livre blanc

fvrier 2006

une convergence discipliner

En France, une entreprise sur trois a un projet de convergence voix-donnes. Cette volution implique des changements au niveau de linfrastructure, des serveurs et des terminaux. La scurit et la qualit de service savrent dterminantes pour la russite du projet de tlphonie IP.

Tlphonie & ip

AMC

SSL360

FAST360

Security BOX

pour garder le contrle des FluX voiX-donnes

MATriSez LeS vuLnrABiLiTS de LA TLphOnie ip AveC ArkOOn

Pour bnficier des gains de la ToiP, lenTrePrise doiT analyser les voluTions du march eT des Technologies.

n Europe, moins de deux entreprises sur dix utilisent dj la voix au dessus des protocoles Internet. On en prvoit deux fois plus dici la fin 2008. Toutes les entreprises ne partent pas du mme existant : peine plus dun autocommutateur install sur deux supporte IP en plus des lignes traditionnelles. Par consquent, la cohabitation entre voix traditionnelle (dite TDM ) et voix IP, bien amorce, va se poursuivre durant plusieurs annes encore. Elle peut seffectuer au sein de lentreprise, lextrieur, via une offre doprateur, ou mme de faon mixte. Cest pourquoi on parle de convergence de tlphonie et dapplications IP, autour des PBX, des programmes de gestion dappels (CTI, ACD, messagerie unifie), des tlphones (fixes ou sans fil) et des softphones, ces logiciels clients de tlphonie pour PC. Les prestataires du dploiement proviennent de deux cultures diffrentes : celle de la voix dune part (aux nombreux protocoles propritaires), et celle des donnes dautre part, prnant linteroprabilit des quipements et lvolution des solutions par logiciels. On dnombre autour des produits de tlphonie IP plusieurs protocoles, dont cerlivre blanc

tains demeurent propritaires tel le SCCP de Cisco Systems. En outre, la voix peut tre cache dans des flux HTTP de donnes traditionnelles. Protger la tlphonie IP implique donc une analyse des protocoles et un examen soign des paquets, au del du scan des ports et des adresses IP ralis par le pare-feu. Matriser les failles de scurit de la ToIP signifie contrler des vulnrabilits en interne comme en externe. Sans oublier les protections de base que sont londuleur, la ligne tlphonique de secours, la redondance des quipements critiques et celle des liens vers le rseau public.

contrle des flux

Les appliances Arkoon dtectent et contrle les flux des rseaux convergents. Performantes, elles permettent laiguillage des flux, la coupure dappels illicites en relation avec le PBX, la mise en uvre de la qualit de service et de rgles de scurit. Le tunneling des flux VoIP (via les tunnels VPN des liens intersites de lentreprise) aide grer un PBX distant du centre de traitements.

protger globalement
La protection de la convergence voix-donnes repose sur quatre piliers principaux. Dabord, laiguillage conforme des flux selon leur typologie permet de garder le contrle de la VoIP. Il faut diffrencier les flux de la voix officielle , cest dire supporte par le PABX de lentreprise, de ceux de la voix gnre par exemple par le logiciel P2P Skype. Pour cela, on doit pouvoir analyser finement le contenu des paquets IP. En second, la coupure

dappel tlphonique peut seffectuer ds linitialisation de lappel ou en cours de communication. Une absence dauthentification ou un changement de Codec en cours de conversation pourront dclencher cette protection. Troisimement, la scurit devient collaborative : des changes dinformations en temps rel sont ncessaires entre les quipements purement rseau et ceux au plus prs du PBX, pour couper un appel illicite par exemple. Arkoon prend en compte cette dualit TDM & IP avec son partenaire CheckPhone. Un cloisonnement seffectue, dune part, entre les flux de donnes et les flux de la voix et, dautre part, entre la voix officielle et la voix spontane, bloque le cas chant. Quatrime pillier, la mise en uvre de la gestion de la qualit de service garantit que les flux VoIP font lobjet dune priorit adquate. Cette mise en uvre intervient seulement aprs la phase danalyse pour ne grer que les flux rpondant aux critres pr-tablis par lentreprise.

