Documentos de Académico
Documentos de Profesional
Documentos de Cultura
fvrier 2006
Tlphonie & ip
AMC
SSL360
FAST360
Security BOX
n Europe, moins de deux entreprises sur dix utilisent dj la voix au dessus des protocoles Internet. On en prvoit deux fois plus dici la fin 2008. Toutes les entreprises ne partent pas du mme existant : peine plus dun autocommutateur install sur deux supporte IP en plus des lignes traditionnelles. Par consquent, la cohabitation entre voix traditionnelle (dite TDM ) et voix IP, bien amorce, va se poursuivre durant plusieurs annes encore. Elle peut seffectuer au sein de lentreprise, lextrieur, via une offre doprateur, ou mme de faon mixte. Cest pourquoi on parle de convergence de tlphonie et dapplications IP, autour des PBX, des programmes de gestion dappels (CTI, ACD, messagerie unifie), des tlphones (fixes ou sans fil) et des softphones, ces logiciels clients de tlphonie pour PC. Les prestataires du dploiement proviennent de deux cultures diffrentes : celle de la voix dune part (aux nombreux protocoles propritaires), et celle des donnes dautre part, prnant linteroprabilit des quipements et lvolution des solutions par logiciels. On dnombre autour des produits de tlphonie IP plusieurs protocoles, dont cerlivre blanc
tains demeurent propritaires tel le SCCP de Cisco Systems. En outre, la voix peut tre cache dans des flux HTTP de donnes traditionnelles. Protger la tlphonie IP implique donc une analyse des protocoles et un examen soign des paquets, au del du scan des ports et des adresses IP ralis par le pare-feu. Matriser les failles de scurit de la ToIP signifie contrler des vulnrabilits en interne comme en externe. Sans oublier les protections de base que sont londuleur, la ligne tlphonique de secours, la redondance des quipements critiques et celle des liens vers le rseau public.
protger globalement
La protection de la convergence voix-donnes repose sur quatre piliers principaux. Dabord, laiguillage conforme des flux selon leur typologie permet de garder le contrle de la VoIP. Il faut diffrencier les flux de la voix officielle , cest dire supporte par le PABX de lentreprise, de ceux de la voix gnre par exemple par le logiciel P2P Skype. Pour cela, on doit pouvoir analyser finement le contenu des paquets IP. En second, la coupure
dappel tlphonique peut seffectuer ds linitialisation de lappel ou en cours de communication. Une absence dauthentification ou un changement de Codec en cours de conversation pourront dclencher cette protection. Troisimement, la scurit devient collaborative : des changes dinformations en temps rel sont ncessaires entre les quipements purement rseau et ceux au plus prs du PBX, pour couper un appel illicite par exemple. Arkoon prend en compte cette dualit TDM & IP avec son partenaire CheckPhone. Un cloisonnement seffectue, dune part, entre les flux de donnes et les flux de la voix et, dautre part, entre la voix officielle et la voix spontane, bloque le cas chant. Quatrime pillier, la mise en uvre de la gestion de la qualit de service garantit que les flux VoIP font lobjet dune priorit adquate. Cette mise en uvre intervient seulement aprs la phase danalyse pour ne grer que les flux rpondant aux critres pr-tablis par lentreprise.
P2
n combinant les avantages de la tlphonie traditionnelle aux infrastructures et services Internet, la tlphonie sur IP fournit de nombreuses opportunits lentreprise. Elle rduit ses cots de communications, amliore la productivit des quipes et leur disponibilit, par exemple en consolidant le centre de contacts. La ToIP (Telephony over IP) prolonge le lien des collaborateurs du sige avec les employs sur le terrain, en dplacement ou en tltravail. Grce sa gestion de prsence, on peut joindre ses interlocuteurs o quils soient, sur leur combin fixe ou mobile ou sur le logiciel softphone de leur ordinateur. Du coup, la gestion du temps et les projets professionnels gagnent en efficacit. A la faveur dun dmnagement ou lorsquelle renouvelle son autocommutateur, lentreprise examine les solutions ToIP. Mais faire converger la voix et les donnes sur une mme infrastructure pose une nouvelle question : comment carter les risques introduits par la tlphonie IP ? Les vulnrabilits (voir ci-contre) imposent lentreprise de nouvelles prcautions. Une analyse des risques et de leur impact sur les mtiers aide
livre blanc
Lentreprise doit traiter la voix comme une application critique et assurer sa scurisation comme elle le fait pour ses programmes existants. Pour hberger des changes incorruptibles, linfrastructure doit voluer en fiablilit et en factult dadministration. Il faut amliorer la qualit des services et la scurit des changes simultanment.
