Dossier

Téléphonie sur IP : arrêtons la psychose !

imprimerenvoyerrecevoir

Téléphonie sur IP : arrêtons la psychose !

Une menace qui ne date pas d'hier


(07/06/2007) - par Djamel KHAMES

Obligées de passer à la téléphonie sur IP, les entreprises, mieux informées sur les problèmes de sécurité, abordent ce sujet sérieusement, mais sans psychose. C'est vrai des grandes sociétés, peut-être moins des PME.



Contre les écoutes

Contre l'écoute locale ou à distance, «notre commutateur est capable d'identifier si l'équipement qui tente d'entrer dans le réseau appartient à l'entreprise ou non», déclare Michel Cugnot, responsable technique des services de communication unifiée chez Cisco France. Cette authentification peut aussi se faire à l'aide d'un serveur Radius, comme en informatique. Pour renforcer la sécurité contre les écoutes, les communications peuvent être chiffrées en temps réel. De la capacité des matériels et logiciels à chiffrer vite dépend la qualité des communications. D'une manière générale, le chiffrement de la signalisation et de la voix par software dégrade de 20 à 25 % les performances des communications, d'où le choix de certains équipementiers d'un chiffrement par hardware, plus performant.
L'usurpation d'adresses IP des correspondants dont on veut enregistrer les conversations a aussi sa parade. «Pour l'éviter, nous avons deux réponses. On configure le commutateur pour empêcher toute duplication d'adresse IP et, dans le cas particulier de Cisco, notre terminal est capable de changer d'adresse IP s'il s'aperçoit qu'un poste tiers utilise la même que la sienne», précise Michel Cugnot.
Quant à l'homme du milieu, qui fait croire au poste du correspondant A qu'on est le poste du correspondant B, et vice-versa, on peut s'en défendre en évitant l'échange des adresses MAC des téléphones au niveau du commutateur.
Contre les actions pour n'importe quel autre méfait, une solution consiste à isoler les attaques dans un réseau virtuel fantôme. C'est un endroit isolé qui ne donne nulle part. Son intérêt, par rapport à la fermeture des ports, c'est de laisser croire aux pirates qu'ils ont trouvé une porte d'entrée. En fait, le VLAN fantôme est un magnifique d'observation des assauts malveillants.

Un VLAN à contre-emploi

Le VLAN est utilisé ici à contre-emploi. Sa première fonction est d'isoler les flux informatiques des flux téléphoniques dans une même bande passante afin de maintenir une bonne qualité de service. En effet, les personnes au téléphone ne supportent ni temps de latence ni hachage des communications. In fine, cette séparation participe aussi indirectement à la sécurité du réseau téléphonique. Les pirates qui, par malheur, arrivent à entrer dans le réseau informatique auront du mal à arriver jusqu'au serveur de communication à cause de cette séparation très étanche.

Une panoplie de sondes

Les attaquants peuvent aussi être détectés en temps réel grâce à des sondes. Les commutateurs, les pare-feu, etc., sont alors programmés pour répondre automatiquement aux intrus, notamment en fermant le port par lequel ils tentent une percée. Mettre en quarantaine les adresses IP et MAC du hacker ne suffit pas, car il peut en changer. Mais les sondes le repéreront à la signature de ses attaques, chacune ayant la sienne. «Certaines sondes savent aussi analyser les protocoles normalisés. Une communication utilisant un protocole falsifié ou inconnu pourra donc être bloquée», rappelle Jean-Pierre Kellermann. Enfin, un troisième type de sondes peut emmagasiner une base de connaissance. Si une application n'est pas reconnue, elle est automatiquement coupée.

La porte d'entrée des softphones

Enfin, quand on utilise des softphones, le VLAN réservé au réseau téléphonique n'est plus aussi efficace, car on peut y pénétrer par l'ordinateur. Selon Michel Cugnot, «l'une des solutions consiste à installer un proxy de sécurité ou un équipement dédié qui contrôle le transit de la voix et les communications destinées à la voix».
Quant aux mobiles, on sécurise le canal de données GPRS et UMTS par la création de VPN. On peut aussi accéder au PBX IP par le canal de données en mode HTTP. Le serveur web connecté au PBX IP doit alors être isolé du réseau informatique. Dans le cas du sans-fil Dect, sa borne se comporte comme le terminal IP. Elle profite donc des mêmes actions de sécurité. Enfin, les communications entre les terminaux Wi-Fi utilisés intra-muros et les bornes sont protégées par un chiffrement AES, car les appels peuvent passer de borne en borne sans transiter par le PBX IP. Le problème est plutôt la gestion de la bande passante. «Enfin, l'usage du Wi-Fi en extérieur nécessite la création d'un VPN en mode SIP entre le terminal et le PBX IP via le réseau public», conclut Michel Cardiet, responsable de l'activité entreprise d'Ericsson France.

< Page précédente (2/3)


. Sommaire du dossier. Une menace qui ne date pas d'hier. Gemalto : de la PKI pour les nomades. La sécurité, un enjeu pour les opérateurs. Les composantes d'un réseau de ToIP

Vos commentaires

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
Recherche
Sondage flash
2009 pour les réseaux dans votre entreprise sera l'année de
Conférences
27/01/2009
JOURNEE TELECOMS : CONVERGENCE ET MOBILITE AU SERVICE DE LA COMPETITIVITE DE L'ENTREPRISE
De 8h30 à 16h00 à l'Automobile Club de France - Paris
  s'inscrire
conférencestoutes les
conférences
Agenda
Du jeudi 22 janvier 2009 au jeudi 22 janvier 2009
Les RIA, nouvel internet pour l'économie numérique
Paris
en savoir plus
agendatout
l'agenda