P2

toip : pas de bnFices sans contrle

vOiX eT dOnneS inFOrMATiqueS, SepT MenACeS SurveiLLer

une fois les vulnrabiliTs de la ToiP idenTifies, lenTrePrise doiT Planifier Puis suPerviser les flux voix-donnes Transmis sur son infrasTrucTure.

un franais au secours de la toip

Arkoon offre une gamme complte dquipements de scurit.

n combinant les avantages de la tlphonie traditionnelle aux infrastructures et services Internet, la tlphonie sur IP fournit de nombreuses opportunits lentreprise. Elle rduit ses cots de communications, amliore la productivit des quipes et leur disponibilit, par exemple en consolidant le centre de contacts. La ToIP (Telephony over IP) prolonge le lien des collaborateurs du sige avec les employs sur le terrain, en dplacement ou en tltravail. Grce sa gestion de prsence, on peut joindre ses interlocuteurs o quils soient, sur leur combin fixe ou mobile ou sur le logiciel softphone de leur ordinateur. Du coup, la gestion du temps et les projets professionnels gagnent en efficacit. A la faveur dun dmnagement ou lorsquelle renouvelle son autocommutateur, lentreprise examine les solutions ToIP. Mais faire converger la voix et les donnes sur une mme infrastructure pose une nouvelle question : comment carter les risques introduits par la tlphonie IP ? Les vulnrabilits (voir ci-contre) imposent lentreprise de nouvelles prcautions. Une analyse des risques et de leur impact sur les mtiers aide
livre blanc

Lentreprise doit traiter la voix comme une application critique et assurer sa scurisation comme elle le fait pour ses programmes existants. Pour hberger des changes incorruptibles, linfrastructure doit voluer en fiablilit et en factult dadministration. Il faut amliorer la qualit des services et la scurit des changes simultanment.

retenir les parades adquates. On distingue trois zones de menaces principales, lies la convergence des applications informatiques et de tlphonie : linfrastructure peut dabord devenir la cible dun contournement de ressources elle servira des appels incontrls par exemple. Les services de tlphonie sur IP peuvent tre paralyss ou bloqus en partie par une intrusion. Enfin, les contenus numriques de lentreprise, comme son annuaire ou ses conversations confidentielles, peuvent faire
cibles* visibles I, S I, S S,C I, S, C I, S, C Oui Non Non Non Oui iMpacTs Service tlphonique Intgrit des changes Intgrit des changes Confidentialit Confidentialit Service tlphonique Baisse de productivit Perte de contrle Consommation de ressources Perte de contrle Confidentialit

lobjet de vol dinformations. Arkoon est un spcialiste de la scurit des rseaux IP. Lentreprise franaise offre une voie de migration sre vers la Tlphonie IP, sans remise en cause des investissements pralablement consentis pour le parefeu rseau en particulier. Lapproche multicouche dArkoon aide lentreprise faire converger les services voix et donnes en toute scurit, sans risque de subir intrusions, dnis de service ou fuites dinformations.
prrequis Echanges avec le PBX (administration) Annuaire Rgles de filtrage Rgles de filtrage Echanges avec le PBX (administration) Politique de scurit Configuration Dfinitions de rles administrateurs et utilisateurs parades Techniques Pare-feu Prvention dintrusions Authentification Authentification Pare-feu applicatif Authentification Pare-feu applicatif Authentification, Pare-feu applicatif Prvention dintrusions Pare-feu applicatif Facults daudit Pare-feu applicatif

Menaces Dni de service ToIP Usurpation didentit Dtournement de messages vocaux Vol dannuaire SPIT (messages non sollicits)

Dtournement de service applicatif Dtournement dinfrastructure

S, C I

Non Non

* I = Infrastructures, S = Services, C = Contenus

P3

les inFrastructures de la toip dans lentreprise

une SuperviSiOn COhrenTe deS quipeMenTS eT deS priviLgeS

les changes voix-donnes scuriss PassenT Par une logique dadminisTraTion cohrenTe. il fauT fdrer les PrioriTs, les droiTs daccs des uTilisaTeurs eT les rgles de PiloTage de linfrasTrucTure.
PROCESSUS
E

A B C D E F G

connexion du Pbx vers le rseau public doprateur interconnexion du Pbx au serveur dentreprise serveur dadministration de la scurit connexion au rseau externe iP Tlphone traditionnel Tlphone iP softPhone (en utilisation partir dun ordinateur)

ENTREPRISE TECHNOLOGIES
F

G C A B

PRIVILEGES

TDM

EQUIPEMENTS

administrateur. il supervise les rgles des quipements et les droits des utilisateurs. utilisateur du systme dinformation de lentreprise.

