essentielle de tout environnement scuris. Elle doit permettre la limitation des accs aux btiments et quipements (ainsi qu toutes les informations quils contiennent) vitant ainsi les intrusions inopportunes, le vandalisme, les catastrophes naturelles, et les dommages accidentels (pic dintensit lectrique, temprature trop leve). A moins que le trafic Voix ne soit chiffr sur le rseau, toute personne ayant un accs physique au rseau dune socit peut potentiellement se connecter tout moment et intercepter des communications. Les lignes tlphoniques classiques peuvent certes subir le mme type dattaque, mais les prises LAN prsentes dans la plupart des bureaux permettent non seulement un accs beaucoup plus simple au rseau, mais vitent aussi et surtout au pirate de se faire remarquer. En effet, qui souponnerait une personne en train de travailler dans un bureau de mener une attaque sur le systme de tlphonie ? Mme avec le chiffrement des communications mis en place, un accs physique aux serveurs Voix ou aux passerelles peut permettre un attaquant dobserver le trafic (qui appelle qui ? quelle frquence ? etc.). Une politique de contrle daccs pour restreindre laccs aux composants du rseau de ToIP via des badgeuses, serrures, service de scurit, etc., permettra dtablir un premier primtre scuris. Lors de la mise en place dun systme de ToIP, lalimentation lectrique doit tre tudie en dtail pour viter toute interruption de service due une coupure de courant. Deux possibilits peuvent tre utilises pour alimenter le poste IP : > brancher le tlphone sur le secteur via un transformateur, > utiliser le protocole PoE (Power over Ethernet alimentation lectrique du poste via le rseau informatique).

les solutions existantes pour scuriser une solution de ToIP

20

21

Lutilisation du PoE se rpand de plus en plus mais soulve de nouvelles questions autour des commutateurs assurant cette fonction :
Il est important dinclure les budgets ncessaires pour grer les questions dalimentation lectrique et de climatisation pour obtenir le vrai cot dune solution de ToIP.

La ToIP repose sur un grand nombre de services fournis par le rseau pour fonctionner correctement (diffusion de la configuration, supervision de la solution, localisation des utilisateurs, ). On retrouve notamment les classiques suivants : DNS, DHCP, LDAP, RADIUS, HTTP, HTTPS, SNMP, SSH, TELNET, NTP, TFTP, ainsi que la gestion dynamique de la qualit de service. Idalement, les services utiliss par linfrastructure de ToIP devraient tre ddis et les serveurs suivre les conditions de scurisation cites plus haut.

> Chaque poste tlphonique ncessite 15,4W pour fonctionner. Ainsi, plus le nombre de postes est lev, plus le commutateur est oblig de dlivrer une puissance lectrique importante. La chaleur dgage par le commutateur sera donc directement proportionnelle au nombre de postes alimenter. Une attention toute particulire doit donc tre apporte la climatisation des locaux. > Lalimentation lectrique des commutateurs doit absolument tre redonde pour viter des coupures du service tlphonique lors de problme sur le rseau lectrique. On peut envisager la mise en place dUPS (attention la capacit) ou encore de double alimentation lectrique pour les commutateurs via deux circuits distincts. Il est important dinclure les budgets ncessaires pour grer les questions dalimentation lectrique et de climatisation pour obtenir le vrai cot dune solution de ToIP.

la supervision
Gnralits Les outils permettant la supervision des rseaux doivent normalement pouvoir tre adapts pour superviser lensemble de linfrastructure convergente tlphonie sur IP et Data. Cest lun des grands avantages de lunification des infrastructures. Nanmoins, si la plupart de ces outils fonctionnent sur lenvironnement converg complet, une mise jour devrait sans doute tre ncessaire pour les adapter aux outils de la ToIP et leurs particularits. Par ailleurs, il est recommand de sparer le trafic gnr par les solutions de supervision du reste des applications - un mode out of band sur un segment rseau ddi est fortement recommand. Les solutions des constructeurs sont naturellement performantes et parfaitement adaptes

la scurisation des serveurs

Lensemble des serveurs participant une solution de ToIP doit respecter une procdure de mise en place standard et tre scuris avant toute connexion au rseau. Une seule quipe au sein de lentreprise doit tre en charge de la rdaction des procdures dinstallation et de scurisation des serveurs et cela quel que soit le type de systme (Windows, Linux, Unix propritaire, etc.). La scurisation des serveurs comprend notamment : > la suppression des comptes inutiles, > la vrification du bon niveau de droit des diffrents comptes, > la suppression des services inutiles, > la suppression des logiciels ou modules inutiles, > le bon niveau de correction par rapport aux publications des diteurs/constructeurs. Par ailleurs, nous recommandons un audit rgulier des serveurs en production par la mme quipe. Celle-ci vrifiera le bon fonctionnement des serveurs et sassurera que les utilisateurs ne dtournent pas les serveurs de leurs fonctionnalits initiales, provoquant alors une baisse du niveau de scurit de lentreprise.

leurs produits. On notera cependant que le ticket dentre reste lev. Une solution alternative base de produits open source comme MRTG ou BigBrother pourrait alors tre envisage. Attention cependant, il sera ncessaire dans ce cas l : > de possder les MIBs adaptes aux produits que lon souhaite superviser, > de possder les comptences pour adapter les produits open source aux solutions de tlphonie sur IP, > de pouvoir librer le temps ncessaire la mise en place de ces solutions de supervision. Par ailleurs, les moyens de surveillance active du rseau et de lensemble de ses priphriques ne fournissent pas seulement un niveau de dfense supplmentaire mais aussi des moyens de rcuprer des informations sur le droulement dvnements non prvus dans un fonctionnement nominal.

22

23

On comprend dans la surveillance active non pas la supervision du rseau voqu plus haut, mais la dtection dintrusions rseau, la dtection dintrusions systme et les remontes dalarmes sur erreur des journaux systme et logs rseau (via SNMP par exemple). Les tests dintrusions et de vulnrabilits permettent de valider les niveaux de contrle de la scurit voqus ci-dessus. Syslog et SNMP Syslog La fonctionnalit Syslog permet davoir une technique pour grer les changes de notification au travers dun rseau IP entre un client et un serveur. Les messages changs ne sont par chiffrs par dfaut puisquil sagit dun protocole trs simple ; il est donc ncessaire de restreindre ce type dapplication un rseau interne ou protg. Certaines alternatives existent et offrent des fonctionnalits de scurit renforces. Leur utilisation est recommande pour viter des fuites dinformations sur le type darchitecture ToIP mis en place ainsi que ses faiblesses potentielles. SNMP SNMP signifie Simple Network Management Protocol (protocole simple de gestion de rseau). Il s'agit d'un protocole qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les problmes de rseau. Le systme de gestion de rseau est bas sur deux lments principaux : un superviseur et des agents. Le superviseur est la console qui permet l'administrateur rseau d'excuter des requtes de management. Les agents sont des entits qui se trouvent au niveau de chaque interface connectant l'quipement manag au rseau et permettant de rcuprer des informations sur diffrents objets.

