Architecture ToIP / VoIP et sécurisation avec un firewall ASA Cisco famille 5500

Pour un chef de projet un peu technique, la sécurité d’un système ToIP/VoIP est un sujet rarement simple, une des raisons est que les technologies voix et téléphonie mettent en jeux de multiples protocoles, systèmes et types d’information. Voici donc quelques informations sur le sujet particulier: les Proxy d’un Firewall ASA Cisco pour sécuriser la ToIP.

Cisco, étant un spécialiste des réseaux et aussi de leur sécurisation, a pu prévoir de nombreuses possibilités de protection d’un l’environnement de téléphonie. Parmi ces possibilités, il y a l’utilisation d’un ASA de la famille 5500 faisant l’intermédiaire entre un réseau voix sécurisé et un réseau voix non sécurisé.

Bien sûr dans ce type de configuration on peut utiliser un SBC, mais l’utilisation d’un firewall offre des avantages évident en terme de sécurité -Ex.: chiffrement, gestion VPN-, de plus l’utilisation de cet outil dans le périmètre ‘sécurité’ de l’entreprise permet de mieux protéger la téléphonie.

Note: Pour certaines fonctions de VoIP indispensables un Firewall ne peut remplacer un SBC

Tout d’abord un petit rappel : TLS est un protocole qui sécurise les échanges de signalisation entre deux matériels en les chiffrant.

Il existe deux modules sur un ASA permettant de traiter des flux voix spécifiques :

  • TLS Proxy
  • Phone Proxy

Quelques intérêts de ces deux modules :

Le TLS Proxy est un intermédiaire entre deux équipements communicant directement ensemble ‘en utilisant des flux cryptés’.

Le Phone Proxy est une évolution du TLS Proxy permettant d’utiliser le chiffrage natif sur les IP Phones pour réaliser des appels sécurisés depuis l’extérieur vers l’intérieur de la zone protégée. Ce peut aussi être utilisé pour maintenir une séparation entre les flux voix chiffrés et les données quand les téléphones sont sur le même VLAN ‘data’. C’est la solution idéale pour protéger des Softphones, car ils utilisent généralement le VLAN ‘data’ pour les communications.

En terme de volumétrie maximum, on peut noter pour un ASA 5505 un maximum de 80 sessions jusqu’à 13000 sessions pour un ASA 5580. Cette valeur est configurer grâce à la commande : # tls-proxy maximum-sessions –nb de sessions–

voir le lien (in english)

Note: Il n’est pas possible de d’ajouter des commentaires directement sur le blog. la solution que j’ai adopté est de répondre par twitter. Ecrivez votre commentaire suivi de cc @aanetgeek ce sera le plus rapide pour répondre
  • LinkedIn
  • MySpace
  • Viadeo
  • Yahoo Bookmarks
  • Facebook
  • Ping
  • Twitter
  • Blogger Post
  • Windows Live Favorites
  • Jamespot
  • Technorati Favorites
  • Yoolink
  • Google Bookmarks
  • Share/Save/Bookmark
This entry was posted in Sécurité, VoIP/ToIP/Collaboration/Social and tagged , , , , , , , , , , , , , , , , , , . Bookmark the permalink.

Comments are closed.