retenir les parades adquates. On distingue trois zones de menaces principales, lies la convergence des applications informatiques et de tlphonie : linfrastructure peut dabord devenir la cible dun contournement de ressources elle servira des appels incontrls par exemple. Les services de tlphonie sur IP peuvent tre paralyss ou bloqus en partie par une intrusion. Enfin, les contenus numriques de lentreprise, comme son annuaire ou ses conversations confidentielles, peuvent faire
cibles* visibles I, S I, S S,C I, S, C I, S, C Oui Non Non Non Oui iMpacTs Service tlphonique Intgrit des changes Intgrit des changes Confidentialit Confidentialit Service tlphonique Baisse de productivit Perte de contrle Consommation de ressources Perte de contrle Confidentialit
lobjet de vol dinformations. Arkoon est un spcialiste de la scurit des rseaux IP. Lentreprise franaise offre une voie de migration sre vers la Tlphonie IP, sans remise en cause des investissements pralablement consentis pour le parefeu rseau en particulier. Lapproche multicouche dArkoon aide lentreprise faire converger les services voix et donnes en toute scurit, sans risque de subir intrusions, dnis de service ou fuites dinformations.
prrequis Echanges avec le PBX (administration) Annuaire Rgles de filtrage Rgles de filtrage Echanges avec le PBX (administration) Politique de scurit Configuration Dfinitions de rles administrateurs et utilisateurs parades Techniques Pare-feu Prvention dintrusions Authentification Authentification Pare-feu applicatif Authentification Pare-feu applicatif Authentification, Pare-feu applicatif Prvention dintrusions Pare-feu applicatif Facults daudit Pare-feu applicatif
Menaces Dni de service ToIP Usurpation didentit Dtournement de messages vocaux Vol dannuaire SPIT (messages non sollicits)
S, C I
Non Non
A B C D E F G
connexion du Pbx vers le rseau public doprateur interconnexion du Pbx au serveur dentreprise serveur dadministration de la scurit connexion au rseau externe iP Tlphone traditionnel Tlphone iP softPhone (en utilisation partir dun ordinateur)
ENTREPRISE TECHNOLOGIES
F
G C A B
PRIVILEGES
TDM
EQUIPEMENTS
administrateur. il supervise les rgles des quipements et les droits des utilisateurs. utilisateur du systme dinformation de lentreprise.
INTERNET
livre blanc
P4
mthodologie
politique humaine
politique dadministration
politique de segmentation
nicolas blan, Responsable du programme convergence chez Arkoon Lorsque lentreprise veut migrer vers la tlphonie IP, cest souvent pour des raisons conomiques. La scurit passe aprs. Or, cest exactement linverse quil faut faire : soigner la scurit avant de grer la qualit de services du rseau. Cloisonner dabord et optimiser ensuite les flux. Sinon, la QoS va optimiser des trafics ventuellement malicieux. Il faut conserver une sparation entre le rseau IP de donnes et la VoIP, car les deux flux nont pas les mmes besoins. La voix exige un trs faible temps de latence de bout en bout, pas le-mail. En faisant converger deux rseaux spars, lentreprise doit viter de combiner leurs problmes de scurit. Arkoon propose une appliance capable didentifier la voix sur IP. Cest un quipement utile au cloisonnement et au contrle des flux de linfrastructure dentreprise. Il faut nanmoins laccompagner dune politique de scurit et sassurer que les rgles daccs et de confidentialit soient bien respectes.
La scurit est un processus qui consiste dfinir puis propager des rgles dentreprise. On peut le faire en trois tapes. Tout dabord, on dfinit une politique propre chaque fonction dans lentreprise. Les salaris, les consultants et les stagiaires ont chacun des tches distinctes. Certains peuvent accder aux ressources partages, appeler les tlphones fixes ou mobiles toute heure de la journe, mais pas tous. Une fois ces rgles de collaboration tablies, la politique humaine aide dicter qui peut appeler qui, o, quand et comment ? Cette tape organisationnelle savre fondamentale pour scuriser la tlphonie dentreprise.
Le dcideur informatique choisit ses collaborateurs, ses serveurs et ses quipements de rseaux soigneusement. Les uns comme les autres vont laider organiser et optimiser le systme dinformations de lentreprise. Charge lui de dterminer qui peut administrer quoi, quand, comment et depuis o ? Cette politique dadministration forme une tape indispensable. Elle impose des astreintes aux techniciens et aussi quelques limitations aux quipements. Elle nen demeure pas moins essentielle pour que chaque collaborateur puisse placer toute sa confiance dans linfrastructure et dans ses services. Et pour que chacun respecte les politiques locales et globales prcises dans la charte de scurit.
Les rseaux dentreprise voluent avec la convergence de la voix et des donnes mais aussi et surtout avec la convergence des services informatiques, Internet et de tlphonie. Une politique de segmentation en sous-rseaux (ou VLAN) permet disoler les changes de donnes par groupes de travail. Une approche semblable va isoler la voix officielle des changes vocaux non supports par lentreprise. Une fois ce tri effectu, on peut garantir la scurit et la confidentialit des changes. Il faut sassurer que les rgles propres aux trois politiques (humaines, dadministration et de segmentation) soient distribues tous les quipements de linfrastructure.
livre blanc
P5
laurent poirot
Responsable Dpartement PBX Division Systme, Panasonic France.