Commutateurs, routeurs et serveurs sont des exemples d'quipements contenant des objets pouvant tre superviss. Ces objets peuvent tre des informations sur les matriels, des paramtres de configuration, des statistiques de performance et autres objets qui sont directement lis au comportement en cours de l'quipement en question. Ces objets sont classs dans une sorte de base de donnes appele MIB ("Management Information Base"). SNMP permet le dialogue entre le superviseur et les agents afin de recueillir les objets souhaits dans la MIB. L'architecture de gestion du rseau propose par le protocole SNMP est donc base sur trois principaux lments : > les quipements manags (managed devices) sont des lments du rseau (ponts, hubs, routeurs ou serveurs), contenant des "objets de gestion" (managed objects) pouvant tre des informations sur le matriel, des lments de configuration ou des informations statistiques, > les agents, c'est--dire une application de gestion de rseau rsidant dans un priphrique et charg de transmettre les donnes locales de gestion du priphrique au format SNMP, > les systmes de management de rseau (network management systems nots NMS), c'est--dire une console au travers de laquelle les administrateurs peuvent raliser des tches d'administration. Concrtement, dans le cadre d'un rseau, SNMP est utilis : > pour administrer les quipements, > pour surveiller le comportement des quipements.

24

25

Une requte SNMP est un datagramme UDP usuellement destination du port 161. Les schmas de scurit dpendent des versions de SNMP (v1,v2 ou v3). Dans les versions 1 et 2, une requte SNMP contient un nom appel communaut, utilis comme un mot de passe. Il y a un nom de communaut diffrent pour obtenir les droits en lecture et pour obtenir les droits en criture. Dans bien des cas, les lacunes de scurit que comportent les versions 1 et 2 de SNMP limitent l'utilisation de SNMP la lecture des informations. Un grand nombre de logiciels libres et payants utilisent SNMP pour interroger rgulirement les quipements et produire des graphes rendant compte de l'volution des rseaux ou des systmes informatiques. Le protocole SNMP dfinit aussi un concept de trap. Une fois dfini, si un certain vnement se produit, comme par exemple le dpassement d'un seuil, l'agent envoie un paquet UDP un serveur. Ce processus d'alerte est utilis dans les cas o il est possible de dfinir simplement un seuil d'alerte.
Station de gestion SNMP Gestion des objets par l'applicaton Agent SNMP Ressources gres Application de Gestion Objet gr par SNMP

NIDS et HIDS Les systmes de dtection dintrusion rseau ou NIDS (Network-based Intrusion Detection Systems) ont pour but dalerter les administrateurs de la solution en cas de trafic anormal ou jug malicieux. Un trafic qualifi de malicieux peut correspondre la propagation dun ver ou dun exploit connu (programme dvelopp spcifiquement pour exploiter une faiblesse clairement identifie dans un logiciel donn), tandis quun trafic anormal fait plutt rfrence une utilisation dtourne du rseau (par rapport son but premier) et aux rgles de scurit dfinies (une connexion en Peer-to-Peer par exemple). La dtection dintrusion systme ou HIDS (Host-based Intrusion Detection System) fait rfrence une famille de logiciels collectant des informations sur les serveurs ou encore les postes utilisateurs pour les analyser. Ce type daction permet davoir une vue dtaille sur les diffrentes activits et didentifier les processus ou les utilisateurs ayant des activits non autorises. La mise en place de ces deux types de systmes est conseille. Lutilisation de sondes NIDS aux points cls du rseau accs internet, DMZ, etc. - permet

Get Nex Request

Get Nex Request

Get Response

Get Response

Get Request

Get Request

de superviser une partie importante du trafic aux points sensibles de linfrastructure.

Trap

Set Request

Set Request

Trap

La gestion courante de ces sondes est ralise autant que possible via des liens scuriss (chiffrs). On notera que pour une efficacit maximum, et donc un minimum derreur de qualification dans les incidents (false positive), des mises jour rgulires et une configuration prcise et dtaille seront ncessaires .

Gestionnaire SNMP UDP IP Rseaux

Message SNMP

Agent SNMP UDP IP Rseaux

Les sondes dintrusion systme doivent tre mises en place sur lensemble des serveurs participant aux infrastructures ToIP (DNS, DHCP, TFTP, RADIUS, NTP, LDAP) et suivre un processus de supervision en temps rel au sein de lentreprise.

Le fonctionnement du protocole SNMP

26

27

Un exemple de dploiement de sonde N-IDS sur le rseau Agences dlocalises N-IDS

On distingue gnralement deux mthodes distinctes : > la mthode dite bote noire consistant essayer d'infiltrer le rseau sans aucune connaissance du systme, afin de raliser un test en situation relle, > la mthode dite bote blanche consistant tenter de s'introduire dans le systme
Rseau Interne

en ayant connaissance de l'ensemble du systme, afin d'prouver au maximum la scurit

Console de Management

du rseau. Une telle dmarche doit ncessairement tre ralise avec l'accord du plus haut niveau

Internet

N-IPS

de la hirarchie de l'entreprise, car elle peut aboutir des dgts ventuels dautant que ces mthodes sont interdites par la loi sans lautorisation du propritaire du systme. Un test d'intrusions, lorsqu'il met en vidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. A contrario, il ne permet pas de garantir la scurit du systme, puisque des vulnrabilits peuvent avoir chapp aux testeurs. Les audits de scurit
Console de Surveillance

Tltravailleur

N-IDS

permettent d'obtenir un bien meilleur niveau de confiance dans la scurit d'un systme : en effet, les aspects organisationnels et humains sont pris en compte et la scurit est analyse de l'intrieur.

DMZ

N-IDS versus N-IPS N-IDS pour Network-based Intrusion Detection System Terme traditionnellement utilis pour dsigner des solutions travaillant en mode promiscuit (comme les sniffers) et capables de remonter des alertes lors dintrusions sur le rseau. N-IPS pour Network-based Intrusion Prevention System Terme commun pour dsigner les solutions situes en passerelle ou en coupure sur un segment du rseau, forant le trafic circuler par le systme et proposant des contre-mesures sur le rel trafic analys. Tests dintrusions et de vulnrabilits Un test de vulnrabilits est un test didentification de failles connues. Le rsultat de ce test est un tableau synthtique dressant la liste des quipements concerns pour chaque faille trouve. Les tests d'intrusions consistent prouver les moyens de protection d'un systme d'information en essayant de s'introduire dans le systme en situation relle. Les rsultats du test de vulnrabilits pourront tre exploits pour atteindre ce but.

Le droulement d'un test d'intrusion Phases techniques Initialisation Dcouverte du primtre

SYNTHESE DE CADRAGE

Phases techniques de collecte d'information

Diagnostic Evaluation des risques

Identification des vulnrabilits

Validation

tests des vulnrabilits

Evaluation
des risques

ELABORATION DU RAPPORT D'INTRUSION

Validations intermdiaires

Recommandations et bilan

Prconisations
Validation finale

Plan d'action

Risques rsiduels

MISE A JOUR DU RAPPORT D'INTRUSION

Synthse technique

Synthse managriale

RAPPORT FINAL

28

29

lauthentification des utilisateurs

Gnralits Lune des mthodes les plus importantes pour anticiper une attaque sur un systme de tlphonie est de dterminer clairement lidentit des priphriques ou des personnes participant la conversation. On parlera dauthentification. Lauthentification est gnralement base sur un secret partag par les diffrentes parties (vous tes authentifi(e) si vous connaissez le secret) ou sur un systme de cls publiques et de certificats (vous tes authentifi(e) si vous possdez la cl correcte). On parlera de PKI (voir le point p.32 pour plus de dtails). Si lauthentification tablit lidentit des diffrents membres participant lchange, lautorisation permettra dtablir le degr daccs aux systmes que vous pouvez possder. Ces deux paramtres sont importants et doivent toujours tre associs. La figure ci-dessous montre un systme dauthentification/autorisation. Bien quil ne respecte pas parfaitement les rgles de lISO, il illustre bien que les utilisateurs et les priphriques doivent tre authentifis, souvent via des processus diffrents. Quoi quil en soit, lauthentification peut tre spare de lautorisation sans poser de problme de scurit supplmentaire.

802.1X Le protocole 802.1X permet de restreindre laccs au LAN en empchant les clients non autoriss de se connecter. En effet, ces derniers devront dabord tre authentifis, puis autoriss par un serveur dauthentification, un RADIUS par exemple, avant que le port du commutateur ne soit ouvert et que le rseau ne soit accessible. Le protocole EAP (Extensible Authentication Protocol) est un framework utilis dans la phase dauthentification dun client. Il fonctionne avec un grand nombre de mthodes dauthentification et nest donc pas restrictif.

L'authentification 802.1 Client authentifier Point d'accs Serveur d'authentification Rseau

Trafic autoris aprs authentification Trafic autoris avant authentification

La plupart des priphriques rcents ayant implment EAP sont constitus de deux
Systme d'authentification/autorisation schmatique ACCES RESEAU

composants principaux : une authentification externe et une authentification interne, spares par un membre de la famille EAP (PEAP ou EAP-MSCHAPv2). Lauthentification externe dfinit la mthode utilise pour tablir un circuit chiffr entre le client et le serveur dauthentification (un tunnel TLS par exemple). Une fois ce circuit tabli, le processus dauthentification interne transmettra les rfrences de lutilisateur au serveur dauthentification.

AUTORISATION

CONTROLE D'ACCES

Il est recommand dutiliser le protocole 802.1X pour lauthentification des priphriques et des utilisateurs que ce soit sur des rseaux cbls ou sans fil (WIFI). En fonction des environnements, les associations suivantes doivent tre mises en place (attention lvolution rapide de ces technologies) : > EAP TLS - PKI > EAP-PEAP Clients Windows > EAP-TTLS Clients autres

Authentification des priphriques Priphriques

Authentification des utilisateurs Utilisateurs

30

31

On notera quen fonction du type de serveur RADIUS utilis, des paramtres supplmentaires comme les VLAN pourront tre assigns dynamiquement au client authentifi. Les PKI (Public Key Infrastructure) Une PKI (Public Key Infrastructure) est un systme de gestion des cls publiques qui permet
Une PKI (Public Key Infrastructure) est un systme de gestion des cls publiques qui permet de grer des listes importantes de cls publiques et d'en assurer la fiabilit, pour des entits gnralement dans un rseau.

Exemples d'algorithmes de signature : RSA,DSA Dfinitions > Confidentialit : les informations changes deviennent illisibles, cette confidentialit est assure par le chiffrement. > Authentification : identification de l'origine de l'information. > Non-rpudiation : l'metteur des donnes ne pourra pas nier tre l'origine du message. > Intgrit : fonction permettant d'assurer que l'information n'a pas subi de modification .

de grer des listes importantes de cls publiques et d'en assurer la fiabilit, pour des entits gnralement dans un rseau. La PKI offre un cadre global permettant d'installer des lments de scurit tels que la confidentialit, l'authentification, l'intgrit et la non-rpudiation tant au sein de l'entreprise que lors d'changes d'information avec l'extrieur. Une infrastructure PKI fournit donc quatre services principaux : > fabrication de bi-cls, > certification de cls publiques et publication de certificats, > rvocation de certificats, > gestion de la fonction de certification. Signature : Dans la signature nous avons une bi-cl : une cl (prive) pour la cration de signature et une cl (publique) pour la vrification de signature. Voici les diffrentes tapes de la signature dun message : > l'aide de la cl prive de signature de l'expditeur, une empreinte de taille fixe connue sous le nom "message digest" est gnre par hachage en utilisant l'algorithme SHA-1 ou MD5, le plus utilis tant SHA-1. Cette empreinte est ensuite crypte avec cette cl prive de signature, > on joint au message l'empreinte et le certificat contenant la cl publique de signature, > le destinataire vrifie la validit du certificat et sa non rvocation dans l'annuaire, > le destinataire transforme l'empreinte avec la cl publique de signature ainsi valide. Cette opration permet de s'assurer de l'identit de l'expditeur, > ensuite le destinataire gnre une empreinte partir du message reu en utilisant le mme algorithme de hachage. Si les deux empreintes sont identiques, cela signifie que le message n'a pas t modifi. Donc la signature vrifie bien l'intgrit du message ainsi que l'identit de l'expditeur.
32

Chiffrement Il y a deux types de chiffrement possible : > Chiffrement cl secrte (symtrique) : Lmetteur utilise une cl pour chiffrer le message et le destinataire utilise la mme cl (le mme algorithme mais en sens inverse) pour dchiffrer le message. > Chiffrement cl publique (asymtrique) : Un message chiffr avec une cl publique donne ne peut tre dchiffr quavec la cl prive correspondante. Par exemple si A souhaite envoyer un message chiffr B, il le chiffrera en utilisant la cl publique de B (qui peut tre publie dans un annuaire). La seule personne qui dchiffre le message est le dtenteur de la cl prive de B. Exemples d'algorithmes de chiffrement : > Symtrique : DES, AES. > Asymtrique : RSA. Dans une infrastructure cls publiques, pour obtenir un certificat numrique, l'utilisateur fait une demande auprs dune autorit d'enregistrement. Celle-ci gnre un couple de cls (cl publique, cl prive), envoie la cl prive au client, applique une procdure et les critres dfinis par l'autorit de certification - qui certifie la cl publique - et appose sa signature sur le certificat, parfois fabriqu par un oprateur de certification.

