1、 Union internationale des tlcommunicationsUIT-T Y.2704SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (01/2010) SRIE Y: INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION Rseaux de prochaine gnration Scurit Mcanismes et procdures de scurit des rseaux
2、 NGN Recommandation UIT-T Y.2704 RECOMMANDATIONS UIT-T DE LA SRIE Y INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION INFRASTRUCTURE MONDIALE DE LINFORMATION Gnralits Y.100Y.199 Services, applications et intergiciels Y.200Y.299 Aspects rseau Y.300Y.399 Inter
3、faces et protocoles Y.400Y.499 Numrotage, adressage et dnomination Y.500Y.599 Gestion, exploitation et maintenance Y.600Y.699 Scurit Y.700Y.799 Performances Y.800Y.899 ASPECTS RELATIFS AU PROTOCOLE INTERNET Gnralits Y.1000Y.1099 Services et applications Y.1100Y.1199 Architecture, accs, capacits de r
4、seau et gestion des ressources Y.1200Y.1299 Transport Y.1300Y.1399 Interfonctionnement Y.1400Y.14Qualit de service et performances de rseau Y.1500Y.1599 Signalisation Y.1600Y.1699 Gestion, exploitation et maintenance Y.1700Y.1799 Taxation Y.1800Y.1899 Tlvision IP sur rseaux de prochaine gnration Y.1
5、900Y.1999 RSEAUX DE PROCHAINE GNRATION Cadre gnral et modles architecturaux fonctionnels Y.2000Y.2099 Qualit de service et performances Y.2100Y.2199 Aspects relatifs aux services: capacits et architecture des services Y.2200Y.2249 Aspects relatifs aux services: interoprabilit des services et rseaux
6、dans les rseaux de prochaine gnration Y.2250Y.2299 Numrotage, nommage et adressage Y.2300Y.2399 Gestion de rseau Y.2400Y.2499 Architectures et protocoles de commande de rseau Y.2500Y.2599 Rseaux futurs Y.2600Y.2699 Scurit Y.2700Y.2799Mobilit gnralise Y.2800Y.2899 Environnement ouvert de qualit oprat
7、eur Y.2900Y.2999 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T Y.2704 (01/2010) i Recommandation UIT-T Y.2704 Mcanismes et procdures de scurit des rseaux NGN Rsum La Recommandation Y.2701, Prescriptions de scurit des rseaux de prochaine gnration de version 1, nonce les
8、 prescriptions de scurit des rseaux de prochaine gnration (NGN, next generation network) et des interfaces associes (par exemple, UNI, NNI et ANI). La Recommandation UIT-T Y.2704 dcrit certains mcanismes de scurit qui peuvent tre utiliss pour satisfaire aux prescriptions nonces dans la Recommandatio
9、n Y.2701 et spcifie lensemble doptions correspondant chaque mcanisme donn. Plus prcisment, la prsente Recommandation dcrit les mcanismes didentification, dauthentification et dautorisation, examine la scurit du transport pour la signalisation et les fonctions dexploitation, dadministration, de maint
10、enance et de fourniture (OAMP, operations, administration, maintenance and provisionning), ainsi que la scurit des mdias, traite des mcanismes relatifs la piste de vrification de scurit et dcrit enfin la procdure dapprovisionnement. Les mcanismes de scurit dcrits dans la prsente Recommandation repos
11、ent sur le modle de confiance dfini dans la Recommandation UIT-T Y.2701. La liste des mcanismes de scurit dcrits dans la prsente Recommandation nest pas exhaustive. Outre les mcanismes spcifis dans la prsente Recommandation pour la protection de la scurit des rseaux NGN, les fournisseurs de rseaux N
12、GN sont encourags fournir, en fonction des besoins, des outils, capacits et mesures oprationnelles supplmentaires en matire de scurit. Historique Edition Recommandation Approbation Commission dtudes 1.0 ITU-T Y.2704 2010-01-29 13 ii Rec. UIT-T Y.2704 (01/2010) AVANT-PROPOS LUnion internationale des
13、tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine des tlcommunications et des technologies de linformation et de la communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questio
14、ns techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissio
15、ns dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comp
16、tence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recomma
17、ndation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation
18、 et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la po