Des processus critiques les traitements de la logistique, le suivi des clients et des livraisons sappuient maintenant sur la tlphonie IP. Dans ce contexte, lauthentification des utilisateurs du systme convergent devient indispensable. Pour apporter un retour rapide sur investissement, la ToIP doit supporter la voix et les changes de donnes, savoir aiguiller les appels et les donnes clients et grer un ensemble de services pertinents pour les collaborateurs distants. En intgrant le PBX-IP et les serveurs dapplications convergentes, les solutions dArkoon dlivrent des changes en temps rel, conformes aux priorits de lentreprise.
disponibles en version de base, sur toute sa gamme de PBX, jusquau modle KX-TDA 600 qui couvre les besoins de communication jusqu 1000 postes par site. Ce qui intresse surtout lentreprise occidentale, prsent, cest de gagner en ractivit, en comptitivit et en mobilit. La ToIP lui permet de saffranchir de la distance des collaborateurs . Elle gomme galement les dcalages horaires, une entreprise internationale pouvant basculer ses appels vers une filiale trangre pour rester toujours disponible pour ses clients, par-del les continents et les heures ouvres. Dans les grandes chanes dhtels, les outils de CRM (Customer Relationship Management) optimisent la qualit de laccueil. Ailleurs, la ToIP stend aux collaborateurs distants et aux tltravailleurs, afin quils puissent rpondre aux attentes des clients. Parfois, un serveur vocal interactif simmisce dans la chane de services IP, interrogeant le gestionnaire de donnes de lentreprise, distance. Avec le soutien des solutions Arkoon, lautocommutateur IP et les serveurs dapplications deviennent des dispositifs du rseau comme les autres. Ils rpondent enfin aux rgles de scurit fixes par lentreprise.
P6
gLOSSAire de LA Toip
ArcEp : Autorit de rgulation des communications lectroniques et des postes (exART). DoS : Denial of Service. Dni de service. DMZ : Zone dmilitarise. Sous-rseau gnralement entour de pare-feux, dont les serveurs restent accessibles depuis lextrieur de lentreprise. grant les appels au sein de lentreprise. Utilis sur un rseau IP, il autorise les appels et assure la commutation des paquets VoIP. Mgcp : Media Gateway Control Protocol. Egalement connu sous le nom Megaco (IETF) ou H.248 (ITU), ce protocole asymtrique gre la signalisation et la gestion des sessions lors dune confrence IP multimdia. pBX : Private Branch eXchange. Autocommutateur tlphonique ou quipement de commutation reliant les tlphones de lentreprise au rseau TDM. QoS : Quality of Service. Possibilit offerte par certains quipements du rseau (IP ou ATM) pour garantir par avance une transmission de donnes, son taux derreur et ses caractristiques. rtcp : Real-time Transfer Protocol. Protocole de contrle des flux conu pour assurer la qualit de service de sessions en temps rel. Sip : Session Initiation Protocol. Ce protocole symtrique de lIETF authentifie et localise les participants puis ngocie les chemins de donnes utilisables. SoFtpHonE : Logiciel, gr ou non par un IPBX, regroupant les fonctions dun tlphone sur un microordinateur reli au rseau Internet. Spit : Spam over Internet Telephony. Appels non sollicits polluant la bote de messages vocaux. tDM : dsigne la technique de multiplexage Time Division Multiplexing et, plus gnralement, les rseaux publics commuts doprateurs retenant cette technique. toip : Telephony over IP. Tlphonie sur IP. UtM : Unified Threat Management. Equipement de scurit capable de grer plusieurs types de menaces ou dintrusions sur le rseau de lentreprise. Il intgre des fonctions antivirus, pare-feu, pare-feu applicatif, une passerelle VPN, un logiciel IDS vLAn : Virtual LAN. Segment de rseau local virtuel. voip : Voice over IP. Voix sur IP.
FirEconvErgE : Cette interface intelligente permet linspection de la voix sur IP et celle de la voix traditionnelle. Elle est place entre les quipements UTM dArkoon et la plate-forme ETSS de Checkphone. gAtEwAy : Passerelle de communication. H.323 : Jeu de protocoles de lUIT (Union Internationale des Tlcommunications) permettant dtablir des changes tlphoniques sur IP ainsi que les vidoconfrences. ipBX : IP-based Private Branch eXchange. Autocommutateur
livre blanc
P7
SIGE SOCIAL 1 PLACE VERRAZZANO CS 30603 69258 LyON CEDEX 09 TL : +33 (0)4 72 53 01 01 FAX : +33 (0)4 72 53 12 60
ILE DE FRANCE IMMEUBLE LE PELISSIER 220 AV. PIERRE BROSSOLETTE 92240 MALAKOFF TEL : +33 (0)1 57 63 67 00 FAX : +33 (0)1 57 63 67 37
www.arkoon.net / info@arkoon.net
AMC
SSL360
FAST360
Security BOX