33

Fonctionnement d'une PKI Autorit de Certification Demande de certification (envoi de la cl publique pour la certification) (2) Annuaire LDAP

VLAN
La sparation logique des flux voix et data laide de VLAN permet dviter que les incidents rencontrs sur lun des flux
Internet

La sparation logique des flux voix et data laide de VLAN est une mesure fortement recommande. Elle doit permettre dviter que les incidents rencontrs sur lun des flux ne puissent perturber lautre. Les VLAN ou rseaux locaux virtuels, peuvent tre reprsents comme une sparation logique dun mme rseau physique. Cette opration se fait au niveau 2 du modle OSI. On notera cependant quun VLAN est souvent configur pour correspondre directement un subnet IP bien identifi, prparant ainsi le travail effectuer sur la couche suprieure. Dans un environnement commut complet, les VLAN vont crer une sparation logique des domaines de broadcast et de collisions des problmes dus ces deux lments sont souvent rencontrs dans des LAN trop importants ou lorsquon utilise encore des hubs. De plus, la rduction des domaines de broadcast permet de rduire le trafic sur le rseau, librant ainsi plus de bande passante pour les applications utiles et rduisant les temps de traitement sur les priphriques rseau.

ne puissent perturber lautre.

Envoi du certificat sign (3)

Gnration de couple de cls prive/publique (1)

Publication de Certificat, et de listes de rvocations (CRL) (4)

Poste Client

On peut utiliser cette technique pour organiser les postes utilisateurs selon leurs situations physiques dans les btiments, le service auquel appartient lutilisateur, la vitesse de connexion, ou tout autre critre ayant du sens dans lentreprise. Un renforcement de la scurit peut tre ralis en mettant en place un filtrage inter-VLAN, nautorisant que les utilisateurs dun VLAN y accder. Le risque de DoS peut ainsi tre rduit. Qualit de service Un rseau de donnes travaille par dfaut en mode Best Effort. Concrtement, cela signifie que lensemble du trafic possde la mme priorit et le mme nombre de chances darrive sans tre supprim. Ainsi, si un encombrement de rseau survient, le trafic supprimer pour rtablir le service sera slectionn au hasard. Ceci nest pas acceptable sur un trafic contenant de la voix : une dgradation importante de la qualit ne peut tre tolre par lutilisateur. Il est donc ncessaire de mettre en place un systme de priorit donne au trafic voix sur les trafics moins sensibles. Applique aux rseaux commutation classique, la qualit de service ou QoS dsigne donc l'aptitude pouvoir garantir un niveau acceptable de perte de paquets, dfini contractuellement, pour un usage donn (voix, vido, web, ftp, etc.).

Sur les solutions ToIP, une PKI donne le moyen de garantir lidentit des utilisateurs et des priphriques, tout en travaillant avec des protocoles comme le 802.1X. Cest donc un moyen permettant de fdrer lensemble des identifications de la solution tout en restant suffisamment ouvert pour travailler avec tous les grands protocoles du march.

la sparation et la scurisation des flux

Une fois numris, le trafic voix nest plus identifiable comme tel et se confond avec les flux data sur le rseau. Il devient ainsi victime des problmes rencontrs couramment en data. Si lon russit sparer les flux avant den arriver cette situation, un traitement particulier peut alors tre mis en place et permettre de rduire autant que possible ce type dinconvnients (broadcast, congestions, DoS, ). La sparation des flux voix et data peut tre ralise via lutilisation de techniques comme les VLAN, la mise en place de qualit de service ou encore de filtrage.

34

35

La Qualit de Service (QoS) garantit un niveau acceptable de perte de paquets, pour donner par exemple, la priorit au trafic voix sur les trafics moins sensibles comme la data.

Les principaux critres permettant d'apprcier la qualit de service sont les suivants : > dbit (en anglais bandwidth), parfois appel bande passante par abus de langage, il dfinit le volume maximal d'informations (bits) par unit de temps, > gigue (en anglais jitter) : elle reprsente la fluctuation du signal numrique dans le temps ou en phase, > latence, dlai ou temps de rponse (en anglais delay) : elle caractrise le retard entre l'mission et la rception d'un paquet, > perte de paquets (en anglais packet loss) : elle correspond la non-dlivrance d'un paquet de donnes, la plupart du temps due un encombrement du rseau, > dsquencement (en anglais desequencing) : il s'agit d'une modification de l'ordre d'arrive des paquets.
Un exemple de QoS : Le Class Base Policing D1 D2 D3

Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseau(x) externe(s). Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : > la machine soit suffisamment puissante pour traiter le trafic, > le systme soit scuris, > aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur. Dans le cas o le systme pare-feu est fourni dans une bote noire cl en main, on utilise le terme d'appliance.

Fonctionnement d'un systme pare-feu Un systme pare-feu contient un ensemble de rgles prdfinies permettant : > d'autoriser la connexion (allow), > de bloquer la connexion (deny),
30 % 60 % 70 % 30 % 90 % 10 %

> de rejeter la demande de connexion sans avertir l'metteur (drop). L'ensemble de ces rgles permet de mettre en uvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit. On distingue habituellement deux types de politiques de scurit permettant : > soit d'autoriser uniquement les communications ayant t explicitement autorises : "Tout ce qui n'est pas explicitement autoris est interdit", > soit d'empcher les changes qui ont t explicitement interdits. La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication.

En cas de dpassement du % de la bande passante alloue, CB-Policing dclasse le flux D1, D2 et D3.
D1 out of profile D1 in profile D2 out of profile D2 in profile D3 out of profile D3 in profile

Firewalls Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment Internet). Le pare-feu filtre les paquets de donnes changs avec le rseau. Il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivantes : > une interface pour le rseau protger (rseau interne), > une interface pour le rseau externe.

36

37

Le filtrage simple de paquets Un systme pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais stateless packet filtering). Il analyse les en-ttes de chaque paquet de donnes (datagramme) chang entre une machine du rseau interne et une machine extrieure. Ainsi, les paquets de donnes changs entre une machine du rseau extrieur et une machine du rseau interne transitent par le pare-feu et possdent les en-ttes suivants, systmatiquement analyss par le firewall : > adresse IP de la machine mettrice (source), > adresse IP de la machine rceptrice (destination), > type de paquet (TCP, UDP, etc.), > numro de port (rappel : un port est un numro associ un service ou une application rseau). Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis. Les ports reconnus (dont le numro est compris entre 0 et 1023) sont associs des services courants (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple, souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet.

Le filtrage dynamique Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est--dire de manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports laisser passer ou interdire. Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est stateful inspection ou stateful packet filtering (le filtrage de paquets avec tat). Un dispositif de pare-feu du type stateful inspection est ainsi capable d'assurer un suivi des changes, c'est--dire de tenir compte de l'tat des anciens paquets pour appliquer les rgles de filtrage. De cette manire, partir du moment o une machine autorise initialise une connexion une machine situe de l'autre ct du pare-feu, l'ensemble des paquets transitant dans le cadre de cette connexion sera implicitement accept par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protge pas pour autant de l'exploitation des failles applicatives, lies aux vulnrabilits des applications. Or ces vulnrabilits reprsentent la part la plus importante des risques en termes de scurit. Le filtrage applicatif Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif opre donc au niveau 7 (couche application) du modle OSI, contrairement au filtrage de paquets simple (niveau 3). Le filtrage applicatif suppose donc une bonne connaissance des protocoles utiliss par chaque application.

