La sécurité de la VoIP doit être traitée de manière

«La sécurité de la VoIP
doit être traitée de manière particulière!»
Filip Savat – Business Manager Belux Fortinet
° Aujourd’hui, peut-on encore dire que la sécurité est
le talon d’Achille de la VoIP, que son développement
est freiné en raison des menaces qui pèsent sur le
réseau?
«La sécurité n’est plus un frein au développement de la
VoIP. Cela dit, assurer la sécurité de flux VoIP nécessite de
supporter des fonctionnalités élaborées que les fournisseurs de
pare-feu et équipements de sécurité ne savent pas tous délivrer
aujourd’hui…
téléphones IP de nouvelles générations, désactivation du protocole non utilisé (SIP ou H383), etc. Les
mesures de protection sont nombreuses. Quelles sont
celles que vous préconisez?
«Il n’existe pas de recette ‘passe-partout’ permettant de répondre à tous les contextes. Il s’agit avant tout d’une approche
structurée de la sécurité qui va bien évidemment s’appuyer
sur les fonctionnalités particulières présentes au sein des
équipements de sécurité que nous concevons.
«Il s’agit notamment de la capacité d’interpréter les protocoles
de signalisation afin de n’effectuer que les ouvertures strictement nécessaires aux flux véhiculant la voix (pinholing), de
supporter des fonctions avancées de translation d’adresse en
fonction du contexte, de supporter les différentes architectures
et implémentations propres aux environnements VoIP (accès
direct, mode routé, mode nœuds...). Bref, la sécurité des infrastructures VoIP est aujourd’hui tout à fait possible, encore
faut-il disposer des bons équipements!»
«Il s’agit notamment de la capacité à interpréter la signalisation de manière fine et, ainsi, de pouvoir autoriser ou non des
flux, non pas uniquement en se basant sur des informations
d’adressage (adresses IP) et de service (numéros de ports – information largement insuffisante dans ce domaine), mais sur
° La VoIP est-elle «juste une application en plus» et, à
ce titre, peut profiter de l’ensemble des solutions de
sécurité du réseau? Ou, par sa spécificité, la VoIP doit
réclamer plus d’attention et, donc, une démarché
spécifique?
«Clairement, et du fait à la fois de son impact important et
de ses spécificités techniques, la sécurité de la VoIP doit être
traitée de manière particulière. Notamment afin de prendre
en compte les menaces spécifiques dans ce domaine et pour
pouvoir mettre en œuvre des contre-mesures efficaces. Il
ne faut pas non plus perdre de vue que les aspects relatifs
aux performances et à la qualité de service sont des facteurs
déterminant dans l’utilisation de la VoIP et que le traitement
de la sécurité doit les préserver. De plus, les spécificités des
technologies employées tant en ce qui concerne les moyens et
protocoles de signalisation que ceux propres au transport de
la voix proprement dit, doivent être intégrées en amont aussi
bien en terme d’architecture qu’en terme de sécurité.
«De plus, afin d’assurer un niveau suffisant de protection, des
fonctionnalités très spécifiques (en général liées à l’utilisant
de module de type ALG ou similaire) sont nécessaires sur les
équipements de sécurité. Il est donc nécessaire de s’assurer que
les équipements de sécurité intègrent bien ces fonctionnalités.
Pour maintenir le temps de réponse global ainsi que la latence
dans des niveaux acceptables, il faut aussi que les équipements
soient capables de gérer des paquets de très petite taille sans
dégradation notable des performances, ce qui est rarement le
cas sur des équipements non conçus pour cela.»
° Séparation des réseaux entre voix et données,
durcissement des passerelles entre les réseaux voix et
données, activation de la sécurité contenue dans les
www.nextiraone.be
[email protected]
+32 2 718 85 11
l’ensemble de la négociation utilisée par la signalisation. Il va
s’agir également d’être à même de repérer des comportements
anormaux ou douteux afin d’enrailler très rapidement les
tentatives de déni de service -involontaires ou malveillantes.
«L’approche en ce domaine est claire et classique: tout ce qui
n’est pas explicitement autorisé est interdit! L’approche n’est
donc pas de désactiver les protocoles non utilisés -il peut y en
avoir pléthore!-, mais d’activer seulement ceux qui sont utilisés. Et, là encore, il ne s’agit pas de les autoriser de manière
binaire, mais bien uniquement lorsque c’est nécessaire et de la
manière dont on l’aura défini en termes d’architecture VoIP.
L’objectif ici est d’effectuer un contrôle applicatif poussé du
fait des contraintes intrinsèques de la VoIP.»
Solutions 199 - AVRIL 2009
The Communications Experts
[ 15 ]