Even if the Voice over IP / Videoconferencing technologies are already mature and deployed on the market place, there is still the lack of a global architecture deployable everywhere, which is able to make VoIP becoming IP Telephony as a distributed solution providing the users with real value added services. Therefore, the main scope of the SPADA project is develop, deploy and demonstrate an advanced platform of IP Telephony services for a wide range of scenarios (first of all the teleworking scenario). The SPADA project is intended to address and give a solution to the unsolved problems nowadays in the IP Telephony world. In such a context, SPADA will be an architecture interconnecting a wide range of users. The starting set of users considered inside the project will be the researchers, the professors and the students within the different Universities of Applied Sciences in Switzerland. SPADA seeks to promote the convergence of voice and email identities, to grow SIP-reachability, and to build a community of schools that are developing, deploying and using advanced SIP services. Such a starting user community will be provided with a mean to benefit of next generation multimedia services independently of their location (both at the university, at home, travelling, etc.). Once the technology feasibility and the proof of concept will be demonstrated during the project life time, SPADA will enlarge the user community addressing also more complex topics like scalability of the solution, coordination of multi-vendor services, etc., since merely providing connectivity to enable innovation at the edge is not enough. The richest new communications applications will combine peer-to-peer design principles with new enterprise middleware services. Call control policy, mobility, location presence, and integration with calendaring all require support from the enterprise. SPADA wants to demonstrate the feasibility of IP Telephony on a large scale from a network level point of view too; for this reason different network technologies are going to be considered within the project as feasible access technologies. The access to the SPADA platform and services has to be granted independently of the different network configurations, that is why SPADA will consider LAN, ADSL and Wi-Fi (both public hot spot and private ones) type of access with all the problems related to the provision of value-added services in each scenario. SPADA will therefore deploy a "virtual campus" within the Swiss professional schools to accelerate the R&D processes, this virtual campus will be based on IP Telephony technologies and will enable the proliferation of collaboration related on new services to be deployed in CTI/VoIP project taking consolidating the HES-SO role in such domain and proposing it as a valid partner for European IST projects

Alors que la téléphonie au travers du réseau informatique (VoIP) en termine à peine avec ses problèmes de qualité de service (QoS), la voilà déjà confrontée à une nouvelle entrave: la sécurité. En effet, nombre de personnes considèrent que la VoIP est moins sûre que la téléphonie classique, et que son intégration ne pourra s'effectuer que lorsque celle-ci présentera au moins les mêmes garanties que la téléphonie telle qu'on la connaît actuellement. Ce document présente donc les différentes vulnérabilités de la voix sur IP en général, et propose divers moyens de contre-mesures permettant de sécuriser au maximum la VoIP reposant sur le protocole SIP. C'est-à-dire la mise en oeuvre d'un proxy offrant la possibilité de contourner les problèmes causés par la translation d'adresse (NAT) et les firewalls, et également la mise en place d'une méthode d'authentification évitant les vols de service ainsi que des accès directs au gateway PSTN, soit le lien avec la téléphonie à commutation de circuits.

Avec l'émergence de réseaux convergents et de la VoIP, les systèmes de voix, traditionnellement isolés du réseau de transmission de données, évoluent pour devenir l'une de ses applications principale. L'une des conséquences de cette convergence est que le trafic de voix et ses systèmes associés sont devenus aussi vulnérables aux menaces de sécurité que n'importe quelle autre donnée véhiculée par le réseau. En effet, le déploiement de la VoIP en entreprise est très intéressant. Pour de faibles coûts de mise en place, le service de VoIP permet de téléphoner au sein de l'entreprise et sur Internet "gratuitement". De plus, l'implémentation de la VoIP avec le protocole de signalisation SIP (Session Initiation Protocol) [SA01] fournit un service efficace, rapide et simple d'utilisation. Cependant, SIP est un protocole d'échange de messages basé sur HTTP. C'est pourquoi SIP est très vulnérable face à des attaques de types DoS (dénis de service), détournement d'appel, trafic de taxation, etc. (voir point 5 " Vulnérabilités de la VoIP/SIP à l'intérieur et à l'extérieur de l'entreprise"). De plus, le protocole de transport audio associé RTP (Real-Time Transport Protocol) [SA02] est lui aussi très peu sécurisé face à de l'écoute indiscrète ou des DoS. Si vous souhaitez déployer une plateforme sécurisée de VoIP avec SIP, il faut agir comme suit : En premier lieu, il faut faire un choix sur le type d'architecture de VoIP/SIP que l'entreprise souhaite déployer. Cela dépend en grande partie de l'architecture actuelle du réseau de l'entreprise, des besoins de l'entreprise et évidemment de son budget (voir point 6 "Architectures de déploiement de la VoIP/SIP"). Une fois cela fait, il faut prendre des mesures de sécurité à plusieurs niveaux si nous voulons que le service de VoIP/SIP soit sécurisé. Il faut donc avant toute chose sécuriser le réseau de données avec les moyens standard connus de tous les administrateurs réseaux tels que l'utilisation de firewalls, de NAT, de chiffrement IP, VLAN, etc. Ensuite, il faut sécuriser le réseau de VoIP/SIP avec des mécanismes de chiffrement de la signalisation et du flux audio, sécuriser l'accès à tous les serveurs de VoIP, utiliser des VLANs, etc. Pour finir, il faut réussir à combiner les deux types de réseaux (donnée/VoIP) et sécuriser les accès au niveau de la passerelle entre les deux réseaux (voir point 7 "Prescriptions de sécurisation de la VoIP/SIP").