38

39

Un firewall effectuant un filtrage applicatif est appel gnralement passerelle applicative (ou proxy), car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs. Le proxy reprsente donc un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place. De plus, le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire. Il s'agit d'un dispositif performant, assurant une bonne protection du rseau, pour peu qu'il soit correctement administr. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Par ailleurs, le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et de connaitre les failles affrentes pour tre efficace. Enfin, un tel systme peut potentiellement comporter une vulnrabilit dans la mesure o il interprte les requtes qui transitent par son biais. Ainsi, il est recommand de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission. Les limites des firewalls Un systme pare-feu n'offre bien videmment pas une scurit absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure o l'ensemble des communications vers l'extrieur passe systmatiquement par leur intermdiaire et qu'ils sont correctement configurs. Ainsi, les accs au rseau extrieur par contournement du firewall sont autant de failles de scurit. C'est notamment le cas des connexions effectues partir du rseau interne l'aide d'un modem ou de tout moyen de connexion chappant au contrle du pare-feu. De la mme manire, l'introduction de supports de stockage provenant de l'extrieur sur des machines internes au rseau ou bien d'ordinateurs portables peut porter fortement prjudice la politique de scurit globale.

Enfin pour garantir un niveau de protection maximal, il est ncessaire d'administrer le pare-feu et notamment de surveiller son journal d'activit afin d'tre en mesure de dtecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommand d'effectuer une veille de scurit (en s'abonnant aux alertes de scurit des CERT par exemple) afin de modifier le paramtrage de son dispositif en fonction de la publication des alertes. Le tableau ci-dessous donne une premire liste de protocoles couramment utiliss dans les technologies ToIP. On apportera une attention toute particulire la gestion des ports dynamiques par les firewalls pour viter douvrir des plages de ports extrmement importantes. Ports couramment utiliss en ToIP Services Skinny TFTP MGCP Backhaul (MGCP) Tapi/Jtapi HTTP SSL SCCP RTP SNMP SNMP Trap DNS NTP LDAP H.323RAS H.323 H.225 H.323 H.245 H.323 Gatekeeper Discovery SIP SIP/TLS Ports TCP 2000-2002 UDP 69 UDP 2427 UDP 2428 TCP 2748 TCP 8080/80 TCP 443 TCP 3224 16384-32767 UDP 161 UDP 162 UDP 53 UDP 123 TCP 389 TCP 1719 TCP 1720 TCP 11000-11999 UDP 1718 TCP 5060 TCP 5061
41

40

Translation dadresses IP (NAT) Principe du NAT Le mcanisme de translation d'adresses (en anglais Network Address Translation not NAT) a t mis au point afin de rpondre la pnurie d'adresses IP avec le protocole IPv4 (le protocole IPv6 rpondra terme ce problme). En effet, en adressage IPv4, le nombre d'adresses IP routables (donc uniques sur la plante) n'est pas suffisant pour permettre toutes les machines de se connecter Internet. Le principe du NAT consiste utiliser une adresse IP routable (ou un nombre limit d'adresses IP) pour connecter l'ensemble des machines du rseau en ralisant, au niveau de la passerelle de connexion Internet, une translation (littralement une traduction) entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle.

Translation statique Le principe du NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. La translation d'adresses statiques permet ainsi de connecter des machines du rseau interne Internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresses dans la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau interne. Translation dynamique Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi, toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP. C'est la raison pour laquelle le terme de mascarade IP (en anglais IP masquerading)
RESEAU EXTERNE (extranet) Passerelle NAT
De : 82.25.123.27 (port 23549) Vers : 193.19.219.216 (port 80)

Exemple de NAT simple vers un serveur web RESEAU INTERNE (intranet)

De :192.168.1.3 (port 23549) Vers : 193.19.219.216 (port 80)

est parfois utilis pour dsigner le mcanisme de translation d'adresse dynamique. Afin de pouvoir multiplexer (partager) les diffrentes adresses IP sur une ou plusieurs adresses IP routables, le NAT dynamique utilise le mcanisme de translation de port (PAT - Port Address Translation), c'est--dire l'affectation d'un port source diffrent chaque requte de manire pouvoir maintenir une correspondance entre les requtes provenant du rseau interne et les rponses des machines sur Internet, toutes adresses l'adresse IP du routeur.

De :192.168.1.1 (port 21566) Vers : 192.168.1.3 (port 23549)

De :193.19.219.216 (port 41253) Vers : 82.25.123.27 (port 23549)

192.166.1.3

192.668.1.1

82.25.123.27

193.19.219.216

Les translations dadresses et la ToIP D'autre part, le mcanisme de translation d'adresses permet de scuriser le rseau interne car il masque compltement l'adressage interne. Ainsi, pour un observateur externe au rseau, toutes les requtes semblent provenir de la mme adresse IP. Les translations dadresses restent une difficult importante dans les solutions implmentant la ToIP et le chiffrement. En effet, le chiffrement dun paquet cache lensemble des donnes dorigine pour ne traiter que le transport du paquet au travers dun rseau. Les informations portant sur un traitement particulier du routage et de la signalisation ne peuvent donc pas tre exploites et la qualit de service notamment peut en tre fortement impacte. On privilgiera donc des priphriques ToIP aware tout au long de la chane de communication pour contourner cette limitation.

42

43

Access Control Lists Les ACL (Access Control Lists) permettent de filtrer des paquets suivant des critres dfinis par l'utilisateur. Sur des paquets IP, il est ainsi possible de filtrer les paquets entrants ou sortant d'un routeur en fonction de l'IP source, de l'IP destination, des ports ... Il existe 2 types d'ACL : > Standard : uniquement sur les IP sources, > Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP.
Autorisation Routage ACL sortant Dni Autorisation

access-list 1 deny 172.16.3.10 0.0.0.0 > refuse les paquets d'IP source 172.16.3.10, > le masque (galement appel wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs access-list 1 permit 0.0.0.0 255.255.255.255 > tous les paquets IP sont autoriss, > le masque 255.255.255.255 signifie qu'aucun bit n'est significatif. La cration, la mise jour, le troubleshooting ncessitent beaucoup de temps et de rigueur dans la syntaxe. Il est donc conseill de : > crer les ACL l'aide d'un diteur de texte et de faire un copier/coller dans la configuration du routeur, > placer les extended ACL au plus prs de la source du paquet pour le dtruire le plus vite possible,
Corbeille

ACL entrant

Dni

> placer les ACL standards au plus prs de la destination au risque de dtruire un paquet trop tt, > placer la rgle la plus spcifique en premier, > dsactiver lACL sur l'interface concern, avant de faire le moindre changement

Paquet IP

Il est possible de rsumer le fonctionnement des ACL de la faon suivante : > le paquet est vrifi par rapport au 1er critre dfini, > s'il vrifie le critre, l'action dfinie est applique, > sinon le paquet est compar successivement par rapport aux ACL suivantes, > s'il ne satisfait aucun critre, l'action dni en anglais (deny) est applique. Exemple dACL: interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip acces-group 1 out ! access-list 1 deny 172.16.3.10 0.0.0.0 access-list 1 permit 0.0.0.0. 255.255.255.255

sur celle-ci. Par ailleurs, on notera quune ACL : > impose une utilisation beaucoup plus intensive des ressources du routeur o elle est implmente (elle doit examiner chaque paquet pour vrifier sil correspond ou non aux rgles configures), > ne supporte en aucun cas la gestion des ports dynamiques, > ne remonte pas dans les couches applicatives.

