|
|
|
|
|
|
10 préconisations pour sécuriser un réseau VoIP |
En
plein essor dans les entreprises, la téléphonie sur IP suscite
des réserves de la part des RSSI. Redonder, filtrer, compartimenter,
chiffrer... plusieurs recommandations s'imposent pour renforcer
la sécurité.
(05/02/2007)
|
|
En migrant de la téléphonie analogique à une solution de ToIP,
de nouvelles failles de sécurité s'ouvrent. De plus, les menaces
du réseau IP s'appliquent également à l'environnement de VoIP.
Les risques majeurs sont ainsi le détournement de la console
d'administration de l'application de voix sur IP, le spam vocal,
les attaques par DoS (déni de service) et les écoutes téléphoniques.
"Comme toute application susceptible de comporter des vulnérabilités,
la ToIP pose nativement des problèmes à plusieurs niveaux. Toutefois,
la problématique pour les entreprises est la même que lors du
déploiement d'une nouvelle application. Les démarches vont donc
consister à étendre la politique de sécurité, et non faire table
rase de l'existant", explique Jean-François Michonneau, responsable
des offres sécurité pour Spie Communications. Check-list des
principales consignes techniques à appliquer.
1)
Ne pas négliger la protection physique
L'autocommutateur doit rejoindre la salle informatique et bénéficier
du même niveau de sécurité (alarme, anti-incendie, surveillance,
accès badgé, etc.). Il est encore fréquent de trouver des PABX
relégués dans un placard ou un simple réduit sans restriction
d'accès.
2) Redonder les composants critiques
Coûteux, mais nécessaire lorsque la criticité de l'infrastructure
de ToIP exige une forte disponibilité et/ou un rétablissement
rapide en cas de panne. Les équipements critiques seront donc
dupliqués et des mécanismes de partage de charge mis en place.
Des tests réguliers doivent en outre être conduits pour contrôler
les procédures de basculement et le bon fonctionnement des appareils
redondants.
3) Durcir les OS et patcher
La sécurité du réseau voix, c'est à la fois les systèmes d'exploitation
et les applications qui le composent. "Consolider les OS est
indispensable, nécessaire et obligatoire. Les ports et les services
inutiles seront désactivés. Les systèmes seront mis à jour pour
corriger les vulnérabilités, des permissions sur les registres
appliquées, etc. Tout ce qu'on fait dans un environnement standard",
rappelle Jean-François Michonneau.
"J'aurais
tendance à conseiller autant que possible de se passer
des softphones"
(J.F. Michonneau - Spie Communications)
|
4) Sécuriser les bases de données
Les serveurs de ToIP s'appuient parfois aussi sur des bases
SQL, dont la sécurisation est nécessaire. Cela passe notamment
par la création de comptes administrateurs spécifiques, une
politique de mots de passe forts, des permissions d'accès sur
les objets SQL et l'activation des logs pour la traçabilité.
5) Compartimenter avec des VLAN
Trafics voix et données transiteront sur des réseaux distincts,
des Virtual Local Area Network mis en place sur les commutateurs.
Les différents flux seront ainsi étanchéifiés, ce qui empêchera
une personne située sur le réseau données d'écouter le trafic
voix. Les switchs assureront en outre la gestion des ACL (Access
Control Lists = Listes de Contrôle d'Accès) et interdiront le
port mirroring. Les ports non-actifs seront désactivés.
"Lorsqu'il est possible de le faire, il est recommandé de déployer
la ToIP sur des plages IP spécifiques. Les serveurs DHCP et
DNS seront dédiés à la voix, et distincts des serveurs data
pour éviter un déni de service qui affecterait l'ensemble du
réseau", précise aussi Jean-François Michonneau.
6) Protéger le poste de travail pour les softphones
L'utilisation d'un softphone, c'est-à-dire d'un logiciel de
téléphonie installé sur le poste, implique de protéger le poste
contre les codes malveillants et l'usurpation d'identité. "Sur
la base de nos retours d'expérience, j'aurais tendance à conseiller
autant que possible de se passer des solutions de type softphone.
Non pour des raisons de sécurité, mais de stabilité. Le comportement
de l'application est étroitement dépendant de la configuration
du poste de travail, un élément difficile à maitriser", prévient
l'expert de Spie Communications.
"La
problématique de la sécurité n'a jamais été un frein à
l'adoption"
(J.F. Michonneau - Spie Communications)
|
7) Placer les équipements derrière des pare-feu
Les firewalls seront mis en coupure, en amont des serveurs pour
éviter le déni de service, et sur les segments critiques. Ils
contrôleront que les flux des VLANs sont bien restreints aux
protocoles de la VoIP. Les pare-feu supporteront à la fois les
protocoles SIP (Session Initiation Protocol) et H.323.
8) Chiffrer de bout en bout
L'encryptage concernera les flux de signalisation (chargés de
mettre en relation l'appelant et l'appelé) et média (transport
de l'information). Ainsi le chiffrement de la voix s'appuiera
sur TLS (Transport Layer Security), DTLS (Datagram TLS) ou SRTP
(Secure RTP). Une entreprise peut également décider de recourir
à IPSec. Les communications externes peuvent aussi être acheminées
via des tunnels VPN.
9) Sécuriser les flux d'administration
L'administration des call manager s'appuiera sur l'utilisation
de protocoles SSH, SSL ou encore IPsec. L'accès à l'IP PBX se
fera depuis un poste protégé sur le plan logique et physique.
10) Monitorer le trafic
La surveillance du réseau avec des Sniffers et des IDS permettra
de détecter le trafic anormal et les tentatives d'intrusion.
L'analyse des logs pourra en outre révéler des attaques en brute
force, des appels frauduleux (de nuit, vers des numéros surtaxés,
etc.). Tandis que des pics du trafic voix traduiront des spams
vocaux (voice spam).
Toutefois, le risque zéro n'existe pas et les solutions de sécurité
applicables à la ToIP peuvent s'avérer à la fois complexes et
coûteuses à mettre en oeuvre. L'entreprise devra donc arbitrer
entre criticité, coût et niveau de risque jugé acceptable.
"Du
point de vue des RSSI, la ToIP n'est pas encore la Rolls de
la sécurité. Mais il faut néanmoins relativiser. Le niveau est
satisfaisant, sans être dans le haut de l'épure. La problématique
de la sécurité n'a en tout cas jamais été un frein à l'adoption
de la ToIP", conclut Jean-François Michonneau.
|
|
|
|
|
|