INTERNET
livre blanc
P4

mthodologie

TrOiS pOLiTiqueS Suivre pOur prOTger TOuTeS LeS COMMuniCATiOnS de LenTrepriSe

des Processus bien dfinis, des quiPemenTs suPerviss eT une sTraTgie de segmenTaTion durcissenT linfrasTrucTure eT les communicaTions suPPorTanT les changes voix-donnes.

cloisonner avant doptimiser

politique humaine

politique dadministration

politique de segmentation

nicolas blan, Responsable du programme convergence chez Arkoon Lorsque lentreprise veut migrer vers la tlphonie IP, cest souvent pour des raisons conomiques. La scurit passe aprs. Or, cest exactement linverse quil faut faire : soigner la scurit avant de grer la qualit de services du rseau. Cloisonner dabord et optimiser ensuite les flux. Sinon, la QoS va optimiser des trafics ventuellement malicieux. Il faut conserver une sparation entre le rseau IP de donnes et la VoIP, car les deux flux nont pas les mmes besoins. La voix exige un trs faible temps de latence de bout en bout, pas le-mail. En faisant converger deux rseaux spars, lentreprise doit viter de combiner leurs problmes de scurit. Arkoon propose une appliance capable didentifier la voix sur IP. Cest un quipement utile au cloisonnement et au contrle des flux de linfrastructure dentreprise. Il faut nanmoins laccompagner dune politique de scurit et sassurer que les rgles daccs et de confidentialit soient bien respectes.

La scurit est un processus qui consiste dfinir puis propager des rgles dentreprise. On peut le faire en trois tapes. Tout dabord, on dfinit une politique propre chaque fonction dans lentreprise. Les salaris, les consultants et les stagiaires ont chacun des tches distinctes. Certains peuvent accder aux ressources partages, appeler les tlphones fixes ou mobiles toute heure de la journe, mais pas tous. Une fois ces rgles de collaboration tablies, la politique humaine aide dicter qui peut appeler qui, o, quand et comment ? Cette tape organisationnelle savre fondamentale pour scuriser la tlphonie dentreprise.

Le dcideur informatique choisit ses collaborateurs, ses serveurs et ses quipements de rseaux soigneusement. Les uns comme les autres vont laider organiser et optimiser le systme dinformations de lentreprise. Charge lui de dterminer qui peut administrer quoi, quand, comment et depuis o ? Cette politique dadministration forme une tape indispensable. Elle impose des astreintes aux techniciens et aussi quelques limitations aux quipements. Elle nen demeure pas moins essentielle pour que chaque collaborateur puisse placer toute sa confiance dans linfrastructure et dans ses services. Et pour que chacun respecte les politiques locales et globales prcises dans la charte de scurit.

Les rseaux dentreprise voluent avec la convergence de la voix et des donnes mais aussi et surtout avec la convergence des services informatiques, Internet et de tlphonie. Une politique de segmentation en sous-rseaux (ou VLAN) permet disoler les changes de donnes par groupes de travail. Une approche semblable va isoler la voix officielle des changes vocaux non supports par lentreprise. Une fois ce tri effectu, on peut garantir la scurit et la confidentialit des changes. Il faut sassurer que les rgles propres aux trois politiques (humaines, dadministration et de segmentation) soient distribues tous les quipements de linfrastructure.