44

45

Chiffrement RTP (Real-time Transport Protocol) encode, transporte et dcode la voix. La qualit du flux tant essentielle dans le domaine de la ToIP, tant sur le plan de la vitesse que sur la qualit, le compromis scurit/utilisation est donc essentiel : dbit, qualit de la voix, temps d'tablissement des communications, etc. Certaines solutions classiques ne sont donc pas viables et le meilleur compromis se dtermine au cas par cas selon le nombre de clients, les dbits souhaits, le niveau de scurit requis, la vitesse du mdia utilis, les types de donnes Les contraintes d'intgrit, de confidentialit et d'authenticit ne tenaient pas une place de choix dans les premires solutions et les protocoles cls ne disposaient d'aucune protection fiable (SIP, RTP, RTCP ...). Plusieurs protocoles sont apparus avec notamment les quivalents chiffrs de RTP et RTCP : SRTP et SRTCP (respectivement Secure Real-time Transport Protocol et Secure Real-time Transport Control Protocol). Les paquets SRTP se diffrencient des paquets RTP par 3 champs : > un champ additionnel pour le type d'algorithme utilis (Authentication tag), > un deuxime contenant diffrentes informations sur la cl (Master Key Identifier -MKI), > et bien sr un payload chiffr. SRTP et SRTCP ont t dvelopps dans un souci de performance, le but tant de scuriser au maximum les changes moindre cot en minimisant la surcharge lie au chiffrement du payload.

Comme le montre la figure ci-dessus, seul le payload est chiffr dans un paquet SRTP, ce qui ne permet donc pas d'assurer 100% l'intgrit des paquets transmis : l'en-tte du paquet SRTP peut tre modifi, tout comme les champs optionnels MKI ou Authentication tag. Quand SRTP est utilis conjointement avec SIP, le droulement chronologique des transactions est le suivant : > appelant : tablissement de la communication (sonnerie) avec un paquet. SIP INVITE : > appel : accord du tiers distant avec une rponse 200 (OK), > appelant : paquet SIP de type ACK pour confirmer la rception du paquet prcdent et tablir la session SIP. Le schma d'tablissement ressemble trangement une ouverture de session TCP Une fois la communication tablie, si les deux participants se sont pralablement mis d'accord sur l'algorithme de chiffrement utilis, la communication scurise est tablie. Dans le cas contraire, si une ngociation des cls est ncessaire, un protocole de gestion des cls s'impose sur le mme principe quIKE (pour plus de dtails sur ce protocole, voir p.49 ) pour IPSec par exemple. C'est dans ce but que MiKEY (Multimdia Internet Keyring) a t dvelopp : il s'agit d'un protocole rcent encore en test et trs peu implment. MiKEY est encapsul dans Synchronization Source (SSRC) identifier Contributing Source (CSRC) RTP extension PAYLOAD (chiffr) MKI Authentication tag Cette dernire alternative n'a pas encore t implmente et ses performances globales sont trs controverses lheure actuelle. les paquets SIP et permet d'utiliser : > un secret commun (PSK pour Pre-Shared Key), gnralement sous forme de mot de passe, > des protocoles Diffie-Hellman dchange de cls, > une PKI.

46

47

MiKEY, tout comme SRTP/SRTCP, tente de minimiser les cots et les impacts de la protection. Il doit assurer une scurit optimale des transactions de cls sans affecter de faon significative la rapidit des changes. MiKEY s'encapsule dans SIP avec le champ a=key-mgmy qui permet d'assurer l'authentification qui permettra de faire transiter un flux SRTP par la suite avec des algorithmes et des cls adquats. MiKEY repose sur SIP : toute attaque sur ce dernier remet donc en cause la scurit. Il est indispensable de veiller l'intgrit et l'authenticit des paquets SIP. La ncessit pour certains intermdiaires d'accder, voire de modifier des portions de paquets (proxies, registrars, redirecteurs...) rendent la tche dlicate. Minisip(entre autre) propose lutilisation de TLS pour limiter ces risques.

La ToIP faisant appel de nombreux processus (SIP, DNS, SRTP, voire SRTCP pour le contrle du flux SRTP : CODECs, timing, etc.), il est indispensable de scuriser chaque tape de la communication. Les nombreuses contraintes imposes par cette technologie ne facilitent pas la tche : il est aussi parfois ncessaire de traverser des pare-feux, de fonctionner avec des translations d'adresses (NAT) et certains choix sont alors limits. Tunnel IPsec Les diffrentes solutions de tunneling prsentent toutes des avantages et des inconvnients pour la ToIP avec ses nombreuses exigences. IPSec, qui travaille sur la couche rseau, permet d'assurer une plus grande fiabilit des informations. Notons par exemple que le problme des en-ttes SRTP modifiables n'est plus un souci ici. Cependant, le cot de cette solution est parfois considrable, tant sur le plan des ressources matrielles que sur le trafic rseau. IKE (Internet Key Exchange) permet alors de remplacer MiKEY et d'assurer la gestion des cls pour l'ensemble des communications ToIP. La surcharge engendre par IPSec peut tre minimise en configurant le tunnel pour traiter

Mise en place d'un flux scuris SERVEUR DNS

uniquement les flux de tlphonie sur IP (pour des machines/protocoles fixs). Un atout intressant est la possibilit d'utiliser la totalit des softphones disponibles puisqu'ils n'ont plus grer la scurit des changes (via SRTP/MiKEY...). UDP limite les types de tunnels utilisables, notamment SSL ou SSH, mme s'il reste possible d'utiliser vtun (ou un quivalent) pour faire de l'UDP over TCP, mais

(2) Requte DNS

(3) Rponse DNS le serveur SIP est X.X.X.X (4) SIP/Mickey invite TLS

les performances deviendraient rapidement mdiocres ! Pour rsumer : les tunnels simplifient le dploiement de la ToIP scurise, mais ne peuvent
PROXY SIP

PROXY SIP

pas tre employs sur de larges infrastructures.

(1) SIP/Mickey invite TLS

(5) SIP/Mickey invite TLS

(6) Flux SRTP APPELANT APPELE

48

49

Et la ToIP sur WIFI ? Concernant les rseaux WIFI, la norme scurise 802.11i rcemment homologue par lIEEE augmente la scurit du WIFI en introduisant lalgorithme AES (Advanced Encryption Standard). LAES est une technique de chiffrement fort cl symtrique, o la cl est la mme pour le chiffrement et le dchiffrement. Les longueurs de cl de chiffrement utilises sont 128, 192 ou 256 bits. L'AES, cr en 1998, est peu utilis par le grand public. Plusieurs gouvernements l'ont homologu pour usage administratif, y compris pour le chiffrement des donnes les plus sensibles.

