lundi 6 avril 2020    || Inscription
BanniereNews
 
 
Lucent Technologies est peu connu comme acteur de la sécurité. C´est pourtant l´un des acteurs majeurs de la sécurité du monde IP en France.

Il équipe France Telecom avec des firewalls de classe opérateurs, qui ont été validés après de multiples tests effectués à Lannion : des machines parmi les puissantes et les plus efficaces. Il travaille de même de longue date en tant que fournisseur de l´armée française avec les routeurs de REFEDAT (réseau fédérateur de l´armée de terre). Il complète ainsi les solutions proposées par les leaders Thales et Sagem.

Fabrice Lieuvin, senior security solution manager, présente les solutions de sécurité de sa société au JSSI 2006 après l´exposé de Carlos Solari, vice president des Bell Labs (le centre de R&D de Lucent) sur la démarche méthodologique de la société.

Lucent était également présent aux dernières Assises de la Sécurité à Monaco pour y montrer son firewall VoIP.

La convergence des réseaux voix, données et images se développe rapidement. L´objectif est de simplifier la communication et d´augmenter la productivité et l´efficacité des utilisateurs. Pour autant, personne ne souhaite que les risques augmentent, ni que la qualité ne baisse. La disponibilité et la sécurité des nouveaux réseaux ne peuvent donc être négligées. Les nouvelles solutions de VoIP ne peuvent mettre ne danger nos systèmes d´information et nos réseaux, ni par manque de moyens, ni par ignorance.


Partir du risk management
Comme dans toute bonne approche de la sécurité, il faut commencer par l´analyse du risque. Il faut tout d´abord analyser ce qu´est le contexte actuel, ce que sont les menaces et les vulnérabilités auxquelles nous devons faire face. Il faut examiner les questions d´intégration des différents composants, de translation d´adresse IP (NAT) et comment est gérée la politique de sécurité. Il faut prendre en compte la présence éventuellement concomitante d´applications H323 et d´applications SIP. Il faut penser à la gestion de la bande passante et cherche une haute disponibilité.

Le paysage de la sécurité VoIP
Les grandes questions sont les suivantes :

- limiter le service aux seules personnes autorisées : abonnés, salariés de l´entreprise, etc. ;
- protéger la confidentialité des appels et la vie privée des citoyens ;
- garder l´intégrité du système : authentifier les appelés et les appelants ;
- garantir la disponibilité du service pour les personnes autorisées ;
- se protéger contre les appels indésirables : le Spit (spam over IP Telephony).

Les challenges à relever mettent en jeu différents savoir-faire :
- le contrôle d´accès ;
- l´authentification ;
- la disponibilité ;
- la sécurité des communications ;
- la confidentialité des données ;
- l´intégrité des données ;
- la non répudiation ;
- la protection de la vie privée.

On ne peut pas reprendre à l´identique les protections existantes pour les données
Au niveau du réseau, les firewalls bloquent les flux sur les couches TCP et IP.

Typiquement, un flux de données d´origine extérieure à la DMZ ne sera pas autorisé. Les firewalls traditionnels contrôlent les trafics à partir des adresses IP et port d´origine et de destination. Mais, cette logique est-elle applicable à un appel extérieur ?

Les firewalls peuvent aussi réaliser des translations d´adresses au niveau des couches ISO 3 et 4. Mais, les communications téléphoniques mettent en oeuvre des mécanismes au niveau des applications : le niveau le plus haut.

Les choses ne sont donc pas simples. Les informations propres au transport sont en fait véhiculées au niveau applicatif...

Les questions de translation d´adresses (NAT) sont toujours les mêmes : on cherche à masquer les adresses privées. Il existe 4 type de NAT symétriques :

- toutes les requêtes d´une adresse IP interne et d´un port particulier sont adressées à une adresse IP extérieure particulière, sur un port donné ;
- si le même poste interne envoie un paquet à partir de la même source et port, mais à une destination différente, un autre adressage est proposé ;
- seuls un poste extérieur qui reçoit un paquet peut émettre en retour un paquet UDP au poste interne ;
- une translation symétrique d´adresses est réalisée : ce qui est le cas pour beaucoup de constructeurs, dont Lucent.

Il est nécessaire de garantir la sécurité des échanges au niveau de cette translation d´adresses.

Que peut être le firewall VoIP ?
On peut préciser la nature de la signalisation utilisée à travers les numéros de port : TCP/UDP 5060 pour le protocole SIP, UDP 2474 pour le protocole MGCP et 1720 pour le protocole H323. Ainsi, le firewall comprendra le message de signalisation et pourra adresser les différents besoins de communication. Il n´est pas besoin de garder ouvert en permanence les plages de ports utilisées par RTP. C´est ce que fait Lucent. Cette solution doit être applicable dans tous les environnements.

La solution Inferno de Lucent
Les éléments de base de cette solutions sont :
- son architecture distribuée ;
- sa haute performance et ses garanties de qualité de service ;
- l´absence de point de faiblesse central ;

Ainsi, elle se différentie par :
- un éclatement du réseau en de multiples zones sécurisées et masquant de nombreux équipements ;
- une absence de vulnérabilités recensées par les CERT ;
- une architecture fermée utilisant une PKI pour authentifier les administrateurs et les terminaux ;
- une capacité à être déployer simplement et à faible coût.

Inferno a été créé par les équipes d´ingénierie logiciel des Bell Labs sous environnement Unix, en langage C. Il est conçu pour fonctionner sur une architecture distribuée. Il utilise un protocole unique Styx. Il utilise une appliance.

Le fonctionnement est simple. Pour SIP et H.323, tous les ports VoIP sont gardés fermés. Ils sont ouverts dynamiquement au cours de la séance de négociation des protocoles H.323 ou SIP. Chaque communication ouvre 4 ports. Les ports sont refermés en fin de communication.

Ce firewall est placé sur chaque site distant et permet ainsi de réaliser un cloisonnement de l´ensemble du réseau.

La sécurité du trafic VoIP
L´industrie est en train progressivement d´abandonner H.323 au profit de SIP (Session Initiation Protocol). SIP initie, gère et termine les sessions de communications voix et vidéo en mode point à point, ou multipoints. Il permet d´établir des dialogues du poste utilisateur vers un proxy qui accède à un serveur et gère les processus "INVITE" et "ACK" (invitation et acceptation) puis "BYE" (raccroché). Les ouvertures de ports sont limitées au maximum à la durée de chaque session.

Le firewall Lucent protège contre les vulnérabilités telles que les débordements de buffers (buffer over flow). Il gère les adressages et les translations. Il conserve les logs de tous les trafics.

La gestion de la bande passante et de la qualité
Le firewall voix Lucent prend en compte la gestion de bande passante et de qualité de service. Il est redondé et peut être secouru en moins de 400 ms. On peut le connecter sur 2 switchs différents pour assurer une architecture parfaitement redondée.

A quoi cela sert-il ?
C´est l´élément qui permet d´ouvrir un système de VoIP à des tiers en toute confiance, ou de raccorder des nomades ou des agences distantes qui ne sont pas sur un VPN MPLS de l´entreprise.

En revanche, cette solution ne gère pas les communications Skype qui restent enfermées dans leurs tunnels chiffrés.

Des informations sur Inferno sont accessibles sur le site www.vitanuova.com et des versions logicielles sont téléchargeables.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI