VOIP - Sécurité - NIST

Le  CSRC (Computer Security Resource Center) du NIST (National Institute of Standards and Technology) vient de publier un livre blanc sur la sécurisation de la Voix sur IP.

Il livre une très bonne introduction à la problématique de la sécurité de la VoIP et donne un certains nombre de recommandations :

• Séparation des trafics voix et data par des subnets différents, des serveurs DHPC distincts, implémentation de Firewall VoIP

• Encryptage des communications au moins aux niveaux gateways  ou routeurs. Les téléphones IP les plus récents intègrent un cryptage AES. Utilisation de FIPS 140-2.

• Utiliser IPsec ou SSH pour la gestion à distance et l’audit des systèmes,

• Les Softphones sont à proscrire dans les environnements où la sécurité et la confidentialité des données doivent être assurés,

• Pour les unités mobiles Wifi (802.11), utiliser au minimum WPA.

VoIP et sécurité

La VoIP présente de nombreux avantages économiques mais aussi deux sérieux challenges : la sécurité et la qualité de service.

Concernant ce premier point, un groupe de fournisseurs de technologie VoIP et de spécialistes de la sécurité (3com, Avaya, Alcatel, NetCentrex, Symantec, Guiliani Advanced Security Center… liste complète sur le site VOIPSA) viennent de créer une alliance afin d’identifier les risques liés à la VoIP, définir et promouvoir des "best practices" pour sécuriser les configurations VoIP. Elle  soutiendra la mise au point de logiciels de tests gratuits.

On remarquera l'absence de Cisco.