La scurit comme une mission complte

La scurit ne se limite pas uniquement de simples mesures techniques, elle ncessite plutt un concept intgral (voir schma ci-dessous). Il sagit ici dun framework uniforme qui, entre autre, octroie une responsabilit de scurit claire, stratgique et oprative. Les menaces doivent tre values en fonction de lentreprise et les risques mesurables doivent tre dfinis. On en dduit des concepts de scurit pour des cas normaux et des situations durgence, qui sont mis en oeuvre sur le plan technique laide de solutions de scurit. Si les collaborateurs ne sont pas impliqus, ces solutions ne sont cependant qu moiti efficaces. De cette faon, la scurit pntre finalement les processus dentreprise.
Un projet ToIP est loccasion de sensibiliser les collaborateurs

802.11i 802.1X

Un haut niveau de scurit peut tre atteint aujourdhui en impliquant aussi les composants de scurit dj utiliss pour le rseau de donnes. Les fabricants et les comits comptents travaillent aussi amliorer les technologies (matrielles, logicielles) et les protocoles les plus souvent utiliss. Les risques et les frais quils peuvent entraner ne sont pas une raison pour renoncer aux avantages de la ToIP : un cot avantageux sur le long terme, des gains de flexibilit et de productivit grce des applications de communication intgres. En outre, les efforts de scurit se rpercutent sur lensemble de linfrastructure : lide dtre espionn lors dune discussion effraie et sensibilise les collaborateurs srement plus que le souci de la scurit de leurs e-mails.

Set de services basiques Set de services basiques indpendants Pre-authentification Hirarchie des cls Gestion des cls Ngociation Cipher et d'authentification Protocoles de confidentialit des donnes TKIP CCMP (AES) Accs WIFI Protg

la scurit de lensemble de linfrastructure de lentreprise. En effet, qui aujourdhui se soucie de la scurit de ses e-mails ?

Scurit ICT Menaces dangers

Entreprise Marchs Performance de march

Un exemple de framework scuris bas sur 802.11i (v2 au firmware de lIP Phone 7920 du constructeur Cisco).
Risques Politique de scurit Gestion de la scurit Stratgie d'entreprise, cadres suprieurs Processus de march collaborateurs Applications et clients Services et plate-formes Rseaux Processus d'assistance

Scurit IT

Gestion des systmes Gestion de rseau

Scurit de rseau

50

51

politique de scurit
Lors de la configuration dun rseau, quil sagisse dun rseau local (LAN), dun rseau local virtuel (VLAN), ou dun rseau tendu (WAN), il est important de dfinir ds le dbut les politiques de scurit. Les politiques de scurit sont des rgles programmes et stockes dans un dispositif de scurit, destines contrler des aspects comme les droits daccs. Ces politiques de scurit sont, bien sr, galement des rglements crits rgissant le fonctionnement dune socit. De plus, les socits doivent dsigner le responsable de lapplication et de la gestion de ces politiques et dterminer le mode dinformation des employs propos des rgles et des protections. Une politique de scurit repose essentiellement sur quatre piliers :
A mesure que vous ajoutez de nouveaux systmes ou de nouveaux services votre rseau, vous introduisez de nouveaux risques. Les procdures rgulires dadministration du rseau doivent comprendre une valuation rgulire et complte des faiblesses du systme.

La mise en uvre des solutions de scurit repose sur les trois P : les Personnes, les Produits et les Procdures.

> adopter une dmarche systmatique de limitation de ces risques. Tout dans un rseau peut constituer une cible, quil sagisse des routeurs, des commutateurs, des htes, des applications, des rseaux et des systmes dexploitation. Pour tre efficace, une politique de scurit doit tenir compte de chacune de ces composantes. La mise en oeuvre des solutions de scurit repose sur les trois P : les Personnes, les Produits et les Procdures. Vous devez disposer de techniciens comptents pour mettre en oeuvre votre politique, vous devez utiliser des outils spcifiquement conus pour supporter votre stratgie e-business et vous devez associer tout cela une administration systme et une politique danalyse efficaces. > garder lesprit que la scurit est un processus. Une politique de scurit nest pas une solution grave dans le marbre. La scurit exige des tudes, des analyses et des amliorations rgulires pour offrir le niveau de protection dont votre entreprise a besoin. Vous pouvez galement envisager lacquisition dun utilitaire dvaluation des vulnrabilits ou encore signer un contrat avec un partenaire extrieur de contrle de la scurit afin de vrifier votre politique, vos procdures et votre mise en uvre et, dans certains cas, vous dcharger de certaines tches forte composante en main-doeuvre comme la surveillance.

> dcrire clairement votre modle mtier. Il serait absurde de concevoir ou de dployer une solution de scurit qui ne serait pas fonde sur la nature de vos objectifs mtier. Identifiez clairement vos objectifs mtier en y incluant le type de services et daccs qui vous sont ncessaires pour les atteindre. > identifier en dtail les risques associs. Si vous prvoyez dhberger un segment de services au public (encore appel zone dmilitarise ou DMZ) et doffrir des activits de commerce lectronique, vous devez comprendre toutes les manires dont les pirates chercheront exploiter vos systmes et vos services. Quels sont les risques si la page Web est saccage, si un pirate sintroduit sur un serveur ou si une base de donnes de clients est attaque ? De quelle manire ces attaques sont-elles menes ? Les pirates contournent-ils le pare-feu en se cachant dans le trafic Web autoris ou cherchent-ils exploiter des vulnrabilits dans des systmes dexploitation mal mis jour ? Ces questions doivent tre soigneusement examines et comprises avant de pouvoir passer ltape suivante. A mesure que vous ajoutez de nouveaux systmes ou de nouveaux services votre rseau, vous introduisez de nouveaux risques. Les procdures rgulires dadministration du rseau doivent comprendre une valuation rgulire et complte des faiblesses du systme.

Le cycle vertueux de la scurit

1SECURISER 4
POLITIQUE DE SECURITE

SECURISER

> identifier et authentifier > filtrer > chiffrement et VPN

SUPERVISER

ADMINISTRER

> dtection d'intrusions /contre mesures > dtection en mode "content base"/contre mesures > supervision du personnel

SUPERVISER

AUDITER

> valider la politique de scurit > rechercher les vulnrabilits > audit d'application/patch

ADMINISTRATION

3 AUDITER

> analyse des logs et gnration de rapports > gestion des configurations > scurisation des modes d'administration