livre blanc

P5

la toip se dploie dans lentreprise multisite

TLTrAvAiLLeurS eT COLLABOrATeurS diSTAnTS rpOndenT LAppeL

commenT resTer joignable Pour ses clienTs eT ses collgues lorsquon esT en dPlacemenT ou en TlTravail ? arkoon eT Panasonic concrTisenT ce double objecTif.
paramtre indispensable. Il faut assurer, en partientreprise veut prserver lintgrit de ses culier, lauthentification des utilisateurs. En effet, changes et amliorer sa disponibilit et suite lidentification dun appel, une remonte de sa qualit de services. Pour concilier ces fiche automatique dlivre lhistorique commercial objectifs, avec des collaborateurs de plus en plus ou technique dun client. On doit donc sassurer mobiles, la tlphonie IP savre prcieuse. Les daiguiller ces informations vers les seuls collaboracollaborateurs en dplacement ou en tltravail teurs, locaux ou distants, de confiance. Souvent peuvent tre joints comme sils taient prsents au nglige, la scurisation de la tlphonie IP savre sige de lentreprise. En outre, la ToIP apporte une cruciale , confirme-t-il. conomie dchelle en centralisant Pour faire converger les applicalexploitation des ressources infor trop souvent tions informatiques et la tlphonie, matiques et de tlphonie. Scurise, nglige, la on peut brancher le combin IP entre elle procure aux clients et aux colscurisation le rseau local et le PC, reli alors via laborateurs de meilleures rponses, de la toip une prise USB, en suivant lapproche plus rapides et plus prcises. savre first party de Panasonic. Autre possiLquipementier Panasonic propocruciale bilit, dite third party, utiliser un port se une gamme dautocommutateurs Ethernet pour chaque terminal, ce IP (IPBX) ainsi quune connexion des qui oblige redimensionner le rseau. travailleurs distants au systme dinDans les deux cas, la scurisation des quipements formations, deux briques essentielles de la tlne doit pas tre nglige. phonie IP. Conscients que la ToIP est avant tout Partenaires des principaux diteurs de logiciels le march des oprateurs, nous ciblons les entrede gestion de la relation client, Panasonic sait taprises de 10 200 postes en leur permettant dinblir le dialogue entre le serveur applicatif et le cenvestir graduellement , explique Laurent Poirot, tral tlphonique, peru comme un client du rseau le responsable du dpartement PBX de Panasonic informatique. Les protocoles TAPI 2 et CSTA sont France. Selon lui, la scurit des changes reste un
livre blanc

laurent poirot
Responsable Dpartement PBX Division Systme, Panasonic France.

Des processus critiques les traitements de la logistique, le suivi des clients et des livraisons sappuient maintenant sur la tlphonie IP. Dans ce contexte, lauthentification des utilisateurs du systme convergent devient indispensable. Pour apporter un retour rapide sur investissement, la ToIP doit supporter la voix et les changes de donnes, savoir aiguiller les appels et les donnes clients et grer un ensemble de services pertinents pour les collaborateurs distants. En intgrant le PBX-IP et les serveurs dapplications convergentes, les solutions dArkoon dlivrent des changes en temps rel, conformes aux priorits de lentreprise.

disponibles en version de base, sur toute sa gamme de PBX, jusquau modle KX-TDA 600 qui couvre les besoins de communication jusqu 1000 postes par site. Ce qui intresse surtout lentreprise occidentale, prsent, cest de gagner en ractivit, en comptitivit et en mobilit. La ToIP lui permet de saffranchir de la distance des collaborateurs . Elle gomme galement les dcalages horaires, une entreprise internationale pouvant basculer ses appels vers une filiale trangre pour rester toujours disponible pour ses clients, par-del les continents et les heures ouvres. Dans les grandes chanes dhtels, les outils de CRM (Customer Relationship Management) optimisent la qualit de laccueil. Ailleurs, la ToIP stend aux collaborateurs distants et aux tltravailleurs, afin quils puissent rpondre aux attentes des clients. Parfois, un serveur vocal interactif simmisce dans la chane de services IP, interrogeant le gestionnaire de donnes de lentreprise, distance. Avec le soutien des solutions Arkoon, lautocommutateur IP et les serveurs dapplications deviennent des dispositifs du rseau comme les autres. Ils rpondent enfin aux rgles de scurit fixes par lentreprise.

