La sécurité de la VoIP doit être traitée de manière
Transcription
La sécurité de la VoIP doit être traitée de manière
«La sécurité de la VoIP doit être traitée de manière particulière!» Filip Savat – Business Manager Belux Fortinet ° Aujourd’hui, peut-on encore dire que la sécurité est le talon d’Achille de la VoIP, que son développement est freiné en raison des menaces qui pèsent sur le réseau? «La sécurité n’est plus un frein au développement de la VoIP. Cela dit, assurer la sécurité de flux VoIP nécessite de supporter des fonctionnalités élaborées que les fournisseurs de pare-feu et équipements de sécurité ne savent pas tous délivrer aujourd’hui… téléphones IP de nouvelles générations, désactivation du protocole non utilisé (SIP ou H383), etc. Les mesures de protection sont nombreuses. Quelles sont celles que vous préconisez? «Il n’existe pas de recette ‘passe-partout’ permettant de répondre à tous les contextes. Il s’agit avant tout d’une approche structurée de la sécurité qui va bien évidemment s’appuyer sur les fonctionnalités particulières présentes au sein des équipements de sécurité que nous concevons. «Il s’agit notamment de la capacité d’interpréter les protocoles de signalisation afin de n’effectuer que les ouvertures strictement nécessaires aux flux véhiculant la voix (pinholing), de supporter des fonctions avancées de translation d’adresse en fonction du contexte, de supporter les différentes architectures et implémentations propres aux environnements VoIP (accès direct, mode routé, mode nœuds...). Bref, la sécurité des infrastructures VoIP est aujourd’hui tout à fait possible, encore faut-il disposer des bons équipements!» «Il s’agit notamment de la capacité à interpréter la signalisation de manière fine et, ainsi, de pouvoir autoriser ou non des flux, non pas uniquement en se basant sur des informations d’adressage (adresses IP) et de service (numéros de ports – information largement insuffisante dans ce domaine), mais sur ° La VoIP est-elle «juste une application en plus» et, à ce titre, peut profiter de l’ensemble des solutions de sécurité du réseau? Ou, par sa spécificité, la VoIP doit réclamer plus d’attention et, donc, une démarché spécifique? «Clairement, et du fait à la fois de son impact important et de ses spécificités techniques, la sécurité de la VoIP doit être traitée de manière particulière. Notamment afin de prendre en compte les menaces spécifiques dans ce domaine et pour pouvoir mettre en œuvre des contre-mesures efficaces. Il ne faut pas non plus perdre de vue que les aspects relatifs aux performances et à la qualité de service sont des facteurs déterminant dans l’utilisation de la VoIP et que le traitement de la sécurité doit les préserver. De plus, les spécificités des technologies employées tant en ce qui concerne les moyens et protocoles de signalisation que ceux propres au transport de la voix proprement dit, doivent être intégrées en amont aussi bien en terme d’architecture qu’en terme de sécurité. «De plus, afin d’assurer un niveau suffisant de protection, des fonctionnalités très spécifiques (en général liées à l’utilisant de module de type ALG ou similaire) sont nécessaires sur les équipements de sécurité. Il est donc nécessaire de s’assurer que les équipements de sécurité intègrent bien ces fonctionnalités. Pour maintenir le temps de réponse global ainsi que la latence dans des niveaux acceptables, il faut aussi que les équipements soient capables de gérer des paquets de très petite taille sans dégradation notable des performances, ce qui est rarement le cas sur des équipements non conçus pour cela.» ° Séparation des réseaux entre voix et données, durcissement des passerelles entre les réseaux voix et données, activation de la sécurité contenue dans les www.nextiraone.be [email protected] +32 2 718 85 11 l’ensemble de la négociation utilisée par la signalisation. Il va s’agir également d’être à même de repérer des comportements anormaux ou douteux afin d’enrailler très rapidement les tentatives de déni de service -involontaires ou malveillantes. «L’approche en ce domaine est claire et classique: tout ce qui n’est pas explicitement autorisé est interdit! L’approche n’est donc pas de désactiver les protocoles non utilisés -il peut y en avoir pléthore!-, mais d’activer seulement ceux qui sont utilisés. Et, là encore, il ne s’agit pas de les autoriser de manière binaire, mais bien uniquement lorsque c’est nécessaire et de la manière dont on l’aura défini en termes d’architecture VoIP. L’objectif ici est d’effectuer un contrôle applicatif poussé du fait des contraintes intrinsèques de la VoIP.» Solutions 199 - AVRIL 2009 The Communications Experts [ 15 ]