19、ssibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un me
20、mbre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, c
21、omme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2010 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd qu
22、e ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T Y.2704 (01/2010) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 1.1 Hypothses . 1 1.2 Aperu gnral 2 2 Rfrences. 2 3 Dfinitions 3 3.1 Termes dfinis ailleurs . 3 3.2 Termes dfinis dans la prsente Recommandation 4 4 Abrviations et acronymes
23、 . 4 5 Conventions 7 6 Menaces et risques pour la scurit 7 7 Modle de confiance pour la scurit . 7 7.1 Modle de confiance pour un seul rseau . 8 7.2 Modle de confiance pour linterconnexion de rseaux . 10 8 Identification, authentification et autorisation 10 8.1 Abonns 10 8.2 Elment de rseau . 11 8.3
24、 Utilisation du justificatif didentit pour la scurit des rseaux NGN 11 8.4 Identification et authentification des abonns 15 8.5 Identification et authentification dutilisateurs finals . 20 8.6 Identification et authentification par llment TE-BE . 21 8.7 Interface entre lauthentificateur et les entit
25、s fonctionnelles SAA/TAA 21 8.8 Identification et authentification du trafic support . 23 9 Scurit du transport pour le trafic de signalisation et OAMP . 24 9.1 Protocole TLS . 24 9.2 Utilisation du mcanisme IPsec dans la zone de confiance et dans la zone de confiance mais vulnrable . 29 9.3 Protoco
26、le de concordance de cls entre la zone non fiable et la zone de confiance mais vulnrable 32 9.4 Scurit IPsec entre la zone non fiable et la zone de confiance mais vulnrable . 32 10 Scurits des mdias . 33 10.1 Protocole SRTP 34 11 Fonctions OAMP 36 11.1 Interface dlment de rseau avec systmes de journ
27、alisation 36 11.2 Utilisation du protocole SNMP par les lments de rseau . 36 11.3 Gestion des correctifs de scurit . 37 11.4 Gestion des versions . 37 iv Rec. UIT-T Y.2704 (01/2010) Page 11.5 Oprations denregistrement daudit, dinterception et de journalisation au niveau de llment TE-BE . 38 12 Appro
28、visionnement dquipements dans la zone non fiable . 38 Appendice I Exemples de mcanismes dassurance de ladresse dorigine et application au mcanisme didentification et dauthentification de labonn . 39 I.1 Mcanisme didentification et dauthentification de labonn li lauthentification de la ligne daccs .
29、39 I.2 Mcanisme didentification et dauthentification de labonn li lauthentification explicite de laccs lors de ltablissement de la connectivit IP 41 Appendice II Scurit pour linterconnexion des services de tlcommunication durgence . 44 II.1 Introduction 44 II.2 Domaine dapplication/objet . 44 II.3 O
30、bjectifs de scurit et lignes directrices pour linterconnexion des services de tlcommunication durgence 44 II.4 Authentification et autorisation 44 II.5 Scurit du transport pour le trafic de signalisation et OAMP . 45 II.6 Trafic de mdia . 45 II.7 Prise en charge des fonctions de restriction de liden
31、tification du numro de lappelant et de lidentification du nom de lappelant . 45 II.8 Non-traabilit 45 II.9 Chiffrement de bout en bout dhomologue homologue . 46 Appendice III Bonnes pratiques de scurit . 47 III.1 Introduction 47 III.2 Pare-feu . 47 III.3 Renforcement du systme dexploitation 48 III.4
32、 Evaluation de la vulnrabilit . 48 III.5 Systmes de dtection des intrusions . 49 Bibliographie 50 Rec. UIT-T Y.2704 (01/2010) 1 Recommandation UIT-T Y.2704 Mcanismes et procdures de scurit des rseaux NGN 1 Domaine dapplication La Recommandation UIT-T Y.2701, Prescriptions de scurit des rseaux de pro
33、chaine gnration de version 1, nonce les prescriptions de scurit pour les rseaux de prochaine gnration (NGN, next generation network) et les interfaces associes (par exemple, UNI, NNI et ANI), y compris un modle de confiance. Les mcanismes de scurit retenus pour mettre en uvre ces prescriptions consi
34、steront en diffrentes options, les options incompatibles tant contre-indiques dans la mesure o elles ont tendance introduire des vulnrabilits en matire de scurit, rendant linteroprabilit plus difficile atteindre. La prsente Recommandation met par consquent en vidence certains mcanismes de scurit imp
35、ortants qui peuvent tre utiliss pour satisfaire aux prescriptions de UIT-T Y.2701, et spcifie lensemble doptions utiliser pour chaque mcanisme retenu en vue de limiter les problmes dinteroprabilit et dincompatibilit. La liste des mcanismes dcrits dans la prsente Recommandation nest pas exhaustive. O
36、utre les mcanismes spcifis dans la prsente Recommandation pour la protection de la scurit des rseaux NGN, les fournisseurs de rseaux NGN sont encourags fournir, en fonction des besoins, des outils, capacits et mesures oprationnelles supplmentaires en matire de scurit. La prsente Recommandation est d
37、estine tre utilise avec UIT-T Y.2701 afin de dfinir un cadre pour la scurit des rseaux NGN. Il convient de lemployer avec dautres Recommandations relatives la scurit et dautres spcifications, selon le cas, pour des questions particulires lies la scurit. NOTE Les mcanismes didentification et dauthent
38、ification dcrits dans la prsente Recommandation se rapportent au domaine plus vaste connu gnralement sous le nom de “gestion des identits“ (IdM, identity management). 1.1 Hypothses La prsente Recommandation repose sur les hypothses suivantes: 1) Le groupement des entits fonctionnelles, dfinies dans
39、UIT-T Y.2012, dans un lment de rseau donn, variera en fonction du fabricant. 2) Chaque fournisseur NGN a des responsabilits particulires dans son domaine en ce qui concerne la scurit, par exemple, implmenter les services et pratiques de scurit applicables pour a) se protger; b) garantir que la scuri
40、t de bout en bout nest pas compromise dans son rseau; et c) garantir une grande disponibilit et une grande intgrit des communications dans les NGN. 3) Dans chaque domaine de rseau, des politiques seront tablies et appliques en ce qui concerne les accords sur le niveau de service (SLA, service level
41、agreement) afin de garantir la scurit du domaine considr et la scurit des interconnexions de rseau. On suppose que les accords SLA prciseront les services, mcanismes et pratiques de scurit implmenter pour protger les rseaux interconnects et les communications (trafic de signalisation/commande, trafi
42、c support et trafic de gestion) via les interfaces UNI, ANI et NNI. 4) La prsente Recommandation porte sur la scurit assure par le biais du rseau et repose sur une architecture en couches, avec la scurit primtrique des domaines de confiance, la scurit physique des quipements de fournisseur et ventue
43、llement lutilisation du chiffrement. 2 Rec. UIT-T Y.2704 (01/2010) 1.2 Aperu gnral La prsente Recommandation est structure comme suit: Section 2 (Rfrences) Cette section contient les rfrences normatives. Section 3 (Dfinitions) Cette section contient les dfinitions des termes utilises dans la prsente
44、 Recommandation. Section 4 (Abrviations et acronymes) Cette section contient la liste des abrviations et des acronymes utiliss dans la prsente Recommandation. Section 5 (Conventions) Cette section est dlibrment laisse en blanc. Section 6 (Menaces et risques pour la scurit) Cette section prcise les m
45、enaces et les risques lis la scurit pour les rseaux NGN. Section 7 (Modle de confiance pour la scurit) Cette section dcrit brivement le modle de confiance dfini dans UIT-T Y.2701. Section 8 (Identification, authentification et autorisation) Cette section nonce les mcanismes et les mesures de scurit
46、pour lidentification, lauthentification et lautorisation. Section 9 (Scurit du transport pour le trafic de signalisation et OAMP) Cette section dcrit les mcanismes utiliss pour le chiffrement et la protection de lintgrit du trafic de signalisation et OAMP. Section 10 (Scurit des mdias) Cette section
47、 prsente les mcanismes utiliss pour la protection des mdias (cest-dire le trafic support). Section 11 (Fonctions OAMP) Cette section donne des informations et des rfrences pour la piste de vrification de scurit, le pigeage et la journalisation des vnements de scurit. Section 12 (Approvisionnement dquipements dans la zone non fiable) Cette section donne des informations sur lapprovis