52

53

Les socits dployant ou envisageant de dployer des solutions de tlphonie sur leurs rseaux auront un effort fournir encore plus important que par le pass pour en scuriser lensemble. La scurit cotera plus cher et demandera un personnel qualifi. Par ailleurs, le dveloppement juridique de ce domaine trait via Sarbanes-Oxley, GBLA et CALEA pour les Etats-Unis ou le DEPC en Europe transforme les tentatives de pntrations et autres actes malveillants en actes criminels. Lair du temps est donc la professionnalisation pousse de ce domaine, les consquences pouvant tre extrmement lourdes en cas de faute. La convergence de la voix et de donne sur les mmes infrastructures physiques doit permettre dallger les charges dexploitation et de souvrir de nouveaux applicatifs utilisant une nouvelle palette de possibilits. Cependant, avec la mise en place de cette nouvelle architecture, la voix devient aussi vulnrable que les applications classiques aux failles de scurit sur le rseau, posant ainsi une nouvelle problmatique : si les risques deviennent les mmes, la tolrance aux pannes des utilisateurs en matire de tlphonie reste extrmement faible en comparaison des applications data. Un niveau de service identique la tlphonie traditionnelle est attendu. La plupart des socits possdent aujourdhui des primtres de scurit bien tablis. Cependant, en observant en dtail les solutions mises en place, il apparat rapidement que tout nest pas coordonn et que certaines faiblesses persistent. Idalement, une entreprise devrait possder plusieurs niveaux de dfense coordonns sur lensemble dun primtre de scurit dfini, confrontant ainsi un pirate ayant russi passer un premier niveau avec un deuxime, puis un troisime. De cette manire, un accs rapide aux informations sensibles de lentreprise doit pouvoir tre vit. Par ailleurs, le postulat indiquant que tout utilisateur authentifi et autoris est suppos digne de confiance et peut possder un accs important aux ressources du rseau nest pas suffisamment remis en question au travers du nouveau masque de lecture impos par la convergence des applications et ressources. Ce manque de granularit peut crer des risques ouvrant des ouvertures toute personne malintentionne ou encore permettre la propagation de vers ou de virus sur le rseau.

conclusion

54

55

Enfin, noublions pas que si les risques dattaques sont souvent associs limage du hacker indpendant, ayant une grande matrise des technologies, une motivation toute preuve et utilisant Internet pour accder aux infrastructures de lentreprise, la ralit est tout autre. Les risques et les pertes financires pour lentreprise sont souvent causs par les utilisateurs eux-mmes. Nous ninsisterons jamais assez sur ce point, dautant que la convergence des applications dmultiplie les risques de pertes financires la suite dune interruption du service. Les points cls suivants, ncessaires la scurisation du rseau, doivent absolument tre tudis : > le renforcement des politiques de scurit, > la communication autour des politiques de scurit mises en place, > la mise en place dune scurit physique rigoureuse, > la vrification des accrditations des utilisateurs, > la supervision des installations (Logs, firewall, IDS/IPS, etc. ), > la sparation des flux, > le renforcement logique des serveurs, > la mise en place de chiffrement ds que cela est envisageable. Orange Business Services offre aux entreprises des solutions et services pour les aider grer leurs enjeux de scurit. Quil sagisse de les conseiller sur les solutions mettre en uvre ou de leur apporter le soutien ncessaire pour les mettre la disposition des utilisateurs, les entreprises bnficient dun accompagnement personnalis. En outre, Orange Business Services qui matrise lensemble des technologies touchant la scurit, propose un haut niveau de scurit embarque dans lensemble de ses solutions et services.

56

57

Algorithme RSA
RSA (de ses concepteurs Rivest, Shamir et Adleman) est un algorithme asymtrique de cryptographie cl publique, trs utilis dans le commerce lectronique, et plus gnralement pour changer des donnes confidentielles sur Internet.

Call hijacking
Dtournement dappel

DoS Attack
Littralement, Attaque par Dni de Service. Le but est de rendre un service (la tlphonie par exemple) totalement inutilisable pour perturber l'activit d'une socit.

EAP
Le protocole EAP (Extensible Authentication Protocol) est une norme IETF (Internet Engineering

glossaire

Task Force) dcrite dans le document HYPERLINK RFC 3748 ("http://www.ietf.org/rfc/rfc3748.txt"), qui dfinit une infrastructure permettant aux clients d'accs rseau et aux serveurs d'authentification d'hberger des modules pour les mthodes et technologies d'authentification actuelles et futures. Microsoft Windows utilise EAP pour authentifier l'accs rseau pour les connexions PPP (Point-to-Point Protocol) -accs distant et rseau priv virtuel- et pour l'accs rseau bas sur IEEE 802.1X aux commutateurs Ethernet et points d'accs sans fil.

Softphone
Un Softphone est un logiciel que l'on utilise pour faire de la tlphonie sur Internet depuis son ordinateur. Les interfaces de ces Softphones sont souvent simples d'utilisation et trs ompltes puisque toutes les fonctionnalits qui existent sur des tlphones classiques existent aussi sur les Softphones.

UDP (User Datagram Protocol)

Un des principaux protocoles de tlcommunication utilis par Internet. Il fait partie de la couche transport de la pile de protocole TCP/IP. Le rle de ce protocole est de permettre la transmission de paquets (aussi appels datagrammes) de manire trs simple entre deux entits, chacune tant dfinie par une adresse IP et un numro de port. Ce protocole qui fonctionne en mode non-connect est souvent dcrit comme tant un protocole non-fiable par opposition au protocole TCP qui fonctionne en mode connect (ouverture de connexion, transfert de donnes, fermeture de connexion).
58 59

La tlphonie sur IP coexiste aujourd'hui dans deux environnements trs diffrents : Internet et les rseaux d'entreprises. Si dans le premier cas la ToIP est difficile scuriser, le rseau d'entreprise en revanche, beaucoup moins ouvert sur l'extrieur et bien mieux matris, permet l'implmentation de solutions mme de renforcer la scurit de la tlphonie sur IP de faon significative. Il est indniable que le changement de mdia vhiculant la voix comporte des risques que l'on peut retrouver sur les applications informatiques traditionnelles. Pour autant, la tolrance aux pannes devra tre ncessairement diminue, compte tenu du niveau de service attendu de la tlphonie traditionnelle. Pour scuriser une solution de ToIP en entreprise, il sera donc ncessaire : > d'implmenter des mcanismes de scurit renforcs par rapport au monde informatique, > de prendre en compte le caractre temps rel de cette nouvelle application par limplmentation de mcanismes de qualit de service sur l'ensemble de l'environnement, > d'intgrer cette nouvelle application dans les diffrentes politiques de scurit de l'entreprise, > de ne pas oublier les leons du pass (les dfauts de configuration des IP PBX et des PBX classiques en matire de tlphonie restant identiques). Dans ce troisime cahier de la Scurit, notre expert prsente de faon dtaille et pdagogique les risques dattaques de solutions ToIP en entreprise puis propose une analyse claire des diffrentes solutions existantes pour scuriser une solution de ToIP, lesquelles ne sont pas que techniques.

Les cahiers de la Scurit dj parus : OTP, une solution dauthentification forte PKI, une solution de cryptage

Tlchargez les cahiers de la scurit sur www.orange-business.com

France Tlcom - 6 place dAlleray 75505 Paris Cedex 15 SA au capital de 10 426 692 520 euros - 380 129 866 RCS Paris - document non contractuel - code EAN 3699690005017 www.uniteam.fr - 05/2007