Un des derniers grands avantages de la téléphonie traditionnelle par rapport à sa rivale la téléphonie sur Internet reste son immunité à tous les virus et attaques qui hantent le monde informatique. Cet avantage n’est pas des moindres et encore maintenant malgré le grand engouement pour la VoIP, beaucoup d’entreprises restent, pour des raisons de sécurité, attachées aux PBX traditionnels. Le téléphone restant le nerf de la guerre des entreprises, il est clair que les solutions de téléphonie sur IP doivent apporter des garanties de sécurité acceptables contre toutes les sortes d’attaques efficaces et évolutives du monde IP.
L’introduction de la VoIP sur IP implique la solution de trois grands problèmes suivants:

• La détection et prévention des intrusions,
• La résolution des problèmes du NAT,
• L’adaptation des firewalls déjà déployés en entreprise avec les exigences des protocoles VoIP.

Ce travail de diplôme propose d’étudier les points cités ci-dessus à savoir et en particulier d’approfondir les principales vulnérabilités de la VoIP par rapport aux attaques externes et de proposer des solutions de détections de manière à prévenir ces attaques.

Ce projet veut apporter une réponse à la problèmatique de la sécurisation des services voix et multimédia dans le cadre d'un déploiment en entreprise. Malgré le grand engouement pour la VoIP, beaucoup d'entreprises restent, pour des raisons de sécurité, attachées aux PBX traditionnels . Le téléphone restant le nerf de la guerre des entreprises, il est clair que les solutions de téléphonie sur IP doivent apporter des garanties de sécurité acceptables contre les principaux risques d'attaques. Les objectifs de ce projet sont:

• La détection des intrusions,
• L’adaptation des firewalls déjà déployés en entreprise avec les exigences des protocoles VoIP.

Ce travail de diplôme propose d’étudier les points cités ci-dessus à savoir et en particulier d’approfondir les principales vulnérabilités de la VoIP par rapport aux attaques externes et de proposer des solutions de détections de manière à prévenir ces attaques.

Présentement de nombreux produis sont disponibles, leur complexité de mise en oeuvre et leur degré d’intégration sont très disparates. Les IDS sont actuellement des produits mûrs et aboutis. La plupart possèdent des caractéristiques avancées comme la détection Stateful, l’inspection deeppacket,
les réponses actives, et la gestion des signatures. Ils ont surmonté plusieurs problèmes comme la commutation, la personnalisation, le développement de signature etc.

En dépit des ces progrès et des réels efforts de recherches, les IDS luttent encore contre certains problèmes comme le trafic crypté, les attaques evasion, les nouveaux services comme la voix sur IP et la collecte et la corrélation de données. La plupart des IDS réseau analysent le flux en temps réel, pour cette raison la question des performances est très importantes car de tels IDS doivent être de plus en plus performants afin d’analyser les volumes de trafic de plus en plus importants pouvant transiter sur les réseaux.

Quant aux différentes méthodes de détection, elles présentent tantôt des avantages et des inconvénients c’est pourquoi et une méthode de détection hybride serait donc la meilleure solution. Bien que le système de détection ait plusieurs défis à relever, certains des produits évalués ont déjà répondu de manière absolument satisfaisante à une grande partie de ces défis (McAFee Intrushield analyse les données cryptées). Un nouveau type de IDS semble émerger les IDS distribués. Ceux-ci consisteraient en agents déployés sur tous les noeuds du réseau. Le point central deviendrait alors un « serveur IDS » auquel tous les agents devraient rendre compte et qui serait en mesure de consolider les informations en provenance des agents afin de générer et consolider les alertes.

Ce document associé avec le document en annexe 2 (VadeseWP8- IDS Resultat Evaluation.xls) est, vu l’évolution en volume et qualité des produits IDS, encore dans un stade de construction avancé et devra être constamment actualisé. Le projet VaDeSe (www.vadese.org) devrait nous permettre de rendre ce document plus exhaustif surtout en ce qui concerne les caractéristiques IDS relatifs à la VoIP.