P6

pour mieuX comprendre la tlphonie ip

gLOSSAire de LA Toip
ArcEp : Autorit de rgulation des communications lectroniques et des postes (exART). DoS : Denial of Service. Dni de service. DMZ : Zone dmilitarise. Sous-rseau gnralement entour de pare-feux, dont les serveurs restent accessibles depuis lextrieur de lentreprise. grant les appels au sein de lentreprise. Utilis sur un rseau IP, il autorise les appels et assure la commutation des paquets VoIP. Mgcp : Media Gateway Control Protocol. Egalement connu sous le nom Megaco (IETF) ou H.248 (ITU), ce protocole asymtrique gre la signalisation et la gestion des sessions lors dune confrence IP multimdia. pBX : Private Branch eXchange. Autocommutateur tlphonique ou quipement de commutation reliant les tlphones de lentreprise au rseau TDM. QoS : Quality of Service. Possibilit offerte par certains quipements du rseau (IP ou ATM) pour garantir par avance une transmission de donnes, son taux derreur et ses caractristiques. rtcp : Real-time Transfer Protocol. Protocole de contrle des flux conu pour assurer la qualit de service de sessions en temps rel. Sip : Session Initiation Protocol. Ce protocole symtrique de lIETF authentifie et localise les participants puis ngocie les chemins de donnes utilisables. SoFtpHonE : Logiciel, gr ou non par un IPBX, regroupant les fonctions dun tlphone sur un microordinateur reli au rseau Internet. Spit : Spam over Internet Telephony. Appels non sollicits polluant la bote de messages vocaux. tDM : dsigne la technique de multiplexage Time Division Multiplexing et, plus gnralement, les rseaux publics commuts doprateurs retenant cette technique. toip : Telephony over IP. Tlphonie sur IP. UtM : Unified Threat Management. Equipement de scurit capable de grer plusieurs types de menaces ou dintrusions sur le rseau de lentreprise. Il intgre des fonctions antivirus, pare-feu, pare-feu applicatif, une passerelle VPN, un logiciel IDS vLAn : Virtual LAN. Segment de rseau local virtuel. voip : Voice over IP. Voix sur IP.

arkoon membre de voipsa

Cre en fvrier 2005, lalliance VOIPSA (Voice over IP Security Alliance) sensibilise le march aux enjeux des rseaux convergents. En particulier, elle sattache aux meilleures pratiques relatives la scurit et la confidentialit. Les grands quipementiers, fournisseurs de services et chercheurs en scurit informatique en sont membres. 3Com et sa filiale TippingPoint sont lorigine de lalliance. Ils ont t rapidement rejoints par Arkoon, Alcatel, SonicWall, Netcentex et Spirent, entre autres. Lobjectif consiste aider les entreprises comprendre et contrer les risques travers des forums de discussion (tel le groupe de discussion VOIPSEC), mais aussi au travers de livres blancs sur la scurit et sur la voix sur IP. En pratique, les groupes de travail VoIP Security Threat Taxonomy et Security Requirements proposent une liste complte des menaces lies aux applications de tlphonie sur IP, comme les attaques par saturation, lexploitation de vulnrabilits des protocoles, lursupation didentit, lcoute ou la modification de flux audio. Une structure dtaille des failles techniques est ainsi dcrite. Lalliance soutient aussi des projets dtudes sur la scurit, en dveloppant des mthodologies, voire des outils gratuits. Elle propose enfin une liste de problmes prendre en compte par les services lgislatifs, en cas de besoin. Pour en savoir plus : www.voipsa.org

FirEconvErgE : Cette interface intelligente permet linspection de la voix sur IP et celle de la voix traditionnelle. Elle est place entre les quipements UTM dArkoon et la plate-forme ETSS de Checkphone. gAtEwAy : Passerelle de communication. H.323 : Jeu de protocoles de lUIT (Union Internationale des Tlcommunications) permettant dtablir des changes tlphoniques sur IP ainsi que les vidoconfrences. ipBX : IP-based Private Branch eXchange. Autocommutateur

livre blanc

P7

pour en savoir plus

Scuriser la convergence voix/donnes ne signifie pas protger les donnes puis la voix. Il sagit plutt de distinguer la voix des donnes puis de filtrer la voix, conformment aux rgles de lentreprise.

SIGE SOCIAL 1 PLACE VERRAZZANO CS 30603 69258 LyON CEDEX 09 TL : +33 (0)4 72 53 01 01 FAX : +33 (0)4 72 53 12 60

ILE DE FRANCE IMMEUBLE LE PELISSIER 220 AV. PIERRE BROSSOLETTE 92240 MALAKOFF TEL : +33 (0)1 57 63 67 00 FAX : +33 (0)1 57 63 67 37

www.arkoon.net / info@arkoon.net

AMC

SSL360

FAST360

Security BOX

Un livre blanc ralis par Speedfire mediArchitects

www.speedfire.com / 08 70 27 64 00