1 2 3 4 5 6 7 8 9 10 11 12 13

Le passage des firewalls

Un Firewall (pare feu dans la littérature française) est un dispositif de sécurité placé à la jonction entre deux réseaux distincts, le réseau informatique interne à un établissement et le réseau extérieur, Internet en l’occurrence. Organe de sécurité destiné à protéger le réseau interne, sa tache principale est d’interdire les activités malveillantes en provenance de l’extérieur. La contrainte du firewall est d’être le plus transparent possible pour les activité à l’intérieur de l’entreprise et d’être à la fois le plus efficace possible en offrant un niveau maximum de sécurité. C’est essentiellement un outil de filtrage destiné au contrôle de la circulation des paquets, et qui doit assurer le blocage de toutes les données qui ne doivent pas passer d’un côté à l’autre. Il va généralement interdire toutes les « entrées » de données qui ne répondraient pas à une requête préalable de l’un des postes du réseau local. Comment dès lors, répondre à une demande d’initialisation pour une session de visioconférence lorsqu’elle est sollicitée depuis l’extérieur ?

Les firewalls bloquent la plupart des paquets non sollicités, ici une tentative de connexion pour une visioconférence. Pour que la communication s’établisse, de nombreux ports doivent être ouverts sur le FireWall, à commencer par le port 1720 qui est utilisé lors de l’initialisation de la liaison.

Un firewall va également assurer la surveillance des « ports » qui sont utilisés. Sur un micro-ordinateur, chaque application logicielle se voit attribuer un port (le port est en quelque sorte « l’adresse » d’une application). Lors d’une connexion « classique » à Internet la majorité des ports sont fermés sur le firewall, seuls les quelques uns qui correspondent aux applications directement concernés sont ouverts. Dans le cadre de la visioconférence, de nombreuses connexions doivent être simultanément maintenues entre les terminaux, et de nombreux ports doivent y êtres ouverts, certains aléatoirement (c’est à dire sans que l’on puisse prévoir préalablement leur numéro). Cette notion de ports dynamiques ne facilite pas la configuration des firewall : pas question de laisser tous les ports entre 1024 et 65535 ouverts ! Sauf mise en place de dispositifs particuliers, l’ouverture de tous ces ports sont autant de failles dans la sécurité globale d’un réseau local. A l’inverse, du fait des dispositifs de protection adoptés par les administrateurs de réseau, la mise en place de séances de visioconférence peut se révéler difficile, parfois même impossible.

Différentes solutions techniques ont été développées pour contourner ces obstacles et permettre un fonctionnement correct des protocoles H323 à travers les firewalls :

Utiliser des firewalls intégrant H323

C’est sans doute la meilleure solution, et celle qui offre la meilleure sécurité. Beaucoup des firewalls récents intègrent désormais H323 (sous l’appellation Application Level Gateways ou ALG dans certains textes). Ces équipements ont la faculté de scruter les communications qui sont établies en amorce à une visioconférence afin de détecter les numéros de ports qui seront effectivement utilisés. Ils pourront alors autoriser l’ouverture de ces ports spécifiques et permettre le trafic entre appelé et appelant pendant une durée qui restera limitée à celle de la session. Ces ports sont refermés ensuite. On utilise parfois le terme de « pinholing » pour désigner cette méthode qui consiste à n’ouvrir que les quelques ports nécessaires (des « trous d’épingle ») dans le firewall. Certains modèles intègrent également la fonction NAT. Lors de la translation d’adresses, ils sont capables, non seulement de remplacer une adresse privée par une adresse publique dans l’entête des paquets, mais également de réaliser cette opération dans le corps même de la charge utile, permettant de ce fait le fonctionnement correct de toute session de visioconférence.

Utiliser des proxys

Un proxy est une passerelle spécialisée qui va permettre à des flux H323 de contourner dans certaines conditions les firewalls, sans affaiblir les conditions de sécurité. Il va agir comme un intermédiaire. C’est lui qui va assurer la gestion de tous le trafic H323 en lieu et place des terminaux de visioconférences qui seront ainsi totalement isolés d’Internet (ils seront invisibles de l’extérieur, y compris pont et passerelle). Lors de l’établissement d’une liaison, ce n’est plus un appel qui sera généré mais deux. Le premier sera initié par l’équipement de visioconférence situé à l’intérieur du réseau local en direction du proxy qui à son tour en générera un second sur le réseau public (et en utilisant sa propre adresse) en direction de l’équipement distant. Seul le proxy peut inter-agir avec l’extérieur. Le Firewall devra être correctement configuré pour pouvoir fonctionner lui. Ce mode de fonctionnement impose l’utilisation d’un gatekeeper (voir chapitre suivant). Différentes configurations sont possibles pour le proxy : il pourra être intégré au gatekeeper ou au firewall.

Un proxy est une passerelle spécialisée qui va permettreà des flux H323 de traverser dans certaines conditions un firewall.

S’appuyer sur une « zone démilitarisée » ou DMZ

Une DMZ est une zone particulière du réseau informatique d’un établissement ou d’une entreprise. C’est une zone séparée qui ne va héberger que les équipements qui doivent être accessibles depuis l’extérieur, non seulement les serveurs (serveurs Web, serveurs FTP, serveurs Email....) mais également éventuellement des dispositifs de visioconférence. Elle est située, sur le plan des risques, entre le réseau local privé (qui doit être totalement protégé) et Internet (qui est une zone à très fort risque). La DMZ doit être également accessible depuis le réseau privé. Les adresses pourront y être privées ou ce qui est beaucoup mieux, publiques pour permettre des accès sans translation d’adresse. Les règles de communications entre les trois entités - le réseau local, la DMZ et Internet - seront différentes et gérées par un FireWall.

1 2 3 4 5 6 7 8 9 10 11 12 13