Cahier des charges

Rédaction d’un tutorial présentant les vulnérabilités liées au déploiement d’un réseau de VoIP d’entreprise avec le protocole de signalisation SIP (Session Initiation Protocol). Réalisation d’un guideline de prescriptions de sécurisation de la VoIP. Ce guide pourra être utilisé comme guide pour un Audit. Réalisation d’un laboratoire permettant de démontrer les vulnérabilités les plus représentatives de la VoIP et l’efficacité des mesures défensives préconisées. Par exemple : écoute de communications, vol d’identité, dénis de services, etc.

Sécurisation d’un réseau d’entreprise ayant déployé de la VoIP

La sécurisation d’un réseau informatique n’est pas chose aisée. Les différentes vulnérabilités d’un service tel que la VoIP sont délicate à gérer puisque que les informations de voix transitant au sein d’une entreprise sont souvent très sensibles. Il faut donc pouvoir garantir en tout temps une certaine confidentialité des appels, une intégrité des données, ainsi que la disponibilité du service.

De manière analogue à la sécurisation d’un réseau IP d’entreprise standard, la mise en place de mécanismes de chiffrement (IPSec, TLS, SRTP, S/MIME), de séparation des données (VLANs), de détecteur d’intrusion et de serveurs d’authentification (Radius, Digest Authentification) combinés avec les moyens habituels de sécurisation de réseaux IP permettent de rendre le service de VoIP/SIP difficilement attaquable aussi bien de l’intérieur que de l’extérieur du réseau.

Conclusion

Jusqu’à maintenant, la priorité en ce qui concerne la VoIP a toujours été donnée à la qualité de service (QoS) puisque celle-ci est particulièrement importante en téléphonie. Mais d’ici un futur plus ou moins proche, les systèmes de VoIP proposés par les fournisseurs incluront directement certains mécanismes de sécurité tels que SRTP (Secure Real Time Protocol), TLS (Transport Layer Security), S/MIME (Secure MIME) ou IPSec.