Le pare-feu applicatif SIP dans une démarche globale

Plus connu pour ses boîtiers de sécurisation de la messagerie et du web, le canadien BorderWare Technologies dispose également à son catalogue de SIPassure, un pare-feu applicatif pour la protection des communications en voix sur IP fondées sur SIP. La protection des communications VoIP fait son chemin dans les entreprises, même si, en France comme ailleurs, elle ne fait pas encore l'objet d'investissements importants. Pour Peter Cox, directeur technique de BorderWare, ' trois technologies assurent la sécurité pour SIP : les pare-feu génériques SIP Enable, les session border controllers (SBC) et les pare-feu applicatifs dédiés. Nous nous situons dans cette dernière catégorie '.

Certains acteurs de sécurité, tel TippingPoint dans un livre blanc qu'il vient de publier, insistent beaucoup sur le traitement de SIP dans leur système de prévention d'intrusions (IPS). Et la plupart des éditeurs de systèmes de détection d'intrusions (IDS) et d'IPS annoncent peu ou prou un traitement des divers protocoles de VoIP. Attention toutefois au niveau de protection souhaité. ' Si nous partageons la vision du degré de dangerosité présentée dans le document de TippingPoint, leur définition des attaques par déni de service (DoS) se focalise sur les attaques de commandes SIP Cancel et Bye utilisées pour couper les communications établies. Or, ce que nous constatons, c'est que le DoS le plus significatif provient des attaques de type flooding par des commandes SIP valides ou modifiées par des pirates via la commande SIP Register ', explique Peter Cox. Il ajoute : ' Si les IDS et les IPS ont un rôle à jouer, les protocoles de VoIP sont beaucoup plus complexes que n'importe quelle autre application IP. Ils requièrent un pare-feu dédié plutôt qu'une passerelle générique. ' Un avis que nous partageons. Si SIPassure est évidemment capable de faire la même chose qu'un IPS ou un IDS, il ajoute des éléments complémentaires. Parmi ceux-ci, on note l'édition de tags nécessaires à la qualité de service afin de s'assurer que le trafic VoIP est prioritaire (même si cela n'est pas une fonction de sécurité en soi), le traitement du spam VoIP et du call flooding (DoS par inondation d'appels), ainsi que la protection contre l'écoute via le chiffrement de SIP (établissement des appels) et des médias RTP (données des appels), la protection contre le call spoofing (l'usurpation d'appels), ou les fonctions de management et de conformité aux lois et réglementation (traçabilité incluse).

La protection contre les dénis de service distribués (ou DDoS) sera supérieure à celle d'un IDS-IPS classique, puisque SIPassure valide les commandes SIP via une base de données utilisateurs et maintient une table d'état des appels. Il applique le contrôle de contenu et la politique de conformité implémentés dans les boîtiers MXtreme et Infinity du canadien pour les applications VoIP et SIP (messagerie instantanée, par exemple).

Le filtrage contre les attaques au niveau du réseau IP est opéré par S-Core, le système d'exploitation de BorderWare que lon retrouve dans les autres produits de la gamme. Il totalise trois certifications EAL4+. Parmi ses concurrents les plus proches, on trouve Sipera Systems avec son boîtier IPCS 310.