Sécurisation d'une structure VOIP
Sécurisation des équipements
Les Serveurs
Les offres commerciales de VoIP nécessitent des serveurs pour fonctionner. Il est donc nécessaire de sécuriser l'OS de ces serveurs en le mettant à jour avec les derniers correctifs de sécurité. D'autres recommendations générales sont :
Les offres commerciales de VoIP nécessitent des serveurs pour fonctionner. Il est donc nécessaire de sécuriser l'OS de ces serveurs en le mettant à jour avec les derniers correctifs de sécurité. D'autres recommendations générales sont :
- Minimiser le système en éliminant les dispositifs inutiles;
- Appliquer des permissions d'accès strictes sur le système de fichier et la base de registre;
- Appliquer des mots de passe robustes;
- Activer la journalisation des logs.
Les
téléphones IP
Il peuvent se présenter sous deux formes : soit un téléphone "classique", soit un téléphone "logiciel" (Soft Phone) qui s'éxécute sur l'ordinateur de l'utilisateur. En terminologie SIP les téléphones sont des User Agent.
Pour ce qui est des téléphones IP, l'accès à la partie protégée par HTTP BASIC Authentication se fait en clair. Aussi, il est déconseillé d'attribuer le même mot de passe à tous les téléphones d'un même parc. De même il est recommandé de désactiver les interfaces de gestion du type HTTP et Telnet des téléphones IP.
Les autres équipements
Il est fréquent de rencontrer le service Telnet ouvert sur les équipements propriétaires tels que CISCO. il est donc fortement recommandé de ne pas laisser l'interface d'administration des équipements accessible depuis l'ensemble du réseau local. De plus, il est fortement déconseillé d'utiliser un protocole d'administration non chiffré.
Il peuvent se présenter sous deux formes : soit un téléphone "classique", soit un téléphone "logiciel" (Soft Phone) qui s'éxécute sur l'ordinateur de l'utilisateur. En terminologie SIP les téléphones sont des User Agent.
Pour ce qui est des téléphones IP, l'accès à la partie protégée par HTTP BASIC Authentication se fait en clair. Aussi, il est déconseillé d'attribuer le même mot de passe à tous les téléphones d'un même parc. De même il est recommandé de désactiver les interfaces de gestion du type HTTP et Telnet des téléphones IP.
Les autres équipements
Il est fréquent de rencontrer le service Telnet ouvert sur les équipements propriétaires tels que CISCO. il est donc fortement recommandé de ne pas laisser l'interface d'administration des équipements accessible depuis l'ensemble du réseau local. De plus, il est fortement déconseillé d'utiliser un protocole d'administration non chiffré.
Sécurisation des applicatifs
Les applicatifs de gestion du réseau VoIP sont bien souvent
des applications WEB, et comme telles elles sont sensibles aux attaques
classiques contre ce type d'application. Il est donc
nécessaire de prendre un soin particulier à leur
sécurisation, d'autant plus que certains d'entre elles ont
besoin d'être accessible depuis une grande partie du
réseau local voir depuis l'Internet.
Ajouts et recommandations de sécurité
La VoIP faisant appel à de nombreux processus (SIP, DNS,
SRTP, ...) il est indispensable de sécuriser chaque
étape de la communication. Les nombreuses contraintes
imposées par cette technologie ne facilitent pas la
tâche : il est aussi parfois nécessaire de
traverser des pare-feu, de fonctionner avec des translations d'adresses
NAT et certains choix sont alors limités.
- Tunnel IPsec : Ipsec qui travaille sur la couche réseau permet d'assurer une plus grande fiabilité des informations. Cependant, le coût de cette solution est parfois considérable, tant sur le point des ressources matériel que sur le trafic réseau. La surcharge engendrée par Ipsec peut être minimisée en configurant le tunnel pour traiter uniquement les flux de voix sur IP. Un atout intéressant est la possibilité d'utiliser la totalité des soft phone disponibles puisqu'ils n'ont plus à gérer la totalité des échanges.
- Filtage réseau : Les serveurs de gestion VoIP ont un nombre de ports ouverts par défaut très conséquents. Il est donc fortement conseiller de filtrer les ports accessible sur les serveurs depuis le réseau des utilisateurs au niveau des routeurs. Pour cela, il peut être util de placer les serveurs sur un sous-réseau dédié. Il convient de lister les services et ports associés qui doivent être pris en considération lors de l'implémentation d'un politique de filtrage sur un réseau VoIP. Bon nombre de pare-feu se limitent à gérer l'ouverture de ports en fonction des communication et n'inspectent pas les flux au niveau protocolaire.
- Verrouillage des adresses MAC et IP par port dans les commutateurs traversés par du flux VoIP.
- Activation au mieux des fonctions de sécurité offertes par les équipements de l'infrastructure VoIP utilisée et qui ne seraient pas activées par défaut.