La règle #1 pour la Vidéo et les pare-feu : dire NON aux services annexes d’aide

VideoFirewall-225x300Les pare-feu sont sans doute un des achats les plus apaisants pour les entreprises désirant s’assurer d’être protégées du monde extérieur. Des pare-feu plus compréhensifs offrent une vaste suite d’outils et caractéristiques pour faciliter la vie de l’administrateur en automatisant une grande partie du processus de sécurité. Lorsque le sujet est la technologie de vidéoconférence, la plupart des solutions de pare-feu ne sont pas aussi utiles que la trousse d’outils l’indique.

Aujourd’hui, plusieurs pare-feu sont équipés avec des choses comme des services annexes SIP ALG ou H.323. Selon le vendeur, ils permettent aux clients de naviguer à travers le pare-feu plus facilement et donc d’obtenir une connexion sécuritaire uniforme. Le problème est que ceci est rare – probablement jamais le cas. Ces services utiles en théorie, font souvent partis de ce qu’on appelle SPI (Stateful Packet Inspection). Le rôle du SPI est d’ouvrir chaque donnée traversant votre réseau afin de détecter tout danger et les neutraliser avant qu’ils puissent endommager quoi que ce soit. Ceci peut causer des problèmes de performance signifiants pour la vidéoconférence. Certains pare-feu peuvent être ‘au courant’ ou sensible aux protocoles particuliers de vidéoconférence, quoi qu’il y a toujours des risques inhérents qui doivent être mitigés par vos politiques de sécurité IT.

Qu’est-ce que ça signifie? Si ce n’est pas à toute épreuve, pourquoi s’en donner la peine?

Chaque pare-feu est différent et chaque entreprise l’utilise de manière différente. Donc, aucune installation ne serait similaire. Parce que toutes les installations sont différentes, les vendeurs de pare-feu se sont efforcés, ces dernières années, d’offrir la capacité d’éteindre ou de changer le rôle du SPI et des services annexes de votre pare-feu. Malheureusement, dans la plusieurs cas, ceci n’est pas assez. Le trafic vidéo traversant le pare-feu, utilisant des services annexes ou SPI, peut grandement limiter la performance nécessaire pour surveiller le trafic.

Une autre limitation sérieuse des pare-feu, en relation avec le trafic vidéo et le SPI, est l’allocation de port dynamique. Tous les pare-feu modernes fonctionnent très bien en relation au modèle d’allocation de port fixe. Dans ce modèle, l’administrateur de sécurité défini le trafic permis sur chaque port dans le réseau. Alors que la vidéo et les autres applications entrepreneuriales gagnent du terrain dans l’usage de la bande passante, ce modèle devient plus difficile à maintenir.

La vidéo nécessite spécifiquement très peu de ports fixes pour les participants connectés. Elle se fie plutôt à l’allocation de port dynamique, où un port ou groupe de ports, est choisi par le client pour se connecter. Sans règle spécifique, la plupart des pare-feu ne répondent pas assez bien au trafic passant pour permettre la connexion vidéo. Les ports utilisés pour les appels vidéo se trouvent dans une gamme allant de 10,000-20,000 combinaisons de ports possibles, et c’est très difficile à maintenir. Le pare-feu, par définition, doit atteindre une balance entre poreux et sécuritaire. À cause de cette balance, l’infrastructure de vidéoconférence a évolué, afin de trouver de nouvelles façons de s’adapter de manière sécuritaire aux besoins du réseau.

Deux façons de répondre à la question du pare-feu

Il y a deux approches populaires pour gérer le trafic vidéo sans compromettre la sécurité de votre réseau. Les vendeurs de vidéo comprennent que les entreprises désirent collaborer sans compromettre la sécurité ou la performance du réseau. Ceci étant dit, deux approches ont émergé afin de mitiger le risque relié à la sécurité et la performance, et afin d’offrir une paix d’esprit pour les entreprises.

  1. Les gros joueurs du marché prennent une approche transversale

Ils contournent le mur avec des serveurs sécuritaires, ou le traverse avec une gamme limitée de ports ouverts. Ceci est une option vérifiée et utilisée par les grosses entreprises. Elle offre plus de flexibilité et d’évolutivité. Les administrateurs IT préfèrent ces solutions car elles sont conçues avec des politiques de sécurité, ce qui résulte en une solution facile à supporter pour ceux, soucieux de la sécurité.

  1. Les vendeurs avantagent l’infrastructure existante

Les vendeurs peuvent toujours offrir une expérience enrichie pour leurs utilisateurs en tirant partis de l’infrastructure existante du DMZ ou du Cloud. Selon le scénario de déploiement, ces solutions peuvent nécessiter 100 ports comme 0 port. En fait ils peuvent être offerts comme services du Cloud, éliminant presque votre pare-feu corporatif de l’équation. Ils sont mobiles, simples et élégants, cela rend l’option plus agréable pour la foule aimant utiliser ses propres appareils.

Les pare-feu ne sont pas les seuls ‘annexes’ qui peuvent se heurter à votre trafic de vidéoconférence. Essentiellement, les technologies d’optimisation WAN tentent d’appliquer un certain ordre à votre trafic public. Leur avantage principal est que les employés IT sont déjà familiers avec l’idée de Qualité de Service (QdS). Ils sont aussi familiers avec la formation de trafic, ce qui est fondamentalement ce que ces outils accomplissent sur l’Internet en général, plutôt que votre réseau corporatif.

Ceci est important car, à l’inverse des services annexes, les optimisateurs WAN sont généralement des outils très sensibles aux médias. Ils sont conçus pour améliorer votre expérience de vidéoconférence mais peuvent aussi travailler à votre avantage sur d’autres lignes d’applications corporatives. Peu importe le vendeur et la façon dont c’est déployé, toutes les solutions de vidéoconférence reviennent éventuellement vers le pare-feu.

Les choses à considérer avant de déployer la vidéoconférence

  1. Assurez-vous de savoir ce que votre vendeur de pare-feu supporte et ses limitations
  2. Plus important encore, discutez des implications de la vidéoconférence avec un intégrateur avant de déployer la vidéoconférence à vos utilisateurs.

Avoir ces deux points sur votre liste fera la différence entre une expérience collaborative enrichie et profonde et un jeu de charades rempli de pixels.

Si vous avez des questions concernant ce que votre vendeur de pare-feu supporte et les implications possibles pour votre système de vidéoconférence, contactez-nous.

Leave a Reply

Your email address will not be published. Required fields are marked *